Ir al contenido principal

Política de SGIA

👉 Esta actividad te ayuda a cumplir los siguientes requisitos:

  • ISO/IEC 42001:2023: 4.1, 4.2, 4.3, 4.4, 5.1, 5.2, 5.3, 6.1.1, 6.1.2, 6.1.3, 6.2, 6.3, 7.1, 7.2, 7.3, 7.5.1, 7.5.2, 7.5.3, 8.2, 9.2.2, 9.3.2

Y el siguiente control:

  • ISO/IEC 42001:2023: A.10.4

¿Para qué me sirve esta actividad? 📚

Esta actividad te sirve para crear el documento más importante de tu Sistema de Gestión de IA. Esta política es como el mapa completo, la declaración de las intenciones de tu organización respecto a la gestión de la inteligencia artificial, donde se establecen cosas como:

  • El compromiso de la alta dirección con el uso responsable de la IA.

  • La estructura general del sistema, alineada con la norma ISO 42001.

  • Los lineamientos fundamentales para cada aspecto del sistema: desde la planificación y los riesgos, hasta la operación, el soporte y la mejora continua.

Durante auditorías, este es a menudo el primer documento que se solicita, ya que proporciona una visión panorámica de todo tu sistema de gestión y cómo sus partes se interconectan.

¿Qué tengo que hacer? 🚀

Te recomendamos comenzar leyendo el template que te proporcionamos en su totalidad. Verás que sigue la estructura de las cláusulas de la norma ISO 42001, desde la 4 hasta la 10.

Vista previa de nuestro template:

Una vez leído todo el template, debes asegurar que se encuentre alineado a tus operaciones. El objetivo es que completes cada sección con la información específica de tu empresa. Y si hay algo que no puedas implementar, recuerda que será muy importante poder justificar los motivos durante una auditoría.
​​

💡Nuestro template está estructurado con los lineamientos necesarios para dar cumplimiento a los requisitos normativos. La gran ventaja de este documento es que resume y conecta todo tu SGIA. Dentro de él encontrarás también ejemplos y recomendaciones que te servirán para terminar tu política fácilmente.

A continuación, te explicamos el propósito de cada gran bloque del template, que se corresponden con las cláusulas de la norma:

  • Cláusula 4: Contexto de la organización

    • Esta es la base. Aquí se documenta el análisis que has hecho para entender dónde se sitúa tu empresa. Implica definir tus fortalezas y debilidades internas (FODA), así como los factores externos que te afectan (PESTEL). También se identifican las "partes interesadas" (clientes, empleados, reguladores, etcétera) y qué es lo que esperan de tu gestión de la IA.

  • Cláusula 5: Liderazgo

    • Esta sección se centra en formalizar el compromiso de la alta dirección. Aquí se establece la política general de IA (que es una declaración de intenciones de alto nivel y que es súper importante que toda tu empresa sepa ubicarla) y se definen los roles y responsabilidades, haciendo referencia a documentos clave con el detalle de esta información, como el Descriptivo de Roles y Responsabilidades y la Política del Comité de Inteligencia Artificial.

  • Cláusula 6: Planificación

    • En esta parte del documento se definen las bases de la gestión de riesgos, abordando cómo la organización debe planificar las acciones para gestionar los riesgos y oportunidades. Se hace referencia a tu Metodología de Gestión de Riesgos de IA, y muy importante, aquí se establecen los objetivos medibles del SGIA.

  • Cláusula 7: Soporte

    • Un sistema de gestión no funciona sin los recursos adecuados. Esta sección documenta el compromiso de la organización para proporcionar lo necesario, asegurar que todo esté disponible: principalmente presupuesto, infraestructura y personal competente. Aquí se abordan temas como la capacitación, la concientización y los planes de comunicación.

  • Cláusula 8: Operación

    • Esta es la fase de "hacer", llevar a la práctica. Aquí se establece el compromiso de ejecutar lo que se planificó en la cláusula 6 sobre la gestión de riesgos. Se formaliza la obligación de realizar periódicamente las evaluaciones de riesgos e impacto y de implementar los planes de tratamiento definidos.

  • Cláusula 9: Evaluación del desempeño

    • En esta sección se define cómo la organización medirá si el SGIA está funcionando y es eficaz. Cubre tres actividades clave: el seguimiento y medición a través de indicadores, la realización de auditorías internas periódicas, y la fundamental revisión por la dirección, que es la instancia formal donde el liderazgo evalúa el estado del SGIA.

  • Cláusula 10: Mejora

    • Ningún sistema es perfecto, y lo que no se mide no se puede mejorar. Esta última sección formaliza el compromiso con la mejora continua.

    • Establece que la organización tendrá un proceso para gestionar las no conformidades o desviaciones, por ejemplo cuando algo no cumple con la norma o cuando hay incumplimientos a las políticas y procedimientos internos. Así como también para implementar acciones correctivas que eviten que los problemas vuelvan a ocurrir.

💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:

  • Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).

  • Posteriormente, debes subir la evidencia de su aprobación.

    • Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.

    • Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.

  • Y por último, debes subir la evidencia de su comunicación.

    • Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.

Recomendaciones ✅

  • No intentes detallar cada pequeño paso de cada proceso aquí. El propósito de esta política es establecer los lineamientos generales y hacer referencia a los procedimientos, metodologías y registros donde sí se encuentran los detalles.

  • Este será un consejo frecuente; involucra a la alta dirección desde el principio. Este documento es su declaración de compromiso. Es vital que participen en su revisión y lo aprueben formalmente. La firma o aprobación de la alta dirección es una de las primeras cosas que un auditor querrá ver.

  • No es suficiente con enviar un email. Asegúrate de que todos en la organización, especialmente los líderes de área, entiendan los lineamientos establecidos en esta política y cómo les afectan.

  • Recuerda que la Política General es una sección que debe ser comunicada a toda la empresa. Un auditor muy probablemente puede seleccionar un colaborador aleatorio para que le indique donde se encuentra esta política y que le explique de qué va.

  • Puedes usarla como una guía. Cuando tengas dudas sobre alguna decisión relacionada con la IA, vuelve a esta política. Te ayudará para la toma de decisiones dentro del SGIA.

¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.

Artículos relacionados
Revisión de contratos (para SGIA)
Política de Seguridad para Sistemas de IA
Descriptivo de roles y responsabilidades del SGIA
Declaración de Aplicabilidad (SoA para SGIA)
Plan de Comunicación del SGIA
¿Ha quedado contestada tu pregunta?