Liderazgo y Política de IA (Cláusula 5)
Liderazgo y Política de IA (Cláusula 5)
Ningún sistema de gestión sobrevive sin liderazgo. Se pueden redactar políticas excelentes y diseñar controles sofisticados, pero si la alta dirección no se compromete de forma visible y sostenida, el SGIA se convierte en un ejercicio de cumplimiento formal que nadie sostiene cuando aparecen tensiones entre la responsabilidad y la velocidad de negocio. La Cláusula 5 de ISO/IEC 42001 aborda precisamente esto: quién dirige el sistema, qué orientación formal lo guía y cómo se reparten las responsabilidades.
La cláusula se organiza en tres subcláusulas que responden a tres preguntas sucesivas: ¿la dirección se compromete? (5.1), ¿existe una orientación formal escrita? (5.2) y ¿está claro quién hace qué? (5.3).
flowchart TD
L51[5.1 Liderazgo y compromiso<br/>la dirección respalda el SGIA] --> L52[5.2 Política de IA<br/>orientación formal documentada]
L52 --> L53[5.3 Roles, responsabilidades<br/>y autoridades]
L53 -.rendición de cuentas.-> L51
5.1 Liderazgo y compromiso
La subcláusula 5.1 se centra en el compromiso de la alta dirección con el SGIA. Este compromiso no es una declaración de buenas intenciones: se traduce en asegurar que el sistema de gestión esté alineado con la dirección estratégica de la organización, que cuente con los recursos adecuados y que sus requisitos se integren en los procesos pertinentes del negocio.
El liderazgo también implica comunicar la importancia de una gestión eficaz de la IA, apoyar a las personas que contribuyen al SGIA y promover activamente la mejora continua. En el contexto de la inteligencia artificial esto adquiere un peso particular: significa que las decisiones sobre sistemas de IA no pueden depender únicamente de los equipos técnicos. Cuando un modelo de scoring crediticio o un sistema de recomendación se despliega, sus implicaciones sobre riesgos, sesgo, privacidad e impacto en las personas trascienden lo técnico. El compromiso de la dirección garantiza que esas decisiones estén respaldadas por criterios organizacionales, responsabilidades claras y control efectivo sobre riesgos e impactos.
Para el auditor, el compromiso de la dirección no se «declara»: se demuestra con evidencia. Entre las evidencias típicas figuran:
| Evidencia de liderazgo | Qué demuestra |
|---|---|
| Política de IA aprobada | La dirección respalda formalmente la orientación del SGIA |
| Recursos asignados al SGIA | El compromiso se traduce en presupuesto y personas |
| Comunicación de la alta dirección | Se transmite la importancia de la gestión de la IA |
| Revisión de objetivos de IA | La dirección hace seguimiento a los resultados |
| Actas de revisión por la dirección | Existe supervisión periódica documentada |
Un auditor que solo encuentra una firma en un documento, sin recursos asignados ni actas de revisión, tiene motivos para dudar de que el compromiso sea real.
5.2 Política de IA
La subcláusula 5.2 trata sobre la política de IA, el documento que establece la orientación formal de la organización respecto al SGIA. Esta política debe ser coherente con el propósito, el contexto y los objetivos de la organización —los mismos que se determinaron en la Cláusula 4—, de modo que no sea un texto genérico copiado de una plantilla, sino un reflejo de la realidad específica de la empresa.
La política cumple dos funciones normativas concretas: proporciona un marco para establecer los objetivos de IA y expresa compromisos relacionados con el cumplimiento de los requisitos aplicables y con la mejora continua del sistema. No debe entenderse como una declaración solemne sin consecuencias prácticas. Su función es orientar decisiones, responsabilidades, controles y comportamientos relacionados con el uso, desarrollo, adquisición, provisión o supervisión de sistemas de IA. Una buena prueba es preguntarse: cuando un equipo debe decidir si despliega un modelo con explicabilidad limitada, ¿la política le da una orientación real? Si no, la política es decorativa.
Además, la política debe cumplir tres condiciones de gestión documental: mantenerse como información documentada, comunicarse dentro de la organización y estar disponible para las partes interesadas pertinentes cuando corresponda.
flowchart LR
P[Política de IA] --> D[Documentada<br/>y controlada]
P --> C[Comunicada<br/>internamente]
P --> A[Disponible para<br/>partes interesadas]
P --> M[Marco para<br/>objetivos de IA]
El auditor verifica la política a través de evidencias como el documento mismo de la política de IA, los registros de comunicación interna, la evidencia de su aprobación, la relación demostrable entre la política y los objetivos de IA, y las versiones controladas que muestran su gestión en el tiempo. La coherencia entre lo que la política promete y lo que los objetivos y controles efectivamente hacen es uno de los puntos más reveladores de una auditoría.
5.3 Roles, responsabilidades y autoridades
La subcláusula 5.3 establece que la organización debe asignar y comunicar los roles, responsabilidades y autoridades pertinentes para el SGIA. El objetivo es dejar claro quién dirige, quién opera, quién supervisa, quién reporta y quién mejora el sistema de gestión.
En un SGIA esta claridad es especialmente crítica porque en la gestión de la IA convergen muchas áreas: negocio, tecnología, datos, legal, cumplimiento, privacidad, seguridad, gestión de riesgos y proveedores externos. Cuando tantas funciones intervienen sobre un mismo sistema —pensemos en un LLM interno usado por varios departamentos—, es fácil que surjan vacíos de responsabilidad: nadie se hace cargo del monitoreo del sesgo, o dos áreas asumen que la otra valida la calidad de los datos. La asignación explícita de roles cierra esos vacíos.
La organización debe asegurar, además, que existan responsabilidades definidas para mantener la conformidad del SGIA y para informar sobre su desempeño a la alta dirección. Este segundo punto conecta directamente con la subcláusula 5.1: la rendición de cuentas hacia la dirección es lo que cierra el ciclo de liderazgo. Una definición clara de roles reduce los vacíos de responsabilidad y facilita la rendición de cuentas en todos los procesos relacionados con los sistemas de IA.
Las evidencias que el auditor busca en este ámbito incluyen la matriz de responsabilidades, el organigrama del SGIA, las designaciones formales de responsables, las descripciones de cargo actualizadas y las actas de comités o reuniones donde se ejerzan esas responsabilidades. La existencia de una matriz de responsabilidades bien construida —que asocia cada actividad clave del SGIA con un responsable identificable— es una de las señales más claras de un sistema de gestión maduro.
flowchart TD
AD[Alta dirección] -->|asigna y comunica| ROL[Roles y autoridades]
ROL --> R1[Dirigir el SGIA]
ROL --> R2[Operar sistemas de IA]
ROL --> R3[Supervisar riesgos]
ROL --> R4[Reportar desempeño]
R4 -.informa a.-> AD
En conjunto, la Cláusula 5 asegura que el SGIA tenga dirección, orientación y responsables. Sin liderazgo, la política no se sostiene; sin política, los roles carecen de rumbo; y sin roles claros, ni el liderazgo ni la política se traducen en acción. Los tres elementos son inseparables y preparan el terreno para la planificación del sistema.
Capítulo 7 de la serie ISO/IEC 42001 Auditor Interno — Continúa en el Capítulo 8: Planificación: Riesgos, Oportunidades y Objetivos de IA (Cláusula 6)