Ley de la UE sobre la IA: nuevas normas para el uso de la IA

La Ley de la UE sobre la IA exige a las empresas que garanticen que las aplicaciones de IA no se utilicen indebidamente. Para cumplir los nuevos requisitos legales en materia de transparencia, gestión de riesgos y documentación, es necesario ampliar las estructuras de control existentes. Esto también afecta a las operaciones de SAP y a la organización de TI. La nueva normativa entrará en vigor, en su mayor parte, a partir de agosto de 2026.

La Ley de IA de la UE, aprobada por el Consejo de la UE en mayo de 2024, establece un marco uniforme para el uso de la inteligencia artificial en la Unión Europea. Este reglamento sobre IA, el único de este tipo en el mundo hasta la fecha, entrará en vigor en Alemania, en su mayor parte, en agosto de 2026. La normativa sobre IA está modificando así gradualmente las obligaciones de cumplimiento para el uso de la IA en el ámbito financiero y contable, así como la agenda de auditoría de la Auditoría Interna:

• Nuevas obligaciones para el inventario y la clasificación de riesgos de las aplicaciones de IA
• mayores requisitos de transparencia y documentación
• así como nuevas tareas de auditoría y gobernanza

1. La clasificación de riesgos como nueva medida de control

   El ICS debe incluir procesos que clasifiquen cada sistema de IA utilizado en una de las cuatro categorías de riesgo: inaceptable, alto, limitado o mínimo. Los requisitos del ICS son especialmente estrictos en el caso de los sistemas de IA de alto riesgo (por ejemplo, en la contratación de personal o en la verificación de solvencia crediticia).

2. Implementación de la gestión de riesgos de la IA

   El reglamento establece un sistema específico de gestión de riesgos para los sistemas de alto riesgo. Esto incluye:

   • La identificación y el análisis sistemáticos de los riesgos para la salud, la seguridad y los derechos fundamentales.
   • La definición de medidas de mitigación exige comprobar periódicamente su eficacia.
   • Obligaciones ampliadas en materia de documentación y registro: el sistema de control y supervisión (ICS) debe garantizar que la documentación técnica esté siempre actualizada y que los sistemas de IA registren automáticamente sus procesos (registro) para asegurar la trazabilidad.
   • Gobernanza de datos: en el futuro, los controles internos también deberán supervisar la calidad de los datos de entrenamiento y de prueba para minimizar sesgos y errores en los resultados de la IA.

3. Supervisión humana

   Los mecanismos de control deben garantizar que las decisiones tomadas por la IA puedan ser revisadas por personas y, de ser necesario, corregidas o suspendidas.

• Las evaluaciones crediticias basadas en la IA pueden clasificarse como de alto riesgo. Esto conlleva la realización obligatoria de análisis de riesgos, pruebas de sesgo y documentación.
• Se exige transparencia en cuanto a los datos de entrenamiento, la documentación de los modelos y la explicabilidad ante los reguladores y los interesados. Los procesos contables y de valoración deben seguir siendo auditables.
• El tratamiento de datos personales en los modelos de IA aumenta los riesgos relacionados con el RGPD. Los riesgos de discriminación (sesgo) requieren una supervisión continua y medidas correctivas específicas.
• Los auditores deben poder revisar la documentación técnica, los análisis de riesgos y los registros de pruebas.
• Las auditorías externas son cada vez más probables. Las disciplinas «impopulares», como la documentación de la pista de auditoría, están cobrando mayor importancia.

En la gestión de cambios y lanzamientos, los requisitos de validación documentada son cada vez mayores, ya que cualquier modificación de un modelo de IA en los sistemas SAP requiere registros de pruebas y de aprobaciones.

Los riesgos de terceros asociados a los modelos adquiridos y/o a los agentes en la nube (por ejemplo, los modelos de socios de SAP) exigen garantías contractuales sobre la procedencia de los datos y la transparencia de los modelos. Las siguientes aplicaciones de IA de SAP pueden verse afectadas por la Ley de IA de la UE:

• SAP Business AI (Joule, Agents): asistentes de IA basados en roles y escenarios, listos para usar, para RR. HH., compras, agente de periodificaciones contables y agente de gestión de tesorería
• SAP AI Core y AI Launchpad: infraestructura para el entrenamiento, la implementación, la gestión del ciclo de vida y la supervisión de modelos de aprendizaje automático propios en SAP BTP.
• Generative AI Hub / Funciones de IA generativa: integración de modelos generativos para la generación de textos/informes, resúmenes y búsqueda semántica (p. ej., en Joule).
• IA integrada en SAP S/4HANA: escenarios de IA preconfigurados (p. ej., procesamiento automático de facturas, clasificación, previsión de tesorería).
• Servicios de IA de SAP BTP (p. ej., clasificación de documentos, OCR, modelos tabulares): servicios reutilizables para la extracción de datos y la toma de decisiones.
• SAP Analytics Cloud (funciones de IA como «Just Ask») y servicios predictivos: análisis y explicabilidad para informes financieros.
• Gestión inteligente del ciclo de vida de los escenarios (ISLM) / Joule Studio / Herramientas de desarrollo: herramientas para el desarrollo, la gobernanza y el ciclo de vida de los casos de uso de IA en SAP.