El cumplimiento normativo (compliance) dejó de ser un tema exclusivo de bancos y empresas cotizadas. Hoy, cualquier organización que opere en un entorno regulado necesita un sistema estructurado para gestionar sus obligaciones legales y voluntarias. ISO 37301 es la norma internacional que define cómo hacerlo de manera efectiva y certificable.
Puntos clave
- ISO 37301:2021 es la sucesora de ISO 19600 y, a diferencia de esta, sí es certificable.
- Establece requisitos para un sistema que gestione todas las obligaciones de cumplimiento de la organización.
- El compliance officer (o función de cumplimiento) es una pieza central del sistema.
- Es especialmente relevante para empresas en sectores regulados: financiero, salud, energía, telecomunicaciones.
- Se complementa con ISO 37001 (antisoborno) para un programa de compliance integral.
¿Quieres evaluar tu nivel de cumplimiento? Solicita un diagnóstico de cumplimiento o realiza el autodiagnóstico en línea.
Qué es ISO 37301 en palabras simples
ISO 37301 es una norma internacional publicada en 2021 que establece los requisitos para implementar, mantener y mejorar un Sistema de Gestión de Cumplimiento (SGC). Reemplazó a ISO 19600:2014, con una diferencia fundamental: ISO 19600 era solo una guía (no certificable), mientras que ISO 37301 es una norma de requisitos que sí permite certificación.
¿Qué gestiona exactamente? Todas las obligaciones de cumplimiento de una organización:
- Obligaciones legales: leyes federales, estatales y municipales aplicables.
- Obligaciones regulatorias: requisitos de reguladores sectoriales (CNBV, COFEPRIS, CRE, IFT, etc.).
- Obligaciones contractuales: compromisos con clientes, proveedores y socios.
- Obligaciones voluntarias: códigos de conducta, estándares de industria, compromisos de responsabilidad social.
El objetivo es que la organización tenga un sistema unificado para identificar, evaluar, monitorear y gestionar el cumplimiento de todas estas obligaciones, en lugar de hacerlo de forma fragmentada.
De ISO 19600 a ISO 37301: qué cambió
La evolución de ISO 19600 a ISO 37301 fue significativa:
| Aspecto | ISO 19600:2014 | ISO 37301:2021 |
|---|---|---|
| Tipo de documento | Directrices (guía) | Requisitos (norma certificable) |
| ¿Certificable? | No | Sí |
| Lenguaje | "Debería" (should) | "Debe" (shall) |
| Estructura | Anexo SL parcial | Anexo SL completo |
| Independencia de la función | Recomendada | Requerida |
| Auditoría de tercera parte | No aplica | Disponible a través de organismos acreditados |
El paso de guía a norma certificable fue un avance importante porque permite a las organizaciones demostrar su compromiso con el cumplimiento de manera verificable por un tercero independiente.
Estructura del sistema de gestión de cumplimiento
ISO 37301 sigue la estructura de Alto Nivel (Anexo SL) compartida por todas las normas ISO de sistemas de gestión. Sus cláusulas principales son:
Cláusula 4: Contexto de la organización
Identifica el contexto interno y externo, las partes interesadas y sus expectativas, y define el alcance del sistema. Aquí es donde mapeas el universo regulatorio que aplica a tu organización.
Cláusula 5: Liderazgo
La alta dirección debe demostrar compromiso con el cumplimiento, establecer una política de cumplimiento y asegurar que la función de cumplimiento tenga independencia, autoridad y recursos adecuados.
Cláusula 6: Planificación
Se identifican las obligaciones de cumplimiento, se evalúan los riesgos de incumplimiento y se establecen objetivos medibles de cumplimiento.
Cláusula 7: Apoyo
Recursos, competencia, concientización, comunicación e información documentada necesarios para operar el sistema.
Cláusula 8: Operación
Los controles operativos para gestionar las obligaciones de cumplimiento: procedimientos, instrucciones, mecanismos de reporte y respuesta ante incumplimientos.
Cláusula 9: Evaluación del desempeño
Monitoreo, medición, análisis, evaluación, auditoría interna y revisión por la dirección del desempeño del sistema.
Cláusula 10: Mejora
Tratamiento de no conformidades, acciones correctivas y mejora continua del sistema.
El rol del compliance officer
ISO 37301 pone especial énfasis en la función de cumplimiento (compliance function). Esta función es el corazón del sistema y tiene características específicas que la norma requiere:
- Independencia: debe tener acceso directo a la alta dirección y al órgano de gobierno sin interferencias.
- Autoridad: debe tener la capacidad de investigar incumplimientos y recomendar acciones sin ser obstaculizada.
- Competencia: las personas que la integran deben tener el conocimiento regulatorio y las habilidades necesarias.
- Recursos: debe contar con presupuesto, personal y herramientas adecuados al tamaño y complejidad de la organización.
En empresas pequeñas, la función de cumplimiento puede ser una sola persona (el compliance officer). En organizaciones grandes, puede ser un departamento completo con especialistas en diferentes áreas regulatorias.
Lo que ISO 37301 deja claro es que la función de cumplimiento no puede ser decorativa. Debe tener poder real para identificar, reportar y gestionar riesgos de incumplimiento.
¿Quieres profesionalizar tu función de cumplimiento? Conoce nuestra certificación individual PECB en ISO 37301 para compliance officers y líderes de cumplimiento.
Por qué es crítico para empresas en mercados regulados
Las empresas en sectores regulados enfrentan un volumen creciente de obligaciones legales. ISO 37301 les da un marco para gestionarlas sin que el cumplimiento se convierta en un caos administrativo:
Sector financiero
Regulaciones de la CNBV, CONDUSEF, Banxico, leyes de prevención de lavado de dinero, normativa de crédito y protección al consumidor financiero. Un sistema de cumplimiento ISO 37301 unifica la gestión de todas estas obligaciones.
Sector salud
Regulaciones de COFEPRIS, normativa de dispositivos médicos, buenas prácticas de manufactura y farmacovigilancia. El volumen de requisitos hace imprescindible un sistema estructurado.
Sector energía
Regulaciones de la CRE, CNH, ASEA, normativa ambiental, seguridad industrial y permisos de operación. La complejidad regulatoria justifica ampliamente la inversión en ISO 37301.
Telecomunicaciones
Regulaciones del IFT, protección de datos de usuarios, normativa de competencia económica y requisitos de concesión.
Comercio internacional
Regulaciones aduaneras, normas de origen, acuerdos comerciales, controles de exportación y sanciones internacionales.
Cómo funciona la certificación
El proceso de certificación ISO 37301 es similar al de otras normas ISO:
- Diagnóstico de cumplimiento: evalúa tu estado actual contra los requisitos de la norma.
- Implementación del SGC: desarrolla las políticas, procedimientos, controles y registros necesarios.
- Operación del sistema: opera el SGC durante un periodo suficiente para generar evidencia.
- Auditoría interna: verifica internamente que cumples todos los requisitos.
- Auditoría de certificación: un organismo de certificación acreditado audita tu sistema en dos etapas.
- Certificado: vigencia de 3 años con auditorías de seguimiento anuales.
Relación con otras normas de compliance
ISO 37301 no opera en aislamiento. Se integra con otras normas para crear un programa de compliance robusto:
- ISO 37001 (Antisoborno): se complementan directamente. ISO 37301 proporciona el marco general y ISO 37001 profundiza en antisoborno.
- ISO 37002 (Gestión de denuncias): establece directrices para sistemas de denuncia que ISO 37301 requiere.
- ISO 27001 (Seguridad de la información): gestiona el cumplimiento de obligaciones de protección de datos y ciberseguridad.
- ISO 31000 (Gestión de riesgos): proporciona la metodología de evaluación de riesgos que ISO 37301 necesita.
Preguntas frecuentes
¿ISO 37301 reemplazó a ISO 19600?
Sí. ISO 37301:2021 reemplazó oficialmente a ISO 19600:2014. El cambio más significativo es que ISO 37301 es una norma de requisitos (certificable), mientras que ISO 19600 era solo una guía.
¿Necesito un compliance officer para certificarme?
ISO 37301 requiere una función de cumplimiento, que puede ser una persona o un equipo según el tamaño de la organización. Lo importante es que tenga independencia, autoridad, competencia y recursos adecuados.
¿ISO 37301 cubre solo obligaciones legales?
No. Cubre todo tipo de obligaciones: legales, regulatorias, contractuales y voluntarias. Si tu organización se comprometió con un código de conducta de industria o un estándar voluntario, también entra en el alcance.
¿Cuánto tiempo toma la certificación?
Desde el inicio de implementación hasta la certificación, típicamente entre 6 y 12 meses. Organizaciones con cierta madurez en compliance pueden acortar este plazo significativamente.
Da el siguiente paso
Identifica brechas y oportunidades de mejora con un diagnóstico profesional de nuestro equipo de auditores.