El paso inicial para analizar los riesgos de la IA en una empresa es conocer los casos de uso asociados a cada departamento. Es la fase de identificación de casos de uso, también llamada de discovery, levantamiento, inventario o registro.

El objetivo es crear un registro de casos de uso con el fin de tener una base sólida y real para el posterior análisis de riesgos.

Si la metodología de búsqueda se basa en aplicaciones o sistemas de IA, en el registro aparecerán nombres como ChatGPT, Copilot, Gemini, Claude, Midjourney y similares, pero no conoceremos el detalle de los casos de uso reales, que es donde reside el riesgo. Incluso entrando en los sistemas de IA para auditar su uso, habrá que tener en cuenta que en muchas empresas hay usos individuales, descentralizados y desconectados de la estructura de control y del modelo de cumplimiento.

La metodología basada en preguntar al negocio tiene el riesgo de que no se utilicen las preguntas adecuadas. Es el típico caso en el que una pregunta abierta y una pregunta cerrada, basada en una lista, darán resultados completamente distintos.

En este documento analizamos varias experiencias previas que ayudarán a determinar cuáles son las preguntas que debemos formular para conseguir resultados más cercanos a la realidad.