Por qué las organizaciones deben adoptar la ISO

37001
Muchas organizaciones tienen operaciones, subsidiarias, proveedores u otros asociados de negocios ubicados en países
donde el riesgo de corrupción y soborno es alto. Estas empresas se beneficiarían enormemente adoptando la ISO 37001 o
evaluando y certificando su programa de gestión contra el soborno en comparación con la norma ISO.

La norma beneficia a una organización al proporcionar:

 Requisitos mínimos y directrices de apoyo para la implementación o la evaluación comparativa de un sistema de

gestión contra el soborno.
 Garantía para la gerencia, los inversionistas, los empleados, los clientes y otras partes interesadas sobre las medidas
razonables que una organización está tomando para prevenir el soborno.
 En caso de una investigación, provee evidencia de que una empresa ha implementado mecanismos para prevenir el
soborno.

Datos sobre ISO 37001

 Es el primer estándar internacional para sistemas de gestión antisoborno.
 Ha sido redactado con aportaciones de 59 países y 8 organizaciones mediadoras.
 La norma puede ser usada por cualquier organización, grande o pequeña, en el sector público, privado o voluntario, en
cualquier país.
 Pretende prevenir el soborno de y por parte de una organización.
ISO 37001 aborda:

 El soborno por parte de la organización, su personal o socios comerciales que actúen en nombre de la compañía o
para su beneficio.
 El soborno de la organización, su personal o socios comerciales en relación con sus actividades.
La organización debe implementar una serie de medidas de manera razonable y proporcionada para ayudar a prevenir,
detectar y tratar el soborno, incluyendo:

 Política antisoborno.
 Liderazgo, compromiso y responsabilidad de la dirección.
 Control de personal y formación.
 Evaluaciones de riesgo.
 Diligencia debida en proyectos y socios comerciales.
 Controles financieros, comerciales y contractuales.
 Reporte, monitoreo, investigación y revisión.
 Acción correctiva y mejora continua.
Aunque varias organizaciones de certificación han ofrecido recomendaciones para implementar el estándar, todavía
existen preguntas:

 ¿Existe valor en la certificación ISO 37001 o las empresas se deben enfocar en su uso para fortalecer los programas
de cumplimiento anticorrupción existentes, independientemente de la certificación?
 ¿Qué sugiere la norma que no estén haciendo ya las compañías?
 ¿Cuáles son los beneficios de implementar completamente la norma relativa a los costos?
Deloitte ofrece cinco maneras de ayudar a las marcas a abordar estas y otras preguntas importantes que puedan tener:

1. Empezar por entender cómo se ajusta la norma en el

ecosistema regulatorio y de cumplimiento.
Desde una perspectiva reguladora estadounidense, la guía definitiva sobre el cumplimiento de anticorrupción está
contenida en la información emitida por el Departamento de Justicia de los Estados Unidos y la Comisión de Valores y
Bolsa en el 2012, “A Resource Guide to the U.S. Foreign Corrupt Practices Act”. Esta Guía de Recursos, junto con las
Guías de Sentencia de los Estados Unidos actualizadas, el “Memorándum de Yates” y otras guías autoritativas,
proporcionan una compilación de datos sobre las provisiones y el cumplimiento de la FCPA, así como un recurso esencial
referente a los elementos fundamentales y características de un programa eficaz contra la corrupción.

La Guía de Recursos proporciona una orientación basada en principios, no en reglas, para fomentar la implementación de
programas de cumplimiento contra la corrupción que se ajusten a las necesidades de una empresa. No hay una respuesta de
“talla única”. Al hacerlo, efectivamente desalienta la idea de que, al cumplir cualquier conjunto de “reglas”, una empresa
ha hecho todo lo necesario. Las circunstancias cambian y los programas de cumplimiento corporativo deben evolucionar y
adaptarse a las nuevas circunstancias.

Este conjunto de directrices y normas, incluidas las establecidas en la ISO 37001, deben considerarse e implementarse
según corresponda en el contexto del perfil de riesgo específico de una empresa. Los reguladores evaluarán los hechos de
cómo una compañía implementa un programa de cumplimiento, adaptado a su perfil de riesgo específico para determinar
su efectividad.

2. ISO 37001 no excluye la necesidad de una

evaluación de riesgos de un programa de
cumplimiento existente.
La norma ISO 37001 solo aborda los sistemas de gestión contra el soborno, no de fraude más amplio ni otras cuestiones de
corrupción. Obtener la certificación o implementar los requisitos de la norma tiene que verse como una forma de mejorar,
no reemplazar, los programas de cumplimiento de anticorrupciónexistentes de una compañía.
La oportunidad y el desafío para las empresas es evaluar y priorizar todos los riesgos relacionados con la lucha contra la
corrupción. Luego pueden revisar y evaluar cómo su programa de anticorrupción actual aborda esos riesgos:

 Primero, en el contexto de una guía reguladora específica.

 Segundo, teniendo en cuenta las orientaciones y normas no reglamentarias.
 Tercero, con el menor número posible de despidos.
Si después de que una empresa finaliza su revisión y evaluación del programa existente, determina que se ha considerado
la orientación reglamentaria y no reglamentaria disponible, no se necesitarán más medidas. Sin embargo, para compañías
que pueden tener programas de anticorrupción menos maduros, la ISO 37001 puede ser una guía efectiva para mover
rápidamente la curva de madurez sin invertir tiempo en vadear el ecosistema regulador y no regulador para desarrollar su
enfoque.

3. La certificación no es obligatoria, pero la presión

para obtenerla puede crecer.
Muchas empresas consideran la certificación ISO el cumplimiento de un estándar muy alto de prácticas líderes para los
sistemas y procesos empresariales. Como resultado, algunas compañías pueden considerar la ISO 37001 como una especie
de “póliza de seguro” que se usará con los investigadores reguladores u otros corporativos que realizan la debida diligencia
de terceros, como parte de sus propios programas de anticorrupción. Si el número de empresas que aspiran a la
certificación aumenta con el tiempo, la presión podría crecer para que otras sigan el ejemplo. Por lo tanto, es importante
que las empresas supervisen:

 ¿Qué esfuerzo se requerirá?

 ¿Qué costos se incurrirán?
 ¿Cómo podrían otras empresas considerar la certificación?
 ¿Cómo la certificación puede contribuir al programa de cumplimiento de la compañía en general y sus esfuerzos
contra el soborno específicamente?
Las respuestas de cada empresa a estas preguntas pueden ser muy diferentes.

4. Un enfoque de checklist no será suficiente.

Independientemente de los objetivos de una empresa para solicitar la certificación ISO 37001, simplemente marcar las
casillas de un formulario no será suficiente. Los requisitos de la norma contienen muchos calificativos, tales como
“apropiado” y “razonable”, al describir los elementos de los sistemas de gestión eficaces, dejando mucha subjetividad en
cómo se diseñan y despliegan dichos mecanismos. La eficacia del enfoque de una empresa, por lo tanto, dependerá de:

 La profundidad, amplitud y minuciosidad general del proceso de certificación que realiza.

 Los métodos para abordar los calificativos “apropiados” y “razonables”.
 Cómo se implementan, documentan, monitorean y evalúan los resultados con el tiempo.
Es importante entender que la sustancia, no la forma, de un programa de cumplimiento es lo que determina su eficacia, no
la certificación por sí sola.

5. No importa si una empresa quiere obtener la

certificación ISO 37001 o no, estos pasos son
importantes.
Para evitar un enfoque de “marcar casillas”, el proceso de la certificación ISO 37001 necesita comenzar con un chequeo de
cumplimiento, evaluación de madurez o de riesgos. Dicha valoración debería incluir un inventario detallado a nivel global
de las áreas de riesgo de corrupción, incluidos los puntos de contacto gubernamentales y los perfiles de riesgo desglosados
por geografía y operaciones comerciales. Igualmente, debe incluir una evaluación detallada de los controles internos, los
procesos empresariales y la tecnología que respalda el programa de cumplimiento contra la corrupción de la compañía.

Como parte de un chequeo de salud de ejecución, las compañías tienen que examinar la presencia y calidad de otros
elementos importantes del programa:

 Compromiso de la alta gerencia y el consejo, y un tono claramente comunicado relacionado con la corrupción.
 Código de conducta, políticas y procedimientos de cumplimiento.
 Recursos del programa y autonomía.
 Comunicación, capacitación y conciencia de los empleados.
 Incentivos y medidas disciplinarias.
 Procedimientos de auditoría y vigilancia de terceros.
 Informes confidenciales y mecanismos internos de investigación y respuesta.
 Mejora continua, incluyendo auditoría periódica, pruebas y análisis de las brechas de control.
 Para fusiones y adquisiciones, diligencia previa de preacquisición e integración postacquisición.
 Tecnología utilizada para fortalecer programas de cumplimiento de anticorrupción, abarcando herramientas para
detectar banderas rojas en estados financieros, y análisis de datos utilizados para abordar el riesgo de corrupción y
facilitar la evaluación y monitoreo de riesgos.
Los requisitos y orientación de la ISO 37001 están diseñados para ayudar a las empresas a prevenir, detectar y responder al
soborno mientras cumplen con las leyes contra él.

Muchos corporativos multinacionales están considerando cómo abordar la recientemente emitida ISO 37001. CPA
Global, líder en tecnología IP, se convirtió en una de las primeras empresas en obtener la certificación ISO 37001 de
sistemas antisoborno. Logró este reconocimiento después de una auditoría multipaís, de varios días, realizada por auditores
independientes con experiencia contra el soborno.
Después de que Microsoft y Wal-Mart anunciaron sus planes de obtener la certificación ISO 37001, muchas otras
organizaciones están siguiendo el ejemplo.
Esperemos que Joanne Harris esté muy equivocada al decir que una manzana al día mantiene alejado al médico, pero que
nadie es inmune al soborno.