Espacio de calidad

Componentes clave y estructura de la norma ISO/IEC 42001: Sistema de Gestión de Inteligencia Artificial

Última actualización: 29 de octubre de 2024 Lectura de 2 min
JULY CHAVEZ ARÉVALO JULY CHAVEZ ARÉVALO

La inteligencia artificial (IA) es un campo de la informática enfocado en crear sistemas capaces de realizar tareas que normalmente requieren inteligencia humana, como el aprendizaje, el razonamiento y la percepción. Para las organizaciones, la IA implica innumerables oportunidades, tanto para transformar las experiencias del cliente como para impulsar la innovación a un ritmo extraordinario. Ante esto nace la norma ISO/IEC 42001, norma internacional que especifica los requisitos para establecer, implementar, mantener y mejorar de forma continua un sistema de gestión de inteligencia artificial (SGIA) en las organizaciones.

Según la norma ISO/IEC 42001, un SGIA se entiende como el “conjunto de elementos de una organización interrelacionados o que interactúan, destinados a establecer políticas y objetivos, así como procesos para alcanzar dichos objetivos, en relación con el desarrollo responsable, el suministro o el uso de sistemas de IA”. Esta implementación ofrece una forma de poner en marcha políticas y procedimientos para la buena gobernanza de una organización en relación con la IA y el uso de la metodología Planificar-Hacer-Verificar-Actuar. Asimismo, la norma presenta una forma práctica de gestionar los riesgos y oportunidades relacionados con la IA en toda una organización.

La norma está dirigida a organizaciones y/o empresas de cualquier tamaño relacionadas con el desarrollo, suministro o uso de productos o servicios basados en IA.

Los conceptos clave de la norma ISO/IEC 42001 son los siguientes:

  1. Apoyo a la toma de decisiones: se brinda a las organizaciones información precisa y oportuna, lo cual permite la toma de decisiones informadas que se alineen con los objetivos de la organización.
  2. Ventaja competitiva: las organizaciones llegan a ser más ágiles, innovadoras y receptivas a los cambios del mercado.
  3. Asignación de recursos: como la fuerza laboral, las finanzas y el tiempo, al identificar áreas de mejora y áreas donde los recursos se están subutilizando.
  4. Gestión de riesgos: mediante el análisis de patrones y tendencias en los datos, lo que ayuda a la organización a anticipar y abordar problemas potenciales de manera proactiva.
  5. Eficiencia y optimización: ayuda a las organizaciones en la automatización de tareas repetitivas, el análisis de grandes cantidades de datos y la provisión de información que puede conducir a procesos más eficientes y optimizados.

Asimismo, la norma ISO/IEC 42001 sigue la estructura de alto nivel al cubrir 10 cláusulas, donde se incluye lo siguiente:

  • Cláusula 1, Alcance: define su propósito, público y aplicabilidad.
  • Cláusula 2, Referencias normativas: describe los documentos referenciados externamente cuyo contenido, o partes del mismo, se consideran requisitos de ISO/IEC 42001. Incluye ISO/IEC 22989:2022 , que proporciona conceptos y terminología de IA.
  • Cláusula 3, Términos y definiciones: proporciona términos y definiciones clave esenciales para interpretar e implementar los requisitos de la norma.
  • Cláusula 4, Contexto de la organización: requiere que las organizaciones comprendan los factores internos y externos que pueden influir en sus objetivos, incluidos los roles relacionados con los sistemas de IA y diversos elementos contextuales que afectan las operaciones.
  • Cláusula 5, Liderazgo: requiere que la alta dirección demuestre compromiso, integre los requisitos de la IA y fomente una cultura de uso responsable de la IA.
  • Cláusula 6, Planificación: requiere que las organizaciones planifiquen cómo abordar los riesgos y oportunidades, establezcan objetivos de IA y cómo alcanzarlos, y que los cambios sean planificados.
  • Cláusula 7, Soporte:  requiere que las organizaciones garanticen los recursos, la competencia, la toma de conciencia, la comunicación efectiva y la documentación necesarios para respaldar el establecimiento, implementación, mantenimiento y mejora del sistema de gestión de inteligencia artificial.
  • Cláusula 8, Operación: proporciona requisitos para los procesos de planificación, implementación y control operativos que permiten cumplir con los requisitos, abordar los riesgos y oportunidades identificados según lo planeado, realizar evaluaciones de impacto del sistema de IA y gestionar los cambios de manera efectiva.
  • Cláusula 9, Evaluación del desempeño: requiere que las organizaciones monitoreen, midan, analicen y evalúen el desempeño y la eficacia de los objetivos. Además, requiere la realización de auditorías internas y revisiones de la gestión para garantizar la idoneidad, adecuación y eficacia continua del sistema de gestión de inteligencia artificial.
  • Cláusula 10, Mejora:  requiere una mejora continua de los objetivos abordando las no conformidades mediante acciones correctivas, evaluando su eficacia y manteniendo información documentada para la rendición de cuentas y el seguimiento de los esfuerzos de mejora.

En síntesis, la norma presenta una estructura de diez (10) cláusulas, treinta y ocho (38) controles y diez (10) objetivos de control. Los controles permiten abordar los riesgos relacionados con la IA de manera integral, la evaluación de estos hasta la selección de opciones de tratamiento adecuadas y la implementación de los controles necesarios. Finalmente, se cuentan con 4 anexos que complementan la norma, donde se presentan el Anexo A, objetivos de control de referencia y controles; el Anexo B, guía de implementación para controles de IA; Anexo C, posibles objetivos organizacionales relacionados con la IA y fuentes de riesgo; y el Anexo D, uso del sistema de gestión de IA en todos los dominios o sectores.

Referencias

International Organization for Standardization. (2023). ISO/IEC 42001:2023 Information technology — Artificial intelligence — Management system. https://www.iso.org/es/contents/data/standard/08/12/81230.html