¿Qué es ISO 37001 y cómo prevenir el soborno en tu organización?

La corrupción y el soborno representan uno de los mayores riesgos para las empresas que operan en México y Latinoamérica. ISO 37001 es la norma internacional que establece los requisitos para un sistema de gestión antisoborno, ayudando a las organizaciones a prevenir, detectar y responder a conductas de soborno. En este artículo te explicamos qué cubre, por qué es relevante y cómo funciona la certificación.

Qué es ISO 37001 en palabras simples

ISO 37001 es una norma internacional publicada por la Organización Internacional de Normalización (ISO) en 2016. Define los requisitos para establecer, implementar, mantener y mejorar un Sistema de Gestión Antisoborno (SGAS).

A diferencia de códigos de conducta o políticas genéricas, ISO 37001 establece un sistema completo con controles específicos para prevenir el soborno. No se limita a decir "no sobornes": te da las herramientas organizacionales para que el soborno sea difícil de cometer y fácil de detectar.

La norma aplica a cualquier organización: empresas privadas, entidades gubernamentales, organizaciones sin fines de lucro y empresas de cualquier tamaño y sector. Cubre tanto el soborno activo (ofrecer o dar sobornos) como el pasivo (solicitar o recibir), y tanto el directo como el que se realiza a través de terceros.

Por qué ISO 37001 es especialmente relevante en México

México cuenta con un marco regulatorio anticorrupción robusto que incluye:

• Ley General de Responsabilidades Administrativas: establece responsabilidades por actos de corrupción y sanciones tanto para personas físicas como morales.
• Ley General del Sistema Nacional Anticorrupción: crea la estructura institucional para prevenir, detectar y sancionar la corrupción.
• Código Penal Federal: tipifica el cohecho y otros delitos de corrupción con penas de prisión.
• Ley Federal Anticorrupción en Contrataciones Públicas: sanciona a empresas que incurran en prácticas de corrupción en contratos con el gobierno.

Además, México ha firmado convenciones internacionales contra la corrupción (ONU, OCDE, OEA) que generan obligaciones adicionales. Las empresas que operan en México y tienen presencia internacional también están expuestas a leyes extraterritoriales como la FCPA (Foreign Corrupt Practices Act) de Estados Unidos y el UK Bribery Act del Reino Unido.

En este contexto, ISO 37001 no es solo una buena práctica: es una herramienta de protección legal. Un sistema antisoborno certificado puede servir como atenuante en caso de investigaciones y demuestra debida diligencia ante reguladores.

Requisitos principales de ISO 37001

ISO 37001 sigue la estructura de Alto Nivel (Anexo SL) común a todas las normas ISO de sistemas de gestión. Sus requisitos más relevantes incluyen:

Liderazgo y compromiso de la alta dirección

La dirección debe demostrar liderazgo estableciendo una política antisoborno, asegurando que el sistema se integre en los procesos de la organización y asignando recursos adecuados. No es suficiente una declaración: se requiere involucramiento activo.

Evaluación de riesgos de soborno

La organización debe identificar y evaluar los riesgos de soborno específicos de su contexto: sectores de operación, jurisdicciones, tipos de transacciones, socios de negocio y proyectos. Esta evaluación es la base de todo el sistema.

Debida diligencia

ISO 37001 requiere procedimientos de debida diligencia proporcionales al riesgo para transacciones, proyectos y socios de negocio. Esto incluye verificación de antecedentes de socios comerciales, proveedores, agentes y otros terceros que representen riesgo de soborno.

Controles financieros

Se requieren controles financieros y no financieros diseñados para prevenir el soborno. Esto incluye aprobación de gastos, revisión de pagos inusuales, control de regalos y hospitalidades, y separación de funciones en procesos sensibles.

Función de cumplimiento antisoborno

La organización debe designar una función de cumplimiento antisoborno con la autoridad, independencia, competencia y recursos necesarios. Esta función supervisa el sistema, reporta a la alta dirección y asesora al personal.

Capacitación y concientización

Todo el personal debe recibir capacitación apropiada sobre la política antisoborno y los riesgos relevantes. El nivel de detalle varía según el riesgo: el personal en áreas de alto riesgo necesita capacitación más profunda.

Canales de denuncia

Se deben establecer mecanismos para que las personas reporten sospechas de soborno de forma confidencial y sin temor a represalias. Estos canales deben estar disponibles tanto para personal interno como para terceros.

Investigación y respuesta

La organización debe tener procedimientos para investigar denuncias y responder a incidentes de soborno, incluyendo acciones correctivas y, cuando sea necesario, reporte a autoridades.

Certificación vs adopción del sistema

Una distinción importante: tu organización puede adoptar ISO 37001 sin necesariamente certificarse. La diferencia:

Para muchas empresas, la certificación vale la pena por la credibilidad que aporta ante reguladores, clientes internacionales e inversionistas. El certificado es una señal objetiva de que tu sistema antisoborno ha sido verificado por un tercero independiente.

Cómo funciona el proceso de certificación

El camino a la certificación ISO 37001 sigue estos pasos:

1. Diagnóstico inicial: evalúa el estado actual de tus controles antisoborno e identifica brechas respecto a los requisitos de la norma.
2. Implementación del SGAS: desarrolla políticas, procedimientos, controles y registros que cumplan los requisitos. Esto incluye la evaluación de riesgos, debida diligencia, canales de denuncia y capacitación.
3. Operación del sistema: el SGAS debe operar durante un periodo suficiente para generar evidencia de funcionamiento (típicamente 3 a 6 meses).
4. Auditoría interna: realiza una auditoría interna para verificar que el sistema cumple todos los requisitos antes de la auditoría de certificación.
5. Auditoría de certificación Etapa 1: un organismo de certificación acreditado revisa tu documentación.
6. Auditoría de certificación Etapa 2: el organismo audita tu sistema en operación, entrevistando personal y verificando registros.
7. Emisión del certificado: si cumples todos los requisitos, se emite el certificado con vigencia de 3 años.
8. Auditorías de seguimiento: auditorías anuales para verificar que el sistema se mantiene operativo y efectivo.

Sectores donde ISO 37001 tiene mayor impacto

Aunque cualquier organización puede beneficiarse, estos sectores son donde la certificación antisoborno marca la mayor diferencia:

• Construcción e infraestructura: sector históricamente expuesto a riesgos de soborno en licitaciones y permisos.
• Energía y minería: operaciones reguladas con alto valor de contratos y exposición a jurisdicciones de alto riesgo.
• Gobierno y sector público: dependencias y empresas productivas del Estado que buscan transparencia.
• Salud y farmacéutico: sector regulado con relaciones complejas entre fabricantes, distribuidores e instituciones de salud.
• Servicios financieros: regulaciones antilavado y anticorrupción cada vez más estrictas.
• Proveedores de gobierno: empresas que participan en licitaciones públicas y necesitan demostrar integridad.

Beneficios concretos de la certificación

• Protección legal: un SGAS certificado puede servir como atenuante en investigaciones y demuestra que la organización actuó con debida diligencia.
• Acceso a mercados: cada vez más clientes corporativos e instituciones internacionales exigen evidencia de programas anticorrupción a sus proveedores.
• Ventaja en licitaciones: las empresas certificadas tienen ventaja en procesos de contratación pública donde se valoran controles anticorrupción.
• Reducción de riesgos: los controles del sistema reducen la probabilidad de incidentes de soborno que podrían resultar en multas, sanciones y daño reputacional.
• Cultura organizacional: el sistema fomenta una cultura de integridad que permea todos los niveles de la organización.