BlackRock y Morgan Stanley evalúan la gobernanza de la inteligencia artificial

26.05.2026

8 min. Tiempo de lectura

Morgan Stanley y BlackRock incorporaron abiertamente la gobernanza de IA en su lógica de evaluación en la primavera de 2026. Quien no tenga una respuesta en el consejo de supervisión sobre cómo la empresa gestiona, controla y corrige la IA, corre el riesgo de convertirse en un tema de reputación negativa – sino en una reducción mensurable de su valor. Esto cambia lo que se espera de una presencia en la sala de juntas de una CIO en 2026.

El briefing del consejo de administración, que está por llegar

Lo que cambió en los primeros cinco meses de 2026 no es la atención hacia la IA en el consejo de supervisión – esa atención ya era alta en 2024. Lo que cambió fue la claridad de las preguntas. Quien entra al consejo de administración de una empresa cotizada ahora recibe las preguntas sin necesidad de una fase de calentamiento: ¿Qué modelos deciden en qué procesos comerciales, quién asume la responsabilidad en caso de errores y cómo se detecta una desviación antes de que sea visible?

Los impulsores no son solo los reguladores. También son los inversores. Morgan Stanley y BlackRock establecieron en la primavera de 2026, en su línea de investigación de acciones, la gobernanza de IA como una dimensión de evaluación independiente, junto con ESG y la seguridad de los datos. Qué significa esto en la práctica: las empresas cuya gobernanza de IA está madura obtienen un aumento en su valor multiplicador. Quienes se quedan atrás en la misma industria pierden valor relativo, incluso sin un incidente público.

Tres preguntas que todo CIO debe responder

Lo que funciona en la sala de juntas en 2026 no son las diapositivas sobre la hoja de ruta de la IA. Son tres respuestas claramente formuladas, que en pocas frases muestran el grado de madurez.

La primera pregunta se refiere a la estructura de toma de decisiones. ¿Qué aplicación productiva de IA se autoriza en qué nivel? ¿Qué instancia puede detenerla? ¿Quién escala a quién? Quien aquí diga “tenemos un comité de dirección de IA” sin especificar con claridad el ritmo trimestral ni la autoridad para detenerla, no ha respondido la pregunta; simplemente la ha ocultado.

La segunda pregunta concierne a la responsabilidad. Si una IA productiva toma una decisión errónea, ¿quién responde internamente? El consejo de administración por la decisión estratégica, el área correspondiente por la ejecución operativa y el departamento de TI por la implementación técnica: esa es la lógica habitual de tres líneas. Sin embargo, rara vez se plasma con tanta claridad como para ser válida en caso de siniestro. En 2026, los consejos de supervisión preguntan explícitamente por el documento, no por la idea.

La tercera pregunta se refiere a la corrección. ¿Cómo se detecta el desplazamiento del modelo? ¿Con qué rapidez se detiene la producción? ¿Cómo se informa al consejo de supervisión sobre el comportamiento inadecuado? Este es el punto en el que la mayoría de las empresas aún hoy responden con “tenemos monitoreo”. Los miembros del consejo de supervisión entonces escuchan con mayor atención y se dan cuenta de que el monitoreo no equivale a gobernanza.

Dónde suele fallar la historia de la gobernanza

Tres debilidades aparecen una y otra vez en la práctica consultora. Todas son corregibles, pero requieren tiempo previo.

En primer lugar: falta el mandato de datos. Quien habla de modelos en la narrativa de la IA sin establecer claramente la responsabilidad sobre los datos de entrenamiento y entrada, pierde el punto clave. En la región DACH, los modelos rara vez constituyen el problema; los datos sí lo son.

En segundo lugar: la IA sombra permanece invisible. Una cadena de marketing productiva con tres LLM externos desconocidos para cualquier miembro del comité de dirección no es infrecuente en 2026. Los consejos de supervisión exigen un inventario; quien luego tarda demasiado en proporcionarlo pierde la confianza del consejo durante seis meses.

En tercer lugar: falta la traza de auditoría. Quien, en caso de siniestro, no puede demostrar en una hora qué versión del modelo tomó qué decisión en qué momento, carece de un registro de auditoría; solo tiene una descripción del flujo de logs. La diferencia será relevante ante los tribunales, no en la reunión trimestral.

Lo que el CEO y el CIO deben aportar en la sala de juntas en 2026

La división del trabajo entre la presidencia ejecutiva y el CIO está evolucionando hacia una mayor discreción. El CEO asume la estrategia y las relaciones externas, mientras que el CIO se encarga de la arquitectura productiva de IA. Lo que ambos deben asumir conjuntamente es la traducción a un lenguaje que los consejos de supervisión comprendan sin necesidad de reuniones previas.

En concreto, esto significa que la narrativa de la IA en la sala de juntas debe mantenerse en tres niveles. Estratégico: dónde crea valor la IA y dónde lo destruye. Operativo: cómo funciona el modelo de selección, aprobación y detención. Riesgo: qué incidentes han ocurrido durante el trimestre y con qué rapidez se han corregido. Una diapositiva por nivel es suficiente, nada más. Quien incluya más contenido allí, devuelve el mandato al consejo de supervisión.

De ello se deriva una verdad incómoda para muchos CIOs. Quien no tenga una respuesta consolidada en 2026, no asumirá el mandato, sino que lo delegará en otra persona. En un CRO, en un CFO o en consultores externos. Quien quiera evitarlo, debe redactar activamente los tres niveles antes de que la próxima reunión en la sala de juntas los exija.

Madurez en gobernanza (prima de valoración)

Inventario consolidado de IA con responsables por cada caso de uso
Procedimiento de aprobación documentado con vías de escalado y detención
Informes trimestrales al consejo de supervisión en tres niveles
Pista de auditoría por versión del modelo y punto de decisión

Inmadurez en gobernanza (descuento de valoración)

IA en la sombra en marketing o ventas sin inventario
Monitorización en lugar de gobernanza, sin mandato de detención en primera línea
Expectativas verbales de las tres líneas sin responsabilidad documentada
Falta de mandato sobre los datos: los modelos funcionan sin una clara responsabilidad de entrada

Preguntas frecuentes

¿Cómo se materializa la gobernanza de IA en concreto a través de la valoración por parte de los inversores?

A través de recargos en los multiplicadores en los informes de Equity Research, mediante las condiciones en refinanciaciones y a través de expectativas en procesos de due diligence. El movimiento es silencioso, pero constante. Quien es clasificado como maduro en gobernanza dentro del mismo grupo de pares, obtiene una valoración superior entre un 5 y un 12 % frente a la empresa comparativa más débil.

¿Qué papel desempeña el AI Act de la UE en la sala de juntas?

El AI Act de la UE es un estándar mínimo, no una estrategia. Quien lo trata como un ejercicio de cumplimiento normativo responde a la pregunta equivocada. Los inversores comprueban si la empresa piensa más allá de lo obligatorio; de lo contrario, se quedará con una madurez reactiva que resultará evidente en la competencia.

¿Quién asume la responsabilidad en caso de daños por decisiones erróneas de IA?

Por regla general, el consejo directivo por la decisión estratégica, el departamento técnico por el uso operativo y el CIO por el despliegue técnico. Lo decisivo es que esta lógica de tres líneas quede documentada por escrito; las expectativas verbales no valen en caso de reclamación por daños.

¿Cómo se identifica la IA sombra (Shadow-AI) en la empresa?

Mediante análisis de tráfico de red hacia APIs de LLM conocidos, auditorías de inventario SaaS e interrogatorios en departamentos técnicos con una garantía clara de protección. Quien comienza con presión punitiva no obtendrá respuestas completas; la recopilación debe plantearse como un inventario, no como una auditoría.

¿Qué nivel de madurez es apto para la sala de juntas en 2026?

De forma pragmática: un inventario de la IA productiva con responsables asignados, un procedimiento de aprobación documentado, una orden de parada en la primera línea y un informe trimestral al consejo de supervisión. Quien tenga esto no es perfecto, pero se sitúa en el tercio superior del grupo de pares DACH.

Fuente imagen principal: Pexels / Google DeepMind (px:25626433)