ISO/IEC 23894 — AI Risk Management Standard and Methodology
Definición
¿Qué es el estándar ISO/IEC 23894?
ISO/IEC 23894:2023 es la norma internacional que establece directrices para la gestión de riesgos en inteligencia artificial. Aplica los principios y procesos de la norma ISO 31000, la norma general de gestión de riesgos, a las características y desafíos específicos de los sistemas de IA, ofreciendo una metodología estructurada para identificar, analizar, evaluar, tratar y monitorizar los riesgos a lo largo de todo el ciclo de vida de la IA.
ISO 23894 es una norma de orientación, no de requisitos. No establece criterios mínimos de certificabilidad, sino que define buenas prácticas y un enfoque sistemático para la gestión de riesgos en IA. Aborda dimensiones de riesgo que los marcos tradicionales no abordan completamente, como la degradación de modelos, los sesgos algorítmicos, la falta de explicabilidad, la manipulación adversarial, los riesgos asociados a la calidad de los datos de entrenamiento, el desajuste en el contexto de despliegue y los riesgos sistémicos derivados del uso de IA a gran escala.
La norma sigue la estructura del proceso de gestión de riesgos de la ISO 31000, adaptada a la IA: establecimiento del contexto, identificación de riesgos, análisis de riesgos, evaluación de riesgos, tratamiento de riesgos, monitorización y revisión, y comunicación y consulta. Además, proporciona orientación sobre cómo integrar la gestión de riesgos de IA en los marcos generales de gestión de riesgos de la organización.
Por qué importa operativamente
¿Por qué importa la norma ISO/IEC 23894?
ISO 23894 es relevante porque proporciona la base metodológica que la gestión de riesgos en IA necesita. Las organizaciones que cuentan con marcos generales de gestión de riesgos empresariales (ERM) pero carecen de una metodología específica para IA suelen pasar por alto riesgos propios de estos sistemas: deriva de modelos, sesgos en los datos de entrenamiento, exposición a ataques adversariales, falta de explicabilidad y fallos derivados del contexto de despliegue. ISO 23894 cubre esta carencia mediante un enfoque estructurado y reconocido internacionalmente para la identificación y evaluación de riesgos en IA.
Para las organizaciones que buscan certificarse bajo la ISO/IEC 42001, ISO 23894 aporta la metodología de gestión de riesgos que la norma de sistema de gestión exige, pero no detalla. Para aquellas que se preparan para evaluaciones de conformidad con la Ley de IA de la UE, ISO 23894 proporciona la estructura de gestión de riesgos que aborda el requisito del sistema de gestión de riesgos previsto en el artículo 9. Y para las organizaciones que implementan el NIST AI RMF, ISO 23894 ofrece una metodología complementaria alineada con el marco ISO.
Marco regulatorio
Marco regulatorio
| Framework | Rol de ISO 23894 |
|---|---|
| EU AI Act — Art. 9 | El Reglamento exige un sistema de gestión de riesgos para sistemas de alto riesgo. ISO 23894 proporciona la metodología estructurada para implementar ese sistema. |
| ISO/IEC 42001 | Los controles del Anexo A sobre gestión de riesgos de IA son implementados metodológicamente mediante ISO 23894. Los dos estándares son complementarios. |
| NIST AI RMF | ISO 23894 e ISO 31000 son referenciados en el NIST AI RMF como marcos metodológicos de gestión de riesgos complementarios al framework estadounidense. |
| ISO 31000 | ISO 23894 extiende ISO 31000 con orientación específica de IA. Las organizaciones que ya usan ISO 31000 para ERM encuentran ISO 23894 como extensión natural. |
—
Cómo lo evalúa Zertia
¿Cómo aplica Zertia la ISO/IEC 23894?
Zertia ofrece una Evaluación de Riesgos de IA conforme a ISO/IEC 23894 que aplica la metodología de la norma a los sistemas de inteligencia artificial específicos de la organización. El proceso es estructurado: identificación de riesgos en dimensiones técnicas, éticas, legales y operativas; análisis de probabilidad e impacto ajustado al contexto de despliegue; evaluación de riesgos en función del apetito de riesgo de la organización; y un plan priorizado de tratamiento de riesgos. La evaluación proporciona un informe de riesgos estructurado y auditable, alineado con los requisitos del Reglamento de IA de la UE y la ISO/IEC 42001.
ISO/IEC 23894 es una norma de orientación, no certificable. Zertia no emite un certificado bajo ISO/IEC 23894. El resultado de esta evaluación es un análisis de riesgos documentado y auditable que las organizaciones utilizan para reforzar su sistema de gestión de IA y demostrar una gestión de riesgos estructurada ante reguladores y consejos de administración.
Definiciones que se sostienen ante un auditor.
¿Este término aplica a tu proyecto de certificación? Hablemos 30 min sin compromiso.
