Imagen destacada

1. Introducción

En un entorno con regulaciones cambiantes, mayor atención del público y expectativas crecientes sobre la ética corporativa, el cumplimiento normativo dejó de ser solo una obligación legal para convertirse en un elemento estratégico de gestión.

La norma ISO 37301:2021, Sistemas de Gestión de Compliance – Requisitos con orientación para su uso, establece los requisitos para diseñar, implementar, evaluar y mejorar un Sistema de Gestión de Compliance (SGCM) eficaz y adaptable a cualquier tipo de organización (International Organization for Standardization [ISO], 2021a; ANSI, 2021).

ISO 37301 sustituye a ISO 19600:2014, que proporcionaba únicamente directrices. La nueva norma es un estándar de requisitos (tipo A), lo que significa que sus cláusulas son auditables y permiten declarar conformidad con un marco internacionalmente aceptado (ABAC Group, 2021; PECB, 2021).

2. ¿Qué es ISO 37301?

ISO 37301 es un estándar internacional que define los requisitos de un Sistema de Gestión de Compliance y ofrece orientación para su aplicación (ISO, 2021a, 2021b). Su objetivo es ayudar a las organizaciones a:

  • Identificar sus obligaciones de compliance (legales, regulatorias, contractuales, internas y éticas).
  • Evaluar y tratar los riesgos de incumplimiento relacionados con dichas obligaciones.
  • Establecer políticas, procesos y controles coherentes con la estrategia y los valores corporativos.
  • Promover una cultura de integridad y cumplimiento en todos los niveles de la organización (activemind.legal, s. f.; GlobalSuite Solutions, 2025).

A diferencia de ISO 19600, que contenía recomendaciones, ISO 37301 incluye requisitos explícitos y medibles, reforzando el enfoque basado en riesgos y la evaluación del desempeño (Nimonik, 2023; UpGuard, 2025).

3. Relación con ISO 19600 y estructura de alto nivel

ISO 37301 toma como base el contenido conceptual de ISO 19600, pero lo transforma en una norma certificable, manteniendo elementos como el análisis de contexto, el liderazgo, el enfoque de riesgos y la mejora continua (Quentic, 2021; Nimonik, 2023).

La norma adopta la estructura de alto nivel (Annex SL), compartida con otros estándares de gestión como ISO 9001, ISO 14001 e ISO 27001, lo que facilita su integración con sistemas ya existentes (ISO, 2021a; UNE, 2021). Los requisitos 4 a 10 se centran en:

  • Contexto de la organización.
  • Liderazgo.
  • Planificación.
  • Apoyo.
  • Operación.
  • Evaluación del desempeño.
  • Mejora.

Esta armonización permite tratar el compliance como parte de un sistema integrado de gestión, en lugar de un conjunto aislado de políticas (activemind.legal, s. f.).

4. Elementos clave del sistema de gestión de compliance

4.1. Contexto y partes interesadas

ISO 37301 exige comprender el contexto interno y externo que influye en la capacidad de cumplir obligaciones: factores legales, políticos, económicos, sociales, tecnológicos y sectoriales (ISO, 2021a; Thamer James, 2024).

Asimismo, la organización debe identificar sus partes interesadas (autoridades, clientes, empleados, proveedores, comunidad, inversionistas, etc.) y sus expectativas en materia de compliance, definiendo un alcance del SGCM claro y coherente con la estrategia (ISO, 2021a; PECB, 2021).

4.2. Liderazgo, gobernanza y cultura de integridad

La norma asigna un rol central a la alta dirección y al órgano de gobierno, quienes deben:

  • Demostrar compromiso y liderazgo respecto al compliance.
  • Aprobar una política de compliance alineada con los valores y objetivos de la organización.
  • Asignar responsabilidades y recursos, incluyendo una función de compliance con autoridad y autonomía suficientes (ISO, 2021a; Deloitte, 2021).

ISO 37301 enfatiza la creación de una cultura ética, basada en integridad, transparencia y tolerancia cero frente al fraude, el soborno, el acoso o las represalias contra denunciantes (GlobalSuite Solutions, 2025).

4.3. Enfoque basado en riesgos de compliance

Uno de los pilares del estándar es el enfoque basado en riesgos. La organización debe:

  • Identificar, analizar y evaluar los riesgos de incumplimiento conforme a probabilidad, impacto y controles existentes.
  • Definir criterios de riesgo y niveles aceptables.
  • Establecer planes de tratamiento (prevenir, reducir, transferir o aceptar riesgos bajo condiciones controladas) (Nimonik, 2023; PECB, 2021).

Este enfoque permite priorizar recursos, concentrándose en las áreas donde el incumplimiento tendría mayores consecuencias legales, económicas o reputacionales (Quadraconsulting, 2025).

4.4. Apoyo: recursos, competencias y comunicación

Para que el SGCM sea eficaz, ISO 37301 exige:

  • Recursos adecuados (humanos, tecnológicos y financieros).
  • Competencias y formación del personal en temas de ética, obligaciones legales y gestión de riesgos.
  • Información documentada que incluya políticas, procedimientos, registros de riesgos, evaluaciones y acciones correctivas.
  • Estrategias de comunicación interna y externa sobre la importancia del cumplimiento (ISO, 2021a; activemind.legal, s. f.).

4.5. Operación: controles, debida diligencia y denuncias

En la fase operacional, la organización debe:

  • Establecer procesos para identificar y actualizar las obligaciones de compliance.
  • Integrar el cumplimiento en procesos clave (contratación, compras, proyectos, ventas, RR. HH., tecnología, etc.).
  • Aplicar debida diligencia proporcional al riesgo en relaciones con terceros (proveedores, socios, intermediarios) (ISO, 2021a; ABAC Group, 2021).
  • Implementar canales de denuncia y procedimientos de investigación interna ante posibles incumplimientos (GlobalSuite Solutions, 2025).

4.6. Evaluación del desempeño y mejora continua

ISO 37301 requiere que el SGCM sea evaluado mediante:

  • Indicadores y objetivos de desempeño de compliance.
  • Auditorías internas y revisiones por la alta dirección.
  • Investigación de incumplimientos, análisis de causas raíz y definición de acciones correctivas y de mejora (ANSI, 2021; Quadraconsulting, 2025).

Todo ello se apoya en el ciclo Planificar–Hacer–Verificar–Actuar (PHVA), orientado a la mejora continua del sistema y de la cultura de cumplimiento (ISO, 2021a).

5. Beneficios de implementar ISO 37301

La literatura y la práctica coinciden en varios beneficios recurrentes:

  1. Mejor gobernanza y toma de decisiones: un SGCM estructurado fortalece la gobernanza corporativa al integrar el riesgo de incumplimiento en la toma de decisiones estratégicas y operativas (Quadraconsulting, 2025; Deloitte, 2021).
  2. Reducción de riesgos legales y daños reputacionales: gestionar proactivamente los riesgos de compliance contribuye a prevenir sanciones, litigios y pérdidas económicas relacionadas con incumplimientos (ANSI, 2021; ABAC Group, 2021).
  3. Mayor confianza de las partes interesadas; un sistema de cumplimiento maduro genera confianza en clientes, autoridades, inversionistas y comunidad, mejorando la reputación y la capacidad de establecer relaciones de negocio sostenibles (GlobalSuite Solutions, 2025; activemind.legal, s. f.).
  4. Cultura ética y compromiso del personal: la combinación de políticas claras, formación continua y canales de denuncia favorece una cultura en la que el personal se siente respaldado para actuar conforme a la integridad, incluso bajo presión comercial (ISO, 2021b; ESG Compliance & ISO 37301, 2023).
  5. Facilidad de integración con otros sistemas de gestión: gracias a la estructura de alto nivel, ISO 37301 se integra con normas como ISO 9001, ISO 14001 o ISO 27001, optimizando recursos, evitando duplicidades y facilitando auditorías coordinadas (UNE, 2021; ISO, 2021a).

6. Recomendaciones para la implementación

Aunque cada organización debe adaptar el enfoque a su realidad, un camino práctico puede incluir:

  • Diagnóstico inicial frente a los requisitos de ISO 37301 para identificar brechas.
  • Definición del alcance, estructura de gobernanza y responsabilidades de compliance.
  • Elaboración de un mapa de obligaciones de compliance y un registro de riesgos asociados.
  • Diseño o actualización de políticas, procedimientos y controles de compliance.
  • Programas de formación y concientización según perfiles y niveles de riesgo.
  • Sistema de monitoreo, auditoría interna y mejora continua con indicadores claros (ISO, 2021a; PECB, 2021).

7. Conclusión

ISO 37301:2021 ofrece un marco robusto para integrar el compliance en la estrategia, la cultura y las operaciones diarias. Al adoptar un enfoque basado en riesgos, reforzar la gobernanza y promover la integridad, las organizaciones no solo reducen la probabilidad de sanciones, sino que construyen relaciones de confianza a largo plazo con todas sus partes interesadas (Deloitte, 2021; GlobalSuite Solutions, 2025).

Lejos de ser un simple requisito normativo, un sistema de gestión de compliance según ISO 37301 se convierte en un habilitador de decisiones responsables, sostenibilidad y competitividad.

Referencias 

ABAC Group. (2021, 16 abril). ISO 19600 is revised by ISO 37301. ABAC Group. abacgroup.com

ANSI. (2021, 13 mayo). ISO 37301:2021 – Compliance management systems. American National Standards Institute. The ANSI Blog

activemind.legal. (s. f.). Compliance management system according to ISO 37301. activemind.legal. activeMind.legal

Deloitte. (2021). Introducing ISO 37301 on compliance management. Deloitte. Deloitte Brazil

ESG Compliance & ISO 37301: What businesses need to know. (2023, 27 abril). ABAC Group. abacgroup.com

GlobalSuite Solutions. (2025, 4 julio). ISO 37301: Culture of ethical compliance in your company. GlobalSuite Solutions. GlobalSuite Solutions

International Organization for Standardization. (2021a). ISO 37301:2021 – Compliance management systems — Requirements with guidance for use. ISO. iso.org+1

International Organization for Standardization. (2021b). ISO 37301:2021 and the Sustainable Development Goals. ISO. iso.org

Nimonik. (2023, 3 marzo). What are the main differences between ISO 19600 and ISO 37301? Nimonik. Nimonik

PECB. (2021). Whitepaper on ISO 37301:2021. PECB. pecb.com

Quadraconsulting. (2025, 12 febrero). Achieving ISO 37301: Strengthening compliance management. Quadraconsulting. Quadra Consulting

Quentic. (2021, 13 julio). ISO 37301 set to replace ISO 19600. Quentic. quentic.com

Thamer James. (2024). Understanding ISO 37301 – Organisation and its context. Thamer James. abacgroup.com

UNE. (2021). UNE-ISO 37301:2021. Sistemas de gestión del compliance. Requisitos con orientación para su uso. Asociación Española de Normalización (UNE). une.org

UpGuard. (2025, 7 enero). A deep dive into ISO 37301: Compliance management. UpGuard. upguard.com

 

Volver al Blog