Control interno efectivo de la inteligencia artificial generativa

¿Ficción o realidad?

Por Samuel Mantilla – Control interno de la inteligencia artificial generativa. ¿Ficción o realidad?

Introducción

Si bien el Reporte Citrini es desalentador para los trabajadores de cuello blanco (incluye asesores y consultores contables), el análisis más amplio que de los escenarios hace Aswath Damoradan[1] permite percibir nuevas oportunidades en el largo plazo[2]:

“… La mayoría de los trabajos de cuello blanco no será reemplazada fácilmente porque aportan entrenamiento, capacidad intelectual y experiencia que serán difíciles de replicar. Muchos trabajadores de cuello blanco son personas brillantes con conocimientos especializados, pero los negocios que los contratan los someten a camisas de fuerza, priorizando la mecánica sobre la intuición y el pensamiento orientado-por-reglas sobre las valoraciones basadas-en-principios. En resumen, es la naturaleza de los trabajos que hemos creado en muchos entornos de cuello blanco lo que los hace vulnerables a disrupción, no la inteligencia ni el entrenamiento de las personas que tienen esos trabajos.”

En relación con los asesores y consultores, Damoradan permite concluir que ‘no están tan expuestos a disrupción’ dado el sistema de protección que les dan los reguladores y el sistema legal, entre otros. Claro que ese carácter de ‘profesión subsidiada’ depende de la calidad y fortaleza de las regulaciones y sistemas legales que les protegen, o mejor aún, de las orientaciones que les respaldan, tal y como es el caso de las que ofrece COSO para lograr un control interno efectivo sobre la IA generativa.  

Control interno sobre la IA generativa

El 23 de febrero de 2026 publicó COSO el documento Achieving Effective Internal Control Over Generative AI (GenAI) [Lograr un control interno sobre la IA generativa].

Esta en la línea de que ‘COSO 2013 sirve para todo’, tal y como ha ocurrido con los temas de presentación de reportes de sostenibilidad, automatización robótica de procesos, y la era cibernética, entre otros.

La nueva publicación fue encargada por COSO y sus autores son Scott Emett of Arizona State University, Marc Eulerich of the University of Duisburg-Essen, Jason Guthrie of Ernst & Young, Jason Pikoos of Meta, y David A. Wood of Brigham Young University. Traslada Control Interno – Estructura conceptual integrada, de COSO (2013), en prácticas concretas de control interno adaptadas a la GenAI.

Tal y como lo señala el boletín de prensa que la anuncia:

“La IA generativa se está incorporando a las salas de juntas y a las operaciones del día-a-día más rápido de lo que anticiparon los modelos tradicionales de gobierno. Las organizaciones ya están usando herramientas facilitadas-por-IA para automatizar conciliaciones, acelerar el análisis, y apoyar la toma de decisiones a una escala que recorta los plazos y reestructura los flujos de trabajo. Tal rápida adopción conlleva una nueva clase de riesgos – desde una mayor exposición cibernética y la manipulación basada-en-promts [‘avisos’] hasta razonamiento opaco, desviaciones del modelo, y cambios frecuentes de configuración – que pueden menoscabar la integridad de las operaciones, la presentación de reportes, y el cumplimiento, si no es abordada con robustos controles internos”.

Difícilmente se pueden cuestionar la presentación y las intenciones del documento que, entre otras cosas, es bastante necesario en las condiciones del presente:

• Sus autores tienen calificaciones y experiencia ampliamente reconocidas.
• Se basa en los ya probados cinco (5) componentes y 17 principios de la estructura de COSO sobre control interno (2013).
• Sin embargo, surgen dudas importantes que van mucho más allá de si el modelo en que se basa realmente ‘sirve para todo’: con lo rápidamente cambiante que están siendo las soluciones de IA, ¿con este modelo será posible seguirles el ritmo y garantizar un control interno realmente efectivo?

Deja claro que lo nuevo aporta esta publicación es:

• Una taxonomía de la capacidad-primero: A diferencia de las estructuras genéricas de gobierno de la IA, organiza los usos de la GenAI en ocho tipos distintos de capacidad: (1) extracción e ingestión de datos; (2) transformación e integración de datos; (3) procesamiento y conciliación automatizados de las transacciones; (4) orquestación del flujo de trabajo y ejecución autónoma de tareas; (5) juicio, pronosticación, y generación de perspectiva; (6) monitoreo y revisión continua empoderados por IA; (7) recuperación y resumen del conocimiento; y (8) colaboración humano-IA. Cada una de ellas con definición especifica, ejemplos, y requerimientos de control personalizados que reconocen cómo los riesgos de la GenAI se manifiestan de manera diferente a través del ciclo de vida de datos-a-decisión.
• Mapeo del control listo-para-auditoría: Cada una de las ocho capacidades incluye ejemplos integrados, expectativas mínimas de control alineadas con todos los cinco componentes de COSO, y métricas ilustrativas diseñadas tanto para el monitoreo operacional como para el recaudo de evidencia de auditoría, eliminando la brecha entre las estructuras de gobierno y los requerimientos de auditoría.
• Ayudas para la implementación práctica: Mas allá de la orientación conceptual, proporciona plantillas de inicio que incluyen matrices de valoración del riesgo, procedimientos para las pruebas de control, y tableros de mando de las métricas que los equipos pueden adaptar de manera inmediata, reduciendo el tiempo-a-la-implementación de meses a semanas.

Riesgos de GenAI

De acuerdo con mi entender, ‘el núcleo’ del aporte de este documento son los riesgos de GenAI, que explica con algún detalle y vincula con los componentes y principios de COSO 2013. Los riesgos a que hace referencia son:

• Calidad, fuente y completitud de los datos
• Confiabilidad y consistencia
• Explicabilidad y transparencia
• Seguridad y privacidad
• Sesgo y equidad
• Riesgo de terceros y de proveedor
• Gobierno y accountability

Estructura global de la GenIA y modelo de maduración

Ofrece una gráfica en la que plantea los elementos principales, pero no desarrolla el modelo como tal.

Los elementos que señala son:

• Alineación estratégica y ambiente de control: Alinee las iniciativas de IA con los objetivos organizacionales, las estrategias, y el apetitito/tolerancia por el riesgo.
• Administración operacional y de tecnología: Integre la IA en los procesos operacionales; administre la tecnología de IA y la seguridad de la tecnología de la información.
• Administración de datos y del cumplimiento: Establezca procesos para identificar, valorar, y mitigar los riesgos relacionados con los datos.
• Transparencia, accountability, y mejoramiento continuo: Asegure toma de decisiones de IA transparente y rastreable; monitoree la evolución de la IA y actualice las prácticas de gobierno.
• Consideraciones humanas, éticas y sociales: Realice entrenamiento en IA y administre los riesgos de los recursos humanos; asegure el uso ético de la IA que mitigue el sesgo; valore y administre los impactos reputacionales y sociales; valore y administre los impactos ambientales.

Características fundamentales del control interno de GenAI

Define y explica cinco (5) características fundamentales de la GenAI:

• Probabilística, no determinística
• Dinámica
• Fácilmente escalable (para mejor o peor)
• Tiene baja barrera de entrada
• Puede ayudar a gobernar la GenAI

Aplicación de COSO a la GenAI

Esta sección es la más extensa y constituye ‘el plato fuerte’ del documento. Toma cada uno de los cinco (5) componentes y los 17 principios del control interno según COSO 2013 y explica y da ejemplos de cómo se pueden aplicar a la GenAI.

Hoja de ruta para la implementación

Ofrece una hoja de ruta ‘cíclica’ compuesta por seis (6) pasos y deja claro que, una vez completado el paso 6, se debe volver al paso 1 para reevaluar su estructura de gobierno, e inventariar y revaluar cómo evolucionan las capacidades, los riesgos y las prioridades del negocio.

Los seis pasos son:

• Paso 1: Establezca la estructura de gobierno de la IA
• Paso 2: Elabore inventario de casos de uso de la GenAI
• Paso 3: Valore los riesgos por cada componente de COSO
• Paso 4: Diseñe y mapee los controles
• Paso 5: Implemente y comunique
• Paso 6: Monitoree y adapte

Ejemplo de casos integrados

Ilustra cómo los múltiples tipos de capacidad y los componentes de COSO se interceptan en escenarios del mundo real, mostrando cómo los riesgos se pueden propagar a través de los dominios y cómo un ambiente de control cohesionado administra esos riesgos.

Ofrece tres ejemplos de casos integrados.

Conclusión

Desafortunadamente, la conclusión de este documento es, de alguna manera, ‘obvia’ y es la que casi siempre se encuentra en este tipo de publicaciones:

• La velocidad, la adaptabilidad, y el alcance de la GenAI continuarán dándole forma a los procesos, la toma de decisiones y los panoramas del riesgo a través de las organizaciones.
• Mediante combinar los cinco (5) componentes de COSO con el punto de vista tipo-capacidad de cómo la GenAI es desplegada, este reporte ofrece tanto lentes estratégicos como un kit de herramientas prácticas.
• El camino que sigue es interactivo.
• A más temprano las organizaciones inserten el gobierno de la GenAI en su ambiente de control interno, más pronto pueden llevar a cabo sus beneficios, al tiempo que evitan los costosos riesgos de la adopción no-controlada.

Apéndices

Finalmente, ofrece dos (2) apéndices:

• Apéndice A: Tipos de IA
• Apéndice B: Mapeo detallado de COSO por tipo de capacidad

Mi percepción es que el Apéndice B es la mejor parte de esta publicación, dado que permite ver de manera clara y sintética el proceso a seguir. Según mi entendimiento, es la mejor ayuda para la práctica.

¿Qué dice la IA sobre este documento?

Luego de haber escrito lo anterior, le pregunté a distintas IA su opinión alrededor de la siguiente pregunta:

¿El documento “Achieving Effective Internal Control Over Generative AI (GenAI)” [Cfr. https://ab5bd07f-8066-4a33-869e-6f82d80ee59a.filesusr.com/ugd/719ba0_08f358f2c8f946fa9d26bd51d37b7117.pdf] permite realmente lograr un control interno efectivo sobre la inteligencia artificial generativa?

Sus respuestas son bastante interesantes.

La síntesis de la respuesta de las IA consultadas es:

• COPILOT: Sí, el documento “permite” lograr un control interno efectivo en el sentido de que provee un marco COSO aplicado a GenAI con componentes auditables (taxonomía, mapeo de controles, métricas y plantillas). Pero no lo hace automáticamente: la efectividad real depende de que tu organización lo convierta en controles operativos con gobierno, evidencia y monitoreo continuo, justamente porque GenAI cambia rápido (drift, prompts, configuraciones) y puede afectar operaciones, reporting y compliance si no hay controles robustos.
• GEMINI: El documento es efectivo porque reconoce que la GenAI es «confiadamente errónea» y fácil de manipular. Al aplicar los principios de COSO con «rigor renovado», permite que las organizaciones dejen de experimentar a ciegas y comiencen a operar con sistemas adaptables y listos para ser auditados.Nota: El éxito real dependerá de que el monitoreo sea continuo, ya que un control que hoy es efectivo puede dejar de serlo mañana si el modelo de IA sufre una «degradación»
• ChatGPT 5.0: El documento no garantiza el control interno efectivo sobre la IA generativa, pero sí proporciona una base estructurada y práctica para construirlo.

• PERPLEXITY: No, el documento “Achieving Effective Internal Control Over Generative AI (GenAI)” de COSO no permite por sí solo lograr un control interno efectivo sobre la IA generativa, ya que es un marco de orientación práctica que debe implementarse y adaptarse en cada organización. Proporciona una hoja de ruta estructurada basada en el marco COSO de control interno, pero su éxito depende de la ejecución real, el monitoreo continuo y la adaptación a riesgos específicos.

La respuesta completa de cada una de las IA consultadas la encuentra en el siguiente documento (pdf. 11 pp.):

---

[1] Su artículo tiene por título The AI Disruption: From Doomsday Destruction to Do-Nothing Bots!

Possible? Plausible? Probable?, está disponible en https://aswathdamodaran.substack.com/p/the-ai-disruption-from-doomsday-destruction. Es un poco extenso y denso, pero es de esas lecturas que valen la pena por los distintos horizontes que abre. Muy recomendado.

[2] NB: Los textos originales son en inglés. Los fragmentos y citas que se ofrecen son traducción de SAMantilla.