Por qué el directorio debe preguntar

La supervisión de la IA es ya una expectativa de gobierno corporativo, no una cortesía técnica. Marcos internacionales como los Principios de IA de la OCDE, la cláusula de liderazgo de ISO/IEC 42001 y la función Govern del NIST AI RMF sitúan la responsabilidad de la dirección en el centro. Y la Ley de IA de la UE añade sanciones de hasta 35 millones de euros o el 7 % de la facturación mundial para las infracciones más graves. Cuando un sistema de IA causa daño, la pregunta del regulador será: ¿qué supervisión ejerció el órgano de gobierno?

1. Inventario y uso

¿Tenemos un inventario completo de los sistemas de IA en uso, incluida la IA en la sombra que los empleados usan sin aprobación y la integrada en productos de proveedores? ¿Quién lo mantiene y con qué frecuencia se actualiza? Sin inventario no hay supervisión posible: es la primera pregunta porque todas las demás dependen de ella.

2. Responsabilidad nombrada

¿Qué ejecutivo es responsable del riesgo de IA en toda la organización? ¿Está esa responsabilidad en su descripción de funciones y objetivos? La responsabilidad difusa («todos somos responsables») equivale en la práctica a que nadie lo sea.

3. Apetito de riesgo y clasificación

¿Hemos definido qué usos de IA consideramos de alto riesgo para nuestro negocio (decisiones sobre personas, salud, crédito, seguridad)? ¿Esa clasificación es coherente con marcos externos como las categorías de la Ley de IA de la UE? ¿Qué usos hemos decidido no permitir?

4. Controles y aseguramiento

Para los sistemas de mayor riesgo: ¿qué supervisión humana existe y es real o nominal? ¿Cómo se probaron antes del despliegue (precisión, sesgo, robustez) y cómo se monitorean en producción? ¿Quién da aseguramiento independiente: auditoría interna, un tercero?

5. Incidentes

¿Tenemos un plan de respuesta a incidentes específico de IA y se ha probado? ¿Sabríamos hoy si un modelo está fallando de forma silenciosa? ¿Conocemos nuestras obligaciones de notificación, incluido el artículo 73 de la Ley de IA de la UE para proveedores de alto riesgo?

6. Competencias del directorio

¿Tiene el órgano de gobierno la alfabetización suficiente en IA para desafiar a la gerencia con eficacia? ¿Necesitamos formación, un asesor externo o incorporar esa competencia? Supervisar lo que no se entiende no es supervisar.

7. Proveedores y terceros

¿Qué diligencia debida aplicamos a la IA de terceros antes de contratarla? ¿Nuestros contratos asignan responsabilidades sobre rendimiento, datos e incidentes? Gran parte del riesgo de IA de una organización entra hoy por la cadena de proveedores.

Qué pedir como mínimo

Tres acciones concretas: incorporar la IA como categoría propia en el registro de riesgos, exigir un informe trimestral de una página (inventario, incidentes, cambios regulatorios, métricas clave) y asignar la supervisión de la IA a un comité con mandato escrito. Lo que se mide y se reporta, se gobierna.

Fuentes

Principios de IA de la OCDE · ISO/IEC 42001:2023 · NIST AI Risk Management Framework · Reglamento (UE) 2024/1689 (EUR-Lex). Información general, no asesoramiento jurídico; verifique siempre con las fuentes oficiales.