30 días de prueba de riesgos de IA generativa -Empezar ahora
Solicitar una demo
Professional ServicesProfessional Services

Guía de seguridad de la IA para los servicios profesionales

Proteja la confidencialidad del cliente y mantenga los estándares profesionales mientras gobierna la IA en las prácticas de consultoría, contabilidad, auditoría y asesoría

APES 110 Code of Ethics for Professional AccountantsCorporations Act 2001 (requisitos de auditoría)Privacy Act 1988Tax Agent Services Act 2009ASIC Regulatory GuidesAuditing Standards ASA 500, ASA 620Australian Privacy Principles

Audio version

Listen: Guía de seguridad de la IA para los servicios profesionales

Prefer audio? Play the narrated version of this guide.

Las firmas de servicios profesionales, consultoría, contabilidad, auditoría y asesoría, enfrentan la exposición al Shadow AI más extrema de cualquier sector. Los profesionales trabajan de forma independiente con datos sensibles de los clientes, y las herramientas de IA ofrecen mejoras de productividad irresistibles. Esta guía cubre la gobernanza de la IA para los riesgos únicos a los que se enfrentan las firmas de servicios profesionales australianas.

La adopción de la IA en los servicios profesionales

Las firmas de servicios profesionales, las Big Four (Deloitte, PwC, EY, KPMG), las firmas de nivel medio (BDO, Grant Thornton, Pitcher Partners, RSM), las consultoras de gestión (McKinsey, BCG, Bain) y las prácticas de asesoría especializadas, se encuentran entre los adoptantes más agresivos y extendidos de la tecnología de IA. La naturaleza del trabajo de los servicios profesionales, análisis, síntesis, documentación y asesoramiento, lo hace excepcionalmente adecuado para la ampliación mediante IA.

Las aplicaciones de la IA en los servicios profesionales incluyen la analítica de auditoría y las pruebas automatizadas que utilizan IA para analizar poblaciones completas de transacciones en lugar de muestras; la IA de cumplimiento y planificación fiscal que identifica oportunidades de optimización y prepara borradores de declaraciones; la automatización de la diligencia debida que analiza cientos de contratos y documentos en transacciones de fusiones y adquisiciones; la generación de entregables de consultoría donde la IA redacta marcos estratégicos, análisis de mercado y documentos de recomendación; la asistencia al modelado financiero donde la IA ayuda a construir, revisar y someter a pruebas de estrés modelos financieros; la supervisión del cumplimiento normativo con la IA siguiendo los cambios regulatorios y evaluando el impacto en los clientes; la asesoría de riesgos y la auditoría interna donde la IA analiza los entornos de control e identifica patrones de riesgo; y el desarrollo de propuestas y presentaciones donde la IA redacta propuestas dirigidas a clientes y contenido de presentación.

Las Big Four han realizado inversiones masivas en IA. La plataforma de IA EY.ai de EY, la integración de la IA por parte de Deloitte en su plataforma Omnia, la inversión de PwC en capacidades de IA responsable y las herramientas de auditoría y asesoría impulsadas por IA de KPMG representan miles de millones en inversión agregada. Estas firmas no solo utilizan la IA, venden servicios impulsados por IA a sus clientes.

Sin embargo, las firmas de servicios profesionales enfrentan una paradoja de gobernanza de la IA. Su personal es sofisticado, experto en tecnología y está sometido a una intensa presión de tiempo, exactamente el perfil más propenso a adoptar herramientas de IA de forma independiente. Los consultores, auditores y asesores trabajan habitualmente con los datos más sensibles que poseen sus clientes: registros financieros, planes estratégicos, objetivos de fusiones y adquisiciones, posiciones fiscales, exposiciones regulatorias e investigaciones internas. Cuando un consultor pega el plan estratégico de un cliente en ChatGPT para ayudar a redactar una recomendación, o un auditor introduce datos financieros de un cliente en una herramienta de analítica de IA, la violación de la confidencialidad es inmediata y potencialmente devastadora tanto para la relación con el cliente como para la reputación de la firma.

Principales riesgos de seguridad de la IA en los servicios profesionales

Las firmas de servicios profesionales enfrentan riesgos de seguridad de la IA que se ven amplificados por la naturaleza de sus relaciones con los clientes, sus obligaciones profesionales y su modelo operativo.

Violación de la confidencialidad del cliente a través de la IA: el riesgo más crítico es la exposición de información confidencial del cliente a través de herramientas de IA. Las firmas de servicios profesionales tienen deberes fiduciarios y contractuales de confidencialidad que se extienden a todos los encargos de los clientes. Cuando los profesionales pegan datos de clientes, estados financieros, detalles de transacciones, planes estratégicos, conclusiones de investigaciones, posiciones fiscales, en herramientas de IA, se arriesgan a violar acuerdos de confidencialidad, incumplir deberes fiduciarios y potencialmente renunciar al secreto profesional jurídico sobre el trabajo de asesoramiento. El riesgo se agrava por la naturaleza multicliente de los servicios profesionales, una sola interacción con una herramienta de IA podría exponer información confidencial de múltiples clientes si los profesionales copian y pegan entre encargos sin controles adecuados.

APES 110 y violaciones de la ética profesional: el código deontológico APES 110 Code of Ethics for Professional Accountants establece principios fundamentales que incluyen la confidencialidad (Section 114), la competencia profesional y el debido cuidado (Section 113) y la integridad (Section 111). El uso de la IA que compromete la confidencialidad del cliente viola la Section 114 independientemente de la intención. Los resultados de la IA en los que se confía sin una verificación adecuada pueden incumplir el requisito de competencia profesional y debido cuidado. El Accounting Professional and Ethical Standards Board (APESB) aún no ha emitido orientaciones específicas sobre la IA, pero el marco existente se aplica claramente, las obligaciones de confidencialidad son neutrales en cuanto a la tecnología.

Independencia de la auditoría e IA: los auditores enfrentan riesgos específicos al utilizar IA en el proceso de auditoría. La norma de auditoría ASA 500 (Audit Evidence) exige que la evidencia de auditoría sea suficiente y apropiada, el análisis generado por IA debe cumplir este estándar. ASA 620 (Using the Work of an Auditor's Expert) puede aplicarse cuando los sistemas de IA desempeñan funciones equivalentes a las de un experto. El programa de inspección de auditorías de la ASIC examina cada vez más el uso de la tecnología en la auditoría, y las herramientas de IA que influyen en las opiniones de auditoría sin una documentación y validación adecuadas crean un riesgo regulatorio. El uso de datos proporcionados por el cliente en sistemas de IA también podría crear amenazas a la independencia en virtud del APES 110 Section 600 si la relación con el proveedor de IA crea una amenaza de interés propio o de defensa de intereses.

Contaminación entre encargos: las firmas de servicios profesionales atienden a clientes competidores dentro de los mismos sectores. Las herramientas de IA que retienen datos o aprenden de las entradas crean el riesgo de una fuga de información entre encargos. Una IA de consultoría que ha estado expuesta al plan estratégico de un cliente podría, en teoría, influir en el asesoramiento dado a un competidor. Este riesgo de contaminación cruzada es fundamental y requiere un aislamiento estricto de los datos en cualquier implementación de IA.

Shadow AI a escala extrema: las firmas de servicios profesionales tienen la mayor exposición al Shadow AI de cualquier sector. Cada consultor, auditor y asesor es un trabajador del conocimiento con fuertes incentivos para utilizar la IA. A diferencia de la fabricación o la energía, no existen sistemas físicos que limiten la adopción de la IA, es puramente una cuestión de comportamiento individual. Las encuestas indican que más del 70% de los trabajadores de servicios profesionales han utilizado IA generativa para tareas laborales, y la mayoría ha utilizado herramientas de consumo en lugar de plataformas aprobadas por la firma.

Riesgos para la propiedad intelectual y el producto del trabajo: los marcos de consultoría, las metodologías de auditoría, los enfoques analíticos propietarios y los entregables de los clientes representan una propiedad intelectual significativa. Cuando los profesionales utilizan herramientas de IA con estos materiales, se arriesgan a exponer la PI de la firma a los proveedores de IA y potencialmente a permitir que los competidores se beneficien de las metodologías de la firma a través del entrenamiento de modelos de IA.

APES 110 y cumplimiento normativo para la IA en los servicios profesionales

El marco regulatorio que rige los servicios profesionales impone obligaciones específicas que afectan directamente a la gobernanza de la IA.

Confidencialidad del APES 110 (Section 114): la Section 114 exige que los contadores profesionales respeten la confidencialidad de la información adquirida como resultado de relaciones profesionales y comerciales. Esta obligación continúa incluso después del fin de la relación profesional. Para la IA, esto significa que todas las herramientas de IA que procesan información de los clientes deben mantener la confidencialidad, incluida la garantía de que los proveedores de IA no retengan, utilicen ni entrenen sus modelos con los datos de los clientes. La obligación de confidencialidad se extiende a todo el personal, los contratistas y los sistemas tecnológicos utilizados en el encargo. Las firmas deben evaluar si el uso de una herramienta de IA constituye una divulgación de información confidencial a un tercero, lo que requiere el consentimiento del cliente, salvo que una obligación legal o profesional permita o exija la divulgación.

Competencia profesional y debido cuidado del APES 110 (Section 113): la Section 113 exige que los contadores profesionales mantengan sus conocimientos y habilidades profesionales al nivel requerido para garantizar que los clientes reciban un servicio profesional competente. Para la IA, esto crea una doble obligación, los profesionales deben ser competentes en el uso de las herramientas de IA (comprendiendo sus capacidades y limitaciones) y deben ejercer el debido cuidado al verificar los resultados de la IA antes de confiar en ellos en su trabajo profesional. Un auditor que confía en un análisis generado por IA sin comprender la metodología de la IA ni validar sus resultados frente a los datos de origen incumple el requisito de debido cuidado.

Requisitos de auditoría del Corporations Act: el Corporations Act 2001, Part 2M.3, impone a los auditores requisitos que afectan al uso de la IA. La Section 307C exige que los auditores realicen las auditorías de conformidad con las normas de auditoría, las herramientas de IA utilizadas en la auditoría deben cumplir los requisitos ASA. La Section 307A exige que el auditor forme una opinión basada en la evidencia de auditoría, el análisis asistido por IA debe producir evidencia que cumpla las pruebas de suficiencia y adecuación en virtud del ASA 500. La ASIC ha indicado en sus informes de inspección de auditorías que examinará el uso de herramientas automatizadas y analítica de datos en la auditoría, incluido si las firmas disponen de un control de calidad adecuado sobre los procedimientos de auditoría asistidos por IA.

Tax Agent Services Act 2009: los agentes fiscales y agentes BAS registrados deben cumplir el código de conducta profesional en virtud del Tax Agent Services Act. Esto incluye mantener la confidencialidad de la información de los clientes y ejercer la competencia profesional. Las herramientas de IA utilizadas en la preparación fiscal, la planificación fiscal y el cumplimiento deben mantener la confidencialidad de los datos y producir resultados exactos, un asesoramiento fiscal generado por IA que sea incorrecto podría constituir un incumplimiento del código y dar lugar a sanciones del Tax Practitioners Board (TPB).

Obligaciones del Privacy Act: las firmas de servicios profesionales que recopilan y procesan información personal en nombre de los clientes deben cumplir el Privacy Act 1988. Esto incluye las restricciones del APP 6 (uso y divulgación) sobre el procesamiento de información personal de los clientes a través de herramientas de IA, los requisitos del APP 11 (seguridad) para proteger la información personal en los sistemas de IA, y el esquema Notifiable Data Breaches que exige la notificación de las violaciones de datos elegibles, incluida la exposición de datos relacionada con la IA, a la OAIC y a las personas afectadas.

Normas profesionales emergentes: aunque las normas específicas de IA para los servicios profesionales aún están en desarrollo, la dirección es clara. CA ANZ (Chartered Accountants Australia and New Zealand), CPA Australia y el Institute of Public Accountants están desarrollando orientaciones sobre la IA. El International Auditing and Assurance Standards Board (IAASB) está revisando cómo se aplican las normas de auditoría a la IA. Las firmas deberían anticipar una divulgación obligatoria de la IA, requisitos de competencia en IA y normas de gobernanza de la IA dentro de los marcos profesionales de contabilidad y auditoría.

Construir un marco de gobernanza de la IA para las firmas de servicios profesionales

Las firmas de servicios profesionales necesitan marcos de gobernanza de la IA que sitúen la confidencialidad del cliente en su núcleo, al tiempo que habilitan los beneficios de productividad que aporta la IA.

Comité de gobernanza de la IA de servicios profesionales: establezca una gobernanza que refleje la estructura de sociedad y las obligaciones profesionales. Incluya al Managing Partner o CEO, el Chief Risk Officer o National Risk Management Partner, el Chief Information Security Officer, los responsables de práctica (Auditoría, Fiscalidad, Asesoría, Consultoría), el National Quality and Compliance Partner, el General Counsel y la dirección de tecnología e innovación. Este comité debe tener autoridad para aprobar las herramientas de IA destinadas a su uso en encargos de clientes, establecer estándares de tratamiento de datos, exigir requisitos de formación y hacer cumplir las consecuencias por violaciones de las políticas, incluido el uso del Shadow AI con datos de clientes.

Clasificación de las herramientas de IA para los servicios profesionales: implemente un sistema de clasificación que refleje el riesgo de confidencialidad del cliente. El Tier 1 (IA de encargo de cliente) incluye las herramientas de IA utilizadas en los encargos de clientes que procesan datos de clientes, estas requieren la máxima gobernanza, incluida la evaluación del consentimiento del cliente, la verificación del aislamiento de datos, la revisión de independencia (para auditoría) y la aprobación de un socio. El Tier 2 (IA de conocimiento de la firma) incluye las herramientas de IA utilizadas con la propiedad intelectual, las metodologías y los datos no relativos a clientes de la firma, estas requieren una revisión de seguridad, una evaluación de la protección de la PI y la aprobación de la dirección de práctica. El Tier 3 (IA de productividad personal) incluye las herramientas de IA utilizadas para tareas generales sin datos de clientes ni datos propietarios de la firma, estas requieren una revisión de seguridad básica y un reconocimiento del uso aceptable.

Controles de confidencialidad del cliente para la IA: implemente controles técnicos y de procedimiento que protejan la confidencialidad del cliente en las interacciones con la IA. Las implementaciones de IA empresarial deben incluir un aislamiento de datos que garantice la ausencia de fugas de datos entre clientes, compromisos contractuales de que los proveedores de IA no retendrán, utilizarán ni entrenarán sus modelos con los datos de los clientes, controles de residencia de datos que garanticen que los datos de los clientes permanezcan en las jurisdicciones acordadas, controles de acceso que limiten el acceso a las herramientas de IA a los miembros autorizados del equipo del encargo, y un registro de auditoría de todas las interacciones con la IA que impliquen datos de clientes.

Políticas de IA a nivel de encargo: distintos encargos pueden tener requisitos de IA diferentes en función de las preferencias del cliente, el contexto regulatorio y la sensibilidad de los datos. Incluya disposiciones de uso de la IA en las cartas de encargo y los acuerdos con clientes. Establezca un proceso para que los clientes especifiquen restricciones o preferencias en materia de IA. Implemente controles de acceso a las herramientas de IA a nivel de encargo cuando sea factible. Documente el uso de la IA en los archivos de encargo para la revisión de calidad y la inspección regulatoria. Realice una evaluación de riesgos de la IA como parte de los procedimientos de aceptación y continuidad del encargo.

Gobernanza de la IA específica de la auditoría: los encargos de auditoría requieren una gobernanza de la IA adicional que refleje los requisitos regulatorios. Las herramientas de IA utilizadas en la auditoría deben cumplir las Australian Auditing Standards, en particular ASA 500 (evidencia de auditoría) y ASA 315 (identificación y evaluación de riesgos). Documente la metodología de la IA, incluidas las entradas de datos, los algoritmos y los procedimientos de validación, como parte del archivo de auditoría. Garantice que el análisis de la IA sea revisado por miembros cualificados del equipo de auditoría antes de influir en las conclusiones de la auditoría. Mantenga la independencia evaluando si las relaciones con los proveedores de IA crean amenazas en virtud del APES 110 Section 600. Prepárese para la inspección de la ASIC documentando el uso de la IA en la metodología de auditoría y los procedimientos de control de calidad.

Responsabilidad de los socios y la dirección: en las firmas de servicios profesionales, los socios asumen una responsabilidad personal por la calidad de los encargos y la confidencialidad de los clientes. La gobernanza de la IA debe asignar claramente la responsabilidad de los socios por el uso de la IA dentro de sus encargos, exigir la revisión por un socio de los entregables asistidos por IA antes de su entrega al cliente, incluir la gobernanza de la IA en la evaluación del desempeño de los socios y garantizar que los socios comprendan sus obligaciones de supervisión respecto al uso de la IA por parte de los equipos de encargo.

Prevención del Shadow AI en los servicios profesionales

El Shadow AI en los servicios profesionales es omnipresente, persistente y excepcionalmente difícil de controlar. La combinación de trabajadores altamente cualificados y autónomos, una intensa presión de tiempo y un acceso constante a datos sensibles de los clientes crea las condiciones perfectas para una adopción no gobernada de la IA.

Escenarios comunes de Shadow AI en los servicios profesionales: consultores que pegan planes estratégicos de clientes, datos financieros e inteligencia competitiva en ChatGPT para ayudar a estructurar el análisis y redactar entregables. Auditores que introducen balances de comprobación, asientos contables y estados financieros de clientes en una IA para su análisis y detección de anomalías fuera de las herramientas aprobadas por la firma. Profesionales fiscales que suben declaraciones de impuestos, registros financieros y escrituras de fideicomiso de clientes a una IA para investigación y verificación de cumplimiento. Equipos de diligencia debida que pegan datos de empresas objetivo, contratos y modelos financieros en una IA para un análisis rápido durante transacciones con presión de tiempo. Socios de asesoría que dictan notas de reuniones con clientes y discusiones estratégicas en herramientas de IA de transcripción y resumen. Personal junior que utiliza IA para redactar correspondencia con clientes, memorandos y diapositivas de presentación que incorporan información confidencial del encargo.

El desafío del trabajador autónomo: las firmas de servicios profesionales no pueden basarse principalmente en controles técnicos para prevenir el Shadow AI. Los consultores trabajan en las instalaciones de los clientes, en dispositivos personales, a través de redes de clientes y en múltiples jurisdicciones. Muchos profesionales tienen suscripciones personales de IA que son invisibles para el departamento de TI de la firma. El enfoque más eficaz combina controles técnicos específicos con una sólida cultura profesional, consecuencias claras y alternativas aprobadas genuinamente útiles.

Controles técnicos para los servicios profesionales: implemente reglas de DLP configuradas para patrones de datos específicos de los servicios profesionales, nombres de clientes, números ABN/ACN, cifras financieras, referencias de encargos. Implemente la gestión de endpoints en todos los dispositivos de la firma con controles de aplicaciones de IA. Utilice un CASB (Cloud Access Security Broker) para supervisar y controlar el uso de los servicios de IA en la nube. Supervise el correo electrónico y las plataformas de colaboración de la firma en busca de indicadores de uso de herramientas de IA. Implemente el aislamiento del navegador o controles de proxy web en las redes de la firma que bloqueen los servicios de IA no aprobados. Realice auditorías periódicas de los informes de gastos y los servicios por suscripción para detectar compras de herramientas de IA.

Proporcionar IA empresarial aprobada: la contramedida más eficaz contra el Shadow AI es proporcionar herramientas de IA empresarial que sean genuinamente útiles para el trabajo de los servicios profesionales. Implemente una plataforma de IA empresarial para toda la firma (como Microsoft Copilot para Microsoft 365, o una implementación de GPT específica de la firma en Azure OpenAI) con protección de los datos de los clientes, aislamiento de datos y sin entrenamiento de modelos con los datos de la firma. Proporcione herramientas de IA aprobadas para flujos de trabajo específicos de los servicios profesionales, investigación, análisis, redacción y revisión, integradas con los sistemas de gestión del conocimiento de la firma. Cree bibliotecas de prompts y plantillas de IA específicas de la firma adaptadas a los flujos de trabajo de consultoría, auditoría, fiscalidad y asesoría. Garantice que las herramientas de IA aprobadas sean tan fáciles de acceder y utilizar como las alternativas de consumo, la fricción impulsa la adopción del Shadow AI.

Cultura, formación y consecuencias: construya una cultura profesional en la que se espere el uso gobernado de la IA y se trate el uso no gobernado de la IA como un problema grave de conducta profesional. Haga de la gobernanza de la IA una parte de la incorporación de todo el personal nuevo, incluidas las contrataciones laterales procedentes de otras firmas. Lleve a cabo una formación periódica que enfatice que las violaciones de confidencialidad relacionadas con la IA equivalen a enviar archivos de clientes a cuentas personales por correo electrónico, una violación grave independientemente de la intención. Incluya el cumplimiento de la gobernanza de la IA en las evaluaciones de desempeño y los criterios de promoción. Establezca consecuencias claras para el uso del Shadow AI con datos de clientes, proporcionales a la gravedad de la violación. Reconozca y recompense a los equipos que innovan eficazmente dentro de marcos de IA gobernados.

Principales riesgos de seguridad de la IA en el sector Professional Services

Violación de la confidencialidad del cliente

Datos financieros, planes estratégicos e información de encargos de los clientes expuestos a través de herramientas de IA, en violación de los deberes fiduciarios y las obligaciones de confidencialidad del APES 110

Calidad e independencia de la auditoría

Herramientas de IA utilizadas en la auditoría sin una validación adecuada que crean riesgos para la calidad de la evidencia de auditoría y posibles amenazas a la independencia en virtud del APES 110

Contaminación entre encargos

Herramientas de IA que retienen o aprenden de los datos de los clientes, creando un riesgo de fuga de información entre encargos de clientes competidores

Exposición extrema al Shadow AI

Más del 70% de los trabajadores de servicios profesionales que utilizan herramientas de IA de consumo con datos de clientes, creando flujos de datos no gobernados omnipresentes

Violaciones de la ética profesional

Un uso de la IA que no cumple los estándares de competencia profesional y debido cuidado en virtud del APES 110, los requisitos de la ASIC o el código de conducta del Tax Practitioners Board

Exposición de la PI y las metodologías de la firma

Marcos de consultoría propietarios, metodologías de auditoría y enfoques analíticos expuestos a través de interacciones con herramientas de IA

Lista de cumplimiento de IA para el sector Professional Services

  • 1
    Evaluar todas las herramientas de IA frente a las obligaciones de confidencialidad del APES 110 antes de su implementación con datos de clientes
  • 2
    Implementar controles de aislamiento de datos que garanticen la ausencia de fugas de datos entre clientes en las plataformas de IA empresarial
  • 3
    Implementar una IA empresarial para toda la firma con compromisos contractuales contra la retención de datos y el entrenamiento de modelos
  • 4
    Establecer políticas de IA a nivel de encargo con disposiciones de consentimiento del cliente en las cartas de encargo
  • 5
    Documentar la metodología de la IA en los archivos de auditoría para el cumplimiento ASA y la preparación para la inspección de la ASIC
  • 6
    Realizar evaluaciones de independencia para las relaciones con los proveedores de IA en los encargos de auditoría
  • 7
    Implementar controles DLP y CASB que detecten datos de clientes en el tráfico de herramientas de IA no aprobadas
  • 8
    Formar a todo el personal sobre las obligaciones de confidencialidad de la IA del APES 110 durante la incorporación y anualmente
  • 9
    Incluir el cumplimiento de la gobernanza de la IA en la responsabilidad de los socios y la evaluación del desempeño
  • 10
    Evaluar y gestionar el uso de la IA en las relaciones con corredores, intermediarios y subcontratistas

Guías sectoriales relacionadas

Relacionado

Proteja la IA en su organización del sector Professional Services

Aona AI ayuda a las organizaciones del sector professional services a descubrir, supervisar y gobernar el uso de la IA con controles de cumplimiento específicos del sector.