¿Diseñando un programa de IA responsable? Empiece con esta lista

A medida que las empresas dedican recursos a la implementación de la IA, muchas se dan cuenta de que necesitan una estrategia para gestionar los riesgos éticos, reglamentarios y legales bien documentados de la tecnología. Un programa de IA responsable (o programa «RAI» para abreviar) no solo crea barreras para determinadas soluciones de IA y los equipos que las gestionan, sino que también define la política empresarial, las estructuras de gobierno, las funciones y responsabilidades, los procesos y más que permiten el despliegue a gran escala de la IA.

Hemos ayudado a empresas de la lista Fortune 500 de varios sectores a diseñar e implementar programas de RAI (a veces denominados programas de «ética de la IA», «riesgo ético de la IA» y «gobernanza de la IA»), desde la sanidad y los productos farmacéuticos hasta los seguros, el comercio electrónico, la alimentación y la bebida, la minería y más. Al hacerlo, hemos observado un patrón: las empresas se apresuran a implementar sus programas de RAI antes de terminar de diseñarlos. Los resultados son predecibles: esfuerzos ineficientes y difíciles de escalar para gestionar los riesgos éticos, legales y de reputación de la IA; desperdicio de recursos y ralentización de la innovación.

Es comprensible cómo ocurre esto. Antes de que los líderes estén preparados para invertir recursos en un programa de la RAI, quieren saber si la IA funciona para el caso de uso previsto, por lo que dejan la RAI a un lado. Nadie quiere invertir en cinturones de seguridad si no sabe si el coche se puede mover. Entonces, cuando se dan cuenta de que algunas soluciones de IA funcionan realmente y hay un verdadero ROI sobre la mesa, los riesgos que han dejado de lado se convierten en problemas urgentes. Los líderes se apresuran a implementar los programas de la RAI sin haber pensado bien si son eficientes y eficaces. Como muchos simplemente no saben cómo es un programa de la RAI sólido, los equipos suelen quedarse intentando averiguarlo sobre la marcha.

Una solución aparentemente razonable es desarrollar lo que podría llamarse un mini El programa RAI estaba dirigido únicamente a las soluciones específicas que se desplegarán. Puede haber políticas de RAI específicas para casos de uso o solución para el uso, las evaluaciones de riesgos, las métricas, etc. Es una buena medida provisional, pero con el tiempo estos miniprogramas de la RAI se vuelven difíciles de manejar e ineficientes, y las cosas pasarán desapercibidas. En este momento, si no antes, diseñar e implementar un en toda la empresa El programa RAI es necesario.

Para ayudar a los líderes a empezar bien, sugerimos una serie de preguntas que sirvan de lista de verificación para determinar si su organización está preparada para implementar, escalar y mantener un programa de RAI para toda la empresa. Si su organización puede responder «sí» a todas estas preguntas, es probable que esté en buenas condiciones de implementarlo. Si responde «no» a alguna de ellas, le recomendamos encarecidamente que retrase la implementación de su programa de RAI y espere a completar el diseño hasta que la respuesta sea sí. Si bien esto puede parecer un paso atrás, en última instancia impulsará la implementación de forma más rápida y eficaz que seguir adelante.

8 preguntas para determinar la preparación del programa de la RAI

1. ¿Ha determinado los objetivos estratégicos de su programa de la RAI?

Es importante definir lo que se considera diseñar e implementar con éxito su programa de RAI. ¿Quiere ser el mejor de su clase? ¿Patinar según los requisitos reglamentarios existentes? ¿Para estar preparado para la normativa pendiente o próxima? Las respuestas a estas preguntas tendrán un gran impacto en la implementación del programa RAI, por ejemplo, en la forma en que diseña las evaluaciones de riesgos, aumenta los flujos de trabajo, lleva a cabo las auditorías internas y más.

En relación con esto, las organizaciones tienen que decidir cómo poner en marcha sus programas de RAI en los distintos mercados, qué umbrales o puntos de referencia son adecuados en cada mercado, qué recursos están dispuestas a invertir en el programa y qué partes interesadas (vendedores, proveedores, socios, etc.) se ajustarán a estos mismos estándares.

¿Por qué importa esto? Porque la forma en que implemente su programa en varios mercados depende de los procedimientos y métricas a nivel empresarial que elija en el futuro. Si, por ejemplo, decide implementar el programa de forma coherente en todos los mercados, puede tener un conjunto uniforme de procedimientos y métricas en esos mercados. Si, por otro lado, el programa es diferente según el mercado (por ejemplo, en la forma en que se defiende el RGPD en la Unión Europea pero no en los Estados Unidos), entonces son adecuados diferentes procedimientos y parámetros de éxito.

Del mismo modo, su organización debe decidir varios umbrales, por ejemplo, para la escalación, las decisiones de paso o no, la mitigación de riesgos, etc. Determinar si se aplican los mismos umbrales en todos los mercados o si variarán según el mercado es una decisión fundamental y afecta a la forma en que se desarrolle su programa de RAI en los próximos años.

2. ¿Sus valores de la RAI están claramente relacionados con los procedimientos?

Muchas organizaciones tienen una declaración de valores de la RAI. Casi cada uno de ellos incluye el compromiso con conceptos de alto nivel como equidad, privacidad, transparencia, seguridad y responsabilidad. El problema es que, articulado de forma abstracta, los valores son imposibles de implementar.

La solución es conectar esos valores a los procedimientos. Por ejemplo, comprometerse con la equidad puede referirse, en parte, al compromiso de identificar qué partes interesadas podrían ser discriminadas en cada etapa del ciclo de vida de la IA. También puede incluir el compromiso de gestionar los resultados potencialmente discriminatorios y de consultar con las partes interesadas cuando el riesgo sea lo suficientemente alto.

Sin esta conexión con procedimientos más concretos, simplemente no está claro a qué equivalen los valores en la práctica, porque palabras como «seguridad» y «equidad» probablemente signifiquen cosas diferentes para las diferentes partes interesadas de la organización. El acuerdo sobre valores de alto nivel que significan cosas diferentes para diferentes personas crea la ilusión de un alineamiento interno. Esa ilusión se evapora cuando las organizaciones intentan implementar programas para un personal desalineado.

3. ¿Ha diseñado las métricas de la RAI (KPI y OKR)?

Si hay un punto en el que las organizaciones tropiezan, es en el diseño de métricas para medir el despliegue, el cumplimiento y el impacto del programa RAI. Pero esto es esencial cuando hablamos de implementar un programa en miles o decenas de miles de empleados (en algunos casos, más de 100 000), en docenas de países y cientos de mercados.

Hay una diferencia importante entre las métricas del propio programa de la RAI y las métricas de modelos o soluciones de IA específicos. No son solo los modelos en sí los que hay que medir, sino que se debe rastrear el propio programa de la RAI para garantizar el cumplimiento y la mejora. Establecer métricas que rastreen la implementación y el impacto del programa RAI, así como si los empleados lo cumplen y cómo lo cumplen, es fundamental.

Las métricas deben medir hasta qué punto:

• Los empleados conocen el programa de la RAI, incluidas las políticas y procedimientos relacionados con su función
• Cada empleado sigue el programa de la RAI, incluidas las situaciones en las que un empleado utiliza la IA él mismo o supervisa el uso de la IA por parte de otra persona
• El programa de la RAI está produciendo los impactos deseados
• Los esfuerzos por mejorar el programa de la RAI tienen éxito

Diseñar las métricas de la RAI es tan complejo como importante. Las decisiones importantes de alto nivel incluyen:

• ¿Qué vale la pena medir y qué métricas se utilizarán?
• ¿Quién es responsable de recopilarlos y evaluarlos?
• ¿Con qué frecuencia se recopilarán las métricas?
• ¿Cuáles son los objetivos, puntos de referencia y umbrales de medición adecuados?
• ¿A qué ritmo se implementarán las métricas? Por ejemplo, las métricas de control y mejora de la calidad solo se pueden recopilar una vez que el programa esté en funcionamiento; de lo contrario, no hay nada que medir.

4. ¿Ha formado a las personas responsables de supervisar la implementación y el impacto del programa RAI?

Un comité de la RAI es un equipo interfuncional e interdepartamental compuesto por personas de diferentes partes de la organización con diferentes puntos de vista sobre estrategias, prioridades y tipos de riesgo contrapuestos. Para funcionar de forma eficaz, el equipo debe estar alineado en cuanto a cuáles son los riesgos de la IA y a cómo priorizar la distribución de los recursos para gestionar esos riesgos.

La experiencia única de los miembros del equipo es necesaria para prevenir y mitigar cada tipo de riesgo, pero también puede ser un punto débil, ya que a) cada miembro tiende a centrarse en los riesgos relacionados con su experiencia, b) algunos riesgos de la IA, especialmente los éticos, están fuera del área de especialización de cada miembro y c) los miembros no son expertos en el despliegue y la supervisión de un programa de la RAI.

[

Insight Center Collection

Collaborating with AI

How humans and machines can best work together.

](/insight-center/collaborating-with-ai)

Este último punto es especialmente importante. El comité es responsable de garantizar que el programa de la RAI se implemente adecuadamente y tenga el impacto deseado. Es un esfuerzo complejo y continuo. Las sesiones de formación o talleres en los que los equipos logren alinearse con la prioridad empresarial del programa de la RAI en relación con otras prioridades estratégicas, cuáles son los riesgos, cuáles son sus fuentes, qué umbrales y métricas de riesgo son adecuados para cada mercado o contexto de despliegue y qué marca la diferencia entre la decisión de ir o no ir, pueden desempeñar un papel fundamental a la hora de que el comité sea capaz de cumplir sus responsabilidades de manera eficiente y eficaz.

5. ¿Tiene el personal que necesita?

Uno de los requisitos más importantes de un programa de la RAI es precisamente el aspecto que nadie quiere cumplir: garantizar que el programa se escala y se mantiene de manera que reduzca el riesgo de manera significativa. Y uno de los principales obstáculos es que no hay nadie en la empresa que tenga las habilidades y los conocimientos para realizar este trabajo. Incluso el personal actual de control de calidad y control de calidad y auditoría no está a la altura de la tarea si no está formado para una IA responsable en particular, incluida la amplia gama de (fuentes de) riesgos éticos, reputacionales, reglamentarios y legales de la IA.

Hay dos caminos a seguir: contratar nuevo personal o formar a los equipos existentes de control de calidad, inteligencia artificial y auditoría. Según nuestra experiencia, nadie quiere contratar personal nuevo, al menos para empezar. Formar al personal existente es menos caro y menos disruptivo y, siempre y cuando puedan realizar el trabajo adicional, es preferible. Dicho esto, las organizaciones deberían anticipar la necesidad de contratar personal en esta área a medida que su programa de IA madure y, por lo tanto, cada vez más equipos de IA y de IA entren en la organización.

6. ¿Cómo armonizará su programa de la RAI con otras prioridades empresariales?

Un programa de la RAI tiene una serie de funciones que interactúan con otros aspectos de la empresa. En términos más generales, esto incluye la política, los procedimientos, la evaluación de riesgos, la mitigación de los riesgos, las métricas, el control y la mejora de la calidad de la RAI y la auditoría. Estos aspectos del programa RAI interactuarán con los programas de ciberseguridad, los programas de privacidad, otros programas de optimización de TI (por ejemplo, la computación multinube) y más. Armonizar el programa de la RAI con ellos es cuestión de garantizar que «funciona bien» con ellos. Más específicamente:

• Tiene el programa de la RAI interferir ¿con esos programas? Por ejemplo, es crucial que el programa de la RAI no sofoque innecesariamente la innovación.
• Tiene el programa de la RAI aumentar ¿esos otros programas? Por ejemplo, ¿podría aumentar el ciberprograma?
• Ya sea que el programa de la RAI interfiera o aumente otras prioridades estratégicas, ¿qué hay que modificar para que todo funcione en armonía? Esto podría incluir recursos humanos, aumento del flujo de trabajo, recursos financieros, etc.

7. ¿Ha desarrollado una hoja de ruta estratégica de la RAI?

Necesita una hoja de ruta estratégica de la RAI que articule, entre otras cosas, los pasos importantes de ejecución para todo, desde el diseño hasta la implementación, la supervisión, el control de calidad y la auditoría del programa de la RAI. Esto también incluirá la presupuestación, la financiación, las personas que supervisarán, el estilo de gestión, etc. Otras preguntas de alto nivel incluyen:

• ¿La cadencia de despliegue del programa RAI será: a) en toda la empresa y de forma simultánea o b) secuencial por departamento/función?
  • Si a) va a impartir formación avanzada para todos los departamentos simultáneamente, ¿o solo se imparte simultáneamente el módulo de formación general? ¿Solo necesitará un certificado o comprobará si tienen el nivel de conocimiento adecuado?
  • Si b), ¿cuál es la secuencia o cómo va a priorizar? ¿Qué hitos se deben alcanzar para pasar a los siguientes departamentos/funciones?
• ¿Incluirá a vendedores, proveedores, socios estratégicos, miembros del consejo de administración y otras partes interesadas importantes?

8. ¿Ha diseñado un manual de implementación?

Necesita un manual de estrategias de la RAI que describa cómo ejecutará la hoja de ruta estratégica cada departamento, función, flujo de trabajo, tipo de IA y tipo de interacción de la IA. El manual también debe incluir directrices, listas de verificación, tutoriales, etc., para garantizar el cumplimiento de los procedimientos documentados. Las decisiones clave incluyen:

• ¿Cómo revisará, recalibrará o personalizará los flujos de trabajo de cada departamento?
• ¿Cómo alcanzará los objetivos descritos en la hoja de ruta estratégica?
• ¿Cómo evaluará y mitigará cada departamento los riesgos identificados?
• ¿Cómo incluirá a los vendedores, proveedores, socios estratégicos, miembros del consejo de administración y otras partes interesadas importantes?

Baby Steps

Es común que las organizaciones quieran dar «pequeños pasos» para lanzar cualquier programa empresarial. Un programa de la RAI no es la excepción. Implantar nuevas políticas, estructuras y entidades de gobierno, procedimientos, control y mejora de la calidad, auditorías internas, formación, etc. —cada una de las cuales forma parte de un programa de la RAI eficaz— es un asunto complicado.

En las grandes organizaciones, afecta a decenas de miles de empleados y a otras partes interesadas (por ejemplo, vendedores, proveedores, socios estratégicos, etc.). También compite con otras prioridades estratégicas y se enfrenta a recursos limitados. Por esta razón un despliegue gradual del programa RAI es muy recomendable. En otras palabras, dar pequeños pasos para implementar Se recomienda encarecidamente un programa de la RAI. Sin embargo, esto debe distinguirse de dar pequeños pasos en el diseño del programa. El programa debe diseñarse de la forma más completa posible antes de su implementación.

Una analogía es útil. Si al final quiere un edificio con cuatro alas, pero solo tiene los recursos para construir una de esas alas, sería mejor completar el diseño del edificio de cuatro alas y luego construir por fases que construir una sola ala y descubrir más adelante cómo hacer adiciones a lo que ya ha construido. Del mismo modo, es mejor diseñar un programa RAI completo y construir en fases que construir un poco ahora y descubrir más adelante cómo incorporar otros elementos. Afortunadamente, completar el diseño de un programa de la RAI requiere muchos menos recursos que la implementación.

Muchas organizaciones han empezado a crear sus programas de RAI y han tenido dificultades para implementarlos. En casi todos los casos, esto se debe a que los elementos existentes del programa necesitan aumentarse o hay elementos que no se han iniciado porque no hay suficiente conocimiento de lo que requiere el despliegue de un programa de RAI sólido. Si bien esta lista no es exhaustiva y, por supuesto, hay más detalles en cómo para desarrollar cada uno de los elementos enumerados anteriormente. Esperamos que ayude a trazar el terreno de la RAI con suficiente detalle como para que las organizaciones sepan adónde tienen que ir.