← Publicaciones← Publications
TRIATRIASIGENSIGENSector públicoPublic SectorISO 42001ISO 42001

Lo que exige la nueva guía de SIGEN, y por qué coincide con un modelo de madurez ya en desarrolloWhat SIGEN's New Guide Requires, and Why It Matches a Maturity Model Already in Development

Analista de Transfer Pricing, Grant Thornton Argentina. Investigador en gobernanza algorítmica aplicada al cumplimiento fiscal internacional.Transfer Pricing Analyst, Grant Thornton Argentina. Researcher in algorithmic governance applied to international tax compliance.

Ulises Lento24 de junio de 2026Jun 24, 2026~5 min de lectura~5 min read

El 28 de mayo de 2026, la Sindicatura General de la Nación emitió la Guía de Controles de Inteligencia Artificial (IF-2026-53068261-APN-GPNYPT#SIGEN), el primer marco de control interno específico para el uso de IA en el Sector Público Nacional argentino. No es una declaración de principios. Es un programa de auditoría, con objetivos de control y riesgos asociados, pensado para que los auditores gubernamentales lo apliquen.On May 28, 2026, Argentina's General Auditor of the Nation (SIGEN) issued the Artificial Intelligence Controls Guide (IF-2026-53068261-APN-GPNYPT#SIGEN), the first internal-control framework specific to AI use in the Argentine National Public Sector. It is not a statement of principles. It is an audit program, with control objectives and associated risks, meant to be applied by government auditors.

Es la pieza normativa más concreta que existe hoy en Argentina sobre el tema, y vale la pena entender qué exige exactamente — y qué deja sin resolver.

It is the most concrete regulatory piece that exists in Argentina today on the subject, and it is worth understanding exactly what it requires — and what it leaves unresolved.

Qué exige la guíaWhat the Guide Requires

SIGEN organiza el documento en dos modalidades: uso individual de IA generativa (sin integración institucional) y uso de sistemas de IA incorporados a procesos o decisiones organizacionales. Para cada una define objetivos de control y los riesgos específicos que cada control busca mitigar.

SIGEN organizes the document into two modes: individual use of generative AI (without institutional integration) and the use of AI systems embedded in organizational processes or decisions. For each, it defines control objectives and the specific risks each control aims to mitigate.

El núcleo conceptual es la separación entre ejecución y responsabilidad. La guía lo plantea sin rodeos: “la incorporación de IA no traslada la responsabilidad a los sistemas automatizados: las decisiones, sus impactos y sus resultados continúan siendo responsabilidad de los funcionarios y de las estructuras organizacionales que las implementan”.

The conceptual core is the separation between execution and responsibility. The guide states it bluntly: “the incorporation of AI does not transfer responsibility to automated systems: decisions, their impacts and their outcomes remain the responsibility of the officials and organizational structures that implement them.”

Esto es relevante porque desplaza el eje de la discusión. No importa si el sistema funciona bien en promedio; importa si la organización puede reconstruir, ante una auditoría o un reclamo, quién decidió qué y con qué base.

This matters because it shifts the axis of the discussion. It does not matter whether the system works well on average; what matters is whether the organization can reconstruct, before an audit or a complaint, who decided what and on what basis.

Los cuatro puntos que más fricción van a generarThe Four Points Likely to Generate the Most Friction

De los catorce objetivos de control que define la guía para sistemas con entrenamiento de datos, hay cuatro que probablemente sean los más difíciles de instrumentar en la práctica, porque exigen documentación que la mayoría de las organizaciones todavía no produce:

Of the fourteen control objectives the guide defines for systems with data training, four are likely the hardest to implement in practice, because they require documentation most organizations do not yet produce:

  • Trazabilidad de operaciones y configuración, con registros que permitan identificar fehacientemente a los responsables por decisiones críticas.Traceability of operations and configuration, with records that reliably identify those responsible for critical decisions.
  • Explicabilidad como condición de uso, no como atributo deseable: los resultados deben poder explicarse a las personas afectadas y a terceros.Explainability as a condition of use, not a desirable attribute: results must be explainable to affected individuals and third parties.
  • Actas de compromiso ético firmadas por los integrantes del equipo de desarrollo — formalización escrita de la responsabilidad individual frente al sistema.Ethical-commitment records signed by members of the development team — a written formalization of individual responsibility toward the system.
  • Registro y tratamiento de incidentes éticos, distinguidos explícitamente de los incidentes técnicos.Recording and handling of ethical incidents, explicitly distinguished from technical incidents.

Ninguno de los cuatro habla de productividad. Todos hablan de poder reconstruir, después del hecho, una decisión tomada con apoyo de un sistema. Esa es la línea que separa a una organización que adoptó IA de una que adoptó IA con gobierno.

None of the four is about productivity. All of them are about being able to reconstruct, after the fact, a decision made with the support of a system. That is the line separating an organization that adopted AI from one that adopted AI with governance.

Lo que la guía define, y lo que deja abiertoWhat the Guide Defines, and What It Leaves Open

SIGEN responde con claridad la pregunta de qué controlar: la guía es exhaustiva en objetivos de control y riesgos asociados, y se apoya en un universo bibliográfico amplio (NIST AI RMF, ISACA, COSO, OCDE, UNESCO, CISA).

SIGEN clearly answers the question of what to control: the guide is exhaustive in its control objectives and associated risks, and draws on a broad body of references (the NIST AI RMF, ISACA, COSO, OECD, UNESCO, CISA).

Lo que no responde — porque no es su función — es cómo medir en qué etapa de madurez está una organización frente a esos catorce puntos, ni cómo priorizar cuáles atacar primero según el riesgo real del proceso que la IA está asistiendo. Tampoco aparece mencionado ISO/IEC 42001, el estándar internacional de sistema de gestión de IA, que sí ofrece ese tipo de escala.

What it does not answer — because that is not its function — is how to measure what maturity stage an organization is at relative to those fourteen points, or how to prioritize which to tackle first based on the real risk of the process AI is assisting. ISO/IEC 42001, the international AI management-system standard that does offer that kind of scale, is not mentioned either.

Ese es exactamente el espacio que ocupan los modelos de madurez en gobernanza algorítmica que distintos actores del sector vienen desarrollando —entre ellos, el marco TRIA y su matriz diagnóstica MDMA—: instrumentos pensados para traducir objetivos de control como los de SIGEN en un diagnóstico de dónde está hoy una organización y qué le falta para cumplir.

That is exactly the space occupied by the algorithmic-governance maturity models that different actors in the sector have been developing — among them, the TRIA framework and its MDMA diagnostic matrix: instruments designed to translate control objectives like SIGEN's into a diagnosis of where an organization stands today and what it needs to comply.

Por qué esto importa ahoraWhy This Matters Now

Cuando un organismo de control del Poder Ejecutivo Nacional publica, en 2026, un marco que exige documentar el entrenamiento de los modelos, controlar el envenenamiento de datos, asegurar revisión humana de decisiones críticas y mantener actas de compromiso ético — deja de ser una discusión académica. Es la línea de base que cualquier organización, pública o privada, debería estar midiendo hoy.

When a National Executive Branch control body publishes, in 2026, a framework that requires documenting model training, controlling data poisoning, ensuring human review of critical decisions and keeping ethical-commitment records — it stops being an academic discussion. It is the baseline any organization, public or private, should be measuring itself against today.

La automatización sin trazabilidad no es eficiencia. Es riesgo diferido.
Automation without traceability is not efficiency. It is deferred risk.

Fuente: Sindicatura General de la Nación. Guía de Controles de Inteligencia Artificial. IF-2026-53068261-APN-GPNYPT#SIGEN, 28 de mayo de 2026.Source: Sindicatura General de la Nación (SIGEN). Artificial Intelligence Controls Guide. IF-2026-53068261-APN-GPNYPT#SIGEN, May 28, 2026.

Compartir
Ver tambiénSee also
Marco normativoRegulatory Framework
La matriz que nadie armó: cinco normas que ya regulan la IA en tu firmaThe matrix no one assembled: five regulations already governing AI in your firm
11 jun 2026Jun 11, 2026 · ~8 min
Leer →Read →
ISO 42001ISO 42001
ISO 42001: El Estándar Internacional para el Uso Responsable de la IAISO 42001: The International Standard for Responsible AI Use
5 jun 2026Jun 5, 2026 · ~4 min
Leer →Read →
Poder JudicialJudicial Power
La Suprema Corte de Buenos Aires aprobó su reglamento de IA. Es el más detallado del país hasta ahora.The Supreme Court of Buenos Aires Approved Its AI Regulation. It's the Most Detailed in the Country So Far.
24 jun 2026Jun 24, 2026 · ~9 min
Leer →Read →
TRIATRIA
Quién Firma Cuando Decide la MáquinaWho Signs When the Machine Decides
22 jun 2026Jun 22, 2026 · ~5 min
Leer →Read →
Gobernanza IAAI Governance
El Poder Judicial CABA y el modelo institucionalThe CABA Judiciary and the Institutional Governance Model
18 jun 2026Jun 18, 2026 · ~6 min
Leer →Read →