Apetito de Riesgo de IA — Limites de Gobernanza para la Aceptacion de Riesgo

Definición

El apetito de riesgo de IA es el nivel y tipo de riesgo que una organizacion esta dispuesta a aceptar en la persecucion de su estrategia y objetivos de IA, antes de que se considere necesaria una accion para reducir o evitar el riesgo. Es la declaracion de gobernanza que establece los limites dentro de los cuales opera la gestion de riesgos de IA — definiendo que riesgo residual es aceptable tras aplicar los controles, y que nivel de riesgo activa el escalado obligatorio, controles adicionales o cese de la actividad.

Por qué importa operativamente

El apetito de riesgo de IA importa porque la gestion de riesgos sin declaraciones de apetito es gestion operativa de riesgos sin direccion estrategica. Sin un apetito de riesgo definido, los equipos de gestion de riesgos no pueden tomar decisiones consistentes sobre que riesgos aceptar, cuales mitigar y cuales escalar. Cada decision de riesgo se vuelve ad hoc, y la exposicion agregada al riesgo del portafolio de IA es desconocida y no gestionada a nivel consejo.

Marco regulatorio

Cómo lo evalúa Zertia

Zertia evalua si el apetito de riesgo de IA esta definido y es operativo como parte de la certificacion ISO/IEC 42001. La auditoria de certificacion evalua: si los criterios de aceptacion de riesgo estan documentados; si las declaraciones de apetito de riesgo cubren las dimensiones relevantes del riesgo de IA; si existe un proceso de escalado definido cuando los riesgos exceden el apetito; y si el consejo o la alta direccion ha aprobado formalmente el marco de apetito de riesgo. La Evaluacion ISO 23894 proporciona la base analitica para organizaciones que desarrollan o refinan su apetito de riesgo de IA.

Definiciones que se sostienen ante un auditor.

¿Este término aplica a tu proyecto de certificación? Hablemos 30 min sin compromiso.