A diferencia del NIST AI RMF, que es un marco de gestión voluntario sin certificación, ISO/IEC 42001:2023 sí permite una auditoría de tercera parte que termina en un certificado formal. Eso lo convierte en la opción más creíble frente a clientes y socios cuando necesitas demostrar, no solo declarar, que tienes un sistema de gestión de IA (AIMS) operativo.

Los bloques que evalúa el auditor

CláusulaQué exigeEvidencia típica
4. Contexto de la organizaciónIdentificar partes interesadas y el alcance del sistema de gestión de IADocumento de alcance del AIMS
5. LiderazgoCompromiso de dirección, política de IA y roles asignadosPolítica de IA firmada, organigrama de roles
6. PlanificaciónEvaluación de riesgos y objetivos medibles de IARegistro de riesgos, objetivos con KPI y plazo
7. SoporteRecursos, competencias y comunicaciónPlan de formación, matriz de competencias
8. OperaciónControles operativos sobre el ciclo de vida de los sistemas de IAProcedimientos de desarrollo, evaluación de impacto
9. Evaluación del desempeñoAuditorías internas y revisión por la direcciónActas de auditoría interna, actas de revisión
10. MejoraGestión de no conformidades y mejora continuaRegistro de no conformidades y acciones correctivas

El Anexo A: los controles específicos de IA

Además de la estructura común a otras normas ISO (42001 sigue la estructura de alto nivel, similar a ISO 27001), el Anexo A añade controles específicos de inteligencia artificial: gestión de datos de entrenamiento, transparencia hacia los usuarios, evaluación de impacto y gestión de proveedores de IA de terceros. Este bloque es el que más se solapa con las dimensiones de calidad del dato y con el artículo 10 del AI Act — si ya tienes eso documentado, vas muy adelantado en esta parte.

Lo que más retrasa una certificación: no es la falta de controles técnicos, es la falta de evidencia documental de que los controles llevan tiempo funcionando. Un auditor de ISO 42001 pide historial, no una foto del día de la auditoría.
Dashboard de Auditoría Governance 10 KPIs en Excel referenciados directamente con AI Act Art. 10 e ISO 42001 — la evidencia continua que pide el auditor, no una foto puntual. 69 € IVA incl.
Comprar →

Checklist previo antes de contactar con un organismo certificador

  • ¿Existe una política de IA firmada por dirección, no solo un borrador interno?
  • ¿Hay un registro de riesgos de IA con al menos una revisión ya realizada?
  • ¿Se ha hecho al menos una auditoría interna del AIMS antes de la externa?
  • ¿Los roles del Anexo A (quién aprueba, quién revisa, quién documenta) tienen nombre y apellidos, no solo un cargo genérico?

Si todavía no tienes ni la base de gobernanza montada, empieza por la guía de Data Governance Framework antes de plantearte la certificación — ISO 42001 se apoya en gobernanza de datos sólida, no la sustituye.