Términos Esenciales del SGIA: Glosario Normativo

Por: Artiko
ISO 42001SGIAauditoría internaIAgestión de riesgos

Por qué la precisión terminológica es una herramienta de auditoría

Auditar un SGIA exige precisión en el lenguaje. En ISO/IEC 42001, los términos no sirven solo para describir tecnología: delimitan responsabilidades, criterios, evidencia, hallazgos y acciones de mejora. Un auditor que usa las palabras de forma imprecisa termina produciendo hallazgos ambiguos e indefendibles. Por eso el vocabulario debe emplearse de manera consistente, evitando expresiones antropomórficas que atribuyan al sistema de IA capacidades humanas —intención, comprensión, pensamiento o juicio propio—. Un modelo no “decide” en sentido humano ni “entiende” a un cliente; procesa entradas y genera salidas. Hablar con rigor no es una formalidad: es lo que permite construir conclusiones trazables.

A continuación se desarrollan los términos esenciales del SGIA, cada uno con su definición normativa y un ejemplo aplicado.

Sistema de IA

Un sistema de IA es un sistema basado en máquinas que procesa entradas y genera salidas como predicciones, recomendaciones, contenido, clasificaciones o apoyo a decisiones. El término debe utilizarse con precisión, evitando fórmulas como “herramienta inteligente” cuando se requiere rigor técnico.

Ejemplo aplicado: un modelo de scoring crediticio que recibe como entrada el historial financiero de un solicitante y produce como salida una probabilidad de impago es un sistema de IA. También lo es un chatbot que recibe la consulta escrita de un cliente y genera una respuesta en lenguaje natural. Para el auditor, identificar correctamente qué sistemas de IA están dentro del alcance es el primer paso: de esa identificación se desprende qué procesos, datos, riesgos, controles, proveedores y partes interesadas deberán revisarse.

SGIA (Sistema de Gestión de Inteligencia Artificial)

El SGIA es el conjunto de políticas, objetivos, procesos, responsabilidades, controles, información documentada y mecanismos de mejora mediante los cuales una organización gestiona sus sistemas de IA. No es el sistema de IA en sí mismo, sino el marco organizacional que permite gobernar su uso, desarrollo, provisión o supervisión de forma controlada, trazable y alineada con los objetivos de la organización.

Ejemplo aplicado: en la entidad financiera del ejemplo anterior, el modelo de scoring es el sistema de IA; el SGIA es todo lo que lo rodea y lo gobierna: la política que fija cómo se usa la IA en decisiones de crédito, la evaluación de riesgos de sesgo, los controles de revisión manual, los registros de operación y las revisiones periódicas. Para el auditor, el SGIA es el objeto principal de evaluación: la auditoría busca determinar si ese sistema está establecido, implementado, mantenido y mejorado de forma eficaz.

Riesgo de IA

El riesgo de IA es el efecto de la incertidumbre asociado al uso, desarrollo, integración, provisión o supervisión de sistemas de IA. Puede relacionarse con impactos técnicos, operativos, legales, éticos, sociales, reputacionales, de privacidad, seguridad, equidad o transparencia.

Ejemplo aplicado: el riesgo de un sistema de recomendación no es solo que “falle técnicamente”. Puede consistir en que refuerce burbujas de contenido que perjudiquen a los usuarios, que discrimine a ciertos proveedores en un marketplace o que exponga patrones de consumo sensibles. Un punto clave para el auditor: no todo riesgo de IA es exclusivamente tecnológico. Un sistema de IA puede generar consecuencias en decisiones organizacionales, relaciones con clientes, acceso a servicios, tratamiento de datos, condiciones laborales o confianza pública.

Evaluación de impacto del sistema de IA

La evaluación de impacto del sistema de IA es el proceso mediante el cual la organización identifica y analiza posibles consecuencias del sistema de IA sobre individuos, grupos, organizaciones o la sociedad. Complementa la gestión de riesgos, pero no debe confundirse con ella.

La distinción es fina y el auditor debe manejarla: la gestión de riesgos se enfoca en la incertidumbre y sus efectos sobre los objetivos de la organización; la evaluación de impacto analiza las consecuencias potenciales o reales que el sistema de IA produce sobre las personas y su entorno.

flowchart LR
    subgraph GR["Gestión de riesgos"]
        direction TB
        R1[Punto de vista: la organización]
        R2[Pregunta: cómo la incertidumbre<br/>afecta nuestros objetivos]
    end
    subgraph EI["Evaluación de impacto"]
        direction TB
        I1[Punto de vista: personas y sociedad]
        I2[Pregunta: qué consecuencias<br/>produce el sistema en los afectados]
    end
    GR -.complementa.- EI

Ejemplo aplicado: para un modelo de scoring crediticio, la gestión de riesgos pregunta cómo un modelo sesgado podría afectar la reputación o el cumplimiento legal de la entidad; la evaluación de impacto pregunta cómo ese mismo sesgo podría negar el acceso al crédito a un colectivo concreto de solicitantes. Son dos lentes distintas sobre el mismo sistema.

Política de IA

La política de IA expresa la dirección y los compromisos de la organización respecto al uso, desarrollo, provisión o gestión de sistemas de IA. Debe estar alineada con el propósito organizacional, el contexto, los objetivos del SGIA y los requisitos aplicables.

Una política de IA no debe ser una mera declaración aspiracional. No basta con afirmar “usamos la IA de forma ética y responsable”. Debe orientar decisiones, responsabilidades, controles y comportamientos concretos dentro del SGIA.

Ejemplo aplicado: una política de IA útil establece, por ejemplo, que todo sistema de IA que participe en decisiones sobre personas requiere supervisión humana antes de ejecutar la decisión final, que los datos personales solo se usan con base legal verificada y que ningún modelo se despliega sin una evaluación de impacto previa. Esas afirmaciones son verificables; una declaración genérica de buenas intenciones no lo es.

Objetivos de IA

Los objetivos de IA son los resultados que la organización busca alcanzar en relación con su SGIA. Deben ser coherentes con la política de IA, pertinentes para las funciones y niveles aplicables, y estar sujetos a seguimiento.

Estos objetivos pueden relacionarse con la gobernanza, la reducción de riesgos, la mejora de controles, la calidad de los datos, la supervisión humana, la transparencia, el cumplimiento, el desempeño del SGIA o el fortalecimiento de la confianza en el uso de la IA.

Ejemplo aplicado: para el chatbot de atención al cliente, un objetivo de IA medible podría ser “reducir en un período definido la proporción de respuestas escaladas por información incorrecta” o “alcanzar la revisión humana del 100 % de las conversaciones marcadas como sensibles”. Al ser cuantificables y estar sujetos a seguimiento, el auditor puede verificar tanto su cumplimiento como la coherencia con la política de IA.

Información documentada

La información documentada es la información que la organización debe controlar y mantener como soporte del SGIA. Puede incluir políticas, procedimientos, registros, evaluaciones, planes, informes, evidencias de auditoría, revisiones, resultados de medición y acciones correctivas.

En auditoría, la información documentada es la que permite demostrar que las actividades del SGIA no solo fueron declaradas, sino planificadas, ejecutadas, revisadas y mejoradas. Es la diferencia entre “decimos que supervisamos el modelo” y “aquí están los registros firmados de cada supervisión”.

El auditor debe verificar que la información documentada sea:

Ejemplo aplicado: si la organización afirma que evalúa el impacto de sus modelos, la información documentada correspondiente serían las evaluaciones de impacto firmadas y fechadas, vinculadas a cada sistema de IA del alcance, versionadas y accesibles para el auditor. Su ausencia convierte la afirmación en una declaración no verificable.

Conformidad, no conformidad y acción correctiva

Estos tres términos forman la gramática básica de todo hallazgo de auditoría y conviene tratarlos juntos.

La conformidad es el cumplimiento de un requisito. En una auditoría del SGIA puede referirse al cumplimiento de ISO/IEC 42001, de requisitos internos, legales o contractuales, de controles definidos o de criterios establecidos por la propia organización.

La no conformidad es el incumplimiento de un requisito. No debe formularse como una opinión general ni como una preferencia del auditor; debe estar respaldada por un criterio claro y por evidencia objetiva. “No me gusta cómo gestionan el modelo” no es una no conformidad; “el control X exigido por la política no se aplica sobre el sistema Y, según los registros revisados” sí lo es.

La acción correctiva es la acción orientada a eliminar la causa de una no conformidad y prevenir su recurrencia. No debe confundirse con una corrección inmediata: corregir resuelve el problema detectado, mientras que la acción correctiva aborda la causa que permitió que el problema ocurriera.

Ejemplo aplicado: si se detecta que el chatbot entregó datos personales de un cliente a otro, la corrección es cerrar esa brecha puntual; la acción correctiva es analizar por qué el control de aislamiento de sesiones falló, rediseñarlo y verificar que la falla no vuelva a producirse. La siguiente tabla resume las preguntas que el auditor formula para cada concepto:

ConceptoEnfoquePregunta clave para el auditor
ConformidadCumplimiento demostrado¿La evidencia prueba que el requisito se cumple?
No conformidadIncumplimiento evidenciado¿Qué requisito no se cumple y qué evidencia lo demuestra?
Acción correctivaEliminación de la causa¿La organización trató la causa y verificó su eficacia?

El uso correcto de estos términos hace que los hallazgos sean claros, trazables y defendibles. Una conclusión de auditoría sólida siempre conecta tres elementos: criterio, evidencia y juicio auditor.

Con este vocabulario consolidado, estamos en condiciones de aprender a leer la norma con ojos de auditor: convertir cada cláusula en un criterio, buscar la evidencia que la respalda y formular hallazgos bien fundamentados. Ese es el tema del próximo capítulo.

Capítulo 4 de la serie ISO/IEC 42001 Auditor Interno — Continúa en el Capítulo 5: Lectura Auditora de la Norma: Requisito, Evidencia y Hallazgo.