Alcance de la Norma, Cláusulas 4-10 y el Ciclo PHVA

Por: Artiko
ISO 42001SGIAauditoría internaIAgestión de riesgos

La estructura de la norma no es casual

ISO/IEC 42001 sigue la lógica común de los sistemas de gestión ISO. Esto significa que no está diseñada como una guía técnica para construir modelos de IA, sino como un marco para establecer, implementar, mantener y mejorar un SGIA dentro de una organización. Su estructura tiene una intención: las cláusulas iniciales delimitan el alcance, las referencias y los términos; las cláusulas 4 a 10 contienen los requisitos principales del sistema; y los anexos complementan la norma con controles de referencia, orientación de implementación y elementos de contexto para analizar objetivos, riesgos y aplicación sectorial.

Para el auditor, comprender esta estructura es fundamental, porque cada sección cumple una función dentro del sistema y, sobre todo, porque los requisitos se conectan entre sí. Auditar un SGIA no consiste en revisar la norma cláusula por cláusula de forma aislada, sino en entender cómo el contexto alimenta el liderazgo, cómo el liderazgo habilita la planificación, cómo la planificación se traduce en soporte y operación, y cómo la evaluación del desempeño retroalimenta la mejora. Esa conexión es la que permite juzgar si la organización gobierna su IA de forma coherente, trazable y eficaz.

Alcance general de ISO/IEC 42001

ISO/IEC 42001 establece requisitos para un Sistema de Gestión de Inteligencia Artificial, con el propósito de ayudar a las organizaciones a gestionar sus sistemas de IA de forma responsable, considerando su contexto, sus objetivos, sus riesgos, sus impactos y las expectativas de las partes interesadas.

Un punto que suele pasarse por alto es la amplitud de su aplicabilidad. La norma sirve a organizaciones de distintos tamaños, sectores y niveles de madurez, y —crucialmente— puede ser utilizada tanto por quienes desarrollan sistemas de IA como por quienes los proveen, integran, adquieren o simplemente utilizan. Esto importa porque la responsabilidad frente a la IA no se agota en quien crea el modelo. Una empresa que contrata un chatbot de atención al cliente a un proveedor externo no queda eximida: debe definir responsabilidades, controles, supervisión y evidencia sobre cómo ese chatbot opera en su nombre y con sus clientes.

Desde la perspectiva del auditor, el alcance general habilita una primera pregunta decisiva:

¿La organización ha definido un SGIA que corresponde realmente a sus sistemas de IA, a su rol frente a esos sistemas y a los riesgos e impactos asociados?

La respuesta no se obtiene leyendo una declaración de alcance. El auditor debe verificar si el alcance refleja la realidad operativa de la organización, revisando información sobre procesos, productos, servicios, unidades organizacionales, sistemas de IA, proveedores, usuarios, partes interesadas y obligaciones aplicables.

Un alcance débil o ambiguo debilita todo el sistema. Si una organización declara que su SGIA cubre “el uso de IA en la empresa” pero no identifica qué sistemas concretos incluye, qué procesos los utilizan, quién los supervisa o qué proveedores participan, el auditor tiene una señal de alerta: ese alcance no permite verificar con claridad ni la conformidad ni la eficacia. Un alcance bien definido, en cambio, permite entender qué sistemas de IA están cubiertos, qué procesos y servicios se incluyen, qué límites y exclusiones se han establecido y por qué, qué partes interesadas son relevantes, qué riesgos e impactos deben considerarse y qué controles aplican. En síntesis, el alcance ubica a la organización frente a la responsabilidad de gobernar la IA como parte de un sistema de gestión, no como una actividad técnica suelta.

Las cláusulas 4 a 10: el cuerpo de requisitos

Las cláusulas 4 a 10 constituyen el corazón del SGIA. Siguen la estructura común de los sistemas de gestión ISO y deben leerse como una secuencia lógica: cada una responde a una pregunta esencial sobre la gestión de la IA.

flowchart TD
    C4["Cláusula 4<br/>Contexto de la organización<br/>¿Dónde operamos y qué cubre el SGIA?"]
    C5["Cláusula 5<br/>Liderazgo<br/>¿Quién dirige y se hace responsable?"]
    C6["Cláusula 6<br/>Planificación<br/>¿Qué riesgos, impactos y objetivos abordamos?"]
    C7["Cláusula 7<br/>Soporte<br/>¿Con qué recursos y competencias contamos?"]
    C8["Cláusula 8<br/>Operación<br/>¿Cómo ejecutamos lo planificado?"]
    C9["Cláusula 9<br/>Evaluación del desempeño<br/>¿Funciona y produce resultados?"]
    C10["Cláusula 10<br/>Mejora<br/>¿Cómo corregimos y aprendemos?"]
    C4 --> C5 --> C6 --> C7 --> C8 --> C9 --> C10

Cláusula 4 — Contexto de la organización. Orienta a comprender el entorno en el que opera la organización y a determinar el alcance del SGIA: cuestiones internas y externas, partes interesadas, requisitos aplicables, límites del sistema y procesos necesarios. Para el auditor, no basta con que exista un documento de contexto; debe haber coherencia entre el contexto identificado, los sistemas de IA incluidos, las partes interesadas, los riesgos, los impactos y el alcance definido.

Cláusula 5 — Liderazgo. Aborda el compromiso de la alta dirección, la política de IA y la asignación de roles, responsabilidades y autoridades. El liderazgo es determinante porque la gobernanza de IA exige decisiones organizacionales, asignación de recursos y rendición de cuentas. Una política de IA aprobada no es suficiente si no se comunica, no se integra en los procesos, no orienta los objetivos ni se refleja en responsabilidades claras.

Cláusula 6 — Planificación. Se centra en las acciones para abordar riesgos y oportunidades, la evaluación de riesgos de IA, el tratamiento del riesgo, la evaluación de impacto del sistema de IA, los objetivos de IA y la planificación de cambios. Es una de las cláusulas más importantes para el auditor porque conecta la intención de gobierno con decisiones verificables: la organización debe demostrar que los riesgos e impactos han sido considerados y que existen acciones planificadas para tratarlos.

Cláusula 7 — Soporte. Reúne los elementos que hacen funcionar al SGIA: recursos, competencia, toma de conciencia, comunicación e información documentada. Un sistema bien diseñado puede fracasar si no cuenta con recursos, competencias o comunicación suficientes. El auditor revisa aquí si existen las condiciones para implementar y mantener el sistema.

Cláusula 8 — Operación. Se enfoca en la planificación y el control operacional: cómo se lleva a la práctica lo planificado, incluida la ejecución de procesos, la implementación de controles, el tratamiento de riesgos y la gestión operativa de los sistemas de IA. Aquí el auditor pasa de la revisión documental a la revisión de la implementación, con una pregunta central: ¿la organización opera el SGIA de acuerdo con lo planificado y conserva evidencia de ello?

Cláusula 9 — Evaluación del desempeño. Aborda el seguimiento, la medición, el análisis, la evaluación, la auditoría interna y la revisión por la dirección. Su función es comprobar si el SGIA funciona y produce los resultados previstos. El auditor evalúa si la organización mide lo correcto, con métodos válidos, en intervalos adecuados y con evidencia suficiente, y si los resultados se analizan y se usan para decidir.

Cláusula 10 — Mejora. Se centra en la mejora continua, la gestión de no conformidades y las acciones correctivas. La mejora es esencial porque los sistemas de IA, los datos, los usos, los proveedores, el contexto regulatorio y los impactos cambian con el tiempo. Una no conformidad no debe cerrarse con una simple corrección inmediata: hay que analizar la causa, definir acciones correctivas, implementarlas y verificar su eficacia.

La relación con el ciclo PHVA

ISO/IEC 42001 puede entenderse a través del ciclo PHVA: Planificar, Hacer, Verificar y Actuar. Este ciclo organiza el SGIA como un sistema dinámico que se planifica, se implementa, se evalúa y se mejora, en lugar de un conjunto de documentos estáticos. La relación entre las cláusulas y las fases del ciclo es directa:

flowchart LR
    P["PLANIFICAR<br/>Cláusulas 4, 5 y 6<br/>Contexto, liderazgo, política,<br/>riesgos, impactos, objetivos"]
    H["HACER<br/>Cláusulas 7 y 8<br/>Recursos, competencias,<br/>operación y controles"]
    V["VERIFICAR<br/>Cláusula 9<br/>Medir, analizar, auditar,<br/>revisar por la dirección"]
    A["ACTUAR<br/>Cláusula 10<br/>Corregir no conformidades,<br/>acción correctiva, mejora"]
    P --> H --> V --> A --> P

La siguiente tabla resume cómo se distribuyen las cláusulas en cada fase:

Ciclo PHVACláusulas relacionadasEnfoque dentro del SGIA
PlanificarCláusulas 4, 5 y 6Comprender el contexto, definir liderazgo, política, roles, riesgos, impactos, objetivos y planes.
HacerCláusulas 7 y 8Proporcionar recursos, competencias, comunicación, información documentada y ejecutar los procesos operativos.
VerificarCláusula 9Medir, analizar, evaluar, auditar internamente y revisar el SGIA por la dirección.
ActuarCláusula 10Corregir no conformidades, ejecutar acciones correctivas y mejorar continuamente el SGIA.

Cómo usa el auditor el ciclo PHVA

El valor del ciclo para la auditoría es que permite revisar la coherencia del sistema completo, fase por fase:

El ciclo PHVA también funciona como una herramienta de diagnóstico de desconexiones. Un SGIA que aparenta estar completo puede revelar fisuras cuando se lo recorre por fases: riesgos identificados que no tienen controles asociados; controles definidos que no se implementan; indicadores que se recogen pero no se analizan; auditorías que generan hallazgos sin acciones correctivas; acciones correctivas cerradas sin evidencia de eficacia; o revisiones por la dirección que no producen decisiones ni seguimiento. Cada una de esas fisuras es una brecha auditable.

Cuando el ciclo funciona correctamente, la organización demuestra que la gobernanza de su IA no depende de acciones aisladas, sino de un sistema que aprende, se ajusta y mejora de forma continua. En el próximo capítulo consolidaremos el vocabulario que hace posible todo este análisis: los términos esenciales del SGIA que el auditor debe manejar con precisión.

Capítulo 3 de la serie ISO/IEC 42001 Auditor Interno — Continúa en el Capítulo 4: Términos Esenciales del SGIA: Glosario Normativo.