El NIST AI Risk Management Framework es la referencia de facto para la gobernanza de IA en Estados Unidos y mucho más allá. Esta plantilla le guía por las 19 categorías de las funciones GOVERN, MAP, MEASURE y MANAGE: califique su madurez, capture evidencias, registre brechas y construya una hoja de ruta de remediación priorizada, con una sección dedicada al perfil de IA generativa.
El AI RMF 1.0 organiza la gestión de riesgos de IA en cuatro funciones. GOVERN es transversal y sostiene a las otras tres, que se aplican a sistemas y casos de uso de IA concretos.
Establece las políticas, las estructuras de responsabilidad y la cultura de riesgo de las que depende el resto del marco. Se evalúa una vez a nivel de organización.
Establece el contexto de cada sistema de IA e identifica sus riesgos: finalidad prevista, categorización, capacidades y costes, componentes de terceros e impactos en las personas.
Convierte los riesgos identificados en evaluaciones: métricas, pruebas de las características de una IA confiable, seguimiento de los riesgos en el tiempo y comprobación de que la propia medición funciona.
Asigna recursos a los riesgos que MAP y MEASURE sacaron a la luz: decisiones de tratamiento, estrategias de beneficios, gestión de riesgos de terceros y planes de respuesta y recuperación.
Un documento de evaluación operativo, no un esquema: cada tabla está lista para registrar sus calificaciones, evidencias y responsables.
Las 19 categorías con calificación de madurez y columnas de evidencias, brechas, acciones y responsable.
No iniciado, Parcialmente cumplido, Mayormente cumplido y Totalmente cumplido, con definiciones claras para calificar de forma consistente entre equipos.
Los doce riesgos de IA generativa del NIST AI 600-1 como control de relevancia y cobertura sobre la evaluación principal.
Una vista consolidada de todas las calificaciones por categoría para informes ejecutivos y comparación entre ciclos.
Una única tabla con prioridades, responsables, fechas objetivo y pautas de secuenciación.
Qué sistemas incluir, qué equipos involucrar y con qué frecuencia reevaluar.
Los dos marcos se complementan: la mayoría de los programas maduros de gobernanza de IA usan el NIST AI RMF para estructurar el análisis de riesgos e ISO 42001 para certificar el sistema de gestión que lo rodea.
| Aspecto | NIST AI RMF | ISO 42001 |
|---|---|---|
| Qué es | Marco voluntario de gestión de riesgos publicado por el NIST (enero de 2023) | Norma internacional certificable de sistema de gestión (diciembre de 2023) |
| Estructura | 4 funciones (GOVERN, MAP, MEASURE, MANAGE) con 19 categorías | Capítulos 4 a 10 más los controles del anexo A |
| Certificación | Ninguna; autoevaluación frente al marco | Certificación acreditada de terceros disponible |
| Enfoque | Identificar, medir y tratar los riesgos de los sistemas de IA | Un sistema de gestión de IA para toda la organización con mejora continua |
| Mejor primer paso | Base rápida y flexible; sólida para organizaciones con exposición al mercado estadounidense | Cuando clientes o reguladores esperan una garantía certificada |
Realizar ambos análisis de brechas le da una vista de riesgos y una vista de sistema de gestión del mismo programa. El complemento natural de esta plantilla: Plantilla de análisis de brechas ISO 42001
GOVERN 1 exige un inventario completo de IA y MAP 4 pregunta qué contiene. Aona descubre cada herramienta de IA en uso en su organización, supervisa qué datos fluyen hacia ellas y mantiene las evidencias listas para auditoría.