Repaso Ejecutivo del SGIA: Cláusulas 4 a 10 de ISO/IEC 42001
Cómo leer este repaso
Este capítulo no desarrolla las cláusulas de ISO/IEC 42001 desde cero. Asume que ya conoces la estructura de alto nivel (HLS) común a todas las normas de sistemas de gestión y que auditaste sus requisitos en tu formación de Auditor Interno. Aquí las repasamos de forma ejecutiva y densa, con una pregunta permanente en mente: cuando lidere una auditoría, ¿qué tengo que verificar en esta cláusula y qué evidencia debo esperar?
Las cláusulas de requisitos auditables van de la 4 a la 10 y siguen el ciclo PDCA (Planificar–Hacer–Verificar–Actuar). Este capítulo cubre en detalle las cláusulas 4 a 8 (el “planificar” y “hacer”) y adelanta las cláusulas 9 y 10 (el “verificar” y “actuar”), que se conectan directamente con el trabajo del auditor.
flowchart LR
C4[4. Contexto] --> C5[5. Liderazgo]
C5 --> C6[6. Planificación]
C6 --> C7[7. Soporte]
C7 --> C8[8. Operación]
C8 --> C9[9. Evaluación<br/>del desempeño]
C9 --> C10[10. Mejora]
C10 -.mejora continua.-> C4
style C6 fill:#1e3a5f,color:#fff
style C8 fill:#1e3a5f,color:#fff
Cláusula 4 — Contexto de la organización
El contexto es el punto de partida de todo el SGIA: si está mal definido, todo lo que sigue queda sobre arena. La cláusula pide cuatro cosas encadenadas. 4.1 exige determinar las cuestiones internas y externas relevantes: el entorno regulatorio, las expectativas del mercado y del sector, los requisitos contractuales, los avances tecnológicos y la percepción pública sobre IA por el lado externo; y la estrategia, la estructura de gobierno, la cultura, la madurez tecnológica, la calidad de los datos y el grado de dependencia de sistemas de IA por el lado interno. 4.2 obliga a identificar las partes interesadas pertinentes —clientes, usuarios, personas afectadas por las salidas de IA, alta dirección, áreas legales, de privacidad y seguridad, proveedores, reguladores, comunidades— y sus requisitos concretos. 4.3 define el alcance del SGIA: qué sistemas de IA, procesos, ubicaciones y unidades quedan dentro, qué exclusiones existen y cómo se justifican. Y 4.4 cierra estableciendo que el SGIA debe funcionar como un sistema interrelacionado, no como un conjunto de documentos sueltos: el contexto influye en el alcance, el alcance orienta la política, la política guía los objetivos, y así sucesivamente.
Qué verifica el auditor líder: que exista información documentada del alcance y que sea coherente con el contexto y las partes interesadas identificadas. La trampa clásica es un alcance genérico (“todos nuestros sistemas de IA”) que no se corresponde con las cuestiones y partes realmente listadas, o exclusiones sin justificación. Un alcance ambiguo es una señal de alerta temprana: dificulta asignar responsabilidades y evaluar la eficacia del resto del sistema.
Cláusula 5 — Liderazgo
El liderazgo es donde el SGIA deja de ser un proyecto técnico para convertirse en gobierno organizacional. 5.1 exige compromiso demostrable de la alta dirección: alinear el SGIA con la dirección estratégica, asignar recursos suficientes, integrar los requisitos del sistema en los procesos del negocio y promover la mejora continua. La clave en IA es que las decisiones sobre sistemas de IA no dependan solo de los equipos técnicos, sino que estén respaldadas por criterios organizacionales y responsabilidades claras. 5.2 requiere una política de IA coherente con el propósito y contexto, que sirva de marco para los objetivos, exprese compromisos de cumplimiento y mejora, esté documentada, comunicada internamente y disponible para las partes interesadas cuando corresponda. No es una declaración decorativa: debe orientar decisiones y comportamientos reales. 5.3 cierra asignando y comunicando roles, responsabilidades y autoridades, algo especialmente crítico en IA porque intervienen negocio, tecnología, datos, legal, cumplimiento, privacidad, seguridad, riesgos y proveedores.
Qué verifica el auditor líder: evidencia tangible del compromiso, no declaraciones de intención. Actas de revisión por la dirección, política de IA aprobada y versionada, presupuesto asignado, y una matriz de responsabilidades donde no haya vacíos. La pregunta incómoda que debe hacer: si mañana el modelo de IA produce una decisión dañina, ¿quién es responsable según los documentos, y esa persona lo sabe?
Cláusula 6 — Planificación
Esta es la cláusula más rica de la norma y el corazón operativo del SGIA. Se organiza en tres bloques. 6.1 aborda las acciones para tratar riesgos y oportunidades, y se subdivide en cuatro pasos que forman una secuencia lógica: 6.1.1 General establece la base y exige mantener criterios de riesgo de IA que permitan distinguir riesgos aceptables de inaceptables; 6.1.2 Evaluación de riesgos de IA define un proceso repetible para identificar, analizar, evaluar y priorizar riesgos, considerando uso previsto, datos, contexto de aplicación y consecuencias; 6.1.3 Tratamiento de riesgos de IA selecciona controles, los compara contra el Anexo A para no omitir ninguno necesario, produce la Declaración de Aplicabilidad (SoA) y obtiene la aprobación de riesgos residuales; y 6.1.4 Evaluación de impacto del sistema de IA analiza las consecuencias sobre individuos, grupos y sociedad, considerando uso previsto, uso indebido previsible y el contexto técnico y social. 6.2 exige objetivos de IA medibles, coherentes con la política, monitoreados y con un plan explícito (qué, quién, cuándo, con qué recursos, cómo se evalúa). 6.3 pide que los cambios al SGIA se hagan de forma planificada, preservando la integridad del sistema.
Qué verifica el auditor líder: la trazabilidad completa de la cadena riesgo → tratamiento → control → SoA → objetivo. Aquí concentrará buena parte de su tiempo. Debe comprobar que existen criterios de riesgo documentados (no un método improvisado), que la SoA justifica inclusiones y exclusiones, que la evaluación de impacto cubre el uso indebido previsible —el error más frecuente es evaluar solo el uso feliz— y que los objetivos de IA son realmente medibles y no aspiraciones vagas. Los capítulos 3 y siguientes profundizan en cómo auditar cada uno de estos elementos.
Cláusula 7 — Soporte
El soporte es lo que hace que el SGIA sea operable en la práctica. 7.1 Recursos exige proveer personas, infraestructura, herramientas, datos, presupuesto y soporte externo necesarios. 7.2 Competencia obliga a determinar la competencia necesaria de quienes afectan el desempeño de IA —gestión de riesgos, evaluación de impacto, operación de controles, supervisión humana, gestión de datos— asegurarla mediante educación, formación o experiencia, y conservar evidencia. 7.3 Toma de conciencia pide que las personas comprendan la política de IA, su contribución al SGIA y las implicaciones de no cumplirlo, con un nivel proporcional a su rol. 7.4 Comunicación exige definir qué, cuándo, a quién y cómo se comunica lo relevante del SGIA. Y 7.5 Información documentada —subdividida en 7.5.1 generalidades, 7.5.2 creación y actualización, y 7.5.3 control— establece que el sistema debe mantener la documentación exigida por la norma más la que la organización determine necesaria, con identificación, formato, revisión, aprobación, control de versiones y protección contra pérdida de integridad o confidencialidad.
Qué verifica el auditor líder: que la competencia esté respaldada por evidencia real (no solo cargos con “IA” en el título), y que el control documental funcione: versiones controladas, aprobaciones registradas, control de la documentación de origen externo (contratos y reportes de proveedores de IA). Un SGIA con sistemas de IA de alto impacto pero documentación pobre es una contradicción que debe señalarse.
Cláusula 8 — Operación
La cláusula 8 es donde lo planificado en la cláusula 6 se ejecuta. 8.1 Planificación y control operacional exige implementar y controlar los procesos que cumplen los requisitos del SGIA, definir criterios, aplicar los controles determinados en 6.1.3, monitorear su eficacia, tomar acciones correctivas cuando no se logran los resultados, controlar los cambios y asegurar el control de procesos, productos o servicios externos relevantes. Las tres subcláusulas siguientes reflejan directamente la planificación: 8.2 exige realizar las evaluaciones de riesgos de IA según el proceso de 6.1.2, en intervalos planificados o ante cambios significativos; 8.3 exige implementar el plan de tratamiento de riesgos de 6.1.3, verificar su eficacia y reactivar el proceso cuando aparecen nuevos riesgos o los controles no funcionan; y 8.4 exige realizar las evaluaciones de impacto según 6.1.4, también en intervalos planificados o ante cambios significativos. En los tres casos, se conserva información documentada de todos los resultados.
Qué verifica el auditor líder: que exista evidencia de que las evaluaciones de riesgo e impacto efectivamente se ejecutan de forma periódica y ante cambios, no solo que exista el proceso definido en la cláusula 6. La brecha típica es una metodología excelente en el papel con evaluaciones desactualizadas o realizadas una sola vez. También verifica que los controles de la SoA estén operando realmente en los procesos y que su eficacia se monitoree.
Cláusulas 9 y 10 — Evaluación del desempeño y mejora
Aunque este repaso se centra en las cláusulas 4 a 8, el auditor líder no puede perder de vista el cierre del ciclo PDCA. La cláusula 9 (Evaluación del desempeño) cubre el seguimiento, medición, análisis y evaluación del SGIA; la propia auditoría interna; y la revisión por la dirección. La cláusula 10 (Mejora) aborda la gestión de no conformidades, las acciones correctivas y la mejora continua. Ambas son el objeto de una parte importante del trabajo de auditoría: el auditor líder verifica que la organización se autoevalúa, que audita su propio SGIA y que cierra las no conformidades con acciones eficaces. Estas cláusulas se desarrollan de forma aplicada más adelante en el curso, cuando abordemos el ciclo de la auditoría y el seguimiento de hallazgos.
Tabla resumen de las cláusulas
| Cláusula | Propósito | Foco de auditoría del líder |
|---|---|---|
| 4. Contexto | Comprender el entorno, las partes interesadas y delimitar el alcance del SGIA. | Coherencia entre contexto, partes interesadas y alcance; exclusiones justificadas. |
| 5. Liderazgo | Asegurar compromiso de la alta dirección, política de IA y roles claros. | Evidencia tangible del compromiso; política viva; matriz de responsabilidades sin vacíos. |
| 6. Planificación | Gestionar riesgos y oportunidades, definir SoA, objetivos y cambios planificados. | Trazabilidad riesgo → tratamiento → control → SoA → objetivo; impacto y uso indebido previsible. |
| 7. Soporte | Proveer recursos, competencia, conciencia, comunicación y control documental. | Competencia con evidencia real; control de versiones y documentación externa. |
| 8. Operación | Ejecutar los procesos, evaluaciones de riesgo e impacto y tratamiento de riesgos. | Ejecución periódica real de evaluaciones; controles de la SoA operando y monitoreados. |
| 9. Evaluación del desempeño | Medir, auditar internamente y revisar por la dirección. | Que la organización se autoevalúa y revisa el SGIA con evidencia. |
| 10. Mejora | Gestionar no conformidades, acciones correctivas y mejora continua. | Cierre eficaz de no conformidades; evidencia de mejora sostenida. |
Con este mapa de requisitos fresco, el siguiente capítulo profundiza en los elementos que más tiempo consumen en una auditoría de SGIA: la gestión de riesgos, la evaluación de impacto, la Declaración de Aplicabilidad y los controles de los Anexos.
Capítulo 2 de la serie ISO/IEC 42001 Lead Auditor — Continúa en el Capítulo 3: Repaso Ejecutivo: Riesgos, Impacto, SoA y Anexos A/B