Page 46 - Auditoría Pública Nº 85
P. 46

REVISTA AUDITORÍA PÚBLICA / 85






            externos, para asegurar el cumplimiento de los obje-  ¡   ¿Qué directrices deben contener esas normas
            tivos fijados por el respectivo PEGODA, de acuerdo   de uso de la IA? Los mensajes y procedimientos de-
            con el cronograma programado.                       ben ser claros y precisos, para generar en el personal
                                                                los comportamientos homogéneos y documentados
                                                                que minimicen riesgos y que, a su vez, no afecten
                                           28
         5.  La regulación del uso de la IA  en los OCEX        negativamente al contenido de los trabajos en que se
            y el libre albedrío de su personal .                haya utilizado.
                                               29
         Siguiendo el esquema que hemos propuesto en estas   Así pues, aportamos nuestra modesta experiencia en la
         reflexiones, lo primero es tener un gobierno del dato,   materia:
         como acabamos de apuntar; lo segundo (por desgracia,
         en algunos casos nos puede encontrar sin tenerlo toda-  5.1. Primero abordar el Análisis de riesgos:
         vía preparado) es cómo afrontar el uso de la IA en los tra-
         bajos de auditoría en un OCEX. Algunas reflexiones para   En el caso de la Sindicatura, antes de las propias Normas,
         abordar, sin demasiados riesgos, esta óptica novedosa:  para su justificación, elaboramos un análisis de riesgos
                                                             del uso de las propias herramientas de IA, Sucintamente:
            ¡   El PEGODA prevé la incorporación de la IA, pero   En primer lugar, se han analizado los procesos de ges-
            no es suficiente. Hace falta regular, pero sobre todo   tión y tratamientos de datos personales de la Sindicatu-
            concienciar y propiciar buenas prácticas, para minimi-  ra (SC). Ninguno de ellos cumple los requisitos para ser
            zar riesgos latentes detectados en el análisis previo.  considerado un tratamiento de alto riesgo del artículo 6
                                                             del RIA, ya que no está previsto utilizar la IA para pro-
            ¡   La seguridad debe ser la incuestionable premi-  cesos de selección y contratación de personas, ni para
            sa: seguridad de inicio a fin, lan to lan.       tomar decisiones de índole laboral (Anexo I y III).
                                                             Después, se han analizado los riesgos sobre:
            ¡   En cuanto al procedimiento del uso de la IA en
            las auditorias: recordar el escepticismo profesional   ¡  los derechos de las personas derivados del uso
            y la supervisión humana como principios innegocia-      de datos personales gestionados por la SC.
            bles para permitir entrar a la IA en el negocio de la
            auditoría.                                          ¡  los datos confidenciales o restringidos gestiona-
                                                                    dos por la SC.
            ¡   A la hora de prever una normativa de esta natu-
            raleza, se han de considerar las limitaciones intrínse-  ¡  los derechos de propiedad en datos e informa-
            cas que la IA debe comportar por su uso directo en      ción gestionados por la SC.
            la elaboración de Informes de auditoría, ya que se
            trata, en definitiva, de herramientas analíticas, que   ¡  riesgos específicos derivados del uso de herra-
            no proporcionan evidencias suficientes, y no pueden     mientas de IA: Responsabilidad, respeto a los de-
            obviar la supervisión humana para validar sus datos     rechos humanos, transparencia, trazabilidad, equi-
            o conclusiones. En todo caso, el auditor responsable    dad y no discriminación, sesgos, incumplimiento
            debe comprobar la adecuación del uso de la IA que       normativo.
            se haya utilizado en cada trabajo, y así deberá constar
            en los papeles de trabajo.                       Los riesgos se han agrupado en dos bloques y asignado
                                                             probabilidades de ocurrencia en función de las medidas
            ¡   Algunas dudas e incertidumbres que surgen en   de protección existentes en cada tipo de sistema de IA,
            el proceso de reflexión sobre el uso de la IA en la fis-  considerando dos tipos:
            calización: ¿qué fuentes de conocimiento entrena la
            IA generativa en el ámbito de la auditoría? Debemos   ¡  Sistemas de IA contratados por la SC en los que
            valorar el posible riesgo de que los datos del OCEX   el proceso de contratación garantiza que existan cláu-
            puedan alimentar, a través de las herramientas que   sulas contractuales de protección de datos adaptadas
            tenemos contratadas en cada momento, el propio      al RGPD y LOPDGDD, así como garantías de que el
            sistema de IA del que nos servimos, no solo noso-   proveedor aplica las medidas de protección de TI en
            tros, sino también terceros.                        sus sistemas de información establecidos por el ENS.



         28   A tener en cuenta el REGLAMENTO (UE) 2024/1689 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 13 de junio de 2024, por el que se establecen normas armo-
         nizadas en materia de inteligencia artificial (en adelante RIA): https://www.boe.es/buscar/doc.php?id=DOUE-L-2024-81079
         29   Sin perder de vista el respectivo Código Ético de cada OCEX. El de la Sindicatura, accesible en https://www.sindicom.gva.es/codigo-de-etica


          46
   41   42   43   44   45   46   47   48   49   50   51