La conversación global sobre IA pasó de “innovación” a confianza verificable: clientes, reguladores y socios ya no solo preguntan qué hace tu IA, sino cómo la gobiernas y qué controles tienes. En ese contexto, ISO/IEC 42001:2023 destaca porque ofrece el primer marco internacional de sistema de gestión diseñado específicamente para IA.
Además, en 2025–2026 se aceleró la infraestructura de conformidad: organismos de acreditación comenzaron a otorgar acreditaciones para certificar ISO/IEC 42001 (por ejemplo, UKAS en Reino Unido) y varias organizaciones han anunciado certificaciones ISO 42001, lo que incrementa el interés del mercado.
Qué es ISO/IEC 42001:2023
ISO/IEC 42001:2023 especifica requisitos para establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de Inteligencia Artificial (AIMS) dentro de una organización.
Según ISO, el estándar está pensado para organizaciones que desarrollan, proveen o usan sistemas de IA y busca que su adopción sea responsable y consistente, apoyando innovación, confianza y rendición de cuentas.
Qué significa “AIMS” en la práctica
Un AIMS no es “un modelo” ni “un repositorio de prompts”: es un conjunto estructurado de políticas, procesos y controles para gobernar cómo los sistemas de IA se diseñan, desarrollan, despliegan, operan y monitorean durante su ciclo de vida.
ISO describe que un AIMS ayuda a la organización a:
- definir responsabilidades sobre el uso de IA,
- identificar y evaluar riesgos relacionados con IA,
- asegurar transparencia y rendición de cuentas,
- gestionar calidad de datos y desempeño del sistema,
- atender preocupaciones éticas, legales y sociales,
- y monitorear sistemas de IA a lo largo de su ciclo de vida.
Por qué “redefine” la IA responsable
Antes de ISO/IEC 42001, muchas organizaciones abordaban “IA responsable” con guías internas, principios o comités sin una arquitectura auditable consistente. ISO/IEC 42001 cambia el juego porque convierte la intención (“somos responsables”) en un sistema de gestión con requisitos verificables: liderazgo, planificación, operación controlada, evaluación del desempeño y mejora.
Y es clave entender esto: la norma no reemplaza leyes o regulaciones, pero sí proporciona un marco de gestión que facilita cumplir obligaciones (por ejemplo, cuando una regulación exige evidencias de gestión de riesgos, trazabilidad o supervisión).
Estructura del estándar: compatible con otros sistemas de gestión
ISO/IEC 42001 sigue la lógica de los estándares de sistema de gestión (estructura armonizada / HLS), lo que facilita integrarla con ISO 9001, ISO/IEC 27001, ISO 14001, etc. La propia ISO explica la norma en formato de “gestión” (no solo técnico), y fuentes de organismos de certificación/acreditación la tratan como un sistema integrable.
Requisitos clave de ISO/IEC 42001 por bloques (visión implementable)
Nota metodológica: lo siguiente es síntesis para orientación. Los requisitos exactos deben confirmarse en el texto oficial del estándar.
1) Contexto, alcance y partes interesadas
La organización debe entender el contexto donde usa/desarrolla IA (interno/externo), las partes interesadas relevantes y definir el alcance del AIMS: qué unidades, procesos, productos/servicios y usos de IA quedan dentro.
2) Liderazgo y política de IA
La alta dirección debe asumir liderazgo del AIMS: definir una política, asignar responsabilidades y asegurar que la gobernanza de IA no quede “solo en TI” o “solo en ciencia de datos”. ISO resalta la necesidad de responsabilidades, transparencia y accountability como parte del sistema.
3) Planificación: riesgos e impactos de IA
El corazón de la norma es mover la IA de “proyecto” a “sistema controlado” mediante planificación basada en riesgos:
- Gestión de riesgos de IA (identificar, evaluar, tratar).
- Controles para sostener cumplimiento, confianza y desempeño.
Complemento útil: ISO/IEC 23894:2023 ofrece guía específica de gestión de riesgos en IA, alineable con el AIMS.
4) Soporte: competencia, comunicación e información documentada
El AIMS debe sostenerse con recursos, competencia, toma de conciencia, comunicación interna/externa y documentación suficiente para operar, demostrar control y mejorar.
5) Operación: control del ciclo de vida de IA
ISO enfatiza gobernar cómo se construye y usa la IA: datos, desempeño, transparencia, supervisión y seguimiento a lo largo del ciclo de vida. Esto es lo que convierte la “IA responsable” en práctica diaria, no en declaración.
6) Evaluación del desempeño y mejora
Como cualquier sistema de gestión, el AIMS debe evaluarse (monitoreo, auditorías internas, revisión por la dirección) y mejorarse con acciones correctivas y mejora continua.
Los anexos: de “requisitos” a “controles” (A–D)
Además de los requisitos del sistema de gestión, ISO/IEC 42001 incluye anexos que suelen usarse como “caja de herramientas” para operacionalizar el control:
- Anexo A (normativo): controles/objetivos de control de referencia para IA.
- Anexo B (normativo): guía de implementación para esos controles.
- Anexo C (informativo): objetivos organizacionales y fuentes de riesgo relacionadas con IA.
- Anexo D (informativo): uso del AIMS en distintos dominios/sectores.
En auditoría, lo crítico no es “cumplir una lista”, sino justificar qué controles aplican a tu contexto, riesgos e impactos, y demostrar que operan eficazmente.
Certificación: qué significa y quién “certifica”
ISO lo aclara explícitamente:
- La certificación es voluntaria.
- ISO no certifica organizaciones.
- La certificación la realizan organismos de certificación (tercera parte), que pueden estar acreditados por organismos nacionales de acreditación.
Y esta parte explica por qué es tendencia: ya hay hitos públicos de acreditación/certificación para ISO/IEC 42001:
- UKAS anunció acreditación para certificación ISO/IEC 42001 (p. ej., a BSI).
- Organismos han comunicado acreditaciones ANAB/UKAS y certificaciones emitidas, señalando que el esquema se está consolidando.
Qué suele revisar un auditor (evidencia objetiva típica)
Sin entrar en “ejemplos”, un auditor normalmente buscará evidencia de que el AIMS existe, está implementado y es eficaz, tales como:
- Alcance del AIMS y entendimiento del contexto/partes interesadas.
- Política de IA aprobada y comunicada; responsabilidades y autoridad.
- Inventario / identificación de usos y sistemas de IA dentro del alcance.
- Evidencia de gestión de riesgos de IA y tratamientos definidos.
- Criterios y evidencias sobre transparencia / información pertinente (según el contexto).
- Controles operacionales del ciclo de vida (datos, desempeño, cambios, supervisión).
- Indicadores / seguimiento del desempeño y de cuestiones relevantes (seguridad, uso indebido, etc., según aplique).
- Auditoría interna, revisión por la dirección, acciones correctivas y mejora.
Ruta de implementación recomendada (en 8 pasos)
- Definir propósito y alcance del AIMS (qué IA y para qué).
- Establecer gobernanza: roles, política, responsabilidades y autoridad.
- Identificar dónde se usa IA y qué dependencias existen (datos, terceros, infraestructura).
- Implementar gestión de riesgos de IA (apoyarte en ISO/IEC 23894 puede ayudar).
- Seleccionar y justificar controles (Anexo A/B), alineados al riesgo, contexto y objetivos.
- Operacionalizar controles en el ciclo de vida (diseño–despliegue–monitoreo–cambios).
- Medir, auditar, revisar por la dirección y corregir.
- Mejorar continuamente con base en desempeño, incidentes, hallazgos y cambios del contexto.
Errores típicos que debilitan la “IA responsable”
- Reducir ISO 42001 a “documentación” sin controles operativos reales. (Un AIMS es gestión + evidencia de funcionamiento).
- Dejar el sistema en un solo equipo (p. ej., TI/DS) sin liderazgo y responsabilidades organizacionales.
- No gobernar la cadena de suministro (modelos, datos o servicios de terceros) pese a que ISO considera el uso/provisión/gestión de IA, incluyendo terceros en la práctica del sistema.
Cómo “encaja” con otras normas ISO (para sistemas integrados)
- ISO/IEC 27001: la seguridad de la información y privacidad suelen ser habilitadores críticos para IA (datos, accesos, trazabilidad). ISO promueve paquetes y complementariedad entre gestión de IA y seguridad.
- ISO 9001: si tu IA impacta productos/servicios, el AIMS puede integrarse con el enfoque a procesos y la gestión del cambio para asegurar consistencia y mejora. (Integración por estructura de sistema de gestión).
- ISO/IEC 22989 (terminología) y ISO/IEC 38507 (gobernanza): fortalecen vocabulario y gobierno a nivel directivo.
ISO/IEC 42001:2023...
Está redefiniendo la “IA responsable” porque la convierte en gobernanza auditable: responsabilidades claras, gestión de riesgos, control del ciclo de vida, transparencia, evaluación y mejora. Y en 2026, con la maduración de acreditaciones y certificaciones, el mercado lo está tratando como el nuevo “lenguaje común” para demostrar confianza en IA.
