ISO 42001 en la práctica: cómo gobernamos la IA en Inagent

Existe mucho contenido sobre la ISO 42001, pero casi todo suena igual. La mayoría explica qué es la norma, enumera cláusulas, resume anexos, traduce sus requisitos a formato blog… y poco más. Eso puede ser útil, pero no siempre responde a una pregunta más importante para las empresas que están evaluando soluciones de inteligencia artificial: ¿qué significa aplicar ISO 42001 en un producto real, en producción y operado por clientes?

En Inconcert nos certificamos en ISO/IEC 42001 desde una realidad muy concreta: somos proveedores de IA. Desarrollamos, implementamos y operamos Inagent, nuestra solución de agentes IA para atención, ventas, recobros y operaciones de CX. Después, nuestros clientes despliegan esos agentes virtuales en sus propios entornos para interactuar con usuarios finales.

Esa posición cambia por completo la forma de abordar la norma porque nos obliga a demostrar que gobernamos una tecnología que otras empresas incorporan a procesos sensibles, con impacto directo en clientes, equipos, datos, costes, eficiencia y reputación.

DEMO

Conoce cómo Inagent combina agentes IA, supervisión y control
Solicita una demo gratis

¿Qué es ISO 42001 y por qué importa en soluciones de IA?

La ISO/IEC 42001 es la norma internacional que define los requisitos para establecer, implementar, mantener y mejorar de forma continua un Sistema de Gestión de Inteligencia Artificial, también conocido como SGIA. Está pensada para organizaciones que desarrollan, proporcionan o utilizan productos y servicios basados en IA.

En la práctica, la certificación ISO 42001 ayuda a demostrar que una organización no solo habla de IA responsable, sino que cuenta con procesos, controles, responsabilidades, documentación y mecanismos de mejora continua para gobernarla.

Esto importa especialmente cuando se está evaluando implementar una solución de agentes IA para empresas. Para un CEO, un CFO, un CIO o un equipo legal, la pregunta va más allá de si el agente IA funciona: importa saber si la solución está controlada, si existe supervisión humana, cómo se gestionan los datos, qué riesgos se han evaluado, qué límites de uso se han definido y qué evidencias puede aportar el proveedor.

Inconcert está certificada en ISO/IEC 42001 como proveedor de IA, aplicando este sistema de gestión a Inagent, su plataforma de agentes IA para empresas. Por lo que queremos compartir qué hemos aprendido al aplicar ISO 42001 en un entorno en producción, con una plataforma de agentes IA en evolución, clientes de verdad y decisiones que no pueden quedarse en una declaración de buenas intenciones.

Gobernar la IA es bastante más que tener papeles en regla

La ISO/IEC 42001 se publicó en diciembre de 2023 y comparte estructura con otras normas de gestión conocidas, como ISO 27001 o ISO 9001. Eso facilita parte del trabajo, porque existe una lógica común. En nuestro caso, además, ya trabajábamos con marcos como ISO 27001 y PCI DSS, así que parte del camino estaba trazado.

En este sentido, la norma ISO 42001 exige explicar, con criterio y de forma operativa, cómo gobierna sus sistemas de IA durante todo su ciclo de vida, evaluando riesgos específicos de la inteligencia artificial como, por ejemplo:

• La opacidad de los modelos de IA (LLM).
• La responsabilidad compartida con terceros.
• El alcance de la supervisión humana.
• El impacto sobre personas.
• Los usos no previstos.
• La calidad y tratamiento de los datos.
• La gestión de los sesgos de la IA.
• La transparencia hacia las partes interesadas.

Este gobierno se articula, además, a través de una estructura muy concreta:

• La ISO/IEC 42001 sigue el ciclo de mejora continua con 10 cláusulas principales, desde el contexto de la organización y el liderazgo hasta la planificación, el soporte, la operación, la evaluación del desempeño y la mejora continua. A esto se suman dos anexos normativos especialmente relevantes: el Annex A, con los dominios de control, y el Annex B, con la guía de implementación de esos controles.
• Otro documento clave de la ISO 42001 es la Declaración de Aplicabilidad, o SoA: sirve para explicar qué controles aplican, cuáles no y por qué, y cómo se conecta cada decisión con los riesgos identificados. Muestra si la empresa ha entendido la norma de forma real o si solo ha intentado cubrir expediente.

FICHA TÉCNICA

Consulta las capacidades de Inagent en detalle
Descargar ficha técnica

Cómo se traduce la ISO 42001 en Inagent, nuestra plataforma de agentes IA

La certificación ISO 42001 se conecta directamente con la forma en que diseñamos, operamos y mejoramos Inagent:

1. Gobernanza de IA: el ejemplo del sistema multilingüe de Inagent

Uno de los aprendizajes más claros apareció al analizar la operación multilingüe. Inagent maneja más de 200 idiomas y regionalismos, y eso genera una exigencia real de gobernanza, porque una respuesta que resulta natural en una cultura puede ser inadecuada en otra. El tono, las expresiones, las expectativas del usuario y los riesgos de interpretación cambian, por lo que, dentro del proceso completo de:

1. Cómo se configura el agente.
2. Qué reglas se le asignan.
3. Qué herramientas puede activar.
4. Qué lógica sigue para resolver una interacción.

Analizamos cómo:

• Anticipar escenarios reales.
• Revisar configuraciones.
• Ajustar prompts.
• Detectar fallos.
• Entender cómo puede variar el impacto de una interacción según el contexto.

Nuestra obligación como proveedor de una plataforma de agentes IA es gestionar con rigor todo el proceso de creación y gestión de cada agente virtual.

EXPERIENCIA INTERACTIVA

La mejor forma de entender Inagent es hablar con un agente IA en vivo
Haz la prueba

2. Gestión de datos en Inagent: no toda la información es igual de importante

Al documentar Inagent dentro del Sistema de Gestión de Inteligencia Artificial, vimos que no tenía sentido hablar de “datos” como un concepto genérico. En realidad, trabajamos con conjuntos de datos distintos, cada uno con su propietario, función, riesgo y lógica de calidad. Contamos con:

• Una base de datos vectorial: pertenece al cliente y alimenta el conocimiento del agente.
• Los datos de configuración del agente virtual: conviven prompts, plantillas propias y ajustes específicos de cada cliente.
• Los eventos de conversación en tiempo real: Inagent guarda el historial de conversaciones para su monitoreo.
• Los datos históricos que alimentan análisis, métricas y KPIs en el Data Lake.

La ISO 42001 obliga a poner método, por lo que en nuestro modelo auditable de datos, cada tipo de dato debe gestionarse según su procedencia, preparación, consistencia, posibles sesgos, finalidad y adecuación al uso previsto.

3. Impacto de los agentes IA en las personas

Uno de los grandes aciertos de ISO 42001 es distinguir entre riesgo para la organización e impacto sobre las personas. Una empresa puede tener bajo control sus riesgos internos y, aun así, no haber evaluado correctamente qué efecto puede causar su sistema de IA en los usuarios finales.

La evaluación de impacto del sistema de IA, conocida como AIIA, mira hacia fuera. Su objetivo es anticipar qué puede ocurrirle a una persona, a un colectivo o a la sociedad cuando el sistema se despliega y empieza a funcionar.

En un modelo de IA conversacional como Inagent, esto obliga a hacerse preguntas muy concretas:

• ¿Qué ocurre si el agente da información incorrecta sobre un servicio?
• ¿Qué pasa si un cliente necesita atención humana y el sistema no lo detecta a tiempo?
• ¿Puede una configuración generar trato desigual según el contexto?
• ¿Qué impacto tendría una mala interpretación en un proceso sensible?

Por eso, nuestro equipo revisa la AIIA de Inagent de forma recurrente, evaluando beneficios y posibles perjuicios para las partes implicadas. No la entendemos como un trámite que se guarda para una auditoría anual, sino como un documento vivo que debe evolucionar al ritmo del producto.

GUÍA

Elige tu solución de agentes IA con criterios claros  Accede a la guía

4. Casos de uso previstos en Inagent y definir límites para los agentes IA

La ISO 42001 obliga a documentar los usos previstos y también los usos no previstos. En nuestro caso, eso implica dejar claro que la solución no está pensada para sustituir decisiones humanas críticas, realizar diagnósticos médicos automatizados o funcionar de forma autónoma en entornos sensibles sin la supervisión adecuada.

Plasmar estos límites afecta a cómo explicamos el producto, cómo lo configuramos con los clientes y cómo entendemos sus responsabilidades. Porque no todo lo técnicamente posible es necesariamente aceptable dentro de un modelo responsable de IA.

CASO DE USO

Explora los casos de uso de Inagent en procesos concretos  Descarga la guía

5. Modelo de colaboración entre los agentes IA y las personas: supervisión humana

La supervisión humana es uno de los conceptos más importantes de la gobernanza de IA. La ISO 42001 exige definir los mecanismos de supervisión, documentarlos y demostrar que son efectivos.

En Inagent, esta supervisión se apoya en herramientas de monitorización y control en tiempo real. También se concreta en capacidades como Agent Quality Management, que permite revisar conversaciones, detectar situaciones complejas y facilitar la intervención humana cuando el contexto lo requiere.

Lo importante es integrar el agente IA dentro de un proceso definido, medible y revisable. Hay que saber:

• Cuándo se transfiere una conversación.
• Quién puede intervenir.
• Cómo queda registrado.
• Cómo se mejora el sistema a partir de esa información.

DEMO

Descubre el sistema de supervisión de nuestros agentes IA  Accede a la demo

6. La gestión de los LLM en el AI Engine de Inagent: modelos de terceros, controles propios

Inagent se apoya en modelos de lenguaje de terceros. Desde Inconcert no entrenamos esos modelos desde cero, sino que los integramos dentro de una arquitectura específica, con controles y responsabilidades delimitadas. Esto plantea una pregunta crítica: ¿cómo garantizamos que los proveedores que forman parte de la cadena gestionan sus riesgos al nivel que nosotros nos comprometemos con nuestros clientes?

La respuesta está en la evaluación de proveedores, la definición de responsabilidades por contrato, la revisión de controles y la documentación de hallazgos dentro de la evaluación de impacto. La cadena de IA es larga:

1. Creador del modelo.
2. Proveedor de infraestructura.
3. Proveedor de la solución.
4. Cliente que despliega el sistema.
5. Usuario final que interactúa con él.

La ISO 42001 ayuda a ordenar esa cadena y a convertirla en un modelo más transparente y auditable.

Por qué la certificación ISO 42001 importa a nuestros clientes

Para nuestros clientes, tener la certificación ISO 42001 demuestra que Inconcert aplica un modelo de gobierno real sobre Inagent. Significa que:

• Tenemos claras nuestras responsabilidades como proveedor de IA.
• Definimos líneas rojas de uso.
• Evaluamos riesgos e impacto.
• Documentamos cómo se gestionan datos, proveedores y controles.
• Activamos supervisión humana cuando resulta necesaria.
• Todo este modelo se revisa de forma continua.

En Inagent, esta gobernanza se traduce en agentes IA para empresas capaces de automatizar procesos de atención y ventas sin renunciar al control operativo. Los equipos pueden definir reglas, dirigir la orquestación, supervisar conversaciones y mantener intervención humana cuando el contexto lo exige. Solicita una demo y explora a fondo Inagent.

Preguntas frecuentes sobre ISO 42001