El concepto de compliance (cumplimiento normativo) ha evolucionado significativamente en el panorama empresarial global. Tradicionalmente, este se limitaba a la implementación de «programas» aislados; sin embargo, la actividad de normalización de la ISO (Organización Internacional de Normalización) ha promovido un enfoque superior basado en los Sistemas de Gestión de Compliance (SGC). Este cambio de paradigma busca una mayor eficacia a través de la interconexión de componentes, respondiendo a la necesidad social de homogeneizar el tratamiento técnico de esta materia. Este esfuerzo dio origen a la norma ISO 37301:2021, un estándar certificable y universal que establece los requisitos para la implementación, desarrollo y mejora continua de un SGC robusto.
El compliance ha pasado de ser un programa aislado a convertirse en un sistema integral de gestión dentro de las organizaciones.
La publicación de la ISO 37301 representó un hito al dotar a las organizaciones de un marco estructurado y auditable, aplicable a cualquier sector y tamaño. No obstante, la verdadera sofisticación en la gestión del cumplimiento reside en la capacidad de las organizaciones para medir y demostrar la efectividad de dicho sistema. En este contexto, la inminente ISO 37302:2025 emerge como la herramienta crucial que complementa a su predecesora. El presente artículo analiza la simbiosis entre ambas normativas, detallando cómo la ISO 37301 sienta las bases del SGC, mientras que la ISO 37302 proporciona los principios, criterios e indicadores estandarizados para su evaluación objetiva, marcando así la evolución completa del compliance hacia una gestión madura y demostrable.
Normas ISO de Compliance
Al hablar de modelos de compliance, es común referirse a estos como si solo existiesen en la forma de programas. Sin embargo, los estándares ISO determinan sistemas de gestión, cuyos componentes e interacciones resultan en una mayor eficacia respecto a los programas clásicos.
La actividad de normalización es un fenómeno que responde a la inquietud social por homogeneizar el tratamiento de determinadas materias técnicas. Cuando en el año 2013 ISO decidió estandarizar sobre compliance, adoptó como documento de partida la norma australiana AS 3806:2006 (Compliance Programs), entre otras, dando origen a la norma actual: ISO 37301:2021.
¿De qué trata la ISO 37301?
La ISO 37301 marcó un antes y un después al ofrecer un modelo certificable y aplicable a cualquier sector.
La norma ISO 37301 surge para reforzar la creciente preocupación y el grado de importancia que tiene el compliance (cumplimiento normativo) dentro de las organizaciones a nivel global.
Este estándar internacional establece los requisitos y determina una guía de uso para llevar a cabo la implementación, desarrollo, evaluación, mantenimiento, auditoría y mejora continua de un Sistema de Gestión de Compliance (SGC) eficaz.
La ISO 37301 presenta varias características que la distinguen y la hacen esencial para cualquier entidad:
- Certificabilidad: A diferencia de su antecesora (la ISO 19600), la ISO 37301 es una norma certificable. Esto permite a las organizaciones evidenciar ante terceros su compromiso con el cumplimiento mediante una acreditación oficial.
- Aplicación Universal: Se puede aplicar a todo tipo de organizaciones, independientemente de su actividad, tamaño, o si pertenecen al ámbito público, privado o sin fines de lucro.
- Estructura de Alto Nivel (HLS): La norma adopta la Estructura de Alto Nivel (HLS), lo que simplifica enormemente su integración con otros sistemas de gestión ya implementados bajo normas ISO, tales como:
- ISO 9001 (Gestión de Calidad)
- ISO 14001 (Gestión Ambiental)
- ISO 45001 (Seguridad y Salud en el Trabajo)
Al compartir esta estructura común, se optimizan recursos y se facilita una gestión más coherente y eficiente de todos los riesgos organizacionales.
¿De qué trata la ISO 37302?
La ISO 37302 (Compliance management systems – Guidelines for the evaluation of effectiveness), es un sistema de evaluación del sistema de gestión de cumplimiento (SGC), esta normativa establece los principios e indicadores para la evaluación de eficacia del sistema de gestión de compliance, además establece los criterios de evaluación y la adquisición de datos, así como el proceso de evaluación, considerando el método para obtener el resultado de la evaluación y el contenido del informa de evaluación.
La nueva ISO 37302 permite medir con claridad la efectividad de los sistemas de cumplimiento.
Punto que resaltar, es que la ISO 37302 es un enfoque estandarizado para medir y evaluar la efectividad del sistema de gestión de compliance de acuerdo con la norma IS0 37301.
Es concreto, estamos en presencia de una herramienta para que las organizaciones evalúen de la mejor manera su capacidad para lograr los objetivos de su gestión de compliance y tener claridad conforme a los resultados previstos.
Los alcances de esta norma son los siguientes:
- Otorgar los principios y estructura de los indicadores para evaluar la eficacia del SGC, incluidos criterios específicos y sugerencias sobre el modelo de evaluación.
- Apoya el seguimiento, medición, análisis y evaluación del SGC.
- Elementos para la revisión por la dirección del SGC para robustecer la mejora continua.
- Esta normativa es aplicable a las actividades para evaluar la efectividad del SGC, no importando su tamaño, sector o giro de negocio.
Por otra parte, la metodología de evaluación de no ISO 37302, se sustenta en 3 principios de evaluación de eficacia, como son:
- Objetividad: Los indicadores de evaluación se establece de manera que los resultados del SGC puedan ser utilizados en distintos contextos para diversos escenarios.
- Exhaustividad y Escalabilidad: Estos criterios sobre los indicadores incluyen la planificación, el desarrollo, la implementación y la mejora continua de los procesos, los resultados planificados y el grado de estos.
- Trazabilidad: Los resultados de evaluación se verifican a través de métodos objetivos y evidencias de información debidamente documentada, así como de información que respalde las actuaciones del SGC.
Es de resaltar que caso uno de los indicadores de evaluación considerados en ISO 37302 estarán alineados a la ISO 37301 y cada indicador puede evaluarse de acuerdo con las 3 dimensiones (política y procedimientos, conducta y cultura y resultados).
Debe puntualizarse que la aplicación de los criterios sobre los indicadores de evaluación relacionada con las actividades, identificación de deficiencias y la identificación de las áreas de mejora continua y con esto se ve favorecido la adaptabilidad o condiciones o requisitos cambiantes en los elementos del compliance.
A manera de resumen podemos precisar que la ISO 37302, al amparo de su sistema de evaluación, de evaluación se compone de la siguiente forma:
- Metodología de Evaluación:
a) Contiene 3 dimensiones (política y procedimientos, conducta y cultura y resultados).
b) Requiere de 5 niveles de efectividad
2. Criterios de Evaluación:
a) Se integra por 3 componentes
b) Tiene 23 indicadores conforme a la ISO 37301
3. Procesos de Evaluación, este tiene las siguientes etapas:
a) Proceso estructurado
b) Competencia evaluadores
c) Método de evaluación
Vinculación entre la ISO 37301 e ISO 37302
Ambas normas impulsan una cultura organizacional más ética, transparente y responsable.
A pesar de que la ISO 37301 e ISO 37302 abordan diferentes áreas de gestión, están vinculadas a través de varios principios comunes. Ambas normas adoptan un enfoque basado en riesgos, lo que permite a las organizaciones identificar y gestionar riesgos de manera integral. El compromiso de la alta dirección es esencial en ambas normas, subrayando la importancia de un liderazgo sólido para integrar el cumplimiento y la sostenibilidad en la cultura organizacional.
Además, los principios de mejora continua y la importancia de la documentación y comunicación clara son evidentes en cada estándar. Las organizaciones que implementan ambos estándares pueden beneficiarse al establecer un ciclo de mejora que no sólo asegure el cumplimiento de obligaciones legales, sino que también promueva prácticas sostenibles.
La integración de ambos sistemas permite a las organizaciones abordar de forma efectiva la responsabilidad social y el cumplimiento normativo, fortaleciendo su posición en el mercado y generando confianza tanto en las partes interesadas como en la sociedad en general.
Conclusión
La trayectoria del compliance, desde los programas iniciales hasta los sistemas de gestión certificados, culmina con la integración de las normas ISO 37301:2021 e ISO 37302:2025. Mientras que la primera ofrece el mapa de ruta (requisitos para la implementación) con la ventaja de la certificabilidad y la estructura HLS, la segunda dota a las organizaciones de una brújula indispensable (principios e indicadores de evaluación) para verificar la eficacia, exhaustividad y trazabilidad de su SGC. Esta dualidad normativa no solo refuerza el compromiso de la alta dirección y la cultura de cumplimiento, sino que también transforma la gestión de compliance en un proceso de mejora continua basado en datos y evidencias objetivas. En definitiva, la ISO 37302, al ofrecer un enfoque estandarizado para medir la efectividad de la ISO 37301, se consolida como el mecanismo definitivo para que las organizaciones aseguren y demuestren su capacidad para alcanzar los objetivos de cumplimiento en un entorno regulatorio en constante cambio.
