Servicios Profesionales y Empresariales

Aquí tienes el artículo de: Octubre, 2025

ISO/IEC 42005:2025: complemento ideal para un SGIA (AIMS)
Por David Mondragón Tapia

Sistema de Gestión de Inteligencia Artificial (IA)

La adopción de un Sistema de Gestión de Inteligencia Artificial (SGIA) a partir de la norma ISO/IEC 42001:2023, cuando se realiza de manera correcta puede traer beneficios a cualquier organización por dos razones principales, que son:

  1. facilita a las organizaciones un uso responsable de la IA y
  2. reconoce dicho esfuerzo mediante la certificación con validez a nivel internacional.

Así pues, la ISO 42001 permite a las organizaciones la integración de los procesos y la estructura de gestión general necesaria para tal fin, además de  proporcionar los lineamientos indispensables para la implementación de los controles aplicables, que respalden dichos procesos y estructura de gestión. La norma NO ofrece orientación específica sobre los procesos de gestión que se deben adoptar, por lo que es posible utilizar y/o combinar otros marcos y normas generalmente aceptadas (ej. ISO 9001, 27001 y/o 27701), así como su propia experiencia para implementar dichos procesos (ej. gestión del ciclo de vida, gestión de riesgos, gestión de la calidad de los datos, pruebas y validaciones, gestión de liberaciones, etc.), siempre que sean adecuados para los usos o aplicaciones, los productos y/o servicios, y los sistemas de IA especializados y declarados en el alcance del SGIA.

Recordemos también que la norma ISO 42001 es aplicable a cualquier tipo de organización, sin importar su tamaño, tipo y naturaleza, siempre y cuando proporcione o utilice productos y/o servicios que utilicen o integren sistemas de IA. Además, recordemos también que se recomienda complementar su aplicación con otras normas como la ISO/IEC 22989:2022, documento en donde previamente se establecieron los conceptos y definiciones aplicables al campo de la inteligencia artificial (IA).

Sistema de Gestión de IA vs ISO 42005

Los requisitos que se deben cumplir para certificar un SGIA con base en la ISO 42001, basan su implementación y operación en dos actividades claves para el sistema de gestión que son:

  1. la gestión de riesgos de IA (ref. 6.1.2 y 6.1.3) y
  2. la valoración del impacto del sistema de IA (ref. 6.1.4 y controles A.5 en el anexo “A”).

En cuanto a la gestión de riesgos especializada en IA, se recomienda desarrollar esta capacidad organizacional con base en la norma ISO/IEC 23894:2023, la cual es un reflejo de otra norma ISO clave para el desarrollo de una práctica de gestión de riesgos general como lo es la ISO 31000. Lo anterior, no es algo nuevo, salvo la orientación que ahora se le debe dar hacia la inteligencia artificial o IA. Pero en cuanto a la valoración del impacto del sistema de IA (AISIA por sus siglas en inglés), esto sí es nuevo, ya que a partir del pasado mes de mayo del presente año, se recomienda ampliamente desarrollar esta otra capacidad organizacional con base en la nueva norma ISO/IEC 42005:2025, la cual propone entre otros aspectos los siguientes:

  • Términos y definiciones aplicables al proceso de AISIA.
  • Listado de abreviaturas aplicables a AISIA.
  • Relación de actividades y aspectos claves para desarrollar e implementar un proceso de AISIA (ej. tiempo vs ciclo de vida, alcance, responsabilidades, umbrales, etc.).
  • Relación de consideraciones claves para documentar los resultados del proceso de AISIA (ej. alcance, información del sistema de IA, datos, algoritmos, etc.).
  • Relación de anexos con información relevante sobre la integración de la ISO 42005 con la ISO 42001 (anexo “A”) ó la ISO 23894 (anexo “B”), así como otros temas relevantes (anexos “C a E”).

Así pues, la norma 42005 ha sido incorporada al conjunto de normas que se han elaborado por la ISO, con el fin de facilitar el manejo o uso responsable de la IA en las organizaciones, dependiendo para este fin de los usos o aplicaciones dados a la tecnología.

Norma ISO/IEC 42005:2025

La aplicación de sistemas, productos, servicios y componentes que incorporan algún grado o tipo de inteligencia artificial, viene generado una creciente exaltación pero a la vez preocupación, sobre cómo los sistemas de IA pueden impactar positiva y negativamente a todos los niveles de la sociedad. NO es un secreto que existe una verdadera preocupación, por los efectos negativos razonablemente previsibles que el uso de los sistemas de IA podría traer a los humanos (ej. resultados potencialmente injustos, dañinos o discriminatorios, reducciones no deseadas de la fuerza de trabajo, así como daños ambientales). Es innegable que el desarrollo y uso de sistemas de IA aparentemente benignos, puede tener el potencial de impactar significativamente a individuos, grupos de individuos, ambos casos y a la sociedad en general.

La norma ISO 42005 liberada y vigente a partir del pasado mes de mayo del 2025, es la aportación hecha a la sociedad y sus organizaciones por los comités técnicos de la ISO, para fomentar la transparencia y la confiabilidad de los sistemas que utilizan tecnologías de IA. Una organización que desarrolla y utiliza dichas tecnologías hoy, puede tomar las medidas necesarias para asegurar que las partes interesadas y afectadas por estas, se han identificado y considerado los impactos que podrían ocasionarse sobre ellas. Con esto las valoraciones de impacto de los sistemas de IA, jugarán el papel que se espera jueguen dentro del ecosistema de actividades de gobierno, gestión de riesgos y conformidad, que en su conjunto puedan dar confianza a la sociedad y facilitar la rendición de cuentas de las organizaciones implicadas.

En el ecosistema de actividades de gobierno (ISO/IEC 38507:2022), gestión de riesgos (ISO 23894) y conformidad (ISO 42001), cada una de las normas referidas destaca la necesidad de considerar los impactos en los individuos y las sociedades, de acuerdo con lo siguiente:

  • Gobierno: el organismo rector puede comprender los impactos para garantizar que el desarrollo y uso de los sistemas de IA, se ajustan a los objetivos, metas y valores de la organización.
  • Gestión de riesgos: en la realización de las actividades de gestión de riesgos, se pueden comprender mejor los impactos previsibles en los individuos y las sociedades, para incorporarlos en la valoración general de los riesgos de IA.
  • Conformidad: cuando la organización desarrolla o utiliza sistemas de IA, puede incorporar los resultados de la comprensión y documentación de estos impactos en su Sistema de Gestión de IA, para garantizar que los sistemas de IA en cuestión, cumplan con las necesidades y expectativas de las partes interesadas así como con los requisitos internos y externos, que pudieran aplicar a la organización.

De acuerdo con todo lo anterior, la realización constante de ejercicios de valoración de impactos de los sistemas de IA (AISIA), así como la utilización de los resultados obtenidos, es fundamental para las actividades de la organización con el fin de producir sistemas de IA confiables y transparentes. 

La norma ISO 42005 es pues, el documento que proporciona la orientación necesaria para que las organizaciones sepan y puedan implementar un proceso para completar dichos ejercicios, mejorando con esto el entendimiento de los componentes que intervienen en la producción de resultados verdaderamente útiles y fidedignos. El documento o guía incluye además algunas consideraciones claves sobre cómo y cuándo realizar dichas valoraciones, de acuerdo con las etapas del ciclo de vida de los sistemas de IA, junto con los lineamientos para generar la documentación adecuada de los resultados del proceso de AISIA. También incluye una explicación o guía sobre cómo el proceso de AISIA puede integrarse con el Sistema de Gestión de IA y la gestión de riesgos de IA de la organización. Finalmente cabe recalcar que la norma está dirigida a organizaciones que desarrollan, proporcionan o utilizan sistemas de IA, siendo aplicable a cualquier organización sin importar su tamaño, tipo y naturaleza (similar a la ISO 42001).

Reflexión final: importancia de la ISO 42005

Implementar un Sistema de Gestión de IA o SGIA por sus siglas en español, puede parecer una tarea nueva y compleja de realizar, sobre todo para quienes se están adentrando en este entorno por primera vez, debido a los diversos temas “nuevos” y el nivel de conocimiento “especializado” que demanda sobre los sistemas de inteligencia artificial (IA). Sin embargo y siendo honestos, ni es algo realmente nuevo ni el conocimiento requerido será un obstáculo que el tiempo y el estudio, no puedan solucionar por sí mismos.

La norma ISO/IEC 42001 establece una serie de requisitos mínimos y necesarios para utilizar de manera responsable la tecnología basada en IA, además de certificar -si así se desea- la operación de un SGIA. Para esto, al interactuar con dicho estándar es esencial identificar y comprender lo siguiente:

  1. El rol organizacional que se tiene respecto a la IA (ej. desarrollador, proveedor y/o usuario) así como la ubicación y complejidad de la cadena de suministro.
  2. Los usos o aplicaciones dados a la tecnología en los diversos productos y/o servicios en que se integre la IA.
  3. Los sistemas de IA que se integren para alcanzar las metas o tareas específicas de acuerdo con los usos o aplicaciones (ej. salud, logística, educación, etc.).
  4. Los riesgos e impactos relacionados con la utilización de los sistemas de IA a lo largo de su ciclo de vida.
  5. Los controles de IA que resulten más adecuados para el tratamiento de los riesgos e impactos por el uso de la IA (ej. políticas, organización interna, recursos, etc.).

Sobre estos últimos puntos, es importante destacar que además de los requisitos y controles de IA contenidos en la norma ISO 42001, se cuenta con otras normas ISO de apoyo para el establecimiento y operación de un gobierno, gestión y cumplimiento adecuado de dicha tecnología, como lo son el caso de las normas siguientes:

  • ISO/IEC 22989: con conceptos y terminología aplicable a la IA.
  • ISO/IEC 23894: para la gestión de riesgos de IA. 
  • ISO/IEC 38507: para el gobierno de la IA.
  • ISO/IEC 42005: para la valoración del impacto del sistema de IA (AISIA por sus siglas en inglés).

Si a ti te interesa saber más sobre el tema o cómo podemos apoyarte con la implementación y certificación de tu SGIA o AIMS con base en la ISO 42001, ¡escríbenos, será un gusto platicar contigo!

Referencias consultadas

1. International Standard ISO/IEC 42005:2025. Information Technology - Artificial Intelligence (AI) – AI system impact assessment (AISIA). First Edition, May-2025.

2. International Standard ISO/IEC 42001:2023. Information Technology - Artificial Intelligence - Management System. First Edition, Dic-2023.

Necesitamos su consentimiento para cargar las traducciones

Utilizamos un servicio de terceros para traducir el contenido del sitio web que puede recopilar datos sobre su actividad. Por favor revise los detalles en la política de privacidad y acepte el servicio para ver las traducciones.