En diciembre de 2023, ISO publicó el primer estándar internacional específicamente diseñado para gobernar sistemas de inteligencia artificial: la ISO/IEC 42001. No es un marco ético ni un inventario de buenas prácticas: es un sistema de gestión auditable, con cláusulas, controles y requisitos de documentación concretos, comparable en rigor a ISO 27001 o ISO 9001. Su aparición llega en un momento en que los reguladores, tanto en Perú como en Europa, empiezan a exigir evidencia de que los sistemas de IA se gestionan con responsabilidad.
En Perú, el Reglamento de la Ley N.° 31814 (DS 115-2025-PCM), vigente desde el 22 de enero de 2026, ya obliga a las empresas privadas a registrar sus sistemas de IA, aplicar supervisión humana en casos de alto riesgo y garantizar transparencia algorítmica. El cronograma de obligaciones es gradual por sector —finanzas, salud y educación tienen hasta septiembre de 2026— pero el reloj ya corre. La pregunta no es si las empresas deben gestionar su IA, sino cómo hacerlo de forma sistemática y demostrable.
ISO 42001 responde exactamente a esa pregunta. Este artículo explica qué exige el estándar cláusula por cláusula, cómo se integra con ISO 27001, cómo se alinea con las regulaciones peruanas y europeas, y qué debe hacer una empresa de procesamiento documental para implementarlo en la práctica.
Qué es ISO/IEC 42001:2023 y por Qué Importa Ahora
El Primer Estándar Internacional de Sistema de Gestión de IA
ISO/IEC 42001:2023 define los requisitos para establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de Inteligencia Artificial (AIMS). Fue publicado en diciembre de 2023 por el subcomité ISO/IEC JTC 1/SC 42, el mismo grupo que desarrolla los estándares internacionales de IA.
El estándar cubre cuatro dimensiones que ningún marco anterior integraba de forma sistémica: gobernanza organizacional de la IA, gestión de riesgos específicos de sistemas de IA, supervisión del ciclo de vida de los modelos y transparencia hacia las partes interesadas. A diferencia de los marcos de referencia voluntarios o los principios éticos, ISO 42001 es auditable y certificable: una empresa puede obtener una certificación de tercera parte que demuestre conformidad.
Por Qué No Es Lo Mismo que ISO 27001
La confusión entre ambos estándares es frecuente. La diferencia de fondo es el objeto de gestión:
| Dimensión | ISO 27001 (SGSI) | ISO 42001 (AIMS) |
|---|---|---|
| Objeto de gestión | Activos de información | Sistemas de inteligencia artificial |
| Riesgo principal | Confidencialidad, integridad, disponibilidad | Sesgo algorítmico, impacto en derechos, deriva del modelo |
| Evaluación de impacto | DPIA (protección de datos) | AIIA (impacto de IA) |
| Control de versiones | Gestión de cambios en TI | Ciclo de vida del modelo (versión, retiro) |
| Supervisión | Acceso y monitoreo de usuarios | Supervisión humana de decisiones automatizadas |
| Estructura base | Cláusulas 4–10 (HLS) | Cláusulas 4–10 (HLS) |
| Publicación | 2005, rev. 2013 y 2022 | Diciembre 2023 |
Una empresa puede tener ISO 27001 y gestionar correctamente la seguridad de sus sistemas de IA, pero sin ISO 42001 no tiene un marco para gobernar el sesgo de sus modelos de OCR, la trazabilidad de sus decisiones automatizadas ni la supervisión humana en casos de baja confianza. Son complementarios, no equivalentes.
Los Nueve Dominios de Control: Qué Exige ISO 42001
El Anexo A de ISO 42001 es normativo: sus controles son requisitos, no recomendaciones. Los nueve dominios organizan las obligaciones de la siguiente manera:
| Dominio | Código | Descripción |
|---|---|---|
| Política de IA | A.2 | Definición y comunicación de la postura organizacional frente a la IA |
| Organización interna | A.3 | Roles, responsabilidades y gobernanza interna para sistemas de IA |
| Recursos para IA | A.4 | Datos, infraestructura, personal y herramientas necesarios |
| Evaluación de impacto (AIIA) | A.5 | Análisis de efectos sobre derechos, seguridad y medio ambiente antes del despliegue |
| Ciclo de vida del sistema de IA | A.6 | Desarrollo, verificación, despliegue, monitoreo y retiro del modelo |
| Gestión de datos de entrenamiento | A.7 | Procedencia, representatividad y gobierno de los datos usados para entrenar |
| Documentación técnica | A.8 | Propósito, limitaciones, métricas de rendimiento y canales de reclamación |
| Uso responsable y supervisión humana | A.9 | Mecanismos para que las personas revisen o rechacen decisiones automatizadas |
| Relaciones con terceros | A.10 | Gestión de proveedores de modelos, plataformas de IA y datos externos |
Para empresas de procesamiento documental, los controles de mayor impacto inmediato son tres:
- A.6 (ciclo de vida): Requiere versionar los modelos, documentar criterios de aceptación y establecer procedimientos de retiro. Cuando un modelo de OCR actualiza pesos o cambia de proveedor, debe existir un proceso formal de validación antes de usarlo en producción sobre documentos con valor legal.
- A.7 (datos de entrenamiento): Exige documentar la procedencia de los datos usados para entrenar o afinar modelos, evaluar su representatividad y detectar sesgos de distribución que puedan afectar la precisión sobre tipos específicos de documentos.
- A.9 (supervisión humana): Define cómo actúa el operador cuando el sistema devuelve un resultado de baja confianza o fuera del umbral aceptable. Debe existir un procedimiento documentado y operado, no solo declarado.
ISO 42001 + ISO 27001: Integración y Sinergia
La Estructura de Alto Nivel Compartida
Ambos estándares siguen la misma estructura de cláusulas 4 al 10: contexto de la organización, liderazgo, planificación, soporte, operación, evaluación del desempeño y mejora continua. Esta Estructura de Alto Nivel (HLS) fue diseñada por ISO precisamente para facilitar la integración de sistemas de gestión.
En la práctica, si una organización ya tiene ISO 27001, puede reutilizar directamente:
- La metodología de identificación de partes interesadas (cláusula 4.2)
- El proceso de establecimiento de objetivos medibles (cláusula 6.2)
- El programa de auditorías internas y revisión por la dirección (cláusulas 9.2 y 9.3)
- Los procedimientos de acciones correctivas (cláusula 10.1)
- La gestión de competencias y concienciación del personal (cláusula 7.2)
Cómo Reducir el Esfuerzo Dual
Consultoras especializadas en implementaciones integradas estiman que la reutilización de la base ISO 27001 reduce el esfuerzo de implementación de ISO 42001 en aproximadamente un 35–40%. Este ahorro se concentra principalmente en la fase de documentación y en la preparación de la auditoría interna, donde los procesos existentes pueden extenderse en lugar de construirse desde cero.
Lo que ISO 42001 añade exclusivamente —y que no existe en ISO 27001— son los controles del Anexo A específicos de IA: la Evaluación de Impacto de IA (AIIA), el gobierno del ciclo de vida del modelo, la evaluación de calidad de datos de entrenamiento y los mecanismos formales de supervisión humana. Estos carecen de equivalente directo en ISO 27001 y deben implementarse desde cero.
ISO 23894 como Metodología de Soporte
La norma ISO/IEC 23894:2023, publicada en febrero de 2023, es la guía de gestión de riesgos específicos de IA, diseñada como complemento de ISO 31000 e ISO 42001. Mientras ISO 42001 define qué gestionar (el sistema), ISO 23894 define cómo analizar los riesgos propios de IA: sesgo algorítmico, robustez del modelo frente a ataques adversariales, deriva de distribución de datos (data drift), privacidad en inferencia y riesgos sociales agregados. Las organizaciones que implementen la cláusula 6 de ISO 42001 (planificación de riesgos) se benefician de usar ISO 23894 como metodología de referencia.
Cumplimiento Regulatorio: DS 115-2025-PCM y EU AI Act
Cronograma de Obligaciones del DS 115-2025-PCM en Perú por Sector
El Reglamento de la Ley N.° 31814, aprobado el 9 de septiembre de 2025 y vigente desde el 22 de enero de 2026, establece un calendario de implementación gradual:
| Sector | Fecha límite |
|---|---|
| Salud, educación, justicia y finanzas | 10 de septiembre de 2026 |
| Transporte, comercio y trabajo | 10 de septiembre de 2027 |
| Producción, agricultura, energía y minería | 10 de septiembre de 2028 |
| Resto de sectores | 10 de septiembre de 2029 |
Las obligaciones concretas para empresas privadas incluyen: mantener un registro actualizado de sistemas de IA en uso, aplicar protocolos de privacidad y transparencia, garantizar supervisión humana en sistemas de alto riesgo y documentar la lógica algorítmica de los sistemas que afectan decisiones sobre personas.
Alineación de ISO 42001 con el EU AI Act
El Reglamento UE 2024/1689 (EU AI Act), en vigor desde el 1 de agosto de 2024, establece requisitos técnicos para sistemas de IA de alto riesgo que tienen correspondencia directa con los controles de ISO 42001:
| Artículo EU AI Act | Requisito | Control ISO 42001 relacionado |
|---|---|---|
| Art. 9 | Sistema de gestión de riesgos | Cláusula 6 + ISO 23894 |
| Art. 10 | Gobernanza de datos y datos de entrenamiento | A.7 |
| Art. 11 | Documentación técnica | A.8 |
| Art. 12 | Registro de eventos (trazabilidad) | A.6, A.8 |
| Art. 13 | Transparencia e información a usuarios | A.8, A.9 |
| Art. 14 | Supervisión humana | A.9 |
| Art. 15 | Precisión, robustez y ciberseguridad | A.6, A.7 |
ISO 42001 no equivale a conformidad automática con el EU AI Act. El reglamento europeo requiere adicionalmente: conformidad evaluada por terceros para categorías específicas, registro en la base de datos europea de sistemas de IA de alto riesgo y marcado CE. Sin embargo, implementar ISO 42001 genera la evidencia documental que sustenta el cumplimiento de los artículos 9–15, que son precisamente los requisitos técnicos más exigentes.
Implementación Práctica: Fases y Checklist para Empresas
Fase 0: Definición del Alcance
El primer error en implementaciones de ISO 42001 es incluir todos los sistemas de IA de la organización en el primer ciclo. El alcance (scope) debe ser deliberado y estratégico. Los criterios para priorizar sistemas son:
- El sistema toma o apoya decisiones con impacto legal, económico o sobre derechos de personas
- El sistema está clasificado como alto riesgo bajo el DS 115-2025-PCM
- El sistema usa datos sensibles o personales
- El proveedor del modelo o plataforma es un tercero (A.10 aplica directamente)
Una empresa de procesamiento documental puede iniciar con un alcance limitado a sus sistemas de OCR de producción y extracción de datos estructurados, dejando para el segundo ciclo los modelos de clasificación auxiliares.
Fase 1: Evaluación de Brecha
Con el alcance definido, el análisis de brecha compara el estado actual de la organización contra los requisitos de las cláusulas 4–10 y los controles del Anexo A. Las preguntas clave son:
- ¿Existe una política de IA documentada y aprobada por la dirección?
- ¿Se realizan evaluaciones de impacto (AIIA) antes de desplegar modelos?
- ¿Los sistemas en alcance tienen documentación técnica actualizada (propósito, limitaciones, métricas)?
- ¿Existe un procedimiento para gestionar el ciclo de vida del modelo, incluyendo retiro?
- ¿Hay mecanismos formales de supervisión humana para casos de baja confianza?
Fase 2: Documentación e Implementación de Controles
Esta es la fase más extensa. Los documentos mínimos que el estándar requiere son:
Documentos obligatorios:
- Política de Inteligencia Artificial (aprobada por la alta dirección)
- Registro de sistemas de IA en alcance
- Informe de Evaluación de Impacto de IA (AIIA) por sistema
- Procedimiento de gestión del ciclo de vida del modelo
- Registro de versiones del modelo (con criterios de aceptación y retiro)
- Procedimientos de supervisión humana (con umbrales documentados)
- Inventario de proveedores de IA y contratos con cláusulas de transparencia (A.10)
- Programa de auditorías internas y resultados
- Informe de revisión por la dirección
Fase 3: Auditoría Interna y Preparación para Certificación
Antes de la auditoría de certificación externa, la organización debe completar al menos un ciclo de auditoría interna que verifique la operación real de los controles —no solo su documentación. Los auditores externos de ISO 42001 buscan evidencia de que los procedimientos se ejecutan: registros de AIIA realizadas, actas de revisión de versiones de modelo, registros de intervenciones de supervisión humana y resultados de revisiones por la dirección.
Hitos temporales orientativos:
- Semanas 1–4: Definición del alcance y análisis de brecha
- Semanas 5–12: Diseño de políticas y procedimientos
- Semanas 13–24: Implementación de controles y operación inicial
- Semanas 25–32: Auditoría interna y acciones correctivas
- Semanas 33–40: Auditoría de pre-certificación (opcional) y Stage 1
- Semanas 41–48: Auditoría de certificación Stage 2
Casos por Sector: Desde Microformas hasta Finanzas y Legal
Organismos de Producción de Microformas: Documentación de Modelos de OCR
Cuando un Organismo de Producción de Microformas certificado bajo NTP 392.030-2:2015 incorpora modelos de OCR de alta precisión a su flujo —para leer los documentos originales antes de la microformación— esos modelos forman parte del proceso que produce documentos con valor legal equivalente al original. Un AIMS bajo ISO 42001 garantiza que los modelos de OCR están versionados, tienen criterios de aceptación documentados y son auditables. Esto protege la integridad y la trazabilidad de la cadena de custodia documental ante cualquier impugnación legal futura. Los controles A.6 (ciclo de vida) y A.8 (documentación técnica) son los más críticos en este contexto.
Sector Financiero: Scoring Crediticio y Detección de Fraude
Los sistemas de scoring crediticio, detección de fraude documental y validación de identidad son candidatos directos a la clasificación de alto riesgo bajo el DS 115-2025-PCM. Las instituciones financieras supervisadas por la SBS que usan IA en estas decisiones necesitan documentar la lógica del modelo, sus limitaciones, los mecanismos de apelación y los umbrales de intervención humana. Los controles A.7 (calidad de datos), A.8 (documentación técnica) y A.9 (supervisión humana) son los pilares regulatorios en este sector. El plazo para estas empresas es septiembre de 2026.
Sector Legal y Notarial: Trazabilidad en Revisión Automática de Contratos
La automatización de revisión de contratos y extracción de cláusulas trabaja sobre documentos con alto valor probatorio. Si un modelo extrae información errónea de un contrato y esa información es utilizada en una decisión legal, la trazabilidad del modelo —qué versión procesó el documento, bajo qué parámetros, con qué confianza— se convierte en evidencia crítica. Los controles A.6 (versionado del modelo) y A.8 (registro de metadatos del sistema) son esenciales para mantener la cadena de custodia.
Administración Pública: TUPA Digital y Supervisión Humana Obligatoria
Los sistemas de IA que participan en trámites documentarios del TUPA deben cumplir simultáneamente con el DS 115-2025-PCM y con el principio de supervisión humana de la Ley N.° 27444. Un AIMS documenta quién revisa las decisiones automatizadas, bajo qué criterios y con qué plazo de respuesta. Esto convierte la supervisión humana de una declaración de principios en un procedimiento auditable.
Errores Comunes y Lecciones de la Implementación
Error 1: Alcance demasiado amplio en el primer ciclo. Incluir todos los sistemas de IA —desde el clasificador de correo hasta el modelo de alto riesgo— sobrecarga el proyecto inicial y diluye el esfuerzo. La solución es empezar con los dos o tres sistemas de mayor riesgo e impacto regulatorio, certificarse y expandir en el segundo ciclo.
Error 2: Confundir el AIMS con una auditoría técnica de modelos. ISO 42001 no exige que los auditores evalúen la arquitectura del modelo ni sus métricas de rendimiento técnico. Exige que la organización tenga un proceso para evaluar, documentar y supervisar sus modelos. El auditor verifica que el proceso existe y opera, no que el modelo es técnicamente óptimo.
Error 3: Tratar ISO 42001 como un proyecto de TI. El estándar requiere involucramiento de la alta dirección (cláusula 5), definición de objetivos de gestión de IA alineados con la estrategia organizacional y revisión periódica por la dirección. Si solo lo lidera el equipo de tecnología sin patrocinio ejecutivo, la implementación queda incompleta en las cláusulas de liderazgo y contexto.
Error 4: Documentar sin operar. El error más frecuente: los procedimientos existen en papel pero los registros de operación no. Los auditores de ISO 42001 piden evidencia de que las AIIA se realizaron, que los umbrales de supervisión humana se aplicaron y que el ciclo de vida del modelo se gestionó activamente. Un procedimiento sin registros de ejecución es no conformidad.
Costos, Plazos y Diferenciación Competitiva
Línea de Tiempo y Costos por Tamaño Organizacional
| Perfil de empresa | Tiempo estimado | Costo de auditoría | Costo total (incl. consultoría) |
|---|---|---|---|
| Pyme sin sistema de gestión previo | 9–12 meses | USD 4.000–8.000 | USD 15.000–40.000 |
| Empresa mediana con ISO 27001 | 7–8 meses | USD 8.000–14.000 | USD 30.000–70.000 |
| Empresa grande, sistemas múltiples | 10–14 meses | USD 14.000–20.000+ | USD 60.000–90.000+ |
| Pyme con alcance reducido y equipo dedicado | 3–4 meses | USD 4.000–8.000 | USD 15.000–30.000 |
Estos valores son estimaciones orientativas basadas en referencias internacionales. Los costos en Perú pueden variar según el organismo certificador y la complejidad de los sistemas en alcance. No existen listas de precios públicas de organismos certificadores locales específicamente para ISO 42001 a la fecha.
Beneficios Tangibles Más Allá del Cumplimiento
La certificación ISO 42001 genera valor en cuatro dimensiones que van más allá del cumplimiento regulatorio:
- Diferenciación en licitaciones: Organismos públicos y empresas grandes que incorporan IA en sus procesos de compra pueden exigir evidencia de gestión responsable de IA a sus proveedores. La certificación es una respuesta demostrable.
- Reducción de riesgo reputacional y legal: Un AIMS documentado limita la exposición ante reclamaciones por decisiones automatizadas incorrectas, al demostrar que existía un proceso de supervisión y que se siguió.
- Alineación regulatoria anticipada: Las empresas que implementen ISO 42001 antes de que sus plazos sectoriales venzan llegan a las obligaciones del DS 115-2025-PCM con evidencia ya generada, no con documentación improvisada.
- Visibilidad operativa: El proceso de implementación obliga a inventariar todos los sistemas de IA en uso, incluyendo los adoptados por áreas sin coordinación con TI. Esta visibilidad suele revelar modelos desactualizados o sin supervisión que representan riesgos no identificados.
La ISO/IEC 42001:2023 no es un requisito de cumplimiento más que las empresas deben acumular. Es el primer marco sistemático que permite gestionar la IA con la misma rigurosidad con que se gestiona la seguridad de la información o la calidad. En un entorno donde el DS 115-2025-PCM ya tiene fuerza de ley en Perú y el EU AI Act define el estándar global para el comercio con Europa, implementar un AIMS es una decisión de gestión de riesgos y de posicionamiento competitivo. Las organizaciones que lo hagan antes de que sus plazos sectoriales venzan no solo cumplirán con la regulación: habrán construido una capacidad institucional que los que lleguen tarde tendrán que desarrollar bajo presión.
