La declaración de aplicabilidad es el documento en torno al cual se planifica su auditoría de certificación ISO 42001. Esta plantilla enumera los 38 controles del Anexo A agrupados por área de objetivos, con columnas de aplicabilidad, justificación, estado de implementación, evidencias y responsable, además de ejemplos resueltos y un bloque de aprobación.
La SoA registra cuáles de los 38 controles de referencia del Anexo A de ISO/IEC 42001:2023 se aplican a su organización, por qué y cómo se implementa cada uno. Tres motivos la hacen central para la certificación:
Los auditores de certificación solicitan la SoA desde el principio y construyen el plan de auditoría a partir de ella. Toman muestras de sus controles aplicables y comprueban las evidencias de cada uno, así que cada fila debe sostenerse.
Cada control declarado aplicable debe remitir a un riesgo, a una obligación legal o contractual o a un objetivo de negocio. Cada exclusión debe demostrar que el riesgo o la actividad subyacente realmente no existe.
La SoA se revisa y se vuelve a aprobar cada vez que cambia la evaluación de riesgos, se incorporan o retiran sistemas de IA o un incidente revela una brecha. El historial de versiones y el bloque de aprobación están integrados en la plantilla.
Cada control del Anexo A ocupa una fila: referencia, control parafraseado, aplicabilidad, justificación, estado de implementación, referencia de evidencia y responsable designado. Tres filas de ejemplo comentadas de la plantilla:
Aborda los riesgos R-014 (deriva del modelo de scoring crediticio) y R-021 (degradación silenciosa del chatbot de soporte). Los umbrales de supervisión y las vías de escalado están definidos en el procedimiento de operación de modelos.
POL-AI-07 v2.1; informes mensuales de rendimiento de modelos; configuración de alertas en la plataforma MLOps
Responsable de ML Engineering
No se entrenan ni se ajustan modelos internamente; toda la capacidad de IA se contrata como servicios alojados por proveedores, por lo que no existe ningún pipeline de datos de entrenamiento. La decisión se revisará si comienza el desarrollo interno.
Inventario de sistemas de IA INV-2026-Q2 que muestra la ausencia de desarrollo interno de modelos
Responsable de gobernanza de IA
Aborda el riesgo R-009: imposibilidad de reconstruir decisiones asistidas por IA durante reclamaciones o incidentes. Los auditores esperan un plan creíble, no una lista terminada; este tipo de filas parciales es normal.
Registro de peticiones y respuestas activo para el chatbot de clientes; despliegue en los dos copilotos internos previsto para el T3 de 2026
Responsable de operaciones de seguridad
La plantilla cubre las nueve áreas de objetivos de control del Anexo A de ISO/IEC 42001:2023 con resúmenes parafraseados, además de una tabla resumen de cobertura.
Los dos documentos se reparten la norma. Utilice ambos para cubrir ISO 42001 de principio a fin.
Aona AI descubre cada herramienta de IA en uso en su organización, supervisa qué datos fluyen hacia ellas y mantiene actualizados el inventario de IA y los rastros de auditoría a los que apunta su declaración de aplicabilidad.