Enfoque por obligaciones
Identificar y cumplir obligaciones
"ISO 37301 se centra en identificar las obligaciones que afectan a la organización y evaluar el riesgo de su incumplimiento, más allá de un enfoque puramente penal."
ISO 37301 Certificación
Asesoría jurídica integral para obtener y mantener la certificación ISO 37301:2021: diagnóstico de cumplimiento, diseño del sistema de gestión de compliance (SGC), preparación de la auditoría por entidad certificadora e integración con UNE 19601, ISO 37001 y UNE 19602.
Consulta gratuita ISO 37301
Te respondemos en menos de 24 h
Servicios
Catálogo de servicios para la certificación ISO 37301
Seis áreas de trabajo jurídico-técnico para diseñar, implantar y certificar un Sistema de Gestión de Compliance alineado con la norma ISO 37301:2021.
Diagnóstico
Gap analysis ISO 37301
Análisis de brechas entre el estado actual de la organización y los 10 capítulos de la norma: contexto, liderazgo, planificación, soporte, operación, evaluación y mejora.
Ver más →
DiagnósticoBrechasDue diligenceRisk-based
Implantación
Diseño e implantación del SGC
Documentación y despliegue del Sistema de Gestión de Compliance: política, procedimientos, matriz de obligaciones y riesgos, controles, formación y canal de denuncias.
Ver más →
PolíticasProcedimientosMatrizControles
Auditoría
Auditoría interna del SGC
Programa y ejecución de auditoría interna con objetividad, registro de hallazgos, acciones correctivas y preparación del dossier para la entidad certificadora.
Ver más →
InternaHallazgos
Certificación
Acompañamiento en auditoría externa
Preparación y soporte durante la auditoría de certificación (fase 1 documental + fase 2 in situ) por AENOR, Bureau Veritas u otra entidad acreditada.
Ver más →
AENORBureau Veritas
Integración
Integración con otras normas
Alineación de ISO 37301 con UNE 19601 (compliance penal), ISO 37001 (antisoborno), UNE 19602 (tributario) e ISO 27001 en un único marco integrado.
Ver más →
UNE 19601ISO 37001
Mantenimiento
Mantenimiento y mejora continua
Ciclo PDCA del SGC: revisión por la dirección, seguimiento de KPIs, actualización del mapa de obligaciones y gestión de cambios regulatorios.
Ver más →
KPIsRevisión
Enfoque
Por qué certificarse en ISO 37301 aporta valor estratégico
La ISO 37301 es la única norma internacional certificable sobre sistemas de gestión de compliance. Sustituye a la antigua ISO 19600 (que no era certificable) y permite al órgano de gobierno demostrar con un tercero independiente que el programa de cumplimiento funciona.
Certificable
Validación por tercero independiente
"La auditoría de certificación por AENOR, Bureau Veritas u otra entidad acreditada proporciona una evidencia pública, transparente y creíble del compromiso con el cumplimiento."
Estructura HLS
Integración con ISO 9001, 27001, 37001
"Comparte la estructura de alto nivel (HLS) de las normas de sistemas de gestión, lo que facilita su integración con calidad, seguridad de la información o antisoborno."
Gobernanza
Compromiso del órgano de gobierno
"Refuerza la función de compliance y dota a los máximos líderes de mecanismos de control adecuados, alineados con los estándares internacionales de buen gobierno."
Por qué importa
¿Por qué certificarse en ISO 37301?
No es sólo un sello en la web. Certificar el SGC reduce riesgos, protege a los administradores, mejora la reputación frente a clientes, reguladores e inversores y facilita la contratación con grandes cuentas y Administraciones Públicas que exigen estándares de cumplimiento.
Visión integral de cumplimiento: no se limita a lo penal. Cubre obligaciones legales, contractuales y voluntarias asumidas por la organización.
Cultura de cumplimiento: fomenta la formación y sensibilización del personal, reforzando la función de cumplimiento como pieza clave de sostenibilidad.
Evidencia ante reguladores: en sectores supervisados (CNMV, Banco de España, SEPBLAC), un SGC certificado es una señal tangible de madurez.
UNE-ISO 37301:2021
10 cláusulas
Norma internacional certificable, publicada en abril de 2021, que sustituyó a la ISO 19600:2014 (sólo orientativa).
Ventaja comercial
Licitaciones
Cada vez más licitaciones públicas y procesos de compra corporativa valoran o exigen certificaciones de compliance acreditadas.
Importante
No eximente penal
ISO 37301 no sustituye a UNE 19601 a efectos del art. 31 bis del Código Penal: para atenuante/eximente penal se requiere un modelo completo.
¿Quieres certificarte en ISO 37301?
Te ayudamos a construir un SGC robusto, realista y auditable, listo para superar la fase 1 y fase 2 de la certificación y, sobre todo, útil para la gestión real de tu organización.
Preguntas frecuentes
ISO 37301: dudas habituales
¿Qué es la ISO 37301:2021?
La ISO 37301:2021 es la norma internacional que especifica los requisitos de un Sistema de Gestión de Compliance (SGC). Fue publicada por la Organización Internacional de Normalización (ISO) en abril de 2021 y adoptada en España como UNE-ISO 37301:2021.
Sustituye a la anterior ISO 19600:2014, que era sólo una guía no certificable. La ISO 37301 sí es certificable y adopta la estructura de alto nivel (HLS) común a ISO 9001, ISO 27001 e ISO 37001.
¿Qué diferencia hay entre ISO 37301 y UNE 19601?
UNE 19601 es la norma española de sistemas de gestión de compliance penal, alineada con el art. 31 bis del Código Penal para construir atenuante o eximente de responsabilidad penal de la persona jurídica.
ISO 37301 tiene un alcance mucho más amplio (obligaciones legales, contractuales y voluntarias) pero no basta por sí sola para cubrir todos los requisitos del art. 31 bis CP. Ambas normas se complementan y pueden integrarse.
¿Cuáles son las 10 cláusulas de ISO 37301?
La norma sigue la estructura HLS de ISO: 1. Objeto y campo de aplicación, 2. Referencias normativas, 3. Términos y definiciones, 4. Contexto de la organización, 5. Liderazgo, 6. Planificación, 7. Apoyo, 8. Operación, 9. Evaluación del desempeño y 10. Mejora.
Las cláusulas 4 a 10 son las que contienen los requisitos auditables.
¿Qué organizaciones pueden certificarse?
Cualquier organización: privada, pública, gubernamental o sin ánimo de lucro, con independencia de su tamaño, sector o actividad. La norma es especialmente útil para:
- Entidades financieras y fintech sometidas a fuerte regulación.
- Empresas que participan en licitaciones públicas.
- Grupos con varias jurisdicciones y obligaciones heterogéneas.
- Organizaciones con exposición reputacional alta.
¿Qué pasos hay que seguir para certificarse?
En líneas generales: diagnóstico de brechas, diseño del SGC, implantación y formación, auditoría interna, elección de entidad certificadora acreditada (AENOR, Bureau Veritas, BSI, TÜV...) y auditoría externa de certificación en dos fases (documental + in situ).
Si se superan sin no conformidades mayores, el organismo certificador emite el certificado, con validez típica de tres años y auditorías de seguimiento anuales.
¿Cuánto cuesta y cuánto tarda una certificación ISO 37301?
El coste depende del tamaño y complejidad de la organización y debe dividirse en: honorarios de la consultoría de implantación, horas internas del equipo y tarifas de la entidad certificadora.
El plazo habitual oscila entre 6 y 12 meses desde el inicio del proyecto hasta la emisión del certificado, aunque en organizaciones con sistemas de gestión ya consolidados puede reducirse.
¿Qué beneficios aporta la certificación?
Principales beneficios documentados: enfoque preventivo del cumplimiento, mitigación de riesgos legales, reputacionales y sancionadores, mejora de la imagen corporativa frente a clientes, reguladores e inversores, y optimización operativa mediante procesos y controles claros.
A esto se suma la ventaja competitiva frente a licitaciones y procesos de compra corporativa que exigen certificaciones acreditadas.
¿Se integra bien con otras normas ISO?
Sí. Gracias a la estructura de alto nivel, ISO 37301 se integra de forma natural con ISO 9001 (calidad), ISO 14001 (medio ambiente), ISO 27001 (seguridad de la información), ISO 37001 (antisoborno) y UNE 19601 (compliance penal).
En la práctica, es habitual diseñar un sistema integrado de gestión que permita auditorías conjuntas y ahorro de documentación.
Guía operativa
Guía práctica para certificarse en ISO 37301
Certificarse en ISO 37301 no es "comprar un sello": es construir un sistema de gestión real, coherente con la actividad de la organización, liderado desde arriba y sostenido en el tiempo. Esta guía sintetiza cómo abordarlo sin perder tiempo ni presupuesto.
Normativa de referencia
UNE-ISO 37301:2021 (requisitos), UNE 19601 (compliance penal), ISO 37001 (antisoborno), UNE 19602 (tributario), ISO 27001 (seguridad), ISO 31000 (gestión de riesgos) y art. 31 bis del Código Penal.
Obligaciones + riesgos
La norma se articula alrededor de dos ejes: identificar las obligaciones que afectan a la organización y valorar los riesgos de incumplimiento, diseñando controles proporcionados.
Auditoría útil, no cosmética
Un SGC certificable que sólo busca el sello suele ser frágil. El valor real está en que el sistema mida, corrija y mejore el comportamiento real de la organización.
Checklist para obtener la certificación ISO 37301 en 10 pasos
- Compromiso visible del órgano de gobierno y alta dirección, con decisión formal de certificarse en ISO 37301.
- Diagnóstico (gap analysis) del estado actual frente a los 10 capítulos de la norma y plan de acción.
- Definición del alcance del SGC: actividades, filiales, jurisdicciones y obligaciones cubiertas.
- Mapa de obligaciones y matriz de riesgos de incumplimiento con criterios de valoración homogéneos.
- Política de compliance, procedimientos, canal de denuncias y roles (comité de compliance, OCC, etc.).
- Programa de formación y sensibilización para órgano de gobierno, alta dirección y empleados.
- Implantación de controles proporcionados, indicadores (KPI) y mecanismos de seguimiento.
- Auditoría interna, análisis de hallazgos y acciones correctivas para cerrar no conformidades.
- Revisión por la dirección del desempeño del SGC antes de la auditoría externa.
- Auditoría externa de certificación (fase 1 + fase 2) por entidad acreditada y emisión del certificado.
La ISO 37301 funciona muy bien como paraguas para otras obligaciones sectoriales: por ejemplo, el cumplimiento de la lista GAFI en entidades PBC, los requisitos de SGIIC, la figura del consejero independiente en ESI, las pruebas en el sandbox financiero o el régimen de emisores de EMT MiCA. Para una validación adicional puede complementarse con un informe experto externo.
ISO 37301 en modo operativo
Anatomía de un SGC certificable
Un Sistema de Gestión de Compliance certificable bajo ISO 37301 se apoya en cuatro palancas: liderazgo, riesgos y obligaciones, controles y cultura y evaluación continua. Cada una debe quedar documentada y demostrada con evidencias.
1) LiderazgoÓrgano de gobierno y alta dirección
Política de compliance aprobada, asignación de recursos, nombramiento de la función de cumplimiento y supervisión periódica del desempeño del SGC.
- Política escrita
- Comité de compliance
- Tono desde arriba
2) RiesgosObligaciones y riesgos
Inventario de obligaciones aplicables a la organización, valoración del riesgo de incumplimiento y priorización de controles con criterios objetivos.
- Inventario normativo
- Matriz de riesgos
- Priorización
3) ControlesControles + cultura
Procedimientos, controles operativos, formación, canal de denuncias, gestión de conflictos de interés y comunicación interna para construir una cultura real.
- Procedimientos
- Canal de denuncias
- Formación
4) EvaluaciónEvaluación continua y mejora
KPIs, auditorías internas, revisión por la dirección, acciones correctivas y mejora continua: es el ciclo PDCA el que sostiene un SGC auditable y defendible ante cualquier supervisor.
Tip: una auditoría interna bien planificada reduce drásticamente las no conformidades en la auditoría externa.
IntegraciónIntegración con otras normas
Compliance penal
UNE 19601: cobertura del art. 31 bis CP como atenuante o eximente.
Antisoborno
ISO 37001: prevención y detección del soborno y corrupción.
Otras
UNE 19602 (tributario), ISO 27001 (información), ISO 9001 (calidad).
Playbook ISO 37301
Cómo se traduce cada cláusula en la práctica
4. Contexto
Comprender factores internos/externos, partes interesadas y determinar el alcance del SGC.
Análisis DAFO, mapa de stakeholders, documento de alcance del sistema.
5. Liderazgo
Compromiso del órgano de gobierno, política, roles y responsabilidades de compliance.
Acta de aprobación, política firmada, organigrama, mandato del OCC/comité.
6. Planificación
Abordar riesgos y oportunidades del SGC, definir objetivos y acciones planificadas.
Matriz de riesgos, plan anual, objetivos medibles y KPIs asociados.
7. Apoyo
Recursos, competencias, concienciación, comunicación e información documentada.
Plan de formación, matrices de competencias, sistema documental controlado.
8. Operación
Controles operacionales, gestión de proveedores, canal de denuncias y respuesta a incumplimientos.
Procedimientos, registros de due diligence, canal operativo, plan de respuesta.
9. Evaluación
Seguimiento, medición, auditorías internas y revisión por la dirección del SGC.
Informes KPI, programa y actas de auditoría interna, acta de revisión por dirección.
10. Mejora
No conformidades, acciones correctivas y mejora continua del sistema.
Registro de incidencias, análisis de causas raíz, plan de mejora y seguimiento.
Señales de alerta típicas antes de la auditoría
Indicadores que suelen derivar en no conformidades durante la auditoría de certificación.
- Política de compliance genérica, no firmada o desactualizada frente al contexto real de la organización.
- Mapa de obligaciones incompleto o que no se actualiza cuando cambia la normativa aplicable.
- Matriz de riesgos sin criterios objetivos de valoración o sin conexión con los controles.
- Canal de denuncias formalmente creado pero sin procedimiento real de gestión ni registro.
- Auditoría interna realizada por quien luego implanta las acciones correctivas (falta de independencia).
Diccionario operativo
Conceptos clave para trabajar con ISO 37301
Si vas a abordar una certificación ISO 37301, estos términos aparecen en la norma, en los informes de auditoría y en los contratos con las entidades certificadoras.
SGCSistema
Sistema de Gestión de Compliance
Conjunto de elementos interrelacionados (política, procesos, recursos) para establecer y alcanzar objetivos de cumplimiento.
Objeto central de ISO 37301.
HLSEstructura
High Level Structure
Estructura común de las normas ISO de sistemas de gestión. Facilita la integración con ISO 9001, 14001, 27001 y 37001.
10 cláusulas comunes.
ComplianceConcepto
Cumplimiento normativo
Cumplimiento por una organización de todas sus obligaciones legales, regulatorias, contractuales y voluntarias asumidas.
Definición de ISO 37301.
ObligaciónCore
Obligación de cumplimiento
Requisito que la organización debe cumplir, obligatorio o asumido voluntariamente, base del enfoque ISO 37301.
Origen legal o contractual.
Función CCRol
Función de compliance
Persona o unidad responsable de supervisar el SGC, con competencia, autoridad e independencia adecuadas.
Puede ser OCC o comité.
UNE 19601Penal
Compliance penal
Norma española sobre sistemas de gestión de compliance penal, alineada con el art. 31 bis del Código Penal.
Complementaria a ISO 37301.
ISO 37001Antisoborno
Sistemas antisoborno
Norma internacional específica para la prevención, detección y respuesta al soborno.
Integrable con ISO 37301.
PDCACiclo
Plan-Do-Check-Act
Ciclo de mejora continua sobre el que se articulan los sistemas de gestión ISO: planificar, hacer, verificar y actuar.
Base de la cláusula 10.
AENORCertificadora
Entidad certificadora
Organismo acreditado (AENOR, Bureau Veritas, BSI, TÜV...) que audita el SGC y emite el certificado ISO 37301.
Acreditado por ENAC u equivalente.