ISO 37001: sistema de gestión antisoborno y certificación

La ISO 37001 es la norma internacional que define un sistema de gestión antisoborno certificable para cualquier organización. Si tu empresa quiere demostrar ante clientes, licitaciones públicas y socios que combate el soborno con controles reales, esta norma es el marco de referencia. En esta guía te explicamos qué exige, qué cambió con la edición de 2025 y cómo se certifica, con datos contrastados y sin rodeos.

Lo esencial

  • La ISO 37001 establece los requisitos de un sistema de gestión antisoborno (en inglés, Anti-bribery Management System o ABMS).
  • La edición vigente es la ISO 37001:2025, segunda versión de la norma, que sustituye a la de 2016.
  • Es certificable por una entidad acreditada y aplica a empresas de cualquier tamaño y sector, público o privado.
  • En España refuerza el compliance penal y encaja con el modelo de prevención de delitos del artículo 31 bis del Código Penal.
  • No garantiza que no haya soborno, pero acredita que la organización aplica controles razonables y proporcionados para prevenirlo.

¿Qué es la ISO 37001 y para qué sirve?

La ISO 37001 es la norma internacional que especifica los requisitos para implantar, mantener y mejorar un sistema de gestión antisoborno. Su objetivo es ayudar a una organización a prevenir, detectar y responder al soborno, tanto el que pudiera cometer la propia entidad como el que cometan terceros que actúan en su nombre.

La norma cubre el soborno en el sector público y privado, el soborno directo y el indirecto a través de socios, agentes o intermediarios, y tanto el que ofrece la organización como el que recibe. No regula el fraude, los cárteles ni otros delitos económicos, aunque un sistema antisoborno sólido suele convivir con controles para esos riesgos. Puedes consultar la ficha oficial de la norma en ISO.org.

Sirve para tres cosas muy concretas: ordenar los controles antisoborno bajo un único sistema, dar confianza a clientes y administraciones que exigen garantías de integridad, y aportar una prueba objetiva de diligencia debida si alguna vez hay que demostrar que la empresa hizo lo razonable para evitar el delito.

¿Qué cambió con la edición ISO 37001:2025?

La ISO 37001:2025 es la segunda edición de la norma y se publicó en febrero de 2025, sustituyendo a la versión de 2016. Mantiene la misma estructura de alto nivel y los mismos requisitos esenciales, así que para una empresa ya certificada el impacto de la transición es moderado.

Los cambios más relevantes que introduce la revisión son estos:

  • Cultura antisoborno: la norma formaliza el concepto de cultura de integridad y subraya su peso en la eficacia real del sistema.
  • Función antisoborno: el antiguo término «función de cumplimiento antisoborno» pasa a llamarse «función antisoborno», con una descripción más clara de sus responsabilidades y de su independencia operativa.
  • Conflictos de interés: ahora hay orientación explícita sobre cómo identificar, evaluar y gestionar los conflictos de interés.
  • Debida diligencia de terceros: se refuerzan los requisitos sobre intermediarios, uniones temporales y operaciones de compraventa de empresas.
  • Contexto y cambio climático: se añaden subcláusulas que conectan el sistema con su contexto ambiental, en línea con el resto de normas de gestión ISO.

Las organizaciones con certificado de 2016 deben migrar a la versión de 2025 antes del 28 de febrero de 2027. Si estás empezando ahora, lo lógico es implantar directamente sobre la edición de 2025.

¿Qué requisitos pide la norma?

La ISO 37001 sigue la estructura común de las normas de gestión, organizada en cláusulas que van del contexto de la organización a la mejora continua. Esta es la base sobre la que se construye el sistema:

Cláusula Qué exige
Contexto (4) Analizar riesgos de soborno, partes interesadas y alcance del sistema.
Liderazgo (5) Compromiso de la dirección, política antisoborno y una función antisoborno independiente.
Planificación (6) Evaluar los riesgos de soborno y fijar objetivos medibles para tratarlos.
Apoyo (7) Recursos, formación, concienciación y comunicación del programa.
Operación (8) Debida diligencia, controles financieros y comerciales, regalos e hospitalidad, gestión de terceros y canal de denuncias.
Evaluación (9) Seguimiento, auditoría interna y revisión por la dirección.
Mejora (10) Acciones correctivas y mejora continua del sistema.

El corazón práctico está en la cláusula 8: evaluación de riesgos, debida diligencia sobre socios y proveedores, política de regalos e invitaciones, controles financieros y un mecanismo confidencial para reportar sospechas. Ese mecanismo se conecta de forma natural con el canal de denuncias que ya exige la Ley 2/2023.

¿Cómo se implanta un sistema de gestión antisoborno?

Implantar la ISO 37001 es un proyecto por fases que suele llevar de tres a seis meses según el tamaño de la empresa. No hace falta una estructura enorme, pero sí método y respaldo claro de la dirección. Estos son los pasos habituales:

  1. Diagnóstico y alcance: defines qué actividades, sedes y procesos entran en el sistema.
  2. Evaluación de riesgos de soborno: identificas dónde y cómo podría producirse, por sector, país y tipo de relación.
  3. Política y función antisoborno: apruebas la política, nombras a la persona responsable y le das independencia y recursos.
  4. Controles y procedimientos: debida diligencia, regalos e hospitalidad, donaciones, terceros, controles financieros.
  5. Canal de denuncias y formación: activas el mecanismo de reporte y formas a la plantilla.
  6. Auditoría interna y revisión: compruebas que funciona y corriges lo que falle antes de la certificación.

Una plataforma de compliance ayuda a documentar evidencias, centralizar la debida diligencia de terceros y dejar trazabilidad de cada control, que es justo lo que el auditor querrá ver.

¿Cómo es el proceso de certificación ISO 37001?

La certificación la emite una entidad de certificación independiente, preferiblemente acreditada, tras superar una auditoría en dos etapas. El certificado tiene una vigencia de tres años con auditorías de seguimiento anuales. Estas son las fases:

Fase En qué consiste Plazo orientativo
Auditoría etapa 1 Revisión documental del sistema y de su madurez. 1 a 2 semanas
Auditoría etapa 2 Verificación en campo de que los controles funcionan. 2 a 4 semanas después
Decisión y emisión La entidad revisa hallazgos y emite el certificado. Tras cerrar no conformidades
Seguimiento Auditorías anuales para mantener la validez. Años 1 y 2
Renovación Recertificación completa. Año 3

Los plazos anteriores son orientativos y dependen del tamaño y la complejidad de la organización. Conviene elegir una entidad acreditada, porque ese reconocimiento es lo que da valor al certificado frente a un cliente o una administración.

¿Qué relación tiene la ISO 37001 con el compliance penal en España?

La ISO 37001 no sustituye al modelo de prevención de delitos del artículo 31 bis del Código Penal, pero lo refuerza con un estándar internacional auditado. El Código Penal español permite que una empresa quede exenta o atenúe su responsabilidad si tenía implantado un modelo de organización y gestión eficaz antes del delito, y un sistema certificado aporta una prueba sólida de esa diligencia. El texto consolidado está disponible en el BOE.

En el plano nacional, la norma UNE 19602 orienta los sistemas de compliance, y la UNE 19601 se centra en el compliance penal. La ISO 37001 se especializa en el riesgo de soborno, que es uno de los delitos corporativos más vigilados. Combinar el modelo penal con un sistema antisoborno certificado da una cobertura más completa y creíble, que es lo que valoran tanto clientes como tribunales.

¿Cuánto cuesta y cuánto tarda certificarse?

No hay una cifra única: el coste depende del tamaño de la empresa, el número de sedes y la madurez previa de tus controles. Como referencia general, una pyme suele necesitar entre tres y seis meses de implantación más la auditoría de certificación. El gasto se reparte entre la consultoría de implantación, las horas internas del equipo y los honorarios de la entidad certificadora, que se calculan por jornadas de auditoría.

Estas referencias son estimaciones de mercado, no tarifas oficiales. Antes de comprometer presupuesto, pide una propuesta a una entidad acreditada en función de tu alcance real. El retorno llega cuando la certificación te abre licitaciones, acelera homologaciones de clientes y reduce el riesgo sancionador.

¿Qué empresas deberían plantearse la ISO 37001?

La norma encaja en cualquier organización expuesta al riesgo de soborno, pero hay perfiles donde aporta un retorno especialmente claro. Si tu empresa opera en mercados internacionales, trabaja con intermediarios o agentes comerciales, concurre a contratación pública o pertenece a sectores como construcción, energía, sanidad, defensa o farmacia, la presión de integridad es alta y un sistema certificado marca la diferencia.

También es muy recomendable cuando un cliente grande te lo pide como condición para entrar en su cadena de proveedores, o cuando una matriz extranjera exige homogeneizar los controles antisoborno de todo el grupo. En esos casos la ISO 37001 deja de ser un lujo y pasa a ser un requisito comercial. Para una pyme sin exposición internacional, en cambio, suele tener más sentido empezar por un modelo de prevención de delitos sólido y valorar la certificación más adelante.

Preguntas frecuentes sobre la ISO 37001

¿Es obligatoria la ISO 37001?

No, la ISO 37001 es una norma de adopción voluntaria. Ahora bien, cada vez más clientes, administraciones y socios la exigen como requisito para contratar, y en sectores expuestos al soborno se ha convertido en un estándar de facto.

¿La ISO 37001 garantiza que no habrá soborno?

No. La norma exige controles razonables y proporcionados para prevenir y detectar el soborno, pero ningún sistema elimina el riesgo por completo. Lo que acredita es que la organización aplica diligencia debida, lo que tiene valor preventivo y también jurídico.

¿En qué se diferencia la ISO 37001 de la UNE 19601?

La ISO 37001 es un estándar internacional centrado en el soborno, mientras que la UNE 19601 es una norma española orientada al sistema de gestión de compliance penal en su conjunto, alineada con el artículo 31 bis. Son complementarias y muchas empresas las trabajan a la vez.

¿Cuánto dura el certificado ISO 37001?

El certificado tiene una validez de tres años, con auditorías de seguimiento anuales para confirmar que el sistema se mantiene. Al tercer año se realiza una recertificación completa.

¿Sirve la ISO 37001:2016 todavía?

Sí, pero con fecha límite. Las certificaciones según la edición de 2016 deben migrar a la ISO 37001:2025 antes del 28 de febrero de 2027. Si implantas el sistema ahora, hazlo directamente sobre la versión de 2025.

Da el paso con un sistema antisoborno sólido

Implantar la ISO 37001 es una decisión de negocio, no solo de cumplimiento: te diferencia en licitaciones, protege tu reputación y refuerza tu posición legal. En Laworatory te acompañamos en el diagnóstico, la evaluación de riesgos y la preparación de la auditoría, integrando el sistema con tu programa de compliance existente. Si quieres valorar por dónde empezar, hablamos.


Si has llegado hasta aquí,
¿quieres más información de las soluciones CompaaS?

Laworatory tratará los datos personales facilitados a través del presente formulario con la finalidad de gestionar su solicitud de contacto para agendar una demo de la herramienta de LAWORATORY, legitimando el consentimiento mostrado mediante la remisión del mismo. Puede obtener más información en nuestra Política de Privacidad, así como contactar con nuestro Delegado de Protección de Datos a través de dpd@laworatory.com.

Los campos marcados con asterisco (*) son obligatorios. En caso de no ser facilitados no podrá atenderse correctamente su solicitud.

Recursos de Compliance:

COMPLIANCE

Guía "Proveedores de Confianza"

Verifica que tus proveedores están a la altura sin volverte loco. Una plantilla clara y directa para no dejarte nada importante en el tintero.

COMPLIANCE
codigo etico

Código Ético que Engancha

La primera piedra de tu compliance no tiene por qué ser un tostón. Crea o mejora tu código ético con esta guía práctica y demuestra que el cumplimiento mola.

COMPLIANCE
Analisis de Riesgo Compliance Penal

Kit de Supervivencia: Análisis de Riesgos Penales

La realización de un análisis de riesgos no tiene por qué ser un dolor de cabeza. Mejora tu toma de decisiones y evita sustos con esta plantilla práctica.

¿Necesitas más información?

¿Necesitas más información?