«Regir es fácil, gobernar es muy difícil» Goethe

Cuando la inteligencia artificial se cuela por la ventana

La IA irrumpe en la organización, aunque no se haya definido una estrategia o al menos políticas de adopción.  El potencial de aplicación, la curiosidad y facilidad con la que se puede acceder a usos básicos motiva su incorporación, aunque no tenga invitación formal.

Personal de diferentes áreas no resisten la tentación de trasladar e introducir en el trabajo sus “neoexperiencias’ con herramientas de productividad de plataformas populares como chatGPT, Gemini y más recientemente DeepSeek y otras. Las opciones “gratuitas” o de bajo costo facilitan la proliferación. También interviene el ego, pocos se resisten a exhibir sus capacidades en la elaboración de prompt o en algún microejercicio de automatización.

Generar datos de prueba, obtener ideas y datos sobre temas específicos, desarrollar traducciones mejoradas, organizar y analizar información, automatizar tareas repetitivas, son algunos de los usos más típicos en esta dimensión.

En otra vertiente, cada vez más programas de uso común en la empresa incorporan en diversos grados la inteligencia artificial, además de los servicios de soporte provistos por proveedores tecnológicos. En muchos casos se describe el qué pero no está del todo claro el cómo. 

Esto constituye un eje de transformación que podemos calificar de normal pues es consecuencia de la evolución del conocimiento y experiencias personales de profesionales de toda la organización, muchas veces catalizado por iniciativas de capacitación personal o hasta financiadas por las empresas, aun sin contar con una estrategia respecto a la IA.

Es entonces cuando podemos obtener beneficios mezclados con riesgos a la integridad y confidencialidad y, más aún, perder alineación con los objetivos organizacionales, en suma, la degradación de la gobernanza corporativa, del gobierno de los datos, de TI y del gobierno de la seguridad.

Para restaurar o fortalecer los niveles de gobernanza en cualquier nivel no podemos partir de cero. Se requiere analizar cualquiera de esos tipos de irrupción con inventario, análisis específico, uso de matrices DOFA o similares. Es “surfear” estas olas en beneficio de las estrategias de la organización. Para ello se requiere actualización y fortalecimiento en tres grupos de actores: gerentes y directivos, asesoría especializada y especialistas de las áreas GRC (Gobernance, Risk and Compliance)[i].                 

Cómo construir gobernanza de la inteligencia artificial y no fallar en el intento

Los marcos de referencia se actualizan con rapidez, pero no siempre coincide el ritmo con el avance de la forma en que transcurren los lapsos en tiempos de la IA. Se incorporan nuevas soluciones que innovan y traen nuevos paradigmas. El proceso de gestión de conocimiento y la aplicación es más lenta.

El ciclo de nacimiento de regulaciones es más crítico. No podemos esperar que el “tiempo jurídico” y de formulación de políticas públicas mantenga el paso de la revolución tecnológica de la IA. Mientras tanto, las lagunas normativas y la “juventud” de las mejores prácticas demandan esfuerzo multidisciplinario interno y asesoría, si es posible.

Un primer paso es revisar las estrategias de la organización y también el código de ética, pues este es una variable primordial en las expectativas de las partes interesadas y las regulaciones emergentes. A partir de esa revisión, la organización estará en condiciones de definir las políticas correspondientes.

El paso dos es construir o adecuar las estructuras de gobernanza, definir procedimientos de control que serán aplicados por las unidades, establecer los roles y responsabilidades adhoc (matriz RACI). De acuerdo con el tamaño de la organización o a la intensidad y extensión de uso de IA, podrá ser necesario un comité específico en el que participen tecnología, cumplimiento legal y ética de forma permanente, y otros representantes de la organización cuando sea pertinente.

Una fase paralela consiste en concientizar a toda la organización, formar progresivamente a los involucrados, evitar los sesgos cognitivos y la desinformación generada por la “viralización” del tema dado la popularidad de la IA. Actualmente es uno de los mayores retos para un uso transparente en el ámbito empresarial. Fantasías, posiciones extremas, falsas expectativas, teorías de la conspiración y pseudoformación están al orden del día en torno a la inteligencia artificial.

El tercer paso es fortalecer la gestión y el gobierno de los datos, especialmente en tres dimensiones: calidad, seguridad (multidimensional) y privacidad de los datos. Las tres dimensiones deben asegurarse ante la presencia de la IA.

En ambientes en los que la privacidad esté claramente normada, la IA presenta nuevos retos, y en los ambientes con lagunas normativas será necesario un esfuerzo mayor para proteger la privacidad en varios terceros: colaboradores, propietarios, clientes, aliados y hasta reguladores; donde haya personas la IA puede ser fuente de riesgos a la privacidad.

En el marco de la seguridad, la integridad de los datos estará ligada a las acciones y capacidad de identificar y compensar los sesgos que persisten en las herramientas de IA y con IA. Son construidas sobre premisas que aún no representan totalidades y están entrenadas con datos que reflejan los sesgos de los creadores o de los mercados más significativos para los que se proyectó.

El cierre del ciclo de gobernanza de la IA es contar con el nivel necesario de auditabilidad como garante validador, pero también con la capacidad suficiente para proporcionar un grado de asesoría independiente, aunque sea interno.

La gobernamos o nos desgobierna

En términos organizacionales, el riesgo aún no es que por falta de gobernanza de la IA termine gobernando ella, en realidad el peligro es que al utilizarla sin racionalizar su gobernanza nos conduzca a nuevos riesgos, afecte la integridad y la confidencialidad de la información. Todos conocemos la angustia de operar con una aplicación cuyo código fuente se ha perdido en las tinieblas de la mala gestión de versiones, librerías y documentación. En el caso de la IA el terror es mayor pues el código generador además de desconocido puede ser dinámico y poner en entredicho la calidad y seguridad de los datos.

Tecnólogos y no tecnólogos asumen que se puede clasificar a la IA como una herramienta más.  Esta afirmación no está del todo aceptada, pues el dispositivo y su rol están en plena evolución. Es como si afirmáramos que la aparición del procesador en la organización fue solo la incorporación de una herramienta y no un agente profundamente transformador de las sociedades, como ha ocurrido. Para los procesos de gestión y dirección de la IA se requiere la aplicación de conocimientos transdisciplinarios que no se reduce a la reunión de profesionales diversos. 

La IA es un nuevo ámbito por incluir en la gobernanza, pero una faceta adicional es su potencial para degradar el nivel de gobernanza actual de la organización. En consecuencia, para la dirección es una prioridad estratégica que no puede postergarse hasta la elaboración del próximo plan estratégico.  

Si reconocemos que el paradigma actual es “la organización centrada en datos” y perdemos la gobernanza de la IA, entonces podríamos provocar un “hoyo negro” en el centro de nuestra organización que termine consumiéndola.

@MilthonJChavez

[i] GRC: Gobernanza, Riesgo y Cumplimiento.