Todos quieren IA en la gestión de riesgos. Pocos están preparados para ello

Todos están compitiendo para implementar la IA. Pero en la gestión de riesgos de terceros (TPRM), esa carrera podría ser el mayor riesgo de todos.

La IA depende de la estructura: datos limpios, procesos estandarizados y resultados consistentes. Sin embargo, la mayoría de los programas de TPRM carecen de esas bases. Algunas organizaciones tienen líderes de riesgo dedicados, programas definidos y datos digitalizados. Otras gestionan el riesgo de manera ad hoc a través de hojas de cálculo y unidades compartidas. Algunas operan bajo una estricta supervisión regulatoria, mientras que otras aceptan un mayor riesgo. No hay dos programas iguales, y la madurez aún varía ampliamente después de 15 años de esfuerzo.

Esta variabilidad significa que la adopción de la IA en la TPRM no ocurrirá a través de la velocidad o la uniformidad. Ocurrirá a través de la disciplina, y esa disciplina comienza con ser realista sobre el estado actual de su programa, los objetivos y la tolerancia al riesgo.

Cómo saber si su programa está listo para la IA

No todas las organizaciones están preparadas para la IA, y eso está bien. Un estudio reciente de MIT encontró que el 95% de los proyectos de GenAI están fallando. Y según Gartner, el 79% de los compradores de tecnología dicen que lamentan su última compra porque el proyecto no se planificó adecuadamente.

En la TPRM, la preparación para la IA no es un interruptor que se activa. Es una progresión, y un reflejo de cuán estructurado, conectado y gobernado esté su programa. La mayoría de las organizaciones se encuentran en algún lugar a lo largo de una curva de madurez que va desde lo ad hoc hasta lo ágil, y saber dónde se encuentra es el primer paso hacia el uso efectivo y responsable de la IA.

En las primeras etapas, los programas de riesgo son en gran medida manuales, dependen de hojas de cálculo, memoria institucional y propiedad fragmentada. Hay poca metodología formal o supervisión consistente del riesgo de terceros. La información del proveedor puede vivir en hilos de correo electrónico o en la cabeza de unas pocas personas clave, y el proceso funciona, hasta que no funciona. En este entorno, la IA luchará por separar el ruido de la perspicacia, y la tecnología magnificará la inconsistencia en lugar de eliminarla.

A medida que los programas maduran, comienza a formarse la estructura: los flujos de trabajo se estandarizan, los datos se digitalizan y la responsabilidad se expande a través de los departamentos. Aquí, la IA comienza a agregar valor real. Pero incluso los programas bien definidos a menudo siguen siendo silos, limitando la visibilidad y la perspicacia.

La verdadera preparación surge cuando esos silos se rompen y la gobernanza se comparte. Los programas integrados y ágiles conectan los datos, la automatización y la responsabilidad en toda la empresa, lo que permite que la IA encuentre su base — convirtiendo la información desconectada en inteligencia y apoyando una toma de decisiones más rápida y transparente.

Al entender dónde se encuentra y adónde quiere ir, puede construir la base que convierte a la IA de una promesa brillante en un verdadero multiplicador de fuerza.

Por qué un tamaño no se adapta a todos, a pesar de la madurez del programa

Incluso si dos empresas tienen programas de riesgo ágiles, no seguirán el mismo curso para la implementación de la IA, ni verán los mismos resultados. Cada empresa gestiona una red diferente de terceros, opera bajo regulaciones únicas y acepta diferentes niveles de riesgo.

Los bancos, por ejemplo, enfrentan estrictos requisitos regulatorios sobre la privacidad y protección de datos dentro de los servicios proporcionados por los terceros externalizados. Su tolerancia al riesgo de errores, interrupciones o violaciones es casi cero. Los fabricantes de bienes de consumo, por otro lado, pueden aceptar un mayor riesgo operativo a cambio de flexibilidad o velocidad, pero no pueden permitir interrupciones que afecten los plazos de entrega críticos.

La tolerancia al riesgo de cada organización define cuánta incertidumbre está dispuesta a aceptar para lograr sus objetivos, y en la TPRM, esa línea se mueve constantemente. Es por eso que los modelos de IA genéricos rara vez funcionan. Aplicar un modelo genérico en un espacio tan variable crea puntos ciegos en lugar de claridad — creando la necesidad de soluciones más personalizadas y configurables.

El enfoque más inteligente para la IA es modular. Despliegue la IA donde los datos sean sólidos y los objetivos estén claros, y luego escale desde allí. Los casos de uso comunes incluyen:

• Investigación de proveedores: Utilice la IA para buscar entre miles de posibles proveedores, identificando a los socios con menor riesgo, más capaces o más sostenibles para un proyecto futuro.
• Evaluación: Aplicar la IA para evaluar la documentación del proveedor, las certificaciones y la evidencia de auditoría. Los modelos pueden marcar las inconsistencias o anomalías que pueden indicar riesgo, liberando a los analistas para centrarse en lo que más importa.
• Planificación de resiliencia: Utilice la IA para simular los efectos de onda de una interrupción. ¿Cómo afectaría a su base de suministro una sanción en una región o una prohibición regulatoria de un material? La IA puede procesar datos comerciales, geográficos y de dependencia complejos para modelar resultados y fortalecer los planes de contingencia.

Cada uno de estos casos de uso entrega valor cuando se despliega intencionalmente y se apoya con gobernanza. Las organizaciones que ven un éxito real con la IA en la gestión de riesgos y la cadena de suministro no son las que automatizan más. Son las que comienzan pequeñas, automatizan con intención y se adaptan con frecuencia.

Construyendo hacia la IA responsable en la TPRM

A medida que las organizaciones comienzan a experimentar con la IA en la TPRM, los programas más efectivos equilibran la innovación con la responsabilidad. La IA debería fortalecer la supervisión, no reemplazarla.

En la gestión de riesgos de terceros, el éxito no se mide solo por la velocidad con la que se puede evaluar a un proveedor; se mide por la precisión con la que se identifican los riesgos y la efectividad con la que se implementan las acciones correctivas. Cuando un proveedor falla o un problema de cumplimiento hace titulares, nadie pregunta cuán eficiente fue el proceso. Preguntan cómo se gobernó.

Esa pregunta, “cómo se gobierna“, se está convirtiendo rápidamente en global. A medida que la adopción de la IA se acelera, los reguladores de todo el mundo están definiendo qué significa “responsable” de maneras muy diferentes. El Reglamento de IA de la UE ha establecido el tono con un marco basado en el riesgo que exige transparencia y responsabilidad para los sistemas de alto riesgo. En contraste, Estados Unidos está siguiendo un camino más descentralizado, enfatizando la innovación junto con estándares voluntarios como el Marco de gestión de riesgos de IA de NIST. Otras regiones, incluidas Japón, China y Brasil, están desarrollando sus propias variaciones que combinan derechos humanos, supervisión y prioridades nacionales en modelos distintos de gobernanza de la IA.

Para las empresas globales, estos enfoques divergentes introducen nuevas capas de complejidad. Un proveedor que opera en Europa puede enfrentar obligaciones de informes estrictas, mientras que uno en EE. UU. puede tener expectativas más laxas pero aún en evolución. Cada definición de “IA responsable” agrega matices a cómo se debe evaluar, monitorear y explicar el riesgo.

Los líderes de riesgo necesitan estructuras de supervisión adaptables que puedan flexionar con las regulaciones cambiantes mientras mantienen la transparencia y el control. Los programas más avanzados están incorporando la gobernanza directamente en sus operaciones de TPRM, asegurando que cada decisión impulsada por la IA pueda explicarse, rastrearse y defenderse — sin importar la jurisdicción.

Cómo empezar

Convertir la IA responsable en realidad requiere más que declaraciones de política. Significa poner las bases adecuadas: datos limpios, responsabilidad clara y supervisión continua. Esto es lo que significa.

• Establezca estándares desde el principio. Establezca datos consistentes y procesos alineados antes de la automatización. Implemente un enfoque por fases que integre la IA paso a paso en su programa de riesgo, probando, validando y perfeccionando cada fase antes de escalar. Haga que la integridad de los datos, la privacidad y la transparencia sean innegociables desde el principio. La IA que no puede explicar su razonamiento, o que depende de entradas no verificadas, introduce riesgo en lugar de reducirlo.
• Comience pequeño y experimente con frecuencia. El éxito no se trata de la velocidad. Lanzar pilotos controlados que apliquen la IA a problemas específicos y bien entendidos. Documente cómo funcionan los modelos, cómo se toman las decisiones y quién es responsable de ellas. Identifique y mitigue los desafíos críticos, incluida la calidad de los datos, la privacidad y los obstáculos regulatorios, que evitan que la mayoría de los proyectos de IA generativa entreguen valor comercial.
• Gobernar siempre. La IA debería ayudar a anticipar la interrupción, no causar más de ella. Trate la IA como cualquier otra forma de riesgo. Establezca políticas y experiencia interna claras para evaluar cómo su organización y sus terceros utilizan la IA. A medida que las regulaciones evolucionan en todo el mundo, la transparencia debe permanecer constante. Los líderes de riesgo deberían poder rastrear cada perspicacia impulsada por la IA hasta sus fuentes de datos y lógica, asegurando que las decisiones se mantengan bajo escrutinio de los reguladores, las juntas y el público en general.

No hay un plan universal para la IA en la TPRM. La madurez, el entorno regulatorio y la tolerancia al riesgo de cada empresa darán forma a cómo se implementa y entrega valor la IA, pero todos los programas deberían construirse con intención. Automatice lo que esté listo, gobierne lo que se ha automatizado y adapte continuamente a medida que la tecnología y las reglas que la rodean evolucionen.