What is an AI governance maturity assessment?

An AI governance maturity assessment evaluates how systematically an organisation manages AI-related risks, policies, and accountability structures across key domains. It produces a maturity score for each domain on a 1-4 scale (Initial, Developing, Defined, Optimised) and identifies the specific gaps that need to be addressed to reach the next maturity level. The output is used to prioritise AI governance investments and demonstrate governance progress to boards, auditors, and regulators.

How does AI governance maturity relate to ISO 42001?

ISO 42001 is an international standard for AI Management Systems that defines requirements across governance, risk management, and responsible AI practice. An AI governance maturity assessment maps directly to the ISO 42001 clause structure: Pillar 1 (Policy & Strategy) maps to Clauses 4-6, Pillar 2 (Risk Management) maps to Clause 6, Pillar 3 (Security & Technology) maps to Clause 8, Pillar 4 (Compliance) maps to Clauses 9-10, and Pillar 5 (People & Culture) maps to Clause 7. Organisations targeting ISO 42001 certification typically need to reach at least Level 3 (Defined) across all pillars.

What is a good AI governance maturity score?

On a total score of 100 (5 pillars × 5 questions × 4 max points): scores below 40 indicate Initial maturity with significant governance gaps; 40-60 indicates Developing maturity with some controls in place; 60-80 indicates Defined maturity with documented and implemented controls, sufficient for most regulatory baseline requirements; above 80 indicates Optimised maturity with continuous improvement and advanced monitoring. For EU AI Act compliance with high-risk AI systems, organisations should target at least 65. For ISO 42001 certification, all pillar scores should reach Level 3 (Defined).

How often should we repeat the AI governance maturity assessment?

Conduct a full maturity assessment annually as part of your governance programme review cycle. Run a lighter-touch mid-year check-in (covering only the lowest-scoring pillars from the annual assessment) to track progress against the improvement roadmap. Trigger an out-of-cycle assessment if there is a material change in your AI use, for example, deploying a new high-risk AI system, a significant regulatory development, or an AI-related security incident that reveals a systematic governance weakness.

Prueba gratuita de 90 días para descubrir riesgos de IA generativa -90 días de prueba de riesgos de IA generativa -Empezar ahora

Solicitar una demo

Plantilla gratuita

Gobernanza de la IA
Evaluación de la madurez

Puntúe su organización en 5 pilares y 25 preguntas. Identifique sus carencias de gobernanza y elabore una hoja de ruta de mejora priorizada. Alineada con la ISO 42001 y el EU AI Act.

Descargar la evaluación Solicitar una demo

0 pilares

política, riesgo, seguridad, cumplimiento, personas

0 preguntas

4 niveles de madurez cada una

0 puntos

escala de puntuación total

Gratis

de usar y personalizar

La escala de madurez de la gobernanza de la IA de 4 niveles

Cada una de las 25 preguntas de evaluación se puntúa en una escala de 1 a 4. Use estas definiciones de niveles como referencia al puntuar. La prueba clave del nivel 3 (Definido) es: ¿está este proceso documentado, aprobado, seguido de forma coherente, y puede aportar pruebas para demostrarlo a un auditor?

1 punto

Nivel 1, Inicial

Ad hoc o inexistente. No existe ningún proceso, política ni control documentado. La actividad ocurre de forma reactiva o no ocurre.

2 puntos

Nivel 2, En desarrollo

Parcialmente implementado. Se ha hecho algún esfuerzo, pero la cobertura es incompleta, incoherente entre equipos o no está aprobada formalmente.

3 puntos

Nivel 3, Definido

Documentado, aprobado y seguido de forma coherente en toda la organización. Hay pruebas disponibles. Este es el nivel objetivo para el cumplimiento regulatorio de referencia.

4 puntos

Nivel 4, Optimizado

Mejorado de forma continua con métricas, automatización y bucles de retroalimentación. Mejor práctica. Los controles son proactivos en lugar de reactivos.

La evaluación

Haga clic en cada pilar para desplegarlo. Puntúe cada pregunta de 1 a 4 y registre las pruebas que respaldan su puntuación.

Este pilar evalúa la madurez de su marco de política de IA, su estrategia de gobernanza y el compromiso del liderazgo. Puntúe cada pregunta de 1 a 4 usando las definiciones de niveles de madurez anteriores. Puntuación máxima del pilar: 20 puntos.

1.1 Política de uso aceptable de la IA

Nivel 1No existe ninguna política de IA. Los empleados usan herramientas de IA sin orientación formal.

Nivel 2Existe una política de IA informal o un conjunto de directrices, pero no se ha aprobado formalmente ni se ha distribuido a todo el personal.

Nivel 3Una política formal de uso aceptable de la IA está aprobada, distribuida a todo el personal y se revisa anualmente. Los empleados firman un acuse de recibo.

Nivel 4La política se actualiza de forma dinámica en respuesta a los cambios regulatorios, los nuevos riesgos de IA y los comentarios de los empleados. El cumplimiento se supervisa automáticamente.

Puntuación: _____ / 4

1.2 Estrategia de gobernanza de la IA

Nivel 1No hay una estrategia de gobernanza de la IA definida. La gobernanza ocurre de forma reactiva.

Nivel 2Existe una iniciativa de gobernanza de la IA, pero carece de patrocinio ejecutivo, objetivos definidos o una hoja de ruta.

Nivel 3Existe una estrategia de gobernanza de la IA documentada, con objetivos definidos, patrocinio ejecutivo y una hoja de ruta a 12 meses.

Nivel 4La estrategia de gobernanza de la IA está integrada con la estrategia de riesgo corporativo, se revisa trimestralmente y está vinculada a resultados de negocio medibles.

Puntuación: _____ / 4

1.3 Comité de gobernanza de la IA

Nivel 1No existe ningún comité de gobernanza de la IA ni órgano equivalente.

Nivel 2Un grupo informal debate sobre el riesgo de la IA, pero no tiene un acta constitutiva formal, autoridad ni una cadencia regular.

Nivel 3Un comité de gobernanza de la IA constituido formalmente, con una composición definida, autoridad decisoria y reuniones mensuales, está operativo.

Nivel 4El comité informa al consejo de administración, tiene KPI definidos y sus decisiones se rastrean sistemáticamente hasta su implementación.

Puntuación: _____ / 4

1.4 Inventario de herramientas de IA

Nivel 1No hay inventario de las herramientas de IA en uso. El Shadow AI no se detecta.

Nivel 2Existe un inventario parcial de las herramientas autorizadas por TI, pero el Shadow AI no se supervisa.

Nivel 3Un inventario de herramientas de IA completo y mantenido cubre todas las herramientas aprobadas. La detección de Shadow AI está implementada.

Nivel 4El inventario de herramientas de IA es en tiempo real, automatizado, incluye datos de uso e impulsa el registro de riesgos y las actualizaciones de la política.

Puntuación: _____ / 4

1.5 Normas de compras y proveedores de IA

Nivel 1No hay requisitos específicos de IA en los procesos de compras o de gestión de proveedores.

Nivel 2Algunas preguntas relacionadas con la IA aparecen en la diligencia debida de proveedores, pero no están estandarizadas.

Nivel 3Un cuestionario de seguridad de proveedores de IA estandarizado es obligatorio para toda compra de herramientas de IA. Se evalúan las políticas de IA de los proveedores.

Nivel 4El riesgo de los proveedores de IA se supervisa de forma continua. Los contratos con proveedores incluyen SLA de gobernanza de la IA, derechos de auditoría y términos de tratamiento de datos.

Puntuación: _____ / 4

Puntuación total del pilar 1: _____ / 20 | ISO 42001 cláusulas 4–6 | 16–20 = Optimizado, 11–15 = Definido, 6–10 = En desarrollo, 1–5 = Inicial

Descargar la evaluación completa

Cómo realizar la evaluación de la madurez

Siga estos cinco pasos para obtener una puntuación de madurez creíble y procesable y una hoja de ruta de mejora de la gobernanza que pueda presentar a su equipo directivo.

Reúna su equipo de evaluación

Identifique un responsable para cada pilar de la función correspondiente: seguridad de TI (pilares 1 y 2), ingeniería/CTO (pilar 3), jurídico/cumplimiento (pilar 4), RR. HH./personas (pilar 5). Incluya a un facilitador neutral para dirigir la sesión de grupo.

Puntúe cada pilar de forma independiente antes de la sesión de grupo

Pida a cada responsable de pilar que puntúe su dominio en privado para evitar el anclaje. Debe documentar pruebas de cada puntuación, actas de reuniones, políticas, capturas de pantalla de herramientas, no solo afirmaciones.

Realice una sesión de grupo facilitada para acordar puntuaciones consensuadas

Celebre una sesión de 2 horas para conciliar las puntuaciones individuales. Centre el debate en las zonas límite (especialmente cualquier cosa puntuada en el nivel 2). El objetivo es una base de referencia honesta y respaldada por pruebas, no una optimista.

Identifique sus 3 principales carencias y elabore una hoja de ruta a 90 días

Las preguntas con menor puntuación representan su mayor riesgo de gobernanza. Asocie cada carencia a una acción de subsanación concreta, un responsable y un plazo. Los logros rápidos (mejoras del nivel 1 al nivel 2) deben ocupar un lugar destacado en el plan a 90 días.

Preséntelo al comité de gobernanza de la IA y repítalo anualmente

Comparta el perfil de madurez y la hoja de ruta con su comité de gobernanza de la IA y su patrocinador ejecutivo para la aprobación de recursos. Programe la próxima evaluación dentro de 12 meses y un punto de control a mitad de año sobre las 3 principales carencias.

FAQ

Preguntas frecuentes

Una evaluación de la madurez de la gobernanza de la IA valora con qué grado de sistematicidad una organización gestiona los riesgos relacionados con la IA, las políticas y las estructuras de responsabilidad en los dominios clave. Produce una puntuación de madurez para cada dominio en una escala de 1 a 4 (Inicial, En desarrollo, Definido, Optimizado) e identifica las carencias concretas que deben abordarse para alcanzar el siguiente nivel de madurez. El resultado se usa para priorizar las inversiones en gobernanza de la IA y demostrar el progreso de la gobernanza ante consejos de administración, auditores y reguladores.

Empezar

Aona impulsa la madurez de su gobernanza

Aona es la plataforma que convierte las carencias de su evaluación de madurez en controles implementados. Flujos de aprobación de herramientas, registros de riesgos, DLP, supervisión de la IA y gestión de políticas, todo lo que necesita para pasar del nivel 1 al nivel 3 y más allá.

Solicitar una demo

Recursos relacionados

Plataforma Aona AI Marco de gobernanza de la IA Todas las plantillas

Gobernanza de la IAEvaluación de la madurez

Aona impulsa la madurez de su gobernanza

Gobernanza de la IA
Evaluación de la madurez