Marco de Auditoria IA

MARCO DE
AUDITORÍA DE
Inteligencia
Artificial
Del IIA
Tabla de Contenidos
Introducción ................................................................................................. 3
PARTE 1 – Descripción General ............................................................................ 4
PARTE 2 – Primeros Pasos ................................................................................. 8
PARTE 3 – Marco de Auditoría de IA ...................................................................... 12
PARTE 4 – Guía y glosario para profesionales............................................................ 25
Referencias ................................................................................................ 34
Marco de Auditoría de INTELIGENCIA ARTIFICIAL 2

Introducción
Inteligencia Artificial (IA) es un término amplio que ha Dicho esto, los auditores internos ya poseen
crecido hasta abarcar una amplia gama de conocimientos fundamentales, como pensamiento
tecnologías existentes y emergentes. Si bien no crítico, capacidad para mapear procesos, evaluar
existe una definición única para el término, IA riesgos, evaluar controles de tecnología de la
generalmente se refiere a “sistemas dotados de información, comprender estrategias
procesos intelectuales característicos de los humanos, organizacionales y brindar aseguramiento
como la capacidad de razonar, interpretar significado, independiente a la función de gobernanza.
contextualizar o aprender de experiencias pasadas”.1
El auge actual de las aplicaciones de IA demuestra La intención al presentar el Marco de Auditoría de IA
formas aparentemente infinitas en las que las del Instituto de Auditores Internos (IIA) es ayudar a
organizaciones pueden aprovechar las tecnologías los auditores internos a comprender el riesgo e
impulsadas por la IA para mejorar la forma en que identificar las mejores prácticas y controles internos
trabajamos, al tiempo que plantean riesgos diversos relacionados al uso de IA, y ayudará a los auditores
y significativos que son inherentes, dada la internos a desarrollar conocimientos básicos sobre la
naturaleza de la tecnología. temática. El marco se presenta en cuatro partes:
La IA puede ser un tema intimidante para un auditor 1. Descripción General – Historia y usos de la IA.
interno, especialmente a medida que la adopción y 2. Primeros Pasos – Comprender cómo se
el uso de la IA en las organizaciones continúan utiliza la IA en las organizaciones.
creciendo. Ahora, más que nunca, las organizaciones
3. Marco de Auditoría de IA –
buscan en la auditoria interna una mayor orientación
Gobernanza, Gestión y Auditoría
sobre la IA. Ya sea asesorando sobre riesgos y
Interna.
controles relacionados con la IA, o asegurando
procesos que utilizan o dependen de la IA, por lo que 4. Guía y glosario para profesionales.
es crucial que los auditores internos desarrollen sus
conocimientos sobre esta temática. Este marco, que aprovecha aspectos del Modelo de
Tres Líneas del IIA2, incluirá referencias al Marco
Se espera que los auditores internos proporcionen Internacional para la Práctica Profesional (IPPF) del
aseguramiento respecto a procesos que pueden IIA, que proporciona una base de requisitos
variar desde simples transacciones comerciales hasta obligatorios y principios rectores para la profesión
procedimientos altamente complejos que requieren de auditoría interna. Deben revisarse los estándares
una comprensión profunda. El alcance y la
aplicables para obtener información adicional. Las
profundidad de los conocimientos sobre IA necesarios
para respaldar las actividades de aseguramiento guías relacionadas del IIA, como las Guías de
crean desafíos continuos para los auditores internos, Auditoría de Tecnología Global (GTAGs), se
quienes deben desarrollar continuamente sus mencionan para proporcionar contenido específico
conocimientos sobre IA para comprender plenamente sobre el tema. Otros marcos relevantes, como el
sus riesgos y desempeñarse de manera efectiva al Marco de Gestión de Riesgos de Inteligencia Artificial
brindar asesoramiento y aseguramiento. (AI RMF 1.0) del NIST, se enumeran como recursos
adicionales para los profesionales de auditoría
La IA presenta desafíos únicos para la auditoría interna.
interna, y su evolución, significa que los auditores
internos deben reevaluar los riegos en los entornos
de IA y su mitigación.

PARTE 1
Descripción General
La década de 1960 presentó grandes avances en
IA, incluido el uso de la robótica, programas de
resolución de problemas y el primer programa
informático interactivo (también conocido como
programa de comprensión del lenguaje natural o
PNL) llamado ELIZA, desarrollado por Joseph
Weizenbaum, de origen germano-estadounidense,
informático y profesor. ELIZA podría considerarse
el primer “chatbot”, diseñado para simular una
conversación con humanos6.
El Desarrollo de la IA en la década de 1970, incluyó

el primer robot inteligente llamado WABOT,
desarrollado por la Facultad de Ciencias e
Ingeniería de la Universidad de Waseda en Tokio,
así como el trabajo en PNL del científico
informático indio-estadounidense Raj Reddy7,8.
Los avances en la década de 1980 incluyeron el
Historia y Evolución desarrollo de una camioneta Mercedes Benz sin
conductor en 1986 bajo la supervisión de Ernst
Como un abordaje general del tema, es importante Fickmanns, líder alemán en tecnología de
que los auditores internos comprendan el desarrollo conducción autónoma9.
histórico de la IA, la forma en que la IA se utiliza
actualmente en diversas industrias y las tendencias La década de 1990 tuvo avances en las tecnologías
emergentes de IA que los auditores internos deben relacionadas con la IA, incluido el software de
considerar. reconocimiento de voz en Windows, propiedad de
Microsoft. Asimismo, IBM desarrolló una IA altamente
La idea de aplicaciones de la IA se remonta a 1950, efectiva como “Deep Blue”, que fue noticia en 1997
cuando el matemático británico Alan Turing planteó la cuando derrotó al gran maestro de ajedrez Garry
pregunta “¿Las máquinas pueden pensar?” en su Kasparov 10.
artículo “Computing Machines and Intelligence .”3 Se
le considera uno de los fundadores de la IA al sugerir En la década de 2000, la IA se había convertido en
que las máquinas eventualmente serían capaces de parte de nuestra vida diaria, incluidas aplicaciones
tener una inteligencia similar a la humana. Dos años como Alexa de Amazon, Siri de Apple y Google
más tarde, Arthur Lee Samuel, un informático Assistant. El año 2023 marcó un aumento en la
estadounidense de IBM, desarrolló un programa que adopción de grandes modelos de lenguaje de gran
podía jugar a las damas utilizando valores tamaño (LLMs) como ChatGPT, que han elevado aún
programados para identificar el mejor movimiento 4. más las capacidades de la IA, pasando de
El proyecto The Darthmouth Summer Research on simplemente predecir resultados a una variedad de
Artificial Intelligence en 1956 presentó uno de los creaciones de contenido.
primeros usos del término IA, atribuido a John
McCarthy, un científico cognitivo e informático
estadounidense5.
EJEMPLOS:
Niveles de adopción
De acuerdo con el Índice global de adopción de IA de • Deep Blue de IBM.
IBM en 2022, el 35% de las empresas encuestadas • Algunas aplicaciones de aprendizaje
informaron que utilizan IA en sus negocios, y un 42% automático se clasifican como IA de máquina
adicional, informó que están explorando la IA11. La reactiva. El aprendizaje automático a menudo
continua expansión de la IA refuerza el hecho de se basa en modelos estadísticos que analizan
que los auditores internos deben asegurarse de datos y producen resultados predictivos a
partir de los datos de entrada. Por ejemplo,
incorporar los riesgos relacionados con la IA en la
una tienda minorista en línea podría utilizar IA
planificación de sus auditorías. Además, los en su aplicación móvil o sitio web para sugerir
auditores internos deben desarrollar continuamente productos basándose en el historial de
su conocimiento sobre la IA. La Parte 2, Primeros compras del consumidor. El historial de
Pasos, profundizará en las consideraciones que un compras del usuario individual es el conjunto
auditor interno puede tomar en cuenta para de datos que impulsa el resultado y que se
identificar el uso de IA dentro de sus adapta a ese cliente.
organizaciones.
Así como el entorno de la IA continúa evolucionando,

también lo hace las formas en que se categoriza la
IA. Si bien, existen diferentes perspectivas sobre
cómo agrupar las diversas formas de IA, la siguiente
sección proporciona un resumen de tipos comunes de
IA actualmente en uso (Máquina Reactiva y Memoria
Limitada), o que son estrictamente teóricas (Teoría
de la Mente y Autoconciencia).
Desde el punto de vista de la funcionalidad, IBM12

clasifica la IA en cuatro tipos:
1. IA de Máquina Reactiva
2. IA de Memoria Limitada
3. IA de Teoría de la Mente
4. IA Autoconsciente
1 . IA de Máquina Reactiva 2 . IA de Memoria Limitada

• La IA reactiva es un tipo de IA sin memoria que • La IA de Memoria Limitada depende menos de la
interacción humana para producir resultados, lo
está diseñada para realizar tareas basadas
que le otorga la capacidad única de aprender y
únicamente en entradas o entrenamiento
mejorar basándose en el entrenamiento a partir
realizado por humanos. A veces denominada IA de conjuntos de datos más grandes. Mientras
Estrecha o Débil, estos sistemas dependen del que la IA de Máquina Reactiva sólo puede
“Humano en el circuito” (“Human in the loop”) utilizar datos disponibles actuales, la IA de
para la codificación generada por humanos Memoria Limitada puede incorporar datos
que indica a la máquina cómo operar por sí pasados y presentes para mejorar el
rendimiento.
sola. Esta programación, que se conoce
comúnmente como “algoritmo”, consiste en
un conjunto de cálculos que incluyen
• Otros ejemplos de aprendizaje automático
acceden a conjuntos de datos más grandes y
aspectos tanto de informática como de realizan análisis más complejos. Esto se conoce
matemáticas o estadística. como “Aprendizaje Profundo” (“Deep

Learning”), que es un subconjunto tanto, del Otros Tipos de IA:
aprendizaje automático, como de la IA de
Memoria Limitada. Se diferencia por depender Sistemas Expertos simulan el juicio o
menos de la interacción humana para producir comportamiento humano. Incorporan el
resultados. La IA generativa está dentro de esta conocimiento de múltiples personas en la resolución
categoría, y se puede utilizar para crear de problemas y, en teoría, proporcionan soluciones
contenido basado en algoritmos programados. más efectivas. Los Sistemas Expertos se utilizan en la
investigación química para analizar y predecir la
estructura molecular y en medicina para identificar
EJEMPLOS DE IA GENERATIVA INCLUYEN: bacterias dañinas.
• ChatGPT, LLaMA, y Bard son ejemplos de
chatbots basados en Modelos de Lenguaje de La tecnología de visión por computadora,
Gran Tamaño (LLM por sus siglas en inglés), que combinada con el Aprendizaje Profundo, permite a
dependen del aprendizaje profundo y pueden las máquinas analizar imágenes. Actualmente se
producir contenido de texto, mientras que otras utiliza en el cuidado de la salud para detectar y
formas de IA generativa pueden producir otro diagnosticar anomalías en los pacientes basándose en
tipo de contenido como música (MusicLM), arte radiografías, resonancias magnéticas o tomografías
(DALL-E) e incluso códigos informáticos (OpenAI computarizadas. El reconocimiento facial es otra
Codex). forma de visión por computadora, con una alta
variedad de usos, incluyendo la autenticación al
• Los Chatbots y los asistentes virtuales son una intentar acceder a una cuenta bancaria o restringir
forma comúnmente utilizada de IA de Memoria el acceso físico a edificios que albergan datos
Limitada que utiliza el procesamiento del sensibles.
lenguaje natural (PNL) y el aprendizaje por
refuerzo para entablar conversaciones similares
a las humanas con los usuarios finales. Estas Aunque la robótica y la IA son campos distintos, a
herramientas suelen ser utilizadas por menudo se combinan para crear herramientas
organizaciones como instituciones financieras, emergentes que pueden usarse en el mundo real. Por
que permiten al usuario solucionar diversos ejemplo, los robots que utilizan sensores visuales y
problemas, incluso fuera del horario comercial. procesamiento de imágenes emplean IA para
aprender a navegar por su entorno. La manufactura,
Además, el aprendizaje automático, a menudo se la agricultura y los bienes de consumo empaquetados
subdivide en cuatro categorías:13 son industrias que también dependen de la robótica
combinada con IA de Memoria Limitada para
1. Aprendizaje Supervisado – El aprendizaje aumentar la eficiencia y la productividad en sus
pasado se aplica a datos estructurados con operaciones. El uso de cirugías asistidas por robots e
resultados predeterminados. IA en la industria de la salud promueve una mayor
2. Aprendizaje No Supervisado – No hay precisión, lo que puede resultar en una recuperación
resultados "correctos" predeterminados; en más rápida para los pacientes.
su lugar, busca patrones en datos no
estructurados.
3. Aprendizaje Semi-Supervisado – Contiene
3 . IA de Teoría de la Mente
elementos tanto del aprendizaje supervisado Aunque la IA de Teoría de la Mente no está
como del no supervisado. desarrollada hoy en día, la investigación actual busca
desarrollar sistemas de IA que comprendan e
4. Aprendizaje por Refuerzo – Programación interactúen con factores como emociones y
dinámica donde los algoritmos se entrenan a motivaciones de manera similar a los humanos. El
través de un sistema de recompensas y trabajo en esta área incluye esfuerzos para
castigos; aprende sin interacción humana. desarrollar sistemas que puedan analizar y

relacionarse con los humanos basándose en la
entrada de sus voces, expresiones faciales y
sentimientos en tiempo real y responder de manera
similar a los humanos.
4 . IA Autoconsciente
La IA Autoconsciente, al igual que la IA de Teoría
de la Mente, es actualmente teórica y no existe en
la práctica. Relacionada con las recientes
conversaciones sobre la posibilidad de la "IA
General Artificial" (AGI por sus siglas en inglés),
esta versión hipotética de la IA sería única y
autoconsciente con lo que muchos imaginan como
una profunda conciencia interna que iguala o
supera lo que los humanos son capaces de tener.
Aunque es un punto de conversación popular en los
últimos meses, sigue habiendo debate sobre la
viabilidad de este nivel de funcionalidad de la IA.

PARTE 2
Primeros Pasos
• Los informes más recientes de la junta, que
contienen la visión e información sobre cómo los
líderes de la organización y el órgano de gobierno
están discutiendo temas como el uso de la IA y las
preocupaciones respecto a riesgos asociados a estas
tecnologías.
• Información obtenida durante las reuniones de

evaluación de riesgos con las partes interesadas.
Fuentes externas pueden proporcionar un marco de

referencia adicional a medida que los auditores
internos comienzan a revisar la estrategia de IA de su
organización. Recursos externos valiosos pueden
incluir:
• La trilogía “Global Perspectives & Insights” del IIA: La

A medida que las organizaciones continúan Revolución de la Inteligencia Artificial14.
implementando la IA de diversas formas, los
auditores internos deben ser proactivos y colaborar • “Artificial Intelligence 101 Series” del IIA.
estrechamente con la administración para
comprender la estrategia de la organización respecto • La Conferencia virtual “Analitycs, Automatización e
a la IA, su uso actual y que planes a futuro existen al IA” del IIA.
respecto. Especialmente, durante el proceso de
planificación los auditores internos deben investigar • Los recursos “Foundational IT” y “Cybersecurity
Audit”, así como los certificados del IIA: “Programa de
y recopilar información relevante sobre el uso
Auditoría en Ciberseguridad” y “Controles Generales
potencial de IA mediante la revisión de múltiples
de TI”.
fuentes internas y externas.
Información interna relevante puede incluir:

• Guías de Práctica y Guías de Auditoría de Tecnología
Global (GTAGs) del IIA.
• Las políticas y procedimientos que hacen • Marco de Gestión de Riesgos de IA (AI RMF 1.0) del
referencia a la IA permiten comprender los NIST.
procesos de la organización.
• Guías del National Cybersecurity Centre para el
• Las iniciativas estratégicas documentadas de una Desarrollo Seguro de Sistemas de IA15.
organización o el plan estratégico que incluya los
aspectos relacionados a IA. • Executive Order sobre IA de la Casa Blanca de
octubre de 2023 16.
• EBook sobre Gobernanza de IA de IBM17.

departamentos o usuarios individuales están utilizando
Ambiente de Control a la IA para sus funciones específicas, lo que requeriría
Nivel de Entidad: conversaciones adicionales. Se recomienda trabajar con

la Dirección para revisar o colaborar en la creación de
Ejecución y Estrategia un inventario de las tecnologías utilizadas actualmente
y en qué áreas están desplegadas dichas tecnologías de
IA. El inventario debe incluir otros aspectos clave como
Al recopilar Información, y una vez que los auditores el objetivo de la IA, quién la utiliza, quién la gestiona,
se hayan provisto de estos recursos, hacer la las herramientas específicas de IA en uso, las
pregunta, “¿Cómo se está utilizando la IA?” es un consideraciones de riesgo y quién ejerce supervisión
punto de partida simple y efectivo. La respuesta a sobre estas herramientas. El proceso de revisar o
esta pregunta probablemente implicará preguntar a colaborar con la Dirección para desarrollar un
múltiples personas o departamentos porque muchas inventario de IA también podría llevarse a cabo durante
organizaciones no tienen una gestión centralizada el proceso de evaluación de riesgos anual.
de la IA, ni políticas establecidas (incluyendo la
definición de qué es IA), procedimientos o una La mayoría de los auditores internos trabajan
estrategia sobre el uso aceptable de la IA. estrechamente con su Director Financiero (CFO) en
Para las organizaciones donde la IA ha sido relación con la prueba de controles internos sobre
desarrollada y desplegada, un auditor interno la información financiera, u otros ejecutivos como
debería tener una conversación con el equipo de el Director de Seguridad de la Información (CISO),
IA/ciencia de datos. Esta conversación debería el Director de Tecnología de la Información (CIO),
incluir pedirles explicación sobre qué IA/algoritmos etc., por lo que tener esa relación profesional con
se han desplegado, incluyendo su función, fuentes miembros del equipo ejecutivo debería
de datos utilizadas, uso, limitaciones, riesgos e proporcionar otra oportunidad para conversaciones
implicaciones éticas. Los auditores internos también iniciales sobre IA. Los auditores internos pueden
deberían comenzar a entender qué controles plantear las siguientes preguntas a sus ejecutivos
existentes están en vigor para ayudar a gestionar los de forma de obtener Información relevante:
riesgos que plantea la IA, o si la Dirección ha
implementado nuevos controles relacionados con el • “¿Se ha establecido una estrategia de IA, y si es
uso y despliegue de sistemas de IA. Obtener una así, ¿Cuáles son los detalles de esa estrategia
comprensión preliminar del diseño de los controles (incluyendo aspectos como el uso de IA para
maximizar la eficiencia de las operaciones o para
utilizados para gestionar el riesgo relacionado con la
reducir costos)?”
IA es un paso importante que puede realizarse en
conjunto con estas discusiones iniciales.
• “¿La Alta Dirección ha designado quién es
responsable de gestionar los riesgos relacionados
Para las organizaciones donde no está claro cómo se con la IA?”
está utilizando la IA (formal o informalmente) o, si
efectivamente se está utilizando tecnología de IA; la • “¿Qué rol tiene la Alta Dirección en la interacción
función de TI de la organización es un buen punto de con el Consejo (o equivalente) para
partida porque, como se indicó en la sección de consideraciones de gobernanza de IA?”
Niveles de Adopción en la Parte 1, los líderes
tecnológicos parecen tener una mayor tendencia a En este punto, los auditores internos habrán:
experimentar y utilizar la IA en su departamento. Si TI
confirma que se está utilizando IA, o si las consultas • Investigado la IA dentro de su organización
iniciales determinan que la IA está siendo utilizada en y revisados recursos externos.
la organización, la siguiente pregunta lógica es
determinar en qué medida se utiliza la IA. • Llevado a cabo conversaciones iniciales sobre IA
con la Dirección, incluyendo a su equipo de
IA/ciencia de datos o la gestión de TI (o ambos)
Aunque una conversación inicial con el equipo de
y el equipo ejecutivo (CFO, CISO, CIO, etc.).
IA/ciencia de datos o la gestión de TI es un buen
primer paso, la discusión no debe limitarse a esos
grupos. De esas conversaciones iniciales, los auditores
internos pueden descubrir que otros

• Colaborado con la Dirección en la revisión o Un algoritmo es un conjunto de reglas que la IA sigue
desarrollo de un inventario para capturar cómo y es lo que permite a una máquina procesar
se está utilizando la IA (o los planes existentes rápidamente grandes cantidades de datos que un
para su uso futuro). humano no puede procesar con la misma facilidad o
• Iniciado el proceso de comprender el nivel de velocidad. Dada la capacidad de la IA para ingerir y
gobernanza de IA efectivamente implementado. responder rápidamente a grandes conjuntos de datos
diversos, la arquitectura, el rendimiento y la
Cumplir con estas cuatro tareas indicaría que la precisión de los algoritmos involucrados son muy
auditoría interna ha dado los primeros pasos para importantes.
establecer un conocimiento base sobre la IA en la
organización. También proporcionaría una Los algoritmos son inicialmente desarrollados por
oportunidad para que la auditoría interna alerte sobre humanos, por lo que el error humano y los sesgos
cualquier observación inmediata que deba ser (tanto intencionales como no intencionales) podrían
comunicada a la Dirección de manera oportuna. afectar el rendimiento del algoritmo. La Parte 3 de
este marco proporcionará más detalles sobre los
Datos riesgos relacionados con errores y sesgos en los
Después de que los auditores internos hayan algoritmos.
comprendido fundamentalmente cómo se está
utilizando la IA, deberían desarrollar un Por fuera de la IA, muchas organizaciones ya han
conocimiento más robusto sobre el uso de la IA desarrollado una estrategia para recolectar,
dentro de la organización. Dado que los algoritmos almacenar, usar, gestionar y proteger datos. La IA es
utilizados para potenciar la IA dependen de grandes como otras aplicaciones basadas en datos en el
volúmenes de datos (también llamados “big data”), sentido de que los mismos aspectos importantes a
determinar qué datos organizacionales se están considerar sobre los datos son relevantes y deben
utilizando dentro de cualquier aplicación de IA y ser considerados en relación a la IA, incluyendo
cómo se gestionan esos datos es crítico. integridad, privacidad, confidencialidad, validez,
precisión y completitud.

Big data significa más que sólo grandes cantidades información. La adopción y evolución de la IA está
de datos: el big data se refiere a datos que alcanzan obligando a las organizaciones a reforzar sus
un volumen, variedad, velocidad y variabilidad tan capacidades de resiliencia informática. A medida
altos que las organizaciones invierten en que la IA se vuelve más poderosa y más decisiones
arquitecturas de sistemas, herramientas y prácticas se delegan en algoritmos nuevos, complejos y
diseñadas específicamente para gestionar los datos. poco claros, que utilizan enormes volúmenes de
Gran parte de estos datos pueden ser generados por datos, proteger estos sistemas de actos externas
la propia organización, mientras que otros datos maliciosas es crucial para el éxito organizacional.
pueden estar disponibles públicamente o comprados La resiliencia cibernética es vital para cualquier
a fuentes externas. Para una guía completa sobre organización que utilice IA.
cómo entender y auditar el big data, incluyendo una Los auditores internos suelen estar involucrados en la
discusión sobre oportunidades y riesgos prueba de la efectividad de los controles internos de
relacionados, y un programa de trabajo de muestra, TI. Este conocimiento sobre cómo la organización ha
consulte “GTAG: Entendiendo y Auditando el Big implementado controles relacionados con la
Data” del IIA. ciberseguridad puede ayudarlos a validar que esos
mismos controles se utilizan para proteger los datos
Otro aspecto crítico tanto del uso de datos como de relacionados con la IA. Ejemplos de controles de
las aplicaciones de IA relacionadas es si los datos ciberseguridad incluyen:
están alojados en o procesados por una parte
externa a la organización. Los auditores internos • Uso de encriptación.
deben considerar siempre los riesgos relacionados
con las transacciones con terceros (y cuartos) • Presencia de software antivirus.
porque el ambiente y el control interno de los
proveedores pueden no estar alineados a los de la • Utilización de sistemas de
organización. La Guía de Práctica del IIA “Auditoría prevención/detección de intrusiones.
de la Gestión del Riesgo de Terceros” ofrece a los
auditores internos un enfoque detallado sobre los • Registro de eventos de seguridad, tanto
de solicitudes como de respuestas.
riesgos relacionados con la utilización de
proveedores externos.
• Realización periódica de tests de penetración
como forma proactiva de búsqueda de
Otro aspecto importante de los datos es el acceso vulnerabilidades.
de los usuarios. Comprender quién puede editar o
hacer cambios en los datos es crítico, ya que la • Capacitación de empleados en mejores prácticas
manipulación de un conjuntos de datos desde el para detectar y evitar esquemas de phishing,
punto de vista de la entrada puede impactar smishing y otras técnicas de ingeniería social.
significativamente en la salida de la IA. Entender y
documentar el acceso de los administradores a los Para más detalles, consulte la Guía del IIA: “GTAG:
datos de los que dependen las aplicaciones que Auditoría de las Operaciones de Ciberseguridad:
utilizan IA también es imprescindible. La Guía del Prevención y Detección”.
IIA: “GTAG: Auditoría de la Gestión de Identidad y
Acceso”, ofrece una visión más cercana de las Los auditores internos deben determinar dónde se
consideraciones de auditoría interna relacionadas almacenan los datos de los que dependen las
con cómo las organizaciones pueden asegurar que aplicaciones que utilizan IA (internamente,
los usuarios tengan el acceso adecuado a los externamente o ambos) y considerar qué controles de
recursos de TI. ciberseguridad están en funcionamiento. Para los datos
almacenados externamente, se debe obtener un
informe del Proveedor de Servicios (SOC por su sigla en
Ciberseguridad inglés) para conocer el ambiente de control del
proveedor. La Dirección debe estar al tanto de
La ciberseguridad también debe ser considerada en cualquier deficiencia de control encontrada en el
relación con la restricción de usuarios no informe SOC y asegurar que esas deficiencias no pongan
autorizados para acceder a datos y garantizar la en riesgo los datos utilizados por la IA. Los acuerdos de
privacidad, confidencialidad y protección de la nivel de servicio (SLA) con los proveedores deben incluir
una cláusula de “derecho a auditar”.
PARTE 3
Marco de Auditoría de IA
El marco se vincula con el Modelo de Tres Líneas del
IIA: El órgano de Gobierno supervisa la Gestión
(primer y segunda línea), mientras que el rol de la
auditoría interna cubre el tercer dominio, que incluye
tanto aseguramiento independiente (tercera línea),
como actividades de asesoramiento.
El Marco de Auditoría de IA del IIA tiene como

destinatarios a los profesionales de auditoría
interna. Sin embargo, los dominios del marco de
Gobernanza y Gestión, describen actividades y
funciones fuera de auditoría interna, necesarias
para gestionar la IA dentro de la organización.
La madurez de una organización respecto al uso de

la IA contribuye al rol que desempeñará la función
de auditoría interna. Por ejemplo, las
La primera versión del Marco de Auditoría de IA del
organizaciones menos maduras en el uso de IA
IIA se emitió en 2017. Proporcionó a los profesionales
pueden necesitar una auditoría interna que asuma
de auditoría interna un enfoque para realizar servicios
un papel de asesor en la exploración inicial de la IA,
de aseguramiento y asesoramiento sobre IA de
mientras que una organización más madura,
manera sistemática y disciplinada. Esta versión
probablemente requiera una auditoría interna que
actualizada del marco moderniza el contenido con
proporcione aseguramiento mediante actividades
ejemplos del entorno actual de IA, al tiempo que
como la evaluación de los procesos definidos y los
proporciona detalles adicionales para ayudar a los
controles internos establecidos para alcanzar la
auditores internos en su rol tanto de asesores como
eficacia operativa. Para desempeñar ambos roles
de proveedores de aseguramiento. El marco se
con éxito, la auditoría interna necesita una
compone de tres dominios:
comprensión sólida de cómo debe gestionarse la IA y
de cómo lo está haciendo actualmente la
organización.
Gobernanza — El primer dominio del marco se basa en

el enfoque de una organización para la planificación
estratégica de la IA y en proporcionar supervisión y
monitoreo sobre cómo el despliegue de herramientas
de IA es planificado, gestionado y ejecutado por la
Administración. El órgano de gobierno se apoya en la
información que le proporciona la función de
auditoría interna. Los auditores internos deben
esforzarse por desarrollar una relación de confianza

con los órganos de gobierno, como el comité de
auditoría, la junta directiva o el órgano de gobierno
Gobernanza
equivalente. Esta relación debe incluir temas
El Gobierno de IA se refiere a las estructuras,
emergentes, como el uso de IA, que presentan
procesos y procedimientos implementados para
nuevos desafíos para las actividades de supervisión.
dirigir, gestionar y supervisar las actividades de IA
en la organización. La gobernanza incluye ayudar a
El dominio de Gestión del marco describe el
asegurar que las actividades, decisiones y acciones
enfoque que la organización debe seguir al
relacionadas con la IA sean consistentes con los
planificar y ejecutar el uso de IA dentro de la
valores de la organización, así como con sus
organización. El entorno de control interno que
responsabilidades éticas, sociales y legales. También
rodea a la IA lo establece la Dirección en la
incluye proporcionar supervisión para asegurar que
“Primera Línea”. También incluye aspectos
aquellos empleados con responsabilidades respecto
estratégicos como la definición de metas y objetivos
al despliegue de IA cuenten con las habilidades y la
relacionados con el plan estratégico general de IA.
experiencia necesarias.
La auditoría interna debe asegurarse de entender la
dirección estratégica de la IA para la organización y
Como se refleja en el Modelo de las Tres Líneas, la
el enfoque de la gestión aplicado en el despliegue
función de auditoría interna actúa como la “Tercera
de la IA.
Línea”, proporcionando aseguramiento independiente
y objetivo sobre funcionamiento adecuado de los
El dominio de Gestión del marco también alcanza
controles internos definidos por la organización para
aspectos de monitoreo de la IA en la “Segunda
gestionar riesgos, incluyendo todos los aspectos de la
Línea”, incluyendo la consideración de cómo la
IA. La auditoría interna puede proporcionar a la
gestión de riesgos empresariales debe supervisar la
organización servicios de asesoramiento relacionados
“Primera Línea”. La auditoría interna, a menudo
con la IA, pero desde el punto de vista de la
debe participar en el proceso de evaluación de
Gobernanza, el órgano de gobierno depende en gran
riesgos de la organización. Por lo tanto, los aspectos
medida de las actividades de aseguramiento
incluidos en este dominio son esenciales para
proporcionados por la auditoría interna para entender
mantener un conocimiento actualizado sobre los
mejor la eficacia operativa de la organización.
riesgos asociados con la IA.
El Gobierno de IA es crucial. Dos de los roles más
El tercer dominio del marco, Auditoría Interna,
importantes que desempeña la gobernanza son
incluye tanto actividades de asesoramiento a la
evaluar qué tan bien está gestionando la
Dirección, como los servicios de aseguramiento
organización las operaciones de IA y si los objetivos
(“Tercera Línea”). La auditoría interna puede utilizar
estratégicos de IA se están logrando de manera
el marco como punto de partida en ambos roles
consistente con los valores definidos por la
cuando se le asigne participar en asignaciones
relacionadas con la IA. organización. Como se presentó en secciones
anteriores, existen una serie de riesgos específicos
Dado que la IA está evolucionando rápidamente, el de IA; sin embargo, una de las principales
marco requerirá actualizaciones periódicas. Esta consideraciones es proporcionar supervisión para
evolución, combinada con la naturaleza compleja de garantizar un uso seguro de la IA.
todo lo concerniente a la IA, implica que la auditoría
interna probablemente podrá proporcionar solamente
un nivel de aseguramiento limitado. El marco por sí
Estrategia
solo puede no cubrir todos los aspectos de la IA, pero
proporciona una base sólida para que los auditores Un plan estratégico permite a las organizaciones
internos desarrollen un conocimiento fundamental de aclarar y comunicar el rumbo y visión necesarios
la IA para el desarrollo de sus actividades. para alcanzar sus metas; lo mismo ocurre con una
estrategia de IA.

La estrategia de IA de cada organización debe ser
única, basada en su enfoque para capitalizar las
oportunidades que ofrece la IA, mientras se Atributos deseables para
considera las circunstancias específicas de la la implementación de IA
organización, como la estructura actual de
tecnología o las iniciativas en curso respecto al
gobierno de datos. Un enfoque estratégico de IA Acorde a las leyes y
reflexivo y metódico apoyará la capacidad de la normas
organización para enfocar sus recursos y promover la
alineación entre todos los empleados, al tiempo que
mitiga los riesgos potenciales.
Dos aspectos importantes a tener en cuenta:
1 . Planificar una estrategia de IA no es un evento

único; es un proceso iterativo que debe realizarse
periódicamente. La auditoría interna debe trabajar
con la Dirección para determinar un cronograma La actitud y el enfoque general de la organización
para las revisiones de la estrategia de IA. hacia el riesgo y la gestión del riesgo deben ser una
consideración principal al desarrollar o actualizar el
2 . Una estrategia de IA no debe ser definida en forma plan estratégico de IA y sus objetivos. Tener una
aislada; dado el rango de posibles fuentes de datos mayor tolerancia al riesgo en la búsqueda de
y aplicación, las estrategias organizacionales de IA objetivos de IA puede no ser apropiado para una
deben ser transversales. Dada la importancia crítica organización que sea aversa al riesgo en otros
de la IA, es probable que se requiera la aspectos, mientras que las organizaciones con una
participación y supervisión a nivel del máximo tolerancia al riesgo históricamente alta pueden
órgano de gobierno, ya que la IA tiene el potencial estar más dispuestas a aceptar riesgos relacionados
de modificar o alterar drásticamente la estrategia con la IA. Independientemente de la tolerancia al
empresarial. riesgo de la organización, es esencial reconocer y
mapear los riesgos durante la planificación
Abordar estos puntos ayudará a garantizar que las estratégica de la IA19.
iniciativas de IA respalden los objetivos, y que estos
se alineen con los valores organizacionales. Definir
metas para el despliegue de IA permite a las
organizaciones enmarcar aspectos estratégicos Gestión – Primer y
importantes, incluida la respuesta a preguntas Segunda Línea
básicas como, “¿Por qué estamos utilizando IA?” y
“¿Qué estamos intentando lograr?” Las metas de IA
deben desarrollarse como otras metas Al desarrollar la estrategia de IA, la administración es
organizacionales utilizando “SMART” — específicas, responsable de asegurar que los controles internos
medibles, alcanzables, relevantes y basadas en el estén bien diseñados y funcionen eficazmente para
tiempo — para evitar la adopción de herramientas y mitigar riesgos. Como se describió en secciones
servicios de IA sin una definición clara de los motivos anteriores, los controles internos efectivos son un
de la organización para hacerlo18. requisito crítico para la IA. Muchas organizaciones
prueban y reportan los resultados de los controles de
Los atributos deseados de la IA deben incluirse al TI de manera trimestral y/o anual. La gestión debe
establecer las metas, objetivos y expectativas. Las estar al tanto de cualquier problema en los controles
expectativas u objetivos organizacionales pueden internos que pueda afectar el uso de la IA,
incluir los siguientes atributos: especialmente en lo que respecta a las áreas del
entorno de control interno que ya están bajo
evaluación, como:

La auditoría interna, con su amplio conocimiento sobre
• Integridad y gobierno de datos. la organización, está en una posición única para servir
como asesor y apoyar las iniciativas de IA, y debería
• Acceso de Usuarios. considerarse como un miembro del equipo de liderazgo
de IA. La participación de auditoría interna debe
• Ciberseguridad.
estructurarse para asegurar que su independencia no se
• Ciclo de vida del Desarrollo de sistemas. vea comprometida.
• Gestión del Cambio. Un proceso de planificación adecuado apoyará a la

organización en la ejecución de proyectos de IA. Los
• Controles de Respaldo/Recuperación. empleados involucrados en la ejecución de los
proyectos deben estar conscientes de los riesgos más
Marcos de control interno como COBIT y COSO
críticos, incluyendo resultados no deseados. Es
pueden ser utilizados por las organizaciones para
importante resaltar y asegurar que la ejecución de los
apoyar su enfoque y evaluación del ambiente de
proyectos tenga en cuenta aspectos sociales, éticos,
control interno 20,21.
ambientales y económicos.
Gestión – Primera Línea Además, fomentar un entorno que anime a los

empleados a discutir abiertamente ideas y
Liderazgo preocupaciones relacionadas con las iniciativas de IA
puede ayudar a crear una cultura de transparencia,
Definir roles y responsabilidades relacionados con las conciencia y responsabilidad mutua para apoyar
iniciativas basadas en IA apoyará a la organización en proyectos ambiciosos de IA.
la determinación de los recursos necesarios para
operar eficazmente. Identificar la responsabilidad
ejecutiva, mientras se incorpora la opinión de otros Políticas y Procedimientos – Uso
miembros del equipo directivo, ayudará a asegurar la y aplicación en las
rendición de cuentas.
organizaciones
Un equipo de liderazgo de IA compuesto por Definir, adoptar y difundir políticas y procedimientos
miembros de distintas áreas es otra manera en la que organizacionales sólidas sobre el uso de la IA dentro
las organizaciones pueden monitorear y comunicar de la organización es otro aspecto importante de la
iniciativas de IA y promover la rendición de cuentas. estrategia de IA. Políticas y procedimientos claros
Este equipo debería incluir: proporcionan dirección a los empleados directamente
involucrados en las iniciativas de IA y a aquellos que
pueden usar IA como parte de sus actividades diarias.
• Gerentes de IA y/o Ciencia de Datos. Desarrollar una política de uso aceptable de IA debe
ser una prioridad organizacional. Esta política
• Director de Seguridad de la Información debería incluir prácticas recomendadas de
(CISO). ciberseguridad, consideraciones legales y de
propiedad intelectual, y los riesgos asociados con
• Personal clave de TI. diversas herramientas de IA. La política debe
complementarse con un proceso documentado que
• Legal (para proporcionar orientación los usuarios deben seguir al solicitar el uso de IA. El
sobre consideraciones regulatorias) . establecimiento de un proceso formal de aprobación
para el uso de IA también apoyará los esfuerzos de la
• Finanzas/Contabilidad para identificar costos y ROI organización para mantener un inventario de usuarios
de los proyectos de IA. o departamentos que utilicen IA.
• Gestión de Riesgos.
• Cumplimiento.

Las políticas y procedimientos que establecen pautas y Las organizaciones también deben planificar los
expectativas para desarrollar, implementar y recursos necesarios para capacitar al personal en estas
monitorear iniciativas de IA, formalizan el proceso. nuevas políticas para asegurarse de que los empleados
Proporcionan una base sobre la cual validar si los estén listos para adoptar y adherirse a los roles,
proyectos se están realizando de manera consistente controles y responsabilidades definidos en relación con
con las políticas aprobadas, la ética y el apetito de el uso de la IA22.
riesgo de la organización. Los auditores internos están
en una posición única para proporcionar
retroalimentación inmediata sobre este tema, dado su
Recursos de TI para apoyar la IA
conocimiento y experiencia al proporcionar
aseguramiento sobre políticas y procedimientos clave. La optimización de los recursos de TI es necesaria
En muchos casos, como punto de partida, las políticas para apoyar las iniciativas de IA y en consecuencia,
y procedimientos existentes pueden ofrecer medidas deben asignarse los recursos adecuados. El uso de IA
requiere un alto rendimiento de los recursos
razonablemente efectivas para mitigar los riesgos que
informáticos para asegurar un procesamiento
plantea el desarrollo de IA. Por ejemplo, los sistemas
confiable. Algunos ejemplos de recursos de TI
de IA que se están desarrollando pueden estar sujetos utilizados para apoyar las iniciativas de IA de una
a los procesos de control del Ciclo de Vida del organización incluyen:
Desarrollo de Sistemas (SDLC por sus siglas en inglés) o
de gestión del cambio existentes. Con el tiempo, a • Unidades de Procesamiento Central (CPU) – el
medida que las organizaciones evolucionan y aumenta "cerebro" del ordenador; procesadores que
el uso de IA, sin duda será necesario considerar ejecutan comandos o instrucciones23.
controles más maduros o acordes a las nuevas
circunstancias. • Unidades de procesamiento gráfico (GPU) –
procesadores más avanzados que pueden manejar
En consecuencia, también es importante que las múltiples datos de manera simultánea,
políticas y procedimientos aclaren las expectativas y incorporando funciones matemáticas adicionales;
directivas sobre terceros involucrados en las iniciativas estos procesadores son aptos para generar
de IA. La coordinación entre los equipos que gestionan gráficos e imágenes, y se utilizan con mayor
la IA y el grupo de la organización que gestiona las frecuencia en la producción creativa de IA24.
relaciones con terceros (Legales, por ejemplo)
promoverá relaciones coherentes con los proveedores • Almacenamiento – ubicación de los datos que
de IA. Dado que los proveedores de servicios son una requiere la IA para su procesamiento. El
extensión de los procesos de la organización, mantener almacenamiento se mide comúnmente en
terabytes (1,000 gigabytes) o petabytes (1,000
una buena comprensión del entorno de control de los
terabytes); para contextualizar, un video de 5-10
proveedores será crucial. Cuando estén disponibles, la
minutos en alta definición mide aproximadamente
gestión debería obtener informes SOC de los
un gigabyte (1,000,000,000 bytes); los servidores
proveedores de IA para entender sus procesos de alojados en el sitio o las soluciones basadas en la
control y estar al tanto de cualquier preocupación, nube son ejemplos de dónde se pueden almacenar
como hallazgos de auditoría. El uso de terceros en los datos.
relación con el desarrollo de capacidades de IA o el
apoyo continuo a las iniciativas de IA debe estar • Memoria – también llamada RAM (memoria de
claramente definido y monitoreado, incluyendo acceso aleatorio, en español); es la ubicación de
acuerdos de nivel de servicio (SLA) que contengan el los datos a corto plazo que están disponibles más
derecho a auditar. rápidamente que los datos de almacenamiento; se
mide en gigabytes, donde las estaciones de
Una vez que se hayan delineado las políticas y trabajo de computadoras individuales tienen de 8
procedimientos, las organizaciones pueden promover la a 48 gigabytes de RAM; cuanto más compleja sea
aceptación generalizada compartiendo los borradores la IA que se ejecuta, más RAM se requiere.
de la documentación, como la política de uso
aceptable, con todo el personal, e invitando a realizar • Supercomputadoras – las computadoras de
procesamiento más rápidas que se utilizan para la
comentarios durante un período de consulta abierta.
computación de alto rendimiento y contienen
múltiples CPU.

• Estaciones de trabajo – incluyen escritorios y Como se mencionó anteriormente en la sección de
laptops con especificaciones técnicas que políticas y procedimientos, implementar capacitación
soportan los requisitos de la IA que se está sobre la política de uso aceptable de la IA e incluir la
utilizando. IA en el manual del empleado y los procesos de
inducción de nuevos empleados son maneras de
aumentar la conciencia organizacional sobre la IA
• Software – plataformas, programas y aplicaciones
junto con los posibles riesgos. Al integrar iniciativas
que se utilizan para desarrollar, implementar y
de capacitación centradas en la IA y la alfabetización
gestionar la IA; software de desarrollo. Algunos
digital, las políticas y procedimientos
ejemplos son Microsoft Azure AI, IBM Watsonx.ai y
organizacionales, y las oportunidades de mejora de
Google Cloud AI Platform; software de
habilidades relacionadas, las organizaciones pueden
implementación, que se utiliza para integrar la IA
apoyar las iniciativas de IA a través de una inversión
en aplicaciones existentes; como por ejemplo
directa en los miembros actuales y futuros. La
Docker y MLflow.
implementación y los resultados de estas iniciativas
deben ser monitoreados por la auditoría interna como
• Conectividad de redes – esta es una categoría parte de los controles de IA de una organización.
amplia que incluye el hardware, software y
servicios que permiten a los usuarios compartir
recursos digitales e intercambiar información;
como por ejemplo servidores de archivos y
Ejecución
enrutadores. Gestión de Riesgos por la
Primera y Segunda línea
Aunque no se espera que los auditores internos
conozcan todas las especificaciones técnicas y detalles En la Parte 2 se discutió la importancia de identificar
de los requisitos de la IA, deben tener un conocimiento riesgos relacionados con la IA, como seguridad,
básico de los recursos de TI. integridad, privacidad y confidencialidad de los
datos, y las organizaciones deben abordar estas
Personal y Capacitación preocupaciones a medida que ejecutan proyectos de
IA. Los algoritmos de IA dependen de datos precisos y
Una dotación adecuada de personal es un elemento confiables, y los equipos de proyecto deben
monitorear de cerca los datos de entrada. Existen
importante de la estrategia de IA de una
diversas maneras de validar la integridad de los datos
organización. Recursos Humanos debe colaborar con
utilizados en proyectos de IA, incluyendo asegurar
la administración para asegurar que se seleccione
que los totales de registro sean consistentes, y
personal con la experiencia requerida en IA a lo analizar los informes de errores cuando los datos se
largo de la organización. La experiencia en IA debe transfieren entre sistemas. La Dirección debe diseñar
priorizarse no solo para los empleados que están a y monitorear controles internos que detecten
cargo de gestionar las actividades diarias anomalías en la calidad o integridad de los datos.
relacionadas con IA, sino también para la integración
de equipos que gestionan los proyectos e iniciativas Otras consideraciones importantes sobre los datos
de IA. incluyen restringir el acceso de los usuarios sólo a
aquellos empleados que están trabajando en un
Dada la velocidad en que está desarrollándose la IA, proyecto de IA, lo que incluye el acceso de
es importante que los empleados de la organización administradores. Determinar roles de usuario y
estén al tanto de los avances y los riesgos asegurar la segregación adecuada de funciones es
relacionados. Las organizaciones deben asegurarse de igualmente crítico. Por ejemplo, los administradores
que se brinde capacitación general sobre IA a todos de bases de datos supervisan los datos de entrada y
los empleados y que las oportunidades de no deben tener acceso para modificar los algoritmos
capacitación más técnicas, como seminarios, que procesan esos datos, tarea que tradicionalmente
formación en línea o cursos educativos, estén es responsabilidad de un desarrollador.
disponibles para los empleados que se encargan de las
iniciativas de IA.

Cuando se implementa un proyecto de IA, es
La gestión de proyectos de IA debe definir los siguientes
importante que la organización se asegure de que
aspectos para cada iniciativa:
el proyecto sea transparente, explicable, confiable
y auditable:
• Objetivos, roles y cronograma del proyecto – qué
pretende lograr la iniciativa, quién participa y
• Transparencia – capacidad de entender en cuándo ocurre.
términos simples el propósito de la IA o
algoritmo.
• Recursos Necesarios – qué recursos tecnológicos
y/o de personal son necesarios para lograr el
• Explicabilidad – capacidad de explicar la éxito del proyecto.
configuración, cálculos o resultados
procesados por la IA o el algoritmo.
• Datos Requeridos – qué datos de entrada requiere
la IA o los algoritmos.
• Confiabilidad – uso de la IA o algoritmos de
manera ética, segura, justa y responsable.
• Requisitos de privacidad, legales y regulatorios –
cuáles son los requerimientos de cumplimiento
• Auditable – dado que las aplicaciones de IA relacionados.
pueden comenzar a reemplazar o
complementar ciertos procesos clave de
cumplimiento u otros procesos empresariales • Evaluación de Riesgos – cuáles son los riesgos
importantes, mantener la trazabilidad a relevantes que amenazan el logro de los
través de registros de auditoría (logs) objetivos del proyecto o los resultados no
efectivos o información relacionada, será un deseados, como sesgos, tratamiento no ético
componente importante del desarrollo de IA, o mal uso de la IA.
ya que se necesitarán garantías sobre estos
procesos para su utilización.

La gestión de riesgos empresariales y/o el cumplimiento
• Indicadores Clave de Rendimiento (KPIs por sus también deben ser parte del proceso de monitoreo de
siglas en inglés) – cómo se monitorea y mide
problemas de control desde una perspectiva de "Segunda
el éxito del proyecto.
Línea".
• Requerimiento de Pruebas – validar que la IA o
Apoyo de la Segunda Línea en la Gestión
el algoritmo están funcionando según lo
diseñado y qué cambios son necesarios; esto de Riesgos
incluirá tanto a los usuarios finales (quienes
finalmente utilizarán la IA) como a los Los principales objetivos del proceso de gestión de
profesionales de IA/ciencia de datos; la riesgos empresariales de una organización son
identificación y comunicación de problemas comprender cómo los riesgos pueden amenazar el
será crítica en esta etapa. Revisar cómo los logro de los objetivos organizacionales y luego tomar
desarrolladores externos prueban y acciones para mitigar esos riesgos. Las categorías de
confirman la efectividad de sus algoritmos riesgo incluyen estratégicos, financieros, ambientales,
es una consideración importante. de mercado, sociales, éticos, tecnológicos,
económicos, políticos, legales y regulatorios. La IA es
• Aseguramiento de la Calidad – desde una un tema que generalmente se considera un riesgo
perspectiva continua, dado que la salida de tecnológico; sin embargo, es importante reconocer
la IA, por su propia naturaleza, cambia que el riesgo de IA puede encajar en cualquiera de las
debido a la entrada de datos, se debe categorías mencionadas en la que se clasifican
considerar la prueba continua o el típicamente todos los riesgos; lo que requiere un
aseguramiento de la calidad del modelo.
proceso de gestión de riesgos robusto para los
Dependiendo del caso, este concepto puede
proyectos de IA que considere tanto preocupaciones
necesitar integrarse en la definición de
requerimientos comerciales o en el diseño tecnológicas como no tecnológicas.
de la IA.
El Marco de Auditoría de IA del IIA proporciona
El monitoreo continuo de los proyectos de IA debe consideraciones de gestión de riesgos para apoyar los
ser realizado por la gerencia para asegurar que la proyectos de IA, para la implementación de las mejores
iniciativa esté avanzando según lo planeado y para prácticas en torno a la gestión de riesgos de IA. Cuando
identificar cualquier problema o preocupación que sea apropiado, se deben considerar otros marcos
haya surgido. Como se indica en el Modelo de las existentes, en particular, el Marco de Gestión de
Tres Líneas del IIA, la gerencia juega un papel vital Riesgos de Inteligencia Artificial del NIST. Los auditores
en el entorno de control interno al proporcionar el internos a menudo colaboran con profesionales de
primer nivel de acciones para mitigar el riesgo. El gestión de riesgos en actividades como el proceso anual
monitoreo a nivel de proyecto es importante porque de evaluación de riesgos de la organización; por lo
es donde se detectan inicialmente los problemas. El tanto, es necesario que los auditores internos
reporte de la gerencia tanto a la Alta Dirección como comprendan los riesgos relacionados con la IA y
al Consejo debe ser parte de este proceso. Es continúen aumentando su base de conocimientos.
importante no solo monitorear el progreso general Además, los auditores internos deben considerar los
del proyecto, sino también identificar y reportar riesgos relacionados con la IA a nivel de compromiso, es
cualquier resultado negativo, como consideraciones decir, al auditar procesos que incluyan algún aspecto de
éticas o violaciones de información confidencial. IA.
También es importante incluir una evaluación de
terceros involucrados para asegurarse de que estén
cumpliendo con sus responsabilidades en el proyecto
Identificación
de IA. Identificar los riesgos relacionados con la IA puede ser
una actividad nueva para muchas organizaciones.
El monitoreo y el reporte también deben incluir la Idealmente, la gestión de riesgos empresariales, (junto
divulgación de cualquier problema específico del con auditoría interna, cumplimiento y legal),
proyecto relacionado con el control interno o el participará en las discusiones iniciales de todas las
análisis de problemas de control interno provenientes iniciativas de IA para ayudar a enmarcar los riesgos en
de otras áreas de la organización que puedan afectar torno al proyecto de IA.
el proyecto de IA.

Como se mencionó en la sección de Estrategia, un • Brechas de privacidad o confidencialidad.
equipo de liderazgo de IA multidisciplinario es una
manera efectiva de identificar proactivamente los • Debilidades en la rendición de cuentas y asignación
posibles riesgos o amenazas antes de que se de responsabilidad.
materialicen, asegurando que los controles y las
técnicas de mitigación de riesgos estén • Falta de transparencia.
implementados en toda la organización.
• Falta de claridad.
Las organizaciones que ya han establecido un
proceso efectivo de evaluación de riesgos a nivel • Daño Financiero.
empresarial deben considerar realizar una
evaluación inicial de riesgos enfocada en IA. Si no es
• Amenazas Ambientales.
factible una evaluación de riesgos separada para IA, • Manipulación o falta de información.
las organizaciones, al menos, deben asegurarse de
que la IA esté incluida durante el proceso general de • Infracciones al derecho de autor (Copyright, en
evaluación de riesgos. inglés).
Por ejemplo, las organizaciones involucran a los

distintos directores ejecutivos de manera periódica La “Caja Nega” (The “Black
para identificar riesgos en varias áreas. En muchos
casos, las discusiones o encuestas incluyen preguntas
Box”)
específicas, como: "¿Cuáles son los mayores riesgos Si bien gran parte de los procesos de identificación,
estratégicos de la organización?" Para destacar la IA evaluación y mitigación de riesgos para proyectos de IA
en el proceso de evaluación de riesgos, las siguen las mejores prácticas existentes, es importante
organizaciones deben resaltar la IA como un área señalar que la "caja negra" de la IA representa un riesgo
emergente de riesgo, compartir comentarios único. El término se refiere a la falta de transparencia
continuos del equipo responsable de IA y/o del en los sistemas de IA y la manera en que toman
personal interno, y recopilar las opiniones de los decisiones. Los modelos de aprendizaje profundo, en
directores ejecutivos en consecuencia. La etapa de particular, pueden ser difíciles de entender debido al
identificación de riesgos en el proceso de gestión de procesamiento complejo realizado por los algoritmos
riesgos es importante porque puede resaltar riesgos junto con la visibilidad limitada o nula de cómo se
que no se habían identificado previamente. produjo un resultado. Esto puede plantear desafíos
específicos a medida que la gestión de riesgos
Las organizaciones que han establecido una empresariales (y los auditores internos) intentan
estrategia clara de IA, con objetivos y metas recopilar la documentación necesaria para respaldar el
definidos, están proporcionando el contexto que la ciclo de gestión de riesgos definido anteriormente. Los
gestión de riesgos empresariales necesita para ayudar profesionales de gestión de riesgos y los auditores
en la identificación de riesgos de IA. Este contexto internos pueden abordar directamente la "caja negra"
permite que la gestión de riesgos empresariales mediante:
desarrolle un inventario de riesgos que amenacen el
logro de esos objetivos y metas, permitiendo a las Identificar y comunicar claramente dónde puede haber
organizaciones incorporar en sus planes estratégicos brechas de información o información incompleta
medidas de protección contra posibles daños dentro de un proyecto de IA.
derivados del uso de la IA. Es importante que las
organizaciones sean conscientes de que el panorama • Ejemplo: Si una organización está utilizando un
de riesgos en torno a la IA continúa evolucionando proveedor de servicios que utilizan IA, que no
rápidamente, provocando consecuencias no deseadas proporciona información detallada sobre los
y negativas de riesgos no considerados que pueden datos de entrenamiento de un algoritmo, esto
incluir 25: debe documentarse y divulgarse como un posible
riesgo.
• Resultados sesgados o discriminatorios que
pueden afectar injustamente a segmentos
específicos de la población.

Evaluar continuamente e informar al Consejo sobre significativo. Para mitigar estos riesgos, las
posibles impactos relacionados con las brechas de organizaciones implementan controles de
información identificadas. ciberseguridad con el fin de reducir el riesgo
inherente a un nivel aceptable de riesgo residual de
• Ejemplo: Una vez que se ha documentado la acuerdo con el apetito de riesgo de la organización.
falta de documentación del proveedor sobre el Si, tras esta evaluación, la gestión de riesgos
conjunto de entrenamiento, los auditores empresariales determina que el riesgo residual aún no
internos deben informar al Consejo sobre las ha sido reducido a un nivel aceptable, la organización
consecuencias relacionadas con el riesgo deberá decidir las acciones a seguir para abordar esta
identificado (como salida sesgada de IA que situación.
sugieren problemas con los datos de
entrenamiento, por ejemplo).
La priorización de riesgos es el proceso que una
organización utiliza para clasificar los riesgos en
Establecer directivas sobre cómo mitigar los riesgos
orden de importancia, es decir, se abordan primero
asociados con las brechas de conocimiento de la
los riesgos de mayor impacto. Las organizaciones
"caja negra" previamente documentadas y
tienen recursos limitados, pero enfrentan riesgos
evaluadas.
ilimitados, por lo que es importante asegurar que los
riesgos relacionados con la IA estén priorizados dentro
• Ejemplo: Basado en las evaluaciones y
del análisis más amplio a nivel de la entidad. La forma
consecuencias presentadas, la organización
toma la decisión de migrar a un nuevo en que los riesgos relacionados con la IA se clasifican
proveedor de IA con documentación de datos dentro de las organizaciones variará según su proceso
más transparente. de evaluación de riesgos, cuánto utilizan la IA y el
nivel de madurez del ambiente de control interno. En
pocas palabras, no existe un enfoque único para
Evaluación evaluar los riesgos relacionados con la IA.
La evaluación y el análisis de los riesgos

identificados relacionados con la IA deben seguir un Mitigación
proceso similar al que una organización utiliza para
revisar otros riesgos: primero se deben considerar La mitigación de riesgos es una acción (o
el impacto y la probabilidad. El impacto de los acciones) que la gerencia toma para reducir el
riesgos relacionados con la IA puede ser difícil de riesgo a un nivel aceptable. En muchos casos, las
cuantificar debido a las numerosas organizaciones optan por tratar los riesgos
consideraciones, como las ramificaciones legales, relacionados con la IA mediante acciones de
regulatorias, sociales, financieras, ambientales y mitigación, como la adición de controles internos;
éticas. El daño a la reputación de la marca es otra sin embargo, existen otras posibles respuestas a
consideración para el impacto. los riesgos, como se describe en la tabla “Posibles
Respuestas frente al Riesgo” 26.
La combinación de impacto y probabilidad da como

Numerosos factores influyen en cómo una
resultado el riesgo inherente, que es una medida del
organización determina cómo responder a los
riesgo que existe sin la consideración de controles
riesgos relacionados con la IA. Por lo tanto, es
internos implementados. Después de evaluar el
crucial tener un proceso definido y repetible de
riesgo inherente, el siguiente paso es determinar el
respuesta a los riesgos. Los riesgos relacionados
riesgo residual, que incluye la consideración sobre
con la IA pueden cambiar durante el transcurso de
cómo los controles internos mitigan los riesgos
un proyecto, por lo que una organización debe
identificados.
revisar continuamente cómo responde y mitiga los
riesgos.
Por ejemplo, al evaluar la seguridad de la IA
como un objetivo, se pueden identificar las
amenazas cibernéticas como un riesgo

Posibles Respuestas frente al Riesgo
RESPUESTA CARACTERÍSTICAS DEFINICIONES
Mitigar Reducir, Tratar, Aplicar controles para reducir el riesgo inherente a un nivel de
Mejorar, Explotar, riesgo residual aceptable, o aplicar otras medidas para
Aprovechar, Optimizar maximizar y obtener ventajas potenciales en los resultados.
Aceptar Aceptar, Continuar Determinar si los beneficios potenciales justifican asumir el

riesgo, habiendo establecido las medidas que se consideren
necesarias para mitigar la probabilidad y/o el impacto.
Transferir Compartir, Distribuir Compartir el riesgo, ya sea transfiriendo parte o la totalidad de

este a un tercero (por ejemplo, mediante seguros o tercerización),
o aplicando recursos de varios equipos para protegerse contra
posibles pérdidas.
Evitar Terminar, Eliminar Terminar o evitar el riesgo abandonando la acción
planificada o eliminando el objetivo por completo,
priorizando otros objetivos.
Auditoría Interna – controles mitiguen el riesgo, pero no es una

seguridad absoluta.
Asesoramiento y
El mismo razonamiento debe aplicarse a los
Aseguramiento auditores internos que están encargados de
proporcionar aseguramiento en torno a la IA.
Después de describir cómo una organización
debe abordar la IA en los dos dominios del marco
anteriores, queda un dominio restante: Auditoría Desafíos
Interna.
Distintos aspectos de la IA dificultan las actividades
Los primeros dos dominios proporcionan una de aseguramiento para los auditores internos,
base para que la auditoría interna pueda ofrecer incluyendo:
tanto servicios de asesoramiento como de
aseguramiento a la organización. Los dominios • La IA (o más específicamente, los algoritmos) es
de Gobernanza y Gestión contienen los detalles inherentemente compleja – un problema de "caja
que un auditor interno debe utilizar para negra" de mayor dificultad.
asesorar a la organización en avanzar hacia las
mejores prácticas o para formar una base para • Las capacidades y riesgos de la IA se multiplican
evaluar cómo la organización está abordando, a un ritmo acelerado.
utilizando, gestionando y monitoreando la IA.
• La auditoría de la IA es un campo en evolución,
La “seguridad razonable" es un término que se con herramientas limitadas y enfoques de
auditoría que aún están en desarrollo.
menciona a menudo dentro de la profesión de
auditoría interna. Desde el punto de vista del
control interno, la seguridad razonable significa
• Existen oportunidades limitadas de formación
para mejorar las habilidades de auditoría en IA.
que existe una alta probabilidad de que los

La auditoría de IA puede parecer una temática • Esté dispuesto a hacer preguntas relevantes
abrumadora, pero enfocarse en las siguientes sobre la IA dentro de la organización:
consideraciones ayudará a los auditores internos
a desarrollar una mentalidad positiva y confiada: • ¿Cómo ayuda la IA a alcanzar nuestros
objetivos estratégicos?
• No se espera que los auditores internos sean
expertos en cada área de auditoría; en cambio, • ¿Cuáles son los riesgos y cómo los estamos
su objetivo debe ser mantener un enfoque mitigando?
disciplinado y metódico, centrado en el
pensamiento crítico y la identificación de riesgos,
aplicable a todas las auditorías, no solo a la de IA.
• ¿Existen controles internos adecuados en torno
a los procesos relacionados con la IA?
La familiaridad con la temática y un conocimiento
práctico de la IA son esenciales; sin embargo, es
poco probable conocer todos los aspectos
• ¿Los datos que se utilizarán para la IA son
completos, precisos y confiables?
técnicos que involucran a la IA. Puede ser
necesario recurrir a expertos externos para asistir
en temas más técnicos, como el desciframiento
• ¿Cómo se prueba la IA antes de su
implementación para garantizar que no
de algoritmos.
existan sesgos?
• Dado que la IA es altamente compleja y
• ¿Cómo se prueba la IA después de su
cambiante, es poco probable que los auditores
implementación para garantizar que no
internos lleguen a dominar completamente el
existan sesgos?
tema; considere la auditoría de IA con un
enfoque progresivo y no como un destino
definitivo – aumente la comprensión de la IA con • ¿Cómo es la Gobernanza de IA?
el tiempo.
• ¿Cómo se asegura la organización de que
exista una capacitación y concienciación
adecuadas sobre la IA?

Como se describe en la Parte 2, comprender el Aunque la IA ciertamente se compone de elementos
uso de la IA en la organización, comienza con la complejos, es importante recordar que produce algún
investigación y la discusión. Es fundamental que tipo de salida a partir de la entrada que recibe. Desde
los auditores internos aprovechen las relaciones una perspectiva de aseguramiento, es posible que los
profesionales que han desarrollado. La auditores internos nunca tengan un conocimiento
transparencia con la gerencia y con el órgano de absoluto de todos los aspectos internos de la IA; sin
gobierno es importante. Deben poder explicar de embargo, ayudar a una organización a 1) evaluar lo que
manera sencilla su enfoque hacia la IA y cómo están haciendo para asegurar que los datos de entrada
planean involucrar a la organización para sean lo más precisos posible, y luego 2) comprender
profundizar en el tema. cómo se examina esa salida, deberían ser los
principales objetivos de los auditores. Los auditores
Las auditorías internas de IA son una internos aplican estos conceptos hoy en día al realizar
responsabilidad relativamente nueva para muchas auditorías de TI. El factor común es la noción de
organizaciones. Si bien, como proveedores de trazabilidad – asegurar que los datos y la salida estén
aseguramiento, no se espera que los auditores alineados con los objetivos y requisitos comerciales
internos sean expertos en el tema de la IA, deben mediante el uso de la IA.
identificar oportunidades para aumentar su
conocimiento y conciencia sobre el tema.
Obtener una mejor comprensión de los aspectos
más técnicos de la IA, como los algoritmos, será
importante para la educación profesional futura.
Notas Finales
1 . Britannica, “Artificial Intelligence”. 10 . Britannica, “Deep Blue ”. 18 . Doran, “Smart Way”.
2 . El Modelo de Tres Líneas del IIA . 11 . Índice de adopción de 19. Moyer, ISACA, “Quantitative Approach”.
3 . A .M . Turing, “Computing Machinery”. IA de IBM . 20 . COBIT, “Framework”.
4 . A .L . Samuel, “Checkers ”. 12 . IBM “Different types of AI ”. 21 . COSO, “Guidance”.
5 . McCarthy, Dartmouth . 13 . Certes, “Types of AI ”. 22 . Deloitte, “3 Lines”.
6 . Weizenbaum, “ELIZA ”. 14 . IIA Global Perspectives & Insights . 23 . “Gartner Glossary.”
7 . Humanoid Robot, “Waseda University”. 15 . National Cybersecurity Centre . 24 . Intel, “GPU”.
8 . Hsu, “Raj Reddy ”. 16 . White House Fact Sheet . 25 . Forbes, “15 Biggest Risks”.
9 .“Prometheus Project”. 17 . E B o o k Gobernanza de IA de 26 . IIA, CRMA.
IBM .

PARTE 4
Guía y glosario para
profesionales
La guía para profesionales es una lista de
verificación (checklist) sencilla que los auditores
internos pueden utilizar para comenzar su
evaluación de cómo la organización aborda, utiliza,
gestiona e informa los aspectos relacionados a la IA.
Los auditores internos pueden aprovechar los puntos
clave descritos en las secciones Gobernanza,
Gestión, Auditoría Interna de la Parte 3 para
desarrollar su plan de auditoría, o como
consideraciones en un trabajo de aseguramiento.
Muchos de los aspectos o consideraciones de la
sección de aseguramiento están directamente
relacionados con los temas tratados en los otros
dominios.
Esta lista de verificación está diseñada para ofrecer

una guía rápida, pero debe personalizarse según las
consideraciones organizacionales, como el grado de
uso actual de la IA y si se han establecido
formalmente planes estratégicos, políticas,
procedimientos, procesos y reportes de IA.
Estado/
Actividad
Resultado
Crea una visión, estrategia y priorización para la IA, revisándola y actualizándola con
frecuencia.
Vincula las iniciativas de IA con los objetivos estratégicos de la organización (Esto puede incluir
usos de la IA que mejoran los ingresos, o aplicaciones internas para reducir costos o mejorar la
eficiencia).
Asegurarse de que la estrategia de IA incluya aspectos éticos, sociales, legales y los
relacionados a los sesgos en la IA.
Determine como medir el éxito de las iniciativas de IA, incluidos los objetivos y ROI.
Garantizar que el plan estratégico de IA sea consistente con la cultura de riesgo de la

organización.
Asegurarse de que el plan estratégico de IA sea consistente con los valores de la organización.

Estado/
Actividad
Resultado
Asegurarse de que el plan estratégico de IA se comunique formalmente al Consejo.
Asegurarse de que el plan estratégico incluya la optimización de recursos de IA.
Garantizar que el ambiente de control interno sea propicio para respaldar la IA. Considere qué
cambios a las políticas son necesarios para impulsar el crecimiento de la IA; por ejemplo, la
inclusión en la política de gestión de proveedores externos de aspectos relacionados a la IA.
Definir los responsables de supervisar las iniciativas de IA.
Establecer un equipo de liderazgo de IA multidisciplinario para monitorear las iniciativas de IA.
Asegurarse de que los equipos legales y de cumplimiento supervisen los requerimientos

reglamentarios actuales y emergentes.
Definir el rol de auditoría interna como asesor y/o proveedor de aseguramiento.
Asegurarse de que el Modelo de Tres Líneas está implementado e incluye aspectos de IA.
Asegurarse de que el CISO (o equivalente) participe en todas las iniciativas de IA.
Asegurarse de que los roles de terceros externos a la organización en las iniciativas de IA están
claramente definidos y monitoreados.
Asegurarse de que Finanzas/Contabilidad realice un seguimiento del Retorno de la Inversión
(ROI) en las iniciativas de IA.
Desarrollar una política de uso aceptable de la IA que sea de aplicación obligatoria para todos
los empleados.
Desarrollar políticas y procedimientos para ejecutar y mantener iniciativas de IA.
Desarrollar políticas y procedimientos para iniciativas de IA que involucren a terceros externos

a la organización.
Asegurarse de que los recursos de TI sean suficientes para respaldar las iniciativas y controles
de la IA.
Garantizar que la estructura de personal sea suficiente para respaldar las iniciativas y
controles de IA.
Asegurarse de que los procesos de contratación de Recursos Humanos se centren en la
contratación de profesionales con experiencia en IA.
Los líderes responsables de las iniciativas de IA cuentan con los conocimientos necesarios sobre
la gestión de IA.
Los empleados que utilizan IA en sus actividades cuentan con conocimiento técnico de IA
requerido.
Todos los empleados son capacitados sobre el uso aceptable y los riesgos relacionados con la
IA.
Se incluye la IA como aspecto en el manual del empleado y en los procesos de inducción para
nuevos empleados.

Estado/
Actividad
Resultado
Garantizar que se consideren aspectos sociales, ambientales y económicos en todas las
iniciativas de IA.
Asegurarse de que los datos relacionados con la IA son seguros, privados y confidenciales.
Asegurarse de que los datos relacionados con la IA son transparentes, explicables y

responsables.
Definir objetivos, metas, cronograma y requerimientos de recursos para todas las iniciativas de
IA.
Definir responsabilidades operativas para todos los empleados relevantes involucrados en
proyectos de IA.
Garantizar que el acceso de los usuarios a la IA sea proporcional a sus funciones.
Definir requerimientos de datos y consideraciones sobre privacidad en todas las iniciativas de

IA.
Definir los requerimientos legales y regulatorios aplicables a los proyectos de IA.
Realice una evaluación de riesgos de cada proyecto de IA para identificar posibles amenazas
que puedan afectar el éxito de los proyectos.
Definir posibles sesgos, incluyendo consideraciones éticas y sociales para proyectos de IA.
Definir Indicadores Clave de Rendimiento (KPIs) en todas las iniciativas de IA.
Establezca parámetros para informes requeridos como frecuencia, contenido e hitos en todas
las iniciativas de IA.
Establecer pruebas que validen que la IA está funcionando según lo previsto, antes y después
de su implementación.
Informe a la Alta Dirección y al Consejo sobre los resultados de las métricas definidas/KPIs
Asegurarse de que los informes incluyan aspectos relacionados a sesgos y consideraciones

éticas y sociales.
Asegurarse de que los informes incluyan el cumplimiento de requerimientos legales y
reglamentarios.
Asegurarse de que los informes incluyan la divulgación de cualquier resultado negativo o no
deseado.
Asegurarse de que los informes incluyan la divulgación de posibles brechas de información,
pérdida de datos o violaciones a la privacidad.
Asegurarse de que los controles internos relacionados sean evaluados y que se informe
periódicamente sobre el resultado de estas evaluaciones.
Incluir la IA como parte del proceso de gestión de riesgos empresariales (ERM, por sus siglas en
inglés).
Identificar riesgos que amenazan la consecución de metas y objetivos estratégicos de IA.
Identificar riesgos que puedan tener implicaciones éticas, sociales, ambientales o financieras.

Estado/
Actividad
Resultado
Identificar riesgos que estén relacionados con el uso de terceros para IA.
Asegurarse de que existe un proceso para identificar riesgos nuevos o emergentes.
Asegurarse de que los empleados con responsabilidades de gestión de riesgos de IA están

debidamente capacitados.
Realizar evaluaciones periódicas de riesgos de IA.
Priorizar los riesgos relacionados con la IA según su probabilidad e impacto.
Asegurarse de que existe un proceso para seleccionar las respuestas apropiadas a los riesgos,
incluida la evaluación del funcionamiento de las respuestas seleccionadas.
Asegurarse de que la organización está comprometida con el Consejo y la Alta Dirección
respecto a la estrategia, metas y objetivos de IA.
Asegurarse de que la organización proporcione actualizaciones periódicas al órgano de
gobierno sobre la IA de una manera clara y comprensible.
Asegurarse de que la organización involucre al órgano de gobierno con respecto al enfoque
utilizado para la gestión de riesgos de IA.
Realizar una investigación inicial interna y externa de IA.
Determinar si se ha desarrollado una estrategia formal de IA.
Tener conversaciones iniciales con las áreas y personas clave en la organización (como TI y el
Director Financiero) para comprender cómo se está utilizando y gestionando la IA en la
actualidad.
Tener conversaciones iniciales con los equipos responsables de AI/ciencia de datos (si aplica)
y/o con el equipo de TI.
Crear un inventario de usos actuales y planificados para la IA.
Para el uso actual de IA, desarrolle una comprensión de cómo se utiliza, sus metas y objetivos.
Para los planes e iniciativas de IA a futuro, desarrolle una comprensión del enfoque aplicado,
cómo se evalúan los riesgos, y planifique pruebas previas a su implementación.
Desarrollar una comprensión de los siguientes aspectos relacionados a los datos de entrada en
aplicaciones que utilizan IA:
• Gobierno.
• Arquitectura.
• Acceso de Usuarios.
• Controles de Ciberseguridad.
• Controles de Procesamiento (integridad, precisión, completitud).
• Consideraciones de terceros externos (Reportes SOC).
Verificar como se prueba y revisa la IA para garantizar que alcance sus objetivos y esté libre de
sesgos, tanto antes como después de su implementación.
Verificar que las iniciativas de IA tengan objetivos y metas claros, y que los proyectos de IA
sean gestionados por un equipo adecuado con niveles adecuados de responsabilidad.

Actividad Estado/
Resultado
Verificar que la gerencia informe periódicamente al órgano de gobierno.
Verificar que la IA se considere como parte del proceso de gestión de riesgos empresariales
(ERM) e incluya riesgos relacionados con:
• Ética.
• Consideraciones Sociales y Económicas.
• Aspectos Ambientales.
• Implicaciones Financieras.
• Violaciones Legales y/o Reglamentarias.
Verificar que se hayan desarrollado políticas y procedimientos que describan cómo la

organización debe utilizar y gestionar la IA, incluida una política de uso aceptable de la IA.
Desarrollar una comprensión de cómo la organización apoya el aprendizaje y capacitación en IA

para aumentar el conocimiento y concientización de todos los empleados.

Estándares del IIA
relacionados
6 .1 Mandato de Auditoría Interna 8 .1 Interacción con el Consejo
6 .2 Estatuto de Auditoría Interna 8 .2 Recursos
6 .3 Apoyo del Consejo y de la Alta 8 .3 Calidad
Dirección 8 .4 Evaluación Externa de Calidad
7 .1 Independencia dentro de la
Organización
7 .2 Cualificaciones del Director Ejecutivo de

Auditoría
Glosario
Joint Task Force . NIST SP 800-53: Security and Privacy
Las definiciones de los términos marcados con
Controls for Information Systems and Organizations,
asterisco se toman del Glosario del Marco
Revision 5, Appendix A: Glossary . Gaithersburg, MD: NIST,
Internacional para la Práctica Profesional del IIA®,
September 2020 . https://doi .org/10 .6028/NIST .SP .800-
edición 2017. Otras definiciones se incluyen para los
53r5 .
fines de este documento o se derivan de las
siguientes fuentes:
Grassi, Paul; Michael E . Garcia; James L . Fenton . NIST SP
IBM . “Explainers.” IBM . https://www .ibm .com/topics . 800-63-3: Digital Identity Guidelines, Appendix A:
Definitions and Abbreviations . Gaithersburg, MD: NIST,
Institute of Risk Management . “Risk Culture ”. Institute June 2017 . https://doi .org/10 .6028/NIST .SP .800-63-3 .
of Risk Management, 2023 . https://www .theirm .org/ Sawyer’s Internal Auditing: Enhancing and Protecting
what-we-say/thought-leadership/risk-culture/ . Organizational Value, 7th Edition. (Lake Mary, FL: The
Internal Audit Foundation, 2019 .) https://www .theiia .
Anderson, Urton; Michael J . Head; Steve Mar; Sridhar org/en/products/bookstore/sawyers-internal-auditing-
Ramamoorti; Chris Riddle; Mark Salamasick; Paul enhancing-and-protecting-organizational-value-7th-
J . Sobel . Internal Auditing: Assurance & Advisory edition/ .
Services, 5th Edition . (Lake Mary, FL: The Internal
Audit Foundation, 2022 .) https://www .theiia .org/en/ Techopedia .com . “TechDictionary .” https://www .
products/bookstore/internal-auditing-assurance-and- techopedia .com/dictionary.
advisory-services-5th-edition/.
Algoritmo – Un proceso matemático claramente
ISACA . “Glosario”, ISACA . 2022 . https://www .isaca .org/ especificado para el cálculo; conjunto de reglas
resources/glossary . predeterminadas que, si se siguen, dará un resultado
(Glorario NIST).
NIST Computer Security Resource Center . “Glosario ”.
Gaithersburg, Md .: NIST . https://csrc .nist .gov/glossary . Apetito de Riesgo* – Los tipos y la cantidad de riesgo
que la organización está dispuesta a aceptar al
perseguir sus estrategias y objetivos.

Aprendizaje Automático (Machine learning, en también puede ser utilizado como un asistente virtual
inglés) – El aprendizaje automático (ML, por sus inteligente (Techopedia).
siglas en inglés) es una subcategoría de la
inteligencia artificial (IA) que desarrolla modelos Ciberseguridad – La ciberseguridad se refiere a
algorítmicos para identificar patrones y cualquier tecnología, medida o práctica para
relaciones en los datos. En este contexto, la prevenir ciberataques o mitigar su impacto. La
palabra "máquina" es sinónimo de programa ciberseguridad tiene como objetivo proteger los
informático, y "aprendizaje" describe cómo los sistemas, aplicaciones, dispositivos de computación,
algoritmos de ML se vuelven más precisos a datos sensibles y activos financieros de individuos y
medida que reciben más datos (Technopedia). organizaciones contra virus informáticos simples,
ataques de ransomware sofisticados y costosos, y las
Aprendizaje Profundo – El aprendizaje profundo (O distintas variedades de ataque existentes entre
Deep Learning en inglés) es un enfoque iterativo ambos extremos (IBM).
de la inteligencia artificial (IA) que apila
algoritmos de aprendizaje automático en una Comité de Auditoría – Un Comité delegado por el
jerarquía de creciente complejidad y Consejo con la función de recomendar la aprobación
abstracción. Cada nivel de aprendizaje profundo de auditores e informes financieros (Sawyer’s).
se crea con el conocimiento obtenido del nivel
anterior de la jerarquía (Techopedia). Consejo de Administración* – El órgano de gobierno de
nivel más alto (por ejemplo, una junta directiva, un
Big data – Término utilizado para referirse a la consejo de supervisión, o una junta de gobernadores
gran cantidad de información digital en o patronato) encargado de dirigir y/o supervisar las
constante flujo, el aumento masivo en la actividades de la organización y responsabilizar a la
capacidad para almacenar grandes cantidades de alta dirección.
datos, y la cantidad de potencia de
Aunque la definición de gobernanza varía entre
procesamiento de datos necesaria para
jurisdicciones y sectores, normalmente la junta
gestionar, interpretar y analizar los grandes
incluye miembros que no forman parte de la gestión.
volúmenes de información digital (Internal
Si no existe una junta, la palabra “junta” en las
Auditing, 5ª Edición).
Normas se refiere a un grupo o persona encargado
de la gobernanza de la organización. Además,
Ciencias de la Computación – La Ciencia de la
“junta” en las Normas puede referirse a un comité u
Computación es el estudio del hardware y el
otro órgano al que la junta gobernante ha delegado
software de los computadores. Incluye tanto el
ciertas funciones (por ejemplo, un comité de
estudio de algoritmos teóricos como los auditoría).
problemas prácticos involucrados en su
implementación a través del hardware y
Control Interno – Mecanismo general que una empresa
software informático. El estudio de la
utiliza para alcanzar y monitorear los objetivos
informática tiene muchas ramas, incluyendo
empresariales (Glosario de NIST).
inteligencia artificial, ingeniería de software,
programación y gráficos por computadora
Cultura de Riesgo – La cultura de riesgo es un término
(Techopedia).
que describe los valores, creencias, conocimientos,
actitudes y comprensión sobre el riesgo que
Chatbot – Un chatbot es un programa de
comparten un grupo de personas con un propósito
inteligencia artificial que simula una conversación
común. Esto aplica a todas las organizaciones,
humana interactiva mediante el uso de frases incluidas empresas privadas, organismos públicos,
preestablecidas por el usuario y señales auditivas gobiernos y organizaciones sin fines de lucro
o basadas en texto. Los chatbots son (Institute of Risk Management).
frecuentemente utilizados por organizaciones
para proporcionar servicios de gestión de
relaciones con clientes (CRM por sus siglas en
inglés) las 24 horas. Este tipo de software

Evaluación de Riesgos – El proceso de identificar Marco de Gestión de Riesgos de la Inteligencia Artificial
riesgos para las operaciones organizacionales del NIST( NIST Artificial Intelligence Risk Management
(incluyendo misión, funciones, imagen, Framework (AI RMF), en inglés) – Según lo estipulado
reputación), activos organizacionales, por la Ley de Iniciativa Nacional de Inteligencia
individuos, otras organizaciones y naciones, Artificial de 2020 (P.L. 116-283), el objetivo del AI
resultantes de la operación de un sistema de RMF es ofrecer un recurso a las organizaciones que
información. Parte de la gestión de riesgos diseñan, desarrollan, implementan o utilizan
incluye análisis de amenazas y vulnerabilidades, sistemas de IA para ayudar a gestionar los múltiples
y considera las mitigaciones proporcionadas por riesgos de la IA y promover el desarrollo y uso
controles de seguridad planificados o en responsable y confiable de estos sistemas. El Marco
funcionamiento. Sinónimo de análisis de riesgos está diseñado para ser voluntario, respetuoso de los
(Glosario de NIST). derechos, no sectorial y agnóstico en cuanto la
aplicación de IA, proporcionando flexibilidad a
Gobierno* – La combinación de procesos y organizaciones de todos los tamaños y sectores, y en
estructuras implementados por el Consejo para toda la sociedad, para implementar los enfoques del
informar, dirigir, gestionar y monitorear las Marco. El Marco está diseñado para equipar a
actividades de la organización hacia el logro de sus organizaciones e individuos —referidos aquí como
objetivos. actores de la IA— con enfoques que incrementen la
confiabilidad de los sistemas de IA y para ayudar a
Gobierno de Datos – La gobernanza de datos se fomentar el diseño, desarrollo, implementación y
refiere al proceso de gestionar la calidad de los uso responsable de los sistemas de IA a lo largo del
datos dentro de una organización para asegurar tiempo.
que en todo momento, durante su ciclo de vida,
los datos estén disponibles y sean precisos, Modelos de Lenguaje de Gran Tamaño (Large language
consistentes, seguros y utilizables. Los analistas Model en Inglés) – Un modelo de lenguaje de gran
de negocios y los científicos de datos buscan tamaño (LLM, por sus siglas en inglés) es un tipo de
información en toda la empresa para obtener modelo de aprendizaje automático que puede
información y comprensión de esa información, realizar una variedad de tareas de procesamiento de
apoyando las necesidades empresariales (IBM). lenguaje natural (NLP), como generar y clasificar
texto, responder preguntas de manera
conversacional y traducir texto de un idioma a otro.
Informe SOC (Service Organization Company o
El término “grande” se refiere a la cantidad de
Proveedor de Servicios en español): Informe de
valores (parámetros) que el modelo de lenguaje
auditoría, completado por un evaluador
puede cambiar autónomamente a medida que
independiente, que evalúa el ambiente de
aprende. Algunos de los LLM más exitosos tienen
control interno de una organización; puede ser
cientos de miles de millones de parámetros
proporcionado por los proveedores a los clientes
(Techopedia).
para fines de aseguramiento de que sus
controles internos están operando de manera
NIST – Instituto Nacional de Estándares y Tecnología
efectiva.
(National Institute of Standards and Technology, en
inglés).
Inteligencia Artificial – Un Sistema informático
avanzado que puede simular capacidades Procesos de Respaldo/Recuperación – Se refiere al
humanas, como el análisis, basado en un proceso de hacer copias de seguridad de datos en
conjunto predeterminado de reglas (ISACA). caso de pérdida y configurar sistemas que permitan
la recuperación de esos datos debido a la pérdida de
Integridad de los Datos – La propiedad de que los información. Realizar copias de seguridad de datos
datos no han sido alterados de manera no implica copiar y archivar datos informáticos para
autorizada. La integridad de datos cubre datos que sean accesibles en caso de eliminación o
en almacenamiento, durante el procesamiento y corrupción de datos. Los datos de un momento
mientras están en tránsito (Glosario de NIST). anterior solo pueden ser recuperados si se han
respaldado (Techopedia).

Pruebas de Caja Negra – Es un enfoque de pruebas Reconocimiento Facial – El reconocimiento facial es un
que se centra en la funcionalidad de la tipo de tecnología biométrica que utiliza datos para
aplicación o producto sin requerir conocimiento verificar la presencia del rostro de un ser humano en
del código interno. Los evaluadores interactúan una captura digital. Hay dos usos principales para el
con la interfaz de usuario y verifican si el software de reconocimiento facial: reconocimiento y
sistema cumple con los requisitos especificados, autenticación (Techopedia).
sin considerar cómo se implementa la lógica
interna (ISACA). Respaldo – Archivos, equipos, datos y procedimientos
disponibles para su uso en caso de falla o pérdida, si
Reconocimiento de Voz – El reconocimiento de los originales se destruyen o quedan fuera de
voz, también conocido como reconocimiento servicio (ISACA).
automático de voz (ASR, por sus siglas en
inglés), reconocimiento informático de voz o Riesgo –Amenaza sobre el logro de un objetivo.
conversión de voz a texto, es una capacidad que
permite a un programa procesar el habla Robótica – La robótica es la ingeniería y operación de
humana en un formato escrito. Aunque a máquinas que pueden realizar tareas físicas de
menudo se confunde con la identificación de manera autónoma o semiautónoma en el lugar de un
voz, el reconocimiento de voz se centra en la humano. Típicamente, los robots realizan tareas que
transcripción del habla de un formato verbal a son altamente repetitivas o demasiado peligrosas
uno textual, mientras que la identificación de para que un humano las lleve a cabo de manera
voz se refiere a la capacidad de distinguir o segura (Technopedia).
autenticar la identidad de un usuario en
particular a partir de su voz (IBM).

Ambrozi, Austin . ”11 Challenges Of Adopting AI In Doran, George T . “There’s a SMART Way to Write
Business (And How To Address Them Head-On),” Management’s Goals and Objectives.” Management
Forbes, October 24, 2023 . https://www .forbes . Review, 70, November 1981, 35-36 . https://community .
com/sites/forbesbusinesscouncil/2023/10/24/11- mis .temple .edu/mis0855002fall2015/files/2015/10/
challenges-of-adopting-ai-in-business-and-how-to- S .M .A .R .T-Way-Management-Review .pdf .
address-them-head-on/?sh=6710c8474bfe .
EY . “The CEO Outlook Pulse – October 2023,” EY, 2023 .
Ankers, Damon . “Types of Artificial Intelligence: A https://www .ey .com/en_us/ceo/ceo-outlook-global-
Detailed Guide.” Certes IT Service Solutions . https:// report#:~:text=The%20CEO%20Outlook%20Pulse%20
certes .co .uk/types-of-artificial-intelligence-a-detailed-
guide . Gartner . “Gartner Glossary .” Gartner . 2023 . https://www .
gartner .com/en/information-technology/glossary/cpu-
Appel, Gil; Juliana Neelbauer; David A . Schweidel . central-processing-unit .
“Generative AI Has An Intellectual Property Problem.”
Harvard Business Review, April 7, 2023 . https://hbr . Hsu, Hansen . “Meet 2021 CHM Fellow Honoree
org/2023/04/generative-ai-has-an-intellectual- Raj Reddy.” Computer History Museum . https://
property-problem . computerhistory .org/blog/meet-2021-chm-fellow-
honoree-raj-reddy/ .
Billington, James . “The Prometheus Project: The Story
Behind One of AV’s Greatest Developments.” ADAS & Humanoid Robotics Institute . “History of Humanoid
Autonomous Vehicle International, August 22, 2018 . Robot in Waseda University.” Waseda University .
https://www .autonomousvehicleinternational .com/ https://www .humanoid .waseda .ac .jp/history .html .
features/the-prometheus-project .html .
IBM . “eBook: Build responsible AI workflows with AI
Britannica . “Artificial Intelligence .” Encyclopedia governance.” IBM . https://www .ibm .com/account/reg/
Britannica . 2023 . https://www .britannica .com/ us-en/signup?formid=urx-51898 .
technology/artificial-intelligence .
IBM . “IBM Global AI Adoption Index .” IBM, 2023 . https://
Britannica . “Deep Blue Computer Chess-Playing www .ibm .com/watson/resources/ai-adoption .
System.” Encyclopedia Britannica . 2023 . https://www .
britannica .com/topic/Deep-Blue . IBM . “Understanding the Different Types of Artificial
Intelligence.” IBM, October 2023 . https://www .ibm .com/
COSO . “Guidance, Internal Control Integrated blog/understanding-the-different-types-of-artificial-
Framework.” COSO . 2023 . https://www .coso .org/ intelligence/ .
guidance-on-ic .
The Institute of Internal Auditors . CRMA Study Guide
Deloitte . “Modernizing the three lines of defense and Practice Questions, 3rd Edition . The IIA . 2023 .
model: An internal audit perspective.” Deloitte, 2023 . https://www .theiia .org/en/products/bookstore/crma-
https://www2 .deloitte .com/us/en/pages/advisory/ study-guide-and-practice-questions-3rd-edition/ .
articles/modernizing-the-three-lines-of-defense-
model .html .

The Institute of Internal Auditors . Global Perspectives National Cyber Security Center . “Guidelines for secure
& Insights: the Artificial Intelligence Revolution . The IIA . AI system development.” National Security Centre .
2023 . https://www .theiia .org/en/content/articles/ 2023 . https://www .ncsc .gov .uk/collection/guidelines-
global-perspectives-and-insights/2023/global- secure-ai-system-development .
perspectives-insights-the-artificial-intelligence-
revolution/ . NIST . Artificial Intelligence Risk Management Framework
(AI RMF 1.0), Gaithersburg, Md .: NIST, 2023 . https://
The Institute of Internal Auditors . The IIA’s Three Lines nvlpubs .nist .gov/nistpubs/ai/nist .ai .100-1 .pdf .
Model: An update of the Three Lines of Defense . The IIA .
2020 . https://www .theiia .org/en/content/position- NIST Computer Security Resource Center . “Glossary.”
papers/2020/the-iias-three-lines-model-an-update- Gaithersburg, Md .: NIST . https://csrc .nist .gov/glossary .
of-the-three-lines-of-defense/?msclkid=f2923355c01e
11ecb401fe1dc46cbc38 . PwC . “PwC 2022 AI Business Survey (U .S .) .” PwC . https://
www .pwc .com/us/en/tech-effect/ai-analytics/ai-
The Institute of Internal Auditors . International business-survey .html .
Professional Practices Framework . 2017 ed . (Lake Mary,
FL: The Institute of Internal Auditors, 2017) . https:// QuantumBlack AI by McKinsey . “The State of AI
www .theiia .org/en/products/bookstore/international- in 2023: Generative AI’s Breakout Year.” McKinsey .
professional -practices-framework---ippf---2017- 2023 . https://www .mckinsey .com/capabilities/
edition/ . quantumblack/our-insights/the-state-of-ai-in-2023-
generative-AIs-breakout-year .
Intel . “What is a GPU?” Intel . https://www .intel .com/
content/www/us/en/products/docs/processors/what- Samuel, A .L . “Some Studies in Machine Learning Using
is-a-gpu .html . the Game of Checkers.” IBM Journal of Research and
Development . July 1959 . https://ieeexplore .ieee .org/
ISACA . “COBIT, An ISACA Framework.” ISACA . 2023 . document/5392560 .
https://www .isaca .org/resources/cobit .
Techopedia .com . “TechDictionary.” https://www .
ISACA . “Glossary.” ISACA . 2022 . https://www .isaca .org/ techopedia .com/dictionary .
resources/glossary .
Turing, A .M . “Computing Machinery and Intelligence.”
Marr, Bernard . “The 15 Biggest Risks of Artificial Mind, Volume LIX, Issue 236, October 1950, Pages
Intelligence.” Forbes . June 2, 2023 . https://www .forbes . 433–460 . https://academic .oup .com/mind/article/
com/sites/bernardmarr/2023/06/02/the-15-biggest- LIX/236/433/986238 .
risks-of-artificial-intelligence/?sh=16756d8b2706 .
Weizenbaum, Joseph . “ELIZA—A Computer Program
McCarthy, J; M .L . Minsky; N . Rochester; C .E . For the Study of Natural Language Communication
Shannon . “A Proposal for the Dartmouth Summer Between Man and Machine.” Communications of the
Research Project on Artificial Intelligence.” Association for Computing Machinery . January 1966 .
BibSonomy . https://www .bibsonomy .org/ https://dl .acm .org/doi/10 .1145/365153 .365168 .
bibtex/24550126962fd8014daa80db1ffae4df2/
mhwombat . White House . “Fact Sheet: President Biden Issues
Executive Order on Safe, Secure, and Trustworthy
Moyer, Steven; Gunter Brunhart; Richard Dubs, Thomas Artificial Intelligence.” The White House . October 30,
Erickson, Robert Skalamera, Rob Kepner, Marty Meyer, 2023 . https://www .whitehouse .gov/briefing-room/
“A (Kind of) Quantitative Approach to Organizational statements-releases/2023/10/30/fact-sheet-
Risk Tolerance.” ISACA, July 8, 2021 . https://www .isaca . president-biden-issues-executive-order-on-safe-
org/resources/news-and-trends/isaca-now-blog/2021/ secure-and-trustworthy-artificial-intelligence/ .
a-kind-of-quantitative-approach-to-organizational-
risk-tolerance .

ARTIFICIAL INTELLIGENCE Auditing Framework 36
Equipo de Desarrollo del Marco
George Barham, Allison Banzon, Anne Mercer, Kat Seeuws, Geoff Nordhoff.
Colaboradores
Andrew Cook, Pam Stroebel Powers, Robert Perez, Jim Enstrom, Scott Moore.
Acerca del Instituto

El Instituto de Auditores Internos (The Institute of Internal Auditors o IIA) es la asociación profesional de
auditores internos constituida como la voz global de la profesión, autoridad líder y principal defensor, educador
y el proveedor de normas, guías y certificaciones reconocido por la profesión de auditoría interna. Fundado en
1941, el IIA actualmente atiende a más de 230.000 miembros en más de 170 países y territorios. La sede global
de la asociación se encuentra en Lake Mary, Florida, EE.UU. Para más información, visita www.theiia.org.
Descargo de Responsabilidad
El IIA publica este documento con fines informativos y educativos. Este material no tiene como finalidad
ofrecer respuestas definitivas a circunstancias específicas y puntuales y, como tal, solo está pensado para su
uso como guía. El IIA recomienda solicitar siempre asesoramiento de expertos independientes para cualquier
situación específica relacionada. El IIA no asume responsabilidad por quien tome este material como su única
fuente confiable.
Copyright
Copyright © 2023 The Institute of Internal Auditors, Inc. Todos los derechos reservados. La traducción al español
de este documento fue autorizada por The Institute of Internal Auditors, Inc. Y fue realizada por el Instituto
Uruguayo de Auditoría Interna (IUAI), Instituto miembro de IIA y de la Fundación Latinoamericana de Auditores
Internos (FLAI); traductor: CIA, CRMA, CPA Gastón Lariau.
Para solicitar permiso de reproducción, comuníquese con el IIA a [email protected].
IIA Headquarters
1035 Greenwood Blvd., Suite 401
Lake Mary, FL 32746 USA

Marco de Auditoria IA

Cargado por

Copyright:

Formatos disponibles

Marco de Auditoria IA

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Marco de Auditoria IA

Cargado por

Copyright:

Formatos disponibles

MARCO DE

PARTE 1 – Descripción General ............................................................................ 4

PARTE 2 – Primeros Pasos ................................................................................. 8

PARTE 3 – Marco de Auditoría de IA ...................................................................... 12

PARTE 4 – Guía y glosario para profesionales............................................................ 25

Marco de Auditoría de INTELIGENCIA ARTIFICIAL 2

Marco de Auditoría de INTELIGENCIA ARTIFICIAL 3

El Desarrollo de la IA en la década de 1970, incluyó

Así como el entorno de la IA continúa evolucionando,

Desde el punto de vista de la funcionalidad, IBM12

1 . IA de Máquina Reactiva 2 . IA de Memoria Limitada

Marco de Auditoría de INTELIGENCIA ARTIFICIAL 5

Marco de Auditoría de INTELIGENCIA ARTIFICIAL 6

Marco de Auditoría de INTELIGENCIA ARTIFICIAL 7

• Información obtenida durante las reuniones de

Fuentes externas pueden proporcionar un marco de

• La trilogía “Global Perspectives & Insights” del IIA: La

Información interna relevante puede incluir:

• EBook sobre Gobernanza de IA de IBM17.

Marco de Auditoría de INTELIGENCIA ARTIFICIAL 8

Nivel de Entidad: conversaciones adicionales. Se recomienda trabajar con

Marco de Auditoría de INTELIGENCIA ARTIFICIAL 9

Marco de Auditoría de INTELIGENCIA ARTIFICIAL 10

El Marco de Auditoría de IA del IIA tiene como

La madurez de una organización respecto al uso de

Gobernanza — El primer dominio del marco se basa en

Marco de Auditoría de INTELIGENCIA ARTIFICIAL 12

Marco de Auditoría de INTELIGENCIA ARTIFICIAL 13

Dos aspectos importantes a tener en cuenta:

1 . Planificar una estrategia de IA no es un evento

Marco de Auditoría de INTELIGENCIA ARTIFICIAL 14

• Gestión del Cambio. Un proceso de planificación adecuado apoyará a la

Gestión – Primera Línea Además, fomentar un entorno que anime a los

Marco de Auditoría de INTELIGENCIA ARTIFICIAL 15

Marco de Auditoría de INTELIGENCIA ARTIFICIAL 16

Marco de Auditoría de INTELIGENCIA ARTIFICIAL 17

Marco de Auditoría de INTELIGENCIA ARTIFICIAL 18

Marco de Auditoría de INTELIGENCIA ARTIFICIAL 19

Por ejemplo, las organizaciones involucran a los

Marco de Auditoría de INTELIGENCIA ARTIFICIAL 20

La evaluación y el análisis de los riesgos

La combinación de impacto y probabilidad da como

Marco de Auditoría de INTELIGENCIA ARTIFICIAL 21

RESPUESTA CARACTERÍSTICAS DEFINICIONES

Aceptar Aceptar, Continuar Determinar si los beneficios potenciales justifican asumir el

Transferir Compartir, Distribuir Compartir el riesgo, ya sea transfiriendo parte o la totalidad de

Auditoría Interna – controles mitiguen el riesgo, pero no es una

Marco de Auditoría de INTELIGENCIA ARTIFICIAL 22

Marco de Auditoría de INTELIGENCIA ARTIFICIAL 23

Marco de Auditoría de INTELIGENCIA ARTIFICIAL 24

Esta lista de verificación está diseñada para ofrecer

Garantizar que el plan estratégico de IA sea consistente con la cultura de riesgo de la

Marco de Auditoría de INTELIGENCIA ARTIFICIAL 25

Asegurarse de que el plan estratégico incluya la optimización de recursos de IA.

Definir los responsables de supervisar las iniciativas de IA.

Establecer un equipo de liderazgo de IA multidisciplinario para monitorear las iniciativas de IA.

Asegurarse de que los equipos legales y de cumplimiento supervisen los requerimientos

Definir el rol de auditoría interna como asesor y/o proveedor de aseguramiento.

Asegurarse de que el CISO (o equivalente) participe en todas las iniciativas de IA.

Desarrollar políticas y procedimientos para iniciativas de IA que involucren a terceros externos