ISO/IEC 42006
Resumen ejecutivo
La ISO/IEC 42006 es el estándar del que casi nadie fuera de la industria de certificación ha oído hablar y que determina si un certificado ISO/IEC 42001 vale algo. La asimetría entre su visibilidad y su peso operativo es lo que la hace interesante.
La narrativa dominante sobre certificación de IA se centra en el estándar que se certifica — la ISO/IEC 42001. Las organizaciones que se preparan para la certificación preguntan qué controles necesitan, qué documentación necesitan, qué ciclo de auditoría enfrentarán. Rara vez preguntan qué hace creíble el certificado que reciben. La ISO/IEC 42006 es la respuesta a esa pregunta. Define los requisitos que los propios organismos de certificación deben cumplir para emitir certificados ISO/IEC 42001 que sean reconocidos por los organismos de acreditación, por otros organismos de certificación bajo evaluación por pares y por los acuerdos internacionales de reconocimiento (IAF MLA).
La distinción importa porque la certificación no es un servicio. Es un mercado con infraestructura. El certificado que un organismo de certificación emite a una organización vale algo solamente por lo que hay detrás del organismo de certificación: un organismo de acreditación que lo ha autorizado a operar, un sistema de evaluación por pares que verifica su consistencia con otros organismos de certificación y el acuerdo internacional de reconocimiento (IAF MLA) que permite que los certificados emitidos bajo un organismo de acreditación sean reconocidos bajo otros. Sin esa infraestructura, un certificado ISO/IEC 42001 es una opinión privada. Con ella, el certificado tiene reconocimiento legal y comercial internacional. La ISO/IEC 42006 es la especificación técnica que permite que la infraestructura opere de forma consistente.
El estándar suplementa la ISO/IEC 17021-1, el estándar general que especifica los requisitos para los organismos que prestan servicios de auditoría y certificación de sistemas de gestión (cualquier sistema de gestión: seguridad de la información, calidad, medio ambiente, energía, IA). La ISO/IEC 17021-1 cubre competencia, imparcialidad, programas de auditoría, decisiones de certificación, documentación, gestión de quejas y requisitos de proceso similares que aplican a todas las certificaciones de sistemas de gestión. La ISO/IEC 42006 añade los requisitos específicos de IA que la ISO/IEC 17021-1 no cubre: cómo evaluar la competencia del auditor en dominios de IA, cómo calcular la duración de la auditoría para sistemas de gestión de IA, cómo gestionar la imparcialidad en encargos donde el organismo de certificación o su personal pueden tener actividades de consultoría o desarrollo de IA, y cómo manejar el alcance cuando una organización opera sistemas de IA con perfiles de riesgo significativamente distintos.
El estándar tiene también una característica que lo distingue de la mayoría del resto del ecosistema de gobernanza de IA: es prescriptivo sobre quién está cualificado para operar. La ISO/IEC 42001 deja a las organizaciones seleccionar qué controles aplican, modificarlos o excluirlos con justificación. El NIST AI RMF deja a las organizaciones elegir cómo operacionalizar las cuatro funciones. La ISO/IEC 42006 no da esa latitud a los organismos de certificación. Los requisitos de competencia del auditor no son opcionales. El cálculo de duración de auditoría no es opcional. Las salvaguardas de imparcialidad no son opcionales. Un organismo de certificación que no cumple estos requisitos no es acreditado; un organismo acreditado que falle en mantenerlos ve su acreditación suspendida o retirada. El estándar es la especificación operativa de una industria, y se aplica a través del sistema de acreditación.
Lo que la ISO/IEC 42006 hace en realidad, entonces, no es «establecer requisitos para los organismos de certificación» en abstracto. Construye la infraestructura de credibilidad que hace operativo todo el ecosistema de la ISO/IEC 42001. Sin la ISO/IEC 42006, los organismos de acreditación no podrían evaluar consistentemente a los organismos de certificación. Sin acreditación consistente, los certificados no serían mutuamente reconocidos. Sin reconocimiento mutuo, el mercado internacional de certificados de sistemas de gestión de IA se fragmentaría en silos nacionales. El estándar es el sustrato que permite que el mercado exista.
Su publicación en julio de 2025 — unos veinte meses después de la ISO/IEC 42001 — es en sí misma estructuralmente significativa. Entre diciembre de 2023 y julio de 2025, los organismos de acreditación operaron programas provisionales de acreditación para la ISO/IEC 42001 (notablemente ANAB, que lanzó su programa en enero de 2024) usando la ISO/IEC 17021-1 más requisitos provisionales específicos de IA desarrollados por cada organismo de acreditación. La publicación de la ISO/IEC 42006 consolidó esos enfoques provisionales en una única especificación internacional, que es la que ahora está siendo adoptada por los organismos de acreditación a nivel global como documento de criterios para la acreditación en certificación ISO/IEC 42001.
A quién se dirige. La ISO/IEC 42006 es inusual entre los estándares de gobernanza de IA porque no se dirige a las organizaciones que desarrollan o utilizan IA. Se dirige a los organismos de certificación que auditan y certifican sistemas de gestión de IA frente a la ISO/IEC 42001, y a los organismos de acreditación que autorizan a esos organismos de certificación a operar. La audiencia es estrecha pero operativamente consecuente: BSI, NSF, A-LIGN, Schellman, BureauVeritas, DNV, Intertek, Zertia y los demás organismos de certificación que operan en el mercado de la ISO/IEC 42001; ANAB, UKAS, ENAC, RvA, DAkkS, JAS-ANZ y los demás organismos de acreditación que los gobiernan.
El estándar es también relevante indirectamente para las organizaciones que buscan la certificación ISO/IEC 42001, porque determina lo que experimentarán durante la certificación. La duración de auditoría que enfrentarán, la experticia del auditor que encontrarán, las decisiones de alcance que se tomarán, las salvaguardas de imparcialidad que se impondrán a su relación con el organismo de certificación — todo fluye de los requisitos de la ISO/IEC 42006. Una organización que no entiende el estándar no entiende ni qué está pagando en honorarios de certificación ni qué debería esperar durante el ciclo de auditoría.
Qué cubre. El estándar cubre el alcance completo de las operaciones del organismo de certificación específicamente para la certificación de sistemas de gestión de IA: estructuras de gobernanza e imparcialidad del organismo de certificación, requisitos de competencia para auditores y otro personal involucrado en decisiones de certificación, metodología de cálculo de duración de auditoría, diseño del programa de auditoría (Etapa 1, Etapa 2, seguimiento, recertificación), toma de decisiones de certificación, emisión del certificado y seguimiento continuo. Aborda también el uso del estándar como documento de criterios para la acreditación bajo la ISO/IEC 17011 (el estándar para los organismos de acreditación) y la opción de usarlo dentro de esquemas de certificación de productos bajo la ISO/IEC 17065 para productos y servicios de IA.
El estándar no aborda el contenido de la propia ISO/IEC 42001. No extiende los requisitos del sistema de gestión; especifica cómo se auditan esos requisitos.
Obligaciones
Las obligaciones de la ISO/IEC 42006 aplican a los organismos de certificación. Operan en cinco áreas operativas, cada una añadiendo requisitos específicos de IA por encima de la ISO/IEC 17021-1.
Competencia del auditor
El estándar exige a los organismos de certificación mantener un conjunto definido de competencias para los auditores que realizan auditorías de la ISO/IEC 42001. Estas competencias se extienden más allá de la competencia general de auditoría de sistemas de gestión (cubierta en la ISO/IEC 17021-1) para incluir conocimiento específico de conceptos de IA, etapas del ciclo de vida de la IA, fuentes de riesgo de IA, implementación de controles específicos de IA y los estándares técnicos que rodean a la ISO/IEC 42001 (ISO/IEC 22989, ISO/IEC 23053 para sistemas de ML, ISO/IEC 23894 para metodología de gestión del riesgo, ISO/IEC 42005 para evaluación de impacto).
El estándar exige también a los organismos de certificación mantener competencia sectorial para sectores con despliegue material de IA: servicios financieros, sanidad, empleo, sector público y otros donde los perfiles de riesgo de IA difieren materialmente. Un auditor que realiza una auditoría de la ISO/IEC 42001 en un contexto de servicios financieros necesita entender tanto los requisitos del sistema de gestión de IA como el contexto de riesgo sectorial que da forma a cómo se operacionalizan esos requisitos.
La competencia se demuestra mediante cualificaciones documentadas, formación, auditorías supervisadas y mantenimiento continuo de la competencia. Los organismos de certificación mantienen registros de competencia de auditores y deben evidenciarlos durante la evaluación de acreditación.
Metodología de duración de auditoría
La ISO/IEC 42006 especifica la metodología para calcular la duración de auditoría. El estándar adopta lo que se denomina Modelo B, una metodología basada en la complejidad organizativa, el alcance y el perfil de riesgo de IA. El cálculo produce duraciones mínimas de auditoría para la auditoría Etapa 1, la auditoría Etapa 2, las auditorías de seguimiento y las auditorías de recertificación.
El cálculo del Modelo B considera: el tamaño de la organización en alcance (número de empleados y ubicaciones involucradas en el sistema de gestión de IA), el número y complejidad de los sistemas de IA dentro del alcance, las categorías de riesgo de IA que aplican (extraídas del Anexo B de la ISO/IEC 23894 y de los objetivos relacionados con IA del Anexo A de la ISO/IEC 23894), la madurez del sistema de gestión y la integración con otros sistemas de gestión certificados (ISO/IEC 27001 en particular, donde la integración puede reducir ciertos componentes de duración).
La consecuencia de esta metodología es que la duración de la auditoría no es negociable de la forma en que los clientes a veces esperan. Un organismo de certificación no puede ofrecer legítimamente una auditoría más corta de lo que el Modelo B requiere; hacerlo sería una no conformidad en su evaluación de acreditación. Esta es la principal protección del estándar contra una carrera a la baja en los precios de auditoría, que erosionaría la credibilidad de los certificados con el tiempo.
Salvaguardas de imparcialidad
La ISO/IEC 17021-1 ya impone requisitos de imparcialidad a los organismos de certificación de sistemas de gestión. La ISO/IEC 42006 los extiende para el contexto de IA, donde los riesgos de imparcialidad tienen formas específicas. Las salvaguardas más importantes se refieren a:
- Actividades de consultoría frente a actividades de certificación. Un organismo de certificación que también proporciona consultoría de IA (evaluaciones de brecha, soporte de implementación, formación) debe mantener separación operativa y de personal entre los brazos de consultoría y certificación. Los auditores que certifican a un cliente no pueden haber proporcionado consultoría a ese cliente dentro de periodos definidos de cooling-off.
- Desarrollo de IA frente a certificación. Un organismo de certificación cuyo grupo opera sistemas de IA que compiten con o podrían compararse contra los de los clientes de certificación se enfrenta a riesgos estructurales de imparcialidad que deben gestionarse y divulgarse.
- Propiedad e intereses económicos del personal. Los auditores y los responsables de decisión de certificación no pueden tener propiedad o intereses económicos materiales en clientes que auditan o certifican.
- Separación entre marketing y decisión de certificación. El personal de marketing de los organismos de certificación no puede influir en las decisiones de certificación, que deben ser tomadas por personal cualificado independiente de las presiones comerciales.
El estándar exige a los organismos de certificación mantener una evaluación documentada de riesgos de imparcialidad y un comité de imparcialidad que supervise la gestión de esos riesgos. El comité debe incluir miembros externos que no sean empleados del organismo de certificación.
Programa de auditoría y ciclo de certificación
El estándar especifica cómo opera el ciclo de certificación: auditoría Etapa 1 (revisión de documentación, evaluación de preparación, confirmación del alcance), auditoría Etapa 2 (auditoría de implementación, muestreo de evidencia, generación de hallazgos), decisión de certificación por un responsable de decisión cualificado e independiente del equipo de auditoría, emisión del certificado con validez de tres años, dos auditorías anuales de seguimiento en los años uno y dos, y una auditoría de recertificación en el año tres que revisa el sistema de gestión completo en lugar de solo los cambios desde la última auditoría.
El estándar cubre también situaciones especiales de auditoría: extensiones de alcance, reducciones de alcance, transferencias de certificación entre organismos de certificación, auditorías especiales activadas por cambios significativos o incidentes, y suspensión o retirada de la certificación cuando las no conformidades no pueden resolverse.
Documentación y uso de la certificación
El estándar especifica el contenido de los documentos de certificación (el propio certificado, la estructura del informe de auditoría, el formato de notificación de no conformidad) y las reglas bajo las cuales los clientes certificados pueden usar la marca de certificación y referenciar su estatus de certificación. El uso indebido de marcas de certificación (reclamar certificación más allá del alcance real, mostrar certificados expirados, usar la marca para implicar respaldo de productos en lugar del sistema de gestión) activa remedios contractuales y, en casos graves, retirada del certificado.
Timeline / Implementación
La ISO/IEC 42006 tiene un calendario de publicación más que un calendario estatutario de implementación:
- Diciembre de 2023 — Publicación de la ISO/IEC 42001. Los organismos de certificación comienzan a operar programas provisionales de acreditación usando la ISO/IEC 17021-1 más requisitos provisionales específicos de IA desarrollados por los organismos de acreditación.
- Enero de 2024 — ANAB lanza su programa de acreditación para la ISO/IEC 42001 usando criterios provisionales.
- 2024–2025 — La ISO/IEC 42006 avanza por sus etapas finales de desarrollo como Borrador de Norma Internacional.
- Julio de 2025 — Publicación de ISO/IEC 42006:2025. El estándar se convierte en el documento de criterios para la acreditación bajo la ISO/IEC 42001.
- Julio de 2025–2026 — Los organismos de acreditación (ANAB, UKAS, ENAC, RvA, DAkkS, JAS-ANZ) transicionan sus programas de acreditación para la ISO/IEC 42001 a operar bajo criterios de la ISO/IEC 42006. Los organismos de certificación acreditados existentes pasan por evaluaciones de transición para confirmar la conformidad.
- 2026 en adelante — La ISO/IEC 42006 es el documento de criterios operativo. Las nuevas solicitudes de organismos de certificación se evalúan frente a ella. Las evaluaciones de seguimiento de los organismos acreditados existentes la utilizan. Se desarrollan documentos IAF MD para armonizar la interpretación entre los organismos de acreditación signatarios.
- Revisión futura. Sujeta a revisión sistemática de ISO cada cinco años. Primera revisión esperada en torno a 2030.
Para las organizaciones que buscan la certificación ISO/IEC 42001, la implicación operativa es que cualquier organismo de certificación reputable debería estar ahora operando bajo conformidad con la ISO/IEC 42006. Los procesos de procurement que seleccionan organismos de certificación deberían incluir verificación del estatus de acreditación y confirmación de que la acreditación está vigente bajo criterios de la ISO/IEC 42006.
Regulación que entiendes es regulación que puedes convertir en ventaja competitiva.
¿No estás seguro de si este marco aplica a tu organización? Hablemos.
