Por José Lagos, CEO and Managing Partner Cybertrust LATAM, PhD in Business Administration.
La transformación digital liderada por la inteligencia artificial (IA) representa una oportunidad estratégica, pero también un desafío importante para la función de auditoría interna. Esta tecnología no solo está redefiniendo los procesos organizacionales, sino también la naturaleza del control, la supervisión y la gestión del riesgo. En este nuevo contexto, es fundamental que la auditoría interna actúe como garante de confianza digital, y para ello resulta clave adoptar enfoques que integren la dimensión tecnológica, organizacional y humana. En este artículo proponemos aplicar el marco TOP (Tecnología, Organización y Personas) como herramienta de diagnóstico y planificación para evaluar la madurez de adopción de IA, anticipar riesgos emergentes y diseñar respuestas eficaces.
A diferencia de enfoques tradicionales centrados exclusivamente en la revisión de procesos y controles históricos, el marco TOP permite abordar la adopción de IA desde una perspectiva sociotécnica. Esto implica no solo auditar los sistemas tecnológicos, sino también evaluar su alineación con la cultura organizacional, la estructura de gobernanza y las competencias del capital humano involucrado.
En el ámbito tecnológico, el principal objetivo de auditoría es asegurar que los modelos de IA implementados sean transparentes, trazables, explicables y seguros. Para ello, es necesario verificar la existencia de auditorías algorítmicas o mecanismos de validación de decisiones automatizadas, evaluar los controles sobre el ciclo de vida del modelo –desde su entrenamiento hasta su despliegue y actualización–, así como revisar la calidad y procedencia de los datos utilizados para entrenar estos sistemas. También debe prestarse especial atención a las medidas de ciberseguridad aplicadas en entornos de IA, en particular cuando se trata de IA generativa o conectada a APIs externas. En este aspecto, marcos normativos como el NIST AI Risk Management Framework o la norma ISO/IEC 42001 pueden servir como referencia para estructurar una auditoría técnica robusta.
Desde la dimensión organizacional, es fundamental que la auditoría interna evalúe si la empresa gestiona adecuadamente los impactos culturales, éticos y estructurales asociados a la implementación de IA. Esto incluye la existencia de una política formal de gobernanza de IA, la participación de auditoría en comités éticos o de transformación digital, y la definición de estructuras de control para supervisar el uso de IA en áreas críticas como cumplimiento normativo, gestión de personas o decisiones financieras. También se debe considerar si existen planes efectivos de gestión del cambio que contribuyan a mitigar la resistencia interna y a fomentar una cultura de confianza en la tecnología.
En cuanto a las personas, el foco debe estar en asegurar que los profesionales involucrados –tanto auditores como usuarios de IA– cuenten con las habilidades, conocimientos y motivaciones necesarias para colaborar de forma eficaz con estos sistemas. Esto implica realizar un diagnóstico de las brechas de competencias digitales, establecer programas de formación continua en ética algorítmica, sesgos y explicabilidad, así como crear mecanismos que permitan capturar percepciones, resistencias o temores vinculados a la automatización. La claridad en los roles compartidos entre humanos y sistemas inteligentes es esencial para evitar fricciones, y conceptos como el enfoque “human-in-the-loop” pueden orientar la definición de responsabilidades y la asignación de accountability.
A partir de la aplicación del marco TOP, se pueden proponer acciones concretas para fortalecer la función de auditoría interna. En la fase de planificación, es recomendable incluir auditorías específicas sobre IA dentro del plan anual, priorizando aquellas áreas donde el impacto reputacional, ético o de cumplimiento pueda ser mayor. En términos de capacidades, se sugiere potenciar las competencias técnicas del equipo, incorporando conocimientos en ciencia de datos, análisis algorítmico y gobernanza digital. Desde una perspectiva metodológica, el uso de herramientas como minería de procesos y auditoría continua permite una evaluación más eficaz y dinámica de los sistemas basados en IA. También resulta clave fomentar la colaboración transversal con áreas como ciberseguridad, ciencia de datos y transformación digital, participando activamente en comités de innovación o gobernanza algorítmica. Finalmente, se debe avanzar hacia la creación de reportes especializados de auditoría algorítmica que puedan ser compartidos con stakeholders internos y externos para garantizar transparencia y rendición de cuentas.
En conclusión, la auditoría interna debe evolucionar desde su rol tradicional hacia una función estratégica que acompañe y supervise de forma activa la transformación digital impulsada por la inteligencia artificial. El marco TOP ofrece una visión integral que permite a los auditores evaluar no solo la robustez tecnológica de los sistemas, sino también la preparación organizacional y la disposición humana para integrarlos de forma ética, segura y eficiente. Aquellas organizaciones que adopten este enfoque no solo estarán mejor preparadas para identificar riesgos, sino que podrán generar valor real a través de una auditoría más ágil, predictiva y centrada en el futuro.
