La ISO 37301:2021 es la primera norma certificable dedicada a los Sistemas de Gestión de Compliance (SGC). Sustituye a la ISO 19600 —que era meramente orientativa— y establece requisitos verificables para diseñar, implementar, evaluar y mejorar un sistema que integre el cumplimiento en la gestión ordinaria de la organización. Su arquitectura replica la estructura de alto nivel de las normas ISO y se apoya en el ciclo de mejora continua, lo que facilita su integración con otros sistemas (calidad, antisoborno, seguridad y salud, medio ambiente) y asegura que el cumplimiento no sea un apéndice, sino una práctica operativa mensurable.

En Chile, el artículo 4 de la Ley 20.393, reformado por la Ley 21.595, fija los elementos mínimos de un modelo de prevención “serio y razonable” para efectos de eximir de responsabilidad penal a la persona jurídica. La convergencia entre ese artículo y la ISO 37301 es estrecha: donde la ley establece qué debe existir, la norma internacional describe cómo estructurarlo, operarlo y demostrar su eficacia. Este texto desarrolla, con profundidad, los elementos esenciales de un SGC y los superpone con las exigencias del artículo 4, incorporando criterios de organismos como la OCDE y la UNODC sobre efectividad, independencia y evaluación basada en evidencias.

Principios rectores de un SGC

La ISO 37301 se asienta en cinco principios operativos: integridad, gobernanza, proporcionalidad, trazabilidad y mejora continua. La integridad exige que el cumplimiento se incorpore en la toma de decisiones y en el diseño de procesos, de modo que las obligaciones aplicables condicionen la manera de operar y no se gestionen como excepciones. Esta premisa evita el enfoque “a posteriori” —corregir cuando ya ocurrió el incumplimiento— y orienta a prevenir mediante controles integrados en el flujo de trabajo, con umbrales de autorización, segregación de funciones y validaciones independientes.

La gobernanza asigna responsabilidad última al órgano de gobierno y a la alta dirección. No se trata de una “sponsorización simbólica”, sino de decisiones verificables: aprobación de la política de compliance, definición del apetito de riesgo de incumplimiento, establecimiento de objetivos medibles, incorporación del cumplimiento en las metas de desempeño de ejecutivos y provisión de recursos suficientes. Este principio se alinea con el artículo 4 de la Ley 20.393 cuando exige responsables con independencia, facultades y acceso directo al directorio; la norma añade cómo esa independencia se acredita: estructura de reporte, autonomía presupuestaria y autoridad para escalar asuntos sin interferencias.

La proporcionalidad impide soluciones estándar indiferenciadas. Un SGC adecuado refleja el giro, tamaño, complejidad, ubicaciones y riesgo regulatorio de la organización. Un banco sistémico y una pyme exportadora no requieren la misma densidad de controles; ambos sí necesitan justificar técnicamente su diseño. La proporcionalidad conecta con la defensa penal: la “medida exigible” que invoca la ley se demuestra con análisis de contexto, mapas de procesos y matrices de riesgo que expliquen por qué se seleccionaron ciertos controles y no otros. La trazabilidad, por su parte, convierte el sistema en evidencia. Procedimientos, registros de capacitación, reportes de auditoría, actas de directorio, bitácoras de denuncias y decisiones disciplinarias documentadas permiten evaluar efectividad con métricas y no con afirmaciones genéricas. Finalmente, la mejora continua cierra el ciclo: hallazgos de auditorías, incidentes, cambios regulatorios y lecciones aprendidas deben traducirse en acciones correctivas y cambios de diseño, con responsables, plazos y verificación de eficacia.

Identificación de riesgos y obligaciones

El primer numeral del artículo 4 exige identificar actividades o procesos que impliquen riesgo de conducta delictiva. La ISO 37301 lo operacionaliza exigiendo comprender el contexto externo —marco regulatorio, expectativas de autoridades y partes interesadas, exigencias sectoriales y contractuales— y el contexto interno —gobernanza, procesos, cultura, capacidades tecnológicas— para derivar una lista viva de obligaciones de cumplimiento. No es suficiente con un inventario normativo; la norma pide vincular cada obligación con procesos concretos, responsables y evidencias, estableciendo una “matriz de obligaciones” que facilite evaluar riesgos de incumplimiento por proceso y por unidad organizacional.

La gestión de riesgos de compliance se apoya metodológicamente en ISO 31000 e ISO 31022. El análisis debe estimar probabilidad e impacto del incumplimiento, pero también considerar factores de vulnerabilidad como incentivos comerciales, exposición geográfica, uso de intermediarios y dependencia de terceros. Un modelo sólido vincula riesgos con causas raíz —por ejemplo, conflictos de interés, presión por metas, opacidad de datos— y con controles específicos orientados a esas causas. La revisión es periódica: los riesgos cambian cuando cambian el negocio, los mercados o la regulación, y la matriz debe reflejarlo con fecha y responsable de actualización.

Desde la perspectiva probatoria, la matriz de riesgos y el registro de obligaciones cumplen un rol central. Permiten explicar ante una autoridad por qué el diseño del sistema es “serio y razonable” en términos de la Ley 20.393. No basta con alegar que existían políticas; la defensa se fortalece cuando se muestra el hilo lógico entre obligación, riesgo, control, evidencia de operación y resultados medidos. La ISO 37301 refuerza esa lógica al exigir objetivos de compliance, indicadores y umbrales que habiliten decisiones de mejora.

Protocolos, procedimientos y controles

El segundo numeral del artículo 4 exige protocolos y procedimientos para prevenir y detectar conductas delictivas, con canales de denuncia y sanciones internas. La ISO 37301 traduce esa exigencia en un diseño operacional: procedimientos documentados, criterios de autorización, segregación de funciones, verificaciones independientes y controles automatizados cuando sea posible. La clave es la inserción de controles en los puntos de riesgo de los procesos, no la acumulación de manuales. Un control es eficaz si se ejecuta de manera consistente, deja evidencia y tiene un dueño responsable de su mantenimiento.

La norma demanda además gestionar a terceros con debida diligencia proporcional al riesgo. Esto implica segmentar proveedores, distribuidores, agentes y socios según su exposición regulatoria y su rol en operaciones sensibles, aplicar cuestionarios y verificación documental, revisar beneficiarios finales cuando corresponda y definir cláusulas contractuales de cumplimiento con derechos de auditoría y terminación. La trazabilidad de esta gestión —desde la evaluación inicial hasta el monitoreo continuo— es parte del expediente probatorio del sistema y, en Chile, adquiere relevancia frente a delitos económicos y ambientales incorporados por la Ley 21.595.

La detección y la respuesta son componentes que la ISO 37301 exige formalizar. Los mecanismos de monitoreo, alertas y revisiones temáticas permiten identificar anomalías; los procedimientos de investigación interna deben definir competencias, estándares de imparcialidad y resguardo de evidencias, alineándose con las directrices técnicas sobre investigaciones internas. La respuesta abarca medidas disciplinarias proporcionales y remediaciones operativas —ajustes de procesos, refuerzo de controles, formación focalizada— que se documenten y se verifiquen en su efectividad. Sin ese cierre, el sistema no acredita aprendizaje ni reducción de riesgo residual.

Responsables del sistema

El tercer numeral del artículo 4 exige la asignación de uno o más responsables con independencia, facultades efectivas y acceso directo a la administración, además de recursos adecuados. La ISO 37301 especifica qué significa “independencia” en términos operativos: línea de reporte al órgano de gobierno o a un comité con autonomía, capacidad de elevar asuntos sin veto de la línea operativa, ausencia de objetivos comerciales que generen conflicto, y presupuesto y dotación acordes al riesgo y tamaño del negocio. La función de compliance no puede ser ornamental; debe tener autoridad para exigir información, detener operaciones que contravengan políticas y recomendar medidas correctivas con fundamento técnico.

La autoridad se prueba con hechos. Actas de directorio que registran presentaciones y recomendaciones del responsable de compliance, planes de trabajo aprobados, rechazos a operaciones por incumplimiento, sanciones propuestas y acciones de remediación implantadas constituyen evidencias de ejercicio real de facultades. La ISO 37301 además exige competencias: perfiles profesionales acordes al ámbito regulatorio, formación continua, independencia de criterio y dominio de metodologías de gestión de riesgos y auditoría. Sin capacidad técnica, la independencia es nominal.

El acceso directo al órgano de gobierno se traduce en una cadencia de reportes con contenidos estandarizados: estado de riesgos y controles, incidentes relevantes, evolución de indicadores, cumplimiento de planes de acción y necesidades de recursos. Esta práctica crea una línea de responsabilidad trazable entre la gestión diaria y la supervisión estratégica, y satisface tanto el mandato del artículo 4 como el principio de gobernanza de la ISO 37301.

Canales de denuncia

El artículo 4 exige canales seguros de denuncia; la ISO 37301, en coordinación con la guía específica sobre sistemas de denuncias, prescribe criterios de diseño y operación que permiten acreditar su efectividad. Un sistema idóneo asegura accesibilidad para empleados y terceros, confidencialidad robusta, opciones de anonimato donde sea legalmente viable, protección frente a represalias y flujos de gestión con plazos, roles y controles de imparcialidad. La confianza en el canal no se decreta: se obtiene con tiempos de respuesta razonables, comunicación al denunciante dentro de lo permitido y resultados visibles en medidas disciplinarias y remediaciones.

En términos de evidencia, un registro seguro y auditable de casos es indispensable. Debe permitir reconstruir el ciclo completo: recepción, admisibilidad, clasificación por criticidad, investigación, decisión y cierre, con controles de acceso y resguardo de documentos. Indicadores como tasas de uso, tiempos de resolución, porcentaje de denuncias fundadas y reincidencia por unidad permiten evaluar desempeño y orientar mejoras. La formación periódica y la comunicación clara de la política antifrepresalias son condiciones para que el canal sea una fuente efectiva de detección temprana y no un formulario inerte.

La relación con el resto del sistema es directa. Denuncias reiteradas sobre una misma falla de control evidencian que el diseño necesita ajuste; incidentes graves ameritan revisiones temáticas o auditorías extraordinarias; hallazgos de investigaciones deben alimentar la matriz de riesgos y los planes de capacitación focalizada. La ISO 37301 exige esa retroalimentación para sostener la mejora continua y, en el marco chileno, refuerza la seriedad del modelo ante autoridades.

Evaluaciones independientes y mejora continua

El cuarto numeral del artículo 4 requiere evaluaciones periódicas por terceros independientes y mecanismos de perfeccionamiento. La ISO 37301 detalla un esquema de evaluación del desempeño que combina monitoreo operativo, auditorías internas, revisión por la alta dirección y, cuando se pretende certificar, auditorías externas de conformidad. Cada nivel tiene un propósito: el monitoreo detecta desviaciones en tiempo real; la auditoría interna valida el diseño y la eficacia de controles con independencia razonable; la revisión de la dirección contrasta resultados con objetivos y decide recursos; la auditoría externa verifica el cumplimiento de requisitos de la norma y la madurez del sistema.

La mejora continua exige convertir hallazgos en acciones con responsables, plazos y criterios de efectividad. Una no conformidad por deficiencias en debida diligencia a terceros, por ejemplo, debería derivar en rediseño del proceso, actualización de cuestionarios, entrenamiento focalizado y pruebas de funcionamiento ex post. La verificación de eficacia —mediante muestras, indicadores o pruebas de estrés— distingue la remediación formal del cambio real. Este enfoque no es retórico: condiciona la capacidad de defender el modelo en sede penal y demostrar que la organización aprende y reduce exposición.

Las evaluaciones externas añaden objetividad y credibilidad. Informes de revisores independientes, metodologías y alcance de las revisiones, y seguimiento de recomendaciones documentado constituyen insumos de valor ante fiscalizaciones. La ISO 37301 exige conservar esta evidencia y revisarla en la planificación anual, cerrando el ciclo PDCA con insumos verificables y decisiones trazables.

Compatibilidad entre ISO 37301 y la Ley 20.393

La alineación es punto por punto. Identificación de riesgos y obligaciones corresponde al diagnóstico de actividades de riesgo del artículo 4; protocolos, procedimientos y controles traducen la exigencia de prevención y detección en procesos operativos; responsables independientes con acceso al directorio se reflejan en la función de compliance con línea de reporte y autonomía; canales de denuncia seguros coinciden con el requisito expreso de la ley; y evaluaciones periódicas externas encuentran su correlato en la evaluación del desempeño y la certificación. La diferencia es de naturaleza: la ley fija el “qué” mínimo; la ISO describe el “cómo” demostrable.

En la práctica chilena, esta compatibilidad permite transformar el modelo de prevención en un SGC susceptible de certificación. Ello no garantiza por sí mismo la exención de responsabilidad, pero fortalece la posición probatoria: muestra que el diseño y la operación del sistema se rigen por estándares reconocidos internacionalmente, con proporcionalidad, independencia y mejora documentada. Al incorporar además guías sobre gestión de riesgo legal y de denuncias, el sistema cubre dimensiones que la ley no detalla, pero que son decisivas para la eficacia.

Un punto relevante es la articulación con la Ley 21.595, que amplió el espectro de delitos económicos y ambientales. La ISO 37301 facilita incorporar estos nuevos frentes en la matriz de riesgos, ajustar protocolos —por ejemplo, en gobierno corporativo, mercado de valores, medioambiente y relaciones laborales— y evidenciar que la organización adaptó su sistema con oportunidad y coherencia, cumpliendo la “medida exigible” que demanda el legislador.

El aporte de Compliance.lat

Compliance.lat implementa SGC conforme a ISO 37301 con enfoque operativo y probatorio. El trabajo comienza con el análisis de contexto y la construcción del registro de obligaciones aplicables, sigue con la evaluación de riesgos y la definición de objetivos de compliance, y se traduce en procedimientos integrados en la operación —compras, ventas, finanzas, gestión de personas, medioambiente— con controles y evidencias definidos por proceso. La función de compliance se formaliza con independencia funcional, acceso al directorio y métricas de desempeño, y se dota de herramientas para el monitoreo y la gestión de incidentes.

La implantación de canales de denuncia se alinea con las mejores prácticas internacionales: accesibilidad multicanal, gestión segura y criterios de imparcialidad en la investigación. Se establecen indicadores de desempeño y tableros para el directorio que permiten supervisar riesgos, incidentes y avance de planes de acción. Las evaluaciones independientes —internas y externas— se programan con alcance y criterios de materialidad, y se gestionan los cierres de hallazgos con verificación de eficacia. Todo el sistema se documenta de manera que sirva tanto a la gestión como a la defensa jurídica.

La adecuación al marco chileno no es un apéndice, sino un eje del diseño. Los controles se mapean contra los numerales del artículo 4 de la Ley 20.393 y contra los riesgos penales ampliados por la Ley 21.595. El resultado es un modelo de prevención que opera como sistema de gestión, mide su desempeño, aprende de sus fallas y mantiene la trazabilidad necesaria para acreditar diligencia razonable ante fiscalizaciones, investigaciones o litigios.

La ISO 37301 convierte el cumplimiento en un sistema de gestión sujeto a prueba. No se limita a exhortar principios; describe cómo diseñar, operar, medir y mejorar un SGC de manera proporcional al riesgo y sustentada en evidencias. Superpuesta al artículo 4 de la Ley 20.393, ofrece el método para que los elementos legales —identificación de riesgos, protocolos, responsables independientes, canales de denuncia y evaluaciones externas— se materialicen en procesos verificables. En un entorno en que la responsabilidad penal corporativa y la ampliación de delitos exigen sistemas eficaces, esta norma proporciona un estándar técnico de referencia para construir modelos defendibles y con mejora continua real.