Cert-Ready by Design: IA preparada para auditoria
Cert-Ready by Design: los controles son objetos de datos, la evidencia se genera automaticamente y los auditores ven estado en vivo. Arquitectura para ISA, NIA-ES, SOC 2.
El problema: la preparacion para auditorias como proyecto
En la mayoria de las empresas, la preparacion para una auditoria (auditoria de cuentas anuales, inspeccion fiscal, auditoria SOC 2) es un proyecto. Semanas antes de la auditoria se compilan documentos, se toman capturas de pantalla, se exportan evidencias de distintos sistemas y se organizan en carpetas.
Este procedimiento tiene tres problemas: es costoso, es propenso a errores y muestra una instantanea en lugar de un estado. El auditor ve como estaba el sistema en el momento de la documentacion, no como funciona realmente.
Cuando los AI Agents toman decisiones criticas para el negocio, el problema se agrava. Cada decision individual del agente debe ser trazable. Con miles de decisiones al mes, la documentacion manual ya no es viable.
Que significa Cert-Ready by Design
Cert-Ready by Design invierte el enfoque: la preparacion para auditorias no es un proceso posterior, sino un principio arquitectonico. Los controles son objetos de datos tecnicos en el sistema. La evidencia se genera automaticamente. Los auditores ven el estado en vivo, no una instantanea.
Controles como objetos de datos de primera clase
En la arquitectura Cert-Ready, cada control es un objeto de datos tecnico con atributos definidos:
| Elemento | Funcion |
|---|---|
| Control_ID | Identificacion unica del control |
| Technical_Implementation | Implementacion tecnica concreta (p. ej., politica RLS, verificacion API, umbral de confianza) |
| Rule_Version | Version de la logica de decision subyacente |
| Evidence_Generator | Mecanismo automatico de verificacion que genera evidencia |
| Evidence_History | Resultados de verificacion historizados con marca temporal |
| Auditor_View | Vista con capacidad de drill-down hasta la implementacion |
Los controles no son documentos de Word en una carpeta de SharePoint. Son objetos tecnicos que viven en el sistema, se verifican automaticamente y reflejan su estado en tiempo real.
Generacion automatica de evidencia
La evidencia no se compila a posteriori. Se genera automaticamente, con cada decision del agente, con cada cambio de regla, con cada evento del sistema.
Un ejemplo: el agente procesa una factura entrante. El Decision Layer aplica la regla PGC-6000 en version 4.2. Confianza: 97%. Resultado: propuesta de asiento en cuenta 600, centro de coste 1200. Sin escalacion (confianza por encima del umbral, importe por debajo del limite de valor).
La evidencia de esta operacion se genera automaticamente: datos de entrada, regla aplicada con version, valor de confianza, decision de enrutamiento, resultado, marca temporal. Esta evidencia es inmutable y esta vinculada al asiento contable.
Portal del Auditor
Los auditores ven en el Portal del Auditor el estado en vivo de todos los controles. Sin exportacion PDF, sin instantanea, sino el estado actual del sistema.
El Portal del Auditor ofrece drill-down: desde la vista general de controles (dashboard semaforo: verde/amarillo/rojo) a traves del control individual hasta la implementacion tecnica concreta y el historial de evidencia.
Framework-Mapping
Los controles se mapean a estandares de auditoria establecidos:
ISA / NIA-ES (Normas Internacionales de Auditoria): Para auditorias de cuentas anuales. Los controles representan los controles internos que el auditor de cuentas evalua en el marco de su auditoria, conforme a la Ley 22/2015 de Auditoria de Cuentas y las normas tecnicas del ICAC.
SOC 2 / ISAE 3402: Para auditorias de TI y aseguramiento de terceros. Las implementaciones tecnicas de los controles se mapean a los criterios de confianza de SOC 2 e ISAE 3402.
Plan General de Contabilidad (PGC): Para la integridad de la informacion financiera. El versionado de los conjuntos de reglas, la inmutabilidad del Audit Trail y la trazabilidad de cada decision de asiento cumplen los requisitos del PGC y la normativa del ICAC.
Este Framework-Mapping asegura que la evidencia generada automaticamente habla el lenguaje que los auditores entienden.
Cert-Ready en la practica
Una firma de auditoria realiza la auditoria de cuentas anuales de un cliente. El cliente utiliza AI Agents para el procesamiento de facturas.
El auditor abre el Portal del Auditor. Ve: 12 controles para el procesamiento de facturas, todos en verde. Hace clic en el control “BV-003: Completitud de los asientos contables”. Ve: la implementacion tecnica (verificacion API contra la entrada de facturas), la version actual de la regla, la evidencia de los ultimos 12 meses (todas las verificaciones automaticas superadas), la confianza media y la tasa de escalacion.
Puede hacer drill-down: verificar asientos individuales por muestreo, trazar la ruta de decision, consultar la regla aplicada en la version vigente en el momento de la decision.
El resultado: la auditoria del procesamiento asistido por TI dura horas en lugar de semanas. La evidencia es completa, generada automaticamente y a prueba de manipulacion.
Mas sobre este tema: Cert-Ready by Design en detalle
Mas sobre gobernanza: Gobernanza de IA
Agendar reunion. Le mostramos el Portal del Auditor en vivo.