La inteligencia artificial generativa ya está dentro de las organizaciones. No como una promesa futura, sino como una realidad que analiza información, automatiza tareas, detecta riesgos e incluso influye en decisiones con impacto financiero, regulatorio y reputacional.
Si bien esta innovación es muy beneficiosa, la rapidez de su desarrollo e implementación están causando una asimetría entre velocidad tecnológica y madurez del control interno.
La IA generativa introduce riesgos que los modelos tradicionales de control no siempre capturan de forma adecuada y, cuando estos riesgos afectan a procesos críticos como operaciones, finanzas o reporting, la consecuencia es clara: se debilita la confianza en la información y en las decisiones.
Casos recientes evidencian que ya no se trata de riesgos teóricos. El mercado ya ha experimentado situaciones que abarcan desde modelos analíticos utilizados para la toma de decisiones de inversión que derivaron en adquisiciones por encima del valor real, hasta clasificaciones erróneas en el ámbito financiero con consecuencias regulatorias y sanciones millonarias, así como informes con referencias inexistentes y un impacto reputacional directo.
Sin embargo, el debate ya no está en adoptar la IA. Hoy se discute cómo hacerlo sin perder el control. Y aquí surge la gran pregunta para la alta dirección y los órganos de gobierno: ¿Podemos confiar en los resultados de la IA si no están integrados en nuestro sistema de control interno? La respuesta es clara: la IA no elimina la necesidad de control interno; lo hace más necesario que nunca.
Desde nuestro punto de vista, no es necesario crear nuevos marcos de control, sino adaptarlos a las nuevas necesidades. La clave es que, en el ámbito de la IA, el control va más allá de comprobar que el sistema funciona y debe centrarse en garantizar que sus resultados sean fiables, trazables y coherentes con los objetivos de la organización.
Referentes en buenas prácticas, como COSO y su guía para control interno sobre la IA generativa publicada recientemente, demuestran que siguen siendo plenamente válidos también para la inteligencia artificial si se adaptan adecuadamente.
Así, desde una perspectiva práctica y siguiendo las buenas prácticas y marcos de referencia en control interno, existen cinco aspectos clave para controlar y proporcionar aseguramiento sobre la integración de la IA en los procesos de la organización:
El control interno de la IA debe centrarse en su uso, no en la herramienta. No es lo mismo emplearla para tareas de bajo impacto, como resumir información, donde el riesgo se puede materializar en errores en la calidad y detalle del resultado obtenido, o utilizarla en la toma de decisiones críticas, como previsiones financieras, inversiones o detecciones de patrones de riesgo, donde los errores pueden afectar directamente a los resultados financieros de la compañía o incluso a su continuidad.
Es decir, cada aplicación práctica de la IA tiene riesgos y consecuencias distintas y, por tanto, necesita niveles de control diferentes. Por ello, identificar las herramientas y sus casos de uso en la organización permite evitar dos errores habituales: infracontrolar usos críticos o sobrerregular usos de bajo impacto.
Para poder mitigar estos riesgos, es necesario que cada uso relevante de IA esté claramente identificado y tenga un responsable asignado, que responda por los objetivos, riesgos, controles y consecuencias asociadas a su uso. Sin responsabilidad clara, el control es solo teórico.
La evaluación de riesgos de las organizaciones debe incorporar explícitamente los riesgos propios de la IA como:
La rápida evolución de la IA hace que aumente la complejidad de estas evaluaciones. Ahora deben ser dinámicas y reflejar cómo pueden amplificarse por su interacción entre sí, por ejemplo, la combinación de dependencia excesiva en la IA y una menor supervisión humana puede escalar el impacto de errores inicialmente irrelevantes.
Cuanto mayor sea el impacto del resultado generado por la IA, mayor debe ser el nivel de validación de la información que se genera.
Por ejemplo, permitir que agentes de IA ejecuten acciones sin intervención humana puede derivar en decisiones operativas críticas sin validación, como la eliminación de información relevante y de copias de seguridad. Del mismo modo, la utilización de datos incompletos o no adecuados en procesos financieros puede generar análisis incorrectos y valoraciones inadecuadas que afecten directamente al reporting financiero.
Por ello, en procesos y usos críticos, es fundamental que las organizaciones cuenten con controles que puedan asegurar la trazabilidad y calidad de la información desde la fuente de origen hasta su utilización final. En este punto, la revisión humana sigue siendo imprescindible. La eficiencia no debe sustituir al criterio profesional.
La IA cambia constantemente, por eso, los modelos de supervisión deben adaptarse a este nuevo dinamismo. Esta debe ser continua y no limitarse únicamente a la revisión de controles una vez al año, sino adaptarse e implementar indicadores que permitan detectar desviaciones, errores recurrentes o cambios relevantes a tiempo.
Los modelos implementados por la IA pueden continuar funcionando aparentemente de forma normal mientras su capacidad predictiva se deteriora gradualmente, identificando incidencias y generando recomendaciones cada vez menos fiables, sin que la organización detecte el problema hasta que el impacto es significativo. En este sentido, las funciones de aseguramiento son clave.
La IA no es solo un asunto tecnológico, también es una cuestión de gobierno corporativo. Consejos y Comités de Auditoría deben conocer los usos relevantes de la IA, entender los riesgos asociados, recibir información sobre cómo se controlan y el nivel de aseguramiento proporcionado. Y es que, integrar la IA en el sistema de control interno es una extensión natural de sus funciones de supervisión.
En definitiva, la IA generativa puede ser una gran aliada para mejorar la eficiencia, la calidad de la información y la capacidad de anticipación, pero solo lo será si se integra de manera adecuada en el sistema de control interno de las organizaciones. Esto exige combinar conocimiento tecnológico, visión de riesgos y experiencia en gobierno corporativo. Las organizaciones deben revisar y adaptar el control interno actual a la realidad de la IA, integrándolo de forma natural en los modelos existentes de gobierno, riesgos, control interno y auditoría.
En resumen, la IA debe aportar valor sin comprometer la confianza de los órganos de gobierno, de los reguladores y otros grupos de interés.
Deja un comentario