En la primera entrega planteamos una pregunta estratégica al interior de las corporaciones: ¿qué pasa con los consejos de administración y directivos que permiten que la IA avance dentro de la empresa sin entender sus riesgos, sus límites y sus consecuencias?
La respuesta empieza en un lugar más cotidiano de lo que parece: la contratación de tecnología.
Un área quiere automatizar tareas, reducir costos, atender clientes con mayor velocidad o mejorar sus procesos. Entonces prueba una herramienta, contrata una plataforma, integra una API, activa un chatbot o incorpora un agente de IA. En apariencia, es una decisión operativa. En realidad, puede convertirse en una decisión de gobierno corporativo.
La mayoría de las empresas no construyen sus propios modelos de inteligencia artificial desde cero. Los incorporan mediante plataformas generativas, herramientas en la nube, soluciones SaaS, APIs, chatbots, agentes o proveedores especializados. El riesgo aparece cuando esa contratación se trata como si fuera una licencia tecnológica más, sin entender que la IA opera de forma distinta y puede generar consecuencias distintas.
El software tradicional suele operar bajo reglas más previsibles: recibe instrucciones, ejecuta funciones programadas y entrega resultados dentro de un marco esperado. La IA funciona distinto. Puede generar respuestas nuevas, trabajar con probabilidades, producir resultados variables, aprender de patrones y modificar su comportamiento por datos, contexto, configuración o actualizaciones del proveedor.
Esa diferencia cambia la responsabilidad de quienes dirigen la empresa. Una IA puede procesar datos personales, acceder a información confidencial, generar respuestas para clientes, apoyar decisiones internas, automatizar tareas sensibles o influir en procesos comerciales, laborales, financieros o reputacionales. Cuando eso ocurre, la herramienta deja de ser un simple servicio tecnológico y se convierte en parte de la operación real de la empresa, sea mediante un desarrollo propio o un proveedor tecnológico.
Ahí aparece el punto central: la IA, sea propia o contratada, también necesita gobierno.
Gobierno no significa que el consejo de administración revise cada API ni que el director general apruebe cada chatbot. Significa que la empresa debe saber, entre otras cosas, qué IA está usando, dónde está operando, qué información toca, qué decisiones influye, qué riesgos genera y quién tiene autoridad para administrarla.
Muchas organizaciones todavía no tienen esa visibilidad. No saben cuántas herramientas de IA usan sus áreas, qué datos se cargan, si las plataformas pueden conservar información, si los resultados se usan frente a clientes o empleados, si existe supervisión humana o si el contrato cubre los riesgos reales del sistema. La IA puede estar creciendo dentro de la empresa más rápido que la capacidad de la empresa para gobernarla.
Este riesgo es especialmente visible en empresas medianas y en crecimiento. Muchas ya tienen operación digital, clientes relevantes, datos sensibles, proveedores tecnológicos y áreas internas que buscan automatizar procesos. Pero no siempre cuentan con estructuras robustas de compliance, auditoría, ciberseguridad, protección de datos o gestión de riesgos. En ellas, la IA puede avanzar más rápido que la capacidad institucional para controlarla.
En muchas compañías también existe una idea cómoda: si la IA la vende un proveedor especializado, el riesgo se queda con él. Esa lectura es incompleta. El proveedor aporta la tecnología, pero la empresa decide cómo la integra, qué datos le permite procesar, qué áreas la usan y qué efectos acepta dentro del negocio.
Por eso, contratar IA no equivale a sacar el riesgo de la empresa. Por supuesto, puede haber responsabilidad del proveedor, del integrador o del área usuaria. Pero frente al cliente, al empleado, al titular de datos o al socio comercial afectado, muchas veces será la empresa quien tenga que responder primero y después reclamar contra quien resulte responsable por las acciones u omisiones en su actuar.
Y si el problema revela falta de gobierno, ausencia de controles o tolerancia frente a riesgos conocidos, la discusión puede subir hasta quienes tenían el deber de supervisar: administradores, alta dirección y consejo de administración.
En México, esto no es una amenaza abstracta. La Ley General de Sociedades Mercantiles no habla de inteligencia artificial, pero sí habla de responsabilidad de administradores, deber de confidencialidad y sistemas de control e información. El Código Civil Federal tampoco habla de algoritmos, pero sí de reparar daños y perjuicios.
Traducido al lenguaje empresarial: si una IA filtra información, usa indebidamente datos personales, revela secretos industriales, discrimina, genera una respuesta falsa a un cliente o provoca una pérdida patrimonial, la pregunta no será solo qué hizo el proveedor. La pregunta será qué hizo la empresa para prevenirlo y qué hizo la alta dirección para supervisarlo.
Las consecuencias pueden ser reales: litigios, multas, pérdida de clientes, daño reputacional, incumplimientos contractuales, entre otras. Para consejeros, directivos y administradores, según sus funciones, el riesgo puede tomar otra forma: cuestionamientos por falta de planeación o supervisión, pérdida de confianza, acciones internas de responsabilidad, remoción o reclamaciones de accionistas si el daño pudo prevenirse con controles.
Ese es el punto delicado. La falta de gobierno puede convertir una contratación aparentemente menor en un riesgo directivo.
Los contratos tecnológicos tradicionales pueden quedarse cortos frente a estos riesgos. Una solución de IA no solo requiere precio, licencias y niveles de servicio. También exige una lectura distinta: datos, confidencialidad, propiedad intelectual, seguridad, supervisión y otros elementos que el contrato tradicional no siempre contempla.
La conclusión es simple: contratar IA no es el problema; contratarla sin gobierno sí lo es. Para los consejos de administración y la alta dirección, la pregunta ya no debería ser si la empresa usa IA. La pregunta es quién la gobierna, con qué autoridad y bajo qué responsabilidad.
Porque en IA, lo que no se gobierna no desaparece: se acumula como riesgo.
