Volver al blog
Guías Técnicas

Checklist de Preparación para Auditoría Interna de Cumplimiento IA

Un checklist completo de 50+ puntos para preparar tu organización antes de una auditoría de cumplimiento bajo la Ley de IA de la UE.

Equipo GuardianAI
2025-01-05
12 min
Guías Técnicas

¿Por qué una auditoría interna?

La Ley de IA de la UE exige que los proveedores de sistemas de alto riesgo implementen un sistema de gestión de calidad (Art. 17) que incluya procedimientos de auditoría interna. No es opcional — es un requisito legal.

Pero más allá de la obligación, una auditoría interna te permite:

  • Identificar brechas antes de que las encuentre un regulador
  • Demostrar diligencia debida ante inspecciones
  • Reducir el costo de remediación (preventivo vs. reactivo)
  • Preparar a tu equipo para el escrutinio regulatorio

Fase 1: Inventario y Clasificación

Inventario de sistemas de IA

  • ☐ Lista completa de todos los sistemas de IA utilizados internamente
  • ☐ Lista de todos los sistemas de IA que forman parte de productos/servicios
  • ☐ Identificación de modelos de terceros integrados (APIs, SDKs)
  • ☐ Mapeo de flujos de datos entre sistemas
  • ☐ Identificación del propósito y uso previsto de cada sistema

Clasificación de riesgo

  • ☐ Cada sistema clasificado según las categorías de la Ley (prohibido, alto, limitado, mínimo)
  • ☐ Evaluación documentada de por qué un sistema cae en cada categoría
  • ☐ Revisión de la clasificación por un equipo multidisciplinar (legal, técnico, negocio)
  • ☐ Plan de remediación para sistemas en categorías prohibidas
  • ☐ Calendario de revisión periódica de clasificaciones

Fase 2: Gobernanza y Organización

Estructura organizativa

  • ☐ Persona de contacto designada para cumplimiento de IA (similar al DPO)
  • ☐ Comité de gobernanza de IA establecido
  • ☐ Roles y responsabilidades documentados
  • ☐ Líneas de reporte claras para incidentes de IA
  • ☐ Presupuesto asignado para cumplimiento

Políticas y procedimientos

  • ☐ Política de uso aceptable de IA
  • ☐ Procedimiento de evaluación de riesgos de IA
  • ☐ Procedimiento de desarrollo y despliegue de IA
  • ☐ Procedimiento de gestión de cambios en modelos de IA
  • ☐ Procedimiento de gestión de incidentes serios
  • ☐ Política de datos de entrenamiento

Formación

  • ☐ Programa de formación en Ley de IA para todo el personal relevante
  • ☐ Formación específica para desarrolladores de IA
  • ☐ Formación para supervisores humanos
  • ☐ Registro de formación completada
  • ☐ Evaluación periódica de conocimientos

Fase 3: Requisitos Técnicos (Sistemas de Alto Riesgo)

Sistema de gestión de riesgos (Art. 9)

  • ☐ Sistema de gestión de riesgos implementado y documentado
  • ☐ Riesgos conocidos y previsibles identificados
  • ☐ Medidas de mitigación implementadas para cada riesgo
  • ☐ Pruebas de las medidas de gestión de riesgos
  • ☐ Riesgos residuales aceptables documentados y justificados
  • ☐ Revisión y actualización continua del sistema

Gobernanza de datos (Art. 10)

  • ☐ Datos de entrenamiento documentados (origen, volumen, fecha)
  • ☐ Evaluación de representatividad de los datos
  • ☐ Evaluación de sesgo realizada y documentada
  • ☐ Procedimientos de limpieza y preparación de datos documentados
  • ☐ Datos de validación y prueba independientes de los de entrenamiento
  • ☐ Procedimiento de gestión de datos personales en datasets

Documentación técnica (Art. 11)

  • ☐ Descripción general del sistema y su propósito previsto
  • ☐ Diseño y proceso de desarrollo documentados
  • ☐ Arquitectura del modelo documentada
  • ☐ Datos de entrenamiento, validación y prueba documentados
  • ☐ Métricas de rendimiento documentadas
  • ☐ Limitaciones conocidas documentadas
  • ☐ Instrucciones de uso para implementadores
  • ☐ Información sobre monitoreo post-despliegue

Registro de eventos (Art. 12)

  • ☐ Logging automático implementado
  • ☐ Eventos de inicio, decisión y error registrados
  • ☐ Trazabilidad de decisiones disponible
  • ☐ Período de retención definido y cumplido
  • ☐ Logs protegidos contra manipulación
  • ☐ Acceso a logs controlado y auditado

Transparencia (Art. 13)

  • ☐ Instrucciones de uso claras y accesibles
  • ☐ Información sobre capacidades y limitaciones
  • ☐ Métricas de rendimiento comunicadas
  • ☐ Notificación a usuarios de interacción con IA
  • ☐ Mecanismo de explicación de decisiones

Supervisión humana (Art. 14)

  • ☐ Roles de supervisión definidos
  • ☐ Supervisores formados en el sistema
  • ☐ Mecanismo de intervención/pausa/anulación funcional
  • ☐ Procedimiento de escalación documentado
  • ☐ Registro de intervenciones manuales

Precisión, robustez y ciberseguridad (Art. 15)

  • ☐ Métricas de precisión definidas y medidas
  • ☐ Pruebas de robustez ante entradas adversariales
  • ☐ Evaluación de ciberseguridad realizada
  • ☐ Plan de respuesta ante ataques al sistema de IA
  • ☐ Pruebas de regresión ante actualizaciones del modelo

Fase 4: Monitoreo Post-Despliegue

Monitoreo continuo (Art. 72)

  • ☐ Sistema de monitoreo post-mercado implementado
  • ☐ Métricas de rendimiento monitorizadas en producción
  • ☐ Detección de drift (degradación del modelo) implementada
  • ☐ Alertas configuradas para anomalías
  • ☐ Procedimiento de actualización/reentrenamiento documentado

Gestión de incidentes (Art. 62)

  • ☐ Definición de "incidente serio" documentada
  • ☐ Canal de reporte interno establecido
  • ☐ Procedimiento de notificación a autoridades (15 días)
  • ☐ Equipo de respuesta a incidentes designado
  • ☐ Simulacro de incidente realizado al menos una vez

Fase 5: Evidencias y Documentación

Registro ante autoridades

  • ☐ Sistema registrado en la base de datos de la UE (cuando esté disponible)
  • ☐ Declaración de conformidad preparada
  • ☐ Marcado CE aplicado (si corresponde)
  • ☐ Documentación lista para inspección

Evidencias de cumplimiento

  • ☐ Repositorio centralizado de evidencias
  • ☐ Historial de auditorías internas
  • ☐ Registros de formación
  • ☐ Informes de evaluación de riesgos
  • ☐ Resultados de pruebas técnicas
  • ☐ Registros de incidentes y acciones correctivas

Frecuencia recomendada de auditoría

Tipo de sistemaFrecuencia mínima
------
Alto riesgo (Anexo III, Cat. 1-4)Trimestral
Alto riesgo (Anexo III, Cat. 5-8)Semestral
Riesgo limitadoAnual
Riesgo mínimoBienal (recomendado)

Cómo GuardianAI automatiza este proceso

GuardianAI cubre automáticamente las Fases 1-3 de esta auditoría:

  • Inventario: Escanea tus documentos técnicos e identifica los sistemas de IA
  • Clasificación: Clasifica cada sistema según el Anexo III con justificación artículo por artículo
  • Evaluación de brechas: Compara tu documentación con los requisitos y genera un gap analysis
  • Informes: Genera informes de auditoría listos para presentar al regulador
  • Monitoreo: Alerta cuando cambios regulatorios afecten tu clasificación

Empieza tu auditoría hoy — sube tu documentación y obtén resultados en minutos.

¿Quieres evaluar tu cumplimiento?

GuardianAI analiza tu documentación y contratos en minutos.

Iniciar Escaneo Gratuito