Cumplimientoseptiembre 05, 2025

El impacto revolucionario de la evaluación de riesgos basada en IA en la auditoría interna

Autor: TeamMate

La inteligencia artificial (IA) está transformando las funciones empresariales en todos los sectores, y los auditores internos deben considerar las oportunidades de ampliar o simplificar el trabajo que realizamos. Por ejemplo, las evaluaciones de riesgos se han centrado tradicionalmente en la realización de numerosas entrevistas, la revisión de notas y la puntuación de riesgos basada en información predominantemente subjetiva. Aprovechando los modelos extensos de lenguaje (LLM) y otras capacidades generativas , los auditores internos pueden superar ahora los retos a los que suelen enfrentarse en la recopilación de datos y la identificación de riesgos. Con el auge de la IA, los auditores internos deben enfocar la integración de la IA como una herramienta complementaria que nos ayude en nuestro trabajo, entendiendo que no podemos sustituir el juicio del auditor.

¿Quieres estar al día de Expert Insights?

Suscríbete a nuestro boletín para recibir mensualmente Expert Insights en tu bandeja de entrada.
Suscríbase ahora

Comprender las evaluaciones de riesgos basadas en IA

Las evaluaciones de riesgos tradicionales se han basado en la experiencia humana y en procesos de revisión manuales. En cambio, las evaluaciones de riesgos basadas en IA utilizan algoritmos avanzados para predecir riesgos potenciales e identificar patrones que los humanos podrían pasar por alto. En una de sus aplicaciones más sencillas, la IA puede capturar notas de reuniones y sintetizar el contenido en un resumen. Si está bien estructurado, debería señalar los riesgos y proporcionar información real sobre los riesgos empresariales. Dada la complejidad y la subjetividad, el equipo de auditoría puede decidir las calificaciones de riesgo utilizando esas notas. Los auditores internos deben reconocer que la IA, aunque poderosa, debe aumentar -no sustituir- el escepticismo profesional y el juicio informado. La precisión de los conocimientos basados en la IA depende de la calidad de los datos y de la aplicación adecuada del modelo.

Aplicaciones complementarias de la evaluación de riesgos basada en IA

Puede resultar difícil imaginar el uso de una tecnología emergente. A continuación se presentan varias formas en que las técnicas de evaluación de riesgos basadas en la IA podrían afectar a los retos habituales de la auditoría interna.

Identificación de riesgos en nuevas áreas

A menudo se pide a los auditores internos que evalúen y auditen áreas en las que el equipo tiene poca experiencia. En el pasado, el equipo podría haber realizado largas investigaciones, tratando de encontrar información sobre riesgos o programas de auditoría que comprar, solo para descubrir que la información podría no ser adecuada para su sector en particular. Ahora, un simple comando utilizando IA puede proporcionar una gran cantidad de información.

Por ejemplo, utilizando un LLM como ChatGPT, puede utilizar un comando como "Proporcione una lista de riesgos comunes que un auditor interno debería evaluar en un proceso de adquisición en una empresa manufacturera Fortune 500". Este comando devuelve más de 20 riesgos a tener en cuenta (véase más abajo). Por supuesto, no podemos limitarnos a copiar los resultados y dar por concluida nuestra evaluación, pero esta información puede dar lugar a reuniones mucho más productivas con los líderes de la organización cuando acudimos con una mejor comprensión de los riesgos específicos que podrían formar parte de su día a día. Esto puede considerarse como un punto de partida, pero el auditor debe tomarse el tiempo necesario para validar y aprender más para asegurarse de que tiene una verdadera comprensión y puede hablar inteligentemente sobre el tema.

Ejemplo de resultados de ChatGPT

Comando: Proporcione una lista de riesgos comunes que un auditor interno debería evaluar en un proceso de adquisición en una empresa manufacturera Fortune 500.

Resultados:

A continuación se presenta una lista concisa de los riesgos comunes de los procesos de adquisición que los auditores internos suelen evaluar en una empresa manufacturera de la lista Fortune 500:

Riesgos estratégicos:

  • Desajuste entre la estrategia de contratación y los objetivos corporativos.
  • Dependencia excesiva de proveedores clave que provoca vulnerabilidad en la cadena de suministro.

Riesgos operativos:

  • Una gestión ineficaz de los proveedores que da lugar a una calidad deficiente o a retrasos en las entregas.
  • No realizar adecuadamente la diligencia debida de los proveedores y la supervisión continua.
  • Interrupciones debidas a la dependencia de un único proveedor sin planes de contingencia adecuados.
  • Fraude en la contratación, como manipulación de licitaciones, sobornos o situaciones de conflicto de intereses.

Riesgos financieros:

  • Sobrecostes debidos a una planificación o previsión inadecuada de las adquisiciones.
  • Condiciones contractuales desfavorables que provocan pérdidas u obligaciones financieras.
  • La escasa visibilidad del gasto hace que se pierdan oportunidades de ahorro o ineficiencias.
  • Pagos duplicados o no autorizados a proveedores.

Riesgos de conformidad y reglamentación:

  • Violaciones de los requisitos normativos, incluida la ley de prácticas corruptas en el extranjero (FCPA) o las leyes contra el soborno y la corrupción.
  • Incumplimiento de la normativa sobre importación y exportación o sanciones comerciales.
  • Incumplimiento de las políticas de gestión de contratos y de las autoridades de aprobación.

Riesgos tecnológicos:

  • Seguridad y controles inadecuados en los sistemas de contratación o ERP, con el riesgo de que se produzcan filtraciones de datos o fraudes.
  • Datos maestros inexactos o incompletos (información sobre proveedores o artículos) que provocan ineficiencias o errores.
  • No proteger la información confidencial de los proveedores y los contratos.

Riesgos para la reputación:

  • Contratar a proveedores que utilicen prácticas poco éticas, como el trabajo infantil, violaciones medioambientales o condiciones laborales inseguras.
  • Reacción pública debido a la mala gestión de las consideraciones de sostenibilidad o ESG en las prácticas de contratación.

Riesgos de la cadena de suministro y de los proveedores:

  • Insolvencia del proveedor o inestabilidad financiera que afecte a la continuidad.
  • Desastres naturales, acontecimientos geopolíticos u otras perturbaciones que afecten a fuentes de suministro críticas.
  • La falta de diversificación de los proveedores provoca riesgo de concentración.

Ver una demo

TeamMate+ AI Editor

TeamMate+ AI Editor es una herramienta de IA generativa segura y práctica diseñada para mejorar la eficiencia en la redacción y la calidad de las auditorías de los profesionales de la auditoría interna. 

Duración: 3 minutos y 55 segundos.
Ver Una Demo

Entrevista mejorada y análisis de documentos

Las evaluaciones de riesgos tradicionales se basan en gran medida en entrevistas y revisiones de documentos, que requieren mucho tiempo y a menudo están sujetas a sesgos humanos en la interpretación. La evaluación de riesgos impulsada por IA transforma este proceso analizando informes de auditoría anteriores, datos de la organización y tendencias del sector para generar preguntas de entrevista a medida para ámbitos de riesgo específicos. La IA puede capturar y transcribir las notas de la reunión durante la entrevista para su evaluación, liberando al equipo de auditoría para centrarse en la conversación en lugar de tomar notas. Después de la entrevista, la IA puede identificar patrones, contradicciones y perspectivas a través de múltiples entrevistas que los humanos podrían pasar por alto, creando una comprensión más completa del panorama de riesgos. Los auditores deben ser conscientes de que la IA no puede entender la intención y los comentarios realizados que pueden ser un lenguaje único en el contexto de la cultura de la organización y siempre deben revisar y verificar las notas según sea necesario.

La cantidad de información que se puede revisar en una evaluación de riesgos puede ser abrumadora, especialmente para equipos pequeños. La evaluación de riesgos basada en IA puede extraer, resumir y sintetizar rápidamente información de diversas fuentes, incluyendo políticas, procedimientos, contratos, informes de cumplimiento y actas de reuniones.

Para demostrar esta aplicación de la IA, muchos líderes empresariales utilizarán una aplicación como Otter.ai para capturar y resumir las notas de las reuniones (véase más abajo). Esto se suma a la transcripción completa de la reunión y a un resumen con viñetas de toda la reunión.

Ejemplo de resumen de reunión de Otter.ai

Visión general

En la reunión se debatieron diversas cuestiones relacionadas con el cumplimiento de la normativa SOX en materia de informática. Paul presentó los temas ITGC, ITAC y análisis de datos. Mary destacó el reto que supone la evaluación comparativa de algunos controles para reducir las pruebas anuales a cada dos años. Sue señaló la apertura del auditor externo a las opciones de evaluación comparativa para los controles de las aplicaciones. Joy habló del uso de TeamMate para el análisis de datos. El grupo también debatió el alcance de las políticas de contraseñas y los controles de gestión de cambios.

Acciones

  • Evaluar las implicaciones de alcance de la utilización de TeamMate para las pruebas de control.
  • Revisar el proceso de gestión de las cuentas funcionales/de servicio y el acceso a las mismas.
  • Implementar mejoras en los controles de gestión de cambios, incluida la división de controles y la adición de supervisión.
  • Discutir con los auditores externos el potencial de la evaluación comparativa y de los controles de aplicaciones configurables.
  • Evalúe las implicaciones de control SOX del uso de la autenticación basada en PIN.
  • Automatice el flujo de trabajo de aprobación de cambios mediante software y considere la posibilidad de añadir un control de seguimiento.

Diseño y evaluación de controles

La evaluación de riesgos basada en IA mejora la capacidad del auditor para evaluar los controles existentes y recomendar mejoras. La evaluación de riesgos avanzada con IA puede analizar varios marcos de control, NIST CSF, ISO y otras normas del sector, para comparar los controles de una organización con las mejores prácticas. Por ejemplo, un comando de IA puede proporcionar un punto de referencia para la comparación.

Comando: Teniendo en cuenta los marcos de control de la informática disponibles, ¿cuáles son los elementos comunes de un control sólido de la gestión del cambio?

Resultados:

Los elementos comunes de los controles de gestión de cambios sólidos en todos los marcos de la informática disponibles (como ITIL, COBIT, ISO 27001, NIST CSF y COSO) suelen incluir:

 1. Política de gestión de cambios formalizada: Procedimientos documentados que describen claramente los requisitos, procesos, funciones y responsabilidades para gestionar los cambios informáticos.

2. Documentación de las solicitudes de cambio: Formularios o sistemas estandarizados para capturar y enviar solicitudes de cambio detalladas, incluyendo el alcance, la justificación empresarial, los riesgos y los resultados esperados.

3. Evaluación de riesgos e impacto: Una evaluación formal para identificar, evaluar y mitigar los riesgos asociados a los cambios propuestos, teniendo en cuenta el impacto en los sistemas de la informática, los procesos de negocio y las obligaciones de cumplimiento.

4. Consejo asesor de cambios: Un equipo independiente o interfuncional responsable de evaluar, autorizar y supervisar cambios significativos, garantizando la objetividad y una representación adecuada de las partes interesadas.

5. Flujo de trabajo de aprobación y autorización: Protocolos de aprobación claramente definidos que garanticen la revisión y autorización adecuadas por parte de la dirección o los propietarios de la empresa antes de la implantación.

6. Segregación de funciones: Garantizar la separación entre quienes solicitan, desarrollan, prueban, aprueban e implantan los cambios para evitar acciones no autorizadas o involuntarias.

7. Pruebas y validación: Procedimientos para probar adecuadamente los cambios (pruebas unitarias, pruebas de integración del sistema, pruebas de aceptación del usuario) para garantizar la funcionalidad, la seguridad y el rendimiento antes del despliegue.

8. Planes de reversión y recuperación: Procedimientos e instrucciones claramente definidos para revertir o hacer retroceder los cambios si la implantación falla o afecta negativamente a la funcionalidad del sistema.

9. Despliegue controlado y gestión de versiones: Procesos documentados para la migración controlada de cambios a entornos de producción, normalmente gestionados a través de ventanas de mantenimiento definidas para minimizar las interrupciones operativas.

10. Seguimiento y revisión posterior a la aplicación: Seguimiento de los cambios implantados y realización de revisiones estructuradas para verificar que los cambios cumplen los objetivos, no introducen nuevos riesgos y aportan los beneficios previstos.

11. Documentación y registro de auditoría: Documentación detallada y registros que capturen todas las fases del ciclo de vida del cambio, facilitando la rendición de cuentas, la trazabilidad y la preparación para auditorías

Estos elementos proporcionan una eficacia de control coherente, alinean los cambios de la informática con los objetivos empresariales, mantienen la integridad operativa y garantizan el cumplimiento de la normativa en todos los marcos de control de la informática estándar del sector.

Además de proporcionar un punto de referencia, la IA también podría comparar sus políticas existentes para buscar posibles lagunas de diseño. Por supuesto, esto debe hacerse con precaución, y la carga de información interna confidencial no suele estar permitida en la mayoría de las organizaciones. Sin embargo, es posible que tenga acceso a herramientas de IA aprobadas que puedan ayudarle si lo consulta con su equipo de seguridad informática.

Transformación continua de la supervisión de riesgos

Aunque la supervisión continua no es nueva para la auditoría interna, la evaluación de riesgos basada en IA simplifica nuestra capacidad para aprovechar los resultados. A diferencia de la supervisión continua tradicional, que se centra en las anomalías, la evaluación de riesgos basada en IA detecta incoherencias en varios informes de supervisión que podrían indicar la aparición de riesgos. Esta capacidad amplía la supervisión más allá de las salidas de datos individuales para abarcar las cantidades potencialmente enormes de información no estructurada que fluye a través de las organizaciones modernas.

Cuando se identifican riesgos, la evaluación de riesgos impulsada por IA puede generar alertas que incluyan la anomalía y sus posibles implicaciones, las acciones sugeridas y las partes interesadas afectadas. Mediante el análisis de patrones de datos históricos, la evaluación de riesgos potenciada por IA puede predecir riesgos emergentes, lo que permite a los auditores hacer frente a las amenazas antes de que se materialicen. Esta capacidad predictiva transforma la auditoría interna de una función detectivesca a una preventiva, aumentando su valor para la organización.

Por ejemplo, podríamos implementar un control de supervisión continua que se ejecute diariamente para comparar un listado de empleados activos con usuarios en aplicaciones específicas. Este control generaría un informe de excepciones para los usuarios que deban ser dados de baja. Actualmente, las soluciones sofisticadas de gestión de identidades utilizan la IA para supervisar todas las aplicaciones de una red, eliminando automáticamente a los usuarios dados de baja en cuanto se marcan como dados de baja en la aplicación principal de recursos humanos.

Retos y consideraciones para la aplicación de la evaluación de riesgos basada en IA

A pesar de su potencial transformador, la implementación de la evaluación de riesgos impulsada por IA en la auditoría interna presenta desafíos únicos que deben abordarse cuidadosamente para aprovechar sus beneficios.

Preocupaciones sobre la calidad y la privacidad de los datos

La evaluación de riesgos impulsada por IA requiere datos de alta calidad para producir resultados fiables. Las organizaciones deben garantizar marcos sólidos de gobernanza de datos que aborden específicamente los casos de uso de la evaluación de riesgos impulsada por IA, incluidos los principios de minimización de datos. La integridad de las evaluaciones de riesgos depende totalmente de la calidad de los datos introducidos, por lo que la gobernanza de los datos es un factor crítico para el éxito de la implementación de la evaluación de riesgos impulsada por IA.

Las técnicas de preservación de la privacidad son esenciales cuando se utiliza información sensible en sistemas de evaluación de riesgos basados en IA. Los auditores internos manejan a menudo datos confidenciales sobre empleados, clientes y operaciones, lo que crea importantes riesgos para la privacidad si no se gestionan adecuadamente. Deben establecerse procesos de detección y mitigación de sesgos en los datos para evitar que se perpetúen los sesgos históricos en la evaluación de riesgos impulsada por IA.

Selección y validación de modelos

No todos los modelos de IA son adecuados para aplicaciones de auditoría, e incluso los que se utilizan como ejemplo en este artículo sólo deben utilizarse con la aprobación de su equipo de seguridad informática. Puede ser necesario un ajuste fino para adaptar los modelos de propósito general a contextos específicos de auditoría. Los modelos extensos de lenguaje amplio a menudo carecen del conocimiento especializado de las normas de auditoría, los requisitos reglamentarios y los riesgos específicos del sector para una evaluación de riesgos fiable impulsada por la IA. Una vez más, la IA no es un sustituto de los conocimientos y el juicio de los auditores, sino una herramienta para aumentar nuestro trabajo.

Los mecanismos de transparencia deben permitir a los auditores comprender cómo se ha llegado a las conclusiones. Los modelos de caja negra que no pueden explicar su razonamiento son inadecuados para las aplicaciones de evaluación de riesgos basadas en IA, en las que la justificación de las conclusiones es esencial. Los auditores deben dar prioridad a los enfoques de IA explicables que ofrezcan razonamientos claros para las evaluaciones de riesgos y las recomendaciones.

Desarrollo de competencias y adaptación cultural

Los equipos de auditoría interna necesitan nuevas habilidades para aprovechar eficazmente la evaluación de riesgos impulsada por la IA. Organizaciones como el IIA e ISACAestán desarrollando programas de alfabetización en IA específicamente para auditores, centrándose en la intersección de la metodología de auditoría y las capacidades de IA. Estos programas deben hacer hincapié en la evaluación crítica de los resultados de la IA más que en el funcionamiento técnico, lo que permite a los auditores mantener el escepticismo profesional cuando trabajan con herramientas de evaluación de riesgos impulsadas por IA.

Para obtener resultados fiables de los sistemas de evaluación de riesgos basados en IA, es fundamental contar con la ingeniería de comandos. La calidad de los resultados depende en gran medida de cómo se formulen las preguntas y las instrucciones. La capacidad de evaluar los resultados ayuda a los auditores a distinguir entre ideas valiosas y alucinaciones de la IA. A veces, la evaluación de riesgos con IA puede producir información plausible pero incorrecta, por lo que es esencial una evaluación crítica.

Gobernanza y ética

Una gobernanza sólida es esencial a la hora de implantar la evaluación de riesgos basada en IA en la auditoría interna. Unas políticas de uso claras deben definir las aplicaciones y los límites adecuados para la IA dentro de la función de auditoría. Estas políticas deben especificar qué decisiones pueden ser asistidas por IA frente a las que requieren juicio humano, creando barandillas que impidan una dependencia excesiva de los sistemas automatizados.

Los marcos éticos deben abordar cuestiones como la transparencia, la equidad y la rendición de cuentas en la auditoría asistida por IA. Las decisiones críticas sobre riesgos deben incluir siempre una revisión humana sustantiva, con documentación clara de los casos en que los auditores anulan o modifican las evaluaciones de riesgos generadas por IA.

Buenas prácticas para aplicar la evaluación de riesgos basada en IA

Para maximizar los beneficios al tiempo que se mitigan los riesgos, las funciones de auditoría interna deben tener en cuenta varias buenas prácticas que han demostrado su eficacia en diversas implantaciones.

Empezar con casos de uso concretos

Comience con aplicaciones bien definidas en las que la evaluación de riesgos impulsada por IA pueda aportar un valor claro. El resumen de documentos para la revisión de políticas es un excelente punto de partida, ya que ofrece un aumento inmediato de la eficiencia con un riesgo relativamente bajo. La generación de preguntas de entrevista para ámbitos de riesgo específicos representa otra aplicación de bajo riesgo y alto valor. El desarrollo de escenarios para riesgos emergentes permite a las organizaciones aprovechar las capacidades creativas de la evaluación de riesgos basada en IA, manteniendo al mismo tiempo un control humano total sobre las evaluaciones de riesgos resultantes.

Establecer criterios de evaluación claros

Definir métricas para medir la eficacia de la evaluación de riesgos con IA a fin de garantizar que la tecnología aporte un valor real. Realice un seguimiento del ahorro de tiempo, los nuevos riesgos identificados y los comentarios de las partes interesadas sobre la claridad y la capacidad de acción de los conocimientos para medir el impacto práctico de las evaluaciones mejoradas de la evaluación de riesgos con IA.

Implementar un enfoque que incluya al ser humano en el proceso

Garantizar que la supervisión humana siga siendo fundamental en el proceso mediante funciones definidas para la IA frente a los humanos. Las organizaciones deben distinguir claramente entre las tareas en las que la evaluación de riesgos basada en IA proporciona recomendaciones y las que requieren el juicio humano. Crear protocolos de revisión para los resultados de la evaluación de riesgos con IA antes de que influyan en las decisiones, y documentar los casos en los que el juicio humano anula las recomendaciones de la IA.

Desarrollar estrategias especializadas de comando

Cree una biblioteca de comandos eficaces para tareas comunes de evaluación de riesgos con IA para maximizar la coherencia y la calidad. Los comandos de identificación de riesgos que incorporan escenarios específicos del sector ayudan a que las evaluaciones de riesgos basadas en IA produzcan inventarios de riesgos más relevantes y completos. Los comandos bien elaborados pueden guiar al sistema hacia un análisis multifactorial que refleje mejor la complejidad de los riesgos organizativos.

Colaboración entre funciones

Colaboren con otros departamentos para maximizar el valor de la evaluación de riesgos basada en IA. Trabajen con el departamento de informática para garantizar que la infraestructura técnica de la organización sea compatible con las aplicaciones de evaluación de riesgos basadas en IA. Colaboren con los departamentos jurídico y de cumplimiento normativo para abordar las consideraciones reglamentarias y la admisión de soluciones de IA. Colaboren con las unidades de negocio para validar los escenarios de riesgo y las recomendaciones de control.

Conclusión

La evaluación de riesgos basada en IA representa un cambio fundamental en la forma en que los auditores internos abordan la gestión de riesgos. A medida que la evaluación de riesgos basada en IA siga evolucionando, los auditores internos que adopten esta tecnología manteniendo al mismo tiempo su escepticismo y juicio profesionales, definirán el futuro de la profesión y se verán capacitados por ella para ofrecer evaluaciones de riesgos más estratégicas y con mayor visión de futuro que nunca. Las funciones de auditoría más exitosas serán aquellas que consideren la evaluación de riesgos basada en IA no como un sustituto de la experiencia humana, sino como una potente extensión, que combina el mejor juicio del auditor con las capacidades computacionales para crear conocimientos sobre los riesgos que ninguno de los dos podría lograr por sí solo.

1 Este artículo contiene ejemplos de aplicaciones de IA. Estos ejemplos tienen únicamente fines ilustrativos y no constituyen una recomendación.

Suscríbase a continuación para recibir mensualmente Perspectivas de expertos en su bandeja de entrada.

¿No puede ver el formulario más adelante?

Es necesario que cambie la configuración de cookies para ver el formulario. Haga clic en el botón a continuación para actualizar sus preferencias y aceptar todas las cookies. Si desea obtener más información, revise nuestra Política de privacidad y cookies.

TeamMate
TeamMate
Para los auditores que se enfrentan al reto de mejorar la productividad de la auditoría a la vez que proporcionan valores estratégicos, TeamMate ofrece soluciones expertas, junto con servicios profesionales de primera calidad, a auditores de todo el mundo y de todos los sectores.

TeamMate+ AI Editor

TeamMate ofrece los recursos y las herramientas necesarios para aprovechar todo el potencial de la IA.
Más Información
TeamMate+ AI Editor ayuda a los equipos a trabajar más rápido, producir documentación de mayor calidad y mejorar los estándares de auditoría.
Más Información
Ver la Demo
Contacto

Artículos relacionados

  • Informe o contenido editorial
    Cumplimiento
    septiembre 22, 2025

    Preparar la auditoría interna para el futuro: abordar las disrupciones tecnológicas emergentes

    Las tecnologías emergentes están avanzando a un ritmo sin precedentes, ofreciendo posibilidades transformadoras al tiempo que exponen a las organizaciones a nuevos riesgos.
    Más información
  • Informe o contenido editorial
    Cumplimiento
    agosto 29, 2025

    Debilidades del control interno: Identificación y soluciones para los auditores internos

    Comprenda las deficiencias de control interno a través de ejemplos reales y soluciones de prevención eficaces.
    Más información
  • Informe o contenido editorial
    Cumplimiento
    agosto 13, 2025

    Diseñar una estrategia formal de auditoría interna

    El departamento de auditoría interna de toda organización requiere una estrategia bien planificada y estructurada. La siguiente guía está diseñada para acompañarle en cada paso.
    Más información
  • Informe o contenido editorial
    Cumplimiento
    junio 23, 2025

    Nunca subestime los riesgos de fraude

    Descubra la amenaza omnipresente del fraude y aprenda estrategias eficaces para la gestión del riesgo de fraude, incluyendo el papel de la tecnología y la supervisión continua en la mitigación de riesgos.
    Más información
Back To Top