Contexto de la Organización (Cláusula 4)

Por: Artiko
ISO 42001SGIAauditoría internaIAgestión de riesgos

Contexto de la Organización (Cláusula 4)

Con la Cláusula 4 comienza la parte de ISO/IEC 42001 que convierte los fundamentos en un sistema de gestión operativo. Todo lo que se construya después —liderazgo, planificación, controles, evaluación— descansa sobre la base que esta cláusula establece. Si el contexto está mal comprendido, el SGIA entero se edifica sobre supuestos equivocados: se protegerán riesgos que no existen y se ignorarán los que importan.

La Cláusula 4 se compone de cuatro subcláusulas encadenadas. Cada una alimenta a la siguiente, formando una secuencia lógica que va de lo más abstracto —comprender la realidad de la organización— a lo más concreto —estructurar el sistema que gobernará sus sistemas de IA.

flowchart TD
    C41[4.1 Contexto<br/>cuestiones internas y externas] --> C42[4.2 Partes interesadas<br/>necesidades y requisitos]
    C42 --> C43[4.3 Alcance del SGIA<br/>límites y aplicabilidad]
    C43 --> C44[4.4 SGIA<br/>sistema y sus procesos]
    C44 -.mejora continua.-> C41

4.1 Comprensión de la organización y de su contexto

La subcláusula 4.1 exige que la organización determine las cuestiones internas y externas que pueden afectar su capacidad para alcanzar los resultados previstos del SGIA. La palabra clave es «afectar»: no se trata de catalogar todo lo que rodea a la organización, sino de identificar aquello que realmente incide en su capacidad de gestionar la IA de forma responsable.

Las cuestiones externas provienen del entorno. Incluyen el marco regulatorio aplicable (por ejemplo, regulaciones emergentes sobre IA o protección de datos), las expectativas del mercado, el sector en el que opera la organización, los requisitos contractuales de sus clientes, la disponibilidad y fiabilidad de proveedores de IA, la velocidad de los avances tecnológicos, la percepción pública sobre la inteligencia artificial y los riesgos derivados del uso de sistemas automatizados.

Las cuestiones internas provienen de la propia organización. Comprenden su estrategia, la estructura de gobierno, la cultura organizacional, los recursos disponibles, las competencias del personal, la madurez tecnológica, la calidad de los datos con los que se entrenan y operan los modelos, los procesos ya existentes y el grado de dependencia que la organización tiene respecto de sistemas de IA.

Cuestiones externasCuestiones internas
Marco regulatorio y legalEstrategia y gobierno
Expectativas del mercado y del sectorCultura y recursos
Requisitos contractualesCompetencias del personal
Disponibilidad de proveedores de IAMadurez tecnológica
Avances tecnológicosCalidad de los datos
Percepción pública sobre la IADependencia de sistemas de IA

El propósito de esta comprensión es que la organización no gestione la IA de forma genérica. Una empresa que usa un chatbot informativo de bajo impacto enfrenta una realidad distinta a la de un banco que decide aprobaciones de crédito con un modelo automatizado. El SGIA debe responder a la realidad específica: al tipo de sistemas de IA que se usan o desarrollan, al nivel de impacto que pueden generar y a las responsabilidades que la organización asume frente a sus partes interesadas.

Entre las cuestiones que conviene considerar figuran el uso de IA en procesos críticos, la dependencia de proveedores externos, el tratamiento de datos personales o sensibles, los requisitos legales aplicables, las expectativas de transparencia de clientes y usuarios, los riesgos de sesgo, error, falta de explicabilidad o supervisión insuficiente, y las capacidades internas para evaluar, operar y monitorear los sistemas de IA. Esta comprensión es el punto de partida: de ella se derivan el alcance, los riesgos, los objetivos y los controles.

4.2 Comprensión de las necesidades y expectativas de las partes interesadas

La subcláusula 4.2 obliga a determinar quiénes son las partes interesadas pertinentes para el SGIA y cuáles de sus requisitos son relevantes. La palabra «pertinentes» es deliberada: no todas las partes interesadas tienen el mismo peso, y la organización debe identificar aquellas que mantienen una relación directa con sus sistemas de IA.

En un SGIA, el abanico de partes interesadas es más amplio que en otros sistemas de gestión, porque la IA puede afectar a personas que ni siquiera interactúan directamente con la organización. Entre ellas se encuentran los clientes, los usuarios de los sistemas de IA, las personas o grupos afectados por las salidas del sistema (por ejemplo, alguien a quien un modelo le deniega un crédito), la alta dirección, los colaboradores, las áreas legales y de cumplimiento, las áreas de privacidad y seguridad de la información, los equipos técnicos, los proveedores de sistemas de IA, los socios de negocio, las autoridades regulatorias, los organismos de certificación o auditoría, y las comunidades o grupos sociales afectados por el uso de la IA.

mindmap
  root((Partes<br/>interesadas<br/>del SGIA))
    Internas
      Alta dirección
      Colaboradores
      Equipos técnicos
      Legal y cumplimiento
      Privacidad y seguridad
    Externas
      Clientes
      Usuarios de IA
      Afectados por salidas de IA
      Proveedores de IA
      Socios de negocio
    Reguladores
      Autoridades regulatorias
      Organismos de certificación
      Comunidades afectadas

Los requisitos de estas partes pueden incluir obligaciones legales, requisitos contractuales, políticas internas, compromisos de transparencia, condiciones de seguridad, requisitos de privacidad, criterios éticos, expectativas de supervisión humana, o mecanismos de comunicación y reclamación. Identificar bien estas necesidades logra que el SGIA no se encierre en la perspectiva interna de la organización, sino que incorpore las expectativas de todos los que pueden afectar o verse afectados por el uso, desarrollo, provisión o integración de la IA. Una identificación adecuada de las partes interesadas mejora la definición del alcance, los riesgos, los controles, la comunicación y la información documentada que el SGIA requiere.

4.3 Determinación del alcance del sistema de gestión de IA

La subcláusula 4.3 define los límites y la aplicabilidad del SGIA. El alcance responde a una pregunta fundamental: ¿qué queda dentro y qué queda fuera del sistema? Determina qué partes de la organización, qué procesos, productos, servicios, sistemas de IA, ubicaciones, unidades y actividades se incluyen en la gestión.

Este alcance no se define en el vacío: debe tomar como insumo las cuestiones internas y externas de la subcláusula 4.1, las partes interesadas y sus requisitos de la subcláusula 4.2, y el conjunto de sistemas de IA que la organización desarrolla, proporciona, integra, adquiere o utiliza. Un alcance bien construido permite determinar con claridad:

El alcance puede ser amplio o específico según el contexto. Una organización puede definir un SGIA para todos sus sistemas de IA corporativos, o limitarlo a un único proceso, producto o unidad donde la IA tenga un impacto relevante —por ejemplo, circunscribirlo al sistema de recomendación de su plataforma de comercio electrónico, dejando fuera un asistente interno de baja criticidad. Lo esencial es que el alcance sea claro, coherente, justificable y esté disponible como información documentada. Un alcance ambiguo dificulta la implementación, la asignación de responsabilidades, la auditoría y la evaluación de la eficacia del sistema.

4.4 Sistema de gestión de IA

La subcláusula 4.4 cierra la cláusula estableciendo la obligación de establecer, implementar, mantener y mejorar continuamente el SGIA, incluyendo los procesos necesarios y sus interacciones. Esta subcláusula integra todo lo anterior: una vez que la organización comprende su contexto, identifica a sus partes interesadas y define su alcance, debe estructurar el sistema de gestión que gobernará los sistemas de IA incluidos.

El punto crucial es que el SGIA debe funcionar como un sistema interrelacionado, no como una colección de documentos independientes. Sus componentes no operan de forma aislada: el contexto influye en el alcance; el alcance orienta la política; la política guía los objetivos; los riesgos e impactos conducen a controles; los controles se implementan y se evalúan; y los resultados alimentan la mejora continua. Romper cualquiera de estos eslabones degrada el sistema completo.

flowchart LR
    CTX[Contexto] --> ALC[Alcance]
    ALC --> POL[Política]
    POL --> OBJ[Objetivos]
    OBJ --> RSK[Riesgos e impactos]
    RSK --> CTRL[Controles]
    CTRL --> EVAL[Evaluación]
    EVAL --> MEJ[Mejora continua]
    MEJ -.-> CTX

Los procesos del SGIA pueden incluir, entre otros, la definición y revisión de la política de IA, la identificación de partes interesadas, la gestión de riesgos de IA, la evaluación de impacto de los sistemas de IA, la selección y aplicación de controles, la gestión de información documentada, la comunicación y las acciones correctivas y de mejora. En conjunto, la subcláusula 4.4 refuerza la idea de que un SGIA no es un archivador de políticas: es un sistema de gestión que debe operar, mantenerse y mejorar sobre la base de evidencia, responsabilidades definidas y procesos controlados.


Capítulo 6 de la serie ISO/IEC 42001 Auditor Interno — Continúa en el Capítulo 7: Liderazgo y Política de IA (Cláusula 5)