El segundo trimestre de 2023 fue un momento clave para el mercado inversor norteamericano, al revelar Bloomberg que las referencias a la inteligencia artificial durante las conversaciones mantenidas entre inversores y empresas del S&P 500 se habían incrementado en un 77%, especialmente gracias a los efectos derivados de los anuncios de Open AI con respecto a su ChatGPT.
Lógicamente, esta tendencia debe activar nuestro interés por conocer de qué manera las empresas cotizadas se refieren a la Inteligencia Artificial en sus informes y memorias anuales, y por analizar cuáles son las modificaciones estructurales que tienen previsto llevar a cabo al objeto de adaptar su compañía a un mercado regido por esta nueva realidad tecnológica.
La IA como riesgo corporativo
Uno de los principales aspectos a destacar es el que se refiere a la IA como riesgo empresarial, aspecto éste de sobra conocido y que ya comienza a tener reflejo en las declaraciones de riesgos no financieros presentados por las empresas cotizadas. Todo ello sin perjuicio del rápido desarrollo regulatorio del que estamos siendo testigos.
Uno de los principales aspectos a destacar es el que se refiere a la IA como riesgo empresarial
Consecuencia de lo anterior, hay que destacar la necesidad de análisis del riesgo inversor derivado del uso que las empresas declaren hacer de la inteligencia artificial, tanto en su actividad de negocio como es su adaptación organizativa interna y de gobierno corporativo.
Adaptación del marco de gobernanza a la IA
Reflejando la creciente importancia del impacto de la IA en las empresas y en el mercado, los principales cambios en las empresas cotizadas en cuanto a la gestión de la IA se centran en, de un lado, la incorporación de profesionales con experiencia en IA. Y, de otro lado, en las labores de supervisión del impacto de la IA por parte de los órganos de gobierno.
Sin embargo, tal actitud no debería sorprendernos. Antes, al contrario, cada vez son más las compañías que comienzan a diseñar (o actualizar) su marco de gobernanza a la nueva realidad que trae consigo la IA, básicamente porque se hace imprescindible contar con profesionales y asesores que conozcan las implicaciones, legales, éticas, tecnológicas y de negocio, que tiene esta tecnología en el mundo de la empresa y de los negocios. Pero también porque la decisión de utilizar IA y de supervisar su uso, es una responsabilidad que corresponde al órgano de gobierno de las empresas.
Cada vez son más las compañías que comienzan a diseñar (o actualizar) su marco de gobernanza a la nueva realidad que trae consigo la IA
Este análisis ya lo realizamos con respecto a la ciberseguridad, si bien la propia normativa europea (en este caso, la Directiva comúnmente conocida como NIS2 y el Reglamento DORA) atribuye, de forma expresa, la responsabilidad legal en tal materia a los órganos de gobierno de las empresas sujetas a tal regulación.
A mi juicio, podemos mantener la misma interpretación con respecto a decisiones corporativas en materias relativas a la Inteligencia Artificial, aunque la obligación más cercana es la de alfabetización, prevista en el artículo 4 del Reglamento de IA.
Gobiernos corporativos de empresas cotizadas
Según afirma la Universidad de Harvard, de septiembre de 2022 a septiembre de 2023, más del 15 % de las empresas del S&P 500 (principalmente las empresas tecnológicas y las del sector salud) reveló que sus Consejos de Administración habían optado por gestionar esta materia a través de sistemas de gobernanza y supervisión específicos.
Principalmente, se han identificado tres modalidades: (i) el modelo de gobierno basado en la supervisión directa del Consejo de Administración o a través de un comité dependiente de mismo. (ii) Un modelo centrado en la incorporación de un perfil específico con rango de director. (iii) O un modelo consistente en la creación de un comité de supervisión ética de la IA.
- (I) La supervisión directa del órgano de gobierno
La opción de supervisión directa o mediante un comité específico (de nueva creación o ampliando las funciones de uno existente), es la opción preferida por las empresas del sector financiero, con una mayor tendencia en aprovechar sus recursos de auditoría interna.
La tendencia suele ser la de ampliar las competencias de comités existentes, incorporando la gestión de riesgos de IA
En este esquema, la tendencia suele ser la de ampliar las competencias de comités existentes, incorporando la gestión de riesgos de IA. En efecto, estas funciones se sitúan en el comité de ciberseguridad, el de privacidad o el de tecnología (en empresas que dan una mayor relevancia a los riesgos tecnológicos); en el comité de auditoría o cumplimiento (al considerar más relevante el enfoque de gestión de riesgos no financieros); o, en ocasiones, delegando la responsabilidad de supervisión en un comité encargado de asuntos de política pública y/o supervisión del riesgo ambiental y social, al optar por un acercamiento a la IA en base a los impactos de la IA en estos aspectos.
- (II) El nombramiento de un director especializado
Con respecto a la opción de designar un director especializado en IA, y sin perjuicio del eventual nombramiento de un Chief AI Officer (CAIO), esta es la solución de gobernanza de la IA más empleada por las empresas cotizadas en el mercado norteamericano. En efecto, se ha constatado que, entre las empresas del S&P 500, el 13 % de las mismas tienen -al menos- un director con experiencia en IA en el órgano de gobierno; mientras que la opción de designar un comité específico dentro del Consejo de Administración se reduce hasta el 1,6%.
- (III) La creación de una Comisión Ética
La opción de crear una comisión de ética es incluso menor entre las empresas, con un 0,8% de las empresas optando por implementar esta figura. Algunas empresas han elegido esta opción, constituyendo equipos multidisciplinares, no necesariamente a nivel de Consejo de Administración, pero con un gran componente en materia de comunicación y de reputación.
Expectativas de los inversores
Aunque todavía no hay directrices claras o requisitos de publicación de información corporativa relacionada con los riegos corporativos de la IA en las empresas, en particular en las cotizadas, hay que tener en cuenta las indicaciones que, relacionadas con la IA, puedan dar las autoridades de control (pe. La CNMV) teniendo en cuenta las expectativas del mercado y de los inversores.
En el caso de la Security Exchange Commission (SEC), la elección del modelo de gobernanza de la IA debe justificarse con el acuerdo del Consejo de Administración sobre el modelo de supervisión del riesgo de IA elegido por la empresa. Sin embargo, la SEC ha proporcionado a las empresas flexibilidad para decidirse por un modelo u otro de supervisión del riesgo de IA, como hemos indicado anteriormente.
Muchos creen que las empresas deberían establecer procesos para mitigar los riesgos materiales derivados del uso de la IA
Con respecto a los inversores institucionales (caso de, por ejemplo, BlackRock, Vanguard o State Street), muchos creen que las empresas deberían establecer procesos para mitigar los riesgos materiales derivados del uso de la IA, como, por ejemplo, implementando sistemas de supervisión adecuados que puedan evolucionar en respuesta a la evolución del riesgo corporativo.
En conclusión, es importante destacar que la regulación no sólo debe pensar en la confiabilidad de la IA desde la perspectiva del usuario final, sino también debe tener en cuenta los aspectos de confianza del mercado y de los inversores en los modelos de gobernanza elegidos por las empresas y en la gestión de riesgos que reporten en sus memorias e informes al mercado.
SOBRE LA FIRMA Francisco Pérez Bes es socio en el área de Derecho Digital de Ecix Group y ex Secretario General del Instituto Nacional de Ciberseguridad (INCIBE).