A diferencia del NIST AI RMF, que es un marco de gestión voluntario sin certificación, ISO/IEC 42001:2023 sí permite una auditoría de tercera parte que termina en un certificado formal. Eso lo convierte en la opción más creíble frente a clientes y socios cuando necesitas demostrar, no solo declarar, que tienes un sistema de gestión de IA (AIMS) operativo.
Los bloques que evalúa el auditor
| Cláusula | Qué exige | Evidencia típica |
|---|---|---|
| 4. Contexto de la organización | Identificar partes interesadas y el alcance del sistema de gestión de IA | Documento de alcance del AIMS |
| 5. Liderazgo | Compromiso de dirección, política de IA y roles asignados | Política de IA firmada, organigrama de roles |
| 6. Planificación | Evaluación de riesgos y objetivos medibles de IA | Registro de riesgos, objetivos con KPI y plazo |
| 7. Soporte | Recursos, competencias y comunicación | Plan de formación, matriz de competencias |
| 8. Operación | Controles operativos sobre el ciclo de vida de los sistemas de IA | Procedimientos de desarrollo, evaluación de impacto |
| 9. Evaluación del desempeño | Auditorías internas y revisión por la dirección | Actas de auditoría interna, actas de revisión |
| 10. Mejora | Gestión de no conformidades y mejora continua | Registro de no conformidades y acciones correctivas |
El Anexo A: los controles específicos de IA
Además de la estructura común a otras normas ISO (42001 sigue la estructura de alto nivel, similar a ISO 27001), el Anexo A añade controles específicos de inteligencia artificial: gestión de datos de entrenamiento, transparencia hacia los usuarios, evaluación de impacto y gestión de proveedores de IA de terceros. Este bloque es el que más se solapa con las dimensiones de calidad del dato y con el artículo 10 del AI Act — si ya tienes eso documentado, vas muy adelantado en esta parte.
Checklist previo antes de contactar con un organismo certificador
- ¿Existe una política de IA firmada por dirección, no solo un borrador interno?
- ¿Hay un registro de riesgos de IA con al menos una revisión ya realizada?
- ¿Se ha hecho al menos una auditoría interna del AIMS antes de la externa?
- ¿Los roles del Anexo A (quién aprueba, quién revisa, quién documenta) tienen nombre y apellidos, no solo un cargo genérico?
Si todavía no tienes ni la base de gobernanza montada, empieza por la guía de Data Governance Framework antes de plantearte la certificación — ISO 42001 se apoya en gobernanza de datos sólida, no la sustituye.