Control Interno

El marco COSO y la inteligencia artificial generativa

Detalles
Categoría de nivel principal o raíz: Blog
Control Interno

Por: CP Iván Rodríguez. Colaborador de Auditool

En un panorama empresarial cada vez más dominado por la innovación tecnológica, la Inteligencia Artificial Generativa (GenAI) se ha venido constituyendo en una herramienta transformadora. Su uso empieza a ser frecuente en las salas de juntas y en las operaciones diarias mucho más rápido de lo que anticipaban los modelos tradicionales de gobernanza. Las organizaciones ya están utilizando herramientas habilitadas por IA para automatizar conciliaciones, acelerar el análisis y apoyar la toma de decisiones de una manera que reduce los plazos y replantea los flujos de trabajo. Esta rápida adopción rápida conlleva una nueva clase de riesgos — desde una mayor exposición cibernética y manipulación basada en comandos (prompts) hasta razonamientos poco claros y frecuentes cambios en modelos y configuraciones, que pueden poner en peligro la integridad de operaciones, informes y cumplimiento si no se abordan con controles internos sólidos.

Frente a esta realidad, un documento publicado el pasado 23 de febrero de 2026, por parte del Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO) denominado “Logrando un Control Interno Efectivo sobre la IA Generativa (GenAI)” (Achieving Effective Internal Control OverGenerative AI [GenAI])[1], ofrece a las organizaciones un enfoque práctico y alineado con COSO para gestionar los riesgos y oportunidades que introducen las tecnologías de IA generativa en rápido avance. Este enfoque, si bien no es totalmente novedoso, en lugar de crear un nuevo marco de gobierno toma los cinco componentes y 17 principios fundamentales de COSO y los traduce en prácticas concretas aplicables a GenAI. Es así como organiza los riesgos y controles según diferentes tipos de capacidades de IA, y proporciona ejemplos prácticos, métricas, artefactos y un mapa o guía de implementación.

Ahora bien, surge la inquietud: ¿Por qué la inteligencia artificial generativa demanda un enfoque especial? La GenAI no es solo una evolución de la automatización tradicional, tal como la Automatización Robótica de Procesos (RPA). Mientras que la RPA opera de manera determinística —siguiendo reglas fijas y predecibles—, la GenAI introduce elementos de incertidumbre y complejidad que exigen una reevaluación de los controles internos. A continuación, las razones principales que distinguen a la GenAI y justifican un enfoque adaptado:

  • Probabilística, no determinística: A diferencia de sistemas que siempre producen el mismo resultado dado el mismo input, la GenAI opera con base en probabilidades. Puede parecer "segura" en pruebas iniciales, pero aun así puede generar errores o respuestas inventadas. Esto implica que los controles deben incorporar validaciones probabilísticas en lugar de binarias.
  • Dinámica: Los modelos de GenAI, los comandos o prompts, los datos de entrenamiento y las configuraciones evolucionan constantemente. Un cambio en un proveedor de modelos podría alterar drásticamente el comportamiento del sistema, lo que requiere monitoreo continuo y adaptabilidad.
  • Altamente escalable: La GenAI amplifica la eficiencia a gran escala, pero también propaga errores o sesgos con igual rapidez. Un sesgo en un modelo podría afectar miles de decisiones en minutos, escalando riesgos financieros, legales o reputacionales.
  • Baja barrera de entrada: Su accesibilidad facilita el uso no autorizado o no gobernado de herramientas de IA por diferentes niveles de empleados. Esto crea brechas en el control interno, ya que sistemas no aprobados podrían manejar datos sensibles sin supervisión.
  • Capaz de autogobierno: Paradójicamente, la GenAI puede usarse para monitorear y validar otros sistemas de IA, creando un ecosistema de "IA que vigila a la IA". Sin embargo, esto introduce dependencias que deben gestionarse con cuidado para evitar bucles o cadenas de errores.

Estos atributos hacen que la GenAI no sea solo una herramienta, sino un ecosistema vivo que interactúa con procesos humanos y organizacionales de maneras impredecibles. Tal vez por ello, la adopción de GenAI trae consigo una serie de riesgos que van más allá de los típicos en la automatización. De acuerdo con el documento de COSO, se identifican varios riesgos críticos, muchos de los cuales se derivan directamente de las características probabilísticas y dinámicas de la tecnología. Entre ellos se tiene:

  • Alucinaciones: Generación de información falsa pero convincente, que podría llevar a decisiones erróneas en reportes financieros o análisis.
  • Sesgos y discriminación: Los modelos pueden perpetuar prejuicios inherentes en los datos de entrenamiento, resultando en discriminación en procesos como reclutamiento o evaluación crediticia.
  • Ataque de inyección de comandos (Prompt Injection): Ataques donde un usuario malicioso manipula los prompts para obtener resultados no deseados, tales como extraer datos confidenciales.
  • Pérdida de trazabilidad (Provenance): Dificultad para rastrear el origen de los outputs, lo que complica auditorías y responsabilidad.
  • Riesgos de privacidad y ciberseguridad: Exposición de datos sensibles durante el entrenamiento o uso, o vulnerabilidades a ataques cibernéticos.
  • Sobreconfianza humana (Automation Bias): Tendencia de los usuarios a confiar ciegamente en los outputs de IA, ignorando señales de error.

El núcleo del documento es la adaptación de los cinco componentes de COSO a GenAI, manteniendo los 17 principios pero traduciéndolos en prácticas específicas:

  • Entorno de control: Establece las bases culturales y de gobernanza.
  • Evaluación de riesgos: Debe ser continua, basada en escenarios hipotéticos
  • Actividades de control: Los outputs de GenAI se tratan como afirmaciones que requieren verificación.
  • Información y comunicación: Garantiza trazabilidad (modelo, versión, prompt, fuentes), registro de métricas de confianza y comunicación de cambios.
  • Actividades de monitoreo: Incluye KPIs/KRIs de calidad del modelo, validación independiente y tolerancias multidimensionales (precisión, sesgo, etc.).

El documento presenta dos anexos, uno que trata sobre las soluciones habilitadas por inteligencia artificial y automatización, que describe qué tecnologías de IA están utilizando, para ayudar a crear coherencia en el enfoque de las evaluaciones y controles de riesgos. El otro anexo o apéndice ofrece una referencia para aplicar los conceptos de COSO a capacidades específicas de GenAI. Se incluyen ejemplos de riesgos clave, consideraciones de control entre los componentes del COSO, métricas ilustrativas entre otros.

Esta adaptación de COSO ofrece un camino claro para integrar GenAI de manera segura, asegurando que la innovación impulse el éxito sin comprometer la integridad. 

[1] Ver: Generative AI 

 

CP Iván Rodríguez - CIE AF

Auditor y consultor, diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, diplomado en Gerencia de la Calidad. Contador público (CP) de la Pontificia Universidad Javeriana con 20 años de experiencia en diversas empresas. Tiene amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool.

Bogotá DC, Colombia.

Comentarios

0
Juan Jose Ramos Gome
1 mes hace
Muy buena explicacion, la IA se ha vuelto una herramienta muy poderosa pero debe ser usada de manera controlada y con criterio profesional
Like Me gusta like 2 Citar

Escribir un comentario

Enviar
× Progressive Web App | Add to Homescreen

Para instalar esta Web App en su iPhone/iPad presione el ícono. Progressive Web App | Share Button Y luego Agregar a la pantalla de inicio.

Desconectado