ISO 37001 e ISO 37301 son dos normas que frecuentemente se confunden porque ambas operan en el terreno del cumplimiento y la ética empresarial. Sin embargo, tienen alcances distintos y se complementan de formas específicas. En este artículo clarificamos qué cubre cada una, cuándo necesitas una o ambas, y cómo integrarlas en un programa de cumplimiento efectivo.
Puntos clave
- ISO 37001 se enfoca exclusivamente en la prevención del soborno.
- ISO 37301 cubre el cumplimiento normativo en general (incluyendo antisoborno).
- Ambas son certificables y comparten la estructura de Alto Nivel (Anexo SL).
- Son complementarias: ISO 37001 profundiza donde ISO 37301 es general.
- Se pueden auditar e implementar de forma integrada para reducir costos.
¿No sabes cuál norma necesitas? Solicita un diagnóstico antisoborno o un diagnóstico de cumplimiento y recibe una recomendación personalizada.
Visión general: dos normas, dos enfoques
ISO 37001:2016 (Sistemas de gestión antisoborno) establece requisitos específicos para prevenir, detectar y responder al soborno. Es una norma especializada en un riesgo concreto.
ISO 37301:2021 (Sistemas de gestión de cumplimiento) establece requisitos para un sistema que gestione todas las obligaciones de cumplimiento de una organización: legales, regulatorias, contractuales y voluntarias. Es una norma general de compliance.
La analogía más clara: ISO 37001 es como un seguro contra incendios. ISO 37301 es como un programa integral de seguridad que cubre incendios, terremotos, inundaciones y robos. Uno es específico, el otro es integral.
Tabla comparativa detallada
| Aspecto | ISO 37001 | ISO 37301 |
|---|---|---|
| Enfoque | Prevención del soborno | Cumplimiento normativo general |
| Alcance de riesgos | Solo soborno (activo, pasivo, directo, indirecto) | Todas las obligaciones de cumplimiento |
| Año de publicación | 2016 | 2021 |
| ¿Es certificable? | Sí | Sí |
| Predecesora | Ninguna (primera norma ISO antisoborno) | ISO 19600:2014 (que era solo guía) |
| Estructura | Anexo SL (Alto Nivel) | Anexo SL (Alto Nivel) |
| Debida diligencia | Requerida específicamente para riesgos de soborno | Requerida de forma general |
| Controles financieros | Requisitos específicos (regalos, hospitalidades, donaciones) | No especifica controles financieros |
| Canal de denuncia | Requerido específicamente | Requerido de forma general |
| Función de cumplimiento | Función antisoborno con independencia requerida | Función de cumplimiento con independencia requerida |
| Ideal para | Organizaciones con alto riesgo de soborno | Organizaciones con múltiples obligaciones regulatorias |
¿Cuándo implementar una o ambas?
Solo ISO 37001
Cuando el soborno es tu riesgo de cumplimiento más significativo y tus otras obligaciones regulatorias ya están gestionadas por otros medios. Típico en empresas de construcción, proveedores de gobierno o empresas con operaciones en jurisdicciones de alto riesgo de corrupción.
Solo ISO 37301
Cuando enfrentas múltiples obligaciones regulatorias (protección de datos, normativa ambiental, regulaciones sectoriales, normativa laboral) y necesitas un marco unificado para gestionarlas todas, pero el soborno no es tu riesgo principal.
Ambas normas
Cuando tienes riesgos significativos tanto de soborno como de incumplimiento regulatorio en general. Esta es la opción más robusta y la que más credibilidad genera ante reguladores e inversionistas. La buena noticia: comparten el 70-80% de su estructura, por lo que implementar ambas no duplica el esfuerzo.
¿Quieres certificarte como profesional en compliance? Explora nuestras certificaciones individuales PECB en ISO 37001 y ISO 37301.
Cómo se complementan en un programa integral
La mejor práctica es usar ISO 37301 como el marco general de cumplimiento y ISO 37001 como el módulo especializado antisoborno dentro de ese marco:
- ISO 37301 establece la arquitectura: la política de cumplimiento, la función de cumplimiento, el proceso de identificación de obligaciones, el monitoreo y la mejora continua.
- ISO 37001 profundiza en antisoborno: dentro del marco general, agrega los controles específicos de debida diligencia, controles financieros, regalos y hospitalidades que ISO 37301 no detalla.
- Comparten elementos comunes: política, liderazgo, evaluación de riesgos, capacitación, canal de denuncia, auditoría interna y mejora continua. Estos se implementan una sola vez y sirven para ambos sistemas.
Ventajas de la implementación integrada
- Eficiencia: un solo sistema de gestión con módulos especializados en lugar de dos sistemas paralelos.
- Menor costo: la implementación integrada reduce significativamente el esfuerzo respecto a implementar cada norma por separado.
- Auditorías combinadas: ambas normas se pueden auditar en un solo proceso, reduciendo costos y disrupciones.
- Coherencia: un solo canal de denuncia, una sola función de cumplimiento, un solo programa de capacitación con módulos diferenciados.
- Escalabilidad: el marco de ISO 37301 permite agregar nuevos módulos de cumplimiento (protección de datos, ambiental, etc.) sin rediseñar todo.
Contexto regulatorio en México
Para empresas en México, ambas normas son relevantes por el marco regulatorio actual:
- Anticorrupción: la Ley General de Responsabilidades Administrativas y la Ley Federal Anticorrupción en Contrataciones Públicas crean obligaciones directas que ISO 37001 ayuda a cumplir.
- Protección de datos: la LFPDPPP genera obligaciones de cumplimiento que ISO 37301 ayuda a gestionar dentro de un marco estructurado.
- Regulación sectorial: sectores como el financiero (CNBV), salud (COFEPRIS), energía (CRE, CNH) y telecomunicaciones (IFT) tienen regulaciones específicas que ISO 37301 aborda de forma integral.
- Comercio internacional: empresas que exportan o tienen socios internacionales están expuestas a regulaciones extraterritoriales que ambas normas ayudan a gestionar.
Preguntas frecuentes
¿Cuál es la diferencia principal entre ISO 37001 e ISO 37301?
ISO 37001 se enfoca exclusivamente en la prevención del soborno. ISO 37301 cubre el cumplimiento normativo en general, incluyendo antisoborno pero también protección de datos, regulaciones sectoriales, normativa laboral y cualquier otra obligación legal o voluntaria.
¿Necesito ambas certificaciones?
Depende de tu contexto. Si tu principal riesgo es el soborno, ISO 37001 es suficiente. Si enfrentas múltiples obligaciones regulatorias, ISO 37301 te da un marco integral. Muchas organizaciones implementan ambas porque se complementan y comparten estructura.
¿Puedo implementar ISO 37301 sin ISO 37001?
Sí. ISO 37301 es independiente y cubre el cumplimiento normativo de forma general. Sin embargo, si el soborno es un riesgo significativo, ISO 37301 por sí sola puede no ser suficiente para abordar los controles específicos que ISO 37001 requiere.
¿ISO 37301 reemplazó a ISO 19600?
Sí. ISO 37301:2021 reemplazó a ISO 19600:2014. La diferencia clave es que ISO 19600 era una guía (no certificable) mientras que ISO 37301 es una norma de requisitos (certificable). Esto le da mucha más credibilidad y utilidad práctica.
¿Las auditorías de ambas normas se pueden hacer juntas?
Sí. Dado que ambas normas comparten la estructura de Alto Nivel (Anexo SL), es posible realizar auditorías integradas que cubran ambos sistemas simultáneamente, reduciendo costos y tiempo.
Da el siguiente paso
Identifica brechas y oportunidades de mejora con un diagnóstico profesional de nuestro equipo de auditores.