Los controles de ISO 42001: qué incluye el Anexo A de gestión de IA

Última actualización: julio de 2026 · Por Marcos Díaz Rojas — Consultor Senior en Sistemas de Gestión ISO, Auditor Líder certificado de SGIA (ISO 42001)

Respuesta directa: ISO/IEC 42001:2023 incluye un Anexo A con controles de referencia para gobernar la IA, agrupados en objetivos de control: políticas de IA, organización interna (roles), recursos para los sistemas de IA, evaluación de impacto, ciclo de vida del sistema de IA, datos, información a las partes interesadas, uso responsable y relación con proveedores. La organización selecciona los controles aplicables según su evaluación de riesgos e impacto (de forma análoga a la Declaración de Aplicabilidad de ISO 27001), y el Anexo B aporta la guía de implementación.

Qué es el Anexo A de ISO 42001

El Anexo A es el conjunto de controles de referencia de la norma: un catálogo del que la organización elige, justificadamente, cuáles aplica en su Sistema de Gestión de IA (SGIA). No es una lista obligatoria en bloque; la selección se basa en la evaluación de riesgos y en la evaluación de impacto de los sistemas de IA. Es el mismo principio del Anexo A de ISO 27001, aplicado a la inteligencia artificial.

Los objetivos de control (dominios)

ÁreaDe qué trata
Políticas de IAPolítica de IA responsable aprobada por la dirección y alineada al negocio.
Organización internaRoles, responsabilidades y autoridades para la gobernanza de la IA.
Recursos para la IADatos, herramientas, recursos de cómputo y capacidades humanas necesarios.
Evaluación de impactoAnalizar el impacto de los sistemas de IA en individuos, grupos y la sociedad.
Ciclo de vida del sistema de IADesarrollo responsable: diseño, verificación, despliegue, operación y retiro.
Datos para la IAGestión, calidad, procedencia y adecuación de los datos que alimentan la IA.
Información a las partes interesadasTransparencia y comunicación a usuarios y afectados por el sistema.
Uso de los sistemas de IAUso responsable y conforme al propósito previsto.
Proveedores y tercerosRequisitos y controles sobre proveedores de IA y componentes de terceros.

Cómo se seleccionan los controles

La selección se documenta a partir de la evaluación de riesgos y de la evaluación de impacto de los sistemas de IA (AIIA). Se justifica qué controles aplican y cuáles no, y se registran las decisiones. El Anexo B de la norma ofrece orientación de implementación para cada control, y anexos adicionales describen fuentes de riesgo y consideraciones por dominio de aplicación.

Relación con ISO 27001

ISO 42001 e ISO 27001 comparten la estructura armonizada (Anexo SL), de modo que muchos elementos —contexto, liderazgo, evaluación de riesgos, auditoría interna, mejora— se reutilizan. Al gestionarlas como un sistema integrado, un control o una evidencia pueden servir a las dos normas a la vez, reduciendo el esfuerzo.

Evalúa tus controles de gobernanza de IA: Pre-Evaluación gratuita

Preguntas frecuentes

¿Cuántos controles tiene ISO 42001?
El Anexo A reúne un conjunto de controles agrupados en objetivos de control (políticas, roles, recursos, impacto, ciclo de vida, datos, transparencia, uso y proveedores). La organización aplica los relevantes según su evaluación de riesgos e impacto.
¿Son obligatorios todos los controles del Anexo A?
No. Se seleccionan de forma justificada según el riesgo, igual que en la Declaración de Aplicabilidad de ISO 27001.
¿Dónde está la guía de implementación?
En el Anexo B de ISO 42001, que orienta la aplicación de cada control.
¿Se pueden integrar con los controles de ISO 27001?
Sí. Ambas comparten el Anexo SL, por lo que controles y evidencia se reutilizan en un sistema integrado.

Sobre el autor

Marcos Díaz Rojas es Ingeniero Civil Industrial (Magíster en Gestión de Activos), Consultor Senior con más de 20 años de trayectoria en Sistemas de Gestión ISO, Auditor IRCA/ICQ (SGEn) e Implementador y Auditor Líder certificado. Es Auditor Líder certificado de SGIA (ISO/IEC 42001) y con experiencia directa implementando SGSI (ISO/IEC 27001). Perfil en LinkedIn.

Contenido elaborado por Normexus. Información de referencia; los requisitos formales se rigen por la norma ISO/IEC 42001:2023 vigente.