16 de julio de 2026
Suscribirse


16 de julio de 2026
Suscribirse
OPINIÓN

IA en la elaboración de matrices de riesgo: alcances y límites

16 de julio de 2026

Rafael Toledo Plata

Socio Audire Sostenible Abogados S.A.S.

audireabogados@gmail.com
Canal de noticias de Asuntos Legales

Para nadie es un secreto que, en materia de prevención de actividades ilícitas, los sujetos obligados tienen la carga de elaborar matrices para la identificación oportuna de riesgos y la correcta adopción de controles internos que eviten su materialización. Estas matrices no son un simple requisito documental: constituyen la base sobre la cual se construyen las decisiones estratégicas de cumplimiento y el soporte que permite demostrar, ante cualquier autoridad, que la organización actuó con criterio y conocimiento de su exposición real.

Con el auge de la Inteligencia Artificial (IA), conviene preguntarse qué sucede si se utilizan estas herramientas para la elaboración de dichas matrices. La inquietud es relevante porque la IA ha empezado a permear procesos corporativos de manera acelerada, y su capacidad para procesar grandes volúmenes de información podría resultar atractiva para quienes buscan optimizar tiempos y recursos. Sin embargo, debe tenerse en cuenta que no debe estigmatizarse el uso de tecnologías que, bien empleadas, permiten identificar vacíos, contradicciones o patrones que la lectura humana puede pasar por alto. La tecnología, en este campo, puede ser un aliado valioso.

No obstante, la responsabilidad, en última instancia, no es —ni puede ser— de la herramienta. La obligación recae en la persona jurídica, que designa a uno o varios funcionarios para la elaboración de las matrices y para la toma de decisiones informadas. La IA no es un oficial de cumplimiento, no es un experto certificado y no es un sujeto sancionable. Su rol es estrictamente instrumental. En otras palabras, existe una clara delimitación de responsabilidad que no puede (ni tiene por qué) ser asumida por un sistema utilizado —gratuito o pago— cuya función es brindar soporte adicional, sin estar llamado a reemplazar al humano encargado de la labor.

Por lo anterior, es dable indicar que el procedimiento que debe seguirse, en caso de querer incorporar la IA en la elaboración de matrices de riesgo, debe incluir cuando menos:

Identificación previa, por parte del equipo encargado, de los riesgos inherentes y residuales a los que está expuesta la persona jurídica por su operación, entorno y características particulares.
Identificación y evaluación de los controles existentes, con el fin de establecer si, con fundamento en la experiencia, tales medidas han sido oportunas y suficientes para prevenir la materialización de los riesgos.
Solo después de cumplir estas etapas iniciales, uso posterior de la IA, para que la herramienta —ágil en el procesamiento de datos— pueda identificar nuevos riesgos no evidentes, debilidades en los controles o sugerir ideas adicionales. Todo ello deberá ser analizado, estudiado y ajustado según las circunstancias propias de la compañía, pues incluso la tecnología puede fallar o generar inferencias erróneas.
Tener un proceso articulado entre talento humano e IA es el camino natural de adaptación que deben recorrer las empresas en Colombia. No obstante, tratándose de riesgos, controles, mitigación y otras circunstancias ajenas al conocimiento pleno de la IA, es fundamental contar siempre con la supervisión de personas que conozcan las particularidades propias del negocio y del marco regulatorio. Solo así se evita que los delirios o imprecisiones que pueda cometer un sistema terminen comprometiendo la responsabilidad del encargado o incluso la de la compañía. La tecnología puede apoyar, pero la prudencia sigue siendo humana.

¿Quiere publicar su edicto en línea?

Solo envíe su Edicto o Aviso de Ley, y recibirá la información para su publicación
Comprar ahora
Contáctenos vía WhatsApp

ÚLTIMA EDICIÓN IMPRESA