25 de agosto de 2023
Boletín de investigación

Automatización de auditoría interna con inteligencia artificial

Comisión
T. Sector Empresa Auditoría Interna

Autores
L.C. Gerardo Amando Díaz Valdez
C.P.C. Pablo Ramón Salas Sánchez

Presentación

Este documento tiene como objetivo compartir una serie de conceptos, ejemplos y beneficios que los responsables de la función de auditoría pueden considerar para la automatización de la misma. Es importante precisar que este boletín no pretende ser una guía detallada que se deba considerar para transformar el área o práctica de auditoría interna para cambiar un proceso tradicional a uno robotizado.

1. Introducción

El presente documento tiene como propósito explicar una serie de conceptos y referencias que se deben considerar para la automatización del proceso de auditoría interna. Asimismo, desarrolla su aplicación y beneficios, así como ciertos riesgos y desafíos que presenta en la actualidad.

En un entorno cada vez más tecnológico y digitalizado, las empresas, y en particular sus áreas de auditoría interna –área en la que se enfocará este boletín–, están buscando cómo ser más eficientes en sus procesos, mejorar la calidad y precisión del trabajo, así como realizarlo en el menor tiempo posible; es decir, cómo hacer más con menos y de esta manera generar mayor valor agregado tangible y cuantificable, ante lo cual se confirma que la automatización se ha convertido en un tema cada vez de mayor interés y necesidad hoy día.

Por otra parte, la evolución de la tecnología está cambiando de manera vertiginosa, lo cual trae consigo que las actividades y trabajos de las áreas de auditoría se deban adaptar y evolucionar a la nueva realidad que se está viviendo. Lo anterior es posible mediante el uso de diversas herramientas, donde la Inteligencia Artificial (IA) es una de las más amplias en la automatización de procesos y en el uso de nuevas tecnologías.

1.1. Conceptos básicos de auditoría

Para iniciar nuestro análisis, en la definición de “auditoría interna” podemos identificar conceptos vinculados a temas tecnológicos de información y de pensamiento creativo. Revisemos la definición:

La Auditoría Interna es una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las operaciones de una organización. Ayuda a una organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno. (Instituto de Auditores Internos de Argentina, 2023)

Con base en lo anterior, es posible destacar que la IA podría replicar aspectos del pensamiento y actividades humanas, como son independencia, objetividad, generar y evaluar objetivos, así como operar de forma sistemática y disciplinada.

Antes de continuar con el siguiente tema, es necesario reflexionar que la IA puede ser bien aprovechada en auditoría interna, pero que hay otras áreas de actividad distintas a las empresariales, o incluso, empresariales, que llevan ventaja en su aplicación. Es decir, la IA ya ha aportado un gran valor a aquellas compañías:

Que la utilizan de forma apropiada, incrementando la eficiencia y la calidad de sus operaciones, de una forma que implica cambios radicales en la gestión empresarial en todas sus áreas: logística, operaciones, marketing, ventas, finanzas, etc. [... Algunas personas] consideran que esta es una tecnología disruptiva, por la forma en la que está influyendo y cambiando un gran número de actividades empresariales, institucionales, científicas, tecnológicas y personales. (Domingo y Solé, 2021)

1.2. Introducción a la IA

Para profundizar en lo que es la IA, consideramos relevante comentar su objetivo primario que consiste en conseguir que una computadora tenga una inteligencia de tipo general, similar a la humana.

Podemos comenzar a definir la IA (no limitativamente) como una actividad que intenta verificar si una computadora programada de forma específica es capaz o no de tener una conducta inteligente de tipo general, pero ¿qué es una inteligencia artificial de tipo general?

Es importante señalar, para ir relacionando la IA con la auditoría interna, que una primera división de “inteligencia” define dos tipos, una de tipo general y otra de tipo específico; la inteligencia de los seres humanos es de tipo general, por ejemplo: el desarrollo mental de una auditoría interna integral desde la planeación hasta la conclusión, relacionando cada etapa y con libertad de hacer adecuaciones; y la de la IA es de tipo específico (hasta el momento), como pueden ser los robots que ejecutan procesos repetitivos indicados en detalle, con umbrales de desviación definidos para notificarlos, lo cual se abordará en detalle en el siguiente capítulo.

Los seres humanos poseemos una inteligencia de tipo general y específico, ya que podemos generar ideas, opiniones, ejercicios y conclusiones diversas sobre varios temas, mientras que los programas de IA, por ejemplo, los que juegan ajedrez, tienen una inteligencia de tipo específico, pues son incapaces de utilizar sus conocimientos para jugar algo más, por ejemplo, a las damas.

Ahora bien, una vez identificados algunos puntos de convergencia de la IA y la auditoría interna, es importante identificar los cuatro tipos de IA definidos al momento, que son:

IA reactiva. Son los tipos más básicos de sistemas de IA: son puramente reactivos, no tienen capacidad de formar recuerdos y tampoco pueden utilizar experiencias pasadas en las que basar la toma de decisiones actuales. Un ejemplo de esto fue Deep Blue, una supercomputadora creada por International Business Machines Corporation (IBM), capaz de vencer en ajedrez a Garry Kaspárov a fines de la década de 1990.

IA de memoria limitada. Tiene la capacidad de referirse hacia el pasado, como hacen los vehículos autónomos al observar la velocidad y dirección de otros automóviles. Para que funcionen así, hay que identificar objetos específicos y monitorearlos a lo largo del tiempo. Estas observaciones se agregan a las representaciones preprogramadas para la memoria, a fin de ir incrementándola, pero de forma limitada.

IA de teoría de la mente. Es la que se aplicará en el futuro: busca incluir cómo pensamos y cómo sentimos los humanos, además de considerar simulaciones de saber qué esperamos y cómo queremos que nos traten, lo que ya se puede definir como un comportamiento.

IA de la autoconciencia. Considérese que: “El paso final del desarrollo de la IA es construir sistemas que puedan formar representaciones sobre sí mismos. En última instancia, los investigadores de la IA tendrán que comprender no solo la conciencia, sino también construir máquinas que la tengan” (Asociación para el Progreso de la Dirección, 2023).

Como conclusión de esta sección, la IA reactiva y la de memoria limitada son las que actualmente el auditor interno puede aplicar, por medio del aprovechamiento de datos, información y conocimiento de aspectos intangibles, como se profundizará en el siguiente capítulo, además de que, en un futuro cercano, podrán sentar las bases de auditorías internas de teoría de mente y, por qué no, de autoconciencia.

2. Desarrollo

2.1. Aplicaciones y beneficios de la IA como herramienta de auditoría interna

Como sabemos, uno de los grandes objetivos del área de auditoría interna es ser preventivos, y si bien mediante el proceso de planeación de auditoría se efectúa la identificación y evaluación de riesgos, la revisión de controles, la definición de pruebas a realizar, así como la revisión de temas de cumplimiento y regulatorios, todo ello no ha sido suficiente para lograr la prevención, por lo cual se ha incursionado en la búsqueda de nuevas tecnologías y herramientas que ayuden a que los auditores internos sean proactivos mediante la identificación temprana y mitigación de riesgos.

Pese a que no se tiene una fecha exacta de cuándo el área de auditoría interna inició la utilización de la IA, se tiene evidencia de que, desde la década de 1900, ya se empleaban herramientas para el análisis de la información. Aunque en la década del 2000 la evolución de la tecnología fue mayor y se empezó a usar para llevar a cabo actividades de clasificación y detectar anomalías en bases de datos, no fue sino hasta la década de 2010 cuando la IA tomó mucha más relevancia, ya que implicó la utilización de tecnologías más avanzadas que permitieron la automatización de los procesos de auditoría. En palabras muy simples, se buscó automatizar las tareas y procesos repetitivos que antes eran ejecutados de forma manual por los auditores, con el objetivo de ser más eficientes, oportunos y precisos en las revisiones.

El uso de IA está cambiando la forma en que se llevan a cabo las auditorías internas, ya que la automatización de tareas repetitivas permite al auditor enfocarse en asuntos de mayor valor agregado en beneficio de la institución en cuestión, como son el análisis de datos y la toma de decisiones estratégicas.

A continuación se mencionan, de manera enunciativa mas no limitativa, las principales aplicaciones y beneficios de la automatización del proceso de auditoría interna:

Automatización de las tareas repetitivas. Ésta es una de las actividades iniciales que se deben tomar en cuenta para la automatización del área de auditoría, ya que se deben identificar aquellas labores que los auditores lleven a cabo de manera rutinaria y repetitiva, puesto que éstas son las principales tareas que se pueden automatizar mediante el uso de la IA.

Análisis de grandes volúmenes de datos. La ventaja del uso de la IA es que ahora ya no es necesario determinar una muestra de las revisiones, debido a que, con el uso de diferentes herramientas, se puede analizar el 100% de la población auditada; es decir, se pueden revisar grandes volúmenes de información a la vez que es posible identificar tendencias (picos y valles) de manera más rápida, precisa y oportuna.

Detección temprana de riesgos y fraudes. El uso de la IA permite al auditor identificar comportamientos atípicos, patrones y/o tendencias en las transacciones que pudieran ser señales y/o alertas para la identificación y prevención de posibles fraudes; de esta manera, es posible generar un valor agregado muy relevante para la organización, ya que así los auditores internos estamos consiguiendo ser preventivos, en lugar de reactivos.

Mejora de la eficiencia, productividad y precisión de la auditoría. Como se ha mencionado, una de las grandes ventajas del uso de la IA es que el auditor puede automatizar tareas y, en consecuencia, ser más rápido en el procesamiento y análisis de datos, en la optimización de recursos y en la detección temprana de problemas, por lo cual el trabajo de auditoría se vuelve clave, en virtud de que puede centrar su atención en el análisis y en la toma de decisiones estratégicas, tanto para el negocio como para el área de auditoría interna.

Monitoreo de riesgos y alertas tempranas. Mediante el uso de la IA se pueden desarrollar alertas a procesos de alto riesgo, con la finalidad de monitorear e identificar movimientos atípicos y/o desviaciones que pudieran poner en riesgo o generar algún incumplimiento para el negocio.

Evaluación del cumplimiento operativo y regulatorio. Una vez que conoce el control interno, así como la normatividad aplicable a cada industria, mediante el uso de la IA el auditor puede generar pruebas automatizadas a través de la recopilación y el análisis de datos para identificar de manera temprana patrones y anomalías que pudieran significar incumplimientos a políticas, regulaciones y leyes.

Asesoramiento en la toma de decisiones de manera oportuna. El uso de la IA, por medio de la cual se pueden generar análisis de bases de datos de manera más rápida, precisa y oportuna, ayuda al auditor a la toma de decisiones, mediante la evaluación de distintos escenarios que de otra manera no se podrían realizar, ya que tomaría demasiado tiempo y se perdería la oportunidad.

Uso de la IA. La herramienta más utilizada para llevar a cabo la automatización robótica de procesos es Robotic Process Automation (RPA), mediante la cual se logra automatizar procesos estándares con reglas específicas, con el objetivo de analizar los procesos de manera más rápida y precisa que si los realizara un ser humano.

Actualmente, en el mercado existen diferentes herramientas para la automatización; de acuerdo con Gartner, en su reporte de julio de 2022, a continuación se muestran las principales empresas en el manejo de RPA:

Casos más comunes para implementar el uso de RPA. A continuación, se mencionan algunos ejemplos de procesos que se pueden automatizar mediante el uso de RPA:
- Configuración de nuevas contrataciones
- Configuración de proveedores
- Manejo y gestión de los gastos
- Monitoreo de la gestión de las conciliaciones
- Monitoreo de las ventas y de los costos
- Monitoreo de límites transaccionales regulatorios
- Registros contables manuales
- Revisión de accesos de usuarios

Como se puede apreciar, el uso de RPA tiene una gama muy diversa de procesos que se pueden automatizar, con la finalidad de que el trabajo de auditoría sea mucho más proactivo y se busque siempre la prevención y/o detección temprana de posibles desviaciones que generarían una pérdida a la institución correspondiente.

2.2. Riesgos y desafíos

Al ser la IA una herramienta aún en desarrollo y en pruebas de perfeccionamiento, existen riesgos que, de materializarse, pueden afectar de forma importante el uso adecuado y responsable de la IA, y que, incluso, obligarán a asumirlos como desafíos que requieren acciones puntuales como respuesta para su administración. De forma enunciativa, los riesgos y desafíos generales pueden ser:

Fallas en sistemas informáticos y limitaciones técnicas.
Dependencia de la tecnología.
Falta de interpretación y resistencia humana.

Sobre los incisos a) y b), consideremos que la IA se basa en programaciones complejas y, por tanto, inevitablemente contendrá errores y fallas físicas de los equipos en algún momento. Incluso suponiendo que fuera posible desarrollar IA completamente fiable, existen aspectos éticos que los programadores deben tener en cuenta a la hora de diseñarla. Estos aspectos éticos hacen que muchos expertos en IA señalen la necesidad de regular su desarrollo; sin embargo, además de regular, es imprescindible educar a los ciudadanos sobre los riesgos de las tecnologías inteligentes, al dotarlos de las competencias necesarias para controlarlas en vez de ser controlados por ellas, así como para aprovechar las ventajas de las tecnologías inteligentes minimizando los riesgos. La práctica de auditoría interna deberá, en consecuencia, reestructurarse desde las aulas, no sólo por cuanto refiere a la aplicación de la IA, sino sobre todo en el entendimiento de sus fundamentos para un mejor aprovechamiento.

Un riesgo colateral de lo antes señalado es la falta de regulaciones extraterritoriales sobre el uso de la IA, puesto que existen pocos pronunciamientos formales, como el emitido por la Unión Europea, conocido como Ley de Inteligencia Artificial, que es la primera ley integral sobre IA del mundo. En este tema particular, también la auditoría interna podrá jugar un papel importante cuando existan regulaciones formales, pues requerirá de expertos que evalúen y dictaminen el cumplimiento de las mismas, a la par de desviaciones, remediaciones e incluso sanciones.

Respecto al inciso c), considérese que “las empresas, al incorporar aplicaciones de IA, deben estar preparadas para responder a la preocupación que, sin duda, mostrarán buena parte de sus trabajadores” (Domingo y Solé, 2021), sobre todo acerca de sus puestos como tal, así como de la eficiencia y eficacia de la tecnología.

Recordemos el ya multicitado posible riesgo de que la IA reemplace al ser humano en varias actividades profesionales y personales, en torno al cual quisiéramos resaltar un riesgo poco comentado, ya existente y en incremento veloz: que comencemos a perder la habilidad, el gusto y la necesidad creativa por las ventajas que da la IA.

Asimismo, téngase en cuenta que: “Las instituciones educativas [...] deberán proveer a la ciudadanía de la posibilidad de estudiar y prepararse para estas nuevas profesiones del futuro, [incluyendo quizá, una nueva especialización para auditoría interna] y la ciudadanía deberá estar dispuesta[, más que resistente,] a seguir aprendiendo y aceptando nuevos retos” (Domingo y Solé, 2021).

Finalmente, es imprescindible comentar algunos aspectos éticos que se deben considerar, ante lo que destacan:

Transparencia. Al momento en que la IA empiece a tomar decisiones que afecten a la sociedad, es importante que exista evidencia de cómo se llegó a esa conclusión para evitar discriminación, injusticia y corrupción.

Seguridad y uso de información. Se debe tener en cuenta que para que la IA funcione, se requiere de una gran cantidad de datos, por lo que se debe cuidar el uso de datos personales y privados, cuyo manejo pudiera generar riesgos de seguridad de información.

Responsabilidad. Se debe tener claridad de quién y cómo se está usando la IA, es decir, quién va a ser el responsable en caso de que la IA tome una mala decisión, por lo cual se debe definir un marco claro de rendición de cuentas, así como la creación de regulación que delimite las responsabilidades sobre el uso de la IA.

En resumen, es importante que se empiecen a plantear cuestionamientos éticos para generar leyes que garanticen que el uso de la IA siempre sea en beneficio de la sociedad y se definan los marcos jurídicos necesarios para dejar clara la responsabilidad de todos los participantes en el uso de la IA.

3. Conclusiones

Como se comentó en este documento, a nivel mundial se está experimentando un cambio significativo con los avances tecnológicos y en particular con el uso de la IA; es por ello que el área de auditoría interna no puede quedarse atrás y debe evolucionar de la misma manera que los cambios tecnológicos. Incluso, el auditor interno debe avanzar más rápido para actuar como evaluador del cumplimiento de las tareas que en materia de IA definan las empresas.

Es importante destacar que, si bien la IA puede automatizar ciertas tareas y procesos en cualquier industria, no se considera que esta tecnología pueda sustituir al trabajo humano. La idea es que se complementen y se mejore el trabajo humano al permitir a las personas, en este caso a los auditores, concentrarse en actividades que requieren habilidades únicas y complejas que sólo el ser humano puede realizar, como pueden ser la creatividad, el juicio, empatía y cualquier toma de decisiones ética, entre otras; por lo cual es importante buscar la forma de interactuar y colaborar de manera efectiva entre la tecnología y los auditores para aprovechar sus capacidades al máximo.

Existe un reto actual, poco comentado y controlable por lo seres humanos, que es el de mantener el gusto, la necesidad y el perfeccionamiento continuo de nuestro pensamiento, buscando el equilibrio más adecuado para aprovechar las bondades de la IA, sin caer en un conformismo que reduzca o limite nuestra creatividad, en cuya línea destaca, para estos fines, la práctica de auditoría interna.

Finalmente, la participación de auditoría interna por medio del uso y/o evaluación de la IA representa un área de desarrollo, innovación y crecimiento que, sin lugar a dudas, deberá madurar como la misma práctica de auditoría interna para evolucionar lo más rápido posible de enfoques de uso básico o evaluaciones de cumplimiento, a ser utilizada como herramienta sofisticada y de alto valor operativo y económico para las estrategias de negocio, a la vez que se tienen siempre presentes los riesgos y retos para generar respuestas a los mismos de forma oportuna.

4. Referencias

Asociación para el Progreso de la Dirección, 2023, 4 tipos de inteligencia artificial que debes conocer, 2023, de APD: https://www.apd.es/tipos-de-inteligencia-artificial/

Comisión Europea, 2021, Propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas en materia de inteligencia artificial (Ley de Inteligencia Artificial) y se modifican determinados actos legislativos de la Unión, 2023, de European Union law: https://eur-lex.europa.eu/legal-content/ES/TXT/HTML/?uri=CELEX:52021PC0206

Domingo y Solé, 2021, Los siete retos de la inteligencia artificial en el entorno empresarial, 2023, de Harvard-Deusto: https://www.harvard-deusto.com/los-siete-retos-de-la-inteligencia-artificial-en-el-entorno-empresarial

Gartner, 2022, 2022 Report: Gartner Magic Quadrant for Robotic Process Automation Software, 2023, de Computer si: https://www.computersi.com/2022-gartner-magic-quadrant-for-robotic-process-automation-software/

Instituto de Auditores Internos de Argentina, 2023, Definición de Auditoría Interna, 2023, de iaia: https://iaia.org.ar/auditor-interno/definicion-auditoria-interna/

Texto de investigación editado por el Colegio de Contadores Públicos de México, A.C. con el objeto investigar y analizar temas de actualidad relacionados con la contaduría pública y los negocios como una aportación técnica y objetiva para los lectores. El contenido de este material es responsabilidad exclusiva de sus autores y no refleja la opinión o postura del Colegio de Contadores Públicos de México, A.C. sobre los temas abordados en él. Se prohíbe la reproducción total o parcial del material contenido en esta publicación sin autorización previa de los autores y el Colegio de Contadores Públicos de México, A.C.