Auditoría a sistemas de IA para garantizar transparencia y cumplimiento

Los cuatro aspectos a considerar para auditar los sistemas de esta tecnología son la comprensión de la estrategia de la IA, la evaluación técnica de la herramienta, la evaluación basada en riesgos y los procedimientos de auditoría.

Comprensión de la estrategia de la IA

El primer paso consiste en entender cómo la organización incorpora la IA en su modelo operativo y estratégico; esto incluye:

• Identificar los objetivos que la IA busca apoyar (eficiencia, personalización y automatización).
• Clasificar los tipos de IA utilizados (predictiva, generativa o de propósito general).
• Determinar el grado de autonomía y criticidad de los sistemas.

Este análisis permite al auditor definir el alcance, los riesgos clave y el nivel de profundidad requerido en la auditoría.

Auditar un sistema de IA no debe limitarse a revisar políticas o manuales técnicos, sino que se debe probar la efectividad de los controles y resultados generados.

Evaluación técnica de la IA

El auditor debe profundizar en los elementos técnicos y de control que sustentan el uso de esta tecnología. Esta sección propone una estructura dividida en cinco áreas críticas que permiten una evaluación integral del entorno de la IA.

• Gobernanza: establece el marco de responsabilidad, supervisión y control sobre el uso de sistemas inteligentes. La auditoría debe verificar:
  • Existencia de políticas específicas para el desarrollo y uso de la IA.
  • Definición clara de roles entre la primera (desarrolladores y usuarios operativos) y segunda línea (riesgos, cumplimiento y ética).
  • Aplicación de principios éticos como equidad, transparencia y responsabilidad.
  • Mecanismos de revisión periódica y actualización de modelos.

La ausencia de gobernanza formal puede derivar en decisiones automatizadas sin supervisión adecuada, lo que incrementa el riesgo reputacional y legal.

• Desarrollo e implementación: el ciclo de vida de los modelos de IA debe ser trazable y controlado. La auditoría debe enfocarse en:
  • Documentación del proceso de diseño, entrenamiento, validación y despliegue.
  • Evaluación de criterios técnicos utilizados para seleccionar algoritmos y datos.
  • Revisión de controles de calidad aplicados antes de la puesta en producción.
  • Gestión de cambios y actualizaciones algorítmicas, incluyendo pruebas de regresión.

Es fundamental verificar que los modelos se desarrollen bajo estándares técnicos y éticos, así como que su implementación esté alineada con los objetivos del negocio.

• Uso y gestión de datos: la información es el insumo crítico de cualquier sistema de IA. La auditoría debe evaluar:
  • Calidad, integridad y representatividad de los datos utilizados para entrenar modelos.
  • Controles para evitar sesgos, errores sistemáticos o exclusión de grupos relevantes.
  • Cumplimiento de normativas de privacidad y protección de datos, como la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) o regulaciones internacionales.
  • Trazabilidad del origen de los datos y mecanismos de anonimización.

Un modelo entrenado con datos deficientes o sesgados puede generar decisiones erróneas, discriminatorias o no confiables.

• Ciberseguridad: los sistemas de IA deben estar protegidos contra amenazas específicas como manipulación de modelos o ataques adversariales. La auditoría debe revisar:
  • Controles de acceso y autenticación para el uso y modificación de modelos.
  • Protección contra ataques de inyección de datos maliciosos (data poisoning).
  • Resiliencia ante fallos operativos o interrupciones del sistema.
  • Integración de la IA en el marco general de ciberseguridad de la organización.

La seguridad de los modelos es tan crítica como la de los sistemas tradicionales, especialmente cuando la IA toma decisiones autónomas.

• Opacidad algorítmica: muchos modelos de IA, especialmente los basados en aprendizaje profundo, operan como cajas negras, dificultando la comprensión de sus decisiones. La auditoría debe considerar:
  • Identificación de modelos con baja explicabilidad.
  • Evaluación de mecanismos para interpretar decisiones.
  • Riesgo asociado a la falta de trazabilidad y comprensión por parte de usuarios y auditores.
  • Impacto potencial de decisiones automatizadas en procesos críticos o sensibles.

La opacidad algorítmica representa un riesgo significativo para la transparencia y la rendición de cuentas, especialmente en sectores regulados.

Evaluación basada en riesgos

Es fundamental establecer una taxonomía de riesgos y su valuación para tener procedimientos de auditoría y revisiones enfocadas. A pesar de que no existe una regulación local, podemos tomar de referencia la categorización utilizada por la Unión Europea, la cual propone categorizar los sistemas auditados según su nivel de riesgo:

Esta clasificación permite ajustar el alcance y profundidad de la auditoría, optimizando recursos y asegurando una cobertura proporcional al riesgo.

La adopción de la IA en procesos empresariales plantea nuevos retos para los auditores de las organizaciones, especialmente en la labor de aseguramiento.

Procedimientos de auditoría

Auditar un sistema de IA no debe limitarse a revisar políticas o manuales técnicos. Es necesario probar (en la práctica) la efectividad de los controles y resultados generados. Algunos procedimientos clave incluyen:

• Revisión documental y de diseño:
  • Analizar políticas de IA, manuales técnicos, reportes de validación y contratos con proveedores.
  • Verificar que el ciclo de vida del modelo (diseño, entrenamiento, validación y producción) esté claramente documentado.
• Entrevistas y validaciones con responsables:
  • Entrevistar a desarrolladores, científicos de datos y responsables de cumplimiento.
  • Confirmar si comprenden y aplican principios de ética, privacidad y seguridad en el uso de IA.
• Pruebas sustantivas sobre resultados de la IA:
  • Revisar muestras de decisiones generadas (aprobaciones de crédito o detección de fraudes) para identificar sesgos, errores o inconsistencias.
  • Comparar decisiones automatizadas con procesos manuales equivalentes y evaluar diferencias significativas.
• Evaluación de controles de datos:
  • Aplicar pruebas de integridad a los conjuntos de entrenamiento y validación.
  • Usar técnicas estadísticas o herramientas de data profiling para detectar sesgos.
• Pruebas en entornos controlados (sandboxing):
  • Simular condiciones reales de operación con datos ficticios para observar cómo reacciona el modelo.
  • Incluir escenarios de estrés como entradas críticas, adversariales o incompletas para validar resiliencia.
• Monitoreo continuo y KPI:
  • Establecer indicadores como porcentaje de decisiones explicables versus totales; número de alertas por sesgo detectadas; tiempo de respuesta frente a procesos manuales.
  • Verificar que exista un proceso formal para revisar alertas, documentar acciones correctivas y retroalimentar al modelo.

Conclusiones

Como lo advirtió Mustafa Suleyman, CEO de IA en Microsoft, esta tecnología podría alcanzar habilidades de nivel humano en los próximos tres años. La profesión contable debe posicionarse como garante de la ética y la transparencia en el uso de esta herramienta. No se trata sólo de entender los avances, sino de asegurar que su aplicación esté alineada con los valores y objetivos de las organizaciones.

---

Referencias

• Cámara de Diputados, 2025, Ley Federal de Protección de Datos Personales en Posesión de los Particulares, 2025, de Cámara de Diputados: https://www.diputados.gob.mx/LeyesBiblio/pdf/LFPDPPP.pdf
• Institute of Internal Auditors, 2024, Artificial Intelligence Auditing Framework, 2025, de The IIA: https://www.theiia.org/globalassets/site/content/tools/professional/aiframework-sept-2024-update.pdf
• Mustafa Suleyman, 2023, The Coming Wave, 2025, de The Coming Wave: https://the-coming-wave.com/
• Unión Europea, 2024, Artificial Intelligence Act (Reglamento UE 2024/1689), 2025, de EUR-Lex: https://artificialintelligenceact.eu