Cómo integrar ISO 42001 con tu ISO 9001 o 27001 ya certificada

·

Cuando una pyme certificada en ISO 9001 (calidad) o ISO 27001 (seguridad de la información) se plantea implantar ISO/IEC 42001 (gestión de la inteligencia artificial), el primer impulso suele ser tratarla como un proyecto nuevo e independiente: otro manual, otro comité, otra auditoría, otro calendario. Es el error más caro que hemos visto repetirse. La ISO 42001 no nace en el vacío: comparte con el 9001 y el 27001 la misma columna vertebral y una parte sustancial de sus procesos de gestión. Integrarla en el sistema que ya tienes no es una simplificación cosmética, es evitar pagar dos veces por el mismo trabajo de gobierno interno.

Por qué 42001, 9001 y 27001 encajan entre sí: la estructura de alto nivel

Desde hace más de una década, la Organización Internacional de Normalización (ISO) publica sus normas de sistemas de gestión bajo una misma plantilla común, conocida primero como Anexo SL y renombrada por ISO como Estructura de Alto Nivel (HLS). Esta estructura obliga a que toda norma de sistema de gestión —da igual si es calidad, seguridad de la información, medio ambiente o, ahora, inteligencia artificial— organice sus requisitos en los mismos diez capítulos: alcance, referencias normativas, términos y definiciones, contexto de la organización, liderazgo, planificación, apoyo, operación, evaluación del desempeño y mejora.

ISO 9001:2015, ISO/IEC 27001:2022 e ISO/IEC 42001:2023 siguen exactamente esta plantilla. Esto no es un detalle editorial: significa que la política del sistema, el análisis del contexto y las partes interesadas, la asignación de roles y responsabilidades, la gestión documental, la formación y toma de conciencia, la auditoría interna y la revisión por la dirección se pueden escribir una sola vez y servir a los tres sistemas al mismo tiempo, con las particularidades de cada norma añadidas donde corresponde.

Qué comparten realmente las tres normas, capítulo a capítulo

Bloque de la HLSISO 9001 (calidad)ISO 27001 (seguridad)ISO 42001 (gestión de IA)
Contexto y partes interesadas (cláusula 4) Clientes, procesos, requisitos del producto/servicio Activos de información, amenazas, requisitos legales Añade partes interesadas específicas de IA: personas afectadas por decisiones automatizadas, proveedores de datos y de modelos
Liderazgo y política (cláusula 5) Política de calidad, roles del sistema Política de seguridad, roles del SGSI Política de IA responsable; puede integrarse en la misma declaración de política si la dirección lo decide
Gestión de riesgos (cláusula 6) Riesgos y oportunidades sobre procesos Evaluación y tratamiento de riesgos de seguridad (Anexo A) Añade evaluación de impacto de los sistemas de IA en personas y sociedad (cláusula 6.1.4), no solo riesgo operativo
Soporte y competencia (cláusula 7) Recursos, competencia, documentación Recursos, competencia, documentación Misma estructura documental; añade competencias específicas del ciclo de vida de la IA
Operación (cláusula 8) Control de procesos operativos Controles del Anexo A (93 controles) Controles del Anexo A propio (38 controles): gobernanza de datos, trazabilidad, supervisión humana, proveedores externos de modelos
Evaluación del desempeño (cláusula 9) Auditoría interna, revisión por la dirección Auditoría interna, revisión por la dirección Mismo ciclo de auditoría; añade indicadores propios de rendimiento e impacto de los sistemas de IA
Mejora (cláusula 10) No conformidades, acción correctiva No conformidades, acción correctiva Mismo procedimiento; se alimenta también de los hallazgos de la evaluación de impacto

En la práctica, entre el 60 % y el 70 % de la documentación de gestión (política, roles, control documental, competencia, auditoría interna, revisión por la dirección, no conformidades) es aprovechable entre las tres normas con ajustes menores. La diferencia real está en los capítulos 6 y 8: la gestión de riesgos específica de IA y el Anexo A de controles propio de la 42001, que no tiene equivalente directo en 9001 ni en 27001.

Qué es exclusivo de ISO 42001 y no puedes heredar de 9001 ni de 27001

Antes de pensar que la integración lo resuelve todo, conviene tener claro qué no se hereda:

Esta es también la razón por la que integrar no es fusionar sin criterio: los controles exclusivos de IA necesitan su propio espacio dentro del sistema documental, aunque compartan el mismo esqueleto de gestión con el resto. Si quieres ver el mapeo completo entre los controles del Anexo A de ISO 42001 y las obligaciones del AI Act —que es un ejercicio distinto, con un ángulo legal—, lo desarrollamos en ISO 42001 y AI Act: mapeo de controles para no duplicar.

Cómo desplegar la integración: cuatro pasos reales

1. Gap analysis contra el sistema existente, no contra la norma en blanco

El punto de partida no es leer la ISO 42001 desde cero, sino comparar su índice de requisitos con la documentación que ya tienes operativa por el 9001 o el 27001: manual del sistema, matriz de riesgos, procedimiento de auditoría interna, registro de no conformidades. El resultado es una lista corta de lo que falta —normalmente la gestión de riesgos de IA y el Anexo A específico— en vez de un proyecto completo desde cero.

2. Un manual del sistema, un anexo de aplicabilidad por norma

La forma más eficiente de documentar la integración es un único manual del sistema de gestión con una Declaración de Aplicabilidad por cada norma certificada, que referencia los procesos comunes ya descritos una sola vez. Así, política, roles, control documental y revisión por la dirección se leen y se auditan en un solo sitio; solo los controles específicos de cada norma tienen su propio desarrollo.

3. Un único ciclo de auditoría interna, con checklist por norma

Auditar el sistema integrado en un solo ciclo anual —con un checklist específico por norma dentro de ese mismo ciclo— evita repetir entrevistas a las mismas personas y revisar la misma documentación tres veces. La auditoría interna de sistemas de gestión es el servicio que ejecuta este modelo combinado.

4. Auditoría de certificación combinada, cuando el organismo lo permite

La mayoría de las entidades de certificación acreditadas ofrecen auditorías combinadas cuando una empresa certifica varias normas de la misma familia HLS a la vez: fase 1 documental conjunta y fase 2 en sitio con auditores que revisan los tres sistemas en la misma visita. Esto reduce los días de auditoría facturados frente a tres procesos separados, aunque el ahorro exacto depende de la tarifa de cada organismo y del alcance certificado.

Tres puntos de partida distintos, tres prioridades distintas

Lo que la integración de sistemas de gestión no resuelve

Integrar 42001 con 9001 o 27001 ordena el cómo se gestiona la IA dentro de la empresa, pero no sustituye el análisis de las obligaciones legales del AI Act (Reglamento (UE) 2024/1689), cuya aplicación general —incluidas las obligaciones de los sistemas de alto riesgo del Anexo III— llega el 2 de agosto de 2026 para el resto del Reglamento (las obligaciones específicas de alto riesgo del Anexo III quedan aplazadas al 2 de diciembre de 2027 por el Digital Omnibus, acuerdo político del 7 de mayo de 2026 pendiente de publicación en el DOUE tras la aprobación del Parlamento Europeo (16-jun-2026) y el Consejo (29-jun-2026)). Un sistema de gestión de IA certificado es un argumento sólido de diligencia y buen gobierno frente al AI Act, pero la clasificación de riesgo, el rol de tu empresa en la cadena (proveedor, implementador...) y la declaración de conformidad son ejercicios legales aparte. Puedes revisar ese lado normativo en el cumplimiento del AI Act para empresas de Summum Consultoría.

Preguntas frecuentes

¿Puedo certificarme en ISO 42001, 9001 y 27001 con una sola auditoría de certificación?

No exactamente "una sola auditoría", pero sí una auditoría combinada: el mismo equipo auditor revisa los tres sistemas en las mismas visitas (fase 1 documental y fase 2 en sitio), emitiendo tres certificados independientes al final. Cada norma mantiene su propio certificado y su ciclo de vigilancia, pero el coste y el tiempo de auditoría se reducen frente a tres procesos separados.

¿Necesito tener ya la ISO 9001 o la 27001 para implantar ISO 42001?

No es un requisito de la norma: ISO/IEC 42001 se puede certificar de forma independiente. Lo que cambia es el esfuerzo. Con una base de gestión certificada, buena parte de la documentación (política, roles, control documental, auditoría interna) ya existe y solo hay que extenderla; sin ella, ese trabajo hay que construirlo igual, esté o no vinculado a otra norma.

¿Qué controles del Anexo A de ISO 27001 sirven directamente para el Anexo A de ISO 42001?

Los controles de seguridad de la información que ya protegen los sistemas donde corre la IA —control de acceso, gestión de vulnerabilidades, continuidad, gestión de proveedores tecnológicos, gestión de incidentes— son aprovechables como base técnica. No cubren, en cambio, los controles propios de IA sobre gobernanza de datos de entrenamiento, trazabilidad de decisiones automatizadas o evaluación de impacto en personas, que son objeto exclusivo del Anexo A de la 42001.

¿Tiene sentido integrar si mi empresa solo usa herramientas de IA de terceros y no desarrolla modelos propios?

Sí. ISO/IEC 42001 aplica tanto a quien desarrolla sistemas de IA como a quien los adquiere, integra y opera como parte de su actividad. Una pyme que usa herramientas de IA de proveedores externos igualmente necesita gobernar cómo las selecciona, supervisa y evalúa su impacto, y ese gobierno se apoya en la misma base de gestión que ya usa para calidad o seguridad de la información.