En el webinar “Cumplimiento y gobernanza en el uso de herramientas de IA” organizado por la ALAPSI A.C., el especialista Jorge Pedroza, director de Cognitactix, abordó de forma clara y estructurada por qué la gobernanza en materia de inteligencia artificial (IA) debe ocupar un lugar central en la estrategia de las empresas mexicanas. Pedroza trazó los marcos regulatorios, las buenas prácticas y los errores más comunes que convierten la IA en un riesgo cuando carece de supervisión, políticas y respaldo ejecutivo.
Gobernanza: piedra angular en la adopción de IA empresarial
La gobernanza en IA es el sistema que permite que los modelos, datos, sistemas y procesos de IA operen bajo reglas, responsabilidades y controles claros. En palabras de Pedroza, significa que una empresa sepa qué modelos usa, cómo se entrenan, quién los supervisa y qué pasa si fallan.
Uno de cada tres ejecutivos globales reporta que la IA en su empresa apenas está en piloto; sólo el 6 % considera que la han escalado con éxito. Ese dato revela una brecha: la tecnología ya existe, pero la organización —procesos, gobernanza y estrategia— no está lista.
En su presentación, Pedroza advirtió que los negocios que continúen usando IA sin políticas, inventario de modelos, evaluación de riesgos o patrocinio ejecutivo estarán expuestos a consecuencias financieras, regulatorias y de reputación.
Urge una gobernanza sólida
Pedroza arrancó mencionando que, aunque la mayoría de las organizaciones reportan algún uso de IA, muy pocas la han escalado y aún menos la han implementado con éxito. En este contexto, la gobernanza deja de ser un adorno y se convierte en un factor clave de éxito.
La gobernanza en IA no es solo “tener un comité” o “usar modelos”, sino definir claramente quién decide qué modelo se usa, con qué datos, con qué control de riesgos, quién responde por los resultados y cómo se alinea el proyecto con la estrategia de negocio. Si una empresa carece de esa dirección, advirtió, el uso de IA puede transformarse en un “experimento tech” sin valor tangible o peor: una fuente de vulnerabilidad.
“Shadow IA”: fantasma inadvertido
Uno de los puntos más contundentes del webinar fue lo que Pedroza denominó Shadow IA: es decir, herramientas de inteligencia artificial que los empleados emplean sin aprobación formal, sin inventario y sin supervisión del área de TI o cumplimiento. Ejemplos: asistentes de IA que analizan datos o generadores de contenido que se ejecutan desde cuentas privadas, sin que la empresa sepa. Este fenómeno es frecuente, pero también altamente peligroso, porque escapa al control corporativo y deja brechas de riesgo invisibles.
Retos regulatorios y normativos en la era de la IA
Pedroza presentó un panorama global en materia de regulación:
- En EE.UU., la apuesta es por la innovación con regulación leve.
- En China, el control estatal es estricto y dirige el desarrollo.
- En la Unión Europea se estableció el AI Act, que clasifica de alto riesgo determinados usos de IA, exige transparencia, explicabilidad, trazabilidad y contempla multas de hasta 35 millones de euros o 7 % de la facturación global.
En México, aunque no existe una ley específica de IA, las empresas ya están sujetas a múltiples normas que pueden aplicarse: protección de datos, propiedad industrial, código penal, y el código fiscal, entre otras. Según el ponente, no tener una ley de IA no exime de responsabilidad: la gobernanza es una necesidad operativa y legal.
Marcos de referencia: hacia una gobernanza estandarizada
El especialista recomendó adoptar estándares como:
- ISO 42001 (sistemas de IA)
- ISO 23894 (gestión de riesgos en IA)
- ISO 27001 (seguridad de la información)
- NIST AI RMF 1.0 (gestión de riesgos en IA)
- Los marcos de auditoría del Institute of Internal Auditors (IIA)
Aunque estas normas no son necesariamente obligatorias para todas las empresas, sirven como mejores prácticas para estructurar la gobernanza, documentar procesos, gestionar riesgos y probar cumplimiento ante auditorías.
Niveles de madurez para gobernar la IA
Pedroza describió una escala de madurez que va de lo básico a lo avanzado:
- Nivel 1: uso de IA sin políticas ni supervisión.
- Nivel 2: políticas básicas, inventario minimalista, riesgos gestionados caso por caso.
- Nivel 3: marco formal implementado, controles estandarizados, monitoreo activo.
- Nivel 4: KPIs/KRIs definidos, mejora continua basada en datos.
- Nivel 5: gobernanza integrada a la estrategia, la organización se convierte en referente.
La mayoría de las empresas, señala, aún se encuentra en los niveles 1 o 2: el reto es pasar de “hacer IA” a “gobernar IA”.
Oportunidades de negocio cuando se hace bien
Más allá del riesgo, la gobernanza adecuada abre caminos concretos: automatización de procesos, mejor detección de anomalías, análisis de datos financieros, mantenimiento predictivo, mejor toma de decisiones y escalabilidad operativa. Cuando la IA está bien alineada con el negocio y con los controles adecuados, el retorno puede ser significativo.
Hoja de ruta recomendada
Para traducir la teoría en acción, Pedroza sugirió:
- Capacitar al equipo en IA, riesgos y gobernanza.
- Levantar un inventario de todas las herramientas de IA—oficiales y “shadow”.
- Incluir la IA en la matriz de riesgos de la organización.
- Implementar políticas, procesos de supervisión y auditoría.
- Adoptar un marco de gobernanza formal (por ejemplo ISO 42001).
- Diseñar su hoja de ruta: fases de desarrollo, despliegue y operación de IA.
Visión estratégica
La IA ya no es una opción futura: está presente en múltiples niveles de operación. Pero no basta con implementarla; el gran reto es gobernarla. Como lo manifestó Jorge Pedroza en el marco del webinar de ALAPSI A.C., “la inteligencia artificial es tan buena como la gobernanza que la respalda”. Para las empresas mexicanas que buscan aprovechar este cambio de paradigma, la invitación es clara: pasar de explorar IA a gobernarla con método, control y visión estratégica.