Auditoría de IA

Para quién

• — Empresas que ya tienen IA en producción y quieren saber dónde están parados.
• — Direcciones que reciben presión de su matriz extranjera para acreditar buenas prácticas.
• — Organizaciones que se preparan para certificar ISO/IEC 42001.
• — Áreas de auditoría interna que necesitan una segunda mirada experta antes de elevar al directorio.

Qué incluye

• — Mapeo de sistemas de IA actualmente en producción o en piloto avanzado.
• — Revisión de los 39 controles del Anexo A de ISO/IEC 42001, agrupados en sus 9 dominios.
• — Cruce contra obligaciones de EU AI Act para sistemas de alto riesgo (artículos 8 a 15).
• — Cruce contra BCRA Com. "A" 7724 cuando corresponda al sector financiero.
• — Revisión técnica de modelos: datos de entrenamiento, métricas de desempeño, sesgos detectables.
• — Entrevistas con responsables de IA, datos, ciberseguridad y compliance.
• — Reporte ejecutivo (10 a 15 páginas) y reporte técnico detallado, con plan de remediación priorizado.

Qué no incluye

Para que quede claro:

• — No emito el certificado ISO 42001. Eso lo hace un organismo acreditado (en LATAM, G-Certi y otros).
• — No corro pentest ni auditoría de ciberseguridad pura. Cubrir eso requiere otro perfil.
• — No reviso código fuente de modelos propietarios sin acuerdo específico. Trabajo con la documentación, métricas y outputs.

Plazos y formato

Engagement típico: 4 a 8 semanas según cantidad de sistemas en alcance. Etapas: revisión documental (semana 1-2), entrevistas y revisión técnica (semana 3-5), reporte y devolución (semana 6 en adelante). Trabajo con NDA, sin excepciones.