Por: CP Iván Rodríguez. Colaborador de Auditool.
Una de las preocupaciones actuales de directivos y supervisores, originada en la rápida adopción de la IA por parte de las organizaciones, es cómo orientar a los colaboradores en su uso responsable. Actualmente, en diferentes jurisdicciones existen leyes y normas al respecto, siendo algunas de ellas las siguientes:
- La Ley de Inteligencia Artificial - UE: Pionera en establecer un marco regulatorio para el uso, desarrollo y despliegue de sistemas de inteligencia artificial.
- Blueprint for an AI Bill of Rights (2022) – EE. UU.: Este marco proporciona directrices no vinculantes sobre derechos fundamentales relacionados con la IA, como el derecho a la privacidad, la transparencia y sistemas de IA justos.
- National AI Initiative Act (2020) – EE. UU: Se centra en la inversión en investigación y desarrollo de IA, pero también promueve principios éticos y la colaboración público-privada.
- Artificial Intelligence and Data Act (AIDA) – Canadá (propuesta): Parte del Bill C-27, esta norma busca regular sistemas de IA de alto impacto, obligando a las empresas a mitigar riesgos y asegurar la transparencia en el uso de datos.
- Regulaciones sobre algoritmos de recomendación (2022) – China: Exigen que las empresas sean transparentes sobre el funcionamiento de los algoritmos y permitan a los usuarios desactivar personalizaciones.
- AI Ethics Framework - Australia: Ofrece principios éticos para el diseño, desarrollo y despliegue de sistemas de IA, sin ser vinculante.
De manera similar, dentro de las organizaciones se ha considerado actualizar documentos como el código de conducta y las políticas internas para garantizar una gestión adecuada de riesgos, lo cual incluye orientaciones claras sobre el uso responsable de la IA. La dificultad o incapacidad para gestionar estos riesgos podría amenazar la capacidad de cumplimiento de una organización. Esta es una preocupación válida toda vez que estos documentos establecen barreras de seguridad para los colaboradores. Hoy día la mayoría de los colaboradores tienen acceso a la IA en algunos casos sin restricciones, por lo que podrían filtrar inadvertidamente datos confidenciales, usar la IA para tomar decisiones sesgadas de acuerdo con el modelo de IA o incluso usar la tecnología para redactar comunicaciones engañosas.
Los códigos de conducta y los documentos de políticas organizacionales suelen proporcionar información valiosa a las partes interesadas externas (inversores, proveedores, clientes y otras partes interesadas) que ejercen labores de supervisión una empresa y teniendo en cuenta que existe una creciente demanda por la transparencia y la explicabilidad de la IA, resulta importante su actualización para tratar el tema de las barreras de protección que se están colocando en torno al uso de la IA.
Un caso que merece especial atención es el de las firmas de auditoría. Implementar lineamientos claros para el uso de la inteligencia artificial (IA) en una firma es esencial para aprovechar su potencial sin comprometer la ética, la seguridad de la información y la calidad del trabajo. Algunas consideraciones que deben tenerse en cuenta para la orientación de los miembros de una firma son las siguientes:
- Introducción al uso de IA en la auditoría
Se debe plantear el propósito; esto es, explicar por qué la firma adopta o está adoptando herramientas de IA, destacando beneficios tales como la eficiencia, el análisis de datos avanzados y la reducción de errores. Es conveniente recalcar que la IA si bien no sustituye el juicio profesional, si lo complementa.
- Principios éticos para el uso de IA
Deben mencionarse entre otros:
- Confidencialidad: Hay que asegurarse que los colaboradores no suban información sensible o confidencial a herramientas de IA públicas.
- Transparencia: Los resultados obtenidos mediante IA deben ser claramente identificados y documentados.
- Integridad: Se debe prohibir el uso de IA para manipular datos o presentar información de manera engañosa.
- Capacitación (en lo posible obligatoria)
Es conveniente brindar cursos sobre temas como el funcionamiento básico de herramientas de IA, la evaluación de la calidad y precisión de los resultados generados, y el manejo de riesgos relacionados con datos y ciberseguridad, entre otros.
- Áreas específicas de aplicación
Se deben plantear los principales usos, entre los que se cuentan el análisis de datos, documentación de procesos y el monitoreo en la detección de irregularidades. La IA puede emplearse para identificar patrones, excepciones o riesgos en grandes volúmenes de datos, la automatización de procesos repetitivos y la clasificación de documentos o resumir contratos.
- Políticas de uso seguro
Deben plantearse algunas políticas como las siguientes:
- Aprobación de herramientas: Solo se deben usar plataformas de IA previamente aprobadas por la firma para cumplir con normativas de seguridad.
- Auditoría de herramientas: Revisión periódica de las herramientas de IA para asegurar que producen resultados consistentes y confiables.
- Seguridad de datos: Implementar prácticas como el cifrado y el uso de entornos locales para procesar datos sensibles.
- Supervisión y revisión
Se debe indicar que los resultados generados por IA siempre deben ser revisados y validados por un auditor humano antes de ser presentados al cliente. Así mismo, se deben documentar las decisiones tomadas con base en la información proporcionada por la IA.
Adicionalmente, pueden tenerse en cuenta consideraciones adicionales de acuerdo con las circunstancias propias de cada firma. Ahora bien, actualizar y emitir directrices sobre una nueva tecnología, tal como la IA, puede no ser tan sencillo. Por ello, los líderes de firmas de auditoría, así como los directivos de cumplimiento corporativo que deseen incluir orientación sobre el uso de la IA en el código de conducta, deben considerar la estructura actual del código, ejemplos prácticos de conducta esperada que ilustren situaciones previsibles, y la coherencia con los demás contenidos.
Es importante entonces que los auditores comprendan las implicaciones del uso de la IA en su trabajo y de esta manera, unas apropiadas líneas de conducta pueden favorecer su implementación y uso en beneficio de la firma y los clientes actuales y potenciales.
CP Iván Rodríguez - CIE AF
Auditor y consultor, diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, diplomado en Gerencia de la Calidad. Contador público (CP) de la Pontificia Universidad Javeriana con 20 años de experiencia en diversas empresas. Tiene amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool.
Bogotá D.C., Colombia.