IA para el Director de Auditoría Interna: usar la herramienta que también debes gobernar
El Director de Auditoría Interna enfrenta el doble mandato más complejo de la era IA: usar la tecnología para ganar eficiencia y, al mismo tiempo, auditar los sistemas de IA de su propia organización. Este artículo desarrolla ambas responsabilidades bajo el Modelo de Tres Líneas del IIA actualizado en 2020.
El Director de Auditoría Interna (DAI) ocupa hoy la posición más compleja de cualquier ejecutivo ante la IA: debe utilizarla para ganar eficiencia mientras, al mismo tiempo, la convierte en objeto de su función auditora. Cognitiva, agencia chilena de IA, trabaja con organizaciones que ya tienen sistemas de IA en producción y observa que este doble mandato se gestiona mal cuando se trata como dos proyectos separados. No lo son. La actualización 2020 del Modelo de Tres Líneas del Instituto de Auditores Internos (IIA) redefine el rol de la tercera línea: ya no solo asegura controles, sino que contribuye activamente a la gobernanza. En un entorno donde el 83,4% de los auditores en Chile identifica la IA como el principal factor de riesgo de la profesión, ignorar este doble mandato no es una opción. Este artículo explica cómo estructurar ambas responsabilidades sin comprometer la independencia, qué controles debe exigir la tercera línea sobre los sistemas de IA ya desplegados, y cómo priorizar esa agenda en el contexto chileno.
El doble mandato del DAI: herramienta y objeto de auditoría
Cualquier otro rol ejecutivo enfrenta la IA como una sola pregunta: ¿cómo la uso? El Director de Auditoría Interna enfrenta dos preguntas simultáneas: ¿cómo la uso para auditar mejor? y ¿quién audita los sistemas de IA que ya opera mi organización? La respuesta correcta a ambas es la misma: la tercera línea, es decir, la función auditora interna, es responsable de gestionar ambas agendas.
La trampa habitual es tratar ambos desafíos como etapas secuenciales: primero digitalizamos la función auditora, luego nos preocupamos de la gobernanza de la IA. Esa secuencia falla porque las organizaciones ya tienen modelos de IA en producción, muchas veces sin que la función auditora haya emitido ninguna opinión sobre ellos. El DAI que adopta IA antes de entender cómo auditar la IA opera con una brecha de gobernanza que el directorio tarde o temprano le preguntará.
La buena noticia es que ambas agendas se refuerzan mutuamente. El equipo auditor que aprende a usar IA para detectar anomalías en pagos entiende mejor los riesgos técnicos de esos mismos sistemas cuando los audita en otra organización o en otra unidad de negocio. El conocimiento fluye en los dos sentidos.
Qué puede hacer la IA dentro de la función auditora
La literatura y la práctica identifican tres aplicaciones de IA ya viables para funciones auditoras de tamaño mediano en Chile: detección de anomalías en transacciones y accesos, revisión documental automatizada, y análisis predictivo de riesgos.
En detección de anomalías, los modelos de IA pueden revisar el universo completo de transacciones financieras o registros de acceso en lugar de las muestras estadísticas que limitan la auditoría tradicional. La cobertura se amplía de forma sustancial respecto al muestreo manual. En revisión documental, los sistemas con procesamiento de lenguaje natural reducen el tiempo de análisis de contratos, políticas y evidencias. En análisis predictivo, los modelos identifican entidades o procesos con mayor probabilidad de desviación, permitiendo al DAI priorizar su plan anual según riesgo real en vez de histórico.
Ninguna de estas aplicaciones reemplaza el juicio profesional del auditor. Lo que hacen es liberar tiempo para ese juicio: menos horas en revisión mecánica, más horas en análisis, interpretación y comunicación de hallazgos al directorio.
La IA generativa no es automatización de procesos: ese es el primer error que se puede cometer. Permite mejorar y agilizar las operaciones, pero no las automatiza en el sentido tradicional del término.
El Modelo de Tres Líneas del IIA y la IA: nuevos roles para cada actor
La actualización 2020 del Modelo de Tres Líneas del IIA eliminó la metáfora de 'líneas de defensa' por una razón deliberada: los tres actores no solo deben protegerse contra el riesgo, sino crear valor de forma coordinada. Aplicado a la IA, el modelo clarifica quién hace qué: la primera línea implementa y controla los modelos de IA que usa en operaciones; la segunda línea establece marcos de riesgo y monitoreo; y la tercera línea —auditoría interna— provee aseguramiento independiente de que ambas funcionen con los controles adecuados.
La clave en este esquema es la palabra 'independiente'. La auditoría interna debe poder emitir su opinión sin haber participado en las decisiones que audita. Cuando el DAI o su equipo participan en la selección, configuración o implementación de sistemas de IA, pierden esa independencia sobre esos sistemas específicos. El Comité de Auditoría del directorio debe exigir que esta separación esté documentada formalmente.
| Línea | Actor principal | Responsabilidad sobre sistemas de IA |
|---|---|---|
| Primera línea | Equipos de operaciones, TI y negocio | Implementar y documentar controles sobre los modelos de IA en uso; definir la rendición de cuentas por las salidas de cada modelo; reportar incidentes y desviaciones |
| Segunda línea | Riesgo, Cumplimiento, Datos | Establecer políticas de IA ética; monitorear métricas de desempeño y sesgo; gestionar el riesgo de proveedores externos de IA; mantener el inventario de modelos |
| Tercera línea | Auditoría Interna (DAI) | Auditar independientemente los controles de primera y segunda línea; emitir opinión al directorio y al Comité de Auditoría sobre la madurez de la gobernanza de IA |
Controles mínimos que la tercera línea debe exigir sobre sistemas de IA
El IIA publicó en 2023 —y actualizó en 2024— su Marco de Auditoría de Inteligencia Artificial, organizado bajo el esquema de las Tres Líneas. Para el DAI en Chile, el punto de partida es un inventario actualizado de todos los sistemas de IA en uso en la organización. Sin ese catálogo, no hay auditoría posible: no puedes evaluar riesgos de algo cuya existencia no has registrado.
Cinco controles prioritarios para organizaciones con IA en producción
- Inventario de modelos: registro de todos los sistemas de IA en producción, con descripción del uso, datos que procesan y quién es responsable de cada uno. Incluye los sistemas provistos por terceros.
- Validación de datos de entrenamiento: verificación de que los datos usados para ajustar o entrenar modelos son representativos, sin sesgo conocido y con linaje documentado que permita rastrear su origen.
- Pruebas de desempeño y deriva: mecanismos de monitoreo continuo para detectar degradación del modelo o cambios de comportamiento no anticipados durante su operación en producción.
- Explicabilidad de decisiones: capacidad de reconstruir por qué el sistema llegó a una conclusión específica, especialmente en decisiones que afectan a personas en ámbitos de crédito, contratación o precios.
- Gestión de proveedores de IA: evaluación periódica de los controles del proveedor cuando la organización usa modelos de terceros que procesan datos sensibles propios o de sus clientes.
EY sintetiza bien la paradoja del momento: 'existe una necesidad creciente de auditorías sobre las mismas tecnologías que están cambiando a las auditorías'. Esa paradoja no es un obstáculo: es la razón por la que el rol del DAI gana relevancia estratégica, siempre que el director se posicione como protagonista de la gobernanza y no como observador tardío.
Hoja de ruta para el DAI en Chile: por dónde empezar
Cognitiva propone el Marco de Doble Mandato para Directores de Auditoría Interna: cuatro etapas para abordar simultáneamente la adopción de IA en la función auditora y la gobernanza de los sistemas de IA de la organización, sin comprometer la independencia de la tercera línea.
- Diagnóstico de exposición: mapeo de todos los sistemas de IA en producción y del uso de IA informal no sancionado formalmente —hojas de cálculo con IA, herramientas de IA en funciones críticas sin aprobación— para establecer el perímetro real de auditoría antes de definir el plan anual.
- Plan de adopción para la propia función auditora: antes de extender el uso de IA al equipo de auditoría, definir qué herramientas se van a usar, con qué datos y bajo qué controles propios. La función auditora no está exenta de las mismas reglas de gobernanza de IA que exige al resto de la organización.
- Auditorías focalizadas por riesgo: iniciar por los sistemas de IA de mayor impacto regulatorio o financiero, en vez de intentar cubrir todo el ecosistema tecnológico de una vez. La priorización la definen el nivel de riesgo residual y la dependencia operativa de cada sistema.
- Reporte al directorio: estructurar la opinión sobre madurez de gobernanza de IA como componente del informe anual de auditoría interna, en lenguaje de riesgo y de negocio, no como apéndice técnico. El directorio necesita saber cuáles son los riesgos residuales, no los detalles de arquitectura del modelo.
Existe una necesidad creciente de auditorías sobre las mismas tecnologías que están cambiando a las auditorías.
Preguntas frecuentes
Da el siguiente paso
Hablemos
Cuéntanos sobre tu negocio. Respondemos en 24 horas.
Otros canales
Escríbenos por WhatsApp o agenda una llamada de 30 minutos.