CleverBusiness Solutions S.L.

Auditoría en empresas que usan IA generativa: qué verificar y cómo se debe hacer

La integración de modelos generativos en finanzas ha hecho que la auditoría tenga que mirar más allá de los saldos: hoy, además debe comprobar también cómo se producen esas cifras. El objetivo de las auditorias sigue siendo el mismo, la fiabilidad y el cumplimiento normativo, pero el campo de revisión se ha ampliado al ciclo del dato, los algoritmos y su gobierno.

De una herramienta en pruebas a un estandard operativo

A lo largo de este año, la IA generativa ha dejado de ser una curiosidad. Según PwC Global AI Study 2025, el 41% de grandes compañías la emplea en funciones financieras y el 27% genera información con ella que alimenta estados financieros o reportes regulatorios. Entre sus usos más comunes están los siguientes:

  • La preparación automática de informes de gestión y financieros.
  • Generar proyecciones de caja así como modelos de comportamiento de clientes.
  • La redacción de documentos para comunicación y cumplimiento tanto internos como externos,
  • La extracción de datos relevantes en contratos y documentación extensa.

Riesgos que debe tener en cuenta el auditor

La tecnología aporta velocidad, pero introduce nuevas variables que suponen posibles errores y por tanto influyen en la calidad de las evidencias recogidas, lo que supone un reto para el auditor. Estos son algunos de los factores más frecuentes que provocan los datos incompletos o erróneos:

  • La calidad del entrenamiento: cuando se introducen históricos incompletos, sesgados o mal curados los resultados obtenidos pueden ser poco exactos o parciales.
  • Opacidad algorítmica: el auditor desconoce que criterio sigue el algoritmo de la IA y por tanto puede tener dificultades para explicar por qué el modelo clasifica o estima los datos de cierto modo.
  • Memoria y uso de criterios sin control: reentrenar con nuevos criterios o ajustar sin control los datos introducidos pueden romper la consistencia de estos entre periodos.
  • Protección de datos: la aportación y tratamiento de datos sensibles sin control suficiente puede elevar riesgos de seguridad y cumplimiento normativo.
  • Uso regulatorio: si la información que aporta la IA se integra en información oficial, los errores pueden acarrear sanciones y pérdida de confianza por parte de clientes o empresas del sector.

Qué debe incorporar el plan de auditoría

Por tanto, un programa eficaz en contextos de IA debería incluir, como mínimo:

  1. Inventario de puntos de contacto de la IA en el ciclo financiero y su trazabilidad hasta las cuentas.
  2. Revisión de gobernanza de datos: integridad, calidad y seguridad del entrenamiento y de la operación.
  3. Exigencia de explicabilidad: documentación clara de criterios y umbrales; soporte de expertos de datos cuando proceda.
  4. Pruebas de consistencia y precisión: contraste con reglas contables estándar y/o sistemas tradicionales.
  5. Controles humanos previos a la incorporación en estados financieros o reportes regulatorios.
  6. Bitácora de cambios del modelo: actualizaciones autorizadas y documentadas (quién, qué, cuándo, por qué).

Competencias «nuevas» que debería tener un auditor del siglo XXI

En este nuevo contexto en el que la IA se ve implicada en la elaboración de informes y extracción de datos, un auditor, a parte de un gran dominio normativo, debería:

  • Entender supuestos y límites de los modelos de Inteligencia Artificial.
  • Evaluar el control interno en entornos mixtos en los que implican personas e IA.
  • Saber traducir el tecnológico a efectos contables y de presentación.

La IA generativa  puede elevar la eficiencia y cobertura, siempre que exista evidencia suficientecontroles efectivos y alineamiento normativo. Auditar balances implica también auditar los datos, lógica y el código que los sustentan.

Veamos un ejemplo

En una auditoría reciente a una distribuidora de productos de consumo, la compañía había implantado IA generativa para automatizar reportes internos y acelerar el cierre. Durante las pruebas sustantivas aparecieron clasificaciones anómalas: gastos de mantenimiento figuraban como mejoras de inmovilizado, con impacto en el resultado y el balance.

Después de un análisis técnico se demostró que el modelo de IA usado, aprendió reglas y criterios a partir de históricos incompletos y mal etiquetados, por lo que los informes no se ajustaban a la normativa contable actual.

El equipo auditor ante dicha situación respondió con un paquete de procedimientos específicos:

  • Elaboraron un dossier técnico en el que se recogían los datos de entrenamiento, el algoritmo, los criterios de clasificación, y las últimas actualizaciones del modelo de IA.
  • Se realizaron pruebas paralelas reclasificando el manual de muestras con criterios contables estándar y comparándolos con los datos de salida del modelo.
  • Se hicieron controles de entrada/salida: verificaron la revisión humana llevada a cabo antes de incorporar resultados a los estados.
  • Supervisaron la gestión de los cambios hechos en el modelo de IA: fueron revisando el historial de reentrenamientos para detectar modificaciones que pudieran alterar los criterios y volver a dar datos erróneos.

Se corrigió el error y, además, se identificaron debilidades de control interno sobre el sistema basado en IA, que sirvieron para reforzar el plan de auditoría y la gobernanza tecnológica de la entidad.

Etiquetado , ,

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *