
ISO/IEC 42001:2023 es el primer estándar internacional que define el Sistema de Gestión de Inteligencia Artificial (SGIA). Es el marco que las organizaciones adoptan para desarrollar, proveer y usar inteligencia artificial de forma responsable, segura y demostrable —equilibrando innovación y gobierno— en lugar de dejar el uso de IA librado a controles aislados o a la buena voluntad de cada área. Publicado en diciembre de 2023, es la respuesta de ISO e IEC a una pregunta que ya no es opcional: cómo gestionar los riesgos de la IA sin frenar su valor.
ISO 42001 comparte la misma Estructura Armonizada (Annex SL) de ISO 27001: las cláusulas 4 a 10 son estructuralmente idénticas. Eso significa que para una organización que ya gestiona seguridad de la información —o que planea hacerlo— gobernar la IA no es empezar de cero: es extender el sistema de gestión que ya conoce a un dominio nuevo. La IA no reemplaza al SGSI; se apoya en él.
Esta guía te entrega el overview completo del estándar: qué es un SGIA, por qué el gobierno de la IA importa hoy —EU AI Act, due diligence de clientes e inversionistas, gestión de sesgo, privacidad y trazabilidad—, las siete cláusulas obligatorias (4 a 10), los 38 controles del Anexo A, el mapeo cross-framework hacia ISO 27001, NIST AI RMF y la EU AI Act, y el ángulo propio de QMA: gobierno de IA informado por riesgo —priorizar controles por el impacto real de cada sistema de IA, no por el orden del anexo.
Qué es ISO/IEC 42001:2023
ISO/IEC 42001 es el estándar internacional —publicado conjuntamente por la International Organization for Standardization (ISO) y la International Electrotechnical Commission (IEC)— que especifica los requisitos para establecer, implementar, mantener y mejorar de forma continua un Sistema de Gestión de Inteligencia Artificial dentro del contexto de una organización. Es la primera norma certificable de gestión de IA del mundo, publicada en diciembre de 2023.
A diferencia de una guía técnica que describe cómo construir un modelo, ISO 42001 define el sistema: cómo identificar las partes interesadas, evaluar el impacto de los sistemas de IA, seleccionar controles, gobernar el ciclo de vida del dato y del modelo, documentar decisiones, medir el desempeño, auditar internamente y mejorar. Se aplica a cualquier organización que desarrolle, provea o use IA, sin importar su tamaño, sector o país. Su referencia normativa de vocabulario es ISO/IEC 22989 (conceptos y terminología de IA).
El corazón del estándar es un concepto que no existe en otras normas de gestión: la evaluación de impacto del sistema de IA (AI system impact assessment). No basta con evaluar el riesgo para la organización; ISO 42001 exige evaluar el impacto potencial de la IA sobre las personas, los grupos y la sociedad —sesgo, privacidad, seguridad, transparencia, supervisión humana—. Ese es el giro que distingue al gobierno de la IA de la seguridad de la información tradicional.
La certificación en ISO 42001 la emite un organismo certificador acreditado independiente, mediante auditoría externa en dos fases (Stage 1 documental, Stage 2 operativo) tras la implementación del SGIA por parte de la organización. La vigencia del certificado es de tres años con auditorías de vigilancia anuales. QMA no es organismo certificador: acompaña el diseño, la implementación, la evidencia de operación y la preparación para la auditoría externa. Esa separación protege la validez del certificado.
Por qué el gobierno de la IA importa hoy
La adopción de IA se aceleró más rápido que la capacidad de las organizaciones para gobernarla. Modelos que deciden sobre crédito, contratación, atención al cliente o detección de fraude ya operan en producción —muchas veces sin inventario, sin evaluación de impacto y sin dueño claro—. ISO 42001 funciona como el lenguaje común que ordena ese terreno y resuelve varios frentes con un solo programa:
- EU AI Act · alcance extraterritorial. El Reglamento Europeo de IA entró en vigor en 2024 con obligaciones escalonadas hacia 2026-2027, y aplica a proveedores y usuarios fuera de la Unión Europea cuando sus sistemas de IA se ofrecen o sus resultados se usan en la UE. Una empresa mexicana que vende software con IA a clientes europeos entra en su alcance. ISO 42001 es el vehículo práctico más reconocido para demostrar gobernanza alineada.
- Due diligence de clientes e inversionistas. Igual que el comprador enterprise hoy pide ISO 27001, empieza a preguntar cómo se gobierna la IA: qué modelos se usan, con qué datos, con qué supervisión humana, con qué controles de sesgo. Sin una respuesta demostrable, el deal se frena en revisión.
- Riesgo reputacional y legal de la IA. Sesgo en decisiones automatizadas, filtración de datos a través de modelos, alucinaciones en cara al cliente y “shadow AI” (herramientas de IA adoptadas sin control) son riesgos reales y crecientes. Un SGIA los convierte de sorpresa en riesgo gestionado.
- Protección de datos y trazabilidad. La IA multiplica las preguntas sobre qué datos se recolectan, con qué base, cuánto se retienen y cómo se rastrea una decisión. ISO 42001 complementa las obligaciones de protección de datos (en México, la LFPDPPP) desde el gobierno del ciclo de vida del dato para IA.
- Ventaja de anticipación en México. México aún no tiene una ley de IA vigente —hay iniciativas en discusión en el Congreso, sin norma aprobada—. Certificar o preparar ISO 42001 hoy es anticiparse: diferencia comercialmente, ordena la casa antes de que la regulación llegue y posiciona para due diligence y licitaciones en los próximos 24-36 meses.
- Confianza como activo. Más allá del cumplimiento, un SGIA genera confianza demostrable —seguridad, equidad, transparencia, trazabilidad y calidad del dato— frente a clientes, socios y reguladores. Es la diferencia entre “usamos IA” y “gobernamos la IA que usamos”.
Un punto de exactitud: adoptar ISO 42001 es una decisión estratégica, no una obligación legal en la mayoría de las jurisdicciones —incluida México— a la fecha. Su valor hoy es de anticipación y diferenciación; su valor mañana, conforme la EU AI Act madura y otras jurisdicciones legislan, será de acceso a mercado.
El journey de certificación ISO 42001
Certificarse en ISO 42001 es un proceso de meses, no un trámite. Para una organización que ya cuenta con un SGSI ISO 27001 maduro, el recorrido es más corto porque la mitad de la estructura ya existe; para quien parte de cero, el timeline típico va de 6 a 12 meses según el alcance de los sistemas de IA involucrados. Estas son las etapas del recorrido:
Contexto y mapa de sistemas de IA
Análisis de brechas contra ISO 42001, definición del alcance del SGIA y —el paso que casi nadie tiene hecho— el inventario real de sistemas de IA en uso: propios, de terceros y “shadow AI”. Salida: lectura honesta de qué IA opera, con qué datos y con qué exposición.
Impacto de IA y hoja de ruta
La evaluación de impacto del sistema de IA (AI impact assessment): efectos sobre personas, grupos y sociedad —sesgo, privacidad, seguridad, supervisión humana—. De ahí sale la matriz de riesgos y la hoja de ruta priorizada por impacto real, no por orden del anexo.
Diseño del SGIA y controles del Anexo A
Política de IA, roles, gobierno del ciclo de vida del modelo y del dato, controles del Anexo A seleccionados según impacto, y la información documentada mínima. El sistema toma forma y empieza a generar evidencia operativa.
Interna, revisión y externa (Stage 1 + 2)
Auditoría interna con hallazgos cerrados y revisión por la dirección, seguida de la auditoría externa del organismo acreditado: Stage 1 documental y Stage 2 operativo. De superarse, emite el certificado, con vigencia de tres años y vigilancia anual.
Cláusulas obligatorias 4 a 10 del SGIA
Las cláusulas 1 a 3 de ISO 42001 son introductorias (objeto y campo de aplicación, referencias normativas —ISO/IEC 22989—, términos y definiciones). Las cláusulas 4 a 10 son los requisitos auditables: sin ellas implementadas, documentadas y evidenciadas, más el Anexo A y la declaración de aplicabilidad, la certificación no procede. Al compartir la Estructura Armonizada, son gemelas de las de ISO 27001 —aplicadas al dominio de la IA:
- Cláusula 4 · Contexto de la organización. Factores internos y externos, partes interesadas y sus expectativas sobre la IA, alcance del SGIA y el rol de la organización (¿desarrolla, provee o usa IA?), que determina qué controles aplican.
- Cláusula 5 · Liderazgo. Compromiso de la alta dirección, política de IA, roles y responsabilidades para el gobierno de la IA.
- Cláusula 6 · Planificación. Acciones para abordar riesgos y oportunidades, evaluación de riesgos de IA, la evaluación de impacto del sistema de IA y los objetivos del SGIA.
- Cláusula 7 · Apoyo. Recursos, competencia, toma de conciencia, comunicación e información documentada.
- Cláusula 8 · Operación. Planificación y control operacional, ejecución de la evaluación de riesgos y de impacto de IA como procesos vivos a lo largo del ciclo de vida del sistema.
- Cláusula 9 · Evaluación del desempeño. Seguimiento, medición, análisis y evaluación; auditoría interna; revisión por la dirección.
- Cláusula 10 · Mejora. No conformidades, acciones correctivas y mejora continua del SGIA.
Para una organización con SGSI ISO 27001, estas siete cláusulas no se diseñan dos veces: el contexto, el liderazgo, la planificación basada en riesgo, el control documental, la auditoría interna y la mejora se implementan y auditan como un solo sistema de gestión. Es el corazón del sistema integrado que se explica más abajo.
Anexo A · 38 controles de IA en 9 objetivos
El Anexo A de ISO 42001:2023 contiene 38 controles de referencia organizados en nueve objetivos de control (A.2 a A.10). Cada control se evalúa para inclusión o exclusión en el SGIA según el resultado de la evaluación de riesgos y de impacto de IA; la justificación se documenta en la declaración de aplicabilidad. La guía de implementación de cada control vive en el Anexo B; los anexos C y D aportan objetivos y fuentes de riesgo de IA, y el uso del SGIA por dominios y sectores.
| Objetivo | Qué gobierna | Ejemplos de control |
|---|---|---|
| A.2 · Políticas de IA | Dirección y marco de gobierno | Política de IA, alineación con objetivos del negocio, revisión periódica |
| A.3 · Organización interna | Roles y responsabilidades | Asignación de responsabilidades de IA, reporte de preocupaciones |
| A.4 · Recursos para la IA | Insumos del sistema de IA | Documentación de datos, herramientas, cómputo y recursos humanos |
| A.5 · Evaluación de impactos | Efecto sobre personas y sociedad | Evaluación de impacto del sistema de IA, impacto en individuos y grupos |
| A.6 · Ciclo de vida del sistema de IA | Desarrollo responsable | Objetivos de diseño, verificación y validación, despliegue, operación y monitoreo |
| A.7 · Datos para la IA | Gobierno del dato | Procedencia, calidad, preparación y gobierno de los datos de entrenamiento y operación |
| A.8 · Información a las partes interesadas | Transparencia | Documentación al usuario, comunicación de capacidades y límites, canales de incidentes |
| A.9 · Uso de los sistemas de IA | Uso responsable | Uso conforme a lo previsto, supervisión humana, uso responsable interno |
| A.10 · Terceros y clientes | Cadena de valor de IA | Reparto de responsabilidades con proveedores y clientes de IA |
A diferencia de ISO 27001, cuyo Anexo A se centra en controles de seguridad, el Anexo A de ISO 42001 gobierna algo más amplio: el comportamiento del sistema de IA a lo largo de su ciclo de vida —los datos con que aprende, el impacto que produce, la transparencia hacia quien lo usa y la responsabilidad compartida con terceros—.
Sistema Integrado · ISO 42001 + ISO 27001
Aquí está el ángulo que distingue a QMA. ISO 42001 (gestión de IA) e ISO 27001 (seguridad de la información) comparten la Estructura Armonizada: las cláusulas 4 a 10 son estructuralmente idénticas. El contexto de la organización, el liderazgo, la planificación basada en riesgo, el control de la información documentada, la auditoría interna y la mejora no se diseñan dos veces: se implementan y se auditan como un solo sistema de gestión, con dos anexos de controles —el de seguridad (27001) y el de IA (42001)— colgando de la misma columna.
Para la organización que ya tiene —o está construyendo— su SGSI, esto cambia la ecuación: gobernar la IA deja de ser un proyecto nuevo y se vuelve una extensión del que ya conoce. El SGSI aporta la disciplina de gestión de riesgo, evidencia y auditoría; ISO 42001 añade la capa específica de IA —evaluación de impacto, gobierno del dato y del ciclo de vida del modelo, transparencia—. Un solo programa cubre los requisitos comunes; solo lo específico de cada norma se trabaja aparte.
El reto del sistema integrado no es montarlo: es mantenerlo audit-ready de forma continua entre auditorías, sin que la evidencia se desactualice. Ahí entra QMA Certeza, que mapea la evidencia de forma cruzada entre marcos y mantiene el sistema listo para auditoría de manera continua.
Gobierno de IA informado por riesgo · el diferenciador QMA
La implementación tradicional de un estándar sigue el orden de su anexo: recorrer los controles de A.2 a A.10, marcar los que aplican, completar la declaración de aplicabilidad, certificar. El documento queda completo, el auditor firma. Y al día siguiente, el modelo que decide sobre crédito sigue con el mismo sesgo sin medir, y la herramienta de IA que un equipo adoptó por su cuenta sigue enviando datos sensibles a un tercero que nadie evaluó.
En QMA convertimos ISO 42001 de checklist de auditoría en gobierno de IA informado por riesgo. Cada control del Anexo A se prioriza por el impacto real de cada sistema de IA —el que arroja la evaluación de impacto— y por la superficie de ataque que la IA introduce: envenenamiento de datos y de modelos, inyección de prompts, fuga de datos a través de modelos, y “shadow AI”. Es la misma lógica threat-informed con la que abordamos ISO 27001, extendida al terreno de la IA: se atiende primero lo que efectivamente puede hacer daño, no lo que el orden del anexo lista primero.
El resultado operativo es concreto. El roadmap de certificación cierra primero el gobierno de los sistemas de IA de mayor impacto —los que tocan decisiones sobre personas, datos regulados o cara al cliente— y contiene el shadow AI antes de pulir la documentación de un modelo interno de bajo riesgo. La declaración de aplicabilidad resultante no es teórica: refleja qué controles reducen riesgo medido sobre los sistemas de IA que la organización realmente opera.
Este enfoque no sustituye la rigurosidad documental que el auditor externo verificará; la complementa. La diferencia se ve en dos lugares: el orden de implementación durante el journey, y la conversación con la dirección sobre por qué se gobernó primero X sistema de IA y no Y.
Cross-framework · una sola estructura, varios marcos de IA y seguridad
ISO 42001 no opera en aislamiento. Se apoya en la estructura de gestión que ya usan las normas ISO de seguridad y calidad, y se conecta con los marcos de IA que reguladores, auditores y clientes empiezan a solicitar. Diseñar el SGIA con visibilidad cross-framework desde el día uno evita rehacer trabajo cuando llega la siguiente exigencia:
| Si implementas ISO 42001, te apoyas o avanzas en… | Relación |
|---|---|
| ISO/IEC 27001 — Seguridad de la información (SGSI) | Cláusulas 4-10 compartidas · sistema integrado directo |
| EU AI Act — Reglamento Europeo de IA | Vehículo práctico para demostrar gobernanza y gestión de riesgo de IA |
| NIST AI Risk Management Framework | Alineación conceptual (Govern, Map, Measure, Manage) |
| ISO/IEC 23894 — Gestión de riesgo de IA | Guía de riesgo que alimenta la evaluación de impacto del SGIA |
| ISO/IEC 27701 · LFPDPPP — Privacidad y datos | Gobierno del dato para IA complementa las obligaciones de protección de datos |
QMA mantiene este mapeo cross-framework como base operativa. Cuando implementamos ISO 42001 con un cliente, el roadmap se apoya en el SGSI existente y avanza en paralelo hacia la alineación con la EU AI Act y NIST AI RMF —sin duplicar evidencia, sin duplicar política—. Para sectores regulados, este enfoque conecta con el marco de gobernanza: Gobernanza, Riesgo y Cumplimiento (GRC) integral.
QMA Certeza · el SGIA vivo y audit-ready
El esfuerzo de gobernar la IA se pierde si el sistema se deja envejecer entre auditorías. QMA Certeza es la capa de cumplimiento gestionado que mantiene vivo el SGIA: monitoreo continuo del estado de los controles del Anexo A, recolección y mapeo cruzado de evidencia entre ISO 42001 e ISO 27001, y preparación permanente para la auditoría —de modo que la organización llegue a cada vigilancia anual sin la carrera de última hora.

Y hay una sinergia natural: la propia plataforma incorpora agentes de IA que aceleran el cumplimiento —automatización de cuestionarios de seguridad y completado asistido de evaluaciones—. Gobernar la IA con una plataforma que usa IA de forma responsable no es una contradicción: es la demostración práctica de que el gobierno y la innovación conviven.
Cómo empezamos
Gobernar la IA con seriedad absorbe meses de trabajo. Empezar bien evita rehacer documentación, evita ampliar el alcance a última hora y evita invertir en controles que no eran prioritarios. Estos son los tres pasos iniciales del acompañamiento QMA:
- Diagnóstico de madurez ISO 42001 (60 a 90 minutos, sin costo). Sesión para entender contexto, sistemas de IA en uso, datos involucrados, alcance candidato del SGIA y gaps relevantes respecto a ISO 42001. Si ya tienes ISO 27001, medimos cuánto adelanta tu SGSI. Salida: lectura honesta del punto de partida.
- Propuesta de ruta ajustada a tu etapa. Si necesitas entender, te enrutamos al material adecuado. Si necesitas acompañamiento, propuesta personalizada. Si ya gobiernas seguridad de la información, diseñamos el sistema integrado 27001 + 42001 desde el inicio para no duplicar esfuerzo.
- Acompañamiento operativo. Inventario de IA, evaluación de impacto, política de IA, gobierno del dato y del ciclo de vida del modelo, selección de controles del Anexo A, evidencia de operación, auditoría interna y preparación para la auditoría externa Stage 1 y Stage 2. Trabajo en cadencia con tu equipo, no entregables sueltos.
Preguntas frecuentes
¿Qué es ISO/IEC 42001?
Es el primer estándar internacional certificable para gestionar la inteligencia artificial de forma responsable. Publicado por ISO e IEC en diciembre de 2023, especifica los requisitos de un Sistema de Gestión de IA (SGIA): cómo gobernar, evaluar el impacto, controlar el ciclo de vida del dato y del modelo, medir y mejorar el uso de IA en una organización.
¿Qué es un Sistema de Gestión de IA (SGIA)?
Es el conjunto de políticas, roles, procesos y controles con los que una organización gobierna el desarrollo, la provisión y el uso de IA. Igual que un SGSI gestiona la seguridad de la información, el SGIA gestiona los riesgos y el impacto de la IA —sesgo, privacidad, transparencia, supervisión humana— de forma sistemática y auditable.
¿A quién aplica ISO 42001?
A cualquier organización que desarrolle, provea o use sistemas de IA, sin importar tamaño, sector o país. El rol de la organización —desarrolladora, proveedora o usuaria— determina qué controles del Anexo A le aplican. No es un estándar solo para empresas de tecnología: aplica a cualquiera que tome decisiones apoyadas en IA.
¿Cuál es la diferencia entre ISO 42001 e ISO 27001?
ISO 27001 gobierna la seguridad de la información (el SGSI); ISO 42001 gobierna la inteligencia artificial (el SGIA). Comparten la misma Estructura Armonizada —las cláusulas 4 a 10 son idénticas—, por lo que se integran en un solo sistema de gestión. La diferencia está en el anexo de controles: 27001 se centra en seguridad; 42001 gobierna el impacto, los datos, el ciclo de vida y la transparencia de la IA.
¿Es obligatorio certificarse en ISO 42001?
No. Adoptar ISO 42001 es una decisión estratégica, no una obligación legal general —tampoco en México, que aún no tiene una ley de IA vigente—. La exigencia llega por otras vías: la EU AI Act para quien opera con la Unión Europea, la due diligence de clientes e inversionistas, y la ventaja competitiva de anticiparse a la regulación.
¿Cómo se relaciona ISO 42001 con la EU AI Act?
La EU AI Act es un reglamento vinculante de la Unión Europea con alcance extraterritorial; ISO 42001 es un estándar de gestión certificable. No son lo mismo, pero se complementan: implementar un SGIA conforme a ISO 42001 es el vehículo práctico más reconocido para demostrar la gobernanza y la gestión de riesgo de IA que la EU AI Act exige. Certificarse no otorga cumplimiento automático de la ley, pero acorta mucho el camino.
¿Qué es la evaluación de impacto del sistema de IA?
Es el requisito distintivo de ISO 42001: evaluar el impacto potencial de un sistema de IA sobre las personas, los grupos y la sociedad —sesgo, privacidad, seguridad, transparencia, supervisión humana—, no solo el riesgo para la organización. Es el insumo que prioriza qué controles del Anexo A se implementan primero.
¿La auditoría de certificación la realiza QMA?
No, y por diseño. El certificado ISO 42001 lo emite un organismo de certificación acreditado e independiente, tras Stage 1 (documental) y Stage 2 (operativo). QMA acompaña el diseño, la implementación, la evidencia de operación, la auditoría interna y la preparación. Esa separación protege la validez del certificado.
¿Cuánto toma prepararse para ISO 42001?
Depende del alcance de los sistemas de IA y del punto de partida. Una organización que ya tiene un SGSI ISO 27001 maduro avanza más rápido, porque la estructura de gestión ya existe y solo añade la capa específica de IA. Para quien parte de cero, el recorrido típico va de 6 a 12 meses. El diagnóstico inicial sin costo cierra un rango realista para tu caso.
¿Puedo integrar ISO 42001 con mi ISO 27001 existente?
Sí, y es lo recomendable. Ambas normas comparten la Estructura Armonizada: las cláusulas 4 a 10 se implementan y auditan una sola vez, y cada norma aporta su anexo de controles. Integrar reduce duplicidad de política, evidencia y esfuerzo de auditoría. Es el enfoque de sistema integrado que QMA diseña desde el inicio.
Fuente normativa: ISO/IEC 42001:2023 — Information technology — Artificial intelligence — Management system (cláusulas 4 a 10; Anexo A: 38 controles de referencia en 9 objetivos de control, A.2 a A.10; Anexos B, C y D de orientación). Última actualización: julio de 2026. QMA acompaña la preparación; la certificación la emite un organismo acreditado independiente (ISO/IEC 17021).

