Gobernanza
AI Audit Trail
Un registro de auditoría de IA es un log estructurado y resistente a manipulaciones que capta qué preguntó un usuario, qué fuentes recuperó el sistema, qué razonamiento aplicó el modelo y qué respuesta se generó, para cada interacción, a escala de producción, en un formato que los equipos de cumplimiento y legal pueden interrogar.
Qué capta un registro de auditoría
Un registro de auditoría de IA completo capta la cadena completa de eventos de cada interacción: la identidad y el rol del usuario, la consulta de entrada, los resultados del retrieval y las fuentes de las que provienen, el modelo y la configuración usados, la salida generada y la marca de tiempo. En los pipelines de flujo de trabajo, también registra cada paso del proceso: qué lo desencadenó, qué procesó cada etapa, dónde se produjo la revisión humana y cuál fue el resultado final.
Esto es categóricamente distinto de un log de aplicación básico. Un log de aplicación dice que algo ocurrió. Un registro de auditoría dice qué ocurrió, quién estuvo implicado, a qué datos se accedió y qué decisión se tomó, en un formato que sostiene una revisión de cumplimiento o una investigación de una disputa.
Por qué importa en sectores regulados
Los reguladores de servicios financieros, sanidad y sector público exigen cada vez más que las decisiones de IA sean explicables y auditables. "Lo dijo la IA" no es una respuesta defendible ante una consulta de cumplimiento. Un registro de auditoría aporta la capa de evidencia: este usuario, en este momento, hizo esta pregunta, el sistema recuperó estas fuentes y produjo esta respuesta.
Para las organizaciones sujetas al RGPD, el registro de auditoría también permite atender solicitudes de acceso de los interesados: si un empleado o un cliente pregunta qué datos se usaron para producir una decisión que le afectó, el registro de auditoría da la respuesta.
Qué requieren los registros de auditoría de nivel de gobernanza
No todo registro es de nivel de auditoría. Los registros de auditoría de nivel de gobernanza requieren inmutabilidad (los registros no se pueden alterar después del hecho), exhaustividad (se registra cada interacción, no una muestra), recuperabilidad (los registros se pueden consultar y presentar para un usuario, un rango de fechas o un tipo de interacción concretos) y retención (los registros se conservan durante el periodo exigido por la normativa aplicable).
También exigen que el registro de auditoría esté ligado a la capa de control de acceso, de modo que el registro de lo que un usuario consultó esté conectado con lo que ese usuario estaba autorizado a consultar. Una discrepancia entre ambos es la señal de que algo requiere investigación.
Siguiente paso
Vea cómo GenOS lleva esto a producción para equipos empresariales.