¿Debería su empresa solicitar la certificación ISO 37001 para reforzar su programa antisoborno?

14 de febrero de 2018

En octubre de 2016, la Organización Internacional de Normalización (ISO) publicó la norma ISO 37001, la primera norma de sistema de gestión antisoborno diseñada para ayudar a las organizaciones a prevenir, detectar y abordar el soborno. La norma ISO 37001 incluye una serie de medidas y controles que representan las mejores prácticas globales contra el soborno. Estas medidas y controles incluyen lo siguiente y están diseñados para ayudar a una organización a implementar un sistema de gestión antisoborno desde cero o para mejorar los controles ya establecidos:

  • Adoptar una política antisoborno
  • Designar a una persona para que supervise el cumplimiento de la lucha contra el soborno
  • Implementar la capacitación adecuada
  • Realizar evaluaciones de riesgos
  • Realizar la debida diligencia en proyectos y socios comerciales
  • Implementar controles financieros y comerciales
  • Procedimientos de notificación, seguimiento e investigación del Instituto
  • Ejecutar acciones correctivas

La norma ISO 37001 está diseñada para ser utilizada por cualquier organización, independientemente de su tamaño (grande o pequeño) o naturaleza (pública, privada o sin fines de lucro) y del riesgo de soborno al que se enfrente. Al implementar la norma ISO 37001, las organizaciones pueden demostrar a sus grupos de interés que existen controles antisoborno reconocidos internacionalmente. Además, certificar el cumplimiento de esta norma también otorga credibilidad a la organización; La certificación se obtiene a través de una auditoría realizada por un tercero, tiene una validez de tres años y está sujeta a revisiones anuales.

¿Qué dicen las autoridades estadounidenses sobre la norma ISO 37001?

No está claro si los reguladores estadounidenses consideran que la norma ISO 37001 es particularmente útil para evaluar los programas de cumplimiento de la Ley de Prácticas Corruptas (FCPA) en el extranjero, y el Departamento de Justicia de los Estados Unidos (DOJ) no ha declarado de manera ambigua si tiene la intención de adoptar estas normas o si la certificación ISO 37001 tendrá un valor significativo. Con base en los comentarios de la alta dirección de la Sección de Fraude del Departamento de Justicia, parece que la certificación ISO 37001 puede tenerse en cuenta en las investigaciones de la FCPA, incluidos los esfuerzos de las empresas para remediar su programa mediante la implementación de la ISO 37001. Sin embargo, las políticas del Departamento de Justicia también requieren que los fiscales evalúen de forma independiente el programa de cumplimiento de una organización, y si bien las certificaciones pueden ser un punto de referencia, no pueden sustituir las propias investigaciones y juicios de los fiscales.

Por lo tanto, la certificación ISO 37001 no debe verse como una "bala de plata" o una sustitución de "marcar la casilla" para establecer un programa interno de cumplimiento de la FCPA o reemplazar otras pautas y consideraciones de la FCPA. La certificación debe verse como lo que es: cumplir con un estándar muy alto de prácticas antisoborno líderes a nivel mundial.

¿Están adoptando las organizaciones la norma ISO 37001?

Algunas de las principales corporaciones estadounidenses están comenzando a buscar la certificación ISO 37001. Por ejemplo, Microsoft y Wal-Mart han anunciado planes para buscar la certificación, y esto probablemente conducirá a esfuerzos de certificación entre sus proveedores, distribuidores y clientes.

Las empresas con sede internacional también están obteniendo la certificación. La francesa Alstom (que en su día fue objeto de una importante investigación del Departamento de Justicia por violar las disposiciones antisoborno de la FCPA) se convirtió en una de las primeras empresas del mundo en obtener la certificación ISO 37001. La empresa alemana Bosch y las italianas Terna Group y ENI también han sido certificadas.

Además, los gobiernos de Singapur, Perú y Nigeria han indicado que buscarán la certificación para sus agencias gubernamentales y grupos relacionados.

¿Es la certificación ISO 37001 adecuada para su organización?

A veces es difícil para una organización tomar una decisión sobre la certificación de las nuevas normas ISO. Estados Unidos no ha exigido ni respaldado plenamente esta norma, y apenas está ganando adopción por parte de las grandes empresas clave. Para determinar si la certificación ISO 37001 es adecuada para su organización, puede tener sentido tener en cuenta los siguientes factores:

  1. Su organización cuenta con la certificación ISO en otras áreas. Muchas organizaciones han obtenido las populares certificaciones ISO 27001 (sistemas de gestión de seguridad de la información) e ISO 9000 (gestión de la calidad). Las empresas con certificaciones ISO previas entienden cómo se pueden utilizar las certificaciones ISO y están dispuestas a comprometer el presupuesto y los recursos (a menudo sustanciales) necesarios para crear un programa que cumpla con las normas ISO. Considere si su empresa es capaz de asignar los recursos adecuados y está en condiciones de proporcionar una inversión o atención adicional para el programa de cumplimiento/certificación de la norma ISO 37001.
  2. Su organización es madura y tiene una gobernanza sólida. Su organización no solo debe ser lo suficientemente madura para desarrollar un programa ISO, sino que también tendrá que tener en cuenta que su organización también tendrá que someterse a auditorías anuales y ciclos de certificación de tres años. Las auditorías variarán en duración e inconvenientes según el organismo de certificación utilizado por su organización, pero debe asumir que su organización se verá interrumpida durante varios días cada año. El proceso de certificación en sí es aún más oneroso y repetirlo cada tres años requerirá una empresa experimentada capaz de manejar consultas detalladas.
  3. Su organización está siendo investigada por los reguladores. Si su empresa está en riesgo de, o actualmente está bajo revisión/investigación del gobierno por violaciones antisoborno, la certificación ISO 37001 puede proporcionar un marco para esa revisión y ayudar a demostrar al gobierno su compromiso de tomar medidas positivas para mejorar su programa de cumplimiento. Si se asigna un monitor a su organización, contar con la certificación ISO también puede proporcionar una estructura reconocida para que el monitor evalúe su programa de cumplimiento antisoborno.

Si ninguna de las características anteriores se aplica a su organización, es posible que desee abstenerse de solicitar la certificación ISO 37001 en este momento. Puede esperar y evaluar la fuente del regulador más amplia. Mientras tanto, hay pasos que puede seguir para fortalecer su programa de cumplimiento antisoborno ahora:

  1. Considere la posibilidad de trabajar para cumplir con la norma ISO (en lugar de obtener la certificación ISO). Cumplir con la norma ISO significa que el sistema de gestión de su empresa se adhiere plenamente a los requisitos de la norma ISO, pero no ha obtenido la certificación. Por lo tanto, se han aliviado algunas de las cargas asociadas con la certificación, las revisiones y las auditorías continuas. Trabajar para lograr el cumplimiento de la norma ISO 37001 proporciona a su organización un punto de partida y fortalecerá un programa existente. Es beneficioso pensar en los procesos de su empresa y en cómo puede mejorarlos para cumplir con los estándares de la norma ISO 37001.
  2. Utilice los recursos para obtener ayuda externa para mejorar su programa. En lugar de contratar prematuramente a un organismo de certificación para evaluar su programa antisoborno, asigne recursos y presupuesto para obtener ayuda externa para mejorar su programa, como el desarrollo de una metodología y un proceso de evaluación de riesgos. Dedicar recursos a la creación del programa ahora le ayudará a implementar las normas ISO 37001 más rigurosas si decide hacerlo en el futuro.

La lucha contra el soborno es un problema difícil para las empresas de todo el mundo, y la norma ISO 37001 proporciona orientación adicional para ayudar a las organizaciones a diseñar e implementar un programa de cumplimiento eficaz. Aunque la certificación ISO 37001 puede ser apropiada para su organización, no debe verse como un reemplazo de la Guía de recursos de la FCPA; Sin embargo, la certificación puede servir como un complemento importante de esas directrices.

InvestigaciónLíneas directas