Insights
6 min de lectura

El consejero independiente que falta en muchos consejos españoles: el de tecnología

La Recomendación 23 del Código de Buen Gobierno admite la creación de comisiones especializadas adicionales. Cada vez más consejos están descubriendo que la tecnología ya no cabe en la comisión de auditoría.

  • Temas:
  • Gobierno corporativo
  • Consejo de administración
  • Supervisión tecnológica

Durante la última década, la supervisión de la tecnología ha tenido un sitio en los consejos españoles, pero no un asiento propio. Aparecía como punto recurrente en la comisión de auditoría, o como anexo del informe de gestión, o como tema "del CIO" cuando se le invitaba al pleno una vez al año. La gobernanza era difusa porque la materia parecía pertenecer a otros.

Esa arquitectura está agotándose, y no por moda. Hay tres fuerzas regulatorias y de negocio que la están desplazando a la vez:

  1. DORA (Reglamento (UE) 2022/2554) impone al órgano de administración la supervisión activa del riesgo TIC en entidades financieras desde enero de 2025.
  2. NIS2 asigna obligaciones específicas al órgano de dirección en sectores críticos, incluido el seguimiento de medidas, formación y rendición de cuentas.
  3. EU AI Act (operativo plenamente desde agosto de 2026) requiere supervisión humana documentada y trazable de los sistemas de IA de alto riesgo.

A esto se suma el peso económico: en muchos grupos españoles, el OPEX tecnológico ya supera el 4-6 % de los ingresos y el CAPEX en transformación digital es la mayor partida de inversión discrecional. Una materia que mueve esa cantidad de capital y conlleva esa cantidad de riesgo regulatorio no cabe ya como adjunto de la comisión de auditoría sin diluirla.

Lo que dice (y permite) la Recomendación 23

El Código de Buen Gobierno de las Sociedades Cotizadas de la CNMV, en su Recomendación 23, admite que el consejo, en ejercicio de su facultad de auto-organización, constituya comisiones especializadas adicionales a las que el propio Código menciona expresamente (auditoría, nombramientos y retribuciones).

Es decir: una empresa cotizada española puede formalizar una comisión de tecnología, innovación y futuro —o de gobierno del dato y de la IA, o como decida llamarla— sin necesidad de cambio normativo. Solo necesita aprobarla por consejo y reflejarla en el reglamento interno.

La iniciativa CTIF, que sigo de cerca, está sistematizando este enfoque desde el ángulo doctrinal. Pero lo relevante aquí no es la denominación sino lo que se gana al separar la materia:

  • Foco: el consejero técnico-tecnológico deja de ser un invitado puntual y se convierte en miembro estable de un órgano que delibera sobre estrategia tecnológica, riesgo TIC, gobierno del dato e IA.
  • Trazabilidad: las decisiones quedan documentadas como decisiones de comisión, no como ítems sueltos en actas de auditoría.
  • Capacidad de exigencia: una comisión puede pedir KPIs, dashboards y comparecencias periódicas con un nivel de profundidad que un consejo plenario en pleno no puede sostener.

La pregunta que muchos consejos no se están haciendo

¿Por qué tantos consejos siguen sin formalizar este órgano si está habilitado y la necesidad es clara? Mi lectura, a partir de las conversaciones que tengo con consejeros y secretarios, es triple:

Primero, la inercia. Crear una nueva comisión implica modificar el reglamento, asumir un coste recurrente y aclarar interfaces con auditoría. Es fricción y conviene haberlo pensado.

Segundo, la disponibilidad de perfiles. Hace cinco años, un consejero independiente con perfil tecnológico-institucional era casi una rareza. Hoy es escaso pero existe, y los headhunters especializados (Russell Reynolds, Egon Zehnder, Spencer Stuart) tienen listas reales.

Tercero, la creencia residual de que "esto lo lleva el CIO". Esa frase, en consejos serios, ya no se sostiene. El CIO es ejecutivo; la supervisión debe estar en el órgano de gobierno, con independencia funcional.

Lo que aporta un consejero independiente con foco tecnológico

No es un sustituto del CIO. Es su interlocutor cualificado en el consejo, y el guardián de que la materia se trate con la profundidad que merece. En la práctica, sus aportaciones más relevantes son cuatro:

  1. Reto técnico: capacidad de cuestionar arquitecturas, vendor lock-in, deuda técnica y supuestos de ROI con conocimiento de causa.
  2. Anticipación regulatoria: traer al consejo, antes de que sea problema, los hitos del AI Act, NIS2, DORA, marcos sectoriales aplicables.
  3. Disciplina de gobierno: preguntar por inventarios, registros y métricas que muchas organizaciones aún no producen.
  4. Conexión con la realidad operativa: distinguir la diapositiva del proyecto del estado real, algo que un consejero sin experiencia ejecutiva en la materia tiene difícil.

Un consejo práctico para presidentes y consejeros coordinadores

Si está leyendo esto desde una organización donde la materia aún se trata transversalmente, mi recomendación práctica es modesta y secuencial:

  • Paso 1 (este trimestre): incorporar la materia tecnológica como punto fijo del consejo, con un dossier preparado por la dirección.
  • Paso 2 (próximos seis meses): identificar y entrevistar a 2-3 candidatos a consejero independiente con perfil tecnológico-institucional, aunque no haya vacante inmediata.
  • Paso 3 (siguiente ejercicio): valorar formalmente la creación de una comisión especializada, con reglamento propio.

No es necesario disparar primero y apuntar después. Pero tampoco se puede seguir aplazando la decisión año tras año mientras la regulación y el riesgo se intensifican.