Por Carlos Rozen, Director de la Certificación Internacional en Ética y Compliance y Codirector de la Comisión de Sistemas de Gestión de Compliance AAEC.
Su entonces novedosa publicación en 2016 implicó que la norma ISO 37001 se haya convertido en un marco de referencia a nivel global para establecer, implementar y mejorar sistemas de gestión antisoborno. Sin embargo, el contexto global, los marcos regulatorios y las expectativas de las partes interesadas han ido mutando notablemente durante los últimos años. Por eso, la versión 2025 de ISO 37001, representa mucho más que una simple actualización técnica, siendo una señal inequívoca de que el enfoque hacia la integridad corporativa mejora continuamente de acuerdo con el espíritu de los sistemas de gestión normados por ISO.
Principales cambios
La ISO 37001:2016 fue fundacional al estandarizar los pilares de un sistema antisoborno, pero su lenguaje y estructura estaban alineados con la versión 2015 de lo que llamamos “estructura de alto nivel” (HLS) de las normas ISO. La nueva versión se actualiza a la HLS 2021, lo que la armoniza con normas más recientes como la ISO 37301 (sistemas de gestión de compliance) y la muy original ISO 37000 (gobernanza). Esta integración refuerza el carácter transversal del sistema de gestión, permitiendo que la lucha contra el soborno no sea un compartimento estanco, sino parte de una arquitectura ética más amplia.
Uno de los cambios más significativos es la profundización en el análisis del contexto y de las partes interesadas. Recordemos que la versión 2016 mencionaba estas exigencias de manera más genérica, y que la 2025 invita a mirarlas desde una perspectiva dinámica, reconociendo los riesgos emergentes y la presión de grupos cada vez más involucrados y atentos.
También verificamos una clara evolución en el enfoque sobre el concepto y rol del liderazgo. Observamos que ya no se trata solamente de un compromiso declarativo de la alta dirección, sino de se instruye a lograr una verdadera cultura de integridad que debe derramar e incorporarse en toda la organización. Esto representa un enfoque de “manejo del cambio” que involucra la introducción de otras técnicas relacionadas con gestión de cultura, que en el mundo del compliance no suele ser moneda corriente en todas las organizaciones. Esta idea se traduce en mayor énfasis sobre la rendición de cuentas, el liderazgo y ejemplo ético y la responsabilidad, no solo de las personas, sino, además, de los equipos.
Una norma más orientada a la acción
Otra de las mejoras notables que muestra esta nueva versión de “la 37001” es la forma en que aborda aspectos de trascendencia en el mundo del compliance como lo son la debida diligencia, los canales de denuncia, y la gestión de investigaciones internas. Lo que antes eran pautas de tipo general, con esta versión mejorada mutan hacia directrices más claras y orientadas a que “las cosas ocurran”. Esto le da a la norma una mayor fuerza operativa, especialmente en organizaciones que tienen elevados niveles de madurez y buscan profesionalizar y llevar a otro nivel sus áreas de compliance.
Además, el lenguaje ha sido revisado con especial cuidado para hacerlo más accesible a organizaciones del tipo Pyme y a organizaciones y organismos públicos, dejando entrever con diversos detalles que la lucha contra el soborno no es exclusiva del mundo de las grandes corporaciones multinacionales.
Resumen de los principales cambios
A continuación, se exponen de manera muy resumida los principales cambios propuestos por ISO 37001:2025:
| Elemento | ISO 37001:2016 | ISO 37001:2025 (DIS) |
| Enfoque general | Centrado exclusivamente en prevenir, detectar y abordar el soborno en el sector público, privado y sin fines de lucro. No aborda en concreto otros tipos de fraudes y comportamientos no deseados. | Amplía el enfoque, manteniendo el foco en el soborno, pero considerando también prácticas asociadas a éste, como lo son los regalos inapropiados, hospitalidad excesiva, y otras ventajas indebidas. |
| Estructura | Se basa en la Estructura de Alto Nivel (HLS) de ISO 2015, lo que permite su integración con otras normas ISO, pero con un enfoque más tradicional de sistemas de gestión. | Se alinea con la versión 2021 del HLS, incorporando conceptos modernos como mentalidad de riesgos, contexto dinámico, e integración con la estrategia organizacional. |
| Término “función de cumplimiento” | La norma requiere la existencia de una función de cumplimiento antisoborno, pero ofrece poca guía sobre su autoridad, independencia, recursos o interacción con otros niveles jerárquicos. | Refuerza la figura del Responsable de Cumplimiento Antisoborno, incluyendo y enfatizando su designación formal, reporte directo a la alta dirección y suficiencia de recursos. |
| Partes interesadas | Incluye el análisis del contexto y de las partes interesadas como requisito, pero lo desarrolla de manera superficial, sin herramientas ni metodologías concretas. | Requiere un análisis más profundo del contexto externo e interno, así como la consideración activa de las necesidades, expectativas y potenciales impactos sobre las partes interesadas. |
| Debida diligencia | Menciona la necesidad de debida diligencia para socios de negocios y personal, pero con pocos detalles sobre cómo ejecutarla, evaluarla o documentarla. | Detalla procesos de debida diligencia diferenciados según el tipo de tercero, operación o actividad, incluyendo medidas específicas para mitigación, evaluación continua y documentación. |
| Proporcionalidad | Reconoce que los controles deben ser proporcionales al riesgo, pero no brinda criterios claros para aplicar este principio de forma práctica. | Establece que toda acción y control debe estar respaldado por una evaluación objetiva del riesgo, promoviendo decisiones proporcionales, razonables y justificadas. |
| Gobernanza y liderazgo | Exige liderazgo y compromiso de la Alta Dirección, aunque sin establecer mecanismos de seguimiento del ejemplo ético, la cultura o la rendición de cuentas. | Introduce requisitos explícitos sobre cultura de integridad, rendición de cuentas, liderazgo ético, y la necesidad de que los líderes comuniquen con el ejemplo. |
| Canales de denuncia | Indica que se deben implementar mecanismos para denuncias, pero sugiere más que exige, y deja abierta la forma en que deben protegerse los denunciantes. | Obliga a implementar canales accesibles, protegidos, bien comunicados y monitoreados, así como protocolos para proteger a denunciantes y actuar ante represalias. Es evidente que toma los conceptos de la ISO 37002 emitida de manera cercana a la 37001 en su nueva versión. |
| Investigaciones internas | Reconoce la necesidad de investigar incidentes, pero deja librado a cada organización la definición de criterios mínimos para estas investigaciones. | Especifica requisitos para la realización de investigaciones internas, incluyendo imparcialidad, procedimientos documentados y medidas para evitar interferencias. Es evidente que toma los conceptos de la ISO 37008 emitida de manera cercana a la nueva versión de la 37001. |
| Seguimiento y mejora | Plantea la revisión periódica del sistema, sin una orientación clara sobre métricas, indicadores de desempeño o uso de herramientas digitales. | Solicita un enfoque basado en datos, incluyendo monitoreo sistemático, uso de indicadores de efectividad, dashboards, y mejora continua con base en hallazgos. |
| Lenguaje y claridad | Utiliza terminología técnica que puede dificultar su interpretación por parte de pymes u organizaciones con menor madurez normativa. | Moderniza el lenguaje con redacción más directa y ejemplos prácticos, mejorando la aplicabilidad para organizaciones de todos los tamaños y sectores. |
| Interacción con otras normas | Es compatible con otras normas ISO, pero no establece referencias cruzadas ni promueve activamente la integración con sistemas de compliance o gobernanza. | Promueve activamente la integración con ISO 37301 (sistemas de compliance) e ISO 37000 (gobernanza), alineando principios, términos y requisitos complementarios. |
Hacia una mayor madurez ética
No se trata sólo de prevenir el soborno, sino, como hemos mencionado, de lograr una alineación con la integridad, la estrategia, la gobernanza y la sostenibilidad. Esta nueva mirada es más ambiciosa, pero necesaria y hasta imprescindible en los tiempos que corren. De cara a un entorno donde el riesgo reputacional puede ser catastrófico, y donde las sanciones legales se combinan con el escrutinio social, contar con un sistema antisoborno alineado con los nuevos estándares puede marcar la diferencia entre ser competitivo o quedar afuera del mercado.En definitiva, la ISO 37001:2025 no solo es un reemplazo y renovación de la ya obsoleta versión 2016, sino que la trasciende. La empuja hacia una lógica de mejora continua, coherencia con otras normas ISO, y, sobre todo, con una ética corporativa que ya no es opcional, sino estructural.
