Folletos

ISO 42001 para proveedores de IA frente a desplegadores de IA

Equipo Zertia · 6 min de lectura
Compartir

Hoy en día hay dos tipos de organizaciones muy diferentes que persiguen la ISO 42001, y necesitan implementaciones casi completamente distintas. La norma es la misma. El alcance, las evidencias y el foco de la auditoría no lo son.

Entender en qué lado de la línea se encuentra su organización —o si está en ambos— cambia cómo se delimita el proyecto, cómo se asignan los recursos y qué comunica realmente la certificación al mercado.

La creencia habitual

La suposición inicial en la mayoría de los proyectos es que ISO 42001 es una sola implementación con una sola metodología, aplicada de forma uniforme. Las empresas buscan plantillas, políticas de ejemplo y registros de riesgos de muestra, asumiendo que un buen punto de partida para una organización es un buen punto de partida para otra.

No lo es. La forma del sistema de gestión depende en gran medida del papel que la organización desempeña en la cadena de valor de la IA.

Los dos roles que distingue la norma

ISO 42001, siguiendo el enfoque del Reglamento de IA de la UE y la mayoría de los marcos globales, distingue entre dos roles operacionales que una organización puede desempeñar respecto a cualquier sistema de IA concreto:

Proveedor de IA

Una organización que desarrolla un sistema de IA o un modelo de IA de uso general y lo pone en el mercado bajo su propio nombre o marca. Ejemplos: una empresa de HR Tech que construye su propio modelo de cribado de currículos; una FinTech que desarrolla un algoritmo propietario de scoring crediticio; una startup de IA que ofrece un modelo fundacional a través de API; una empresa de IA médica que entrena su propio modelo de diagnóstico.

Desplegador de IA

Una organización que utiliza un sistema de IA bajo su propia autoridad, integrando habitualmente un modelo de terceros en sus operaciones. Ejemplos: un banco que utiliza el modelo anti-blanqueo de capitales de un proveedor; una aseguradora que utiliza un sistema externo de detección de fraude; un minorista que utiliza un motor de recomendación de terceros; un organismo del sector público que utiliza una IA comercial de verificación de identidad.

Muchas organizaciones son ambas cosas. Una fintech que entrena modelos de crédito propietarios y también integra proveedores externos de KYC es proveedor para algunos sistemas y desplegador para otros. El sistema de gestión debe gestionar ambos modos.

Las obligaciones del proveedor tienen que ver con lo que construyes. Las obligaciones del desplegador tienen que ver con lo que eliges, cómo lo usas y cómo lo supervisas.

Dónde vive el problema real

Las expectativas de alcance y de evidencias divergen significativamente entre ambos roles.

Para proveedores

El auditor esperará ver evidencias a lo largo de todo el ciclo de vida de la IA: decisiones de diseño, gobernanza de datos de entrenamiento, documentación del modelo, pruebas de sesgo y robustez, diseño de supervisión humana, documentación que acompaña al sistema para los desplegadores, monitorización poscomercialización y respuesta ante incidentes para los clientes que utilizan el sistema. Los controles del Anexo A de ISO 42001 que enfatizan la evaluación de impacto, los datos para sistemas de IA y la información para los usuarios pasan a ser centrales.

Una implementación de proveedor involucra a gestión de producto, ingeniería, ciencia de datos, legal y éxito del cliente. Produce artefactos que con frecuencia deben compartirse con clientes empresariales y reguladores.

Para desplegadores

El auditor esperará ver evidencias en torno a la evaluación de proveedores, las políticas de uso aceptable, la implementación de las instrucciones de uso, la formación interna de los operadores, la supervisión humana en el contexto específico del desplegador, la monitorización de las salidas en la operación del desplegador y el tratamiento de incidentes relevante para cómo se utiliza realmente el sistema. Los controles del Anexo A sobre evaluación del impacto del sistema de IA, calidad de los datos para la operación y supervisión humana en el despliegue pasan a ser centrales.

Una implementación de desplegador involucra a aprovisionamiento, operaciones, legal, riesgo y las funciones de negocio concretas que utilizan la IA. Produce artefactos mayoritariamente internos, que respaldan la rendición de cuentas propia de la organización.

La pregunta que hay que hacerse no es «¿Cómo obtenemos la certificación ISO 42001?». La pregunta es: «Para cada sistema de IA dentro de nuestro alcance, ¿qué papel desempeñamos y qué evidencias requiere ese papel?»

La respuesta suele poner de manifiesto que el alcance del sistema de gestión debe gestionar explícitamente la operación con doble rol. Las organizaciones híbridas necesitan un único sistema de gestión que aplique las obligaciones del proveedor donde construyen y las obligaciones del desplegador donde compran o integran.

El cambio estructural

La garantía de producto tradicional asumía una única parte responsable claramente definida: el fabricante. Las operaciones modernas de IA distribuyen la responsabilidad a lo largo de una cadena. Un modelo fundacional lo construye una empresa, otra lo ajusta mediante fine-tuning, una tercera lo integra en un producto, una cuarta lo despliega en un contexto operativo, y un usuario final lo experimenta sin visibilidad sobre ninguno de estos pasos.

La distinción de ISO 42001 entre los roles de proveedor y desplegador es la forma en que el marco de gobernanza se adapta a esa realidad distribuida. Cada nodo de la cadena tiene que gobernar las decisiones que realmente toma y documentarlas de forma que el siguiente nodo pueda gobernar de forma responsable.

Qué significa esto para su organización

Mapee el rol por sistema antes de definir el alcance. Construya un inventario de sistemas de IA que etiquete explícitamente cada uno como proveedor, desplegador o ambos. Una organización de tamaño medio suele tener una combinación; la distribución determina qué controles del Anexo A requieren mayor atención.

No sobreimplemente para su rol no principal. Un desplegador que copia el enfoque de evidencias de un proveedor desperdicia esfuerzo en documentación que no necesita, mientras documenta de forma insuficiente el trabajo de evaluación de proveedores y supervisión operativa que realmente le aplica.

Utilice la claridad de rol para comunicarse externamente. Un certificado acompañado de una declaración de alcance clara («SGIA certificado que cubre nuestro rol como proveedor de los sistemas A, B, C y como desplegador de los sistemas X, Y, Z») tiene más peso ante compradores sofisticados que una reclamación de certificado genérica.

En la cadena de valor de la IA, todos gobiernan algo. Su certificación debe decirle al mercado exactamente de qué se responsabiliza su organización.

¿Listo para pasar de la documentación a la certificación?

📩 [email protected] · 🌐 zertia.ai

Tu vía rápida al cumplimiento comienza aquí

Nuestro equipo está listo para apoyarte en cumplimiento normativo, ciberseguridad y privacidad. Completa el formulario de contacto o escríbenos a [email protected], y nuestros expertos te guiarán en los próximos pasos.