Auditoria Inteligente

Resultados, no procesos

Invítame a un café en Ko-fi!

Gobernanza de datos: Bases esenciales para auditar la IA

Gobernanza de datos: Bases esenciales para auditar la IA

Estamos en una etapa histórica donde la información se ha convertido en el recurso estratégico más importante para la economía, la ciencia y la sociedad. Muchas veces escuchamos la frase “los datos son el nuevo petróleo”, una analogía muy potente para destacar su inmenso valor. Pero esa frase encubre una verdad operativa ineludible: como el crudo petrolífero, los datos no procesados, no clasificados y no asegurados tienen poca utilidad práctica y de hecho pueden suponer un riesgo masivo.

En la actual carrera de transformación digital, muchas organizaciones ya han dado un gran paso en la implementación de soluciones de analítica avanzada, automatización robótica de procesos (RPA) y modelos de inteligencia artificial (IA) generativa. Pero chocan con un muro de contención: la falta de confianza en los datos que alimentan esos sistemas. Aquí es donde la gestión de datos de una forma organizada deja de ser un concepto abstracto de TI y se convierte en un imperativo estratégico de negocios y un área de enfoque crítico para los profesionales de control interno y auditoría interna.

Entendiendo el Gobierno de Datos usando DAMA DMBOK2

Para dimensionar la magnitud del desafío, tenemos que apoyarnos en los estándares globales que marcan la ruta de la industria. El marco de referencia por excelencia es el Data Management Body of Knowledge (DMBOK2) desarrollado por DAMA International.

El DAMA DMBOK2 define una importante diferencia que todo líder de negocio y todo auditor debe conocer: la diferencia entre gestión de datos y gobierno de datos. La gestión tiene que ver con lo técnico y operativo de la ejecución (almacenamiento, integración y procesamiento), mientras que el gobierno del dato está en el nivel estratégico. DAMA define el gobierno de datos como “el ejercicio de la autoridad, el control y la toma de decisiones compartidos (planificación, monitoreo y aplicación) sobre el manejo de los activos de datos”.

En la célebre “Rueda de DAMA”, la Gobernanza de Datos se sitúa en el epicentro, como núcleo gravitacional que orquesta otras diez áreas de conocimiento interconectadas. Entre ellas, se encuentran la Arquitectura de Datos, la Gestión de Metadatos, la Seguridad de Datos y la Calidad de Datos, por supuesto. El gobierno define el qué y el porqué (las políticas, los estándares, los roles como los Data Owners y Data Stewards), mientras que la gestión se encarga del cómo. Los esfuerzos tecnológicos, sin el gobierno en el centro, se transforman en silos desestructurados que generan inconsistencias y altos costos operativos.

El catalizador imprescindible para la analítica, la automatización y la IA

¿Por qué es tan urgente ahora mismo? La respuesta es una máxima muy conocida en el mundo de la tecnología: Garbage In, Garbage Out (entra basura, sale basura).

Los sistemas inteligentes, el aprendizaje automático (ML) y los agentes autónomos no son magos creativos, sino motores de reconocimiento de patrones que dependen absolutamente de los datos históricos y en tiempo real con los que se entrenan y se alimentan. Como bien indican los expertos del sector: "Sin un buen gobierno del dato, la IA es solo una promesa".

  1. Analítica de datos y toma de decisiones: Los paneles de control (dashboards) y los modelos predictivos necesitan tener una “única fuente de verdad” (SSOT, por sus siglas en inglés). Si el departamento de finanzas y el de marketing tienen definiciones diferentes de “cliente activo”, las métricas van a chocar. La gobernanza, mediante la gestión de metadatos y de los glosarios de negocio empresariales, asegura un lenguaje común.
  2. RPA, o Automatización robótica de procesos: Para que un bot automatice una conciliación bancaria o una auditoría de gastos, los datos de entrada deben estar estructurados, estandarizados y ser predecibles. Los datos de baja calidad generan fallos en los flujos de automatización de forma constante, por lo que es necesario que un humano intervenga y el retorno de la inversión esperada desaparece.
  3. Inteligencia artificial y ética algorítmica: Con la IA, el riesgo se multiplica. Si los datos de entrenamiento tienen sesgos históricos, inconsistencias o información incompleta, la IA tomará esos defectos y los amplificará y escalará a una velocidad asombrosa. Aparte de eso, en ausencia de un catálogo de datos claro, la organización podría estar exponiendo a modelos de lenguaje grandes (LLM) Información de Identificación Personal (PII) o secretos comerciales, lo que violaría la privacidad y la confidencialidad.

La importancia estratégica para la auditoría interna

En este entorno de alta complejidad, la función de Auditoría Interna está atravesando una evolución transformadora. Las nuevas normas globales de auditoría interna del IIA (las NOGAI, efectivas en 2024) ponen un fuerte énfasis en el desempeño, la integración tecnológica y la alineación estratégica (Norma 9.2). El auditor moderno no se puede limitar a la revisión de los controles financieros tradicionales; debe dar aseguramiento sobre los activos digitales de la organización.

Para los Directores de Auditoría Interna (CAEs) y su equipo, el gobierno de datos es fundamental en dos aspectos:

1. Realizar la auditoría del propio Gobierno de Datos

La Auditoría Interna debe evaluar que la organización cuenta con una estructura de protección de su información que sea sólida. ¿Tienen políticas claras de retención y eliminación de datos? ¿Se han repartido responsabilidades entre los custodios de datos? ¿De qué forma se controla la calidad de la información? El auditor pasa a ser un crítico evaluador que asegura que la empresa está minimizando los riesgos de ciberseguridad, fugas de datos y sesgos algorítmicos. Ahora las auditorías de cumplimiento deben centrarse en garantizar que los datos de entrada a la IA sigan las directrices de privacidad y ética.

2. Utilizar datos gobernados para la auditoría continua

Los departamentos de auditoría con recursos limitados se encuentran bajo la presión de “hacer más con menos”. Para pasar de muestreos manuales a pruebas del 100% de la población (auditoría continua), es necesario el uso de analítica avanzada de datos. Sin embargo, para que los auditores puedan aplicar Smart Analytics, detectar anomalías y monitorear el fraude en tiempo real, dependen de que la organización tenga un repositorio de datos limpio, confiable y bien gobernado. Un gobierno de datos maduro reduce significativamente el tiempo que los auditores dedican a la limpieza y preparación de la información, permitiéndoles concentrarse en el análisis de alto valor y el escepticismo profesional.

Imagen ilustrativa de ejecutivos viendo un tablero de cumplimiento apoyado por datos.
Imagen ilustrativa de ejecutivos viendo un tablero de cumplimiento apoyado por datos. (Gemini/Auditoría Inteligente).

La sinergia con múltiples marcos normativos y de referencia

El DAMA DMBOK2 no existe en el vacío. Las mejores prácticas dictan que el gobierno de datos debe ser un esfuerzo interdisciplinario, apoyado por diversos marcos globales de gestión de riesgos y cumplimiento:

  • COBIT (ISACA): DAMA se centra únicamente en la gestión de datos, mientras que COBIT 2019 ofrece el marco de referencia para la gobernanza de TI empresarial en su conjunto. COBIT define los objetivos de control para garantizar que las inversiones en TI (incluyendo plataformas de datos) estén alineadas con los objetivos estratégicos del negocio y gestionen eficazmente el riesgo.
  • ISO/IEC 38500 e ISO 8000: La norma ISO 38500 guía a la alta dirección (Junta Directiva) en su responsabilidad sobre el uso efectivo y ético de la TI. La ISO 8000, por su parte, se ocupa directamente de la calidad de los datos industriales a lo largo de todo su ciclo de vida, lo cual complementa perfectamente el enfoque de calidad de DAMA.
  • Conformidad con las normas internacionales (GDPR, CCPA, AI Act): La legislación actual exige trazabilidad, privacidad por diseño y minimización de datos. Las nuevas regulaciones, como la Ley de Inteligencia Artificial de la Unión Europea (EU AI Act), imponen requisitos estrictos en relación con la gestión de los datos empleados para formar sistemas de IA de alto riesgo. Un gobierno de datos bien armado, es la única forma en la que podrás demostrar a los reguladores que estás cumpliendo.
  • NIST AI RMF: El Marco de Gestión de Riesgos de Inteligencia Artificial del Instituto Nacional de Estándares y Tecnología de EE. UU. señala que los datos empleados en la IA deben ser seguros, transparentes y libres de sesgos, condiciones que únicamente se pueden cumplir a través de políticas gubernamentales activas.

Construyendo la arquitectura de la confianza

La gestión de datos ya no es un simple ejercicio de cumplimiento normativo, sino la base sobre la que las empresas construyen su ventaja competitiva. En un mundo inundado de información y transformado por la inteligencia artificial, el valor no está en tener más datos sino en tener datos estructurados, seguros, éticos y auditables.

El desafío para los líderes de aseguramiento y los profesionales de la auditoría interna es claro: tenemos que mejorar nuestras habilidades técnicas, comprender las complejas arquitecturas de datos y convertirnos en asesores estratégicos de confianza. Solo si garantizamos hoy la integridad de nuestros datos, podremos abrazar seguros los avances tecnológicos del mañana.

¿Su organización está edificando su estrategia de IA sobre un gobierno de datos sólido, o sobre arenas movedizas? Contáctenos para que conversemos sobre cómo les podemos apoyar en lograr una cultura data-driven en su organización.

Redactado por:

Christian Vargas

Christian fundó Auditoría Inteligente para compartir sus conocimientos y experiencias sobre la transformación y mejora de procesos de aseguramiento en toda Latinoamérica.

Categorías: , ,