¿Qué pasa con la IA y la ultima versión de ITIL? (pero en serio…)

A ver… hay versiones que evolucionan lo que ya conocíamos, y hay versiones que nos obligan a reconocer que el contexto ha cambiado (y mucho). ITIL versión 5 pertenece claramente a la segunda categoría. No porque rompa con lo anterior, sino porque introduce una idea incómoda que cuesta asumir a mucha gente: ya no estamos gestionando servicios en el sentido clásico, estamos gestionando sistemas digitales que, en muchos casos, aprenden, recomiendan y deciden (bien o mal, ese ya es otro tema).

Durante años (décadas), el relato fue relativamente estable. La tecnología era una herramienta, los procesos estructuraban su uso y las personas tomaban decisiones. Incluso cuando empezamos a hablar de transformación digital, el esquema mental apenas cambió (por mucho que insistimos e hicimos, jeje). Lo que ha hecho la inteligencia artificial es introducir una grieta (brutal) en esa lógica: La autonomía… y una vez que aparece la autonomía, todo lo demás se reconfigura. Como empieza a asumirse en muchos entornos avanzados, “la pregunta ya no es qué parte de tu servicio usa IA, sino qué parte no la usa todavía”.

El verdadero cambio es que pasamos de operar sistemas a convivir con ellos…

En este contexto, ITIL v5 da un paso que muchos marcos han evitado hacer de forma explícita (de momento, claro). Reconoce que la inteligencia artificial no es una innovación puntual, sino una condición de diseño. No se trata de añadir IA a lo que ya existe, sino de asumir que cualquier producto o servicio digital relevante ya se construye sobre capacidades de aprendizaje automático, automatización inteligente y gestión avanzada del dato (y ya sabemos de dónde han de salir los datos, recuerda…).

Esto se percibe en toda la arquitectura del modelo que plantea esta nueva versión. El sistema de valor deja de ser un mecanismo relativamente predecible y pasa a comportarse como un sistema adaptativo. Los flujos de valor ya no son solo una secuencia de actividades bien orquestadas, sino circuitos donde la información se captura, se interpreta y se reutiliza de forma continua. En otras palabras, “la operación ya no ejecuta (solo) procesos, la operación genera conocimiento (siempre que pueda)”, y ese conocimiento alimenta decisiones futuras (buenas y malas), muchas veces sin intervención directa.

Este es el punto en el que muchos modelos organizativos empiezan a tensionarse (por decirlo amablemente, jeje). Porque convivir con sistemas que aprenden implica aceptar que no todo está bajo control en todo momento, y ahí es donde aparece la primera lección incómoda de esta nueva etapa: “colaborar con la tecnología implica renunciar a control absoluto sin renunciar a responsabilidad” (asumiendo que esta parte nunca la olvidaste, claro).

ITIL dice que la IA “tiene 6 caras”…

Uno de los aportes más interesantes de ITIL v5 es su modelo de aplicaciones de la inteligencia artificial, estructurado en seis dimensiones muy claras: creación, conservación, claridad, conocimiento, comunicación y coordinación.

Lejos de ser un esquema teórico (o no tanto), este modelo describe bastante bien cómo la IA se infiltra en la organización. La creación es la parte más visible, la generación de contenido, soluciones o decisiones. Pero rápidamente aparece la conservación, que recuerda que todo lo generado debe almacenarse y gobernarse correctamente. Sin esta capa, el sistema se vuelve caótico.

La claridad introduce una cuestión crítica: entender lo que ocurre dentro del sistema. Porque, como ya se empieza a repetir con cierta incomodidad en proyectos reales, “si no puedes explicarlo, no deberías estar operándolo”(¡por favor!). A esto se suma el conocimiento, que transforma datos en decisiones útiles, y la comunicación, que permite integrar esas decisiones en los equipos (si dejas que fluya, claro está).

Finalmente, la coordinación conecta todo el sistema. Porque la IA no vive aislada, interactúa con procesos, personas y proveedores; y cuando falla esa coordinación, ocurre algo bastante previsible: la tecnología deja de ayudar y empieza a estorbar (eso te suena, seguro). De ahí que tenga tanto sentido esa afirmación sencilla pero contundente: “la IA no funciona por sí sola, solo funciona cuando encaja”... y por mucho que te empeñes, solo encajará si haces el trabajo correcto para que ello ocurra, y como ya he dicho muchas veces, esto no empieza con la tecnología sino con el diseño.

Pero… ¿Quién controla algo que aprende solo?

A medida que las capacidades de IA crecen, aparece un problema (mucho más) evidente. Cuanto más inteligente es el sistema, más difícil es controlarlo. Cuanta más automatización existe, menos visible es el proceso de decisión… y cuando ese proceso no se entiende, el riesgo deja de ser técnico y pasa a ser organizativo (y de esto se tiene mucho).

Aquí es donde ITIL v5, siendo muy honesto, empieza a necesitar refuerzo. Porque puede ayudar a organizar la operación, pero no profundiza lo suficiente en el control específico de la inteligencia artificial… y es precisamente ahí donde entra ISO 42001.

ISO 42001 introduce una idea que debería ser obvia (como todo lo bueno), pero que no siempre se aplica: Si la IA forma parte de tu operación, debe tratarse como un sistema de gestión formal». Esto quiere decir, con políticas, con evaluación de riesgos, con trazabilidad y con auditoría (ya eso te gusta menos, si o qué?). Esto es, básicamente, trasladar la disciplina clásica de gestión a un entorno que tiende al descontrol si no se estructura. Aquí aparece una de esas frases que, aunque suena simple, resume bien el problema: “la IA no es magia, es gestión… pero con red bull”. Es decir, amplifica todo, lo bueno y lo malo (te da alas, jaja). Por eso necesita control explícito, ya que como ocurre siempre, “lo que no gestionas explícitamente, acabará gestionándote a ti”… y claro, esto ya no le gusta a nadie en pleno 2026.

El problema deja de ser técnico y pasa a ser del negocio…

Ahora bien, si la ISO 42001 aporta control, la ISO 38507 introduce responsabilidad… y lo hace en un nivel donde muchos todavía no se sienten cómodos: El gobierno (el Governance, vamos). Este estándar deja claro que la inteligencia artificial no es un asunto del área técnica, sino un asunto estratégico (de negocio). Habla de cómo las decisiones sobre IA deben tomarse a nivel de dirección, considerando impacto, ética, riesgo y sostenibilidad. Esto cambia completamente el enfoque (Para bien. ¡No sufras!).

Porque en el momento en el que la IA entra en la toma de decisiones, entra también en la reputación de la organización… y ahí aparece una realidad que empieza a ser difícil de ignorar: “la IA no es del departamento de IT, es del comité de dirección… aunque todavía no lo sepan”… el impacto reputacional puede ser colosal, la crisis que esto puede generar no es de TI, es de la empresa. Si esto lo tienes en cuenta, pues verás con otros ojos la intervención de la norma. Es como con la protección de datos personales, las reglas de Compliance o antisoborno, etc. Parece que no, pero afectan al negocio en su totalidad.

Desde luego, esto introduce un concepto clave: La confianza. No basta con que el sistema funcione, debe ser confiable… y la confianza en sistemas basados en IA, no surge de forma espontánea. Se construye a través de gobierno, transparencia y coherencia. No hay de otra.

¿Operación, gestión y gobierno, o el caos…?

Entonces, si observamos juntos ITIL v5, ISO 42001 e ISO 38507, aparece una arquitectura muy potente. ITIL organiza la operación, ISO 42001 controla la inteligencia artificial y ISO 38507 gobierna el conjunto. Esto lo contaba el otro día en mi articulo de la oficina de gobierno y gestión de la IA.

El problema es que muchas (muchísimas) organizaciones siguen intentando separar estos planos. La operación optimiza, la gestión controla y el gobierno define. Pero la inteligencia artificial rompe esa separación. Porque aprende en la operación, pero sus efectos impactan en la estrategia.

Esto genera situaciones complejas, ya que un modelo que optimiza automáticamente puede introducir errores a gran escala (de los que cuestan la cabeza de más de uno). Una automatización mal gobernada puede afectar la experiencia de cliente en cuestión de días (y hacernos perder mucho dinero)… y una decisión difícil de explicar puede escalar a problema reputacional en horas (o minutos en realidad).

Por eso empieza a cobrar sentido una afirmación cada vez más repetida: “la IA acelera el valor, pero también acelera los errores”... y si algo se acelera las cosas, lo primero que necesitas no es más velocidad, sino más control para poder ir seguro y sin miedo.

Automatizar sin perder el control (por lo menos inténtalo)…

En este escenario, el sistema de valor de ITIL adquiere una relevancia mucho más práctica. Ya no sirve solo para explicar cómo se crea valor, sino para entender cómo se propagan las decisiones dentro del sistema. Porque donde hay IA, hay aprendizaje continuo (o debería de haber, no?)… y donde hay aprendizaje continuo, hay evolución permanente (digo yo). El problema es que esa evolución no siempre sigue los objetivos iniciales. De ahí que tenga sentido esa frase, tan sencilla como crítica: “automatizar no es el objetivo, el objetivo es automatizar sin perder el control”... claro, pero esto parte del supuesto de que antes de automatizar ya lo tenias realmente (si no, malo).

Entonces, esto nos obliga a introducir nuevas capacidades. Observabilidad, pero no solo técnica, también algorítmica. Trazabilidad en las decisiones. Capacidad de explicar resultados… y sobre todo, la disciplina para frenar cuando algo no está claro, algo que, curiosamente, suele ser lo primero que desaparece cuando se introduce presión por innovar (y lo sabes, jeje).

No olvides a las personas, la cultura y ese pequeño detalle llamado responsabilidad…

La inteligencia artificial también cambia la relación entre personas y tecnología (a mi entender, así debería ser). Antes estaba claro quién decidía (tu di que si, jeje). Ahora no siempre. Esto genera una dependencia nueva que en algunos casos resulta «peligrosa»… ya que confiar sin entender es cómodo, pero arriesgado (mucho)… y ahí aparece ese paralelismo que empieza a ser demasiado real: La confianza ciega en la IA es el nuevo «pero funciona en mi máquina». Es decir, asumir que algo es correcto simplemente porque aparentemente funciona… esto te lo sabes mejor que muchos, a qué si!

Entonces, resolver esto no es un problema tecnológico, es un problema cultural. Requiere que las organizaciones desarrollen capacidades para cuestionar, interpretar y validar… y también requiere algo aún más básico como es definir claramente responsabilidades. Quién diseña, quién valida, quién aprueba, quién monitoriza. Porque, como ocurre siempre en entornos complejos, “cuando todo el mundo usa la IA pero nadie es responsable, el problema es solo cuestión de tiempo”… antes o después, alguien hace lo que tiene que hacer.

Entonces, el servicio ya no es lo que crees…

Si damos un paso atrás, la conclusión es bastante clara. No estamos ante una evolución de la gestión de servicios, sino ante su redefinición (partiendo del supuesto de que todo lo anterior lo tenias claro, desde luego). El servicio deja de ser algo que diseñamos y operamos de forma estable, y pasa a ser algo dinámico, adaptativo, y bajo la influencia de decisiones automatizadas… y eso, nos guste o no, cambia completamente la forma en la que entendemos el valor. Tal y como resume una idea que cada vez aparece más en conversaciones estratégicas, “el servicio ya no es lo que defines, es lo que el sistema decide entregar en cada momento”… claro, en función de las necesidades, y teniendo en cuenta la cultura.

Entonces, digamos que ITIL v5 ofrece una base sólida para gestionar este nuevo entorno, la ISO 42001 aporta la disciplina para controlar la IA, y la ISO 38507 introduce el gobierno necesario para generar confianza. Estas tres perspectivas, juntas, forman un marco capaz de responder a la complejidad actual… o por lo menos te ayudarán a reducir el riesgo de manera notable.

Como te comentaba antes, el verdadero desafío no está en entender estos modelos. Está en aplicarlos de forma coherente (Sin dinámicas de «cumplimiento»=»Cumplo y miento»). Porque, al final, esta transformación no va de herramientas, ni de marcos, ni siquiera de inteligencia artificial… va de aceptar algo mucho más incómodo: “El sistema ha cambiado… y esta vez no puedes seguir gestionándolo como si no lo hubiera hecho”… ya no te salvas.

Dicho esto, espero que este articulo te haya ayudado a aclarar algo más el panorama, y en todo caso, podemos hablarlo cuando quieras.

¡¡Muchísimas gracias por haber llegado hasta aquí!! ✌🏻🙂

Facebook
Twitter
LinkedIn