Principales diferencias entre la ISO 37001 e ISO 37301

🔊 Escuchar esta entrada

La ISO 37001 y la ISO 37301 son dos normas internacionales que con frecuencia se confunden porque comparten un mismo territorio —la ética empresarial y la lucha contra la corrupción— pero atacan problemas distintos con herramientas distintas. La ISO 37001, publicada en 2016, se centra exclusivamente en el soborno: establece los requisitos para implantar un sistema de gestión antisoborno que ayude a las organizaciones a prevenir, detectar y tratar este riesgo específico, tanto en sus operaciones internas como a lo largo de toda su cadena de valor. La ISO 37301, publicada en 2021, tiene un alcance más amplio: aborda el cumplimiento normativo en sentido general, incluyendo leyes, requisitos regulatorios y códigos de conducta del sector, con el objetivo de reducir los riesgos operativos, penales, reputacionales y financieros derivados del incumplimiento. Aunque ambas coinciden en la necesidad de formar a las personas en valores éticos, de garantizar decisiones equitativas y de implementar controles eficaces, sus diferencias son sustanciales: las partes interesadas, los análisis de riesgo, la información documentada, los roles responsables, los controles específicos y los recursos necesarios para cada sistema son distintos en cada caso. Lejos de ser excluyentes, las dos normas pueden integrarse e implantarse de forma conjunta, construyendo así un marco de gobernanza corporativa más robusto y orientado a organizaciones éticamente sostenibles.

ISO 37001 e ISO 37301

Las familias de normas, así como las familias humanas, se parecen entre sí. Por ejemplo, la familia ISO 9000 se refiere a la calidad, pero abordada desde distintos puntos de vista. Recordemos que la norma ISO 9000 contiene el vocabulario relativo a los sistemas de gestión de la calidad; la ISO 9001 trata sobre la implementación de un sistema de gestión de la calidad; la ISO 9002 proporciona recomendaciones para implementar la ISO 9001 y la ISO 9004 va de directrices para el éxito sostenido de las organizaciones. Juntas conforman un cuerpo completo acerca de la calidad y apuntan hacia un mismo objetivo. Sin embargo, guardan diferencias de fondo y forma entre sí. Lo mismo podríamos decir de otras familias de normas, por ejemplo, la integrada por la ISO 37001 e ISO 37301, y que pronto contará con la ISO 37002 – Sistema de gestión de denuncias e ISO 37000 – Guía para la gobernanza de las organizaciones, ambas en fase de discusión previa a la publicación.

La norma ISO 37001-Sistemas de gestión antisoborno fue publicada en el año 2016 y tiene por objeto ayudar a las organizaciones a combatir el soborno, tanto en sus propias operaciones como en todas sus cadenas de valor. Los esfuerzos del estándar apuntan a la prevención y tratamiento de una forma de corrupción capaz de destruir empresas, economías enteras y países. La Organización Internacional de Estandarización considera que, al publicar normas que las compañías adopten de forma voluntaria, será más fácil combatir el soborno desde procesos transparentes, responsables y más justos.

Por su parte, la norma ISO 37301 – Sistemas de gestión de compliance fue publicada durante este año 2021 y se propone reducir los riesgos de corrupción y otros delitos mediante el cumplimiento de leyes, requisitos regulatorios y códigos de la industria. Los riesgos operativos, penales, reputacionales y financieros podrían ser eliminados, prevenidos y duramente combativos gracias a la implementación de esta norma.

Pese a que ambos estándares persiguen la implementación de controles eficaces y transparencia y tienen en común la necesidad de que los colaboradores reciban formación en cuanto a valores y buenas prácticas éticas; y también se asemejan en la necesidad de garantizar que se tomen decisiones equitativas, las normas ISO 37001 e ISO 37301 cuentan con diferencias bien marcadas, por ejemplo:

	ISO 37001	ISO 37301
Objeto	Este documento es aplicable solo para el soborno. En él se establecen los requisitos y se proporciona una guía para un sistema de gestión diseñado para ayudar a una organización a prevenir, detectar y enfrentar al soborno y cumplir con las leyes antisoborno y los compromisos voluntarios aplicables a sus actividades.	Este documento especifica los requisitos y proporciona orientación sobre los sistemas de gestión del cumplimiento y las prácticas recomendadas. Tanto los requisitos como la orientación en este documento están destinados a ser adaptables.
Términos y definiciones	Soborno, órgano de gobierno, contratar externamente, socio de negocios, funcionario público, conflicto de intereses, debida diligencia, entre otros.	Cumplimiento, función de cumplimiento, riesgo de cumplimiento, cultura de cumplimiento, incumplimiento, conducta, entre otros.
Política y contexto	Creación de política antisoborno. La organización debe determinar los problemas externos e internos que sean relevantes para prevenir, gestionar y tratar los sobornos; además de analizar los elementos que afecten su capacidad para lograr los resultados previstos de su sistema de gestión del cumplimiento.	Creación de política de cumplimiento. La empresa requiere conocer los conflictos y situaciones más importantes para que los mismos no impacten de manera negativa en los objetivos propuestos en el sistema de gestión de compliance.

Aparte de las diferencias mencionadas, ambas normas son disímiles porque las partes interesadas y sus requisitos difieren en cada sistema de gestión. Las evaluaciones de riesgos apuntan a elementos que contrastan, además de que la información documentada cuenta con distinto contenido en cada caso. Las funciones, roles, dueños de procesos, controles, compromisos, acciones para prevenir riesgos y detectar oportunidades también distan. Del mismo modo, los recursos que se necesitan para implementar los sistemas de gestión varían.

Independientemente de que las normas ISO 37001 e ISO 37301 sean diametralmente opuestas y persigan objetivos bien diferenciados, pueden integrarse e implantarse para obtener resultados que apunten a sociedades más libres y justas. Depuradas de corrupción e incumplimiento, dos lastres de los que requiere librarse toda sociedad para progresar y superarse.

Cuándo conviene implementar ISO 37001, ISO 37301 o ambas normas

Una de las preguntas más frecuentes entre los responsables de compliance y los equipos directivos que se acercan a estas normas por primera vez es precisamente esta: ¿necesitamos la ISO 37001, la ISO 37301, o tiene sentido implantar las dos? La respuesta depende del perfil de riesgo de la organización, de su contexto regulatorio y del nivel de madurez que ya tenga su sistema de gestión ética.

Cuándo priorizar la ISO 37001

La ISO 37001 es la elección adecuada cuando el riesgo principal que la organización necesita gestionar y demostrar que gestiona es el soborno. Esto aplica especialmente a empresas que operan en sectores o geografías con alta exposición a la corrupción, que participan en licitaciones públicas, que trabajan con funcionarios públicos o administraciones de forma habitual, o que forman parte de cadenas de valor internacionales donde los clientes o socios exigen acreditación antisoborno como requisito contractual. También es la norma indicada cuando la organización ha sufrido un incidente de corrupción y necesita demostrar ante reguladores, inversores o socios que ha implantado controles específicos y verificables frente al soborno. Al ser certificable por un organismo independiente, la ISO 37001 aporta una credencial externa que la ISO 37301 no puede sustituir en este ámbito concreto.

Cuándo priorizar la ISO 37301

La ISO 37301 resulta más apropiada cuando la organización necesita construir o reforzar un marco de cumplimiento normativo amplio, que vaya más allá del soborno y abarque el conjunto de obligaciones legales, regulatorias y sectoriales a las que está sujeta. Es especialmente relevante para organizaciones que operan en sectores altamente regulados —financiero, sanitario, energético, telecomunicaciones— donde la gestión del riesgo de incumplimiento afecta a múltiples áreas simultáneamente: protección de datos, competencia, medio ambiente, seguridad laboral o normativa fiscal. También es la opción natural para organizaciones que ya disponen de una función de compliance establecida y quieren dotarla de un marco estructurado, auditable y reconocido internacionalmente.

Cuándo tiene sentido implantar ambas normas conjuntamente

La implementación conjunta de ISO 37001 e ISO 37301 no solo es posible sino recomendable para organizaciones con una exposición compleja al riesgo ético y normativo. Al compartir la estructura de alto nivel propia de las normas ISO de sistemas de gestión, los dos estándares son integrables sin duplicar esfuerzos: la política antisoborno de la ISO 37001 puede integrarse como una política específica dentro del marco de cumplimiento de la ISO 37301, y los análisis de riesgo, los programas de formación, los canales de denuncia y los mecanismos de revisión por la dirección pueden diseñarse para satisfacer simultáneamente los requisitos de ambas normas.

Esta integración es especialmente valiosa para grandes organizaciones o grupos empresariales con presencia multinacional, para empresas que cotizan en mercados regulados y necesitan demostrar tanto integridad antisoborno como cumplimiento normativo global, y para cualquier organización que quiera construir un sistema de gobernanza ética sólido, coherente y eficiente en lugar de gestionar cada riesgo de forma aislada.

En todos los casos, el punto de partida debe ser siempre un análisis honesto del contexto y los riesgos reales de la organización. Implantar una norma sin que responda a una necesidad identificada genera carga administrativa sin valor real. Implantar la norma equivocada, o solo una cuando se necesitan las dos, deja expuesta a la organización precisamente donde más importa estar protegida. El Software ISOTools permite gestionar ambos sistemas de forma integrada desde una misma plataforma, facilitando que la decisión de implantar una o ambas normas no condicione la eficiencia operativa del equipo de compliance.

Software ISO 37001 de ISOTools

Implementar un sistema anticorrupción y aplicar una lista de verificación para un sistema antisoborno como esta resulta mucho más fácil si se cuenta con una herramienta tecnológica avanzada que estructura el sistema y facilita cada tarea.

Así lo hace el  Software ISO 37001 de ISOTools específicamente diseñado para abordar cada componente de un sistema antisoborno con éxito. Esta solución ofrece funcionalidades apropiadas, por ejemplo, para una gestión óptima de los ciclos de tareas y flujos de documentación, para la aplicación ágil de la debida diligencia o para alentar la denuncia a través de canales que protegen el anonimato y facilitan las investigaciones.

Conozca más sobre esta solución preguntando a uno de nuestros asesores.