Todos quieren IA en la gestión de riesgos. Pocos están listos para ella
Todos están compitiendo por implementar la IA. Pero en la gestión de riesgos de terceros (TPRM), esa carrera podría ser el mayor riesgo de todos.
La IA depende de una estructura: datos limpios, procesos estandarizados y resultados consistentes. Sin embargo, la mayoría de los programas de TPRM carecen de esos fundamentos. Algunas organizaciones tienen líderes de riesgo dedicados, programas definidos y datos digitalizados. Otras gestionan el riesgo de manera ad hoc a través de hojas de cálculo y unidades compartidas. Algunas operan bajo una estricta supervisión regulatoria, mientras que otras aceptan un riesgo mucho mayor. Ningún programa es igual y la madurez sigue variando ampliamente después de 15 años de esfuerzo.
Cómo saber si tu programa está listo para la IA
No todas las organizaciones están listas para la IA, y eso está bien. Un estudio reciente encontró que el 95% de los proyectos de IA generativa están fracasando. Y según Gartner, el 79% de los compradores de tecnología dicen que lamentan su última compra porque el proyecto no fue planificado adecuadamente.
En TPRM, la preparación para la IA no es un interruptor que se activa. Es una progresión y un reflejo de cuán estructurado, conectado y gobernado está tu programa. Conocer dónde te encuentras es el primer paso para utilizar la IA de manera efectiva y responsable.
En las etapas iniciales, los programas de riesgo son en gran medida manuales, dependientes de hojas de cálculo, memoria institucional y propiedad fragmentada. Hay poca metodología formal o supervisión consistente del riesgo de terceros. La información del proveedor puede residir en hilos de correo electrónico o en la cabeza de algunas personas clave, y el proceso funciona, hasta que no lo hace. En este entorno, la IA tendrá dificultades para separar el ruido de la información relevante, y la tecnología amplificará la inconsistencia en lugar de eliminarla.
A medida que los programas maduran, comienza a formarse una estructura: los flujos de trabajo se estandarizan, los datos se digitalizan y la responsabilidad se expande a través de los departamentos. Aquí, la IA comienza a agregar un valor real. Pero incluso los programas bien definidos a menudo permanecen aislados, limitando la visibilidad y la información.
La verdadera preparación emerge cuando esos silos se rompen y la gobernanza se convierte en compartida. Los programas integrados y ágiles conectan datos, automatización y responsabilidad en toda la empresa, permitiendo que la IA encuentre su lugar, transformando la información desconectada en inteligencia y apoyando decisiones más rápidas y transparentes.
Al comprender dónde estás y hacia dónde quieres ir, puedes construir la base que convierte la IA de una promesa brillante en un verdadero multiplicador de fuerza.
Por qué una talla no sirve para todos, a pesar de la madurez del programa
Incluso si dos empresas tienen programas de riesgo ágiles, no seguirán el mismo camino para la implementación de la IA, ni verán los mismos resultados. Cada empresa gestiona una red diferente de terceros, opera bajo regulaciones únicas y acepta diferentes niveles de riesgo.
Los bancos, por ejemplo, enfrentan requisitos regulatorios estrictos en torno a la privacidad y protección de datos dentro de los servicios proporcionados por terceros. Su tolerancia al riesgo por errores, interrupciones o brechas es casi nula. Los fabricantes de bienes de consumo, en contraste, pueden aceptar un mayor riesgo operativo a cambio de flexibilidad o velocidad, pero no pueden permitirse interrupciones que afecten los plazos de entrega críticos.
La tolerancia al riesgo de cada organización define cuánta incertidumbre está dispuesta a aceptar para lograr sus objetivos, y en TPRM, esa línea se mueve constantemente. Por eso, los modelos de IA prefabricados rara vez funcionan. Aplicar un modelo genérico en un espacio tan variable crea puntos ciegos en lugar de claridad, lo que genera la necesidad de soluciones más configurables y específicas.
El enfoque más inteligente para la IA es modular. Despliega la IA donde los datos son sólidos y los objetivos son claros, y luego escala a partir de ahí. Los casos de uso comunes incluyen:
- Investigación de proveedores: Utiliza la IA para analizar miles de proveedores potenciales, identificando los socios de menor riesgo, más capaces o más sostenibles para un proyecto próximo.
- Evaluación: Aplica la IA para evaluar la documentación, certificaciones y evidencias de auditoría de los proveedores. Los modelos pueden señalar inconsistencias o anomalías que pueden indicar riesgo, liberando a los analistas para centrarse en lo que más importa.
- Planificación de resiliencia: Utiliza la IA para simular efectos en cadena de interrupciones. ¿Cómo afectarían las sanciones en una región o una prohibición regulatoria sobre un material a tu base de suministro? La IA puede procesar datos complejos de comercio, geografía y dependencia para modelar resultados y fortalecer los planes de contingencia.
Cada uno de estos casos de uso entrega valor cuando se implementa intencionalmente y se apoya en la gobernanza. Las organizaciones que ven un verdadero éxito con la IA en la gestión de riesgos y la cadena de suministro no son las que automatizan más. Son las que comienzan pequeñas, automatizan con intención y se adaptan con frecuencia.
Construyendo hacia una IA responsable en TPRM
A medida que las organizaciones comienzan a experimentar con la IA en TPRM, los programas más efectivos equilibran la innovación con la responsabilidad. La IA debería fortalecer la supervisión, no reemplazarla.
En la gestión de riesgos de terceros, el éxito no solo se mide por qué tan rápido puedes evaluar a un proveedor; se mide por la precisión con que se identifican los riesgos y cuán efectivas han sido las acciones correctivas implementadas. Cuando un proveedor falla o un problema de cumplimiento llega a los titulares, nadie pregunta cuán eficiente fue el proceso. Preguntan cómo fue gobernado.
Esa pregunta, “¿cómo se gobierna?”, se está convirtiendo rápidamente en global. A medida que la adopción de la IA se acelera, los reguladores de todo el mundo están definiendo qué significa «responsable» de maneras muy diferentes. La Ley de IA de la UE ha establecido el tono con un marco basado en riesgos que exige transparencia y responsabilidad para los sistemas de alto riesgo. En contraste, los Estados Unidos están siguiendo un camino más descentralizado, enfatizando la innovación junto con estándares voluntarios. Otras regiones, como Japón, China y Brasil, están desarrollando sus propias variaciones que combinan derechos humanos, supervisión y prioridades nacionales en modelos distintos de gobernanza de IA.
Para las empresas globales, estos enfoques divergentes introducen nuevas capas de complejidad. Un proveedor que opera en Europa puede enfrentar obligaciones de informes estrictas, mientras que uno en los EE. UU. puede tener expectativas menos estrictas pero aún en evolución. Cada definición de «IA responsable» añade matices a cómo se debe evaluar, monitorear y explicar el riesgo.
Los líderes de riesgo necesitan estructuras de supervisión adaptables que puedan ajustarse a la evolución de las regulaciones mientras mantienen la transparencia y el control. Los programas más avanzados están integrando la gobernanza directamente en sus operaciones de TPRM, asegurando que cada decisión impulsada por IA pueda ser explicada, rastreada y defendida, sin importar la jurisdicción.
Cómo comenzar
Convertir la IA responsable en realidad requiere más que declaraciones de política. Significa establecer las bases correctas: datos limpios, responsabilidad clara y supervisión continua. Esto es lo que implica:
- Estandariza desde el principio: Establece datos limpios y consistentes y procesos alineados antes de la automatización. Implementa un enfoque por fases que integre la IA paso a paso en tu programa de riesgo, probando, validando y refinando cada fase antes de escalar. Haz de la integridad de los datos, la privacidad y la transparencia algo no negociable desde el comienzo.
- Comienza pequeño y experimenta a menudo: El éxito no se trata de velocidad. Lanza pilotos controlados que apliquen la IA a problemas específicos y bien entendidos. Documenta cómo funcionan los modelos, cómo se toman las decisiones y quién es responsable de ellas. Identifica y mitiga los desafíos críticos, incluyendo la calidad de los datos, la privacidad y los obstáculos regulatorios, que impiden que la mayoría de los proyectos de IA generativa entreguen valor comercial.
- Siempre gobierna: La IA debería ayudar a anticipar disrupciones, no causar más. Trata la IA como cualquier otra forma de riesgo. Establece políticas claras y expertos internos para evaluar cómo tu organización y sus terceros utilizan la IA. A medida que las regulaciones evolucionan en todo el mundo, la transparencia debe seguir siendo constante. Los líderes de riesgo deberían poder rastrear cada información impulsada por IA hasta sus fuentes de datos y lógica, asegurando que las decisiones se mantengan bajo el escrutinio de reguladores, juntas y del público en general.
No existe un plano universal para la IA en TPRM. La madurez de cada empresa, el entorno regulatorio y la tolerancia al riesgo darán forma a cómo se implementa la IA y cómo entrega valor, pero todos los programas deben construirse con intención. Automatiza lo que esté listo, gobierna lo que esté automatizado y adapta continuamente a medida que la tecnología y las reglas que la rodean evolucionan.
