La ISO 37001 es la norma internacional de referencia para los sistemas de gestión antisoborno. Publicada originalmente en 2016, ha guiado a miles de organizaciones —desde multinacionales hasta pymes proveedoras de la Administración— en la implantación de controles para prevenir, detectar y responder al soborno. En 2025 el comité técnico ISO/TC 309 ha aprobado una revisión sustancial de la norma. Si tu empresa ya está certificada, está en proceso de implantación o simplemente evalúa si certificarse, este artículo te da la información que necesitas para no perder el paso.
Por qué se revisa la ISO 37001 ahora
Toda norma ISO tiene un ciclo de revisión periódica, generalmente cada cinco años. En el caso de la ISO 37001, la revisión de 2025 responde también a cambios regulatorios significativos: la aprobación de la Directiva (UE) 2024/1760 sobre diligencia debida en materia de sostenibilidad empresarial (CSDDD), que impone obligaciones directas de control sobre la cadena de valor; el mayor escrutinio judicial sobre el papel del compliance como atenuante de responsabilidad penal; y la proliferación de esquemas de denuncias —impulsada por la Directiva de protección de denunciantes (UE) 2019/1937, transpuesta en España por la Ley 2/2023— que se solapan con los canales que exige la propia ISO 37001.
La Organización Internacional de Normalización no ha publicado la edición 2025 de la ISO 37001 como una revisión menor, sino como una segunda edición completa que sustituye al texto de 2016 en su totalidad. Las organizaciones con certificado vigente tendrán un periodo de transición, pero conviene conocer las novedades cuanto antes para no afrontar el próximo ciclo de auditoría de seguimiento con sorpresas.
Principales cambios de la ISO 37001:2025 respecto a la edición de 2016
1. Estructura armonizada de alto nivel (HLS)
La edición 2016 seguía el Anexo SL, la estructura de alto nivel entonces vigente. La revisión de 2025 adopta la nueva Estructura Armonizada (Harmonized Structure, HS) que ISO ha establecido para todas sus normas de sistemas de gestión a partir de 2023. Esto facilita la integración con ISO 9001, ISO 14001, ISO 45001 o ISO 37301 (compliance general) en un sistema de gestión único. Para las empresas que ya gestionan varios estándares de forma integrada, este cambio es una ventaja real: la terminología, la secuencia de cláusulas y los requisitos compartidos se alinean mejor.
2. Mayor énfasis en la diligencia debida sobre terceros
Uno de los puntos débiles más señalados de la edición de 2016 era la falta de especificidad en los controles sobre terceras partes (proveedores, agentes, intermediarios, socios en joint ventures). La edición 2025 amplía y detalla los requisitos del antiguo apartado 8.6, exigiendo:
- Evaluación de riesgos de soborno diferenciada por categoría de tercero y mercado geográfico.
- Procedimientos de due diligence proporcionados al riesgo identificado, que pueden incluir visitas, cuestionarios, revisión de registros financieros y verificación de antecedentes.
- Cláusulas contractuales antisoborno en todos los contratos significativos, con derecho de auditoría.
- Monitorización continua de terceros de alto riesgo, no solo al inicio de la relación.
3. Cultura organizacional y liderazgo
La revisión refuerza el papel del Comité de Control Antisoborno (o función equivalente) y añade requisitos explícitos sobre la cultura de la organización. Ya no basta con tener una política antisoborno publicada: la norma exige evidencia de que los valores éticos están integrados en la toma de decisiones, en los procesos de evaluación del desempeño y en los incentivos. Esto conecta directamente con la tendencia regulatoria de exigir corporate culture como elemento de compliance efectivo.
4. Canal de denuncias integrado con la Ley 2/2023
La edición 2016 requería mecanismos de denuncia internos, pero no detallaba su forma. La edición 2025 amplía este requisito para que el sistema de denuncias sea accesible también a terceros externos (proveedores, clientes) y cumpla con los estándares de confidencialidad y no represalia que marca la normativa europea. En España, esto implica alinearlo con los requisitos de la Ley 2/2023 de protección del denunciante. Las empresas que han implantado un canal de denuncias para cumplir esta ley pueden aprovechar la sinergias para satisfacer ambos requisitos a la vez.
5. Riesgos emergentes: soborno facilitado y pagos de facilitación
La norma revisada aborda explícitamente los pagos de facilitación (facilitation payments) —pequeñas cantidades pagadas a funcionarios para agilizar trámites— como una forma de soborno que debe estar expresamente prohibida en la política de la organización. También trata los riesgos vinculados a mercados con alta percepción de corrupción (Índice de Percepción de Corrupción de Transparencia Internacional como referencia), obligando a controles adicionales cuando la organización opera en esos entornos.
6. Indicadores de rendimiento y mejora continua
La edición 2025 da más peso a la medición. Se espera que las organizaciones definan KPIs del sistema antisoborno (número de denuncias recibidas, investigaciones iniciadas, tiempo de resolución, sesiones de formación completadas, porcentaje de terceros evaluados) y los revisen periódicamente en la revisión por la dirección. Esto eleva el listón de lo que los auditores de certificación consideran evidencia suficiente.
Tabla comparativa: ISO 37001:2016 vs ISO 37001:2025
| Ámbito | Edición 2016 | Edición 2025 |
|---|---|---|
| Estructura | Anexo SL (10 cláusulas) | Harmonized Structure (HS) |
| Diligencia debida sobre terceros | Requisitos genéricos (ap. 8.6) | Detallada por categoría y riesgo |
| Canal de denuncias | Mecanismo interno obligatorio | Acceso externo + alineación Ley 2/2023 |
| Cultura organizacional | Mención implícita en liderazgo | Requisitos explícitos y medibles |
| Pagos de facilitación | Sin mención específica | Prohibición expresa en la política |
| KPIs del sistema | Evaluación de desempeño básica | Indicadores definidos y revisados periódicamente |
| Mercados de alto riesgo | Análisis de contexto general | Referencia explícita a índices de corrupción |
| Integración con otros estándares | Compatible, no optimizada | Cláusulas comunes HS facilitan integración |
Plazos de transición: qué dice ISO y qué implica en la práctica
El Foro Internacional de Acreditación (IAF) ha establecido para la ISO 37001:2025 un período de transición de dos años. El plazo final, confirmado por los organismos de acreditación nacionales (en España, ENAC) y los organismos de certificación acreditados (AENOR, Bureau Veritas, SGS, entre otros), es el 28 de febrero de 2027. A partir del 1 de septiembre de 2026, las nuevas certificaciones deberán realizarse ya contra la edición 2025.
En la práctica, esto significa que:
- Las auditorías de seguimiento y renovación realizadas a partir de la fecha de publicación oficial deberían planificarse teniendo en cuenta la edición 2025.
- Las organizaciones que inicien un proyecto de certificación en 2026 o 2027 conviene que lo hagan directamente contra la edición 2025, para evitar tener que repetir parte del trabajo antes de caducar el certificado.
- Los organismos de certificación dejarán de emitir certificados bajo la edición 2016 antes de que se agote el período de transición; la fecha exacta variará según el organismo.
Si tu empresa tiene una auditoría de seguimiento o de renovación programada en los próximos doce meses, es el momento de revisar con tu consultor qué brechas (gap analysis) genera la nueva edición y si conviene incorporarlas a la preparación de esa auditoría o planificar una transición formal.
Sectores que más notan el impacto de la ISO 37001:2025
La norma antisoborno tiene aplicación universal, pero hay sectores donde la presión regulatoria y de mercado hace especialmente relevante la actualización:
- Construcción e ingeniería civil: sector históricamente señalado en los índices de percepción de corrupción. Las licitaciones públicas exigen cada vez más acreditar un sistema antisoborno certificado. La mayor exigencia sobre terceros (subcontratistas, suministradores de materiales) es especialmente relevante aquí.
- Exportación a mercados emergentes: empresas que operan en mercados con índices CPI bajos (Latinoamérica, África, parte de Asia) tienen que demostrar que sus controles van más allá de una política en papel.
- Proveedores de grandes corporaciones: las multinacionales con sede en la UE, sometidas a la CSDDD, trasladan sus obligaciones de diligencia debida a la cadena de suministro. Tener la ISO 37001 certificada simplifica la respuesta a los cuestionarios de sus clientes.
- Sector farmacéutico y sanidad: las relaciones con profesionales sanitarios y la normativa de transparencia de pagos hace de este sector uno de los más sensibles al soborno. Los nuevos requisitos de KPIs y cultura son directamente aplicables.
- Servicios públicos concesionados y utilities: contratos de larga duración con la Administración donde la continuidad del contrato depende de mantener un historial de cumplimiento intachable.
Cómo preparar la transición: pasos concretos
Si ya tienes la ISO 37001:2016 y quieres afrontar la transición sin sustos, estos son los pasos que recomendamos desde nuestro servicio de implantación y certificación ISO 37001:
- Análisis de brechas (gap analysis): mapear los requisitos nuevos de la edición 2025 contra vuestro sistema actual. No todos los cambios generan brechas; depende de lo que hayáis implantado ya.
- Revisión de la política antisoborno: incluir la prohibición expresa de pagos de facilitación y actualizar las referencias normativas (Ley 2/2023, CSDDD si aplica).
- Auditoría interna del mapa de terceros: identificar qué proveedores, agentes y socios están en el radar de alto riesgo y actualizar los procedimientos de due diligence.
- Revisión del canal de denuncias: verificar que cumple la Ley 2/2023 (acceso, confidencialidad, no represalias) y ampliar el acceso a terceros si no está habilitado.
- Definición de KPIs del sistema: si no existen indicadores formales, definirlos y documentar cómo se van a revisar en la próxima revisión por la dirección.
- Formación del Comité de Control Antisoborno: actualizar los contenidos de la formación para reflejar los nuevos requisitos de la norma y los cambios regulatorios.
- Auditoría interna previa: antes de la auditoría de certificación de transición, realizar al menos una auditoría interna completa contra la edición 2025.
El esfuerzo real depende de cuánto hayáis invertido en vuestro sistema desde la certificación inicial. Una empresa con un sistema vivo y bien documentado puede hacer la transición con un trabajo relativamente acotado. Una empresa que lleva años con el sistema en modo «a ver si pasan la auditoría» tendrá más trabajo.
ISO 37001 y su relación con el compliance penal en España
En España, la responsabilidad penal de las personas jurídicas está regulada en el artículo 31 bis del Código Penal (introducido por la LO 1/2015). El soborno —activo y pasivo, nacional e internacional— figura entre los delitos que pueden acarrear responsabilidad penal a la empresa. Los programas de cumplimiento que incluyen un sistema antisoborno certificado bajo ISO 37001 constituyen evidencia material ante los tribunales de que la organización ha adoptado medidas «eficaces» de prevención del delito, el estándar que exige el Código Penal para la exoneración o atenuación de responsabilidad.
La edición 2025, al reforzar los controles y la cultura, eleva el nivel del programa de cumplimiento que un juez o fiscal considerará como «eficaz». Tener el certificado de la edición anterior cuando ya existe una versión más exigente puede no ser suficiente argumento de defensa en un procedimiento penal futuro. Desde Summum Calidad trabajamos conjuntamente con la implantación del sistema antisoborno y coordinamos con los asesores jurídicos del cliente cuando el proyecto incluye actualizar el modelo de organización y gestión del artículo 31 bis.
Preguntas frecuentes
¿Mi certificado ISO 37001:2016 sigue siendo válido mientras no haya caducado?
Sí, mientras el período de transición esté vigente y el certificado no haya caducado, sigue siendo válido. Sin embargo, los organismos de certificación irán migrando sus auditorías a la edición 2025 de forma progresiva. Consulta con tu organismo de certificación cuándo planifican empezar a auditar exclusivamente contra la nueva edición, para planificar tu transición con margen.
¿Puedo certificarme directamente en la edición 2025 si aún no tengo certificado?
Sí, y es lo que recomendamos para cualquier proyecto que se inicie ahora. Certificarse contra la edición 2016 en 2026 o 2027 obligaría a hacer la transición al cabo de poco tiempo, duplicando el esfuerzo. Lo lógico es implantar directamente el sistema bajo la edición 2025 desde el principio.
¿Cuánto tiempo tarda una empresa en hacer la transición de la 2016 a la 2025?
Depende del estado de partida del sistema. Una empresa con un sistema bien implantado y sin brechas significativas puede completar la transición en dos a cuatro meses (actualización documental, formación, auditoría interna, auditoría de certificación). Si hay brechas estructurales —como un mapa de terceros sin actualizar o un canal de denuncias que no cumple la Ley 2/2023— el plazo puede extenderse a seis o nueve meses. Un análisis de brechas inicial permite estimar el esfuerzo con precisión antes de comprometer recursos.
¿La ISO 37001:2025 obliga a denunciar el soborno a las autoridades?
La norma no impone directamente una obligación de denuncia ante las autoridades; eso lo regula el ordenamiento jurídico de cada país. Lo que sí exige es que la organización tenga procedimientos claros para investigar las denuncias recibidas, documentar las investigaciones y tomar acciones correctivas. Si una investigación interna revela indicios de delito, la obligación de denuncia la establece el Código Penal español y la normativa aplicable al sector, no la norma ISO en sí misma.