Pregunta a diez consultores cuánto tarda una implantación de ISO 42001 y obtendrás diez respuestas, que van desde tres meses a dos años. Parte de eso es desacuerdo honesto. La mayor parte es un error de categoría: el número depende de qué estés midiendo realmente.
Una asunción de trabajo realista para una organización mediana, sin sistema de gestión ISO previo, es de doce meses desde el kickoff hasta la certificación. Más rápido es posible cuando existe una base de ISO 27001. Más lento es común cuando la organización subestima el trabajo de gobernanza.
## La creencia habitual
La creencia que vende proyectos mal dimensionados es que 42001 es mayormente documentación. Escribe las políticas, actualiza el registro de riesgos, forma al equipo, contrata la auditoría. Bajo ese marco, tres a seis meses parece razonable.
El marco omite la parte del trabajo que realmente determina si la certificación es defendible: los ciclos operativos. La norma exige evidencia de que el sistema está funcionando, no solo diseñado. Funcionar requiere tiempo.
## Una secuencia realista de 12 meses
El roadmap siguiente asume una empresa con madurez en gobierno del dato pero sin AIMS formal. Ajusta al alza o a la baja según el punto de partida.
### Meses 1–2: Alcance y análisis de gap
Define el alcance del sistema de gestión. Qué entidades legales, qué sistemas de IA, qué geografías. Inventaría todos los sistemas de IA que se desarrollan o despliegan hoy. Realiza un análisis de gap contra los apartados 4–10 de ISO 42001 y los controles del Anexo A. Salida: un informe de gap y un plan de implantación con responsables asignados.
### Meses 2–4: Capa de gobernanza y política
Establece la estructura de gobernanza de IA. Típicamente incluye esponsor ejecutivo, un comité de dirección de IA o equivalente, y roles definidos para riesgo de IA, ética de IA y operaciones de IA. Redacta y aprueba la política de IA, sub-políticas de apoyo (datos, uso de IA de terceros, supervisión humana), y objetivos alineados con la estrategia de negocio.
### Meses 3–5: Marco de gestión de riesgos
Construye la metodología de gestión de riesgos de IA. ISO 42001 referencia ISO/IEC 23894 como guía práctica. Define cómo se identifican, evalúan, tratan y monitorizan los riesgos a lo largo del ciclo de vida de la IA. Puebla el registro de riesgos con riesgos reales del inventario de IA, no con ejemplos hipotéticos. Aquí es donde muchas implantaciones se atascan porque el trabajo es sustantivo, no cosmético.
### Meses 4–7: Diseño y despliegue de procesos
Diseña y despliega los procesos operativos: entrada de casos de uso de IA, revisión pre-despliegue, gestión del ciclo de vida del dato, documentación del modelo, evaluación de IA de terceros, respuesta a incidentes, gestión del cambio, monitorización. Los procesos deben integrarse con las operaciones existentes, no correr en paralelo. Forma a los equipos que los ejecutarán.
### Meses 6–9: Operar y recoger evidencia
Opera el sistema de gestión. Esta fase se malinterpreta a menudo como “esperar”. No lo es. Es cuando el sistema produce la evidencia que el auditor examinará eventualmente: evaluaciones de riesgo sobre casos de uso reales, decisiones de aprobación, registros de monitorización, logs de incidentes, evaluaciones de proveedores, comunicaciones internas. Tres meses de operación real suelen ser el mínimo.
### Meses 9–10: Auditoría interna y revisión por la dirección
Realiza una auditoría interna completa contra ISO 42001. Identifica no conformidades y trátalas. Convoca una revisión por la dirección formal con participación ejecutiva. Documenta las actas de la revisión, las decisiones y las acciones resultantes. Ambas son requisitos explícitos de la norma.
### Meses 10–11: Auditoría Fase 1 (revisión documental)
El organismo de certificación realiza una auditoría Fase 1, centrada en verificar que el sistema de gestión está documentado, diseñado y listo para la Fase 2. Los hallazgos de la Fase 1 suelen ser menores si la auditoría interna fue rigurosa. Deja 3–6 semanas entre fases para tratar cualquier observación.
### Meses 11–12: Auditoría Fase 2 (auditoría operativa)
El organismo de certificación audita el sistema de gestión en operación. Los auditores entrevistan al personal, revisan evidencias, testan la efectividad de los controles, y evalúan si el AIMS está realmente funcionando. Las no conformidades mayores bloquean la certificación; las menores requieren un plan de acciones correctivas. Tras el cierre exitoso, el certificado se emite típicamente en 4–6 semanas.
> ISO 42001 no es un proyecto que terminas. Es una capacidad que construyes. El roadmap de 12 meses termina con un certificado; el sistema de gestión sigue funcionando.
>
## Qué acelera o alarga el calendario
Tres factores comprimen el calendario: una certificación ISO 27001 existente (estructuras compartidas de gobernanza, riesgo y auditoría), un inventario de IA claramente definido con ownership establecido, y esponsorización ejecutiva que desbloquea trabajo transversal.
Tres factores lo extienden: ambigüedad en el alcance (“ya veremos qué sistemas entran”), delegar el proyecto íntegramente en un equipo técnico sin ownership de negocio, e intentar certificar sistemas de IA que aún están en desarrollo activo sin gobernanza estable alrededor.
## Qué significa esto para tu organización
Presupuesta doce meses, no seis. Un certificado obtenido en seis meses casi siempre refleja un sistema que no se ha operado el tiempo suficiente para generar evidencia significativa. La auditoría puede pasar; el sistema puede seguir fallando en su primera prueba real.
Planifica en torno a la fase de operación, no a la de documentación. Las políticas se redactan rápido. Las evaluaciones de riesgo reales, los registros de monitorización reales y la gestión real de incidentes requieren tiempo de calendario.
Involucra al organismo de certificación pronto. Una conversación previa con el certificador clarifica alcance, expectativas de evidencia y trampas comunes antes de que la implantación se fije.
—
¿Listo para pasar de la documentación a la certificación?
📩 [[email protected]](mailto:[email protected]) · 🌐 [zertia.ai](http://zertia.ai)
