SOX fue diseñado para humanos. La IA no se adapta a ese modelo.
Durante más de dos décadas, los marcos de aseguramiento y cumplimiento se basaron en una simple suposición: las decisiones materiales son tomadas por personas. El restablecimiento del aseguramiento posterior a la Ley Sarbanes-Oxley (SOX) funcionó porque alineó la responsabilidad con el comportamiento humano. Esta suposición da forma a cómo se diseñan los controles internos, cómo se asigna la responsabilidad y cómo se entrega el aseguramiento.
El impacto de la inteligencia artificial en el modelo de SOX
Los controles rodean el juicio humano. La documentación explica el razonamiento humano. Los mecanismos de escalamiento asumen que se puede identificar, cuestionar y responsabilizar a un individuo o rol específico cuando se cuestionan las decisiones.
La inteligencia artificial (IA) está interrumpiendo lentamente este modelo, no eliminando controles, sino introduciendo juicio no humano en los entornos de control, mientras que el diseño de la gobernanza claramente se queda atrás.
Asunciones de diseño no revisadas
El restablecimiento del aseguramiento posterior a SOX funcionó porque alineó la responsabilidad con el comportamiento humano. Las afirmaciones de la dirección, la documentación de controles, las pistas de auditoría y los procesos de remediación asumían que las decisiones se originaban con operadores identificables dentro de roles definidos. Ese diseño de SOX se mantuvo, incluso a pesar de las crisis subsiguientes, porque en última instancia, el juicio seguía siendo humano, incluso cuando era defectuoso.
La IA cambia el punto de origen. A medida que los sistemas automatizados influyen cada vez más en la previsión, el análisis, las aprobaciones de transacciones y la interpretación de contratos, el juicio ya no reside exclusivamente en las personas. Está incrustado en los datos de entrenamiento, la lógica del modelo, los umbrales y el manejo de excepciones, a menudo mucho antes de que se involucren las funciones de cumplimiento o auditoría. Sin embargo, el marco de control sigue siendo en gran medida inalterado.
Desafíos actuales en la discusión sobre IA y cumplimiento
Gran parte de la discusión actual sobre IA y cumplimiento se centra en extender los marcos existentes. Los profesionales exploran pruebas continuas de SOX, cobertura de control ampliada, documentación mejorada y principios de IA responsable para mantener los sistemas auditables. Estos esfuerzos son importantes, ya que muestran una profesión que se adapta progresivamente y de manera activa a sus herramientas. Sin embargo, gran parte de este discurso parte de una premisa no cuestionada: que el modelo de aseguramiento en sí mismo sigue siendo sólido y que la IA simplemente necesita ser gobernada dentro de él.
Lo que recibe menos atención es si esta premisa todavía se mantiene.
La tensión entre el juicio y los controles
Cuando el juicio se desplaza, pero los controles permanecen fijos, en muchas organizaciones, los sistemas de IA se introducen como herramientas de eficiencia en lugar de decisiones de gobernanza. Se priorizan la velocidad, la consistencia y la escala. Los controles se evalúan después de la implementación. Se espera aseguramiento en la etapa posterior. Los equipos de cumplimiento y auditoría son solicitados para validar resultados sin visibilidad sobre el juicio incrustado en los sistemas que los produjeron. Las pruebas de control confirman la ejecución, pero la explicación se vuelve más difícil.
Cuando surgen preguntas durante revisiones internas, investigaciones regulatorias o discusiones en la junta, el problema rara vez se enmarca como un problema de diseño del sistema; se ha convertido en un problema de responsabilidad. ¿Quién posee la decisión cuando ninguna persona la tomó?
Riesgos de mantener suposiciones antiguas
Esta tensión no refleja un fracaso de SOX. Es un reflejo de sus límites de diseño. Los controles de la era SOX suponen tomadores de decisiones humanos, razonamiento explicable y propiedad basada en roles. La IA introduce una toma de decisiones que es distribuida, adaptativa y difícil de interpretar en términos humanos.
A menos que los marcos de gobernanza evolucionen junto con la implementación, las organizaciones corren el riesgo de operar en entornos de control que parecen robustos pero carecen de visibilidad sobre cómo se toman las decisiones. En este escenario, las funciones de cumplimiento y auditoría heredan la responsabilidad sin autoridad y se vuelven responsables de resultados moldeados por una lógica que no pueden interrogar completamente.
Conclusión
El riesgo no es la automatización en sí misma. Es permitir que el juicio migre a modelos de IA mientras las suposiciones de gobernanza permanecen ancladas a modelos de toma de decisiones humanas. Los pasados restablecimientos de aseguramiento fueron desencadenados por fracasos de confianza, momentos en los que los marcos existentes ya no podían explicar cómo se tomaban las decisiones o se defendían bajo escrutinio. La IA aún no ha producido una crisis definitoria, pero las condiciones que desafían la responsabilidad, la explicabilidad y la propiedad ya están en su lugar.
Para los líderes de cumplimiento, riesgo y auditoría, la pregunta ya no es si la IA se expandirá; lo hará. La pregunta más urgente es si las suposiciones de gobernanza se revisarán antes de ser puestas a prueba. Si los marcos de aseguramiento no pueden explicar cómo se toman las decisiones, no pueden defenderlas. Y cuando se cuestiona la confianza, la explicación y no la eficiencia es lo que finalmente importa.
