Un certificado ISO tiene tres años de vigencia formal. Tiene seis a doce meses de validez técnica real, dependiendo del sistema. La diferencia entre esos dos números es la zona donde se rompen los sistemas sin que la certificadora se entere.
1. La diferencia entre vigencia y validez
La vigencia del certificado la define la norma: tres años, con auditorías de mantenimiento anuales. La validez técnica la define el sistema real: cuánto tiempo pasa entre una auditoría y la siguiente rotación significativa de personal, cambio de proveedor crítico, modificación del proceso central, incidente regulatorio. Lo que sea que altere el sistema más allá de la muestra evaluada.
En la mayoría de los sistemas que ausculté, la validez técnica real está entre seis y doce meses. Después de eso, el sistema sigue formalmente conforme y técnicamente otra cosa.
2. Los tres ciclos limpios
Llamé ciclo limpio al período en el que el sistema auditado se mantiene materialmente igual al sistema certificado. Hay tres tipos.
Ciclo limpio largo (12+ meses). Sistemas estables: industrias maduras, procesos productivos repetitivos, organizaciones con muy baja rotación. Acá el certificado conserva validez técnica casi toda la vigencia formal.
Ciclo limpio medio (6-12 meses). El caso típico. Organizaciones con cambios estacionales, rotación normal, cambios de proveedor cada uno o dos trimestres. Después del primer año, el certificado cubre el sistema que era, no el que es.
Ciclo limpio corto (<6 meses). Tech, IA generativa, ciberseguridad, todo lo que se mueva con velocidad de software. Acá el certificado pierde validez técnica antes de cumplirse el primer año. Y la norma sigue diciendo que el certificado es válido tres.
3. Lo que un board hace con esto
Le pregunta al gerente de calidad o al CISO: ¿cuánto hace que no se audita lo que más cambió en este sistema?. La respuesta marca dónde está el riesgo real, no donde está la firma del certificador.
El certificado tiene tres años. El riesgo tiene seis meses. Quien firma el certificado cubre lo primero. Quien firma el directorio responde por lo segundo.
4. La consecuencia operativa
Los ciclos limpios son la razón por la que las auditorías de mantenimiento serias importan más que la inicial. La auditoría inicial certifica el sistema. La de mantenimiento verifica si el sistema certificado sigue existiendo. Si la auditoría de mantenimiento es ligera — típico cuando el cliente y la certificadora ya tienen relación larga — el certificado pasa de garantía a placebo en menos de dieciocho meses.
Fernando Arrieta · 2026-01-18 · Buenos Aires