IA en la sombra - Una preocupación creciente para los auditores

Detalles
Categoría de nivel principal o raíz: Blog
TI

Por: CP Iván Rodríguez. Colaborador de Auditool 

La adopción acelerada de herramientas de Inteligencia Artificial (IA) generativa ha dado origen a un fenómeno conocido como "IA en la sombra" (Shadow AI), que representa uno de los riesgos emergentes más relevantes para la gobernanza, el control interno y la auditoría organizacional. Se entiende por IA en la sombra al uso de herramientas de inteligencia artificial por parte de empleados, directivos o contratistas sin el conocimiento, autorización o supervisión formal de la organización. Se presenta puesto que los colaboradores suelen recurrir a aplicaciones de IA para mejorar su productividad, automatizar tareas, generar contenido, analizar datos o redactar informes, sin que estas herramientas hayan sido evaluadas por las áreas de tecnología, seguridad de la información, cumplimiento o gestión de riesgos. Algunos ejemplos frecuentes incluyen el uso de ChatGPT, Gemini, Claude o Copilot con cuentas personales, la carga de información confidencial en plataformas externas, la automatización de procesos mediante IA sin aprobación formal, la generación de análisis financieros o auditorías preliminares utilizando herramientas no autorizadas y la creación de agentes de IA conectados a bases de datos corporativas sin controles adecuados.

La IA en la sombra, más que ser un problema técnico menor, es una brecha de comportamiento humano que puede ser explotada por atacantes externos.

Ahora bien, desde la perspectiva de auditoría, la IA en la sombra introduce riesgos que pueden afectar significativamente a las organizaciones, entre ellos:

🔓 Riesgo de fuga de información

Los usuarios pueden introducir en plataformas externas, por ejemplo estados financieros, información de clientes, datos personales, estrategias corporativas, información protegida por acuerdos de confidencialidad. Esto puede generar incumplimientos a:

• Leyes de protección de datos.

• Regulaciones sectoriales.

• Contratos de confidencialidad.

• Políticas internas de seguridad.

El auditor debería preguntarse frente a este riesgo si existen controles que impidan o monitoreen la transferencia de información sensible hacia herramientas de IA externas.

🤖 Riesgo de decisiones basadas en información incorrecta

Los modelos de IA pueden producir (y de hecho han producido) hallazgos inexistentes, interpretaciones erróneas, datos ficticios ("alucinaciones"), referencias normativas incorrectas. En el caso en que los usuarios confíen ciegamente en estos resultados, pueden tomarse decisiones empresariales equivocadas.

En relación con este riesgo, el auditor debe indagar si existe un proceso de validación humana sobre los resultados generados por IA, si se aplica o recomendar su implementación.

📋 Riesgo de incumplimiento regulatorio

Ciertos sectores con alta regulación tales como el financiero, salud, gobierno e incluso auditoría y contabilidad pueden enfrentar sanciones si utilizan herramientas no autorizadas para procesar información protegida.

El auditor, al evaluar este riesgo debe preguntar (o cerciorarse) si la organización ha evaluado los requisitos regulatorios aplicables al uso de IA.

⚖️ Riesgo de sesgo y discriminación

Los algoritmos pueden generar recomendaciones sesgadas relacionadas con temas tales como contratación, evaluación de desempeño, otorgamiento de créditos, selección de proveedores, etc. Esto puede derivar en riesgos éticos, legales y reputacionales.

El auditor debe indagar si se han establecido controles para identificar y mitigar sesgos en los sistemas de IA.

🔍 Riesgo de ausencia de trazabilidad

Si la IA se utiliza informalmente, es muy probable que no existan registros de decisiones, no se documenten los prompts utilizados, ni se conserva evidencia de revisión. Estos hechos dificultan auditorías posteriores, investigaciones internas e incluso el cumplimiento normativo.

En este caso, el auditor debe establecer si la organización puede demostrar cómo se generó determinada recomendación o decisión basada en IA.

Frente a este panorama, algunas señales de alerta en el trabajo de los auditores, que podrían indicar la existencia de IA en la sombra incluyen:

Personas

Procesos

Tecnología

Empleados utilizando múltiples herramientas de IA no corporativas.

Informes con redacción homogénea y automatizada.

Tráfico hacia plataformas de IA públicas.

Incremento repentino de productividad sin procesos formalizados.

Automatizaciones desconocidas por TI.

Integraciones no autorizadas mediante API.

Uso frecuente de cuentas personales para tareas laborales.

Procesos que dependen de herramientas externas no registradas.

Uso de extensiones de navegador relacionadas con IA.

Un programa de auditoría que evalúe el tema de la IA en la sombra podría incluir:

🏛️ Gobierno

La existencia de una política corporativa de IA, determinar si hay roles y responsabilidades definidos, si se cuenta con un comité de supervisión de IA.

⚠ Gestión de riesgos

Efectuar una identificación formal de riesgos asociados y verificar el registro de herramientas autorizadas, de manera periódica.

🔒 Seguridad de la información

Verificar la clasificación de datos permitidos para IA y los controles de acceso. Efectuar labores de monitoreo sobre el uso de herramientas.

📋 Cumplimiento

Adelantar la revisión de requisitos legales, evaluar la protección de datos personales y verificar la debida atención a los derechos de propiedad intelectual.

🎓 Capacitación

Verificar las actividades de formación sobre uso responsable de IA y sensibilización sobre riesgos. Indagar acerca de los procedimientos para reportar usos no autorizados de la IA.

Las áreas de auditoría deben desempeñar un papel clave en la identificación, evaluación y supervisión de este nuevo riesgo organizacional, promoviendo un uso seguro, ético y controlado de la inteligencia artificial.

La inteligencia artificial se está abriendo camino en cada área de las organizaciones y frente a esta realidad, los equipos de gobernanza, auditoría y cumplimiento deben combatir esta amenaza creciente: la IA en la sombra. Más que ser un problema técnico menor, es una brecha de comportamiento humano que puede ser explotada por atacantes externos. Por ello, las áreas de auditoría deben desempeñar un papel clave en la identificación, evaluación y supervisión de este nuevo riesgo organizacional, promoviendo un uso seguro, ético y controlado de la inteligencia artificial.

 

CP Iván Rodríguez - CIE AF

Colaborador de Auditool

Auditor y consultor, diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, diplomado en Gerencia de la Calidad. Contador público (CP) de la Pontificia Universidad Javeriana con 20 años de experiencia en diversas empresas. Tiene amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool.

Escribir un comentario

Enviar
Aviso Cookies

Usamos cookies en nuestro sitio web. Algunas de ellas son esenciales para el funcionamiento del sitio, mientras que otras nos ayudan a mejorar el sitio web y también la experiencia del usuario (cookies de rastreo). Puedes decidir por ti mismo si quieres permitir el uso de las cookies. Ten en cuenta que si las rechazas, puede que no puedas usar todas las funcionalidades del sitio web.

De acuerdo Rechazar
× Progressive Web App | Add to Homescreen

Para instalar esta Web App en su iPhone/iPad presione el ícono. Progressive Web App | Share Button Y luego Agregar a la pantalla de inicio.

Desconectado