La norma UNE-ISO 37001:2025 establece los requisitos para implementar un sistema de gestión antisoborno eficaz, alineado con los principios de integridad, transparencia y responsabilidad corporativa. Su estructura responde al modelo integrado común a los estándares ISO, lo que facilita su integración con otros sistemas de gestión como ISO 9001, ISO 14001 o ISO 37301.
En este artículo os proponemos un plan de implantación en siete pasos, diseñado para PYMES que, por su tamaño o actividad, buscan cumplir con los requisitos esenciales de la norma y avanzar hacia una posible certificación.
1. Análisis del contexto organizativo y partes interesadas
El punto de partida es el cumplimiento del capítulo 4 de la norma: comprender el contexto interno y externo de la organización, así como identificar las partes interesadas relevantes. Esto implica:
- Analizar factores legales, regulatorios, sectoriales y geográficos que inciden en el riesgo de soborno.
- Identificar las expectativas de clientes, proveedores, socios, autoridades y empleados.
- Determinar el alcance del sistema antisoborno (por ejemplo, si se aplica a toda la organización o a una unidad específica).
Este análisis debe documentarse y mantenerse actualizado, sirviendo como base para la planificación del sistema.
2. Compromiso del liderazgo y política antisoborno
El capítulo 5 exige un liderazgo activo por parte de la alta dirección. Esto incluye:
- Aprobar y difundir una política antisoborno clara, accesible y alineada con los valores corporativos.
- Asignar responsabilidades específicas, incluyendo la designación de una función de cumplimiento antisoborno (puede ser interna o externa).
- Integrar los principios antisoborno en la cultura organizativa, mediante el “tone from the top”.
La política debe incluir compromisos de cumplimiento legal, prohibición del soborno, mejora continua y protección frente a represalias.
3. Evaluación de riesgos de soborno
El capítulo 6 establece la necesidad de realizar una evaluación sistemática de los riesgos de soborno. Para ello, se recomienda:
- Identificar procesos expuestos (contratación pública, relaciones con terceros, regalos y hospitalidades, donaciones, etc.).
- Evaluar la probabilidad e impacto de cada riesgo.
- Documentar los resultados en un mapa de riesgos y establecer criterios de aceptación.
Este análisis debe actualizarse periódicamente y utilizarse para definir controles proporcionales.
4. Diseño de controles y procedimientos
El capítulo 8 es el núcleo operativo del sistema. La organización debe establecer controles adecuados para prevenir, detectar y responder al soborno. Entre los más relevantes:
- Diligencia debida sobre socios de negocio, empleados y terceros.
- Controles financieros y no financieros, incluyendo segregación de funciones, autorizaciones y registros.
- Procedimientos para regalos, hospitalidades, donaciones y patrocinio.
- Canal de denuncias accesible y confidencial.
- Investigación de incidentes y medidas disciplinarias.
Todos los controles deben estar documentados, ser proporcionales al riesgo y aplicarse de forma coherente.
5. Recursos, formación y concienciación
El capítulo 7 exige que la organización disponga de los recursos necesarios para implementar y mantener el sistema. Esto incluye:
- Personal competente y con formación específica en prevención del soborno.
- Programas de formación periódica adaptados a cada nivel de responsabilidad.
- Comunicación interna y externa sobre la política y los procedimientos antisoborno.
La concienciación es clave para que el sistema no sea meramente formal, sino operativo y eficaz.
6. Seguimiento, auditoría interna y mejora continua
El capítulo 9 establece los requisitos para evaluar el desempeño del sistema. La organización debe:
- Realizar auditorías internas periódicas, independientes y basadas en riesgos.
- Supervisar el cumplimiento de los controles mediante indicadores y revisiones.
- Gestionar no conformidades y aplicar acciones correctivas.
- Revisar el sistema por la dirección al menos una vez al año.
La mejora continua debe estar integrada en el ciclo PDCA (Plan-Do-Check-Act) del sistema.
7. Preparación para la certificación (opcional)
Aunque la norma permite su uso sin certificación, muchas organizaciones optan por certificar el sistema para reforzar su reputación y credibilidad. Para ello, se requiere:
- Documentación completa del sistema (manual, políticas, procedimientos, registros).
- Evidencias de aplicación efectiva.
- Superación de una auditoría externa por una entidad acreditada (ENAC en España).
La certificación no es el fin, sino una herramienta para demostrar el compromiso real con la integridad.
Consideraciones finales
La UNE-ISO 37001 es un marco de gestión que exige eficacia demostrable. Su implantación en organizaciones medianas requiere un enfoque técnico, proporcional y adaptado al contexto. La clave está en integrar el sistema en la operativa diaria, evitando duplicidades y asegurando que los controles sean útiles, no decorativos.
Desde Bonatti Compliance, recomendamos abordar la implantación como un proyecto estratégico, con implicación transversal y visión de largo plazo. La lucha contra el soborno no se resuelve con una política, sino con un sistema vivo, revisado y mejorado continuamente.