Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna, 2017 (vigentes hasta el 9 de enero de 2025):

La Norma 2000– Administración de la Actividad de Auditoría Interna– del IAI establece que “El Director de Auditoría Interna debe gestionar eficazmente la actividad de Auditoría Interna para asegurar que añada valor a la organización”.

Interpretación:

“La actividad de Auditoría Interna está gestionada de forma eficaz cuando:

        – …
        – Tiene en cuenta las tendencias y temas emergentes que podrían tener impacto en la organización”.

La Norma 2110.A2– Gobierno – del IAI establece que “La actividad de Auditoría Interna debe evaluar si el gobierno de tecnología de la información apoya las estrategias y objetivos de la organización”.

La Norma 2120.A1 – Gestión de Riesgos – del IAI establece que “La actividad de Auditoría Interna debe evaluar las exposiciones al riesgo referidas a gobierno, operaciones y sistemas de información de la organización, con relación a lo siguiente:

• Logro de los objetivos estratégicos de la organización;
• Fiabilidad de integridad de la información financiera y operativa;
• Eficacia y eficiencia de las operaciones y programas;
• Protección de activos;
• Cumplimiento de leyes, regulaciones, políticas, procedimientos y contratos”.

La Norma 2130.A1– Control – del IAI establece que “La actividad de Auditoría Interna debe evaluar la adecuación y eficacia de los controles en respuesta a los riesgos del gobierno, operaciones y sistemas de información de la organización, respecto de lo siguiente:

• Logro de los objetivos estratégicos de la organización;
• Fiabilidad de integridad de la información financiera y operativa;
• Eficacia y eficiencia de las operaciones y programas;
• Protección de activos;
• Cumplimiento de leyes, regulaciones, políticas, procedimientos y contratos”.

Normas Globales de Auditoría Interna, 2024 (aprobadas el 9 de enero de 2024 y entrarán en vigor el 9 de enero de 2025, aunque se recomienda su adopción temprana):

Dominio IV: Gestión de la Función de Auditoría Interna / Principio 9 Planificar estratégicamente / Norma 9.1 Comprender los procesos de gobierno, gestión de riesgos y control:

Requisitos:
“Para el desarrollo de una Estrategia y un Plan de Auditoría Interna eficaces, el Director de Auditoría Interna debe comprender los procesos de gobierno, gestión de riesgos y control.
Con el fin de comprender los procesos de gobierno, el Director de Auditoría Interna debe considerar cómo la organización:

• Establece los objetivos estratégicos y toma decisiones estratégicas y operativas.
• Supervisa la gestión de riesgos y el control.
• Promueve una cultura ética.
• Asegura la eficaz gestión del desempeño y rendición de cuentas.
• Estructura sus funciones de gestión y operaciones.
• Comunica la información de riesgos y control en toda la organización.
• Coordina las actividades y comunicaciones entre el Consejo, los proveedores internos y externos de servicios de aseguramiento, y las gerencias (management).

Para comprender los procesos de gestión de riesgos y de control, el Director de Auditoría Interna debe considerar la forma en la que la organización identifica y evalúa los riesgos significativos y selecciona los procesos de control apropiados. Esto incluye la comprensión de cómo identifica y gestiona las siguientes áreas clave de riesgos:

• Fiabilidad e integridad de la información financiera y operativa.
• Eficacia y eficiencia de las operaciones y proyectos.
• Salvaguarda de los activos.
• Cumplimiento con las leyes y regulaciones”.

Dominio IV: Gestión de la Función de Auditoría Interna / Principio 9 Planificar estratégicamente / Norma 9.4 Plan de Auditoría Interna:

Requisitos:

“[…]
El Director de Auditoría Interna debe basar el Plan de Auditoría Interna en una evaluación documentada de las estrategias, objetivos y riesgos de la organización.
El Plan de Auditoría Interna debe:

• […]
• Considerar la cobertura del gobierno de tecnología de la información, el riesgo de fraude, la eficacia de los programas de cumplimiento y ética de la organización, y otras áreas de alto riesgo.
• […]
• Ser dinámico y actualizarse de forma oportuna, en respuesta a cambios en el negocio, los riesgos, operaciones, programas, sistemas y controles, así como en la cultura de la organización.

[…]”.

El 30 de noviembre de 2022, OpenAI lanzó al mercado ChatGPT (un servicio de Inteligencia Artificial (IA) generativa basada en modelos de Aprendizaje Automático), teniendo un impacto global muy elevado por las posibilidades de aplicación reales que ofrecía, por primera vez, el despliegue de un servicio de IA con resultados muy acertados basados en gran cantidad de datos.

Desde entonces el desarrollo y salida al mercado de servicios de IA generativa por parte de diversas compañías ha evolucionado muy rápido y en muchas organizaciones se han realizado pruebas de concepto, desarrollado casos de uso y empezado a utilizar la IA generativa.

Además, algunas organizaciones ya disponían de procesos robotizados, sistemas expertos y procesos de minería de datos que han contado con desarrollos exponenciales, en los últimos años, de su base algorítmica y capacidad de computación y por tanto, cada vez, con mayores aplicaciones y resultados dentro de los procesos estratégicos, de negocio y de soporte de las organizaciones.

Todas estas aplicaciones de modelos de IA tienen una serie de riesgos comunes entre ellos y también riesgos específicos de cada uno según su operativa.

Por ello, una de las posibles formas de comenzar los trabajos de aseguramiento por parte de Auditoría Interna respecto a la IA es con revisiones de riesgos comunes dentro del ámbito del Gobierno-Ética/Gestión de Riesgos/Cumplimiento Regulatorio. Dentro de estos ámbitos, algunos de los riesgos a tener en cuenta, por sus impactos potenciales elevados, son los siguientes:

1. Riesgo de alineación con la estrategia organizativa: ¿La utilización de IA ayuda a los objetivos estratégicos de la organización?
2. Riesgo de la Inteligencia Artificial en la sombra: ¿Todo el uso de la IA que se está haciendo en la organización cuenta con la aprobación y supervisión explícita del Departamento de Tecnologías de la Información, refrendada en los Comités correspondientes?
3. Riesgo de arquitectura de sistemas: ¿Están diferenciados y cuentan con todas las medidas de seguridad los entornos de diseño, desarrollo y pruebas de los entornos de producción?
4. Riesgo de protección de datos: ¿Todos los datos personales, tanto internos como de clientes y proveedores, y también todos los datos relacionados con decisiones estratégicas o tácticas cumplen con la normativa de protección de datos vigente y con los propios estándares internos de protección y control de datos?
5. Riesgo de fiabilidad e integridad de datos: ¿Todos los datos operativos y financieros de procesos con participación de IA, tanto de entrada como de salida, son fiables, íntegros y auditables?
6. Riesgo de sesgos: ¿Se han tenido en cuenta y gestionado los sesgos en los algoritmos programados?

En las organizaciones que hayan desplegado IA pero dispongan de Funciones de Auditoría Interna de reducida dimensión, el Director de Auditoría Interna deberá exponer al Consejo/Comisión de Auditoría los riesgos sobre IA que son necesarios auditar, los recursos de los que dispone y plantear, en su caso, la contratación de proveedores que dispongan del servicio de aseguramiento de riesgos relacionados con la IA.