👉 Esta actividad te ayuda a cumplir el siguiente control:
ISO/IEC 42001:2023: A.10.3
¿Para qué me sirve esta actividad? 📚
Esta actividad te sirve para implementar una metodología estructurada y objetiva para calificar a tus proveedores de Inteligencia Artificial. Si el procedimiento te dice qué pasos seguir, esta matriz es la herramienta donde registras y calculas el resultado de tu evaluación.
Utilizar esta matriz te permite:
Tomar mejores decisiones basadas en datos. En lugar de basarte en percepciones subjetivas, la matriz te proporciona una puntuación y un resultado tangible para cada proveedor, facilitando una comparación justa y defendible.
Centralizar la información de proveedores al crear con esta matriz un tipo inventario y un registro centralizado de todos tus proveedores de IA, su estado, sus contratos y los resultados de su evaluación.
Estandarizar el proceso de evaluación y la manera de registrar los resultados, garantizando consistencia en la información.
Generar evidencia concreta para la auditoría ya que este documento permite demostrar cumplimiento durante auditorías.
¿Qué tengo que hacer? 🚀
Para elaborar este documento te recomendamos comenzar leyendo este artículo y la pestaña de "Instrucciones" que viene en el template que te proporcionamos, para comprender el propósito de cada columna, especialmente los criterios de calificación.
Una vez leído todo el template, debes asegurar que se encuentre alineado a tus operaciones reales y a lo que declaraste en tu Procedimiento de Revisión y Contratación de Proveedores.
A continuación, te explicamos con mayor detalle los pasos que deberás seguir usando el template:
Registrar la información básica del proveedor. El primer paso es crear una fila para cada proveedor y completar los datos descriptivos. Esto incluye el nombre del proveedor, la descripción del producto o servicio que te ofrece, el responsable de llevar a cabo la evaluación dentro de tu empresa, y un enlace al contrato o documento de términos y condiciones del servicio. Esto crea el registro base para cada proveedor.
Realizar la evaluación criterio por criterio. Esta es la parte central del análisis. Para cada proveedor, recomendamoe evaluar por lo menos las siguientes tres áreas críticas usando ciertos niveles, como por ejemplo "Bajo", "Medio" o "Alto", en las columnas correspondientes:
Documentación técnica del sistema de IA: Evalúa el nivel de transparencia y completitud de la documentación que te proporciona el proveedor sobre su sistema.
Evaluación del impacto y la calidad: Mide si el proveedor puede demostrar que tiene sus propios procesos internos para asegurar la calidad y evaluar el impacto de su tecnología.
Nivel de cumplimiento normativo / regulatorio: Evalúa si el proveedor cuenta con certificaciones u otras pruebas de cumplimiento con estándares de la industria (como ISO 42001, ISO 27001, etcétera).
💡Estas áreas o aspectos a evaluar también puedes consultarlos con mayor detalle en la pestaña de "Instrucciones" dentro de nuestro template.
Analizar los resultados automatizados. Una vez que hayas completado la evaluación de todos los criterios establecidos, la magia de nuestro template calculará automáticamente los resultados finales, considerando lo siguiente:
Calificación (promedio): Te dará una puntuación numérica basada en tus selecciones (donde Bajo=1, Medio=2, Alto=3).
Resultado (calidad del servicio): Traducirá esa puntuación a una calificación cualitativa (Bajo, Medio o Alto).
Acción recomendada: Basado en el resultado, el sistema te sugerirá una acción, como por ejemplo "Continuar con el proveedor", "Reevaluar en 6 meses" o "Buscar reemplazo".
💡Recuerda que dichas acciones son propuestas basadas en las mejores prácticas que Hackmetrix conoce con base en su experiencia de implementación y auditorías.
Por último, debes actuar con base en los resultados obtenidos, ya sea para iniciar la búsqueda de un nuevo proveedor o corroborar que tus proveedores cumplen con tus requisitos de seguridad y por ende, ya puedes esperar tranquilo hasta la próxima revisión y evaluación.
Recuerda que nuestro template está estructurado con los lineamientos necesarios para dar cumplimiento a los requisitos normativos, utilizando fórmulas para automatizar la calificación final y la acción recomendada, lo que te ahorrará tiempo y te dará resultados consistentes. Pero es de suma importancia que verifiques que esto esté alineado a las operaciones reales de tu empresa.
💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
La evidencia respalda tu calificación, por lo que siempre que sea posible basa tu evaluación en evidencia concreta que hayas solicitado al proveedor, como por ejemplo certificados, documentos, respuestas a cuestionarios, etcétera.
Es una buena práctica registrar un resumen de esta evidencia en los comentarios de la celda.
Define umbrales de aceptación adecuados para ti. Como mencionábamos anteriormente en este mismo artículo, las acciones recomendadas son una propuesta pero recomendamos ampliamente revisar con tu comité de IA esta información para definir y aprobar formalmente cuál es el umbral mínimo de calificación aceptable para seguir trabajando con un proveedor.
Mantén la matriz como un documento vivo. Tal como lo exige el Procedimiento de Revisión y Contratación de Proveedores, esta evaluación debe ser un proceso periódico (al menos anual). Asegúrate de actualizar la matriz con los resultados de cada nueva evaluación para tener un historial del desempeño de tus proveedores a lo largo del tiempo.
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti!
Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.