👉 Esta actividad te ayuda a cumplir los siguientes requisitos:
ISO/IEC 42001:2023: 6.1.3, 8.1, 8.2, 8.3, 9.3.2
Y los siguientes controles:
ISO/IEC 42001:2023: A.3.2, A.5.4, A.5.5
¿Para qué me sirve esta actividad? 📚
Esta actividad te sirve para consolidar y presentar de manera formal los resultados de tu gestión de riesgos derivados del uso y/o desarrollo de sistemas de IA.
Elaborar este informe puede ayudarte a:
Comunicar eficazmente a la alta dirección: Traduce los datos técnicos del análisis de riesgos a un formato visual y resumido que permite a los líderes tomar decisiones estratégicas informadas.
Justificar las decisiones de tratamiento: Es el documento donde se deja constancia de por qué se decide mitigar, aceptar, eliminar o transferir cada riesgo. La justificación de los riesgos aceptados es una evidencia fundamental en una auditoría.
Establecer un punto de referencia: Sirve como una línea base contra la cual podrás comparar futuras evaluaciones de riesgos para medir la eficacia de tu SGIA y demostrar la mejora continua.
Centralizar los hallazgos: Proporciona un resumen ejecutivo de los riesgos más importantes, facilitando el seguimiento y la supervisión por parte del Comité de IA.
¿Qué tengo que hacer? 🚀
Para elaborar tu Informe del Análisis de Riesgos, te recomendamos comenzar leyendo este artículo y el template que te proporcionamos en su totalidad para conocer de qué va y comprender todo lo que abarca.
💡Este documento toma como entrada los resultados que obtuviste al realizar tu Matriz de Riesgos de IA.
A continuación, te explicamos el propósito de las secciones que encontrarás en el template y que deberás trabajar:
Resultados de la evaluación de riesgos. Esta es la sección central del informe. Aquí es donde se presentan los datos de manera agregada.
Nuestro template te guía para que resumas cuántos riesgos has identificado en cada nivel de criticidad (Muy Alto, Alto, Medio, etcétera).
Es súper recomendable incluir una gráfica (de barras, circular o en el formato que prefieras) para que la información sea visualmente impactante para la alta dirección.
Tratamiento de los riesgos. Aquí se documentan las decisiones estratégicas que se tomaron a partir de los resultados. Nuestro template te recuerda las cuatro opciones de tratamiento: Mitigar, Aceptar, Eliminar, Transferir. Las subsecciones más importantes son:
Aceptación de riesgos: Información crucial para la auditoría. Aquí se documentan formalmente los riesgos que la organización ha decidido no tratar, junto con una justificación clara del porqué (por ejemplo, el costo de mitigación es mayor que el impacto potencial).
Riesgos transferidos: Similar a la anterior, es una tabla para registrar los riesgos cuya responsabilidad se ha pasado a un tercero (como un proveedor o una aseguradora), lo cual también es información crucial que funge como evidencia de cumplimiento.
Conclusiones. Esta es la sección del "resumen ejecutivo" para la alta dirección. Aquí no se presentan nuevos datos, sino que se interpreta la información de las secciones anteriores.
Recomendamos describir un análisis claro sobre el estado general de los riesgos de IA en la organización, resaltar los hallazgos más críticos y, si es necesario, recomendar los siguientes pasos o áreas de enfoque.
Recuerda que la comunicación de estos resultados es un requisito normativo que, si estás buscando una certificación, será esencial que la realices y mantengas al comité y a la alta dirección informados en todo momento.
💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Piensa en tu audiencia y utiliza un lenguaje claro, directo y visual. Los líderes no necesitan ver los detalles de los 200 riesgos identificados, pero sí necesitan entender cuáles son los 5 más peligrosos y qué se está haciendo al respecto.
La justificación de los riesgos aceptados es clave. Un auditor prestará especial atención a la tabla de riesgos aceptados. Asegúrate de que la justificación para cada uno sea sólida, lógica y esté basada en criterios de negocio (por ejemplo, análisis costo-beneficio).
No te olvides de los riesgos éticos y sociales. Asegúrate de que las conclusiones incluyan también los resultados más relevantes identificados en tu Informe del Impacto Ético y Social de los Sistemas de IA. Esto es un diferenciador clave de la ISO 42001.
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.