Gobernanza de la Inteligencia Artificial: modelos efectivos en empresas

La Inteligencia Artificial (IA) es un una fuerza transformadora de la economía y la sociedad. Su crecimiento es, a la vez, exponencial y global. Las estadísticas recientes demuestran esta aceleración sin precedentes; el mercado de la IA Generativa se ha disparado de 11 mil millones de dólares en 2020 a cerca de 128 mil millones de dólares en 2024, de acuerdo con Estatista. A principios de 2024, la adopción de la IA en las empresas alcanzó el 72 %, un aumento notable frente al 66 % reportado en 2023.

En la última Encuesta Global de McKinsey sobre IA (McKinsey Global Survey on AI), 65 % de los encuestados reportaron que sus organizaciones utilizan regularmente IA generativa, casi el doble del porcentaje de nuestra encuesta anterior hace apenas diez meses. Las expectativas de los encuestados sobre el impacto de la IA Generativa siguen siendo tan altas como el año pasado, y tres cuartas partes predicen que la IA generará cambios significativos o disruptivos en sus industrias en los próximos años.

Ante este panorama, la gobernanza de la IA es una pieza fundamental, no como un freno, sino como una infraestructura esencial para la reputación, la sostenibilidad y la ventaja competitiva de cualquier organización. António Guterres, secretario General de las Naciones Unidas, señaló en 2024 que “la Inteligencia Artificial sin gobernanza es una amenaza para la democracia. El mensaje es claro: la inteligencia artificial debe servir a la humanidad de manera equitativa y segura“.

Este auge, impulsado por una inversión significativa y la disponibilidad de datos, exige que las empresas respondan de manera estratégica, yendo más allá de la simple implementación tecnológica. De hecho, este es un tema en constante evolución. Precisamente en agosto de 2025 la Asamblea General de la ONU aprobó la creación del primer panel científico sobre la gobernanza de la Inteligencia Artificial. Este organismo estará compuesto por 40 expertos que se encargarán de elaborar evaluaciones e informes anuales sobre la IA para orientar a los Estados en la creación de regulaciones. Aunque la resolución se aprobó por consenso, algunos países, como Argentina y Estados Unidos, manifestaron reservas sobre ciertos aspectos del texto, como las referencias a los Objetivos de Desarrollo Sostenible y los posibles efectos de la sobrerregulación en la innovación. A pesar de estas diferencias, la iniciativa se considera un paso histórico hacia la gobernanza global de esta tecnología

Una gobernanza sólida es lo que asegura que la innovación se desarrolle de manera responsable y confiable desde su concepción. Su propósito es establecer un marco integral que proteja contra los riesgos inherentes de la IA, mientras se maximiza su potencial para generar valor a largo plazo.

¿Qué es la gobernanza de la Inteligencia Artificial y por qué es clave para las empresas?

Según la Organización para la Cooperación y el Desarrollo Económicos (OCDE), la gobernanza de la IA se refiere al “proceso de establecer y aplicar normas, políticas y principios para guiar la forma en que se diseñan, desarrollan, despliegan y gestionan los sistemas de IA“. Esta definición se centra en la implementación de marcos éticos y de seguridad para asegurar que la IA se use de manera responsable y en beneficio de la sociedad.

Por su parte, la Comisión Europea, en su Ley de IA (AI Act), no ofrece una definición única de gobernanza, sino que la aborda mediante un marco regulatorio que clasifica los sistemas de IA en diferentes niveles de riesgo. Su enfoque se basa en “un conjunto de reglas vinculantes para abordar los riesgos específicos que presenta la IA”, lo que implica que la gobernanza es el conjunto de regulaciones legales que controlan el desarrollo y el uso de la IA de acuerdo con su potencial impacto negativo en la sociedad.

Desde un punto de vista académico, la gobernanza de la IA es el “estudio y la aplicación de mecanismos para influir en el desarrollo y el uso de la IA“, incluyendo una combinación de políticas públicas, regulaciones, marcos técnicos y normas sociales. Esta perspectiva, como la de la investigadora Joanna J. Bryson de la Universidad de Bath, subraya que la gobernanza no se limita solo a la ley, sino que también abarca la cultura, la educación y los incentivos que moldean el comportamiento de los desarrolladores y usuarios de IA.

La gobernanza de la IA es entonces el conjunto de “procesos, estándares y barandillas que ayudan a garantizar que los sistemas y herramientas de IA sean seguros y éticos”. Es un marco que permite a una organización desarrollar y utilizar la Inteligencia Artificial de forma responsable y en sintonía con sus objetivos estratégicos y visión de negocio.

Este marco no se limita a un conjunto de reglas técnicas, sino que abarca tres componentes clave: la alineación de la estrategia de IA con los objetivos de la empresa, la incorporación de principios éticos y el cumplimiento de la normativa legal, y la creación de estructuras de dirección especializadas, como un comité de gobernanza. Mustafa Suleyman, cofundador de DeepMind y ahora CEO de Microsoft AI, comparte que “la tecnología es demasiado importante y hay demasiado en juego como para confiar únicamente en las fuerzas del mercado y en un mosaico fragmentado de acciones nacionales”.

La importancia de la gobernanza de la IA radica en su naturaleza dual, ofreciendo protección y, al mismo tiempo, fomentando la innovación. En primer lugar, la gobernanza es un componente esencial para proteger las operaciones y la reputación de una empresa. Un uso indebido, sesgado o una violación de la privacidad de los datos por parte de un sistema de IA puede tener consecuencias catastróficas, incluyendo pérdidas financieras, sanciones legales y una profunda erosión de la confianza pública.

La transparencia, en este sentido, es un componente crítico, ya que proporciona información clara sobre cómo funcionan los sistemas de IA para generar confianza entre el público y las partes interesadas, facilitando la identificación y corrección de posibles sesgos.

En segundo lugar, una gobernanza de la IA robusta no ralentiza la innovación, sino que la canaliza de manera segura y eficiente. Un marco bien definido genera un entorno que “favorece la experimentación y el aprendizaje”, lo que permite a las empresas desarrollar soluciones de IA más eficientes, innovadoras y confiables. Este enfoque proactivo también se alinea con los Objetivos de Desarrollo Sostenible (ODS) de las Naciones Unidas, ya que promueve el uso responsable de los recursos y la inclusión y diversidad al mitigar los sesgos en los modelos. Esto puede ser un factor diferenciador que demuestra el compromiso de la empresa con la sostenibilidad a largo plazo.

Existe una paradoja notable en el estado actual de la IA: a pesar de su acelerada adopción, la supervisión formal no ha seguido el mismo ritmo. Un informe de 2023 del Foro Económico Mundial reveló que “solo el 30 % de las empresas que utilizan IA hacen un seguimiento del rendimiento de la gobernanza mediante indicadores formales”. Las empresas que operan en esta brecha están en riesgo de exponerse a incidentes de sesgo, privacidad y seguridad que pueden tener un impacto catastrófico en su reputación y finanzas. La falta de métricas formales sugiere que muchas organizaciones todavía ven la gobernanza de la IA como un ideal abstracto, y no como una disciplina de gestión crítica y necesaria para la supervivencia en el futuro.

¿Qué estructuras y roles deben establecer los directivos para una gobernanza efectiva de IA?

La implementación de una gobernanza de la IA efectiva exige una estructura organizacional que refleje su naturaleza multifacética. No se puede delegar esta tarea a un solo departamento; en su lugar, se requiere un enfoque interdisciplinario. La recomendación es crear un equipo interfuncional de gobernanza de la IA que incluya a personas expertas de disciplinas diversas como el derecho, la ética, la ciencia de datos y los negocios. Este equipo tiene la responsabilidad de supervisar los procesos de toma de decisiones y la evaluación de riesgos. Un enfoque común es la creación de órganos especializados como un comité de gobernanza para formalizar estas responsabilidades.

Dentro de esta estructura, los roles y responsabilidades deben estar claramente definidos para garantizar la rendición de cuentas en cada fase del ciclo de vida de la IA.

• Alta dirección y consejo de administración: La máxima cúpula de la empresa tiene la responsabilidad de supervisar la estrategia general de IA y asegurar su alineación con los objetivos de negocio. El CEO, en particular, debe “establecer la supervisión, definir la rendición de cuentas y aplicar el cumplimiento” desde el desarrollo hasta la implementación de los sistemas de IA.
• Oficiales de cumplimiento y equipos legales: Estos profesionales son los guardianes de la normativa. Su rol es asegurar que los sistemas de IA cumplan con las regulaciones vigentes y las directrices éticas.
• CISO, CIO y equipos de seguridad y TI: El rol del Chief Information Security Officer (CISO) es fundamental para proteger la infraestructura y los datos de la IA. El CISO se encarga de diseñar programas de ciberseguridad, crear planes de recuperación ante desastres y asegurar que los usuarios sigan las buenas prácticas de seguridad. Por su parte, el Chief Information Officer (CIO) se enfoca en fomentar la productividad y alinear la tecnología con los objetivos de negocio. Un punto crítico para una gobernanza eficaz es la independencia del CISO respecto al CIO, lo que permite al primero evaluar los riesgos e implementar medidas de seguridad sin que los imperativos de costos influyan en las decisiones.
• Científicos de datos e ingenieros de IA: Estos expertos son los arquitectos de los sistemas. Son responsables de auditar los modelos para garantizar su equidad y precisión.⁵ Su trabajo debe incluir la provisión de “explicaciones específicas para cada predicción individual”, lo que permite a los usuarios entender los factores detrás de una decisión.

Sin embargo, en el panorama de la gobernanza de la IA existe un eslabón perdido: las micro, pequeñas y medianas empresas (Mipymes). Se ha observado que la figura del CISO dedicado tiende a encontrarse solo en las organizaciones más grandes, mientras que las Pymes a menudo combinan esta función con responsabilidades de seguridad más generales. Al carecer de la estructura y el talento especializado para la gobernanza de la IA, son las más vulnerables a los riesgos de privacidad, seguridad y sesgos. Una adopción masiva de la IA sin la supervisión adecuada en este segmento podría exacerbar problemas que afectan a un gran porcentaje de la economía. Por lo tanto, una gobernanza efectiva debe ser accesible y escalable para las Pymes, no un lujo exclusivo para las grandes corporaciones.

¿Cómo desarrollar políticas y procesos internos para gestionar la Inteligencia Artificial de forma responsable?

El desarrollo de políticas y procesos internos es la columna vertebral de una gobernanza de IA efectiva. Estas políticas deben construirse sobre principios sólidos que guíen cada etapa del ciclo de vida del sistema. Los principios fundamentales para cualquier marco de gobernanza responsable incluyen:

• Equidad e inclusión: Los sistemas de IA deben tratar a todos de manera justa, sin sesgos basados en el género, la etnia, la religión u otros factores. Es imperativo revisar continuamente el sistema en busca de sesgos injustos y garantizar que los datos de entrenamiento sean diversos y representativos.
• Transparencia y explicabilidad (XAI): Las organizaciones deben esforzarse por hacer que sus sistemas de IA sean transparentes y explicables. Esto significa proporcionar información clara sobre el funcionamiento de los algoritmos y la lógica que conduce a una decisión. La transparencia fomenta la confianza del público y facilita la identificación y corrección de errores.
• Privacidad y seguridad: Las políticas deben garantizar la protección de los datos sensibles utilizados por los sistemas de IA, desde el desarrollo hasta la implementación. Esto implica cumplir con normativas de privacidad como el RGPD o el CCPA y utilizar técnicas de anonimización y encriptación.
• Responsabilidad: Las organizaciones deben establecer claramente quién es responsable del funcionamiento de los sistemas de IA y de sus impactos. Esto implica una rendición de cuentas proactiva y un plan de acción para abordar los efectos de la tecnología.

Para llevar estos principios a la práctica, se requieren procesos de gestión diarios. Las empresas deben establecer procedimientos para una evaluación continua de los riesgos, con revisiones estructuradas que pueden ser trimestrales para los sistemas de alto riesgo o anuales para los de menor riesgo. En cuanto a la aplicación de las políticas, la automatización es una herramienta poderosa que reduce el error humano y garantiza una aplicación de política coherente. Sin embargo, la supervisión humana sigue siendo indispensable en escenarios complejos que requieren juicio y adaptación, como la mitigación de los riesgos por el mal uso.

Finalmente, las políticas deben cubrir todo el ciclo de vida del modelo de IA, desde la selección y adquisición de herramientas de terceros hasta el monitoreo continuo de su rendimiento para detectar cualquier degradación.

La gobernanza de la IA no es un conjunto de controles que frena el avance; por el contrario, actúa como un habilitador de lo que se podría llamar la ética de la innovación. En los discursos empresariales, la gobernanza de la IA se enmarca como un componente esencial para proteger sus operaciones y su reputación, pero también como un medio para fomentar la innovación.

Al establecer las reglas y los riesgos de manera clara, una empresa puede experimentar con IA sin el temor constante de un colapso reputacional. Esto representa una transición cultural de innovar primero, gobernar después a una mentalidad de innovación con ética incorporada. Adoptar esta postura proactiva no solo mitiga el riesgo, sino que también permite a las empresas diferenciarse en el mercado, construyendo una marca basada en la confianza y la responsabilidad, un activo que la investigación considera invaluable en la era digital.

El Foro Económico Mundial propone un enfoque 360 grados que se basa en tres pilares clave para equilibrar la innovación y la regulación en la era de la IA. El primer pilar, “Aprovechar el pasado”, busca adaptar los marcos regulatorios existentes a los desafíos que presenta la IA. El segundo, “Construir el presente”, promueve la colaboración entre múltiples actores (industria, sociedad civil, academia y gobierno). Finalmente, el pilar de “Planificar el futuro” enfatiza la necesidad de una gobernanza ágil y con visión de futuro que se adapte rápidamente a la evolución tecnológica y a los nuevos riesgos, a través de mecanismos de anticipación y cooperación internacional.

¿Qué marcos y estándares internacionales guían la gobernanza de IA en el entorno empresarial?

La gobernanza de la IA en el entorno empresarial se beneficia de un ecosistema de marcos y estándares internacionales que proporcionan orientación, legitimidad y estructura. La comprensión de estos marcos es crucial para las empresas que buscan una adopción responsable a escala global.

• La ISO/IEC 42001: El estándar de gestión de la IA. Publicado en 2023, la norma ISO/IEC 42001 es el primer estándar internacional para un sistema de gestión de inteligencia artificial (AIMS). Proporciona un marco integral que asegura que las organizaciones desarrollen, implementen y gestionen sistemas de IA de manera responsable y transparente. El estándar sigue el ciclo Plan-Do-Check-Act (PDCA), que incluye la definición del alcance del sistema, la implementación de políticas, el monitoreo continuo y la mejora constante de las estrategias de gobernanza. Los beneficios de la certificación son sustanciales: ayuda a las organizaciones a construir sistemas de IA transparentes, fiables y éticos, garantiza el cumplimiento normativo y otorga una ventaja competitiva al demostrar liderazgo en IA responsable.
• La Ley de IA de la UE (EU AI Act): El marco regulatorio global. Considerada el primer marco regulatorio integral del mundo, la Ley de IA de la UE adopta un enfoque basado en el riesgo, clasificando los sistemas en cuatro categorías:

• Riesgo inaceptable: Usos prohibidos, como la manipulación que explota la vulnerabilidad de un grupo.
• Alto riesgo: Usos que deben cumplir con obligaciones estrictas, como sistemas en infraestructuras críticas, educación, empleo o servicios públicos.
• Riesgo limitado: Usos que solo requieren medidas de transparencia, como la divulgación cuando un usuario interactúa con un chatbot.
• Riesgo mínimo o nulo: Sistemas que no tienen obligaciones legales, pero que se benefician de la alfabetización en el uso responsable de la IA.

La relevancia de esta ley va más allá de las fronteras de la Unión Europea. Al igual que con el RGPD, la Ley de IA podría convertirse en un “estándar mundial”. Las empresas fuera de la UE, especialmente aquellas en sectores regulados como finanzas, salud o manufactura, deben prepararse para cumplir con sus requisitos si desean mantener el acceso al mercado europeo.

• Principios de la OCDE sobre la IA. Aunque no son vinculantes, los Principios de la OCDE son el primer estándar intergubernamental sobre IA y promueven un uso innovador y confiable de la tecnología que respeta los derechos humanos y los valores democráticos. Sus principios fundamentales incluyen el crecimiento inclusivo, el respeto a los derechos humanos, la transparencia y la rendición de cuentas.
• El CONPES 4144, aprobado en febrero de 2025, establece la Política Nacional de Inteligencia Artificial de Colombia con el objetivo de impulsar su desarrollo y uso ético y sostenible hasta 2030. En cuanto a la gobernanza, el documento se enfoca en fortalecer los mecanismos de supervisión y aplicar principios éticos para garantizar un desarrollo responsable de la IA que beneficie al país. Un aspecto central de la política es la definición de roles y responsabilidades para el desarrollo, uso y supervisión de la IA, así como la mitigación de riesgos como sesgos, inequidades y la vulneración de derechos. La política busca también generar las capacidades de análisis estratégico para la construcción de la política pública y promover el uso de la IA en el sector público y privado de manera segura y transparente.

La gobernanza de la IA puede ser vista como un puente entre la regulación blanda (principios de la OCDE), la dura” (Ley de IA de la UE) y los estándares de certificación (ISO 42001). Para las empresas, esta diversidad de marcos no es una desventaja, sino una oportunidad para un enfoque proactivo. Al adoptar la ISO 42001, una empresa puede demostrar su preparación y capacidad para cumplir con regulaciones más estrictas como la Ley de IA de la UE. En este sentido, el Sistema de Gestión de IA (AIMS) que propone la norma se convierte en la herramienta práctica que traduce los principios éticos en un sistema de gestión operativo y auditable, mitigando así el riesgo regulatorio.

¿Cómo se gestionan los riesgos y el cumplimiento en un sistema de gobernanza de IA?

La gestión de riesgos y el cumplimiento son componentes intrínsecos de la gobernanza de la IA.Un sistema efectivo implica la identificación, evaluación y mitigación proactiva de los riesgos que la tecnología introduce en la organización.

Identificación de los principales riesgos de la IA

• Sesgos algorítmicos y discriminación: Los sistemas de IA son entrenados con datos históricos, y si estos datos contienen sesgos, los algoritmos pueden perpetuar o incluso amplificar las desigualdades sociales existentes en la toma de decisiones, por ejemplo, en la contratación o la concesión de créditos.
• Riesgos de privacidad y seguridad de los datos: El uso de grandes volúmenes de datos sensibles expone a las organizaciones a violaciones de privacidad y a ciberataques. Estos ataques pueden incluir el “envenenamiento de datos”, donde se introducen datos erróneos en el conjunto de entrenamiento para alterar la salida del modelo, o la manipulación de la entrada para engañar al sistema y producir resultados incorrectos.
• Imprevisibilidad y pérdida de control: Los sistemas de IA más avanzados, especialmente los modelos generativos, pueden producir resultados impredecibles o “alucinaciones”. Esta naturaleza de caja negra dificulta la justificación de las decisiones y la supervisión efectiva.

Estrategias de mitigación y Controles

Para mitigar estos riesgos, se requiere un enfoque proactivo y completo. La supervisión y auditoría continua es fundamental; las empresas deben monitorear el comportamiento real de los sistemas en funcionamiento y realizar auditorías periódicas para identificar posibles sesgos o fallos. La función de auditoría interna se ha expandido para garantizar la “integridad, imparcialidad y transparencia” de los sistemas de IA.

Es vital también que los sistemas se diseñen para la resiliencia. Esto significa tener mecanismos para anular, reparar o desactivar un sistema de IA si comienza a exhibir un comportamiento no deseado. Un plan de respuesta a incidentes es crucial para detectar, contener y comunicar el daño en caso de un ataque o mal funcionamiento. Por último, se debe promover la figura del humano en el bucle, ya que la supervisión humana sobre los sistemas de IA permite la intervención, corrección y anulación cuando sea necesario.

Principales riesgos de la IA y las medidas de control pertinentes que las empresas pueden implementar:

¿Qué desafíos y barreras enfrentan las empresas latinoamericanas en la gobernanza de IA?

A pesar del interés en la IA, América Latina enfrenta desafíos únicos que los marcos de gobernanza globales no consideran por completo, incluyendo realidades sociales y políticas profundamente desiguales. Para Colombia, las barreras a la gobernanza y la adopción de la IA son particularmente evidentes y se reflejan en la posición del país en el Índice Global de Inteligencia Artificial 2024, donde ocupa el puesto 51 entre 83 países.

• Marco regulatorio inflexible: A pesar de iniciativas como el CONPES 4144 (consulte el documento), que busca fortalecer la gobernanza y aplicar principios éticos , el país se encuentra “atrapado en la planeación mientras el mundo ejecuta”. Los documentos existentes se centran en diagnósticos y recomendaciones, pero carecen de fuerza legal y financiamiento claro, dejando su implementación a la voluntad política.
• Brecha digital y de talento: La baja adopción de tecnologías digitales en las empresas es un problema cultural, financiero y de acceso al conocimiento. Saúl Kattan Cohen, Consejero Presidencial para la Transformación Digital, ha lamentado que “el 40 % de los colombianos no tienen internet o lo tienen deficiente”, una cifra que otros expertos elevan al 50 %. Además, el país tiene un déficit de 150,000 personas en el campo de la ciberseguridad, lo que subraya la urgencia de fortalecer las capacidades digitales.
• Cultura de gobierno cautelosa: El sector público en Colombia, un actor clave en la gobernanza de la IA, enfrenta una barrera cultural importante. Luz María Zapata, directora de Asocapitales, ha descrito esta situación al afirmar que “en lo público uno no puede experimentar” con recursos que son considerados sagrados, debido al alto riesgo de sanción por parte de la Contraloría.

La falta de un marco legal vinculante y la cautela del sector público crean un vacío de gobernanza. Si bien esto presenta un desafío, también representa una oportunidad estratégica para el sector privado en Colombia. En lugar de esperar a que la regulación se ponga al día, las empresas que invierten proactivamente en gobernanza, siguiendo estándares internacionales como la ISO/IEC 42001 , pueden no solo mitigar riesgos, sino también convertirse en líderes del mercado.

Esta proactividad se convierte en un factor de diferenciación y una ventaja competitiva en un entorno que aún no ha madurado en este aspecto. Al llenar el vacío regulatorio con modelos de gobernanza sólidos y medibles, las empresas privadas pueden construir una marca de confianza y ética, estableciendo el estándar para el futuro de la IA en la región.

¿Cómo medir la efectividad de la gobernanza de Inteligencia Artificial en la empresa?

Medir la efectividad de la gobernanza de la IA es un paso crucial para ir más allá de la mera declaración de buenas intenciones. Como señaló una experta de IBM Consulting, Jane Hendricks, el éxito no se mide con documentos, sino por si “los principios éticos de la IA están integrados en la estrategia, los flujos de trabajo y la toma de decisiones, no solo por escrito”. Para lograr esto, las empresas necesitan definir y rastrear Indicadores Clave de Rendimiento (KPIs) específicos para la gobernanza de la IA.

Los KPIs para la gobernanza de la IA son valores medibles que se utilizan para evaluar la eficacia con la que una organización gestiona, supervisa y mejora sus sistemas de IA”. Un buen KPI debe ser específico, medible y relevante para los riesgos y objetivos de un programa de IA. Se debe asignar un responsable para el seguimiento de cada métrica para asegurar la rendición de cuentas.

KPIs clave que las empresas pueden usar para monitorear la gobernanza de la IA en áreas críticas:

La gobernanza de la IA no es un tema de nicho para expertos en ética, sino un imperativo empresarial fundamental para cualquier organización que aspire a sobrevivir y prosperar en la economía digital. El rápido despliegue de la Inteligencia Artificial, sin una supervisión adecuada, ha creado una brecha de control que expone a las empresas a riesgos significativos y de gran alcance. Como se ha demostrado, la falta de una gobernanza formal y la inercia regulatoria, particularmente en regiones como América Latina, hacen que el problema sea aún más urgente.

Los líderes empresariales deben pasar de la planificación a la acción para construir un futuro donde la IA sea una herramienta segura y beneficiosa para todos. Esto implica establecer estructuras interdisciplinarias claras, definir políticas internas sólidas basadas en la ética y la transparencia, y adoptar marcos de referencia internacionales como la ISO/IEC 42001 y los principios de la OCDE.

Para las empresas latinoamericanas, esta necesidad es también una oportunidad estratégica. En lugar de esperar a que las regulaciones se impongan, las organizaciones que invierten proactivamente en modelos de gobernanza medibles, construyen una marca de confianza que las distingue de la competencia. En última instancia, el activo más valioso en la era de la IA no es la tecnología misma, sino la confianza que inspira en sus clientes y en la sociedad. La gobernanza proactiva y medible es el único camino para ganarla y asegurar un crecimiento sostenible y responsable en el futuro.