ISO 37001:2025: cambios y plazos de la edición antisoborno

·

La ISO 37001 es la norma internacional de referencia para los sistemas de gestión antisoborno. Publicada originalmente en 2016, ha guiado a miles de organizaciones —desde multinacionales hasta pymes proveedoras de la Administración— en la implantación de controles para prevenir, detectar y responder al soborno. En 2025 el comité técnico ISO/TC 309 ha aprobado una revisión sustancial de la norma. Si tu empresa ya está certificada, está en proceso de implantación o simplemente evalúa si certificarse, este artículo te da la información que necesitas para no perder el paso.

Por qué se revisa la ISO 37001 ahora

Toda norma ISO tiene un ciclo de revisión periódica, generalmente cada cinco años. En el caso de la ISO 37001, la revisión de 2025 responde también a cambios regulatorios significativos: la aprobación de la Directiva (UE) 2024/1760 sobre diligencia debida en materia de sostenibilidad empresarial (CSDDD), que impone obligaciones directas de control sobre la cadena de valor; el mayor escrutinio judicial sobre el papel del compliance como atenuante de responsabilidad penal; y la proliferación de esquemas de denuncias —impulsada por la Directiva de protección de denunciantes (UE) 2019/1937, transpuesta en España por la Ley 2/2023— que se solapan con los canales que exige la propia ISO 37001.

La Organización Internacional de Normalización no ha publicado la edición 2025 de la ISO 37001 como una revisión menor, sino como una segunda edición completa que sustituye al texto de 2016 en su totalidad. Las organizaciones con certificado vigente tendrán un periodo de transición, pero conviene conocer las novedades cuanto antes para no afrontar el próximo ciclo de auditoría de seguimiento con sorpresas.

Principales cambios de la ISO 37001:2025 respecto a la edición de 2016

1. Estructura armonizada de alto nivel (HLS)

La edición 2016 seguía el Anexo SL, la estructura de alto nivel entonces vigente. La revisión de 2025 adopta la nueva Estructura Armonizada (Harmonized Structure, HS) que ISO ha establecido para todas sus normas de sistemas de gestión a partir de 2023. Esto facilita la integración con ISO 9001, ISO 14001, ISO 45001 o ISO 37301 (compliance general) en un sistema de gestión único. Para las empresas que ya gestionan varios estándares de forma integrada, este cambio es una ventaja real: la terminología, la secuencia de cláusulas y los requisitos compartidos se alinean mejor.

2. Mayor énfasis en la diligencia debida sobre terceros

Uno de los puntos débiles más señalados de la edición de 2016 era la falta de especificidad en los controles sobre terceras partes (proveedores, agentes, intermediarios, socios en joint ventures). La edición 2025 amplía y detalla los requisitos del antiguo apartado 8.6, exigiendo:

3. Cultura organizacional y liderazgo

La revisión refuerza el papel del Comité de Control Antisoborno (o función equivalente) y añade requisitos explícitos sobre la cultura de la organización. Ya no basta con tener una política antisoborno publicada: la norma exige evidencia de que los valores éticos están integrados en la toma de decisiones, en los procesos de evaluación del desempeño y en los incentivos. Esto conecta directamente con la tendencia regulatoria de exigir corporate culture como elemento de compliance efectivo.

4. Canal de denuncias integrado con la Ley 2/2023

La edición 2016 requería mecanismos de denuncia internos, pero no detallaba su forma. La edición 2025 amplía este requisito para que el sistema de denuncias sea accesible también a terceros externos (proveedores, clientes) y cumpla con los estándares de confidencialidad y no represalia que marca la normativa europea. En España, esto implica alinearlo con los requisitos de la Ley 2/2023 de protección del denunciante. Las empresas que han implantado un canal de denuncias para cumplir esta ley pueden aprovechar la sinergias para satisfacer ambos requisitos a la vez.

5. Riesgos emergentes: soborno facilitado y pagos de facilitación

La norma revisada aborda explícitamente los pagos de facilitación (facilitation payments) —pequeñas cantidades pagadas a funcionarios para agilizar trámites— como una forma de soborno que debe estar expresamente prohibida en la política de la organización. También trata los riesgos vinculados a mercados con alta percepción de corrupción (Índice de Percepción de Corrupción de Transparencia Internacional como referencia), obligando a controles adicionales cuando la organización opera en esos entornos.

6. Indicadores de rendimiento y mejora continua

La edición 2025 da más peso a la medición. Se espera que las organizaciones definan KPIs del sistema antisoborno (número de denuncias recibidas, investigaciones iniciadas, tiempo de resolución, sesiones de formación completadas, porcentaje de terceros evaluados) y los revisen periódicamente en la revisión por la dirección. Esto eleva el listón de lo que los auditores de certificación consideran evidencia suficiente.

Tabla comparativa: ISO 37001:2016 vs ISO 37001:2025

Ámbito Edición 2016 Edición 2025
Estructura Anexo SL (10 cláusulas) Harmonized Structure (HS)
Diligencia debida sobre terceros Requisitos genéricos (ap. 8.6) Detallada por categoría y riesgo
Canal de denuncias Mecanismo interno obligatorio Acceso externo + alineación Ley 2/2023
Cultura organizacional Mención implícita en liderazgo Requisitos explícitos y medibles
Pagos de facilitación Sin mención específica Prohibición expresa en la política
KPIs del sistema Evaluación de desempeño básica Indicadores definidos y revisados periódicamente
Mercados de alto riesgo Análisis de contexto general Referencia explícita a índices de corrupción
Integración con otros estándares Compatible, no optimizada Cláusulas comunes HS facilitan integración

Plazos de transición: qué dice ISO y qué implica en la práctica

El Foro Internacional de Acreditación (IAF) ha establecido para la ISO 37001:2025 un período de transición de dos años. El plazo final, confirmado por los organismos de acreditación nacionales (en España, ENAC) y los organismos de certificación acreditados (AENOR, Bureau Veritas, SGS, entre otros), es el 28 de febrero de 2027. A partir del 1 de septiembre de 2026, las nuevas certificaciones deberán realizarse ya contra la edición 2025.

En la práctica, esto significa que:

Si tu empresa tiene una auditoría de seguimiento o de renovación programada en los próximos doce meses, es el momento de revisar con tu consultor qué brechas (gap analysis) genera la nueva edición y si conviene incorporarlas a la preparación de esa auditoría o planificar una transición formal.

Sectores que más notan el impacto de la ISO 37001:2025

La norma antisoborno tiene aplicación universal, pero hay sectores donde la presión regulatoria y de mercado hace especialmente relevante la actualización:

Cómo preparar la transición: pasos concretos

Si ya tienes la ISO 37001:2016 y quieres afrontar la transición sin sustos, estos son los pasos que recomendamos desde nuestro servicio de implantación y certificación ISO 37001:

  1. Análisis de brechas (gap analysis): mapear los requisitos nuevos de la edición 2025 contra vuestro sistema actual. No todos los cambios generan brechas; depende de lo que hayáis implantado ya.
  2. Revisión de la política antisoborno: incluir la prohibición expresa de pagos de facilitación y actualizar las referencias normativas (Ley 2/2023, CSDDD si aplica).
  3. Auditoría interna del mapa de terceros: identificar qué proveedores, agentes y socios están en el radar de alto riesgo y actualizar los procedimientos de due diligence.
  4. Revisión del canal de denuncias: verificar que cumple la Ley 2/2023 (acceso, confidencialidad, no represalias) y ampliar el acceso a terceros si no está habilitado.
  5. Definición de KPIs del sistema: si no existen indicadores formales, definirlos y documentar cómo se van a revisar en la próxima revisión por la dirección.
  6. Formación del Comité de Control Antisoborno: actualizar los contenidos de la formación para reflejar los nuevos requisitos de la norma y los cambios regulatorios.
  7. Auditoría interna previa: antes de la auditoría de certificación de transición, realizar al menos una auditoría interna completa contra la edición 2025.

El esfuerzo real depende de cuánto hayáis invertido en vuestro sistema desde la certificación inicial. Una empresa con un sistema vivo y bien documentado puede hacer la transición con un trabajo relativamente acotado. Una empresa que lleva años con el sistema en modo «a ver si pasan la auditoría» tendrá más trabajo.

ISO 37001 y su relación con el compliance penal en España

En España, la responsabilidad penal de las personas jurídicas está regulada en el artículo 31 bis del Código Penal (introducido por la LO 1/2015). El soborno —activo y pasivo, nacional e internacional— figura entre los delitos que pueden acarrear responsabilidad penal a la empresa. Los programas de cumplimiento que incluyen un sistema antisoborno certificado bajo ISO 37001 constituyen evidencia material ante los tribunales de que la organización ha adoptado medidas «eficaces» de prevención del delito, el estándar que exige el Código Penal para la exoneración o atenuación de responsabilidad.

La edición 2025, al reforzar los controles y la cultura, eleva el nivel del programa de cumplimiento que un juez o fiscal considerará como «eficaz». Tener el certificado de la edición anterior cuando ya existe una versión más exigente puede no ser suficiente argumento de defensa en un procedimiento penal futuro. Desde Summum Calidad trabajamos conjuntamente con la implantación del sistema antisoborno y coordinamos con los asesores jurídicos del cliente cuando el proyecto incluye actualizar el modelo de organización y gestión del artículo 31 bis.

Preguntas frecuentes

¿Mi certificado ISO 37001:2016 sigue siendo válido mientras no haya caducado?

Sí, mientras el período de transición esté vigente y el certificado no haya caducado, sigue siendo válido. Sin embargo, los organismos de certificación irán migrando sus auditorías a la edición 2025 de forma progresiva. Consulta con tu organismo de certificación cuándo planifican empezar a auditar exclusivamente contra la nueva edición, para planificar tu transición con margen.

¿Puedo certificarme directamente en la edición 2025 si aún no tengo certificado?

Sí, y es lo que recomendamos para cualquier proyecto que se inicie ahora. Certificarse contra la edición 2016 en 2026 o 2027 obligaría a hacer la transición al cabo de poco tiempo, duplicando el esfuerzo. Lo lógico es implantar directamente el sistema bajo la edición 2025 desde el principio.

¿Cuánto tiempo tarda una empresa en hacer la transición de la 2016 a la 2025?

Depende del estado de partida del sistema. Una empresa con un sistema bien implantado y sin brechas significativas puede completar la transición en dos a cuatro meses (actualización documental, formación, auditoría interna, auditoría de certificación). Si hay brechas estructurales —como un mapa de terceros sin actualizar o un canal de denuncias que no cumple la Ley 2/2023— el plazo puede extenderse a seis o nueve meses. Un análisis de brechas inicial permite estimar el esfuerzo con precisión antes de comprometer recursos.

¿La ISO 37001:2025 obliga a denunciar el soborno a las autoridades?

La norma no impone directamente una obligación de denuncia ante las autoridades; eso lo regula el ordenamiento jurídico de cada país. Lo que sí exige es que la organización tenga procedimientos claros para investigar las denuncias recibidas, documentar las investigaciones y tomar acciones correctivas. Si una investigación interna revela indicios de delito, la obligación de denuncia la establece el Código Penal español y la normativa aplicable al sector, no la norma ISO en sí misma.