En muchas compañías, la inteligencia artificial ya se usa a diario para resumir contratos, redactar correos, preparar presentaciones, analizar bases de datos o “dar ideas” para decisiones operativas. El problema es que gran parte de ese uso ocurre sin controles, sin lineamientos, sin trazabilidad y, peor aún, con información sensible. A ese fenómeno se le conoce como “IA en la sombra”: uso de herramientas de IA por fuera de los canales aprobados, sin gobierno y sin evidencia de revisión. 

Para auditoría interna, este tema está en auge porque es un riesgo transversal: toca confidencialidad, cumplimiento, calidad de decisiones, ciberseguridad, reputación y continuidad operativa. Y lo más crítico: suele crecer silenciosamente hasta que aparece un incidente. 

Por qué a auditoría interna le debe importar 

Según el IIA, la auditoría interna debe enfocarse en los riesgos emergentes que afectan la gobernanza, el control interno y la gestión de riesgos, especialmente cuando nuevas tecnologías cambian procesos y decisiones. En la práctica, la “IA en la sombra” hace exactamente eso: cambia cómo se trabaja, cómo se decide y cómo se documenta, pero sin el marco de control que normalmente exigirías. 

Además, marcos como el NIST AI Risk Management Framework (AI RMF) enfatizan que el riesgo de IA no es solo técnico: incluye confiabilidad, seguridad, privacidad y gobernanza. Traducido a auditoría interna: si la organización usa IA sin control, puede terminar con decisiones “bonitas” pero incorrectas, fugas de datos o incumplimientos por tratamiento de información. 

Señales típicas de “IA en la sombra” que sí puedes detectar 

1. Documentos “demasiado perfectos” sin fuentes: políticas, procedimientos o análisis sin trazabilidad, sin anexos, sin respaldo. 

1. Uso de cuentas personales: equipos que trabajan con IA desde correos personales o aplicaciones no aprobadas. 

1. Copiar y pegar datos sensibles: fragmentos de contratos, bases de clientes, precios, nóminas, incidentes, casos legales. 

1. Decisiones basadas en “lo que dijo la IA”: sin validación humana formal ni método alterno. 

1. Áreas con más presión de tiempo: comercial, servicio al cliente, finanzas, compras, legal, talento humano. 

Qué auditar: un programa simple y efectivo en 4 frentes 

1) Gobernanza y reglas claras 

Aquí la pregunta no es si la empresa “usa IA”, sino si la gobierna. Según las Normas Globales de Auditoría Interna del IIA, auditoría interna evalúa la eficacia de la gobernanza y del control interno; por eso, debe existir como mínimo: política de uso, roles responsables, aprobaciones, capacitación y consecuencias por incumplimiento.
Pruebas sugeridas: revisa si hay lineamientos escritos, si el comité de riesgos/tecnología lo ha tratado, y si existe un inventario de herramientas autorizadas. 

2) Datos: qué se sube, quién lo hace y con qué protección 

Este es el corazón del riesgo. Si no hay reglas de clasificación de información aplicadas al uso de IA, el control interno se rompe. Marco como ISO/IEC 27001 (seguridad de la información) refuerza la necesidad de controlar acceso, tratamiento y protección de datos; en IA, eso se traduce en impedir que información confidencial termine en canales no aprobados.
Pruebas sugeridas: toma muestras de procesos (por ejemplo: contratos, PQRS, conciliaciones, minutas, informes) y verifica si hubo uso de IA y si existió anonimización, enmascaramiento o restricción de datos. 

3) Seguridad y tecnología: accesos, registros y prevención de fugas 

La auditoría interna no necesita volverse técnica, pero sí debe exigir controles medibles: autenticación, gestión de accesos, herramientas corporativas aprobadas, y monitoreo básico. El enfoque del NIST sobre gestión de riesgos ayuda a sostener algo clave: si no hay registro y control, no hay forma de responder a incidentes ni de probar diligencia.
Pruebas sugeridas: valida si TI bloquea o permite herramientas no autorizadas, si existe control de salida de datos (por ejemplo, prevención de fuga), y si hay registros de uso en herramientas corporativas. 

4) Calidad del trabajo y del juicio: quién valida la salida de IA 

Aquí se conecta directamente con el valor de auditoría interna: la IA puede producir resultados plausibles y equivocados. Según el enfoque del IIA sobre riesgos emergentes, la respuesta no es prohibir por reflejo, sino asegurar controles: revisión humana competente, criterios de validación y documentación.
Pruebas sugeridas: selecciona 10–20 entregables “asistidos por IA” (reportes, análisis, correos críticos, presentaciones a comité) y revisa si: 

• se conservó evidencia del origen (fuentes), 

• se validó con método alterno, 

• se aprobó por un responsable. 

Recomendaciones concretas que sí se implementan 

• Lista corta de herramientas permitidas (y por qué). Menos es más. 

• Regla simple de datos: “si es confidencial, no se pega en IA pública”. 

• Plantillas de uso seguro: ejemplos de prompts permitidos sin datos sensibles. 

• Validación obligatoria para salidas que afecten decisiones, contratos, cifras, clientes o temas legales. 

• Capacitación por roles: ventas no necesita lo mismo que finanzas o legal. 

• Controles de prevención de fuga en endpoints y navegadores, cuando aplique. 

Conclusión 

La “IA en la sombra” no es un tema de moda: es un riesgo operativo real que ya está ocurriendo en la mayoría de organizaciones, incluso sin aprobación formal. Y por eso es un terreno natural para auditoría interna: gobernanza, control interno, riesgo y evidencia. Si tu auditoría logra convertir este fenómeno invisible en un mapa claro de herramientas, datos y controles, vas a prevenir incidentes antes de que aparezcan en titulares. Según el enfoque del IIA sobre el rol de auditoría interna en riesgos emergentes, ese es exactamente el tipo de impacto que hoy se espera de la función.