Hay una paradoja que recorre los comités de riesgo de las organizaciones más sofisticadas del mundo en 2025: están adoptando inteligencia artificial para gestionar mejor sus riesgos mientras, simultáneamente, la propia inteligencia artificial se convierte en uno de sus riesgos más difíciles de gobernar. Esta tensión no es una contradicción que deba resolverse eligiendo un lado. Es la nueva realidad que define el trabajo del CRO, del Chief Compliance Officer y de cualquier líder responsable de la gestión de riesgos no financieros en sectores regulados.
Entender esa tensión con claridad, y saber cómo navegarla, es hoy una competencia directiva crítica.
El problema del que nadie habla en los reportes de riesgo
Durante la última década, la industria celebró el potencial de la analítica avanzada para transformar la gestión de riesgos: modelos predictivos para detección de fraude, algoritmos de monitoreo de transacciones en tiempo real, sistemas de scoring crediticio basados en machine learning. La promesa era seductora y, en parte, se cumplió. Pero en el camino, la mayoría de las organizaciones cometieron el mismo error: adoptaron la tecnología sin construir, en paralelo, la arquitectura de gobernanza que la tecnología requería.
Una encuesta global de EY sobre IA responsable, realizada en 2025 entre 975 líderes C-suite de organizaciones con más de 1.000 millones de dólares de facturación anual en 21 países, reveló que solo un tercio de las empresas tiene controles responsables para sus modelos de IA actuales, a pesar de que casi tres cuartas partes ya tienen IA integrada en iniciativas a lo largo de toda la organización.
El dato que más debería preocupar a los líderes de riesgo, sin embargo, no es ese. Cuando se pidió a los encuestados que identificaran los controles apropiados frente a cinco riesgos relacionados con la IA, solo el 12% de los ejecutivos C-suite respondió correctamente. Los CROs, que son en última instancia los responsables de los riesgos de IA, se situaron ligeramente por debajo de esa media, con un 11% de respuestas correctas.
En otras palabras: los líderes que son responsables de gestionar los riesgos de la IA son, en su mayoría, los menos preparados para identificar cómo controlarlos. Y el costo de esa brecha ya se está materializando. Casi la totalidad de las organizaciones encuestadas (99%) reportaron pérdidas financieras por riesgos relacionados con la IA, y casi dos tercios sufrieron pérdidas superiores al millón de dólares. La pérdida financiera promedio se estima conservadoramente en 4,4 millones de dólares. Los riesgos más frecuentes fueron el incumplimiento de regulaciones de IA (57%), los impactos negativos en objetivos de sostenibilidad (55%) y los sesgos en los resultados (53%).
Fuente: Actio. TestCloud. TechTarget.
La IA como herramienta: lo que realmente está cambiando en la primera y segunda línea
Más allá del ruido, la IA está generando transformaciones concretas y verificables en la forma en que operan las funciones de riesgo no financiero en sectores como banca, salud y logística.
En la primera línea de defensa, los modelos de detección de anomalías basados en aprendizaje automático permiten identificar patrones de comportamiento atípicos en tiempo casi real: transacciones fuera de perfil, accesos inusuales a sistemas críticos, variaciones en la cadena de suministro que podrían anticipar una disrupción. Lo que antes requería días de revisión manual ahora se detecta en minutos.
En la segunda línea, la IA está redefiniendo la función de cumplimiento. El monitoreo automatizado de cambios regulatorios, la lectura inteligente de contratos con terceros para identificar exposiciones de riesgo y la generación de reportes para reguladores con trazabilidad automatizada son capacidades que ya están operativas en las instituciones más avanzadas. Según la encuesta anual del IIF y EY sobre el uso de IA en servicios financieros, casi el 60% de las instituciones reporta que su inversión primaria sigue concentrada en IA predictiva, con especial énfasis en el fortalecimiento de las capacidades de evaluación de riesgos, el cumplimiento regulatorio y la detección y prevención de fraudes.
En la tercera línea, la auditoría interna impulsada por IA permite pasar de auditorías periódicas basadas en muestreo a un monitoreo continuo del universo completo de transacciones, controles y excepciones, con alertas automáticas ante desviaciones relevantes.
El resultado es una arquitectura de control más rápida, más amplia y, potencialmente, más precisa. Pero solo si se gobierna bien.
Los nuevos riesgos que la IA introduce en la gestión de riesgos no financieros
Aquí está la otra cara de la ecuación que los líderes ejecutivos no pueden ignorar. Al adoptar IA para gestionar riesgos, las organizaciones introducen simultáneamente una nueva capa de riesgos no financieros que, si no se gestionan con rigor, pueden generar consecuencias regulatorias, reputacionales y operacionales de primer orden.
El primer riesgo es el sesgo algorítmico. Los modelos de IA aprenden de datos históricos y, si esos datos reflejan patrones de discriminación o exclusión, el modelo los perpetúa y los escala. En sectores como banca y salud, donde las decisiones basadas en modelos tienen impacto directo sobre personas, este riesgo tiene implicaciones regulatorias y éticas inmediatas.
El segundo es la opacidad en la toma de decisiones, lo que en la industria se denomina el problema de la "caja negra". Cuando un modelo de IA rechaza una operación, niega un crédito o identifica a un cliente como de alto riesgo, los reguladores y los propios directivos necesitan poder explicar esa decisión. La exigencia de explicabilidad no es solo un requisito ético: es una condición de cumplimiento en marcos como la Ley de IA de la UE.
El tercero es la vulnerabilidad ante ataques específicamente diseñados para engañar a los sistemas de IA: envenenamiento de datos de entrenamiento, inyección de prompts maliciosos en sistemas de IA generativa, ataques de deepfake que buscan eludir sistemas de verificación de identidad o manipular procesos de toma de decisiones.
El marco de gobernanza: gobernar la IA con la misma disciplina con que se gobierna el riesgo
La respuesta a esta doble dimensión —la IA como herramienta y la IA como riesgo— no puede ser improvisada. Requiere una arquitectura de gobernanza construida sobre estándares internacionales maduros que ya están disponibles.
ISO/IEC 42001 es el primer estándar internacional de sistemas de gestión para IA. Aborda los desafíos únicos que plantea la inteligencia artificial, incluyendo las consideraciones éticas, la transparencia y el aprendizaje continuo. Para las organizaciones, establece una forma estructurada de gestionar los riesgos y oportunidades asociados a la IA, equilibrando la innovación con la gobernanza.
En 2025, las organizaciones más maduras están integrando estos marcos en sistemas más amplios de gobernanza empresarial, incluyendo ISO/IEC 42001, controles SOC2 para IA, flujos de trabajo de conformidad con la Ley de IA de la UE y comités internos de riesgo. La gobernanza es la columna vertebral del NIST AI Risk Management Framework, y las organizaciones están transitando de discusiones informales sobre ética de IA hacia estructuras de gobernanza robustas que se alinean con cumplimiento, riesgo, seguridad y desarrollo de productos.
Para los líderes de riesgo en Iberoamérica, la combinación práctica más efectiva en este momento es la siguiente: ISO 42001 como sistema de gestión certificable del ciclo de vida de la IA, NIST AI RMF como metodología operativa para mapear, medir, gestionar y gobernar los riesgos de los sistemas de IA, y COBIT como marco de gobierno de TI que integra la IA dentro de los objetivos estratégicos de la organización con trazabilidad y rendición de cuentas.
El mandato para la alta dirección: no es solo un tema del área de tecnología
El número de empresas del S&P 500 que divulgan haber designado un comité con responsabilidades de supervisión de IA se más que triplicó en 2025. Casi la mitad de las empresas del Fortune 100 citaron la IA en sus descripciones de cualificaciones de directores, casi el doble del 26% que lo hacía en 2024. Wbcsd La señal es inequívoca: la gobernanza de la IA ha escalado del área de tecnología al consejo de administración.
Para los CROs, directores de auditoría interna y líderes de cumplimiento en sectores regulados iberoamericanos, esto implica tres movimientos concretos: primero, construir o actualizar el inventario de sistemas de IA desplegados en la organización con su clasificación de riesgo; segundo, integrar la evaluación de riesgos de IA en el proceso estándar de gestión de riesgos no financieros, no tratarla como una disciplina paralela; y tercero, desarrollar en el equipo directivo las competencias básicas para evaluar, aprobar y supervisar el uso de IA en funciones de riesgo y cumplimiento.
La inteligencia artificial no es una amenaza para la función de gestión de riesgos no financieros. Es su mayor aliada y su desafío más complejo al mismo tiempo. Las organizaciones que dominen esa dualidad —adoptando la tecnología con rigor y gobernándola con disciplina— habrán construido una capacidad que sus competidores tardarán años en replicar.
¿Su organización ya dio este paso?
En IBEE acompañamos a equipos directivos y CROs en el diseño e implementación de marcos integrados de gestión de riesgos no financieros.
Contáctanos.
La formación y el desarrollo profesional no son un gasto, sino una inversión estratégica que impulsa el crecimiento individual y organizacional. Priorizar la capacitación es clave para mantenerse competitivo en un entorno laboral en constante evolución.
¿Te has preguntado cómo gestionar eficazmente estos riesgos?
¡No busques más!
En Iberoamericana Educación Ejecutiva, hemos creado programas pensando en tus necesidades de información y formación.
Nuestros expertos internacionales han diseñado un completo Programa al respecto para brindarte las herramientas necesarias para comprender y enfrentar estos desafíos de manera efectiva.
¡No esperes más para inscribirte!
Los programas de formación ya están disponibles y estamos aquí para ayudarte a ampliar tus conocimientos y habilidades en esta área crucial.
