Análisis ISO 37001

Análisis de la norma ISO 37001

El soborno es una lacra comercial sufrida en numerosos sectores y países. Cuando hablamos de soborno, nos referimos tanto al pago realizado a un oficial de policía para evitar una multa por exceso de velocidad como al pago de una gran suma de dinero para conseguir un contrato empresarial. La ISO 37001 pretende acabar con este tipo de prácticas en las empresas y organizaciones que implementen dicho sistema.

Con base en estimaciones del Banco Mundial, se llega a pagar más de un trillón de dólares al año en sobornos. En muchas ocasiones, se entiende como una parte necesaria para lograr el negocio o evitar los tediosos trámites burocráticos.

Podemos definir a la norma ISO 37001 como un nuevo estándar de sistemas de lucha contra el soborno elaborado por la ISO, la Organización Internacional de Normalización, la cual se encarga del desarrollo y posterior publicación de estándares internacionales y que está formada por los organismos nacionales de normalización de 163 países miembros. Un total de más de 80 expertos procedentes de 28 países participantes, 16 países observadores y 7 organizaciones de enlace están involucrados en la redacción de la ISO 37001. El proyecto se encuentra actualmente en la etapa dos del borrador, por lo que el cronograma prevé la publicación de la norma a finales de este año 2016.

La ISO 37001 está diseñada para facilitar la implementación del Sistema de Gestión de Lucha contra el Soborno en una organización. En esta norma se detallan una serie de medidas que la organización debe implementar para tratar de evitar, localizar y abordar las malas prácticas comerciales de esta índole.

Esta norma puede ser implementada tanto por empresas pequeñas y medianas como por grandes organizaciones, tanto en el sector público como en el privado. La ISO 37001 es una herramienta de carácter flexible que se adapta a las características de tamaño o naturaleza de la empresa y al nivel de riesgo de soborno que se enfrenta.

Cualquier organización, independientemente del país al que pertenezca, puede utilizar la ISO 37001 de forma que le ayude al cumplimiento tanto de las correctas prácticas internacionales como de los requisitos legales de lucha contra el soborno, propios de cada país en el que la organización desarrolle su actividad.

Exigencias y beneficios

Las medidas establecidas por la norma ISO 37001 deben implementarse proporcional y razonablemente a una serie de factores relevantes, como el tamaño y la estructura de la empresa, la ubicación y sectores en los que opera, la naturaleza, escala y complejidad de sus actividades o el riesgo de soborno al que se expone, por lo que ello no va a suponer una burocracia innecesaria en la organización.

Entre estas medidas se incluye:

• Adopción de una política de lucha contra el soborno, la cual necesitará del liderazgo de la alta dirección.
• Nombramiento de una persona que supervise el cumplimiento de dicha política empresarial antisoborno.
• Capacitación al personal de la organización.
• Realización de evaluaciones de riesgos de soborno.
• Compromiso de la debida diligencia en los proyectos y las relaciones empresariales.
• Implementación de diferentes controles financieros y comerciales.
• Presentación de procedimientos e informes de investigación.

Entre los beneficios que puede aportar la ISO 37001 a la organización encontramos:

• Ayuda en la aplicación del Sistema de Gestión de Lucha contra el Soborno o en la mejora de los controles existentes.
• Ayuda a garantizar la implementación del Sistema de Gestión contra el Soborno a sus propietarios, inversionistas, clientes y otros socios comerciales, demostrando que la empresa ha implementado los controles internacionales contra el soborno.
• En el supuesto caso de que se llevase a cabo una investigación, ayuda a proporcionar evidencia a los fiscales y tribunales de que la empresa ha utilizado los procedimientos necesarios para intentar prevenir el soborno.

Efectos del soborno

Según un estudio de Transparencia Internacional, el 27% de un total de 3.000 empresarios encuestados han declarado que en algún momento de su carrera empresarial han perdido negocios debido a los sobornos llevados a cabo por sus competidores. Algunos de los daños que causan este tipo de prácticas a los países, organizaciones y particulares son:

• Disminución del crecimiento económico.
• Desaliento de la inversión.
• Marginación y restricción de los mercados globales.
• Erosión del apoyo a la ayuda económica.
• Reducción del nivel de vida de las personas.

Aplicabilidad de la ISO 37001 según tipo de organización

Una de las características más destacadas de la norma ISO 37001 es su vocación universal. A diferencia de otros estándares sectoriales que solo resultan pertinentes para un tipo concreto de actividad o estructura empresarial, la ISO 37001 está concebida para ser aplicable a cualquier organización, con independencia de su tamaño, naturaleza jurídica, sector de actividad o país en el que opere. Esta flexibilidad de diseño no es casual: responde a la realidad de que el soborno no discrimina por tamaño de empresa ni por tipo de mercado.

Empresas privadas de cualquier tamaño

Tanto una pyme familiar con diez empleados como una multinacional con presencia en treinta países pueden implantar la ISO 37001 y obtener su certificación. La norma no exige estructuras de compliance de gran escala ni departamentos jurídicos especializados; exige que los controles sean proporcionales al tamaño y al nivel de riesgo de cada organización. Para una empresa pequeña que opera en un único mercado local, eso puede traducirse en una política antisoborno sencilla, un responsable de cumplimiento a tiempo parcial y unos controles básicos sobre pagos y relaciones con terceros. Para una gran corporación con operaciones en mercados de alto riesgo, implicará un sistema más robusto, con auditorías internas periódicas, due diligence sobre toda la cadena de valor y canales de denuncia formalizados.

Lo relevante es que la norma establece el mismo marco de exigencias para todas, adaptando la profundidad y complejidad de su aplicación a la realidad de cada entidad. Esto la convierte en una herramienta accesible y proporcionada, no en una carga burocrática adicional.

Organizaciones del sector público

La ISO 37001 es igualmente aplicable a organismos públicos, administraciones y entidades gubernamentales. En el sector público, el riesgo de soborno adopta formas específicas —contratación pública, concesión de licencias, gestión de subvenciones, relación con empresas concesionarias— que la norma contempla y para las que proporciona herramientas de control concretas. Que una administración pública certifique la ISO 37001 no solo mejora sus controles internos: lanza una señal inequívoca de compromiso con la transparencia hacia los ciudadanos, los organismos de control y los organismos internacionales de financiación y cooperación.

Organizaciones sin ánimo de lucro, fundaciones y ONG

El tercer gran ámbito de aplicación es el de las organizaciones del tercer sector. Fundaciones, asociaciones y ONG que gestionan fondos públicos o privados, que ejecutan proyectos en países con alto índice de corrupción o que canalizan ayuda a través de redes de socios locales están igualmente expuestas al riesgo de soborno. Para este tipo de entidades, la certificación ISO 37001 aporta transparencia ante sus donantes, refuerza la credibilidad ante los organismos que las financian y protege su reputación en contextos donde la gestión de fondos puede quedar bajo sospecha.

Organizaciones que operan en entornos de alto riesgo

Con independencia del sector o el tamaño, la ISO 37001 resulta especialmente valiosa para las organizaciones que desarrollan su actividad en países o sectores con índices de corrupción elevados, que mantienen relaciones comerciales con intermediarios o agentes en mercados poco regulados, o que participan habitualmente en procesos de licitación pública donde el riesgo de cohecho es estructuralmente mayor. En estos contextos, disponer de un sistema de gestión antisoborno certificado no es solo una buena práctica: es una necesidad estratégica y, en muchos casos, una exigencia creciente por parte de socios, inversores y administraciones.

Flexibilidad y enfoque basado en el riesgo en ISO 37001

El principio central que articula toda la arquitectura de la norma ISO 37001 es el enfoque basado en el riesgo. Esto significa que la norma no prescribe una lista cerrada de controles que todas las organizaciones deben aplicar por igual, sino que exige a cada organización identificar, evaluar y gestionar sus propios riesgos de soborno de forma proporcional a su realidad concreta. Es un enfoque inteligente y eficiente: los recursos de control se concentran donde el riesgo es mayor, y no se malgastan en áreas donde el riesgo es mínimo o inexistente.

Qué significa aplicar los controles de forma proporcional

La proporcionalidad es uno de los conceptos clave de la ISO 37001. Los controles que la norma exige deben dimensionarse en función de varios factores: el tamaño y la estructura de la organización, los países y sectores en los que opera, la naturaleza y complejidad de sus actividades, y el nivel de exposición al riesgo de soborno que ha identificado en su evaluación. Una empresa constructora que compite regularmente en licitaciones públicas en mercados emergentes tendrá un perfil de riesgo muy diferente al de una consultoría de servicios que opera exclusivamente en mercados europeos altamente regulados, y sus controles deben reflejarlo.

Esta proporcionalidad tiene una consecuencia práctica muy importante: evita que la norma se convierta en un ejercicio burocrático desconectado de la realidad del negocio. Los controles de la ISO 37001 no son un fin en sí mismos; son instrumentos para reducir el riesgo real de soborno en cada organización concreta.

La evaluación de riesgos como punto de partida ineludible

Antes de diseñar ningún control, la ISO 37001 exige que la organización realice una evaluación sistemática de sus riesgos de soborno. Esta evaluación debe identificar en qué procesos, en qué relaciones con terceros y en qué geografías existe una exposición mayor al riesgo, y debe actualizarse periódicamente para reflejar los cambios en el entorno de la organización. El resultado de esta evaluación —habitualmente materializado en una matriz de riesgos de soborno— es el documento central sobre el que se construye todo el sistema de gestión antisoborno.

Sin una evaluación de riesgos rigurosa y actualizada, no es posible diseñar controles eficaces ni demostrar ante un auditor externo que el sistema está calibrado para la realidad de la organización. Este es el punto de partida que diferencia a la ISO 37001 de las simples declaraciones de intenciones anticorrupción.

Adaptabilidad a entornos cambiantes

Otro elemento de flexibilidad de la norma es su capacidad de adaptación a entornos regulatorios cambiantes. La ISO 37001 no está vinculada a ninguna legislación nacional concreta: establece un marco de buenas prácticas internacionales que es compatible con —y complementario a— los requisitos legales anticorrupción de cualquier país. Esto significa que una organización certificada en ISO 37001 puede demostrar su diligencia debida tanto ante la legislación española de responsabilidad penal de las personas jurídicas como ante la normativa anticorrupción de Chile, Perú, Colombia, México o cualquier otro mercado en el que opere, sin necesidad de crear sistemas paralelos para cada jurisdicción.

Integración con otros sistemas de gestión

La ISO 37001 sigue la estructura de alto nivel común a todas las normas ISO de sistemas de gestión, lo que facilita enormemente su integración con estándares como la ISO 9001 de calidad, la ISO 14001 de medio ambiente, la ISO 27001 de seguridad de la información o la ISO 45001 de seguridad y salud en el trabajo. Las organizaciones que ya cuentan con alguno de estos sistemas certificados pueden incorporar la ISO 37001 aprovechando la infraestructura documental, los procesos de auditoría interna y los mecanismos de revisión por la dirección que ya tienen en funcionamiento, lo que reduce significativamente el esfuerzo y el coste de implementación.

Esta capacidad de integración refuerza la idea de que la ISO 37001 no es un sistema aislado de cumplimiento normativo, sino una capa de gestión del riesgo que se suma con naturalidad al modelo de gobierno de cualquier organización madura.

Software para el análisis ISO 37001

Para asegurar la automatización, gestión y control de un Sistema de Gestión de Lucha contra el Soborno de forma sencilla y eficaz, podemos ayudarnos con el software ISOTools. Soluciona de una forma muy completa los requisitos de la norma ISO 37001. Además, ofrece al cliente la herramienta imprescindible para obtener una mejora continua en su gestión de procesos, con el consiguiente aumento de sus beneficios a corto plazo.