Introducción al SGIA e ISO/IEC 42001
Por qué la IA necesita ser gestionada, no solo desplegada
La inteligencia artificial dejó de ser un experimento de laboratorio para convertirse en una pieza cotidiana de los procesos de negocio: decide a quién se le aprueba un crédito, sugiere qué producto comprar, responde consultas de clientes y automatiza tareas que antes hacían personas. Cada una de esas aplicaciones aporta valor, pero también abre una lista de preguntas incómodas. ¿Qué pasa si el modelo de scoring crediticio discrimina a un grupo sin que nadie lo note? ¿Quién responde si un chatbot de atención al cliente entrega información falsa que causa un perjuicio? ¿Con qué datos se entrenó el sistema de recomendación y quién autorizó su uso?
Estas preguntas revelan una idea central: gestionar la IA no es lo mismo que hacer que un modelo funcione bien técnicamente. Un modelo puede tener una precisión del 95 % y, aun así, estar operando sin supervisión humana, sin control de la calidad de los datos, sin transparencia hacia los afectados y sin ningún mecanismo que corrija sus errores cuando el contexto cambie. El desempeño técnico es apenas una dimensión; el uso responsable, la equidad, la privacidad, la seguridad y la rendición de cuentas son las otras.
Por eso, la gestión de la IA no puede reducirse a comprar una herramienta o a ajustar un algoritmo. Requiere un sistema organizacional capaz de dirigir, controlar, evaluar y mejorar la forma en que los sistemas de IA se desarrollan, se proveen o se utilizan. ISO/IEC 42001 responde exactamente a esa necesidad: ofrece una estructura para que la organización establezca, implemente, mantenga y mejore de manera continua un Sistema de Gestión de Inteligencia Artificial (SGIA) dentro de su propio contexto, poniendo el foco en aquellas características propias de la IA que exigen salvaguardas específicas.
¿Qué es un SGIA?
Un Sistema de Gestión de Inteligencia Artificial (SGIA) es el conjunto de elementos interrelacionados mediante los cuales una organización define políticas, objetivos, procesos, responsabilidades, controles, evidencias y mecanismos de mejora para gestionar sus sistemas de IA de forma responsable y alineada con sus objetivos.
Conviene detenerse en la palabra interrelacionados. Un SGIA no es un documento suelto ni una política general que declara buenas intenciones sobre la IA. Es una forma de gobierno organizacional que conecta la estrategia, la cultura, los procesos, los recursos, los proveedores, las obligaciones legales aplicables y las expectativas de las partes interesadas. Cada pieza se sostiene sobre las demás.
En términos prácticos, un SGIA bien construido permite que la organización responda de forma estructurada a preguntas como estas:
- ¿Qué sistemas de IA están dentro del alcance de la organización?
- ¿Para qué se usan o se desarrollan esos sistemas?
- ¿Quién es responsable de su gestión, supervisión y desempeño?
- ¿Qué riesgos de IA han sido identificados?
- ¿Qué impactos pueden generarse sobre personas, grupos, clientes, usuarios, procesos o la sociedad?
- ¿Qué controles se han seleccionado para tratar esos riesgos?
- ¿Cómo se verifica si los controles son eficaces?
- ¿Qué información documentada demuestra la conformidad y la mejora del sistema?
Imaginemos una entidad financiera que utiliza un modelo de scoring crediticio. Sin un SGIA, cada respuesta a esas preguntas depende de la memoria de alguien o de correos dispersos. Con un SGIA, existe un registro claro: el modelo está en el alcance, se usa para aprobar microcréditos, el área de riesgos es responsable, se identificó el riesgo de sesgo por código postal, se implementó un control de revisión manual para casos límite, se mide la tasa de rechazo por segmento demográfico y todo ello queda documentado y disponible para su revisión.
El siguiente diagrama muestra cómo un SGIA integra sus componentes en un ciclo de gobierno continuo, en lugar de tratarlos como piezas aisladas:
flowchart TD
A[Contexto y partes interesadas] --> B[Políticas y objetivos de IA]
B --> C[Roles y responsabilidades]
C --> D[Gestión de riesgos e impactos]
D --> E[Controles seleccionados]
E --> F[Operación de los sistemas de IA]
F --> G[Evidencia e información documentada]
G --> H[Evaluación y mejora]
H --> A
El SGIA desde la mirada del auditor
Desde la perspectiva de la auditoría, el SGIA es el objeto principal de evaluación. Un auditor interno o líder no se limita a comprobar que la organización usa IA; evalúa si la organización dispone de un sistema de gestión capaz de controlar ese uso, demostrar evidencia objetiva, gestionar riesgos, evaluar impactos y mejorar de forma continua.
El esquema de certificación I42001IA™ define el rol auditor precisamente como la obtención y evaluación de evidencia objetiva para determinar si el SGIA es conforme con los requisitos aplicables y si se implementa, mantiene y mejora eficazmente. Dicho de otro modo: la pregunta del auditor no es “¿el chatbot responde bien?”, sino “¿existe un sistema que garantice que el chatbot se gobierna con criterios definidos, responsabilidades claras y evidencia verificable?”.
¿Para qué sirve un SGIA?
Un SGIA sirve para convertir el uso, desarrollo, provisión o supervisión de sistemas de IA en una práctica gobernada, trazable y verificable. Es importante despejar un malentendido frecuente: su propósito no es frenar la innovación ni añadir burocracia. Al contrario, busca establecer las condiciones para que la IA pueda utilizarse con mayor control, responsabilidad y confianza. Una organización que sabe gobernar su IA puede adoptarla con más rapidez y menos miedo, porque tiene mecanismos para detectar y corregir problemas antes de que escalen.
Dentro de la organización, el SGIA cumple varias funciones principales. La siguiente tabla las resume:
| Función del SGIA | Explicación |
|---|---|
| Dirección y alineación | Conecta el uso de IA con la estrategia, los objetivos y las políticas de la organización. |
| Gobernanza | Define roles, responsabilidades, autoridades y mecanismos de rendición de cuentas. |
| Gestión de riesgos | Ayuda a identificar, evaluar, tratar y monitorear riesgos de IA según el contexto y el uso previsto. |
| Gestión de impactos | Permite analizar posibles consecuencias sobre individuos, grupos, organizaciones o la sociedad. |
| Control operacional | Establece procesos, criterios, controles y evidencia para operar sistemas de IA bajo condiciones definidas. |
| Transparencia y confianza | Favorece la comunicación adecuada con las partes interesadas y la disponibilidad de información documentada. |
| Evaluación y mejora | Permite medir desempeño, auditar el sistema, revisar resultados y tomar acciones correctivas. |
El valor de estas funciones se vuelve especialmente crítico cuando la IA participa en procesos de alto impacto: decisiones sensibles, automatización de actividades críticas, atención a clientes, análisis de datos personales, selección de personas, evaluación de riesgos, generación de contenido, seguridad, salud, educación, servicios financieros o relaciones con terceros. Un sistema de recomendación que sugiere películas tiene un perfil de riesgo muy distinto al de un modelo que decide qué pacientes reciben atención prioritaria; el SGIA es lo que permite calibrar el nivel de control a la altura de cada caso.
Trazabilidad: la utilidad que el auditor busca
Para el auditor, la utilidad concreta del SGIA se observa en la capacidad de la organización de demostrar trazabilidad. Un sistema bien gestionado permite seguir, sin saltos, la cadena completa que une los eslabones del gobierno de la IA:
flowchart LR
A[Contexto] --> B[Partes interesadas]
B --> C[Alcance]
C --> D[Riesgos]
D --> E[Impactos]
E --> F[Controles]
F --> G[Declaración de Aplicabilidad]
G --> H[Operación]
H --> I[Medición]
I --> J[Hallazgos]
J --> K[Mejora]
Cuando esa cadena se mantiene íntegra, la organización puede justificar cada decisión con evidencia. Cuando se rompe, aparecen las brechas típicas que un auditor detecta de inmediato: controles sin justificación, riesgos sin tratamiento, responsabilidades ambiguas, evidencia insuficiente o decisiones de IA que se ejecutan sin supervisión adecuada. Por ejemplo, si una empresa identificó el riesgo de que su chatbot filtre datos personales, pero no existe ningún control asociado ni registro de su operación, la cadena está rota y el SGIA no cumple su propósito, por más que exista una política escrita.
De la herramienta al sistema
La idea que debe quedar fijada al cerrar este primer capítulo es sencilla de enunciar y exigente de aplicar: la IA responsable no se logra con una buena herramienta, sino con un buen sistema de gestión. ISO/IEC 42001 proporciona el marco para construir ese sistema, y el rol del auditor consiste en verificar que ese marco no solo exista sobre el papel, sino que se implemente, se mantenga y mejore sobre sistemas de IA reales y concretos.
En el próximo capítulo profundizaremos en una distinción que es la base de todo el trabajo auditor: la diferencia entre un sistema de IA y un sistema de gestión de IA, y el papel específico que juega ISO/IEC 42001 dentro de la gobernanza organizacional de la inteligencia artificial.
Capítulo 1 de la serie ISO/IEC 42001 Auditor Interno — Continúa en el Capítulo 2: Sistema de IA vs. SGIA y el Rol de ISO/IEC 42001 en la Gobernanza.