TWINLADDER
TwinLadder logoTwinLadder
Back to Archive
TwinLadder Intelligence
Issue #32

TwinLadder Weekly

April 2026

TwinLadder Weekly

Numero #32 | Abril 2026

Header Image: /images/newsletter-32-seventh-pillar.jpg Credit: Photo by RODNAE Productions on Pexels (free license, no attribution required)

Por que anadimos un septimo pilar

Nota del editor

Construimos el Twin Ladder Standard con seis pilares. Concienciacion, Politica, Formacion, Herramientas, Evidencia, Gobernanza. Parecia completo. El marco cubria lo que las organizaciones necesitan saber, lo que necesitan documentar, como deben formar a su personal, que despliegan, que pueden demostrar y como lo supervisan todo.

Durante seis meses, fue suficiente.

Entonces empece a notar un patron en cada conversacion de evaluacion, en cada hilo de LinkedIn que merecia la pena leer, en cada incidente real que llegaba a las noticias. El patron era una pregunta — la misma pregunta, formulada de manera diferente cada vez, pero que siempre llegaba a la misma laguna.

La pregunta era: ¿quien autorizo a la IA a tomar esa decision?

No "quien desplego el sistema". No "quien formo al equipo". No "quien redacto la politica de gobernanza". Esas preguntas tenian respuesta en los seis pilares originales. La pregunta que no tenia cabida era mas especifica y mas peligrosa: en el momento exacto en que el sistema de IA ejecuto una accion con consecuencias — filtrar a un candidato, clasificar una alerta, puntuar un riesgo, derivar una reclamacion — ¿estaba explicitamente autorizado para hacerlo? ¿Alguien definio el limite? ¿Alguien documento lo que el sistema podia y no podia decidir?

En la mayoria de las organizaciones, la respuesta honesta era no. El sistema decidia lo que decidia porque nadie le dijo que no lo hiciera.

Eso no es gobernanza. Eso es autoridad por defecto. Y el Reglamento Europeo de IA no distingue entre la autoridad que usted delego deliberadamente y la autoridad que delego por negligencia. [cite:eu-ai-act-article4]

Este boletin explica por que anadimos un septimo pilar al Twin Ladder Standard — y que mide.

— Alex

La laguna que no se cerraba

Por Alex Blumentals, con Liga Paulina y Edgars Rozentals

Tres cosas sucedieron en el lapso de dos semanas que hicieron inevitable el septimo pilar.

Los hilos de LinkedIn

Sol Rashidi publico un post sobre el colapso del pipeline de talento — como las organizaciones estan eliminando los puestos de nivel inicial que forman a las personas que eventualmente supervisaran los sistemas de IA. Su planteamiento fue preciso: "No estamos ante una escasez de talento. La estamos fabricando". La seccion de comentarios se lleno de profesionales senior de gobernanza asintiendo, pero nadie hacia la pregunta previa: ¿quien autorizo a los sistemas de IA a absorber esos puestos en primer lugar?

Alexandra Car planteo un angulo diferente — la brecha entre los marcos de gobernanza sobre el papel y el comportamiento de gobernanza en la practica. Su argumento era que la mayoria de las organizaciones confunden la documentacion con la delegacion. Tienen politicas que describen lo que deberia ocurrir. No tienen mecanismos que impongan lo que debe ocurrir.

Catherine Gunnell lo expreso con mayor precision: "La autoridad de la IA rara vez avanza mediante aprobaciones formales. Migra silenciosamente a traves de configuraciones por defecto, umbrales, logica de enrutamiento". [cite:gunnell-mandate] Estaba describiendo lo que ahora denomino desplazamiento de autoridad (authority creep) — los sistemas de IA adquiriendo gradualmente mas alcance en la toma de decisiones del que nadie les concedio explicitamente. No mediante una decision del consejo. Mediante un interruptor de configuracion, un ajuste de umbral, un flujo de trabajo que nadie reviso despues del lanzamiento.

La historia de la banca neerlandesa

Entonces estallo el caso ING. ING anuncio que recortaria 1.250 puestos de cumplimiento AML — 950 solo en los Paises Bajos — como parte de un programa de automatizacion impulsado por IA. [cite:ing-job-cuts] ABN Amro ya habia anunciado 5.200 recortes de empleo para 2028, incluido el 35% de su division de cumplimiento AML. [cite:abn-amro-cuts]

Las cifras son significativas, pero la pregunta detras de las cifras es lo que importa.

No son puestos administrativos. Son las personas que revisan manualmente las alertas de transacciones, evaluan los informes de actividad sospechosa y deciden si escalan. La IA ahora se encarga del triaje. Filtra las alertas. Puntua el riesgo. Deriva los casos. Los humanos restantes revisan lo que el sistema presenta.

Se lo plantee a Liga.

"Segun el Articulo 4, el responsable del despliegue debe garantizar la competencia suficiente de todas las personas que operan o supervisan los sistemas de IA", dijo. [cite:eu-ai-act-article4-context] "Pero cuando la IA toma la decision de triaje — decidiendo que alertas presentar y cuales suprimir — el humano que revisa las alertas presentadas no esta supervisando la decision con consecuencias. La decision con consecuencias ya ocurrio aguas arriba".

"Entonces, ¿quien autorizo a la IA a tomar decisiones de triaje?"

Liga hizo una pausa. "Esa es la pregunta que no tiene cabida en los seis pilares originales".

Tenia razon. El Pilar 1 (Concienciacion) pregunta si las personas comprenden el riesgo de la IA. El Pilar 2 (Politica) pregunta si existen normas. El Pilar 3 (Formacion) pregunta si las personas estan preparadas. El Pilar 4 (Herramientas) pregunta que sistemas estan desplegados. El Pilar 5 (Evidencia) pregunta que se puede demostrar. El Pilar 6 (Gobernanza) pregunta quien supervisa el programa.

Ninguno de ellos pregunta: en este punto concreto de decision, ¿estaba el sistema de IA autorizado a actuar y quien definio el limite?

El caso ING es instructivo por otra razon. En 2018, ING pago una multa de 775 millones de euros — 675 millones de euros mas 100 millones de euros de decomiso — precisamente porque no financio ni doto de personal adecuadamente su programa AML. [cite:ing-fine-2018] El ministerio fiscal constato que se habia prestado "atencion insuficiente a la gestion del riesgo de cumplimiento". Ocho anos despues, el banco ha ampliado su equipo AML de 2.000 a 6.000 personas — y ahora recorta 1.250 de ellas. La razon declarada es la automatizacion mediante IA.

Un regulador podria preguntar razonablemente: ¿es esto eficiencia genuina o el pendulo vuelve a oscilar hacia "negocio por encima del cumplimiento" con una justificacion de IA?

Edgars fue directo. "Nadie en ING ha publicado un documento que diga: 'El sistema de triaje de IA esta autorizado a suprimir alertas por debajo de este umbral, y esta es la persona designada que asume la responsabilidad de esa decision'. Si ese documento existe, no lo he visto. Si no existe, la IA definio su propio alcance. E ING es responsable de lo que decida".

Que mide el Pilar 7

El septimo pilar se denomina Delegacion de Autoridad y Limites de Decision. Evalua si una organizacion ha definido, documentado y monitorizado explicitamente los limites de la autoridad de decision de la IA.

Siete preguntas de evaluacion cubren ahora ocho dimensiones. Esto es lo que evalua cada una.

Completitud del inventario de decisiones

¿Se han identificado y catalogado todos los puntos de decision asistidos o automatizados por IA en la organizacion? No se puede gobernar lo que no se ha mapeado. La mayoria de las organizaciones saben que herramientas de IA han desplegado. Muchas menos han mapeado cada punto en cada flujo de trabajo donde esas herramientas toman o influyen en decisiones.

Documentacion de limites de autoridad

Para cada punto de decision de IA, ¿estan documentados explicitamente los limites de lo que el sistema esta y no esta autorizado a hacer? Esta es la diferencia entre "desplegamos Workday Recruiting" y "Workday Recruiting esta autorizado a filtrar candidatos por coincidencia de cualificaciones, pero no esta autorizado a excluir candidatos basandose en permanencia estimada, periodos de inactividad laboral o datos demograficos inferidos".

Definicion de rutas de escalado

Cuando un sistema de IA encuentra una situacion fuera de sus limites de autoridad, ¿existe una ruta de escalado definida hacia un decisor humano? No un "pregunte a su jefe" informal — un procedimiento documentado con personas de contacto designadas y acuerdos de nivel de servicio de tiempo de respuesta. La mayoria de las organizaciones tienen rutas de escalado para fallos del sistema. Muchas menos tienen rutas de escalado para violaciones de limites de autoridad.

Capacidad de anulacion humana

¿Puede un humano anular o revertir cualquier decision asistida por IA en un plazo razonable? El Reglamento Europeo de IA enfatiza la supervision humana significativa. Si el mecanismo de anulacion no esta documentado, no ha sido probado o es practicamente imposible bajo presion temporal, la supervision es ceremonial.

Conocimiento de la delegacion por parte de los interesados

¿Saben los interesados afectados — empleados, clientes, socios — cuando estan interactuando con una decision de IA frente a una decision humana? La delegacion oculta erosiona la confianza y genera riesgo de transparencia bajo el reglamento.

Evaluacion de riesgos de la delegacion

¿Ha evaluado la organizacion los riesgos especificos de cada delegacion de autoridad? No el riesgo a nivel de herramienta (que reside en el Pilar 4), sino el riesgo a nivel de delegacion: ¿que ocurre cuando la IA toma esta decision especifica de forma incorrecta y puede el humano intervenir de manera significativa antes de que se produzca el dano?

Monitorizacion del desplazamiento de autoridad

¿Existe monitorizacion para detectar que los sistemas de IA asumen gradualmente mas alcance en la toma de decisiones del que se les delego originalmente? Este es el terreno de Catherine Gunnell — la autoridad que "migra silenciosamente a traves de configuraciones por defecto, umbrales, logica de enrutamiento". [cite:gunnell-mandate] Sin monitorizacion activa, el desplazamiento de alcance es invisible hasta que algo falla.

Cadena de responsabilidad

Para cada decision asistida por IA, ¿puede la organizacion rastrear la cadena de responsabilidad desde la salida de la IA hasta el humano que asume la responsabilidad? Si nadie es responsable del resultado de una decision de IA, la decision existe en un vacio de responsabilidad. Eso es precisamente lo que auditan los reguladores.

Como se conecta con los tres modelos de gobernanza

El boletin del mes pasado describia tres modelos de gobernanza. [cite:eu-ai-act-article4] El Modelo 1 (Instrumentacion) registra el riesgo pero no actua sobre el. El Modelo 2 (Comportamental) depende de que los humanos hagan lo correcto cada vez. El Modelo 3 (Estructural) incorpora las restricciones en el propio sistema.

El Pilar 7 es como se mide en que modelo opera realmente su organizacion — y si es defendible.

Una organizacion que puntua alto en el Pilar 7 ha realizado el trabajo del Modelo 3: ha definido los limites de autoridad, ha construido rutas de escalado, ha documentado cadenas de responsabilidad y ha establecido mecanismos de anulacion que no dependen de la consistencia humana.

Una organizacion que puntua bajo ha delegado autoridad sin saberlo — lo que significa que opera, como mucho, en el Modelo 1. Registro el despliegue. Formo al personal. Pero nunca definio lo que el sistema estaba autorizado a decidir. Y no puede demostrar, conforme al Articulo 4, que la competencia se esta ejerciendo en el punto donde las decisiones realmente ocurren.

Las multas por incumplimiento del Articulo 4 ascienden hasta 15 millones de euros o el 3% de la facturacion global. [cite:eu-ai-act-penalties] La pregunta de aplicacion no sera "¿tenian una politica de gobernanza?" Sera "en este punto de decision, ¿estaba el sistema autorizado a actuar y quien es responsable del resultado?"

Si no puede responder a esa pregunta para cada decision asistida por IA en su organizacion, el Pilar 7 es donde debe empezar.

Que cambia para las evaluaciones

El Twin Ladder Standard pasa de la v1.0 a la v1.1. Esto es lo que significa en la practica.

Siete pilares, peso igual. La puntuacion global se calcula ahora sobre siete pilares (14,3% cada uno) en lugar de seis (16,7% cada uno). Se trata de una evolucion metodologica — no de una regresion.

Umbral de cumplimiento sin cambios. El umbral de cumplimiento se mantiene en 52 (la transicion de En Desarrollo a Implementacion). El umbral fue disenado para ser independiente del numero de pilares.

Las evaluaciones existentes no se ven afectadas. Cualquier evaluacion completada bajo la v1.0 conserva su puntuacion de seis pilares. El panel de control muestra ambas vistas durante el periodo de transicion.

Las nuevas evaluaciones incluyen el Pilar 7. Siete preguntas estructuradas cubren ahora la dimension de delegacion de autoridad. La evaluacion conversacional de Alma tambien evalua los limites de autoridad como parte de la fase de exploracion de gobernanza.

Ningun competidor aisla la delegacion como dimension de evaluacion independiente. Analizamos 18 marcos de madurez de IA competidores. Varios abordan la gobernanza. Varios abordan el riesgo. Ninguno separa el acto de delegacion en si — el momento en que se concede la autoridad, los limites de esa autoridad y la monitorizacion de si sigue siendo apropiada — en un pilar medible.

Esa laguna es la razon por la que lo construimos.

Que hacer esta semana

  1. Elija su flujo de trabajo de IA de mayor riesgo. El que afecta a clientes, empleados o decisiones reguladas. Pregunte: ¿quien autorizo el alcance de decision de este sistema? No "quien aprobo la adquisicion". ¿Quien definio lo que el sistema esta autorizado a decidir?

  2. Compruebe si existe delegacion invisible. Para cada herramienta de IA en ese flujo de trabajo, pregunte: ¿que decide el sistema antes de que un humano vea algo? Si no puede responder, ha delegado autoridad que no sabia que habia delegado.

  3. Designe al humano responsable. Para cada punto de decision de IA, identifique a la persona que asume la responsabilidad si el sistema toma una decision danina. Si la respuesta es "el equipo" o "el proveedor" o silencio — eso es una laguna del Pilar 7.

  4. Pruebe sus rutas de escalado. ¿Existen? ¿Estan documentadas? ¿Han sido probadas en condiciones realistas? Si la ruta de escalado es "el analista llama a su jefe", eso es una salvaguarda comportamental, no estructural.

Empiece a medir la delegacion de autoridad

Nuestra evaluacion Quick Scan ahora incluye el Pilar 7. En 15 minutos, puede ver donde se situa su organizacion en los siete pilares — incluido si los limites de autoridad de su IA estan documentados, monitorizados y son defendibles.

Para los equipos que deseen profundizar, nuestros cursos de Articulo 4 y Foundation incluyen ahora modulos de delegacion de autoridad: ejercicios estructurados donde se mapean los limites de decision, se clasifican las salvaguardas y se construye la pista de evidencia que requiere el cumplimiento del Articulo 4.

Realice el Quick Scan gratuito | Explore nuestros cursos

Lecturas rapidas

Una pregunta

Tome el sistema de IA del que mas depende su organizacion — el que funciona cada dia, en el que su equipo confia, el que se ha convertido en parte del flujo de trabajo.

Ahora responda: ¿existe un documento, en algun lugar de su organizacion, que establezca exactamente lo que ese sistema esta autorizado a decidir y donde termina su autoridad?

Si la respuesta es si — va por delante de la mayoria. El Pilar 7 le ayudara a demostrarlo.

Si la respuesta es no — usted no ha delegado autoridad. La autoridad se delego sola. Y cuando el regulador pregunte quien es responsable del resultado, el silencio sera mas elocuente que cualquier documento de politica que pueda presentar.

TwinLadder Weekly | Numero #32 | Abril 2026

Ayudando a los profesionales europeos a desarrollar competencia en IA mediante una educacion honesta.

Previous Issue
Issue #32
TwinLadder Weekly