Ley de Inteligencia Artificial de la UE (AI Act)

Cómo funciona

La Ley de IA de la UE establece un enfoque de riesgo escalonado. Los sistemas clasificados como "alto riesgo" (aquellos que toman decisiones que afectan derechos centrales o seguridad) deben cumplir con requisitos detallados de documentación, evaluación de impacto, y auditoría externa. Para el auditor, esto significa dos líneas de responsabilidad:
La Ley de IA no establece un estándar de auditoría específico para auditar sistemas de IA. En su lugar, los auditores usan marcos existentes (NIA-ES 240 para fraude si el sistema está diseñado de forma intencionada para defraudar, NIA-ES 250 para cumplimiento regulatorio, NIA-ES 315 para evaluación de riesgos).

• Evaluación del cumplimiento normativo de la entidad auditada: Si la entidad usa sistemas de IA clasificados como alto riesgo (por ejemplo, para decisiones de crédito, selección de personal, o análisis de fraude), el auditor debe verificar que la entidad mantiene documentación de conformidad, ha realizado evaluaciones de impacto en derechos centrales, y ha designado un responsable de cumplimiento. Esto se alinea con la NIA-ES 250 (cumplimiento de leyes y regulaciones).
• Confiabilidad de los datos y procedimientos internos del auditor: Si el equipo de auditoría usa herramientas de IA (como software de análisis de datos o procedimientos analíticos automatizados) para evaluar el riesgo o realizar pruebas sustantivas, debe documentar que esas herramientas son confiables. La NIA-ES 520.A1 requiere que los auditores evalúen la confiabilidad de los datos subyacentes en procedimientos analíticos. Un modelo de IA entrenado con datos sesgados o incompletos puede producir conclusiones no confiables.

Ejemplo práctico: Constructora Hispana S.L.

Constructora Hispana S.L., empresa de construcción con sede en Madrid, facturación de 18,7 millones de euros, ha implementado un sistema de IA de alto riesgo para evaluar ofertas de subcontratistas y asignar proyectos. El sistema usa datos históricos de desempeño, disponibilidad de recursos, y proximidad geográfica para automatizar decisiones de contratación.
Paso 1. El auditor identifica durante la evaluación de riesgos (NIA-ES 315) que la entidad usa este sistema. Busca en la documentación de conformidad de la entidad: ¿ha realizado una evaluación de impacto en derechos centrales? ¿Ha designado a un responsable de IA? ¿Existen registros de auditoría del sistema?
Nota de documentación: En la carpeta de archivos permanentes, se crea una subplantilla "Sistemas de IA. Evaluación de cumplimiento con la Ley de IA de la UE" donde se documenta que el sistema existe, su clasificación de riesgo, y si la entidad ha cumplido con registros y documentación.
Paso 2. El auditor solicita a la administración los registros de transparencia del sistema: ¿qué datos de entrada se usan? ¿Cómo se entrenó el modelo? ¿Existe sesgo documentado en la selección de subcontratistas? Evalúa si el sistema ha producido decisiones que podrían indicar fraude intencional (por ejemplo, favorecer sistemáticamente a un subcontratista relacionado con la administración).
Nota de documentación: Se registra la solicitud, la respuesta, y el análisis de si el patrón de contrataciones resultantes es consistente con los criterios del sistema o indica manipulación intencional.
Paso 3. El auditor prueba una muestra de decisiones de contratación: ¿el sistema funcionó como se documenta? ¿Se adhirió a los criterios programados, o se observan anomalías? Si el sistema está bajo control interno débil (por ejemplo, la administración puede anular decisiones del sistema sin registrar la justificación), el auditor documenta esto como debilidad de control relacionada con la tecnología.
Nota de documentación: En el programa de pruebas sustantivas de transacciones de contratación, se añade una línea: "Verificar que las decisiones de contratación ejecutadas son consistentes con los resultados del sistema de IA, o que las anulaciones están justificadas y documentadas."
Conclusión: Constructora Hispana S.L. cumple formalmente con la Ley de IA de la UE (tiene registros, documentación de conformidad, responsable designado). Sin embargo, el auditor documenta que el control sobre el sistema es débil porque la administración puede anular decisiones sin registro de justificación. Esto es una debilidad de control interno específica de tecnología, no un incumplimiento de la Ley de IA en sí, pero afecta la evaluación de riesgo de fraude bajo NIA-ES 240.

Qué los revisores y auditores confunden

• Confundir "auditoría de un sistema de IA" con "evaluación del cumplimiento normativo de la entidad con la Ley de IA." Los revisores de calidad a veces interpretarán mal un hallazgo de auditoría como "no se auditó el sistema de IA correctamente." La realidad: la Ley de IA no establece un estándar de auditoría específico. El auditor evalúa cómo la existencia del sistema y su control afectan el riesgo de fraude, el cumplimiento normativo, y la fiabilidad de los datos financieros. Esto es diferente de "auditar el modelo de IA" como si fuera un software personalizado.
• No documentar la evaluación de confiabilidad de los datos de entrada del sistema de IA cuando este está conectado a registros contables. Si el sistema de IA de alto riesgo de la entidad usa datos de la contabilidad (por ejemplo, un sistema de IA que evalúa el riesgo de fraude en facturas basándose en patrones históricos de la propia entidad), el auditor debe evaluar la confiabilidad de esos datos bajo NIA-ES 520. Muchos auditores documentan únicamente que "el sistema existe" pero no validan si los datos que lo alimentan son íntegros.
• Asumir que cumplimiento de la Ley de IA equivale a control interno sólido sobre el sistema. Una entidad puede ser técnicamente conforme con la Ley de IA (tiene registros, documentación, responsable) pero permitir que la administración anule decisiones del sistema sin justificación. La conformidad regulatoria no reemplaza la evaluación de si el sistema está bajo control efectivo.

Relacionado con

• NIA-ES 250: La evaluación de si la entidad cumple con leyes y regulaciones aplicables, incluida la Ley de IA.
• NIA-ES 240: Fraude relacionado con sistemas de IA; cómo el diseño o manipulación intencional de un sistema de IA puede constituir fraude.
• NIA-ES 520: Procedimientos analíticos; la confiabilidad de datos que alimentan sistemas de IA automatizados.
• NIA-ES 315: Evaluación del riesgo; cómo la identificación de sistemas de IA alto riesgo afecta la evaluación del riesgo de fraude y error.
• ISAE 3402: Si la entidad auditada es prestadora de servicios y el sistema de IA está integrado en controles que afectan a usuarios finales, puede requerirse un informe de tipo II sobre controles en una organización de servicios.

Términos relacionados

---

• Evaluación de impacto en derechos centrales (DPIA): Requisito de la Ley de IA para sistemas de alto riesgo; identifica cómo el sistema puede afectar derechos humanos. El auditor debe verificar su existencia y completitud.
• Responsable de cumplimiento de IA: Persona designada por la entidad para garantizar conformidad. El auditor debe confirmar que existe y tiene acceso a documentación.
• Sistema de alto riesgo: Clasificación de la Ley de IA para sistemas que toman decisiones que afectan seguridad o derechos centrales. Ej.: decisiones de crédito, empleo, acceso a servicios públicos.
• Transparencia del sistema de IA: Requisito de documentar cómo funciona el sistema, qué datos usa, y quién es responsable. El auditor lo verifica como parte de la evaluación de control interno.
• Auditoría externa de sistemas de IA: Algunos sistemas de alto riesgo requieren evaluación externa independiente. Esto puede ser responsabilidad del auditor financiero o de un especialista en IA, dependiendo del contexto.
• Sesgo en sistemas de IA: Riesgo de que un sistema de IA tome decisiones discriminatorias (por ejemplo, favorecer sistemáticamente a ciertos proveedores). El auditor debe evaluarlo bajo NIA-ES 240 si podría indicar fraude intencional.