Plantilla de Inventario de Modelos de IA: Registra Cada Modelo que Tu Organización Ejecuta en Producción
SR 11-7, EU AI Act e ISO 42001 requieren un inventario de modelos. Aquí tienes una plantilla completa con cada campo necesario, además de orientación sobre qué capturar y por qué.
Los reguladores no aceptan "usamos IA" como postura de gobernanza. Quieren una lista — cada modelo, su versión, su responsable, su nivel de riesgo, quién lo validó y cuándo fue revisado por última vez. Si no puedes producir esa lista bajo demanda, tienes una brecha de cumplimiento.
Este artículo te ofrece la plantilla completa. Cópiala, adapta los nombres de campos a tus herramientas y comienza a completarla hoy.
Por Qué los Reguladores Requieren Inventarios de Modelos
Tres marcos importantes han convergido en el mismo requisito: debes mantener un registro formal de cada sistema de IA que operas.
SR 11-7 (Federal Reserve / OCC) requiere que los bancos y sus holdings mantengan documentación exhaustiva de todos los modelos utilizados en decisiones de negocio. "Modelo" se define de manera amplia — cualquier método cuantitativo que produzca estimaciones o decisiones. Eso incluye scoring crediticio, detección de fraude, chatbots usados en originación de préstamos y cualquier flujo de trabajo asistido por LLM que toque un resultado regulado.
EU AI Act Artículo 11 requiere documentación técnica para sistemas de IA de alto riesgo antes de ser colocados en el mercado o puestos en servicio. Esa documentación debe mantenerse actualizada durante todo el ciclo de vida del sistema. Para los implementadores (organizaciones que usan sistemas de alto riesgo), el Artículo 26 requiere mantener registros y realizar supervisión humana — lo cual solo es posible si sabes qué sistemas estás ejecutando.
ISO/IEC 42001 (estándar de Sistema de Gestión de IA) requiere que las organizaciones establezcan un registro de sistemas de IA como parte de su sistema de gestión de IA. La Cláusula 6.1.2 requiere explícitamente identificar los sistemas de IA y sus riesgos asociados.
Un inventario no es opcional para organizaciones sujetas a cualquiera de estos marcos. Es la base sobre la que se construye todo lo demás.
Qué Es un Inventario de Modelos (y Qué No Es)
Un inventario de modelos es un registro estructurado de cada sistema de IA/ML que tu organización opera en producción. Incluye:
- Modelos que construiste internamente
- Modelos de proveedores (incluyendo modelos accedidos vía API como GPT-4, Claude, Gemini)
- Modelos ajustados mediante fine-tuning, incluso si la base era de un proveedor
- Modelos ejecutándose on-premises y en la nube
- Modelos embebidos en software de terceros que despliegas
No es solo una lista de APIs que llamas. Si el modelo de un proveedor toma o influye en una decisión de negocio, pertenece a tu inventario — incluyendo la versión fijada, la fecha en que fue cambiada por última vez y quién es responsable del resultado si falla.
Shadow AI — modelos desplegados por equipos individuales fuera del proceso formal de adquisición — es la brecha más común. Tu inventario solo es útil si es honesto sobre lo que realmente se está ejecutando.
La Plantilla de Inventario de Modelos
Usa una fila por despliegue de modelo. Si la misma versión de modelo se despliega en dos contextos de producción separados (ej., uno para atención al cliente, otro para operaciones internas), crea dos filas.
| Campo | Descripción |
|---|---|
| ID del Modelo | Identificador único (ej., MDL-2024-047). Usa un esquema secuencial o estructurado. |
| Nombre del Modelo | Nombre legible (ej., "Predictor de Cancelación de Clientes v3", "LLM de Chat de Soporte") |
| Versión | Cadena de versión exacta — versión del modelo, no solo la versión de tu aplicación. Para modelos API: el ID de modelo fijado (ej., gpt-4-0613). |
| Tipo | Discriminativo / Generativo / Refuerzo / Ensamble / Híbrido basado en reglas |
| Proveedor / Fuente | "Interno", o nombre del proveedor (OpenAI, Anthropic, Mistral, etc.) o proyecto open-source |
| Entorno de Despliegue | Producción / Staging / Shadow (ejecutándose pero sin actuar) |
| Propósito de Negocio | Una oración: ¿qué decisión o resultado apoya este modelo? |
| Nivel de Riesgo | Alto / Medio / Bajo — basado en tu política de clasificación |
| Responsable / Equipo | El equipo y la persona nombrada responsable del rendimiento y cumplimiento de este modelo |
| Estado de Validación | No Validado / Validación Inicial Completa / Monitoreo Continuo / Validación Vencida |
| Fecha de Última Validación | Fecha de la validación o revisión formal más reciente |
| Fecha de Próxima Revisión | Fecha programada de próxima revisión — Alto riesgo: trimestral; Medio: semestral; Bajo: anual |
| Datos de Entrada | Tipos de datos alimentados a este modelo (ej., historial de transacciones del cliente, tickets de soporte en texto libre, imágenes) |
| Datos de Salida | Lo que el modelo retorna (ej., puntuación de probabilidad 0-1, etiqueta clasificada, texto generado) |
| Alcance Regulatorio | Qué regulaciones aplican: SR 11-7 / EU AI Act / HIPAA / GDPR / CCPA / Ninguna identificada |
| Nivel de Supervisión Humana | HITL (human-in-the-loop, aprueba cada salida) / HOTL (human-on-the-loop, monitorea con capacidad de anular) / HOOTL (human-out-of-the-loop, totalmente automatizado) |
| Enlace al Registro de Incidentes | URL o referencia al registro de incidentes de este modelo |
| Fecha de Retiro | Fecha en que el modelo fue o se planea descomisionar (dejar en blanco si está activo) |
Fila de Ejemplo Completada
| Campo | Valor de Ejemplo |
|---|---|
| ID del Modelo | MDL-2026-012 |
| Nombre del Modelo | Evaluador de Elegibilidad de Préstamos |
| Versión | internal-v2.3.1 |
| Tipo | Discriminativo (clasificador binario) |
| Proveedor / Fuente | Interno |
| Entorno de Despliegue | Producción |
| Propósito de Negocio | Evalúa solicitudes de hipoteca para elegibilidad antes de revisión humana del suscriptor |
| Nivel de Riesgo | Alto |
| Responsable / Equipo | Equipo de Riesgo Crediticio / Jane Smith |
| Estado de Validación | Monitoreo Continuo |
| Fecha de Última Validación | 2026-01-15 |
| Fecha de Próxima Revisión | 2026-04-15 |
| Datos de Entrada | Ingreso del solicitante, historial crediticio, relación deuda-ingreso, estado laboral |
| Datos de Salida | Puntuación de elegibilidad (0-100), acción recomendada (Proceder / Revisar / Rechazar) |
| Alcance Regulatorio | SR 11-7, Equal Credit Opportunity Act, ECOA |
| Nivel de Supervisión Humana | HOTL |
| Enlace al Registro de Incidentes | /incidents/MDL-2026-012 |
| Fecha de Retiro | — |
Plantilla de Registro de Cambios del Modelo
Cada cambio a un modelo en producción — actualizaciones de versión, reentrenamiento, ajustes de umbral — debe registrarse. Esto es separado de tu tabla principal de inventario; el inventario muestra el estado actual, el registro de cambios muestra el historial.
| Fecha | ID del Modelo | Tipo de Cambio | Cambiado Por | Aprobado Por | Versión Pre-Cambio | Versión Post-Cambio | Validación Completada | Plan de Rollback |
|---|---|---|---|---|---|---|---|---|
| 2026-02-10 | MDL-2026-012 | Actualización de versión | Equipo de Data Science | Director de Riesgo Crediticio | internal-v2.2.0 | internal-v2.3.1 | Sí — pruebas shadow 30 días | Revertir a v2.2.0 vía config de despliegue |
| 2026-01-22 | MDL-2026-008 | Ajuste de umbral | ML Ops | Oficial de Riesgo de IA | Umbral: 0.65 | Umbral: 0.70 | Sí — backtesting en datos Q4 2025 | Revertir umbral en archivo de configuración |
Opciones de Tipo de Cambio: Actualización de versión / Ajuste de umbral / Cambio de features de entrada / Actualización de datos de entrenamiento / Migración de infraestructura / Rollback de emergencia
Cómo Completar Cada Campo
Nivel de Riesgo es el campo que la mayoría de organizaciones evalúan mal. No lo asignes basándote en complejidad técnica. Asígnalo basándote en consecuencias de fallo. Una regresión logística simple que afecta decisiones crediticias es de Alto Riesgo. Un modelo transformer sofisticado que sugiere resúmenes de reuniones internas es de Bajo Riesgo. La pregunta es: si este modelo produce algo incorrecto, ¿quién resulta perjudicado y qué tan gravemente?
Nivel de Supervisión Humana necesita coincidir con la realidad, no con la aspiración. Si tu política dice HITL pero los revisores aprueban mecánicamente el 98% de las salidas en menos de 10 segundos, documenta eso honestamente — la brecha entre política y práctica es en sí misma un hallazgo.
Versión para modelos API de terceros requiere que fijes versiones de modelo, no uses alias "latest". Si estás llamando a gpt-4 en lugar de gpt-4-0613, no sabes qué modelo estás ejecutando realmente. Fija versiones. Regístralas.
Alcance Regulatorio debe ser completado por tu equipo legal o de cumplimiento, no por ingenieros. Los ingenieros saben qué hace el modelo; el equipo legal sabe qué regulaciones aplican a esa actividad.
Mantenimiento del Inventario
Un inventario de modelos que no se mantiene es peor que no tener inventario — crea falsa confianza y activamente desorientará a los auditores.
Cadencia mínima de revisión:
- Sistemas de Alto Riesgo: trimestralmente
- Sistemas de Riesgo Medio: semestralmente
- Sistemas de Bajo Riesgo: anualmente
- Después de cualquier incidente en producción: dentro de 5 días hábiles
Disparadores para una nueva entrada de inventario (no solo una actualización a una fila existente):
- Nuevo modelo desplegado a producción
- Modelo existente aplicado a un nuevo propósito de negocio o nuevo tipo de datos
- Modelo movido de un entorno de despliegue a otro (staging a producción)
Disparadores para actualización de una fila existente:
- Cambio de versión
- Cambio de responsable
- Cambio de estado de validación
- Retiro
Errores Comunes
Tratar el inventario como un proyecto de una sola vez. Las organizaciones crean un inventario para una auditoría y luego lo dejan desactualizar. Los reguladores verifican actualizaciones recientes. Un inventario sin tocar desde hace 18 meses es evidencia de una brecha de gobernanza, no de gobernanza.
Sub-reportar shadow AI. Equipos individuales implementan herramientas de IA — integraciones de Copilot, features de IA específicos de proveedores, integraciones API personalizadas — sin pasar por el proceso formal de adquisición. Encuesta a las unidades de negocio directamente, no solo a TI. Pregunta: "¿Hay alguna herramienta de IA que tu equipo use que no sea gestionada por TI central?" La respuesta es casi siempre sí.
Confundir el modelo con el caso de uso. La misma versión de modelo (ej., GPT-4o) desplegada en dos contextos diferentes — chat de soporte al cliente vs. resumen de documentos legales internos — representa dos entradas de inventario diferentes con niveles de riesgo potencialmente diferentes, requisitos de supervisión y alcance regulatorio.
No rastrear modelos accedidos vía API por versión. "Usamos OpenAI" no es una entrada de inventario. El ID de modelo específico, la fecha en que fue fijado y cualquier actualización subsecuente son toda información requerida.
Conexión con Tu Pipeline de Datos
Las columnas del Registro de Cambios del Modelo — particularmente Tipo de Cambio, Cambiado Por y Validación Completada — se mapean directamente a la salida de un pipeline de procesamiento de datos bien instrumentado. Si tu pipeline de datos de entrenamiento rastrea cada transformación con atribución de operador y marcas de tiempo, ya tienes la materia prima para el registro de cambios. La brecha usualmente es conectar ese registro operacional al registro de gobernanza.
Ertas Data Suite genera una pista de auditoría completa e inmutable de cada paso de transformación de datos — quién lo ejecutó, cuándo, qué cambió — que alimenta directamente el Registro de Cambios del Modelo sin entrada manual.
Próximos Pasos
- Exporta una lista de todos los modelos actualmente ejecutándose en tu entorno (trabaja con ML Ops y TI)
- Asigna un nivel de riesgo a cada uno usando tu política de clasificación (o adopta el marco de tres niveles anterior)
- Identifica responsables para cada modelo — si nadie es responsable, ese es tu primer hallazgo de gobernanza
- Programa la primera revisión formal para todos los sistemas de Alto Riesgo dentro de 90 días
- Implementa un proceso de notificación de cambios para que el inventario se mantenga actualizado
El inventario es la base. Fichas de modelo, documentación de validación, pistas de auditoría y respuesta a incidentes hacen referencia a él. Constrúyelo bien, y el resto de tu programa de gobernanza tendr�á algo sobre lo cual sostenerse.
Turn unstructured data into AI-ready datasets — without it leaving the building.
On-premise data preparation with full audit trail. No data egress. No fragmented toolchains. EU AI Act Article 30 compliance built in.
Keep reading
The EU AI Act's High-Risk System Requirements: What They Demand and What They Don't Tell You
The EU AI Act's Annex III defines high-risk AI categories. If you're deploying in healthcare, legal, finance, or HR, you're almost certainly in scope. Here's what compliance actually requires.
EU AI Act Article 30 Documentation Checklist: What High-Risk AI Providers Must Log
EU AI Act Article 30 requires providers of high-risk AI systems to maintain detailed logs. This checklist covers every requirement with practical implementation guidance.
NIST AI RMF vs. EU AI Act vs. ISO/IEC 42001: A Practical Comparison for Enterprise Teams
Three major AI governance frameworks, each from a different jurisdiction and philosophy. Here's what each requires, where they overlap, and how to build a unified compliance posture.