{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
Reimaginando las Tres Líneas de Defensa con IA
En octubre de 2024 se presentaron cinco casos de uso de riesgo con el mayor potencial de impacto para la función del director de Riesgo en el corto plazo, destacando que la IA transformará el modelo de Tres Líneas de Defensa. Esto coincide con las numerosas conversaciones que mantenemos con nuestros clientes, y las preguntas clave siguen siendo: ¿cuáles son los casos de uso clave de la IA? ¿Cómo transformará esto nuestras funciones? ¿Cómo podemos utilizar la IA para optimizar nuestra labor y ayudar a nuestra organización a detener, reiniciar y gestionar mejor los riesgos?
Este artículo explora cómo la IA, la IA generativa y los agentes de IA transformarán las Tres Líneas de Defensa: desde la habilitación, la gestión de riesgos y la evolución de roles y responsabilidades, para ayudar a acelerar la adopción responsable de la IA.
La IA ofrece enormes oportunidades en las Tres Líneas de Defensa, incluyendo la digitalización de funciones para que los equipos puedan usar la IA y proteger a las organizaciones de riesgos desconocidos. Mientras que la IA generativa ofrece la capacidad de generar contenido, los agentes de IA proporcionan automatización integral, ejecutando tareas, tomando decisiones o brindando recomendaciones.
A modo de resumen, el modelo de las Tres Líneas de Defensa describe las funciones y responsabilidades clave en la gestión de riesgos dentro de una organización. Su premisa fundamental es que, bajo la supervisión y dirección de la alta dirección y la Junta Directiva, se necesitan tres líneas de defensa para una gestión eficaz del riesgo y el control.
Primera línea
Los propietarios de los procesos de gestión y control serán responsables de mantener controles internos eficaces y de ejecutar los procedimientos de gestión de riesgos y control diariamente.
Segunda línea
La segunda línea proporciona orientación sobre cumplimiento normativo y gestión de riesgos para la identificación de riesgos emergentes en la operación diaria y programas de pruebas de control para demostrar la supervisión de la gestión del funcionamiento de los controles.
La tercera línea
La tercera línea, los auditores internos, proporciona al órgano de gobierno y a la alta dirección una garantía basada en el riesgo, con el máximo nivel de independencia y objetividad dentro de la organización.
Figura 1. Visión general de las Tres Líneas de Defensa
¿Cuáles son los desafíos actuales en las Tres Líneas de Defensa?
El cumplimiento normativo es un elemento crucial para las organizaciones, y la segunda y tercera línea de defensa son los guardianes que ayudan a construir y/o supervisar los controles de la primera línea de defensa. A menudo, nos encontramos con los siguientes desafíos:
1. Falta de experiencia actualizada en riesgos y controles debido al constante cumplimiento normativo
El panorama del cumplimiento normativo, en rápida evolución, presenta importantes desafíos para que las organizaciones globales se adhieran a diversas normas. Por ejemplo, el ICFR para la preparación para SOX, SOC 1/SOC 2 y las certificaciones ISO 27001/ISO 42001, etc. Como asesores de riesgos de confianza, las funciones de riesgo a menudo tienen dificultades para brindar orientación e identificar riesgos emergentes u otros factores de riesgo para garantizar la fiabilidad de los informes financieros para la preparación de auditorías.
2. Importantes esfuerzos manuales en la ejecución de pruebas de control y actividades de monitoreo
Las organizaciones aún dependen de enfoques y herramientas tradicionales de pruebas de control que requieren intervención humana. Por ejemplo, validaciones manuales de entrada de datos, procesos repetidos de conciliación, desarrollo de documentos de trabajo y comunicación entre las partes interesadas clave. Esto puede generar mayor carga de trabajo e ineficacia del entorno de control.
3. Desafíos para identificar riesgos y proporcionar información
Las organizaciones tienen dificultades para analizar grandes conjuntos de datos de diversas fuentes, como integraciones, lo que dificulta la selección e identificación de riesgos relevantes. Las funciones de riesgo necesitan traducir datos complejos y proporcionar información clara y práctica.
4. Rápida adopción de tecnologías emergentes que superan la madurez de los riesgos y los marcos de control
Las empresas están adoptando tecnologías como los agentes de IA, IA generativa, la nube y la automatización a un ritmo mayor que el de la evolución de los marcos de control y riesgo. Estas tecnologías son cada vez más omnipresentes y a menudo se aplican a casos de uso novedosos que no se anticiparon en el momento de su adopción, lo que dificulta la definición y el seguimiento de sus perfiles de riesgo. Esto crea puntos ciegos para las amenazas emergentes.
Las Líneas de Defensa deben fortalecer los sistemas de alerta temprana y permitir una evaluación de riesgos más rápida y respuestas de control. Sin esta agilidad, las organizaciones se enfrentan a crecientes riesgos operativos, de cumplimiento y reputacionales.
La IA puede ayudar a generar confianza en su entorno e infraestructura de control, ayudándote a identificar, asumir y gestionar eficazmente los riesgos.
Adopta nuevas formas de identificar y evaluar riesgos mediante IA generativa, brindando a tus equipos una visión más profunda y permitiéndoles concentrar su tiempo en aplicar su experiencia y criterio, en lugar de realizar tareas manuales.
La IA puede desempeñar un papel importante al ayudarte a asumir riesgos de forma más eficaz, proporcionando información, reduciendo la incertidumbre y apoyando los procesos de toma de decisiones.
Integra la IA en las pruebas de control y la validación de datos para lograr un entorno de cumplimiento eficaz y rentable.
Te puede interesar: ¿Por qué es importante investigar las denuncias recibidas en las líneas éticas?
Aplicaciones prácticas que muestran cómo la IA generativa permite enfrentar de forma más efectiva los principales desafíos del modelo de Tres Líneas de Defensa
La IA está revolucionando las Tres Líneas de Defensa, transformando su enfoque de las pruebas manuales a la supervisión estratégica y creando nuevas interdependencias.
El cambio de un enfoque manual a uno analítico basado en resultados
La segunda y la tercera Línea de Defensa dedicarán menos tiempo a tareas manuales y más a analizar los conocimientos generados por la IA. En este modelo, el pensamiento crítico y la capacidad para resolver problemas serán esenciales para interpretar los resultados. Además, la necesidad de adaptarse, aprender e interactuar con entornos complejos implica evolucionar desde una supervisión estática hacia una monitorización continua, con intervenciones en tiempo real y esquemas de aseguramiento basados en resultados.
Mayor conocimiento de la IA en las Tres Líneas de Defensa
Los profesionales de las Tres Líneas de Defensa están accediendo cada vez más a herramientas de IA, mientras equipos especializados se concentran en identificar ineficiencias en los procesos actuales de riesgo y cumplimiento. Estos equipos desarrollan pruebas de concepto tácticas para demostrar su valor y, simultáneamente, experimentan, aprenden e iteran casos de uso que fortalecen las funciones de riesgo.
El avance de herramientas de IA de bajo código y sin código acelerará su adopción, permitiendo que usuarios sin conocimientos técnicos creen soluciones propias. En este entorno, la habilidad para realizar ingeniería rápida se convertirá en un diferenciador clave: quienes logren orientar la IA con precisión obtendrán conocimientos más profundos, aumentarán la eficiencia y se posicionarán como líderes en innovación.
Adaptabilidad y aprendizaje continuo
A medida que la IA continúa evolucionando, las funciones de riesgo y cumplimiento deben actualizar continuamente sus habilidades para mantenerse al día con los nuevos avances y dominar las tecnologías disruptivas y la innovación. Las empresas tecnológicas ofrecen cada vez más plataformas de bajo código/sin código que pueden ayudar a los usuarios a construir agentes de IA.
Mayor colaboración entre las Tres Líneas de Defensa
Dentro del modelo de Tres Líneas de Defensa, todos los equipos colaboran cada vez más estrechamente con los tecnólogos de IA para identificar cómo adoptar esta tecnología de manera eficaz. A medida que aumenta su uso, el perfil de las actividades evoluciona, pues las funciones comienzan a depender de casos de uso desarrollados por otras líneas de defensa. Asimismo, la segunda y la tercera Línea de Defensa trabajan de forma más coordinada para gestionar los riesgos asociados con la IA y responder a regulaciones emergentes.
Están surgiendo nuevos roles y responsabilidades
El auge de la IA ha dado lugar a la creación de roles especializados que, si bien pueden no encajar perfectamente en el antiguo modelo de Tres Líneas de Defensa, son cruciales para la gobernanza. Estos incluyen ingenieros de IA, validadores de IA y comités de gobernanza de IA.
Muchos bancos cuentan con equipos de Gestión de Riesgos de Modelos para validar los modelos de IA, y algunos cuentan con comités de ética o riesgo de IA, que incluyen miembros de varias líneas para supervisar el uso de la IA. La auditoría interna también puede incorporar expertos externos al revisar áreas de IA altamente técnicas, ampliando así su experiencia a través de una "cuarta parte" si es necesario.
Te puede interesar: Encuesta Anual de Miembros de la Junta Directiva 2025
Cinco puntos clave para ayudarte a comenzar tu viaje
La IA generativa llegó para quedarse, y quienes actúen ahora moldearán el futuro de la gestión de riesgos. Como resultado, la interconectividad entre las Tres Líneas de Defensa está evolucionando.
1. Comprende la madurez, define tu visión y asegura el respaldo del liderazgo
Desarrolla una visión digital integrada y asegúrate de contar con el compromiso del liderazgo para impulsar la transformación organizacional. Evalúa la madurez actual de tu función y alinea tu estrategia de IA con la estrategia de IA de la organización. Un enfoque coordinado y alineado permitirá construir argumentos más sólidos para sustentar futuras inversiones.
2. Construye un equipo nativo en IA
Evalúa las habilidades digitales actuales de tu equipo, identifica las necesidades de capacitación en IA e invierte en herramientas y metodologías que permitan un desarrollo continuo. Define objetivos individuales y de equipo para la integración de la IA, y fomenta una cultura de innovación, aprendizaje y adaptabilidad.
3. Reúne un equipo multidisciplinario de personas con experiencia en Auditoría Interna y Gestión de Riesgos para generar ideas sobre casos de uso
Identifica casos de uso que impulsen la eficiencia, ya sea mediante automatización o IA generativa. Busca patrones que puedan escalar y generar un retorno de la inversión (ROI) en distintas áreas de Auditoría Interna.
4. Implementar programas piloto con IA, recopilar retroalimentación, iterar, monitorear y demostrar los beneficios
Iniciar un programa piloto utilizando herramientas digitales para demostrar valor, perfeccionar métodos y generar confianza en el equipo. Recopilar retroalimentación de los pilotos, abordar los desafíos y optimizar procesos y herramientas simultáneamente. Comunicar el progreso y los beneficios a las partes interesadas, fomentando el apoyo y alineando las expectativas.
5. Integración completa y un equipo con IA
Integrar la capacitación digital y la IA en todas las auditorías, garantizando su uso uniforme por parte de todos los miembros del equipo en cada revisión. El uso uniforme de herramientas digitales mejora la calidad de la auditoría. Alta confianza en la información basada en datos. Tecnología totalmente integrada que impulsa la eficiencia y la innovación.
Este artículo se basa en el artículo original “Impact on the three lines of defence in the GenAI world” de PwC Canadá y PwC UK. La revisión fue ejecutada por el equipo de PwC Colombia.
En PwC Colombia trabajamos contigo para anticipar, detectar y responder con agilidad a fraudes, crisis y riesgos.
{{filterContent.facetedTitle}}
{{contentList.loadingText}}
{{contentList.loadingText}}
Síguenos PwC Colombia
