¿Qué exige ISO 42001:2023 sobre gobernanza de sistemas de inteligencia artificial?

ISO 42001:2023 es el primer estándar internacional específico para sistemas de gestión de inteligencia artificial. Establece requisitos para liderazgo, evaluación de impacto, gestión del ciclo de vida del sistema de IA, supervisión humana, transparencia, y monitoreo continuo. Recupera la cláusula 5 de liderazgo con el mismo lenguaje que las normas anteriores, e incorpora requisitos específicos para período de operación en paralelo, explicabilidad, supervisión humana efectiva y monitoreo de deriva del modelo.

¿Qué es la deriva del modelo (model drift) en sistemas de IA?

La deriva del modelo es el fenómeno por el cual el comportamiento de un modelo algorítmico cambia respecto a su comportamiento esperado, generalmente porque la población sobre la que opera difiere progresivamente de la población con la que el modelo fue entrenado. Sin monitoreo continuo de deriva, el modelo puede operar con sesgo creciente sin que la organización lo detecte. ISO 42001 exige monitoreo técnico continuo de deriva como obligación del sistema de gestión.

¿Por qué la supervisión humana sobre decisiones de IA debe ser efectiva y no solo nominal?

Una supervisión humana es nominal cuando aparece en el procedimiento documentado pero no opera en la práctica · revisa muestras no representativas, no puede bloquear decisiones del modelo, o no genera trazabilidad consultable. Una supervisión humana es efectiva cuando opera sobre muestra estadísticamente significativa, puede bloquear decisiones del modelo, y documenta su intervención con trazabilidad consultable por auditoría independiente. La distinción no es semántica · es la diferencia entre gobernanza real y gobernanza decorativa.

IA y scoring crediticio · cuando el algoritmo decide quién accede al crédito

Una entidad financiera latinoamericana de tamaño medio incorporó hace dos años un sistema de scoring crediticio asistido por inteligencia artificial provisto por un proveedor tecnológico internacional. El sistema se integró al circuito de aprobación de créditos personales sin un período documentado de operación en paralelo con el modelo anterior. Durante los primeros seis meses de operación, el sistema otorgó y denegó créditos sin que ningún funcionario humano de la entidad pudiera explicar técnicamente las decisiones específicas del modelo. Este dictamen ordena lo que ese caso anonimizado muestra sobre gobernanza algorítmica en el sector financiero — y propone lectura técnica desde el oficio auditor.

El contexto operativo

El sector financiero latinoamericano vive una transición acelerada hacia el uso de inteligencia artificial en decisiones críticas de crédito, fraude, antilavado, identificación biométrica y atención al cliente. La adopción tecnológica es asimétrica · las entidades grandes y medianas avanzan con velocidad mientras los marcos regulatorios y los sistemas de gestión de riesgo institucional avanzan a velocidad significativamente menor.

El caso anonimizado descrito en esta apertura no es excepcional. Es representativo de un patrón regional que el oficio auditor encuentra con regularidad creciente — adopción de modelos algorítmicos en decisiones críticas sin marco de gobernanza adaptado al nuevo nivel de riesgo.

Cinco hallazgos técnicos del caso

El análisis técnico del caso anonimizado revela cinco hallazgos consistentes con el patrón regional observado.

Hallazgo 01 · ausencia de período de operación en paralelo. El modelo de scoring se integró al circuito de aprobación de manera directa, reemplazando al modelo estadístico anterior sin un período documentado de operación en paralelo. Sin operación en paralelo no es posible detectar discrepancias sistemáticas entre el comportamiento esperado del modelo y su comportamiento efectivo en operación real. La metodología de pre-producción no contempló esta etapa.

Hallazgo 02 · explicabilidad insuficiente del modelo en operación. El modelo provisto era una caja-negra modelada por el proveedor. La entidad no disponía de capacidad técnica interna para auditar el modelo y dependía del proveedor para análisis post-hoc. Cuando el equipo de cumplimiento solicitó explicación de seis decisiones específicas tomadas por el modelo durante el primer trimestre, el proveedor entregó análisis cuatro semanas después sin nivel de detalle suficiente para verificación independiente.

Hallazgo 03 · supervisión humana nominal en el circuito de aprobación. Aunque el procedimiento formal establecía revisión humana de decisiones del modelo, en operación efectiva las decisiones de aprobación o denegación se ejecutaban directamente bajo el output del modelo. La revisión humana se ejecutaba sobre una muestra acotada que no era estadísticamente representativa del flujo total.

Hallazgo 04 · ausencia de monitoreo de deriva del modelo. La entidad no tenía implementado monitoreo técnico de model drift — la deriva natural que ocurre cuando el modelo opera sobre poblaciones cuyo comportamiento cambia respecto a la población de entrenamiento. Sin monitoreo de deriva, el modelo puede operar con sesgo creciente sin que la organización lo detecte.

Hallazgo 05 · trazabilidad rota entre auditoría externa y operación interna. La auditoría externa anual a la entidad incluía revisión del circuito de aprobación de créditos. La revisión externa cumplía formalmente porque los procedimientos documentados existían. La distancia entre el procedimiento documentado y la operación efectiva no se detectó porque el alcance de la auditoría externa no incluía verificación técnica del comportamiento del modelo en operación.

Un sistema de inteligencia artificial sin explicabilidad, sin supervisión humana efectiva y sin monitoreo de deriva no es un sistema bajo control. Es un sistema en libertad institucional.

Lo que el caso muestra sobre gobernanza algorítmica

Este caso anonimizado, leído junto a otros casos del campo, muestra cuatro principios operativos que la gobernanza algorítmica seria requiere sostener.

Principio 01 · el período de operación en paralelo es no negociable. Todo modelo algorítmico en decisión crítica debe operar en paralelo con el modelo anterior — o con un sistema de control que cumpla función equivalente — durante un período suficiente para detectar discrepancias sistemáticas. El período se mide en meses, no en semanas.

Principio 02 · la explicabilidad es responsabilidad de la organización adoptante. La entidad que adopta un modelo algorítmico es la responsable última de poder explicar las decisiones del modelo. La capacidad técnica interna para auditar el modelo no puede delegarse completamente en el proveedor. La dependencia total del proveedor para explicabilidad es un riesgo operativo institucional.

Principio 03 · la supervisión humana debe ser efectiva, no nominal. La revisión humana en circuitos de decisión crítica debe operar sobre muestras estadísticamente significativas, debe poder bloquear decisiones del modelo, y debe estar documentada con trazabilidad consultable. Una supervisión humana que no puede bloquear ni documentar no es supervisión.

Principio 04 · el monitoreo de deriva es obligación técnica continua. La deriva del modelo es natural y predecible. La obligación técnica de la organización no es evitar la deriva — es detectarla cuando ocurre, evaluarla, y decidir conscientemente si reentrenar, recalibrar o retirar el modelo de operación.

El marco internacional aplicable

ISO 42001:2023 — primer estándar internacional específico para sistemas de gestión de inteligencia artificial — incorpora requisitos para los cuatro principios mencionados. Para el sector financiero específicamente, las autoridades de supervisión bancaria de varios países latinoamericanos han emitido o están emitiendo lineamientos específicos sobre uso de inteligencia artificial en decisiones crediticias. El marco existe. La adopción del marco es asimétrica.

La distancia entre la adopción tecnológica del sector financiero y la adopción de marcos de gobernanza adaptados al nuevo nivel de riesgo es el campo de trabajo más urgente del oficio auditor en el sector durante la próxima década.

Recomendación institucional

Este dictamen recomienda a entidades financieras que operan modelos algorítmicos en decisiones críticas ejecutar un ejercicio diagnóstico en el próximo trimestre. Identificar todos los modelos algorítmicos en operación productiva. Verificar para cada uno · existencia documentada de período de operación en paralelo, capacidad técnica interna de explicabilidad, supervisión humana efectiva sobre muestra estadísticamente significativa, monitoreo continuo de deriva. Si alguno de los cuatro componentes está ausente, el modelo opera con riesgo de gobernanza superior al perfil institucional declarado.

La inteligencia artificial llegó al sector financiero antes que la cultura institucional necesaria para gobernarla. La distancia se cierra con criterio técnico, no con marketing institucional.

IA y scoring crediticio · cuando el algoritmo decide quién accede al crédito

El contexto operativo

Cinco hallazgos técnicos del caso

Lo que el caso muestra sobre gobernanza algorítmica

El marco internacional aplicable

Recomendación institucional

Sobre este informe.

Lo siguiente.

Solicitar lectura técnica específica.