top of page

Gobierno de la inteligencia artificial: qué es, por qué importa y cómo implementarlo

La IA ya está tomando decisiones en tu organización. Algunas son visibles, otras no lo son. Sin un sistema de gobierno claro, esas decisiones operan sin políticas, sin responsables definidos y sin mecanismos de supervisión. En este artículo exploramos qué es el gobierno de la IA, por qué el gobierno de TI que ya tienes no es suficiente para gestionarla, y cómo construir el sistema que tu organización necesita, con base en ITIL®, ISO/IEC 42001 y COBIT 2019.

En este artículo encontrarás:

  • Qué distingue gobernar de gestionar, y por qué esa diferencia importa con la IA.

  • Los principales desafíos que la IA introduce en cualquier estructura de gobierno.

  • Cómo ISO/IEC 42001 define el sistema de gestión de IA, paso a paso.

  • Cómo se articulan COBIT, ITIL y la norma para dar una respuesta integrada.

Qué significa gobernar: la distinción que cambia todo

Antes de hablar de inteligencia artificial, hay una distinción que vale la pena establecer con claridad, porque sin ella es difícil entender por qué puede estar fallando su adopción de IA: la diferencia entre gobernar y gestionar. Son dos actividades distintas, con propósitos distintos y responsables distintos.

Gobernar es evaluar las necesidades y condiciones del entorno para definir objetivos equilibrados, establecer la dirección a través de decisiones y prioridades, y supervisar que el desempeño y el cumplimiento se alineen con esa dirección. En la mayoría de organizaciones, gobernar es responsabilidad de la junta directiva o la alta dirección. No ejecuta, orienta y controla.

 

Gestionar es planificar, construir, operar y monitorear las actividades en función de la dirección establecida por el gobierno. Es el dominio de la gerencia ejecutiva y los equipos de TI. No define el rumbo, lo ejecuta.

Para COBIT 2019, distinguir entre gobierno y gestión es uno de los seis principios fundamentales para cualquier sistema de gobierno de información y tecnología. Y no es un detalle semántico: es una separación estructural que determina quién toma qué tipo de decisión, con qué autoridad y bajo qué mecanismos de rendición de cuentas.​​

¿Por qué importa esto para la IA? Porque en muchas organizaciones, la adopción de inteligencia artificial ocurre enteramente en el plano de la gestión (equipos que implementan herramientas, proyectos que automatizan procesos, áreas de negocio que contratan soluciones) sin que el nivel de gobierno haya evaluado los objetivos, definido los límites ni establecido los mecanismos de supervisión. El resultado es que la IA opera, pero nadie la gobierna.

Un sistema de gobierno, según COBIT 2019, no se reduce a procesos, tiene siete tipos de componentes que trabajan de forma integrada:

  • Los procesos que describen el conjunto de prácticas y actividades organizadas para lograr ciertos objetivos y producir un conjunto de salidas que soportan el logro de metas generales relacionadas con las TI.

  • Las estructuras organizacionales que representan a las entidades de toma de decisiones claves en la organización.

  • Los principios, las políticas y los marcos (de gobierno, gestión) que traducen los comportamientos deseados en guías prácticas para la gestión del día a día.

  • La información producida y utilizada en la organización requerida para el funcionamiento efectivo del sistema de gobierno.

  • La cultura, la ética y el comportamiento de los individuos y de la organización como factores de éxito para las actividades de gobierno y gestión.

  • Las personas con sus habilidades y competencias para tomar buenas decisiones, ejecutar acciones correctivas y completar las actividades con éxito.

  • Los servicios, la infraestructura y las aplicaciones que proveen a la organización el sistema de gobierno para el procesamiento de información y tecnología.

Elementos de un Sistema de gobierno según Cobit 2019.png

Cuando se habla de gobernar la IA, se habla de intervenir en todos esos componentes, no solo de redactar una política o implementar un proceso.

Por qué el gobierno TI tradicional no es suficiente para la IA

La mayoría de organizaciones que ya tienen prácticas de gobierno de TI llegan a este punto con una suposición razonable: "esto ya lo tenemos cubierto". Es una suposición comprensible pero casi siempre incorrecta.

El gobierno de TI normalmente se construye sobre la premisa de que los sistemas son mayoritariamente predecibles y controlables: un servidor funciona o no funciona, una aplicación hace lo que se programó que hiciera y un control se activa o no se activa. Los riesgos son conocidos, los controles son estables y la cadena de responsabilidad es trazable. Ese modelo ha funcionado porque la tecnología, aunque compleja, operaba dentro de límites definidos.

La inteligencia artificial rompe esa lógica en cuatro frentes al mismo tiempo:

Aprende y cambia por sí sola

Un sistema de IA no se comporta igual hoy que hace seis meses porque ha procesado nuevos datos y ajustado sus patrones. El gobierno tradicional asume estabilidad, la IA asume evolución continua. Un control que era válido en el momento de la implementación puede ser insuficiente meses después sin que alguien haya tomado alguna decisión al respecto.

Toma decisiones sin intervención humana directa

Un sistema de IA puede procesar miles de solicitudes de crédito, gestionar flujos de tráfico o priorizar tickets de soporte por hora a una velocidad que hace imposible la aprobación humana caso por caso. Esto no invalida el gobierno, lo transforma. El modelo de control basado en aprobaciones individuales debe convertirse en un modelo basado en barreras (guardrails): límites, umbrales y condiciones dentro de los cuales el sistema opera con autonomía supervisada.

Opera en zonas de opacidad

Muchos modelos de IA, especialmente los de aprendizaje profundo, producen decisiones que son difíciles de explicar incluso para quienes los construyeron. Esa opacidad, además de ser un problema técnico, es un problema de gobierno. Si no puedes explicar por qué el sistema tomó una decisión, no puedes auditarla, defenderla ante reguladores ni rendir cuentas ante los stakeholders impactados.

Se expande fuera del perímetro del departamento de TI

Aquí aparece uno de los fenómenos más relevantes para el gobierno: la IA a la sombra o Shadow AI. Individuos y áreas de negocio adoptan herramientas de IA de forma independiente (sin políticas, sin evaluación de riesgos, sin involucramiento del área de TI) porque son accesibles, gratuitas o de bajo costo. El gobierno corporativo de tecnología, por su propia definición, debe cubrir toda la información y tecnología que la organización usa para alcanzar sus objetivos, independientemente de dónde ocurra. La IA a la sombra no es una excepción: es parte del perímetro que debe gobernarse.

El resultado de estos cuatro frentes no es que el gobierno de TI existente sea inútil, es que necesita extenderse, adaptarse y dotarse de nuevas capacidades específicas para la IA. Como lo plantea el whitepaper ITIL® AI Governance: el desafío no está en reemplazar las estructuras de gobierno existentes, sino en entender cómo la IA impacta cada perspectiva del gobierno y adaptarla en consecuencia.

Los cuatro desafíos del gobierno de IA

La adopción de IA no solo añade complejidad técnica a la organización, también introduce tensiones fundamentales en las estructuras de gobierno existentes. El whitepaper ITIL AI Governance identifica cuatro perspectivas, desde las cuales la IA impacta de forma específica cualquier sistema de gobierno. Estas perspectivas están interrelacionadas y se refuerzan mutuamente, pero analizarlas por separado permite diagnosticar con precisión dónde están las brechas en tu organización.

Autoridad de decisión y gestión del riesgo

El gobierno de TI tradicional asume que detrás de cada decisión relevante hay una persona que la tomó o la autorizó. La IA rompe esa cadena. Un sistema que procesa miles de solicitudes por hora, prioriza recursos o genera recomendaciones de negocio opera a una velocidad y escala que hace imposible la aprobación humana caso por caso.

Esto no significa que el gobierno deba retirarse, significa que debe transformarse. El modelo basado en aprobaciones individuales tiene que evolucionar hacia un modelo basado en barreras (guardrails): límites, umbrales y condiciones dentro de los cuales el sistema opera con autonomía supervisada, con intervención humana obligatoria cuando se superan ciertos niveles de riesgo o sensibilidad.

El paisaje de riesgo también cambia. A diferencia de los sistemas tradicionales, los modelos de IA pueden degradar su desempeño gradualmente sin señales evidentes (lo que se conoce como deriva del modelo) o producir resultados sesgados derivados de los datos con que fueron entrenados. Estos riesgos requieren formas nuevas de monitoreo y evaluación que deben integrarse en el marco de gestión de riesgos existente de la organización, no tratarse como un asunto exclusivamente técnico.

La complejidad en los entornos de TI y digitales: por qué Cynefin es relevante hoy

Las organizaciones de TI llevan décadas construyendo su capacidad de gestión sobre una premisa que fue razonable durante mucho tiempo: que los problemas son, en su mayoría, complicados (difíciles, sí, pero analizables y resolubles con suficiente experiencia técnica y los marcos adecuados). Esa premisa funcionó bien en entornos relativamente estables, donde los sistemas tenían bordes definidos, los cambios eran predecibles y las soluciones probadas podían replicarse con confianza. Ese entorno ya no existe, o existe cada vez menos.

 

La cuarta revolución industrial y la aceleración digital que la acompaña han transformado la naturaleza de los problemas que enfrentan los líderes de TI. Las interdependencias entre sistemas, equipos, proveedores y expectativas de negocio se han multiplicado hasta un punto donde las relaciones causales ya no tienen una trazabilidad clara. Las tecnologías emergentes (inteligencia artificial, computación en la nube, arquitecturas distribuidas, por ejemplo) introducen comportamientos que no pueden anticiparse completamente desde el diseño. Los marcos de referencia que orientan la gestión de servicios, el desarrollo de software y la seguridad coexisten y a veces compiten, sin que haya una respuesta única sobre cómo integrarlos. Y la velocidad de cambio de los requerimientos del negocio no solo hace que las soluciones óptimas de ayer sean insuficientes (y hasta obsoletas) hoy sino que además impone cada vez más presión sobre los equipos para entregar resultados en menos tiempo. Los entornos digitales y de TI son cada vez más complejos, inciertos, impredecibles y variables.

 

En este contexto la solución no es técnica, es de diagnóstico: cómo distinguir qué tipo de situación enfrentamos antes de elegir cómo responder. Es determinante poder identificar, por ejemplo: cuándo tiene sentido aplicar una mejor práctica consolidada, cuándo es necesario explorar o cuándo la experiencia experta es suficiente.

 

Cynefin responde precisamente a ese desafío de diagnóstico. Cynefin no ofrece soluciones, ofrece orientación para reconocer el tipo de contexto en el que se opera, activar las restricciones adecuadas y elegir el modo de proceder que tiene sentido antes de actuar. En entornos donde la complejidad ya no es la excepción sino la condición habitual, esa capacidad de clasificación se convierte en una ventaja estratégica real para cualquier líder de TI.

Cuándo un líder de TI necesita este marco

Cynefin no es una herramienta para usar solo en momentos de crisis, es una forma de pensar que se vuelve más valiosa cuanto más se practica en el día a día. Sin embargo, hay situaciones específicas en las que su ausencia tiene un costo particularmente visible, y entre ellas podemos destacar:

  • Decisiones de gobierno en entornos inciertos: cuando la organización enfrenta situaciones sin precedente claro como una tecnología emergente, un modelo operativo que hay que diseñar desde cero o un contexto donde los procedimientos existentes no alcanzan. En esos momentos, lo que orienta la acción no son las reglas sino los principios. Saber que se está en el dominio Complejo es lo que permite aplicar los principios con intención, de forma deliberada, y no de forma automática porque no queda otra alternativa.

  • No hay alineación entre el tipo de problema y el tipo de respuesta: cuando el equipo intenta documentar y estandarizar lo que debería estar siendo explorado o improvisa lo que debería estar gobernado por un procedimiento claro. Ese desajuste tiene un nombre, error de dominio, y tiene un costo real. El problema es que sin un lenguaje común, es casi imposible etiquetarlo y corregirlo a tiempo.

  • Transformaciones organizacionales: cuando la organización adopta un nuevo marco, cambia su modelo operativo o integra equipos y tecnologías que antes operaban por separado. Estas situaciones son complejas por naturaleza, y tratarlas como si fueran complicadas, buscando el plan perfecto antes de dar el primer paso, es un error frecuente y costoso en la gestión del cambio en TI.

  • Señales contradictorias que resisten la clasificación: cuando los datos apuntan en direcciones distintas, cuando las soluciones que funcionaron antes dejan de funcionar sin una razón aparente o cuando el equipo debate sin llegar a acuerdos sobre cómo abordar una situación. Esos son síntomas de Confusión y el primer paso para salir de ella es reconocerla como tal.

Cynefin en la gestión de servicios de TI: mejora continua

La mejora continua es uno de los pilares de la gestión de servicios de TI. El modelo de mejora continua de ITIL (Version 5) estructura el proceso en siete pasos, desde la definición de la visión hasta la consolidación de los cambios. Uno de esos pasos es determinante: ¿cómo llegamos ahí? Es decir, cómo diseñar e implementar las acciones que nos llevarán del estado actual al estado deseado.

 

Esa pregunta parece simple. Pero su respuesta depende fundamentalmente del tipo de contexto en el que opera la situación, y ahí es donde Cynefin se convierte en una herramienta de diagnóstico esencial.

En los dominios Claro y Complicado, ¿cómo llegamos ahí? tiene una respuesta trazable: un procedimiento estándar o un plan basado en análisis experto. La relación entre causa y efecto es suficientemente estable como para que el ciclo de mejora aprenda y converja hacia una solución mejor.

En el dominio Complejo, esa condición no existe. Aplicar el mismo enfoque produce ciclos que no aprenden, porque asumen una causalidad lineal que el sistema no tiene. En ese contexto, ¿cómo llegamos ahí? no se responde con un plan de implementación sino con el diseño de experimentos seguros: intervenciones acotadas que permiten observar qué emerge, aprender de los resultados y ajustar la dirección. En este caso, el ciclo de mejora no busca converger hacia una solución sino generar aprendizaje iterativo que oriente los siguientes pasos.

Cynefin no reemplaza el modelo de mejora continua de ITIL (Version 5). Lo complementa ayudando a los equipos a reconocer qué tipo de contexto enfrentan antes de decidir cómo responder a la pregunta ¿cómo llegamos ahí? Y con eso, a elegir el enfoque de mejora que realmente tiene sentido.

Cómo lo usamos en Kessel Pok

En Kessel Pok usamos Cynefin de varias maneras. Por ejemplo:

  • Como herramienta de diagnóstico en nuestros proyectos de consultoría en gobierno y gestión de TI. Cinefyn nos provee un marco de conversación que nos ayuda a identificar con precisión, en conjunto con el cliente, el tipo de contexto en el que operan, y a partir de ahí, a tomar decisiones más conscientes sobre qué estructura, qué restricciones y qué modo de proceder tiene sentido en cada situación.

  • En el diseño de modelos operativos para ayudar a los líderes de TI a distinguir qué parte de su modelo debería estar gobernada por procedimientos claros, qué parte requiere capacidad analítica experta y qué parte necesita condiciones para la exploración y la adaptación. Esa distinción (que parece conceptual) tiene consecuencias muy concretas en el diseño de roles, en la definición de procesos y en la forma en que los equipos toman decisiones bajo incertidumbre.

  • Como marco de referencia en nuestros programas de formación, presentaciones y simulaciones, para generar conciencia sobre la complejidad variable de los entornos digitales y de TI. Los equipos que operan en estos entornos enfrentan situaciones que no siempre son del mismo tipo y Cynefin les da el marco para reconocer esa variabilidad, clasificarla y elegir el modo de proceder que corresponde en cada caso. 

Los entornos de TI son cada vez más complejos y la forma en que una organización estructura su modelo de gobierno determina si esa complejidad se convierte en un obstáculo o en una ventaja. Si quieres explorar cómo aplicar este enfoque en tu organización, estamos listos para conversar.

Referencias y lecturas recomendadas

  • Snowden, D.J. & Boone, M.E. (2007). A Leader's Framework for Decision Making. Harvard Business Review, 85(11), 68–76.

  • Kurtz, C.F. & Snowden, D.J. (2003). The new dynamics of strategy: Sense-making in a complex and complicated world. IBM Systems Journal, 42(3), 462–483.

  • Stacey, R.D. (2011). Strategic Management and Organisational Dynamics: The Challenge of Complexity. Pearson.

  • Página web de The Cynefin Co: https://thecynefin.co

  • Wiki de Cynefin: https://cynefin.io/index.php/Main_Page

KESSEL POK SAS

Estructura + Talento = Valor

La fórmula que aplicamos en cada proyecto

© 2026 Kessel Pok SAS. Creado con Wix.com

 

ITIL®, PRINCE2®, DEVOPS INSTITUTE® and the Swirl logo are registered trademarks of the PeopleCert group. Used under license from PeopleCert. All rights reserved.

bottom of page