ISO/IEC 42001
ISO/IEC 42001 es el estándar internacional de gestión IA. Zertia es entidad acreditada por ANAB para auditorías ISO 42001.
Definición
ISO/IEC 42001 — Pillar P3 (ES)
Slug ES: `iso-iec-42001` · URL: `zertia.ai/es/recursos/marcos-regulatorios/iso-iec-42001` · hreflang: EN → `/resources/regulatory-frameworks/iso-iec-42001`
Tipo: Pillar (5.000 palabras) · Estado: Borrador completo · Última revisión regulatoria: mayo 2026
Recursos / Marcos regulatorios
ISO/IEC 42001
El primer estándar certificable de sistemas de gestión de IA del mundo
| Nombre oficial | ISO/IEC 42001:2023 — Tecnologías de la información — Inteligencia artificial — Sistema de gestión |
|---|---|
| Fecha de publicación | Diciembre de 2023 |
| Autoridad emisora | ISO/IEC JTC 1/SC 42 (comité técnico conjunto de ISO e IEC sobre inteligencia artificial) |
| Naturaleza jurídica | Estándar internacional voluntario. Certificable mediante evaluación de la conformidad por terceros acreditados. |
| Estructura | Estructura armonizada (Annex SL) · 10 cláusulas · Anexo A con 38 controles de referencia en 9 objetivos de control · Anexo B guía de implementación · Anexo C objetivos y fuentes de riesgo · Anexo D integración con otros sistemas de gestión |
| Estándares complementarios | ISO/IEC 42005:2025 (evaluación de impacto de IA) · ISO/IEC 42006 (auditoría y certificación de SG IA) · ISO/IEC 23894 (gestión del riesgo de IA) · ISO/IEC 22989 (conceptos y terminología de IA) |
Identidad regulatoria
La ISO/IEC 42001 se describe casi unánimemente como «el primer estándar de sistema de gestión de IA del mundo». La descripción es correcta pero operativamente delgada. La pregunta sustantiva no es si es la primera; es qué tipo de instrumento es realmente y por qué se ha convertido en el punto de referencia estructural para la gobernanza de IA a nivel global en los veinticuatro meses posteriores a su publicación.
La narrativa dominante dice que ISO/IEC 42001 ayuda a las organizaciones a gestionar la IA de forma responsable. Esa lectura es incompleta. El estándar no prescribe cómo construir IA segura. No contiene especificaciones técnicas para la medición de equidad, las pruebas de robustez o la procedencia de contenido. No le dice a los ingenieros qué hacer. Lo que hace es algo más estructural: especifica el sistema de gestión que una organización debe operar para gobernar la IA de forma sistemática, certificable y consistente con cómo las organizaciones ya se gobiernan para calidad (ISO 9001), seguridad (ISO/IEC 27001), privacidad (ISO/IEC 27701) y continuidad (ISO 22301).
La distinción importa porque determina lo que el estándar hace al diseño organizativo. Una empresa puede adoptar el NIST AI RMF sin cambiar su estructura organizativa; el marco encaja en prácticas de gestión del riesgo existentes. Una empresa que persigue la certificación ISO/IEC 42001 no puede. El estándar exige liderazgo definido y responsable, política documentada, una Declaración de Aplicabilidad, programas de auditoría interna, ciclos de revisión por la dirección y un bucle de mejora continua — todo lo cual debe existir como artefactos auditables antes de que un organismo de certificación emita un certificado. El estándar crea estructura organizativa, no solo contenido de gobernanza.
La ISO/IEC 42001 se construye sobre la Estructura Armonizada (anteriormente Annex SL) que ISO utiliza para todos los estándares modernos de sistemas de gestión. Diez cláusulas definen lo que debe hacer el sistema de gestión: contexto (cláusula 4), liderazgo (cláusula 5), planificación (cláusula 6), apoyo (cláusula 7), operación (cláusula 8), evaluación del desempeño (cláusula 9) y mejora (cláusula 10). Dentro de esta arquitectura, el contenido específico de IA vive en dos lugares: en los requisitos operativos de las cláusulas 6 a 8 que referencian la evaluación de riesgos y de impacto de IA, y en el Anexo A, que proporciona 38 controles de referencia organizados en 9 objetivos de control entre los que la organización selecciona según su perfil de riesgo de IA.
La elección estructural de usar la Estructura Armonizada no es cosmética. Permite a la ISO/IEC 42001 integrarse de forma fluida con ISO/IEC 27001, ISO 9001 e ISO 22301. Una organización que ya opera un sistema de gestión de seguridad de la información puede extenderlo para cubrir riesgos de IA en lugar de construir un programa paralelo. El Anexo D del estándar aborda explícitamente esta integración. El efecto práctico es que la ISO/IEC 42001 ha sido adoptada con rapidez por organizaciones con sistemas de gestión maduros — proveedores cloud, instituciones financieras, redes sanitarias — porque el coste arquitectónico de adopción es marginal comparado con el coste de construir desde cero.
La otra propiedad operativa de la ISO/IEC 42001 es su certificabilidad. A diferencia del NIST AI RMF, que produce informes de atestación de rigor variable, la ISO/IEC 42001 sigue el modelo de certificación ISO: una auditoría en dos etapas por un organismo de certificación acreditado bajo ISO/IEC 17021-1 produce un certificado válido durante tres años, con auditorías anuales de seguimiento y una auditoría de recertificación al tercer año. El certificado se reconoce internacionalmente porque los organismos de acreditación que autorizan a los organismos de certificación operan bajo el Multilateral Recognition Arrangement de IAF. Esto produce un mercado global único de certificados de sistema de gestión de IA que no existe para ningún otro instrumento de gobernanza de IA.
Lo que la ISO/IEC 42001 hace en realidad, entonces, no es «gestionar la IA de forma responsable» en abstracto. Establece la arquitectura certificable de sistema de gestión que las organizaciones necesitan para operacionalizar la gestión del riesgo de IA a escala, demostrar diligencia debida ante reguladores y contrapartes, e integrar la gobernanza de IA con el resto de la gobernanza de la organización. Ese papel estructural es por lo que el estándar se ha convertido en la columna operativa de la preparación para el Reglamento de IA de la UE, la implementación del NIST AI RMF y el aseguramiento de IA exigido por el procurement, simultáneamente.
Ámbito subjetivo y objetivo
Quién puede ser certificado. La ISO/IEC 42001 aplica a cualquier organización que desarrolle, suministre o utilice sistemas de IA, con independencia de su tamaño, sector o jurisdicción. La cláusula 4.3 del estándar exige a la organización determinar el alcance del sistema de gestión de IA — qué sistemas de IA, unidades de negocio, geografías y procesos se incluyen. El alcance puede ser estrecho (una sola línea de producto) o de toda la organización. La certificación cubre lo que está dentro del alcance; lo excluido se excluye explícitamente y se justifica.
El estándar se dirige a tres roles principales: proveedores de IA (organizaciones que desarrollan y suministran sistemas de IA a otros), usuarios o responsables del despliegue de IA (organizaciones que integran sistemas de IA en sus operaciones o decisiones) y sujetos de IA (las personas o entidades afectadas por las salidas del sistema de IA). La mayoría de organizaciones son simultáneamente proveedores para algunos sistemas y usuarios para otros; el SGIA debe abordar ambos roles cuando aplican.
Una característica significativa del estándar es su aplicabilidad a organizaciones que solo utilizan IA de terceros en lugar de desarrollar la suya propia. Estas organizaciones pueden excluir legítimamente algunos controles específicos de desarrollo de su Declaración de Aplicabilidad, pero no pueden excluir controles relacionados con la evaluación de impacto (A.5), la supervisión humana (dentro de A.6.2.3), la divulgación de información (A.8) y la gobernanza de terceros (A.10). La organización sigue siendo responsable del impacto de los sistemas de IA que despliega, con independencia de si los construyó. Esto es operativamente importante porque significa que una empresa que adopta IA generativa de un proveedor de modelos fundacionales sigue necesitando un SGIA para cubrir su contexto de despliegue.
Qué cubre. El estándar aplica a sistemas de IA según se definen en ISO/IEC 22989: un sistema diseñado que genera salidas como contenido, predicciones, recomendaciones o decisiones para un conjunto dado de objetivos definidos por humanos. La definición es deliberadamente amplia y se alinea con la taxonomía OCDE/NIST. Los riesgos de IA se abordan a través del sistema de gestión en lugar de mediante requisitos específicos de la tecnología, lo cual significa que el estándar sigue siendo aplicable a medida que la tecnología evoluciona — el paso del aprendizaje automático clásico a la IA generativa y a los sistemas agénticos no requiere revisar el estándar, solo actualizar los controles que las organizaciones seleccionan y cómo los implementan.
Sistema de obligaciones
Las obligaciones de la ISO/IEC 42001 operan en dos niveles: los requisitos del sistema de gestión en las cláusulas 4 a 10 (obligatorios) y los controles de referencia del Anexo A (seleccionados con base en el riesgo).
Cláusulas 4 a 10 — Los requisitos del sistema de gestión
Cláusula 4 — Contexto de la organización. La organización determina las cuestiones internas y externas relevantes para la IA, identifica las partes interesadas y sus requisitos, y define el alcance del SGIA. Aquí es donde la organización establece las fronteras de lo que se certificará.
Cláusula 5 — Liderazgo. La alta dirección debe demostrar liderazgo y compromiso asegurando que se establecen política y objetivos de IA, que se asignan responsabilidades y autoridades, y que el SGIA logra los resultados previstos. La cláusula 5.1 es donde el certificador confirma que la IA es una preocupación de nivel directivo con un ejecutivo responsable definido, no una tarea de cumplimiento enterrada.
Cláusula 6 — Planificación. La organización aborda riesgos y oportunidades del SGIA, realiza una evaluación de riesgos de IA (cláusula 6.1.2) y una evaluación de impacto de IA (cláusula 6.1.4), determina el tratamiento del riesgo de IA (cláusula 6.1.3) y produce una Declaración de Aplicabilidad que declara qué controles del Anexo A se incluyen, modifican o excluyen con justificación. La Declaración de Aplicabilidad es el núcleo operativo del SGIA.
Cláusula 7 — Apoyo. Recursos, competencia, concienciación, comunicación e información documentada. La organización debe asegurar que el personal involucrado en la gobernanza de IA tiene la competencia técnica relevante y que la documentación sostiene la continuidad operativa.
Cláusula 8 — Operación. Planificación y control operativos, tratamiento del riesgo de IA en la práctica, resultados de la evaluación del riesgo de IA aplicados al desarrollo y despliegue de sistemas de IA. Esta es la cláusula donde los controles seleccionados en la Declaración de Aplicabilidad se operan realmente.
Cláusula 9 — Evaluación del desempeño. Seguimiento, medición, análisis y evaluación, auditoría interna y revisión por la dirección. La organización debe demostrar que el SGIA está funcionando y que la dirección lo revisa a intervalos planificados.
Cláusula 10 — Mejora. No conformidades y acciones correctivas, mejora continua. El estándar exige explícitamente un bucle de retroalimentación desde incidentes y hallazgos de auditoría hacia mejoras del SGIA.
Anexo A — Los 38 controles de referencia en 9 objetivos
El Anexo A organiza 38 controles de referencia en 9 objetivos de control (A.2 a A.10). Los controles no son prescriptivos; son controles de referencia entre los que la organización selecciona durante el tratamiento del riesgo (cláusula 6.1.3) y que documenta en la Declaración de Aplicabilidad. Los 9 objetivos son:
– A.2 — Políticas relacionadas con la IA. Establecer la política de IA y alinearla con otras políticas organizativas (seguridad de la información, privacidad, ética, estrategia de negocio).
– A.3 — Organización interna. Definir roles, responsabilidades, autoridades y relaciones de reporte para la gestión de IA. Incluye la figura del propietario del riesgo de IA y la integración de la gobernanza de IA en estructuras organizativas existentes.
– A.4 — Recursos para sistemas de IA. Gestionar los datos, herramientas, infraestructura computacional y recursos humanos necesarios para operar sistemas de IA de forma responsable. Incluye documentación de la adecuación de recursos.
– A.5 — Evaluación de impactos de los sistemas de IA. Realizar evaluaciones de impacto de sistemas de IA (AIIA) para evaluar los efectos sobre individuos, grupos, comunidades y sociedad. La publicación de ISO/IEC 42005:2025 proporciona guía específica para estas evaluaciones.
– A.6 — Ciclo de vida del sistema de IA. Gestionar los sistemas de IA desde la concepción hasta el diseño, desarrollo, verificación, validación, despliegue, operación y retirada. Incluye controles para la definición de objetivos, la calidad de los datos, la documentación técnica, la supervisión humana, la evaluación del desempeño y la gestión de fin de vida.
– A.7 — Datos para sistemas de IA. Gobernar la adquisición, calidad, preparación, procedencia y gestión de datos a lo largo del ciclo de vida de la IA. Es el objetivo de control más alineado con el artículo 10 del Reglamento de IA de la UE.
– A.8 — Información para partes interesadas. Proporcionar información sobre los sistemas de IA a usuarios, personas afectadas, reguladores y otras partes interesadas. Cubre obligaciones de transparencia, instrucciones de uso y divulgación de las características del sistema de IA.
– A.9 — Uso de sistemas de IA. Establecer procesos para el uso responsable de sistemas de IA dentro de la organización, incluyendo la definición del uso previsto, la prevención de la deriva de uso (mission creep) y la monitorización del uso operativo.
– A.10 — Relaciones con terceros y clientes. Gestionar la cadena de valor de IA mediante el due diligence de proveedores, la asignación contractual de responsabilidades y las comunicaciones con clientes sobre los sistemas de IA que la organización proporciona.
Los controles son deliberadamente de alto nivel y basados en principios. No son especificaciones técnicas. El detalle de implementación vive en el Anexo B (guía informativa de implementación para cada control), en estándares complementarios como ISO/IEC 42005 para evaluaciones de impacto e ISO/IEC 23894 para gestión del riesgo, y en los procedimientos técnicos propios de la organización.
Gobernanza de la aplicación
La ISO/IEC 42001 se aplica a través de la infraestructura internacional de evaluación de la conformidad de ISO en lugar de a través de autoridad regulatoria.
ISO/IEC JTC 1/SC 42. El comité técnico conjunto de ISO e IEC sobre inteligencia artificial es responsable del desarrollo y mantenimiento del estándar. SC 42 es el organismo de consenso donde se negocian revisiones, estándares complementarios y aclaraciones. Los países miembros participan a través de sus organismos nacionales de normalización (ANSI por Estados Unidos, BSI por Reino Unido, AENOR por España, DIN por Alemania).
Organismos de acreditación. Los organismos nacionales de acreditación autorizan a los organismos de certificación para emitir certificados ISO/IEC 42001. Los principales organismos de acreditación para ISO/IEC 42001 a nivel global son ANAB (Estados Unidos), UKAS (Reino Unido), RvA (Países Bajos), ENAC (España), DAkkS (Alemania) y JAS-ANZ (Australia/Nueva Zelanda). Los organismos de acreditación operan bajo el Multilateral Recognition Arrangement de IAF, que proporciona reconocimiento internacional de los certificados emitidos por organismos de certificación acreditados. ANAB lanzó su programa de acreditación para ISO/IEC 42001 en enero de 2024; UKAS, RvA y ENAC siguieron en los doce meses siguientes.
Organismos de certificación. Terceros independientes acreditados para realizar auditorías de certificación y emitir certificados. A mediados de 2026, el conjunto global de organismos de certificación acreditados para ISO/IEC 42001 incluye BSI, NSF, A-LIGN, Schellman, BureauVeritas, DNV, Intertek, Zertia y otros. Los organismos de certificación operan bajo los requisitos de ISO/IEC 42006, el estándar que especifica los requisitos para los organismos que prestan servicios de auditoría y certificación de sistemas de gestión de IA. ISO/IEC 42006 cubre el mismo papel para la gestión de IA que ISO/IEC 27006 cubre para seguridad de la información.
El ciclo de auditoría. La certificación implica una auditoría inicial en dos etapas (Etapa 1: revisión de documentación y evaluación de preparación; Etapa 2: auditoría de implementación), auditorías anuales de seguimiento en los años uno y dos, y una auditoría de recertificación en el año tres. La duración de la auditoría se calcula bajo la metodología Modelo B de ISO/IEC 42006 con base en la complejidad organizativa, el alcance y el perfil de riesgo.
Reconocimiento internacional. Los certificados emitidos por organismos de certificación acreditados bajo signatarios del IAF MLA se reconocen globalmente. Una organización estadounidense certificada por un organismo acreditado por ANAB tiene un certificado reconocido en la UE, el Reino Unido y otras jurisdicciones del IAF MLA. Este es el mecanismo práctico mediante el cual ISO/IEC 42001 se ha convertido en el estándar internacional operativo para la certificación de sistemas de gestión de IA.
Sanciones y régimen de responsabilidad
La ISO/IEC 42001 en sí misma no impone sanciones porque es un estándar voluntario. La responsabilidad opera a través de tres mecanismos indirectos.
Pérdida de la certificación. Las no conformidades mayores identificadas durante las auditorías de seguimiento pueden resultar en suspensión o retirada del certificado. Los organismos de certificación están obligados a actuar ante las no conformidades bajo ISO/IEC 17021-1. La pérdida del certificado activa consecuencias comerciales en contextos de procurement donde el certificado era un requisito contractual.
Exposición contractual. Cuando la certificación ISO/IEC 42001 se ha presentado a clientes, socios o contrapartes, la pérdida del certificado o el incumplimiento de los procesos certificados crea exposición contractual. Los contratos de procurement, los contratos marco de servicios y los contratos de suministro de IA incluyen cada vez más cláusulas de mantenimiento de la certificación con plazos de subsanación y derechos de resolución.
Apalancamiento regulatorio. Los reguladores sectoriales en Estados Unidos y Europa referencian la ISO/IEC 42001 como evidencia de diligencia debida sin hacerla vinculante. La pérdida del certificado, o el operar por debajo de los estándares certificados, se convierte en evidencia en acciones de supervisión o en aplicación bajo marcos regulatorios existentes (FTC, CFPB, FDA en EE. UU.; autoridades nacionales de vigilancia del mercado bajo el Reglamento de IA de la UE). El estándar no impone responsabilidad directamente; configura lo que cuenta como el estándar operativo de diligencia debida en procedimientos de responsabilidad.
Evidencia en litigios. En litigios privados derivados de daños causados por IA, la alineación con ISO/IEC 42001 es prueba de cuidado razonable, mientras que la no alineación puede argumentarse como evidencia de negligencia. La misma dinámica que opera con el NIST Cybersecurity Framework en litigios de ciberseguridad se está desarrollando ahora en torno a ISO/IEC 42001 en litigios de IA.
Calendario de aplicación
La ISO/IEC 42001 no tiene calendario estatutario de implementación. Su línea temporal operativa es la cadencia de publicación y revisión del estándar y sus documentos complementarios:
– Diciembre de 2023 — Publicación de ISO/IEC 42001:2023.
– Enero de 2024 — ANAB lanza el programa de acreditación para ISO/IEC 42001. Los primeros organismos de certificación entran en la cola de acreditación.
– 2024–2025 — Se emiten los primeros certificados. Las organizaciones certificadas tempranamente incluyen grandes proveedores cloud (Google Cloud, AWS, Microsoft), líderes SaaS (Miro), y los organismos de certificación acreditados por ANAB se vuelven operativos.
– 2025 — Se publica ISO/IEC 42005:2025, que proporciona guía sobre evaluaciones de impacto de sistemas de IA referenciadas por el Anexo A.5.
– 2025–2026 — Los programas de acreditación de UKAS, RvA, ENAC, DAkkS y JAS-ANZ se vuelven operativos. ISO/IEC 42006 (requisitos para organismos que prestan servicios de auditoría y certificación) avanza por las etapas finales de desarrollo.
– 2026 — Se espera que ISO/IEC 42001 se convierta en la capa operativa de facto para el cumplimiento del artículo 17 (sistema de gestión de la calidad) del Reglamento de IA de la UE, apoyada por discusiones de reconocimiento formal entre ISO y la Comisión Europea.
– Revisión futura. Los estándares ISO están sujetos a revisión sistemática cada cinco años. ISO/IEC 42001:2023 estará sujeta a su primera revisión sistemática en 2028, con publicación potencial de una edición actualizada en la ventana 2028–2030 dependiendo de los resultados de la revisión.
Para las organizaciones que planifican la certificación, el hito operativo que más importa es la disponibilidad de un organismo de certificación acreditado en su jurisdicción. A mediados de 2026 esto ya no es una restricción en Estados Unidos, Reino Unido, España, los Países Bajos, Alemania o Australia. Sigue siendo un desarrollo en curso en algunas jurisdicciones de Asia y Latinoamérica.
Hoja de ruta de implementación a 12 meses
Para las organizaciones que persiguen la certificación ISO/IEC 42001 — sea para satisfacer el artículo 17 del Reglamento de IA de la UE (norma armonizada anticipada), la defensa afirmativa de la Colorado AI Act, los requisitos de crosswalk de NIST AI RMF, o las expectativas de procurement empresarial y contratación federal — la postura racional de implementación es un enfoque por fases calibrado a la estructura armonizada del estándar (cláusulas 4–10) y los 38 controles de referencia del Anexo A. La hoja de ruta a continuación asume una auditoría de preparación paralela antes de la Etapa 1 del organismo de certificación.
> ### 🗺️ Fase 1 — Meses 0–3 · Contexto, alcance y liderazgo
>
>
>
> – Cláusula 4 — Contexto de la organización: cuestiones internas y externas que afectan a la IA, partes interesadas y sus requisitos, definición del alcance del AIMS (qué sistemas de IA, unidades de negocio, geografías, procesos están dentro / fuera)
>
> – Cláusula 5 — Liderazgo: compromiso de la alta dirección, designación de ejecutivo responsable, establecimiento de la política de IA, roles y autoridades asignados formalmente
>
> – Anexo A · A.2 — Políticas relacionadas con la IA redactadas y alineadas con políticas de seguridad de la información, privacidad, ética y estrategia de negocio
>
> – Anexo A · A.3 — Organización interna — rol de risk owner de IA establecido, comité de gobernanza estructurado, relaciones de reporte documentadas
>
> – Evaluación de integración con sistemas de gestión existentes ISO/IEC 27001 / ISO 9001 / ISO 22301 (guía del Anexo D)
>
> ### 🗺️ Fase 2 — Meses 3–6 · Evaluación del riesgo y Declaración de Aplicabilidad
>
>
>
> – Cláusula 6.1.2 — Evaluación del riesgo de IA realizada a través del alcance del AIMS, con metodología documentada y registro de riesgos
>
> – Cláusula 6.1.4 — Evaluación de impacto de IA para cada sistema de IA en alcance, apoyándose en la guía de ISO/IEC 42005:2025
>
> – Cláusula 6.1.3 — Tratamiento del riesgo de IA con selección de controles del Anexo A
>
> – Declaración de Aplicabilidad que declara inclusiones, modificaciones y exclusiones de los 38 controles del Anexo A con justificación documentada
>
> – Anexo A · A.4 — Recursos para sistemas de IA — datos, herramientas, infraestructura de computación y recursos humanos con adecuación documentada
>
> – Anexo A · A.7 — Datos para sistemas de IA — línea base de gobernanza de adquisición, calidad, preparación y procedencia
>
> ### 🗺️ Fase 3 — Meses 6–9 · Operaciones, ciclo de vida y gobernanza de terceros
>
>
>
> – Anexo A · A.5 — Evaluación de impactos de los sistemas de IA — AIIAs operacionalizadas a través del ciclo de vida, con alineamiento ISO/IEC 42005
>
> – Anexo A · A.6 — Ciclo de vida del sistema de IA — controles para definición de objetivos, calidad de datos, documentación técnica, supervisión humana, evaluación del rendimiento, retirada
>
> – Anexo A · A.8 — Información para las partes interesadas — transparencia, instrucciones de usuario, divulgación de características del sistema
>
> – Anexo A · A.9 — Uso de los sistemas de IA — definición del uso previsto, prevención de mission-creep, monitorización operativa
>
> – Anexo A · A.10 — Relaciones con terceros y clientes — due diligence de proveedores, asignación contractual de responsabilidades, comunicaciones de cara al cliente
>
> – Cláusula 7 — Apoyo — competencia, conciencia, comunicación, información documentada operativos
>
> – Cláusula 8 — Operación — controles del Anexo A seleccionados operando en producción, no solo sobre el papel
>
> ### 🗺️ Fase 4 — Meses 9–12 · Evaluación del rendimiento, auditoría interna, certificación
>
>
>
> – Cláusula 9.1 — Seguimiento, medición, análisis y evaluación del AIMS
>
> – Cláusula 9.2 — Programa de auditoría interna con al menos un ciclo completo de auditoría interna realizado antes de la Etapa 1
>
> – Cláusula 9.3 — Revisión por la dirección con entradas documentadas (resultados de auditoría, rendimiento, riesgos, oportunidades) y salidas (decisiones, asignación de recursos)
>
> – Cláusula 10 — Mejora — procedimientos de no conformidad y acción correctiva operativos, evidencia de mejora continua
>
> – Auditoría de preparación pre-certificación por tercero independiente (distinto del organismo de certificación) para identificar no conformidades antes de la Etapa 1
>
> – Auditoría Etapa 1 por organismo de certificación acreditado — revisión de documentación y evaluación de preparación
>
> – Auditoría Etapa 2 — auditoría de implementación, emisión del certificado bajo la metodología de duración de auditoría de ISO/IEC 42006
>
>
>
> ### 🎯 Resultado
>
>
>
> Para el mes 12, las organizaciones poseen un certificado ISO/IEC 42001 reconocido internacionalmente emitido por un organismo de certificación acreditado por ANAB (o UKAS / ENAC / RvA / DAkkS / JAS-ANZ), válido por tres años con auditorías anuales de seguimiento. El certificado proporciona: presunción de conformidad para el artículo 17 del Reglamento de IA de la UE (una vez formalmente armonizada); posicionamiento de defensa afirmativa bajo la Colorado AI Act; capa de evidencia estructurada para la atestación NIST AI RMF; y un esqueleto defendible de gobernanza de IA para procurement empresarial, contratación federal y suscripción de seguros cibernéticos. El mismo sistema de gestión se extiende naturalmente a la certificación AIUC-1 para organizaciones que despliegan IA agente, y se integra con los sistemas de gestión existentes ISO/IEC 27001 e ISO/IEC 27701 a través del Anexo D.
>
Intersecciones con otros marcos
La ISO/IEC 42001 está diseñada para interoperar. Cinco intersecciones determinan cómo se despliega en la práctica:
Reglamento de IA de la UE. Se espera ampliamente que ISO/IEC 42001 sea la norma armonizada del artículo 17 (sistema de gestión de la calidad) y que informe varios otros artículos. CEN-CENELEC JTC 21, el comité europeo de normalización responsable de las normas armonizadas bajo el Reglamento, está trabajando en el reconocimiento formal que dará a las implementaciones de ISO/IEC 42001 una presunción de conformidad para los artículos relevantes. Incluso antes de la armonización formal, el estándar es la columna de cumplimiento más eficiente para las organizaciones que se preparan para el Reglamento porque operacionaliza la arquitectura de sistema de gestión que el Reglamento exige.
NIST AI RMF. Son complementarios. El NIST RMF proporciona el contenido de gestión del riesgo (funciones, categorías, resultados); ISO/IEC 42001 proporciona la arquitectura certificable de sistema de gestión. NIST ha publicado un crosswalk entre subcategorías del RMF y controles de ISO/IEC 42001. La mayoría de organizaciones con sede en EE. UU. operan el RMF como su práctica interna de gestión del riesgo y persiguen ISO/IEC 42001 como la estructura certificable.
ISO/IEC 27001 (Sistema de gestión de seguridad de la información). El Anexo D de la ISO/IEC 42001 especifica cómo integrar el SGIA con un SGSI existente. Las organizaciones con implementaciones maduras de ISO/IEC 27001 típicamente extienden su sistema de gestión existente para cubrir IA en lugar de construir una estructura paralela. Muchos controles se solapan o interconectan: gobernanza de datos, gestión de proveedores, respuesta a incidentes, programas de auditoría interna.
ISO/IEC 27701 (Gestión de información de privacidad). Cuando los sistemas de IA tratan datos personales, ISO/IEC 27701 extiende el SGSI para cubrir obligaciones de privacidad bajo el RGPD y regímenes equivalentes. Las implementaciones de ISO/IEC 42001 en contextos intensivos en datos personales (HRtech, servicios financieros, sanidad) típicamente se integran con ISO/IEC 27701.
ISO/IEC 23894 (gestión del riesgo de IA). Proporciona guía de gestión del riesgo basada en ISO 31000 aplicada específicamente a la IA. Se alinea con los requisitos de evaluación y tratamiento del riesgo de las cláusulas 6.1.2 y 6.1.3 de ISO/IEC 42001. Útil como referencia metodológica para organizaciones que operacionalizan las cláusulas de planificación del riesgo.
ISO/IEC 42005:2025 (evaluación de impacto de sistemas de IA). Estándar complementario publicado en 2025 que proporciona guía específica sobre cómo realizar las evaluaciones de impacto exigidas en el Anexo A.5. Cada vez más la referencia operativa para organizaciones que realizan AIIA.
ISO/IEC 42006 (auditoría y certificación de SG IA). El estándar que especifica los requisitos para los organismos de certificación. Define la metodología de duración de auditoría, los requisitos de competencia del auditor y los requisitos del proceso de certificación para auditorías de ISO/IEC 42001. Equivalente en su papel a ISO/IEC 27006 para seguridad de la información.
> ## ⚖️ Cómo opera Zertia frente a ISO/IEC 42001
>
>
>
> > ### Built around ISO/IEC 42001 from day one
>
>
>
> Acreditaciones y membresías: 🎖️ Acreditada por ANAB (EE.UU.) · 🎖️ Proceso UKAS (Reino Unido) · 🎖️ Proceso ENAC (UE) · 🏛️ Miembro IAPP · 🏛️ Miembro INCITS · 🏛️ Miembro UKAI · 📜 Firmante EU AI Pact
>
>
>
> Zertia es una entidad de certificación de sistemas de gestión de IA acreditada por ANAB. ISO/IEC 42001 es nuestro programa principal de certificación — el estándar frente al cual auditamos y certificamos a las organizaciones como organismo de evaluación de la conformidad por terceros. Nuestra arquitectura de servicios se articula en cuatro pilares operativos:
>
>
>
> Certificación — ISO/IEC 42001, AIUC-1, ISO/IEC 27001, ISO/IEC 27701, ISO/IEC 22301. Zertia emite certificados ISO/IEC 42001 acreditados por ANAB en Estados Unidos, con procesos de acreditación paralelos en curso con UKAS (Reino Unido) y ENAC (España/UE). La certificación sigue la metodología de duración de auditoría de ISO/IEC 42006 y el ciclo estándar ISO de tres años (auditoría inicial Etapa 1 + Etapa 2, dos auditorías anuales de seguimiento, auditoría de recertificación al tercer año). Las certificaciones de seguridad de la información y continuidad completan el perímetro integrado de aseguramiento que las organizaciones con sistemas de gestión maduros persiguen junto con la certificación del SGIA.
>
>
>
> Marcos y Regulación — Evaluación de Conformidad EU AI Act, Atestación NIST AI RMF, Evaluación de Riesgos ISO/IEC 23894, Evaluación de Impacto Algorítmico, Evaluación Pre-Certificación. Evaluaciones independientes que mapean implementaciones de ISO/IEC 42001 a regímenes regulatorios específicos — el Reglamento de IA de la UE en particular — produciendo informes de evidencia estructurados que tienden un puente entre la práctica certificada del sistema de gestión y la conformidad regulatoria.
>
>
>
> Auditoría — Auditoría de Sistema de Gestión de IA, Auditoría de Sistemas de IA de Alto Riesgo, Auditoría de Modelo de IA, Auditoría EU AI Act, Auditoría de Riesgo IA NIST. Revisión técnica independiente de implementaciones del sistema de gestión de IA frente a las cláusulas de ISO/IEC 42001 y los controles del Anexo A antes de la auditoría formal de certificación. Particularmente relevante para organizaciones que se preparan para su primera certificación ISO/IEC 42001 o que amplían el alcance de un certificado existente.
>
>
>
> Formación — Gobernanza de IA, Gobernanza de Datos, Gobernanza de Privacidad a través de Zertia Academy. Programas especializados que construyen capacidad operativa a lo largo del sistema de gestión de IA, con itinerarios específicos por rol para responsables de IA, auditores internos, desarrolladores de modelos y ejecutivos responsables.
>
>
>
> Zertia opera desde Boston, Madrid y Londres, con acreditación ANAB en Estados Unidos y procesos de acreditación activos con UKAS (Reino Unido) y ENAC (España/UE). Miembro de IAPP, INCITS (el grupo asesor técnico de Estados Unidos ante el comité ISO de estándares de IA) y UKAI. Firmante del EU AI Pact.
>
>
>
> ### 🎯 Pasa a la acción
>
>
>
> | 🔍 Diagnostica tu brecha | 📊 Obtén la certificación |
>
> |—|—|
>
> | [Evaluación Pre-Certificación →](https://zertia.ai/es/regulatory-frameworks/) | [Certificación ISO/IEC 42001 →](https://zertia.ai/es/iso-42001/) |
>
> | Análisis de brechas independiente frente a las cláusulas 4–10 de ISO/IEC 42001 y los controles del Anexo A. Output: informe de preparación y hoja de ruta de certificación. | La certificación acreditada de sistema de gestión de IA reconocida internacionalmente a través del IAF MLA. El aseguramiento de gobernanza de IA más sólido disponible. |
>
>
>
> [Solicitar una propuesta de certificación ISO/IEC 42001 →](https://zertia.ai/es/iso-42001/)
>
Preguntas frecuentes
¿Cuál es la diferencia entre ISO/IEC 42001 y NIST AI RMF?
El NIST AI RMF es un marco de gestión del riesgo que define funciones, categorías y resultados; produce informes de atestación de alcance variable. ISO/IEC 42001 es un estándar de sistema de gestión que define requisitos para establecer, implementar, mantener y mejorar un SGIA; produce un certificado reconocido internacionalmente emitido por un organismo de certificación acreditado. Funcionan en capas: el RMF proporciona el contenido de gestión del riesgo; ISO/IEC 42001 proporciona la arquitectura certificable de sistema de gestión. La mayoría de organizaciones persiguen ambos simultáneamente.
¿Cuánto tarda la certificación ISO/IEC 42001?
De seis a doce meses desde el inicio del proyecto hasta el certificado, dependiendo de la madurez de los sistemas de gestión existentes y del alcance del SGIA. Las organizaciones con implementaciones maduras de ISO/IEC 27001 pueden alcanzar la preparación para la certificación en seis a nueve meses porque la arquitectura del sistema de gestión, el programa de auditoría interna y el ciclo de revisión por la dirección ya están en marcha. Las organizaciones que parten desde cero en sistemas de gestión deben planificar de nueve a doce meses. La auditoría en sí — Etapa 1 más Etapa 2 — toma unas pocas semanas una vez que el SGIA está operativo.
¿Son obligatorios los 38 controles del Anexo A?
No. Los controles son controles de referencia. La organización selecciona entre ellos con base en su evaluación de riesgos de IA y documenta inclusiones, modificaciones y exclusiones en la Declaración de Aplicabilidad con justificación. En la práctica, la mayoría de organizaciones implementan la mayoría de los 38 controles porque los riesgos específicos de IA que abordan son amplios y los controles están redactados a alto nivel en lugar de como requisitos técnicos profundamente prescriptivos. Las exclusiones son más comunes para controles que abordan actividades que la organización no realiza (por ejemplo, controles de desarrollo de IA excluidos por una organización que solo despliega IA de terceros).
¿Puede certificarse en ISO/IEC 42001 una empresa que solo usa IA de terceros?
Sí. El estándar aplica a organizaciones que desarrollan, suministran o utilizan sistemas de IA. Una organización que solo despliega puede excluir legítimamente los controles específicos de desarrollo de su Declaración de Aplicabilidad, pero no puede excluir los controles relacionados con la evaluación de impacto, la supervisión humana, la divulgación de información y la gobernanza de terceros. Muchas de las primeras certificaciones de ISO/IEC 42001 se han concedido a organizaciones centradas en el despliegue que integran IA generativa en sus operaciones.
¿Cuál es el papel de ISO/IEC 42006?
ISO/IEC 42006 especifica los requisitos para los organismos que prestan servicios de auditoría y certificación de sistemas de gestión de IA. Define la competencia del auditor, la metodología de duración de auditoría y los requisitos del proceso de certificación. Es equivalente en su papel a ISO/IEC 27006 para seguridad de la información. ISO/IEC 42006 es lo que permite a los organismos de acreditación (ANAB, UKAS, ENAC) acreditar a los organismos de certificación para sistemas de gestión de IA de forma consistente.
¿Satisface ISO/IEC 42001 el Reglamento de IA de la UE?
No directamente. El Reglamento fija obligaciones legales específicas; ISO/IEC 42001 proporciona una arquitectura de sistema de gestión que operacionaliza muchas de ellas. Se espera ampliamente que el estándar sea la norma armonizada del artículo 17 (sistema de gestión de la calidad) del Reglamento, lo que daría a las organizaciones certificadas una presunción de conformidad para ese artículo. Las discusiones entre CEN-CENELEC JTC 21 y la Comisión Europea sobre la armonización formal están en curso. Incluso antes de la armonización formal, ISO/IEC 42001 es la columna de cumplimiento más eficiente para preparar el Reglamento.
¿Cuál es el coste de la certificación ISO/IEC 42001?
El coste varía con la complejidad organizativa, el alcance y el organismo de certificación. Las tarifas de auditoría siguen el cálculo de duración del Modelo B de ISO/IEC 42006; las tarifas de consultoría para la implementación del SGIA dependen de la madurez de los sistemas de gestión existentes. Como indicación aproximada, las tarifas de auditoría de certificación para una organización mediana con un alcance acotado se sitúan en el rango bajo de las decenas de miles de euros, con costes de implementación que varían significativamente según el esfuerzo interno frente al uso de consultoría externa.
¿Se reconoce el certificado internacionalmente?
Sí, cuando lo emite un organismo de certificación acreditado bajo un organismo de acreditación signatario del IAF MLA. ANAB, UKAS, ENAC, RvA, DAkkS y JAS-ANZ son todos signatarios del IAF MLA. Un certificado emitido en EE. UU. se reconoce en la UE y el Reino Unido; un certificado emitido en la UE se reconoce en EE. UU. Es el mecanismo estándar de reconocimiento de certificaciones ISO.
¿Cómo interactúa ISO/IEC 42001 con ISO/IEC 27001?
Se integran. El Anexo D de la ISO/IEC 42001 especifica cómo combinar un SGIA con un SGSI existente. Las organizaciones con implementaciones maduras de ISO/IEC 27001 típicamente extienden su sistema de gestión existente en lugar de construir uno paralelo: programa compartido de auditoría interna, revisión integrada por la dirección, metodología común de gestión del riesgo, Declaración de Aplicabilidad armonizada. La integración es la razón principal por la que la curva de adopción de ISO/IEC 42001 ha sido pronunciada en organizaciones que ya operan ISO/IEC 27001.
¿Cuáles son los controles del Anexo A más desafiantes de implementar?
A.5 (evaluaciones de impacto), A.6.2.3 (supervisión humana) y A.7 (gobernanza de datos) son típicamente los más exigentes porque requieren infraestructura técnica que la mayoría de organizaciones no tienen al inicio de una implementación de SGIA. A.5 en particular se ha clarificado con la publicación de ISO/IEC 42005:2025, que proporciona guía específica sobre cómo realizar evaluaciones de impacto de sistemas de IA. Los controles relacionados con la evaluación continua del desempeño (bajo la cláusula 9 y apoyados por los controles de monitorización del Anexo A.6) se vuelven exigentes con el tiempo a medida que el SGIA madura.
Cross-links
Términos del glosario relacionados: [Sistema de gestión de IA (SGIA)](#) · [Declaración de Aplicabilidad](#) · [Evaluación de Impacto de Sistema de IA](#) · [Controles del Anexo A](#) · [Estructura Armonizada (Annex SL)](#) · [Evaluación de la conformidad](#) · [Acreditación](#) · [Organismo notificado / Organismo de certificación](#) · [Auditoría Etapa 1 / Etapa 2](#) · [Auditoría de seguimiento](#) · [Auditoría interna](#)
Familias de riesgo aplicables (AI Risk Repository): [Discriminación y resultados sesgados](#) · [Falta de transparencia y explicabilidad](#) · [Fallo de la supervisión humana](#) · [Violaciones de privacidad por datos de entrenamiento](#) · [Robustez y fallos adversariales](#) · [Concentración de poder y daños económicos](#) · [Desalineación de objetivos](#) · [Riesgos de terceros y cadena de suministro](#)
Industrias afectadas: [Cloud y SaaS](#) · [Servicios financieros](#) · [Sanidad](#) · [Recursos humanos / HRtech](#) · [Sector público](#) · [Educación](#) · [Seguros](#) · [Infraestructura crítica](#)
Regulaciones relacionadas en este Hub: [Reglamento de IA de la UE](#) · [NIST AI RMF](#) · [ISO/IEC 42006](#) · [ISO/IEC 23894](#) · [AIUC-1](#) · [RGPD — disposiciones de IA](#) · [Colorado AI Act](#)
Servicios Zertia: [Certificación](https://zertia.ai/es/certification/) · [Marcos y Regulación](https://zertia.ai/es/regulatory-frameworks/) · [Auditoría](https://zertia.ai/es/audit/) · [Formación](https://zertia.ai/es/training/) · [Certificación ISO/IEC 42001](https://zertia.ai/es/iso-42001/) · [Evaluación de Conformidad EU AI Act](https://zertia.ai/es/evaluacion-cumplimiento-eu-ai-act/) · [Certificación AIUC-1](https://zertia.ai/es/certification/certificacion-aiuc-1/)
Última revisión: mayo de 2026 · Fuentes: ISO/IEC 42001:2023; ISO/IEC 42005:2025; ISO/IEC 42006 (en desarrollo); ISO/IEC 23894; ISO/IEC 22989; materiales del programa AIMS de ANAB; programa de trabajo de CEN-CENELEC JTC 21; lista de signatarios del IAF MLA.
Definiciones que se sostienen ante un auditor.
¿Este término aplica a tu proyecto de certificación? Hablemos 30 min sin compromiso.
