Aquí tienes el artículo de: Agosto, 2025

La norma ISO/IEC 42001: 2023 para SGIA

Dentro de las miles de normas ISO que existen en la actualidad, la norma ISO/IEC 42001:2023 de reciente creación e incorporación al mercado de los Sistemas de Gestión certificables, es la que especifica los requisitos y proporciona la orientación necesaria para establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de Inteligencia Artificial (por sus siglas “SGIA”). El documento puede ser utilizado por cualquier organización que proporcione o utilice productos y/o servicios que integren sistemas de IA. Su objetivo es apoyar a las organizaciones que participan en el desarrollo, suministro y/o utilización de sistemas de IA, para que lo hagan de una manera responsable, logrando sus objetivos, cumpliendo con los requisitos y las obligaciones aplicables (compliance), así como con las expectativas que les imponga el mercado, la sociedad y/o las autoridades competentes.

Al igual que otras normas certificables, la norma ISO 42001 ha sido definida para poder ser aplicable a cualquier organización, independientemente de su tipo, naturaleza o tamaño, proporcionando las directrices necesarias para la implementación de los controles aplicables en materia de inteligencia artificial (por sus siglas “IA”). La norma NO es un documento técnico o exhaustivo que busque definir o enseñar lo que es la IA y/o los sistemas de IA, por el contrario, parte de este conocimiento y en su lugar proporciona una guía general sobre los procesos de gestión que se deberían implementar, para lograr un manejo responsable de la IA. Por lo tanto, los lineamientos contenidos en la ISO 42001 se pueden combinar con otras normas internacionales relacionadas (ej. ISO 23894 ó ISO 31000), otros marcos de referencia (ej. OCDE o UE), así como con la experiencia propia y adquirida durante los años de trabajo, para implementar procesos claves como son:

• el proceso de gestión de riesgos de IA,
• el proceso de valoración de impactos del sistema de IA,
• el proceso de gestión del ciclo de vida de la IA,
• el proceso de gestión de la calidad de los datos (limpieza e ingesta),
• entre otros.

Cuando una organización logra cumplir los requisitos de la norma ISO 42001, se dice que está en capacidad de generar la evidencia necesaria de su rol, responsabilidad y rendición de cuentas, en relación con los sistemas de IA. Cabe señalar también que la ISO 42001, ha sido conformada de acuerdo con la estructura de alto nivel que le confiere el anexo “SL” o “L”, presentando números y títulos de apartados o secciones, textos, términos y definiciones comunes, para permitir su fácil integración y/o complementación con otras normas y sistemas de gestión como:

• los sistemas de gestión de seguridad de la información (ISO 27001),
• los sistemas de gestión de información de privacidad (ISO 27701),
• los sistemas de gestión de la calidad (ISO 9001),
• entre otros.

Gestión de riesgos de IA

Componente esencial en el funcionamiento de un SGIA con base en los requisitos propuestos por la norma ISO 42001, lo es el proceso de gestión de riesgos de IA. La gestión de riesgos de IA se recomienda desarrollar tomando como referencia los lineamientos establecidos en la norma ISO/IEC 23894:2023, la cual propone los siguientes elementos: 1) principios, 2) marco de referencia, 3) proceso de gestión de riesgos, 4) objetivos organizacionales aplicables a la IA y 5) fuentes de riesgo aplicables también a la IA. Mediante la implementación de los elementos anteriores, la gestión de riesgos de IA persigue lo siguiente:

1. Crear y proteger el valor entregado en las organizaciones por la IA.
2. Mayor certeza en el logro de los objetivos organizacionales entorno a la aplicación de IA.
3. Asistir a las organizaciones en el establecimiento de su estrategia de IA.
4. Contribuir a la mejora del sistema de gestión de IA.
5. Ser parte de todas las actividades y partes interesadas del SGIA.
6. Considerar el comportamiento humano y los factores culturales al incorporar la IA.
7. Gestionar los riesgos de manera eficaz, eficiente y coherente.
8. Enriquecer el proceso de toma de decisiones respecto a la estrategia de IA.

La ISO 23894 establece los lineamientos básicos para gestionar el riesgo de cualquier tipo de organización, adaptándose a su contexto y a cualquier tipo de riesgo. Por lo tanto, NO son lineamientos aplicables de manera exclusiva a un tipo de industria o sector específico. Respecto a los tres primeros elementos propuestos para la gestión de riesgos de IA, a continuación se presenta una breve descripción de estos:

1) Principios: siendo ocho en total (ej. integrada, adaptada, inclusiva, etc.), los cuales proporcionan la orientación necesaria sobre las características que debe tener, una gestión de riesgos eficaz y eficiente.

2) Marco de referencia: compuesto de seis partes en total, las cuales buscan asistir a la organización en la integración de la gestión de riesgos, en las actividades y funciones significativas con el apoyo de la alta dirección y en la toma de decisiones.

3) Proceso de gestión de riesgos: compuesto de seis actividades en total, las cuales implican la aplicación sistemática de políticas, procedimientos y prácticas a las actividades de establecimiento del contexto, valoración y tratamiento, registro e informe, comunicación y consulta, seguimiento y revisión de los riesgos.

De vuelta con la norma ISO 42001 dentro de su anexo “C”, se describen algunos objetivos que podrían aplicar a las organizaciones, al momento de valorar y tratar los riesgos de IA, así como se describen también diversas fuentes de riesgo aplicables al análisis de los riesgos de IA. Cabe señalar que la información contenida en el anexo “C”, se trata con mayor profundidad en la citada norma ISO 23894. Por lo tanto, el anexo “C” solamente pretende mostrar los aspectos básicos de los objetivos organizacionales y las fuentes de riesgo aplicables a los riesgos de IA, sin pretender ser exhaustivo o aplicable a todas las organizaciones. Es la organización en sí, la que debe determinar los objetivos y las fuentes de riesgo más convenientes, pudiendo complementar dicha información con otras fuentes o con la experiencia propia en la materia.

Controles para la IA

Como resultado de la aplicación del proceso de gestión de riesgos de IA y en particular de la actividad de tratamiento, viene la selección de las opciones y los controles de IA más adecuados para el tratamiento de los riesgos de IA. La norma ISO 42001 en sus anexos “A” y “B”, establece los objetivos de control (10) y los controles de IA (38), así como las guías de implementación para los controles de IA que sean seleccionados para el tratamiento de los riesgos, contemplando los siguientes objetivos de control:

1. Políticas relacionadas con la IA (3 controles).
2. Organización interna (2 controles).
3. Recursos para sistemas de IA (5 controles).
4. Valoración de impactos de sistemas de IA (4 controles).
5. Guía para la gestión del desarrollo de sistemas de IA (2 controles) / Ciclo de vida de sistemas de IA (7 controles).
6. Datos para sistemas de IA (5 controles).
7. Información para partes interesadas de sistemas de IA (4 controles).
8. Uso de sistemas de IA (3 controles).
9. Relaciones con terceros y clientes (3 controles).

Los objetivos de control y los controles de IA relacionados en el anexo “A”, proporcionan a las organizaciones tan solo una referencia para poder lograr los objetivos organizacionales que hayan sido establecidos, así como para abordar los riesgos relacionados con el diseño y la operación de los sistemas de IA. Por lo tanto, NO todos los objetivos de control y los controles de IA listados en dicho anexo, aplican o son obligatorios de implementar, de hecho, cada organización puede diseñar e implementar sus propios controles tomando como base los controles contenidos en el anexo “A”.

La misma situación se repite para las guías de implementación de los controles de IA, ya que NO siempre son adecuadas ni suficientes para tratar todas las situaciones y no siempre cumplen con los requisitos de control específicos de cada organización. Por lo tanto, nuevamente es la organización la que decide si necesita ampliar o modificar las guías de implementación o bien definir sus propias guías de implementación para los controles de IA que cubran sus requisitos específicos y necesidades de gestión de riesgos.

Reflexión final

Los SGIA (ISO 42001) son aplicables a organizaciones que desarrollen, proporcionen o utilicen productos y/o servicios que integren sistemas de IA, siendo potencialmente aplicables a una gran variedad de productos y servicios, sectores (ej. salud, transporte, finanzas, etc.), obligaciones, buenas prácticas, expectativas o compromisos contractuales con las diferentes partes interesadas. 

Para alcanzar un desarrollo y uso responsable de los sistemas de IA, se deben establecer diversos objetivos organizacionales (anexo “C”), así como valorar y tratar los impactos y riesgos ocasionados por la aplicación de la IA en las organizaciones, derivando en la implementación de diversos objetivos y controles de IA. Finalmente, la norma ISO 42001 para la implementación de Sistemas de Gestión de IA, puede ser utilizada de manera independiente o mejor aún, como complemento o integrada a otras normas de Sistemas de Gestión (ej. ISO 9001 para un SGC ó ISO 27001 para un SGSI).

Referencias consultadas

1. International Standard ISO/IEC 42001:2023. Information Technology - Artificial Intelligence - Management System. First Edition, Dic-2023.

2. International Standard ISO 31000:2018, Risk Management – Guidelines, Second edition, Feb-2018.

3. International Standard ISO/IEC 23894:2023. Information Technology – Artificial Intelligence - Guidance on Risk Management. First Edition, Feb-2023.