“El uso de la IA implica gobernar, controlar y evaluar riesgos para tomar decisiones informadas”, destaca Pablo Ballarín, experto en IA de ISACA

El uso de la IA se ha convertido en una de las prioridades estratégicas para las organizaciones, pero su rápida adopción está dejando al descubierto una preocupante brecha: las empresas están implementando esta tecnología mucho más rápido de lo que son capaces de gobernarla. Así lo pone de manifiesto el avance del estudio AI Pulse Poll 2026 elaborado por ISACA, que revela importantes carencias en preparación, control y gestión del riesgo.

El informe, basado en una encuesta a 681 profesionales de confianza digital en Europa, señala que muchas organizaciones están integrando sistemas de IA en procesos clave sin contar con la infraestructura de gobernanza necesaria. Este desfase no solo plantea riesgos operativos, sino también regulatorios y reputacionales en un contexto en el que la inteligencia artificial empieza a estar sujeta a normativas más estrictas, como el Reglamento de IA de la Unión Europea.

Incapacidad de reacción ante incidentes

Uno de los datos más preocupantes del estudio es la limitada capacidad de respuesta ante incidentes relacionados con la IA. El 59% de los encuestados reconoce no saber con qué rapidez su organización podría detener un sistema de IA en caso de fallo o ataque de seguridad. Solo un 21% afirma que podría hacerlo en menos de 30 minutos.

Esto implica que, en muchos casos, un sistema comprometido podría seguir operando sin control durante un periodo crítico, con potencial impacto en decisiones automatizadas, servicios al cliente o procesos internos.

Para Pablo Ballarín, experto en inteligencia artificial de ISACA, este escenario refleja una falta de madurez preocupante: “Estamos implantando sistemas que no solo procesan información, sino que toman decisiones e incluso ejecutan acciones. Eso introduce un nivel de riesgo completamente distinto al de las tecnologías tradicionales, y exige mecanismos de control mucho más avanzados”.

Falta de comprensión y explicabilidad

El problema no se limita a la capacidad de reacción. El estudio también evidencia que las organizaciones tienen dificultades para entender qué ocurre cuando un sistema de IA falla. Solo un 42% de los profesionales confía en que su empresa podría investigar y explicar adecuadamente un incidente grave, y apenas un 11% se muestra completamente seguro.

Este déficit resulta especialmente crítico en un entorno regulado, donde la explicabilidad y la trazabilidad son requisitos clave. Sin estas capacidades, las organizaciones no solo enfrentan dificultades técnicas, sino también posibles sanciones y pérdida de confianza por parte de clientes y reguladores.

Ballarín subraya que el problema tiene una raíz estructural: “El ritmo de adopción ha sido tan rápido que no ha dado tiempo a entender completamente cómo funcionan estos sistemas ni cuáles son sus impactos reales. En muchos casos, se están utilizando algoritmos desarrollados externamente sin una evaluación completa de sus riesgos”.

Gobernanza insuficiente y responsabilidades difusas

El informe también pone el foco en la falta de gobernanza. Un 33% de las organizaciones no exige a sus empleados que informen sobre el uso de herramientas de IA en su trabajo, lo que genera lo que muchos expertos ya denominan “shadow AI”: uso no controlado ni supervisado de estas tecnologías dentro de la empresa.

Además, la responsabilidad sobre posibles fallos tampoco está clara. Uno de cada cinco encuestados no sabe quién sería el responsable último en caso de incidente, y solo un 38% apunta a la alta dirección.

“Estamos viendo una evasión de responsabilidades que puede agravarse a medida que la IA evoluciona”, advierte Ballarín. “Cuando las decisiones empiezan a delegarse en sistemas automatizados o agentes de IA, es fundamental definir quién supervisa, quién valida y quién responde ante posibles errores”.

Supervisión humana: necesaria pero insuficiente

Aunque el 40% de las organizaciones afirma que las decisiones generadas por IA son aprobadas por humanos antes de ejecutarse, y un 26% las revisa posteriormente, los expertos coinciden en que esto no es suficiente.

Uno de cada cinco encuestados no sabe quién sería el responsable último en caso de incidente, y solo un 38% apunta a la alta dirección

“La supervisión humana es importante, pero no puede ser el único mecanismo de control”, señala Ballarín. Es necesario establecer marcos de gobernanza completos que incluyan evaluación de riesgos, auditorías, inventario de herramientas y políticas claras de uso responsable”.

En este sentido, destaca la importancia de que las organizaciones identifiquen qué procesos pueden automatizarse y bajo qué condiciones, así como la necesidad de formar a los empleados sobre los riesgos asociados al uso de la IA.

Un problema que va más allá de la tecnología

Uno de los principales mensajes del estudio es que la gestión del riesgo de la IA no puede abordarse como un problema exclusivamente tecnológico. Se trata de un desafío transversal que afecta a toda la organización, desde la estrategia hasta la operación.

“Muchas empresas siguen viendo la IA como una herramienta más, cuando en realidad es un cambio de paradigma”, explica Ballarín. “No se trata solo de adoptar tecnología, sino de gobernarla, entender sus implicaciones y establecer controles adecuados”.

Este enfoque es especialmente relevante en sectores regulados, como el farmacéutico o el financiero, donde la adopción de la IA debe cumplir requisitos estrictos y estar alineada con marcos éticos y normativos. En otros sectores con menos control, el problema puede ser mayor.

La urgencia de actuar

El estudio concluye que la brecha entre adopción y gobernanza no solo persiste, sino que sigue ampliándose. En un contexto en el que la IA está cada vez más integrada en los procesos de negocio, esta situación reduce el margen de maniobra de las organizaciones y aumenta su exposición al riesgo.

Para hacer frente a este desafío, ISACA insiste en la necesidad de reforzar la gobernanza, definir responsabilidades claras y desarrollar capacidades internas. En esta línea, la organización ha impulsado nuevas certificaciones específicas en IA orientadas a cubrir las carencias detectadas.

“Las organizaciones que quieran aprovechar todo el potencial de la IA necesitan recuperar el control”, concluye Ballarín. “Eso pasa por gobernar, evaluar riesgos y tomar decisiones informadas. Sin ese enfoque, la innovación puede convertirse en una fuente de vulnerabilidad en lugar de una ventaja competitiva”.

El informe completo de AI Pulse Poll 2026 elaborado por ISACA se publicará a lo largo del mes de mayo del presente año.