Operación: Planificación Operacional, Riesgos e Impacto (Cláusula 8)
Operación: Planificación Operacional, Riesgos e Impacto (Cláusula 8)
Todo lo planificado en las cláusulas 6 y 7 tiene un único propósito: ejecutarse. La cláusula 8 de ISO/IEC 42001 es donde el SGIA entra en acción. Aquí los procesos se controlan, los planes de tratamiento se implementan y las evaluaciones de riesgo e impacto dejan de ser un ejercicio único de planificación para convertirse en actividades recurrentes que acompañan al sistema de IA durante toda su vida.
La cláusula se estructura en cuatro subcláusulas, tres de las cuales retoman procesos ya definidos en la cláusula 6, pero ahora en modo ejecución continua:
flowchart TD
OP[8.1 Planificación y<br/>control operacional] --> R[8.2 Evaluación de<br/>riesgos de IA]
R --> T[8.3 Tratamiento de<br/>riesgos de IA]
T --> I[8.4 Evaluación de<br/>impacto del sistema de IA]
I -.->|reevaluación<br/>periódica| R
style OP fill:#dbeafe,stroke:#2563eb
style R fill:#dcfce7,stroke:#16a34a
style T fill:#fef9c3,stroke:#ca8a04
style I fill:#fce7f3,stroke:#db2777
La relación entre la cláusula 6 y la cláusula 8 es la que existe entre diseñar un proceso y operarlo. La 6 dice “define un método de evaluación de riesgos”; la 8 dice “aplícalo periódicamente y conserva los resultados de cada aplicación”.
8.1 Planificación y control operacional
La subcláusula 8.1 establece que la organización debe planificar, implementar y controlar los procesos necesarios para cumplir los requisitos del SGIA y ejecutar las acciones determinadas en la cláusula 6. Es el puente entre la planificación estratégica y la operación cotidiana.
Para lograrlo, la organización debe:
- Definir criterios para los procesos.
- Controlar los procesos conforme a esos criterios.
- Implementar los controles determinados en 6.1.3 que sean relevantes para la operación.
flowchart LR
C[Definir criterios<br/>para los procesos] --> E[Ejecutar procesos<br/>conforme a criterios]
E --> M[Monitorear eficacia<br/>de los controles]
M --> D{¿Se logran los<br/>resultados previstos?}
D -->|Sí| K[Conservar información<br/>documentada]
D -->|No| A[Acciones correctivas]
A --> E
style C fill:#dbeafe,stroke:#2563eb
style K fill:#dcfce7,stroke:#16a34a
style A fill:#fecaca,stroke:#dc2626
Más allá de ejecutar, la organización debe monitorear la eficacia de los controles implementados y considerar acciones correctivas cuando no se logren los resultados previstos. La operación no es “poner el sistema a andar y olvidarse”: es vigilar continuamente que los controles cumplen su función.
Además, la subcláusula exige cuatro compromisos de gobernanza operacional:
| Compromiso | Qué implica |
|---|---|
| Conservar información documentada | Demostrar que los procesos se ejecutaron según lo planificado |
| Controlar cambios planificados | Introducir cambios de forma ordenada (enlaza con 6.3) |
| Revisar cambios no previstos | Analizar los efectos de lo que ocurrió sin planificarse |
| Controlar procesos externos | Asegurar que productos y servicios de terceros relevantes estén controlados |
El control de los procesos externos es especialmente relevante en IA, donde es habitual depender de modelos, datos o APIs de proveedores. Un proceso subcontratado sigue siendo responsabilidad de la organización.
Ejemplo concreto. Una plataforma de comercio electrónico opera un modelo de recomendación cuyo criterio de proceso es “el tiempo de respuesta debe mantenerse por debajo de 200 ms y la tasa de recomendaciones relevantes por encima del 80 %”. Un control implementado (de 6.1.3) es el monitoreo automático de deriva del modelo. Cuando el monitoreo detecta que la relevancia cae al 72 % tras un cambio de temporada, se dispara una acción correctiva: reentrenar el modelo. Todo el episodio queda documentado, evidenciando el control operacional del SGIA.
Nota. El Anexo A contiene controles de referencia para el SGIA, y el Anexo B proporciona orientación para su implementación.
8.2 Evaluación de riesgos de IA
La subcláusula 8.2 lleva a la operación el proceso definido en 6.1.2. La organización debe realizar evaluaciones de riesgos de IA de acuerdo con ese proceso, pero ahora la clave está en la periodicidad: estas evaluaciones deben realizarse en intervalos planificados o cuando se propongan o se produzcan cambios significativos.
flowchart TD
A{Disparadores de<br/>evaluación de riesgos} --> B[Intervalos<br/>planificados]
A --> C[Cambio significativo<br/>propuesto]
A --> D[Cambio significativo<br/>producido]
B & C & D --> E[Aplicar proceso<br/>de 6.1.2]
E --> F[Conservar resultados<br/>como información<br/>documentada]
style A fill:#dbeafe,stroke:#2563eb
style F fill:#dcfce7,stroke:#16a34a
Esta doble condición —tiempo o cambio— evita dos fallas típicas: por un lado, que la organización solo evalúe riesgos una vez y nunca más; por otro, que ignore un cambio importante porque “todavía no toca la revisión anual”. La organización debe conservar información documentada de los resultados de todas las evaluaciones de riesgos de IA, construyendo así un histórico que permite ver la evolución del perfil de riesgo.
Ejemplo concreto. Un banco evalúa los riesgos de su modelo antifraude cada trimestre (intervalo planificado). Pero cuando decide ampliar el modelo para cubrir transacciones internacionales (cambio significativo), no espera al siguiente trimestre: dispara de inmediato una nueva evaluación de riesgos, porque el nuevo alcance introduce variables —divisas, jurisdicciones, patrones de fraude distintos— que no estaban contempladas.
8.3 Tratamiento de riesgos de IA
La subcláusula 8.3 opera el plan definido en 6.1.3. La organización debe implementar el plan de tratamiento de riesgos de IA y verificar su eficacia. Definir un plan no es suficiente: hay que ejecutarlo y comprobar que realmente reduce el riesgo.
El tratamiento en operación funciona como un ciclo con retroalimentación:
flowchart TD
I[Implementar plan de<br/>tratamiento 6.1.3] --> V{¿Los controles<br/>son eficaces?}
V -->|Sí| K[Conservar resultados<br/>documentados]
V -->|No| R[Revisar y revalidar<br/>opciones de tratamiento]
R --> U[Actualizar el plan<br/>de tratamiento]
U --> I
N[Nueva evaluación 8.2<br/>identifica nuevos riesgos] --> P[Reaplicar proceso<br/>de tratamiento]
P --> I
style I fill:#dbeafe,stroke:#2563eb
style K fill:#dcfce7,stroke:#16a34a
style R fill:#fef9c3,stroke:#ca8a04
La subcláusula contempla dos situaciones dinámicas:
- Nuevos riesgos. Cuando las evaluaciones de riesgos de IA identifican nuevos riesgos que requieren tratamiento, la organización debe aplicar nuevamente el proceso de tratamiento.
- Controles ineficaces. Si las opciones de tratamiento definidas no resultan eficaces, deben revisarse y revalidarse conforme al proceso de tratamiento, y el plan debe actualizarse.
La organización debe conservar información documentada de los resultados de todos los tratamientos de riesgos de IA.
Ejemplo concreto. Para mitigar el sesgo de un modelo de contratación, una empresa implementó un control de reponderación de datos. Al verificar su eficacia, descubre que el sesgo persiste en un subgrupo. En lugar de dejarlo así, revalida el tratamiento: añade supervisión humana obligatoria para ese subgrupo y actualiza el plan. El ciclo demuestra que el tratamiento es un proceso vivo, no una casilla marcada una sola vez.
8.4 Evaluación de impacto del sistema de IA
La subcláusula 8.4 lleva a la operación el proceso de evaluación de impacto definido en 6.1.4. La organización debe realizar evaluaciones de impacto del sistema de IA de acuerdo con ese proceso, y —igual que con los riesgos— hacerlo en intervalos planificados o cuando se propongan cambios significativos.
flowchart LR
A{Disparadores} --> B[Intervalos<br/>planificados]
A --> C[Cambios significativos<br/>propuestos]
B & C --> D[Aplicar proceso<br/>de 6.1.4]
D --> E[Evaluar consecuencias<br/>sobre individuos,<br/>grupos y sociedad]
E --> F[Conservar resultados<br/>documentados]
style A fill:#dbeafe,stroke:#2563eb
style F fill:#dcfce7,stroke:#16a34a
La organización debe conservar información documentada de los resultados de todas las evaluaciones de impacto del sistema de IA. Así, el impacto sobre las personas se vigila con la misma disciplina periódica que los riesgos organizacionales, cerrando la coherencia entre lo que la norma exige planificar (cláusula 6) y lo que exige operar (cláusula 8).
Ejemplo concreto. Un sistema de moderación de contenido evalúa su impacto anualmente. Cuando la empresa propone ampliarlo a un nuevo idioma y región (cambio significativo), realiza una evaluación de impacto específica antes del despliegue, porque las normas culturales y legales de esa región cambian por completo qué se considera contenido dañino. El resultado se documenta y, si revela nuevas consecuencias, retroalimenta la evaluación de riesgos de 8.2.
Síntesis del capítulo
La cláusula 8 transforma los planes en práctica sostenida. 8.1 controla los procesos operacionales, monitorea la eficacia de los controles y gestiona tanto los cambios planificados como los imprevistos y los procesos externos. 8.2, 8.3 y 8.4 convierten la evaluación de riesgos, su tratamiento y la evaluación de impacto en actividades recurrentes, disparadas por el paso del tiempo o por cambios significativos, con la obligación transversal de conservar los resultados de cada iteración.
El hilo conductor de toda la cláusula es la continuidad: un SGIA no se audita como una foto fija, sino como una película. Para el auditor interno, la evidencia clave será la existencia de un histórico de evaluaciones fechadas, de acciones correctivas rastreables y de planes de tratamiento que se actualizan cuando los controles fallan. Esa cadencia documentada es la prueba de que el sistema está vivo.
Dada la centralidad de la gestión de riesgos y la evaluación de impacto en las cláusulas 6 y 8, el siguiente módulo del curso profundiza en estas disciplinas: metodologías detalladas de identificación, análisis, evaluación y priorización de riesgos, junto con la evaluación de impacto y la Declaración de Aplicabilidad en profundidad.
Capítulo 10 de la serie ISO/IEC 42001 Auditor Interno — Continúa en el Capítulo 11: Gestión de Riesgos de IA y Evaluación de Impacto en Profundidad