CA-17 · Compliance · antisoborno

ISO 37001

La norma internacional de gestión antisoborno. Certifica formalmente tu programa de compliance penal ante cualquier auditoría externa y te acredita frente a clientes, administraciones y socios internacionales.

NormaISO 37001:2025 (2.ª edición; transición hasta feb. 2027)
Duración5-8 meses según tamaño
ÁmbitoPyme y mid-market con exposición a sector público

ISO 37001:2016 es la norma publicada por la Organización Internacional de Normalización para sistemas de gestión antisoborno. A diferencia de UNE 19601, que es de alcance estrictamente español y se orienta a la exención de responsabilidad penal corporativa, la 37001 tiene reconocimiento internacional, es certificable por tercero acreditado (AENOR, Bureau Veritas, SGS, TÜV…) y está diseñada para organizaciones que operan en varios países o que necesitan acreditar su programa ante clientes o licitadores extranjeros. En España conviven las dos normas; muchas empresas las implantan en paralelo para cubrir tanto el frente penal interno como el reconocimiento internacional.

El estándar exige que la organización adopte un enfoque basado en riesgos: evaluar sistemáticamente dónde y con quién existe exposición a soborno (socios comerciales, intermediarios, agentes, operaciones de M&A, contratos con administraciones públicas), establecer controles proporcionales a esa exposición y mantener registros auditables que demuestren su funcionamiento. La norma incorpora requisitos específicos sobre debida diligencia de terceros, gestión de conflictos de interés, regalos y atenciones, donaciones y patrocinios, así como controles financieros antifraude. La función antisoborno debe tener autoridad e independencia documentadas, lo que en la práctica obliga a muchas pymes a redefinir su estructura de gobierno interno.

Summum Calidad acompaña a la organización desde el diagnóstico inicial de brechas hasta la auditoría de certificación por el organismo acreditado. No certificamos nosotros: la certificación la emite un tercero acreditado por ENAC. Nuestro trabajo es construir el sistema, documentarlo con rigor, formar al equipo y preparar a la organización para superar la auditoría de primera parte. Llevamos desde 2007 implantando sistemas de gestión en pymes castellanas y canarias; conocemos de primera mano los puntos que los auditores de certificación suelen explorar con más detalle y cómo anticiparlos.

El proceso de ISO 37001.

El proceso · cuatro tiempos
01

Diagnóstico y análisis de riesgos

Mapeamos el contexto de la organización: sectores en los que opera, geografías, tipos de relación con terceros (contratos públicos, intermediarios, agentes comerciales, M&A). Identificamos los riesgos de soborno inherentes y residuales, los ponderamos por probabilidad e impacto y priorizamos los controles. El resultado es la Evaluación de Riesgos de Soborno (ERS), documento nuclear de la ISO 37001.

02

Diseño del sistema y documentación

Redactamos la política antisoborno, el manual de debida diligencia de terceros, los procedimientos de gestión de regalos y atenciones, los controles financieros antifraude y el protocolo de investigación de incidentes. Adaptamos cada documento a la realidad operativa de la empresa: sin plantillas genéricas, con los flujos y los responsables reales. Definimos la función antisoborno con la autoridad e independencia que exige la norma.

03

Formación, canal de denuncias e implantación

Impartimos la formación diferenciada por perfil: dirección (tono desde arriba), mando intermedio (aplicación en operaciones) y personal con exposición (comerciales, compras, administración). Configuramos o auditamos el canal de denuncias conforme a la Ley 2/2023 de protección del informante y a los requisitos de confidencialidad y no represalia de la ISO 37001. Acompañamos la puesta en marcha real del sistema durante al menos un ciclo operativo.

04

Preauditoría y certificación

Realizamos una auditoría interna de simulacro siguiendo los criterios que aplicará el organismo certificador, identificamos desviaciones y cerramos acciones correctivas antes de la auditoría formal. Coordinamos la selección del organismo de certificación acreditado por ENAC (AENOR, Bureau Veritas, SGS, Lloyd's Register u otros), preparamos el expediente documental y apoyamos a la organización durante las jornadas de auditoría. Una vez emitido el certificado, planificamos el mantenimiento trianual del sistema.

Qué incluye

Qué incluye ISO 37001.

El detalle operativo: lo que entregamos como parte del trabajo y lo que mantenemos vivo después.

  • Evaluación de Riesgos de Soborno

    Mapa completo de exposición por geografía, sector, tipo de socio comercial e importe de contrato. Base de la política antisoborno y de la debida diligencia de terceros.

  • Política antisoborno y código ético

    Documento de alto nivel aprobado por la dirección, con compromisos concretos sobre regalos, atenciones, donaciones, patrocinios y pagos de facilitación. Adaptado al tamaño y sector de la empresa.

  • Procedimiento de debida diligencia

    Cuestionario y protocolo de revisión para socios comerciales, intermediarios, agentes y contrapartes en operaciones de M&A, con niveles de control proporcionales al riesgo detectado.

  • Controles financieros antisoborno

    Revisión y diseño de controles sobre pagos inusuales, gastos de representación, comisiones a terceros y operaciones en efectivo. Coordinados con el área financiera y con los requisitos contables.

  • Canal de denuncias conforme a Ley 2/2023

    Configuración o revisión del canal interno: garantías de confidencialidad, plazos de acuse y resolución, protección al informante y coordinación con el tratamiento de datos (RGPD).

  • Plan de formación diferenciado y auditoría interna

    Formación por perfil (dirección, mandos intermedios, personal con exposición), registro de asistencia y comprensión, y auditoría interna de simulacro antes de la certificación externa.

Preguntas frecuentes sobre ISO 37001.

¿ISO 37001 sustituye a UNE 19601 en España?

No. Son normas complementarias con finalidades distintas. UNE 19601 es la norma española de compliance penal, diseñada para acreditar ante la justicia española que la empresa tenía un programa de prevención de delitos eficaz (exención o atenuación de responsabilidad penal corporativa según el artículo 31 bis del Código Penal). ISO 37001 tiene foco exclusivo en el soborno y alcance internacional. Muchas organizaciones implantan ambas en un sistema integrado: la 19601 cubre el penal interno y la 37001 aporta el reconocimiento internacional y la certificación por tercero acreditado. El equipo de Summum coordina las dos implantaciones para evitar duplicidad documental.

¿Qué organismo certifica ISO 37001 en España?

La certificación la emite un organismo de certificación acreditado por ENAC (Entidad Nacional de Acreditación), no Summum. Los más habituales en España son AENOR, Bureau Veritas, SGS, Lloyd's Register y TÜV Rheinland. Summum Calidad prepara a la organización para superar la auditoría, pero el certificado lo firma y lo respalda el organismo de tercera parte. La acreditación ENAC es la que da validez oficial al certificado en España y en los países signatarios de los acuerdos de reconocimiento mutuo de EA/IAF.

¿Cuánto tiempo lleva implantar ISO 37001 en una pyme?

Entre 5 y 8 meses en una pyme de 20-100 empleados, dependiendo del punto de partida (si ya existe un programa de compliance) y de la complejidad del mapa de terceros. El proceso incluye diagnóstico, diseño del sistema, formación, ciclo de operación real y auditoría interna antes de la certificación. Si la empresa ya tiene UNE 19601 implantada, los plazos se reducen porque la documentación de base y la cultura de compliance ya existen.

¿ISO 37001 es obligatoria para contratar con la Administración?

En España no existe aún obligación legal directa de certificar ISO 37001 para licitar. Sin embargo, la Ley 9/2017 de Contratos del Sector Público exige a los licitadores declarar que no han sido condenados por delitos de soborno (artículo 71), y muchas licitaciones de alto valor incluyen la certificación como criterio de solvencia técnica o de adjudicación. En el sector privado, grandes empresas cotizadas y multinacionales la exigen cada vez más a proveedores de primer nivel como parte de su diligencia debida de cadena de suministro.

¿Qué ocurre con la norma ISO 37001:2025? ¿Hay que migrar?

ISO publicó la segunda edición, ISO 37001:2025, el 28 de febrero de 2025. Los cambios principales refuerzan la alineación con la estructura de alto nivel HLS (armonizada con ISO 9001, 14001, 45001…), amplían los requisitos sobre debida diligencia digital, incorporan cláusulas sobre cultura de compliance y conflictos de interés, y actualizan las referencias al marco legal internacional de anticorrupción. El IAF ha fijado el 28 de febrero de 2027 como fecha límite de transición; a partir de entonces los certificados emitidos bajo la edición 2016 dejarán de ser válidos. Summum incluye el acompañamiento a la migración dentro del mantenimiento del sistema.