A incorporación da intelixencia artificial aos ámbitos da gobernanza, a xestión do risco e o cumprimento normativo avanza a gran velocidade. Cada vez máis organizacións empregan asistentes intelixentes para analizar normativas, avaliar riscos, revisar evidencias, xestionar terceiros ou apoiar procesos de auditoría e cumprimento.
A conversa adoita centrarse nas oportunidades: maior eficiencia, redución da carga administrativa, capacidade para procesar grandes volumes de información ou mellora na toma de decisións. Porén, existe unha cuestión menos visible que merece unha reflexión máis profunda.
Que ocorre cando os sistemas que utilizamos para xestionar o risco comezan a converterse eles mesmos nunha fonte de risco?
Durante anos, as organizacións traballaron para identificar e xestionar dependencias críticas dentro das súas operacións. Infraestruturas tecnolóxicas, provedores cloud, sistemas financeiros, plataformas de comunicacións ou servizos esenciais analízanse de maneira continua porque un fallo en calquera deles pode afectar ao funcionamento global da organización.
A crecente adopción da intelixencia artificial introduce unha nova dependencia que aínda non sempre recibe o mesmo nivel de análise. A medida que estas capacidades se integran en procesos clave de negocio, xestión do risco e cumprimento normativo, resulta necesario comprender non só os beneficios que achegan, senón tamén os riscos que poden xerar.
Do risco xestionado ao risco apoiado pola intelixencia artificial
Un dos cambios máis relevantes que introduce a intelixencia artificial non é exclusivamente tecnolóxico, senón organizativo.
Tradicionalmente, os profesionais de risco, cumprimento, auditoría ou seguridade utilizaban ferramentas para recompilar información, documentar evidencias e apoiar as súas análises. As decisións seguían dependendo principalmente do criterio humano e dos procesos de supervisión establecidos.
Os sistemas actuais comezan a desempeñar un papel diferente. Xa non se limitan a mostrar información. Clasifican riscos, identifican desviacións, xeran recomendacións, resumen evidencias e contribúen a priorizar accións.
En moitos casos, o valor achegado é evidente. Con todo, tamén aparece unha nova realidade: determinadas actividades que antes dependían exclusivamente das persoas comezan a apoiarse cada vez máis en capacidades proporcionadas por sistemas de intelixencia artificial.
Esta evolución obriga a formular novas preguntas sobre supervisión, validación e gobernanza. Canto maior sexa a influencia destes sistemas na toma de decisións, maior será tamén a necesidade de comprender como funcionan, que limitacións presentan e que mecanismos de control existen para supervisar os seus resultados.
Dependencias que tamén deben ser xestionadas
A xestión moderna do risco recoñece que determinadas dependencias poden converterse en puntos críticos para unha organización.
As entidades analizan habitualmente riscos asociados a provedores, infraestruturas, plataformas tecnolóxicas ou cadeas de subministración porque comprenden que unha interrupción ou degradación destes servizos pode afectar a múltiples procesos de negocio.
A intelixencia artificial pode converterse progresivamente nunha dependencia de natureza semellante.
Cando numerosos procesos relacionados coa xestión do risco, o cumprimento normativo, a auditoría ou a xestión documental utilizan as mesmas capacidades de intelixencia artificial, unha incidencia, un erro de funcionamento ou unha perda de dispoñibilidade podería afectar simultaneamente a diferentes áreas da organización.
Por este motivo, resulta conveniente que as organizacións comecen a incorporar estas tecnoloxías dentro dos seus procesos habituais de avaliación e xestión de riscos, do mesmo xeito que xa fan con outros servizos considerados críticos para a actividade.
A concentración de risco como novo elemento a considerar
Outro aspecto que merece atención é a posible concentración de risco derivada da adopción masiva de determinadas plataformas ou modelos.
A historia recente da ciberseguridade demostrou que as dependencias compartidas poden amplificar o impacto dos incidentes cando un gran número de organizacións utiliza tecnoloxías similares. Situacións relacionadas con provedores cloud, bibliotecas de software amplamente distribuídas ou plataformas críticas puxeron de manifesto como unha única vulnerabilidade ou interrupción pode ter consecuencias a gran escala.
Aínda que a intelixencia artificial achega capacidades moi valiosas, a utilización crecente dun conxunto reducido de plataformas, modelos ou provedores formula novas cuestións relacionadas coa resiliencia operativa e a continuidade do servizo.
Desde unha perspectiva de xestión do risco, resulta razoable preguntarse ata que punto determinadas funcións críticas dependen de tecnoloxías comúns e como podería verse afectada a organización en caso de incidentes asociados a esas capacidades.
Non se trata de cuestionar a utilidade da intelixencia artificial, senón de incorporar estes factores dentro dunha visión equilibrada do risco tecnolóxico.
A confianza debe ir acompañada de supervisión
Os modelos actuais destacan pola súa capacidade para procesar información complexa e xerar respostas útiles en tempos reducidos.
Porén, como calquera outra tecnoloxía, non están exentos de limitacións.
A confianza nos resultados obtidos debe complementarse con mecanismos adecuados de revisión, validación e supervisión humana, especialmente cando as recomendacións poden influír en decisións relevantes para a organización.
A adopción responsable da intelixencia artificial require manter principios xa coñecidos na xestión do risco: trazabilidade, supervisión, control, revisión periódica e avaliación continua da eficacia dos procesos.
Do mesmo xeito que ocorre con outros sistemas críticos, a transparencia sobre o funcionamento destas capacidades e a posibilidade de auditar os seus resultados constitúen elementos fundamentais para xerar confianza e reducir a incerteza.
Un reto aliñado cos novos marcos de gobernanza
A necesidade de xestionar adecuadamente os riscos asociados á intelixencia artificial está a ser recoñecida progresivamente por distintos marcos normativos e de referencia internacionais.
Iniciativas como ISO/IEC 42001, centrada nos sistemas de xestión da intelixencia artificial, ISO 31000 para a xestión do risco, ISO/IEC 27001 no ámbito da seguridade da información, así como marcos como NIST AI Risk Management Framework ou o Regulamento DORA, coinciden nunha mesma idea: as capacidades baseadas en intelixencia artificial deben incorporarse dentro dos procesos habituais de gobernanza, supervisión e xestión do risco.
Máis aló das capacidades técnicas destas ferramentas, as organizacións deberán comprender como afectan á súa resiliencia operativa, que dependencias xeran e que mecanismos de control resultan necesarios para garantir un uso seguro, transparente e aliñado cos obxectivos de negocio.
Gobernar a intelixencia artificial como parte da xestión do risco
A cuestión non é se a intelixencia artificial pode achegar valor aos procesos de gobernanza, risco e cumprimento. As evidencias actuais amosan que pode converterse nunha ferramenta de gran utilidade para mellorar a eficiencia e facilitar a análise de información complexa.
A cuestión consiste en garantir que estas capacidades se incorporan dentro de marcos adecuados de gobernanza e control.
Isto implica avaliar aspectos como a dependencia tecnolóxica, a resiliencia operativa, a continuidade do servizo, a calidade dos datos utilizados, a supervisión humana ou a capacidade de auditoría dos resultados xerados.
Do mesmo xeito que as organizacións xestionan os riscos asociados a provedores críticos, infraestruturas esenciais ou servizos tecnolóxicos estratéxicos, resulta razoable considerar que as capacidades de intelixencia artificial tamén deben formar parte dos procesos habituais de xestión do risco.
Unha oportunidade para reforzar a resiliencia
A intelixencia artificial continuará desempeñando un papel cada vez máis relevante nos procesos empresariais e nas actividades relacionadas coa gobernanza, o risco e o cumprimento normativo.
O seu potencial para mellorar a produtividade, acelerar análises e apoiar a toma de decisións é indubidable.
Non obstante, a súa adopción tamén representa unha oportunidade para reforzar a madurez dos modelos de xestión do risco, incorporando novas perspectivas relacionadas coa dependencia tecnolóxica, a resiliencia operativa e a concentración de capacidades críticas.
Comprender estes factores permitirá ás organizacións aproveitar as vantaxes da intelixencia artificial mantendo, ao mesmo tempo, unha visión equilibrada dos riscos asociados á súa utilización e contribuíndo a construír contornas máis resilientes e preparadas para afrontar os desafíos futuros.
A intelixencia artificial pode converterse nunha ferramenta extraordinaria para mellorar a xestión do risco. Pero, como calquera outra capacidade estratéxica, tamén require ser gobernada, supervisada e avaliada de forma continua. Só así será posible aproveitar todo o seu potencial sen perder de vista os principios fundamentais de resiliencia, control e boa gobernanza que sustentan unha xestión eficaz do risco.
