Gobernanza de la IA: el marco de la junta directiva

Por qué el 66 % de las juntas directivas no están preparadas para la decisión más importante de la próxima década

La adopción de la Inteligencia Artificial ya no ha sido una tendencia para convertirse en un hecho consumado: 88% de las organizaciones ya utiliza la IA en al menos una función empresarial. Lo que no mantuvo este ritmo fue la gobernanza. La mayoría de las Juntas Directivas todavía tratan la IA como una agenda tecnológica, delegada al CTO, discutida en 15 minutos al final de la reunión trimestral, sin marco de supervisión y sin métricas de riesgo.

Esta discordancia no es solo una brecha operativa. Es una exposición fiduciaria. Este artículo presenta el marco que las Juntas deben adoptar para supervisar la IA con el mismo rigor que se aplica a la asignación de capital y la gestión de riesgos financieros.

1. Deber fiduciario en la era de la IA

La responsabilidad de la Junta sobre la IA no es opcional: es legal. El Estándar Caremark, un punto de referencia en gobierno corporativo en los EE. UU. y una creciente influencia global, establece que los asesores pueden ser considerados responsables de las fallas de supervisión cuando ignoran los riesgos previsibles y materiales. En 2026, la IA será un riesgo material. Ignorar esto es el equivalente a no supervisar los derivados financieros en 2007.

El problema de la competencia

Las cifras revelan la vulnerabilidad: 66% de los miembros de la Junta admiten tener conocimientos limitados sobre la IA. Esto crea una peligrosa paradoja: el organismo responsable de la supervisión no tiene la competencia técnica para ejercerla. El resultado es una de dos patologías: o la junta aprueba todo lo que propone el CTO (supervisión de fachada), o bloquea las iniciativas por miedo a lo desconocido (parálisis estratégica).

Responsabilidad no delegable

La Junta puede y debería delegar la ejecución de la IA. Lo que no se puede delegar es la responsabilidad por la gobernanza. Esto significa que, incluso sin una experiencia técnica profunda, cada asesor debe poder:

• Evaluar si los riesgos de la IA están mapeados y gestionados
• Preguntar si hay contadores niveles de supervisión humana adecuada
• Verificar si la compensación ejecutiva refleja objetivos de IA responsables
• Comprender el marco regulatorio aplicable (Ley de IA de la UE, LGPD, NIST AI RMF)

La analogía más precisa: los asesores no necesitan ser contadores para supervisar los estados financieros. Pero necesitan comprender lo suficiente para hacer las preguntas correctas al auditor.

2. Marco de supervisión: los pilares del control

La gobernanza eficaz de la IA requiere estructura, no improvisación. El Marco de Gestión de Riesgos de IA del NIST ofrece la base más sólida y reconocida internacionalmente para organizar la supervisión de la junta directiva en cuatro pilares.

Human-in-the-Loop como la regla, no la excepción

Los datos de la industria muestran que sólo 0 % al 20 % de las tareas son completamente delegables a IA. Esto implica que la supervisión humana activa (la llamada Human-in-the-loop) es obligatoria en un 80% a un 100% de los casos. La junta debería tratar cualquier propuesta de automatización total con escepticismo estructurado: ¿dónde está el sentido de la intervención humana? ¿Quién tiene la autoridad para alterar el sistema? ¿En cuánto tiempo?

Mida y gestione: más allá de la intuición

La supervisión eficaz depende de métricas, no de conocimientos. La Junta debería exigirle que informe, como mínimo:

• ROI por caso de uso: el promedio del mercado es de $3,70 por dólar invertido; los líderes logran 10,30 dólares
• Tasa de adopción interna — Porcentaje de equipos que utilizan IA en producción, no solo en el piloto
• Incidentes de sesgo o error  — Número, severidad y tiempo de resolución
• Costo por token/transacción — Incluidas optimizaciones como Prompt Caching, que reduce los costos hasta un 90 %

3. Mapa de riesgos: el lado invisible de la IA

Los riesgos más graves de la IA no son los que aparecen en los informes de TI. Estos son los que ningún departamento está capacitado para identificar.

Uso dual y riesgo reputacional

La IA es tecnología de doble uso por definición. Las mismas capacidades que aceleran el servicio al cliente pueden explotarse para fraude, desinformación o discriminación algorítmica. El riesgo reputacional se amplifica porque las fallas de la IA generan titulares, y los titulares generan demandas.

LLM Jailbreaking y Seguridad

Las técnicas de jailbreak permiten a los usuarios eludir las protecciones de los modelos de lenguaje para extraer información confidencial o generar contenido prohibido. Si su empresa opera IA orientada al cliente, este vector de ataque debe estar en el radar del Comité de Riesgos, no solo del equipo de seguridad.

Atributos digitales y “línea roja”

Incluso cuando una empresa elimina datos confidenciales (raza, género, ingresos) de los modelos, la IA puede inferir esos atributos a partir de datos aparentemente neutrales: código postal, historial de navegación, patrones de consumo. El resultado es una discriminación por poder, la llamada línea roja digital. Para los sectores regulados (financiero, sanitario, seguros), este riesgo es existencial.

Convergencia entre crimen organizado y IA

El riesgo fiduciario emergente más grave: las organizaciones criminales que utilizan agentes de inteligencia artificial para cruzar datos públicos de los empleados, identificar vulnerabilidades personales y ejercer coerción dirigida. Esta convergencia requiere que la defensa opere a la misma velocidad que el ataque, es decir, que la defensa también sea activa y automatizada.

4. Descripción general de la normativa global

El entorno regulatorio se está consolidando rápidamente. Los consejos que no siguen el ritmo de este movimiento son la creación de obligaciones legales silenciosas.

La Ley de IA de la UE, vigente desde 2025, es particularmente relevante para las empresas brasileñas con operaciones o clientes en Europa. La tendencia clara es la de convergencia regulatoria: lo que hoy es obligatorio en la UE serán las expectativas del mercado a nivel mundial dentro de 18 a 24 meses.

5. Lista de verificación del consejero: las preguntas que no pueden dejar sin respuesta

La gobernanza de la IA en el tablero no requiere que los asesores se conviertan en ingenieros de aprendizaje automático. Requiere que hagan las preguntas correctas y que solo acepten respuestas concretas.

1. ¿Dónde reside la experiencia en IA? ¿Cuál es el plan de desarrollo?
2. ¿Quién es el “propietario” de la IA en la organización? — ¿Hay una persona a cargo con autoridad, presupuesto y objetivos claros? ¿O la IA es “de todos” (y, por lo tanto, de nadie)?
3. ¿Cómo monitoreamos a los proveedores de IA?: ¿Tenemos visibilidad sobre cómo los modelos de terceros tratan nuestros datos? ¿Están la ZDR y las cláusulas de auditoría en los contratos?
4. ¿Está la remuneración ejecutiva vinculada a la IA? — ¿Las métricas de adopción, gobernanza y retorno de la inversión de la IA forman parte de la evaluación de nivel C? Sin vincularse a una compensación, la IA no se convierte en una prioridad.
5. ¿Cuál es nuestro protocolo de incidentes de IA? — Si un sistema de IA produce una decisión discriminatoria o una fuga de datos mañana, ¿a quién se le notifica? ¿Cuánto dura y cuál es el plan de contención?
6. ¿Tenemos una IA que revisa la IA? — ¿Existen sistemas de auditoría automatizados que verifiquen las decisiones y el código generado por otros agentes antes de su implementación?

Cada pregunta sin una respuesta clara es un riesgo no gestionado. Cada riesgo no gestionado es una posible falla de supervisión según el estándar Caremark.

Conclusión

La gobernanza de la IA no es una agenda futura: es la agenda del ahora. Con el 88% de las organizaciones que ya utilizan IA y un entorno regulatorio que se consolida rápidamente, la Junta que no estructura la supervisión formal está acumulando riesgo fiduciario con cada reunión que pasa sin tratar el tema con la profundidad que requiere.

El camino no es complejo, pero requiere disciplina: mapear sistemas, definir partes responsables, implementar métricas, exigir participación humana y seguir el panorama regulatorio. Las juntas directivas que hacen esto protegen el negocio y se posicionan para capturar los rendimientos de 10,30 dólares por dólar que los líderes están demostrando que son posibles.

Aquellos que no lo hacen delegan la gobernanza al azar, y el azar no tiene ningún deber fiduciario.

Referencias

1. El 88% de las organizaciones ya utilizan IA— McKinsey & Company, “The State of AI: How organizations are rewiring to capture value”, Encuesta Global, 2025. https://www.mckinsey.com/capabilities/quantumblack/our-insights/the-state-of-ai
2. 66% de asesores con conocimientos límites ado about AI— EY & Diligent Institute, “Board Supervisión de AI: De la conciencia a la acción», Encuesta de Gobierno Corporativo, 2024. https://www.diligent.com/resources/resear ch/ai-governance
3. Caremark Standard (deber de supervisión) — In re Caremark International Inc. Derivative Litigation, 698 A.2d 959 (Del. Ch. 1996). https://law.justia.com/cases/delaware/court-of-chancery/1996/13670-2.html
4. Marco de gestión de riesgos de IA del NIST — Instituto Nacional de Estándares y Tecnología logía, "Marco de gestión de riesgos de IA (AI RMF 1.0)", NIST AI 100-1, enero de 2023. https://www.nist.gov/artificial-intelligence/executive-order-safe-secure-and-trustworthy-artificial- inteligencia
5. 0–20 % de las tareas totalmente delegables a la IA: Anthropic, “Política de escala responsable e investigación sobre la colaboración humano-IA de Anthropic, 2 024. https://www.anthropic.com/research
6. Human-in-the-loop requerido en 80-100 % de los casos — Derivado de los datos anteriores (complementarios a los delegables 0-20 %). Referencia adicional: Stanford HAI, “Informe del índice AI 2024”. https://aiindex.stanford.edu/report/
7. ROI promedio de USD 3,70 y líderes que logran USD 10,30 por dólar invertido — Accenture, “El arte de la madurez de la IA: Avanzando de la práctica al rendimiento”, 2024. https://www.accenture.com/us-en/insights/artificial-intelligence/ai-maturity-and-transformation
8. Almacenamiento en caché rápido con ahorros de hasta el 90 % — Antrópico, “Almacenamiento en caché rápido”, Documentación de API y precios. https://docs.anthropic.com/en/docs/build-with-claude/prompt-caching
9. Ley de IA de la UE — Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 Junio de 2024, vigente desde 2025. https://artificialintelligenceact.eu/
10. LGPD (Ley General de Protección de Datos) — Ley nº 13.709/2018, República Federativa del Brasil. https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
11. Retención de datos cero (ZDR) — Centro de confianza antrópica, políticas y cumplimiento de retención de datos. https://trust.anthropic.com/
12. LLM Jailbreaking y Model Security — OWASP Foundation, “OWASP Top 10 for Large Language Model Applications”, v1.1, 2024. https://owasp.org/www-project-top-10-for-large-lang uage-model-applications/
13. “Redlining” digital y atributos derivados — Comisión Federal de Comercio (FTC), “Combatir los daños en línea a través de la innovación — Informe sobre el uso de IA , 2024. https://www.ftc.gov/reports; ver también: OSTP de la Casa Blanca, “Plan para una Declaración de Derechos de IA”, 2022. https://www.whitehouse.gov/ostp/ai-bill-of-rights/
14. Convergencia crimen organizado + IA — Europol, “The Criminal Use of AI”, Europol Innovation Lab, 2024. https://www.europol.europa.eu/publications-events; Centro de denuncias de delitos en Internet del FBI (IC3), Informe anual, 2024. https://www.ic3.gov/
15. “AI reviewing AI” (auditoría automatizada) — Anthropic, “Core Views on AI Safety”, 2023. https://www.anthropic.com/research; consulte también: NIST AI 100-1 (pilar “Administrar”) y prácticas emergentes de AI Red Teaming.

En OPEX Consultaria, ayudamos a las empresas familiares e industriales a estructurar una gobernanza de IA que proteja el negocio y genere una ventaja competitiva, con marcos auditables que la junta puede supervisar. Si su junta necesita claridad sobre la IA, hable con nosotros.