Problema
Las listas de “temas de IA para líderes” funcionan porque nombran la ansiedad correcta: todo parece importante a la vez. Gobierno, regulación, ROI, agentes, ciberseguridad, talento, compras, datos, transparencia, workforce, shadow AI, customer experience.
El problema es que una lista no gobierna nada.
Un comité de dirección puede leer veinte o treinta temas y salir peor que entró: más consciente del riesgo, pero sin saber qué decisión tomar el lunes. La IA no necesita otro mapa mental. Necesita una agenda ejecutiva que convierta cada tema en owner, decisión, métrica y cadencia.
Tesis
En 2026, el comité de dirección no tiene que convertirse en experto técnico. Tiene que dominar veinticinco temas lo suficiente para hacer cinco cosas bien: priorizar, financiar, limitar, exigir evidencia y cerrar lo que no funciona.
La pregunta no es “qué sabe el board sobre IA”. La pregunta útil es: “qué decisiones puede tomar sin delegar criterio en proveedores, consultores o equipos sueltos”.
Framework
El marco BRTHLS divide los 25 temas en cinco bloques. No son asignaturas. Son zonas de decisión.
| Bloque | Tema | Pregunta que debe responder dirección |
|---|---|---|
| Gobierno | 1. AI governance | Quién decide, quién responde y quién puede parar |
| Gobierno | 2. Regulación y compliance | Qué obligaciones aplican por uso, sector y territorio |
| Gobierno | 3. Clasificación de riesgo | Qué sistemas son prohibidos, alto riesgo, transparencia o bajo riesgo |
| Gobierno | 4. Decision rights | Qué decisiones puede tomar IA y cuáles requieren humano |
| Gobierno | 5. Evidencia auditable | Cómo demostramos que el sistema funcionó correctamente |
| Valor | 6. AI ROI | Qué beneficios son medibles y cuáles son teatro |
| Valor | 7. Operating model | Dónde vive IA en la operación, no en el organigrama |
| Valor | 8. Rediseño de procesos | Qué workflow cambia, desaparece o se automatiza |
| Valor | 9. Workforce redesign | Qué tareas suben de valor y cuáles se absorben |
| Valor | 10. AI literacy | Qué debe saber cada rol para usar IA sin romper control |
| Datos | 11. Data readiness | Qué datos están limpios, gobernados y disponibles |
| Datos | 12. Context architecture | Qué fuentes, permisos y memoria alimentan cada sistema |
| Datos | 13. Tool registry | Qué herramientas existen, quién las usa y con qué riesgo |
| Datos | 14. AI procurement | Qué cláusulas y evidencias exigimos a proveedores |
| Datos | 15. Integración | Cómo conecta IA con CRM, ERP, soporte, BI y operaciones |
| Riesgo | 16. Cybersecurity & AI | Qué nuevos vectores abren agentes, modelos y plugins |
| Riesgo | 17. Prompt injection y leakage | Qué datos pueden filtrarse o manipularse por instrucciones externas |
| Riesgo | 18. Bias y testing | Cómo detectamos sesgos, regresiones y degradación de calidad |
| Riesgo | 19. Transparencia y provenance | Qué outputs deben etiquetarse, explicarse o trazarse |
| Riesgo | 20. Incident response | Qué hacemos cuando IA falla en producción |
| Mercado | 21. Agentic workflows | Qué procesos empiezan a razonar, ejecutar y pedir herramientas |
| Mercado | 22. Human oversight | Qué supervisión humana es real y cuál es decorativa |
| Mercado | 23. Competitive intelligence | Cómo monitorizamos rivales que ya operan con IA |
| Mercado | 24. Search for agents | Cómo nos encuentran clientes cuando decide un agente |
| Mercado | 25. Continuous improvement | Cómo aprende el sistema sin acumular deuda invisible |
La lista se vuelve útil cuando deja de ser lista. Cada fila necesita un owner, un umbral y una decisión asociada.
Si “AI ROI” no cambia el presupuesto, es reporting. Si “AI governance” no puede parar una iniciativa, es política interna. Si “human oversight” no define quién puede anular una decisión, es decoración.
Por que importa ahora
Porque la IA ya no está entrando por un solo canal. Entra por SaaS, por copilotos, por modelos fundacionales, por automatizaciones, por agentes, por equipos creativos, por proveedores y por empleados que resuelven problemas sin esperar permiso.
El NIST AI Risk Management Framework insiste en gestionar riesgos de IA para individuos, organizaciones y sociedad, no solo en comprar tecnología fiable. ISO/IEC 42001 convierte esa idea en sistema de gestión. El Reglamento Europeo de IA obliga a mirar uso, riesgo, transparencia y supervisión. La OCDE lleva años empujando principios de transparencia, robustez y accountability. ENISA lleva tiempo alertando de que IA abre retos específicos de ciberseguridad.
Traducido a comité de dirección: no basta con preguntar “qué herramienta usamos”. Hay que preguntar “qué sistema estamos creando alrededor de esa herramienta”.
Anti-ejemplo
El anti-ejemplo es organizar una sesión ejecutiva de tres horas con estos 25 temas, terminar con un documento bonito y no cambiar nada.
Pasa mucho. Se llama madurez porque hay vocabulario nuevo, pero la operación sigue igual:
- No hay inventario de sistemas.
- No hay owner por caso de uso.
- No hay kill criteria.
- No hay trazabilidad de outputs.
- No hay evaluación recurrente.
- No hay cláusulas de proveedor.
- No hay plan de incidentes.
- No hay presupuesto ligado a ROI.
Eso no es liderazgo de IA. Es alfabetización sin control.
Protocolo (3 pasos)
-
Convierte los 25 temas en semáforo ejecutivo. Rojo significa “riesgo sin owner”. Ámbar significa “owner sin evidencia”. Verde significa “control, métrica y cadencia”.
-
Elige cinco temas para el trimestre. Un comité no puede gobernar 25 frentes a la vez. Elige los cinco que más exposición reducen o más valor desbloquean.
-
Cierra cada tema con una decisión. Presupuesto, pausa, escalado, proveedor, cambio de proceso, nuevo control o kill-switch. Si no hay decisión, no era un tema de dirección.
| Horizonte | Trabajo del comité | Resultado esperado |
|---|---|---|
| 7 días | Semáforo de 25 temas | Mapa de exposición y owners |
| 30 días | Top 5 prioridades | Backlog ejecutivo con presupuesto y fechas |
| 60 días | Evidencia y controles | Logs, métricas, proveedores y límites |
| 90 días | Revisión de valor | Seguir, corregir, escalar o cerrar |
La ventaja no está en conocer más temas. Está en convertirlos en decisiones antes que la competencia.
Relacionado
- Executive Review Stack for AI: qué debe mirar un CEO cada semana para gobernar sin teatro
- AI Operating Models en 2026: los 5 patrones que sí escalan
- Proyecto de Ley de IA en España 2026: la multa no es el problema, el inventario sí
- AI Governance Backlog: convertir riesgo en trabajo ejecutable
- Tool Registry: el mapa de riesgos que necesitan los agentes enterprise
Fuentes consultadas
- NIST: AI Risk Management Framework
- ISO: ISO/IEC 42001 AI management systems
- OECD.AI: AI Principles overview
- ENISA: Artificial Intelligence Cybersecurity Challenges
- Reglamento (UE) 2024/1689 de Inteligencia Artificial
Proximo paso
Haz el ejercicio sin slides: imprime los 25 temas, marca rojo/ámbar/verde y fuerza una decisión por cada rojo. Si salen más de cinco rojos críticos, no tienes un problema de conocimiento. Tienes un problema de sistema operativo.
Podemos convertir esa agenda en un diagnóstico ejecutivo de IA: inventario, prioridades, owners, métricas y primer backlog de 90 días.