Gobernanza de la IA: una oportunidad para ordenar decisiones

INDICE

La adopción responsable de la IA comienza con una definición y la comunicación de principios, y luego avanza hacia la implementación y la gobernanza. Para llevar adelante esto último es necesario monitorear y tomar métricas objetivas. La industria parece haberse decidido por las metricas RAI que, en el caso de la IA, evalúan desde la calidad de los datos, a la selección de los modelos en función de criterios de rendimiento, equidad y solidez.  

Una encuesta de EY, publicada en octubre pasado, sostiene que “una mayor adhesión a los principios de la RAI se correlaciona con un rendimiento empresarial positivo. Por ejemplo, quienes cuentan con monitorización en tiempo real tienen un 34% más de probabilidades de ver mejoras en el crecimiento de los ingresos y un 65% más de probabilidades de ver un mayor ahorro de costos”. Al mismo tiempo, el 99% de las organizaciones  reportó pérdidas financieras vinculadas a los riesgos de la IA, y el 64% perdió más de US$1 millón.  

La conclusión inicial es simple: La IA ya está dando sus frutos, pero también causando daños. La gobernanza es la diferencia entre ambos. Las preguntas obligadas son: ¿Cómo abordar la gobernanza en las empresas? ¿Qué alcance tiene este proceso? ¿Cómo se vincula este proceso con las decisiones empresariales? 

Según el Swiss Cyber Institute —una entidad con sede en Zurich que prepara a profesionales en temas de IA, ciberseguridad y computación cuántica, promoviendo los “Swiss CISO Awards”—, la gobernanza de la IA en las empresas define cómo se toman, revisan, supervisan y gestionan las decisiones de IA en toda la organización. Conecta la experimentación con la rendición de cuentas. En este orden, la gobernanza responde a preguntas incómodas antes de que se vuelvan urgentes:  

• ¿Qué sistemas de IA están permitidos en producción?  

• ¿Qué datos se pueden utilizar (y dónde)?  

• ¿Quién aprueba los casos de uso de IA y quién puede impedirlos?  

• ¿Cómo se rastrean los resultados una vez que la IA está activa?  

• ¿Qué sucede cuando los resultados son erróneos, sesgados o perjudiciales? 

El riesgo aumentado 

La IA obliga a considerar al riesgo de forma distinta a lo que podríamos calificar como “riesgo tecnológico”. Mientras que estos últimos aparecen vinculados al tiempo en línea (como opuesto al tiempo de caída o desconexión de los sistemas), la seguridad y los accesos, la IA suma opacidad, comportamiento estadístico y resultados que evolucionan en el tiempo. Esto esparce la responsabilidad a través de toda la la organización.  

Mientras que las áreas legales ven riesgos de compliance y de responsabilidad, los equipos de seguridad detectan fugas de datos y abuso de modelos. En tanto, en RRHH advierten sesgo en las contrataciones y en las evaluaciones, y los equipos de Marketing ven riesgos en la imagen de marca y en el mensaje que quieren proyectar… Y las juntas de dirección ponen el foco en los riesgos reputacionales, que pueden aumentar rápidamente. Claramente esto convierte a la gobernanza en un problema de liderazgo: no se trata de frenar la innovación, sino de hacer que las decisiones de liderazgo sean defendibles. 

Las 4Ps 

Kaiti Huang, que es abogada experta en gobernanza, seguridad de la información, riesgo/estrategia digital y privacidad de datos, quien lidera el comité de gobernanza del Swiss Cyber Institute, asegura que la gobernanza de la IA tiene éxito cuando se diseña como un modelo operativo, no como un ejercicio de políticas. En ese diseño imperan las 4Ps: 

1) Personas: La gobernanza funciona cuando la rendición de cuentas es explícita. Muchas organizaciones designan a un responsable sénior de la gobernanza de la IA, con el apoyo de expertos legales, de seguridad y técnicos. La autoridad es más importante que la plantilla.  

2) Procesos: Una gobernanza eficaz define cómo los casos de uso de IA se integran en el sistema, cómo se evalúa el riesgo y cómo las aprobaciones escalan con el impacto. Los casos de uso de bajo riesgo se procesan con rapidez. Los de alto riesgo se someten a un escrutinio riguroso.  

3) Política: Las políticas concisas y sencillas son más efectivas que los documentos extensos. Definen qué se considera IA, dónde se establecen los límites y cómo funciona la rendición de cuentas.  

4) Prueba: Evidencia que resiste el escrutinio. La documentación no es un gasto. Es la base de la confianza cuando surgen incidentes, auditorías o preguntas públicas.  

Para Kaiti, “tres documentos suelen ser los más importantes: un inventario del sistema de IA que muestre una supervisión clara, registros de conocimientos y capacitación en IA que demuestren la competencia organizacional, y documentación de evaluación de riesgos que abarque todo el ciclo de vida, desde los datos y modelos hasta la monitorización continua. Juntos, demuestran que la gobernanza es real”.  

Supervisión y visibilidad 

A la hora de diseñar esta gobernanza, una vez más la asignación de responsabilidades y la supervisión juegan roles importantes. De hecho, muchas organizaciones adoptan una estructura que refleja la supervisión de riesgos existente. Esto implica: 

• Visibilidad a nivel de directorio sobre los riesgos materiales de la IA.  

• Un patrocinador ejecutivo responsable de los resultados.  

• Un grupo de trabajo interfuncional centrado en la ejecución.  

• Propietarios de dominios responsables de la IA en sus áreas.  

En materia de responsabilidades, para IBM el CEO y la alta dirección son responsables de garantizar que la organización aplique una gobernanza sólida de la IA a lo largo de su ciclo de vida. Paralelamente, los asesores legales y generales son críticos para evaluar y mitigar los riesgos legales, asegurando que las aplicaciones de IA cumplan con las leyes y regulaciones pertinentes. Los equipos de auditoría son esenciales para validar la integridad de los datos de los sistemas de IA y confirmar que los sistemas funcionan según lo previsto sin introducir errores ni sesgos. El CFO debe monitorear las inversiones, gestionar los costos asociados con las iniciativas de IA y mitiga cualquier riesgo financiero.  

“Sin embargo —sintetizan los analistas de IBM—, la responsabilidad de la gobernanza de la IA no recae en una sola persona o departamento: es una responsabilidad colectiva en la que cada líder debe priorizar la responsabilidad y ayudar a garantizar que los sistemas de IA se utilicen de manera responsable y ética en toda la organización”.