IA en la sombra: una preocupación creciente para los auditores

Un riesgo emergente en la adopción de inteligencia artificial

La adopción acelerada de herramientas de inteligencia artificial generativa ha transformado la forma en que las organizaciones trabajan, analizan información y producen contenido. Sin embargo, junto con sus beneficios también ha surgido un riesgo emergente que merece especial atención desde la perspectiva de gobierno corporativo, control interno, seguridad de la información y auditoría: la denominada IA en la sombra, o Shadow AI.

¿Qué es la IA en la sombra?

La IA en la sombra puede entenderse como el uso de herramientas de inteligencia artificial por parte de empleados, directivos, consultores o contratistas sin conocimiento, autorización o supervisión formal de la organización. Este fenómeno ocurre cuando los colaboradores recurren a aplicaciones de IA para mejorar su productividad, redactar documentos, analizar datos, generar reportes, automatizar tareas o preparar presentaciones, sin que dichas herramientas hayan sido evaluadas previamente por las áreas de tecnología, cumplimiento, seguridad de la información, auditoría interna o gestión de riesgos.

Algunos ejemplos frecuentes incluyen el uso de herramientas como ChatGPT, Gemini, Claude o Copilot mediante cuentas personales; la carga de información confidencial en plataformas externas; la generación de análisis financieros o reportes preliminares con herramientas no autorizadas; la automatización de procesos mediante aplicaciones de IA sin aprobación formal; o la creación de agentes de IA conectados a bases de datos corporativas sin controles adecuados.

Una brecha de comportamiento humano, no solo tecnológica

Más que un problema técnico aislado, la IA en la sombra representa una brecha de comportamiento humano. En muchos casos, los colaboradores no actúan con mala intención, sino con el objetivo de ser más eficientes. No obstante, cuando ese uso se realiza sin lineamientos, sin trazabilidad y sin controles, puede abrir la puerta a riesgos significativos para la organización.

Principales riesgos para la organización

Desde la perspectiva de auditoría, la IA en la sombra introduce varios riesgos relevantes.

Riesgo de fuga de información

Uno de los principales riesgos es la posible fuga de información. Los usuarios pueden ingresar en plataformas externas estados financieros, información de clientes, datos personales, estrategias corporativas, contratos, informes internos o información protegida por acuerdos de confidencialidad.

Esto puede generar incumplimientos frente a leyes de protección de datos, regulaciones sectoriales, cláusulas contractuales, políticas internas de seguridad y deberes profesionales de confidencialidad. Ante este riesgo, el auditor debería preguntarse si existen controles que impidan, restrinjan o monitoreen la transferencia de información sensible hacia herramientas de IA externas.

Riesgo de decisiones basadas en información incorrecta

Otro riesgo importante es el de decisiones basadas en información incorrecta. Los modelos de IA pueden producir respuestas inexactas, hallazgos inexistentes, interpretaciones erróneas, datos ficticios o referencias normativas incorrectas.

Cuando los usuarios confían en estos resultados sin validación humana, la organización puede terminar tomando decisiones empresariales, financieras, legales o regulatorias sobre bases equivocadas. En este punto, el auditor debe evaluar si existe un proceso formal de revisión y validación de los resultados generados por IA antes de que sean utilizados como insumo para decisiones relevantes.

Riesgo de incumplimiento regulatorio

También existe un riesgo de incumplimiento regulatorio. Sectores altamente regulados, como el financiero, salud, gobierno, seguros, auditoría y contabilidad, pueden enfrentar consecuencias relevantes si procesan información protegida mediante herramientas no autorizadas o si utilizan sistemas de IA sin una evaluación previa de cumplimiento.

El auditor debería verificar si la organización ha identificado los requisitos legales, regulatorios y contractuales aplicables al uso de inteligencia artificial.

Riesgo de sesgo y discriminación

La IA en la sombra también puede generar riesgos de sesgo y discriminación. Los algoritmos pueden producir recomendaciones influenciadas por datos incompletos, históricos o sesgados, especialmente en procesos relacionados con contratación de personal, evaluación de desempeño, otorgamiento de créditos, selección de proveedores o segmentación de clientes.

Esto puede traducirse en riesgos éticos, legales y reputacionales. Por ello, el auditor debe indagar si la organización cuenta con controles para identificar, revisar y mitigar posibles sesgos en el uso de herramientas de IA.

Riesgo de ausencia de trazabilidad

Otro aspecto crítico es la ausencia de trazabilidad. Cuando la IA se utiliza informalmente, normalmente no existen registros de las herramientas utilizadas, no se documentan los datos introducidos, no se conservan los prompts, no se evidencia la revisión humana y no queda claro cómo se llegó a determinada conclusión.

Esta falta de trazabilidad dificulta auditorías posteriores, investigaciones internas, revisiones regulatorias y procesos de rendición de cuentas.

Señales de alerta para los auditores

En este contexto, los auditores deben prestar atención a ciertas señales de alerta que podrían indicar la existencia de IA en la sombra dentro de la organización. Entre ellas se encuentran el uso frecuente de cuentas personales para tareas laborales, informes con redacción excesivamente homogénea o automatizada, incrementos repentinos de productividad sin cambios formales en procesos, tráfico hacia plataformas públicas de IA, uso de extensiones de navegador no autorizadas, automatizaciones desconocidas por el área de tecnología, integraciones mediante API no aprobadas o procesos operativos que dependen de herramientas externas no registradas.

Elementos de un programa de auditoría sobre IA en la sombra

Frente a este panorama, un programa de auditoría orientado a evaluar el riesgo de IA en la sombra debería considerar, al menos, cinco dimensiones.

Gobierno corporativo

La organización debería contar con una política corporativa sobre el uso de IA, roles y responsabilidades claramente definidos, criterios de aprobación de herramientas y una instancia responsable de supervisar su adopción.

Gestión de riesgos

Debe existir una identificación formal de los riesgos asociados al uso de IA, un inventario actualizado de herramientas autorizadas, una evaluación periódica de proveedores y criterios claros para clasificar los usos permitidos, restringidos o prohibidos.

Seguridad de la información

La empresa debe definir qué tipo de datos pueden o no pueden ser utilizados en herramientas de IA, establecer controles de acceso, monitorear el uso de plataformas externas y aplicar medidas para evitar la exposición de información confidencial.

Cumplimiento normativo

La organización debe evaluar los requisitos legales, regulatorios y contractuales aplicables, incluyendo protección de datos personales, propiedad intelectual, confidencialidad, secreto profesional, normativa sectorial y obligaciones frente a clientes o terceros.

Capacitación y cultura organizacional

El personal debe recibir formación sobre uso responsable de IA, riesgos de confidencialidad, validación de resultados, límites de uso, reporte de incidentes y consecuencias del uso no autorizado de estas herramientas.

El rol de auditoría frente a la IA en la sombra

La inteligencia artificial ya forma parte del entorno operativo de las organizaciones. Ignorar su uso informal no elimina el riesgo; por el contrario, puede hacerlo más difícil de detectar y controlar. Por ello, las áreas de auditoría, cumplimiento, tecnología y gobierno corporativo deben asumir un rol activo en la identificación, evaluación y supervisión de este fenómeno.

Conclusión

La IA en la sombra no debe abordarse únicamente como un problema tecnológico. Es un riesgo organizacional que combina conducta humana, cultura corporativa, seguridad de la información, cumplimiento normativo y control interno.

Las organizaciones que logren establecer lineamientos claros, controles proporcionales y una cultura de uso responsable estarán mejor preparadas para aprovechar los beneficios de la inteligencia artificial sin comprometer su información, su reputación ni su cumplimiento.

JGutierrez Auditores Consultores S.A.
Auditoría externa | Control interno | Gestión de riesgos | Asesoría fiscal y financiera
www.consultoresjg.com | [email protected] | Tel. +506 2552-5433 | WhatsApp +506 8811-5090

#InteligenciaArtificial #Auditoría #ControlInterno #GestiónDeRiesgos #GobiernoCorporativo

Share This Post
Jorge Gutiérrez Guillén

With over 15 years of experience in auditing and financial consulting, I serve as the founder and managing partner of JGutierrez Auditores Consultores S.A.—a boutique firm dedicated to delivering exceptional, value-driven solutions that consistently exceed industry standards. Our mission is to promote transparency, efficiency, and sustainability by combining international best practices with in-depth knowledge of Costa Rican and regional regulations. We operate under the guiding principles of integrity, innovation, and excellence. Our Expertise At JGutierrez Auditores Consultores, we provide comprehensive audit and consulting services tailored to meet the evolving needs of today’s businesses. Our core areas of specialization include: Financial Audits: Independent evaluations aligned with international standards, ensuring reliability and accuracy in financial reporting. Regulatory Compliance: Expert navigation of complex tax and financial frameworks to ensure full adherence and strategic advantage. Internal Controls: Strengthening governance structures to mitigate risk and boost operational effectiveness. Fraud Prevention: Implementing forward-looking strategies to detect, prevent, and respond to financial irregularities. Process Optimization: Streamlining workflows and improving resource allocation for enhanced productivity and long-term growth. Environmental & Financial Sustainability: Supporting compliance with emerging ESG regulations to reinforce resilience. Information Security: Protecting critical systems and data through robust cybersecurity and risk management measures. Value-Centered Consulting Beyond our audit services, we offer strategic consulting designed to help organizations innovate and compete in an increasingly dynamic environment: Information Systems & Operational Management: Integrating technology and operations to boost performance and scalability. ISO Standards Compliance: Providing expert guidance to achieve and maintain globally recognized certifications. Transfer Pricing Studies: Ensuring compliance with international tax obligations while enhancing cross-border efficiency. Industrial Cost Analysis: Delivering deep insights into cost structures to support sound decision-making and margin improvement. Why Choose JGutierrez Our strength lies in a collaborative, multidisciplinary team that brings together seasoned professionals and next-generation talent, equipped with expertise in emerging technologies. This synergy enables us to deliver innovative, high-impact solutions that support growth, reinforce resilience, and unlock strategic opportunities. As a trusted advisor, I am committed to building lasting partnerships and helping organizations navigate the challenges of today while preparing for the opportunities of tomorrow. Jorge Gutiérrez Guillén Certified Public Accountant | Business Consultant

Related Articles

Leave a comment

Hey, so you decided to leave a comment! That's great. Just fill in the required fields and hit submit. Note that your comment will need to be reviewed before its published.

Traduce »