Implantación de la gobernanza de la IA: Cómo poner en práctica la norma ISO 42001

¿Por qué deberían las empresas implantar la gobernanza de la IA?

Las empresas deben implantar una gobernanza responsable de la IA para gestionar el uso de la IA de forma estructurada, mitigar los riesgos, generar confianza y cumplir eficazmente los requisitos de cumplimiento tanto normativos como estratégicos.

Lo que a primera vista parece una idea ambiciosa se convierte rápidamente en la consecuencia lógica de una tendencia que hace tiempo que se ha hecho realidad: La inteligencia artificial se ha abierto camino en las empresas, a menudo con más rapidez, amplitud y profundidad de lo previsto. Al mismo tiempo, aumentan los requisitos normativos -por ejemplo, a través de la Ley de IA de la UE- y los clientes esperan cada vez más pruebas sólidas del uso responsable de la IA.

Así pues, las perspectivas de implantación y certificación de la norma ISO 42001 han cambiado radicalmente. La cuestión ya no es si las empresas deben implantar la gobernanza de la IA, sino cómo hacerlo de forma sistemática y verificable, y qué beneficios aporta.

Aquí es precisamente donde la norma ISO 42001, como Sistema de Gestión de la IA (AIMS), entra en juego. Como primera norma mundial para sistemas de gestión de la IA, define un marco para gestionar sistemáticamente el uso de la IA, controlar los riesgos y establecer claramente las responsabilidades. Por tanto, es mucho más que una norma: es una herramienta para hacer operativa la confianza.

Sin embargo, antes de que las organizaciones emprendan este camino, necesitan tener claro su objetivo. La certificación ISO 42001 no es un fin en sí mismo y no debe considerarse un mero proyecto de cumplimiento. Más bien, el objetivo es generar confianza entre clientes, socios y autoridades reguladoras; abordar específicamente riesgos como la parcialidad, la discriminación, el uso indebido de datos o las decisiones erróneas tomadas por modelos; y establecer un marco de gobernanza sólido para el uso de la IA.

Al mismo tiempo, esto presenta una ventaja estratégica: en un entorno en el que todavía hay pocos pioneros, una certificación temprana puede servir como claro punto de diferenciación.

¿Qué primeros pasos necesita un sistema de gestión de la IA?

El primer paso para implantar un sistema de gestión de la IA es llevar a cabo una evaluación exhaustiva del uso real de la IA y definir claramente qué constituye la IA en el contexto de la norma ISO 42001.

El verdadero camino hacia la gobernanza de la IA, por tanto, no empieza con políticas o documentos, sino con una evaluación honesta de la situación actual. Y aquí es precisamente donde muchas empresas se encuentran con su primera sorpresa: saben mucho menos sobre su propio uso de la IA de lo que creen. La inteligencia artificial no solo se encuentra en aplicaciones obvias como los chatbots o los modelos de aprendizaje automático, sino también en numerosas herramientas, automatizaciones, aplicaciones de software y soluciones digitales utilizadas en las operaciones cotidianas. Hacer visible esta "IA oculta" es uno de los pasos más importantes -y al mismo tiempo más difíciles- en el camino hacia la certificación ISO 42001.

¿Cómo podemos evaluar eficazmente los sistemas de IA?

Estrechamente relacionada con esto está la cuestión de lo que realmente se considera inteligencia artificial según la norma. No todos los sistemas cumplen automáticamente los requisitos de la norma sobre sistemas de gestión. Los factores clave incluyen si un sistema toma decisiones de forma independiente o simplemente las apoya, si los modelos se entrenan o simplemente se utilizan, y qué impacto tiene la aplicación en las personas, los procesos, los datos o las decisiones. Esta distinción es esencial, ya que define el alcance del futuro sistema de gestión de la IA.

¿Qué funciones y responsabilidades son necesarias para la gobernanza de la IA?

La gobernanza de la IA requiere funciones claramente definidas a lo largo de todo el ciclo de vida de la IA, ya que las distintas responsabilidades conllevan obligaciones, riesgos y requisitos de control diferentes.

Un aspecto a menudo subestimado pero crucial de la implantación y certificación de la norma ISO 42001 es la definición clara de las funciones cuando se trata de IA. La norma ISO exige un enfoque matizado a lo largo del ciclo de vida de los sistemas de IA. Normalmente, pueden distinguirse tres funciones: el desarrollador de IA, el productor de IA y el usuario de IA.

El desarrollador es responsable del desarrollo de modelos y sistemas, es decir, de la formación, la preparación de datos, la arquitectura de modelos y la implementación técnica. El productor, por su parte, despliega el sistema de IA en un entorno de producción, lo integra en los procesos empresariales y es responsable de su funcionamiento y del cumplimiento de los requisitos definidos. Por último, el usuario aplica la IA en las operaciones cotidianas, toma decisiones responsables basadas en los resultados o hace que los procesos se ejecuten automáticamente.

Esta distinción no sólo es relevante desde una perspectiva organizativa, sino que también tiene implicaciones directas para la evaluación de riesgos, las responsabilidades y los mecanismos de control. Esto se debe a que los diferentes roles conllevan diferentes obligaciones, riesgos y oportunidades para influir en el comportamiento de la IA.

¿Cómo puede establecerse la gobernanza de la IA en una empresa?

El desarrollo de la gobernanza de la IA se basa en marcos de sistemas de gestión conocidos, pero debido a los requisitos específicos de la IA, exige mucho más que un simple complemento.

Este sencillo resumen sirve de punto de partida para desarrollar un sistema de gestión de la IA. Formalmente, se basa en marcos ISO establecidos, como los que se encuentran en ISO 9001 o ISO 27001:

• Contexto organizativo
• Gestión de riesgos
• Funciones y responsabilidades claras
• Información documentada
• Auditorías internas
• Mejora continua (CIP)

Esta estructura familiar facilita la puesta en marcha, al menos a primera vista. Sin embargo, en términos de contenido, la norma ISO 42001 introduce una nueva dimensión que va mucho más allá de los sistemas de gestión tradicionales.

La diferencia clave radica en la propia naturaleza de la IA. Mientras que otras normas suelen definir claramente cuál es el "producto" o servicio, la inteligencia artificial obliga a las empresas a replantearse cuestiones fundamentales.

La atención se centra en

• la evaluación ética de las aplicaciones
• la equidad y transparencia algorítmicas
• el origen y la calidad de los datos de entrenamiento
• la trazabilidad de las decisiones

La cuestión de la responsabilidad es especialmente difícil: ¿Quién es responsable en última instancia de las decisiones tomadas por la inteligencia artificial o con su ayuda? Estos aspectos no pueden integrarse simplemente en los sistemas existentes, sino que exigen un cambio de mentalidad.

Por ello, muchas organizaciones parten del supuesto de que la norma ISO 42001 puede implantarse como una ampliación de los sistemas de gestión existentes. En la práctica, sin embargo, rápidamente se hace evidente que esto sólo funciona hasta cierto punto. Aunque las estructuras existentes pueden servir de base, los requisitos específicos de la IA exigen un examen mucho más profundo de los propios procesos, tecnologías y mecanismos de toma de decisiones de una organización. Por tanto, la norma ISO 42001 no es un complemento, sino un cambio de perspectiva.

¿Cuál es la relación entre la norma ISO 42001 y la Ley de Inteligencia Artificial de la UE?

La Ley de IA de la UE establece los requisitos normativos para la IA, y la norma ISO 42001 muestra cómo las organizaciones pueden integrar sistemáticamente estos requisitos en sus sistemas de gobernanza y gestión.

Un aspecto clave que adquiere cada vez más importancia en relación con la norma ISO 42001 es la clasificación de los sistemas de IA en función de su potencial de riesgo, tal como establece el reglamento. En esencia, distingue entre cuatro clases de riesgo:

• Sistemas de IA prohibidos
• Sistemas de alto riesgo
• Sistemas de IA con riesgo limitado
• Sistemas con riesgo mínimo

Esta clasificación tiene un impacto directo en los requisitos de desarrollo, despliegue y supervisión.

Mientras que los sistemas con riesgo mínimo están sujetos a pocos requisitos normativos, las aplicaciones de alto riesgo -como las relacionadas con infraestructuras críticas, decisiones sobre personal o aplicaciones médicas- están sujetas a requisitos estrictos en materia de documentación, transparencia, supervisión humana, seguridad y gestión de riesgos de la IA.

Para las empresas, esto significa que la norma ISO 42001 y el Reglamento sobre IA están interrelacionados. Mientras que el Reglamento especifica lo que exige la ley, la norma ISO proporciona el marco estructural para traducir sistemáticamente estos requisitos en medidas concretas. Especialmente en el caso de los sistemas de alto riesgo, queda clara la importancia de un sistema de gestión de la IA que funcione para garantizar el cumplimiento no sólo de forma puntual, sino de manera sostenible.

¿Cómo puede aplicarse en la práctica la norma ISO 42001?

El éxito de la implantación de la norma ISO 42001 depende de que las organizaciones gestionen la implantación de la IA, la gestión de riesgos de la IA y las responsabilidades de forma iterativa, interfuncional y transparente.

Un componente esencial de los análisis anteriores es la confusa interacción con la pregunta de cómo y por qué se aplica la IA. Hoy en día, las empresas utilizan KI en distintos ámbitos: desde la automatización de procesos internos hasta la gestión de datos basada en datos, pasando por la interacción con el cliente o la gestión de requisitos en grandes volúmenes de datos.

Sin embargo, el verdadero reto no reside en identificar estas áreas de aplicación, sino en sopesar sus beneficios frente a sus riesgos. Aquí es precisamente donde entra en juego la norma ISO 42001: obliga a las organizaciones a encontrar activamente este equilibrio en lugar de dejarlo al azar.

El camino hacia la certificación no suele ser sencillo. Al contrario, está marcado por iteraciones, nuevos conocimientos y, a veces, incertidumbres. Entre los retos típicos se encuentran la falta de claridad en las responsabilidades, la falta de transparencia sobre los sistemas de IA existentes, la complejidad de la evaluación de riesgos y el necesario cambio cultural dentro de la organización.

Una cosa queda especialmente clara a medida que se desarrolla el proceso: La gobernanza de la IA y el uso responsable de la inteligencia artificial no pueden delegarse. Concierne a la dirección tanto como a TI y a las unidades de negocio, y requiere un entendimiento compartido y una estrecha colaboración.

¿Cuáles son las razones para implantar la gobernanza de la IA?

No deben pasarse por alto los retos que supone implantar un sistema de gestión de la IA, pero hay muchas buenas razones para adoptar la gobernanza de la IA y buscar la certificación ISO 42001 de forma estructurada. Las empresas que dan este paso no sólo se posicionan como pioneras, sino que también establecen una base jurídica sólida para abordar futuros requisitos normativos y garantizar un cumplimiento sostenible.

Generan confianza con sus clientes y socios al tiempo que adquieren un conocimiento mucho más profundo de su propio uso de la IA. En última instancia, también es una cuestión de credibilidad: cualquiera que explique a los demás cómo utilizar la IA de forma responsable debe ser capaz de demostrar ese compromiso por sí mismo.

Conclusión: ¿Es la gobernanza de la IA algo más que un certificado?

En última instancia, la certificación ISO 42001 es mucho más que otro elemento de su lista de tareas pendientes. Es una herramienta para madurar nuestro enfoque de una de las tecnologías clave de nuestro tiempo. En un entorno en el que todavía hay pocos datos empíricos, pocas prácticas recomendadas y una orientación limitada, empezar implica inevitablemente un cierto riesgo. Pero es precisamente ahí donde reside la oportunidad. Porque los que empiezan hoy están configurando activamente las normas del mañana.

La cuestión clave, por tanto, no es si el camino es fácil. No lo es. Más bien, la pregunta clave es si, en el contexto de la digitalización y la gobernanza de la tecnología, estamos preparados para afrontar estos retos actuales y llevar nuestro uso responsable de la IA a un nuevo nivel.

DQS: porque no todas las auditorías son iguales

Al igual que cada empresa y organización utiliza la inteligencia artificial a su manera, los objetivos que persiguen con ella varían ampliamente. Para garantizar el uso seguro de los sistemas de IA, desde finales de 2023 está en vigor una nueva norma internacional de sistemas de gestión específica para la IA: ISO/IEC 42001. DQS es uno de los primeros organismos de certificación del mundo en ofrecer la certificación ISO 42001 acreditada.

Aproveche la experiencia de nuestros expertos. Conozca los requisitos más importantes de la norma y lo que significan para su organización. Llevamos 40 años comprometidos con auditorías y certificaciones imparciales. Nuestro compromiso comienza siempre donde terminan las listas de comprobación de auditorías. Créanos. Esperamos tener noticias suyas.

Confianza y experiencia

Nuestros documentos y folletos están redactados exclusivamente por nuestros expertos en normas o auditores experimentados. Si tiene alguna pregunta para nuestro autor sobre el contenido de nuestros documentos o nuestros servicios, no dude en enviarnos un correo electrónico: [email protected]

Nota: En aras de la legibilidad, utilizamos la forma masculina genérica. Sin embargo, esta directiva incluye en general a personas de todas las identidades de género, en la medida necesaria para la declaración.