Cuando los reguladores auditan sus sistemas de IA, no se limitan a comprobar la documentación: quieren evidencias de que sus controles de gobernanza realmente funcionan. Estas son las 10 preguntas que debería estar preparado para responder.
1. ¿Cómo clasifica sus sistemas de IA según el nivel de riesgo?
Los auditores solicitarán su inventario de sistemas de IA y su metodología de clasificación. Quieren comprobar que ha evaluado sistemáticamente cada sistema conforme a los marcos regulatorios de riesgo.
- Inventario completo de sistemas de IA/ML en producción
- Clasificación de riesgo de cada sistema con justificación documentada
- Proceso de reevaluación de la clasificación cuando los sistemas cambian
2. ¿Quién aprobó el despliegue de este sistema de IA?
Antes de que cualquier sistema de alto riesgo entre en funcionamiento, debe existir una aprobación documentada por parte de las partes interesadas pertinentes, no solo la validación del equipo de ingeniería.
3. ¿Cómo supervisan las personas las decisiones de la IA?
Este es el punto en el que muchas organizaciones fallan. Los auditores quieren evidencias de una supervisión humana efectiva, no solo políticas que declaren su existencia.
- Procedimientos de supervisión documentados
- Evidencias de que las personas pueden intervenir y efectivamente lo hacen
- Registros de aprobaciones y anulaciones humanas
4. ¿Puede mostrarme la traza de decisión de este caso concreto?
Los auditores pueden seleccionar casos individuales y pedirle que trace la decisión desde la entrada hasta la salida, incluyendo cualquier revisión humana. Su traza de auditoría debe ser completa y accesible.
5. ¿Cómo detecta y gestiona los fallos o errores de la IA?
¿Qué ocurre cuando su sistema de IA comete un error? Los auditores quieren ver monitorización, alertas y procedimientos de respuesta ante incidentes.
6. ¿Qué datos de entrenamiento se utilizaron y cómo se gobernaron?
La gobernanza de datos es fundamental. Esté preparado para explicar las fuentes de datos, los controles de calidad, las evaluaciones de sesgo y el cumplimiento en materia de privacidad.
7. ¿Cómo previene y detecta la deriva del modelo?
Los sistemas de IA se degradan con el tiempo. Presente su enfoque de monitorización para detectar cuándo los modelos experimentan una deriva del modelo respecto al comportamiento esperado.
8. ¿Quién puede acceder al sistema de IA y modificarlo?
Los controles de acceso, la gestión de cambios y los registros de auditoría de las modificaciones del sistema son requisitos básicos.
9. ¿Durante cuánto tiempo conserva los registros de decisiones de la IA?
Las políticas de retención deben ajustarse a los requisitos regulatorios, que a menudo exigen de 5 a 7 años o más en sectores regulados.
10. ¿Puede exportar las evidencias para una verificación independiente?
Los auditores modernos esperan poder verificar las evidencias de forma independiente, no limitarse a confiar en informes internos. Sus exportaciones de evidencias deben incluir verificación de integridad (sumas de comprobación, firmas digitales).
Preguntas frecuentes
¿Con cuánta antelación debo prepararme para una auditoría de IA?
Empiece ahora. El mejor momento para prepararse fue cuando desplegó el sistema. El segundo mejor momento es hoy. Las auditorías simuladas deberían realizarse al menos trimestralmente.
¿Qué formato de evidencia prefieren los auditores?
Los auditores quieren evidencias estructuradas y verificables, no registros en bruto. Los paquetes de evidencias con manifiestos, sumas de comprobación y una correspondencia clara con los requisitos regulatorios hacen que las auditorías sean más rápidas y exitosas.
Conclusiones clave
El hilo conductor de todas estas preguntas es la evidencia. Las políticas y los procedimientos importan, pero en última instancia los auditores quieren pruebas de que sus controles funcionan en la práctica. Integre la recopilación de evidencias en sus flujos de trabajo de IA desde el primer día.