Gestion de Riesgos IA: donde la gestion generica de riesgos deja de funcionar para IA
La gestion de riesgos IA aborda modos de fallo especificos. Zertia audita bajo ISO 42001 + ISO 23894.
Definición
¿Qué es la gestión de riesgos de IA?
La gestión de riesgos de IA es el proceso estructurado y continuo de identificar, analizar, evaluar, tratar y monitorizar los riesgos asociados a los sistemas de inteligencia artificial a lo largo de todo su ciclo de vida, desde el diseño y desarrollo hasta el despliegue, la supervisión y la retirada del sistema. Integra las dimensiones técnica, organizativa, legal, ética y operativa del riesgo en un marco de gobernanza coherente.
ISO/IEC 23894:2023 proporciona orientación específica para la gestión de riesgos de IA, aplicando los principios y el proceso de ISO 31000 (la norma general de gestión de riesgos) a las características y riesgos específicos de los sistemas de IA. El NIST AI Risk Management Framework (AI RMF) ofrece orientación operativa complementaria estructurada en cuatro funciones: Govern, Map, Measure y Manage. El EU AI Act exige un sistema documentado de gestión de riesgos para todos los sistemas de IA de alto riesgo como requisito previo al despliegue.
Una gestión de riesgos de IA eficaz no es una evaluación puntual. Es un proceso continuo que requiere revisión periódica a medida que los modelos evolucionan, las distribuciones de datos cambian, los contextos de despliegue se modifican y los requisitos regulatorios avanzan. La prueba estructural de un programa de gestión de riesgos de IA no es si los riesgos se identifican una vez, sino si se hacen seguimiento y se tratan a lo largo del tiempo.
Por qué importa operativamente
¿Por qué es importante la gestión de riesgos de IA?
El punto de fallo en la gestión de riesgos de IA no es la falta de conciencia; la mayoría de las organizaciones sabe que la IA conlleva riesgos. El punto de fallo es la brecha entre la conciencia y la infraestructura operativa: saber que existen riesgos sin tener los procesos, la documentación y los controles para identificarlos, medirlos y tratarlos sistemáticamente.
Esa brecha importa porque los riesgos de IA no son estáticos. Un modelo que rinde bien en el momento del despliegue puede degradarse con el tiempo a medida que cambian las distribuciones de datos (model drift), los contextos de despliegue se expanden más allá de los parámetros de diseño originales, o actores adversarios desarrollan técnicas para manipular el comportamiento del sistema. Una gestión de riesgos consistente solo en una evaluación previa al despliegue ignora por completo la dimensión continua.
Para los sectores regulados, servicios financieros, salud, seguros, tecnología de RR.HH., los reguladores están exigiendo explícitamente una gestión de riesgos de IA estructurada, no solo la conciencia del riesgo. El EU AI Act, el NIST AI RMF y las leyes estatales de IA emergentes en EE.UU. exigen demostrar la identificación, evaluación y tratamiento sistemáticos del riesgo. La contrapartida en el ámbito de las compras es que los compradores empresariales piden ahora a sus proveedores evidencia de un programa operativo de riesgo, no una declaración de intenciones.
Marco regulatorio
¿Qué marcos rigen la gestión de riesgos de IA?
| Framework | Aplicación |
|---|---|
| ISO/IEC 23894:2023 | Estándar específico de gestión de riesgos de IA. Guía metodológica para identificación, análisis, evaluación y tratamiento de riesgos de IA. |
| NIST AI RMF | Marco operativo de EE.UU. con cuatro funciones: Govern, Map, Measure, Manage. Voluntario pero usado como referencia en procurement federal y enterprise. |
| EU AI Act | Exige un sistema documentado de gestión de riesgos para todos los sistemas de alto riesgo. La gestión de riesgos es un requisito legal, no una buena práctica. |
| ISO/IEC 42001 | El Anexo A incluye controles de gestión de riesgos de IA dentro del sistema de gestión certificable. |
| ISO 31000 | Marco general de gestión de riesgos sobre el que se construye ISO 23894. |
—
Cómo lo evalúa Zertia
¿Cómo evalúa Zertia la gestión de riesgos de IA?
Zertia ofrece tres servicios de evaluación de riesgos complementarios. La Evaluación ISO/IEC 23894 proporciona una evaluación estructurada y alineada con la norma: identificación de riesgos en las dimensiones de datos, modelo, despliegue y operación; análisis de probabilidad e impacto; y roadmap de mitigación priorizado. La Evaluación NIST AI RMF evalúa la madurez de la gobernanza en las cuatro funciones del framework. La Evaluación de Impacto Algorítmico (AIA) se centra específicamente en los impactos sobre las personas y los derechos fundamentales. Las tres producen informes auditables presentables ante reguladores e inversores.
Definiciones que se sostienen ante un auditor.
¿Este término aplica a tu proyecto de certificación? Hablemos 30 min sin compromiso.
