La incorporación de inteligencia artificial en los ámbitos de gobernanza, riesgo y cumplimiento avanza a gran velocidad. Cada vez más organizaciones utilizan asistentes inteligentes para analizar normativas, evaluar riesgos, revisar evidencias, gestionar terceros o apoyar procesos de auditoría y cumplimiento.
La conversación suele centrarse en las oportunidades: mayor eficiencia, reducción de carga administrativa, capacidad para procesar grandes volúmenes de información o mejora en la toma de decisiones. Sin embargo, existe una cuestión menos visible que merece una reflexión más profunda.
¿Qué ocurre cuando los sistemas que utilizamos para gestionar el riesgo comienzan a convertirse ellos mismos en una fuente de riesgo?
Durante años, las organizaciones han trabajado para identificar y gestionar dependencias críticas dentro de sus operaciones. Infraestructuras tecnológicas, proveedores cloud, sistemas financieros, plataformas de comunicaciones o servicios esenciales son analizados continuamente porque un fallo en cualquiera de ellos puede afectar al funcionamiento global de la organización.
La creciente adopción de inteligencia artificial introduce una nueva dependencia que todavía no siempre recibe el mismo nivel de análisis. A medida que estas capacidades se integran en procesos clave de negocio, gestión del riesgo y cumplimiento normativo, resulta necesario comprender no solo los beneficios que aportan, sino también los riesgos que pueden generar.
Del riesgo gestionado al riesgo apoyado por inteligencia artificial
Uno de los cambios más relevantes que introduce la inteligencia artificial no es exclusivamente tecnológico, sino organizativo.
Tradicionalmente, los profesionales de riesgo, cumplimiento, auditoría o seguridad utilizaban herramientas para recopilar información, documentar evidencias y apoyar sus análisis. Las decisiones seguían dependiendo principalmente del criterio humano y de los procesos de supervisión establecidos.
Los sistemas actuales comienzan a desempeñar un papel diferente. Ya no se limitan a mostrar información. Clasifican riesgos, identifican desviaciones, generan recomendaciones, resumen evidencias y contribuyen a priorizar acciones.
En muchos casos, el valor aportado es evidente. Sin embargo, también aparece una nueva realidad: determinadas actividades que antes dependían exclusivamente de las personas comienzan a apoyarse cada vez más en capacidades proporcionadas por sistemas de inteligencia artificial.
Esta evolución obliga a plantear nuevas preguntas sobre supervisión, validación y gobernanza. Cuanto mayor sea la influencia de estos sistemas en la toma de decisiones, mayor será también la necesidad de comprender cómo funcionan, qué limitaciones presentan y qué mecanismos de control existen para supervisar sus resultados.
Dependencias que también deben gestionarse
La gestión del riesgo moderna reconoce que determinadas dependencias pueden convertirse en puntos críticos para una organización.
Las entidades analizan habitualmente riesgos asociados a proveedores, infraestructuras, plataformas tecnológicas o cadenas de suministro porque comprenden que una interrupción o degradación de estos servicios puede afectar a múltiples procesos de negocio.
La inteligencia artificial puede convertirse progresivamente en una dependencia de naturaleza similar.
Cuando numerosos procesos relacionados con riesgos, cumplimiento, auditoría o gestión documental utilizan las mismas capacidades de IA, una incidencia, un error de funcionamiento o una pérdida de disponibilidad podría afectar simultáneamente a diferentes áreas de la organización.
Por este motivo, resulta conveniente que las organizaciones comiencen a incorporar estas tecnologías dentro de sus procesos habituales de evaluación y gestión de riesgos, del mismo modo que ya hacen con otros servicios considerados críticos para la actividad.
La concentración de riesgo como nuevo elemento a considerar
Otro aspecto que merece atención es la posible concentración de riesgo derivada de la adopción masiva de determinadas plataformas o modelos.
La historia reciente de la ciberseguridad ha demostrado que las dependencias compartidas pueden amplificar el impacto de incidentes cuando un gran número de organizaciones utiliza tecnologías similares. Situaciones relacionadas con proveedores cloud, bibliotecas de software ampliamente distribuidas o plataformas críticas han puesto de manifiesto cómo una única vulnerabilidad o interrupción puede tener consecuencias a gran escala.
Aunque la inteligencia artificial aporta capacidades muy valiosas, la utilización creciente de un conjunto reducido de plataformas, modelos o proveedores plantea nuevas cuestiones relacionadas con la resiliencia operativa y la continuidad de servicio.
Desde una perspectiva de gestión del riesgo, resulta razonable preguntarse hasta qué punto determinadas funciones críticas dependen de tecnologías comunes y cómo podría verse afectada la organización en caso de incidentes asociados a dichas capacidades.
No se trata de cuestionar la utilidad de la inteligencia artificial, sino de incorporar estos factores dentro de una visión equilibrada del riesgo tecnológico.
La confianza debe ir acompañada de supervisión
Los modelos actuales destacan por su capacidad para procesar información compleja y generar respuestas útiles en tiempos reducidos.
Sin embargo, como cualquier otra tecnología, no están exentos de limitaciones.
La confianza en los resultados obtenidos debe complementarse con mecanismos adecuados de revisión, validación y supervisión humana, especialmente cuando las recomendaciones pueden influir en decisiones relevantes para la organización.
La adopción responsable de inteligencia artificial requiere mantener principios ya conocidos en la gestión del riesgo: trazabilidad, supervisión, control, revisión periódica y evaluación continua de la eficacia de los procesos.
Al igual que ocurre con otros sistemas críticos, la transparencia sobre el funcionamiento de estas capacidades y la posibilidad de auditar sus resultados constituyen elementos fundamentales para generar confianza y reducir incertidumbre.
Un reto alineado con los nuevos marcos de gobernanza
La necesidad de gestionar adecuadamente los riesgos asociados a la inteligencia artificial está siendo reconocida progresivamente por distintos marcos normativos y de referencia internacionales.
Iniciativas como ISO/IEC 42001, centrada en los sistemas de gestión de inteligencia artificial, ISO 31000 para la gestión del riesgo, ISO/IEC 27001 en el ámbito de la seguridad de la información, así como marcos como NIST AI Risk Management Framework o el Reglamento DORA, coinciden en una misma idea: las capacidades basadas en inteligencia artificial deben incorporarse dentro de los procesos habituales de gobernanza, supervisión y gestión del riesgo.
Más allá de las capacidades técnicas de estas herramientas, las organizaciones deberán comprender cómo afectan a su resiliencia operativa, qué dependencias generan y qué mecanismos de control resultan necesarios para garantizar un uso seguro, transparente y alineado con los objetivos de negocio.
Gobernar la inteligencia artificial como parte de la gestión del riesgo
La cuestión no es si la inteligencia artificial puede aportar valor a los procesos de gobernanza, riesgo y cumplimiento. Las evidencias actuales muestran que puede convertirse en una herramienta de gran utilidad para mejorar la eficiencia y facilitar el análisis de información compleja.
La cuestión consiste en garantizar que estas capacidades se incorporan dentro de marcos adecuados de gobernanza y control.
Esto implica evaluar aspectos como la dependencia tecnológica, la resiliencia operativa, la continuidad de servicio, la calidad de los datos utilizados, la supervisión humana o la capacidad de auditoría de los resultados generados.
Del mismo modo que las organizaciones gestionan los riesgos asociados a proveedores críticos, infraestructuras esenciales o servicios tecnológicos estratégicos, resulta razonable considerar que las capacidades de inteligencia artificial también deben formar parte de los procesos habituales de gestión del riesgo.
Una oportunidad para reforzar la resiliencia
La inteligencia artificial continuará desempeñando un papel cada vez más relevante en los procesos empresariales y en las actividades relacionadas con la gobernanza, el riesgo y el cumplimiento.
Su potencial para mejorar la productividad, acelerar análisis y apoyar la toma de decisiones es indudable.
No obstante, su adopción también representa una oportunidad para reforzar la madurez de los modelos de gestión del riesgo, incorporando nuevas perspectivas relacionadas con la dependencia tecnológica, la resiliencia operativa y la concentración de capacidades críticas.
Comprender estos factores permitirá a las organizaciones aprovechar las ventajas de la inteligencia artificial manteniendo, al mismo tiempo, una visión equilibrada de los riesgos asociados a su utilización y contribuyendo a construir entornos más resilientes y preparados para afrontar los desafíos futuros.
La inteligencia artificial puede convertirse en una herramienta extraordinaria para mejorar la gestión del riesgo. Pero, como cualquier otra capacidad estratégica, también requiere ser gobernada, supervisada y evaluada de forma continua. Solo así será posible aprovechar todo su potencial sin perder de vista los principios fundamentales de resiliencia, control y buena gobernanza que sustentan una gestión eficaz del riesgo.
