IA de terceros: el punto ciego en la gobernanza

Una visión intersectorial de cómo las organizaciones están adaptando la gobernanza de la IA y la gestión de riesgos de terceros para hacer frente a los riesgos, las expectativas y la presión regulatoria cada vez mayores.

Henry Umney
Henry Umney 4 de diciembre de 2025 7 min leer Escuche el resumen de la IA
Información del informe gubernamental sobre TPRM AI

Si se pregunta a cualquier junta directiva si la IA está en su agenda, la respuesta es afirmativa. Si se pregunta qué grado de confianza tienen en el uso que hacen sus proveedores de la IA, la respuesta es menos clara.

Esa brecha se refleja en el estudio global de HTF Research sobre gobernanza de la IA y gestión de riesgos de terceros, patrocinado por Mitratech. El estudio encuestó a 46 líderes de instituciones de los sectores bancario, de gestión de activos, seguros, energía, corporativo y de corretaje. La IA se está extendiendo por toda la empresa. El riesgo de la IA de terceros, no.

Para los líderes de GRC, esto supone tanto una advertencia como una oportunidad. Las organizaciones que sean capaces de convertir la IA de terceros de una exposición invisible en un activo regulado marcarán el ritmo de sus sectores.

Descubra el estado actual de la gobernanza de la IA y la gestión de riesgos de terceros

Perspectivas del sector de HTF Research y Mitratech

Descargar el informe completo

La IA está creciendo rápidamente, pero la madurez de su gobernanza varía considerablemente.

Aunque muchas organizaciones han implementado algún tipo de marco de gobernanza de la IA, el grado de madurez varía significativamente entre sectores, regiones y tamaños de ingresos. Los entornos altamente regulados, como el financiero, tienden a ir a la cabeza, mientras que otros aún están sentando las bases para sus políticas.

Se destacan algunas tendencias clave:

  • La mayoría de las grandes organizaciones (más de 1000 millones de dólares) informan de un fuerte progreso en materia de gobernanza, mientras que las empresas más pequeñas, de menos de 500 millones de dólares, se quedan atrás.
  • Las organizaciones corporativas, de corretaje y energéticas muestran una mayor inconsistencia, con menos marcos de gobernanza establecidos.
  • En todos los sectores, marcos como la Ley de IA de la UE, el NIST AI RMF y la norma ISO 42001 están surgiendo como puntos comunes de alineación.

La propiedad también varía:

  • Las empresas corporativas asignan de manera abrumadora la responsabilidad al departamento de TI o al de seguridad informática.
  • Otras industrias dividen la responsabilidad entre riesgo, cumplimiento normativo y TI, lo que refleja una creciente responsabilidad interfuncional.

¿La conclusión? La gobernanza de la IA está madurando, pero de forma desigual.

El punto ciego: visibilidad limitada de la IA de terceros

La mayoría de las organizaciones mantienen un inventario de casos de uso interno de IA. Pero cuando se les preguntó si esos inventarios incluían soluciones de IA de terceros, las respuestas variaron considerablemente.

En particular:

  • Muchas empresas, especialmente en el Reino Unido, no incluyen la IA de proveedores en su inventario.
  • La banca, la gestión de activos y los seguros muestran un rendimiento más sólido, pero incluso en estos sectores la cobertura es incompleta.
  • Los rápidos ciclos de lanzamiento de software (por ejemplo, «funciones de IA lanzadas cada dos semanas») dificultan la gestión del inventario.

Para los profesionales del riesgo y el cumplimiento normativo, esto tiene importantes implicaciones. Los proveedores pueden estar utilizando la IA de formas que usted no puede ver, verificar ni supervisar, pero el riesgo, en última instancia, recae sobre usted. Esta falta de visibilidad se está convirtiendo rápidamente en uno de los retos más acuciantes en materia de gobernanza.

Gobernanza de la IA y TPRM: funciones paralelas, aún sin integrar

La mayoría de las organizaciones ya gestionan una amplia gama de riesgos de terceros, desde la ciberseguridad hasta los riesgos operativos y ESG. Sin embargo, cuando se trata de integrar la supervisión específica de la IA en estos flujos de trabajo, la integración sigue siendo limitada.

La investigación concluye que:

  • Algunos sectores (por ejemplo, la banca o la gestión de activos) informan de prácticas de gobernanza y TPRM parcial o totalmente integradas.
  • Otros siguen estando aislados, y el riesgo de la IA se gestiona por separado de las revisiones de terceros.
  • Solo un pequeño número de organizaciones ha rescindido el contrato con un proveedor debido a cuestiones relacionadas con la IA.

A medida que la IA se integra en más herramientas y funciones de los proveedores, la separación entre la gobernanza y la gestión del riesgo de terceros (TPRM) se vuelve cada vez más insostenible.

Los niveles de confianza en la gestión de riesgos de IA por parte de terceros son preocupantemente bajos.

Cuando se les pidió que calificaran su confianza en la gestión de los riesgos relacionados con la IA por parte de terceros, la mayoría de las organizaciones se puntuaron con un 2 o un 3 sobre 5.

Otras deficiencias incluyen:

  • La mayoría de las organizaciones evalúan a menos de 100 proveedores en cuanto al riesgo de IA.
  • Muchos no exigen a los proveedores que revelen sus políticas de gobernanza de la IA.
  • Los bancos y los gestores de activos son los que más exigen la divulgación de información, pero incluso en ese sector, la mayoría no aplica una alineación total.

Para los responsables de riesgos y cumplimiento normativo, esto es una señal de alarma: las organizaciones comprenden los riesgos, pero carecen de las pruebas y los mecanismos de control necesarios para mitigarlos.

Las juntas directivas están prestando atención y aumentando la inversión en consecuencia.

En todas las regiones y sectores, la mayoría de los encuestados afirma que sus consejos de administración o sus directivos ejecutivos han solicitado información actualizada sobre los riesgos de la IA y las prácticas de terceros durante el último año.
Las tendencias de inversión reflejan esta presión:

  • La mayoría de las empresas tienen previsto aumentar el gasto en gobernanza de la IA durante los próximos 12-18 meses.
  • La inversión prevista en TPRM es más variada, pero el interés está aumentando en muchos sectores.
  • Los líderes quieren informes más transparentes, una mayor transparencia de los modelos y una mejor visibilidad de la IA de los proveedores.

Este cambio marca un punto de inflexión en la gobernanza: la supervisión de la IA está pasando de ser una función operativa a convertirse en una prioridad a nivel directivo. Los líderes quieren respuestas, pero muchos equipos no cuentan con la estructura ni los datos necesarios para proporcionarlas. Aquí es donde la gobernanza, la gestión de riesgos y la presentación de informes deben alinearse.

Preparación normativa: una preocupación creciente

Ninguna de las empresas encuestadas se considera «muy preparada» para las próximas regulaciones sobre IA. La mayoría se sitúa en un nivel de preparación de 2-3/5, a pesar de que varios regímenes normativos importantes avanzan rápidamente hacia su implementación.

Aún más revelador: aparte de la banca, la mayoría de las organizaciones no exigen a los proveedores que cumplan con las mismas normas de gobernanza de la IA que aplican internamente. A medida que convergen las expectativas normativas globales, esta brecha será cada vez más costosa.

Implicación práctica: La ola de cumplimiento normativo llega más rápido que la preparación. Y si no esperas que los proveedores cumplan con los mismos estándares, tu postura real de cumplimiento normativo será tan sólida como tu proveedor más débil.

El auge de las soluciones unificadas de gobernanza de IA y TPRM

Norteamérica y APAC muestran un gran interés por las plataformas unificadas que gestionan la gobernanza de la IA y los riesgos de terceros en un solo lugar. Estas plataformas podrían ayudar a las organizaciones a centralizar los inventarios, automatizar la supervisión, agilizar la recopilación de pruebas y estandarizar los criterios de evaluación.

Hoy en día, sin embargo, la mayoría de las empresas carecen de un sistema automatizado de supervisión de modelos de IA, una capacidad clave que falta a medida que los sistemas de IA aumentan en volumen y complejidad.

El patrón es claro: hay muchos humanos revisando la IA. No hay muchos sistemas configurados para detectar desviaciones, sesgos o fallos de control en tiempo real. Esa brecha será más importante a medida que aumente el uso de la IA.

Mirando hacia el futuro: qué deben priorizar ahora los responsables de riesgos y cumplimiento normativo

Para evolucionar al ritmo de la tecnología, las organizaciones deben centrarse en cuatro prioridades estratégicas.

1. Impulse la visibilidad en todo su ecosistema.

Asegúrese de que todo uso de IA, ya sea interno o de terceros, se inventaríe, documente y supervise.

2. Incorporar la gobernanza de la IA en los flujos de trabajo de TPRM.

Utilizar controles compartidos, marcos alineados y requisitos de evidencia estándar.

3. Establecer una supervisión continua y repetible.

Pase de las revisiones puntuales a las pruebas continuas, la supervisión y el seguimiento del rendimiento de los modelos.

4. Prepárese para la armonización normativa a nivel mundial.

Anclar los marcos normativos a la Ley de IA de la UE y mapear los controles de otros regímenes normativos para «cumplir una vez, satisfacer a muchos».

El riesgo de la IA es ahora un riesgo empresarial, un riesgo de cumplimiento normativo y un riesgo de terceros al mismo tiempo. Si su gobernanza se limita a su cortafuegos, solo está viendo la mitad del problema. El próximo año debería centrarse en incorporar la IA al modelo operativo de riesgos principal, en lugar de añadir otro programa secundario.

Un futuro convergente para la gobernanza de la IA y el riesgo de terceros

La investigación ofrece una imagen clara: mientras que las organizaciones de todos los sectores están adoptando la IA a gran escala, las prácticas de gobernanza, especialmente en lo que respecta al riesgo de terceros, se están desarrollando de forma desigual. Pero el impulso está creciendo. Los consejos de administración se están involucrando, las inversiones están aumentando y las funciones de riesgo están ampliando su ámbito de actuación para incluir los sistemas inteligentes.

Las organizaciones que actúen ahora —integrando la gobernanza, mejorando la visibilidad y estandarizando la supervisión— serán las que estén mejor posicionadas para gestionar la próxima ola de transformación impulsada por la IA.

Cómo ayuda Mitratech

Independientemente de en qué punto del proceso de gobernanza de la IA se encuentre, Mitratech puede ayudarle a dotar a su programa de una verdadera coordinación y transparencia. Nuestra plataforma unificada conecta equipos dispares, garantiza que todas las partes interesadas clave permanezcan alineadas y acelera su tiempo de valorización con plantillas adaptables y marcos preconfigurados, como la Ley de IA de la UE y el NIST AI RMF. A medida que su programa evoluciona, nuestra arquitectura flexible se adapta al ritmo, lo que proporciona eficiencia a largo plazo y un bajo coste total de propiedad.

¿Está listo para avanzar con una gobernanza de IA en la que puede confiar? Póngase en contacto con Mitratech para obtener más información.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.