Auditoría interna de IA: qué revisar antes del regulador

La adopción de inteligencia artificial en empresas ha crecido más rápido que su control interno. Muchas organizaciones ya utilizan IA en procesos críticos sin haber realizado una revisión estructurada de riesgos, documentación o cumplimiento. La auditoría interna de IA se está convirtiendo en un paso imprescindible antes de enfrentarse a clientes exigentes  o inspecciones de organismos como AESIA, AEPD o la Inspección de Trabajo.

No se trata de auditar la tecnología en abstracto, sino de responder a una pregunta clave: ¿puede tu empresa demostrar que su uso de IA está bajo control?

Qué es una auditoría interna de IA

Una auditoría interna de IA es un proceso de revisión que permite identificar:

• Qué sistemas de IA se están utilizando realmente.
• Qué riesgos generan.
• Qué controles existen (o faltan).
• Qué documentación y evidencias pueden aportarse.

Su objetivo no es frenar la innovación, sino detectar brechas antes de que lo haga un tercero.

Por qué deberías hacerla ahora

Las empresas que no auditan su uso de IA suelen enfrentarse a tres problemas:

• No saben exactamente qué herramientas están en uso.
• No tienen documentación preparada cuando se les solicita.
• No pueden justificar decisiones automatizadas o resultados.

Esto se traduce en riesgo legal, pérdida de contratos y exposición reputacional.

Qué debe revisar una auditoría interna de IA

1. Inventario real de sistemas

El primer paso es identificar todos los sistemas de IA en uso, incluyendo:

• Herramientas oficiales implantadas por la empresa.
• Soluciones utilizadas por equipos sin validación formal.
• Integraciones con proveedores externos.

Cada sistema debe tener:

• Finalidad clara.
• Responsable asignado.
• Ubicación y entorno de uso.
• Tipo de datos utilizados.

Sin inventario, no hay auditoría.

2. Clasificación por riesgo

No todos los sistemas requieren el mismo nivel de control. Es necesario clasificar cada uso en función de su impacto.

Ejemplos de mayor riesgo:

• IA en selección de personal.
• Sistemas de scoring o evaluación.
• Automatización de decisiones relevantes.
• Uso de datos sensibles o masivos.

La auditoría debe verificar si esta clasificación existe y si está justificada.

3. Gobernanza interna

Se debe analizar si la empresa dispone de:

• Política interna de uso de IA.
• Procedimiento de aprobación de nuevos casos.
• Reglas sobre uso de datos.
• Responsables claramente definidos.

La ausencia de gobernanza es uno de los principales puntos débiles detectados en auditorías.

4. Cumplimiento en protección de datos

Cuando hay datos personales, la auditoría debe revisar:

• Base jurídica del tratamiento.
• Registro de actividades.
• Existencia de DPIA cuando procede.
• Medidas de seguridad implementadas.
• Gestión de transferencias internacionales.

Este es uno de los focos principales de revisión por parte de autoridades.

5. Contratos con proveedores de IA

Muchas empresas utilizan herramientas de terceros sin revisar adecuadamente las condiciones.

La auditoría debe verificar:

• Existencia de DPA.
• Uso de datos para entrenamiento.
• Subencargados y transferencias.
• Cláusulas de auditoría.
• Portabilidad y salida.

Los contratos estándar suelen ser insuficientes.

6. Supervisión humana

En sistemas que afectan a personas, la auditoría debe comprobar:

• Si existe revisión humana real.
• Cómo se documenta.
• Qué criterios se aplican para intervenir.

La supervisión no puede ser meramente formal.

7. Pruebas y control técnico

Se debe revisar si la empresa ha evaluado:

• Precisión del sistema.
• Robustez ante errores.
• Posibles sesgos.
• Cambios de comportamiento del modelo.

No es necesario un análisis complejo, pero sí evidencia mínima.

8. Trazabilidad y registros

Una auditoría eficaz debe verificar si se puede reconstruir:

• Qué versión del sistema estaba activa.
• Qué cambios se realizaron.
• Qué decisiones se tomaron.
• Qué controles se aplicaron.

Sin trazabilidad, no hay defensa posible ante una inspección.