Sistema de IA vs. SGIA y el Rol de ISO/IEC 42001 en la Gobernanza

Por: Artiko
ISO 42001SGIAauditoría internaIAgestión de riesgos

Dos cosas que suenan parecido y no lo son

Una de las confusiones más frecuentes —y más peligrosas para un auditor— es tratar como sinónimos el sistema de IA y el sistema de gestión de IA. Se parecen en el nombre, pero pertenecen a planos completamente distintos. Separarlos con claridad es un requisito previo para poder auditar bien.

El sistema de IA es el sistema basado en máquinas que, a partir de entradas, genera salidas: predicciones, recomendaciones, contenido o decisiones apoyadas por IA. Un modelo de scoring crediticio que devuelve una probabilidad de impago, un chatbot que redacta respuestas, un motor de recomendación que ordena productos: todos son sistemas de IA. Vale la pena señalar una precisión terminológica que la norma cuida: la forma preferida es “sistema de IA”, y conviene evitar expresiones ambiguas como “herramienta inteligente” o formulaciones que atribuyan al sistema capacidades humanas como intención, comprensión o juicio propio.

El Sistema de Gestión de IA (SGIA), en cambio, es el marco organizacional que dirige y controla cómo esos sistemas de IA son gobernados, evaluados, utilizados, monitoreados y mejorados. No produce predicciones ni recomendaciones; produce políticas, decisiones, controles y evidencia. Si el sistema de IA es el motor de un automóvil, el SGIA es el conjunto de conductor, normas de tránsito, mantenimiento programado, seguros y responsabilidades que hacen que ese motor circule de forma segura.

flowchart TB
    subgraph SGIA["Sistema de Gestión de IA — Cómo se gobierna"]
        P[Políticas y objetivos]
        R[Roles y responsabilidades]
        G[Gestión de riesgos e impactos]
        C[Controles y evidencia]
        M[Evaluación y mejora]
    end
    subgraph IA["Sistema de IA — Qué produce"]
        E[Entradas / datos] --> Mod[Modelo o algoritmo]
        Mod --> S[Salidas: predicciones, recomendaciones, contenido, decisiones]
    end
    SGIA -->|dirige, controla, supervisa| IA
    IA -->|genera evidencia y resultados| SGIA

Comparación detallada

La siguiente tabla contrasta ambos conceptos a través de los aspectos que más importan en una auditoría:

AspectoSistema de IASistema de Gestión de IA
NaturalezaSistema tecnológico o sociotécnico que produce salidas de IA.Sistema organizacional de gestión, gobierno y control.
Función principalGenerar predicciones, recomendaciones, contenido, clasificaciones o apoyo a decisiones.Establecer políticas, objetivos, procesos, responsabilidades, controles y mejora.
EjemplosModelo de clasificación, sistema de recomendación, IA generativa, sistema predictivo.Política de IA, evaluación de riesgos, evaluación de impacto, SoA, auditoría, revisión por la dirección.
ResponsabilidadPuede involucrar equipos técnicos, proveedores, usuarios y dueños de proceso.Recae en la organización, la alta dirección y los roles definidos dentro del SGIA.
Evidencia típicaRegistros de desempeño, datos utilizados, pruebas, monitoreo técnico, salidas generadas.Alcance, política, objetivos, análisis de riesgos, controles, información documentada, auditorías y acciones correctivas.
Pregunta auditora¿El sistema funciona dentro de parámetros definidos?¿La organización gobierna, controla, evalúa y mejora la IA de forma conforme y eficaz?

El error que esta distinción evita

Entender esta diferencia previene un fallo de auditoría muy común: auditar únicamente el desempeño técnico del sistema de IA y concluir que el SGIA es eficaz. Un modelo de recomendación puede tener métricas técnicas impecables —alta precisión, baja latencia, buena cobertura— y, sin embargo, estar mal gobernado. Basta con que no existan responsabilidades claras sobre quién lo supervisa, controles aplicables sobre los datos que consume, una evaluación de impacto sobre los usuarios que reciben sus sugerencias, monitoreo de riesgos o mecanismos de mejora. El sistema funciona; el gobierno falla.

El error simétrico también existe. Un SGIA no se limita a acumular políticas y procedimientos bien redactados. Debe demostrar que esas políticas, objetivos, controles y procesos se aplican sobre sistemas de IA reales dentro del alcance definido. Una política de IA excelente que nadie aplica sobre ningún sistema concreto es papel mojado. Por eso la auditoría del SGIA revisa siempre dos capas: la estructura de gestión (¿existe el marco?) y su aplicación práctica (¿opera sobre sistemas reales y deja evidencia?).

El rol de ISO/IEC 42001 en la gobernanza de IA

ISO/IEC 42001 aporta un marco internacional para estructurar la gobernanza de IA desde la lógica de los sistemas de gestión. Su gran virtud es la generalidad aplicable: organizaciones de cualquier tamaño, sector o naturaleza pueden usarla para establecer un enfoque sistemático de gestión de sus sistemas de IA dentro de su contexto.

La norma parte de una premisa: adoptar un SGIA es una decisión estratégica, influida por las necesidades, los objetivos, los procesos, el tamaño, la estructura y las expectativas de las partes interesadas de cada organización. No impone una plantilla rígida. Además, permite una aplicación basada en riesgos, con controles proporcionales a los casos de uso, servicios o productos de IA que estén dentro del alcance. Una startup con un único chatbot y un banco con decenas de modelos críticos usan la misma norma, pero con profundidades de control muy distintas.

Dentro de la gobernanza de IA, ISO/IEC 42001 cumple cuatro funciones principales.

mindmap
  root((ISO/IEC 42001<br/>en la gobernanza))
    Ordena la responsabilidad
      Alta dirección
      Dueños de proceso
      Legal y cumplimiento
      Seguridad y privacidad
      Proveedores y usuarios
    Conecta con el enfoque de riesgos
      Comprender el contexto
      Identificar riesgos
      Evaluar impactos
      Seleccionar controles
      Revisar eficacia
    Introduce evidencia y trazabilidad
      Información documentada
      Decisiones justificadas
      Criterios de evaluación
      Resultados medibles
    Facilita la mejora continua
      Monitoreo
      Auditoría interna
      Revisión por la dirección
      Acción correctiva

Primero, ordena la responsabilidad organizacional. La gobernanza de IA no puede recaer únicamente en el equipo técnico. Involucra a la alta dirección, a los responsables de procesos, a las áreas legales, de cumplimiento, de seguridad, de privacidad y de gestión de riesgos, así como a proveedores, usuarios y otras partes interesadas. La norma ayuda a ubicar cada una de esas responsabilidades dentro de un sistema formal, de modo que no quede en el aire quién responde cuando algo sale mal.

Segundo, conecta la IA con el enfoque basado en riesgos. La organización debe comprender su contexto, identificar los riesgos de IA, evaluar impactos, seleccionar controles y revisar si las acciones implementadas son eficaces. Este enfoque sustituye una gestión reactiva —que solo actúa cuando ya ocurrió un incidente— por una gestión preventiva y verificable. En lugar de esperar a que el modelo de scoring genere una queja por discriminación, la organización anticipa ese riesgo y define controles antes de que se materialice.

Tercero, introduce evidencia y trazabilidad. Un SGIA debe apoyarse en información documentada, registros, decisiones justificadas, criterios de evaluación, controles seleccionados y resultados medibles. Esta trazabilidad es la materia prima de la auditoría: permite evaluar conformidad y eficacia con base en evidencia objetiva, no en declaraciones generales del tipo “nosotros usamos la IA de forma responsable”.

Cuarto, facilita la mejora continua. La gobernanza de IA no termina cuando un sistema se despliega o cuando se aprueba una política. El SGIA debe monitorearse, auditarse, revisarse por la dirección y mejorarse cada vez que aparezcan cambios, no conformidades, nuevos riesgos, resultados insuficientes o ajustes en el contexto. Los sistemas de IA envejecen: los datos cambian, el mundo cambia y un modelo que era adecuado hace un año puede dejar de serlo.

La norma como criterio de auditoría

Para efectos de auditoría interna o auditoría líder, ISO/IEC 42001 actúa como el criterio principal frente al cual se evalúa el SGIA. La metodología de auditoría, en cambio, se orienta por ISO 19011. El esquema I42001IA™ confirma que este rol se centra en el aseguramiento y la auditoría con evidencia, no en habilidades de ingeniería o de entrenamiento de modelos. El auditor no reentrena redes neuronales; verifica el gobierno. Ese mismo esquema vincula el ciclo de auditoría con el programa, la planificación, la imparcialidad, la evidencia, la evaluación del desempeño, los controles y la Declaración de Aplicabilidad (SoA), los hallazgos, la acción correctiva y la mejora.

Enfoque práctico para el auditor

La idea central de este capítulo puede resumirse así: ISO/IEC 42001 no se audita como una lista de documentos, sino como un sistema de gestión aplicado a sistemas de IA concretos. Por eso, desde el inicio de cualquier auditoría, conviene distinguir un conjunto de preguntas clave que orientan la recolección de evidencia:

Pregunta clavePropósito auditor
¿Qué sistemas de IA están dentro del alcance?Confirmar que el SGIA cubre los usos, procesos o servicios relevantes.
¿Qué rol cumple la organización frente a esos sistemas?Entender responsabilidades como usuaria, proveedora, desarrolladora, integradora u operadora.
¿Qué riesgos de IA han sido identificados?Revisar si el enfoque basado en riesgos es real y contextualizado.
¿Qué impactos se han evaluado?Verificar consecuencias potenciales sobre personas, grupos, organización o sociedad.
¿Qué controles se han seleccionado?Evaluar coherencia entre riesgo, tratamiento, Anexo A y SoA.
¿Qué evidencia demuestra implementación y eficacia?Sustentar conclusiones de conformidad, no conformidad o mejora.
¿Cómo se revisa y mejora el SGIA?Confirmar que el sistema no es estático y que aprende mediante revisión, auditoría y acción correctiva.

La competencia del auditor no consiste en reemplazar al especialista técnico de IA, sino en evaluar si la organización dispone de un sistema de gestión capaz de gobernar la IA con criterios definidos, responsabilidades claras, controles proporcionados, evidencia objetiva y mejora continua.

En el próximo capítulo abordaremos el alcance general de la norma, recorreremos las cláusulas 4 a 10 —el cuerpo de requisitos del SGIA— y las conectaremos con el ciclo PHVA que le da dinamismo al sistema.

Capítulo 2 de la serie ISO/IEC 42001 Auditor Interno — Continúa en el Capítulo 3: Alcance de la Norma, Cláusulas 4-10 y el Ciclo PHVA.