Cuando un auditor con experiencia en ISO 9001 se enfrenta por primera vez a un Sistema de Gestión de IA bajo ISO 42001, la tentación es replicar el método: revisar políticas, procedimientos, registros, indicadores. Eso no funciona.
Auditar IA exige reconocer que el "producto" del sistema no es estable. Un modelo de machine learning entrenado el martes puede comportarse distinto el viernes, no porque alguien lo cambió, sino porque el contexto cambió. Eso obliga al auditor a evaluar mecanismos de monitoreo continuo, no fotos del estado.
Tres diferencias estructurales
Primera: el riesgo del sistema IA no se calcula sobre el producto entregado, sino sobre la distribución probabilística de sus salidas. Un modelo de credit scoring puede ser técnicamente preciso al 92% y aun así discriminar sistemáticamente a una población. La auditoría tiene que evaluar bias, no solo accuracy.
Segunda: la trazabilidad documental que pide ISO 42001 no es la misma que pide 9001. Hay que rastrear datasets de entrenamiento, versiones de modelo, decisiones de hyperparámetros, fechas de re-entrenamiento. La cláusula 6.1 de 42001 (evaluación de riesgo) exige una matriz que la cláusula 6.1 de 9001 nunca contempló.
Tercera: el ciclo de vida del sistema IA tiene fases que no existen en otros sistemas: data governance, model training, validation, deployment, drift monitoring, retirement responsable. Cada fase exige evidencias diferentes.
Por qué marcos complementarios
ISO 42001 establece qué debe gestionar una organización con IA. Pero cómo hacerlo requiere marcos complementarios. NIST AI RMF da el detalle técnico operativo. OECD AI Principles da el marco ético internacional. EU AI Act da el marco regulatorio europeo. Auditor que solo conoce 42001 está incompleto.
"La auditoría a un Sistema de Gestión IA bajo 42001 requiere que el auditor entienda machine learning a nivel funcional · no necesita programar modelos, pero debe poder leer una declaración de aplicabilidad de controles, un reporte de bias, una métrica de drift y saber qué preguntar."
El error frecuente
El error más común que veo es auditar sistemas IA como si fueran software tradicional. Revisar Jira tickets, ver code reviews, verificar tests unitarios. Todo eso es necesario pero insuficiente. La IA no se prueba en pruebas unitarias · se prueba en producción con monitoreo continuo y con disclosure transparente a usuarios afectados.
Una organización certificable bajo ISO 42001 hoy es una organización que documenta sus decisiones de IA, gestiona el riesgo algorítmico con metodología defendible, y mantiene un canal de transparencia hacia las personas afectadas por las decisiones automatizadas. Eso es lo que el auditor evalúa · no más, no menos.
Hacia adelante
En el International Accreditation Center estamos desarrollando un esquema propio para certificación de organizaciones bajo ISO 42001. La hoja de ruta apunta a tener el esquema operativo en 2028-2030. Mientras tanto, el Diplomado F-DE Especialista ISO 42001 forma profesionales con la base técnica para auditar estos sistemas con criterio defendible.
Auditar IA es una disciplina nueva · está en formación. Quien la domine en los próximos 5 años será referente en la próxima década. La carrera está abierta.