En los ultimos 18 meses, la inteligencia artificial paso de ser un tema de innovacion tecnologica a ocupar un lugar fijo en la agenda de directorios y comites de riesgo. El cambio no es menor: las decisiones que antes se tomaban con reportes trimestrales y matrices estaticas ahora incorporan modelos predictivos, procesamiento de lenguaje natural y sistemas de scoring automatizado. Pero el problema no es la tecnologia en si. El problema es que la mayoria de los directorios en America Latina todavia no tiene las herramientas conceptuales para evaluar los riesgos que esos sistemas introducen.
El directorio como ultimo responsable
ISO 42001, en su clausula 5.1, es explicita: el liderazgo de la organizacion debe demostrar compromiso con el sistema de gestion de inteligencia artificial. Esto no significa firmar un documento. Significa que el directorio entiende que modelos de IA se utilizan, que datos consumen, que decisiones influyen y que mecanismos de supervision existen. En la practica, segun datos de nuestra investigacion sobre el impacto de la IA en la alta direccion, solo el 19% de los directorios en LATAM puede responder estas cuatro preguntas con precision.
Tres errores recurrentes en la adopcion de IA a nivel directivo
Despues de auditar mas de 40 organizaciones en proceso de adopcion de IA, identificamos tres patrones que se repiten con frecuencia alarmante:
- Delegar la gobernanza de IA exclusivamente al area de tecnologia. La IA no es un problema de IT. Es un riesgo organizacional que cruza operaciones, legal, cumplimiento y reputacion. ISO 42001 requiere que el sistema de gestion sea transversal (clausula 5.3 sobre roles y responsabilidades).
- Confiar en evaluaciones de riesgo genericas. Una matriz de riesgos tradicional no captura la naturaleza dinamica de un modelo de machine learning. Los riesgos algoritmicos cambian con los datos de entrada, el contexto de uso y las actualizaciones del modelo. Necesitas un marco especifico como el que plantea ISO 23894 para riesgo algoritmico.
- Asumir que el proveedor de IA se hace cargo del riesgo. El 62% de las organizaciones auditadas no tenia clausulas contractuales que cubrieran explicabilidad, sesgo algoritmico o continuidad del servicio de IA. Si tu organizacion despliega un modelo de un tercero, el riesgo sigue siendo tuyo.
Que deberia exigir un directorio en 2026
Un directorio preparado para gobernar la IA deberia tener, como minimo, cuatro elementos operativos:
- Inventario actualizado de sistemas de IA. No solo los que desarrollo la organizacion, sino tambien los que consume de terceros. Esto incluye herramientas de RR.HH., scoring crediticio, atencion al cliente automatizada y cualquier motor de recomendacion.
- Evaluacion de impacto documentada por sistema. Cada sistema de IA deberia tener una ficha que incluya: proposito, datos de entrenamiento, metricas de desempeno, riesgos identificados y controles aplicados. ISO 42001 Anexo A, control A.6.2.2, lo requiere.
- Reporte periodico de incidentes de IA al directorio. No existe gobernanza sin visibilidad. Si el directorio no recibe informacion sobre fallas, sesgos detectados o desviaciones de rendimiento, no puede ejercer su funcion de supervision.
- Formacion ejecutiva especifica. No alcanza con un seminario generico de transformacion digital. Los miembros del directorio necesitan entender que es un modelo de IA, que puede salir mal y como se audita. La transferencia de criterio normativo es clave.
El costo de no actuar
El riesgo regulatorio esta creciendo. Brasil ya tiene su Marco Legal de IA. Chile avanzo con un proyecto de ley de IA. La EU AI Act esta operativa. Las organizaciones que no puedan demostrar que tienen gobernanza formal de IA van a enfrentar restricciones operativas concretas, no solo teoricas. Y los directorios que no se preparen van a descubrir que la responsabilidad por decisiones algoritmicas fallidas recae, en ultima instancia, en ellos.
Si tu directorio quiere entender donde esta parado, el primer paso es un diagnostico de estado de preparacion contra ISO 42001 y una evaluacion integral de gobernanza de riesgos. No se trata de un proyecto de meses. Se trata de saber, en 72 horas, que tan expuesto estas.