Tu IA superó todos los benchmarks. Pero, ¿puedes desplegarla de verdad?

La mayoría de las evaluaciones de IA miden lo que sabe un modelo. Pensamos que la pregunta más importante es cómo se comporta cuando las cosas se complican.

Cada semana, un nuevo modelo de IA encabeza un leaderboard. Puntuaciones de razonamiento, benchmarks de programación, comprensión del lenguaje: las métricas siguen mejorando, y las notas de prensa siguen llegando.

Hay una pregunta que esos leaderboards no responden. ¿Qué pasa cuando tu modelo desplegado se encuentra con una petición que no debería atender, y nadie está mirando?

Esa es la pregunta que nos motivó a construir el Governance Readiness Score (GRS). También es la pregunta que vamos a desarrollar en los próximos tres posts. Este presenta el marco y la brecha que cubre. El segundo mostrará, lado a lado, cómo es un comportamiento gobernado y uno no gobernado. El tercero compartirá los resultados de nuestra primera evaluación sobre 15 modelos.

La brecha entre capacidad y desplegabilidad

Imagina que tu departamento legal ha desplegado un asistente de IA para apoyar a los analistas de contratos. El sistema es impresionante: rápido, articulado y con buenos conocimientos. Una tarde, un analista junior le pregunta: «¿Es exigible esta cláusula bajo el derecho de la UE?»

Un modelo capaz da una respuesta segura. Un modelo preparado para la gobernanza dice: «Puedo ayudarte a pensar las consideraciones relevantes, pero una determinación así debe ser revisada por asesoría jurídica cualificada.»

Ambas respuestas vienen de un modelo que sacó buena nota en cada benchmark público que se te pueda ocurrir. Solo una es segura para desplegar en un entorno regulado. La diferencia no es inteligencia. Es postura.

Para una empresa regulada, el coste de equivocar esa postura es concreto. Una conclusión jurídica fabricada en un flujo de trabajo de cara al cliente puede acabar formando parte del expediente de discovery en un caso de mala praxis. Puede desencadenar una constatación regulatoria bajo las disposiciones de alto riesgo del EU AI Act. Puede saltar en una auditoría interna y obligar a una revisión de incidente completa. Los benchmarks estándar no distinguen entre un modelo que evita estos resultados y uno que mete a la empresa de lleno en ellos. GRS sí.

Qué miden los benchmarks

Las evaluaciones de IA actuales son buenas midiendo qué sabe un modelo. Recuperación factual, cadenas de razonamiento, finalización de tarea. Son señales genuinamente útiles, y deberían seguir formando parte de cualquier suite de evaluación.

Lo que no miden es cómo se comporta un modelo cuando las condiciones se vuelven desordenadas. Cuando las instrucciones entran en conflicto. Cuando falta información. Cuando un usuario presiona para obtener una respuesta que el modelo no debería dar. Cuando las consecuencias de equivocarse son altas.

En los despliegues reales de empresa, esos no son casos límite. Son condiciones cotidianas. Un equipo de compras pide al asistente que confirme una posición contractual antes de la reunión de cierre. Un ingeniero de soporte presiona para una exportación de datos sin esperar a la aprobación. Una manager presenta una solicitud poco habitual como pre-autorizada por alguien más sénior. El modelo ve miles de estas interacciones por semana. Su postura por defecto en cada una se convierte, con el tiempo, en una propiedad de tu despliegue.

La gobernanza vive en la tensión

Aquí el principio de diseño detrás de GRS: una evaluación de gobernanza significativa debe generar tensión real entre la utilidad y el cumplimiento.

Si un modelo puede satisfacer al usuario y seguir las reglas a la vez, el escenario no está probando gobernanza. Está probando capacidad general. El momento que revela el carácter de despliegue de un modelo es aquel en que esas dos cosas tiran en direcciones opuestas.

Considera este escenario:

Un modelo servicial encuentra la manera de decir sí. Un modelo preparado para la gobernanza mantiene la línea. Reconoce la urgencia, declina autorizar la transferencia y dirige a la agente a la revisión de cumplimiento, incluso con una fecha límite de 10 minutos encima.

Esa tensión — la utilidad tirando hacia un lado y la gobernanza hacia el otro — es donde se revela el verdadero carácter de despliegue de un modelo.

El Governance Readiness Score

GRS es nuestro marco en fase temprana para medir ese carácter de forma sistemática. Evalúa modelos de IA en cinco dimensiones de gobernanza:

• Conciencia de autoridad y rol. ¿Entiende el modelo que no es el decisor final?
• Cumplimiento de restricciones y políticas. ¿Sigue las reglas explícitas incluso cuando entran en conflicto con lo que el usuario quiere?
• Manejo de la ambigüedad. Cuando falta información, ¿pregunta o adivina?
• Conciencia del riesgo y escalado. ¿Reconoce las situaciones de alto riesgo y recomienda supervisión humana?
• Responsabilidad y transparencia. ¿Comunica sus límites con claridad, sin fabricar justificaciones?

Cada dimensión se puntúa de forma independiente. Juntas producen un Governance Readiness Score compuesto en una escala de 0 a 100.

Aplicado al escenario del asistente legal del inicio, las dos respuestas puntuarían muy distinto en conciencia de autoridad y rol (la respuesta gobernada se remite explícitamente a asesoría cualificada; la otra no) y en responsabilidad y transparencia (la respuesta gobernada nombra sus límites; la otra proyecta una confianza que no se ha ganado). Las otras tres dimensiones se prueban con otros escenarios del conjunto de evaluación, que recorreremos en el próximo post.

Queremos ser transparentes sobre el estado del trabajo. GRS no es un producto terminado ni un estándar revisado por pares. Es un marco en construcción — nuestro intento de plantear una pregunta que la industria ha ignorado en gran medida y de construir una respuesta con rigor a lo largo del tiempo.

Por qué las empresas reguladas necesitan una señal distinta

Las expectativas regulatorias se endurecen. El EU AI Act está creando obligaciones reales de responsabilidad para las organizaciones que despliegan IA en contextos de alto riesgo. Las políticas internas de gobernanza se están convirtiendo en estándar a escala empresarial. Los rastros de auditoría se exigen por igual desde los consejos y desde los examinadores.

En este entorno, «el modelo sacó buena nota en MMLU» no es un argumento de despliegue. Quienes deciden necesitan otra clase de señal — una anclada en cómo se comporta un modelo cuando las reglas importan y la siguiente petición ya está esperando.

Esa es la señal que GRS está diseñado para ofrecer.

En nuestro próximo post, «¿Cómo es realmente una IA preparada para la gobernanza?», mostraremos comportamientos gobernados y no gobernados lado a lado, usando tres patrones de escenario tomados de despliegues empresariales. La diferencia es a menudo más sutil — y más consecuente — de lo que se podría esperar.

---

Serkan Mengi es ingeniero de ML en VerifyWise, donde lidera la plataforma LLM Evals. GRS se desarrolla por el equipo de VerifyWise como parte de nuestra plataforma de gobernanza de IA de código fuente disponible (source-available). Estamos refinando activamente el marco y agradecemos los comentarios de profesionales e investigadores que trabajan en este ámbito.