Implementación ISO 37001 y relación con otras normas

Requisitos para implementar ISO 37001

Antes de iniciar la implantación, la organización debe comprender qué exige la norma en términos estructurales. La ISO 37001 no prescribe un modelo único: adapta sus requisitos al tamaño, sector y contexto de riesgo de cada organización. Sin embargo, hay un conjunto de condiciones de partida que deben cumplirse para que el sistema de gestión antisoborno sea real y auditable, y no meramente documental.

El primer requisito es el compromiso demostrable de la alta dirección. La norma exige que el liderazgo de la organización asuma un papel activo en la definición de la política antisoborno, en la asignación de recursos y en la supervisión del sistema. Un compliance officer sin respaldo directo de la dirección no puede sostener un sistema ISO 37001 que supere una auditoría.

El segundo requisito es la existencia de una evaluación de riesgos de soborno específica y documentada, proporcional al contexto de la organización. Esta evaluación debe identificar en qué procesos, geografías, relaciones con terceros o tipos de transacción existe mayor exposición al riesgo de soborno, y debe actualizarse cuando cambia el contexto.

El tercer requisito es disponer de una función de cumplimiento antisoborno con autoridad, recursos y acceso suficiente a la información para monitorear el sistema e informar a la dirección. Esta función puede ser interna o externalizada, pero debe estar claramente definida.

El cuarto requisito es contar con controles financieros y no financieros proporcionales a los riesgos identificados, con procedimientos documentados de debida diligencia sobre socios comerciales, y con canales de denuncia accesibles y protegidos que garanticen el anonimato de quien reporta.

Finalmente, la norma exige que el sistema sea objeto de auditorías internas periódicas y de revisión formal por la dirección, generando evidencias documentadas de que el sistema funciona, se supervisa y mejora continuamente.

Pasos para implementar ISO 37001

Implementar la ISO 37001 es un proceso secuencial que requiere planificación, recursos y tiempo. El siguiente resumen recoge las cinco fases clave del proceso y los elementos principales de cada una:

1. Analizar el contexto y los riesgos de soborno

El punto de partida de cualquier sistema de gestión antisoborno es entender el entorno en el que opera la organización. Esto implica identificar los factores externos —marco legal anticorrupción aplicable, mercados en los que se opera, naturaleza de las relaciones con el sector público— y los factores internos —estructura organizativa, procesos críticos, histórico de incidentes, cultura existente— que condicionan la exposición al riesgo de soborno.

A partir de ese análisis de contexto, la organización debe realizar una evaluación de riesgos de soborno que clasifique las áreas, funciones y relaciones con terceros según su nivel de exposición. Esta evaluación es el documento central sobre el que se construye todo el sistema: determina qué controles son necesarios, qué terceros requieren debida diligencia reforzada y qué áreas deben priorizarse en las auditorías. Una evaluación de riesgos superficial o genérica hace que el resto del sistema sea igualmente superficial.

2. Definir la política antisoborno y el liderazgo responsable

Una vez conocidos los riesgos, la organización debe formalizar su compromiso mediante una política antisoborno aprobada por la alta dirección. Esta política debe ser clara, accesible para todo el personal y los socios comerciales relevantes, y debe establecer de forma inequívoca la tolerancia cero frente al soborno en cualquiera de sus formas, ya sea activo, pasivo, directo o a través de terceros.

Paralelamente, la norma exige que se defina quién tiene la responsabilidad de supervisar el sistema antisoborno. La función de cumplimiento —ya sea un responsable dedicado o un comité— debe tener acceso directo a la dirección, capacidad para actuar con independencia y recursos suficientes para desempeñar su labor. El órgano de gobierno de la organización también tiene un papel explícito en la ISO 37001: debe supervisar el diseño del sistema y recibir información periódica sobre su funcionamiento.

3. Establecer controles, procedimientos y debida diligencia

Esta es la fase operativa del sistema. A partir de la evaluación de riesgos, la organización diseña e implementa los controles financieros y no financieros necesarios para prevenir y detectar el soborno. Entre los controles financieros más habituales figuran la segregación de funciones en pagos, la doble autorización para transacciones por encima de umbrales definidos, las auditorías de gastos de representación y la revisión de comisiones a intermediarios. Entre los controles no financieros destacan los procedimientos de aprobación de regalos y atenciones, las políticas de conflicto de intereses y los mecanismos de denuncia.

La debida diligencia sobre socios comerciales es uno de los requisitos más exigentes de la norma. La organización debe establecer un proceso documentado para evaluar la integridad de sus proveedores, agentes, distribuidores y otros socios antes de establecer una relación comercial y durante su vigencia, con una profundidad proporcional al nivel de riesgo que cada relación representa.

4. Formar al personal y reforzar la cultura de cumplimiento

Los controles documentados no funcionan solos. La ISO 37001 exige que el personal reciba formación específica en materia antisoborno, adaptada a su rol y a su nivel de exposición al riesgo. Un directivo comercial que negocia contratos con administraciones públicas necesita una formación diferente a la de un técnico de back-office, aunque ambos deben conocer la política de la organización y saber cómo actuar ante una situación de riesgo.

Más allá de la formación puntual, la norma apunta a la construcción de una cultura organizacional en la que la integridad sea un valor practicado y no solo declarado. Esto implica que los mensajes de la dirección, las decisiones cotidianas y los procesos de evaluación del desempeño sean coherentes con los valores antisoborno que la organización dice promover. Una cultura del cumplimiento real es el mejor control preventivo del sistema.

5. Evaluar, auditar y mejorar el sistema de gestión antisoborno

Un sistema de gestión antisoborno que no se mide no mejora. La ISO 37001 exige establecer indicadores de desempeño, realizar auditorías internas con la periodicidad que determine el programa de auditoría —como mínimo anual— y someter el sistema a revisión formal por la dirección al menos una vez al año.

Las auditorías internas deben evaluar si los controles funcionan en la práctica, si la evaluación de riesgos sigue siendo pertinente y si el personal actúa conforme a los procedimientos establecidos. Los hallazgos de la auditoría deben gestionarse mediante planes de acción documentados, y sus resultados deben presentarse a la dirección como base para la toma de decisiones de mejora. Es este ciclo de evaluación y mejora continua el que convierte el sistema en algo vivo y efectivo, y el que distingue una certificación ISO 37001 con valor real de una que solo acredita la existencia de documentación.

Cómo integrar ISO 37001 con otros sistemas de gestión

Una de las ventajas estructurales de la ISO 37001 es que comparte la estructura de alto nivel —High Level Structure— común a todas las normas modernas de sistemas de gestión ISO. Esto significa que sus cláusulas están alineadas con las de normas como la ISO 9001, la ISO 14001, la ISO 45001 o la ISO 37301, lo que facilita enormemente su integración en organizaciones que ya tienen implantado alguno de estos estándares.

Integración con ISO 9001 (gestión de calidad)

La ISO 9001 y la ISO 37001 comparten la lógica del ciclo de mejora continua y la orientación a procesos. Una organización certificada en ISO 9001 ya dispone de una estructura de gestión documental, auditorías internas, revisión por la dirección y gestión de no conformidades que puede ampliarse para incorporar los requisitos antisoborno sin necesidad de crear un sistema paralelo. La política antisoborno se integra como una política específica dentro del marco general de gestión, y los indicadores de desempeño antisoborno se incorporan al cuadro de mando de calidad existente.

Integración con ISO 31000 (gestión de riesgos)

La ISO 31000 proporciona el marco metodológico para identificar, analizar y tratar riesgos de cualquier naturaleza. Integrarla con la ISO 37001 permite que la evaluación de riesgos de soborno no sea un ejercicio aislado, sino parte del proceso global de gestión de riesgos de la organización. Esto evita duplicidades, mejora la coherencia del análisis y permite priorizar los recursos de mitigación de forma integrada.

Integración con ISO 37301 (gestión de compliance)

Es la integración más natural y estratégicamente más potente. Como se ha explicado anteriormente, la ISO 37301 aborda el cumplimiento normativo en sentido amplio, mientras que la ISO 37001 profundiza específicamente en el soborno. Implementadas juntas, la política antisoborno de la ISO 37001 opera como una política sectorial dentro del marco de compliance de la ISO 37301, los canales de denuncia son compartidos, la función de cumplimiento es única y los programas de formación se diseñan de forma conjunta. El resultado es un sistema de gobernanza ética sólido y eficiente, sin duplicidades ni incoherencias entre sistemas.

Integración con ISO 45001 (seguridad y salud en el trabajo)

Aunque la conexión puede parecer menos evidente, la ISO 45001 y la ISO 37001 convergen en la necesidad de construir entornos laborales donde las personas puedan actuar con integridad y sin presiones indebidas. La cultura de reporte de incidentes propia de la ISO 45001 —donde el trabajador puede comunicar situaciones de riesgo sin temor a represalias— es exactamente el mismo principio que sustenta el canal de denuncias antisoborno de la ISO 37001. Integrar ambos sistemas refuerza la coherencia cultural del mensaje que la organización transmite a su plantilla.

Claves para una integración efectiva

El éxito de la integración depende de tres decisiones de diseño tomadas desde el principio. La primera es unificar la documentación: un único manual del sistema integrado, con políticas específicas por materia, evita la proliferación de documentos contradictorios. La segunda es compartir los procesos transversales: auditorías internas, revisión por la dirección, gestión de no conformidades y formación pueden ejecutarse de forma integrada para todas las normas implantadas. La tercera es asignar responsabilidades claras: la función de cumplimiento antisoborno debe coordinarse con los responsables de los otros sistemas de gestión para garantizar que los riesgos se analizan de forma coherente y que los controles no se duplican ni se contradicen.

Herramientas como el Software ISOTools permiten gestionar todos estos sistemas desde una única plataforma, con módulos específicos para cada norma que comparten la misma base documental, los mismos flujos de aprobación y el mismo panel de seguimiento, haciendo que la integración no sea solo un objetivo estratégico sino una realidad operativa cotidiana.