Lección 17 de 21Módulo 6: Riesgos, ética y compliance regulatorio

17. NIA 240 / 315 / 530 actualizadas con IA

Cómo el escepticismo profesional, evaluación de riesgos y muestreo se aplican cuando hay IA en el ecosistema. Documentación.

22 minutos

Las Normas Internacionales de Auditoría (NIA) emitidas por el IAASB (International Auditing and Assurance Standards Board) no mencionan "inteligencia artificial" explícitamente en su redacción vigente. Esto sorprende a muchos profesionales que, al usar IA en sus encargos, asumen que están en un vacío normativo.

No lo están. La aplicación de las NIA en entornos con IA es crítica y profundamente exigente. Esta lección te muestra cómo interpretar correctamente NIA 240, 315 y 530 cuando hay IA en el flujo de auditoría.

📚 Referencias normativas

  • NIA 240 (Revisada): Responsabilidades del auditor en la auditoría de estados financieros con respecto al fraude. Versión revisada aprobada por el IAASB en marzo de 2025, efectiva para auditorías de períodos que comiencen el 15 de diciembre de 2026 o después. Hasta esa fecha, sigue vigente la NIA 240 anterior.
  • NIA 315 (Revisada 2019, vigente): Identificación y valoración de los riesgos de incorrección material.
  • NIA 530: Muestreo de auditoría (sin revisión integral reciente; el IAASB tiene en agenda 2026 un proyecto de revisión de la serie ISA 500).
  • NIA 230: Documentación de auditoría (vigente, sin revisión integral reciente).

Textos disponibles en IAASB Standards y específicamente ISA 240 (Revised). En LATAM han sido adoptadas localmente por federaciones de contadores (FACPCE en Argentina, IMCP en México, Colegio de Contadores de Chile, etc.).


NIA 240: Fraude y escepticismo profesional con IA

La NIA 240 obliga al auditor a mantener escepticismo profesional durante toda la auditoría, reconociendo que la dirección puede eludir controles. En entornos con IA, esto se complica de tres maneras concretas.

El sesgo de automatización: el gran enemigo de NIA 240

El "sesgo de automatización" es la tendencia humana a aceptar las recomendaciones de un sistema automatizado sin cuestionarlas suficientemente. Es un fenómeno documentado en investigación de factores humanos desde los años 80 (Parasuraman & Riley, 1997).

En auditoría asistida por IA, este sesgo se manifiesta así:

Patrón peligroso: El sistema de IA analiza 50.000 transacciones y devuelve "no se identificaron transacciones de riesgo elevado". El auditor archiva el reporte como evidencia y pasa a la siguiente prueba.

Patrón correcto NIA 240: El auditor entiende cómo el sistema definió "riesgo", qué umbrales aplicó, qué transacciones quedaron por debajo del umbral, y aplica procedimientos adicionales independientes de la IA para validar que la conclusión es razonable.

🎯 Principio operativo

Un output de IA que dice "todo OK" NO es evidencia de auditoría suficiente. Es un input que requiere los mismos procedimientos de validación que aplicarías a la afirmación de la dirección.

Fraude y la IA del propio auditado

NIA 240, párrafo 32, exige que el auditor evalúe el riesgo de elusión (override) de controles por parte de la dirección. Cuando el auditado usa IA en sus procesos contables, esto incluye:

  • ¿Puede la dirección ajustar parámetros del modelo para que ciertas transacciones no se marquen como inusuales?
  • ¿Hay logs inmutables de los outputs de la IA, o pueden modificarse después?
  • ¿Quién tiene permisos para "reentrenar" o reconfigurar el modelo?
  • ¿La IA fue desplegada por la dirección con el objetivo (declarado o no) de enmascarar patrones que antes detectaban los controles tradicionales?

Este último punto es delicado. La automatización siempre se vende como "eficiencia", pero el auditor escéptico debe preguntarse si también funciona como capa de opacidad.

Pronunciamiento del IAASB sobre tecnología

El IAASB publicó en 2022 el documento "Technology Position" (posicionamiento sobre tecnología) y en 2024 una Non-Authoritative Guidance on the Use of Automated Tools and Techniques dirigida a auditores. Los puntos clave para auditoría con IA:

  1. La tecnología no modifica los objetivos de la auditoría, solo los medios.
  2. El uso de IA no reduce la necesidad de escepticismo; en muchos casos la aumenta.
  3. El auditor debe comprender el funcionamiento de la herramienta a un nivel suficiente para evaluar sus limitaciones.
  4. Los outputs deben ser evaluados como evidencia según los criterios de NIA 500 (suficiencia y adecuación).

NIA 315: evaluar los riesgos DEL SISTEMA DE IA mismo

Esta es probablemente la novedad más importante de aplicar NIA en entornos con IA. La NIA 315 (revisada en 2019) obliga al auditor a comprender la entidad y su entorno, incluyendo su control interno. Cuando hay IA en el control interno del auditado, la IA misma se convierte en objeto de evaluación de riesgos.

Los cuatro riesgos del propio sistema de IA

Cuando una IA forma parte del control interno o del proceso contable de la entidad auditada, el auditor debe evaluar al menos cuatro categorías de riesgo:

Riesgo Pregunta clave del auditor
Sesgo de los datos de entrenamiento ¿Sobre qué datos se entrenó el modelo? ¿Son representativos del universo que va a procesar?
Drift del modelo ¿El modelo se reentrena? ¿Su comportamiento ha cambiado entre el inicio y el cierre del ejercicio auditado?
Caja negra (explicabilidad) ¿Se puede explicar por qué el modelo tomó una decisión específica? ¿Hay logs?
Override / by-pass ¿Quién puede saltarse la decisión del modelo? ¿Esas excepciones se documentan?

Cómo se documenta esta evaluación

NIA 315, párrafos 25-26, exige documentar la comprensión obtenida. En entornos con IA, una documentación adecuada incluye:

  • Memorando de evaluación del sistema de IA del auditado: proveedor, modelo (ej. GPT-5.5 vía Azure OpenAI), casos de uso, controles complementarios.
  • Walkthrough del proceso end-to-end, incluyendo el paso donde interviene la IA.
  • Pruebas de diseño y operatividad del control humano que supervisa los outputs de la IA.
  • Identificación de riesgos significativos específicos derivados de la IA (NIA 315, párr. 32).

⚠️ Trampa común

Muchos auditores documentan "la entidad usa Microsoft Copilot para clasificación contable" como única referencia a IA en sus papeles de trabajo. Es insuficiente. NIA 315 pide entender el sistema con suficiente profundidad para identificar riesgos. Eso requiere preguntas concretas al CIO/CFO, revisión de configuraciones y, en muchos casos, involucrar a un especialista IT (NIA 620).

NIA 620: cuándo necesitas un especialista

NIA 620 regula el uso del trabajo de un experto del auditor. En auditorías con IA compleja (modelos propios del auditado, no comerciales), el auditor financiero típicamente no tiene la formación para evaluar técnicamente el modelo. Involucrar un especialista IT/ML deja de ser opcional cuando:

  • El modelo es propietario del auditado y no hay documentación pública.
  • El modelo toma decisiones con impacto material en estados financieros.
  • Hay indicios de drift, sesgo o desempeño degradado.
  • Existen denuncias o disputas asociadas al funcionamiento del modelo.

NIA 530: muestreo, sí; reemplazo del juicio, no

NIA 530 regula el muestreo de auditoría. Aquí surge una confusión peligrosa: muchos colegas creen que la IA puede reemplazar el muestreo porque "puede analizar el 100% de las transacciones". Veamos por qué eso es una verdad parcial peligrosa.

Lo que la IA SÍ aporta al muestreo

  • Análisis 100%: efectivamente, un modelo puede procesar todas las transacciones del período. Esto se conoce como full-population testing o technique 100%.
  • Priorización inteligente: la IA puede ranquear transacciones por riesgo, ayudando a seleccionar la muestra de alto riesgo más eficientemente.
  • Identificación de outliers: detección estadística de partidas atípicas (Ley de Benford, percentiles, clustering).
  • Estratificación: agrupación por características que el muestreo manual no captaría.

Lo que la IA NO reemplaza en NIA 530

NIA 530, párrafo 6, define que el muestreo implica que el auditor llegue a una conclusión razonable sobre toda la población. Esto requiere:

  1. Juicio sobre representatividad: la IA puede decir "estos son los más riesgosos", pero el auditor debe juzgar si la muestra es representativa del universo y suficiente para concluir.
  2. Tamaño de muestra: NIA 530 párrafo 7 lista factores (riesgo, tolerancia, error esperado). La IA puede sugerir, no decidir.
  3. Evaluación de los resultados (párr. 12-15): proyección del error a la población, evaluación de naturaleza y causa.
  4. Conclusión: el auditor emite la conclusión, no el sistema.

🎯 Principio operativo en NIA 530

"Análisis 100%" con IA no es equivalente a una prueba sustantiva sobre el 100% de la población. Es un análisis de soporte que complementa el muestreo, no lo elimina. La conclusión sigue requiriendo juicio del auditor sobre suficiencia y adecuación de la evidencia.

Caso práctico: muestreo asistido por IA bien hecho

Paso Quién Qué hace
1 Auditor Define el objetivo del muestreo y la tolerancia
2 IA Procesa la población, identifica anomalías y ranquea por riesgo
3 Auditor Revisa criterios de ranking, ajusta umbrales
4 IA Sugiere muestra estratificada (alto riesgo + aleatoria)
5 Auditor Evalúa representatividad y aprueba muestra final
6 Auditor / equipo Aplica procedimientos sustantivos sobre la muestra
7 Auditor Proyecta resultados, concluye, documenta

Solo los pasos 2 y 4 son automatizados. Los pasos 1, 3, 5, 6 y 7 son irreducibles al juicio profesional.


Documentación: el papel de trabajo en la era IA

NIA 230 (documentación de auditoría) y los Estándares de Control de Calidad (ISQM 1, vigente desde 2022) exigen que el papel de trabajo permita a un auditor experimentado comprender la naturaleza, momento y alcance de los procedimientos.

En entornos con IA, esto requiere documentar explícitamente la división humano-IA:

Esquema de documentación recomendado

Para cada procedimiento de auditoría asistido por IA, el papel de trabajo debe incluir:

1. Objetivo del procedimiento
2. Población / alcance
3. Herramientas IA utilizadas
   - Proveedor y modelo (ej. Claude Opus 4.7 vía Anthropic API)
   - Versión del modelo y fecha de ejecución
   - Prompt o configuración aplicada
4. Inputs proporcionados al sistema
5. Outputs recibidos del sistema
6. Validación humana realizada
   - Quién revisó
   - Qué muestra / cuántos casos
   - Resultado de la validación
7. Excepciones identificadas y tratamiento
8. Conclusión del auditor
9. Firma del responsable

🔑 Regla práctica

Si un revisor externo (peer review, inspección de un órgano regulador) abre tu papel de trabajo, debe poder distinguir qué hizo el humano y qué hizo la IA en cada decisión. Si esa distinción no está clara, el papel de trabajo es insuficiente según NIA 230.

Ejemplo de extracto de papel de trabajo

Procedimiento: Análisis de transacciones inusuales en Libro Mayor 2025
Auditor responsable: Juan Pérez, Manager
Fecha: 14/03/2026

Herramienta IA: Claude Sonnet 4.6 (Anthropic) vía API
Modelo versión: claude-sonnet-4-6-20260301
Ejecución: 14/03/2026 09:32 UTC-3

Población: 47.821 asientos contables del ejercicio
Output IA: 312 asientos marcados como "potencialmente inusuales"
con explicación textual cada uno.

Validación humana:
- M. Soto (Senior) revisó los 312 asientos (100%)
- Confirmó 89 como genuinamente inusuales
- Descartó 223 como falsos positivos (operaciones de nómina,
  ajustes recurrentes, conciliaciones)

Procedimiento adicional sobre los 89 confirmados:
- Solicitada documentación soporte a cliente
- Recibida y validada para 87
- 2 partidas escalan a discusión con CFO (ver WP-240-A)

Conclusión: ...
Firma: J. Pérez (e-sign 14/03/2026 18:45)

Pronunciamientos del IAASB en 2025-2026

El IAASB ha publicado guidance no vinculante específica sobre uso de tecnología y datos en auditoría:

  • ISA 315 (Revised) Application Material: párrafos A75-A89 sobre tecnología de la información del auditado.
  • Non-Authoritative Guidance on the Use of Automated Tools and Techniques (publicada en 2024): orientaciones sobre herramientas tecnológicas en procedimientos sustantivos.
  • Discussion Paper on Audit Evidence in a Technology-Enabled Environment (en consulta pública 2025-2026).

Conviene seguir el calendario del IAASB porque en los próximos 24 meses es probable que veamos modificaciones específicas a NIAs para reflejar el uso de IA generativa.


Lo que dice la práctica de las firmas Big Four

Las firmas globales ya han internalizado estos principios en sus metodologías propietarias (Deloitte Omnia, PwC Aura, EY Helix, KPMG Clara). Tres observaciones de cómo lo hacen:

  1. No firman conclusiones basadas solo en IA. Toda conclusión material tiene un revisor humano identificado.
  2. Documentan el modelo como parte del legajo. Versión, fecha, configuración, controles.
  3. Tienen comités de revisión de uso de IA que aprueban casos nuevos antes de aplicarlos en encargos reales.

Para firmas medianas y pequeñas, replicar esto a escala menor es factible y, en mi opinión, será el estándar mínimo defendible en una inspección a partir de 2027.


Próximos pasos

En la Lección 18 cerramos el módulo de regulación y ética con privacidad de datos contables: GDPR (UE), LGPD (Brasil), Ley 21.719 (Chile, vigente desde diciembre 2024), LFPDPPP (México con modificaciones 2025) y Ley 25.326 (Argentina). Vamos a ver qué significa enviar datos contables — que típicamente contienen información personal — a APIs de OpenAI, Anthropic o Google, y cuándo es legalmente aceptable.

💡 Ejercicio antes de continuar

Tomá un papel de trabajo reciente donde hayas usado IA (aunque sea ChatGPT para redactar un memo). Aplicá el esquema de documentación de esta lección. ¿Quedaría claro para un revisor externo qué hiciste vos y qué hizo la IA? Si no, ya tenés tu segundo plan de acción del módulo.

Próxima lección: 18. Privacidad de datos contables: GDPR, LGPD, Ley 21.719

Checkpoint de comprensión

3 preguntas para verificar lo aprendido. No afecta tu nota del examen final.

1¿Qué establece la NIA 240 sobre el "sesgo de automatización" cuando se usa IA en auditoría?
2Según NIA 315, ¿cuáles son los cuatro riesgos del propio sistema de IA que el auditor debe evaluar cuando la IA forma parte del control interno del auditado?
3Sobre NIA 530, ¿es correcto afirmar que la IA puede reemplazar el muestreo porque analiza el 100% de las transacciones?

Completaste esta leccion?

Marca esta leccion como completada. Tu progreso se guardara en tu navegador.