BOARD BRIEFING REPORTBanca europea & mercados financierosManagement Board Question · For Discussion

¿Dónde puede actuar la AI sin aprobación humana?

TemaAgentic AI & derechos de decisión
PúblicoManagement Board · Supervisory Board · Executive Committee
Tiempo de lectura7 minutos
Estado objetivoGREEN — cuando los límites de acción de la AI están definidos, evidenciados y son reversibles

De un vistazo

La cuestión ya no es solo el output del modelo.

La cuestión es el límite de acción.

Board Ask¿Dónde puede actuar la AI?

Situation

La AI pasa de la recomendación a la acción.

La cuestión ya no es solo el output del modelo.

La cuestión es el límite de acción.

Un workflow apoyado por AI ya no produce solamente textos, resúmenes o recomendaciones. Puede activar un paso de workflow, actualizar un registro, escalar una alerta, redactar una comunicación al cliente, priorizar un caso, recomendar una respuesta de control o preparar una acción para ejecución.

Management Summary

Agentic AI cambia la pregunta de governance. La governance tradicional de AI pregunta si un modelo es preciso, explicable, monitorizado y controlado. Agentic AI añade otra pregunta: ¿qué está autorizada a hacer la AI?

Capacidad no es permiso. Un modelo puede ser técnicamente capaz de actuar de forma autónoma. Eso no decide dónde está autorizado a actuar. El permiso debe determinarse por materialidad, reversibilidad, impacto cliente, efecto legal y risk appetite.

Human Oversight debe diseñarse. Una respuesta fuerte no es "there is a human in the loop". Una respuesta fuerte muestra dónde la AI propone, dónde ejecuta solo tras aprobación, dónde se permite autonomía bounded y dónde la acción autónoma no está permitida.

Management Report Panel

Situation in One Sentence
La cuestión es el límite de acción.
Key Issue
La governance tradicional de AI pregunta si un modelo es preciso, explicable, monitorizado y controlado. Agentic AI añade otra pregunta: ¿qué está autorizada a hacer la AI?
Primary Risk
Un modelo puede ser técnicamente capaz de actuar de forma autónoma. Eso no decide dónde está autorizado a actuar. El permiso debe determinarse por materialidad, reversibilidad, impacto cliente, efecto legal y risk appetite.
Board Ask
¿Dónde puede actuar la AI?
Target RAG
GREEN is an evidenced control boundary.

Calibración de la calidad de respuesta

GREEN Decision-grade
AMBER Parcialmente demostrado
RED No decision-grade
InventoryExiste un inventario actualizado de acciones AI.
InventoryLos AI use cases están inventariados, pero los derechos de acción no están plenamente mapeados.
Inventory“It only recommends.”
Autonomy LevelCada workflow apoyado por AI tiene un nivel de autonomía definido.
Autonomy LevelLa human review existe, pero está documentada de forma inconsistente.
Autonomy Level“A human is somewhere in the loop.”
ApprovalLos puntos de aprobación humana están mapeados por rol y autoridad.
ApprovalLos permisos técnicos existen, pero no están vinculados a business decision rights.
Approval“The workflow is internal.”
PermissionsTool access, API access y workflow permissions están controlados.
PermissionsLos exception logs existen, pero no se revisan a nivel governance.
Permissions“The user can override it.”
LoggingLas acciones se registran con actor, autorización, timestamp y resultado.
LoggingEl business ownership existe, pero no para los límites de autonomía.
Logging“The model has no final decision right.”
ExceptionsLos mecanismos de exception, override y stop están monitorizados.
ExceptionsLos stop mechanisms existen en diseño, pero no han sido probados.
Exceptions“The vendor controls the permissions.”
Board ReportingEl board reporting distingue AI assistive, advisory y action-triggering.
Board Reporting
Board Reporting“We will define human approval during rollout.”
Ownership
Ownership
Ownership“This is only a productivity tool.”

GREEN is not a human-in-the-loop label. GREEN is an evidenced control boundary.

La escalera de autonomía

La autonomía AI no es un interruptor binario. Debe calibrarse por materialidad y reversibilidad.

01
SUGGEST
La AI propone. Un humano decide y actúa. Default para acciones materiales, irreversibles o legalmente sensibles.
02
EXECUTE WITH APPROVAL
La AI prepara o ejecuta una acción solo tras aprobación humana explícita. Adecuado cuando la automatización crea eficiencia, pero la decisión sigue siendo humana.
03
BOUNDED AUTONOMY
La AI actúa de forma independiente dentro de un espacio de acción estrecho y predefinido. Adecuado para actividades reversibles, de alto volumen y estrechamente monitorizadas.
04
MONITORED AUTONOMY
La AI actúa autónomamente mientras el monitoring detecta exceptions, anomalías y boundary breaches. Solo adecuado para contextos low-risk, reversibles y completamente registrados con stop mechanisms probados.

El nivel de autonomía sigue la materialidad y reversibilidad de la acción. No sigue la capacidad del modelo.

Quién debe responder

CIO / CTOBusiness OwnerCRO / Operational RiskCompliance / Legal / DPOCISO / Technology RiskCOOInternal Audit

Nota de responsabilidad:
Technology puede habilitar autonomía.
El Business posee el impacto de la acción.
El Board necesita ver el límite.

Evidencias que el consejo debería solicitar

  1. 01AI Action Inventory
  2. 02Autonomy Level Classification
  3. 03Action Boundary Map
  4. 04Human Approval Matrix
  5. 05Tool / API Permission Register
  6. 06Decision Rights Map
  7. 07Exception and Override Log
  8. 08Client / Conduct Impact View
  9. 09Testing and Simulation Evidence
  10. 10Stop / Rollback Protocol

Señales de alerta

  • “It only recommends.”
  • “A human is in the loop.”
  • “The workflow is internal.”
  • “The user can override it.”
  • “The model has no final decision right.”
  • “The vendor controls the permissions.”
  • “We will define human approval during rollout.”
  • “This is only a productivity tool.”

Ninguna de estas afirmaciones es necesariamente falsa. Simplemente no constituyen evidencia suficiente para board-level reliance.

Camino hacia el verde

  • Derechos de acción visibles
  • Autonomía clasificada
  • Aprobación humana meaningful
  • Permisos controlados
  • Acciones reconstruibles
  • Stop mechanism probado

GREEN is not a human-in-the-loop label.
GREEN is an evidenced control boundary.

Próxima pregunta sugerida

¿Qué workflow apoyado por AI crearía mañana el mayor problema de accountability si actuara sin aprobación humana explícita — y podemos evidenciar el límite que lo impide?

Base de fuentes seleccionada

  • EU AI Act, especialmente Articles 12, 14, 15, 19, 26 y Annex III.
  • GDPR, especialmente Article 22 sobre decisiones automatizadas.
  • DORA, especialmente requisitos de ICT governance, logging, detection y continuity.
  • ESMA, Public Statement on AI and Investment Services, mayo de 2024.
  • IOSCO, Supervisory Toolkit for AI Use in Capital Markets, 2026.
  • NIST AI Risk Management Framework and Generative AI Profile.

← Todos los briefings