No tardará mucho en llegar el momento en que sea necesario certificar los sistemas de inteligencia artificial. Tanto empresas como entidades públicas se verán empujadas, por la propia regulación o por cuestiones de mercado, a pasar auditorías a sus modelos y a los procesos en los que empleen IA. A este sector aún le queda tiempo para configurarse, pero ya se ven indicios de cómo podría funcionar.
A día de hoy ya existen normas para acotar la certificación de sistemas de IA. Los estándares ISO cuentan con normativas que afectan al desarrollo y al despliegue de esta tecnología. Uno de ellos, específicamente orientado a la IA es el ISO/IEC 42001:2023. Nació, como indica su nomenclatura, en el año 2023 y pretende establecer un marco de referencia para las compañías que utilizan de manera relevante la tecnología. Pero hay otras normas que también tendrán impacto en el mercado de la IA. Es el caso de la ISO/IEC 17021-1:2015. Se trata de un estándar que define los requerimientos para entidades que proporcionan auditoría y certificación para sistemas de gestión. El título que acompaña a la norma es el siguiente: Evaluación de la conformidad. Requisitos para los organismos que realizan la auditoría y la certificación de sistemas de gestión. En esta norma se basa la certificación MSAP (Management Systems Audit Program, por sus siglas en inglés), que actúa como una etiqueta de excelencia a nivel global.
¿Qué son los sistemas de gestión?
Pero para entender la importancia de esta norma lo primero es conocer bien a qué se refiere. La clave está en los sistemas de gestión, que son la forma en que las compañías se organizan. Engloban las estructuras y los procesos que las entidades usan para actuar de manera sistemática y conseguir los resultados deseados.
Estos sistemas de gestión suelen basarse en procedimientos tipo PDCA (Plan-Do-Check-Act) o PHVA (planificar, hacer, verificar y actuar, en español). A partir de ahí, las organizaciones prueban y crean sus procesos, tanto internos como de cara a clientes.
Algunos ejemplos son sistemas de gestión ambiental, de gestión de la calidad o de la seguridad de la información. Estos son los que menciona específicamente la norma ISO/IEC 17021-1:2015, pero también abarca cualquier tipo de sistema de gestión que afecte a actividades, productos o servicios de la compañía. El objetivo es que todos ellos estén doblemente alineados: con la política de la organización y con los requisitos del estándar.
¿Para qué sirve la norma ISO/IEC 17021-1:2015?
Este estándar impone ciertos requisitos para aquellas entidades que realicen auditorías y certificación de sistemas de gestión. Y aquí surge la duda. ¿Es una certificación para entidades que a su vez certifican? Así es. Pero resulta más sencillo de explicar si nos centramos en la actividad de la organización.
Podemos hablar de una empresa que audita sistemas de gestión de la seguridad de la información. Lo que hace es evaluar cómo otra empresa o entidad pública tiene estructurada la protección de su información y de sus activos informáticos. Pero para hacerlo con garantías, la empresa auditora obtiene el estándar ISO/IEC 17021-1:2015. De esta forma, se la reconoce internacionalmente como cumplidora de unos requisitos estrictos a la hora de realizar sus auditorías. Así, su trabajo tiene un sello de calidad que otros no tienen.
¿Y qué tiene que ver todo esto con la IA?
De la misma manera que se certifica un sistema de seguridad de la información o uno de gestión ambiental, también se puede certificar un sistema de IA. Y con la deriva frenética del mercado de la IA parece que se implementarán algoritmos y modelos en muchos sectores. Certificar todos estos sistemas ofrecerá mayores garantías para su puesta en marcha.
Las empresas que están llamadas a hacer esta certificación o auditoría son aquellas que cuentan con la certificación ISO/IEC 17021-1:2015. Esta norma ofrece garantías de que sus titulares son competentes para llevar a cabo las evaluaciones pertinentes.
La norma resume así la función de sus requerimientos: “El cumplimiento de estos requisitos tiene por finalidad asegurar que los organismos de certificación realicen la certificación de los sistemas de gestión de manera competente, coherente e imparcial, facilitando así el reconocimiento de dichos organismos y la aceptación de sus certificaciones en el ámbito nacional e internacional".
¿Cuáles son los requisitos que impone la norma ISO/IEC 17021-1:2015?
Hay una serie de factores que una empresa certificadora ha de tener para obtener esta norma ISO. Se podrían sintetizar en cinco:
-Competencia: las entidades certificadoras deberán contar con un equipo de auditores con las habilidades y el conocimiento necesarios para realizar auditorías de forma efectiva.
-Consistencia: las entidades deben seguir un proceso consistente para todas las auditorías y certificaciones que hagan.
-Imparcialidad: la independencia y la ausencia de conflictos de interés es una obligación para todas las entidades que certifiquen.
-Confidencialidad: las entidades tienen que poder gestionar información sensible de forma responsable y segura.
-Control de los riesgos: las entidades que certifiquen deben ser capaces de identificar y gestionar los posibles riesgos que afecten al proceso de certificación.