La sesión de abril de Los Lunes del Instituto ha abordado uno de los retos más urgentes para las organizaciones: la transición de una adopción experimental de la Inteligencia Artificial a un modelo de gestión basado en el control, la responsabilidad y la seguridad. Para analizar este escenario, la sesión ha contado con la participación de Damián Ruiz Soriano, CISO de Singular Bank, quien ha aportado su conocimiento sobre cómo integrar estas tecnologías sin comprometer la integridad corporativa.

Durante su intervención, el experto ha dibujado un mapa de la IA ya presente en muchas entidades, desde modelos predictivos y soluciones de machine learning hasta herramientas de IA generativa, proyectos GPT a medida, sistemas RAG conectados a información corporativa o agentes con capacidad de actuación autónoma. Para Ruiz, esta rápida evolución tecnológica convive todavía con importantes carencias de gobierno, como la falta de inventario o la aparición de fenómenos de Shadow AI, que elevan la exposición a incidentes y problemas de privacidad.

Hacia un modelo de gobernanza progresivo y gestión de riesgos

Frente a este escenario, la intervención ha puesto el foco en la necesidad de avanzar hacia un marco de gobernanza progresivo y realista. Para Ruiz, es fundamental que las entidades refuercen primero sus cimientos mediante políticas claras, comités operativos y un inventario detallado de cada caso de uso. En este sentido, ha destacado la utilidad de estándares como la ISO/IEC 42001 para estructurar el control y ha insistido en la necesidad de realizar evaluaciones de impacto previas que permitan decidir, con rigor, qué sistemas pueden ser desplegados de forma segura.

El CISO de Singular Bank también ha llamado la atención sobre riesgos críticos, como la exposición de información sensible, el sesgo algorítmico, la falta de explicabilidad de los modelos o la autonomía excesiva de determinados agentes. Frente a ello, Ruiz ha defendido la necesidad de incorporar controles técnicos y organizativos específicos, tales como guardrails, trazabilidad mediante registros y esquemas de supervisión humana que permitan validar las decisiones más sensibles. Para el experto, es fundamental evitar una autonomía excesiva de los sistemas sin que exista un juicio crítico que respalde sus resultados.

La intervención ha concluido con una reflexión especialmente relevante para Auditoría Interna: la oportunidad de reforzar su papel como función clave en el gobierno de la IA, no solo auditando modelos aislados, sino evaluando el sistema completo, de extremo a extremo, desde los datos y la arquitectura hasta la operación y la toma de decisiones. Todo ello apunta a una conclusión clara: la Inteligencia Artificial ya forma parte de la operativa de las organizaciones y exige avanzar desde la experimentación hacia un modelo estable de gobierno y gestión del riesgo. En este camino, Auditoría Interna deberá adoptar un enfoque progresivo, práctico y ajustado al nivel de madurez de cada entidad, incorporando además una visión integral que permita revisar no solo los modelos, sino el conjunto del sistema. A ello se suma la necesidad de seguir reforzando capacidades, criterios y formación continua para responder con solvencia a un entorno de creciente complejidad.

Ver video resumen
Ver sesión completa en AUDITORES INTERNOS TV

Inscribirme a la sesión