Qué deben exigir las juntas directivas de la IA: evaluación, auditoría y garantía

Por Erika Fille T. Legara

EN UN ARTÍCULO ANTERIOR de BusinessWorld, argumenté que la gobernanza de IA va más allá de supervisar un puñado de proyectos tecnológicos y ahora abarca garantizar que las decisiones impulsadas por IA en toda la organización permanezcan alineadas con la estrategia, el apetito de riesgo y los estándares éticos. Una pregunta natural de seguimiento para las juntas directivas es: más allá de establecer expectativas, ¿cómo verifica una organización que sus sistemas de IA realmente están funcionando según lo previsto, de manera responsable y dentro de los límites definidos?

La respuesta se encuentra en tres disciplinas relacionadas pero distintas: evaluación de riesgo de IA, Auditoría de contratos inteligentes de IA y aseguramiento de IA. Las juntas familiarizadas con la supervisión financiera encontrarán la lógica intuitiva. El desafío, y la oportunidad, es aplicar esa misma disciplina a la IA.

3 CONCEPTOS DISTINTOS PERO RELACIONADOS
Ayuda ser preciso sobre lo que significa cada término, porque a menudo se usan indistintamente cuando no deberían.

La evaluación de riesgo de IA es el proceso interno mediante el cual una organización identifica, evalúa y prioriza los riesgos asociados con sus sistemas de IA. Pregunta qué podría salir mal, qué probabilidad tiene y cuál sería el impacto. Esta es la base sobre la cual descansa todo lo demás. Sin una evaluación de riesgo creíble, ni la auditoría ni el aseguramiento tienen una línea base significativa desde la cual trabajar. Los sistemas materiales de IA existen en todos los sectores: un modelo de puntuación crediticia en un banco, una herramienta de triaje de pacientes en un hospital, un predictor de rendimiento estudiantil en una universidad, un sistema de priorización de casos en una agencia gubernamental. Lo que comparten es la consecuencia, que incluye resultados que afectan a personas reales de maneras significativas.

Para cualquier sistema de este tipo, la evaluación de riesgo debe ser sistemática, documentada y revisada regularmente a medida que el modelo evoluciona y el entorno operativo cambia.

La Auditoría de contratos inteligentes de IA es el examen independiente de si un sistema de IA, o el marco de gobernanza que lo rodea, se ajusta a estándares, políticas o requisitos definidos. Es un proceso basado en evidencia realizado por una parte suficientemente independiente de los responsables del sistema bajo revisión. Una Auditoría de contratos inteligentes de IA podría evaluar si las prácticas de gestión de IA de una organización se ajustan a un estándar internacionalmente reconocido, como ISO/IEC 42001, el primer estándar mundial de sistema de gestión de IA publicado en 2023, o si un modelo específico está funcionando dentro de parámetros aprobados y sin sesgos no intencionados. Importantemente, el estándar que rige a los propios auditores, ISO/IEC 42006, publicado en julio de 2025, ahora establece la competencia y el rigor requeridos de los organismos que auditan y certifican sistemas de gestión de IA. La profesión de auditoría, en otras palabras, está comenzando a formalizar su propia responsabilidad para compromisos de IA.

El aseguramiento de IA es la conclusión formal, orientada a las partes interesadas, que emerge de ese proceso de auditoría. Es la opinión profesional, emitida por una parte cualificada e independiente, que brinda a las juntas directivas, reguladores, inversores y al público confianza de que un sistema de IA o un marco de gestión de IA cumple con un estándar definido. El aseguramiento es lo que transforma una revisión interna en una señal externa creíble.

FUNDAMENTACIÓN DEL ASEGURAMIENTO DE IA
El concepto de aseguramiento independiente no es nuevo para las juntas directivas. Cada año, los auditores externos examinan los estados financieros de una organización y emiten una opinión; una conclusión basada en evidencia, realizada bajo estándares internacionalmente reconocidos y respaldada por la independencia profesional del auditor. Esa opinión tiene peso precisamente porque el marco que la rige es riguroso y está bien establecido. Esta lógica se aplica independientemente de la industria; ya sea que la organización sea un banco, un hospital, un conglomerado o una institución pública, la auditoría financiera es un mecanismo familiar y confiable.

La misma lógica ahora se aplica a la IA. Cuando una organización hace una afirmación pública o regulatoria sobre sus sistemas de IA, que son justos, transparentes, cumplen con un estándar definido o están libres de sesgos materiales, la pregunta es: ¿quién valida independientemente esa afirmación y bajo qué marco profesional?

La respuesta, para la profesión contable y de auditoría, es ISAE 3000, la Norma Internacional sobre Compromisos de Aseguramiento emitida por el Consejo de Normas Internacionales de Auditoría y Aseguramiento (IAASB). ISAE 3000 rige los compromisos de aseguramiento sobre asuntos distintos de la información financiera histórica, convirtiéndola en el lugar natural para el aseguramiento de IA. Bajo esta norma, un profesional puede realizar un compromiso de aseguramiento razonable, el estándar más alto análogo a una auditoría financiera, o un compromiso de aseguramiento limitado, que es más cercano en profundidad a una revisión. La elección del nivel importa y debe ser deliberada, calibrada a la materialidad y el riesgo del sistema de IA en cuestión.

Un paralelo contemporáneo cercano es el aseguramiento de sostenibilidad o ESG. Muchas empresas filipinas cotizadas ya están comisionando aseguramiento independiente sobre sus divulgaciones de sostenibilidad, a menudo bajo ISAE 3000. La mecánica es exactamente la misma: un practicante independiente examina un conjunto de afirmaciones contra criterios definidos y emite una conclusión formal. La materia difiere; la disciplina profesional no.

LO QUE ESTO SIGNIFICA PARA LAS JUNTAS DIRECTIVAS
Tres implicaciones prácticas se derivan de este marco.

Primero, las juntas directivas deben preguntar si sus organizaciones han realizado evaluaciones de riesgo rigurosas de IA en sistemas materiales. No un ejercicio único, sino un proceso vivo que se actualiza a medida que los modelos se reentrenan, los casos de uso se expanden y el entorno regulatorio evoluciona. La calidad del trabajo de auditoría y aseguramiento posterior es solo tan buena como la evaluación de riesgo que lo precede.

Segundo, las juntas directivas deben distinguir entre Auditoría de contratos inteligentes de IA interna y externa. Las funciones de auditoría interna juegan un papel crítico en proporcionar aseguramiento de que los controles de IA operan según lo diseñado. Sin embargo, las juntas también deben considerar si está justificada una auditoría independiente de Terceros de sistemas materiales de IA, particularmente para sistemas que affectan a clientes, empleados o al público de maneras consecuentes. Como con la auditoría financiera, la independencia fortalece la credibilidad.

Tercero, a medida que las organizaciones hacen cada vez más compromisos públicos sobre sus prácticas de IA ante reguladores, inversores y las comunidades a las que sirven, las juntas directivas deben preguntar si esos compromisos están respaldados por aseguramiento creíble. Las afirmaciones sin validación independiente son, en el mejor de los casos, un riesgo reputacional esperando materializarse.

UNA PROFESIÓN QUE AÚN ESTÁ CONSTRUYENDO SUS CAPACIDADES
Sería incompleto presentar este panorama sin reconocer sus limitaciones actuales. La infraestructura para el aseguramiento de IA aún se está construyendo. Los estándares profesionales están emergiendo. Las competencias de los auditores en IA, que abarcan aprendizaje automático, sesgo algorítmico, gobernanza de datos y transparencia de modelos, aún no están desarrolladas uniformemente en toda la profesión. ISAE 3000 proporciona el marco de aseguramiento, pero las metodologías específicas de IA que se encuentran dentro de él aún están madurando.

Para las organizaciones que aún no están listas para buscar aseguramiento formal, esta no es una razón para quedarse quietas. Una evaluación estructurada y regular de los sistemas materiales de IA es un primer paso significativo y práctico. Construye la disciplina interna, la documentación y los hábitos de gobernanza que la preparación para el aseguramiento eventualmente requiere. Las juntas que comisionan tales evaluaciones hoy, incluso informalmente, están desarrollando músculo institucional que importará cuando las expectativas regulatorias se endurezcan y el escrutinio de las partes interesadas se intensifique.

Esta visión es una que he explorado más profundamente en investigaciones que he estado desarrollando con colegas examinando la gobernanza de IA generativa en economías donde la regulación aún no ha alcanzado a la tecnología. El argumento central es que las firmas ya son agentes morales con obligaciones éticas existentes hacia sus partes interesadas; esperar legislación de IA a medida no es ni necesario ni suficiente para una gobernanza responsable. La obligación de actuar ya está ahí. Lo que se necesita es la voluntad organizacional para operacionalizarla.

Esta no es una razón para que las juntas esperen en la agenda más amplia. Es una razón para hacer preguntas informadas ahora, a sus auditores externos, sus funciones de auditoría interna y sus equipos de gestión, para que cuando las capacidades de la profesión alcancen la demanda, sus organizaciones estén listas para comprometerse significativamente.

La auditoría financiera no surgió completamente formada. Tomó décadas de establecimiento de estándares, desarrollo profesional y duras lecciones de fracasos corporativos para que la auditoría independiente se convirtiera en la institución creíble que es hoy. El aseguramiento de IA está en un punto de inflexión temprano comparable. Las juntas que se involucren con él ahora, hagan preguntas más agudas a sus auditores, exijan más que afirmaciones de gestión y construyan capacidades internas antes de que los reguladores las requieran, no solo reducirán su propia exposición. Ayudarán a dar forma a lo que se ve como responsabilidad de IA responsable para las organizaciones filipinas y la región más amplia.

Erika Fille T. Legara es física, educadora y practicante de ciencia de datos e IA que trabaja en gobierno, academia e industria. Es la directora gerente inaugural y directora de IA y datos del Centro de Educación para la Investigación en IA, y profesora asociada y presidenta Aboitiz en Ciencia de Datos en el Instituto Asiático de Gestión, donde fundó y dirigió el primer programa de Maestría en Ciencia de Datos del país de 2017 a 2024. Forma parte de juntas directivas corporativas, es miembro del Instituto de Directores Corporativos, una Profesional Certificada en Gobernanza de IA por IAPP y cofundadora de CorteX Innovations.