La auditoría que detuvo un lanzamiento
Una aseguradora europea pasó cuatro meses generando 220 pantallas internas con un asistente de codificación de propósito general. El lanzamiento se pausó dos semanas antes de la puesta en marcha cuando auditoría interna hizo una sola pregunta: ¿qué prompt produjo la lógica de enrutamiento de aprobaciones en la pantalla 147, y podemos reproducirlo? Nadie pudo responder. La reconstrucción tomó otro trimestre.
El incidente no es excepcional. Es el resultado predeterminado cuando la salida de IA se trata como código fuente en lugar de un artefacto derivado.
A qué realmente se oponen los auditores
Los auditores no tienen un problema filosófico con los LLMs. Hemos estado en suficientes reuniones de revisión para saber que las objeciones son concretas y repetibles. Quieren saber qué produjo un control dado, si la misma entrada produce la misma salida, y si un humano con el rol adecuado aprobó el cambio. SOX, HIPAA, GDPR y la Ley de IA de la UE convergen en las mismas tres preguntas.
La generación de formato libre tiene dificultades con las tres. El historial de prompts rara vez se preserva. El modelo es no determinista. El revisor suele ser un desarrollador limpiando sintaxis, no un propietario de control firmando la intención.
El determinismo como control
Las industrias reguladas tratan la reproducibilidad como un control de primera clase. Un cálculo de nómina que da respuestas diferentes en días diferentes es un hallazgo, independientemente de cuán cercanas sean las respuestas. El mismo estándar se aplica al código generado. Si la misma especificación puede producir dos implementaciones diferentes, los auditores tratan ambas como no verificadas.
La generación estructurada contra un JSON Schema reduce el espacio de salida lo suficiente para que la reproducibilidad sea manejable. El descriptor es la especificación. Dos ejecuciones que producen el mismo descriptor producen la misma aplicación en ejecución, bit por bit, porque el runtime es fijo.
Trazabilidad a través del descriptor
El artefacto útil en una auditoría no es el componente React. Es el descriptor que lo generó. Un descriptor es corto, legible por humanos y revisable por un propietario de control que nunca ha escrito TypeScript. Cuando un auditor SOX pregunta cómo se aplican los umbrales de aprobación en la pantalla de configuración de proveedores, la respuesta es un bloque JSON de 40 líneas, no un componente de 600 líneas.
Hemos visto cómo esto reduce la recopilación de evidencia de semanas a horas. El descriptor se vincula a un commit, el commit se vincula a un aprobador, y el aprobador se vincula a un rol en el sistema RBAC. La cadena se cierra sin una hoja de cálculo.
Dónde pertenece la IA en el flujo de trabajo
La pregunta no es si la IA escribe el código. Es qué se le permite hacer commit a la IA. En el patrón que pasa auditoría, el LLM propone un cambio de descriptor. Un humano con el rol adecuado lo revisa y aprueba. El runtime lo compila en una pantalla en ejecución. El registro de auditoría captura cada paso.
Este es el inverso del patrón de “autocompletado con IA” que domina las herramientas de desarrollo. Cursor y sus pares optimizan para velocidad dentro del editor. Ese es un buen patrón para herramientas internas. Es el patrón equivocado para un sistema que debe responder ante un auditor externo.
La Ley de IA de la UE eleva las exigencias
La Ley de IA de la UE clasifica muchos sistemas empresariales de apoyo a decisiones como de alto riesgo, lo que trae obligaciones de registro, supervisión humana y documentación técnica. El código generado que no puede explicarse a sí mismo tendrá dificultades bajo el Artículo 13. Los descriptores generados, revisados y firmados, ya cubren la mayor parte del camino.
La conclusión
El código generado por IA puede pasar una auditoría de cumplimiento. Simplemente no puede pasarla como salida cruda. El artefacto que sobrevive la revisión es la especificación estructurada, revisada por el humano adecuado, compilada por un runtime fijo y registrada de principio a fin. Cada regulador con el que hemos hablado trata ese patrón como razonable. Ninguno de ellos trata “el modelo lo escribió” como una respuesta.