La Ley de Inteligencia Artificial de la UE (Reglamento (UE) 2024/1689) establece el primer marco regulatorio integral para la inteligencia artificial a nivel mundial. Entró en vigor el 1 de agosto de 2024, con una aplicación escalonada que se extiende hasta 2027.

Contenido

Marco regulatorio de la Ley de IA

La Ley de Inteligencia Artificial de la UE (Reglamento (UE) 2024/1689) establece el primer marco regulatorio integral para la inteligencia artificial a nivel mundial. Entró en vigor el 1 de agosto de 2024, con una aplicación escalonada que se extiende hasta 2027.
El reglamento adopta un enfoque basado en riesgo, clasificando los sistemas de IA en cuatro categorías principales según su potencial de causar daño. Esta clasificación determina las obligaciones específicas para proveedores y usuarios de sistemas de IA.

Calendario de aplicación


Las obligaciones principales entran en vigor según el siguiente cronograma:

Autoridades competentes nacionales


Cada Estado miembro debe designar una autoridad competente nacional para supervisar el cumplimiento. En España, el ICAC podría asumir responsabilidades específicas relacionadas con el uso de IA en auditoría, aunque la designación final está pendiente de desarrollo normativo nacional.

  • Febrero 2025: Prohibición de prácticas de IA prohibidas
  • Agosto 2025: Requisitos para sistemas de IA de alto riesgo
  • Agosto 2026: Obligaciones de gobernanza para modelos de IA de propósito general
  • Agosto 2027: Cumplimiento total para todos los sistemas de IA cubiertos

Sistemas de IA en auditoría: clasificación de riesgo

La clasificación correcta de los sistemas de IA usados en auditoría es necesaria para determinar las obligaciones de cumplimiento. La Ley de IA define cuatro categorías de riesgo.

Riesgo mínimo


La mayoría de las herramientas de auditoría automatizadas caen en esta categoría. Incluye sistemas que realizan tareas básicas de procesamiento de datos sin tomar decisiones significativas sobre las personas.
Ejemplos en auditoría:
Estas herramientas enfrentan requisitos mínimos de cumplimiento, principalmente relacionados con la transparencia básica.

Riesgo limitado


Los sistemas con riesgo limitado interactúan directamente con personas y requieren transparencia específica. En auditoría, esto puede incluir:
El Artículo 50 de la Ley de IA exige que los usuarios sean informados claramente de que están interactuando con un sistema de IA.

Alto riesgo


Los sistemas de alto riesgo están listados en el Anexo III de la Ley de IA y están sujetos a requisitos estrictos. En el contexto de auditoría, un sistema podría clasificarse como de alto riesgo si:

Sistemas prohibidos


Ciertas prácticas de IA están completamente prohibidas, incluyendo:
Es poco probable que las firmas de auditoría usen sistemas prohibidos, pero la prohibición se aplica a partir de febrero de 2025.

  • Herramientas de conciliación bancaria automatizada
  • Software de cálculo de muestreo estadístico
  • Sistemas de organización de documentos de auditoría
  • Herramientas de análisis de tendencias en datos contables
  • Chatbots para consultas de clientes sobre el proceso de auditoría
  • Herramientas de comunicación automatizada para solicitudes de confirmación
  • Se usa para evaluar la solvencia crediticia o el riesgo financiero de entidades auditadas
  • Procesa datos biométricos para verificación de identidad
  • Técnicas subliminales que manipulan el comportamiento
  • Sistemas que explotan vulnerabilidades debido a la edad, discapacidad o situación socioeconómica

Requisitos de cumplimiento para proveedores y usuarios

Los requisitos específicos dependen de si la firma actúa como proveedor (desarrolla o modifica sistemas de IA) o usuario (implementa sistemas desarrollados por terceros).

Obligaciones del proveedor


Las firmas que desarrollan herramientas de IA internas o modifican de forma notable sistemas existentes pueden clasificarse como proveedores según el Artículo 3.2. Las obligaciones incluyen:
El Artículo 17 exige establecer sistemas de gestión de calidad con procesos documentados para garantizar el cumplimiento durante todo el ciclo de vida del sistema de IA. El Artículo 10 requiere implementar prácticas apropiadas de gestión de datos, incluyendo técnicas de preparación de datos relevantes, estrategias de formación, prueba y validación. Asimismo, el Artículo 11 obliga a mantener documentación técnica detallada que demuestre el cumplimiento de los requisitos aplicables, mientras que el Artículo 12 exige generar registros automáticamente para permitir la trazabilidad del funcionamiento del sistema.

Obligaciones del usuario


La mayoría de las firmas de auditoría actuarán como usuarios de sistemas de IA. Las obligaciones principales incluyen:
El Artículo 26 establece tres obligaciones principales para el usuario: garantizar supervisión humana apropiada para minimizar los riesgos de salud, seguridad y derechos fundamentales; monitorear la operación del sistema de IA basándose en las instrucciones de uso proporcionadas; y mantener los registros generados automáticamente durante el período de tiempo aplicable.

Evaluación de impacto central


Para sistemas de alto riesgo, el Artículo 27 requiere que los usuarios realicen una evaluación de impacto sobre los derechos fundamentales antes del uso. Esta evaluación debe incluir:

  • Descripción de los procesos del usuario
  • Categorías de personas y comunidades probablemente afectadas
  • Beneficios esperados y riesgos adversos para los derechos fundamentales
  • Medidas de mitigación adoptadas

Ejemplo práctico: evaluación de herramientas de análisis de datos

Inmobiliaria Levante S.L., Valencia, tiene ingresos de 28 millones de euros y 150 empleados. La empresa desarrolla proyectos residenciales en la Comunidad Valenciana y mantiene una base de datos de 12.000 clientes potenciales.
El sistema de IA evaluado es una herramienta de análisis de transacciones para identificar patrones inusuales que podrían indicar riesgo de fraude o error material.

Paso 1: Clasificación inicial del sistema


El equipo de auditoría evalúa si la herramienta de análisis es un sistema de IA según la definición del Artículo 3.1. La herramienta usa algoritmos de aprendizaje automático para identificar transacciones atípicas basándose en patrones históricos.
Nota de documentación: Registrar en el expediente la descripción técnica del sistema, incluyendo los algoritmos empleados y los datos de entrada.

Paso 2: Determinación del nivel de riesgo


La herramienta procesa datos financieros pero no toma decisiones automáticas sobre personas físicas. No aparece en el Anexo III como sistema de alto riesgo. El sistema se clasifica como de riesgo mínimo.
Nota de documentación: Documentar el análisis de clasificación de riesgo con referencia específica a los criterios del Anexo III.

Paso 3: Identificación del rol de la firma


La firma actúa como usuario del sistema, no como proveedor. El software fue desarrollado por un proveedor tercero especializado en tecnología de auditoría.
Nota de documentación: Obtener y archivar la documentación del proveedor que confirme el cumplimiento de sus obligaciones bajo la Ley de IA.

Paso 4: aplicación de medidas de cumplimiento


Aunque el sistema es de riesgo mínimo, la firma implementa controles básicos:
Nota de documentación: Preparar un protocolo documentado para el uso supervisado del sistema y la validación de resultados.

Paso 5: Evaluación de transparencia


El cliente debe ser informado del uso de herramientas de IA en el proceso de auditoría según las mejores prácticas de transparencia, aunque no sea legalmente requerido para sistemas de riesgo mínimo.
Nota de documentación: Incluir referencia al uso de análisis automatizado en la carta de encargo o en comunicaciones separadas con la dirección.
El sistema se implementa con supervisión humana adecuada y documentación de cumplimiento básica. La clasificación de riesgo mínimo permite un enfoque proporcionado sin requisitos regulatorios excesivos.

  • Supervisión humana de todos los resultados del análisis
  • Validación manual de las transacciones marcadas como atípicas
  • Documentación de las decisiones tomadas basándose en los resultados del sistema
  • Registro de los parámetros de configuración utilizados en cada ejecución del análisis

Lista de verificación para el cumplimiento

Antes de implementar cualquier sistema de IA

  • Clasificar el sistema según el nivel de riesgo usando los criterios del Anexo III de la Ley de IA
  • Determinar el rol de la firma (proveedor, usuario o importador) según las definiciones del Artículo 3
  • Solicitar documentación de cumplimiento del proveedor del sistema, incluyendo declaración UE de conformidad para sistemas de alto riesgo
  • Evaluar la necesidad de una evaluación de impacto sobre derechos fundamentales según el Artículo 27
  • Establecer protocolos de supervisión humana apropiados para el nivel de riesgo del sistema
  • Documentar el análisis de cumplimiento en los expedientes de control de calidad de la firma

Errores comunes en la aplicación

Las firmas subestiman con frecuencia el nivel de riesgo cuando el sistema procesa datos personales o toma decisiones que afectan a personas. Es necesario verificar los criterios específicos del Anexo III antes de concluir que un sistema es de riesgo mínimo.
Otro error habitual es implementar sistemas sin obtener la documentación adecuada de cumplimiento del proveedor. Los usuarios siguen siendo responsables de garantizar que los sistemas que usan cumplan con los requisitos aplicables.
Por último, no es infrecuente asumir que la clasificación de riesgo mínimo elimina la necesidad de supervisión humana. Todas las decisiones de auditoría significativas requieren validación humana independientemente del nivel de automatización.

Contenido relacionado

  • Glosario: Ley de IA de la UE - Definición técnica y criterios de clasificación según el Reglamento (UE) 2024/1689
  • Herramienta: Evaluador de cumplimiento de IA - Determine el nivel de riesgo y los requisitos aplicables para sistemas de IA en auditoría
  • Artículo: NIA-ES 315 y evaluación de riesgos - Cómo integrar herramientas automatizadas con los requisitos de identificación y evaluación de riesgos

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.