Iniciar sesión
Esta nueva versión incluye como novedad la incorporación de la perspectiva de la Inteligencia Artificial generativa
La Fábrica de Pensamiento -el laboratorio de ideas del Instituto de Auditores Internos de España, que hasta el momento ha contado con la participación de más de 150 socios y expertos profesionales – ha actualizado el documento ‘Auditoría Interna de la Inteligencia Artificial aplicada a los procesos de negocio’.
Esta nueva versión aborda los casos de uso más comunes de la Inteligencia Artificial (IA) en los actuales procesos empresariales y considera las principales novedades en la regulación promovida por los legisladores en este ámbito. Además, describe los principales modelos y tipologías de IA, incluyendo la nueva perspectiva de la Inteligencia Artificial generativa.
También explica el marco de control interno y los principales riesgos a considerar por las organizaciones que utilizan tecnologías basada en IA.
Finalmente, se propone un programa de trabajo para llevar a cabo la auditoría de las estructuras de control interno diseñadas e implementadas en procesos de negocio con presencia de IA, incluyendo los principales procedimientos de auditoría sugeridos para su revisión.
El mundo empresarial está intensificando la utilización y aplicación de modelos de IA, con un amplio abanico de casos de uso. Todo ello, con el objeto de optimizar y dotar de mayor eficiencia a los procesos del negocio y mejorar los servicios ofrecidos a sus clientes. Según ‘Global Survey: The state of AI’ de McKinsey, “el uso de herramientas de IA en funciones empresariales ha subido del 50% al 56% en solo un año”.
En este contexto empresarial actual, Auditoría Interna se encuentra en un proceso de evolución en el que los riesgos y los procesos tienen un componente cada vez más tecnológico y, en particular, la implementación de modelos de Inteligencia Artificial en los procesos de negocio supone un desafío añadido que obliga a la función de Auditoría Interna a dar una respuesta adecuada, aprovechando su posicionamiento en la compañía.
En este sentido, uno de los aspectos relevantes a considerar es la necesidad de contar con profesionales de Auditoría Interna con el talento y conocimiento necesario para abordar, desde el principio, a través de auditorías sobre el diseño, proyectos de auditoría que aborden procesos de negocio con estructuras de control basadas en modelos de Inteligencia Artificial.
El desarrollo y creciente uso de la IA en distintos ámbitos privados y empresariales ha llevado a la Comisión Europea a emprender un camino hacia su regulación. Así, en mayo de 2024, el Consejo de la Unión Europea aprobó definitivamente el Reglamento de la Inteligencia Artificial, que establece un marco legal uniforme y horizontal bajo un enfoque basado en el riesgo.
De esta forma, se establece una clasificación de riesgos según el uso de la IA: riesgo inaceptable (uso prohibido), alto riesgo (uso permitido con restricciones y obligaciones), riesgo limitado (obligaciones de transparencia muy leves) y riesgo mínimo o nulo (uso libre sin regulación).
El documento señala que es importante considerar la categoría de IA Generativa como un sistema que puede ser clasificado como de alto riesgo dependiendo de su uso y alcance.
En cuanto a los modelos de IA más comunes utilizados por las organizaciones, el informe destaca: el análisis predictivo tradicional; la Inteligencia Artificial y Machine Learning; los tipos de algoritmos de Machine Learning (aprendizaje supervisado, no supervisado, por refuerzo, redes neuronales y los Modelos de Lenguaje Grande utilizados por la IA Generativa); Machine Learning Operations como respuesta a las necesidades de adaptación; arquitectura de datos y TI; y la arquitectura global en modelos de IA Generativa.
Estos modelos son desarrollados en este documento con el objetivo de proporcionar una base técnica mínima para el desarrollo de los trabajos de revisión de procesos con estructuras de Inteligencia Artificial.
En la actualización de este documento, cuya coordinación ha corrido a cargo de Daniel Tortosa Illana (ICAEW, ROAC. TELEFÓNICA BRASIL), han participado: Pablo Ausín Sánchez (PMP-PMI. INDITEX); Luis Enrique Corredera (DELOITTE), José Ignacio Díez Arocena (CIA, CISA, CFE, COSO CI, COSO ERM, CESCOM. INDEPENDIENTE), Javier Escribano Alarcón (CISA, COBIT, ITIL y PMP. REPSOL), Andrés Morales Fernández (KPMG. Borja Rioja Mata. MAPFRE) y Juan José Villar Roldán (IBERDROLA).
Además de los anteriores, también participaron en la elaboración de la versión precedente (2023): Javier Echeverría Blanco (BBVA), Alejandro Martínez Morillo (CISA, CDPSE; Lead Auditor 27001. PwC) y Jaime Sabau Jiménez (EY).
