lunes, 10 de junio de 2024

AUDITORIA INTERNA: Inteligencia artificial y algoritmos: Los nuevos desafíos de la función de auditoría interna

 

Por: Javier Fernando Klus, MBA, CIA. Colaborador de Auditool. 

Tomado de Auditool

Es indudable que la tecnología y lo que se ha dado en llamar la "digitalización" está impactando en todos los niveles de las organizaciones, ya sea de dirección o cada vez más en los niveles operativos. En la medida en que estas tecnologías se diseminan a lo largo de todas las capas de las organizaciones presentan un problema muy importante para la función de auditoría interna. ¿Cómo auditar estos procesos impactados? Y otra pregunta también relevante es: ¿Qué recursos necesito para poder auditar estas nuevas tecnologías?


A los fines de profundizar en este problemáticas, vamos a empezar por aspectos más sencillos pero que ayudarán a entender el contexto en donde actualmente la función de auditoría interna se halla inmersa, y es: ¿Qué se entiende por automatización?

Básicamente, dentro de la automatización de procesos tenemos herramientas como Robotic Process Automatization (RPA), Inteligencia Artificial (IA), Inteligencia Cognitiva, etc.

Como dijimos, dentro de este término podemos incluir distintas herramientas, la primera es RPA, la cual es una forma de automatización de procesos que replica las acciones del ser humano interactuando con la interfaz de usuarios de un sistema informático. En este caso, el robot de software opera en la interfaz de usuarios de la misma forma en que lo haría un humano. Este tipo de herramientas son ampliamente recomendadas para procesos muy repetitivos. Es decir, básicamente ejecutarán tareas repetitivas a una velocidad muchísimo mayor que lo haría una persona. No obstante, el principal problema es que cualquier variación en el contexto en el cual se tiene que desempeñar, hará que la herramienta deje de funcionar, dado que es una situación distinta a la que tenía programada y no tiene la capacidad de poder tomar otra acción.

Por otro lado, el término "inteligencia artificial" surgió alrededor de 1950 y, en su aceptación más amplia, se define como los sistemas informáticos que pueden percibir su entorno, pensar, aprender y actuar en respuesta a lo que detectan y a sus objetivos. Se trata de la simulación por parte de máquinas de un proceso mental, que les permite, a través de algoritmos inteligentes, tomar decisiones y realizar tareas que originalmente son propias de los seres humanos. Por último, la inteligencia cognitiva utiliza los principios de la inteligencia artificial y el aprendizaje automático, pero necesita de algún elemento de juicio o interpretación humana para actuar sobre la información y ofrecer un resultado.

Dicho esto, según un estudio de la consultora PWC, el 43% de todos los procesos de una organización podrían ser, de alguna forma, automatizados a través de RPA, a eso podemos sumarle un 33% adicional de procesos que podrían ser automatizados a través de la inteligencia cognitiva. Es decir, un proceso automático que, en algún momento, requerirá la intervención humana.

Ya profundizando un poco más en lo que hemos denominado automatización, debemos tener en cuenta un hecho fundamental: la construcción de un sistema con cierta inteligencia artificial se hace a través de algoritmos, los algoritmos son el corazón de la IA. Pero los algoritmos son desarrollados por humanos. Por lo tanto, pueden tener un sesgo en su construcción.

El sesgo algorítmico ocurre cuando un sistema informático refleja los valores de los humanos que están implicados en la codificación y recolección de datos usados para entrenar el algoritmo.

Esto implica que la inteligencia artificial no es perfecta, que pueden manifestarse errores y esos errores pueden afectar los procesos de una organización.

Tengamos en cuenta que, actualmente, los algoritmos ya toman decisiones por nosotros. Los siguientes son algunos ejemplos:

La inteligencia artificial ya está decidiendo qué CV descartar en un proceso de selección de personal.

Los sistemas de IA están evaluando los perfiles de quienes solicitan un crédito, investigando en los perfiles sociales de las personas y determinando indicadores de riesgos.

La IA y algoritmos ya son utilizados para determinar los perfiles de compatibilidad en los sitios de citas.

En determinados países, los jueces están dictando sentencia con la ayuda de herramientas automatizadas, obviamente, para sentencias repetitivas y menores.

Estos son algunos ejemplos de determinadas tareas, en cualquier tipo de ámbito, que ya están siendo impactadas por la IA y por el uso de algoritmos.

Pero, como dijimos, los algoritmos son programados por humanos y, por lo tanto, pueden tener sesgos. Estos sesgos pueden impactar en el resultado de los algortimos y pueden, de esta forma, tomar decisiones erróneas, segregando a determinados grupos sociales, etc.

Actualmente, el otro gran problema de la Inteligencia artificial, en muchos casos, es lo que se denomina “Caja Negra”. Es decir, un sistema inteligente puede tomar una decisión, que seguramente será la mejor, pero es muy difícil determinar la razón de dicha decisión. En otras palabras, sabemos que vamos a obtener la mejor respuesta posible, pero no podemos tener las razones que originaron esa respuesta. Por lo tanto, convengamos que es muy difícil, para un auditor, relevar y entender procesos en los cuales no podemos obtener una evidencia cierta de las razones y el proceso decisorio que llevaron a dicha respuesta.

Además, en el proceso decisorio se utiliza información. Estos sistemas, muchas veces, utilizan un gran volumen de información en un muy corto tiempo y, con base en esta información, toman decisiones, pero ¿qué pasa si la información no es correcta? Hay un dicho que dice “La entrada de basura genera salida de basura” y esta es una de las características de estos sistemas: ¿cómo nos aseguramos de que la información que ingresa a nuestros sistemas automáticos es correcta?, ¿cómo nos aseguramos de que, si realizamos una limpieza de datos para su ingreso, no se quitaron datos importantes o se alteraron los mismos?

De hecho, un documento de Kaspersky Lab, el desarrollador de Antivirus, ha determinado como una de las amenazas futuras que “el aprendizaje automático va a necesitar una protección propia”, planteándose que “Incluyendo intervenciones de la competencia para tratar de engañar y dañar los algoritmos definidos por el aprendizaje de la máquinas. Esto puede pasar, por ejemplo, bombardeando un algoritmo con datos que parecen limpios, pero que contienen desvíos demasiado pequeños para ser identificados gradualmente, obstaculizando la diferenciación entre lo que es limpio y útil y lo que puede causar daño al sistema, generando una serie de falsos positivos”.

Es por esto por lo que es importante el establecimiento, en principio, de una apropiada gobernanza de IA, que tenga en cuenta, como mínimo, los mecanismos de control y autorización para la implementación de una solución basada en IA, las capacidades de las personas incluidas en el proyecto, las instancias de control y monitoreo a definir, las pruebas de validación previas a que el sistema sea puesto en productivo, etc.

Dentro de esta gobernanza es necesario incluir algunos principios éticos, los cuales podemos resumir en los siguientes:

Beneficencia: tener en cuenta el bien común a medida que se desarrolla la IA, con especial atención a la sostenibilidad, cooperación y apertura.

Fiabilidad y robustez: los sistemas de IA deben operar dentro de los parámetros de diseño, hacer predicciones y tomar decisiones consistentes y repetibles.

Legalidad: todas las partes interesadas, en cada etapa del ciclo de vida de un sistema IA, deben obedecer la ley y cumplir con todas las reglamentaciones pertinentes.

Agencia humana: para niveles más altos de riesgo ético, permitir una mayor supervisión e intervención humana en las operaciones de los modelos de IA.

Privacidad: cuando se utilizan los datos de las personas para diseñar y operar soluciones de IA, se debe informar a las personas sobre qué datos se recopilan y cómo se utilizan.

Responsabilidad: a alguien se le debe asignar la responsabilidad de las implicaciones éticas del uso o mal uso de los modelos de IA.

Justicia: diseñar y operar la IA para que no muestre prejuicios contra grupos o individuos.

Interpretabilidad: los proceso de IA deberían poder explicar su proceso general de toma de decisiones y, en caso de alto riesgo, explicar cómo hicieron predicciones específicas o eligieron ciertas acciones.

Seguridad: los sistemas de IA y los datos que contienen deben protegerse de las amenazas cibernéticas, incluidas las herramientas de IA que operan a través de terceros o están basadas en la nube.

En resumen, la automatización y herramientas como RPA e IA han venido para quedarse, lo importante es que los auditores podamos realmente dimensionar los riesgos que estas nuevas tecnologías generan en las organizaciones a las cuales auditamos.

LIBROS DEL AUTOR DE ESTE ARTÍCULO EN AMAZON

Guía para Gestionar un Departamento de Auditoría Interna de Alto Rendimiento

Liderazgo y Administración: El Barco – El desafío de hacer llegar a su empresa hacia el éxito

Javier Fernando Klus, MBA, CIA.

Javier Klus fue gerente de auditoría en PwC Argentina con más de 20 años de experiencia profesional trabajando en la evaluación de entornos de control interno para empresas líderes en la industria energética. Se ha especializado en la evaluación de riesgos y controles y en el diseño e implementación de controles para el ciclo de adquisiciones. También ha liderado compromisos importantes en las áreas de revisiones de sistemas de implementación previas y posteriores; diseño e implementación de políticas y procedimientos para el área financiera, evaluación de riesgos y control de ERP y proyectos de preparación de Sarbanes Oxley. Especialidades: Auditoría de Sistemas y Procesos, Gestión de Proyectos, Auditoría Interna, Cumplimiento SARBOX y AntiFraude. Colaborador de Auditool.