La Inteligencia Artificial ha dejado de ser una herramienta tecnológica más para convertirse en un pilar estratégico de las organizaciones, con implicaciones que trascienden la eficiencia operativa: impacta directamente en la gestión de riesgos, la prevención de fraudes y el cumplimiento regulatorio. Sin embargo, el dato más alarmante es que el 97% de las organizaciones carecen de controles de acceso para la IA, según el reporte de IBM de 2025, lo que expone a las empresas a riesgos que van desde brechas de seguridad hasta sanciones legales significativas.
En este contexto, la responsabilidad recae en dos órganos clave de gobierno corporativo: el Comité de Auditoría y el Consejo de Administración.
El Rol del Comité de Auditoría
El Comité de Auditoría tiene la función esencial de supervisar que los sistemas de control interno y gestión de riesgos de la organización sean efectivos. Con la adopción de IA, esta responsabilidad se amplía a:
1. Supervisar la gobernanza de la IA
El Comité debe asegurarse de que existan políticas claras sobre el uso de IA, incluyendo controles de acceso, protocolos de seguridad y mecanismos para detectar y mitigar sesgos algorítmicos.
2. Verificar el cumplimiento regulatorio
La IA está sujeta a un marco normativo emergente (como la Ley de IA de la Unión Europea y las leyes de protección de datos en México). El Comité debe monitorear que las herramientas tecnológicas utilizadas cumplan con las normativas locales e internacionales, reduciendo el riesgo de sanciones.
3. Prevención de fraudes y ciberataques
Un reporte reciente de ESED (2025) alerta que los ciberataques impulsados por IA han aumentado exponencialmente. El Comité de Auditoría debe exigir evaluaciones periódicas de ciberseguridad y reportes de incidentes para anticipar vulnerabilidades.
El Rol del Consejo de Administración
Por su parte, el Consejo de Administración tiene la responsabilidad estratégica de guiar a la organización hacia la adopción ética y eficiente de la IA:
1. Definir la estrategia de IA
La tecnología debe estar alineada con los objetivos corporativos a largo plazo. El Consejo debe garantizar que las inversiones en IA no solo persigan la eficiencia, sino también la sostenibilidad y la gestión responsable.
2. Promover la cultura de integridad
El 97% de las organizaciones sin controles de acceso para IA revela una falta de cultura organizacional sobre tecnología responsable. El Consejo debe impulsar programas de formación, concienciación ética y el desarrollo de un código de conducta para el uso de herramientas tecnológicas.
3. Gestión de riesgos emergentes
La IA puede identificar amenazas antes de que se materialicen, pero también puede generar riesgos si no se supervisa adecuadamente. El Consejo debe incluir la IA en sus matrices de riesgos estratégicos.
La IA como aliada en la prevención de riesgos y sanciones
Lejos de ser un problema, la IA bien implementada puede ser una aliada fundamental para:
- Detectar operaciones inusuales o patrones de fraude mediante análisis predictivo.
- Anticipar incumplimientos regulatorios al automatizar la supervisión de transacciones y reportes.
- Fortalecer el control interno con auditorías continuas basadas en algoritmos de aprendizaje automático.
Sin embargo, sin la supervisión adecuada, el uso de IA puede derivar en consecuencias graves:
- Sanciones regulatorias por mal manejo de datos personales o discriminación algorítmica.
- Pérdida de reputación ante prácticas tecnológicas percibidas como irresponsables.
- Responsabilidad legal de consejeros y directivos en caso de negligencia en la gobernanza tecnológica.
Conclusión
El dato de IBM —97% de las organizaciones sin controles de acceso para IA— debe ser una llamada de atención para los Comités de Auditoría y los Consejos de Administración. No basta con adoptar la IA; hay que gobernarla con la misma rigurosidad con la que se gestionan los recursos financieros y humanos.
En ASG Risk, acompañamos a las organizaciones en el desarrollo de marcos de gobernanza tecnológica, la evaluación de riesgos emergentes y la creación de controles internos robustos para que la IA sea un motor de valor, no un generador de contingencias.
Referencias:
- IBM. (2025). Informe de Seguridad y Gobernanza de IA 2025.
- ESED. (2025). Ciberataques 2025: Nuevas amenazas impulsadas por IA.