Los controles de la información financiera y la Inteligencia Artificial: el talón de Aquiles para los auditores

Los controles de la información financiera y la Inteligencia Artificial: el talón de Aquiles para los auditores

La inteligencia artificial (IA), en particular la IA generativa, ha pasado en muy poco tiempo de ser una tecnología emergente a integrarse en procesos clave de las organizaciones. Hoy interviene en análisis de datos, automatización de operaciones, elaboración de informes e incluso en la toma de decisiones con impacto directo en la información financiera.

En este contexto, surge una cuestión crítica para auditores y órganos de gobierno: ¿están preparados los actuales sistemas de control interno de la información financiera (SCIIF) para gestionar los riesgos asociados al uso de la IA?

La respuesta no pasa por cuestionar los marcos existentes, sino por adaptarlos. El entorno ha cambiado: los sistemas ya no son completamente deterministas, sino probabilísticos, dinámicos y, en muchos casos, poco transparentes. Esto exige repensar cómo se diseñan, implementan y supervisan los controles.

COSO: un marco vigente en constante evolución

El marco COSO sigue siendo el referente en control interno. Sin embargo, como el propio COSO ha puesto de manifiesto en sus guías recientes sobre tecnologías emergentes, su aplicación debe evolucionar para dar respuesta a los nuevos riesgos asociados a la IA.

En este contexto, el objetivo del control interno no es solo asegurar que los procesos funcionan correctamente, sino garantizar que los resultados generados por sistemas que incorporan IA sean:

Fiables
Trazables
Explicables
Alineados con los objetivos financieros y regulatorios

Esto implica reforzar y adaptar los distintos componentes del SCIIF.

Controles transversales: reforzar la gobernanza de la IA

Los controles transversales de la organización, equivalentes a los controles a nivel entidad o ELCs, por sus siglas en inglés, constituyen la base del SCIIF. En un entorno de IA, su papel es clave para asegurar un uso controlado de la tecnología.

Su revisión debe contemplar:

Políticas claras sobre el uso de IA, delimitando su alcance en procesos financieros
Asignación de responsabilidades, incluyendo responsables de modelos y resultados
Supervisión activa por parte de la alta dirección y la Comisión de Auditoría
Integración del riesgo de IA en el mapa corporativo de riesgos

Sin una adecuada gobernanza, el uso descentralizado de herramientas puede derivar en prácticas de shadow AI, comprometiendo la fiabilidad de la información financiera.

Inventario de aplicaciones: visibilidad para controlar

Un elemento crítico, frecuentemente subestimado, es la necesidad de contar con un inventario completo de aplicaciones que incorporan IA.

En muchas organizaciones, el uso de estas herramientas ha crecido sin una supervisión centralizada, lo que dificulta evaluar su impacto en el SCIIF.

Este inventario debe permitir identificar:

Qué herramientas se utilizan (corporativas, desarrollos internos o externas)
En qué procesos financieros intervienen
Qué decisiones condicionan
Qué datos utilizan

La visibilidad es condición necesaria para el control. Sin ella, el diseño de controles resulta necesariamente incompleto.

ITGCs: asegurar la fiabilidad del entorno tecnológico

Los IT General Controls (ITGCs) siguen siendo el pilar sobre el que se sustenta la fiabilidad del sistema, pero deben adaptarse al contexto de la IA.

Los ámbitos tradicionales, como accesos, cambios, operaciones y desarrollo, adquieren nuevas implicaciones:

Gestión de accesos: control sobre quién puede interactuar con modelos y datos
Gestión de cambios: supervisión del reentrenamiento o modificación de modelos
Operaciones: monitorización continua de resultados y posibles desviaciones
Desarrollo: control del ciclo de vida de algoritmos y modelos

Las debilidades en estos controles afectan directamente a la integridad de la información financiera.

Riesgos específicos de la IA y respuesta desde el SCIIF

La IA introduce riesgos que no siempre están cubiertos por los modelos tradicionales de control. Entre los más relevantes destacan:

Fiabilidad de los resultados. Los modelos pueden generar outputs incorrectos o sesgados.
→ Respuesta: validaciones independientes, revisiones humanas y pruebas de razonabilidad.

Falta de trazabilidad. Puede ser difícil reconstruir cómo se ha obtenido un resultado.
→ Respuesta: registro de inputs, prompts, versiones de modelos y evidencias de revisión.

Calidad de los datos. Los resultados dependen directamente de los datos utilizados.
→ Respuesta: controles de calidad del dato y gobernanza de fuentes de información.

Dependencia excesiva. El uso intensivo de IA puede reducir el juicio profesional.
→ Respuesta: mantenimiento de controles manuales clave (human in the loop).

Un cambio de enfoque para auditores y órganos de gobierno

La incorporación de la IA en los procesos financieros no es solo un reto tecnológico, sino un cambio en la forma de entender el control interno.

Para el auditor, implica revisar el alcance del SCIIF, incorporar nuevos riesgos y evaluar la adecuación de los controles en un entorno más complejo. Para los órganos de gobierno, supone reforzar su papel en la supervisión y asegurarse de que el sistema evoluciona al ritmo de la tecnología.

En definitiva, la IA no reduce la necesidad de control interno, sino que incrementa su complejidad y su carácter estratégico.

Las organizaciones que aborden este reto de forma estructurada, reforzando sus controles transversales, desarrollando inventarios completos, adaptando sus ITGCs y definiendo controles específicos, estarán mejor posicionadas para garantizar la fiabilidad de su información financiera.

Porque, en la era de la inteligencia artificial, la confianza sigue dependiendo del control.

Yolanda Pérez es socia del área de Governance Risk and Compliance (GRC) en KPMG.

Paula Iraizoz es senior manager del área de Governance Risk and Compliance (GRC) en KPMG.