Log in
Sign up
Compliance and governance shown as a single mariner's compass with two needles on one housing

Sections

Cumplimiento y gobernanza: el sistema operativo de la era IA

Lo esencial

  • Cumplimiento y gobernanza no son dos ámbitos paralelos: son las dos caras de un mismo modelo operativo que convierte la intención estratégica en evidencias auditables.
  • La gobernanza marca el rumbo y la autoridad; el cumplimiento prueba que la organización se ha mantenido dentro de los límites acordados.
  • El OCEG GRC Capability Model 3.5, el NIST Cybersecurity Framework 2.0 y el NIST AI Risk Management Framework comparten la misma arquitectura: gobernar primero, después bajar hasta los controles.
  • La incorporación en 2024 de la función GOVERN al NIST CSF 2.0, junto con la publicación paralela de ISO/IEC 42001 y del Reglamento europeo de IA, marca el momento en que cumplimiento y gobernanza se fundieron en un único flujo de trabajo con rendición de cuentas.
  • Un sistema de cumplimiento y gobernanza que funciona se mide por una sola prueba: ¿puede rastrear una obligación externa, línea a línea, hasta un control, un responsable y una evidencia que los inspectores podrían auditar mañana por la mañana?
Cumplimiento y gobernanza representados por una brújula marina con dos agujas montadas en una sola caja

Qué significan realmente cumplimiento y gobernanza

La mayoría de los explicadores que dominan Google abren con un diagrama de Venn ordenado y se quedan ahí. La lección útil, enterrada debajo del esquema, es otra: gobernanza y cumplimiento son funciones secuenciales del mismo modelo operativo, no disciplinas separadas.

Gobernanza: marcar el rumbo

El NIST agrupa gobernanza, riesgo y cumplimiento en una sola disciplina porque comparten el mismo propósito: alinear lo que hace la organización con lo que su dirección ha decidido que debe hacer. La gobernanza es la mitad de aguas arriba de ese trabajo. Decide quién puede tomar qué decisiones, con qué evidencias y dentro de qué límites. En una empresa típica, la gobernanza se materializa en estatutos, delegaciones de poder, comités, políticas y el calendario de decisiones que esos órganos deben abordar a lo largo del año. El rasgo definitorio de la gobernanza es que marca el rumbo. No verifica que se haya seguido. Esa es la tarea de la segunda mitad del modelo.

Cumplimiento: probar que se mantuvo el rumbo

El cumplimiento es la mitad de aguas abajo. Acepta el rumbo fijado por la gobernanza y produce las evidencias de que la organización se ha mantenido dentro de ese rumbo. Esas evidencias son las que consumen auditores, autoridades y contrapartes. En un entorno regulado, el cumplimiento tiene dos públicos. La auditoría interna mira las evidencias para confirmar que los controles operaron según diseño. Los supervisores externos miran las mismas evidencias para confirmar que se respetó la obligación legal. Ambos inspeccionan a menudo los mismos artefactos; solo cambia la etiqueta porque cambia el destinatario.

El diagrama de Venn donde se detiene el top 10

La mayoría de las páginas dibuja gobernanza y cumplimiento como círculos que se solapan, con el riesgo como puente. La imagen no es errónea, pero esconde lo esencial. Las dos funciones no son solo vecinas: están diseñadas para alimentarse mutuamente. La gobernanza produce obligaciones y reglas; el cumplimiento produce las evidencias de que esas obligaciones se honraron; esas evidencias regresan a la gobernanza e informan el siguiente ciclo de decisión. Cuando el bucle se rompe, terminan apareciendo políticas que nadie operativiza y controles que nadie remite a una política. Ese es exactamente el modo de fallo que todos los marcos modernos, desde OCEG GRC 3.5 hasta NIST CSF 2.0 y ISO/IEC 42001, buscan evitar.

Cómo se fundieron en la GRC: un arco de veinte años

El acrónimo GRC fue acuñado en 2002 por la Open Compliance and Ethics Group (OCEG), y el primer OCEG Red Book que describía el modelo de capacidades apareció en 2004. El motor inmediato fue la ley estadounidense Sarbanes-Oxley de 2002, que obligaba a las sociedades cotizadas a producir evidencias auditables de que sus controles internos sobre el reporte financiero realmente funcionaban. Las empresas que ya tenían gobernanza, gestión de riesgos y cumplimiento descubrieron que operarlos en silos hacía casi imposible montar la cadena de evidencias SOX. La contribución de OCEG fue nombrar una capacidad unificada y publicar después un modelo open source de cómo se ve hacerla bien. El Red Book situó la Principled Performance como objetivo: alcanzar los objetivos de forma fiable, gestionar la incertidumbre y actuar con integridad. Cada capacidad descrita por OCEG es un instrumento para ese único resultado. Veinte años después, la arquitectura está adoptada casi en todas partes. La siguiente inflexión llegó en febrero de 2024, cuando NIST publicó CSF 2.0. El cambio tenía menos que ver con la ciberseguridad que con la gobernanza: NIST añadió GOVERN como sexta función central, junto a Identify, Protect, Detect, Respond y Recover. Ese mismo año, ISO publicó ISO/IEC 42001, el primer estándar de sistema de gestión internacional dedicado a la inteligencia artificial. Ambos eventos ratificaron la misma idea desde ángulos diferentes: gobernar primero, después bajar hasta los controles. El cumplimiento es la pista de auditoría de esa traducción.

El modelo operativo integrado: un único stack, tres marcos

Los tres marcos que los equipos de GRC empresariales cosen juntos con más frecuencia parecen superficialmente distintos. Comparten el mismo esqueleto.

OCEG GRC Capability Model 3.5

El modelo OCEG actual organiza sus capacidades en cuatro componentes: LEARN el contexto, la cultura y los stakeholders que deben moldear los objetivos; ALIGN la estrategia con esos objetivos y las acciones con la estrategia; PERFORM acciones que promueven resultados deseados y previenen los indeseados; REVIEW para detectar lo que ha funcionado y alimentar el siguiente ciclo. Cada componente se descompone en capacidades, cada capacidad en prácticas, cada práctica en artefactos que una organización real puede producir. El modelo es deliberadamente neutral en alcance y puede albergar cualquier obligación, desde el reporte financiero hasta la seguridad de la información o la IA.

Las seis funciones de NIST CSF 2.0

El NIST CSF 2.0 organiza su trabajo en torno a seis funciones: Govern, Identify, Protect, Detect, Respond y Recover. La función GOVERN, añadida en 2024, ocupa el centro. Es la función que articula la estrategia de riesgo de ciberseguridad, las expectativas y la política de la organización, y se asegura de que aparezcan en las otras cinco. La decisión fue deliberada: sin una capa de gobernanza, los controles de ciberseguridad producen actividad, no aseguramiento.

Las cuatro funciones del NIST AI Risk Management Framework

El NIST AI Risk Management Framework trae cuatro funciones: GOVERN, MAP, MEASURE y MANAGE. GOVERN viene primero por diseño. Acota la responsabilidad, define el riesgo tolerable y asigna los recursos que necesitan las otras tres funciones. MAP cataloga contexto e impacto. MEASURE cuantifica. MANAGE aplica los tratamientos elegidos. La forma resulta deliberadamente familiar a cualquier organización que ya practique CSF o COBIT: gobernar primero, después bajar.

Un esqueleto, tres alcances

Estos tres modelos no compiten entre sí. Son el mismo sistema operativo aplicado a alcances distintos: riesgo empresarial, riesgo cibernético, riesgo de IA. El trabajo de un equipo moderno de cumplimiento y gobernanza es reconocer la arquitectura compartida y dejar de mantener tres bibliotecas de controles paralelas cuando una sola, bien estructurada, bastaría.

La arquitectura de controles: de la obligación a la evidencia

La parte que casi ninguna página del top 10 trata en profundidad sobre esta palabra clave es justamente la que decide si un programa de cumplimiento y gobernanza es real o decorativo: la cadena de cuatro eslabones que va de una obligación externa a una evidencia.

Obligación, control, evidencia, aseguramiento

Una obligación es la declaración vinculante con la que una autoridad externa hace responsable a la organización. Puede ser una cláusula de un reglamento, un compromiso contractual, un estándar que la organización ha decidido certificar o una política impuesta por el consejo. La redacción rara vez es operativa. El artículo 9(2)(a) del Reglamento europeo de IA dice que los proveedores de sistemas de IA de alto riesgo establecerán, implementarán, documentarán y mantendrán un sistema de gestión de riesgos. Esa frase es vinculante, no implementable. Un control es la reescritura operativa de la obligación. Nombra un comportamiento que la organización ejecuta, a menudo con cadencia recurrente, e identifica quién lo realiza y qué artefacto produce. Para el artículo 9, el control podría ser: el Comité de Riesgos de IA revisa trimestralmente el registro de riesgos de modelo, firma la clasificación del riesgo residual y actualiza el plan de tratamiento en un plazo de cinco días hábiles. La evidencia es el artefacto que el control produce: el formulario firmado, el registro fechado, el plan de tratamiento actualizado, el correo de cierre del presidente. La evidencia tiene una procedencia, una marca de tiempo y un custodio. El aseguramiento es la verificación independiente de que los controles operaron según diseño y de que la evidencia es lo que afirma ser. La auditoría interna produce aseguramiento para el consejo; un certificador externo produce aseguramiento para un mercado.

Ejemplo trabajado: artículo 9 del Reglamento europeo de IA de principio a fin

Llevemos la misma obligación a lo largo de la cadena. La obligación: el artículo 9(2) del Reglamento europeo de IA exige a los proveedores de sistemas de IA de alto riesgo mantener un proceso continuo de gestión de riesgos a lo largo del ciclo de vida. El control: cada modelo del inventario de alto riesgo tiene un risk owner nombrado, una cadencia trimestral de revisión anclada en la charter del Comité de Riesgos y un plan de tratamiento documentado que referencia la matriz impacto-severidad aprobada por la capa de gobernanza. La evidencia: el acta del Comité de Riesgos, la entrada de inventario con la fecha de la última revisión, el plan de tratamiento con su historial de versiones, el correo de validación del risk owner. El aseguramiento: una muestra de auditoría interna de tres modelos por trimestre, más la evaluación anual del organismo notificado que confirma que la cláusula QMS del artículo 17 está operativa. Construida la cadena para una obligación, la misma forma se reutiliza para todas las demás. Esa reutilización es la razón de ser del ejercicio.

Dónde se detienen la mayoría de las herramientas GRC y qué añade una plataforma de gobernanza de IA

La mayoría de las herramientas GRC generalistas manejan bien los dos primeros eslabones: permiten almacenar obligaciones y mapearlas a controles. Los eslabones tercero y cuarto, evidencia y aseguramiento, se suelen externalizar a sistemas de ticketing y unidades compartidas. Esa configuración funcionaba cuando una obligación apuntaba a un control estático. Se rompe cuando el activo gobernado es un modelo de machine learning cuyo comportamiento cambia con cada ciclo de reentrenamiento. Una plataforma de gobernanza específica para IA cierra el bucle ligando la cadena de evidencias directamente al ciclo de vida del modelo: el hecho de que un modelo se reentrenara un martes dispara automáticamente la revisión trimestral del control owner el miércoles. Exactamente ese acoplamiento es lo que la plataforma de gobernanza de IA de AI Sigil fue diseñada para ofrecer encima de un stack GRC existente.

Roles, responsabilidades y modelo de las tres líneas

La mayoría de las grandes organizaciones operativizan la gobernanza a través del modelo de las tres líneas: la primera línea es dueña y operadora de los controles; la segunda línea supervisa las funciones de riesgo y cumplimiento y desafía a la primera; la tercera línea, la auditoría interna, ofrece aseguramiento independiente al consejo. El modelo lleva el tiempo suficiente como para no resultar controvertido. Lo que cambia es el reparto. El Chief Compliance Officer sigue siendo el responsable del inventario regulatorio. El Chief Risk Officer mantiene la declaración de apetito de riesgo. El comité de auditoría del consejo sigue consumiendo el aseguramiento. Dos roles han ganado peso en la era de la IA: el CISO se queda cada vez más con los controles que protegen los datos de entrenamiento y los pesos de los modelos; y un Head of AI Governance, que suele reportar de forma conjunta a CCO y CTO, se vuelve el dueño natural de la biblioteca de controles específica para IA. Donde este rol aún no existe, la señal práctica es que nadie sabe responder a la pregunta de quién aprueba la última model card antes del despliegue. El modelo se adapta sin esfuerzo cuando el activo gobernado es un sistema de IA. La primera línea incluye responsables de modelo, data scientists e ingenieros de MLOps; la segunda línea añade una función de riesgo de IA junto al riesgo operacional; la tercera línea audita el inventario de riesgos de modelo como antes auditaba el registro de provisiones por insolvencias.

La inflexión de la era IA: por qué la GRC se está reconstruyendo en torno a las cargas de trabajo de IA

Durante veinte años, los programas de GRC absorbieron nuevas regulaciones extendiendo la biblioteca de controles existente. La ola de IA fuerza un reseteo estructural porque los workloads de IA rompen dos supuestos sobre los que descansa la arquitectura GRC histórica: el activo es estático entre auditorías, y la cadena de suministro está acotada por la función de compras.

Calendario del Reglamento europeo de IA

El Reglamento europeo de IA entró en vigor el 1 de agosto de 2024, con fechas de aplicación escalonadas que ya condicionan los presupuestos operativos. Las prohibiciones sobre prácticas de riesgo inaceptable y los requisitos de alfabetización en IA se aplican desde el 2 de febrero de 2025. Las reglas sobre modelos de IA de propósito general, organismos notificados, gobernanza, confidencialidad y sanciones se aplican desde el 2 de agosto de 2025. Las obligaciones del Anexo III sobre sistemas de alto riesgo se han diferido del 2 de agosto de 2026 al 2 de diciembre de 2027 mediante el Digital Omnibus on AI acordado en mayo de 2026. El aplazamiento mueve la fecha, no el trabajo.

ISO/IEC 42001 como capa operativa

ISO/IEC 42001, publicada en diciembre de 2023, es el primer estándar de sistema de gestión dedicado a la IA. El estándar responde a la pregunta que el Reglamento europeo de IA deja abierta: el cómo. Según la cartografía de ISACA de 2025, el estándar se conecta directamente con siete artículos centrales del reglamento: gestión de riesgos (9), datos y gobernanza de datos (10), documentación técnica (11), llevanza de registros (12), transparencia (13), supervisión humana (14) y sistemas de gestión de la calidad (17). El solapamiento cubre una estimación del cuarenta al cincuenta por ciento de los requisitos de alto nivel, lo que significa que las evidencias producidas para un régimen aceleran el trabajo para el otro.

La función GOVERN del NIST AI RMF en detalle

La función GOVERN del NIST AI RMF es el puente entre la cultura de riesgo empresarial existente y la nueva biblioteca de controles dedicada a la IA. Define las condiciones culturales, estructurales y procedimentales para que las otras tres funciones operen. Reconoce explícitamente, además, que el riesgo de IA es socio-técnico: el marco pide a las organizaciones evaluar no solo si un modelo se comporta como fue diseñado, sino si su despliegue es compatible con los valores y las obligaciones de su contexto de uso.

Por qué la IA expone los límites de las herramientas GRC genéricas

Tres propiedades de los sistemas de IA rompen las herramientas GRC genéricas. Primera: el activo cambia entre auditorías; un modelo reentrenado ya no es el modelo que describían las evidencias de control previas. Segunda: las cadenas de suministro son más amplias; un único sistema en producción puede depender de un modelo de fundación, un dataset de fine-tuning, una plataforma de inferencia, un feature store y un bucle de feedback, cada uno en manos de una parte distinta. Tercera: el espacio de consecuencias es más grande; los fallos van desde salidas sesgadas a acciones autónomas que nadie pidió. Un programa de cumplimiento y gobernanza construido para servicios de TI estáticos necesita una capa de extensión diseñada para esas propiedades.

Implementar cumplimiento y gobernanza: un plan de arranque a 90 días

Los programas maduros se construyeron por incrementos. Los primeros noventa días existen para fijar bien la arquitectura antes de que crezca el inventario.

Días 0 a 30: cartografiar el estado actual e inventariar las obligaciones

Construir primero el inventario de obligaciones. Listar regulaciones, compromisos contractuales, certificaciones y políticas del consejo que vinculan a la organización. Capturar el texto vinculante, el regulador o la contraparte, la fecha de entrada en vigor y el directivo responsable nombrado. Listar después los controles que ya existen, con independencia de dónde estén almacenados hoy. La salida es un registro de dos columnas: obligaciones y controles existentes, con las brechas y los huérfanos visibles.

Días 31 a 60: instanciar la arquitectura de controles para dos obligaciones piloto

Elegir dos obligaciones que importen. Una en terreno conocido (una cláusula SOX, RGPD o ISO 27001); otra específica de IA (un artículo del Reglamento europeo de IA o una cláusula de ISO/IEC 42001). Construir la cadena completa de cuatro eslabones para cada una: obligación, control, evidencia, aseguramiento. Cronometrar el trabajo. La primera cadena suele llevar una semana; la segunda, dos días. Ese ratio es la prueba de concepto sobre la que se construye el resto del programa.

Días 61 a 90: definir la cadencia de evidencias y el bucle de aseguramiento

Decidir con qué frecuencia cada control produce sus evidencias, quién las revisa y qué activa una excepción. Inscribir la cadencia en el calendario del equipo responsable y definir la ruta que una excepción recorre antes de llegar al orden del día del Comité de Riesgos. Lanzar la primera muestra de auditoría interna sobre los dos controles piloto antes del día 90. Cuando la muestra termine, la organización habrá vivido un ciclo completo de cumplimiento y gobernanza para dos obligaciones y dispondrá de las evidencias para escalar el modelo.

Cumplimiento y gobernanza en la práctica: una pyme y un gran grupo

El modelo operativo escala hacia abajo y hacia arriba.

Pyme con una obligación ISO 27001 y una obligación Reglamento europeo de IA

Una fintech de 200 personas con un único modelo de IA de detección de fraude puede llevar adelante un programa creíble con una decena de controles. La lista de obligaciones es corta: ISO 27001 para la seguridad de la información, los artículos pertinentes del Reglamento europeo de IA para el sistema de IA, las reglas del supervisor local sobre externalización. La biblioteca de controles hereda las evidencias SOC 2 que la empresa ya produce y añade tres controles específicos de IA: registro de riesgos de modelo, validación de reentrenamiento y revisión del umbral de monitorización tras el despliegue.

Multinacional que mapea SOX, RGPD, Reglamento europeo de IA y reglas sectoriales

Un banco global opera a otra escala. Las evidencias SOX sostienen la publicación trimestral de resultados. Los controles RGPD protegen los datos de clientes en treinta jurisdicciones. Los controles Reglamento europeo de IA cubren el modelo de scoring crediticio de alto riesgo y el filtro de prácticas prohibidas en el stack de marketing. Reglas sectoriales como las directrices EBA sobre model risk se superponen a todo lo anterior. La biblioteca de controles tiene miles de elementos. La arquitectura es la misma que la de la fintech: obligación, control, evidencia, aseguramiento. Solo cambia el volumen.

Preguntas frecuentes

¿Qué significan cumplimiento y gobernanza? La gobernanza fija la dirección que la organización se compromete a seguir, mediante estatutos, políticas y delegaciones de poder. El cumplimiento produce las evidencias de que la organización se ha mantenido dentro de esa dirección. Juntos forman el modelo operativo que traduce las obligaciones externas en controles auditables y en los artefactos que esos controles producen. ¿Cuáles son las 4 P de la gobernanza? Las 4 P más citadas en la literatura sobre gobernanza pública y corporativa son People (quién posee autoridad y responsabilidad), Purpose (la misión u objetivos a los que la organización se compromete), Process (cómo se toman y revisan las decisiones) y Performance (cómo se miden y se reportan los resultados). La lista exacta varía por fuente; el fondo no. Los marcos de gobernanza funcionan cuando hacen explícitas las cuatro y permiten auditar sus relaciones. ¿Cuáles son las 4 fases del cumplimiento? Un ciclo de cumplimiento atraviesa habitualmente cuatro fases: Identificar la obligación y el alcance al que se aplica; Implementar los controles que satisfacen la obligación; Monitorizar los controles para captar pronto las desviaciones; Reportar las evidencias a audiencias internas y externas. Cada fase produce artefactos de los que vive la siguiente. Los programas que se saltan la monitorización y el reporte producen políticas, pero no aseguramiento. ¿Cuáles son las tres C del cumplimiento? Las tres C más citadas son Cultura, Comunicación y Controles. La cultura modela las decisiones del día a día cuando nadie mira. La comunicación mantiene visibles las obligaciones ante las personas cuyo trabajo las toca. Los controles son los comportamientos y artefactos que traducen la política en evidencia. Las tres se refuerzan mutuamente; una organización que solo invierte en Controles, sin Cultura ni Comunicación, reconstruye los mismos huecos en cada auditoría. ¿Es la GRC lo mismo que cumplimiento y gobernanza? Casi. La GRC es un superconjunto que añade la gestión de riesgos como tercer pilar. Cumplimiento y gobernanza describen la mitad que fija la dirección y la mitad que produce las evidencias; la gestión de riesgos es la función que decide qué obligaciones y controles merecen más atención. La mayoría de los marcos modernos los tratan como inseparables, razón por la que OCEG, NIST e ISO 42001 los cablean juntos. ¿Es obligatoria ISO 42001 bajo el Reglamento europeo de IA? No. La certificación ISO/IEC 42001 no es exigida por ley en el Reglamento europeo de IA. Los dos están diseñados para complementarse. El reglamento dice a las organizaciones reguladas qué deben alcanzar; el estándar describe cómo operar, evidenciar y mejorar continuamente un programa de gobernanza de IA de forma que satisfaga a reguladores, certificadores y consejo. Certificar 42001 no prueba por sí solo la conformidad con el reglamento, y la conformidad con el reglamento no exige la certificación 42001. La mayoría de las organizaciones persiguen ambas rutas porque el trabajo subyacente se solapa en torno a la mitad. ¿Reemplaza AI Sigil a nuestra herramienta GRC actual? No. AI Sigil está diseñado para situarse encima de un stack GRC existente como capa operativa dedicada a los sistemas de IA. Usa la misma cadena obligación, control, evidencia, aseguramiento, y conecta el lado de la evidencia directamente al ciclo de vida del modelo, de modo que un evento de reentrenamiento dispara automáticamente las revisiones de control pertinentes. La herramienta GRC existente conserva la biblioteca de controles empresariales; AI Sigil mantiene la extensión específica de IA y devuelve las evidencias.

Conclusión

Cumplimiento y gobernanza son un modelo operativo, no dos ámbitos. Los marcos que las SERP no dejan de presentar como definiciones alineadas en paralelo en realidad están ensayando la misma arquitectura: gobernar primero, después bajar hasta los controles, las evidencias y el aseguramiento. La función GOVERN del NIST CSF 2.0, ISO/IEC 42001 y el Reglamento europeo de IA no inventaron esta arquitectura; la ratificaron para la era de la IA. El trabajo de los responsables de gobernanza hoy es reconocer esta forma unificada y dejar de mantener programas paralelos que producen evidencias duplicadas y decisiones contradictorias. El camino más corto entre el punto en el que se encuentran la mayoría de las organizaciones y lo que ahora esperan reguladores y consejos pasa por construir una sola cadena de cuatro eslabones, probarla en dos obligaciones y escalar después la arquitectura al resto del inventario. Si quiere ver cómo se ve esa capa operativa aplicada específicamente a los sistemas de IA, la plataforma AI Sigil fue construida para encajar encima del stack GRC que ya opera.

Elena Vargas

Cumplimiento y gobernanza: el sistema operativo de la era IA

Cumplimiento y gobernanza son un modelo operativo, no dos ámbitos. NIST CSF 2.0, OCEG y el Reglamento de IA los reconectan.

NIST AI Risk Management Framework: guía operativa para equipos de gobernanza de IA

Cómo integrar el NIST AI Risk Management Framework en un programa de cumplimiento del Reglamento de IA e ISO 42001, función por función, con un bucle operativo verificable.

El riesgo principal de la IA generativa: por qué las alucinaciones dominan a cualquier otra falla

El riesgo dominante de la IA generativa no es el sesgo ni la propiedad intelectual. Es la alucinación. Aquí está la prueba y el plan para los desplegantes.

Shadow AI: por qué la IA en la sombra es ante todo un problema de gobierno

El Shadow AI rompe los inventarios exigidos por el Reglamento de IA, ISO 42001 y NIST RMF. Cómo descubrirlo y registrarlo en un inventario único.

Reglamento de IA de la UE, la guía operativa para el cumplimiento en 2026

El Reglamento 2024/1689 explicado a los operadores. Categorías de riesgo, GPAI, evaluación de conformidad, sanciones y calendario 2026.

Regulación de la IA en 2026: el manual del operador

Mapear las obligaciones de IA por tipo. Transparencia, riesgo, vigilancia en el Reglamento europeo, NIST, ISO 42001 y el Convenio del Consejo de Europa.