Board Risk Insights

Learn more

Riesgo de Inteligencia Artificial: por qué ya es un asunto de Consejo

La inteligencia artificial ha dejado de ser un proyecto tecnológico para convertirse en un riesgo estratégico, reputacional y de responsabilidad personal para los consejeros.

Durante años, los consejos han tratado la tecnología como un asunto operativo. La IA rompe ese esquema. No solo automatiza procesos: toma decisiones, influye en personas, afecta derechos, genera sesgos, crea dependencia y expone a la organización a nuevos vectores de riesgo. Por eso, hoy, la pregunta clave ya no es si la empresa usa IA, sino quién responde cuando algo sale mal.

Firmas como Deloitte y McKinsey coinciden en un mensaje claro: la gobernanza de la IA es ya una responsabilidad indelegable del consejo de administración. [deloitte.com], [mckinsey.com]

1. El riesgo IA no es un riesgo “más”

La IA no encaja bien en los marcos clásicos de riesgos porque amplifica los existentes:

  • Riesgo legal y regulatorio: decisiones automatizadas que discriminan, violan privacidad o incumplen normativa sectorial. La tecnología no exime de responsabilidad legal.
  • Riesgo reputacional: una sola decisión algorítmica mal explicada puede destruir confianza en clientes, empleados o reguladores.
  • Riesgo estratégico: inversiones masivas en IA sin retorno claro, o dependencia crítica de modelos opacos.
  • Riesgo de gobierno corporativo: consejos que aprueban o toleran sistemas que no entienden.

Como advierte la consultora McKinsey, muchos fracasos de IA no son tecnológicos, sino de gobernanza.

2. El nuevo estándar: del “oversight” pasivo a la supervisión activa

Los consejos no deben diseñar algoritmos. Pero sí deben gobernar el sistema de decisiones.

Según Harvard Law School, la expectativa emergente es clara:

Los consejeros deben entender cómo la IA cambia la forma en que la empresa decide, informa y actúa.

Esto implica un cambio relevante:

  • No basta con recibir presentaciones “inspiradoras” sobre IA.
  • El consejo debe formular preguntas incómodas y exigir evidencias.

Ejemplos de preguntas de consejo:

  • ¿Qué decisiones críticas están hoy parcial o totalmente automatizadas?
  • ¿Quién es responsable cuando el modelo se equivoca?
  • ¿Qué uso de IA está explícitamente prohibido?
  • ¿Qué riesgos asumimos por no usar IA… y cuáles por usarla mal?

3. IA y deberes fiduciarios: una frontera cada vez más clara

El EU AI Act no crea nuevas obligaciones fiduciarias, pero eleva el estándar de diligencia exigible a los órganos de gobierno, especialmente en sectores regulados o con sistemas de alto riesgo.

La implicación práctica es clara:

  • La ignorancia ya no es una defensa.
  • El consejo debe demostrar que ha ejercido supervisión informada.

En caso de incidente grave, la pregunta no será “¿falló el algoritmo?”, sino:

“¿Qué sabía el consejo y qué hizo con esa información?”

4. Qué están haciendo los consejos más avanzados

Las mejores prácticas que están emergiendo (sin caer en “AI theatre”) incluyen:

✅ Gobernanza clara

  • Asignar la supervisión de IA a un comité existente (riesgos, auditoría, tecnología) o crear uno específico.
  • Definir responsables claros a nivel ejecutivo.

✅ Principios de IA responsable

  • No códigos éticos genéricos, sino límites claros y operativos.
  • Decisiones que requieren siempre intervención humana.

✅ Alfabetización del consejo

  • No formación técnica, sino capacidad de cuestionar, entender impactos y tomar decisiones informadas.

✅ Integración en mapas de riesgos

  • La IA debe aparecer explícitamente en el Enterprise Risk Map, no diluida dentro de IT o ciberseguridad.

5. IA, D&O y responsabilidad personal

Un punto cada vez más presente en el diálogo con consejeros:
¿cómo encaja el riesgo IA en la responsabilidad personal y en el seguro D&O?

Los incidentes de IA tienden a:

  • Afectar a múltiples stakeholders.
  • Generar reclamaciones en cascada.
  • Activar simultáneamente riesgos regulatorios, laborales y reputacionales.

Por eso, cada vez más consejos incorporan la IA en:

  • Evaluaciones de responsabilidad de administradores.
  • Revisiones de límites, exclusiones y wording de pólizas D&O.
  • Escenarios de crisis y simulacros de decisión.

Conclusión: la IA no es opcional, la gobernanza sí lo es

La IA va a seguir avanzando, con o sin supervisión adecuada.
La verdadera decisión del consejo es si quiere gobernar el riesgo… o heredarlo cuando estalle.

Como ocurre con la ciberseguridad, la pregunta ya no es si habrá incidentes, sino si el consejo estará preparado cuando ocurran.

Board Risk INSIGHTS Question

¿Puede su consejo explicar, en cinco minutos, dónde la IA toma decisiones críticas en la organización y qué límites se le han impuesto?

Leave a comment