Page 41 - Auditoría Pública Nº 85
P. 41
Hacia el uso inteligente de la Inteligencia Artificial en la Auditor-IA: Sin Gobierno del Dato, no hay paraíso. Algunas reflexiones para no perecer en el intento
Citemos algunos aspectos que debemos conocer de reflexionar en qué estadio nos encontramos. Si bien no
nuestra organización antes de embarcarnos en este es aconsejable pecar de optimista, aunque no estemos
viaje: plenamente preparados para acometer los cambios ne-
cesarios, tampoco podemos permanecer inactivos: los
¡ Cómo estamos en cuanto a sistemas de seguri- grandes espacios de datos (en apenas una década), y la
dad, implantados, en curso de implantación y/o pro- IA (en los últimos tres años), lo han cambiado todo. La
gramados. ENS (y NIS 2 ). Ni que decir tiene que los auditoría ya no es –sólo– lo que era, y probablemente
3
2
recursos destinados a este campo han experimenta- nunca vuelva a serlo.
do un fuerte incremento. Iniciar el camino de la audi-
toría y acreditación en el ENS de diversos sistemas
en el seno de cada OCEX puede ser una buena prác- 3. La evaluación de riesgos como
tica de cara a no quedar a la zaga en cuestiones de enfoque sistémico.
ciberseguridad en nuestras organizaciones, que re-
quieren una actividad proactiva de seguridad por de- Todos los cambios exigen respuestas. No hacer, ni de-
fecto. En eso andamos en la Sindicatura, inicialmen- cidir nada, también es una manera –ineficiente, eso sí–
te con un Plan director de sistemas y tecnologías de de afrontar los problemas. Valorar los riesgos que cada
la información, y después con un Plan de adecuación actitud –activa o pasiva– conlleva, puede ayudar a tomar
al ENS, que luego ha incorporado las previsiones, la decisión adecuada, o, cuando menos, evitar males ma-
aun no vinculantes, pero recomendables, de las NIS yores.
2: hay que ir adelantando faena.
El acceso a los datos, su gestión, tratamiento y explo-
¡ Cuál es el grado de madurez del personal en la tación representan riesgos ciertos y concretos, princi-
utilización de aplicaciones, también en herramientas palmente legales, pero sobre todo de seguridad, que
de IA . Detectar carencias, iniciativas de innovación, hay que contemplar, antes de decidir como innecesario
4
pero también, y, sobre todo, hacer prevalecer la sen- el disponer de un gobierno de datos en el seno de un
satez y las prácticas seguras, nos marcará las nece- OCEX. Las bases de datos, masivas y complejas, son
sidades de información, formación y concienciación hoy la fuente primordial y casi única de las evidencias de
necesarias en ese camino. auditoría. No parece cuestionable la necesidad de contar
con un inventario preliminar de conjuntos de datos de
¡ La situación de la realidad en materia de intero- utilidad para la actividad auditora, so pena de devaluar el
perabilidad. Se avanza muy lentamente en algo que alcance de esta y hacerla ineficiente.
debe generar un acceso más amplio, racional y segu- Una categorización y catalogación de riesgos, en sus
ro a los datos de la actividad de los cuentadantes, fa- distintos niveles, resulta de ayuda a la hora de abordar
cilitando a estos la labor de rendición y normalizando la necesidad de disponer de un plan, o de aprobar una
los estándares de control y seguimiento de las fisca- norma. También en cuanto a los datos y la IA que, sí o sí,
lizaciones. ¿Estamos preparados para ello? Es más, interactúan con la función fiscalizadora. Analizar riesgos
¿somos plenamente interoperables con nosotros y evaluar impactos ayuda, en definitiva, a tomar la “deci-
mismos? ¿Tenemos plenamente integradas todas sión correcta”.
nuestras aplicaciones y herramientas? ¿Tenemos un
sistema o sistemas que las gobiernen? En todo caso, se trata de una tarea de reflexión en el
seno de cada OCEX, a partir de la cual, afrontar cada uno
Son estos solo algunos aspectos a tener en cuenta y su propio PEGODA.
2 Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad. https://www.boe.es/buscar/doc.php?id=BOE-A-2022-7191
3 Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 relativa a las medidas destinadas a garantizar un elevado nivel común de ciber-
seguridad en toda la Unión, por la que se modifican el Reglamento (UE) nº 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva
SRI 2). Por cierto, directiva pendiente de trasposición española, pese a haber expirado el plazo concedido: https://www.boe.es/buscar/doc.php?id=DOUE-L-2022-81963
4 Hay diversos test en el mercado especializado. Una referencia (por cierto, “visión realizada con IA”, y que al final señala que “La IA generativa es experimental. Para obtener
asesoramiento jurídico, consulta a un profesional” anuncia la página, en: https://www.google.com/search?q=test+de+madurez+inteligencia+artificial+organizacion&sca_
esv=69d96dd121669555&rlz=1C1GCEU_esES1114ES1114&sxsrf=AHTn8zqd_K-GhFL485G1hGjo0W4rokqHag%3A1745786553636&ei=uZYOaJTUJrKI7NYP8823gAM&ve-
d=0ahUKEwjUlIjbifmMAxUyBNsEHfPmDTAQ4dUDCBA&uact=5&oq=test+de+madurez+inteligencia+artificial+organizacion&gs_lp=Egxnd3Mtd2l6LXNlcnAiNHRlc3QgZ-
GUgbWFkdXJleiBpbnRlbGlnZW5jaWEgYXJ0aWZpY2lhbCBvcmdhbml6YWNpb24yBRAhGKABMgUQIRigAUibTVCADVjkS3ACeACQAQCYAdoBoAH6J6oBBjAuMzcuMbg-
BA8gBAPgBAZgCJ6AC9CjCAgoQABiwAxjWBBhHwgIEECMYJ8ICBhAAGBYYHsICCBAAGIAEGKIEwgIFEAAY7wXCAggQABiiBBiJBcICBRAhGJ8FwgIHECEYoAEYCsICB-
BAhGBWYAwCIBgGQBgiSBwYyLjM2LjGgB66-AbIHBjAuMzYuMbgH4yg&sclient=gws-wiz-serp
41
