La mejor forma de predecir tu futuro es crearlo. Los líderes de la UE parece que han tenido en cuenta esta frase que atribuyen al consultor Peter Drucker, y se han empeñado en que Europa sea el primer continente en regular la Inteligencia Artificial (IA). El Consejo y el Parlamento Europeo alcanzaron el pasado 9 de diciembre un acuerdo provisional sobre Reglamento de Inteligencia Artificial (en inglés, AI Act), un paso que algunos han definido como un "logro histórico" y un "hito hacia el futuro". Al igual que ocurre cada vez que se aprueba una nueva norma de impacto en el mundo empresarial, a renglón seguido entramos en juego los profesionales de aseguramiento, tanto internos como externos. ¿Cuál es el papel que deberemos jugar ante la AI Act? ¿Cómo se auditará una plataforma que utiliza la IA y qué aspectos habrá que tener en cuenta? ¿Qué desafíos potenciales se encontrarán los profesionales por el camino?
Los marcos de auditoría y las regulaciones específicas aún brillan por su ausencia, las definiciones y taxonomías son inciertas, hay escasos precedentes y la tecnología aún tiene una naturaleza emergente, por lo que las incógnitas en este ámbito son enormes. Sin embargo, a medio plazo, los órganos de gobierno de las empresas saben que deberán acreditar que cumplen escrupulosamente con los requerimientos legales y, en último término, lograr el aval del organismo regulador correspondiente.
Para la entrada en vigor de la AI Act, el camino que queda por recorrer es largo. El texto –que empezó a redactarse en diciembre de 2021, cuando aún nadie conocía las grandes potencialidades de herramientas como Chat GPT– podría aprobarse en el Boletín Oficial de la UE este mes de abril y no entrará en vigor hasta 2026 (habrá una fase de transición de dos años, salvo en los casos más graves, en el que el periodo de gracia será de apenas 6 meses). Para no perder ritmo, la Comisión Europea ha puesto en marcha un Pacto sobre la Inteligencia Artificial con el propósito de incentivar que las empresas se adelanten a los cambios que, antes o después, llegarán.
La norma europea, que aún puede sufrir modificaciones por el camino, establece una clasificación de las principales contingencias y un marco de cumplimiento escalonado en función de cada amenaza. Por ejemplo, habrá modelos de IA prohibidos, porque atenta contra la privacidad y los derechos fundamentales, y otros sistemas calificados de alto riesgo, donde se establecerán la mayoría de las obligaciones de gestión de riesgos y calidad, gobernanza de datos, supervisión, monitorización y documentación. También se vigilará muy de cerca a los sistemas que puedan presentar un "riesgo sistémico". La AI Act también establece un régimen sancionador llamativo, que puede alcanzar hasta el 7% de los ingresos mundiales anuales de una compañía, aunque está por ver quién será el organismo regulador en cada Estado.
Mientras tanto que estás incógnitas se despejan, no podemos quedarnos parados. Por ahora, los profesionales de Aseguramiento sí podemos aplicar marcos existentes de IA responsable (sean del ámbito público o privado), estándares profesionales que ya recogen aspectos de IA y buenas prácticas que nos permitirán estar listos cuando irrumpa la ola. En primer lugar, debemos trabajar para tratar de entender los sistemas de IA (diseño, arquitectura, algoritmos, etc.). También debemos evaluar el sistema de IA teniendo en cuenta los sesgos o probar que los sistemas de IA producen resultados realmente precisos y fiables. Por último, es importante que en este periodo de aprendizaje, documentemos nuestros hallazgos de auditoría de manera clara y concisa, lo que ayudará a la dirección a abordar los riesgos que irremediablemente aparecerán durante el proceso. En todo este proceso hay que tener cuidado no limitarse solamente a la aplicación y/o caso en cuestión, para prestar un aseguramiento adecuado hay que tener en cuenta toda la cadena de valor de la IA, ya que puede haber elementos que se construyen sobre otros y vienen de terceros.
En última instancia, los auditores podemos ayudar a asegurar que la tecnología basada en la IA se utilice de una manera responsable y ética. Es de crucial importancia comprender la estrategia de adopción de Inteligencia Artificial dentro de las organizaciones, tanto durante la fase de planificación como durante la ejecución de la propia auditoría. Este entendimiento será clave para identificar la potencial existencia de riesgos e identificar si se han considerado controles adecuados para mitigarlos.
Se nos plantean apasionantes retos: desde conocer en profundidad la IA y sus efectos positivos o negativos para, no solamente cumplir con la regulación correspondiente y nuestros principios y valores como organización, asegurar que el reporting y/o comunicación que realizamos a nuestros grupos de interés está fundada y refleje una imagen fiel de la realidad, a darse cuenta de que esta tecnología también transformará nuestros propios roles profesionales, aunque es incuestionable que las personas –y no las máquinas– deberemos seguir siendo los garantes de la calidad y de la integridad de nuestro trabajo. El desafío que tenemos delante no es poca cosa: tenemos que trabajar con determinación para seguir aportando valor a nuestros clientes y, en último término, contribuir a construir un entorno de Inteligencia Artificial más ético, seguro y fiable.
