No es manifiesto. Es la base operativa de cómo se decide qué se hace y qué no se hace en cada diagnóstico independiente. Lecturas obligatorias antes de contratar.
Audito lo que puede demostrar. La diferencia entre ambas cosas suele ser la diferencia entre una certificación vigente y un sistema controlable. Una organización que pide diagnóstico independiente está pidiendo precisamente eso: que alguien mire la evidencia en lugar del manual.
No vendo certificados desde este sitio. No implemento sistemas que después auditaría. No prometo resultados de certificación a un organismo independiente. No maquillo hallazgos para que el directorio se sienta cómodo. Y no audito lo que yo mismo asesoré previamente. La regla protege la objetividad del juicio.
La función real de ISO 27001, 42001, 9001 o 22301 en una organización adulta no es decorar el cumplimiento. Es proveer la única gramática común que un directorio puede usar para hablar de riesgo operativo con un regulador, un asegurador, un comprador estratégico y un auditor externo al mismo tiempo. Esa gramática vale.
Una organización que contrata diagnóstico independiente no compra una clase de norma. Compra criterio aplicado a su evidencia concreta, traducido a decisiones que el directorio puede tomar la misma semana. Cuando ese criterio funciona, la organización lo internaliza. Cuando hace falta refresco, vuelve a contratarlo. No es un servicio mensual.
Toda misión sigue el mismo método: Board Intake → Diagnostic Snapshot → Clause-Based Gap Review → Risk Prioritization → Evidence Closure Review. Diagnóstico inicial en 72 horas operativas. La metodología es la misma para ISO 9001 o para ISO 42001; lo que cambia son los controles del Anexo aplicable y la matriz de evidencia que se muestrea.
Posiciones que se mantienen frente a clientes, periodistas, organismos y comités. No son opiniones; son la base sobre la que se contrata un diagnóstico independiente.
La fórmula "ISO 42001 = compliance del AI Act" es factualmente incorrecta. La certificación cubre aproximadamente el 70% de los requisitos para sistemas de alto riesgo. El 30% restante es arquitectura, no documentación.
Tres ciclos de auditoría sin no conformidades mayores no garantizan que el sistema esté controlable. Garantizan que el sistema documentado pasa el muestreo del organismo. Son cosas distintas.
El 73% de las organizaciones con ISO 27001 activa opera herramientas de IA fuera del sistema declarado. Eso no es brecha técnica: es síntoma de un proceso de adopción débil. La acción correctiva no es prohibir; es rediseñar el flujo.
Ser Director en un organismo de certificación no me convierte en certificador desde este sitio. La separación estructural ISO/IEC 17021-1 se aplica: ninguna misión contratada acá condiciona auditorías oficiales conducidas por G-CERTI o cualquier otro organismo.
Si la doctrina coincide con lo que su organización necesita, los próximos 72 horas son operativas. Capacidad limitada — 4 diagnósticos por mes.
La autoridad sirve cuando ayuda a tomar una decisión concreta sobre el sistema.