Qué hace cada norma
Define los requisitos del AIMS
Establece qué debe tener y demostrar una organización para gestionar la IA responsablemente: política de IA, evaluación de riesgos e impactos, controles del ciclo de vida, supervisión humana, trazabilidad, gestión de datos y proveedores.
Define cómo auditar sistemas de gestión
Proporciona directrices para auditar cualquier sistema de gestión ISO — incluyendo el AIMS de ISO 42001. Cubre la gestión del programa de auditoría, planificación, ejecución, emisión de informes y seguimiento de hallazgos.
La relación entre ambas normas no es jerárquica sino funcional y complementaria. Mientras ISO 42001 define qué debe cumplir un sistema de gestión de IA, ISO 19011 establece cómo debe evaluarse ese cumplimiento. Un AIMS sin auditoría es solo documentación; una auditoría sin criterios claros (ISO 42001) es arbitraria.
Los principios de ISO 19011 aplicados a IA
ISO 19011 establece principios que orientan la conducta del auditor y la calidad del proceso. En el contexto de una auditoría de AIMS bajo ISO 42001, estos principios adquieren dimensiones adicionales de complejidad.
Integridad
El auditor de IA debe actuar con honestidad aunque los hallazgos comprometan sistemas costosos o decisiones ya tomadas.
Presentación imparcial
Los hallazgos sobre sesgos algorítmicos o falta de explicabilidad deben reportarse con exactitud, sin suavizarlos.
Debido cuidado profesional
Auditar IA requiere competencia técnica real: entender ciclos de vida de modelos, datos y riesgos éticos.
Enfoque basado en evidencia
Las conclusiones deben basarse en evidencia objetiva verificable — no en declaraciones del auditado sobre su IA.
Enfoque basado en riesgos
Priorizar los sistemas de IA de mayor impacto potencial: selección de personal, crédito, diagnóstico, decisiones automatizadas.
Confidencialidad
La información sobre modelos, datos de entrenamiento y arquitecturas de IA tiene alto valor competitivo — debe protegerse.
Comparativa detallada
| Dimensión | ISO/IEC 42001:2023 | ISO 19011:2018 |
|---|---|---|
| Propósito | Requisitos para un Sistema de Gestión de IA (AIMS): qué debe existir, documentarse y evidenciarse | Directrices para auditar sistemas de gestión: cómo planear, ejecutar, reportar y dar seguimiento una auditoría |
| Naturaleza | Certificable — genera conformidad (o no conformidad) ante organismos de certificación | No certificable — es una guía metodológica sin requisitos obligatorios directos |
| Aplica a | La organización que gestiona IA | Los auditores (internos o externos) que evalúan el AIMS de la organización |
| Criterios de auditoría | Sus cláusulas y controles son los criterios contra los que se audita | Proporciona el método para aplicar esos criterios en la práctica |
| Programa de auditoría | La Cláusula 9.2 exige que la organización establezca y mantenga un programa de auditoría interna del AIMS | Define cómo construir ese programa: objetivos, alcance, frecuencia, selección de auditores, reportes |
| Competencia del auditor | No especifica perfil del auditor — define qué se audita | Establece que el auditor debe tener conocimientos y habilidades adecuados al sistema auditado — en IA esto implica entender ciclos de vida de modelos, riesgos de sesgos y ética |
| Tipos de auditoría | No clasifica tipos de auditoría — define qué evaluar | Cubre auditorías de primera, segunda y tercera parte; auditorías combinadas e integradas de múltiples sistemas de gestión |
| Gestión de riesgos | Riesgos del AIMS (Cláusula 6.1): riesgos del sistema de IA para la organización y para terceros | Riesgos del programa de auditoría: planificar auditorías con base en el riesgo de los procesos auditados |
Qué evidencias busca un auditor de ISO 42001 (según ISO 19011)
Aplicando el principio de evidencia objetiva de ISO 19011, un auditor de ISO 42001 no se conforma con políticas escritas. Busca evidencia de que el AIMS funciona en la práctica.
Política de IA aprobada y comunicada
No basta con que exista el documento — el auditor verifica que la alta dirección la aprobó formalmente y que el personal relevante la conoce.
Evaluación de riesgos e impactos documentada (Cláusula 6.1)
Registro de los sistemas de IA evaluados, metodología usada, riesgos identificados (hacia la organización y hacia terceros) y controles seleccionados.
Registros del ciclo de vida del sistema de IA
Documentación del diseño, entrenamiento, validación, despliegue y monitoreo del sistema. Incluye decisiones sobre datos, métricas de desempeño y criterios de retiro.
Mecanismos de supervisión humana activos
El auditor no solo lee el procedimiento — verifica que los controles humanos sobre decisiones críticas son reales y operativos, no solo declarados.
Registros de incidentes, sesgos y acciones correctivas
Evidencia de que la organización detecta, registra y gestiona incidentes relacionados con sus sistemas de IA — incluyendo sesgos detectados en producción.
Programa de auditoría interna ejecutado (Cláusula 9.2)
Registros de auditorías internas realizadas, hallazgos documentados, No Conformidades abiertas y cerradas, y mejoras implementadas.
Preguntas frecuentes
- ¿Un auditor de ISO 9001 puede auditar ISO 42001?
- Metodológicamente sí, si aplica ISO 19011. Pero ISO 19011 exige que el auditor tenga competencia específica para el sistema auditado. Auditar un AIMS requiere entender, al menos conceptualmente, ciclos de vida de modelos de IA, riesgos de sesgos, explicabilidad y las implicaciones éticas de decisiones automatizadas. Un auditor de ISO 9001 sin formación en IA no tiene esa competencia específica.
- ¿Cuántos auditores certificados en ISO 42001 hay en Colombia?
- A 2025, el ecosistema de auditores certificados en ISO 42001 en Colombia y LATAM aún es pequeño — la norma es de 2023. Organizaciones como IRCA (International Register of Certificated Auditors) y los principales organismos de certificación están formando los primeros auditores. Esta escasez es precisamente la oportunidad que identifica Iconoi: acompañar a las organizaciones antes de que la demanda de auditores supere la oferta.
- ¿Qué diferencia una NC Mayor de una NC Menor en una auditoría ISO 42001?
- Una No Conformidad Mayor (NC Mayor) indica la ausencia total de un requisito o proceso — por ejemplo, no tener evaluación de riesgos e impactos del AIMS. Una NC Menor indica un proceso existente pero incompleto, mal documentado o con fallas puntuales. La distinción es crítica: una NC Mayor impide la certificación; las NC Menores deben resolverse pero no bloquean el proceso si se tiene un plan de acción creíble.
¿Su organización está lista para una auditoría ISO 42001?
Iconoi aplica ISO 19011 para realizar auditorías de brecha y diagnóstico de su AIMS — con hallazgos categorizados, priorizados y con hoja de ruta de cierre.
Solicitar auditoría de brecha Diagnóstico gratuito