90 días de prueba de riesgos de IA generativa -Empezar ahora
Solicitar una demo
Plantilla gratuita · ISO 42001

Plantilla de análisis de brechas ISO 42001¿Está preparado para la certificación del sistema de gestión de IA?

ISO 42001 es la primera norma internacional del mundo para los sistemas de gestión de IA. Tanto si busca la certificación como si solo quiere evaluar la madurez de su gobernanza de IA, esta plantilla le guía por cada capítulo para ayudarle a identificar brechas, priorizar la remediación y construir una base de pruebas lista para auditoría.

Descargar plantilla (.docx)¿Qué es ISO 42001?

Cómo usar esta plantilla

1

Recorra cada capítulo con su equipo de gobernanza de IA

2

Asigne un nivel de madurez: No iniciado / Parcialmente / Mayormente / Totalmente cumplido

3

Documente las pruebas e identifique las brechas con su causa raíz

4

Elabore una hoja de ruta de remediación con responsables y fechas

Análisis de brechas capítulo por capítulo

Evalúe cada capítulo con su equipo de gobernanza de IA y recopile las pruebas justificativas sobre la marcha.

Capítulo 4

Contexto de la organización

Comprender su contexto de IA, sus partes interesadas y el alcance de su sistema de gestión de IA.

4.1, Comprensión de la organización y de su contexto
Documente los factores internos y externos que afectan al uso de la IA: objetivos de negocio, entorno regulatorio, panorama competitivo y apetito de riesgo de IA.
No iniciadoParcialmente cumplidoMayormente cumplidoTotalmente cumplido
4.2, Comprensión de las necesidades de las partes interesadas
Identifique a todas las partes con interés en sus sistemas de IA: clientes, reguladores, empleados, proveedores y la sociedad. Documente sus requisitos y expectativas.
No iniciadoParcialmente cumplidoMayormente cumplidoTotalmente cumplido
4.3, Determinación del alcance del SGIA
Defina los límites de su sistema de gestión de IA. ¿Qué sistemas de IA, procesos y unidades organizativas están dentro del alcance? Documente las exclusiones con su justificación.
No iniciadoParcialmente cumplidoMayormente cumplidoTotalmente cumplido
4.4, Sistema de gestión de IA
Establezca, implemente, mantenga y mejore de forma continua un SGIA conforme a ISO 42001. Asigne responsabilidades e intégrelo con los sistemas de gestión existentes.
No iniciadoParcialmente cumplidoMayormente cumplidoTotalmente cumplido
Capítulo 5

Liderazgo

Compromiso de la alta dirección, política de IA y roles y responsabilidades organizativos.

5.1, Liderazgo y compromiso
Pruebas de que la alta dirección apoya activamente el SGIA: asigna recursos, integra el riesgo de IA en la gestión de riesgos de la empresa y promueve una IA responsable.
No iniciadoParcialmente cumplidoMayormente cumplidoTotalmente cumplido
5.2, Política de IA
Una política de IA documentada y firmada por la alta dirección. Debe enunciar los objetivos de IA, el compromiso con el cumplimiento y la mejora continua. Publicada internamente.
No iniciadoParcialmente cumplidoMayormente cumplidoTotalmente cumplido
5.3, Roles, responsabilidades y autoridades
Roles definidos para la gobernanza de la IA: responsable de IA, responsable de riesgos, delegado de protección de datos (cuando proceda) y equipos operativos de IA. Las responsabilidades se comunican y se comprenden.
No iniciadoParcialmente cumplidoMayormente cumplidoTotalmente cumplido
Capítulo 6

Planificación

Evaluación de riesgos y oportunidades, objetivos de IA y planificación del cambio.

6.1, Acciones para abordar riesgos y oportunidades
Proceso sistemático para identificar riesgos específicos de la IA (sesgo, seguridad física, seguridad, privacidad) y oportunidades. Los riesgos se evalúan, se tratan y se supervisan.
No iniciadoParcialmente cumplidoMayormente cumplidoTotalmente cumplido
6.1.2, Evaluación del riesgo de IA
Metodología documentada de evaluación del riesgo de IA. Los riesgos se puntúan según su probabilidad e impacto. La evaluación se repite cuando los sistemas de IA cambian de forma significativa.
No iniciadoParcialmente cumplidoMayormente cumplidoTotalmente cumplido
6.1.3, Tratamiento del riesgo de IA
Plan de tratamiento del riesgo con controles seleccionados, opciones de tratamiento (evitar, reducir, transferir, aceptar) y aprobación del riesgo residual por parte de los responsables.
No iniciadoParcialmente cumplidoMayormente cumplidoTotalmente cumplido
6.2, Objetivos de IA y planificación
Objetivos de IA medibles y alineados con la política de IA. Los objetivos tienen responsables, plazos y medidas de éxito, y se revisan en las revisiones por la dirección.
No iniciadoParcialmente cumplidoMayormente cumplidoTotalmente cumplido
Capítulo 7

Apoyo

Recursos, competencia, toma de conciencia, comunicación e información documentada.

7.1, Recursos
Recursos humanos, técnicos y financieros adecuados asignados al SGIA. Las necesidades de recursos se revisan anualmente y se escalan cuando son insuficientes.
No iniciadoParcialmente cumplidoMayormente cumplidoTotalmente cumplido
7.2, Competencia
Requisitos de competencia definidos para todos los roles relacionados con la IA. Registros de formación mantenidos. Las brechas se identifican y se abordan mediante planes de desarrollo.
No iniciadoParcialmente cumplidoMayormente cumplidoTotalmente cumplido
7.3, Toma de conciencia
Todo el personal con responsabilidades de IA conoce la política de IA, su contribución a la eficacia del SGIA y las consecuencias de una no conformidad.
No iniciadoParcialmente cumplidoMayormente cumplidoTotalmente cumplido
7.4, Comunicación
Plan de comunicación interna y externa para los asuntos de gobernanza de la IA. Las partes interesadas saben cómo notificar inquietudes sobre la IA y cómo se compartirán las actualizaciones.
No iniciadoParcialmente cumplidoMayormente cumplidoTotalmente cumplido
7.5, Información documentada
La documentación del SGIA está controlada: creada, actualizada y conservada con controles de acceso adecuados, gestión de versiones y plazos de retención.
No iniciadoParcialmente cumplidoMayormente cumplidoTotalmente cumplido
Capítulo 8

Operación

Planificación operativa, gestión del ciclo de vida de los sistemas de IA y controles de la cadena de suministro.

8.1, Planificación y control operativos
Los sistemas de IA se desarrollan, despliegan y operan conforme a procesos documentados. Los cambios se evalúan en cuanto al riesgo de IA antes de su implementación.
No iniciadoParcialmente cumplidoMayormente cumplidoTotalmente cumplido
8.2, Evaluación del riesgo de IA (operativa)
Se realizan evaluaciones de riesgo para cada sistema de IA dentro del alcance, se actualizan cuando los sistemas cambian y se revisan al menos anualmente.
No iniciadoParcialmente cumplidoMayormente cumplidoTotalmente cumplido
8.3, Tratamiento del riesgo de IA (operativo)
Los planes de tratamiento del riesgo se implementan y su eficacia se supervisa. Los riesgos residuales son aceptados formalmente por el responsable.
No iniciadoParcialmente cumplidoMayormente cumplidoTotalmente cumplido
8.4, Evaluación de impacto de los sistemas de IA
Se realizan evaluaciones de impacto para los sistemas de IA de alto riesgo: se evalúan los efectos sobre las personas, los grupos y la sociedad. Los resultados se documentan y revisan antes del despliegue.
No iniciadoParcialmente cumplidoMayormente cumplidoTotalmente cumplido
8.5, Ciclo de vida de los sistemas de IA
Procesos de ciclo de vida documentados que abarcan el diseño, el desarrollo, las pruebas, el despliegue, la supervisión y la retirada. Cada fase tiene puntos de control y aprobaciones definidos.
No iniciadoParcialmente cumplidoMayormente cumplidoTotalmente cumplido
8.6, Controles organizativos relacionados
Los controles relativos a la gobernanza de datos, el uso de IA por terceros, las prácticas de IA responsable y la supervisión humana están documentados y operativos.
No iniciadoParcialmente cumplidoMayormente cumplidoTotalmente cumplido
Capítulo 9

Evaluación del desempeño

Seguimiento, medición, auditoría interna y revisión por la dirección.

9.1, Seguimiento, medición, análisis y evaluación
Se definen indicadores clave del desempeño, la equidad, la fiabilidad y la seguridad de los sistemas de IA, se miden con regularidad y se reportan a la dirección.
No iniciadoParcialmente cumplidoMayormente cumplidoTotalmente cumplido
9.2, Auditoría interna
Programa anual de auditoría interna que cubre todos los capítulos dentro del alcance. Los auditores son competentes e independientes. Las no conformidades se siguen hasta su cierre.
No iniciadoParcialmente cumplidoMayormente cumplidoTotalmente cumplido
9.3, Revisión por la dirección
Revisión anual por la dirección del SGIA que cubre los resultados de auditoría, los riesgos, los objetivos, las necesidades de recursos y la retroalimentación de las partes interesadas. Actas y acciones documentadas.
No iniciadoParcialmente cumplidoMayormente cumplidoTotalmente cumplido
Capítulo 10

Mejora

Gestión de no conformidades, acción correctiva y mejora continua.

10.1, No conformidad y acción correctiva
Proceso para identificar, documentar y cerrar las no conformidades del SGIA. Se realiza análisis de causa raíz. Las acciones correctivas se siguen y verifican.
No iniciadoParcialmente cumplidoMayormente cumplidoTotalmente cumplido
10.2, Mejora continua
Enfoque sistemático para mejorar de forma continua la idoneidad, la adecuación y la eficacia del SGIA. Las iniciativas de mejora se siguen y se miden.
No iniciadoParcialmente cumplidoMayormente cumplidoTotalmente cumplido
Recursos relacionados
Glosario ISO 42001Resumen de la plataformaMarco de gobernanza de la IATodas las plantillas
Empezar

Acelere su preparación para ISO 42001

Aona AI proporciona los controles de gobernanza de IA, los rastros de auditoría y la aplicación de políticas que exige ISO 42001, diseñados para el despliegue empresarial.

Solicitar una demo