La innovación sin regulación: El dilema actual

Las empresas están compitiendo. Por un lado, deben implementar IA para seguir siendo competitivos; por el otro, legisladores de toda Latinoamérica, Europa y EE. UU. están cambiando las reglas mientras juegan. El Informe Global Risk in Focus 2026 del Instituto de Auditores Internos (IIA) muestra una verdad incómoda: el 53% de los ejecutivos en Norteamérica consideran la disrupción digital e IA como riesgo top-5, escalando del 4º al 2º lugar en solo dos años. Esto no indica una mayor conciencia del riesgo, sino que el riesgo mismo ha crecido exponencialmente.

Lo alarmante es la diferencia entre la percepción de riesgo y la realidad operativa: aunque los CAE están cada vez más conscientes de los riesgos de la IA, solo el 39% de los auditores internos la utilizan hoy en día y solo el 41% tiene previsto hacerlo en los próximos 12 meses, según la encuesta de Wolters Kluwer de julio de 2025. Esto crea un círculo vicioso: las organizaciones sin experiencia en la auditoría de IA están controlando las implementaciones cada vez más complejas de sistemas de IA.

¿Dónde están los controles?

Un nuevo estudio encuentra que 95% de pilotos empresariales de IA generativa no logran resultados medibles en rentabilidad, no por culpa del modelo, sino por falta de gobernanza. Un estudio del MIT Sloan encontró que las empresas no están integrando bien los sistemas de IA con los flujos de trabajo existentes, no documentan cómo los sistemas toman decisiones y no tienen "un humano en el circuito" para verificar los resultados cruciales.

La Ley de IA de la UE, que será totalmente aplicable en agosto de 2025, obliga a los proveedores de modelos de IA de uso general a informar sobre capacidades, límites y dar acceso a datos de entrenamiento. Pero en Latinoamérica, donde la mayoría de las empresas todavía están estableciendo sus primeras políticas de IA, esta complejidad normativa está fuera de sus prioridades. Pero las multinacionales que operan en jurisdicciones reguladas están bajo presión inmediata para cumplir.

Ejemplos reales que demuestran la brecha

En junio de 2025, la herramienta de reclutamiento con IA de McDonald’s (Olivia, de Paradox.ai) fue violada en una configuración predeterminada de seguridad básica: los investigadores adivinaron la contraseña "123456″ en la interfaz de administración, exponiendo los datos de 64 millones de solicitantes. Esto no fue un error de modelo de IA avanzada; fue un error básico de gobernanza sobre administración de credenciales y control de acceso de terceros.

De manera similar, en Nueva Gales del Sur, Australia, un contratista cargó en secreto una hoja de cálculo con datos de salud personales de 3.000 solicitantes en ChatGPT, exponiendo información confidencial y provocando restricciones inmediatas en el uso de herramientas de IA no autorizadas.

El Banco de Dinamarca (DNB), sin embargo, evitó el desastre. Criminales hicieron un deepfake en vivo de su CEO y CFO en una llamada de Microsoft Teams para intentar transferencias de millones de dólares. El banco identificó y bloqueó el intento. ¿Por qué? Porque tenían validaciones compensatorias para altos valores. Si bien el riesgo de deepfake existe, controles de negocio adecuados lo atenúan.

El papel de la auditoría interna en la gobernanza de la IA

Aquí es donde los auditores internos entran en juego. El IIA lanzó en 2024 su marco de auditoría de IA, en consonancia con el NIST AI Risk Management Framework y las Normas Globales de Auditoría Interna 2024. Este marco hace hincapié en que la auditoría interna debe:

1. Medir la madurez de gobernanza: ¿Existe un comité de gobernanza de IA, documentación de qué sistemas utilizan IA, e inventario de modelos con evaluación de riesgo?
2.  Auditar el ciclo de vida completo: Desde el desarrollo y entrenamiento hasta el despliegue, monitoreo y actualización de modelos. El 60% de las empresas no tiene procesos establecidos de validación posterior al despliegue y los modelos se degradan sin ser detectados.
3. Verificación de datos y transparencia: el 85% de los proyectos de IA fallan por datos de mala calidad. Los auditores deben verificar que los datos de entrenamiento estén registrados, que se mida el sesgo algorítmico y que los sistemas sean explicables.

Recomendaciones para los líderes de auditoría interna

Y la verdad es que la gobernanza de la IA no puede esperar. Para 2026, espere que reguladores, juntas directivas y partes interesadas pregunten: ¿cómo está tu función de auditoría supervisando la IA? Los CAE que hoy no operan serán sometidos a un escrutinio severo.

Consejos clave:

1. Crear un comité de gobernanza de IA con auditoría, cumplimiento, riesgo e IT; liderar la auditoría de diagnóstico en los próximos 90 días sobre la madurez actual de la gobernanza.
2. Incorporar riesgos de IA en el plan anual de auditoría con foco en sistemas críticos (por ejemplo, sistemas de crédito, RRHH, finanzas); aplicar analítica de datos para descubrir sistemas con IA oculta en la organización.
3.  Establecer políticas claras de terceros para cualquier proveedor que utilice IA; exigir documentación de modelos, datos de entrenamiento, pruebas de sesgo e incidentes de seguridad.