Por: CP Iván Rodríguez. Colaborador de Auditool
En el entorno empresarial contemporáneo, caracterizado por una creciente volatilidad, complejidad e interconexión de riesgos, las organizaciones enfrentan ahora un desafío fundamental: cómo gestionar eficazmente el riesgo sin frenar la innovación y el crecimiento. Tradicionalmente, las funciones o áreas de gobernanza, riesgo y cumplimiento (GRC) han operado (en muchos casos) como mecanismos de control reactivo, enfocados en el cumplimiento normativo y la mitigación de riesgos una vez materializados; no obstante, con la irrupción de la inteligencia artificial (IA) se está redefiniendo profundamente este paradigma. Hoy se observa que GRC ha venido evolucionando desde un enfoque retrospectivo hacia un modelo predictivo, continuo e integrado, posicionándose como una capacidad estratégica clave para la resiliencia organizacional[1].
GRC ha venido evolucionando desde un enfoque retrospectivo hacia un modelo predictivo, continuo e integrado, posicionándose como una capacidad estratégica clave para la resiliencia organizacional.
Históricamente (e infortunadamente), GRC ha sido percibido como un "mal necesario": un conjunto de controles diseñados para asegurar el cumplimiento regulatorio. Este enfoque, aunque necesario, ha generado estructuras fragmentadas, procesos manuales y una visión limitada del riesgo. La IA está cambiando radicalmente esta realidad. En lugar de centrarse en reportes y controles posteriores, un buen uso permite:
Como resultado, GRC deja de ser una función de supervisión para convertirse en una fuente de motivación estratégica, resiliencia y soporte a las decisiones de la alta dirección.
🌐 El modelo de "connected risk" (riesgo conectado)
Uno de los cambios más significativos es la transición hacia el modelo de "connected risk" (riesgo conectado), que rompe los silos tradicionales entre auditoría, cumplimiento, seguridad, gestión de riesgos y continuidad del negocio. Este modelo implica que haya:
• integración de datos, procesos y personas,
• un lenguaje común de riesgos,
• trazabilidad completa desde el riesgo inherente hasta el residual y
• una visión transversal del riesgo en toda la organización.
Actualmente las organizaciones más avanzadas están consolidando funciones de GRC en estructuras unificadas, facilitando una visión holística o integral del riesgo y mejorando la eficiencia en la toma de decisiones.
Debe tenerse en cuenta que la IA no reemplaza a los profesionales de GRC, sino que amplifica su capacidad (al igual que en otras disciplinas y áreas). Su impacto se observa en múltiples niveles:
Automatización de tareas operativas
• Comparación de marcos normativos
• Evaluación de controles
• Análisis de políticas
• Reconciliación de evidencias
Esto libera tiempo para actividades de mayor valor como el juicio profesional y la priorización estratégica.
Análisis avanzado y detección de patrones
La IA permite conectar grandes volúmenes de datos internos y externos, identificando tendencias, correlaciones y señales tempranas de riesgo.
Generación de inteligencia continua
Se pasa de reportes periódicos a monitoreo en tiempo real, lo que permite detectar anomalías y actuar antes de que los riesgos se materialicen.
Uno de los cambios más disruptivos es el paso de un enfoque de auditoría episódico a uno continuo y predictivo. Gracias a la IA, es posible detectar riesgos en tiempo real, anticipar problemas operativos y de cumplimiento y priorizar recursos de manera dinámica. Esto transforma a GRC en un sistema de alerta temprana, en lugar de un mecanismo de análisis posterior.
"Garbage in, garbage out" — La calidad de los datos es clave
Un aspecto que debe tenerse en cuenta es que el valor de la IA depende directamente de la calidad de los datos. Un principio clave es "Garbage in, garbage out" (si ingresas datos incorrectos, obtendrás resultados incorrectos). En español, es conocido como DaDa – Deshechos adentro, deshechos afuera. Para que la IA funcione adecuadamente en GRC, las organizaciones deben:
• unificar fuentes de datos,
• establecer taxonomías comunes, (criterios de clasificación, organización y jerarquización),
• garantizar integridad y trazabilidad, así como
• eliminar duplicidades y silos o repositorios sin comunicación.
Hay que tener el debido cuidado pues los sistemas modernos de GRC están evolucionando hacia plataformas centralizadas que actúan como una "fuente única de verdad".
Un área donde han surgido varios riesgos con motivo del uso de la IA es la gobernanza. Algunos de ellos son:
Por ello, surge la necesidad de una gobernanza robusta de la IA, que incluya la validación de modelos, una apropiada documentación de decisiones, la necesidad de supervisión humana obligatoria, una rigurosa evaluación de proveedores y el cumplimiento de marcos regulatorios según la jurisdicción. Un principio central que deben tener en cuenta, tanto la alta administración como la auditoría es que la IA debe apoyar la decisión, no reemplazarla.
GRC deja de ser visto como un obstáculo y pasa a ser un habilitador del negocio. Cuando el riesgo se entiende en contexto y se gestiona de forma integrada, se mejora la toma de decisiones, es posible acelerar la innovación, se incrementa la confianza organizacional y se fortalece la resiliencia.
Uno de los cambios más importante es conceptual. GRC deja de ser visto como un obstáculo y pasa a ser un habilitador del negocio. Esto se explica así: Cuando el riesgo se entiende en contexto y se gestiona de forma integrada, se mejora la toma de decisiones, es posible acelerar la innovación, se incrementa la confianza organizacional y se fortalece la resiliencia. Así, el riesgo deja de ser un freno y se convierte en una fuente de ventaja competitiva.
La IA puede ser un excelente primer borrador, pero es el juicio humano el que determina si tiene sentido
La convergencia entre inteligencia artificial y GRC marca un punto de inflexión en la gestión organizacional. Las empresas que adopten modelos de riesgo conectado, aseguramiento continuo y gobernanza responsable de la IA estarán mejor posicionadas para enfrentar la incertidumbre. El futuro de GRC no es solo tecnológico, sino estratégico: una combinación de datos, inteligencia artificial y juicio humano que permite anticipar riesgos, tomar mejores decisiones y generar valor sostenible. En última instancia, la IA no sustituye al profesional de auditoría o riesgo, sino que eleva su rol. Como bien se señala en el documento: La IA puede ser un excelente primer borrador, pero es el juicio humano el que determina si tiene sentido.
[1] Algunas ideas han sido tomadas de: The Resilient Enterprise: Using AI to Connect Governance, Risk, & Compliance
CP Iván Rodríguez - CIE AF
Colaborador de Auditool
Auditor y consultor, diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, diplomado en Gerencia de la Calidad. Contador público (CP) de la Pontificia Universidad Javeriana con 20 años de experiencia en diversas empresas. Tiene amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool.
Y luego Agregar a la pantalla de inicio.
Escribir un comentario