Volver a plantillas de políticas
Política 12 de 15

Politica de aprobacion y lanzamiento de modelos

Define las aprobaciones, la evidencia y las condiciones requeridas antes de promover un modelo de IA a produccion.

1. Proposito

Esta politica establece el proceso de control de puertas para los lanzamientos de modelos de IA en [Nombre de la organizacion]. Ningun modelo de IA puede desplegarse en produccion sin aprobar las revisiones requeridas, producir la evidencia necesaria y obtener las aprobaciones correspondientes. Esto evita que modelos no probados, no documentados o no aprobados lleguen a los usuarios o influyan en las decisiones.

2. Alcance

Esta politica se aplica a:

Excluido: Experimentos en entornos aislados que no procesen datos reales ni afecten a usuarios reales.

  • Todos los nuevos despliegues de modelos de IA en entornos de produccion.
  • Todas las actualizaciones, reentrenamientos o ajustes de modelos promovidos a produccion.
  • Todos los modelos de IA de terceros activados para uso en produccion.
  • Todos los cambios en la configuracion, parametros o pipelines de datos del modelo que afecten el comportamiento en produccion.

3. Niveles de lanzamiento

La profundidad del proceso de aprobacion depende de la clasificacion de riesgo y la naturaleza del cambio:

Tipo de lanzamientoDescripcionAprobacion requerida
Modelo nuevo (alto riesgo)Primer despliegue de un modelo clasificado como de alto riesgoComite de gobernanza de IA
Modelo nuevo (riesgo medio)Primer despliegue de un modelo clasificado como de riesgo medioResponsable de gobernanza de IA + Titular del modelo
Modelo nuevo (bajo riesgo)Primer despliegue de un modelo clasificado como de bajo riesgoTitular del modelo
Actualizacion mayorCambio de arquitectura, nueva fuente de datos de entrenamiento o cambio en la clasificacion de riesgoIgual que modelo nuevo para el nivel de riesgo
Actualizacion menorReentrenamiento con el mismo pipeline de datos, ajuste de hiperparametros, correccion de erroresTitular del modelo (revision por pares para alto riesgo)
Cambio de configuracionAjuste de umbral, actualizacion de prompt, activacion/desactivacion de funcionalidadTitular del modelo
Activacion de modelo de tercerosNuevo servicio de IA de proveedor en funcionamientoResponsable de gobernanza de IA + Seguridad + Juridico

4. Lista de verificacion previa al lanzamiento

Antes de solicitar la aprobacion, el Titular del modelo debe confirmar y documentar lo siguiente:

4.1 Documentacion

  • Ficha del modelo completada (proposito, arquitectura, datos de entrenamiento, limitaciones, uso previsto, sesgos conocidos).
  • Ficha de datos para los conjuntos de datos de entrenamiento y evaluacion.
  • Evaluacion de riesgos completada e ingresada en el registro de riesgos.
  • Registro de cambios documentando que cambio respecto a la version anterior (para actualizaciones).

4.2 Evidencia de pruebas

  • Informe de pruebas de validacion con resultados de aprobacion/rechazo contra umbrales predefinidos (conforme a la Politica de validacion y pruebas de modelos).
  • Resultados de pruebas de sesgo y equidad (sistemas de alto y medio riesgo).
  • Resultados de pruebas de seguridad, incluidas pruebas adversarias y de inyeccion de prompts (cuando aplique).
  • Informe de validacion independiente (solo sistemas de alto riesgo).

4.3 Cumplimiento

  • Mapeo regulatorio completado: que obligaciones aplican y como se cumplen.
  • EIDF completada (sistemas de alto riesgo desplegados en la UE).
  • Evaluacion de impacto en la proteccion de datos completada (cuando lo requiera el RGPD Articulo 35).
  • Requisitos de transparencia y notificacion al usuario documentados.

4.4 Preparacion operativa

  • Monitoreo configurado: metricas de rendimiento, deteccion de deriva, umbrales de alerta.
  • Plan de respuesta a incidentes documentado y revisado.
  • Procedimiento de reversion probado y confirmado como funcional.
  • Propiedad de guardia o soporte asignada.
  • Planificacion de capacidad completada (carga esperada, enfoque de escalamiento).

5. Proceso de aprobacion

Texto de marcador de posición. Complete con el lenguaje de su organización para 5. Proceso de aprobacion.

Paso 1: Solicitud

El Titular del modelo envia una solicitud de lanzamiento a traves del portal de gobernanza con la lista de verificacion previa al lanzamiento completada y toda la evidencia de respaldo adjunta.

Paso 2: Revision

Los aprobadores revisan la evidencia. Para lanzamientos de alto riesgo, el Comite de gobernanza de IA revisa la solicitud en su proxima reunion (o una sesion extraordinaria para casos urgentes). Los revisores pueden solicitar pruebas o documentacion adicional antes de aprobar.

Paso 3: Decision

  • Aprobado: El lanzamiento puede proceder. La aprobacion se registra con el nombre del aprobador, la fecha y cualquier condicion.
  • Aprobado con condiciones: El lanzamiento puede proceder pero deben cumplirse condiciones especificas dentro de un periodo definido (p. ej., "desplegar pero completar la auditoria de equidad dentro de 30 dias").
  • Rechazado: El lanzamiento se bloquea. Se documenta el motivo del rechazo. El Titular del modelo debe abordar los problemas y volver a presentar la solicitud.

Paso 4: Despliegue

Tras la aprobacion, el despliegue sigue el proceso de gestion de cambios de la organizacion. Se registran la fecha de despliegue y el responsable del despliegue.

Paso 5: Confirmacion posdespliegue

Dentro de las 48 horas posteriores al despliegue, el Titular del modelo confirma:

  • El modelo opera dentro de los parametros esperados.
  • El monitoreo esta activo y produciendo datos.
  • No se detectaron problemas inmediatos.

6. Lanzamientos de emergencia

En casos donde se necesite una correccion urgente (problema de seguridad fisica, vulnerabilidad de seguridad, plazo regulatorio):

  • El Titular del modelo puede desplegar con aprobacion verbal del Responsable de gobernanza de IA.
  • La aprobacion escrita y la documentacion completa deben seguir dentro de los 5 dias habiles.
  • Los lanzamientos de emergencia se registran y revisan en la proxima reunion del Comite.
  • Los lanzamientos de emergencia no deben utilizarse para eludir la gobernanza normal por conveniencia.

7. Reversion y suspension

  • Cualquier modelo aprobado puede ser suspendido por el Responsable de gobernanza de IA si la evidencia posdespliegue indica un riesgo inaceptable.
  • La reversion a la version anterior debe ser ejecutable dentro del plazo definido en la lista de verificacion de preparacion operativa.
  • Las decisiones de suspension y reversion se registran con su justificacion y son revisadas por el Comite.

8. Pista de auditoria

Se mantienen los siguientes registros para cada lanzamiento:

Los registros se conservan conforme a la politica de retencion de documentos de la organizacion y se ponen a disposicion para auditorias internas y externas.

  • Solicitud de lanzamiento con lista de verificacion previa al lanzamiento.
  • Todos los documentos de evidencia (informes de pruebas, evaluacion de riesgos, EIDF, EIPD).
  • Decision de aprobacion con identidad del aprobador, fecha y cualquier condicion.
  • Registro de despliegue (fecha, responsable del despliegue, entorno).
  • Confirmacion posdespliegue.
  • Cualquier registro de reversion o suspension.

9. Roles y responsabilidades

RolResponsabilidades de lanzamiento
Titular del modeloPrepara la solicitud de lanzamiento, completa la lista de verificacion, coordina las pruebas, despliega, confirma posdespliegue.
Responsable de gobernanza de IARevisa las solicitudes de riesgo medio, coordina las revisiones del Comite, aprueba los lanzamientos de emergencia, desencadena reversiones.
Comite de gobernanza de IAAprueba los lanzamientos de alto riesgo, revisa los lanzamientos de emergencia retrospectivamente.
SeguridadRevisa la evidencia de pruebas de seguridad, participa en las aprobaciones de activacion de terceros.
JuridicoRevisa la evidencia de cumplimiento, participa en las aprobaciones de activacion de terceros.

10. Alineacion regulatoria

  • Reglamento Europeo de IA: Articulo 9 (sistema de gestion de riesgos), Articulo 16 (obligaciones del proveedor), Articulo 43 (evaluacion de conformidad antes de la comercializacion).
  • ISO/IEC 42001: Clausula 8.2 (realizacion del sistema de IA), Clausula 8.4 (verificacion y validacion).
  • NIST AI RMF: Funcion MANAGE (MG-2: decisiones de despliegue, MG-3: monitoreo posdespliegue).

11. Revision

Esta politica se revisa anualmente o cuando se desencadene por cambios en el proceso de lanzamiento, herramientas de despliegue o patrones en los fallos de lanzamiento.

Control documental

CampoValor
Titular de la politica[Responsable de gobernanza de IA]
Aprobado por[Comite de gobernanza de IA]
Fecha de vigencia[Fecha]
Proxima fecha de revision[Fecha + 12 meses]
Version1.0
ClasificacionInterna

¿Listo para implementar esta política?

Use VerifyWise para personalizar esta plantilla de política, desplegarla y hacer seguimiento del cumplimiento.

Comenzar gratisExplorar todas las plantillas
Politica de aprobacion y lanzamiento de modelos | Plantillas de gobernanza de IA de VerifyWise