La escena es cada vez más frecuente: llegas a revisar provisiones, deterioros o contratos, y el cliente te muestra resúmenes impecables “hechos con IA”. Hay cifras, conclusiones y hasta notas de soporte… pero faltan los insumos: ¿cuál fue el prompt? ¿de dónde salieron los datos? ¿quién validó el resultado? Los auditores financieros, no pueden aceptar una caja cerrada. Necesitan trazabilidad, reproducibilidad y juicio humano documentado. 

Primero, entiende cómo intervino la IA generativa en el proceso: ¿resumió contratos? ¿clasificó pólizas? ¿estimó supuestos de una provisión? Identificar el rol del modelo te permite evaluar el riesgo de incorrección material (NIA 315) y diseñar respuestas (NIA 330). No es lo mismo usar IA para redactar un memo que para derivar la tasa de pérdida esperada. 

Segundo, exige trazabilidad mínima de la gerencia: 

• Prompt y versión del modelo (fecha, configuración, proveedor). 

• Fuentes de datos utilizadas (internas/externas) y su calidad. 

• Validación humana competente: quién revisó, con qué criterios y qué discrepancias corrigió. 

Sin estos elementos, la salida del modelo es solo un texto pulido, no evidencia de auditoría suficiente y adecuada (NIA 500). 

Tercero, aplica prueba paralela en una muestra dirigida por riesgo. Si la IA clasificó 10.000 contratos, toma una muestra estratificada y reproduce el procedimiento con métodos alternos (lectura dirigida por atributos, analítica con reglas, revisión legal cuando corresponda). Compara concordancia, cuantifica diferencias y documenta su causa: sesgo del modelo, datos incompletos, interpretación ambigua. La IA puede acelerar, pero el anclaje de verdad lo fija tu contraste independiente. 

Cuarto, trata los resultados generados por IA como estimaciones con incertidumbre cuando impactan saldos relevantes (NIA 540): identifica supuestos críticos, evalúa sensibilidad plausible y realiza back-testing cuando haya histórico. Si la gerencia cambia de metodología justo cuando el resultado sería adverso, aumenta el escepticismo: pide justificación técnica, mide el efecto del cambio y considera el sesgo de gerencia. 

Quinto, revisa gobernanza y controles alrededor de la IA: 

• Aprobación de uso (qué casos están permitidos y cuáles prohibidos). 

• No retención de datos y confidencialidad con el proveedor (riesgo de exponer información sensible del cliente). 

• Control de cambios en prompts y plantillas (evita “prompts” volátiles que generen resultados inconsistentes). 

• Registro de ejecuciones relevantes (quién, cuándo, para qué). 

Estos controles ayudan a sostener la fiabilidad de la evidencia y reducen el riesgo legal y reputacional. 

Sexto, atiende los riesgos cualitativos propios de la IA generativa: alucinaciones (respuestas plausibles, pero falsas), sesgos (por datos de entrenamiento), falta de contexto (errores de interpretación de cláusulas), privacidad y propiedad intelectual de las fuentes. Tu papel es convertir esos riesgos en procedimientos: corroboración con documentos fuente, confirmaciones externas cuando aplique, y revelaciones específicas si la incertidumbre es significativa. 

Séptimo, documenta con disciplina (NIA 230): deja clara la relación riesgo → respuesta → evidencia → conclusión. Adjunta prompts relevantes, capturas de fuentes, resultados de pruebas paralelas, criterios de validación y, si corresponde, motivos para ampliar la muestra o modificar la estrategia. Si la dirección utiliza expertos o herramientas especializadas, evalúa su competencia y objetividad (NIA 620). 

Por último, evalúa el efecto en el informe. Cuando estimaciones soportadas por IA conllevan incertidumbre material, promueve revelaciones comprensibles: metodología, supuestos clave, límites del modelo y rango de resultados razonables. Si la evidencia es insuficiente o la gerencia no coopera, valora el impacto (párrafo de énfasis o modificación). 

La IA generativa puede ser una gran aliada para el cliente y para tu equipo. Pero en auditoría, la velocidad no sustituye la sustancia. La regla práctica es simple: si puedes rastrear, reproducir y contrastar, puedes confiar. Si no, amplía tus pruebas… o no la aceptes como evidencia.