👉 Esta actividad te ayuda a cumplir los siguientes requisitos:
ISO/IEC 42001:2023: 4.3
¿Para qué me sirve esta actividad? 📚
Esta actividad es el punto de partida y uno de los pilares de todo tu Sistema de Gestión de IA (SGIA). Definir el alcance es como trazar las fronteras de un mapa: te sirve para establecer de manera clara y oficial qué partes de tu organización, qué procesos y qué tecnologías estarán cubiertos por las reglas y controles de la norma ISO 42001.
Un alcance bien definido es crucial porque te permite:
Enfocar tus esfuerzos, concentrando tus recursos (tiempo, equipo y presupuesto) en lo que más te importe y sea más crítico para tu negocio.
Hacer la certificación manejable. Evita el error común de intentar certificar "todo lo que hace la empresa" de golpe. Un alcance acotado hace que el proyecto sea realista y alcanzable.
Aportar claridad a todos, tanto a tu equipo como a los auditores, clientes y socios. Así sabrán exactamente qué está "dentro" y qué está "fuera" de tu SGIA.
¿Qué tengo que hacer? 🚀
Aunque sean normativas diferentes, las estructuras de los sistemas de gestión basados en ISO son muy similares y todas requieren la definición de un alcance. Por lo que para comenzar, te recomendamos ampliamente ver los vídeos tutoriales que te proporcionamos en el siguiente artículo: Definición del alcance del SGSI, ¡pueden ayudarte muchísimo!
Además de los vídeos, recomendamos mucho tomar en cuenta las consideraciones importantes que tiene la definición de alcance de SGSI y que aplican también para implementar un SGIA:
💯 Es muy importante que este enunciado lo establezcan la alta dirección en conjunto con el comité de IA o el encargado del proyecto asignado, asegurando que dicha persona cuente con el conocimiento y experiencia suficiente sobre la empresa, sus procesos y sus necesidades para definirlo correctamente.
🤝 El enunciado formal debe ser aprobado principalmente por la alta dirección pues será el texto que aparecerá en el certificado final emitido por la entidad de certificación, y cargado en los registros de la organización internacional de estandarización (ISO). Esta información será pública y accesible por cualquier otra organización o parte interesada que realice una solicitud formal con propósitos de verificación.
⭐ Este enunciado puede ampliarse cuando tu empresa se esté recertificando, o si en algún momento desean certificarse en otra normativa ISO, para que así cubra todos los aspectos que requiera la organización o en los que esté interesada.
¡No te preocupes por abarcar todo en una primera certificación! Cuando tu SGIA ya se encuentre maduro e implementado, te será mucho más fácil ampliarlo si es necesario.
Ahora bien, una vez que hayas visto los vídeos tutoriales, que hayas leído este artículo y la guía que te proporcionamos, ¡ya podemos ponernos manos a la obra!
Antes que nada, pregúntate lo siguiente: ¿Cuáles son los motivos por los que tu empresa desea certificarse?
Algunos ejemplos podrían ser:
Por cumplimiento legal para alinearse a las regulaciones de los países donde operan.
Por cumplimiento contractual con clientes y/o proveedores.
Para aumentar la competitividad de la empresa en el mercado.
Por solicitud de inversionistas u otra parte interesada.
Una vez que se conozca y entienda el motivante principal de buscar una certificación, te será mucho más sencillo definir el enunciado de alcance, el cual se documenta como un breve párrafo dónde se indican las áreas, procesos, productos y/o servicios que serán alcanzados por tu SGSI.
La primer gran tarea es el análisis de actividades, áreas y procesos.
Dentro de la guía que te proporcionamos en nuestra plataforma te sugerimos responder una serie de preguntas, las cuales están diseñadas para que reflexiones sobre las diferentes dimensiones de tu organización. Por ejemplo:
¿Qué actividades de IA quieres certificar?
Aquí se busca identificar los productos o servicios centrales que se desarrollan o que utilizan IA en tu empresa.
¿Qué áreas se deberían involucrar?
Esto permite definir los límites organizacionales. Y para el alcance de un SGIA generalmente se consideran áreas como Tecnología, Operaciones, Desarrollo, etcétera.
¿Qué procesos de negocio serán alcanzados?
Pensando en IA podemos dar ejemplos básicos como el proceso desarrollo del sistema, procesos de entrega de chatbots, etcétera.
Pero a esta pregunta también se le puede dar otro enfoque pensando en servicios; ¿qué servicios entregados por la organización que usan IA quiero certificar?
¿Qué dependencias o interferencias existen entre los elementos incluidos?
Esto es una parte muy importante para el cumplimiento normativo, ya que busca que la organización entienda que el impacto de implementar controles y fomentar el mantenimiento de un SGIA puede permearse a otras áreas, procesos o servicios aunque hayan quedado "fuera" del alcance definido.
Entonces, aquí se deben analizar aquellos procesos o servicios que sean necesarios para ejecutar los que sí están alcanzados, o que quizá tengan una interferencia o cruce entre sí.
¿Qué tecnología soporta los procesos y/o servicios alcanzados?
Es decir, debes identificar el tipo de infraestructura, los sistemas y/o servicios en la nube que permitan la entrega de los procesos y/o servicios alcanzados.
Y la segunda gran tarea y para finalizar esta actividad tenemos la construcción del enunciado final de alcance.
Lo cual básicamente consiste en que, una vez que hayas respondido las preguntas anteriores, podrás construir tu enunciado de alcance final de manera muy sencilla. Recuerda que la estructura que te proponemos del enunciado es la siguiente:
El alcance del Sistema de Gestión de Inteligencia Artificial de (nombre empresa) contempla la seguridad, integridad y privacidad en el uso de la IA dentro de la empresa para la protección efectiva de (A). Esta implementación se extiende a las siguientes áreas funcionales: (B), y a los siguientes procesos, productos y/o servicios: (C). Esto de acuerdo a la declaración de aplicabilidad de la organización en su versión (# versión). |
📑 Dentro de la guía donde trabajarás el enunciado final encontrarás más detalle y ejemplos que te guiarán a completar los incisos (A), (B) y (C) que se muestran en nuestro ejemplo anterior.
🚨Punto clave: El análisis e identificación de los procesos a certificar y aquellos con los que tienen dependencia o interacción en la sección 3.3 de la Política del SGIA. Esta información es altamente auditable, y por ende, muy importante para lograr la certificación ☑️.
💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Recomendaciones ✅
Es una estrategia muy válida y recomendada empezar con un alcance acotado y bien definido (por ejemplo, un único producto de IA crítico y los procesos que lo soportan, o algo similar). Una vez certificado, siempre podrás ampliar el alcance en auditorías futuras.
Involucra a la alta dirección todo lo que sea posible porque la definición del alcance es una decisión estratégica, y lo ideal es que sea discutida y aprobada por la propia alta dirección, ya que impacta directamente en los objetivos de negocio y la asignación de recursos.
Sé lo más claro y específico posible al redactar el enunciado, evita un lenguaje ambiguo o que tu equipo pueda confundir. Un auditor valorará un alcance que cualquier persona pueda leer y entender, y sobre todo, que las personas dentro de tu equipo puedan explicar.
Una buena estrategia para elaborar esta actividad es coordinar una sesión de trabajo donde participen representantes de la alta dirección, las gerencias, el Chief Artificial Intelligence Officer o rol equivalente y/o el encargado de proyecto, etcétera para definir definir el alcance en conjunto y asegurar que todos estarán en la misma sintonía.
Comunica el alcance a toda la organización. Un auditor puede solicitar que se suba un colaborador seleccionado aleatoriamente para verificar si conoce el alcance que tiene la certificación que están implementando en la empresa.
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti!
Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.