Auditoría Interna

Auditoría interna e inteligencia artificial

Detalles

Por: Guillermo Casal. Colaborador de Auditool.

Auditoría interna e inteligencia artificial

Introducción

Recientemente he tenido acceso al excelente documento del Instituto de Auditores Internos de España titulado “Auditoría Interna de la Inteligencia Artificial aplicada a los procesos de negocio”, cuya lectura recomiendo enfáticamente.

De su lectura me han surgido una serie de reflexiones que deseo compartir en este documento.

Reformulación de la auditoría interna

En los años 80, la conversión de sistemas administrativos en informáticos implicó una reformulación drástica de los procesos y el control interno. Y la consecuente necesidad de una auditoría informática especializada.

En este momento, el avance de la inteligencia artificial vuelve a poner sobre la mesa ciertos paradigmas. El primero es mencionado en el documento del IAI España bajo el nombre de “reskilling”, la necesidad de que los auditores internos incrementen sus capacidades para estar en capacidad de examinar procesos en los cuales interviene la inteligencia artificial.

Seguidamente abordaremos otros temas desde una óptica diferente y complementaria al del documento español.

El sesgo algorítmico

Los expertos en inteligencia artificial han descubierto que la inteligencia artificial puede desarrollar vicios humanos tales como el sexismo y el racismo. Por ejemplo, atribuyendo en español el género masculino a la palabra “doctor”, que es de género neutro en inglés, y la palabra “enfermera”, en femenino, a la palabra “nurse”, que es también neutra.

De manera similar se produce un sesgo racista cuando la inteligencia artificial asocia mayormente la palabra “bonito” o “bonita”, con personas de raza blanca.

La “caja negra” y el dilema entre aprendizaje supervisado y no supervisado

El aprendizaje supervisado de la inteligencia artificial es un proceso mediante el cual se la alimenta de datos previamente etiquetados por un experto humano, de manera que, ante la llegada de nuevos datos desconocidos, la inteligencia artificial cuente con un punto de partida para clasificarlos.

En el aprendizaje no supervisado, por el contrario, se alimenta a la inteligencia artificial con datos no clasificados, y es el sistema el que identifica los correspondientes patrones.

El efecto de “caja negra”, se produce cuando el sistema desarrolla nuevas reglas de decisión desconocidas por los humanos y decide en consecuencia, pero sin explicitarlas. Por ejemplo, un sistema de inteligencia artificial, a través de la observación de múltiples lunares, llega a identificar los lunares sospechosos de ser cancerígenos con mucha mayor precisión que los dermatólogos. Pero no hay manera de que el sistema explique a los humanos cómo lo hace. Somos los humanos los que le enseñamos a la inteligencia artificial, pero lo inverso no siempre es posible.

Estas situaciones nos llevan a formularnos las siguientes preguntas:

  1. ¿Es la supervisión siempre un valor añadido, o en ocasiones es solamente un pérdida de tiempo y, peor aún, una forma de introducir sesgo en las operaciones comerciales?

Esta pregunta es relevante, porque los auditores internos tendemos a considerar a la supervisión como un paradigma de valor añadido, y la inteligencia artificial ha venido a recordarnos que no siempre lo es

  1. ¿Existe el black box o caja negra en las decisiones humanas? Desde luego que sí. Y solíamos llamarla “intuición”, lo que hacía que un trader venda y compra en cierto momento sin poder explicar la razón exacta de la decisión.

O que un médico humano pida la internación de un paciente ambulatorio solamente porque “le vio mala cara”.

¿Y cómo hemos lidiado con la intuición? Del mismo modo que lo venimos haciendo con el black box. Por resultados. Si la inteligencia artificial acierta en sus diagnósticos más que los médicos humanos, está funcionando bien. Pero los auditores bien sabemos que confiar en resultados sin entender debidamente las razones subyacentes es altamente riesgoso, y el caso de Nick Leeson llevando a la quiebra la Banca Barings fue un caso paradigmático.

La emocionalidad humana

Los humanos no nos regimos primordialmente por razonamientos, sino por emociones. Somos seres emocionales con capacidad de razonar, y no a la inversa.

La inteligencia emocional artificial está aún en sus albores, y las máquinas pueden identificar emociones en rostros humanos, pero no todavía tomar decisiones más complejas, como la integración óptima de equipos laborales humanos. Al respecto, sugiero la lectura del libro “Equipos gerenciales” del Dr. Meredith Belbin.

En este caso, un ejemplo ilustra más que un concepto. Habiendo sufrido un episodio de alta presión, fui al cardiólogo, que me recomendó una dieta rica en vegetales, hacer más ejercicio, etc.

Viendo mi cara de desazón me dijo “Ud. no piensa hacer nada de esto, verdad?” Ante mi silencio, dijo: “bien, en ese caso, sencillamente deje de consumir vino blanco y reduzca la ingesta de cerveza al mínimo posible. Esas dos medidas le darán un 80% del resultado de hacer todo lo que le recomendé anteriormente”. La inteligencia artificial no está, aún, en condiciones de detectar potenciales conflictos humanos por razones culturales. Diríamos en buen colombiano que “no tropicaliza”, en dominicano “no aplatana”, y en argentino “ no acriolla”.

Tengamos en cuenta que algunas decisiones de la inteligencia artificial, bien que óptimas desde una perspectiva racional de negocios, pueden resultar disfuncionales cuando las deben aplicar personas.

Conclusiones

  1. La inteligencia artificial no es un cambio menor, sino un salto sustancial en la forma de conducir los negocios. Los auditores internos debemos adaptarnos en consecuencia, adquiriendo las necesarias habilidades y/o incorporando a nuestros equipos a quienes ya las tengan.
  2. Hay falencias pre existentes a las cuales la inteligencia artificial nos enfrenta: el sesgo algorítmico, el valor discutible de la supervisión y las decisiones basadas en patrones no explícitos, que ya están presentes en las organizaciones pero que tratamos sintomáticamente y rara vez abordando estos factores como la causa raíz de malas decisiones.
  3. El riesgo de no abordar debidamente los temas precedentes es el del “falso aseguramiento”, por el cual la Dirección puede creer que los auditores estamos validando plenamente los problemas y sus causas raíz; cuando en realidad no los estamos abordando, o haciéndolo parcialmente. Como cuando los auditores internos abordábamos la revisión de sistemas informáticos con lotes de prueba, sin analizar la lógica de los programas, la documentación de sistemas, el control de accesos , las operaciones de computador y el respaldo de datos y procedimientos de continuidad y recuperación.

Autor: Guillermo Casal - Argentina

Contador Público y Master en Economía y Administración de Empresas en Argentina. Con más de 35 años actuando en todas las especialidades de Auditoría. Auditor Interno, Externo, Informático y Forense. Obtuvo todas las certificaciones del IIA (CIA,CCSA, CFSA, CGAP, CRMA). También la CFE (Examinador de Fraudes) y la CISA (auditor informático). Dedicado hace 15 años a la consultoría y capacitación. Fue colaborador de Luis Moreno Ocampo, exfiscal penal de la Corte Internacional de la Haya, y Stephen Walker, exagente especial del FBI.

Aviso Cookies

Usamos cookies en nuestro sitio web. Algunas de ellas son esenciales para el funcionamiento del sitio, mientras que otras nos ayudan a mejorar el sitio web y también la experiencia del usuario (cookies de rastreo). Puedes decidir por ti mismo si quieres permitir el uso de las cookies. Ten en cuenta que si las rechazas, puede que no puedas usar todas las funcionalidades del sitio web.

De acuerdo Rechazar