30 días de prueba de riesgos de IA generativa -Empezar ahora
Solicitar una demo
Plantilla gratuita · ISO 42001

Plantilla de declaración de aplicabilidad ISO 42001Documente cada decisión sobre los controles del Anexo A

La declaración de aplicabilidad es el documento en torno al cual se planifica su auditoría de certificación ISO 42001. Esta plantilla enumera los 38 controles del Anexo A agrupados por área de objetivos, con columnas de aplicabilidad, justificación, estado de implementación, evidencias y responsable, además de ejemplos resueltos y un bloque de aprobación.

Qué es una declaración de aplicabilidad

La SoA registra cuáles de los 38 controles de referencia del Anexo A de ISO/IEC 42001:2023 se aplican a su organización, por qué y cómo se implementa cada uno. Tres motivos la hacen central para la certificación:

La auditoría empieza aquí

Los auditores de certificación solicitan la SoA desde el principio y construyen el plan de auditoría a partir de ella. Toman muestras de sus controles aplicables y comprueban las evidencias de cada uno, así que cada fila debe sostenerse.

Trazable hasta su evaluación de riesgos

Cada control declarado aplicable debe remitir a un riesgo, a una obligación legal o contractual o a un objetivo de negocio. Cada exclusión debe demostrar que el riesgo o la actividad subyacente realmente no existe.

Un documento vivo

La SoA se revisa y se vuelve a aprobar cada vez que cambia la evaluación de riesgos, se incorporan o retiran sistemas de IA o un incidente revela una brecha. El historial de versiones y el bloque de aprobación están integrados en la plantilla.

Cómo funciona la tabla de la SoA

Cada control del Anexo A ocupa una fila: referencia, control parafraseado, aplicabilidad, justificación, estado de implementación, referencia de evidencia y responsable designado. Tres filas de ejemplo comentadas de la plantilla:

A.6.2.6Operación y supervisión continuas de los sistemas de IA desplegados
AplicableImplementado
Justificación

Aborda los riesgos R-014 (deriva del modelo de scoring crediticio) y R-021 (degradación silenciosa del chatbot de soporte). Los umbrales de supervisión y las vías de escalado están definidos en el procedimiento de operación de modelos.

Referencia de evidencia

POL-AI-07 v2.1; informes mensuales de rendimiento de modelos; configuración de alertas en la plataforma MLOps

Responsable

Responsable de ML Engineering

A.7.6Preparación de datos para el desarrollo de IA
ExcluidoNo aplicable
Justificación

No se entrenan ni se ajustan modelos internamente; toda la capacidad de IA se contrata como servicios alojados por proveedores, por lo que no existe ningún pipeline de datos de entrenamiento. La decisión se revisará si comienza el desarrollo interno.

Referencia de evidencia

Inventario de sistemas de IA INV-2026-Q2 que muestra la ausencia de desarrollo interno de modelos

Responsable

Responsable de gobernanza de IA

A.6.2.8Conservación de registros de eventos de los sistemas de IA
AplicableEn curso
Justificación

Aborda el riesgo R-009: imposibilidad de reconstruir decisiones asistidas por IA durante reclamaciones o incidentes. Los auditores esperan un plan creíble, no una lista terminada; este tipo de filas parciales es normal.

Referencia de evidencia

Registro de peticiones y respuestas activo para el chatbot de clientes; despliegue en los dos copilotos internos previsto para el T3 de 2026

Responsable

Responsable de operaciones de seguridad

Los 38 controles del Anexo A, agrupados por área de objetivos

La plantilla cubre las nueve áreas de objetivos de control del Anexo A de ISO/IEC 42001:2023 con resúmenes parafraseados, además de una tabla resumen de cobertura.

A.2
Políticas de IA
3 controles
A.3
Organización interna
2 controles
A.4
Recursos para los sistemas de IA
5 controles
A.5
Evaluación de los impactos de los sistemas de IA
4 controles
A.6
Ciclo de vida de los sistemas de IA
9 controles
A.7
Datos para los sistemas de IA
5 controles
A.8
Información para las partes interesadas
4 controles
A.9
Uso de los sistemas de IA
3 controles
A.10
Relaciones con terceros y clientes
3 controles

¿Análisis de brechas o declaración de aplicabilidad?

Los dos documentos se reparten la norma. Utilice ambos para cubrir ISO 42001 de principio a fin.

Análisis de brechas: cláusulas 4 a 10

  • Mide la madurez de su sistema de gestión de IA frente a los requisitos obligatorios de la norma
  • Cubre contexto, liderazgo, planificación, soporte, operación, evaluación del desempeño y mejora
  • Resultado: calificaciones de madurez, brechas con causas raíz y una hoja de ruta de remediación

Declaración de aplicabilidad: Anexo A

  • Registra cuáles de los 38 controles de referencia se aplican a su organización y por qué
  • Justifica cada inclusión y cada exclusión para que los auditores puedan rastrear las decisiones hasta los riesgos
  • Resultado: el registro control por control en torno al cual se planifica su auditoría de certificación
Obtener la plantilla de análisis de brechas ISO 42001
Empezar

Mantenga las evidencias de su SoA listas para auditoría

Aona AI descubre cada herramienta de IA en uso en su organización, supervisa qué datos fluyen hacia ellas y mantiene actualizados el inventario de IA y los rastros de auditoría a los que apunta su declaración de aplicabilidad.