La ISO 37001:2016 fue publicada por la Organización Internacional de Normalización[1] el 15 de octubre de 2016. Esta norma de 45 páginas, 22 de la norma propiamente dicha más 23 de orientación, establece los procesos por los que se medirá a cualquier organización en cuanto a cómo aborda la cuestión del soborno en todo el mundo.
No actuar adecuadamente y de acuerdo con esta norma tiene consecuencias. Es probable que pudieran aplicarse sanciones significativamente más elevadas si la organización no hubiera tomado las medidas adecuadas. Y, lo que es más importante, la organización ha podido demostrar que ha tomado todas las medidas razonables para evitar el soborno. Es probable que la comparación con la norma ISO 37001 se convierta en la norma a la hora de evaluar la culpabilidad.
Esta norma proporciona orientación sobre cómo implantar y mantener un sistema de gestión antisoborno, cuyas principales ventajas son:
- minimizar el daño a la reputación si ha habido soborno
- minimizar las sanciones, y
- Adoptar un enfoque basado en el riesgo, centrándose esencialmente en aquellas actividades que tienen el mayor potencial para algún tipo de actividad de soborno.
Un componente clave de la norma se encuentra en 4.5 Evaluación del riesgo de soborno, donde la norma se orienta hacia un enfoque basado en el riesgo. Esta sección se utiliza para identificar los riesgos de soborno, analizarlos, priorizarlos y evaluar la eficacia de los controles existentes para mitigar el riesgo de soborno. Aunque no se menciona en esta sección, también debe esperarse que el sistema registre e informe sobre los planes para mejorar la actividad de control. Esencialmente, elaborar una lista de riesgos de soborno, clasificados por riesgo inherente, riesgo actual y niveles de riesgo objetivo. Esto encaja bien con los conceptos esbozados en la norma ISO 31000 y otras directrices de gestión de riesgos en toda la empresa. En el apartado 4.5.4 se subraya la necesidad de mantener un proceso bien documentado para respaldar la defensa contra las acusaciones formuladas contra la organización.
La norma define que los controles pueden ser financieros o no financieros y que estos controles se aplicarán a la organización y a sus socios comerciales. Esto amplía la necesidad de medir y supervisar activamente la relación con terceros y el modo en que éstos gestionan las cuestiones relacionadas con el soborno. Esto también amplía el proceso de gestión del riesgo de los proveedores, que pasa de limitarse a supervisar si el proveedor es capaz de suministrar los servicios o productos requeridos, a incluir en qué medida estos terceros cumplen los requisitos antisoborno. Además, incluye las relaciones con los clientes en el ámbito de este proceso: suministrar bienes o servicios a una organización que se descubre que ha infringido las leyes contra el soborno puede quedar mal con sus proveedores y clientes. La relación explícita con la Auditoría Interna (9.2) subraya la necesidad de sistemas integrados de gestión de riesgos que conecten una amplia gama de sistemas anteriormente aislados. La gestión de riesgos, las Finanzas, el Cumplimiento, el Departamento Jurídico, la Auditoría Interna e incluso la Gestión de Crisis deben estar interconectados, con las salvaguardias adecuadas sobre los datos para garantizar que todas las partes interesadas y los requisitos pertinentes se abordan adecuadamente.
Las organizaciones deben tomar ahora medidas positivas para determinar si disponen de los procesos adecuados para responder a las preguntas de las partes interesadas sobre cómo gestionan los asuntos de soborno, antes de verse manchadas por un suceso de soborno bien publicitado.
