La Gobernanza del Coste Invisible: Cómo el Compliance debe adaptarse a la Inteligencia Artificial sin perder su esencia

 

La Gobernanza del Coste Invisible

Cómo el Compliance debe adaptarse a la Inteligencia Artificial sin perder su esencia

Prólogo: Cuando el riesgo deja de ser humano

Durante décadas, el Compliance se ha construido sobre una premisa estable: el riesgo nace de las personas. Los controles internos, los códigos éticos, las auditorías y los canales de denuncia se diseñaron para supervisar decisiones humanas.

Pero en los últimos meses, algo silencioso ha empezado a cambiar en las organizaciones: una parte creciente de las decisiones operativas ya no las toman personas, sino sistemas de Inteligencia Artificial. Y con ello ha aparecido un nuevo tipo de gasto, tan pequeño en apariencia como decisivo en impacto: el coste de procesamiento lingüístico, lo que en el sector técnico se denomina “token”.

No necesitamos entrar en tecnicismos. Basta con entender lo esencial:

• Cada vez que un sistema de IA analiza un texto, redacta un informe o ejecuta una tarea, consume unidades de procesamiento.
• Ese consumo tiene un coste económico real.
• Y ese coste está creciendo más rápido que cualquier otra partida operativa.

El resultado es claro: la empresa está delegando decisiones en sistemas que no aparecen en los mapas de riesgos tradicionales. Este documento nace para explicar, con serenidad y rigor, por qué el Compliance debe ampliar su mirada y cómo puede hacerlo sin perder su esencia.

1. Un nuevo tipo de gasto operativo

Cuando el coste ya no está en las personas, sino en los procesos automáticos

En muchas empresas, el gasto en sistemas de IA está creciendo de forma acelerada. No porque los empleados usen estas herramientas de forma ocasional, sino porque los procesos automatizados funcionan sin descanso, generando miles de microdecisiones cada día.

1.1. El riesgo ya no está solo en la conducta humana

Los sistemas automáticos pueden repetir errores sin supervisión, generar información incorrecta, tomar decisiones que afecten a clientes o empleados, o consumir recursos de forma descontrolada. Y todo ello sin mala fe, pero con un impacto potencial enorme.

1.2. Un gasto que se vuelve opaco y volátil

Cuando un proceso automático entra en bucle o está mal configurado, puede multiplicar su consumo en cuestión de horas. No es solo un problema de facturación; es la aparición de un pasivo contingente invisible que escapa por completo a las auditorías trimestrales tradicionales sin que nadie lo note a tiempo.

1.3. Controles diseñados para otro mundo

Los controles actuales están pensados para revisar contratos, decisiones humanas, procesos manuales y documentación estática. Pero no están equipados para supervisar procesos automáticos que cambian cada minuto.

Conclusión: El Compliance debe empezar a considerar este nuevo gasto como un indicador crítico de riesgo operativo.

2. Un problema estructural

Organizaciones diseñadas para personas, no para sistemas automáticos

La mayoría de las organizaciones siguen divididas en tres áreas que no se hablan lo suficiente:

2.1. Legal y Compliance

Produce políticas, matrices de riesgo y códigos éticos en formato PDF. Pero los sistemas automáticos no leen literatura legal; solo procesan instrucciones algorítmicas. Existe una ceguera normativa mutua: el software no entiende de leyes y el Compliance no entiende de código.

2.2. Finanzas

Ve el gasto en IA como un coste informático más. Pero no sabe qué procesos específicos están generando ese gasto ni bajo qué parámetros normativos.

2.3. Tecnología

Supervisa la seguridad y el funcionamiento técnico de las APIs. Pero no evalúa el impacto ético, legal o reputacional de las decisiones automáticas que viajan por ellas.

2.4. Una fragmentación que genera riesgo

• Un sistema automático puede generar un informe con datos incorrectos o sesgados.
• Nadie detecta el error hasta que ya ha tenido consecuencias regulatorias o de negocio.
• Y cuando se investiga, cada área solo ve una parte del problema de forma aislada.

El Compliance, tal como está concebido hoy, no puede controlar un riesgo que está fragmentado entre tres departamentos. Pero esto no significa que la profesión esté en peligro. Significa que está entrando en una nueva etapa.

3. La transición necesaria

El nacimiento del “Especialista en Gobernanza de IA”

No se trata de sustituir al Compliance Officer. Se trata de ampliar el equipo con un nuevo perfil que permita supervisar lo que hoy queda fuera del radar corporativo. Este nuevo profesional no es un ingeniero puro ni un jurista puro. Es un perfil híbrido, capaz de traducir entre ambos mundos.

3.1. Comprender cómo funcionan los sistemas automáticos

No necesita programar a nivel de software, pero sí entender qué instrucciones reciben los sistemas, cómo toman decisiones y qué puede salir mal en el flujo algorítmico.

3.2. Monitorizar el gasto junto a Finanzas

Ayuda a identificar procesos que consumen demasiados recursos computacionales, automatizaciones mal diseñadas y desviaciones presupuestarias atípicas que pueden indicar un riesgo de control interno.

3.3. Integrar controles en tiempo real junto a Compliance

Ya no se trabaja con controles en papel o revisiones a posteriori, sino con límites automáticos, alertas, filtros de seguridad (guardrails) y mecanismos tecnológicos que evitan los errores normativos antes de que ocurran.

Este perfil —llámese “Especialista en Gobernanza de IA”, “Controller de IA” o “Tech-Compliance”— no sustituye al Compliance tradicional, sino que lo complementa. Es la pieza institucional que falta para que el departamento pueda seguir cumpliendo su misión en un entorno donde las decisiones ya no son exclusivamente humanas.

Epílogo: El futuro del Compliance no es tecnológico: es institucional

El mensaje final es simple: El Compliance no desaparece. Evoluciona.

La esencia de la profesión —proteger a la organización, garantizar la integridad, anticipar riesgos— sigue siendo exactamente la misma. Lo que cambia es el terreno donde se juega esa misión.

• Antes, el riesgo estaba en las personas. Ahora, también está en los sistemas automáticos.
• Antes, los controles eran documentos de texto. Ahora, también deben ser mecanismos integrados en los procesos informáticos.
• Antes, el Compliance trabajaba solo. Ahora, debe trabajar con Tecnología y Finanzas de forma permanente.

La transición no es una amenaza para el sector. Es una oportunidad histórica para que el Compliance recupere un papel central en la estrategia corporativa. Porque en un mundo donde las decisiones se automatizan a golpe de algoritmo, alguien debe garantizar que esa automatización sea segura, ética y responsable.

Ese alguien seguirá siendo el Compliance. Pero un Compliance renovado, ampliado y preparado para gobernar el presente sintético.