CA-18 · Compliance · general

ISO 37301

El sistema de gestión de cumplimiento general certificable. Una sola norma que integra todas las obligaciones legales de tu organización —penal, fiscal, ambiental, datos y laboral— bajo un marco de gobierno consistente y auditable por tercero acreditado.

NormaISO 37301:2021
Duración5-8 meses
Ámbitocualquier sector y tamaño

ISO 37301:2021 es la norma internacional que establece los requisitos para implantar, mantener y mejorar un sistema de gestión de cumplimiento (Compliance Management System, CMS). Publicada en abril de 2021 por la ISO, sustituyó a la guía ISO 19600:2014, elevando el cumplimiento de orientación voluntaria a norma certificable con requisitos auditables. Su estructura sigue la High Level Structure (HLS) común a ISO 9001, ISO 14001 e ISO 45001, lo que facilita la integración en sistemas ya existentes sin duplicar documentación.

La norma abarca cualquier tipo de obligación de cumplimiento: penal y anticorrupción (conectando con UNE 19601 e ISO 37001), fiscal y tributaria, ambiental y de residuos (articulable con ISO 14001), protección de datos personales (RGPD, conectando con ISO 27701), laboral e igualdad, y normativa sectorial específica. Su arquitectura en «sistema paraguas» permite que cada vertical de compliance tenga sus propios controles documentados dentro de un gobierno unificado, con una función de compliance officer, un registro de obligaciones (compliance register), un programa de evaluación de riesgos y un ciclo de auditoría interna periódica.

Para una pyme o mid-market española, ISO 37301 aporta tres beneficios concretos: primero, reduce la exposición penal del órgano de administración al demostrar diligencia debida en el sistema de control; segundo, facilita el acceso a licitaciones públicas y a clientes corporativos que exigen evidencias de cumplimiento como requisito de homologación; tercero, consolida en un solo expediente auditado toda la trazabilidad regulatoria que hoy vive dispersa entre el asesor fiscal, el abogado, el responsable de PRL y el DPO. Summum acompaña el proceso completo hasta la certificación, que emite un organismo de certificación acreditado por ENAC (como AENOR, Bureau Veritas, SGS o DNV).

El proceso de ISO 37301.

El proceso · cuatro tiempos
01

Diagnóstico y mapa de obligaciones

Identificamos el universo regulatorio aplicable a tu organización: legislación penal, fiscal, ambiental, laboral, sectorial y de datos. Construimos el compliance register con cada obligación clasificada por área, fuente normativa, órgano de control competente y nivel de riesgo inherente. Esta fotografía inicial marca la línea base y los huecos que el sistema deberá cubrir.

02

Diseño del sistema y estructura documental

Redactamos la política de cumplimiento, el manual del CMS y los procedimientos de control por vertical (penal, fiscal, ambiental, datos, laboral). Definimos roles y responsabilidades —compliance officer, propietarios de proceso, órgano de supervisión— y diseñamos el programa de formación y concienciación obligatorio según el perfil de riesgo de cada puesto.

03

Implantación, controles y canal de denuncias

Pilotamos los controles en los procesos críticos y los integramos con los sistemas de gestión existentes (ERP, CRM, HR). Configuramos o revisamos el canal de denuncias alineado con la Directiva (UE) 2019/1937 y la Ley 2/2023, que exige canal propio a organizaciones con más de 50 trabajadores. Ejecutamos la primera evaluación de riesgos de cumplimiento y la primera ronda de auditoría interna.

04

Auditoría de certificación y seguimiento

Preparamos la auditoría de certificación con el organismo acreditado que elijas (AENOR, Bureau Veritas, SGS, DNV u otro). Asistimos en la fase documental y en la auditoría in situ, gestionamos las no conformidades hasta su cierre y mantenemos el sistema con revisiones periódicas, actualizaciones regulatorias y auditorías de seguimiento anuales.

Qué incluye

Qué incluye ISO 37301.

El detalle operativo: lo que entregamos como parte del trabajo y lo que mantenemos vivo después.

  • Compliance register completo

    Inventario documentado de todas las obligaciones legales aplicables, clasificadas por área, fuente normativa, sanción potencial y propietario interno.

  • Política y manual del CMS

    Documentación núcleo del sistema: política de cumplimiento firmada por la dirección, manual de gestión y procedimientos de control por vertical regulatoria.

  • Evaluación de riesgos de cumplimiento

    Matriz de riesgos con metodología cuantitativa (probabilidad × impacto), controles mitigantes asignados y plan de acción priorizado por exposición residual.

  • Canal de denuncias conforme Ley 2/2023

    Diseño o revisión del canal de denuncias interno, política de protección del denunciante y procedimiento de investigación conforme a la Directiva Whistleblowing europea.

  • Programa de formación y concienciación

    Módulos formativos diferenciados por perfil de riesgo (dirección, mandos, personal operativo). Incluye evidencias de asistencia para el expediente de diligencia debida.

  • Auditoría interna y preparación certificación

    Ejecución de la auditoría interna del CMS, informe de hallazgos, plan de acción correctivo y acompañamiento completo hasta el certificado emitido por organismo acreditado ENAC.

Preguntas frecuentes sobre ISO 37301.

¿En qué se diferencia ISO 37301 de ISO 37001?

ISO 37301 es el sistema paraguas de cumplimiento general: cubre cualquier obligación legal (penal, fiscal, ambiental, datos, laboral). ISO 37001 es una norma específica de antisoborno y anticorrupción. Son compatibles y complementarias: una organización puede certificar ambas, usando 37001 como vertical dentro del marco 37301, o implantarlas de forma independiente según su perfil de riesgo.

¿A qué empresas obliga la Ley 2/2023 del canal de denuncias?

La Ley 2/2023, que transpone la Directiva (UE) 2019/1937, obliga a disponer de canal de denuncias propio a todas las entidades del sector privado con 50 o más trabajadores, así como a cualquier empresa que opere en sectores de servicios financieros, prevención del blanqueo o seguridad de productos, independientemente de su tamaño. ISO 37301 integra de forma natural este requisito como control del CMS.

¿Cuánto tiempo lleva implantar ISO 37301 en una pyme?

En una pyme de entre 20 y 150 trabajadores sin sistema de compliance previo, el proceso habitual abarca entre 5 y 8 meses: diagnóstico y mapa de obligaciones (mes 1-2), diseño documental y formación (mes 2-4), implantación de controles y auditoría interna (mes 4-6) y auditoría de certificación con el organismo acreditado (mes 6-8). El plazo varía según la complejidad regulatoria del sector.

¿Quién emite el certificado ISO 37301? ¿Lo emite Summum?

No. Summum Calidad es consultora, no organismo de certificación. El certificado lo emite un organismo de certificación acreditado por ENAC (Entidad Nacional de Acreditación), como AENOR, Bureau Veritas, SGS, DNV o Lloyd's Register. Summum diseña e implanta el sistema y te acompaña hasta superar la auditoría de certificación; el certificado lo firma el tercero independiente.

¿Puede ISO 37301 integrarse con ISO 9001 o ISO 14001 que ya tenemos?

Sí, y es precisamente una de las ventajas de la norma. ISO 37301 sigue la High Level Structure (HLS) que comparten ISO 9001, ISO 14001, ISO 45001 e ISO 27001. Eso significa que la política, el contexto organizacional, los objetivos, la gestión de riesgos, la auditoría interna y la revisión por la dirección se pueden unificar en un sistema integrado de gestión, reduciendo la carga documental y el coste de mantenimiento.