Folletos

Cómo implementar la ISO 42001: una hoja de ruta de 12 meses

Equipo Zertia · 6 min de lectura
Compartir

Pregunta a diez consultores cuánto tiempo lleva implementar la ISO 42001 y obtendrás diez respuestas, que van de tres meses a dos años. Parte de ello es desacuerdo honesto. La mayor parte es un error de categoría: el número depende de qué se está midiendo exactamente.

Una suposición de trabajo realista para una organización de tamaño mediano, sin un sistema de gestión ISO previo en marcha, es doce meses desde el inicio hasta la certificación. Ir más rápido es posible cuando existe una base ISO 27001. Ir más lento es habitual cuando la organización subestima el trabajo de gobernanza.

La creencia habitual

La creencia que vende proyectos mal delimitados es que la 42001 consiste principalmente en documentación. Redactar las políticas, actualizar el registro de riesgos, formar al equipo, reservar la auditoría. Con ese enfoque, tres a seis meses parece razonable.

El enfoque omite la parte del trabajo que realmente determina si la certificación es defendible: los ciclos operativos. La norma exige evidencia de que el sistema está en funcionamiento, no solo diseñado. Funcionar requiere tiempo.

Una secuencia realista de 12 meses

La hoja de ruta siguiente asume una empresa con madurez existente en gobernanza de datos pero sin un SGAI formal. Ajusta al alza o a la baja según el punto de partida.

Meses 1–2: Alcance y evaluación de brechas

Define el alcance del sistema de gestión. Qué entidades legales, qué sistemas de IA, qué geografías. Inventaría todos los sistemas de IA actualmente desarrollados o desplegados. Realiza un análisis de brechas frente a las cláusulas 4–10 de la ISO 42001 y los controles del Anexo A. Resultado: un informe de brechas y un plan de implementación con responsables asignados por nombre.

Meses 2–4: Capa de gobernanza y políticas

Establece la estructura de gobernanza de IA. Esto incluye habitualmente el patrocinio ejecutivo, un comité directivo de IA o equivalente, y roles definidos para el riesgo de IA, la ética de IA y las operaciones de IA. Redacta y aprueba la política de IA, las subpolíticas de apoyo (datos, uso de IA de terceros, supervisión humana) y los objetivos alineados con la estrategia de negocio.

Meses 3–5: Marco de gestión de riesgos

Construye la metodología de gestión de riesgos de IA. La ISO 42001 referencia la ISO/IEC 23894 como orientación práctica. Define cómo se identifican, evalúan, tratan y monitorizan los riesgos a lo largo del ciclo de vida de la IA. Rellena el registro de riesgos con riesgos reales del inventario de IA, no con ejemplos hipotéticos. Aquí es donde muchas implementaciones se estancan porque el trabajo es sustantivo, no cosmético.

Meses 4–7: Diseño y despliegue de procesos

Diseña y despliega los procesos operativos: entrada de casos de uso de IA, revisión previa al despliegue, gestión del ciclo de vida de los datos, documentación de modelos, evaluación de IA de terceros, respuesta a incidentes, gestión del cambio, monitorización. Los procesos deben integrarse con las operaciones existentes, no ser paralelos a ellas. Forma a los equipos que los ejecutarán.

Meses 6–9: Operar y recopilar evidencia

Pon en marcha el sistema de gestión. Esta fase se malinterpreta a menudo como «esperar». No lo es. Es cuando el sistema produce la evidencia que el auditor examinará eventualmente: evaluaciones de riesgos para casos de uso reales, decisiones de aprobación, registros de monitorización, registros de incidentes, evaluaciones de proveedores, comunicaciones internas. Tres meses de operación real es el mínimo habitual.

Meses 9–10: Auditoría interna y revisión por la dirección

Realiza una auditoría interna completa frente a la ISO 42001. Identifica las no conformidades y trátalas. Convoca una revisión formal por la dirección con participación ejecutiva. Documenta las actas de la revisión, las decisiones y las acciones resultantes. Ambas son requisitos explícitos de la norma.

Meses 10–11: Auditoría de Fase 1 (revisión documental)

El organismo de certificación lleva a cabo una auditoría de Fase 1, centrada en verificar que el sistema de gestión está documentado, diseñado y listo para la Fase 2. Los hallazgos de la Fase 1 suelen ser menores si la auditoría interna fue exhaustiva. Reserva de 3 a 6 semanas entre fases para atender cualquier observación.

Meses 11–12: Auditoría de Fase 2 (auditoría operativa)

El organismo de certificación audita el sistema de gestión en operación. Los auditores entrevistan al personal, revisan evidencias, comprueban la eficacia de los controles y evalúan si el SGAI está funcionando genuinamente. Las no conformidades mayores bloquean la certificación; las menores requieren un plan de acción correctiva. Tras el cierre satisfactorio, el certificado se emite, habitualmente en un plazo de 4 a 6 semanas.

La ISO 42001 no es un proyecto que se termina. Es una capacidad que se construye. La hoja de ruta de 12 meses concluye con un certificado; el sistema de gestión sigue funcionando.

Qué acelera o ralentiza el calendario

Tres factores comprimen el calendario: una certificación ISO 27001 existente (estructuras compartidas de gobernanza, riesgo y auditoría), un inventario de IA claramente definido con responsables establecidos, y el patrocinio ejecutivo que desbloquea el trabajo interfuncional.

Tres factores extienden el calendario: la ambigüedad del alcance («ya decidiremos qué sistemas incluir más adelante»), delegar el proyecto íntegramente a un equipo técnico sin responsabilidad de negocio, e intentar certificar sistemas de IA que aún están en desarrollo activo sin una gobernanza estable que los envuelva.

Qué significa esto para tu organización

Presupuesta doce meses, no seis. Un certificado obtenido en seis meses refleja casi siempre un sistema que no ha operado el tiempo suficiente para generar evidencia significativa. La auditoría puede superarse; el sistema puede fallar igualmente en su primera prueba real.

Planifica alrededor de la fase operativa, no de la fase documental. Las políticas pueden redactarse rápidamente. Las evaluaciones de riesgos reales, los registros de monitorización reales y la gestión real de incidentes requieren tiempo en el calendario.

Involucra al organismo de certificación desde el principio. Una conversación de Fase 0 o preauditoría con el organismo de certificación aclara el alcance, las expectativas de evidencia y los errores habituales antes de que la implementación quede fijada.

¿Listo para pasar de la documentación a la certificación?

📩 [email protected] · 🌐 zertia.ai

Tu vía rápida al cumplimiento comienza aquí

Nuestro equipo está listo para apoyarte en cumplimiento normativo, ciberseguridad y privacidad. Completa el formulario de contacto o escríbenos a [email protected], y nuestros expertos te guiarán en los próximos pasos.