Por: CP Iván Rodríguez. Colaborador de Auditool.
Uno de los temas que más inquietudes está generando en la actualidad es el de la inteligencia artificial generativa (IAG). De acuerdo con Marcelo Granieri, quien es profesor de OBS Business School, la IAG se enfoca en la generación de contenido original a partir de datos existentes. Esta tecnología utiliza algoritmos y redes neuronales avanzadas para aprender de textos e imágenes y, luego, generar contenido nuevo y único. Si bien esta tecnología aún es incipiente, es posible que su uso incida en los modelos operativos en todas las industrias[1].
De acuerdo con un artículo recientemente publicado por la firma consultora McKinsey: las juntas directivas son responsables de supervisar el uso de la IAG en sus organizaciones independientemente del sector económico al que pertenezcan[2]. Ahora, los auditores pueden hacer las preguntas correctas a los líderes de manera que se contribuya al entendimiento de la tecnología a la vez que se gestiona su riesgo. Así, los miembros de las juntas directivas se enfrentan al desafío de saber cómo apoyar a sus CEO mientras enfrentan los cambios que la IAG ha desencadenado, pues esta tecnología se ha venido desarrollando y está siendo adoptada rápidamente.
Algunos ejemplos de ello se ven en las empresas que desarrollan aplicativos y programas de software, allí pueden usar IAG para crear líneas completas de código que forman parte de dichos programas. En los bufetes de abogados, la IAG puede responder preguntas complejas a partir de grandes archivos de documentación. En el campo científico, se pueden crear nuevas secuencias de proteínas para acelerar el descubrimiento de fármacos. Sin embargo, la tecnología plantea riesgos reales, dejando a las empresas en la incertidumbre de quedarse atrás, lo que implica la necesidad de integrar rápidamente la IAG en sus negocios, pese al temor de hacer las cosas mal. Entonces, hay que aprender a usar el valor de la IAG y, al mismo tiempo, gestionar sus riesgos.
Una de las preguntas que pueden hacer los auditores a la alta dirección es: ¿cómo afectará la IAG a la industria y a la organización en el corto y largo plazo? Atender este interrogante implica una comprensión de la tecnología y su impacto. Algunos temas sobre los que ha versado la IAG son: ingeniería de software, marketing y ventas, servicio al cliente, desarrollo de productos y se esperaría que en otras industrias haya desarrollos importantes[3].
Cabe mencionar el rápido crecimiento de algunas aplicaciones como muestra de la velocidad a la que cambia el entorno tecnológico, por ejemplo, la versión pública de ChatGPT alcanzó los 100 millones de usuarios en solo dos meses y la nueva red social de de Meta, Threads, superó los 100 millones de usuarios en menos de 5 días en el mercado, según datos de Quiver Quantitativelo, que, a la fecha, la convierte en la aplicación de más rápido crecimiento de la historia. Esto introduce otras preguntas para reflexionar:
- ¿Cómo podría cambiar el entorno competitivo?
- ¿Cómo podría beneficiarse el negocio y dónde parece vulnerable?
- ¿Hay formas de preparar la estrategia y el modelo de negocio para el futuro?
- ¿La organización está equilibrando la creación de valor con una gestión adecuada del riesgo?
Al respecto, los equipos de gestión deben proceder con un sano equilibrio entre entusiasmo y precaución[4]. La IAG plantea preocupaciones de privacidad y riesgos éticos, tales como el potencial de perpetuar el sesgo oculto en los datos que se emplearon en el entrenamiento de la inteligencia.
Otro de los riesgos es la violación de seguridad originada en las nuevas formas de ataque. Por ejemplo, el uso de deepfake (imitación de una persona en audio y/o video) simplifica la suplantación de cualquier persona de la organización incluidos los líderes de la empresa, lo que aumenta el riesgo de reputación. También existen nuevos riesgos, como el riesgo de infringir materiales protegidos por derechos de autor, marcas registradas y patentes protegidas legalmente, mediante el uso de datos recopilados por un modelo de IAG.
Así mismo, hay que considerar que la IAG puede generar información inexacta, expresándola de una manera que parece tan natural y autorizada que las inexactitudes son difíciles de detectar. Esto podría resultar peligroso, no solo para las empresas, sino para la sociedad en general. Existe una preocupación de que la IAG pueda avivar la desinformación, hecho que puede tener impactos negativos. Por lo tanto, las empresas deberán comprender el valor y los riesgos de cada caso de uso y determinar cómo se alinean con la tolerancia al riesgo de la empresa y otros objetivos.
A partir de ahí, las juntas directivas deben estar satisfechas de que la empresa haya establecido marcos legales y regulatorios para gestionar los riesgos generativos de IA, que pueden ser asumidos en toda la empresa y que estas actividades de IA se revisen, midan y auditen continuamente. También, querrán asegurarse de que existan mecanismos para explorar y evaluar continuamente los riesgos y las preocupaciones éticas que aún no se comprenden bien o incluso no son evidentes. Algunos ejemplos son:
- ¿Cómo se pondrán en marcha procesos para mitigar el riesgo de que la información incorrecta provoque una acción incorrecta o incluso perjudicial?
- ¿Cómo afectará la tecnología al empleo?
- ¿Cómo debe adecuarse la organización a la IAG?
- ¿Qué hay de los riesgos planteados por terceros que utilizan la tecnología?
Una visión temprana y clara sobre dónde podrían estar los problemas es la clave para abordarlos.
De acuerdo con el ya mencionado artículo de McKinsey, muchas empresas adoptaron un enfoque experimental para implementar generaciones anteriores de tecnología de IA, y las más interesadas en explorar sus posibilidades lanzaron planes piloto. Pero, dada la velocidad de los desarrollos dentro de la IAG y los riesgos que plantea, las empresas necesitan un enfoque más coordinado.
La alta dirección de las empresas debería considerar nombrar a un solo alto ejecutivo para que asuma la responsabilidad de la supervisión y el control de todas las actividades generativas de IA. Un segundo paso es establecer un grupo multifuncional de personas de alto nivel que representen la ciencia de datos, la ingeniería, el derecho, la ciberseguridad, el marketing, el diseño y otras funciones comerciales. Dicho equipo puede colaborar para formular e implementar una estrategia de forma rápida y amplia.
Esto promoverá la priorización de casos de uso que ofrezcan resultados rápidos y de alto impacto. A partir de entonces, se pueden desarrollar casos de uso más complejos. Es importante destacar que un enfoque coordinado también ayudará a garantizar una visión completa de los riesgos asumidos.
[1] Tomado de: https://www.obsbusiness.school/blog/que-es-la-inteligencia-artificial-generativa
[2] Disponible en: https://www.mckinsey.com/capabilities/quantumblack/our-insights/four-essential-questions-for-boards-to-ask-about-generative-ai
[3] Basado en: https://www.mckinsey.com/capabilities/quantumblack/our-insights/four-essential-questions-for-boards-to-ask-about-generative-ai
[4] A medida que los usuarios comenzaron a usar ChatGPT, muchos descubrieron que podían usarla para generar malware y phishing: https://www.pwc.com/co/es/pwc-insights/ia-generativa-limites-responsable.html
CP Iván Rodríguez - CIE AF
Auditor y consultor, diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, diplomado en Gerencia de la Calidad. Contador público (CP) de la Pontificia Universidad Javeriana con 20 años de experiencia en diversas empresas. Tiene amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool.
Bogotá D.C., Colombia.