Ir al contenido principal

Declaración de Aplicabilidad (SoA para SGIA)

👉 Esta actividad te ayuda a cumplir los siguientes requisitos:

  • ISO/IEC 42001:2023: 6.1.3

¿Para qué me sirve esta actividad? 📚

Esta actividad te sirve para crear uno de los documentos más importantes de todo tu Sistema de Gestión de IA; la Declaración de Aplicabilidad (también conocida como SoA, Statement of Applicability por sus siglas en inglés).

Corresponde a un "documento maestro", por llamarlo así, donde podrás llevar trazabilidad de cuáles son los controles normativos aplicables y cuáles no. Además, este documento se conecta a tus riesgos y con las soluciones que hayas decidido implementar.

Piensa en el SoA como el "plano de construcción" de tu SGIA. En él, se listan todos los controles sugeridos por la normativa ISO 42001 y se documentan formalmente tres cosas para cada uno:

  1. Si el control aplica o no a tu organización.

  2. La justificación de esa decisión (por qué sí o por qué no).

  3. El estado actual de implementación de los controles que sí aplican.

¿Qué tengo que hacer? 🚀

Para elaborar tu Declaración de Aplicabilidad, te recomendamos comenzar leyendo la pestaña de "INSTRUCCIONES" del template que te proporcionamos para comprender el propósito de cada columna.

Además, recomendamos ampliamente consultar este artículo que si bien está enfocado en ISO 27001, muchas de las recomendaciones y explicaciones del vídeo tutorial también son muy útiles para hacer tu declaración del SGIA 🙌.

A continuación, te explicamos el proceso mental y los puntos clave que deberás trabajar usando el template:

  • El vínculo clave: Análisis de riesgos → SoA

    • Este es el concepto más importante. No puedes llenar el SoA en el vacío. Y por ello aquí es muy importante comprender la relación que tiene tu análisis y evaluación de riesgos de IA, con la aplicabilidad o no aplicabilidad de los controles normativos. La lógica es simple:

      • Si identificaste un riesgo (por ejemplo, "riesgo de sesgo en el modelo de contratación"), necesitas un control para tratarlo. Posterior a esto, en el SoA es donde documentas que has seleccionado un control normativo de ISO 42001 para mitigar ese riesgo específico, que siguiendo nuestro ejemplo podríamos seleccionar el A.7.4 Calidad de los datos.

  • Decidir la aplicabilidad (columna "¿Aplica?")

    • Para cada control de la lista, deberás preguntarte: "¿Necesito este control para tratar alguno de los riesgos que identifiqué en mi análisis?".

      • Sí: Si la respuesta es afirmativa.

      • No: Si el control está diseñado para un riesgo o una situación que simplemente no existe en tu organización.

💡La aplicabilidad de los controles generalmente se da para la mitigación de riesgos, pero un control puede aplicar a tu organización por algún otro motivo; el contexto de tu organización, el giro de tu negocio, buenas prácticas, etcétera.

  • Justificar tus decisiones (columnas "Justificación de la inclusión / exclusión")

    • No basta con decir "sí aplica" o "no aplica". Debes poder explicar porqué, cómo lo estás implementando, o de ser el caso, justificar porqué no lo estás implementando. Esta información es de suma importancia y es altamente auditable.

      • Justificación de la inclusión: Debes describir brevemente cómo lo implementas, haciendo referencia a tus políticas, procedimientos, acciones aplicadas, etcétera.

      • Justificación de la exclusión: Esto debe ser una razón de negocio clara y lógica. Un auditor aceptará una exclusión si está bien justificada.

        • Ejemplo: Para un control sobre hardware físico, una justificación válida podría ser: "Este control no aplica ya que nuestra organización opera con una infraestructura 100% en la nube y no posee ni gestiona centros de datos físicos."

  • Planificar y monitorear (columnas "Frecuencia de revisión" y "Estado de control")

    • Estas columnas convierten al SoA en una herramienta de gestión de proyectos.

      • Frecuencia de revisión: Demuestra tu compromiso de que el control no será implementado y olvidado, sino que se revisará su eficacia periódicamente.

      • Estado de control: Te da a ti, a tu equipo y al auditor una visión clara del progreso de la implementación de tu SGIA (usando estados como "Pendiente", "En proceso", "Implementado").

🌟Para mantenerte siempre alineado, te recomendamos consultar en todo momento tu Metodología de Gestión de Riesgos de IA y los resultados de tu Matriz de Riesgos de IA.

💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:

  • Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).

  • Posteriormente, debes subir la evidencia de su aprobación.

    • Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.

    • Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.

  • Y por último, debes subir la evidencia de su comunicación.

    • Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.

Recomendaciones ✅

  • Cada "Sí" en la columna de aplicabilidad debe estar respaldado por uno o más riesgos identificados en tu análisis. No recomendamos seleccionar controles "por si acaso" ya que un auditor puede solicitarte evidencia de su implementación, y de no tenerla, puede levantarte hallazgos.

  • No hay exclusiones "malas", solo justificaciones débiles. No temas excluir un control si realmente no aplica a tu negocio. Lo importante es que tu justificación sea lógica, clara y defendible ante un auditor.

  • El SoA es un documento vivo, no es estático. Debe ser revisado y actualizado como mínimo una vez al año y siempre que haya un cambio significativo en tu organización (un nuevo producto de IA, un cambio en la infraestructura, etcétera) que altere tu panorama de riesgos.

  • Usa la columna de "Estado de control" como tu aliada para gestionar el proyecto de certificación. Te permite visualizar rápidamente qué controles faltan por implementar y planificar los recursos necesarios para ello.

¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti!

Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.

Artículos relacionados
14. Declaración de Aplicabilidad
Cómo hacer tu declaración de aplicabilidad
Guía para la definición del alcance del SGIA
Política de SGIA
Declaración de Aplicabilidad (SoA)
¿Ha quedado contestada tu pregunta?