La demanda de certificación ISO leída como evidencia de mercado

El número de certificados vigentes de una norma dice menos sobre la calidad de las organizaciones que sobre la estructura del mercado que las rodea. Cuando una empresa paga por auditarse, está respondiendo a una presión concreta: un cliente que lo exige, un pliego que lo puntúa, un regulador que lo espera. La certificación, leída con frialdad, es un indicador de dónde el cumplimiento se volvió condición de negocio.

El ISO Survey, que ISO publica anualmente con base en datos de organismos de certificación, permite esa lectura a escala global. No mide convicción ni madurez interna; mide cuántas organizaciones decidieron que valía la pena sostener un certificado vigente un año más. Esa decisión repetida, agregada por país y por norma, dibuja un mapa de presión real.

El Observatorio no certifica ni acredita. Registra, verifica y avala señales de mercado. Y la señal más limpia que ofrece la demanda de certificación es esta: el certificado crece donde evita perder negocio, no donde lo embellece.

ISO 9001 sigue siendo el volumen. En los cortes públicos del ISO Survey 2024, los mayores mercados de gestión de calidad reúnen decenas de miles de certificados cada uno, en órdenes de magnitud que ninguna otra familia de normas alcanza. Pero su demanda ya no se explica por prestigio: se explica por cadena de suministro, homologación de proveedores y licitación. El certificado de calidad es, cada vez más, un umbral de entrada.

ISO/IEC 27001 es la pendiente de crecimiento más estratégica. Sus volúmenes son mucho menores que los de 9001, pero su tracción viene del cruce más poderoso del momento: obligación de proteger datos personales más obligación de demostrar que se controla el riesgo. El comprador corporativo enterprise no pide promesas; pide evidencia auditable.

ISO 37001 es el caso más instructivo, porque su demanda se concentra donde la responsabilidad penal de las personas jurídicas dejó de ser teoría. En esos mercados, el sistema antisoborno deja de ser gesto ético y pasa a ser defensa corporativa verificable ante un eventual proceso.

La tentación es leer este mercado como un mercado puramente legal, donde una ley obliga y las empresas obedecen. La realidad es más mixta. En buena parte de los casos, la obligación efectiva no la firma el legislador: la firma el área de compras. Un pliego que exige sistema de gestión, un proceso de onboarding de proveedores que pide certificado vigente, un cliente que condiciona la renovación del contrato.

Donde sí existe ley-marco fuerte, el encastre es nítido. Los regímenes de responsabilidad penal empresarial empujan ISO 37001 con una correspondencia casi uno a uno entre lo que exige la norma y lo que la ley considera programa de integridad serio. Los regímenes de protección de datos personales empujan ISO 27001 como la prueba más vendible de controles maduros. La norma jurídica no dice certifíquese, pero el mercado traduce esa exigencia en certificado.

ISO 9001, en cambio, es muy dependiente del pliego. Menos ley horizontal, más licitación y homologación. Donde la compra pública o la cadena industrial incorpora la calidad como factor de evaluación, el certificado se vuelve un plus casi obligatorio sin que ninguna norma lo imponga de forma explícita.

Una porción creciente de la compra de certificación ocurre porque un cliente grande la exige antes de firmar o antes de renovar. El patrón es visible en automotriz, minería, petróleo y gas, BPO y software exportador. El sistema de gestión de los grandes operadores no se queda en su propia planta: baja por la cadena de proveedores y obliga a los proveedores medianos a certificarse para no quedar fuera de la lista.

Esa es la diferencia entre un mercado que compra por miedo a la multa y uno que compra por miedo a quedar fuera del contrato; el segundo es más estable y menos sensible al ciclo político. Para quien lee el mercado, conviene rastrear no solo la regulación de cada jurisdicción, sino quién es el comprador dominante de cada sector y qué exige a su cadena. Ese segundo dato suele predecir mejor la demanda que el primero.

Dos advertencias metodológicas ordenan cualquier lectura honesta de estos datos. La primera: no todos los cortes país por norma del ISO Survey quedan expuestos públicamente cada año, de modo que parte de la fotografía se completa con proxies que valen como orden de magnitud y no como censo. La segunda: el certificado mide adopción formal, no eficacia del sistema certificado.

Hay además una frontera que conviene marcar con precisión. ISO/IEC 42001, la norma de gestión de inteligencia artificial, concentra hoy buena parte de la conversación de mercado, pero permanece fuera del alcance de acreditación publicado. En ese terreno, lo que existe es certificación no acreditada: válida como ejercicio de gobierno, todavía sin la cadena de confianza que sí respalda a las familias consolidadas. Confundir ambos planos es el error más caro que comete un comprador apurado.

La demanda de certificación, entonces, es buena evidencia de mercado siempre que se la lea por lo que es: un registro de decisiones de compra bajo presión, no un termómetro de virtud. El certificado dice que alguien decidió que el riesgo de no tenerlo era mayor; rara vez dice más.