Todos quieren IA en la gestión de riesgos. Pocos están preparados.

Todos compiten por implementar la IA. Pero en la gestión de riesgos de terceros (TPRM), esa carrera podría representar el mayor riesgo de todos.

La IA depende de la estructura: datos limpios, procesos estandarizados y resultados consistentes. Sin embargo, la mayoría de los programas de TPRM carecen de estas bases. Algunas organizaciones cuentan con líderes de riesgo dedicados, programas definidos y datos digitalizados. Otras gestionan el riesgo ad hoc mediante hojas de cálculo y unidades compartidas. Algunas operan bajo un estricto escrutinio regulatorio, mientras que otras aceptan un riesgo mucho mayor. No hay dos programas iguales, y la madurez aún varía considerablemente después de 15 años de esfuerzo.

Esta variabilidad significa que la adopción de la IA en TPRM no se logrará con rapidez ni uniformidad. Se logrará con disciplina, y esa disciplina comienza con ser realista sobre el estado actual del programa, sus objetivos y su tolerancia al riesgo.

Cómo saber si su programa está listo para la IA

No todas las organizaciones están preparadas para la IA, y eso está bien. Un estudio reciente del MIT descubrió... El 95% de los proyectos GenAI están fracasandoY según Gartner, El 79% de los compradores de tecnología Dicen que se arrepienten de su última compra porque el proyecto no fue planificado adecuadamente.

En TPRM, la preparación para la IA no es algo que se activa con un solo clic. Es una progresión y un reflejo de cuán estructurado, conectado y gobernado está el programa. La mayoría de las organizaciones se encuentran en algún punto de una curva de madurez que abarca desde lo ad hoc hasta lo ágil, y saber dónde se encuentran es el primer paso para usar la IA de forma eficaz y responsable.

En las primeras etapas, los programas de riesgo son en gran medida manuales, dependen de hojas de cálculo, memoria institucional y una propiedad fragmentada. Existe poca metodología formal o supervisión constante del riesgo de terceros. La información de los proveedores puede residir en hilos de correo electrónico o en la mente de unas pocas personas clave, y el proceso funciona, hasta que deja de hacerlo. En este entorno, la IA tendrá dificultades para separar el ruido de la información, y la tecnología magnificará la inconsistencia en lugar de eliminarla.

A medida que los programas maduran, la estructura comienza a formarse: los flujos de trabajo se estandarizan, los datos se digitalizan y la responsabilidad se expande entre los departamentos. En este punto, la IA empieza a aportar un valor real. Pero incluso los programas bien definidos suelen permanecer aislados, lo que limita la visibilidad y la comprensión.

La verdadera preparación surge cuando se rompen esos silos y la gobernanza se comparte. Los programas integrados y ágiles conectan datos, automatización y rendición de cuentas en toda la empresa, lo que permite que la IA se asiente, convirtiendo información desconectada en inteligencia y facilitando una toma de decisiones más rápida y transparente.

Al comprender dónde se encuentra y hacia dónde desea ir, puede construir las bases que transformen la IA de una brillante promesa a un verdadero multiplicador de fuerza.

Por qué no existe una solución única para todos, a pesar de la madurez del programa

Incluso si dos empresas cuentan con programas de gestión de riesgos ágiles, no seguirán el mismo camino para la implementación de la IA ni obtendrán los mismos resultados. Cada empresa gestiona una red diferente de terceros, opera bajo regulaciones únicas y acepta distintos niveles de riesgo.

Los bancos, por ejemplo, se enfrentan a estrictos requisitos regulatorios en materia de privacidad y protección de datos en los servicios prestados por proveedores externos. Su tolerancia al riesgo de errores, interrupciones o infracciones es prácticamente nula. Los fabricantes de bienes de consumo, en cambio, podrían aceptar un mayor riesgo operativo a cambio de flexibilidad o rapidez, pero no pueden permitirse interrupciones que afecten plazos de entrega críticos.

La tolerancia al riesgo de cada organización define cuánta incertidumbre está dispuesta a aceptar para alcanzar sus objetivos, y en TPRM, esa línea se mueve constantemente. Por eso, los modelos de IA estándar rara vez funcionan. Aplicar un modelo genérico en un ámbito con esta variable genera puntos ciegos en lugar de claridad, lo que genera la necesidad de soluciones configurables y más específicas.

El enfoque más inteligente para la IA es modular. Implemente la IA donde los datos sean sólidos y los objetivos claros, y luego escale a partir de ahí. Algunos casos de uso comunes incluyen:

• Investigación de proveedores: Utilice IA para seleccionar miles de proveedores potenciales e identificar a los socios con menor riesgo, más capaces o más sostenibles para un próximo proyecto.
• Evaluación: Aplique la IA para evaluar la documentación, las certificaciones y las evidencias de auditoría de los proveedores. Los modelos pueden identificar inconsistencias o anomalías que puedan indicar un riesgo, lo que permite a los analistas centrarse en lo más importante.
• Planificación de la resiliencia: Utilice la IA para simular el efecto dominó de una disrupción. ¿Cómo afectarían las sanciones en una región o la prohibición regulatoria de un material a su base de suministro? La IA puede procesar datos comerciales, geográficos y de dependencia complejos para modelar los resultados y fortalecer los planes de contingencia.

Cada uno de estos casos de uso aporta valor cuando se implementa intencionalmente y cuenta con el respaldo de la gobernanza. Las organizaciones que obtienen un éxito real con la IA en la gestión de riesgos y la cadena de suministro no son las que más automatizan. Son las que empiezan con poco, automatizan con intención y se adaptan con frecuencia.

Hacia una IA responsable en TPRM

A medida que las organizaciones comienzan a experimentar con IA en TPRM, los programas más eficaces equilibran la innovación con la rendición de cuentas. La IA debería fortalecer la supervisión, no reemplazarla.

En la gestión de riesgos de terceros, el éxito no solo se mide por la rapidez con la que se evalúa a un proveedor, sino también por la precisión con la que se identifican los riesgos y la eficacia con la que se implementan las medidas correctivas. Cuando un proveedor incumple o un problema de cumplimiento es noticia, nadie se pregunta qué tan eficiente fue el proceso. Se preguntan cómo se gestionó.

Esa pregunta, “¿Cómo se gobierna?”, se está volviendo rápidamente global. A medida que se acelera la adopción de la IA, los reguladores de todo el mundo definen el significado de “responsable” de maneras muy diferentes. Ley de IA de la UE ha marcado la pauta con un marco basado en el riesgo que exige transparencia y rendición de cuentas para los sistemas de alto riesgo. En contraste, el Estados Unidos está siguiendo un camino más descentralizado, haciendo hincapié en la innovación junto con estándares voluntarios como el Marco de gestión de riesgos de IA del NISTOtras regiones, como Japón, China y Brasil, están desarrollando sus propias variantes que combinan los derechos humanos, la supervisión y las prioridades nacionales en modelos distintos de gobernanza de la IA.

Para las empresas globales, estos enfoques divergentes introducen nuevos niveles de complejidad. Un proveedor que opera en Europa puede enfrentarse a estrictas obligaciones de presentación de informes, mientras que uno en EE. UU. puede tener expectativas más flexibles, pero aún en evolución. Cada definición de "IA responsable" matiza cómo se debe evaluar, supervisar y explicar el riesgo.

Los líderes de riesgo necesitan estructuras de supervisión adaptables que puedan adaptarse a las regulaciones cambiantes, manteniendo la transparencia y el control. Los programas más avanzados integran la gobernanza directamente en sus operaciones de TPRM, garantizando que cada decisión basada en IA pueda explicarse, rastrearse y defenderse, independientemente de la jurisdicción.

Cómo Iniciar

Hacer realidad la IA responsable requiere más que declaraciones políticas. Implica sentar las bases adecuadas: datos limpios, una rendición de cuentas clara y una supervisión continua. Así es como se ve.

• Estandarizar desde el principio. Establezca datos limpios y consistentes, así como procesos alineados, antes de la automatización. Implemente un enfoque por fases que integre la IA paso a paso en su programa de riesgos, probando, validando y perfeccionando cada fase antes de escalar. Haga que la integridad, la privacidad y la transparencia de los datos sean innegociables desde el principio. La IA que no puede explicar su razonamiento o que se basa en datos no verificados, introduce riesgos en lugar de reducirlos.
• Empiece poco a poco y experimente con frecuencia. El éxito no se trata de velocidad. Lanza pilotos controlados que apliquen la IA a problemas específicos y bien comprendidos. Documenta el rendimiento de los modelos, cómo se toman las decisiones y quién es responsable de ellas. Identifica y mitiga los desafíos críticos, como la calidad de los datos, la privacidad y los obstáculos regulatorios, que impiden que la mayoría de los proyectos de IA generativa generen valor comercial.
• Gobernar siempre. La IA debería ayudar a anticipar las disrupciones, no a agravarlas. Trate la IA como cualquier otra forma de riesgo. Establezca políticas claras y experiencia interna para evaluar cómo su organización y sus terceros utilizan la IA. A medida que las regulaciones evolucionan a nivel mundial, la transparencia debe mantenerse constante. Los líderes de riesgo deben poder rastrear cada información generada por la IA hasta sus fuentes de datos y su lógica, garantizando así que las decisiones se mantengan bajo el escrutinio de los reguladores, las juntas directivas y el público en general.

No existe un modelo universal para la IA en TPRM. La madurez, el entorno regulatorio y la tolerancia al riesgo de cada empresa determinarán cómo se implementa la IA y cómo genera valor, pero todos los programas deben diseñarse con una intención clara. Automatice lo que esté listo, controle lo que esté automatizado y adáptese continuamente a medida que la tecnología y las reglas que la rigen evolucionen.