El NIST AI Risk Management Framework (AI RMF) es un marco voluntario desarrollado por el National Institute of Standards and Technology (NIST) de los Estados Unidos para ayudar a las organizaciones a identificar, evaluar y gestionar los riesgos asociados a los sistemas de inteligencia artificial a lo largo de todo su ciclo de vida. Publicado en enero de 2023, el marco ofrece un enfoque flexible y no prescriptivo que las organizaciones pueden adaptar a su contexto específico, su tolerancia al riesgo y sus casos de uso de la IA.
El NIST AI RMF se estructura en torno a cuatro funciones esenciales, representadas por el acrónimo GOVERN, MAP, MEASURE y MANAGE. La función GOVERN establece las políticas, los roles y las responsabilidades de la organización en materia de gestión de riesgos de IA, garantizando la rendición de cuentas de la dirección respecto a las decisiones sobre IA. La función MAP identifica el contexto, las categorías de daño y los posibles impactos de sistemas de IA específicos. La función MEASURE cuantifica los riesgos mediante métricas y métodos de evaluación adecuados al perfil de riesgo del sistema. La función MANAGE aplica respuestas al riesgo, a saber, mitigación, transferencia, aceptación o evitación, y realiza un seguimiento de su eficacia a lo largo del tiempo.
El marco se aplica a todos los tipos de sistemas de IA, desde herramientas de contratación automatizadas hasta aplicaciones de IA generativa, y está diseñado para complementar otros enfoques de gestión de riesgos como ISO 42001, SOC 2 y las regulaciones sectoriales. Para las organizaciones de sectores regulados, el NIST AI RMF proporciona una base estructurada que puede correlacionarse con los requisitos de cumplimiento, reduciendo la carga que supone gestionar varios marcos separados.
Entre los principales beneficios de implementar el NIST AI RMF se incluyen una mayor visibilidad de los riesgos de IA (las organizaciones obtienen una comprensión más clara de sus exposiciones relacionadas con la IA), mejores estructuras de gobernanza (la función GOVERN refuerza la rendición de cuentas de la dirección), una gestión mejorada de proveedores (el marco proporciona criterios estructurados para evaluar herramientas de IA de terceros) y preparación regulatoria (la alineación con el NIST AI RMF simplifica el cumplimiento de las regulaciones de IA emergentes, incluidos el EU AI Act y la US Executive Order on Safe, Secure, and Trustworthy AI).