Está en la página 1de 94

ISO 37001 es el primer estándar internacional que establece los

requisitos que debe tener un sistema de gestión para prevenir el


soborno yreducir el riesgo de que se produzca en las organizaciones.
El objetivo de este libro es analizar y comentar, desde un punto de
vista práctico y utilizando una terminología sencilla y centrada en
el ámbito empresarial, los pasos a realizar a la hora de establecer
un sistema de gestión antisobomo en un entorno corporativo
según los requisitos de la norma, cuyo contenido se reproduce
íntegramente.
Sobre los autores
Maria Hemánclez Pérez es Licenciada en Derecho por la Universidad
Complutense de Madrid, con especialización jurídico-comunitaria
por la Universidad San Pablo CEU de Madrid y Posgrado en Derecho
y Economía de la Unión Europea por la Universidad de La Sorbona
de París. Actualmente es Socia Directora del Departamento de
Compliance en Eversheds Sutherland Nicea y Responsable del
Comité de Compliance de la Alianza de despachos Latinoamericanos
de Eversheds Sutherland lntemational, además de Presidenta de la
Sección de Compliance del ilustre Colegio de Abogados de Madrid y
Vicepresidenta de la Asociación de Profesionales de Cumplimiento
Normativo (CUMPLEN).
Salvador Román Gama es Licenciado en Dirección yAdministración
de Empresas por la Universidad del País Vasco y Máster en Derecho
Penal Económico por la Universidad de Granada. Ha realizado el
Programa Avanzado de Compliance del Instituto de Empresa y
el programa Make an lmpact: Sustainability for Professionals de
la University of Bath. Actualmente es Gerente de Govemance y
Corporate Compliance en AENOR, además de participar como
experto en diversos grupos de trabajo, entre ellos, el responsable
de la elaboración de las normas ISO 19600, ISO 37001 y UNE 19601.

AENOR AENOR /ediciones


Guía para la aplicación de
UNE-ISO 37001 :2017

María Hernández Pérez


Salvador Román Gorda

AENOR ediciones
1
Índice

..
Presentación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

Antecedentes de la Norma UNE-ISO 37001 . Marco internacional . . . . . . . . . . 11


Título: Guío poro lo aplicación de UNE-/SO 37001:201 7 Introducción 11
Auto res : Moría Hernóndez Pérez y Salvador Ramón Gordo
Legislación internacional de aplicación extraterritorial ...... ... .. . ...... . 12
Foreign Corrupt Practices Act (FCPA) .... .. . . . ...., .. . .... . .. . ... . . 12
© AENOR Internacional, S.A. U., 2018 UK Bribery Act (UKBA) .... .. ........... ..... . . .. .. .......... . 16

Todos los derechos reservados . Quedo prohibido lo reproducción total o parcial en cualquier soporte, sin Marcos para la creación de políticas corporativas anticorrupción . . .... . ... . 18
lo previo autorización escrito de AENOR Internacional, S.A. U. Committee of Sponsoring Organizations of the Treadway ~ommission
(COSO) . . ................ ........ .. . .. .. ,,... .... . ... . . 18
ISBN : 978 -84-8143 -959 -5
United States Sentencing Commission (USSC) ..... .. . . ........ .... . 19
Depósito legal : M-33296-2017
Organización para la Cooperación y el Desarrollo (OCDE) : . . .. .... . . . 20
Impreso en España - Printed in Spoin
Naciones Unidas ..... ............... ... .. ....... : : . . ...... . 23
Edito : AENOR lntemocionol, S.A. U.
Norma UNE -ISO 37001 . Recomendaciones y guía p(l;!ra su implementación . . . 35
Moqueta y diseño de cubierto : AENOR Internacional, S.A. U.
O Introducción ........................ . ... . .... . .. . ..... . .... 36
Imprime : DIN Impresores
Objeto y campo de aplicación ..... .. ..... . ....... . .. .. .... . .... 42
2 Referencias normativas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 7
Nota : AENOR Internacional, S.A. U. no se hoce responsable de los opiniones expresados por los autores 3 Términos y definiciones . .. . ...... ·. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
en esto obro .
4 Contexto de la organización . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
4.1 Comprensión de la organización y de su contexto ... ............ 55
4.2 Comprensión de las necesidades y expectativas de las partes
interesadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60

AENOR
Génova, 6 . 28004 Madrid
4.3
4.4
Determinación del alcance del sistema de gestión antisoborno ...... 63
Sistema de gestión antisoborno ...... . ... . ....... . .. . ..... . . 66
Tel.: 914 326 000 • info@oenor.com • www.oenor.com 4.5 Evaluación del riesgo de soborno ... .... . ... ... ...... .. ..... 70
6 Guío poro lo aplicación de UNE- ISO 37001:20 17 Índice 7

5 Liderazgo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 9 Evaluación del desempeño . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157


5.1 Liderazgo y compromiso ............ ... . .. . ..... .... . ..... 81 9.1 Seguimiento, medición, análisis y evaluación .... . . .... . . . . .. .. 157
5 . 1 .1 Órgano de gobierno . . .. . . ... ...... . ... .. .. .. .. .. .. 81 9 .2 Auditoría interna . . ....... .......... ........... . ... .... 159
5 . 1 .2 Alta dirección . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 9 .3 Revisión por la dirección ........... .. .. ..... . ...... . .... 163
5 .2 Pol ítica antisoborno .......................... .... ....... 87 9 .3 .1 Revisión por lo alto dirección . . . . . . . . . . . . . . . . . . . . . . . . 163
5 .3 Roles, responsabilidades y autoridades en la organización . . .... . . .. . 90 9 .3 .2 Revisión por el órgano de gobierno . .. ..... ...... . . .... 165
5 .3.1 Roles y responsabilidades ....... . .......... . ......... 90 9.4 Revisión por la función de cumplimiento antisoborno ..... .... . .. 165
5 .3 .2 Función de cumplimiento antisoborno . . .......... . .. .. .. 92
1O Mejoro ..... . .. ... ... ... ............... ... .............. 167
5 .3 .3 Delegación de la toma de decisiones .. .. ........ . ...... 95
10 . 1 No conformidades y acciones correctivas . . . . . . . . . . . . . . . . . . . . 167
6 Planificación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 10 .2 Mejora continua . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170
6.1 Acciones para tratar riesgos y oportunidades .. . . .......... .. . . . 97
Auditoría y certificación de un sistema de gestión anJ.isoborno de acuerdo
6 .2 Objetivos antisoborno y planificación para lograrlos . . ......... . . 98
a la Norma ISO 37001 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173
7 Apoyo ......... . ... . ......... . .. .. ........... .. ... . .. .. . 102 La certificación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173
7. 1 Recursos ............. . ......... .... .... . .. ... ... . . . . 102 Etapas del proceso de certificación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 4
7.2 Competencia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 Competencia del personal involucrado en la certificación . . . . . . . . . . . . . . . 176
7 .2 . 1 Generalidades ... . . . .. . .................... . .. ... 103
La Norma ISO 37001 y la debida diligencia exigida a los administradores
7 .2.2 Proceso de contratación ....... .. ... . ............ ... 1OS
de las sociedades de capital .. .. ......... ..... .., . . . . . . . . . . . . . . . 1 77
7.3 Toma de conciencia y formación .................... .. ... . . 113
7.4 Comunicación . .. .. ........... . . . ..... . .... . ...... .. .. 118 Bibliografía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . • . . . . . . . . . 183

7.5 Información documentada ........... . ...... . ...... . ... . . 120 Sobre los autores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . 185
7 .5 .1 Generalidades . . .. . ......... . ........ . ........... 120
7.5 .2 Creación y actualización . ......... . . . . ....... .. .. . . 121
7 .5 .3 Control de lo información documentado ... . ....... .. ... 121
8 Operación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
8.l Planificación y control operacional . . . . . . . . . . . . . . . . . . . . . . . . . 123
8 .2 Debida diligencia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
8 .3 Controles financieros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
8.4 Controles no financieros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
8.5 Implementación de los controles antisoborno por organizaciones
controlados y por socios de negocios . . . . . . . . . . . . . . . . . . . . . . . 136
8 .6 Compromisos ontisobornos ... . .. .. ..... .. .. . .. .. ... . ... . 142
8 .7 Regalos, hospitalidad, donaciones y beneficios similares. . . . . . . . . . 144
8 .8 Gestión de los controles antisoborno inadecuados . . . . . . . . . . . . . . 148
8 .9 Planteamiento de inquietudes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
8 . 1O Investigar y abordar el soborno. . . . . . . . . . . . . . . . . . . . . . . . . . . . 151
Presentación

..
En los últimos tiempos ha crecido enormemente la preocupación a nivel internacional
por lo que el fenómeno del soborno implica y por lo que afecta a las personas, a las
empresas y a la sociedad general. Esto ha hecho que los Gobiernos hayan establecido
leyes cada vez más severas y acuerdos internacionales más exigentes para combatir y
luchar contra él.
.
Sin embargo, esto no es suficiente. En este sentido, las organizaciones responsables y
comprometidas en prevenir el soborno deberían ir más allá de la ley y demostrar su
compromiso con una cultura de cumplimiento, integridad, transparencia y honestidad
en la prevención de delitos en general y en luchar contra el soborno en particular.
.•,
Un sistema de gestión antisoborno tiene un gran valor como ayuda para cumplir con
la política antisoborno, las obligaciones legales y los compromisos de integridad ad-
quiridos en el seno de una empresa. Por otra parte, un sistema de g~tión antisoborno
va a ayudar a reducir o evitar costes, riesgos y dañbs, y va a promover la confianza y
la seguridad en los negocios y a mejorar la reputaciÓ{l.
Con este objetivo se fraguó la Norma ISO 37001: ofrecer una herramienta para
prevenir el soborno basado en las mejores y más avanzadas prácticas internacionales.
ISO 37001 es el primer estándar internacional que establece los requisitos que
debe tener un sistema de gestión para prevenir el soborno y reducir el riesgo de
su comisión en las organizaciones. Su proceso de elaboración, que ha seguido la
estructura de alto nivel de ISO, ha durado varios años y ha sido el resultado del
trabajo y el consenso de los expenos de 59 países, además de diferentes organiza-
ciones internacionales.
Ante el gran impacto que se preveía que iba a tener la norma a nivel mundial, desde
el Internacional Organization for Standardization (ISO ) se trabajó, a propuesta de
los países de habla hispana, en una versión oficial en lengua española. Su traducción

9
1O Guío poro /o aplicación de UNE-ISO 3700 1:2017

fue realizada por el Grupo de Trabajo Spanish Translation Task Force (STTF) del Co-
mité Técnico ISO PC 278 Anti-bribery management systems, y su terminología fue
consensuada para facilitar su uso en cualquier país de habla hispana. En este grupo
Antecedentes de la
de trabajo participaron representantes de los organismos nacionales de normalización
y del sector empresarial de los siguientes países: Argentina, Colombia, Costa Rica,
Norma UNE-ISO 37001.
Cuba, Ecuador, España, Guatemala, México, Perú y Uruguay. Marco internacional
La Asociación Española de Normalización, UNE, adoptó esta norma como española
publicando la Norma UNE-ISO 37001 en 2017.
El cumplimiento de los requisitos de la norma no asegura al cien por cien que el
soborno no ocurra ni vaya a ocurrir en un futuro. Esto es imposible de afirmar, de-
bido a que el riesgo cero no existe; sin embargo, va a ayudar en gran medida a las
empresas y a cualquier tipo de organización a implementar políticas, procedimientos ;:,
y controles adecuados, razonables y proporcionados para prevenir, detectar y tratar
con los riesgos de soborno a los que se enfrenta.
Introducción
Una vez expuestos los inicios y la importancia de la norma, queremos explicarle al
lector que el objetivo de este libro es analizar y comentar, desde un punto de vista En este capítulo veremos las leyes o tratados que son consid~rad~s fundament~;s
eminentemente práctico, los pas.cis a realizar a la hora de establecer un sistema de en la constitución de un marco para la elaboraciÓn de un efectivo s1stema de gest1on
gestión antisobomo en un entorno corporativo, utilizando para ello una terminología anticorrupción. En este sentido, y junto a las principales normativas internacionales,
sencilla y centrada en el ámbito empresarial. no debemos olvidar la existencia de guías y protocolos emanados de organismos
internacionales que, con un marcado carácter práctico, han sido precursores en la
Nuestros comentarios, recomendaciones, ejemplos, etc., se han hecho con el fm de implantación de políticas efectivas de anticorrupción en el entorno corporativo.
aclarar y complementar, y en caso de duda o discrepancia, evidentemente, siempre
prevalece lo que estipule el requisito de la norma. Abordaremos así, en un primer momento, las dos principales·leyes consideradas hoy
en día como base de la normativa en materia anticorrupciói:i, que son la Foreign
Los contenidos incluidos se presentan de la siguiente manera: Corrupt Practices Act, promulgada en Estados Unidos en 1977, y la UK Bribery
• Un primer capítulo donde se comentan diferentes iniciativas, guías, normas Act, aprobada en Reino Unido en 2010. Veremos asimismo las pautas establecidas
y regulaciones desarrolladas a nivel internacional que conviene considerar a la en tres programas específicos: el Committee of Sponsoring Organizations of the
hora de implantar un sistema de gestión antisoborno eficaz. Treadway Commission (COSO), las Federal organizational sentencingguidelines
de la United States Sentencing Commission (USSé) y la Good Practice Guidance
• El siguiente y principal capítulo lo hemos dedicado analizar y comentar todos on Interna/ Controls, Ethics, and Compliance de la Organisation for Economic Co-
los apartados de la Norma ISO 37001, utilizando múltiples ejemplos. Los operation and Development (OECD), para hacer un recorrido más adelante por
requisitos se abordan siguiendo el orden secuencial que aparece en la norma y, otras importantes regulaciones de carácter transnacional, como son la Convención
según el caso, hemos ampliado dicha explicación incluyendo las orientaciones de las Naciones Unidas contra la Corrupción y el Programa anticorrupción de ética y
que sobre los mismos aporta el anexo A de la norma. cumplimiento para las empresas, ambos de la Oficina de las Naciones Unidas contra
• Por último, para complementar esta información, se ha incluido un capítulo la Droga y el Delito (UNODC) .
dedicado a la auditoría y certificación de la norma y otro sobre la utilidad de la
misma a la hora de dar respuesta a la debida diligencia exigida a los adminis-
tradores de las sociedades de capital.

Agradecemos de antemano el interés por este libro y esperamos que le sea útil y
didáctico, con ese fin lo hemos elaborado.

11
Antecedentes de la Normo ISO 37001 . Marco internacional 13
12 Guía para la aplicación de UNE-ISO 3700 1:2017

Legislación internacional de aplicación El término "soborno" se aplica a los pagos corruptos y puede darse de diferentes
maneras siendo la aplicación del término subjetiva, ya que el valor del mismo está
extraterritorial marcad~ por la percepción que el receptor tenga de algo como "~ali?s?". En la
figura de funcionario público extranjero la norma engloba a aquellos m<:lividuos que
Foreign Corrupt Practices Act (FCPA) trabajan para Gobiernos no estadounidenses, así como a los que trabaJan para ~na
empresa pública (hospitales, parques nacionales, suministros de agua ... ). También
El término FCPA (o Ley sobre Prácticas Corruptas en el Extranjero) puede resultar nue- incluye a las empresas participadas por la Administración pública (en ~1 caso ~e
vo para algunos y, sin embargo, aquellas compañías que trabajan de forma directa con constituir una participación muy minoritaria, tendríamos que evaluar la influenCia
empresas estadounidenses, o bien profesionales que forman o han formado parte de sus real que tiene dentro de la compañía) . Por otra parte, es inherente a la violación de
estrucnu:as ~ectivas, saben bien sobre la exigencia del cumplimiento de esta ley, tanto la FCPA que el pago sea realizado con intencionalidad, es decir, a propósito, con el
en la aplicaClon mterna de controles y compromisos como a sus socios comerciales. fm de conseguir que un funcionario público extranjero actúe en contra de su deber
La ley federal FCPA fue aprobada en 1977 1 en los Estados Unidos de América y legal o que utilice su influencia en una toma de decisiones gubernamental. Debe-
en e~a se prohf~ el pago por parte de compañías de sobornos a oficiales y figuras remos evaluar si el coste de la dádiva/soborno es excesivo, basándonos en nuestro
polftlcas de Gobiernos extranjeros. La violación de esta ley está sujeta a sanciones sentido común y en las pautas culturales del país ef'l. cuestión y también deberemos
penales y civiles como pueden ser: multas, exclusión de contratos con el Gobierno y confirmar que el objetivo del pago es la obtención de una ventaja comercial u ~tro
sentencias de prisión a los empleados y directivos. La ley está dividida en dos seccio- beneficio que de otra manera no habría sido posible. El beneficio que se qwere
nes : la sección antisoborno y la sección contable, que obliga a las compañías a llevar obtener puede tratarse de diferentes ventajas, entre las que podemos destacar: el
su siste~a de contabilidad,_ libros y registros, de manera precisa y rigurosa y vigilada inicio de relaciones comerciales, la adjudicación de un contrato frente a nuestros
por un Sistema de control mterno de establecimiento obligatorio. competidores, la elusión de normas de importación, la obtenci~n de infor~aci?n
privilegiada no pública de una licitación, la obtención de exenCiones a o_bligaclO-
El carácter extraterritorial de esta ley se ve reflejado en que su alcance va más allá de nes o regulaciones, la elusión de la rescisión de un contrato o la aseguraCiÓn de su
los pa~os o pr?mesas ~e ?ago corruptos de empresas americanas, y las multas que
renovación.
se denv~ del mcumplimiento de sus normas por parte de empresas extranjeras (no
estadourudenses) son de tal volumen que, a fecha de edición de este libro, se sitúan También define los sujetos a los que se aplica, entre los que eJ?-COntramos:
en siete de los diez primeros puestos de las multas más altas de la historia. • Los emisores: aquellas compañías cotizadas en la bolsa 'americana o cuyas ac-
Con el fin de guiar en la aplicación de esta ley y de sus disposiciones, el14 de noviem- ciones se negocian en el mercado extrabursátil de los EE.UU. y que están
bre de 2012 el Departamento de Justicia y la Comisión del Mercado de Valores de los obligadas a presentar informes a la Comisión del Merca~o de Valores, con
EE. UU. hicieron pública la Guía de recursos sobre la Ley sobre Prácticas Corruptas en el independencia del pafs en el que estén constituidas. ·
Extranjero 2 , en la que se pueden encontrar reglas y ejemplos prácticos sobre el FCPA. • Los "asuntos nacionales": aquellas empresas con domicilio principal comercial
en EE.UU. o que se rigen por las leyes de EE.UU., así como los ciudadanos
Guía de recursos sobre la Ley sobre Prácticas Corruptas y/o residentes estadounidenses. Incluye las subsidiarias de compañías estadou-
nidenses y a los individuos no estadounidenses que las representan.
en el Extranjero
• Entidades extranjeras no emisoras: no consideradas asuntos nacionales, que
La gufa, en cuanto a las disposiciones anticorrupción, recorre los sujetos y elementos directa o indirectamente, a través de un agente o intermediarios, están involu-
que se contemplan en el FCPA. La ley recoge una serie de elementos que son conside- cradas en un pago corrupto, o en la oferta, promesa o autorización para pagar
rados constituyentes de una violación y que debemos definir para mayor comprensión mientras se encuentran en territorio de los EE.UU.
del alcance de estas normas.
• Terceros y agentes: los terceros intermediarios (contratistas, proveedores, con-
1 www. wor!dcompliance.com. sultoras, distribuidores ... ) y agentes comerciales que actúen en nombre de
emisores, "asuntos nacionales" y/o entidades extranjeras no emisoras, estén o
2 A &source Guúie to the US Foreign Corrupt Practices Act. Criminal Division of the US Department
no estén actuando en territorio de los EE.UU.
ofJustice y Enforcement Division ofthe US Securities Exchange Commission. Noviembre de 2012.
Antecedentes de lo Norma ISO 37001 . Morco internacional 15
14 Guío poro lo aplicación de UNE-ISO 37001:2017

Asimismo, la norma aplica su eminente carácter extraterritorial al contemplar la guía - Multas penales de hasta 2 millones de dólares.
que el uso del correo de los EE_ UU (imaginemos un correo que pasa a través de un - Multa que puede llegar a duplicar la pérdida o ganancia financie_ra b~ta
servidor localizado en territorio americano) o cualquier medio de comercio interes- obtenida por el individuo a través del soborno conforme a Alternatlve Flnes
tatal (teléfono, fax, email, transferencias bancarias, desde o hacia los EE_ UU.), así Act, 18 U. S. C. §357l (d).
como la utilización del sistema bancario estadounidense desde fuera de los EE.UU.,
convierte en sujeto a la FCPA a quien lo realice. En cuanto a las disposiciones contables, el FCPA prevé las siguientes sanciones y
penas:
Respecto a las relaciones entre matrices y filiales, la guía es clara al respecto. Los actos
de una filial se imputan a su matriz, aun cuando exista desconocimiento por parte de • Individuos:
esta de los mismos, cuando se dé un control por parte de la matriz. Y en este punto - Sanciones civiles de hasta 100.000 dólares.
se tiene en cuenta la relación formal y la relación de Jacto .
- Multas penales de hasta 5 millones de dólares o dos veces la pérdida o ga-
Respecto a las disposiciones contables de la FCPA, hay que decir que se aplican nancia de la violación y hasta 20 años de prisión.
casi exclusivamente a emisores, obligándolos a llevar registros y cuentas que reflejen
fielmente y con precisión las transacciones y la distribución de sus activos. El objeto - La empresa en cuyo nombre haya actuad<f'el individuo no podrá pagar la
de esta obligación es luchar contra la corrupción a través del control de los libros multa penal impuesta al mismo, directa o indirectamente.
contables de las empresas emisoras con el fin de asegurar la transparencia en los flujos
monetarios y que cualquier movimiento queda registrado con precisión, indicando la • Empresas:
naturaleza de la transacción. Lo que estas disposiciones protegen en última instancia - Sanciones civiles de hasta 500.000 dólares.
es el sistema fmanciero en su conjunto, y de ahí que las sanciones por violaciones
de las mismas sean más elevadas que por violaciones de las disposiciones de pagos - Multa penal de hasta 25 millones de dólares o dos yeces la ganancia o pérdida
corruptos de la FCPA. causada por la violación.
- Devolución de las ganancias ilícitas.
Sanciones y penas
En cuanto a otras sanciones o penas, que podrían ser poten~ialmente más dañinas,
En cuanto a las disposiciones antisoborno, la FCPA prevé las siguientes sanciones y encontramos:
penas:
• Individuos:
• Individuos: Suspensión o inhabilitación para la procurición de contratos con el Gobierno.
Sanciones civiles de hasta 10.000 dólares. Suspensión de los permisos de exportación. ':
- Multa que puede llegar a duplicar el beneficio obtenido por el individuo a Suspensión o inhabilitación en bancos multilaterales de desarrollo (Banco
través del soborno según Alternative Fines Act, 18 U. S. C. §357l(d) .
Mundial, etc.).
- Multas penales de hasta 250.000 dólares y/o hasta 5 años de prisión.
- Pérdida de reputación.
- La empresa en cuyo nombre haya actuado el individuo no podrá pagar la
multa penal impuesta al mismo. • Empresas:
- Decomiso de bienes. - Pérdida de capitalización del mercado.
- Publicidad negativa y pérdida de reputación.
• Empresas:
- Sanciones civiles de hasta 10.000 dólares.
Antecedentes de lo Norma ISO 3 7001 . Marco internacional 17
16 Guía para la aplicación de UNE-ISO 3700 1:20 17

UK Bribery Act (UKBA) uede incurrir 0 a los que se tendría que enfrentar. En este sentido, encon-
en 1osqUe P . , d d ' · · h
rganizaciones en toda la escala y upolog1a, es e mllllffiOS nesgos asta
traremOs O · d ·'
Esta ley constituye también un referente en el marco internacional de la lucha contra riesgos muy elevados, dependiendo del sector en ~1 que operan, ellillporte o urac1on
la corrupción ya que, entre otras cosas, extiende sus preceptos tanto al soborno activo del proyecto y las personas o empresas a las que mvolucran.
(dar, ofrecer, prometer) como al pasivo (aceptar, solicitar, recibir. .. ), al entorno de En cuarto lugar, hablamos del principio de diligencia debida (due ~iligence), que
la corrupción de funcionario público como a la corrupción privada, acercándose en consiste en conocer los detalles de las entidades con las que o a traves de l~s cuales
ese sentido más a las disposiciones que encontraremos en la Norma ISO 37001. El estamos haciendo negocios, en cuanto a su buen hacer con respecto a la anucorrup-
UKBA está articulado alrededor de seis principios. La misión de estos principios es . ' Debemos asegurarnos de que podemos confiar plenamente en ellos ya que,
ayudarnos a la hora de decidir cómo actuar, teniendo en cuenta los riesgos de co- C!On. 1 · .'
hoy en día, gran parte de los actos de corrupción se producen en a mteracc10n con
rrupción a los que se enfrenta la empresa, su naturaleza, su tamaño y la complejidad
terceros.
del negocio, y que son detallados en la QJtick Start Guide 3 .
El principio de comunicación ocupa el quinto lugar, e incide en el fac~or de c~eac_ión
de una verdadera cultura anticorrupción en el seno ~e la empresa. Es u:nprescmdible
Principios del UKBA no solo crear los procedimientos y el sistema que nos perrruta condu~rr n~estras a:-
tividades empresariales a través del camino ético, sino_ qu~ ~ebemo~ ~dir a t~aves
El primer principio a observar es el de proporcionalidad, que se refiere a que la acción de los diferentes canales de comunicación de la orgaruzae1on _la pos_lClÓn de la rru~~a
que deberá tomarse en caso de riesgo debe ser proporcional al tamaño de este. Así, la con respecto a la corrupción y a las prácticas ~citas. La eXIstenCia de una políuca
probabilidad de incurrir en un riesg9 severo es mayor en una empresa de gran tamaño corporativa al respecto es importante, pero es v1tal asegurarnos_d_e que toda la_orga-
que en una empresa pequeña, al igUal que-la probabilidad de que se incurra en un mayor nización la conoce. Los canales de comunicación interna, tradiCionales (reuruo_nes,
número de riesgos. Esto no quiere decir que las consecuencias de un solo riesgo vayan tablones 0 cartas) 0 más irmovadores (ludificación, walletpards, newsletters o ~ev1~tas
a ser menos severas para una empresa pequeña que para una de gran tamaño. De la especializadas) son clave en la divulgaci¿n de las políticas, a través de la comurucaClÓn
misma manera, una empresa con mayor alcance regional, y no digamos una empresa de de ejemplos de buenas prácticas, por eJemplo. ·
alcance multinacional, estará más expuesta que una empresa que opere localmente. La
empresa de alcance internacional necesariamente deberá adoptar medidas adecuadas a Por último, y en sexto lugar, el principio de monitorización y revisión, por el cual
la situación de cada país, por ejemplo. Es también muy probable que una gran empresa debemos anteponemos al entorno cambiante en el que nos_e~contramos. Para ell?
opere mediante licitaciones con el Gobierno, mientras que la pequeña puede que no lo deberemos vigilar dicho entorno y adaptar nuestros procedimi~ntos ~las nu~vas SI-
haga y se centre en operaciones privadas. Todo ello nos llevará a sopesar las medidas tuaciones y realidades, 0 quedarán obsoletos. Es clav~ establec~t· pn
s~stema mterno
a adoptar en cada uno de los casos, adaptándolas a la realidad de cada organización. de control que nos permita asegurarnos de que l<?s nesgas estan. cubiertos en todo
momento.
·El segundo principio por el que se rige el UKBA es el compromiso de la alta direc-
ción, Es desde los más altos puestos de la organización desde donde se puede asegu-
rar que la actividad empresarial transcurre sin incurrir en corrupción. Son los altos Sanciones y penas
directivos los que mayor interés deben poner en que la cultura de compliance, la ética
empresarial y el buen gobierno sean algo cotidiano en la vida de la organización. Y Dependiendo del ilícito, las penas máximas son:
para ello se debe garantizar que todos los individuos y entidades que participan en las • Para individuos : de hasta lO años de prisión y multas ilimitadas.
operaciones de la empresa, mandos intermedios, comerciales, empresas relacionadas
con la actividad de la misma, proveedores, clientes ... conocen los códigos y políticas • Para empresas: multas ilimitadas.
encaminados a la no tolerancia de la corrupción.
El tercer principio, el de evaluación de riesgos, tal vez el más conocido, está encami-
nado a obligar a la organización a reflexionar sobre los posibles riesgos de corrupción

3 The Bribary Act 2010. Q;l.ick Start Guide, publicada el30 de marzo de 2011.
Antecedentes de lo Norma ISO 37001 . Morco internacional 19
18 Guía paro la aplicación de UNE-ISO 37007:2017

normativo al consejo de administración y a la dirección de la empresa. Para alcanzar


Marcos para la creación de políticas corporativas dicha seguridad, la empresa debe garantizar el conocimiento del grado de consecu-
anticorrupción ción de los objetivos, que los informes financieros se basan en información fiable y
que se observan las leyes y reglamentos. Asimismo, reconoce que uno de los grandes
obstáculos en la implantación de estos sistemas es el coste de los mismos y los recur-
Existen tres programas q~e re~ultan muy útiles desde un punto de vista práctico a la
sos limitados debido al creciente recorte de presupuestos en el entorno corporativo.
hora d~ redactar un e:ec?vo Sistema anticorrupción corporativo y cuyos elementos
se han nnpregnado aslffilsmo en la letra y espíritu de la Norma ISO 370014. Sin embargo, considera esencial la evaluación de los riesgos específicos a los que se
enfrente la empresa para así poder decidir los recursos que son necesarios para esta-
blecer la prevención de riesgos reales. El nivel en el que aplicamos cada uno de los
cinco elementos variará en cada organización y será el conjunto adecuado de todos
Committee of Sponsoring Organizations of the Treadway
ellos lo que garantice un sistema de prevención óptimo6 .
Commission {COSO)
En primer lugar, el que se considera como el referente en la creación de un sistema
de control fmanciero_c~rporativo es el Committee of Sponsoring Organizations of United States Sentencing Commission {USSC)
the Treadway CommlSSIOn (COSO), que nace de manos de una iniciativa del sector Durante mucho tiempo se han tenido como referencia en la creación de un progra-
p_ri~ado. El COSO está ~atrocin~do y fmanciado por la American Accounting Asso- ma de compliance las Federal organizational sentencingguidelines de la USSC y el
Cl_anon_ (AAA), e! Amencan ~stltute of Certified Public Accountantas (AICPA), el documento de apoyo Guidelines Manual. El objetivo de estas directrices es crear
FmanClal Exec~uves Internat10nal (FEI), el Institute of Management Accountants un marco de criterio uniforme a la hora de dictar sentencias por parte de los tribu-
(~)y el Inst!tute oflnternhl Au?itors (IIA) 5 . Su sede está en EE.UU. y su misión nales federales en EE. UU. Recoge, entre otros, los elementos principales de todo
es onentar en aspectos críticos de la organización, como son: el control interno de programa de compliance anticorrupción para que estos sean considerados efectivos.
la empresa, la gestión del riesgo, el fraude y la presentación de informes fmancieros .
Así, se considerará que un programa es efectivo cuando cuente .c on los siguientes
En 1992 publicaron el informe Interna[ Control- Integrated Framework denominado
elementos:
COSO l. Posteriormente, en 2004, vio la luz el estándar Enterprise msk Manage-
ment- Integrated Framework, denominado COSO II, en el que se determinan cinco • Estándares y procedimientos capaces de prevenir y mitig,ar el ilícito.
elementos que forman un sistema integrado para el establecimiento de sistemas de • Supervisión en niveles altos de la organización, lo que puede:significar la existen-
control interno: cia de un ChiefCompliance Officer (CCO ), con autonomía y· ~eportando directa-
• Ámbito de control. mente al consejo de administración o al comi¡é de auditoría de dicho consejo.
• · Evaluación de riesgos. • Delegación de responsabilidades tvp to down a ~~mpleados capaces de adoptar
dichas responsabilidades (denominado due care in delegation).
• Actividades de control.
• Comunicación efectiva a todos los niveles de la organización.
• Información y comunicación.
• Sistemas que permitan la supervisión, la auditoría y la información sobre las
• Supervisión y monitorización. conductas ilícitas, sin miedo a represalias (por ejemplo, canales de denuncias).
Este sistema integrado garantiza la adaptación dinámica a condiciones cambiantes en • Medidas disciplinarias ante los incumplimientos.
1~ organización y s~ entorno. El informe nos hace observar el hecho de que ningún
• Una adecuada respuesta a los incumplimientos.
siste~a nos garannza la completa eliminación de riesgos, pero el establecimiento de
un Sistema eficaz de control proporciona una seguridad razonable de cumplimiento A estos siete elementos que deben conformar necesariamente un efectivo programa
anticorrupción se añadieron en 2012, con la promulgación de la Guía de recursos sobre
4 María Hernández. "Building a Global Compliance Program", enACC Docket, enero-febrero 2013.
5 www.coso.org. 6 http:/facisamedu.abolog.esjinforme-coso-8723.
rma ISO 37001 . Morco internaciona l 21
Antece d en tes d e 1o No
20 Gu ío poro lo aplicación de UNE-ISO 37001:2017

. . de una política explícita y articulada antisoborno internacional.


la Ley sobre Prácticas Corruptas en el Extranjero, otros tres elementos que a día de hoy 2) La eXIstenCla
_, bl del cumplimiento de la
se consideran asimismo fundamentales (algunos de los cuales ya son contemplados 11 d 1 individuos de la comparua son responsa es
como principios en el UKBA): 3) p~lí~~ao~tisoborno internacional, de los controles internos y del programa
• La evaluación de riesgos, que permite la priorización de los riesgos a los que de cornpliance. ,
se ve expuesta la empresa, asignando así más eficientemente los recursos cor- .stencia de uno o más oficiales corporativos de alto nivel y con a~ltonor:u.a
porativos a las áreas de mayor riesgo. 4) ~: ~~stración adecuada a su misión, que se encarguen de ~~rvlsar 1~ etl~
el cum limiento de programas o medidas relativas al cohec ~ mtern~C1on
• La debida diligencia previa a la adquisición en fusiones y adquisiciones.
ca, 1 ~ronomía e independencia suficientes para reportar a u:st~c~as que
• Debida diligencia de las terceras partes con las que trabaje la empresa, elemento y con a a . . . . , como son los comités de auditona mterna
no están suJetas a morutonzaClon,
este que se ha convertido a día de hoy en uno de los mayores riesgos de co- de los consejos de administración.
rrupción en el entorno corporativo.
L amas y medidas contra el soborno internacional, de aplicación a
S) to~o~~~~:mpleados, directivos y terceros, incluirán los siguientes apartados:
Organización para la Cooperación y el Desarrollo (OCDE) • Regalos: existe en este apartado el elemento de la subjetividad el mom~n­ e;
La OCDE es un organismo de cooperación internacional, con treinta y cinco Estados to de determinar el valor de un regalo. Lo que puede result~ e gr~ v ~~
una ersona uede no serlo para otra. No es necesano q~e e ~eg
.aliP. la o~erta o la promesa pueden ser consideradas vlolaClones.
miembros, cuyo fin es la coordinación de sus políticas económicas y sociales. En el
para
entorno anticorrupción ejerce presión sobre dichos Estados a la hora de implantar se maten ce, 1•

políticas anticorrupción a nivel local y les conmina a esforzarse al máximo en la apli- • H italidad entretenimiento (o atenciones) , vi~jes y ~~stos de represen-
cación de las mismas. ' ta~:fn. debe~ tener un coste razonable, darse sirt mten~~on de corrom_~r y
En 2010, este organismo publicaba la Good Practice Guidance on Interna! Controls) deben. estar directamente relacionados con la promoclon, demostraClo~ o
Ethics and Cornpliance 7 , Anexo II a la Recomendación del Consejo de la OCDE, una ti .ón sobre los productos o servicios o sobre el con~ato. Esto qillere
guía rabiosamente práctica para combatir el cohecho de funcionarios públicos en ;::ra~~e nunca se ofrecerá con la intención (ocult~ o evidente) de ganar
transacciones comerciales internacionales. una ventaja comercial. ··
Aunque recoge principios ya establecidos en los documentos anteriormente comen- 'b . olíu'cas· antes de realizar una contribución a un partido
• Contn uc10nes p · ., · l al b te
tados en este capítulo, nos proporciona un mayor grado de detalle en cada uno de lítico debe estudiarse en detalle lo dispuesto en las ley~ oc es so re es
1'1
ellos. Asimismo, tiene en cuenta la diversidad del entorno corporativo, permitiendo pocto E~ algunos casos existirán y puede que lo prohlban completamente, edn
a · 'd d , · y en otros casos pue e
un cierto grado de flexibilidad, ya que recomienda observar las especiales caracterís- otros puede que se establezca una cano a waxuna
ticas y condiciones de cada empresa, tamaño, estructura, sector, alcance geográfico, que no haya legislación al respecto. .
así como las normas que les son de aplicación. . orgarlizaciones de caridad y patrocinios8: estas donaclOnes
• D ondauvllos a un medio de soborno a un funcionario público extran-
Este documento es especialmente relevante para pymes que en el pasado se enfren- pue en egar a ser ali al de
taban a propuestas de programas de anticorrupción no adaptadas a sus dimensiones, .ero Sospecharemos de estas donaciones cuando se re cen mdargen_ó
J . p . ó o sabemos que una onaC1 n
recursos o riesgos particulares, puesto que detalla las medidas que las empresas deben las políticas internas de la empresa. ero <e m .d
tomar en la lucha anticorrupción, categorizadas en doce puntos, y a su vez entra en l . d nstituir un soborno? La pregunta clave en este senu o
corre e nesgo e co . .ó de caridad y no a otra? <Existe el
profundidad en la explicación de las circunstancias en cada una de ellas: es ¿por qué se dona a esa orgaruzaCl n fun . . ' blico> ¿se
riesgo de que el donativo acabe en manos de un clonarlo pu .
l) Con el fin de prevenir y detectar el soborno internacional, la alta dirección debe
mostrar un apoyo total, así como compromiso, a la adaptación de controles espera algo a cambio?
internos y programas de ética y cornpliance. . . esAct Criminal Division ofthe US Deparnnent
s A &source Guüú to the U~ ~omgn Corrupt Pr~. ~change Commission. Noviembre de 2012.
7 www.oecd.org. ofJustice y Enforcement DtVISton of the US Secunnes
Antecedentes de lo Norma ISO 3 7001 . Morco internacional
23
22 Guío poro lo aplicación de UNE-ISO 37001 :201 7

Los procedimientos disciplinarios que se ~isp~ngan deben ser~~propiados


• Pagos de facilitación: son aquellos pagos que van destinados a garantizar 10) ara controlar las transgresiones en cualqwer ruvel de la comparua contra el
o acelerar acciones rutinarias a las que está autorizada la empresa. No son
~ahecho internacional, la ética empresarial y el cumplimiento de los progra-
pagos que van destinados a conseguir un contrato o relaciones comerciales
mas 0 medidas relacionadas con el cohecho internacional.
con un sujeto o entidad. Tampoco son pagos a funcionarios extranjeros
para que tome una decisión determinada que beneficie a la empresa/sujeto Dichas medidas deben ser efectivas, de manera que:
ll)
que realiza el pago. En realidad, no constituyen una violación de la FCPA • Constituyan una guía para los directivos, ofici~es, emple~do~ y terceros
pero sí de la mayor parte de acuerdos internacionales, normativas y leye~ sobre el cumplimiento de los programas y medidas de éuca, rncluyendo
locales. Podríamos estar hablando de acelerar la expedición de un visado
por ejemplo. ' asesoría legal en países extranjeros.
• Aseguren políticas antirrepresalias (re_~li~tion) que protejan a aquellos ~~e
6) Eh cuanto a los programas de ética y las medidas para prevención y detección decidan denunciar en buena fe actos ilícitos que observen en la comparua,
de soborno9 internacional, deben, según acuerdos contractuales, incluir a ter- incluyendo a aquellos que no deseen cometer actos ~citos y se ,vean pre-
c~ra~ p~rtes, es decir: agentes, intermediarios, consultores, representantes, sionados por sus superiores. De la rnismí.l; manera, se lffi~lantar:an canales
distribwdoras, contratistas y proveedores, consorcios y fusiones, entre otros. efectivos de denuncia, con el consiguiente programa de rncentivos.
A su vez, incluirán una serie de elementos indispensables para la efectividad
Se realizarán revisiones periódicas de la é~ca y del cump~ento de p~o~ra­
de los mismos: 12)
mas y de las medidas diseñadas para la meJora y la evaluaoon de la ~f~roy¡dad
• Riesgos documentados que están vinculados a la contratación. en la prevención del cohecho internacional. En línea con estas reviSI~nes, se
tomarán medidas adecuadas al ámbito y en las que se observen los estandares
• Compromiso recíproco anticorrupción de terceros.
internacionales y de la industria.
• Info~ación a !os
terceros acerca de la prohibición en la compañía de co-
hecho rnternacional, los programas de ética y sus medidas de prevención.
Naciones Unidas '.
7) La empresa debe contar con un sistema financiero y de contabilidad interna
en el que ~e hayan ~plantado sistemas de control interno que garanticen Convención de las Naciones Unidas contra la Corrupción (CNUCC)
q~e el regist~o de libros_~ ~uentas sea preciso, no pudiéndose falsear para
disfrazar posibles pagos ilícitos. En este sentido, por un lado se establecerán La Convención de las Naciones Unidas contra la Corrupción (C~CC) es ~1 único
instrumento universalmente vinculante. Fue concebida como úlla herrarruenta de
contr~l~s financieros efectivos para evitar que el dinero de la empresa pueda
carácter global para dar respuesta a un problema de envergadura mundial, la co-
ser utilizado para pagar sobornos y, por otro, para evitar que posibles pagos
c?rruptos qu~~en reflejados en los libros contables como pagos lícitos (por rrupción.
eJemplo, corrusiones). Sus objetivos son promover y reforzar las medidas par~ ?revenir y combatir la cor~p­
ción de manera más eficiente y efectiva, promover, facilitar y respaldar la coopera~I?n
8) El diseño de medidas para garantizar la comunicación y formación continua
a todos los niveles de la compañía se realizará con el consiguiente método y asistencia técnica internacionales en la prevención y la lucha contra la corruF~on,
de documentación de la misma, en todos los niveles de la compañía. Dicha incluyendo la recuperación de activos. Así mismo, encontramos ~~tre sus obJetivos
promover la integridad, la rendición de cuentas y la correcta gesuon de los asuntos
comuni~ación y formación se realizará sobre la ética empresarial y las medidas
en relaciÓn al cohecho internacional. y bienes públicos.
9) ~eben diseñarse, a su vez, medidas que procuren la supervisión, a todos los La Convención se articula en cinco grandes áreas:
ruveles de la organización, de los programas contra el cohecho internacional. • Prevención.
9 • Medidas de penalización y el cumplimiento de la ley.
A &source Guide to the US Foreign Corrupt Practices Act. Criminal Division of the US Department
ofJustice y Enforcement Division of the US Securities Exchange Comrnission. Noviembre de 2012. • Cooperación internacional.
24 Guía para la aplicación de UNE-ISO 37001:2017
Antecedentes de la Norma ISO 37001 . Morco internacional 25

• Recuperación de activos.
' (WBG) Esto hace que se haya convertido en uno de los referentes para
• Asistencia técnica e intercambio de información. Bank Group s · · · ·' e recoge
la hora de adoptar una política efectiva anticorrupCion, ya qu
las em_rr~~o:
sus pruac1p1 de muchas de las fuentes. preexistentes, algunas de las cuales han sido
La CNUCC no solo aborda las principales manifestaciones de la corrupción, sino ya objeto de estudio a lo largo de este libro. _
que también vigila actos realizados en respaldo a la corrupción, como la obstrucción
'a enumera los distintos pasos que las empresas pueden s_eguir pa~~ preve~r la
a la justicia, el tráfico de influencias y el encubrimiento o lavado del producto de la
La gm ción en sus operaciones, estableciendo un progr~a ant~corrupclon efe~vo
a
corrupción (blanqueo de capitales). Además, aborda las relaciones entre el sector
público y el privado y las relaciones dentro del sector privado (es decir, únicamente
~::rde recomendaciones eminentemente prácticas. As1, contiene recomendac10nes
entre empresas). en cuanto a:
• La evaluación de riesgos .
Todos los Estados que han ratificado el tratado internacional CNUCC, o que se
han adherido a él, deben aplicar sus disposiciones a través de la adopción y apli- • El establecimiento de un programa efectivo de anticorrupción, ética y cumpli-
cación de legislación, políticas y prácticas nacionales. Varias de sus disposiciones,
aunque dirigidas a los Estados, tienen un efecto directo en las empresas, por lo que
miento.
..
se suele decir que, aunque la CNUCC es únicamente vinculante para los Estados, La evaluación de riesgos
sus principios y valores son aplicables a todo el espectro de la sociedad, incluyendo
el sector privado. Sus principios pueden servir como inspiración para que las em- Con el fua de prevenir y combatir la corrupción de manera eficaz, es necesario cono-
presas adopten o revisen sus políticas y procedimientos anticorrupción. Con estas cer com render los riesgos a los que se puede enfrentar una emrresa. Por ello una
disposiciones, la Convención'intenta evitar las distorsiones en el mercado y combatir eval~acióJ ~a
de riesgos de corrupción se convierte en base _para aplicar ,Y m~t~ner
un
la competencia desleal. Por otra parte, el sector privado tiene un interés particular ro rama de corrupción. En ella se identificarán dichos qesgos y se;an pnon~dos.
en la ratificación y aplicación uruversal de la CNUCC. En mercados altamente ~ ~emos en cuenta que los riesgos difieren en cada empresa segun el tamano, la
competitivos, las empresas necesitan asegurar que existe justicia y equidad en sus e::Ucmra y las operaciones internas, por lo que no existe un modelo de programa
relaciones comerciales. De esta manera, trabajando en alianza con los Estados y las anticorrupción. .,
organizaciones internacionales, e invirtiendo en países que necesitan asistencia, se
puede alcanzar dicha equidad. Los riesgos suelen ser percibidos como negativos, por lo 9ue muchas empre~as pre-
· ' 10rm
fieren no acometer la evaluaCion c. al d e nes
· gos · Pero
. runguna-empresa
. .: es uamune_
a los riesgos de corrupción y dichos riesgos_ so~ nega~vos s1empr~- Y cu~do pe~~
Programa anticorrupción de ética y cumplimiento para las empresas: nezcan ignorados, ocasionando consecuencias 1mp_reV1stas: La o¡x1ón_~a: salu a e
guía práctica es tomar iniciativa frente al riesgo: identificándolo, eval_uandolo Y ~tigandolo ~~
líticas y procedinúentos personalizados. Para ello, preV1~ente definiremos !~s
En 2013, la Oficina de las Naciones Unidas contra la Droga y el Delito (UNODC, por ~nes y responsabilidades operativas, los procesos operativos y las responsabilidades
sus siglas en inglés) publicó el documento Programa anticonupción de ética y cumpli- de supervisión de los mismos.
miento para las empresas:guía práctica. Tal y como se establece en su texto, esta guía se
En el marco de las funciones operativas se definirá quién es el personal cu~cado
basa primordialmente en la Convención de las Naciones U nidas contra la Corrupción
que adnúnistrará y efectuará la evaluación de ~i~sgo. En los pr~esos operativ~s se
(CNUCC), pero se inspira también en otros referentes como elAnti-conuption Code of
definirán y documentarán con claridad las actividades y los parametros operativos
Conductfor Business (2007), del Asia-Pacific Econonúc Cooperation (APEC); las ICC
que indican:
Rules on Combating Conuption (20 11), de la Internacional Chamber of Commerce
(ICC); la Good Practice Guidance on Interna/ Controls, Ethics, and Compliance (20 10), de • El momento de la evaluación de riesgos.
la Organización para la Cooperación y el Desarrollo Econónúcos (OCDE); los Prin-
• La frecuencia de las evaluaciones de riesgos.
cipiesfor Countering Bribery de la Partnering Against Corruption Initiative (PACI) del
World Econonúc Forum (2004); los Business Principiesfor Countering Bribery (2009), • Las fuentes para la identificación de los riesgos.
de Transparency Internacional, y lasintegrity Compliance Guidelines (2010), del World
• La recolección de datos.
26 Guío poro lo aplicación de UNE-ISO 37001:2017
Antecedentes de lo Norma ISO 37001 . Morco internacional 27

• Los procedimientos de la evaluación de riesgos. Establecimiento de un programa efectivo de anticorrupción, ética


• Las personas incluidas en la evaluación de riesgos. y cumplimiento

• La identificación, recopilación y acumulación de información. Existen una serie de fases a seguir para la alcanzar efectividad de un programa de
anticorrupción, según establece la guía:
• Los informes internos y externos de resultados.
A. Respaldo y compromiso del personal directivo para prevenir la corrupción,
La evalua~ión se pu~de poner en práctica incorporándola a procesos existentes, como también conocido como pautas de ejemplaridad o tone at the top : es un factor
la proy~~ciÓn financier~, ~umentando así su efectividad y ayudándonos a comprender esencial de la cultura institucional. El personal directivo debe poner en práctica
la relac10n entre las actiVIdades de cumplimiento de las normas y las operativas. dichas pautas, garantizando la tolerancia cero a la corrupción, el cumplimiento
de las políticas y asegurando que los procedimientos de apoyo sean comprendi-
Encontramos tres áreas principales de riesgos relacionadas con la corrupción para dos por todos los empleados y socios comerciales relevantes. Para ello, aplicará
las empresas:
y mejorará continuamente el programa de anticorrupción de ética y cumpli-
• Riesgos legales: sanciones legales por corrupción. miento; proveerá dicho programa con los suficientes recursos para su efectivo
funcionamiento; definirá el alcance y extensión del programa y, por último,
• Riesgos comerciales y operativos: efectos negativos en las actividades cotidianas. pondrá en práctica el respaldo y el compromiso con el programa anticorrupción.
• Riesgos para la reputación: imagen de la empresa y sus empleados. B. Desarrollo de un programa anticorrupción: se alienta a todas las empresas
a que consideren las características subyacentes que permiten que el programa
Tant? la_ubi~ación geográfi~á como el modelo comercial, el organigrama y la cul- sea efectivo. Por ejemplo: consistencia con las leyes aplicables; adaptación a re-
tura InStitucional son factores que afectan al nivel de riesgo de corrupción al que se querimientos específicos e individuales en cada empresa; participación de todas
enfrenta la empresa.
las partes interesadas; responsabilidad compartida entre todos los directivos y
Una vez hemos iden~cado Y, eval~ado los riesgos relacionados con la corrupción, la todos los empleados; accesibilidad a la información sobre el programa antico-
empresa debe deterrrunar que acciOnes va a llevar a cabo para minimizar estos ries- rrupción; lectura simple y de fácil comprensión de dicho programa; promoción
gos. Para ello, en un primer tér~o se realizarán acciones de mitigación, que están de una cultura basada en la confianza; aplicabilidad a todos empleados y a los
contempladas ~n. el progr~a antlcorrupción de ética y cumplimiento y no tienen socios comerciales y otras partes interesadas de la emP,resa: continuidad, el
por qu~ _ser aCtividades adicionales. Son medidas personalizadas para disminuir las programa debe ser un proceso continuo, estar en continua ~volución; eficiencia
probabilidades de que ocurran riesgos de corrupción. Algunas pueden ser:. y utilización adecuada de los recursos asignados al progr~a.
• Mayor supervisión de la gestión. C. Supervisión del programa anticorrupción: se asignarán tlha serie de respon-
sabilidades que garantizarán la participación de todos los empleados y socios
• Formación personalizada a la dirección.
comerciales en el programa anticorrupción. Además, se asegurarán de que el
• Intensificación de la participación de los niveles medios de administración. programa es aplicado, ejecutado y supervisado de manera continuada. Todos
los empleados y socios comerciales relevantes participarán en el programa y
• Controles internos automatizados para canales de pago. se ejecutarán todos los elementos de manera efectiva y eficiente.
• Aumento del control debido en el caso de proveedores. La responsabilidad sobre el programa recae necesariamente en el consejo de
• Participación en iniciativas de acción colectiva (sectoriales). administración o el órgano equivalente en la empresa, no en el compliance
officer o comité de compliance, como se insiste desde algunas instancias. El
Los r~sultados de la ev~uación de riesgos deben ser documentados como prueba de consejo podrá nombrar un comité de compliance, auditoría o ética para respal-
la calidad de la evaluacion y base de futuras evaluaciones. También se documentará dar a los miembros del consejo en el cumplimiento de esta responsabilidad.
la decisión por parte de la empresa de la aceptación de riesgos menores y residuales. La responsabilidad de aplicar y ejecutar el programa recae en el personal
directivo, que podrá designar una unidad interna independiente, como el de-
partamento de compliance o jurídico. Dependiendo del tamaño de la empresa,
28 Guía para la aplicación de UN E-ISO 3700 1:20 17 Antecedentes de la No rma ISO 37001 . Marco inte rnacional 29

las responsabilidades de la aplicación, la ejecución y supervisión se podrán F Aplicación del programa anticorrupción a los socios comerciales o de nego-
delegar a distintos niveles jerárquicos y funcionales. cio (los que hemos venido llamando "terceros"), como proveedores, contratistas,
D . Poütica clara, visible y accesible contra la corrupción: esta política represen- agentes, sucursales y empresas conjuntas: el nivel de interacción entre las partes
ta la base operacional en que se apoyan todos los demás elementos prácticos y el nivel de influencia por parte de la empresa en el socio depende del modelo.
del programa anticorrupción. En ella se prescriben principios y reglas a los Estas relaciones suponen riesgos considerables con respecto a la corrupción, que
que se adherirán todos los empleados y socios comerciales. En dicha política pueden acarrear desde investigaciones hasta responsabilidades por conductas
se abordarán las siguientes manifestaciones de corrupción: inadecuadas o daños a la reputación cuando los estándares anticorrupción del
socio comercial son más bajos o inexistentes. La guía establece en este sentido
• Soborno de funcionarios públicos nacionales. cinco tipos de socios comerciales: sucursales, filiales, empresas conjuntas, agentes
• Soborno de funcionarios públicos extranjeros y funcionarios de organiza- e intermediarios y, en quinto lugar, contratistas y proveedores. Con cada uno
ciones públicas internacionales. de ellos se establecerá una práctica de mitigación diferente que garantice una
reacción efectiva en el caso de detección de un incumplimiento.
• Soborno en el sector privado.
Las empresas deben ejercer la diligencia delP.da al seleccionar sus socios co-
• Malversación en el sector privado.
merciales, ateniéndose a los riesgos de corrupción, además de los aspectos
• Tráfico de influencias. estratégicos. Una vez seleccionado, la empresa debe realizar una supervisión
• Abuso de funciones . continua sobre el comportamiento del socio comercial, a través de alguno de
los siguientes métodos, según el nivel de exposición del riesgo: autoevalua-
• Enriquecimiento iliéito. ciones, investigaciones propias o evaluación independiente.
• Blanqueo del producto del delito. Como método de "motivación" para que los socio~ comerciales se adhieran a
• Encubrimiento del producto del delito. las normas anticorrupción, se pueden utilizar sanciones comerciales (termina-
ción de contrato), sanciones legales (retiro de licencia) o incentivos y sanciones
• Obstrucción a la justicia.
relacionados con la reputación (campañas, artículos). ·
Será así una política amplia para abarcar distintas formas y desafíos y será a
G. Controles internos y mantenimiento de registros: través de la garantía de
documentada formalmente de manera clara y fácilmente entendible. Será ejecución de las actividades comerciales de manera adecuad¡¡, que permitirá una
también visible a todas las partes interesadas, dentro y fuera de la empresa, base de confianza mutua entre la administración de la emp~a y sus empleados.
y respaldada con ejemplos de la vida real que expliquen cómo aplicar dichas Para ello se establecerá un sistema de controles internos que se encuentre en
políticas a las situaciones laborales cotidianas. Si una empresa opera en am- equilibrio con la confianza de los empleados'y los socios comerciales. Controles
biente internacional, tendrá que enfrentarse al desafío del cumplimiento de excesivos pueden tener efectos negativos en la cultura institucional al sugerir
múltiples jurisdicciones legales a la hora de establecer la política que proluba una falta de confianza por parte de la administración en los empleados. Existen
la corrupción. Para ello puede establecer una norma mundial. dos tipos de elementos que constituyen los controles internos: las medidas ins-
E. Poüticas detalladas para áreas de riesgo particulares: a través de políticas titucionales, que buscan prevenir la corrupción a través de políticas y procedi-
y procedimientos en los que se recojan aquellos usos y costumbres que se mientos relacionados con las actividades cotidianas y los controles, que buscan
encuentran en una frontera difusa entre práctica legal y corrupta. Entre ellos prevenir y detectar la corrupción respaldando las medidas institucionales. Estos
encontramos: pueden ser ejecutados manualmente o automáticamente.

• Los pagos de facilitación. Este sistema de controles internos exige un mantenimiento de libros y registros
precisos, que constituyen la base de los exámenes y balances de los controles
• Tipos especiales de gastos : regalos, hospitalidad, viajes, entretenimiento, de detección. Incluirán elementos como los siguientes:
contribuciones políticas, contribuciones filantrópicas y patrocinios.
• Transacciones, activos y pasivos, detallados y respaldados por documenta-
• Conflictos de intereses. ción; registrados a tiempo y en orden cronológico.
30 Guía para la aplicación de UNE-ISO 3 7001 :201 7 Antecedentes de la Norma ISO 3700 1. Morco internacional 31

• Las cuentas no registradas en los libros oficiales deben quedar prohibidas. y establecer un sistema de recompensas para aquellas personas que denuncien
actos corruptos.
• Los libros estarán protegidos para evitar su alteración o destrucción antes
del plaw impuesto por la ley. J. Búsqueda de orientación, detección y denuncia de infracciones: equili-
brando riesgos y controles. Para ello, las empresas deben buscar un modo en
• Cada transacción será registrada consistentemente de principio a fin y con-
que los empleados y los socios comerciales pregunten, busquen orientación o
tará con un propósito genuino y legítimo.
sugieran mejoras al programa anticorrupción. Se puede instalar una hotline o
• Los registros electrónicos estarán solo en formato lectura, de manera que designar una persona (en ocasiones denominada ombudsman) que reciba dichas
no puedan alterarse ni borrarse; estarán organizados y producidos o repro- preguntas y sugerencias, o ser el propio departamento de compliance el que lo
ducidos inmediatamente. reciba. A través de estos medios se pueden realizar las denuncias relativas a actos
corruptos. La empresa puede recurrir a otras fuentes internas y externas para
H . Comunicación y formación: que se dirigirá a todos los empleados y socios
detectar las infracciones a sus políticas y procedimientos anticorrupción. En caso
comerciales sobre los que la empresa tiene influencia o un control efectivo. De-
de procesos de investigación, se tendrán en cuenta la presunción de inocencia,
berán ser incluidas en los procesos de reclutamiento y contratación y se tendrá
el derecho a ser escuchado y la preservación ck la integridad del investigado.
en cuenta el conocimiento y la comprensión del programa anticorrupción. La
comunicación y la formación se realizarán de manera continuada regularmente K. Tratamiento de las infracciones: que deben ser abordadas desde el primer
y se pueden vincular a ocasiones importantes o acontecimientos especiales. momento, demostrando el compromiso de la empresa con la tolerancia cero
Se documentarán debidamente para permitir la evaluación de su efectividad, a la corrupción. Estos procesos efectivos de respuesta determinan la credibi-
eficiencia y sostenibilidad, así como prueba de defensa en caso de acusaciones lidad del programa y pueden evitar consecuencias negativas de parte de las
de corrupción. ' autoridades y cualquier daño de reputación de la empresa.
El mensaje debe ser claro y coherente y se ofrecerá en acciones tanto estandari- Para responder adecuadamente a las infracciones, la empresa debe establecer
zadas como individualizadas; en las primeras se destacará el compromiso de la una política disciplinaria clara que podrá contener:
empresa con la tolerancia cero a la corrupción y en las segundas se abordarán
• Un catálogo de sanciones.
desafios y necesidades específicas de ciertos grupos. Ambas serán respaldadas
por mensajes de la dirección y los órganos de supervisión de la empresa. Son • Procedimientos y responsabilidades.
importantes los ejemplos prácticos para demostrar la coherencia entre el men-
• Posibilidad de apelar las decisiones.
saje y las acciones de las personas, en los que destaquen las normas y valores
de la empresa. Los canales a utilizar son los propios de comunicación de la Las sanciones para empleados podrían incluir multas monetarias, bloqueo de
empresa: web, newsletter, intranet, reuniones, formaciones, etc. · ascensos, traslados o terminación de contrató, pero todo ello de acuerdo asimis-
mo con el convenio que le resulte de aplicación y con la legislación aplicable. Las
l. Promoción y estímulo de la ética y el cumplimiento: ya que el compro-
sanciones para socios comerciales pueden incluir la terminación del contrato,
miso de los empleados y los socios con el programa es un factor clave en el
exclusión de oportunidades comerciales o asignación de condiciones comerciales
éxito del mismo. Para ello se pueden implantar una serie de incentivos que
sirvan como elemento motivante hacia el programa. Los tipos de incentivos u operativas desfavorables. Las infracciones graves serán difundidas a toda la
empresa y en ocasiones a las autoridades externas. Se considera beneficiosa la
pueden ser financieros (bonos, ascensos, aumento de sueldo ... ), o no finan-
cieros (reconocimiento, formación, eventos ... ). Estos incentivos deben estar cooperación con las autoridades, ya que permite que el sistema siga mejorando
y anticiparse a posibles intervenciones por parte de las autoridades.
integrados en las políticas de recursos humanos y los procesos de evaluación
del desempeño. Para ello será importante equilibrar las metas de desempeño L. Exámenes y evaluaciones periódicas del programa anticorrupción: en-
con estos incentivos y tener en cuenta algunos factores, como puede ser la tendido como un proceso de aprendizaje y mejora de tal manera que estos
reducción de la motivación intrínseca del empleado que entiende que le están exámenes y evaluaciones periódicos mantienen actualizadas las políticas y los
pidiendo que modifique su comportamiento; también la subjetividad en la procedimientos relevantes para los empleados y los socios comerciales. A través
evaluación del desempeño a la hora de evaluar normas de comportamiento y de ellos se pueden detectar las carencias y debilidades o las oportunidades para
valores, así como asegurar las mismas oportunidades para todos los empleados optimizar y simplificar el programa anticorrupción.
Antecedentes de lo Norma ISO 37001 . Morco internacional 33
32 Guío poro lo aplicación de UNE-ISO 37001 :20 17

Global Compact de Naciones Unidas: del cambio institucional a la _ Principio 4: las empresas deben apoyar la eliminación de todas las formas de
acción colectiva lO trabajo forzoso y obligatorio.

Las empresas también están sometidas a riesgos por el hecho de aplicar un pro- _ Principio 5: las empresas deben apoyar la abolición efectiva del trabajo in-
grama anticorrupción, provenientes principalmente de aquellos que no observan fantil.
las mismas normas anticorrupción, o en el caso de pequeñas y medianas empresas Principio 6: las empresas deben apoyar la eliminación de la discriminación
por parte, especialmente, del sector público_ Una manera de afrontar estos riesgos en materia de empleo y ocupación.
es la involucración en actividades de acción colectiva con otros aliados que estén
afrontando los mismos desafíos_ Esta acción colectiva ha resultado ser un método • Medio ambiente:
comprobado para combatir la corrupción, aplicado a diferentes industrias y países_ Se Principio 7: las empresas deben mantener un enfoque preventivo de los
puede materializar en acuerdos a corto plaw o acuerdos a largo plaw, participando desafios ambientales.
en iniciativas que tratan de alcanzar objetivos comunes, conjuntamente, de manera
mucho más efectiva que individualmente_ Puede estar constituida únicamente en el _ Principio 8: las empresas deben fomentar las iniciativas que promuevan una
sector privado o involucrar al sector público_ Con la acción colectiva, empresas de mayor responsabilidad ambiental. •.
todos los tamaños pueden acometer procesos de cambio con respecto a las políticas Principio 9: las empresas deben favorecer el desarrollo y la difusión de tec-
y los procedimientos anticorrupción_ nologías ecológicas.
En este marco de acción colectiva encontramos la iniciativa Global Compact de
• Anticorrupción:
Naciones Unidas que, haciéndo~e eco del espíritu de la CNUCC, promueve la ayuda
a las empresas en la lucha co)ltra la corrupción a través del impulso de la acción co- _ Principio 10: las empresas deben trabajar contra la corrupción en todas sus
lectiva de las compañías contra la corrupción, aunando así esfuerzos entre empresas, formas, incluyendo la extorsión y el soborno.
gobiernos, organizaciones de las Naciones U nidas y la Sociedad Civil, en busca de una
economía global más transparente_ En concreto, brinda asistencia a las empresas en
los aspectos relacionados con evaluaciones de riesgo, reporting y prácticas en la cadena
de suministro_ Se articula en torno a lO principios que están inspirados en la Decla-
ración Universal de los Derechos Humanos, en la Declaración de la Organización
Internacional del Trabajo sobre los principios y derechos fundamentales en el trabajo,
la Declaración de Río sobre el Medio Ambiente y el Desarrollo y la Convención de
las Naciones Unidas contra la Corrupción_
Los principios del Global Compact están divididos en áreas y son los siguientes:
• Derechos humanos:
- Principio l: las empresas deben apoyar y respetar la protección de los dere-
chos humanos proclamados internacionalmente.
- Principio 2: las empresas deben asegurar que no son cómplices de abusos
contra los derechos humanos.
• Trabajo:
- Principio 3: las empresas deben apoyar la libertad de asociación y el recono-
cimiento efectivo del derecho a la negociación colectiva.

10 Global Compact de Naciones Unidas. 26 de julio de 2000. Nueva York, EE- UU


Norma UNE-ISO 37001.
Recomendaciones
r
y gu1a para su
implementación

..
El texto de este capítulo está distribuido siguiendo el orden de los apartados en los
que se estructura la norma.

35
36 Guío poro lo aplicación de UNE- ISO 37001:201 7 Norma UNE -ISO 37001 . Recomendaciones y guío po ro su implementación 37

O Introducción .
nesgas
de soborno a los que se enfrenta lo organización . El Anexo A proporciono
., .. d
orientación sobre la implementac1on de los requ1s1tos de este ocumento.
El soborno es un fenómeno generalizado que plantea serias inquietudes sociales, mo-
·dad con este documento no garantizo que el soborno no . haya .ocurrido
La conf orm 1 . o
rales, económicas y políticas, socava el buen gobierno, obstaculiza el desarrollo y
no vaya a ocurrir en relación con la organización, ya que no es pos1ble e11mmar por
distorsiona lo competencia . Erosiona la justicia, socava los derechos humanos y es un
completo el riesgo de soborno. Sin embargo, este doc~mento puede ayud~r a la or-
obstóculo para el alivio de la pobreza. También aumenta el costo al hacer negocios,
ganización 0 implementar medidas razonables y proporCionales para prevemr, detectar
introduce incertidumbres en las transacciones comerciales, aumenta el costo de los bie-
y enfrentar el soborno.
nes y servicios, disminuye la calidad de los productos y servicios, lo que puede conducir
a la pérdida de vidas y bienes, destruye la confianza en las instituciones e interfiere con En este documento, se utilizan los siguientes formas verbales:
el correcto y eficiente funcionamiento de los mercados.
_
11
debe" indico un requisito;
Los gobiernos han hecho progresos en el tratamiento del soborno a través de acuerdos
"debería" indico uno recomendación;
internacionales tales como la Convención para Combatir el Cohecho de Funcionarios
Públicos Extranjeros en Transacciones Comerciales Internacionales de la Organización
para la Cooperación y el Desarrollo Económicos y lo Convención de las Naciones
_
..
"puede" indico un permiso, uno posibilidad o una capacidad;

Unidas contra la Corrupción y a través de sus leyes nacionales. En la mayoría de las La información identificado como "NOTA" se presento o modo de orientación poro lo
jurisdicciones, constituye un delito el hecho de que las personas participen en sobornos compresión o clarificación del requisito correspondiente.
y hay uno tendencia cada vez mayor para hacer que las organizaciones, así como las Este documento es conforme con los requisitos de ISO poro normas de_sis~em~s de
personas, sean responsables de los sobornos.
gestión. Estos requisitos incluyen uno estructuro de alto nivel, texto ~~enCJol 1dénhc~ Y
Sin embargo, la ley por sí solo no es suficiente para resolver este problema. Por lo tanto, términos comunes con definiciones esenciales diseñados poro benef1c1ar o los usuonos
los organizaciones tienen la responsabilidad de contribuir proactivomente en la lucha en lo implementación de múltiples normas ISO de sistemas de ge~tión. Este_documento
contra el soborno. Esto se puede lograr a través de un sistema de gestión antisoborno, puede ser usado en conjunto con otros normas de sistemas de gestión (por e¡emplo, ISO
el cual se pretende proporcionar por medio de este documento y o través del compro- 9001, ISO 14001, ISO/lEC 27001 e ISO 19600), y normas de gestión (por ejemplo,
miso de liderazgo para el establecimiento de uno cultura de integridad, transparencia, ISO 26000 e ISO 31 000) .
honestidad y cumplimiento. La naturaleza de lo culturo de una organización es crítica
paro el éxito o el fracaso de un sistema de gestión antisoborno.

Una organización bien gestionada debe tener una político de cumplimiento que se apo- En su introducción, la norma no incluye requisitos, sino.que proP<:>rciona inf~~ación
ye en sistemas de gestión adecuados que le ayuden a cumplir sus obligaciones legales previa para poner en antecedentes y en contexto el resto de apartados y requennuentos
y sus compromisos con la integridad. Una política antisoborno es un com'ponente de que esta incluye. ·
una política global de cumplimiento. La política antisoborno y el sistema de gestión
En este capítulo introductorio se pone en contexto el soborno como un fenómeno gene-
de apoyo ayudan a la organización a evitar o mitigar los costos, riesgos y daños de
ralizado a nivel internacional, que no distingue entre unos países u otros, los proble~as
involucrarse en el soborno, a promover la confianza y la seguridad en las transacciones
comerciales y a mejorar su reputación. sociales, morales, económicos y políticos 9ue el ~smo genera, s~ efectos noc1vos
en la justicia y los derechos humanos y su influenc1a en la gener~Clon de pobreza. El
Este documento refleja los buenas prócticas internacionales y puede ser utilizado incremento en el costo de los negocios, la disminución de la calidad de productos Y
en todas las jurisdicciones. Es aplicable a las organizaciones pequeños, medianas y servicios y la pérdida de confianza son otros de sus efectos.
grandes en todos los sectores, incluidos los sectores público, privado y sin fines de
lucro. Los riesgos de soborno que enfrenta una organización varían en función de La norma reconoce el esfuerw que han hecho algunos Gobiernos en su l~cha c?ntra
factores tales como el tamaño de la organización, los lugares y sectores en los que el mismo, ya que la mayoría de los países tipifican el soborno como delito y t1~nen
opero la organización y la naturaleza, magnitud y complejidad de sus actividades. Este legislaciones específicas. Si bien también se indica que este esfuerw no es _sufic1en~e
documento especifica la implementación por porte de la organización de las políticas, y que las empresas, como actores principales en el mundo global, deben mterve~
procedimientos y controles que sean razonables y proporcionales de acuerdo con los proactiva e intensamente en la lucha contra el mismo y fomentar una cultura de m-
tegridad, cumplimiento, honestidad y transparencia.
Norma UNE -ISO 37001 . Recomendaciones y guío poro su implementación 39
38 Guío poro lo aplicación de UNE-ISO 3700 1:20 17

Las empresas y organizaciones deben establecer políticas y sistemas de gestión ade- 5. Liderazgo.
cuados y eficientes para luchar contra el soborno y mitigar los riesgos de los mismos. Planificación.
6.
Por este motivo se ha consensuado, desarrollado y diseñado esta Norma Internacional
UNE-ISO 37001. 7. Apoyo.
Esta norma o estándar recoge buenas prácticas internacionales. En unos casos, como 8. Operación.
requisitos de obligado cumplimiento, y en otros como recomendaciones . Los requi- Evaluación del desempeño.
9.
sitos se recogen en los apartados específicos en la primera parte de la norma, y las
recomendaciones en un anexo al final de la misma. 10. Mejora.
Igualmente se indica que la norma es una ayuda para implementar medidas razona- Re uisitos y términos comunes a los sistema~ d~ gestión. Como P?r e~emplo,
bles y proporcionadas para prevenir, detectar y luchar contra el soborno. También se b) ~tica, responsabilidades, planificación y obJetivos, to~a de conctenCla y for-
establece que cumplir con todos los requisitos de esta norma no garantiza que no se ~ación, control de la información documentada o meJora, entre otros. Estos
haya producido el soborno en la organización, ni que se vaya a producir en el futuro, requisitos tienen en su totalidad o en gran pt,rte desarrollo y textos comunes
ya que es imposible eliminar el riesgo de soborno por completo, si bien sí se puede a todas las normas.
afirmar que es una garantía de reducir en gran medida el riesgo de su comisión.
e) Términos y definiciones comunes: en el apartado tres, de .términos Y ~~fini­
Al igual que se establece en la norma en el libro se utilizan las siguientes formas ciones, que se analizará más adelante, se incluy~n los te~mmos y d~firunones
verbales: comunes con el mismo objetivo de favorecer la mtegraCIÓn de los ststemas de

.
• "debe" indica un requisito·' gestión ISO.
d) Estructura basada en la metodología de mejora continua c?nocida ~omo Pla-
• "debería" indica una recomendación.
nificar-Hacer-Verificar-Actuar (PHVA, o PDCA por sus stglas en mglés). El
ciclo PHVA se puede describir brevemente como:
Estructura de la norma • Planificar: establecer los objetivos y requisitos ~ecesarios .para cons~~r
La norma está estructurada en diez grandes grupos de requisitos según la estructura resultados de acuerdo con la política de prevenCIÓn de delitos y el código
de alto nivel de ISO. Estos requisitos son comunes a todas las normas ISO de sis- de conducta.
temas de gestión (ISO 9001, ISO 14001, ISO/lEC 27001, ISO 19600, etc.). Esto • Hacer: implementar los requisitos, prot~olos y procedimientos.
es así para facilitar la integración y el uso conjunto de estas normas y otras normas
relacionadas como, por ejemplo, ISO 26000 e ISO 31000. • Verificar: realizar el seguimiento y la medición de los requisitos res.p~cto a
la política, el código de conducta, los procedimientos y otros reqmsttos, e
Algunas de las características de la estructura de alto nivel son: informar sobre los resultados.
a) Estructura con lO grandes apartados comunes. Esta estructura común es la • Actuar: llevar a cabo acciones para mejorar continuamente el desempeño
siguiente: del sistema de gestión de la responsabilidad social.
O. Introducción.
La base de este enfoque se muestra en la figura l.
l. Objeto y campo de aplicación.
2. Referencias normativas.
3. Términos y definiciones.
4. Contexto de la organización.
Norma UNE -ISO 37001 . Recomendaciones y guía poro su implementación 41
40 Guía paro la aplicación de UNE-ISO 37001:2017

de este documento . Los pasos dados por la organización deberían ser razonables Y
·onales teniendo en cuenta la naturaleza y alcance de los nesgos de soborno
proporc1
que enfrenta la organización (véase 4.5, y los factores en 4.1 y 4 .2) .

En la bibliografía se incluye una lista de publica ciones sobre buenas prácticas en ges-
tión antisoborno como una guía adicional.

Tal y como se describe en este apartado, la frn~dad del anexo ~ de la nor~a es


· de manera ilustrativa sobre el uso de la nusma en algunas areas especificas.
onentar
ue tal y como hemos indicado en la presentación de este libro, a lo largo
E s por e110 q , . li · ' d 1
de este capítulo y cuando así se requiera, iremos ampliando a la ~xp caClon e os
requisitos con la inclusión y detalle del apartado de~.anexo A relac1onado.

' Figura l. Ciclo PHVA

Recomendaciones a la hora de la implementación de la


norma ISO 3 7001
La norma, en el orden en el que plantea los requisitos, sigue la estructura del ciclo de
mejora continua PHVA, tal y como ya hemos comentado. Por ello es recomendable
iniciar la implementación de los requisitos de ISO 37001 siguiendo dicho orden y la
propia estructura de la norma. Es decir, la organización debería empezar por la imple-
mentación de los requisitos de los capítulos 4 y S, continuar con los del capítulo 6 y
así secuencialmente hasta el capítulo lO. Posteriormente se realizaría el c~clo de mejora
continua revisando periódicamente el cumplimiento de los mismos.

Sobre el Anexo A de la Norma ISO 37001

A.1 Generalidades
La orientación en este Anexo es solamente ilustrativa. Su finalidad es indicar, en algunas
áreas específicas, el tipo de acciones que una organización puede tomar en la imple-
mentación de su sistema de gestión antisoborno . Este no pretende ser exhaustivo ni
prescriptivo, ni es requerido que una organización implemente las siguientes medidas
con el fin de tener un sistema de gestión antisoborno que cumpla con los requisitos
42 Guía para la aplicación de UNE-ISO 3700 1:20 17
Norma UNE -ISO 3700 1. Recomendaciones y guío poro su implementació n 43

1 Obieto y campo de aplicación En este apartado se defme y concreta lo ya comentado en la introducción, remar-
cándose el objetivo y la fmalidad que persigue la norma, que es la de establecer los
Este documento espe~ifico los ~equisitos y proporciono uno guío poro establecer, imple- requisitos y proporcionar una guía para establecer, implementar, mantener, revisar y
me~tor, mont~ner, revrsor y meJorar un sistema de gestión antisoborno. El sistema puede mejorar un sistema de gestión antisoborno. El sistema de gestión puede ser indepen-
ser rndependrente o puede estor integrado en un sistema de gestión global. En este diente y específico para el soborno o puede ser un sistema integrado en un sistema de
documento se abordo lo siguiente en relación con los actividades de lo organización: gestión m ás global, como puede ser un sistema de gestión de compliance1 un sistem a
de gestión de riesgos o un sistema de otro tipo.
- soborno en los sectores público, privado y sin fines de lucro;
soborno por porte de lo organización;

soborno por porte de personal de lo organización que actúo en nombre de lo


Qué es el soborno
organización o poro su beneficio;
Antes de seguir avanzando, debemos aclarar y defmir qué entiende la norma por
soborno por porte de socios de negocios de lo organización que actúan en soborno. En el apartado 3 .1 se establece la siguiente defmición:
nombre de lo organización o poro su beneficio;
Oferta1 promesa1 entrega>aceptación o solicitud de tina ventaja indebida de cualquier
- soborno o lo organización; valor (que puede ser de naturaleza financiera o no financiera)> directamente o indirec-
- soborno del personal de lo organización en relación con los actividades de lo
tamente> e independiente de su ubicación> en violación de la ley aplicable>como incentivo
organización; o recompensa para que una persona actúe o deje de actuar en relación con el desempeño
de las obligaciones de esa persona.
soborno de los socios eJe negocios de lo organización en relación con los acti-
vidades de lo organización; Nota 1 a la entrada: lo anterior es una definición genérica. El significat:lo del térmirw <<soborno» es el
definiM por las leyes antisoborrw aplicables a la organización y por el sistema de gestión antisoborno
- soborno directo e indirecto (por ejemplo, un soborno ofrecido 0 aceptado por diseñat:lo por la organización.
o o través de un tercero.

Este docu~ento es opl!coble solo poro el soborno. En él se establecen los requisitos y La norma aporta una definición común de soborno y matiza en la nota 1 que su con-
~ pr~porcrono u~o guro poro un sistema de gestión diseñado poro ayudar 0 uno orgo- cepto y definición pueden variar en función de la legislación y los diferentes países.
nrzocrón o pre~enrr, detector y enfrentar al soborno y cumplir con los leyes antisoborno Es decir, la que aquí se incluye es genérica, y sirve como información de referencia
y los compromrsos voluntarios aplicables o sus actividades. para utilizar a nivel común, si bien en caso de contradicción o matización sobre dicha
definición prevalecerá el término "soborno" que se defina en las leyes de antisoborno
~ste docu~ento no abordo específicamente de fraude, carteles y otros delitos de an-
trmonopolro Ycompetencia, el lavado de dinero u otros actividades relacionados con
de aplicación a la organización en función de los países en los que opera.
los prócticos _corruptos o pesar de que una organización puede optar por ampliar el Por ejemplo, a la hora de defmir el concepto de soborno se debe tener también en
alcance del srstemo de gestión poro incluir este tipo de actividades. cuenta que en algunos países, como es el caso de España, se diferencia entre cohecho,
Los requisitos d~ e~e documento son genéricos y se pretende que sean aplicables 0 cuando en el soborno está implicado un funcionario público, y el cohecho privado o
todos_los orgonrzocrones (o portes de uno organización}, independientemente del tipo, soborno entre particulares y empresas.
tomona Y naturaleza de lo actividad, yo seo en los sectores público, privado 0 sin fines
El código penal español recoge, en el capítulo V, art. 419 y siguientes, el cohecho y
de lucro. El grado de aplicación de estos requisitos depende de los factores especifi-
cados en 4.1, 4 .2 y 4.5.
el delito de corrupción en los negocios (art. 286).

NOTA 1 Véase el Copftulo A.2 poro orientación.


También se recogen en el código penal español otro tipo de delitos afmes a los ante-
riores como el tráfico de influencias (arts. 428 a 430), la malversación de fondos (arts.
NOTA 2 los medidos necesarios poro prevenir, detector y mitigar el riesgo de soborno por porte de lo
432 a 435 ), fraudes y exacciones ilegales (arts. 436 a 438 ) y de las negociaciones y
orgomzoc1ón pueden_ser _d,ferentes de los medidos utilizados poro prevenir, detector y enfrentar al
sobo~o ~e lo orgomzoc1ón (de su personal, o socios de negocios que actúan en nombre de lo actividades prohibidas a los funcionarios públicos y de los abusos en el ejercicio de
orgoniZOCIÓn) . Yéose el aportado A.8.4 poro recibir orientación. su función (arts. 439 a 444).
44 Guía para la aplicación de UNE-ISO 37001 :2017
Norma UNE-ISO 37001 . Recomendaciones y guía para su implementación 45

Profundizando en el contenido de la norma, la misma establece las actividades que se . s voluntarios aplicables a sus actividades. Esto no es impedim~nto para
consideran dentro del concepto y definición del soborno, en concreto: pronuso . .ones que la utilicen puedan ampliar el alcance del ststema de
e las orgaruzao ' . t s y
• Soborno en los sectores público, privado y sin fines de lucro. qu . a revenir 0 tratar con otro tipo de actividades o practicas corrup a ,
• Soborno por parte de la organización.
gesuón_
con
.J
actlVl a
d s de carácter general muy relacionadas con el soborno, como son el
e . ales, e1 fraude ' carteles u otro tipo de delitos relacionados con
blanqueo de caplt
• Soborno por parte de personal de la organización que actúa en nombre de la la corrupción.
organización o para su beneficio.
"d0 de esta norma recoge las buenas prácticas internacionales fruto del
El conteruen el ue ha participado 59 países y vartas· · ·
orgaruzactones · t
m ernact"onales ,
• Soborno por parte de socios de negocios de la organización que actúan en
nombre de la organización o para su beneficio. consensoha com~ntado anteriormente. Por ello la norma puede tanto _tener un al~ance
como s~acional y ser utilizada por empresas de ámbito más local, region~ o ~aCional,
• Soborno a la organización.
local otener un
como ~canee internacional y.ser.utilizada
. di · ,por empresas y orgaruzaCiones de
• Soborno del personal de la organización en relación con las actividades de la al uier país del mundo y en cualqmer JlifiS ccion.
organización. cu q '"· . .' .
p r todo lo anterior, los requisitos no están enfocados _a un ti~ de organizacio~,· m a
• Soborno de los socios de negocios de la organización en relación con las acti- ~ sector empresarial concreto, ni a unos países determma~os, smo ~ue son gen ?,cos.
vidades de la organización. todo tipo de organizaciones se beneficten de la rmplementac10n Y
Se pretende que d · · pueden
limiento de los mismos. Entre otros, los tipos e orgaruzactones que
• Soborno directo e indirecto (por ejemplo, un soborno ofrecido y aceptado por
o a través de un tercero)_ ::¡ciarse en gran medida de la aplicación de la norma pueden ser:
• Or anizaciones de cualquier dimensión o tamaño, pequeñas? medianas Ygran-
Como podemos ver, y en la norma se pone de manifiesto, el soborno es un fenómeno desgorganizaciones que operen en el sector ~úblic~, ~n
el pnvado o en ambos.
generalizado que no distingue entre sectores público, privado y organizaciones sin Ayuntamientos, gobiernos, empresas de capital publico.
ánimo de lucro. Es más, en muchas ocasiones estas organizaciones sin fmes de lucro
• Multinacionales grandes, medianas y pequeñas.
son creadas con el único fm y propósito de servir como tapadera o herramienta para
dar, recibir o facilitar el pago de sobornos entre personas y organizaciones. • Organizaciones de todo tipo de secto~es y_ ~ue o~eren en cualquier país, inde-
pendientemente de que exista una legislacton annsoborno o no.
Desgraciadamente, es muy habitual encontrar empresas y personas condenadas por
realizar o recibir donaciones a fundaciones y organizaciones no gubernamentales • Organizaciones sin fmes de lucro.
controladas por empresas, personas relevantes e incluso partidos políticos.
• Organizaciones con cualquier forma mercantil, etc.
Las formas de soborno son cada vez más complicadas y extendidas, es por ello que
la norma incluye dentro del concepto de soborno, tanto el activo de aquel que da o Por otra parte la norma permite incluso su aplicación a una parte de una org~­
promueve el mismo como el pasivo de aquel que lo recibe. También se consideran ción. Esto puede ser de utilidad en multinacionales, gr~de:' e~p_resas Ycorporacio~es
dentro lo anterior no solo el soborno realizado por los empleados o personas que y empresas que operan en diferentes países y diferentes JUnsdicctones con sus propias
trabajan contratadas por la organización, sino el de todos aquellos que trabajan en y específicas leyes y particularidades.
nombre de la misma, incluyendo los socios de negocio, así como los sobornos que
se realizan a través de terceras personas.
Implementación del sistema de gestión antisoborno integrada
con otros sistemas de gestión
Alcance y ámbito de aplicación de la Norma ISO 37001
La norma permite la implementación de un sistema de gestión antisoborno ind~-
Se remarca en la norma que la misma está orientada a prevenir, detectar y luchar
. de la orgaruzac10n.
pendiente del resto de sistemas de gestión · · ' Esto puede ser mas
contra el soborno y para ayudar a cumplir con las leyes antisoborno y los com-
habitual en grandes organizaciones.
Norma UNE-ISO 37001 . Recomendaciones y guío poro su implementación 47
46 Guío poro /o aplicación de UNE-ISO 37001 :2017

Asimismo, posibilita la integración del sistema de gestión dentro de uno de mayor


alcance, como puede ser un sistema de gestión de compliance penal, compliance 0
2 Referencias normativas
sistema de gestión global de la organización. No se citan referencias normativas en este documento .
En países y jurisdicciones donde existe legislación y donde se fomenta y recomienda
la existencia de modelos y sistemas de gestión de compliance o compliance penal como
herramientas para demostrar la debida diligencia (due diligence) y la buena gestión, La Norma ISO 37001 no establece referencia nor~ativa, si bien incluye _un anexo
puede ser útil la integración del sistema antisoborno dentro del sistema de gestión con bibliografía relacionada, donde se hace referen~1a a normas ISO relaCI~nadas y
de compliance más global. a otras recomendaciones y directrices de organizaCiones como TransparenCia Inter-
nacional o la OCDE.
Este es el caso concreto de la legislación española, y tomando como referencia la
Ley Orgánica 1/2015 y la reforma del Código Penal, que establece, entre otras, la
recomendación de implementar sistemas y modelos de prevención penal en las em-
presas. La organización puede encontrar sinergias y beneficios en el uso conjunto e ;:.
integrado de estos sistemas.
En concreto, y relacionado con lo anterior, es recomendable la consulta de la Norma
UNE 19601:2017 Sistemas de gestión de compliance penal. Requisitos con orientación
para su uso.
48 Guío poro lo oplicoci6n de UNE-ISO 3700 7:20 77
Norma UNE -ISO 37001 . Recomendaciones y guío poro su implementación 49

3 Términos y definiciones Noto 3 ¡


0 0
entrado Un requisito específico es aquel que es establecido, por ejemplo, en lo información
documentado.

La nor~a incorpora los términos y definiciones utili 3.5 sistema de gestión:


necesarios para entender los requisitos contenidos en e~~~os en el texto, y 9ue .son
Conjunto de elementos de una organización (3.2) interrelacionados o que interactúan
se encuentran ordenados en la v . , cumento. Estos termmos
ers10n en español e 1 · d :poro establecer políticas (3.1 0), objetivos (3 . 11) y procesos (3.15) para lograr estos
la versión en inglés. n e ffilsmo or en que figuran en
¡,bjetivos.
Un sistema de gestión puede trotar uno solo disciplino o varios disciplinas.
3.1 sobomo: los elementos del sistema de gestión establecen lo estructuro de lo organización, los
roles y los responsabilidades, lo planificación y lo operación .
Oferta, promesa, entrego, aceptación o solicitud d . . .
valor (que puede ser de natural f· . e una venta¡o rndebrdo de cualquier El alcance de un sistema de gestión puede incluir lo totalidad de lo organización, funcio-
eza rnoncrera o no finan · ) d. nes específicos e identificados de lo organización, secciones específicos e identificados
rectamente, e independiente de su b· ., 1 crera, rrectomente o indi-
incentivo o recompensa para que u rcocron, en vio ación de lo ley aplicable, como
e1desempeño (3. 16) de los obl·
una persona actúe 0 de¡·e de ct
. d a uor en re 1ación con
..
de lo organización, o uno o mós funciones dentro de un grupo de organizaciones.

rgocrones e eso persona. 3.6 alta dirección:


Noto 1 o lo entrado lo anterior es un d f" . . .
fi .d 1 1 o e mrcrón genénco. El significado del término •soborno• 1d Persona o grupo de personas que dirigen y controlan una organización (3.2) al mós
nr o por os eyes ontisobomo oplicobl 1 . . es e e-
gestión (3.5) ontisobomo disen- d les o o o~gonrzoc•ón (3.2) y por el sistema de alto nivel.
o o por o orgonrzocrón.
Noto 1 o lo entrado lo alto dirección tiene el poder poro delegar autoridad y proporcionar recursos dentro
3.2 organización: de lo organización.

Persona o grupo de personas que tien . f . Noto 2 o lo entrado Si el alcance del sistema de gestión (3.5) comprende solo uno porte de lo organiza-
autoridades y relaciones para el lag e~ sus prob~r~s uncrones con responsabilidades, ción, entonces lo alto dirección se refiere o quienes dirigen y controlan eso porte de
ro e sus o ¡etiVos (3. 11 ). lo organización.
Noto 1 o lo entrado El concepto de organización incluye entre otros . . Noto 3 o lo entrado los organizaciones pueden organizarse dependiendo del morco legal bajo el cual estón
corporación, firmo, empresa, outo~dod soci~~ trobo1~ Independiente, compoñfo, obligados o operar y también de acuerdo o su tamaño, sector, etc. Algunos organiza-
o uno porte o combinación de estos , é , or~onrzooón benéfico o institución,
'yo est n constiturdos 0 no, públicos o privados. ciones poseen un órgano de gobierno (3.7) como alto dirección (3.6), mientras que
Noto 2 o lo entrado p algunos organizaciones no tienen divididos los responsabilidades en varios órganos.
oro organizaciones con mós de uno unid d .
ser definidos como uno organización. o operotrvo, uno o mós de ellos pueden Estos variaciones, tonto en lo que se refiere o lo organización como o los responsabi-
lidades, pueden ser considerados cuando se aplican los requisitos en el Capítulo 5.
3.3 parte interesada:
3.7 órgano de gobierno:
Persona u organización (3.2) que puede afectar verse f ..
afectada por una decisión o actividad. , o ectada, o percrbrrse como Grupo u órgano que tiene la responsabilidad y autoridad final respecto de las activida-
des, la gobemanza y las políticas de una organización (3.2), y al cual la alto dirección
Noto 1 o lo entrado Uno rt · te d
po e '" reso o puede ser interno o externo o lo organización. (3.6) informa y por el cual rinde cuentas.
3.4 requisito: Noto 1 o lo entrado No todos los organizaciones, especialmente los organizaciones pequeños, tendrón
un órgano de gobierno independiente de lo alto dirección (véase 3 .6, Noto 3 o lo
Necesidad que estó establecida y es obligatoria. entrado) .
Noto 1 o lo entrado Noto 2 o lo entrado Un órgano de gobierno puede incluir pero no estó limitado o un consejo directivo,
lo definición esencial de •requisito• en normas ISO de sistem de . •
~expectativo establecido, generalmente implfcito u obli gestión es nec:Sido~
CJ_S • comités de control, consejo de control, directores y supervisores.
srtos generalmente implícitos• no es ¡· bl 1 gotona . lo porte de los requr-
• op rco e en e contexto de gestión ontisobomo.
Noto 2 o lo entrado
Generalmente implícito• significo ue es u 3.8 función de cumplimiento antisobomo:
organización o portes interesados q no costumbre o uno próctico común de lo
es implícito. que lo necesrdod 0 expectativo bajo consideración Personas con responsabilidad y autoridad para lo operación del sistema de gestión
(3.5) ontisobomo.
Norma UNE-ISO 37001 . Recomendaciones y guío poro su implementación 51
50 Guío para la aplicación de UNE-ISO 37001 :2017

3.9 eficacia: Noto 1 o lo entrado lo ·1nformoción documentado puede estor en cualquier formato V medio, Y puede
provenir de cualquier fuente.
Grado en el cual se realizan los actividades planificados y se logran los resultados Lo información documentado puede hacer referencia o:
Noto 2 a lo entrado
planificados. _ el sistema de gestión (3.5), incluidos los procesos (3.15) relacionados;
_ lo información generado poro que lo organización opere (documentación);
3.1 O política: - lo evidencio de los resultados alcanzados (registros) .

Intenciones y dirección de uno organización (3.2), como las expresa formalmente su


alta dirección (3.6) o su órgano de gobierno (3.7). 3.15 proceso:
Conjunto de actividades mutuamente relacionados o que interactúan, que transforma
3.11 objetivo:
los elementos de entrado en elementos de salida.
Resultado a lograr.
Noto 1 o lo entrado Un objetivo puede ser estratégico, tóctico u operativo. 3.16 desempeño:
Noto 2 o lo entrado los objetivos pueden referirse o diferentes disciplinas (toles como objetivos financieros, Resultado medible. •·
v
ventas y morfceting, compras, de salud y seguridad ambientales), y se pueden aplicar Noto 1 lo entrado El desempeño puede relacionarse con hallazgos cuantitativos o cualitativos.
en diferentes niveles [como estratégicos, poro todo lo organización, poro el proyecto, 0

el producto y el proceso (3.15)). Noto 2 lo entrado El desempeño se puede relacionar con lo gestión de actividades, procesos (3 .15),
0
productos (incluidos servicios), sistemas u organizaciones (3.2) .
Noto 3 o lo entrado Un objetivo se puede eJCpresor de otros maneras, por ejemplo, como un resultado
previsto, un propósito, un criterio operativo, un objetivo ontisoborno, o mediante el
uso de términos con un significado similar (por ejemplo, fin o meto). 3.17 contratar externamente:
Noto 4 o lo entrado En el contexto de sistemas de gestión (3.5) ontisobomo, lo organización (3.2) establece Establecer un acuerdo mediante el cual una organización (3 .2) externo realiza parte de
los objetivos ontisobomo, de formo coherente con lo polftico (3.1 O) ontisobomo, poro
una función o proceso (3.15) de una organización.
lograr resultados especfficos.
Noto 1 lo entrado Uno organización externo estó fuero del alcance del sistema de gestión (3.5}, aunque
0
Jo función 0 proceso contratado externamente forme porte del alcance.
3.12 riesgo:
Noto 2 lo entrado El texto esencial de los normas ISO de sistemas de gestión contiene uno definición Y un
0
Efecto de lo incertidumbre en los objetivos (3.11 ). requisito en relación con lo contratación externo, el c~l ~es utilizado en este ~umento,
Noto 1 o lo entrado Un efecto es uno desviación de lo esperado, yo seo positivo o negativo. yo que proveedores externos estón incluidos en lo definraón de SOCIO de negociOS (3.26).

Noto 2 o lo entrado Incertidumbre es el estado, incluso parcial, de deficiencia de información relacionado


con lo comprensión o conocimiento de un evento, su consecuencia '? su posibilidad. 3.18 seguimiento:
Noto 3 o lo entrado Con frecuencia el riesgo se caracterizo por referencior o • eventos" potenciales (según Determinación del estado de un sistema, un proceso (3.15) o uno actividad.
se define en lo Guío ISO 73:2009, 3.5.1.3) y "consecuencias• (según se define en
Noto 1 o lo entrado Poro determinar el estado puede ser necesario verificar, supervisor u observar en formo
lo Guío ISO 73:2009, 3.6. 1.3), o o uno combinación de estos.
crítico.
Noto 4 o lo entrado Con frecuencia el riesgo se expreso en términos de uno combinación de los conse-
v
cuencias de un evento (incluyendo cambios en los circunstancias) lo "probabilidad"
(según se define en lo Guío ISO 73:2009, 3 .ó.1 . 1) asociado de que ocurro. 3.19 medición:
Proceso {3.15) para determinar un valor.
3.13 competencia:
Capacidad poro aplicar conocimientos y habilidades con el fin de lograr los resultados 3.20 auditoría:
previstos. Proceso (3.15) sistemótico, independiente y documentado para obtener evidencias de
auditoría y evaluarlas de manera objetivo con el fin de determinar el grado en el que
3.14 información documentada: se cumplen los criterios de auditoría.
0
Información que uno organización (3.2) tiene que controlar y mantener, y el medio en Noto 1 a lo entrado Uno auditoría puede ser interno (de primero porte), o externo (de _segundo porte de
el que la contiene. tercero porte}, y puede ser combinado (combinando dos o mós diSCiplinas) .
52 Guío poro lo aplicación de UNE-ISO 3 7001 :20 17
Norma UNE-ISO 3 7001 . Recomendaciones y guío poro su implementaci ón 53

Noto 2 o lo entrado Uno auditoría interno es realizado por lo propio organización (3.2) o por uno porte
externo que actúe en su nombre. 3 _2 7 funcionario público:
Noto 3 o lo entrado "Evidencio de ouditoríoh y • criterios de auditoría" se definen en ISO 19011 . que O cupe un cargo legislativo, administrativo o judicial, por designa-
lod a persona f ·ó 'bl "
. elección 0 como sucesor, o cualquier persona que ejerza una . uno n_ pu _•ca,
3.21 conformidad: CIÓin, a un organismo público 0 una empresa pública, o cualqu1er func1onano o
incuso par 1 · d"d t
Cumplimiento de un requisito (3.4). agent e d e una organización pública local o internacional, o cua qu1er can • a o a un
cargo público.
3.22 no conformidad: Noto 1 o lo entro d o Poro el·emplos de personas que pueden considerarse como funcionarios públicos, véase
el aportado A.21 .
Incumplimiento de un requisito (3.4) .

3.28 tercero porte:


3.23 acción correctiva:
Persona u organismo que es independiente de la organización (3.2).
Acción para eliminar la causa de una no conformidad (3.22) y evitar que vuelvo a ocurrir.
Noto 1 o 1o entrOda Todos los socios de negocios (3.2ó) son tercero
c. porte, pero no todos los terceros portes
son socios de negocios.
3.24 mejora continuo:
Actividad recurrente para mejorar el desempeño (3.16).

3.25 personal:
A.21 Funcionarios públicos
El térm~no
· "f une~onano
· · pu' bl ico" (3 ·27) se define ampliamente en muchas leyes contra
Directores, funcionarios, empleados, empleados o trabajadores temporales y voluntarios la corrupción .
de la organización (3.2).
La siguiente lista no es exhaustiva y no todos los ejemplos se pueden aplic~r en, toda ~
Noto 1 o lo entrado Diferentes tipos de personal plantean diferentes tipos y grados de riesgo (3. 12~ de
las jurisd icciones . En la evaluació n de sus riesgos ant1 so~orno, una organ¡zac¡on_de
soborno y, por lo tonto, pueden trotorse de manero diferente por los procedimientos de
bería tener en cuenta las categorías de funcionarios públrcos con los que se relac1ona
evaluación de riesgo de soborno y de gestión de riesgos de soborno de lo organización.
o puede hacer frente .
Noto 2 o lo entrado Véase el aportado A8.5 poro guiarse sobre los empleados o trabajadores temporales.
El térm ino fu ncionario públ ico puede inclu ir lo siguiente :
3.26 socio de negocios:
a) titulares de cargos públ icos a nivel na cional, estatal/ provincia l o muni~ipal ~ in-
Parte externa con la que lo organización (3.2), tiene, o planifica &stablecer, algún tipo cluidos los miembros de los cuerpos leg islativos, los titulares de cargos e¡ecut1vos
de relación comercial. y los pertenecientes al poder judicial ;

Noto 1 o lo entrado Socio de negocios incluye pero no se limito o los dientes, consumidores, "alianza em- b) responsab les de los partidos pol íticos;
presarial", socios de alianzas empresariales, miembros de un consorcio, proveedores e) candidatos a cargos públ icos ;
externos, contratistas, consultores, subcontrotistos, proveedores, vendedores, asesores,
agentes, distribuidores, representantes, intermediarios e inversores. Esto definición es d) los empleados del gobierno, incluidos los emplead~s de los ,ministerios, agencias
deliberadamente amplio y deberlo interpretarse de acuerdo con el perfil de riesgo (3. 12) gubernamentales, tribunales admin istrativos y las ¡untas publ 1cas ;
de soborno de lo organización, poro que se aplique o los socios de negocios que rozo-
noblemente se entiendo que pueden exponer o lo organización o riesgos de soborno. e) funcionarios de organ izaciones internacionales públicos, toles como el Banco
Noto 2 o lo entrado Diferentes tipos de socio de negocios plantean diferentes tipos y grados de riesgo de Mundial, Nociones Unidos, Fondo Monetario Internacional, etc.;
soborno, y uno organización (3.2) tendró diferentes grados de capacidad poro influir f) los empleados de los empresas públicos, salvo que lo empresa op~re en con-
en diferentes tipos de socio de negocios. Por lo tonto, diferentes tipos de socio de
diciones comercia les normales en el mercado de referencia , es dec1_r, de f~r~a
negocios pueden tratarse de manero diferente por los procedimientos de evaluación
de riesgo de soborno y de gestión de riesgos de soborno de lo organización. que seo sustancialmente equivalente a lo de uno empresa privado , S in subs1d1os
preferencioles u otros privileg ios.
Noto 3 o lo entrado lo referencia o "negocio" en este documento puede interpretarse en sentido amplio
poro significar o aquellos actividades que son relevantes o los efectos de lo existencia
de lo organización. En muchos jurisdicciones, los fam iliares y allegados de los funcionorio_s públ ic~~ tam-
bién se consideran funcionarios públicos o los efectos de las leyes onhcorrupe~on .
54 Guía para la aplicación de UNE-ISO 37001 :20 17 Norma UNE-ISO 37001. Recomendaciones y guío paro su implementación 55

3.29 conflicto de intereses:


4 Contexto de la organización
Situación donde los intereses de negocios, financieros, familiares, políticos o personales
podrían interferir con el juicio de valor del persono/ (3.25} en el desempeño de sus 4.1 Comprensión de la organización y de su contexto
obligaciones hacia lo organización (3.2}.
Lo organización debe determinar los cuestiones externos e internos que son pertinentes
3.30 debida diligencia: poro su propósito y que afectan o su capacidad poro lograr los objetivos previstos de
su sistema de gestión ontisoborno. Estos cuestiones incluyen, pero sin limitarse, o los
proceso (3.15} poro evaluar con mayor detalle lo naturaleza y alcance del riesgo (3.12}
siguientes factores:
de soborno Y poro ayudar o los organizaciones (3.2} o tomar decisiones en relación con
o} el tamaño, lo estructuro y lo delegación de autoridad con poder de decisión de
transacciones, proyectos, actividades, socios de negocios (3.26} y personal específicos.
lo organización;
b} los lugares y sectores en los que opero lo organización o anticipo operar;

..
e} lo naturaleza, escalo y complejidad de los actividades y operaciones de loor-
gonizoción;
d} el modeto de negocio de lo organización;
e} los entidades sobre los que lo organización tiene el control y entidades que
ejercen control sobre lo organización;
~ los socios de negocios de lo organización;
g} lo naturaleza y el alcance de los interacciones con los funcionarios públicos; y
h} los deberes y obligaciones legales, reglamentarios, contractuales y profesionales
aplicables.

NOTA Uno organización tiene control sobre otro organización si controlo directo o indirectamente lo gestión
de eso•organización (véase A.l3 . 1.3).

En el capítulo 4la Norma ISO 37001 se establecen los requisitos fundamentales de


partida para iniciar el proceso de implementación y cumplimiento del resto de los
requisitos del sistema de gestión antisoborno.
El conocimiento de la propia organización y del contexto en el que opera son los
elementos iniciales prioritarios de partida a la hora de, en un primer momento, im-
plementar un sistema de gestión de prevención del soborno y, posteriormente, realizar
su seguimiento, revisión y mejora.
Por tanto, como elementos iniciales de partida a la hora de diseñar e iniciar la im-
plementación de un sistema de gestión antisoborno que cumpla con los requisitos
de esta norma, la organización deberá identificar y analizar todas aquellas cuestiones
externas e internas que pueden ayudar o dificultar la implementación, mantenimiento
Ymejora del sistema de gestión antisoborno y a la consecución y logro de los objetivos
previstos para el mismo.
Norma UN E-ISO 37001 . Recomendaciones y guío poro su implementación 57
56 Guío poro lo aplicación de UNE-ISO 37001:2017

Identificación de la organización controlar su riesgo de soborno más fácilmente que una organización muy
grande con una estructura descentralizada que está involucrada en numero-
En un primer momento se deberá determinar cuál es la organización que va a imple- sos proyectos y que opera en muchos lugares.
mentar el sistema de gestión antisoborno. Es decir, la empresa o grupo de empresas
que tiene el objetivo de implementar el sistema de gestión. b) Los lugares y sectores en los que opera la organización o anticipa operar. Para
La norma define organización como cela persona ogrupo de personas que tienen sus pro- dar respuesta a este requisito, entre otras cuestiones, la organización podría
pias funciones con responsabilidades) autoridades y relaciones para el logro de sus objetivos>). considerar y tomar como referencia algunos de los siguientes ejemplos:

Sobre la base de esta definición, en principio se podrían considerar organizaciones, • Identificar países y sectores, la legislación ~ las regulaciones asociadas a los
entre otras, las siguientes: empresas de capital público o privado, compañías, corpo- ffilSmOS.
raciones, grupos de empresas, administraciones y gobiernos públicos, organizaciones • Diferenciar países y sectores donde haya un mayor riesgo de soborno y
sin ánimo de lucro, asociaciones de empresas, fundaciones, etc. legislación y regulaciones relacionadas, tanto aquellos donde se realizan

Cuestiones y factores previos a analizar por la organización


..
actividades o negocios, como aquellos donde se prevé su realización .
• Los índices de soborno. Países o sectores con mayor riesgo de soborno
pueden ser considerados por la organización, por ejemplo, como de riesgo
Como mínimo se deberían considerar según establece la norma los siguientes: "medio" o "alto", lo que deberá dar lugar a que la organización establezca
a) El tamaño, la estructura y la delegación de autoridad con poder de decisión un nivel más alto o mayores controles para las actividades realizadas en esos
de la organización. P~a dar respuesta a este requisito, entre otras cuestiones, países o sectores.
la organización podría considerar y tomar como referencia algunos de los
siguientes ejemplos: · e) La naturaleza, escala y complejidad de las actividades y operaciones de la or-
ganización. Para dar respuesta a este requisito, entre otras cuestiones, la orga-
• Tipo jurídico o mercantil de la organización. nización podría considerar y tomar como referencia algunos de los siguientes
• Sector público o privado. ejemplos:
• Con ánimo o sin ánimo de lucro. • Nivel de formación y cualificación del personal.
• Nivel de internacionalización. • Idiomas.
• Empresa o grupo de empresas. • Complejidad de los procesos y de las relaciones con las partes interesadas.
• Los órganos de gobierno y de administración. • Tipos de actividades realizadas.
• La propiedad, accionistas o socios de la misma. • Complejidad de las actividades.
• Los órganos de dirección y comités. • Si existen actividades donde el riesgo de soborno es mayor, especialmente
aquellas donde se establecen relaciones de negocio con Administraciones
• Nivel de jerarquización.
públicas o Gobiernos, que deberán tenerse en cuenta.
• Las pequeñas y medianas empresas tendrán estructuras más sencillas, con
menos delegación de autoridad y un poder de decisión más centralizado. d) El modelo de negocio de la organización. Para dar respuesta a este requisito,
entre otras cuestiones, la organización podría considerar y tomar como refe-
• U na empresa multinacional tendrá estructuras más complejas, mayor grado
rencia algunos de los siguientes ejemplos:
y niveles de autoridad.
• La estrategia de negocio y de la organización.
• Una pequeña organización localizada en un único emplazamiento, con pocas
personas, que tenga controles de gestión centralizados, puede ser capaz de • La aversión y propensión al riesgo, entre otros factores .
58 Guío poro lo aplicación de UNE-ISO 37001:2017
Norma UNE-ISO 37001 . Recomendaciones y guío poro su implementación 59

• La cultura empresarial
Se tendrá que considerar la legislación relacionada con las interacciones con
• Políticas y sistemas existentes de compliance, prevención penal, ambiental, etc. funcionarios públicos, las prohibiciones y recomendaciones de comportamien-
to relacionadas en materias de regalos y conflictos de interés, entre otros.
• Códigos de conducta.
• Contexto cultural. h) Los deberes y obligaciones legales, reglamentarias, contractuales y profesio-
nales aplicables. Para dar respuesta a este requisito, entre otras cuestiones
e) ~as entidades sobre las que la organización tiene el control y entidades q la organización podría considerar y tomar como referencia algunos de los
eJercen co~trol sobre la or~~ación. Para dar respuesta a este requisito, en~~ siguientes ejemplos :
otras cuestiones? la_orgaruzaciÓn podría considerar y tomar como referencia • La legislación, las normas y los reglamentos.
algunos de los Siguientes ejemplos:
• Entidades controladas. • Recomendaciones y acuerdos que la organización decide cumplir.

• Sociedades participadas. • El alcance nacional o internacional de las anteriores .


• La adopción de códigos de conductas sect6riales.
• Aquellas sobre las que tiene influencia.
• La adopción de recomendaciones y buenas prácticas sectoriales, industriales
• Si estas org~aciones pueden trasladar la responsabilidad en cadena a la
empresa matriZ. o de otros tipos.

• Entid~~es que for~en parte de la cadena de valor de la organización de


su aCtividad de negocio.
0 Consideraciones y metodologías para el análisis del contexto
de la organización
• Aquellas con un riesgo de soborno superior a bajo.
El análisis de la comprensión de la organización y de su contexto es un paso previo
f) Los socios de ne~ocios de la orl?~ción. Para dar respuesta a este requisito, y determinante para la definición de su estrategia y objetivos en materia de lucha
entr~ otras cuestiones, la orgaruzacwn podría considerar y tomar como refe- contra el soborno. Por ello, es necesario que la realización de este análisis incluya las
renCia algunos de los siguientes ejemplos: cuestiones y factores mencionados como paso previo a la implementación, y deberá
realizarse de manera periódica para el mantenimiento, revisión y mejora del sistema
• Identificar Y analizar para cada uno de ellos, entre otros:
de gestión antisoborno.
- La estructura.
El análisis de las cuestiones internas y externas es una de las consideraciones que la
- El riesgo de soborno. revisión periódica por la alta dirección debe incluir (véase el apartado 9.3.1) . Por ello,
- El país en el que operan. la organización deberá evidenciar mediante informes, estudios, actas y otro tipo de
documentos la realización del mismo.
- Su importancia dentro de la cadena de valor de la organización.
La norma no establece una metodología concreta para su realización y análisis, pu-
- Si aplican modelos de prevención penal o sistemas de gestión de compliance. diéndose utilizar cualquier herramienta o metodología que la empresa considere.
- La realización de actividades de debida diligencia. El análisis DAFO (debilidades, amenazas, fortalezas y oportunidades) es uno de los
más extendidos, dado que su orientación favorece la toma de decisiones estratégicas.
g) La naturaleza Y el alcance de las interacciones con los funcionarios públicos Este análisis considera los factores internos (debilidades y fortalezas) y los factores
En el_caso del_ soborno, y más concretamente cuando nos referimos al cohecho. externos (amenazas y oportunidades).
estas mteraccwnes son_uno de l?s aspectos de mayor riesgo de soborno a lo~
que se enfrenta cualqmer orgaruzación. Existen otros métodos, además del DAFO, que la organización podría considerar para
realizar este análisis, como son el método Delphi, estudios de mercado, informes de
. • su implementación 61
Norma UNE-ISO 37001. Recomendaciones y gula poro
60 Guío paro la aplicación de UNE-ISO 37001 :201 7

. . . ' de las artes interesadas personas u organizaciones, que


expertos donde se analizan las cuestiones mencionadas, informes socioeconómicos, La correcta tdennficact~n d P .bt.rse como ~fectadas por las decisiones yac-
afi tar verse a1ecta as o perct . 1
estudios de la competencia, etc.
Pueden ec ' . .' de los elementos iniciales de pamda e1aves a a
. d d la orgamzacton es otro ., . b
Para mayor información sobre estas metodologías y otras se recomienda consultar tivtda es . e - . .ciar la im lementación de un sistema de gesnon annso orno
hora de disenar e llll ' P b .' .ódica de las partes interesadas a la hora
la Norma UNE-EN 31010:2011 Gestión del riesgo. Técnicas de apreciación del riesgo. También lo sera la compro acton pen ., .
eficaz.. ar la eficacia y mejorar del propio sistema de gesnon annsoborno.
de revts · ·' E
Relación entre el contexto de la organización y la planificación artes interesadas pueden ser internas o externas a la propia ~g~a~t~n. s
Esta~ p h bitualllamar a las partes interesadas como "grupos e mteres .
U na vez identificados los factores relevantes la organización, deberán diseñarse planes ocas10nes, es a
de acción orientados a potenciar fortalezas, mejorar las debilidades, reducir o evitar
las amenazas y aprovechar las oportunidades detectadas.
Ejemplos de partes interesadas .
En el capítulo 6 se expone cómo debería utilizarse esta información. . d · das pertinentes al sts-
. .ón se recogen algunos qemplos e partes mt~resa.
Este análisis de la organización y de su contexto se podrá realizar con personal propio A connnuact_ ' tisoborno que la organización debería tdennficar:
o con ayuda externa. El grado del detalle del mismo dependerá del tamaño, comple- tema de gesnon an
jidad y actividades que realice la organización. • Empleados.
• Directivos .
• Mandos intermedios.
4.2 Comprensión ·de las necesidades y expectativas de las
partes interesadas • Accionistas, propietarios o dueños.

lo organización debe determinar: • Inversores.


o) los portes interesados que son pertinentes al sistema de gestión ontisobomo; • Clientes .
b) los requisitos pertinentes de estos portes interesados. • Proveedores y subcontratistas.
NOTA En la identificación de los requisitos de las partes interesadas, una organización puede • Administración, Gobiernos.
distinguir entre los requisitos obligatorios y las expectativas de caróder no obligatorio de las
partes interesados, así como los compromisos voluntarios asumidos con ellas. • Empresas públicas.
• Funcionarios públicos.
A la hora de dar respuesta y considerar este requisito debemos tener en cuenta que la
organización no es un ente aislado, sino que está rodeado y se relaciona con diversas • Asociaciones sectoriales.
y numerosas partes interesadas. Como parte de este capítulo 4 de contexto, y estre- • Otros aliados y socios de negocio.
chamente relacionado con el apartado 4.1, se deben identificar las partes interesadas
y los requisitos de las mismas en relación con el sistema de gestión antisoborno. • Reguladores.
• Grupos de presión.
Quiénes son las partes interesadas • Organizaciones sin ánimo de lucro.

La norma define como parte interesada: . d 1 "funcionario público" a los efectos de


1 •

Dada_la importanci~ ,Y rele:an~ta ~ ~e~=oque en muchas legislaciones se estable-


Persona u lJYganización que puede afectar; verse afectada, opercibirse como afectada PlJY este ststema de gesnon anttso orn ' 1
d . t ·ene un funcionario en una
una decisión o actividad. cen tipologías delictivas y penas específicas cuan o m em
Norma UNE -ISO 37001 . Recomendaciones y guío poro su implementación 63
62 Guía para fa aplicación de UNE-ISO 37001 :2017

acción de soborno (como es el caso del cohecho), hacemos mención de la definición En la identificación de los requisitos de las partes inter~sadas, la ~rganizació~ pue~e
que hace la propia norma del mismo: diferenciar entre los requisitos obligatorios y las expectatlvas d~ caracter_no obligatono
de las partes interesadas, así como los compromisos voluntarios asum1dos con ellas.
Toda persona que ocupe un car;go legislativo, administrativo ojudicial, por designación,
elección o como sucesor; o cualquier persona que ejerza una función pública, incluso para
un organismo público o una empresa pública, o cualquier funcionario o agente de una Métodos para la identificación de las partes interesadas
organización pública local o internacional, o cualquier candidato a un cargo público.
A la hora de la identificación de las partes interesadas y sus requisitos, se pueden
Al igual que mencionamos en el caso de la definición de soborno, en caso de discre- considerar, entre otros, los siguientes:
pancia, prevalecerá lo dictado por la legislación de cada país o jurisdicción. • Grupos de trabajo multidisciplinares .
• El uso de metodologías como la tormenta de ideas (brainstorming) u otras
Requisitos y necesidades de las partes interesadas técnicas de grupo o discusión.
• Estudios y entrevistas con representantes de estas partes interesadas.
Adicionalmente a la identificación de las partes interesadas, la norma requiere que se
realice lo mismo con los requisitos o necesidades pertinentes de estas partes interesadas. • Análisis de la información recibida mediante los canales de com~ca~ión, ca-
nales éticos o el canal de denuncias (salvaguardando la confidenCialidad Y el
La organización deberá determinar los requisitos de cada una de las partes interesadas
identificadas. Para ello, se consideran como tales todas aquellas necesidades estableci- anonimato).
das y obligatorias relacionadas con el sistema de gestión antisoborno. Los requisitos • Consultas.
incluyen, entre otros: ·
• Encuestas de satisfacción.
• Las recogidas en textos legales o leyes como obligaciones legales, como por
• Estudios de mercado.
ejemplo: -
- Estar al corriente de las obligaciones fiscales. La organización deberá evidenciar mediante informes, e~~dios, act~ y otro tipo_ ~e
documentos la realización de la identificación y sus requlSltos en la lffiplementaClon
- Dar de alta a los trabajadores. del sistema de gestión antisoborno. Esta infor~ación d~berá revisarse de manera
- No permitir los pagos de facilitación. periódica para el mantenimiento, revisión y mqora del rrusmo.

• Las recogidas en documentos contractuales con clientes o proveedores, como


contratos o acuerdos. Por ejemplo: 4.3 Determinación del alcance del sistema de gestión anti-
- El pago en una determinada moneda. soborno
La organización debe determinar los límites y la. aplicabilidad del sistema de gestión
- En un determinado plaw de pago.
antisoborno para establecer su alcance.
• Aquellas recogidas en acuerdos o convenios nacionales o internacionales: Cuando se determina este alcance, la organización debe considerar:

- No permitir el pago a través de entidades financieras en paraísos fiscales. a) las cuestiones externas e internas referidas en 4.1;

b) los requisitos referidos en 4.2;


• Las recogidas en códigos éticos, de conducta o buenas prácticas del sector
e) los resultados de la evaluación del riesgo de soborno referido en 4.5 . El alcance
asumidos y acordados por las partes, como por ejemplo:
debe estar disponible como información documentada.
- La existencia de procedimientos para evitar los conflictos de interés.
NOTA Véose el Capítulo A.2 poro orientación.
- No permitir ningún tipo de regalo.
Norma UNE-ISO 37001 . Recomendaciones y guío poro su implementación 65
64 Guío poro lo aplicación de UNE-ISO 3700 1:2017

Una vez determinadas las cuestiones internas y externas (véase el apartado 4.1), las antisobomo, en el código de conducta, en un manual del sistema de gestión o en un
panes interesadas y los requisitos de estas (véase el apartado 4.2) y obtenidos los resul- documento de gestión similar, entre otros.
tados de la evaluación del riesgo de soborno (véase el apartado 4.5 ), la organización os de facilitación son unas de las cuestiones en las que no existe un consenso
Los pag . . . .
debe determinar cuál es el alcance de su sistema de gestión, que tal y como establece internacional sobre Si se consideran elementos afmes al s_obomo o p~e.den ser_aslffil-
la norma, supone definir sus límites y aplicabilidad Para ello, la organización debe lables 0 no. Las legislaciones de algunos países los consideran pernntldos, nnentras
decidir las actividades, centros de trabajo, empresas y países, entre otros, a los que que hay otros que los prohiben.
aplica el sistema de gestión antisoborno y que están incluidos en el mismo.
La norma, en su apartado A.2.2, que recogemo~ y comentamos a continuación,
na una serie de consideraciones y recomendaCiones relevantes, no solo sobre los
A.2 . 1 Sistema de gestión antisoborno independiente o integrado
~~;os de facilitación, sino también sobre los pagos de extorsión.
La organización puede optar por implementar este sistema de gestión antisoborno
como un sistema independiente o como parte integrante de un sistema general de ges- A.2 .2 Pagos de facilitación y extorsión
tión de cumplimiento (en cuyo caso, la organización puede consultar para orientación
la Norma ISO 19600) . La organización también puede optar por implementar este
A.2.2.1 Pagos de facilitación es el término que sed~· a veces a un pago ilegal o no
oficial realizado a cambio de servicios que el pagador está legalmente autorizado para
sistema de gestión antisoborno en paralelo a, o como parte de, sus otros sistemas de
recibir sin real izar dicho pago . Normalmente es un pago relativamente menor hecho
gestión, como los de gestión de la calidad, gestión ambiental y gestión de la seguridad
a un funcionario público o una persona con una función de certificación con el fin de
de la información (en cuyo caso la organización puede referirse a las Normas ISO
asegurar 0 agilizar el curso de un trámite o acción necesaria, tale~ ,como la em,isión de
9001 , ISO 14001, e ISO/ I~C 27001 ), así como ISO 26000 e ISO 31000 . una visa, permiso de trabajo, despacho de aduanas o la mstalae~on de un telefono. A
pesar de que los pagos de facilitación son a menudo considerados como de naturaleza
diferente a, por ejemplo, un sobo rno pagado para ganar negoCIOS, so n ilegales en la
El alcance puede incluir desde una parte de una organización, con capacidad de de-
mayoría de lugares, y son tratados como sobornos a los efectos de este documento y, . ~or
cisión, recursos y autonomía para implementar y dar respuesta a todos los requisitos
lo tanto, deben prohibirse por el sistema de gestión de antisoborno de la organ1zaC1on.
establecidos en ISO 37001 hasta un sistema de gestión del soborno de un grupo de
empresas, con matriz común y que operen en diferentes países. A.2.2.2 Un pago de extorsión es cuando el dinero es extraído por la fuerza por parte
del personal por amenazas reales o percibidas contra la salud, la seguridad o la li-
La norma permite que el alcance pueda abarcar a toda la organización, si bien se debe bertad y está fuera del alcance de este documento . La seguridad y la libertad de una
considerar lo establecido en la legislación donde opere esta. También se debe consi- persona es de suma importancia y muchos sistemas legales no penalizan que alguien
derar y tener en cuenta que la prevención y la lucha contra el soborno son actividades que tema razonablemente por su propia salud , seguridad o libertad , o la de otra
transversales que pueden afectar a todos los ámbitos de la organización. Por tanto, persona, realice un pago . Por lo tanto , la organización puede tener una política ~ara
las comprometidas con la prevención del soborno, la integridad y la mejora deberían permitir un pago por parte del personal en circunstancias en las que este tenga m1edo
incluir todas sus actividades y todos sus centros de trabajo. al peligro inminente por su propia salud , seguridad o libertad o la de otra persona.

Por otra parte, como hemos comentado con anterioridad, el sistema de gestión anti- A.2.2 .3 La organización debería proporcionar a cualquier miembro del personal que
se le haya presentado solicitudes o demandas de pago, orientación específica sobre
sobomo puede ser un sistema independiente. También puede plantearse como parte
cómo evitarlos y tratar con ellos . Dicha orientación podría incluir, por ejemplo :
de un sistema de gestión integrado en otros sistemas de gestión de compliance. Por
ejemplo, integrado en un sistema de gestión basado en la Norma ISO 19600 de a) acciones específicas que ha de adoptar cualquier miembro del personal que se
compliance o, en el caso de España, un sistema de gestión integrado en un sistema enfrente con una demanda de pago , tales como:
de gestión de compliance penal conforme a los requisitos de la Norma UNE 19601 1) en el caso de un pago de facilitación , pedir una prueba de que el pago es
Sistemas de gestión de compliance penal. Requisitos con orientación para su uso. legítimo, y un recibo oficial de pago y, si no hay una prueba satisfactoria
disponible , negarse a hacer el pago ;
Es importante indicar que el alcance del sistema de gestión antisobomo debe docu-
2) en el caso de un pago de la extorsión, hacer el pago si su salud, segu ri dad
mentarse por escrito y estar disponible como información documentada. Es habitual
o libertad, o la de otro, se ve amenazada ;
que el alcance del sistema de gestión esté recogido en la política del sistema de gestión
Norma UNE-ISO 37001. Recomendaciones y guía paro su implementación ó7
óó Guía para la aplicación de UNE-1$0 37001:2017

de las normas ISO. Por tanto, para evidenciar el cumplimiento con esta norma la
b) esp~cifi~~r la acción que debe tomar el personal que haya hecho un pago de organización debe cumplir todos los requisitos recogidos en ella con un enfoque de
facd 1tac1on o extorsión:
sistema de gestión con requisitos interrelacionados y que interactúan.
l ) hacer un registro del evento;
Como se vio en el apartado l , la fmalidad de la misma no es solo el establecer, do-
2) informar del hecho a un diredor apropiado o a la función de cumplimiento
cumentar, implementar el sistema de gestión antisoborno, sino que la organización
antisoborno;
debe mantener, revisar y mejorar continuamente dicho sistema.
e) especificar la acción que será adoptada por lo organización cuando el personal
hoya hecho un pago de facilita ción o extorsión :
1) se nombra_ a un di redor adecuado para investigar el evento (preferentemente Razonabilidad y proporcionalidad
de la func1ón de cumplimiento antisoborn o o un gerente que es indepen-
diente del personal del departamento o func ión);
La organización debe buscar un equilibrio a la hora de implementar el sistema de
gestión y no debe establecer acciones o medidas muy costosas, complicadas, exclu-
2) registrar correctamente el pago en cue ntas de la organización ;
sivamente burocráticas que dificulten su implementación. En el extremo opuesto,
3) en s_u caso, o si es requerido por la ley, informar del pago a las autoridades tampoco deben ser medidas tan simples, ineficaces & escasamente evidenciables que
pertinentes.
impidan el soborno.
Los pasos que debe llevar a cabo la organización para conseguir estos objetivos de-
A los efectos de las actividades recogidas dentro del sistema de gestión, la Norma ISO ben ser razonables y proporcionales teniendo en cuenta la naturaleza y alcance de los
3 700 l establece que los pagos de facilitación deberán ser tratados como sobornos a riesgos de soborno a los que se enfrenta la organización. El apartado A.2 del anexo
los efect?s_de esta no~a, al ser ilegales en la mayoría de lugares. Por lo tanto, deben nos ofrece la siguiente información y una serie de ejemplos que se pueden considerar
ser prohibidos por el sistema de gestión de antisoborno de la organización. a la hora de implementar el sistema de gestión buscando la razonabilidad y propor-
La organización, ante determinadas circunstancias en las que haya un peligro inmi- cionalidad del mismo y de sus elementos y medidas.
nen~e P_ a_ra la salud, la seguridad o la libertad de sus empleados, puede permitir la
realizac10n de determinados pagos.
A.3 Razonable y proporcional
A.3 .1 El soborno normalmente se oculta. Este puede ser difícil de prevenir, detedar y
4.4 Sistema de gestión antisoborno 1 enfrentar. Reconociendo estas dificultades, la intención general de este documento es que
el órgano de gobierno (si existe) y la alta dirección de una organización necesitan tener:
Lo organización debe establecer, documentar, implementar, mantener y revisor continuo-
mente y, cuando seo necesario, mejorar el sistema de gestión ontisoborno, incluidos los - un compromiso genu ino para prevenir, detedar y enfrentar al soborno en rela-
procesos necesarios Y sus interacciones, de acuerdo con los requisitos de este documento. ció n con negocios o actividades de la organización;
El sistema ~e gestión ontisoborno debe contener medidos diseñados o identificar y - co n intención genuina, implementar medidas en la organización que estén
evaluar el nesgo, y poro prevenir, detedor y enfrentar el soborno. diseñadas para prevenir, detectar y enfrentar al soborno.
NOTA 1 No es posible eliminar por completo el riesgo de soborno y ningún sistema de gestión ontisobomo
seró copoz de prevenir y detector todos los sobornos. Las medidas no pueden ser tan costosas, complicadas y burocráticas que sean inase-
quibles o detener las actividades de un negocio. Tampoco pueden ser tan simples e
El sistema de gestión ontisoborno debe ser razonable y proporcionado, teniendo en ineficaces que hagan que el soborno pueda fácilmente ocurrir. Las medidas tienen que
cuento los fodores mencionados en 4.3. ser adecuadas al riesgo de so borno , y deberían tener una posibilidad razonable de
NOTA 2 Véase el Capítulo A.3 poro orientación. éxito en su objetivo de preve nir, detectar y enfrentar al soborno.

A.3.2 Si bien los tipos de medidas antisoborno que necesitan im plementarse son razo -
El siste-~a d~ gestión ISO 37001 no es un listado de requisitos o una lista de com- nablemente bien reco nocidas por las buenas prácticas internacionales, y algunas de las
probaclOn, smo que está basado en la estructura de alto nivel y de mejora continua
68 Guío para la aplicación de UNE-ISO 37001 :2017
Norma UNE-ISO 37001 . Recomendaciones y guía para su implementación 69

cuales se refl:jan ~omo requisitos de este documento, el detalle de las medidas que se de que se produzca el soborno. Es decir, el riesgo de que se produzca un soborno (es
1mplementa~an d1f1eren ampliamente de acuerdo con las circunstancias pertinentes. Por decir, si se puede producir un soborno) no es lo mismo que la ocurrencia de un soborno
lo tanto, es1mpos1ble prescnbir exactamente lo que una organización debería hacer en (el hecho del soborno en sí mismo) . Por lo tanto , una organización puede tener una
cualqu1er Circunstancia particular. La calificación de la "razonabilidad y proporcional·- "tolerancia cero" para la ocurrencia de un soborno al tiempo que se dedica al comercio
dad" se ha introducido en este documento, de manera que cada circunstancia pued~ en situaciones en las que puede haber un bajo riesgo de soborno, o más que un riesgo
¡uzgarse por sus propios méritos.
bajo de soborno (siempre y cuando se apliquen los medidos adecuadas de mitigación).
Lo orientación adicional sobre los controles específicos se proporciona o continuación.
~.3.3 Los siguientes ejer::plos pueden servir de orientación sobre cómo la calificación
razonable Y proporc1onal se puede apl1car en relación con las diferentes circunstancias.

a) Una organizaci~n multinacional muy grande puede tener que tratar con múltiples La organización adaptará y tomará las medidas oportunas en función de sus propias
niveles de gest1on, Y miles de persona s. Su sistema de gestión antisoborno será circunstancias y por ello, como hemos visto en los puntos anteriores, cada organiza-
por consiguiente, mucho más detallado que el de una organización pequeñ~ ción debe analizar su contexto interno y externo, sus partes interesadas y su evalua-
con poco personal.
ción de riesgos y establecer un sistema de gestión antisoborno que sea razonable y
b) Una organización_qu~ tiene actividades en un lugar donde exista un alto riesgo proporcionado (véase la figura 2). •·
de sob~rno neces1tara normalmente una evaluación del riesgo de soborno más
El compromiso del órgano de gobierno es clave y fundamental, como luego se verá
exhaust1va y procedimientos de debida diligencia y un mayor nivel de control
con mayor detalle en los requisitos del capítulo S de esta norma.
ant1soborno en _sus transacciones comerciales, en lugar de una organización que
solo t1ene actividades en una ubicación de menor riesgo de soborno donde el
soborno es relativamente raro . '

e) A pesa_r de que el riesgo de soborno existe en relación con varias transacciones


o ac~J vJdad:s, la evaluación del riesgo de so borno, los proced imientos de debi-
?a di11gencJa Y los controles antisoborno implementados por una organización
mvol~crada en una ~ransacción de alto valor o actividades que impliquen una
ampl1a gama de soc1os de negocios, es probable que sean más amplios que los
4 .4
1mplementa?os por una organización en relación con un negocio que implica la Sistema de gestión
antisoborno
venta de art1culos de menor valor a los múltiples clientes 0 muchas transacciones
más pequeñas con un solo grupo.

d) Una organización con una gama muy amplia de socios de negocios puede
concl,u1r, como _parte de su evaluación del riesgo de soborno, que ciertas ca-
tegona~ _de soc1os de negocios, tales como clientes al por menor, tienen poca 4.5
Evaluación del
probabilidad d_e r~presentar más que un riesgo bajo de soborno, y tenerlo en riesgo de soborno

cuent_a en el d1seno e implementación de su sistema de gestión antisoborno .


Por e¡emplo, la debida diligencia es poco probable que sea necesaria 0 sea
un :ontrol proporcio~al y razonable, en relación con los clientes minoris;as que Figu ro 2. Proceso de determinación del contexto de la organización
estan comprando art1culos tales como bienes de consumo de la organización . y del sistema de gestión
A.3:4 S~ bien exi:te el riesgo de soborno en relación con varias transacciones, una or-
ganJzaCJon debena implementar un nivel más amplio de control de antisoborno durante La evaluación de riesgos de soborno será otro de los elementos clave de la eficacia
una transacción de alto riesgo de soborno que de una transacción de bajo riesgo de del sistema y de prevención del soborno. La organización, en función del análisis de
soborno ._En _este contexto, es importante entender que la identificación y la aceptación riesgos y de las personas y puestos potencialmente expuestos, establecerá una serie
de un ba¡o nesgo de soborno no significan que la organización puede aceptar el hecho de controles, formación, documentos y otra serie de medidas coherentes y alineadas
con esos niveles de riesgo analizados.
70 Guía poro la aplicación de UNE-ISO 37001:2017 Norma UNE-ISO 37001 . Recomendaciones y guío poro su implementación 71

4.5 Evaluación del riesgo de soborno a) Seleccionar los criterios de evaluación del riesgo de soborno . Por ejemplo, la
organizac ión puede seleccionar un criterio de 3 niveles (por ejemplo : co mo
4.5.1 La organización debe realizar de forma regular evaluaciones del riesgo de so- "bajo", " medio", "alto"), criterios más detallados con 5o 7 niveles o un enfoque
borno que deben: más detallado. Los criterios a menudo tienen en cuenta varios factores, inclu-
a} identificar el riesgo de soborno que la organización podría anticipar razonable- yendo la naturaleza del riesgo de soborno, la probabilidad de que se produzca
mente teniendo en cuenta los factores enumerados en el apartado 4.1; el soborno, y la magnitud de las consecuencias, en caso de producirse .

b} analizar, evaluar y priorizar los riesgos de soborno identificados; b) Evaluar los riesgos de soborno planteados por el tamaño y la estructura de
la organización . Una pequeña organización basada en un solo lugar con los
e} evaluar la idoneidad y eficacia de los controles existentes de la organización
controles de gestión centralizados en manos de unas pocas personas puede ser
para mitigar los riesgos de soborno evaluados.
capaz de controlar su ri esgo de soborno más fácilmente que una organizaci ó n
4_5.2 La organización debe establecer criterios para evaluar su nivel de riesgo de muy grande con una estructura descentralizada que opera en muchos luga res .
soborno, que debe tener en cuenta las políticas y objetivos de la organización.
e) Examinar los lugares y sectores en los que opera la organización o anticiparse
4.5.3 la evaluación del riesgo de soborno debe ser revisada: a las operaciones, y evaluar el nivel de riesgo• de soborno que estos lugares y
a} de forma regular de modo que los cambios y la nueva información puedan sectores pueden plantea r. Un índice de soborno apropiado se puede utilizar para
evaluarse adecuadamente, con base en el tiempo y la frecuencia definidos por ayudar en esta evaluación. Lugares o sectores con un mayor riesgo de soborno
la organización; pueden ser considerados por la organización , por ejemplo, como de riesgo
"medio" o "alto", lo que puede dar lugar a que la organización establezca un
b) en el caso de un cambio signi,ficativo en la estructura o las actividades de la
nivel más alto para los controles aplicables a las actividades de la organización
organización.
en esos lugares o sectores.
4.5.4 La organización debe conservar lo información documentado que demuestra
d) Examinar la naturaleza, magnitud y complejidad de los tipos de actividades y
que se ha llevado o cabo la evaluación del riesgo de soborno, y que se ha utilizado
paro diseñar o mejorar el sistema de gestión antisoborno. operaciones de la organización.

NOTA Véase el Capftulo A4 poro orientación.


1) Por ejemplo , puede ser más fácil controlar el riesgo de soborno de una
organización que lleva a cabo una pequeña operación de fabricación, en
un lugar, que el de una organización que está involucrada en numerosos
proyectos de construcción grandes en varios lugares.
A.4 Evaluación del riesgo del soborno
2) Algunas actividades pueden llevar a riesgos específicos de soborno. Por
A.4.1 La intención de la evaluación del riesgo del soborno requerido por 4 .5 es per- ejemplo, disposiciones de compensación, mediante las cuales el gobier-
mitir a la organización formar una base sólida para su sistema de gestión antisoborno . no compra productos o servicios, requiere que el proveedor rein vierta una
Esta evaluación identifica los riesgos de soborno en los que el sistema de gestión se proporción del valor del contrato en el país de compra . La organización
enfocará, es decir, los riesgos de soborno considerados por la organización como una debería tomar las medidas apropiadas para prevenir que los acuerdos de
prioridad para la mitigación de riesgos, la implementación del control, y la asignación compensación constituyan soborno.
de personal de cumplimiento, recursos y actividades. Cómo la organización lleva a
cabo la evaluación del riesgo de soborno, la metodología que emplea, cómo los e) Examinar los tipos existentes y potenciales de socios de negocios por categorías
riesgos de soborno se ponderan y se priorizan, y el nivel de riesgo de soborno que se de la organización, y, en principio, evaluar el riesgo de soborno que se plantean .
acepta (es decir, "apetito de riesgo") o tolera, son todos a criterio de la organización. Por ejemplo :
En particular, es la organización la que establece los criterios para evaluar el riesgo 1) La organización puede tener un gran número de clientes que compran pro-
de soborno (por ejemplo, si un riesgo es "bajo" , "medio" o "alto" ), sin embargo, al ductos de muy bajo valor, y que en la práctica suponen un riesgo mínimo
hacerlo, la organización debería tener en cuento su política y objetivos antisoborno. para el soborno de la organización. En este caso, la organización considera
A continuación, se proporciona un ejemplo de cómo una organización puede optar estos clientes en bajo riesgo de soborno, y puede determinar que estos
por emprender esta evaluación. clientes no necesitan tener ningún tipo de control específico antisoborno
Norma UNE-ISO 37001 . Recomendaciones y guío poro su implementación 73
72 Guío poro lo aplicación de UNE-ISO 37001 :2017

relacionado con el mismo. Por otra parte, la organización puede hacer mejorar de manera apropiado . Por ejemplo, un mayor nivel de control es probable que
tratos con los clientes que compran productos de valores muy grandes de la se implemente con respecto a los lugares de riesgo más altos de soborno y categorías de
organización, y puede suponer un riesgo significativo de soborno (por ejem- riesgo de soborno más altas de socios de negocios. La organización puede determinar
plo , el riesgo de sobornos por parte de la organización exigiendo a cambio ue es aceptable tener un nivel de contro l bajo sobre las adlv1dades o soc1os de negoc1os
pagos, homologaciones, etc.) . Este tipo de clientes se pueden considerar, por de bajo riesgo de soborno . Algunos de los requisitos de esta norma excluyen expresa-
ejemplo, como de riesgo "m edio" o "alto" de soborno, por lo que requieren mente la necesidad de aplicar esos requisitos a las actividades o socios de negocios de
un mayor nivel de control antisoborno por la organización . bajo riesgo de soborno (aunque la organización podrá optar por aplicárselos si lo desea).

2) Las diferentes categorías de proveedores pueden presentar diferentes niveles A.4.3 La organización puede cambiar la naturaleza de la transacción, proyecto, ac-
de riesgo de soborno. Por ejemplo, los proveedores con un gran alcance del tividad 0 relac ión de tal manero que la naturaleza y alcance del riesgo de soborno
trabajo, o que pueden estar en contacto con los clientes de la organización, se reduzcan a un nivel que puedan ser gestionados adecuadamente por los controles
o los fun cionario s públicos pertinentes, puede suponer un riesgo de soborno antisoborno mejorados o adicionales existentes.
"medio" o "a lto" . Algunas categorías de proveedores pueden ser de riesgo
A.4.4 Este ejercicio de evaluación del riesgo de sob9rno no está destinado a ser un
" bajo", por ejemplo, proveedores establecidos en lugares de bajo riesgo de
soborno que no tienen interfaz con los funcionarios públicos pertinentes o la ejercicio extenso o demasiado complejo. Tampoco los"'resultodos de la evaluación van
transacción o clientes de la organización. Algunas categorías de proveedores ser necesariamente correctos (por ejemplo , una transacción evaluado como de bajo
0
pueden suponer un riesgo "muy bajo" de soborno, por ejemplo, proveedores riesgo de soborno puede resultar haber involucrado un soborno) . En la medida que sea
de bajas cantidades de artículos de bajo valor, servicios de compra en línea razonablemente posible, los resultados de la evaluación del riesgo de soborno deberían
para el tronsport,e aéreo u hoteles, etc . Lo organización podría conclu ir que reflejar los riesgos de soborno reales que enfrenta la organización. El ejercicio debe
los controles específicos ontisoborno no necesitan implementarse en relación diseñarse como una herramienta para ayudar o la organización a evaluar y priorizar
con estos proveedores de bajo o muy bajo riesgo de soborno. el riesgo de soborno, y debe examinarse y revisarse de manera regular con base en
los cambios en la organización o en las circunstancias (po r ejemplo, nuevos mercados
3) Agentes o intermediarios que interactúan con los clientes de la organización productos, requisitos legales, lo experiencia adquirida , etc.) .
0
o funcionarios públ icos en representación de la organización tienen más pro-
babilidad de suponer un riesgo "medio" o "alto" de soborno, especialmente NOTA Orientación adicional se puede encontrar en lo Norma ISO 31 000 .

si se les paga una comisión o una tarifo por éxito .

n Examinar la naturaleza y frecuencia de las interacciones con los funcionarios Sin la intención de realizar un análisis detallado tanto de los requisitos del apar-
públicos nacionales o extranjeros que pueden suponer un riesgo para el soborno. tado 4.5 como del A.4, ya que ambos son muy claros y autoexplicativos, vamos a
Por ejemplo, los interacciones con los funcionarios públicos responsables de la profundizar en algunos elementos y cuestiones relevantes.
emisión de permisos y aprobaciones pueden suponer un riesgo poro el soborno.

g) Examinar las obligaciones y deberes estatutarios, reglamentarios, contractuales


Enfoque y orientación hacia la prevención y gestión del riesgo
y profesionales aplicables como, por ejemplo, la prohibición o limitación de
agasajos de funcionarios públ icos o de la utilización de agentes . Unos de los elementos relevantes que se pretendieron cuando se diseñó la norma
h) Considerar el grado en que la organización es capaz de influir o controlar los era que el sistema de gestión ISO 3 7001 tuviese un enfoque y una orientación de
riesgos evaluados. gestión y prevención del riesgo. Es por ello por lo que se determinó que estuviese en
consonancia con lo establecido en la familia de normas ISO 31000 sobre gestión del
Los factores de riesgo de soborno arriba mencionados se interrelacionan . Por ejemplo,
riesgo y con la Norma UNE 19601 Sistemas de gestión de compliance penal. Requisitos
los proveedores de la misma categoría pueden suponer un riesgo poro el soborno
diferente en función del lugar en el que operan .
con orientación para su uso.

A.4.2 Tras evaluar los riesgos de soborno pertinentes, la organización puede determinar
Por esto, en la estructura de la Norma ISO 37001 y en el diseño del sistema de ges-
el tipo y nivel de los controles antisoborno que se aplico o cado categoría de riesgo, y tión antisoborno, la evaluación del riesgo de soborno es uno de los elementos clave
puede evaluar si los controles existentes son adecuados. Si no, los controles se pueden y fundamentales a la hora de conseguir la implementación, el mantenimiento y la
mejora eficaz del sistema de gestión antisoborno.
Norma UNE-ISO 37001 . Recomendaciones y guío poro su implementación 75
74 Guío poro lo aplicación de UNE-ISO 37001 :201 7

Riesgo cero y tolerancia cero • Nuevos mercados o socios de negocio.


Como hemos comentado anteriormente, debemos partir de la base de que es imposi- • Materialización de riesgos.
ble eliminar por completo el riesgo de soborno y, por tanto, el riesgo cero de soborno
no existe. Ningún sistema de gestión antisoborno será capaz de prevenir y detectar
al lOO% todos los sobornos. Etapas de la evaluación del riesgo de soborno
Lo que sí debe ser evidente y estar claramente asumido es que el hecho de que exista y se Estas etapas son (véase la figura 3) :
acepte un riesgo bajo de soborno no implica que la organización acepte el hecho de que l) Identificación del riesgo de soborno considerando:
se produzca dicho soborno. La probabilidad o posibilidad de que ocurra un soborno no
es lo mismo que la materialización del mismo. Por ello, una organización puede y debe a) El contexto interno.
tener una poütica de "tolerancia cero con el soborno". Esta poütica es perfectamente b) El contexto externo.
compatible con actividades en las que puede existir un riesgo bajo de soborno, siempre
e) Las partes interesadas identificadas y sus requisitos.
y cuando existan medidas o controles que mitiguen el riesgo e impidan el soborno.
2) El análisis, la evaluación y la priorización de-los riesgos de soborno identifi-
cados.
Objetivo de la evaluación de riesgos 3) La evaluación de la idoneidad y eficacia de los controles establecidos para
La finalidad de la evaluación de riesgos es que la organización tenga una imagen clara mitigar los riesgos de soborno evaluados.
y robusta de los riesgos de sobOrno para la implementación del sistema de gestión. La 4) Toma de decisiones inmediata.
evaluación de riesgos va a permitir priorizar los riesgos que hay que mitigar y reducir
y, con ello, las acciones que realizar, los recursos que asignar, las responsabilidades y S) Planificación de las acciones con objetivos, responsables, plazos y recursos.
los controles, entre otros.
EVAlUACION DE RIESGOS

Periodicidad de realización y revisión CONTEXTO INTERNO Y EXTERNO DE LA ORGANIZACIÓN

La organización deber realizar y revisar de forma regular su evaluación de riesgos de


soborno. La norma no establece la periodicidad o frecuencia de la evaluación y de su
revisión, si bien esta debe ser la adecuada, ya que la información sobre el resultado
de la misma se tendrá en cuenta a la hora de revisar el sistema de gestión antisoborno
Idoneidad Planificación
por la alta dirección, por el órgano de gobierno y por la función de cumplimiento ldentlflcadón y eflcada de Acdones
de riesgos de los controles
(véanse los apartados 9.3 y 9.4) . soborno Aedenes
y objetivos

Lo habitual y recomendable es que se realice de manera anual.


En cualquier caso, es obligatorio revisar la evaluación de riesgos de soborno en los
casos en los que haya cambios significativos, entre otros:
• En la estructura.
• En las actividades.
• Cambios en la legislación.
Diagramas P· I
• En la composición de la organización.
• Nuevas actividades. Figura 3 . Gestión de riesgos de soborno
Norma UNE-ISO 37001 . Recomendaciones y guío poro su implementación 77
76 Guío poro lo aplicación de UNE-ISO 37001:201 7

Metodología y criterios Por ejemplo, en el caso de la legislación española, la Ley Orgáni~a ~/2015 de
Reforma del Código Penal recoge, en el capítulo V, art. 419 y stgwentes, las
Para todas y cada una de las etapas de la evaluación de riesgos (identificación, análisis, disposiciones relativas al cohecho y en el artículo 286 las relativas al delito de
evaluación y priorización; y evaluación de la idoneidad y eficacia de los controles corrupción en los negocios.
establecidos para mitigar el riesgo) la organización debe establecer criterios.
También se recoge en el código penal español otro tipo de delitos afmes a los
Estos criterios deben incluir la metodología utilizada, los responsables de su realiza- anteriores que deberían valorarse y ana}izarse, entre otros, los siguientes: el
ción y aprobación, los procedimientos, instrucciones y recursos necesarios para ello. tráfico de influencias (arts. 428 a 430), la malversación de fondos (arts. 432 a
Se recomienda la consulta de la Norma UNE-ISO 31000 Gestión del riesgo. Principios 435), fraudes y exacciones ilegales (arts. 436 a 438) y de las negociac~on~s_y
y directrices y de la Norma UNE-EN 31010 Gestión del riesgo. Técnicas de apreciación actividades prohibidas a los funcionarios públicos y de los abusos en el qerctcto
del riesgo, donde se definen metodologías y criterios con un elevado nivel de detalle de su funetón (arts. 439 a 444).
para todas las etapas de la evaluación de riesgos. La organización también deberá tener en cuenta lo establecido en esta norma
Además de las mencionadas normas ISO, existen diversas metodologías y guías que con respecto a los pagos de facilitación, los cuales deberán ser tratados como
ayudan a la evaluación de los riesgos enfocadas al soborno, la corrupción y el fraude. sobornos por ser ilegales en la mayoría de lugires. Por lo tanto, deben ser pro-
Entre otras, podemos destacar las siguientes: hibidos por el sistema de gestión de antisoborno de la organización.
• A Guide for Anti-Corruption Risk Assessment, del Global Compact de Naciones • Identificar las partes interesadas implicadas: se deberá tener en cuenta lo
Unidas. comentado en anteriormente en este apartado y lo recogido en el apartado 4.2.
• Las recomendaciones'de la ONU y de la OECD. Por ejemplo, el riesgo de soborno a un funcionario por parte de un socio de
• La Association of Certified Fraud Exarniners (Asociación de Examinadores de negocio que trabaje en nombre o en representación de la organización.
Fraude Certificados, ACFE, por sus siglas en inglés). • Evaluar el riesgo de soborno: se tienen que defmir los criterios y factores de
• Bribery Risk Guide, del Institute of Risk Management (IRM) y Transparency evaluación.
Internacional UK. A continuación se proponen ejemplos de criterios:
Adicionalmente, como parte del proceso de identificación de los requisitos de las par- - Establecer un criterio de niveles:
tes interesadas (véase el apartado 4.2), las encuestas de percepción realizadas a partes
de interés relevantes (empleados, clientes o socios de negocio) son una herramienta • Con 3 niveles: "bajo", "medio", "alto".
muy útil a considerar como información para la evaluación del riesgo de soborno. • Con un enfoque más detallado: 5 o 7 niveles de criterios.
- Definir los factores para cada uno de los criterios: los más habituales se
Ejemplo de cómo realizar una evaluación de riesgos de soborno calculan tomando como base la probabilidad de que se produzca el soborno
y qué elementos considerar y el impacto o la magnitud de las consecuencias en caso de producirse. Por
ejemplo:
A continuación se propone un ejemplo de elementos y actividades que la orga-
• Probabilidad en función de, entre otros:
nización debería considerar a la hora de definir la metodología y sus criterios de
identificación, análisis y evaluación de riesgos. La lista es orientativa y no pretende - Rango del empleado.
ser exhaustiva: - Intervención o no de intermediarios.
• Identificar las distintas conductas y tipologías delictivas que pueden dar - Actividad centralizada o no.
lugar a la comisión de un riesgo de soborno: para ello, se deberá tener en
cuenta lo recogido en la legislación de aplicación a la organización y en aquellos Número de veces que se da la actividad.
convenios o acuerdos de aplicación a la organización. - Localización o país en el que se opera.
78 Guía para la aplicación de UNE-ISO 37001 :201 7 Norma UNE-ISO 37001 . Recomendaciones y gu ía para su implementación 79

• Impacto o consecuencia en función de que esta sea: penales y valorar su efic~cia para mi~ig~r el ries?o ~e su materialización. Se
- Leve. pueden considerar, por eJemplo, los s1gmentes cntenos:
Mediática. - No existe control.
Financiera. - Existe un control informal.
Estratégica. - Existe un control formalizado en una política.
Catastrófica. Existe un control documentado y revisado por un tercero.

El resultado de esta evaluación se suele representar en una tabla de doble entra- • Evaluar la idoneidad y eficacia de los controles existentes de la organiza-
da, donde en un eje se establece la probabilidad y en la otra el impacto (véase ción para mitigar los riesgos de soborno evaluados: con el resultado de la
la figura 4). evaluación de probabilidad e impacto y la evaluación de los controles, se obtiene
el resultado final. Este riesgo se puede clasificar en función de:
- Un criterio de 3 niveles: "bajo", "medio", "aito" .
Alto - Un criterio de enfoque más detallado: 5o 7 niveles más detallado.
A continuación se recoge un ejemplo de criterio de clasificación basado en 3
niveles (véase la figura 5).
- Bajo.
Medio
Medio.
- Alto.

Bajo
Alto

o
Remoto Posible

PROBABILIDAD
Probable A
o
A soborno a empleados Riesgo
inherente
B soborno a funcionario público e
e pagos de facilitación A : soborno a empleados
D : corrupción entre particulares

Figura 4 . Ejemplo de mapa de riesgos sencillo


j B : soborno a funcionario público
e : pagos de facilitación
D : corrupción entre particulares
Bajo

Este riesgo se suele considerar como el riesgo inherente a la actividad. Bajo - Grado de - Alto
control del riesgo

• Identificar los controles existentes de la organización para mitigar los Figura 5 . Evaluación de la idoneidad y eficacia de los controles
riesgos de soborno evaluados: en función de los riesgos evaluados, la orga-
nización debe identificar los controles existentes para cada uno de los riesgos En ocasiones este riesgo se considera el riesgo residual.
80 Guío poro lo aplicación de UNE-ISO 37001 :20 17 Norma UNE-ISO 37001 . Recomendaciones y gu ío poro su implementación 81

• Llevar a cabo acciones para mitigar y priorizar los riesgos: una vez realizada
la evaluación anterior, y en función del riesgo, la organización deberá planificar 5 Liderazgo
y llevar a cabo acciones para mitigar el riesgo.
Los resultados de la evaluación de riesgos se deben considerar y tomar como En este capítulo se abordarán los requisitos relacionados con las responsabilidades
referencia a la hora de establecer los objetivos y la planificación del sistema de del órgano de gobierno y de la alta dirección (véase el apartado 5.1), la política anti-
gestión antisoborno (véase el apartado 6 .1). Estos planes y acciones se tendrán soborno (véase el apartado 5.2) y los roles, responsabilidad y autoridades, incluidos
en cuenta y serán la base para la planificación y los objetivos. los de la función de cumplimiento antisoborno (véase el apartado 5.3 ).

Información documentada y evidencias 5.1 Liderazgo y compromiso


Para evidenciar el cumplimiento de los requisitos de esta norma, la organización debe 5.1.1 Órgano de gobierno
conservar los documentos y registros necesarios. Esto incluye, entre otros: Cuando lo organización cuente con un órgano de gobi~mo, dicho órgano debe demos-
• La lista de riesgos identificados. trar su liderazgo y compromiso con respecto al sistema de gestión ontisoborno o través de:

o) aprobar la política ontisoborno de la organización;


• Los criterios y la metodología utilizada.
b) asegurar que la estrategia de la organización y la política antisoborno se en-
• Los resultados de la evaluación.
cuentren alineadas;
• Las instrucciones o procedimientos documentados. e) recibir y revisar, a intervalos planificados, lo información sobre el contenido y el
• Las actas de evaluación. funcionamiento del sistema de gestión antisoborno de la organización;

d) requerir que los recursos adecuados y apropiados, necesarios para el funciona-


miento eficaz del sistema de gestión antisoborno, sean asignados y distribuidos;
Orientaciones y ejemplos
e) ejercer una supervisión razonable sobre la implementación del sistema de gestión
A continuación, a modo de orientación, se muestran algunos ejemplqs: antisoborno de la organización por la alta dirección y su eficacia.

• Una organización que opere en países donde el riesgo de soborno es más alto Estos actividades deben llevarse o cabo por la alto dirección, si la organización no
necesitará una evaluación de riesgos mucho más exhaustiva, con unos mayores tiene un órgano de gobierno.
niveles de detalle y de información requerida que otra que opere en un país con
un riesgo de soborno menor. 5.1.2 Alta dirección
• U na organización pequeña tendrá una metodología y una evaluación de riesgos Lo alta dirección debe demostrar liderazgo y compromiso con respecto al sistema de
menos detallada y extensa que una más grande que realice muchas actividades gestión antisoborno:
diferentes, con procesos complejos y mucho personal.
o) asegurándose de que el sistema de gestión ontisoborno, incluyendo la política
• Una organización que realice actividades y operaciones de elevados importes y los objetivos, se establezca, implemente, mantengo y revise paro bordar ade-
económicos y en el que intervengan varios socios de negocio, deberá tener una cuadamente los riegos de soborno de la organización;
metodología y una evaluación de riesgos de soborno mucho más detalladas y b) asegurándose de lo integración de los requisitos del sistema de gestión ontiso-
extensas que una que fabrique artículos de pequeño valor o precio y que impli- borno en los procesos de la.organización;
quen transacciones monetarias más pequeñas.
e) desplegando recursos suficientes y adecuados paro el funcionamiento eficaz del
sistema de gestión antisoborno;

d) comunicando interno y externamente lo relacionado con lo política antisoborno;


Norma UNE -ISO 37001 . Recomendaciones y guío poro su impl ementación 83
82 Guío poro lo aplicación de UNE-ISO 3700 1:20 17

e implementación del sistema. Regularmente debería recibir info rma ción sobre el desem-
e) comunicando internamente la importancia de la gestión eficaz antisoborno y la
peño del sistema mediante el proceso de revisión de la gestión (este podría ser para todo
conformidad con los requisitos del sistema de gestión antisoborno;
el órgano de gobierno, o un com ité del órga no, como el co mité de auditoría). En ese
n asegurándose que el sistema de gestión antisoborno esté diseñado adecuada- sentido , la función de cumplimiento antisoborno debería ser capaz de reportar informa-
mente para lograr sus objetivos; ción sobre el sistema directamente al órga no de gobierno (o a una comisión del mismo) .

g) dirigiendo y apoyando al personal para contribuir a la eficacia del sistema de A.5 .2 Algunas organizaciones, particularmente las más pequeña s, pueden no tener un
gestión antisoborno; órgano de gobierno independiente o los role s del órgano de gobierno y de la dirección
h) promoviendo una cultura antisoborno apropiada dentro de la organización; ejecutiva pueden estar combinados en un grupo o aún en un ind ividuo. En tales casos,
el grupo o individuo tendrán la s responsabilidades asignadas en este documento a la
i) promoviendo la mejora continua;
alta d irección y al órgano de gobierno.
il apoyando a otros roles pertinentes de la dirección, para demostrar su liderazgo NOTA El compromiso de liderazgo con frecuencia se conoce como "tono en lo cúspide" o "tono desde lo
en la prevención y detección de soborno en la medida en la que se aplique a cúspide".
sus áreas de responsabilidad; ,,
k) fomentando el uso de los procedimientos para reportar la sospecha de soborno
En este apartado, la norma establece las actividades y responsabilidades específicas
y el soborno real (véase 8.9);
del órgano de gobierno y de la alta dirección que, como máximos responsables de la
1) asegurándose de que ningún miembro del personal sufrirá represalias, discrimina- organización, deben demostrar su liderazgo y compromiso por medio de la realización
ción o medidas disciplinarias [véase 7.2.2.1 d)] o por informes hechos de buena de una serie de actividades fundamentales e imprescindibles para el cumplimiento de
fe o sobre la base de. una creencia razonable de violación o sospecha de violación la política y los objetivos del sistema de gestión antisoborno y para el funcionamiento
a la política de antisoborno de la organización, o por negarse a participar en el
y desempeño eficaz del mismo.
soborno, incluso si tal negativa puede dar lugar a la pérdida de negocios para
la organización (excepto cuando el individuo participó en la vi~lación);

m) reportando a intervalos planificados, al órgano de gobierno (si existe) sobre el Órgano de gobierno
contenido y el funcionamiento del sistema de gestión de antisoborno y de las
denuncias de soborno graves y/o sistemáticas.
Cuál es el órgano de gobierno

NOTA Véase el Capítulo AS poro orientación. En primer lugar, debe identificarse cuál es el órgano de gobierno de la organización.
La norma, es su apartado 3.7, define al órgano de gobierno como: cp,[grupo u órgano
que tiene la responsabilidad y autoridad final respecto de las actividades, la gobernanza
y las políticas de una organización, y al cual la alta dirección informa y por el cual rinde
A.5 Funciones y responsabilidades del órgano de gobierno cuentas)).
y la alta dirección A la hora de dar respuesta a los requisitos contenidos en este capítulo, se debe tener en
cuenta que en algunas jurisdicciones y leyes se establecen responsabilidades específicas
A.S.l Muchas organizaciones tienen algún tipo de órgano de gobierno, tal como un
y de obligado cumplimiento que pueden afectar a los mismos. En este capítulo nos
consejo de administración o consejo de control, que tiene responsabilidades de su-
pervisión general con respecto a la organización . Estas responsabilidades incluyen la
referiremos al órgano de gobierno según lo definido en el párrafo anterior, si bien
supervisión sobre el sistema de gestión antisoborno de la organización . Sin embargo ,
cada organización debe considerar y analizar la legislación de referencia que le sea
el órgano de gobierno generalmente no ejerce dirección día a día sobre las actividades de aplicación, ya que en algunas jurisdicciones se hace distinción entre el órgano de
de la organización . Esa es la funci ón de la dirección ejecutiva (por ejemplo, el director gobierno y los órganos de administración.
ejecutivo, director de operaciones, etc .), la misma a la que este documento se refiere
Así, nos podemos encontrar con:
como la " alta dirección". Por lo tanto, con respecto al sistema de gestión antisoborno, el
órgano de gobierno debería estar bien informado sobre el contenido y el funcionamiento • El órgano de gobierno como el órgano situado en un nivel jerárquico superior
del sistema y debería ejercer supervisión razonable con respecto a la adecuación, eficacia de la organización, a cuyo cargo está el establecimiento de las políticas y líneas
84
Guío poro lo aplicación de UNE-ISO 37001:201 7
Norma UNE · ISO 37001 · Recomendaciones y gula
• par0 su implementación 85

de actuación para su ejecución posterior por los órganos de administración y


.
. del compromiso y el liderazgo por p arte de los órganos de
dirección. Dependiendo del tipo de organización, podrá ser la junta de acci • Evidencias 1 • t a de gestión antisoborno
0 b' rno con e s1s em
nistas (en sociedades anónimas), la juma de socios (en sociedades limitadas),
la junta directiva (en asociaciones), el patronato (en fundaciones), etc. En el go '" ..d des evidencias que la norma establece
caso de las sociedades, posibilidad de accionista o socio único. A continuación vamos a concretar ~as acnvl a yeba de su liderazgo y compromlSO
uede bere alizar el órgano de. goblerno como pru
• El órgano de administración como el órgano que por delegación del órgano q el sistema de gestión antlsoborno: . ' .
de gobierno actúa como garante del correcto funcionamiento de la organiza. con lí · . bomo· enel ap arrado 5 ·2 se verá el conterudo rmrumo
b
ción, teniendo un carácter más ejecutivo y de relación con las panes internas • Aprobar la po nca annso , . . . b y otros requisitos que se de en
que tiene que incluir la polítlca antlso orno
y externas con las que se relaciona la organización. En el caso de sociedades
mercantiles, puede tomar la forma de consejo de administración, dos o más cumplir. · ·' lítica
administradores solidarios o mancomunados, o un administrador único. . .' herencia entre estrategia de la orgaruzaClon y po
• Asegurar la alineaClon
l b. y· cos y planes que reqmer. e la norma en su aparrado 6.1,
)
antisoborno: os o Jenvo ( , di 'tico código de conducta, etc.
Se debe tener en cuenta que las organizaciones deberán ordenarse considerando para así como otros documentos relevantes! ~:r~~:ices 'establecidas en la política.
la definición de responsabilidades, funciones y estructuras de gobierno el marco legal ue deberán ser coherentes y recoger a •. .'
bajo el cual están obligadas a operar.
q . d el funcionamiento del sistema de gestlon
• Revisar, a intervalos pl~fic_a, os, ello deberá basarse en la información
En el caso de organizaciones que operen en territorio español, se debe considerar y antisoborno de la orgaruzaclün: para . 1 alta dirección la función de
tener en cuenta lo recogido en la Ley de Sociedades de Capital. Esta ley, aprobada por l. e le proporc10ne a ' ,
e informes de comp tance qu . E el requisito 9.3.2 se veran as
ann~o
el Real Decreto Legislativc;i '1/2010, y posteriormente reformada por la Ley 31/2014, . b0 rno y otras funclünes. n 1
cumplimiento ., , . a ue debe incluir la revisión por parre
características y la informaclün rmrum q
establece requisitos de obligado cumplimiento y recomendaciones para las sociedades
de capital y sus órganos (véase el capítulo de este libro dedicado a la debida diligencia del órgano de gobierno. .
exigida a los administradores de sociedades de capital).
ados a ro iados y necesarios para el ~clo-
• Proporcionar los recursos adecu . ~ p dsoborno y que estos sean aslgna-
Adicionalmente, en el código de buen gobierno de las sociedades cotizadas de febrero namiento eficaz del sistema de ges~o~ :U:
1 s humanos los materiales, los
de 2015 se establecen recomendaciones adicionales para las empresas cotizadas en dos y distribuidos: estos recursos me mran o '
relación con aspectos generales y recomendaciones sobre la junta general de accio- ómicos y los informáticos, entre otros. .
nistas y el consejo de administración.
econ . la rm· plementación y eficaCla del
• Supervisar a la _alta _ecClon ~~además de la revisión periódica exigida por ~a
dir · ' a garantiZar
sistema de gesnón antlsobom .ór ano de obierno debe realizar una s~pervl­
A los efectos de esta norma, se entenderá por órganos de gobierno tanto al órgano
3
de gobierno propiamente dicho como al órgano de administración, en el caso de que
exista esa diferenciación entre ambos, considerando siempre que son los órganos a los
norma en su aparrado 9._ :2,
el galizad g orla alta dirección para la rmple-
.ó periódica de las actlvldades re as p .
que la alta dirección informa y rinde cuentas, y son los que tienen la responsabilidad s1 n
mentación .
y eficacia del Slstema d e gestión antlsoborno.
.
y autoridad última de buen gobierno y estrategia en la organización.
Debemos destacar que todas estas acti~ida~~s son indelegables y deben ser realizadas
En el caso de pequeñas y medianas empresas, es habitual que los socios, dueños o r el ór ano de gobierno de la orgaruzaclün. .
propietarios ejerzan las labores de dirección, por lo que las personas que componen
po g 1, o de gobierno puede ser considera-
La no realización de alguna de ellas por e odrgl~ tema de gestión antisoborno de la
el órgano de gobierno y de la alta dirección pueden coincidir.
da como un m . cumplimiento grave dentro e SlS
Por último, comentar que algunas organizaciones pueden tener un órgano de go-
bierno como alta dirección, mientras que algunas organizaciones pueden tener las organización. ·· ncio
responsabilidades divididas en varios órganos. .
Postenormente . , anatizando cada uno de estos aparrados y reqmsltos me
se rran -
nadas con mayor detalle.
Norma UNE-ISO 3700 1. Recomendaciones y guío poro su implementación
87
86 Guío poro lo aplicación de UNE-ISO 37001: 2017

• Dirigir y apoyar al personal para contribuir a la eficacia del sistema de gestión


Alta dirección
antisoborno.
Quién es la alta dirección
• Promocionar una cultura antisoborno apropiada dentro de la organización.
La norma de~e en su apartado 3.6 a la alta dirección como: cc¡_a persona 0 grupo de
personas que dmgen y controlan una organización al más alto nivefJ. • Promover la mejora continua.
• Apoyar a otros roles pertinentes de la dirección, para demostrar su liderazgo en
S~ deben co,nsiderar como_alta dirección a aquellos directivos que tengan dependencia
la prevención y detección de soborno en la medida en la que se aplique a sus
~recta del organ~ de ~obt~rno de la or~~ac~ón y que habitualmente incluye a los
dtrectores, el eqwpo directivo y el connte de dirección de la organización. áreas de responsabilidad.
• Fomentar el uso de los procedimientos para reportar la sospecha de soborno y
En algunas org~~ciones pueden tener las responsabilidades de alta dirección des-
plegadas en vanos organos o comités. el soborno real.
• Asegurarse de que ningún miembro del personal sufrirá represalias, discrimi-
~o. habitual e~ que la alta di~ección sea quien ejecute las directrices y políticas de-
nación o medidas disciplinarias como consecu~pcia de la información aportada
ctdidas ~n el organo de gobterno y la que tiene el poder para delegar autoridad y
de buena fe o sobre la base de una sospecha o creencia razonable de violación
proporciOnar recursos dentro de la organización.
de la política de antisoborno de la organización, o por negarse a participar en
Co~o mencionamos con anterioridad, a la hora de aplicar los requisitos de este el soborno, incluso si tal negativa puede dar lugar a la pérdida de negocios
c~pttulo debemos tener en_cuenta que las organizaciones podrán organizarse depen- para la organización (excepto cuando el individuo participó en la violación).
diendo del ~arco legal baJO el .cual están obligadas a operar y también de acuerdo
• Informar al órgano de gobierno a intervalos planificados sobre el contenido y
con su tamano, sector, etc. •
el funcionamiento del sistema de gestión de antisoborno y de las denuncias de
soborno graves y/o sistemáticas.
Evidencias de compromiso y liderazgo por parte de la alta dirección
Al igual que en el caso del órgano de gobierno, debemos destacar que todas estas acti-
A con~uaci?,n se recoge? las ~ctividades que la norma establece para realizar por vidades son indelegables y deben ser realizadas por la alta dirección de la organización.
la al~a dire~c10n como evtdencta de su liderazgo y compromiso con el sistema de La no realización de alguna de ellas puede ser considerada como un incumplimiento
gestión antlsoborno: grave dentro del sistema de gestión antisoborno de la organización.
• Asegurarse de ~ue el sistema de gestión antisoborno, la política y los objetivos En los próximos capítulos y apartados del libro iremos analizando cada uno de estos
se estable:z¿:an, 1mplementen, mantengan y revisen, y que estén alineados con requisitos con mayor detalle.
la estrategta de la organización.
• Asegurarse de la integración de los requisitos del sistema de gestión antisoborno
en los procesos de la organización.
5.2 Política antisoborno
• Dotar al sis~ema d_e gestión antisoborno de recursos suficientes y adecuados
La alta dirección debe establecer, mantener y revisar una política antisoborno que:
para su functonannento eficaz.
a) prohíba el soborno;
• Comunicar interna y externamente la política antisoborno.
b) requiera del cumplimiento de las leyes antisoborno que sean aplicables a la
• Comunicar ~a_import~cia de la gestión eficaz antisoborno y la conformidad organización;
con los reqwsttos del ststema de gestión antisoborno.
e) sea apropiada al propósito de la organización;
• Asegurarse de que el sistema de gestión antisoborno esté diseñado adecuada- d) proporcione un marco de referencia para el establecimiento, revisión y logro de
mente para lograr sus objetivos.
los objetivos antisoborno;
Norma UNE-ISO 37001 . Recomendaciones y guío poro su implementación 89
88 Guío poro lo aplicación de UNE-ISO 37001 :20 17

• Incluir el compromiso de cumplir los requisitos aplicables al sistema ?e ~~s­


e) incluya el compromiso de cumplir los requisitos del sistema de gestión antiso- tión antisoborno: tanto los obligatorios como aquellos que la orgamzac10n
borno; se compromete a cumplir (códigos de conducta, buenas prácticas, convenios
~ promuevo el planteamiento de inquietudes de bueno fe o sobre la base de una internacionales, etc. ).
creencia razonable, en confianza y sin temor a represalias; • Fomentar y promover que las partes interesadas externas e internas ~lanteen
g) incluya un compromiso de mejora continua del sistema de gestión antisoborno; cuestiones de buena fe o con evidencias razonables, con confianza y sm temor
h) explique la autoridad y lo independencia de lo función de cumplimiento antiso- a represalias : si existe dicho temor, se puede hacer referencia a la política de no
borno; y represalias o documento similar.
i) explique los consecuencias de no cumplir con lo política ontisoborno. • Incluir el compromiso de mejora continua del sistema de gestión antisoborno.

La político antisoborno debe: • Designar a la persona o personas responsables de la ~ción de ~p~ento


antisoborno y explicar la autoridad encomendada y la mdependenoa asignada
- estar disponible como información documentado;
a dicha función para realizar sus actividades. ,.
- comunicarse en los idiomas apropiados dentro de lo organización y a los socios
de negocios que representan más que un riesgo bajo de soborno;
• Explicar las consecuencias de no cumplir con la política antisoborno.
- estor disponible o las partes interesadas pertinentes, según corresponda. • Hacer referencia al sistema disciplinario.

La poütica antisoborno es ~no de los elementos principales y más relevantes del Requisitos adicionales sobre la política antisoborno
sistema de gestión antisoborno. En ella se establecen las .directrices y la dirección al La política antisoborno debe:
más alto nivel en materia antisobórno. Esta, junto a otras poüticas, debería constituir
una referencia para lograr los objetivos y estrategias en materia de prevención y lucha • Estar documentada en cualquier soporte (papel, electrónico o de otro tipo)
contra el soborno. disponible para su consulta. La política puede estar incluida en un código ético
o código de conducta o hacer referencia al mismo.
Debido a su im~~rtanci_a, la norma requiere que alta dirección establezca, revise y
mantenga la política annsoborno y que el órgano de gobierno la apruebe. • Comunicarse en los idiomas apropiados dentro de la organización y a los socios
de negocios que representan más que un riesgo bajo de soborno.
Se espera que la organización sea proactiva y transmita claramente su compromiso
de lucha contra el soborno, la reducción del riesgo y la mejora continua. Por ello • Estar disponible a las partes interesadas pertinentes, según corresponda. Es
además de otro contenido que la organización decida incluir, la poütica antisoborn¿ habitual que esté publicada en la página web de la organización, donde puede
de la organización debe recoger expücitamente dentro de su poütica antisoborno ser consultada, además de en otros medios o soportes, como manuales, comu-
como mínimo, lo siguiente: ' nicaciones con las partes interesadas, carteles, etc.

• La prohibición del soborno.


Recomendaciones adicionales sobre la política antisoborno
• E~gi~,el cumplimiento de las leyes antisoborno que sean aplicables a la orga-
ruzac10n. La política antisoborno debería:
• Debe ser adecuada al propósito de la organización: la poütica debería incluir • Recoger el alcance del sistema de gestión de manera clara, detallando las acti-
las ac~vi?-ades ~ue realiza la organización, el alcance del sistema de gestión y vidades, países y organizaciones incluidas dentro del mismo.
los pnnc1pales nesgos de soborno a los que debe hacer frente la misma.
• Indicar las partes interesadas a las que se aplica el sistema de gestión antisoborno.
• Debe proporcionar un marco de referencia para el establecimiento, revisión
y_logr~ de los objetivos antisoborno: debería recoger e indicar las principales
• Estar claramente definida para permitir su trazabilidad con los objetivos del
directriCes y acc10nes a llevar a cabo en esta materia. sistema de gestión
90 G uío para la aplicación de UNE-ISO 3 7001 :20 17
Norma UNE-ISO 3700 1. Recomendaciones y guío poro su impl ementación 91

5.3 Roles, responsabilidades y autoridades en la organización Roles y responsabilidades


5.3.1 Roles y responsabilidades Como se mencionó anteriormente, en el apart~do ?;1.2 se recogen una serie de res-
ponsabilidades que debe llevar a cabo la alta d1recC1on. .
La alta dirección debe tener la responsabilidad general de la implementación y el cum-
plimiento del sistema de gestión antisoborno tal como se describe en el apartado 5.1 -2. La alta dirección tiene la responsabilidad general de la irr_l~lementación y del cumpli-
. nto del sistema de gestión antisoborno. Por ello, adiciOnalmente a las responsa-
La alta dirección debe asegurarse de que las responsabilidades y autoridades para los
:dades recogidas en ese apartado, la alta dirección debe asegurarse de que:
roles pertinentes se asignen, se comuniquen dentro y a través de todos los niveles de
la organización. • Se identifican todas las funciones o roles relevantes para el sistema de gestión
Los directores en cada nivel deben ser responsables de requerir que los requisitos del
antisoborno y se definen claramente todas sus responsabilidades y autoridades
sistema de gestión antisoborno se apliquen y se cumplan en su departamento o función . para cada una de ellas.

El órgano de gobierno (si existe), la alta dirección y cualquier otro miembro del perso- • Se comunican las funciones, responsabilidades y autoridades a todos los niveles
nal deben ser responsables de entender, cumplir y aplicar los requisitos del sistema de de la organización. •.
gestión antisoborno en lo que respecta a su rol en la organización.
Entre las funciones relevantes a identificar podemos destacar, entre otras, aquellas
que se encargan de:
Todas las personas que realicen actividades que tengan incidencia en el sistema de
gestión antisoborno deben co~cx;er sus funciones, responsabilidades, y las autoridades • Identificar y evaluar los riesgos de soborno.
asociadas a las mismas para su desempeño.
• Impartir formación y sensibilización.
Tanto los roles como las responsabilidades y las autoridades deben estar claramente • Gestionar los canales de comunicación.
definidas y documentadas en procedimientos, manuales y otros documentos del sis-
tema de gestión antisoborno. • Gestionar las denuncias.
• Aplicar el sistema disciplinario.
Autoridad • Designar a los auditores internos.
Si bien los roles y las responsabilidades suelen estar por lo general correctamente • Designar a los responsables de los controles.
definidas y documentadas, no es tan habitual encontrarse con la determinación clara • Realizar la debida diligencia.
de las autoridades necesarias para llevar a cabo las funciones y responsabilidades
establecidas. La alta dirección debe otorgar el poder de decisión necesario para La alta dirección debe asegurarse de que existe un despliegue d~ ~oles, responsabi-
lograr los objetivos planificados.
lidades y autoridades a todos los departamentos, procesos o actividades de _la_orga-
En la práctica y en el día a día es bastante frecuente que en muchas organizaciones nización. Los responsables al nivel de estos departamentos, procesos o actiVIdades
la alta dirección defina funciones y responsabilidades, pero no tanto la autoridad se encargarán de cumplimiento de los requisitos del sistema de gestión antisoborno.
necesaria para poder ejercerlas. La responsabilidad asignada a una persona o comité Estas responsabilidades y autoridades deberán estar documentadas y definidas en la
debe ser coherente con la autoridad de la misma, y viceversa.
documentación del sistema de gestión antisoborno. Pueden recogerse en un manual
A continuación vamos a analizar una serie de roles y responsabilidades del órgano del sistema de gestión antisoborno, en procedimientos, reglamentos, protocolos u
de gobierno y la alta dirección adicionales a las ya recogidas anteriormente. Por otra otros documentos del sistema de gestión antisoborno.
parte, se revisarán las responsabilidades de una de las funciones clave en el sistema
de gestión antisoborno: la función de cumplimiento. Finalizaremos este capítulo
con el proceso de delegación de la toma de decisiones.
Norma UNE-ISO 37001 . Recomendaci ones y guío poro su implementación 93
92 Guío poro lo aplicación de UNE-/SO 37001:2017

mplimiento antisoborno, y esto es aceptable siempre que un supervisor apropiado ,


5.3.2 Función de cumplimiento antisoborno ~~ntro de la organizaci ó n, tenga
la autoridad y responsabilidad general sobre la función
La alta dirección debe asignar a la función de cumplimiento antisoborno la responsa- de cumplimiento antisoborno y supervise los servicios prestados por una tercera parte .
bilidad y autoridad paro: A.6 .2 Este documento exige que la fun ción de cumplimiento antisoborno esté com-
a) supervisar el diseño e implementación del sistema de gestión antisoborno por puesta por personas que tengan la competencia, estatus, autoridad e independencia
parte de la organización; adecuados:
b) proporcionar asesoramiento y orientación al personal sobre el sistema de gestión a) "competencia" significa que las personas pertinentes tengan una educación,
antisaborno y las cuestiones relacionadas can el soborno; competencia o experiencia apropiadas, la capacidad personal para afrontar las
exigencias de la función y la capacidad para aprender sobre el papel y realizarlo
e) asegurarse de que el sistema de gestión antisoborno es conforme con los requi-
sitos de este documento; adecuadamente;
b) "estatus" significa que otras personas son propensas a escuchar y respetar las
d) informar sobre el desempeño del sistema de gestión antisoborno al órgano de
gobierno {si existe) y a la alta dirección y a otras funciones de cumpl imiento, ,,
opiniones de la persona asignada a la responsabilidad de cumplimiento ;
según corresponda. e) " autoridad" significa que a la persona pertinente asignada para la responsabi-
lidad de cumplimiento le sean concedidos poderes suficientes por el órgano de
La función de cumplimiento antisoborno debe ser provista de recursos adecuados y gobierno (si existe) y la alta dirección así como para poder realizar con eficacia
asignada a las personas que tengan la competencia, la posición, la autoridad y la
las responsabilidades de cumplimiento;
independencia apropiadas.
d) "independencia" significa que la persona pertinente asignada para la respon-
La función de cumplimiento' antisoborno debe tener acceso directo y rápido al órgano sabilidad de cumplimiento, tanto como sea posible, no esté involucrada per-
de gobierno (si existe) y a la alta dirección en el caso de que. necesite plantear cualquier sonalmente en las actividades de la organización que se exponen al riesgo
cuestión o inquietud en relación con el soborno o el sistema de gestión antisoborno. de soborno . Esto puede lograrse más fácilmente cuando la organización ha
La alta dirección puede asignar parte o la totalidad de la función de cumplimiento designado una persona para manejar el rol a tiempo completo, pero es más
antisoborno a personas externas a la organización. Si lo hace, la alta dirección debe difícil para una organización más pequeña en la que se ha designado una
asegurar que personal específico tenga la responsabilidad y autoridad sobre aquellas persona para combinar el rol de cumpl imiento con otras funciones . Cuando la
partes de la función asignadas externamente. función de cumplimiento antisoborno es a tiempo parcial, la función no debería
realizarse por un individuo que puede estar expuesto a soborno al realizar su
NOTA Véase el Capítulo A.6 poro orientación.
función primaria . En el caso de una organización muy pequeña, donde puede
ser más difícil lograr la independencia, la persona adecuada debería, según
su capacid ad, separar sus otras responsabilidades de sus responsabilidad es de
A.6 Función de cumplimiento antisoborno cumplimiento con el fin de ser imparcial.
A.6 . 1 El número de personas que tr~bajan en la función de cumplimiento antisobor-
A.6.3 Es importante que la función de cumplimiento antisoborno tenga acceso di-
no depende de factores como el tamaño de la organización, el grado de riesgo de
recto a la alta dirección y, al órgano de gobierno (si existe), con el fin de comunicar
soborno que enfrenta la organización y la carga de trabajo resu ltante de la función. En
información relevante. La función no debería tener que informar únicamente a otro
una pequeña organización, es probable que la función de cumplimiento antisoborno
director de la cadena que luego informe a la alta dirección, ya que esto aumenta el
la desarrolle una persona a quien se le asigne esta responsabilidad a tiempo parcial y
riesgo de que el mensaje dado por la función de cumplimiento antisoborno no sea
quien combine esta responsabilidad con otras responsabilidades. Cuando lo justifiquen
total o claramente recibido por la alta dirección . La función de cumplimiento antiso-
el grado de riesgo de soborno y carga de trabajo resultante, la función de cumplimien-
borno también debería tener una relación de comunicación directa con el órgano de
to antisoborno puede hacerla una persona a la que se le asigne la responsabilidad a
gobierno (si existe) , sin tener que pasar por la alta dirección. Esto puede producirse
tiempo completo . En organizaciones grandes, la función suele ser atendida por varias
con el órgano de gobierno completo (por ejemplo, un consejo de administración o un
personas . Algunas organizaciones pueden asignar responsabilidad a un comité que in-
consejo de control) o con un comité especialmente delegado del órgano de gobierno
corpore una gama de conocimientos especializados pertinentes. Algu nas organizaciones
o la alta dirección (por ejemplo, un comité de auditoría o de ética) .
pueden optar por utilizar un tercero para realizar parte o la totalidad de la función de
Norma UNE -ISO 37001 . Recomendaciones y guío para su implementación 95
94 Guía para la aplicación de UNE-/SO 37001 :2017

A.6.4 La responsabilidad primordial de la función de cumplimiento antisoborno es


• Informar sobre el desempeño del sistema de gestión antisoborno al órgano
supervisar el diseño e implem entac ión del sistema de gestión antisoborno. Esto na de gobierno y a la alta dirección y a otras funciones de cumplimiento, según
debería confu nd irse con la re sponsabilidad directa de la actuación antisoborno de la corresponda.
organización y el cumplimiento de las leyes antisoborno . Cada uno es responsable de
llevar a cabo de una manera ética y obediente, conforme a los requisitos del sistema Como comentarios adicionales, se deben tener en cuenta los siguientes:
de gestión antisoborno de la organ ización y las leyes antisobo rn o . Es particularmente • La alta dirección debe proveer de los recursos adecuados y necesarios para poder
importante que la dirección tome el liderazgo en el cumplim iento de la s partes de la realizar todas las actividades requeridas anteriormente. Estos recursos pueden
organización sobre las que tiene responsabilidad . ser humanos, materiales, económicos o informáticos, entre otros.
NOTA Uno orientación adicional puede encontrarse en la Norma ISO 19600. • El órgano de gobierno y la alta dirección deben garantizar y facilitar un acceso
directo y rápido por parte de la función de cumplimiento, en el caso de que
necesite plantear cualquier problema o inquietud en relación con el soborno o
Además del órgano de gobierno y de la alta dirección, la función de cumplimiento
el sistema de gestión antisoborno.
antisoborno es una de las funciones clave que establece esta norma.
• La comunicación con el órgano de gobierno d~be ser directa, sin necesidad de
La norma define la función de cumplimiento antisoborno como: (Personas con respon- tener que pasar por la alta dirección. Esto puede realizarse directamente con el
sabilidad y autoridad para la operación del sistema de gestión antisobornoyy.
consejo de administración o con un comité especialmente delegado del órgano
Esta ~nción puede ser llevada a cabo por una persona o por un comité u órgano de gobierno, como, por ejemplo, un comité de auditoría o de responsabilidad
colegiado. En algunas organizaciones esta función puede recaer en el compliance officer. social corporativa .
.
En organizaciones grandes puede ser realizada por un comité que incorpore personas • Por último, es preciso indicar que la alta dirección puede asignar parte o la
con diferentes conocimientos y experiencia, mientras que en una más pequeña, es totalidad de la función de cumplimiento antisoborno a personas externas a la
probable que la haga una persona, a tiempo parcial y combinada con otras respon- organización. En este caso, la alta dirección deberá asegurarse de que el res-
sabilidades. ponsable de la función de cumplimiento antisoborno supervise los servicios
contratados y asignados extérnamente.
Deberá asignarse a la persona o personas que tengan la competencia, la posición, la
autoridad y la independencia apropiadas para poder realizar estas actividades correc-
tamente y con eficacia.
5.3.3 Delegación de la toma de decisiones
Asimismo, deberían estar documentadas en un documento del sistema de gestión
Cuando lo alta dirección delegue al personal la autoridad para la toma de decisiones
antisoborno. Por ejemplo, en un manual del sistema de gestión antisoborno, en un
en las que existe más que un riesgo bajo de soborno, la organización debe establecer
reglamento o documento similar que regule el funcionamiento de la función de
y mantener un proceso de toma de decisiones o un conjunto de controles que requie-
cumplimiento antisoborno.
ran que el proceso de tomo de decisiones y el nivel de autoridad de las personas que
La función de cumplimiento debe tener las responsabilidades y autoridades para toman las decisiones sean apropiados y estén libres de conflictos de intereses reales
realizar las siguientes actividades: o potenciales. La alta dirección debe asegurarse de que estos procesos se revisen pe-
riódicamente como parte de sus roles y responsabilidades para la implementación Y el
• Supervisar el diseño correcto y la implementación del sistema de gestión anti- cumplimiento del sistema de gestión ontisoborno que se describe en el aportado 5 .3 _1.
soborno por parte de la organización.
NOTA La delegación de tomo de decisiones no exime o lo alto dirección o al órgano superior, si existen,
• Proporcionar asesoramiento y orientación al personal sobre el sistema de gestión de sus deberes y responsabilidades descritos en los aportados 5 .1 .1, 5 . 1 .2 y 5 .3. 1, ni transfiere,
antisoborno y las cuestiones relacionadas con el soborno. necesariamente, los posibles responsabilidades legales al que se le delegó esto función .

• ~egurarse de que el sistema de gestión antisoborno es conforme con los requi-


Sitos de la norma. Para ello, establecerá los mecanismos y controles necesarios En los casos en los que se delegue la autoridad por parte de la alta dirección para
para lograr este objetivo. tomar decisiones en las que exista un riesgo de soborno superior a bajo, la norma
96 G uía para la aplicación de UNE-ISO 37001:20 17
Norma UNE -ISO 3 700 1. Recomendaciones y guía para su implementación 97

establece la necesidad de establecer un proceso de toma decisiones o un conjunto de


controles para evitar conflictos de intereses. 6 Planificación
La norma defme conflicto de intereses como: "Situación donde los intereses de ne- 6.1 Acciones para tratar riesgos y oportunidades
gocios, fmancieros, familiares, políticos o personales podrían interferir con el juicio
de valor del personal en el desempeño de sus obligaciones hacia la organización"_ Al planificar el sistema de gestión antisoborno, la organización debe considerar las
cuestiones referidas en el apartado 4.1 y los requisitos referidos en el apartado 4 .2, y
En la práctica, para evitarlos, la delegación puede consistir en la elaboración y apro- determinar los riesgos identificados en el aportado 4 .5 y oportunidades para mejorar
bación de un procedimiento o mediante otro tipo de mecanismos o controles como que es necesario enfrentar con el fin de:
comités de supervisión, autorizaciones o dobles o triples firmas.
a) asegurar razonablemente que el sistema de gestión antisoborno puede lograr
Se deben considerar tanto los conflictos de intereses reales como los potenciales. sus objetivos;

b) prevenir o reducir efectos no deseados relacionados con la política y objetivos


del sistema antisoborno;

e) hacer seguimiento de la eficacia del sistema de·gestión antisoborno;

d) lograr la mejora continua. La organización debe planificar:

- las acciones paro abordar estos riesgos de soborno y las oportunidades de


mejora;

- la manera de:

integrar e implementar las acciones en sus procesos del sistema de gestión


antisoborno;

- evaluar la eficacia de estas acciones.

El proceso de planificación y establecimiento de objetivos del sistema de gestión


antisobomo debería comenzar una vez que la organización ha analizado los riesgos,
las oportunidades y las acciones necesarias que surgen del análisis de dos fuentes
principales:
• El contexto de la organización. Incluye el análisis de :
Las cuestiones externas e internas relevantes (véase el apartado 4.1) .
Las partes interesadas y sus necesidades (véase el apartado 4.2).
Determinar el alcance (véase el apartado 4.3) y las bases del sistema de ges-
tión antisobomo (véase el apartado 4.4).
- La evaluación de riesgos (véase el apartado 4.5 ).

• Las actividades de compromiso y el liderazgo definidas:


- Las responsabilidades y autoridades.
98 Guío poro lo aplicación de UNE-ISO 37001:207 7 Norma UNE -ISO 3700 1. Recomendaciones y guío poro su implementación 99

- Política antisoborno.
Cuando se hace lo planificación poro lograr los objetivos del sistema de gestión anti-
- Funciones de cumplimiento. soborno, lo organización debe determinar:

- Otros compromisos y requisitos establecidos en el capítulo 5 de liderazgo. - qué se va o hacer;


- qué recursos se requerirán;
Como vimos en capítulos anteriores, el análisis puede realizarse mediante un DAFO
- quién será responsable;
u otro tipo de metodologías.
- cuándo se alcanzarán los objetivos;
El resultado del análisis de los púntos anteriores debe dar lugar a que la organización
establezca un plan anual o un plan estratégico, en el caso de que la planificación - cómo se evaluarán e informarán los resultados;
abarque más de un año, con las decisiones y acciones a realizar. - quién va a imponer sanciones o penalidades.

Dicho plan deberá permitir a la organización abordar los riesgos de soborno y las
oportunidades detectadas, recoger los objetivos y acciones o líneas de actuación,
así como integrar e implementar estas acciones dentro de sus procesos de gestión y A la hora de planificar, establecer y fijar los objetivo,ti, la organización debe tener en
evaluar la eficacia de las acciones. cuenta los siguientes requisitos que deben cumplir los mismos:

La planificación puede consistir en un único plan de acciones y objetivos o en varios • Ser coherentes con la política antisoborno.
planes integrados y relacionados que consideren, entre otros, planes de formación, • Ser medibles: es más difícil valorar la consecución de todo aquello que no se
planes de control, planes de _mejora, auditoría, etc. puede medir.
• Tener en cuenta los factores de los mismos en el contexto de la organización,
sus partes interesadas y los riesgos de soborno identificados en el apartado 4.5 .
6.2 Objetivos antisoborno y planificación para lograrlos • Ser alcanzables: los objetivos excesivamente optimistas o ambiciosos pueden
dificultar su cumplimiento y logro, además de crear desánimo a la hora de llevar
Lo organización debe establecer los objetivos del sistema de gestión antisoborno para
los funciones y niveles pertinentes.
a cabo acciones.

Los objetivos del sistema de gestión ontisoborno deben : • Ser objeto de seguimiento: se debe establecer un método, una frecuencia y un
responsable o responsables de este seguimiento; además, debe quedar evidencia
a) ser coherentes con lo político antisoborno; de todo ello.
b) ser medibles (si es posible);
• Comunicarse de acuerdo con lo descrito en el apartado 7.4 de la norma: la
e) tener en cuento los factores aplicables referidos en el aportado 4.1, los requi- comunicación es un elemento relevante y necesario para la consecución y sen-
sitos referidos en el apartado 4 .2 y los riesgos de soborno identificados en el sibilización hacia los objetivos.
apartado 4.5;
• Actualizarse según corresponda: los objetivos no son estáticos y estables en el
d) ser alcanzables; tiempo, sino que deben ser actualizados y revisados en función de la evolución
e) ser objeto de seguimiento; de la propia actividad de la organización y de los resultados y el funcionamiento
del sistema de gestión.
~ comunicarse de acuerdo con el apartado 7.4, y

g) actualizarse, según correspondo. Para facilitar su logro, la sensibilización y el compromiso con el cumplimiento de
los mismos, los objetivos deben desplegarse y hacerse llegar a las funciones y niveles
Lo organización debe conservar información documentada sobre los objetivos del sis- pertinentes.
tema de gestión antisoborno.
Norma UNE -ISO 37001 . Recomendaciones y guío poro su implementación 101
100 Guío poro lo aplicación de UNE-ISO 37001 :2017

Ejemplos de objetivos: Ejemplo de planificación de objetivos .


d como referencia alguno de los ejemplos de objetivos menClonado~ ante-
• Ampliar la formación, la duración y el contenido de la formación en materia
~oman to a continuación recogemos un sencilla planificación a modo de eJemplo
de soborno. normen e,
(véase la tabla l ).
• Establecer bonus o incentivos en el caso de que no se detecte ningún tipo de
incidente relacionado con el soborno. Tabla l . Ejemplo de planificación
• Incrementar el número de acciones de sensibilización a socios de negocio en
materia de prevención del soborno.
.---Objettvo
. Qué Recursos Responsable Plazo Seguimiento

Función de Fin de año Trimestral en


t-
Contratar una 15 .000 euros
• Implementar y certificar el sistema de gestión según la Norma ISO 37001. Incrementar cumplimiento las reuniones
el número de consultora externa
y director de del comité de
• Reducir el número de resultados negativos en los controles. acciones de que elaborará el
compras dirección
sensibilización material e impartirá
• Incrementar el porcentaje de los controles relacionados con el delito de cohecho.
0 socios de
la formación ..
negocio en Análisis detallado
• Incrementar el número de horas de formación del consejo de administración y
materia de de los socios de
del comité de dirección. prevención negocio
del soborno
• Mejorar el resultado de las debidas diligencias realizadas a los socios del negocio. Mensual en
Una Responsables Fin del primer
Reducir el Revisar todos
de áreas semestre la reuniones
los controles semana de
número de del comité de
establecidos dedicación
Contenido de los planes resultados cumplimiento
negativos en Ampliar la Función de
los controles cumplimiento
La planificación y los objetivos deben documentarse. Los planes deben dar respuesta formación a
a las siguientes preguntas e incluir todos los elementos siguientes: las personas
implicados
• Qué se va a hacer: acciones o actividades a llevar a cabo.
• Qué recursos se requerirán:
Humanos: esto debe incluir la asignación de suficientes personas (ya sea
internos o externos) a la función de cumplimiento antisoborno.
- Materiales: por ejemplo, espacio de oficina, muebles, hardware y software de
los equipos informáticos, materiales para formación, teléfonos, papelería, etc.
- Financieros: entre otros, debería existir un presupuesto suficiente, incluyendo
a la función de cumplimiento antisoborno, para que el sistema de gestión
antisoborno funcione con eficacia.
• Quién será responsable: órgano de gobierno, directores, función de compliance,
mandos intermedios, otros.
• Cuándo se alcanzarán los objetivos: fechas, plazos.
• Cómo se evaluarán e informarán los resultados: mediante indicadores, informes
de compliance, a través del responsable correspondiente, de comités, otros.
102 Guío poro lo aplicación de UNE-ISO 37001:2017
Norma UNE-ISO 37001. Recomendaciones y guío poro su implementación 103

7 Apoyo Estos recursos dependerán del tamaño y de la naturaleza del negocio de la organi-
zacíón, ya que los posibles riesgos varían en número y tipo según el mercado en el
7.1 Recursos que opere la compañía y el alcance de la misma. Deberán estar claramente identifi-
cados y localizados en los diferentes puestos y lugares de la organización donde sean
La o_rg~nizac~ón debe determinar y proporcionar los recursos necesarios para el esta.
necesarios y su objetivo final será el correcto funcionamiento del sistema de gestión
ble~1m1ento, Implementación, mantenimiento y mejora continua del sistema de gestión antisoborno. Dependiendo de la capacidad de la organización, estarán asignados
anhsoborno.
directamente al sistema de gestión antisoborno o serán compartidos con otros siste-
NOTA Véase el Capítulo A.7 poro orientación. mas o funciones. Existirán compañías donde el departamento de compliance destine
recursos específicamente al sistema, mientras en otras organizaciones pueden no estar
identificados como tal y englobarse dentro de otras funciones dentro de la empresa.
A. 7 Recursos En organizaciones de tamaño pequeño, donde incluso el compliance puede estar en-
marcado dentro del departamento legal, de auditoría, de calidad o del frnanciero, los
Los recursos necesarios dependen de factores como el tamaño de lo organizació n,
recursos destinados al sistema de gestión antisobomo podrán significar una pequeña
lo naturaleza de sus operaciones y los riesgos de soborno que enfrento. Los recursos
mcluyen, por ejemplo. parte dentro de otras funciones . •.

a) Re~~rsos humanos : debería haber suficiente personal capaz de brindar tiempo


suf1c1ent: o sus responsabilidades ontisoborno pertinentes, poro que el sistema
de gest1on ant1soborno pueda funcionar con eficacia . Esto incluye la asignación 7.2 Competencia
de suf1c1entes personos (ya sean internas o externas) a la función de cumplimien-
to antisoborno. 7.2.1 Generalidades

b) ~~cursos físicos : deberían existir los recursos físicos necesarios en la organiza-


La organización debe:

Cion, mc,luyendo a la función de cumplimiento antisoborno, paro que el sistema a) determinar la competencia necesaria de las personas que realizan, bajo su
de gest1on ant1soborno funcione con eficacia . Por ejemplo, espacio de oficina control, un trabajo que afecte al desempeño antisoborno;
muebles, hardware y software de computadoras, materiales poro formación'
teléfonos, papelería, etc. ' b) asegurar que estas personas sean competentes, basándose en la educación,
formación o experiencia apropiadas;
e) Recurs_~s financieros : debería existir un presupuesto suficiente, incluyendo a
e) cuando sea aplicable, tomar acciones para adquirir y mantener la competencia
lo fune~on de cumplimiento ontisoborno, poro que el sistema de gestión antis-
oborno func1one con eficacia . necesaria y evaluar la eficacia de las acciones tomadas;

d) conservar la información documentada apropiada, como evidencia de la com-


petencia.
El cap~tulo 7 de la ??rma aborda _el ~poyo que la organización procurará para la co-
rre~a 101plementac1on, el manteOlffilento y la mejora continua del sistema de gestión NOTA Los acciones aplicables pueden incluir, por ejemplo lo formación, lo tutoría o lo reosignoción del
antlsobomo. personal o socios de negocios; o lo contratación o subcontrotoción de los mismos.

Para que el para que dicho sistema pueda funcionar eficazmente y de manera ade-
cuad~, la organiz~ció~ definirá y proveerá los recursos adecuados y necesarios que Con el objetivo de asegurar la eficacia del sistema, la organización tendrá que obserV-ar
podran ser de var1os tipos : ' los siguientes requerimientos:
• Humanos: empleados, trabajadores, colaboradores ... , y en general a las perso- • Definir la competencia necesaria del personal que trabaja en la organización y
nas que compongan la organización. que realiza un trabajo que afecta al desempeño del sistema de gestión antiso-
• Financieros: presupuesto adecuado. bomo.

• Físicos: hardware y software, principalmente. • Garantizar que dichas personas son competentes y cuentan con la (ormación y
experiencia necesarias.
Norma UNE-ISO 37001 . Recomendaciones y guío poro su implementación 105
104 Guío poro lo oplicoción de UNE-ISO 3700 1:2017

taba con anterioridad a través de acciones formativas se entrenará a


• Tomar las medidas necesarias para conseguir y mantener la competencia nece- Como se apun ' . . , . .
las diferentes competenCias s1 as1 fuera necesano, s1endo este proceso
saria y evaluar la eficacia de las acciones realizadas en este sentido. las persanas en ' . ., .
·
conunuo y debiendo ser evaluado por la orgaruzacton para comprobar la eficac1a .
• Mantener un registro con la documentación indicada como evidencia de dicha · Así mismo, debemos mantener un control. documental de. las ace1ones
competencia. de1rmsm 0 . .
quesea, h gan a través de la. realización
.
de testsjevaluaClones al conclrur las ace1ones
.
formativas y/o firma de as1stenc1a a las mtsmas.
El capital humano de la organización que radica en el talento de los empleados de la
misma debe estar en la línea de las necesidades que el sistema de gestión antisoborno
tiene, en cuanto a la implementación del mismo y también en cuanto a su manteni-
miento y mejora continua. Los recursos humanos destinados a gestionar el funcio- 1.2.2 Proceso de contratación
namiento del sistema y a garantizar su efectividad deberán contar con las habilidades
7.2.2.1 En relación con todo su personal, la organización debe implementar proce-
y los conocimientos que el correcto desarrollo del sistema demande.
dimientos tales que:
Así pues, estas competencias (la suma de habilidades más conocimientos) deberán
a) las condiciones de contratación requieran que.~l personal cumpla con la polí-
necesariamente definirse bien en el manual de funciones, en la descripción de cada
tica antisoborno y el sistema de gestión antisoborno y den a la organización el
puesto o en cualquier otro documento que resulte efectivo para establecer claramente
derecho para disciplinar al personal en caso de incumplimiento;
lo que se necesite en ese puesto. Lo importante es que dichas competencias se ilustren
con claridad para que sean fácilmente comprensibles también por aquellas personas b) dentro de un período razonable desde al comienzo de su empleo, el personal
de fuera de la organización que no han estado involucradas en su defmición y, sobre reciba una copia de, o se le proporciona el acceso a la política antisoborno y
todo, por aquellos que ocu~n los puestos a los que las mismas se refieren. a la formación en relación con esta política;

A través de acciones formativas y comunicativas, las personas afectadas por el siste- e) la organización disponga de procedimientos que le permitan tomar medidas
ma de gestión antisoborno recibirán los conocimientos y entrenarán las habilidades disciplinarias apropiadas contra el personal que viole la política antisoborno o
propias de su función y puesto. Para ello, la organización debe realizar una evaluación el sistema de gestión antisoborno; y
formativa, en cuanto a las competencias que necesite su personal, y pondrá a dispo- d) el personal no sufra represalias, discriminación o medidas disciplinarias (por
sición de estas personas la formación en dichas competencias a través de un catálogo ejemplo, mediante amenazas, aislamiento, degradación, impedimentos paro su
de formación específico o integrando dicha formación en el catálogo general de la ascenso, traslado, despido, bullying, victimización u otras formas de acoso) por:
compañía. A este respecto, resultará útil llevar a cabo un "mapeo" de las competencias
1) negarse a participar en, o por rechazar, cualquier actividad respecto de la
actuales del personal que se verá afectado por el sistema con las competencias que cual ellos hayan juzgado razonablemente que exista mós que un riesgo bajo
hayan sido definidas a través del proceso previamente enumerado para identificar las de soborno que no haya sido mitigado por la organización; o
áreas que necesiten formación adicional.
2) las inquietudes planteadas o informes hechos de buena fe o sobre la base de
Por otra parte, cualquier persona de la organización (y podemos/debemos hacerlo una creencia razonable, de intento real o sospecha de soborno o violaciones
extensivo a colaboradores, no solo empleados) susceptible de estar involucrado en de la política antisoborno o del sistema de gestiólil antisoborno (excepto
el sistema de gestión antisoborno o al que afecte de manera alguna, tendrá que ser cuando el individuo participó en la violación).
formado, entrenado y reforzado en las competencias identificadas como adecuadas
para el correcto desarrollo de la función y el sistema. Estamos hablando de compe-
tencias genéricas (o soft skills) como "transparencia", "honestidad", "sinceridad" y
también de competencias específicas como "conocimiento del sistema de gestión A.8 Procedimientos de contratación
antisoborno", "conocimiento de escenarios antisoborno", "conocimiento de técnicas A.8.1 Debida diligencia sobre el personal
de investigación", "indicadores de riesgo de soborno".
Al realizar la debida diligencia sobre las personas antes de que se les nombre como
Todos los miembros de la organización pasarán una evaluación en la que se compro- personal, la organización, dependiendo de las funciones propuestas y el correspon-
bará que reúnen las competencias necesarias en el desarrollo de su puesto y a través del diente riesgo de soborno de las personas puede tomar acciones tales como:
cual se analizarán posibles carencias o incongruencias en el esquema de competencias.
106 Guía para la aplicación de UNE-ISO 37001 :201 7 Norma UNE-ISO 37001 . Recomendaciones y guía para su implementación 107

a) discutir la pol ítica ant isoborno de la organización con los candidatos en la a convenio. En el mismo sentido, se debe dejar constancia de la importancia de
entrevista y formarse una opinión acerca de si parece entender y aceptar la los principios antirrepresalia en el seno de la organización, no permitiéndose
importancia del cumplimiento; medidas disciplinarias ante denuncias hechas de buena fe o ante la no parti-
cipación en conductas que impliquen un riesgo de soborno. Este punto debe
b) toma r medidas razonables para verificar que las calificaciones de los candidatos
son precisas;
quedar muy claro en la política antisoborno.

e) tomar medidas razonables para obtener referencias satisfactorias de los patrones


anteriores del personal potencial;
7.2.2.2 En relación con todas las posiciones que están expuestas a más que un riesgo
d) toma r medidas razonables para determinar si los candidatos han participado
bajo de soborno, según lo determinado en la evaluación del riesgo de soborno (véase
en soborno;
4.5), y al cumplimiento de la función antisoborno, la organización debe implementar
e) tomar medidas razonables para verificar que la organización no ofrece empleo a procedimientos que proporcionen:
candidatos a cambio de haber, en el empleo anterior, indebidamente favorecido
a) la debida diligencia (véase 8.2) se lleve a cabo sobre las personas antes de que
la organización;
sean empleadas, y el personal antes de que se~ transferido o promovido por la
n verificar que la razón de ofrecer empleo a los candidatos no sea para asegurar organización, para determinar, en la medida de lo razonable, que es apropiado
un trato fa vorable incorrecto para la organiza~ión ; emplearlos o reubicarlos y que es razonable creer que van o cumplir con l.os
requisitos de lo político ontisoborno y del sistema de gestión antisoborno;
g) tomar medidas razonables para identificar relaciones de los candidatos con
funcionarios públicos . · b) los bonos de desempeño, metas de desempeño y otros elementos de incentivos
de lo remuneración que se revisen periódicamente poro comprobar que hoy
garantías razonables en marcho paro evitar fomentar el soborno;
En relación con el proceso de incorporación de personas en la organización, deben
existir procedimientos que garanticen los siguientes aspectos: e) dicho personal, además de lo alto dirección y el órgano de gobierno (si existe},
presente uno declaración, o intervalos razonables, proporcionales con el riesgo de
• Exigir que las personas que se incorporan cumplen con la política antisoborno soborno identificado, donde confirme su cumplimiento con lo político antisobomo.
y con el sistema de gestión antisoborno, de manera que la organización dis-
ponga de medidas disciplinarias en el caso de no cumplimiento. Para ello, el NOTA 1 la declaración de cumplimiento antisoborno puede ser independiente o formar un componente de
paso previo es informar de la política antisoborno con detalle a los candidatos un proceso de declaración de cumplimiento mós amplio.

durante la entrevista y hacer incluso preguntas para intentar comprender el ni- NOTA 2 Véase el Capítulo A.8 para orientación.
vel de conocimiento y/o interiorización de la importancia de su cumplimiento.
Asimismo, se pueden pensar, escenarios hipotéticos y preguntar al candidato
qué haría ante los mismos. En relación con las posiciones dentro de la organización que están expuestas a más
que un riesgo bajo de soborno, se deben implementar procedimientos que incluyan:
• En un periodo razonable desde su incorporación, el personal recibirá una co-
pia de la política antisoborno y formación con respecto al sistema de gestión • Que las personas que van a ser incorporadas pasen un proceso de debida dili-
antisoborno. Esta formación y la documentación pueden formar parte de los gencia, de igual manera que el personal antes de ser trasladado o promocionado,
conocidos "paquetes de bienvenida" o welconu packages que las organizaciones con el fin de cerciorarse de su idoneidad para ser empleados, promocionados
entregan a los nuevos empleados y que suelen contener el código de conducta o trasladados, observando que cumplen con los requerimientos de la política
de la organización y otra serie de informaciones relevantes. antisoborno y del sistema de gestión antisoborno.
• Se definirá un sistema disciplinario que será entregado y comunicado a todas • Bonos, objetivos y otros incentivos de remuneración serán revisados periódi-
las personas de la organización junto con la política antisoborno. Para asegurar camente para verificar que sean razonables y no alienten prácticas de soborno.
su eficacia y reconocimiento, el mismo debe derivar de las provisiones del con- Esto es así, ya que unos objetivos de ventas particularmente agresivos pueden
venio colectivo de aplicación. Especificaremos de la misma manera qué tipo de indirectamente fomentar que los empleados realicen acciones que involucren
sistema disciplinario se aplicará a la alta dirección y a todo el personal no sujeto los sobornos para alcanzar sus metas de remuneración.
108 Guío poro lo aplicación de UNE-ISO 3 7001:2017 Norma UNE-ISO 3700 l . Recomendaciones y guía poro su impl ementación 109

• El personal, la alta dirección y el órgano de gobierno correspondiente (si exis- acción formativa ad hoc sería recomendable, así como una carta de la alta dirección
te), presentarán una declaración de conformidad con la poütica antisoborno en en la que se refleje el compromiso explicito de la misma con el sistema de gestión
intervalos rawnables de tiempo. antisoborno.

Las nuevas incorporaciones de personas en la organización suponen un posible riesgo Existen diferentes maneras de formar a una persona que se incorpora en la organiza-
en dos vertientes: la posibilidad de un proceso de selección que suponga un escenario ción en cuanto al conocimiento del sistema de gestión antisoborno, dependerá de la
de riesgo de soborno y la posibilidad de contratación de una persona que no reúna posición que vaya a ocupar, si esta persona va a tener algún tipo de responsabilidad
las competencias necesarias en cuanto a gestión antisoborno se refiere. En cuanto al sobre el sistema de gestión antisoborno, la evaluación en competencias será exhaus-
proceso en sí, los encargados desde el departamento de recursos humanos, así como tiva, así como su formación desde el momento de su incorporación.
el resto de personal que intervenga en el proceso, deben haber recibido y realizado
efectivamente la formación en cuanto a competencias antisoborno, de manera que
comprendan en qué casos se estarían enfrentando a un posible.soborno y cu~es A.8.2 Bonificaciones por desempeño
son los medios con los que cuentan para frenarlo. Durante el proceso de selección Los acuerdos de compensació n, incluyendo bonos e incentivos pueden alentar, incluso
se tomarán las medidas necesarias para evitar opacidades y se buscarán los medios sin querer, al personal para participar en el soborno . Por ejemplo , si un director recibe
apropiados para garantizar la objetividad, así como la evaluación por parte de recursos un bono en la adjudicación de un contrato para la organización, ese director podría
humanos y también de otras personas de la organización. ser tentado a pagar un soborno , o hacer caso omiso de que un agente o socio de
una alianza empresarial paga un soborno, con el fin de garantizar la adjud icación del
Este proceso constará de una debida diligencia en la que se recabará información sobre
contrato . El mismo resultado podría ocurrir si se pone demasiada presión en el des-
anteriores puestos de trabajo,·información sobre conflictos de interés y relaciones con
empeño de un director (por ejemplo, si el director podría ser despedido por no lograr
la Administración pública. Es importante comprobar la veracidad de la información
metas de ventas demasiado ambiciosas) . Por lo tanto , la organización necesita prestar
que se recoge en el currículum. En este sentido, existen empresas especializadas que mucha atención a estos aspectos de compensación para asegurar en la med ida de lo
llevan a cabo lo que se conoce como background screening o pre-empluyment screening. razonable que estos no actúen como incentivos de soborno.
Entre las comprobaciones que se realizarán se encuentran, entre otras:
Eva luaciones de persona l, promociones, bonos y otras recompensas podrían utilizarse
• Historial de empleo. como incentivos para que el personal tenga un desempeño de acuerdo con la política
antisoborno y sistema de gestión de la organización . Sin embargo , la organización
• Historial académico.
necesita ser prudente en este caso, ya que la amenaza de pérd ida del bono , etc .,
• Referencias. puede resultar en que el personal oculte fallas en el sistema de gestió n antisoborno .

• Información financiera de carácter negativo. El personal deberá ser consciente de que violar el sistema de gestión antisoborno
con el fin de mejorar su calificación de desempeño en otras áreas (por ejemp lo, un
• Información sobre el perfil mediático y reputacional del candidato.
logro de metas de ventas) no es aceptable y puede resultar en una acción correctiva
o disciplinaria .
En el caso de la contratación, se realizarán las pruebas pertinentes de evaluación del
conocimiento de las competencias de gestión antisoborno y; en el caso de carecer de
ellas, se procederá a descartar al candidato o, en caso de recomendar su incorporación, Asegurar la idoneidad del proceso y la idoneidad del candidato desde el punto de vista
se proveerá la formación necesaria en el momento de su entrada. antisoborno debe ser una prioridad en las compañías que implementan el sistema. Sin
Algunas compañías hacen coincidir la formación en competencias con momentos embargo, las cautelas no cesan en el momento en que se decide la contratación del
relevantes, como puede ser en este caso el momento de la incorporación o un mo- candidato, ya que igualmente importante dentro del sistema de gestión antisoborno
vimiento dentro de la compañía. Un paquete de bienvenida en el que se incluya es asegurar que directa o indirectamente la organización no está favoreciendo actos
información sobre la poütica antisoborno es una de las maneras de asegurarnos de de soborno a través, por ejemplo, de agresivas poüticas de incentivos.
que todo el que entra a formar parte de la organización recibe la información. En el A la hora de contratar se suele establecer el esquema retributivo del candidato. Estos
caso de personas cercanas a escenarios de riesgo, una charla con su superior y una esquemas son especialmente peligrosos si la remuneración fija (o salario base) representa
11 O Guío poro lo oplicoción de UNE-ISO 37001 :2017 Norma UNE-ISO 37001 . Recomenda ciones y guío para su implementación 111

una ínfima parte dentro de lo que constituirá la remuneración total del empleado. Dicho en la implementación de políticas de conflicto de interés, lo fundamental es que los
de otro modo, si para llegar a un salario adecuado al puesto, es necesario alcanzar un empleados aprendan a identificarlos para comunicarlos.
. . d os
o bJettvos e ventas muy ambiciosos que pueden llevar a motivar que el emplead
o~te por h ac~r " to do aquello ~ue sea necesario" para conseguir el contrato con el o
cliente fmal, mcluyendo -~ postble soborno a un empleado del cliente para que elija A.8.4 Soborno al personal de lo organización
nuestro producto o serviCIO frente al de nuestros competidores.
A.8.4 .1 Los medidas necesarios poro prevenir, detectar y abordar el riesgo del personal
de la o rganización que ha sobornando a otros en nombre de lo organización ("sobor-
no sal iente") pueden ser diferentes de los medidos utilizados poro preveni r, detectar
A.8.3 Conflictos de interés y abordar el riesgo de soborno al personal de lo organización ("soborno entrante") .
Por ejemplo , lo capacidad de identificar y mitigar el riesgo de soborno entrante puede
Lo organización debería identificar y evaluar el riesgo de conflictos de interés internos y
verse significativamente restringido por lo disponibilidad de información que no está
externos . Lo organización debería informar claramente o todo el personal de su deber
bajo el control de lo organización (por ejemplo , datos de transacciones con tarjeta de
de informar cualquier conflicto de intereses, tonto reales co mo potenciales , to les como
crédito y cuenta de banco persona l del empleado), ley qplicoble (por ejemplo , ley de
conexiones fami liares, financieros o de otro tipo, relacionadas directo o indirectamente
privacidod), u otros factores . Como resultado, el número y tipo de controles disponibles
con su línea de trabajo . Esto ayudo o uno organización o identificar situaciones donde
de la organizaci ó n para mitigar el riesgo de soborno saliente superarán el número
el personal puede fac ilitar o follar a lo hora de prevenir o informar sobre el soborno
de controles que se pueden implementar para mitigar el riesgo de soborno entrante .
por ejemplo : '

o) cuando el gerente de ventas de lo organización está relacionado con el gerente


A.8.4 .2 Es más probable que ocurra el soborno al personal de lo organización en
de compras de un cliente , o relación con el personal que es capaz de tomar o influ ir en los decisiones en nombre
de lo organización (por ejemplo, un gerente de compras que puede otorgar contratos,
b) cuando el gerente de línea de uno organización tien e un interés financiero un supervisor que puede aprobar el trabajo realizado, un gerente que puede nombrar o
personal en el negocio de un competidor.
personal o aprobar sa la rios o bonos, un empleado que prepara los documentos para lo
concesión de licencias, permisos, etc.). Como el soborno es probablemente aceptado
Lo organización debería preferentemente llevar un registro de cualquier coso de con-
por el personal fuero del alcance de los sistemas de control de lo organización, lo
flicto de intereses reale s o potenciales y de las acciones que fueron tomados para
capacidad de lo organización de prevenir o detectar estos sobornos puede ser limitado .
mitigar el confl icto.
A.8.4.3 Además de los posos mencionados en los aportados A.8.1 y A.8.3, podría
mitigorse el riesgo de soborno entrante por los siguientes requisitos de este documento
- Este tipo de situaciones también son especialmente delicadas en el caso de darse con-
que se ocupan del ri esgo :
fl.ict~s de interés (por ejemplo, cuando el gerente de compras de la organización está
a) la pol ítica ontisoborno de lo organización (véase 5.2) debería prohibir cloro-
relaciOnado con el proveedor), ya que será más fácil materializar ese "algo de valor"
mente lo solicitud y acepta ción de sobornos por porte del personal de lo orga-
que puede constituir el soborno simplemente beneficiando al proveedor a través de su
nización y de cualquier persono que trabaje en nombre de la organización;
elección frente a otros proveedores, beneficiándose de este modo tanto el proveedor
como el gerente de compras de nuestra organización. b) los materiales de orientación y de formación (véase 7 .3) deberían reforza r lo
prohibición de solicitar y aceptar sobornos e incluir:
E~ este _senti~?' es im~rtante que la política anticorrupción dedique un capítulo a
1) uno guío poro informar inquietudes sobre sobornos (véase 8.9);
la Identificacton y gestiÓn de los conflictos de intereses. En empresas no acostum-
bradas a esta gestión, se recomienda comenzar con formación destinada a facilitar la 2) énfasis en lo pol ítica de no represalias de la organización (véase 8 .9);
identificación de dichos conflictos de interés y a su comunicación al departamento e) lo pol ítico de hospitalidad y regalos de lo organización (véase 8 . 7) debería
ade~d~ d~ntro de la organización para su efectiva gestión (es decir, primeramente, limitar lo aceptación del personal de regalos y hospitalidad ;
de~Idir s1 e:x1s_te o no un conflicto que pueda afectar al interés de la empresa y, de ser
d) lo publicación en el sitio we b de lo organización de lo política ontisoborno de lo
as1, no autonzarl?)· N~ resulta ad~cuado en~ primer momento esperar que los
organ ización y de los detalles de cómo denunciar el soborno ayuda o estable-
em~l~ados sepan mmediatamente SI hay que eVItar el conflicto, manejar el conflicto,
cer expectativos con los socios de negocios, a fin de disminuir lo probabilidad
decidir que no hay conflicto por sí mismos. Como decirnos, en un primer momento
Norma UNE -ISO 37001 . Recomendaciones y guío poro su implementación 113
112 Guío poro lo aplicación de UNE-ISO 37001:2017

. d oborno puede provenir también como sabemos, de terceros externos a


de que los socios de negocios ofrezcan, o que el personal de la organización El nesgo· e ·s, n como podrían ser trabajadores
' · 1
temporales o subcontraustas, que a
0
solicite o acepte , un soborno; 1a orgaruzao '
. · ' contrata · cornero·ales. E n
a través de empresas especializadas, o de soctos
0 rgaruzaoon
·d la
· · · d b
organización tiene dos postbles rutas para preverur nesgos e so orno
e} controles (véase 8 .3 y 8 .4} que requ ieran, por ejemplo, el uso de proveedores
este sentl o, .
aprobados, licitaciones competitivas, al menos dos firmas en los contratos adju- provenientes de estos trabapdores:
dicados, autorizaciones de trabajo, etc., reducen el riesgo de otorgar premias
· ela' usulas en los contratos con las empresas que nos
• Inc lUlr . proveerán de. ,estos
aprobaciones, pagos o beneficios corruptos . '
trabajadores por las cuales se obli~en a llevar a cabo sest~nes d~ formacton es-
A.8.4.4 La organización también puede implementar procedimientos de auditoría pect.alizada 0 , incluso, comprobactones (background. screentng, vease el apartado
. .,
para identificar maneras en las que el personal puede explotar debilidades de control 7.2.2.2) previas a·la recomendación para que trabaJen en nuestra orgaruzacton.
existentes para su beneficio personal. Ejem plos de procedimientos podrían incluir: • Impartir sesiones propias de formación una vez se incorporen a la organizaci?n
a} revisión de archivos de nómina para los registros de personal ficticio y duplicados; (dejando evidencia de las mismas a través de certific~dos o firma) Y, e~ cu~qruer
caso, antes de comenzar el desempeño de sus ~nc10nes en la orgaruzacton.
b} revisar los registros de gastos de negocio del personal pa ra identificar el gasto
inusual;

e} comparar información de a rchivo de nóminas de persona l (por ejemplo, núm~­


ros de cuenta bancaria persona l y direcciones} co n la cuenta bancaria y datos
de la dirección en el archivo maestro de proveedores de la organización para 7.3 Toma de conciencia y formación
identificar posibles e_scenarios de conflicto de intereses. La organización debe facilitar la toma de conciencia _Y, la formación antisobo_rn~ ade-
cuado y apropiada para el personal. Dicha formocton debe abordar las stgutentes
cuestiones, en la medida en la que sean adecuados, teniendo en cuenta los resultados
El llamado "soborno entrante", en el que el personal de la organización podría ser de la evaluación del riesgo de soborno (véase 4.5}:
sujeto pasivo de un soborno, es con frecuencia difícilmente identificable, más allá de a) la política antisoborno, los procedimientos y el sistema de gestión antisobomo
las medidas establecidas para la debida diligencia sobre el personal o el procedimiento de la organización y su deber de cumplir con ellos;
para declarar conflictos de intereses o recepción de regalos. Esto último es, sin duda,
b) el riesgo de soborno y el daño que puede resultar del soborno para ellos y para
más habitual de lo que podría pensarse en un primer momento, sobre todo en el caso
la organización;
de los responsables de compras por parte de posibles proveedores. Es, sin embargo,
imprescindible que la organización identifique este riesgo e incluya medidas de con- e) las circunstancias en las que el soborno puede ocurrir en relación can sus fun-
trol y auditoría (desde un programa de socios de negocios o terceros que permita ciones, y cómo reconocer estas circunstancias;
usar exclusivamente proveedores autorizados, hasta formación adaptada a los puestos d) cómo reconocer y responder a las solicitudes u ofertas de soborno;
de especial riesgo dentro de la organización).
e) cómo pueden ayudar 0 prevenir y evitar el soborno y reconocer indicadores de
riesgo de soborno;

A.8 .5 Personal o trabajadores temporales


n su contribución a la eficacia del sistema de gestión antisoborno, incluidos los
beneficios de una mejora del desempeño antisoborno y de reportar cualquier
En algunos casos, el personal o trabajadores temporales pueden ser proporcionados sospecha de soborno;
a la o rg a nización por un proveedor de fu erza laboral u otro socio de negocios. En
g) las implicaciones y potenciales consecuencias del incumplimiento de los requi-
este caso, la organización debería determinar si el riesgo de soborno planteado por
sitos del sistema de gestión antisoborno;
el personal o trabajadores tempo rales (si existe} se aborda adecuadamente al tratar
al personal o trabajadores temporales como personal propio para fines de formación h) cómo y a quién deben informar de cualquier inquietud (véase 8.9);
y control, o si se van a implementar los controles adecuados a tra vés del socio de
i) información sobre la formación y los recursos disponibles.
negocios que proporciona el pe rsona l o traba jadores temporales .
r 114 Guía para la aplicación de UNE-ISO 3700 1:2017 Norma UNE-ISO 37001 . Recomendaciones y guío paro su implementación 115

Se debe facilitar la toma de conciencia antisoborno y formación al personal con re- negocios que participan en las operaciones y procesos con más que un riesgo bajo
gularidad (a intervalos planificados determinados por la organización} según resulte de soborno.
apropiado a sus funciones, respecto de los riesgos de soborno a los que esté expuesto, A.9.4 En caso de que la persona pertinente asignada a la fun ción de cump limiento
y cualquier cambio en las circunstancias. Los programas de toma de conciencia y for- antisoborno no tenga experiencia suficiente en relación a su fun ción , la organización
mación se deben actualizar periódicamente según sea necesario para reflejar la nueva
debería proporcionar la formación que fuera necesaria para que él o ella pudieran
información relevante.
llevar a cabo adecuadamente la función de cum plimiento .
Teniendo en cuenta los riesgos de soborno identificados (véase 4 .5), la organización A. 9.5 La formación puede tener lugar como formación independiente en materia
debe implementar procedimientos que contemplen la toma de conciencia antisoborno
antisoborno, o puede formar parte de la formación global o el programa de inducción
y la formación de los socios de negocios que actúan en su nombre o en su beneficio y
de la organización en materia de cumplimiento y ética.
que puedan suponer más que un riesgo bajo de soborno para la organización. Estos
procedimientos deben identificar a los socios de negocios para los cuales es necesario A. 9 .6 El contenido de la forma ción puede adaptarse a la función del personal. El
la toma de conciencia y la formación, su contenido, y los medios por los cuales se debe personal que no enfrenta ningún riesgo significativo frente al soborno en su ro l podría
proporcionar la formación recibir formación muy simp le sobre la política de la organización , para que entienda
la misma y sepa qué hacer si observa una violac ión pqtencial. El personal cu ya función
La organización debe mantener información documentada sobre los procedimientos
implica un riesgo alto de soborno debería recibir una forma ción más detallada .
de formación, el contenido de la formación, y cuándo y quién la recibió .
A. 9 . 7 La formación debería repetirse tantas veces como fuera necesario para que el
NOTA 1 Los requ isitos de tomo de conciencio y formación poro socios de negocios pueden comunicarse
o través de requ isitos contractuales o similares, e implementarse por lo organización , el socio de personal esté al día con las po líticas y procedimientos de la organ ización, los desarro-
negocios o por otros portes designados poro tal fin . llos en re lación con su función y los cambios regulatorios .
NOTA 2 Véase el Capítulo A 9 poro 'recibir orientación. A. 9.8 La aplicación de los requisitos de forma ción y toma de co nciencia a los socios
identificados bajo los requi sitos del apartado 7 .3, plantea desafíos particulares porque
los empleados de estos socios de negocios generalmente no trabajan directamente
para la organización y la organización, por lo general, no tendrá acceso directo a
A. 9 Toma de conciencia y formación dichos empleados para los propósitos de la formación . Por lo tanto, la formación que
actualmente reciben los empleados que trabajan para soc ios de negocios se realizará,
A. 9.1 El propósito de la formación es ayudar a asegurar que el personal pertinente
normalmente, por los socios o por terceros para ta l fin. Es importante que los empleados
entienda , según corresponda a su función dentro o con la organización:
que trabajan para socios de negocios que podrían representar para la organización más
a) los riesgos de soborno que ellos y la organización enfrentan; que un riesgo bajo de soborno sean conscientes de las cuestiones y reciban formación
b) la política antisoborno; destinada a reducir razonablemente este riesgo. Por lo tanto, el apartado 7 .3 requiere
que la organ ización , como mínimo, identifique los socios de negocios a cuyos em plea -
e) los aspectos del sistema de gestión antisoborno correspondientes a su función; dos debería proporcionarse formación antisoborno, el conten ido mínimo que debería
d) cualquier acción preve ntiva, y de reporte necesaria que precisen realizar en tener dicha formación , y la forma en que debería llevarse a cabo . La formaci ó n puede
relación a cualqu ier riesgo o sospecha de soborno . proporcionarse por el mismo socio, por otras partes designadas o, si así lo decide la
organización, por ella misma . La organizació n puede comu nicar estas obl igaciones a sus
A. 9 .2 La formalidad y el grado de la formac ión depende del tamaño de la organi- socios de negocios de distintas formas , incluso como parte de acuerdos contractuales .
zación y los riesgos de soborno que enfrentan . Puede realizarse como un módulo en
línea, o a través de métodos prese nciale s (por ejemplo, sesio nes de aula, talleres,
mesas redondas entre el personal pertinente, o por sesiones personalizadas) . Por lo La organización deberá concienciar y formar adecuada y apropiadamente a todo el
tanto, más importante que el método de formación es el resultado , que es que todo el personal. Para ello, la formación deberá recoger los siguientes aspectos, teniendo en
personal pertinente debería entender las cuestiones mencionadas en el apartado A.9 . l .
cuenta los resultados de la evaluación de riesgos :
A. 9 .3 Se recomienda la formación presencial para el órgano de gobierno y el perso-
• La política antisoborno, los procedimientos del sistema de gestión antisoborno
nal (cualquiera que sea su posición o jerarquía dentro de la organizac ión} y socios de
y la obligación de su cumplimiento.
116 Gu ia poro lo aplicación de UNE-ISO 37001 :2017 Normo UNE-ISO 37001. Recomendaciones y guío poro su implementación 117

• El riesgo de soborno y el daño que causa a ellos mismos y a la organización. colectivos que conviven en la organización y sus diferentes casuísticas respecto al
• Las circunstancias en las que se puede producir un soborno respecto a sus res- soborno, la tarea de configurar un catálogo formativo que no deje a nadie fuera de
ponsabilidades y cómo reconocer dichas circunstancias. su acción, que responda a las necesidades de cada uno y que pueda ser documen-
tado es de vital importancia para la efectividad del sistema. Por suerte, hoy en día
• Cómo reconocer y responder a solicitudes y/o ofertas de soborno.
cont:UUos con la tecnología como aliada en estas tareas, aunque no siempre significa
• Cómo ayudar a prevenir y evitar el soborno y reconocer indicadores de riesgo ia solución completa. Existen compañías con muy diferentes realidades, en las que el
de soborno. nivel cultural de sus empleados puede ser muy variado y el acceso a un dispositivo
• Su contribución a la eficacia del sistema de gestión antisoborno, incluyendo los con internet no sea posible para algunos. Por ello, la creatividad a la hora de diseñar
beneficios del desempeño antisoborno y el reporte de posibles sobornos. y gestionar el catálog~ de forma~ión es indispensable. ~odemos y de?emos b~car
medidas que nos pernutan garantizar que las personas realizan la formaetón requenda,
• Las implicaciones y posibles consecuencias de la no conformidad con los re- vinculándola a la obtención del bonus o a la posibilidad de ascensos. Por ejemplo,
querimientos del sistema de gestión antisoborno. podemos diseñar juegos on-line en aquellas organizaciones donde los emplead~s
• A quién y cómo reportar posibles infracciones. tengan acceso a dispositivos conectados, de manera que procuremos que la matena
sea más atractiva, o podemos vincular la formación al momento de la incorporación,
• Información sobre formación y recursos disponibles.
como ya hemos comentado.

La toma de conciencia y formación del personal en materia antisoborno debe produ- Podemos y debemos buscar las alternativas que conviertan el programa de formación
cirse periódicamente, de forma planificada y determinada por la organización, según vinculado al sistema de gestión antisoborno en una obligación necesaria para toda la
los diferentes roles del personal, el nivel de riesgo al que están expuestos y cualquier compañía. Y cuando decirnos toda la compañía, es TODA. Acciones como coaching
cambio en las circunstancias. Los programas de toma de conciencia y formación serán y training específicos para la alta dirección no están de más en aquellas compañías
actualizados periódicamente según se produzca información relevante. donde el riesgo así lo requiera. No olvidemos que es el ejemplo de la alta dirección
lo que el resto de la compañía mira y refleja, y qué mejor acción formativa que el
La formación puede llevarse a cabo tanto presencialmente como on-line. En organi- refuerw de las competencias directivas en materia antisoborno. La alta dirección debe
zaciones descentralizadas, mientras la formación on-line permite alcanzar a un mayor conocer los medios y canales de reporte de posibles sobornos, así como su modo
número de empleados con un coste menos elevado, resulta imprescindible llevar a de actuación en caso de recibir un reporte o ser conocedor de un posible soborno.
cabo, con una periodicidad que dependerá en gran medida del grado de madurez del Además, debe conocer perfectamente las herramientas con las que cuenta a la hora
sistema en la organización, formación presencial. Asimismo, hoy en día resultan muy de hacer frente a posibles riesgos y cómo ayudar a sus colaboradores en incidencias de
efectivos los programas formativos en los que se incluyen "juegos" o simulaciones soborno. Resulta especialmente útil y efectivo hacer partícipe a la alta dirección en
(gamification ) que consiguen que los empleados se involucren de una forma más la formación, por ejemplo, a través de sesiones informativas a la plantilla donde sean
completa en posibles escenarios de riesgo. ellos los protagonistas o los profesores, o grabando vídeos, entrevistas o webinars
Teniendo en cuenta los riesgos de soborno identificados en la evaluación de riesgos, donde expliquen sus expectativas frente al sistema de gestión antisoborno para el
también se deberán implementar procedimientos que contemplen formación y toma resto de la organización, así como su compromiso personal.
de conciencia para socios de negocios que actúan en nombre de la organización y en En resumen, un catálogo atractivo y extensivo, que incluya incluso colaboradores de
su beneficio, y que puedan significar un riesgo de soborno. En estos procedimientos la organización (consultores, proveedores ... ) es de vital importancia en la efectividad
se identificará al socio, el contenido de la formación y los medios a través de los cuales del sistema. Dependerá de la capacidad y el riesgo al que se enfrente la compañía la
se llevará a cabo la formación (presencial, on-line ... ) . extensión del mismo, pero siempre deberá comprender a toda la organización. Si los
La organización mantendrá registro de documentación de los procedimientos de recursos que la compañía puede destinar a esta partida son escasos, deberá priorizar
formación, el contenido de la misma, la fecha y registro de quién fue formado. aquellas áreas donde el riesgo es alto y las personas que están vinculadas a ellas. La
formación siempre será complementada con comunicación por parte de la organi-
La formación en materia antisoborno de toda la organización debe ser una activi- zación sobre materia antisoborno, que aunque por sí sola no es necesaria, cumple
dad continua y planificada a lo largo del tiempo. Teniendo en cuenta los diferentes también cierto papel formativo.
118 Guía para la aplicación de UNE-ISO 3700 7:201 7 Norma UNE-ISO 3700 1. Recomendaciones y guía poro su implementa ción 119

Estas comunicaciones pueden adoptar distintas formas , desde newsletters o boletines


7.4 Comunicación
periódicos a cápsulas (grabadas/vídeo) informativas, correos electrónicos o comuni-
7A.l La organización debe determinar las comunicaciones internas y externas perti- caciones verbales, que serán más efectivas (y demostrarán asimismo el compromiso
nentes al sistema de gestión antisoborno, incluyendo: de la organización de una forma más sólida) si provienen de la cúpula empresarial
a) qué comunicar; que del responsable de cumplimiento antisoborno. Cuanto más ajustadas sean estas
comunicaciones a los riesgos de soborno que afrontan los destinatarios de las mismas,
b) cuándo comunicar;
más efectivas resultarán. Así pues, a la hora de establecer el plan de formación y comu-
e) a quién comunicar; nicación, es una buena práctica dividirlo por departamentos o grupos de individuos y
generar un listado de situaciones que en la práctica de sus trabajos podrían afrontar,
d) cómo comunicar;
así como posibles red jlags o señales de alerta que ayuden a identificarlos. Por ejem-
e) quién comunica; plo, el departamento de compras afronta unos riesgos distintos del departamento de
~ en qué idioma comunicar. marketing; el de finanzas del de ventas ... , y así hasta cubrir la totalidad del personal.
En el caso de la comunicación, como en el caso de la.formación, estamos hablando
de una actividad continuada en el tiempo y planificada mediante un calendario anual.
Aparte de la formación, la organización debe asegurarse de establecer comunica- Los diferentes colectivos que forman la organización deben ser mirados desde un
ciones regulares para asegurar el correcto conocimiento, implementación y mante- punto de vista antisoborno. ¿De qué manera afecta el sistema de gestión antisoborno
nimiento del sistema de gestión antisoborno. Hablamos en este sentido tanto de la a su trabajo día a día? Analizando las diferentes situaciones de cada área, identifica-
comunicación interna como d~ la externa. Dicha comunicación debe incluir aspectos remos colectivos sensibles con los que tendremos que intensificar la comunicación,
tales como: y otros colectivos donde una comunicación meramente informativa será suficiente.
• Sobre qué vamos a comunicar. Para que la comunicación sea efectiva, la acción debe ser continua, una conversación
• Cuándo se realizará la comunicación. en la que la organización podrá escuchar y comentar sobre el sistema de gestión
antisoborno y su funcionamiento. Con este fin deberemos implementar canales de
• A quién vamos a comunicar. comunicación interna que nos permitan mantener el flujo comunicativo con los
• Cómo vamos a comunicar. empleados, no solo mantenerlos informados, sino también escuchar qué tienen que
decir respecto al funcionamiento del sistema y cómo lo están viviendo en su día a
• Quién va a comunicar. día. Esta práctica nos proporcionará una información muy valiosa que nos permitirá
• En qué idiomas comunicaremos. modificar nuestras acciones formativas o tal vez el propio sistema en caso de ser
necesario.
De nuevo la tecnología está de nuestra parte. Hoy en día podemos disponer de
cualquier medio de comunicación on-line en las organizaciones donde los empleados
7A.2 La política antisoborno se debe poner a disposición de todo el personal de la dispongan de dispositivo conectado a internet (PC, móvil, tablet ... ). En este tipo de
organización y socios de negocios, se debe comunicar directamente tanto al personal organización podremos implementar desde newsletters en las que se informe sobre
como a los socios de negocios que suponen más que un riesgo bajo de soborno, y se la actualidad del sistema hasta redes sociales internas con grupos de discusión sobre
debe publicar a través de canales de comunicación internos y externos de la organi- temas antisoborno o píldoras comunicativas en forma de vídeo sobre temas concretos.
zación, según sea apropiado. En las organizaciones donde el despliegue tecnológico no es tan extenso, dispone-
mos de los medios tradicionales: revista de empresa, tablones de anuncios, charlas
y reuniones, incluso medios impresos que de las formas más creativas muestran la
El objetivo que se persigue es que la política antisoborno esté al alcance de todo el información (cómic, por ejemplo) . Se trata de adecuar el mensaje y los canales a las
personal de la organización y de los socios de negocios y, así, debe ser adecuadamente personas a las que nos dirigimos. No solo queremos que reciban el mensaje, buscamos
comunicada, especialmente a aquellos que están expuestos a riesgo de soborno. que lo interioricen y lo compartan.
Norma UNE -ISO 37001. Recomendaciones y guío paro su implementación 121
120 Guía paro la aplicación de UNE-ISO 37001:2017

El sistema de gestión antisoborno debe contar con información documentada co-


7.5 Información documentada rrectamente, por lo que incluirá:
7.5.1 Generalidades • La información documentada requerida por la Norma ISO 37001.
El sistema de gestión antisoborno de la organización debe incluir: • La documentación que la organización determine como necesaria para la efi-
a) la información documentada requerida por este documento; cacia del sistema antisoborno.
b) la información documentada que la organización determina como necesaria
para la eficacia del sistema de gestión antisoborno.
El volumen de documentación requerida para cada organización es diferente y de-
pende del tamaño de la misma, la complejidad de sus procesos e interacciones y la
NOTA 1 lo extensión de lo información documentado poro un sistema de gestión ontisobomo puede variar
de uno organización o otro, debido o:
competencia del personal.
- el tamaño de lo organización y su tipo de actividades, procesos, productos y servicios;
lo complejidad de los procesos y sus interacciones;
lo competencia del personal. 7.5.2 Creación y actualización .;

NOTA 2 lo información documentado puede conservarse por separado como porte del sistema de gestión Al crear y actualizar la información documentada, la organización debe asegurarse de
ontisobomo, o puede conservarse como porte de otros sistemas de gestión (por ejemplo, de cum- que lo siguiente sea apropiado:
plimiento, financiero, comercial, de auditoría, etc.).
a) la identificación y descripción (por ejemplo, título, fecha, autor o número de
NOTA 3 Véase el Capítulo A.17 poro orientación .
referencia);
b) el formato (por ejemplo, idioma, versión del software, gráficos) y los medios de
soporte (por ejemplo, papel, electrónico);
A.l7 Información documentada e) la revisión y aprobación con respecto a la idoneidad y adecuación .
La información documentada bajo 7 .5.1 puede incluir:

a) re cepción de la política antisoborno por parte del personal;


La información documentada deberá contar con los siguientes elementos:
b) provisión de la política de lucha antisoborno a los soci os de negocios que
plantean más que un ri esgo bajo de soborno;
• Identificación y descripción (título, fecha, autor, referencia).

e) pol íticas, procedimientos y controles del sistema de gestión antisoborno; • Formato (idioma, versión de software, gráficos) y medio (papel, electrónico).
d) resultados de la evaluación del riesgo de soborno (véase 4.5); • Revisión, que garantice su adecuación e idoneidad.
e) proporcionar formación antisoborno (véase 7 .3) ;

n debid a d ilig encia llevada a cabo (véa se 8 .2);


7.5.3 Control de la información documentada
g) medidas adoptadas para implementar el si ste ma de gestión antisoborno;
La información documentada requerida por el sistema de gestión antisoborno y por
h) aprobaciones y registros de regalos, hospitalidades, donaciones y beneficios este documento se debe controlar para asegurarse de que:
similares dados y recibidos (véase 8.7) ;
a) esté disponible y sea idónea para su uso, dónde y cuándo se necesite;
i) las acciones y los resultados de las inqu ietu des planteadas en relación con:
b) esté protegida adecuadamente (por ejemplo, contra pérdida de la confidencia-
l) cualquier debilidad del sistema de gestión antisoborno ; lidad, uso inadecuado, o pérdida de integridad) .
2) incidentes sobre intentos de soborno, o sobornos supuestos o reales; Para el control de la información documentada, la organización debe abordar las
siguientes actividades, según corresponda:
i) los resultados del seguimiento, investigación y auditoría llevados a cabo por la
organización o por terceros . - distribución, acceso, recuperación y uso;
Norma UNE-ISO 37001. Recomendaciones y guío poro su implementación 123
122 G uío poro lo aplicación de UNE-ISO 37001 :2017

- almacenamiento y preservación, incluida la preservación de la legibilidad; 8 Operación


- control de cambios (por ejemplo, control de versión) ;
8.1 Planificación y control operacional
- conservación y disposición.
La organización debe planificar, implementar, revisar y controlar los procesos necesarios
La información documentada de origen externo que la organización determina como para cumplir los requisitos del sistema de gestión antisoborno y para implementar las
necesaria para la planificación y operación del sistema de gestión antisoborno se debe
acciones determinadas en 6.1, mediante:
identificar, según sea apropiado, y controlar.
a) el establecimiento de criterios para los procesos;
NOTA El acceso puede implicar uno decisión en relación con el permiso solamente poro consultor lo in-
formación documentado, o el permiso y o lo autorización poro consultor y modificar lo información b) la implementación del control de los procesos de acuerdo con los criterios;
documentado .
e) manteniendo información documentada en la medida necesaria para confiar
en que los procesos se han llevado a cabo según lo planificado.
A su vez, la información documentada deberá ser controlada para garantizar su ade-
cuación e idoneidad para su uso y para que esté adecuadamente protegida (contra Estos procesos deben incluir los controles específicos mencionados en los apartados 8.2
pérdida de confidencialidad, uso indebido o pérdida de integridad). Para ello, la o 8.10.
organización llevará a cabo las siguientes actividades, si son aplicables: La organización debe controlar los cambios planificados y revisar las consecuencias
• Distribución, acceso, recuperación y uso_ de los cambios no previstos, tomando acciones para mitigar cualquier efecto adverso,
según sea necesario.
• Almacenamiento y preservación, incluyendo preservación de la legibilidad_
La organización debe asegurarse de que los procesos contratados externamente estén
• Control de cambios (informando sobre el control de la versión). controlados .
• Retención y disposición. NOTA El texto esencial de los normas ISO de sistemas de gestión contiene un requisito en relación con lo
contratación externo, el cual no es uti lizado en este documento, yo que proveedores externos estón
La información documentada de origen externo que la organización defma como incluidos en lo definición de socio de negocios.

necesaria para la planificación y el desarrollo del sistema de gestión antisoborno de-


berá ser controlada e identificada como apropiada. En el capítulo 8 se contemplan la planificación y el control operacional, indicándose
El registro y la conservación de la información que requiere el sistema de gestión que la organización deberá planificar, implementar, revisar y controlar los procesos
antisoborno demanda un método de archivo y documentación riguroso y extensivo necesarios para cumplir los requerimientos del sistema antisoborno. Para ello deberá
(según el tamaño de la compañía) en el que el control de autoría, formato, fechado observar los requerimientos a los que nos hemos referido en el capítulo 6 con el
y control de actualización sea obligado. Existirá un sistema de control y seguridad objetivo de identificar riesgos y oportunidades:
sobre la documentación que impida el acceso a la información restringida y con- • Garantizar razonablemente que el sistema de gestión antisoborno puede alcan-
trole quién y de qué modo accede _ Centralizado o no, el método de control de la
zar sus objetivos .
documentación será único y conocido por todos aquellos que deban documentar los
diferentes procesos a los que afecta el sistema_El diseño de una base de datos en la • Prevenir o reducir efectos no deseados relativos a la política y los objetivos del
que los ad.rhinistradores controlen el movimiento y la calidad de los registros es una sistema de gestión antisoborno.
de las buenas prácticas a llevar a cabo. • Monitorizar la eficacia del sistema.
• Lograr la mejora continua.
• Planificar acciones para identificar riesgos de soborno y oportunidades de mejora,
a través de la integración e implementación de dichas acciones en el sistema de
gestión antisoborno y de la evaluación de su eficacia.
124 Guío poro lo aplicación de UNE-ISO 37001 :2017 Norma UNE-ISO 37001. Recomendaciones y guío poro su implementación 125

Sin perder de vista estos requerimientos, procederemos a desarrollar los siguientes


8.2 Debida diligencia
elementos:
Cuando la evaluación del riesgo de soborno de la organización llevada a cabo en 4.5,
• Criterios para el establecimiento de procesos. ha evaluado más que un riesgo bajo de soborno en relación con:
• Control de los procesos según los criterios establecidos. a) determinadas categorías de transacciones, proyectos o actividades,

• Información documentada que garantice la puesta en marcha de dichos pro- b) las relaciones existentes o planificados con determinadas categorías de socios
cesos. de negocios; o
e) categorías específicos del personal en determinadas posiciones (véase 7 .2 .2.2),
La organización controlará la marcha de los cambios planificados y revisará las conse-
cuencias de los cambios que se produzcan inintencionadamente, tomado las acciones Lo organización debe evaluar lo naturaleza y el alcance del riesgo de soborno en
necesarias para mitigar posibles efectos adversos. Así mismo, mantendrá un control relación a transacciones, proyectos, actividades, socios de negocios y el personal,
sobre aquellos procesos que se hayan externalizado, teniendo en cuenta que los pro- pertenecientes a estas categorías específicas. Esta evaluación debe incluir cualquier
veedores de outsourcing son considerados como socios de negocios en esta norma. debida diligencia necesaria para obtener información-suficiente para evaluar el riesgo
de soborno. La debida diligencio debe actualizarse con una frecuencia definida para
Con el fm de llevar a cabo la función de control sobre la planificación operacional de que los cambios y la nueva información puedan tenerse en cuento debidamente.
la norma, se establecen una serie de controles que estarán recogidos en los procesos.
NOTA 1 Lo organización puede concluir que es innecesario, injustificado o desproporcionado el llevar o
El mapa de procesos de la organización debe comprender el sistema de gestión anti- cabo lo debido diligencio en ciertos categorías del personal y socios de negocios.
soborno. La organización revi~ará y analizará sus procesos con el fin de evitar efectos NOTA 2 Los factores enumerados en o}, b) y e) anteriores no son exhaustivos.
no deseados sobre el sistema en el desarrollo de los mismos. Para ello, es importante
NOTA 3 Véase el Capítulo Al O poro orientación.
que cada función y sus procesos sean revisados y analizados por personas formadas en
materia antisoborno, que sean capaces de detectar posibles fricciones entre la función
r
y el sistema de gestión antisoborno.
Se procederá a establecer los criterios necesarios para el desarrollo del sistema con A.l O Debida diligencia
garantías y se controlará que los procesos no interfieren en su correcto funciona- A.l 0.1 El objetivo de realizar la debida diligencia sobre determinadas transacciones,
miento. Defmiremos los controles necesarios dentro de cada proceso, aquellos que proyectos, actividades, socios de negocios, o personal de una organización es evaluar
harán saltar la alarma en caso de fricción o interferencia. Estos controles pueden estar el alcance, la escala y lo naturaleza de más que un riesgo bajo de soborno identifi ca-
integrados en los elementos del sistema, como son los actos formativos, el código do como porte de la evaluación del riesgo de la organización (4 .5) . También tiene el
de conducta, las políticas y; por supuesto, las auditorías internas. Más allá de estos objetivo de actuar como un control específico adicional en la prevención y detección
controles generales, procederemos a establecer otros específicos allá donde se localice del riesgo de soborno, e informar lo decisión de la organización sobre la conveniencia
un riesgo identificado en la evaluación de riesgos. Para ellos se definirán planes de de posponer, suspender o revisor dichas transacciones, proyectos o las relaciones con
acción priorizados según el requerimiento de urgencia de cada riesgo. los socios de negocios o el personal.

En cuanto a los procesos externalizados, tomaremos a los proveedores como socios A.l 0 .2 Los factores que pueden ser de utilidad a la organización para evaluar la
de negocios, por lo que tendrán que acceder a una debida diligencia si así lo establece relación con proyectos, transacciones y actividades incluyen :
su nivel de riesgo en cuanto a posibles sobornos y deberán revisar sus procesos en o) estructura, naturaleza y complejidad (por ejemplo, ventas directas o indirectas,
caso de entrar en conflicto con el sistema de gestión antisoborno. Debemos tener en nivel de descuento, premios por contrato y procedimientos por licitación);
cuenta que estamos integrando un nuevo sistema en la estructura de procesos y que
b) mecanismos de financiación y pagos;
se pueden producir efectos no deseados que no han sido intencionados.
e) alcance del compromiso de la organización y recursos disponibles;

d) nivel de control y visibilidad;


126 Guío poro lo aplicación de UNE-ISO 37001 :2017 Norma UNE-ISO 37001 . Recomendaciones y guío poro su implementación 127

e) socios de negocios y otras terceras partes involucradas (incluyendo fun cionarios ción suficiente , el costo de la obtención de información, y, en la medida de lo
públicos); posible del riesgo de soborno que plantea la relación;

~ vínculos entre las partes en e) y fun cionarios públicos; e) los procedimientos de debida diligencia implementados por la organización
g) competencia y calificaciones de las partes involucradas; so bre sus socios de negocios deberían ser consistentes para niveles de riesgo
de soborno similares (es más probable que los socios de negocios con un alto
h) reputación del cliente ;
riesgo de soborno y que actúan en lugares o mercados en los que existe un
i) ubicación; alto riesgo de soborno requieran un nivel significativamente mayor de debida
j) reportajes en el mercado o en la prensa . d iligencia que los socios de negocios con bajo riesgo de soborno y que actúan
en lugares o mercados en los que existe un riesgo bajo de soborno);
A.l 0.3 En relación con la debida diligencia sobre los socios de negocios: d) diferentes tipos de socios de negocios son propensos a requerir d iferentes niveles
a) los factores que pueden ser de utilidad a la organización para evaluar la relación de debida diligencia, por ejemplo :
con un socio de negocios incluyen: 1) desde la perspectiva de la posible responsabilidad legal y financiera de la
1) si el socio de negocios es una entidad legítima, con base en indicadores tales organización, los socios de negocios supon~n un mayor riesgo de soborno
como documentos de registro de la empresa, cuentas anuales presentadas, para la organización cuando actúan en nombre de la organización 0 en su
número de identificación fiscal , cotización en la bolsa de valores; beneficio que cuando suministran productos o servicios a la organización.
Por ejemplo, un agente involucrado en ayudar a una organización a obtener
2) si el socio de negocios tiene las calificaciones, experiencia y los recursos una adjudicación del contrato podría pagar un soborno a un director del
necesarios para llevqr a cabo el negocio para el que se le ha contratado; cliente de la organización para ayudar a la organización a ganar el contrato,
3) si el socio de negocios tiene un sistema de gestión antisoborno y el alcance pudiendo dar lugar a que la organización sea responsable de la conducta
del mismo; corrupta del agente . Como consecuencia, la debida diligencia de la orga-
nización sobre el agente probablemente será lo más completa posible . Por
4) si el socio de negocios tiene una reputación de soborno, fraude, desho -
otra parte, un proveedor que venda equipos o material a la organización y
nestidad o faltas graves de conducta similares, o que ha sido investigado,
que no tenga ninguna implicación con los clientes de la organización 0 fun-
declarado culpable, sancionado o inhabilitado por soborno o conducta
cionarios públicos relevantes para las actividades de la organización tendrá
criminal similar;
menor capacidad para pagar un soborno en nombre de la organización 0
5) y si la identidad de los accionistas (incluyendo los propietarios beneficiarios para su beneficio y, por tanto, el nivel de debida diligencia requerido para
finales) y de la alta dirección del socio de negocios: ese proveedor podría ser más bajo;

i) tienen una reputación de soborno, de fraude , de deshonestidad o de 2) el nivel de influencia que la organización tiene sobre sus socios de negocios
faltas de conducta similares; también afecta la capacidad de la organización para obtener la información
directamente de aquellos socios de negocios como parte de su debida di-
ii) han sido investigados, condenados, sancionados o inhabilitados por so-
ligencia. Puede ser relativamente fácil para una organización que requiere
borno o conductas criminales similares;
que sus agentes y socios de alianzas empresariales, proporcionar amplia
iii) tiene algún vínculo directo o indirecto con clientes o clientes de la organi- información sobre sí mismos como parte de un examen previo antes de que
zación o con algún funcionario público pertinente que pudieran dar lugar la organización se comprometa a trabajar con ellos, ya que la organización
al soborno (esto incluiría a personas que no siendo los propios funciona- tiene un grado de elección sobre con quien se contrae en esta situación.
rios públicos, puedan estar directa o indirectamente relacionados con los Sin embargo, puede ser más difícil para una organización que requiere que
funcionarios públicos, los candidatos a funcionarios públicos, etc.); el consumidor o el cliente proporcione información sobre sí mismo 0 para
6) la estructura de los acuerdos de transacciones y pagos; que rellenen cuestionarios de debida diligencia. Esto podría deberse a que
la organización no tendría suficiente influencia sobre el cliente o los con-
b) la naturaleza , el tipo y el alcance de la debida diligencia realizada dependerán sumidores para poder hacerlo (por ejemplo, cuando la organización está
de factores tales como la capacidad de la organización para obtener informa- involucrada en una licitación para proveer servicios al cliente);
128 Guía para la aplicación de UNE-ISO 3700 1:2017 Norma UNE-ISO 37001. Recomendaciones y gu ío pa ro su implementaci ón 129

e) la debida diligencia llevada a cabo por la organización sobre sus socios de


En este caso, la organización debe evaluar la naturaleza y el alcance del riesgo de
negocios puede incluir, por ejemplo : soborno con relación a las categorías específicas identificadas: transacciones, pro-
yectos, actividades, socios de negocios y/o personal. Dicha evaluación incluirá una
l) enviar al socio de negocios un cuestionario en donde se le solicite responder debida diligencia con el fin de obtener la información necesaria para evaluar el nivel
las cuestiones planteadas en el apartado A.l 0 .3 a);
de riesgo de soborno, y será actualizada y redefinida con frecuencia, de manera que,
2) buscar en la página web del socio de negocios, sus accionistas y la alta si se producen cambios, la nueva información sea incorporada adecuadamente.
dirección para identificar cualquier información relacionada con el soborno;
Se tendrá en cuenta que la organización puede determinar que la debida diligencia
3) buscar información apropiada empleando recursos de la administración, no es necesaria o es desproporcionada en relación con ciertas categorías de personal
judiciales e internacionales; y socios de negocios. Diferentes socios de negocios suelen requerir diferentes niveles
4) verificar las listas de inhabilitación a disposición del público que relacionan de debida diligencia, ya que representan distintos niveles o modalidades de riesgo de
las organizaciones que tienen excluida o restringida su capacidad para con- soborno. En la práctica, la debida diligencia sobre socios de negocios suele incluir:
tratar con entidades públicas o gubernamentales, facilitadas por los gobiernos
• Un cuestionario donde se solicita información que permita conocer con exacti-
nacionales o locales o instituciones multilaterales, como el Banco Mundial;
tud la identidad, experiencia y riesgos que pueCle acarrear para la organización
5) investigar en otras partes apropiadas sobre la reputación ética del socio de contratar con ese socio en particular. Este formulario será enviado al socio de
negocios; negocios para que lo cumplimente. Una de las típicas señales de alarma frente
6) nombrar a otras personas u organizaciones con experiencia relevante para a la contratación de un socio de negocios reside en que el mismo nos devuelva
ayudar en el proceso de debida diligencia; este formulario sin haber contestado a muchas de las preguntas que se le hacen.
f) formular preguntas adicionales al socio de negocios, sobre la base de los • Búsquedas de información sobre el tercero en internet, en listas de sanciones
resultados de la debida diligencia inicial (por ejemplo, para explicar cualquier internacionales o en la página web del socio de negocios.
información adversa).
• Buscar información empleando recursos de la Administración, judiciales e in-
A.l 0.4 La debida diligencia no es una herramienta perfecta . La ausencia de informa- ternacionales. A estos efectos, suele ser recomendable contratar los servicios de
ción negativa no significa necesariamente que el socio de negocios no represente un otras personas o entidades expertas en llevar a cabo estos procesos de diligencia
riesgo de soborno. La información negativa no significa necesariamente que el socio debida y que, a menudo, comercializan software que puede ayudar en este sentido.
de negocios represente un riesgo para el soborno . Sin embargo, los resultados deben
evaluarse con cuidado y el juicio racional que realice la organización debe basarse en Como se indica en la norma, la debida diligencia debe ser aplicada a todas aquellas
los datos disponibles. La intención general es que la organización haga preguntas razo- personas y organizaciones que entren a formar parte de la organización a través de
nables y proporcionadas sobre el socio de negocios, teniendo en cuenta las actividades actividades comerciales con ella (a menos que la propia organización, de manera cons-
que el socio de negocios pondría en práctica y el riesgo de soborno inherente a estas ciente y documentada, decida que cierto grupo de personal o socios de negocios no
actividades, a fin de formar un juicio razonable sobre el nivel de riesgo de soborno al
representan riesgo y, por tanto, no vea necesaria que se sometan a un proceso de debida
que la organización se expone si trabaja con el socio de negocios.
diligencia), de manera que se convierta en una herramienta homologadora que garan-
A.l 0.5 La debida diligencia sobre el personal se cubre en el apartado A.S.l . tice la idoneidad de los nuevos socios de negocios en cuanto a materia antisoborno.
Más allá de la búsqueda de información legal y administrativa, en el cuestionario
que enviaremos a nuestros socios de negocios incluiremos preguntas relativas a
Puede ocurrir que la evaluación de riesgos de la organización identifique un nivel
cuestiones éticas y a modelos preventivos de delitos. Solicitaremos no solo docu-
mayor que un riesgo bajo de soborno en relación con:
mentos sobre información financiera, prevención de riesgos, calidad o medio am-
• Categorías específicas de transacciones, proyectos o actividades. biente, sino también acerca de la composición del consejo e identificación, o bien
sobre identificación de propietarios, código de conducta, vinculación con políticos,
• Relaciones con categorías específicas de socios de negocios.
funcionarios, vinculación con las personas expuestas políticamente (PEP), etc. La
• Categorías específicas de personal en determinadas posiciones. investigación que realizaremos incluirá webs en las que se indaga sobre listas negras
130 Guío poro lo aplicación de UNE-ISO 37001 :2017 Norma UNE-ISO 37001 . Recomendaciones y guío poro su implementación 131

y países sancionados, que complementaremos con la documentación que se reque · , financiero s implementados por una organización que podrían reducir el riesg o de
· pOr qemp
a 1OS SOCIOS. · 10: nra
soborno podrían incluir, por ejemplo:
• worldbank.org a) la implementación de una separación de funciones, de tal manera que la misma
• traceinternational.org persona no pueda iniciar y aprobar un pago;

b) la implementación de niveles de ascenso hacia un cargo con autoridad apro-


• sec.gov
piada para la aprobación de pagos (para que la s transacciones más grandes
• business-anti -corruption.com requieran la aprobación de la dirección al más alto nive l);

• transparencia.org.es e) la verificaci ón de que el beneficiario de la designación y el trabajo o los servicios


llevados a cabo han sido aprobado por los mecanismos de aprobación perti-
¿Qué podemos investigar en una debida diligencia? Por ejemplo, alguna de las si- nentes de la organización;
guientes cuestiones: d) la necesidad de que se requiera n, al menos, dos firmas para las aprobaciones
• Mecanismos de financiación de proyecto. de los pagos;

e) el requerimiento de que la documentación adecuada se adjunte a las aproba-


• Nivel del control sobre el proyecto, operación.
ciones de pago;
• Socios de negocio y participación de Administración pública. n la restricción del uso de dinero en efectivo y la implementación de métodos de
• Reputación del cliente . . control de caja eficaces;

• Ubicación. g) el requerimiento de que las categorizaciones de pago y las descripciones en las


cuentas sean claras y precisas;

La aceptación de buen grado de participar en el proceso de debida diligencia es de h) la implementación de una revisión periódica de la gestión de las tran sacciones
por sí un signo positivo, ya que si somos exhaustivos, la cantidad y profundidad de financiera s significativas;
la información que requeriremos puede no resultar cómoda para algunas organiza- i) la implementación de auditorías financieras periódicas e independientes en las
ciones. Tendremos que ser cuidadosos con los plaws que fijemos para la entrega de que se cambien, de forma regular, la persona o la organización que llevo a
documentación y cuestionario. cabo la auditoría .

Los controles financieros son los sistemas de gestión y procesos implementados por
8.3 Controles financieros la organización para gestionar sus transacciones financieras de manera adecuada y re-
gistrar de forma precisa las mismas, en tiempo y forma. Estos controles, dependiendo
Lo organización debe implementar controles financieros que gestionen el riesgo de
soborno.
del tamaño y complejidad de la organización, pueden incluir:

NOTA Véase el Capítulo A.11 poro orientación .


• Implementación de separación de responsabilidades, de manera que un pago
no puede ser iniciado y aprobado por la misma persona.
• Implementación de aprobación escalonada de aprobación de pagos (a mayor
A.ll Controles financieros transacción, más senior el nivel de aprobación).

Los controles financieros se refieren a los sistemas de gestión y procesos que implemen-
• Verificación de que el trabajo del beneficiario del pago ha sido aprobado en el
ta la organización para gestionar sus transacciones financiera s correctamente y para sistema de aprobación de la organización.
registrar estas transacciones con precisión , de forma completa y de manera oportuno. • Requerimiento de al menos dos firmas en las aprobaciones de pago.
Dependiendo del tamaño y de las transacciones de lo organización, los controles
• Requerimiento de la documentación que apoya la aprobación del pago.
132 Guía paro la aplicación de UNE-ISO 37001:2017
Norma UNE-ISO 37001 . Recomendaciones y guío poro su implementación 133

• Restricción del uso de efectivo e implementación de sistemas de control del los relativos a las compras, operaciones y otros aspectos no financieros, relacionados
mismo.
con sus actividades, se gestionan de forma apropiada. Dependiendo del tamaño de
• Requerimiento del preciso registro de los pagos en las cuentas, descripción clara lo organización y de las transacciones, los controles de compras, los operacionales ,
y categorizada. comerciales y otros controles no financieros, que al implementarse en una organiza -
ción , podrían reducir el riesgo de soborno , pueden incluir, por ejemplo, los siguientes:
• Implementación de una revisión periódica de las transacciones fmancieras rele-
vantes. a) el uso de contratistas, subcontratistas, proveedores y consultores que han sido
sometidos a un proceso de precalificación bajo el cual se evalúa la probabili-
• Implementación de auditorías fmancieras periódicas y cambiar sobre una base dad de su participación en un soborno; este proceso es probable que incluya
regular de persona u organización auditora. la debida diligencia del tipo especificado en el Capítulo Al O;

No es_ habitual que las organizaciones diferencien entre controles financieros y no . b) evaluar:
financieros de forma documentada, y lo realmente importante es que estén asociados l) la necesidad y la legitimidad de que los servicios sean suministrados por un
al riesgo o delito identificado. Cuando hablamos de controles financieros nos refe- socio de negocios (excluyendo los clientes y los consumidores) de la orga-
rimos a los sistemas de gestión y a los procesos que se implementan para gestionar nización,
las transacciones fmancieras . Por ejemplo:
2) si los servicios se llevan a cabo correctamente; y;
• Separación de funciones.
3) si los pagos que se vayan a realizar al socio de negocios son razonables y
• Niveles de pagos. proporciona les a los servicios. Esto es particularmente importante para evitar
• Varias firmas para pagos. así el riesgo de que el socio de negocios utilice parte del pago realizado por
la organización para pagar un soborno en nombre de o en beneficio de la
• No uso de dinero en efectivo. organización. Por ejemplo, si un agente ha sido designado por la organiza-
• Auditorías de cuentas. ción para ayudar a las ventas y se le va a pagar una comisión o un honorario
contingente por la adjudicación de un contrato a la organización, la organi-
• Anotaciones contables claras y precisas y debidamente documentadas (por ejem- zación necesita estar razonablemente segura de que el pago de la comisión
plo, que permitan acceder al contrato que da soporte a las mismas) . es razo nable y proporcional al servicio legítimo que realmente llevo a cabo
el agente, tomando en cuenta el riesgo que asume el agente en caso de que
no se adjudique el contrato. Si se paga una comisión u honorario contingente
desproporcionado, se incrementa el riesgo de que parte de él pueda utilizarse
8.4 Controles no financieros por el agente para inducir a un funcionario público o a un empleado del
cliente de la organizac ión a que ad judique el contrato a la organización.
La o rganización debe implementa r controles no financ ieros poro gestiona r el riesgo
La organización también puede solicitar que su socio de negocios entregue
de soborno en óreos toles como compras, operaciones, ventas, comercial , recu rsos
documentación que demuestre que los servicios han sido suministrados;
humanos, actividades legales y reglamenta rios .

NO TA 1 Cualquier transacción particular, actividad o relación puede ser objeto de controles tonto financieros e) siempre que sea posible y razonable, la adjudicación de contratos se dé sólo
como no fi nancieros. después de un proceso justo y transpare nte de licitación competitiva, en el que
NO TA 2 Véase el Capitulo A 12 po ro orientación. hayan participado, al menos, tres competidores;

d) que se requieran, a l menos, dos personas para evaluar las ofertas y aprobar la
adjudicación de un contrato;

A.l2 Controles no fina ncieros e) la implementación de una separación de funciones, de ta l manera que el per-
sonal que aprueba la adjudicación de un contrato sea diferente del que solicita
Los controles no financieros se refieren o los sistemas de gestión y o los procesos que
la adjudicación del contrato y sea de un departamento o función diferente del
implemento lo organización para ayudar a asegura r que los aspectos comerciales,
que gestiona el contrato o aprueba el trabajo realizado en virtud del contrato;
N o rma UNE -ISO 37001 . Recomendaciones y guío poro su implementación 135
134 G uía para la aplicación de UNE-ISO 37001:2017

f) el requerim iento de la firma de, al me no s, dos perso nas en los co ntratos y en


• Implementación de una poütica de separación de responsabilidades y/o poderes.
los documentos que cambian los térm inos de un co ntra to o q ue a prue ba n los • Que se requieran las firmas de al menos dos personas en los contratos y en
tra ba jos emprend idos o los su ministros pro po rcio nados en virtu d del contrato; todos aquellos documentos que modifiquen los términos del contrato o que
g) la su pe rvis ión por parte del más a lto nivel de la d irecc ión de las transacciones aprueben trabajo realizado bajo el amparo del mismo.
q ue potencialm ente tienen a lto rie sgo de so borno;
• Otorgar un nivel superior de vigilancia de la dirección sobre transacciones con
h) proteger la integrida d de las ofertas y otra info rm ac ió n sen sibl e a precios, limi- un riesgo de soborno potencialmente alto.
tand o el acceso a las pe rsona s apro piadas;
• Proteger la integridad de las licitaciones y de otra información sensi?le a precios,
i) pro porciona nd o herramientas y planti llas adec uadas para ayu da r al pe rso nal restringiendo el acceso a dicha información a las personas deterrrunadas por la
(por eje mp lo, una gu ía prácti ca so bre q ué hacer y qué no ha cer, escala s de
organización.
apro ba ció n, li stas de co ntrol , formula rios, fl ujos de traba jo de TI ).
• Proveer al personal con herramientas y plantillas adecuadas (guías prácticas,
NOTA Otros ejemplos de controles y orientación se pueden encontrar en lo Norma ISO 19600 . qué hacer y qué no hacer, escalera de aprobación, listas, formularios, flujos de
trabajo de sistemas de información ... ). ·

Cuando nos referimos a controles no financieros, estamos hablando de aquellos En la Norma ISO 19600 se pueden consultar otros ejemplos de controles.
controles que la organización establece para ayudar a garantizar la correcta gestión
operacional, comercial y no financiera de sus actividades. Dependiendo del tamaño Cualquier transacción, actividad o relación puede estar sujeta a controles financieros
de la organización y la transacción, dichos controles pueden ayudar a reducir el riesgo y no financieros .
de soborno y, por ejemplo, podrían incluir: Algunos ejemplos de controles no financieros :
• Relación con socios de terceros que han sido admitidos tras ser evaluados en • Código de conducta o decálogo del departamento comercial.
su nivel de riesgo de soborno y en cuyo proceso de evaluación se ha incluido
una debida diligencia. • Protocolo de contratación de comerciales y directivos.

• Evaluación de los siguientes aspectos: • Régimen de incompatibilidades.


Necesidad y legitimidad de los servicios que provee el socio de negocios • Declaración anual de cumplimiento y conflictos de interés.
a la organización: ¿No puede hacer ese trabajo el personal interno? ¿son • Normas sobre financiación de partidos poüticos.
necesarios esos trabajos?
• Normas de fundaciones controladas por la empresa.
La correcta ejecución de los servicios conforme a lo establecido en el contrato
con el socio de negocios. • Control de los proyectos de patrocinio y mecenazgo.
El pago razonable y proporcionado por dichos servicios: este aspecto es muy • Control de filiales en España y en países de alto riesgo.
importante, pues el pago al socio de negocios podría ser utilizado como parte • Manual de lobby y de relaciones con el sector público.
del pago de un soborno. Para ello, la organización y el socio de negocios
documentarán adecuadamente la provisión del servicio con todos los detalles • Prohibición de acceso privilegiado a pliegos de concursos públicos.
del mismo. • Prohibición de redacción o modificación de pliegos de concursos públicos.

• Que la adjudicación de contratos se dé solo después de un proceso justo y trans- • Poüticas de regalos y de viajes.
parente de licitación en el que hayan participado al menos tres competidores.
• No contratación de familiares.
• Que se requieran al menos dos personas para evaluar las ofertas y aprobar la
adjudicación de un contrato.
136 Guia para la aplicación de UNE-ISO 37001 :2017 Norma UNE-ISO 37001 . Recomendaciones y guío poro su implementación 137

f) un proveedor o subcontratista de la organización que paga un soborno para


8.5 Implementación de los controles cintisoborno por orga -
el gerente de compras de la organización a cambio de la adjudicación de un
nizaciones controladas y por socios de negocios contrato.
8.5 . 1 La organización debe implementar proced imientos que requ ieran que todas las
demás organizaciones sobre las que tiene control, bien : A 13 . 1.2 Si la organización controlada o socio de negocios ha implementado contro-
les antisoborno en relación con estos riesgos, el consiguiente riesgo de soborno para
a) implementen el sistema de gestión antisoborno de la organ ización; o bien
la organización, normalmente, se reduce.
b) implementen sus propios controles antisoborno,
A 13 .1. 3 El requisito 8 .5 distingue entre aquellas entidades sobre las que la orga-
en cada caso, solo en la med ida en que sea razonable y proporcional, en relación a nización tiene el control, y aquellos sobre las que no lo tiene. Para los efectos de
los riesgos de soborno a los que se enfrentan las organizaciones controladas, tenien- este requisito, una organización tiene control sobre otra organización, si controla
do en cuenta la evaluación del riesgo de soborno realizada de co nform idad con el directa o indirectamente la gestión de la organización. Una organización puede
apartado 4 .5 . tener contro l, por ejemplo, sobre una subsidiaria , alianza empresaria l o consorcio a
través del voto de mayoría en el consejo directivo, o por medio de una partic ipación
NOTA Uno organ ización tie ne co ntrol sobre otro o rgan ización si contro lo directo o indirectamente 0 lo
gestión de lo organización (véase A. 13.1. 3).
mayoritaria. La organización no tiene control sobre 'otra organización a los efectos
de este requisito por el simple hecho de que coloque una gran cantidad de trabajo
a esa otra organización.

A . 13 Implementació n d el sistema d e gestió n antisoborno A. l3 .2 O rganizaciones controladas


po r pa rte d e organizaciones co ntro lad as y de soci os A. 13 .2. 1 Es razonable esperar que la org anización requiera a cualquier otra orga-
de neg ocios nización a la que controle que aquella implemente controles antisoborno razonables
y proporciona les. Esto bien podría controlarse por la organización implementando el
A. l 3 . 1 Generalidades mismo siste ma de gestión antisoborno que se implementa en la organización, o por
A.13.1 . 1 La razón por la que se establecen los requisitos del apartado 8.5, es que, la organizac ión co ntro lada implementando sus propios controles específicos antiso-
tanto las organizaciones controladas, como los socios de negocios, pueden suponer borno . Estos co ntro les deberían ser razonables y proporcionados teni endo en cuenta
un riesgo de soborno para la organización. Los tipos de riesgo de soborno que la los riesgos de soborno que enfrenta la organización controlada, ten iendo en cuenta
organización persigue evitar en estos casos son, por ejemplo : la eva luación del riesgo de soborno realizada de conformidad con el apartado 4 .5.

a) una filial de la organización que paga un soborno ocasionando que la organi- A.13.2 .2 Cuando un socio de negocios es controlado por la organización (por
zación pueda ser responsable; ejemplo, una alianza empresarial sobre la que la organización tiene el control de
la gestión), ese socio de negocios controlado estaría incluido en los requi sitos del
b) una alianza empresarial o socio de una alianza emp resaria l que paga un so-
apartado 8.5. 1.
borno para ganar el trabajo para una alianza empresarial en la que participa
la organización;

e) un gerente de com pras de un cliente o clientes exige un soborno a la organiza- Tal y como detalla la norma, la organización debe implementar su sistema de gestión
ción a cambio de la ad judicación de un contrato; . antisoborno o sus propios controles antisoborno a todas aquellas organizaciones sobre
d) un clien te de la organización que requiere a la organizac ión para designar a
las que controla directa o indirectamente su gestión. Estos se aplicarán dependiendo
un subcontratista o proveedor específico en c ircunstancias en que un repre-
del nivel de riesgo de soborno que le afecte según la evaluación realizada.
sentante del cliente o servidor público puede ben eficiarse personalmente de la Es importante que la organización defma cuáles son las filiales en las que tiene po-
designación;
der de decisión, en ellas tendrá que revisar qué sistema están implementando. En el
e) un agente de la organización que paga un soborno a un director de una orga- caso de no tenerlo, simplemente podrá realizar una recomendación, requiriendo al
nización cliente, en nombre de la organización; socio de negocio que implemente los controles necesarios para la gestión del sistema
antisoborno.
138 Guía para la aplicación de UNE-ISO 37001:2017 Norma UNE -ISO 37001 . Recomendaciones y guía paro su implementación 139

En el caso de las filiales que operan en otros países, se ha de tener en cuenta la norma- se esperaría que la organización tenga en cuenta este factor en su evaluación
tiva legal de dicho país, así como los usos y costumbres, adaptando la implementación de riesgos , con el fin de inform ar sob re la decisión con respecto a cómo y si
de los controles a las diferentes realidades en cada caso para que resulten efectivas, procede con la relación) .
pero sin olvidar la norma básica de todo sistema de que la diferencia cultural no debe
Esto refl eja la razonabilidad y la proporcionalidad de este documento.
representar una excusa para el incumplimiento.
A.l3.3 .2 Si la evaluación del riesgo de soborno (véase 4 .5) o la debida dilig encia
(véase 8 .2) llega a la conclusión de que el socio de negocios no controlado plantea
más que un riesg o bajo de soborno, y que los contro les antisoborno impleme ntados
8.5.2 En relación con los socios de negocios no controlados por la organización
por el socio de negocios ayudarían a mitigar este riesgo de soborno, entonces la or-
para los que la evaluación del riesgo de soborno (véase 4.5) o la debida diligencia
gan ización debería tomar las sig uientes medidas adicionales bajo 8.5.
(véase 8 .2) han identificado más que un riesgo ba jo de soborno, y donde los con-
troles antisoborno implementados por los socios de negocios ayudarían a mitigar el a) La organización determina si el socio de negocios tiene en su lugar controles
riesgo de soborno relevante, la organización debe implementar procedimientos de la antisoborno adecuados que gestionen el riesgo de soborno relevante. La or-
siguiente manera : ganización debería tomar esta determinación después de realizar la debida
dil igencia (véase el Capítulo Al 0) . La o rg anizadón está intentando verificar que
a) la organización debe determinar si el socio de negocios tiene implementados
estos controles gestionan el riesgo de soborno relevante a la transacción entre
controles antisoborno que gestionan el riesgo relevante de soborno;
la organ ización y el socio de negocios . La organización no necesita verificar que
b) donde un socio de negocios no tiene en marcha controles antisoborno, o no es el socio de negocios posea controles sobre sus otros riesgos de soborno . Debe
posible verificar si los tiene implementados: tenerse en cuenta que, tanto el alcance de los controles , como las medidas que
la organización necesita dar para verificar esos contro les, deberían ser razo-
1) donde sea posible, la organización debe exigir al socio de negocios la imple-
nables y proporcionales al riesgo de soborno relevante. Si la organización ha
mentación de controles antisoborno en relación con la transacción, proyecto
determinado, tanto como sea razonablemente exigible, que el socio de negocios
o actividad correspondiente, o
tiene en marcha control es apropiados, entonces los requisitos del apartado 8 .5
2) donde no es posible exigir al socio de negocios implementar controles anti- se abordan en re lación con ese soc io de negocios. Véase el apartado A. l3.3.4
sobomo, esto debe ser un factor que se tome en cuenta al evaluar el riesgo para comentarios sobre tipos de controles apropiados.
de soborno de la relación con este socio de negocios (véase 4.5 y 8 .2), y la
b) Si la organización identifica que el socio de negocios no tiene en su lugar pro-
forma en que la organización gestionan dichos riesgos (véase 8.3, 8.4 y 8 .5) .
ced imientos de control antisoborno apropiados que gestionen los riesgos de
i'
NOTA Véase el Capítulo A.13 para orientación . soborno pertinentes, o no es posible verifi car que tenga esos contro les en su
lugar de trabajo, la organización llevará a ca bo las siguientes medidas adicio-
nales:

A.l3 .3 Socios de negocios no controlados 1) Si es posible (véase A. 13.3.3) hacerlo, la organización requerirá al socio de
negocios que implemente contro les antisoborno (véase A.l3.3.4) en relación
A.l3 .3.1 Con respecto a los socios de negocios que na son controlados por la or-
con la transacción, proyecto o actividad correspo ndiente .
ganización , la organización puede no necesitar tomar las medidas requeridas por el
apartado 8 .5.2 para requerir la implementación de co ntroles antisoborno por parte 2) Cuando no sea posible (véase . A.l3 .3.3) exigir que el socio de negocios
del socio de negocios cuando : implemente controles antisoborno, la organización tomará este factor en
cuenta al evaluar el ri esgo de soborno que conllevan los socios de negocios
a) el socio de negocios no representa ningún riesgo o represe nta un bajo riesgo
y al gestionar dichos riesgos. Esto no significa que la o rganización no puede
de soborn o; o
seguir adelante con la relación o transacción . Sin embargo, la organización
b) el socio de negocios plantea más que un riesgo bajo de soborno, pero los debería considerar, como parte de la evaluación del riesgo de soborno, la
contro les que podrían implementarse por el socio de negocios no ayudarían a probabilidad de que el socio de negocios esté involucrado en el soborno y
mitigar el riesgo relevante (no tendría ningún sentido el insistir en que el socio la organización debería tomar en cuenta la ausencia de tales controles al
de negocios implemente controles que no ayudarían . Sin embargo, en este caso, evaluar el riesgo general de soborno. Si la organización co nsid era que los
140 Guío poro lo aplicación de UNE-ISO 3700 7:20 77 Norma UNE-ISO 37001 . Recomendaciones y guío poro su implementación 141

riesgos de soborno que conlleva este socio de negocios son inaceptable- e) En el caso de los socios de pequeñas empresas que tienen un alcance muy
mente altos, y el riesgo de soborno no puede reducirse por otros medios específico de trabajo {por ejemplo , un agente o un proveedor minorista), la
(por ejemplo, la reestructuración de la transacción), entonces se aplicarán organización puede requerir formación para los empleados pertinentes, y los
las disposiciones del apartado 8.8. contro les sobre los pagos clave, regalos y hospitalidad.

A.13 .3.3 Si es o no es factible que la organización requiera que un socio de negocios Los controles solo necesitan operar en relación con la transacción entre la organ iza-
no controlado implemente controles, depende de las circunstancias . Por ejemplo: ción y el socio de negocios (aunque en la práctica el socio de negocios puede tener
controles establecidos en relación con la totalidad de su negocio).
a) Será factible, normalmente, cuando lo organización tenga un grado significativo
de influencia sobre el socio de negocios. Por ejemplo, cuando la organización Los anteriores son solo ejemplos . La cuestión importante para la organización es iden-
designa a un agente para actuar en su nombre en una transacción, o nombre a tificar los principales riesgos de soborno en relación con la transacción con el fin de
un subcontratista con un gran alcance del trabajo. En este caso, la organización requerir, en la medida de lo posible, que el socio de negocios implemente controles
será capaz de hacer que la implementación de controles antisoborno sea una razonables y proporcionales sobre los principales riesgos de soborno.
condición de compromiso . A.l3.3.5 La organización normalmente impone est<?s requisitos sobre los socios de
b) No será posible, normalmente, cuando la organización no tenga un grado negocios no controlados como una condición previa para trabajar con el socio de
significativo de influencia sobre el socio de negocios. Por ejemplo: negocios y/ o como parte del documento contractual.

l) un cliente para un proyecto; A.l3.3.6 La organización no está obligada a verificar el pleno cumplimiento de estos
requisitos por parte del socio de negocios no controlado. Sin embargo, la organización
2) un subcontratista o proveedor específico designado por el cliente ; debería tomar medidas razonables para asegurarse de que el socio de negocios esté
3) un importante subcontratista o proveedor cuando el poder de negociación cumpliendo (por ejemplo, mediante la solicitud del socio de negocios para propor-
del proveedor o subcontratista es mucho mayor que el de la organización cionar copias de sus documentos de pol ítica relevantes). En los casos de alto riesgo
(por ejemplo, cuando la organización compra componentes de un proveedor de soborno (por ejemplo, un agente) , la organización puede implementar un proce-
importante en términos estándar de ese proveedor) . dimiento para seguimiento o reporte de auditoría.

e) No será posible, normalmente, cuando el socio de negocios no tenga los re-


A.l3.3. 7 Como los controles antisoborno pueden tomar algún tiempo para implemen-
cursos o la experiencia para poder implementar controles . tarse, es probable que sea razonable para una organización dar tiempo a sus socios
de negocios para poner en práctica este tipo de controles. La organización podría
A.13.3.4 Los tipos de controles requeridos por la organización dependerán de las cir- seguir trabajando con ese socio de negocios en el ínterin, pero la ausencia de tales
cunstancias. Ellos deberían ser razonables y proporcionales al riesgo de soborno, y como controles sería un factor en la evaluación de riesgos y la debida diligencia tomada.
mínimo deberían incluir el riesgo de soborno relevante dentro de su ámbito de apl icación .· Sin embargo, la organización debería considerar que requiere el derecho a terminar el
Dependiendo de la naturaleza del socio de negocios y de la naturaleza del riesgo que contrato o acuerdo relevante si el socio de negocios no implementa de manera eficaz
supone el soborno, la organización puede, por ejemplo, seguir los siguientes pasos . los controles necesarios de manera oportuna.

a) En el caso de un mayor riesgo de soborno del socio de negocios con un alcance


amplio y complejo de trabajo, la organización podría requerir que los socios de
negocios tengan controles implementados equivalentes a los requeridos por este
En relación con los socios de negocios no controlados por la organización, cuya
documento relevantes para el riesgo de soborno que supone para la organización.
evaluación ha identificado un riesgo de soborno superior a bajo:

b) En el caso de un socio de tamaño medio y con riesgo de soborno medio, la • La organización debe determinar si dicho socio de negocios tiene controles
organización puede requerir que los socios de negocios implementen algunos antisoborno que gestionan el riesgo significativo.
requisitos mínimos antisoborno en relación con la transacción, tales como una • En caso de que no existan dichos controles o no se pueda verificar la existencia
política antisoborno, la formación de sus empleados, un directivo con respon-
de los mismos:
sabilidad para el cumplimiento en relación con la transacción , control sobre los
pagos clave y una línea de reporte. Si existe la posibilidad de que se implanten los controles, la organización
requerirá al socio de negocios su establecimiento.
142 Guío paro /o aplicación de UNE-ISO 3700 1:2017 Norma UN E-ISO 370 01 . Recomendaciones y guío paro su implementación 143

Si no existe dicha posibilidad, deberá tenerse en cuenta este hecho en la A.l4 .3 En el caso de un socio de negocios que plantee un bajo riesgo de soborno,
evaluación del riesgo de soborno con respecto a dicho socio de negocios y la organización debería , cuando sea posible , obtene r compromiso s antisoborno de
en la manera en que se gestionan dichos riesgos. Es decir,per se, ese socio de ese socio de negocios.
negocios representará un riesgo más elevado que otro que haya implemen-
a) Será pos ible, normalmente, exigir estos compromi sos cuando la organización
tado los controles.
tenga influencia sobre el soc io de negocios y, por lo tanto , pueda ins istir en
estos compromisos. La organ ización es probable que sea capaz de exigir estos
comprom isos, por ejemplo, cuando la organización haya designado un agente
poro actuar en su nombre en una transacción, o no mbre a un subcontratista
8.6 Compromisos antisobornos con un gran alcance del trabajo .
Para socios de negocios que representan más que un riesgo bajo de soborno, la orga-
b) La organización puede no tener suficiente influencia como para poder exigir
nización debe implementar procedimientos que exijan, en la medida de lo posible, que:
estos compromisos en rela ción con , por ejemplo, las relaciones con los princi-
a) los socios de negocios se comprometan a prevenir el soborno por, o en nombre pales clientes o consumidores, o cuando la organizació n compra componentes
de, o en beneficio del socio de negocios en relación con la transacción, proyecto, a un proveedor importante bajo las condiciones estándar del proveedor. En
actividad o relación correspondiente; estos casos, la ausencia de tales disposiciones no significa que el proyecto o la
b) la organización sea capaz de poner fin a la relación con el socio de negocios relación no deba seguir adelante, pero la ausencia de tal compromiso debería
en el caso de soborno por parte de, o en nombre de, o en beneficio del socio cons iderarse como un factor relevante en la eva luación del riesgo de soborno
de negocios en relación con la transacción, proyecto, actividad o relación co- y la dil igencia debida tomadas bajo 4 .5 y 8 .3 .
rrespondiente.
A.l4.4 Estos compromisos deberían obtenerse por escrito . Podrían tratarse de do-
Cuando no sea posible cumplir los requisitos anteriores a) o b), este debe ser un factor
cumentos de compromiso independientes o que formen parte de un contrato entre la
a tener en cuenta para evaluar el riesgo de soborno de la relación con este socio de
organ ización y el socio de negocios .
negocios (véase 4.5 y 8.2), y la forma en que la organización gestiona dichos riesgos
(véase 8 .3, 8.4 y 8.5) .

NOTA Véase el Capítulo A.14 paro orientación .


Con aquellos socios de negocios para los que se ha identificado más que un riesgo
bajo de soborno, la organización implementará procedimientos que requerirán, siem-
pre que sea posible:
A.14 Compromisos antisoborno
• El compromiso del asociado de no cometer actos de soborno en nombre de o
A.14.1 Este requisito de obtener compromisos antisoborno solo se aplica en relación en beneficio del asociado, en conexión con las pertinentes actividades, proyectos
con socios de negocios que representan más que un riesgo bajo de soborno.
o transacciones.
A.l4.2 El riesgo de soborno en relación con una transacción es probable que sea
bajo, por ejemplo:
• La organización podrá terminar la relación con el asociado en caso de soborno
por, en nombre de, o en beneficio del asociado con relación a las pertinentes
a) cuando la organización compra un pequeño número de elementos de muy actividades, proyectos o transacciones.
escasa cuantía;

b) cuando la organización hace la reserva de billetes de avión o habitaciones de Normalmente, estos requerimientos de compromiso son posibles si la organización
hotel en línea directa desde las líneas aéreas y hoteles; tiene influencia sobre el socio de negocios y puede insistir en la conveniencia de que
e) cuando la organización suministra directamente bienes o servicios de bajo valor cumplan con ellos. Un buen momento para solicitarlos es en el caso del nombramien-
a un cliente (por ejemplo , comida, entradas para el cine, etc.) . to de un agente que actúe en su nombre o en la contratación de un consultor con un
alcance importante de trabajo. Siempre que sea posible, el compromiso se obtendrá
En estos casos, no se requiere que la organización obtenga compromisos antisoborno por escrito, en un documento independiente o como parte del contrato entre socio
de estos proveedores o clientes de bajo riesgo de soborno . de negocios y organización.
144 Guío poro lo aplicación de UNE-ISO 37001:2017 Norma UNE -ISO 37001. Recomendaciones y guío poro su implementación 145

Es posible que no se tenga la suficiente influencia cuando se trata de grandes clientes d) gastos de promoción;
o en el caso de compras a un proveedor en los términos que establece este. La ausen-
e) patrocinio;
cia de dichos compromisos no significa que no se pueda mantener la relación, pero
este hecho se tendrá en cuenta en la evaluación de riesgos y en la diligencia debida. n beneficios poro lo comunidad;
Por otra parte, la rescisión de contrato es una de las posibilidades que se pueden g) formación;
barajar en caso de incumplimiento de las cláusulas y, a estos efectos, es conveniente
que dicha evenmalidad se recoja debidamente en dicho contrato. En otras instancias, h) membresíos o clubes;
puede resultar útil incluir en las cláusulas anticorrupción lo que se conoce como dis- i) fa vo res personales;
posición de auditoría, con ello, la organización garantiza el derecho a inspeccionar
i) información confidencial y privilegiado .
libros o registros del socio de negocios cuando así lo considere opormno como una
medida de prevención del soborno. Estas cláusulas, que en la práctica pueden resultar
A 15.3 En relación con los re ga los y lo hospitalidad, los procedimientos im plemen -
difícilmente ejecutables, tienen un gran peso disuasorio y pueden llegar a acordarse
tados por lo organización podrían, por ejemplo, diseñarse poro:
con variables (por ejemplo, que los auditores sean nombrados a partes iguales por el
socio de negocios y por la organización) . o) co ntrolar el grado y lo frecuencia de los regalos y lo hospitalidad o través de :

1) uno prohibición total de todos los rega los y lo hospita lidad; o

2) permitir regalos y atenciones, pero limitándolos en función de factores toles :


8.7 Regalos, hospitalidad, donaciones y beneficios similares i) un valor máximo (que puede va riar en función de lo ubicación y el tipo
La o rganización debe implementar procedim ientos que estén d iseñados para prevenir de regalo y hospitalidad);
la oferta , el sum inistro o la aceptación de rega los, hospita lidad, donaciones y benefi- ii) lo frecu encia (los regalos pequeños y los gestos pequeños de hospita-
cios similares, en los que la oferta , el sum inistro o la aceptación son o razonablemente lidad, si se repiten , pueden alcanzar, en coso de repetirse , cantidades
podrían percibirse como soborno . gra ndes);
NO TA Véase el Capítu lo A.15 poro orientación . iii) el tiempo (por ejemplo, que no se produzcan durante o inmediatamente
después de la negociación de condiciones);

iv) la razonabilidad (teniendo en cuenta la ubicación , el sector y la antigüe -


A. l5 Regalos, hospitalidad , donaciones y beneficios dad del donante o receptor);

simi la res v) la identidad del destinatario (por ejemplo, lo s personas que están en
condiciones de adjud icar contratos o aprobar los permisos, certificados
A.l5 .1 Lo organización necesito ser consciente de que los regalos, lo hospitalidad, o pagos);
los donaciones y los beneficios similares pueden ser perci bidos por uno tercero porte
vi) la reciprocidad (ninguna persono en la organización puede recibir un
(por ejemp lo, un competidor, los medios, un fiscal o un juez) , como un soborno aún
regalo u hospitalidad por un valor superior al valor que están autorizados
en el coso de que el donante o el receptor no tuviese n lo intención de sirvieron paro
o dar);
este propós ito . Por ende, un mecanismo de control útil puede ser evitar, tonto como
seo posible, cualquier regalo, hospitalidad, donación u otros beneficios similares que vi i) el entorno legal y regulotorio (algunos lugares y organizaciones pueden
podrían razonablemente percibirse por uno tercero porte como un soborno . tener los prohibiciones o controles propias del sitio) ;

A.l5.2 Los prestaciones mencionados en el aportado 8 .7 podrían incl uir, por ejemp lo : b) req uerir lo aprobación previo de regalos y hospita lidad cuando estos superen
o) regalos, entretenimiento y hospitalidad; un valor o frecuencia defin idos por un director apropiado;

b) donaciones políticos o de caridad ; e) requerir que los regalos y gestos de hospitalidad por encimo de un valor o
frecuencia defini dos se hagan abiertamente, se documenten eficazme nte (por
e) viajes del representante del cl iente u oficia les púb li cos; eje mplo, en un registro o libro mayor de cuer>tas), y se supervisen .
146 Guío paro la aplicación de UNE-ISO 37001 :2017 Norma UNE -ISO 37001 . Recomendaciones y guía paro su implementación 147

A 15.4 En relación con las donaciones pol íticas o de beneficencia, patrocinio , gastos La organización deberá implementar procedimientos diseñados para prevenir el
de promoción y beneficios paro lo comunidad, los procedimientos implementados por ofrecimiento, provisión o aceptación de regalos, hospitalidad, donaciones y bene-
la organización podrían , por ejemplo , diseñarse para: ficios similares cuando estos sean percibidos como un soborno. La organización
debe saber que estos beneficios pueden ser valorados por un tercero (competidores,
a) prohibir los pagos destinados o influir, o que razonablemente podría n perci-
prensa, jueces ... ) como parte de un soborno, incluso cuando no sea la intención ni
birse como influencio, paro obtener una licitación u otro decisión a fa vor de lo
del que ofrece ni del que recibe. Estos beneficios pueden ser:
organización ;
• Regalos, ocio y hospitalidad.
b) llevar o cabo la debida diligencia sobre el partido político, lo organización de
caridad u otro receptor paro determinar si son legítimos y no se les está utilizando • Donaciones de caridad y políticas.
como un canal paro el soborno (esto podría incluir, por ejemplo, búsquedas en
• Viajes de representación de clientes.
interne! u otros investigaciones pertinentes para determinar si los gestores del
partido político o de la organización de caridad tienen una reputación de soborno • Gastos de promoción.
o conductas criminales similares, o están conectados con los proyectos o clientes
• Patrocinio.
de la organ ización);

e) requerir que un director designado apruebe el pago ;


• Beneficios comunitarios.

d) exigir la divulgación público del pago;


• Formación.
e) asegurarse de que el pago está permitido por la ley y los reglamentos aplicables; • Membresías.
n evi tar hacer contribuciones inmediatamente antes, durante o inmediatamente • Favores personales.
¡ después de la negociación del contrato .
• Información confidencial y privilegiada.
A 15.5 En relación con viajes del representante del cliente o de funcionarios públi-
1 cos, los procedimientos implementados por la organización podrían, por ejemplo, En relación con los regalos y la hospitalidad, la organización puede implementar
diseñarse para: procedimientos diseñados para:
a) permitir solamente los pagos que son permitidos por los procedimientos del • Controlar su extensión y frecuencia: prohibiéndolos totalmente o limitándolos
cliente u órgano público y por leyes y regulaciones aplicables ; según el gasto, la reiteración, el momento, la sensatez, la identidad del que lo
1 b) permitir solamente el viaje necesario para el correcto desarrollo de las funcio-
nes del representante del cliente o el funcionario público (por ejemplo, paro
recibe, la reciprocidad y las normas regulatorias y legales locales.
• Solicitar autorización previa por parte de un responsable de supervisión.
inspeccionar los procedimientos de calidad de la organización en su fábrica);
• Solicitar que sean eficazmente registrados y entregados públicamente.
e) req uerir que un director apropiado de lo organización apruebe el pago;

d) requerir, si es posible, que se avise a supervisor o empleador de los funcionarios Con respecto a las donaciones, políticas o de caridad, patrocinios, gastos promocio-
públ icos o o lo función de cumplimiento antisoborno de los viajes y lo hospita- nales y beneficios comunitarios, los procedimientos que implemente la organización
lidad que se van a proporcionar; podrían estar diseñados para:
e) restringir los pagos o los viajes, alojamiento y manutención necesarios, direc- • Prohibir pagos intencionados para influir en una licitación o en otras decisiones
tamente asociados con un itinerario de viaje razonable ; a favor de la organización (o cuya intención pueda ser percibida como tal) .
f) limitar el entretenimiento asociado a un nivel razonable, de acuerdo con lo • Llevar a cabo una diligencia debida en la entidad que recibe la donación para
pol ítica de la organización en materia de regalos y hospitalidad; garantizar que no está siendo utilizada como canal para un soborno (por
g) prohibir el pago de los gastos de los miembros de la familia o amigos; ejemplo, analizar la reputación de sus directivos y/o quién es el destinatario
último) .
h) pro hibir el pago de los gastos de vacaciones o de recreo.
• Requerir que un manager con responsabilidad apruebe el pago.
148 Guío poro lo aplicación de UNE-ISO 37001:2017 Norma UNE-ISO 37001 . Recomendaciones y guío poro su implementación 149

• Garantizar que el pago esté permitido por las leyes locales. Cuando una debida diligencia realizada en una transacción concreta, un proyecto,
una actividad o una relación con un socio de negocios pone de relieve que el ries-
• Evitar hacer contribuciones inmediatamente antes, durante o después de la
go de soborno no puede ser gestionado por los controles antisoborno, el socio o
negociación de un contrato. la organización no pueden o no quieren implementar nuevos controles o reforzar
los existentes y no desea tomar las medidas necesarias para mitigar estos riesgos
En relación con los viajes de representación de clientes, los procedimientos podrían: (modificar la naturaleza de las transacciones, proyectos, actividades o relaciones), la
• Facilitar solo la aprobación de los pagos permitidos por el cliente y por las leyes organización tendrá que:
locales . • En el caso de las transacciones, actividades, proyectos o relaciones existentes:
• Permitir viajar solo en el caso de que sea necesario para el correcto desarrollo de tomar las medidas necesarias para terminarlas, suspenderlas o retirarlas lo antes
la relación comercial (por ejemplo, para asistir a una fábrica en otro país donde posible.
se lleva a cabo la demostración sobre la funcionalidad de un producto). • En el caso de propuesta de una nueva transacción, proyecto, actividad o rela-
• Requerir que un manager con responsabilidad apruebe el pago. ción: posponer o declinar su continuidad.

• Solicitar que, si es posible, el viaje sea notificado a un empleado con responsa-


Es muy importante el tiempo de reacción ante el conocimiento de la no existencia de
bilidad en compliance, a un funcionario o al empleador.
controles adecuados. Si se ha establecido un plazo para su adecuación, este deberá
• Restringir los pagos a lo estrictamente necesario en el itinerario programado cumplirse y ser realizado dentro del mismo. En el caso de que la organización o so-
del viaje. cio declinase su implementación, inmediatamente se procederá a la terminación del
proyecto, la transacción, la actividad o la relación.
• Limitar el gasto por entretenimiento a un nivel razonable, así como los regalos
de la organización y la política de hospitalidad.
• Prohibir el pago de gastos realizados por familiares y amigos.
8. 9 Planteamiento de inquietudes
• Prohibir el pago de vacaciones o gastos de entretenimiento.
La organización debe implementar procedimientos, para :
o) fomentar y facilitar que las personas reporten, de buena fe o sobre lo base de
una creencia razonable, el intento de soborno, supuesto o real, o cualquier
violación o debilidad en el sistema de gestión ontisoborno, a la función de
8.8 Gestión de los controles antisoborno inadecuados
cumplimiento antisoborno o al personal apropiado (ya seo directamente o a
Cuando lo debido diligencio (véase 8 .2) realizado en uno transacción, proyecto, ac- través de una tercera parte apropiada);
tividad o relación específica, con un socio de negocios, establece que los riesgos de
b) salvo en la medida requerida poro el avance de una investigación, solicitar que
soborno no pueden ser gestionados por los controles antisoborno existentes, y la orga-
la organización trote los informes de formo confidencial con el fin de proteger
nización no puede o no desea implementar controles antisoborno, mejores, adicionales la identidad del informante y otras personas que participen o a las que se haga
o tomar otras medidas adecuadas (toles como cambiar la naturaleza de la transacción, referencia en el informe;
proyecto, actividad o relación) para permitir a la organización gestionar los riesgos de
e) permitir la denuncia anónima;
soborno pertinentes, la organización debe:
d) prohibir represalias, y proteger o los que realicen el reporte de represalias, des-
a) en el caso de una transacción, proyecto, actividad o relación existente, adoptar
pués de que ellos, de buena fe o sobre la base de una creencia razonable, hayan
las medidas adecuados o los riesgos de soborno y la naturaleza de la tran-
planteado o reportado el intento de soborno, supuesto o real o violaciones de
sacción, proyecto, actividad o relación para terminar, interrumpir, suspender o la político antisoborno o del sistema de gestión antisoborno;
retirarse de esto tan pronto como sea posible;
e) permitir que el personal reciba el asesoramiento de una persona apropiada sobre
b) en el caso de uno nuevo propuesta de transacción, proyecto, actividad o rela- qué hacer si se enfrentan a un problema o situación que podría involucrar el
ción, posponer o negarse a continuar con ella. soborno .
151
No rma UNE -ISO 37001 . Recomendaciones y guío poro su implementación
150 Guía para la aplicación de UNE-ISO 3700 1:2017

. 1 st'bilidad de informar en tu idioma ... Hoy en día, los medios tec-


• Que eXlsta a po . ~ l 'e ~ internet
La organización debe asegurarse de que todo el personal esté al tanto de los proce- ~ · ·ten implementar canales de denunoa vta te e1ono o vta ,
no1o¡p.cos perrru . ·· t do a las redes
dimientos de reporte, y que sean capaces de utilizarlos, y tomen conciencia de sus accesibles en todo momento desde cualquier disposmvo conec a .
derechos y protecciones de conformidad con los procedimientos.
NOTA 1 Estos procedimientos pueden ser los mismos, o formar porte de los que se utilizan poro el reporte
imismo existe la opción de externalización del canal de denunci.a; cumpliendo
de otros cuestiones de interés (por ejemplo, seguridad, negligencia, delito o de otro riesgo grave). ~mpre la'normativa en relación con la protecci~n de datosdE~ta opcto~ co::~i:
NOTA 2 Lo organización puede usar un socio de negocios poro gestionar el sistema de información en su . de ob.etividad al tratamiento de las denunnas que pue e avorecer a u . .
nombre. : a : canal~s y la investigación en sí misma. En la opción on-lin_e, se pu~den nptcar
e . f ili'tando la labor de reporte al denuno ante, ast como a re-
NOTA 3 En algunos jurisdicciones, los requisitos en b) y e) anteriores estón prohibidos por lo ley. En estos los comportarruentos, ac d .
cosos, lo organización debe documentar que no los puede cumplir. .da de la información por parte del encargado de tratar la enunoa.
co¡p. . .
. .ó debe asegurarse de que todo el personal conoce los procedimientos
La orgaruzact n h 1 'ón que ampa-
d tilizarlos conocen sus derec os y a proteco .'
En cualquier caso, las organizaciones deberán implementar procedimientos de forma: de reporte, son capaces e u d 1' de otros procedimientos de informaoon
ran. Estos podrán formar parte e esquema
• Que alienten y permitan a las personas informar de buena fe, y sobre la base que se utilicen en la organización. .
de una creencia rawnable, de la sospecha de un soborno o de una violación o
.cación clara eficaz a toda la organización de la política de no represali~ es
punto débil en el sistema de gestión antisoborno, a la función de cumplimiento
antisoborno o al personal apropiado (directamente o a través de un tercero).
~~::::lave en la co~ecta implementación de los sistemas de reporte de denunoas.
La confianza en el sistema es clave para que se produzcan.
• Que la organización tratará la información con la confidencialidad necesaria
(exceptuando su tratamiento necesario para la investigación), de manera que
se proteja la identidad de la persona que ha informado y la de otros involucra-
dos en el reporte (en algunas jurisdicciones esto está prohibido, por lo que la S.l 0 Investigar y abordar el soborno
organización documentará su incapacidad para cumplir este requerimiento).
La organización debe implementar procedimientos paro: .
• Que permitan el anonimato (en algunas jurisdicciones, como es el caso de a) re uerir una evaluación y, cuando sea apropiado, la investiga~ión de cualq~t:r
nuestro país, esto está prohibido, por lo que la _organización documentará su ~ rno o el incumplimiento de la política de antisoborno o el ststema de ge~ton
incapacidad para cumplir este requerimiento) . ~~ti~ob~rno, que hayo sido informado, detectado o bajo razonable sospec a;
1
• Que proluban las represalias y protejan a aquellos que informan de las mismas, re uerir medidas apropiadas en caso de que la investigació~ revele algún ~~-
siempre que actúen de buena fe y sobre la base de una creencia rawnable. b) b:no, o el incumplimiento de la política antisoborno o del ststema de gestton
\"
• Que permitan que el personal reciba asesoramiento por parte de una persona antisoborno;
apropiada sobre cómo enfrentarse a una situación que pudiera involucrar un e) empoderar y facilitar a los investigadores;
soborno.
d) requerir la cooperación en la investigación del personal pertinente;
• Que los procedimientos sean públicos y conocidos por todas las partes intere- . el estado y los resultados de la investigación sean reportados a la
sadas. e) requenr que d 1· · t ~n
función de cumplimiento antisoborno y a otras funciones e cump tmten o, segu
corresponda;
En la práctica, la utilidad o el uso de dichas líneas de reporte (hotlines, whistleblower
channels, mnbudsman ... ) puede alentarse a través de distintas opciones, como pueden n requerir que la investigación se lleve a cabo de formo confidencial y que los
ser: resultados sean confidenciales.

• Que la llamada a la hotline no conlleve coste para quien realiza la llamada. . t. . ~ n debe ser llevada a cabo en formo confidencial y reportado por el
La tnves tgacto ~ . d · fgado . La orgo-
persona 1 que no farmo Parte del rol o función que esta sten o tnves t
• Que la línea se encuentre abierta y disponible las 24 horas los 365 días del año.
152 Guío poro lo aplicación de UNE-ISO 37001 :2017 Norma UNE -ISO 37001 . Recomendaciones y guío poro su implementación 153

nización puede nombrar o un socio de negocios para llevar o cabo lo investigación e A. 18.4 Tras la identificación de cualquier cuestión, la alta dirección o la función
informar de los resultados o los miembros del personal que no formen porte del papel de cump li miento (e n su caso), deberían evaluar los hechos conocidos y la potencial
rol o función que están siendo investigados. gravedad de la cuestión. Si es que aún no disponen de sufi cien tes hechos paro tomar
una decisión, deberían iniciar una investigación.
NOTA l Véase el Capítulo A 18 poro orientación.

NOTA 2 En algunos jurisdicciones, el requisito en ~ está prohibido por lo ley. En estos cosos, lo organización
A.18.5 La investigación debería realizarse por una persona que no haya partici pado
documento que no puede cumplir. en el hecho. Podría ser la función de cumplimiento, auditoría interna , otro director
apropiado o un tercero apropiado . La persona que investiga debería contar con la
autoridad los recu rsos y el acceso a la alta dirección apropiados para pe rmitir que la
investigación se lleve a cabo eficazmente. La persona que investigue preferentemente
A.18 Investigar y hacer frente al soborno debería haber ten ido una formación o experiencia previa en la realización de una
A. 18.1 Este documento requiere que la organización implemente los procedimientos investigación . La investigación debería establ ecer rápidamente los hechos y recoger
adecuados so bre có mo investiga r y hacer frente a cualquier cu estió n de soborno, o todas las pruebas necesarias, por ejemplo :
incumplimientos de los controles ontiso borno, que se reporten, descubra o se sospe- a) hacer investigaciones paro determinar los hecbos;
chen fundadamente . La fo rma en que uno organ ización investigue y trote con una
cuestión en particular dependerá de los circunstancias . Cado situación es diferente, b) recopilar todos los documentos y pruebas pertinentes;
y la respuesta de la organización debería ser razonable y proporcional a las circuns- e) obtener testimonios de los testigos ;
tancias . Un informe sobre una cuestión importante de sospecha de soborno requeriría
d) siempre que sea posible y razonable, solicitar que los informes sobre el hecho
una acción mucho más urgente, importante y detallada que una infracción leve de los
realicen por escrito y se firmen por las persona s que los realizan .
controles antisoborno. Las sugerenci as que se presentan a continuaci ón constituyen
solo una gu ía y no deberían ser tomadas como prescriptivas. A.18.6 En la realización de la investigación y de cualquier acción de seguimiento, la
A. 18.2 La fun ción de cumplimiento debería ser preferentemente lo destinataria de los organizació n necesita tener en cuenta factores relevantes . Por ejemplo :
informes sobre sobornos supuestos o reales o sobre incu mplimientos de los controles a) leyes aplicables (puede ser necesario tener asesoramiento jurídico) ;
antisoborno. Si los informes van en primero instancia a otra persona, entonces los
b) la seguridad del personal ;
proced imientos de la organ ización deberían exigir que los informes se pasen a la fun-
ción de cumplimiento tan pronto como sea posible. En algunos casos, será la propia e) el riesgo de difama ción al hacer declaraciones;
1
función de cu mpl imiento la que identifique lo sospecho o la vio lación. d) la protección de las personas que hacen los informes y de otras personas invo-
A.18 .3 El procedimiento debería determinar quién tiene lo responsabilidad de decidir lucradas o a las que hace referencia en el informe (véase 8 . 9};
cómo se investiga y se tro ta lo cuestión. Por ejemplo: e) la potencial responsabilidad civil, penal o administrativa, las pérdidas financieras
a) una pequeña organización puede implementar un procedim iento en virtud del y los daños en la reputación de la o rganización y los individuos;
cual todas las cuestiones, de cualquier magnitud , deberían ser reportados de n cualquier obligación legal o beneficio para la organización en relación con el
inmediato por la función de cumplimiento o lo alto dirección para que la alta hecho de informar a las autoridades;
d irección tome decis iones sobre cómo enfrentar;
g) mantener las cuestiones y la investigac ión confidencia l hasta que se hayan
b) una organización más grande puede implementar un procedimiento según el cua l: establecido los hechos;

1) las cuestiones menores se trote n por la función de cumplimiento, con un h) la necesidad de que la alta dirección requiera la plena cooperaci ón del persona l
resumen periódico de todas las cuestiones menores que se realice para la en la investigación .
alta d irección;
A.18. 7 Los resultados de la investigación se deberían reportar a la alta dirección o
2 ) las cuestiones mayores se re porte n de inmed iato por la funci ó n de cu m- la función de cumplimiento, según sea el caso . Si se informa de los resu ltad os a la
plimiento a lo alta dirección paro que ello tome decisiones sobre cómo a lta d irección, estos deberían también ser comunicados a la función de cumplimiento
enfrentar. antisobo rno.
154 Guío poro lo aplicación de UNE-ISO 37001 :2017 Norma UNE -ISO 37001 . Recomendaciones y guío poro su implementació n 155

A.l8 .8 Una vez que la organización hoya completado su investigación , y/ o si tiene Normalmente, los reportes sobre violaciones y sobornos son dirigidos al departa-
informac ión suficiente para poder tomar una decisión, lo organizac ión debería im- mento de compliance, pero si se diera el caso de que la información llega primero a
plementar acciones de seguimiento apropiados. Dependiend o de las circunstancias otra persona, los procedimientos de la organización deben asegurar que éstos serán
y de la gravedad de la cuestión, estos podrían incluir uno o más de las sigui entes redirigidos al departamento de compliance lo antes posible. A veces, será el propio
opciones: departamento de compliance el que detecte una sospecha de violación. El procedi-
a) te rminar, retirarse de o modifi ca r la partic ipación de la organizació n en un
miento determinará quién tiene la responsabilidad para decidir cómo se investiga.
proyecto, transacción o contrato;
Por ejemplo:

b) pagar o reclamar un beneficio indebido obten ido; • En una organización pequeña: se podría implementar un procedimiento me-
diante el cual todos los asuntos sean reportados directamente por la función de
e} tomar acciones disciplinarias sobre el personal responsab le (que, dependiendo
compliance a la dirección, quien decidirá qué medidas tomar.
de la gravedad de la cuestión, pod ría ir desde uno advertencia por una falta
menor o un despido por falto grave); • En una organización grande : se puede establecer un procedimiento por el que
los "asuntos menores" son tratados por la función de compliance, que reporta
d) notificación del asunto o las autoridades;
periódicamente a la dirección y los "grandes isuntos" son reportados directa-
e) si se ha producido el soborno, se tom arán acci ones para evitar o ha cer frente o mente desde compliance a la dirección, quien decide qué medidas tomar.
cua lesquiera posibles infracciones legales (por ejemplo, contabilidad falso que
puede ocurrir cuando un sobo rno se registro en los cuentas de formo inexacto, En cualquier caso, la investigación será realizada por personal que no esté involucrado
un del ito fiscal, cuando un soborno ha sido indebidamente deducido de lo renta, en el rol o función investigada. La organización puede decidir que sea una persona
o el lavado de dinero cuando el producto del delito es trotado) .
externa la que conduzca la investigación e informe de los resultados al personal indi-
cado. Cómo la organización investiga y trata el asunto depende de las circunstancias
A.l8.9 Lo organización debería revisor sus procedimientos onti soborno paro examina r
y cada situación es diferente, por lo que la organización deberá planificar su repuesta
si lo cuestión surgió debido a alguno deficiencia en su operación y, de ser así, debería
tomar medido s inmediatas y apropiados para mejorar sus procedimientos .
razonada y proporcionada. Un caso de soborno de gran alcance requerirá una acción
más urgente y de mayor alcance que una violación menor. Para establecer los hechos
y recoger las evidencias necesarias, los investigadores podrán:
1 Es fundamental que cada reporte o denuncia que se eleve o violación o sospecha de • Realizar preguntas para establecer hechos.
1· la misma sea tratada de forma adecuada a través de la oportuna investigación. En este
• Recoger toda la documentación necesaria.
caso, los procedimientos requerirán:
¡· • Obtener evidencias de los testigos.
• Evaluar cualquier soborno o violación de la poütica antisoborno o del sistema
de gestión antisoborno que sea comunicado, detectado o sobre el que exista • Cuando sea posible y razonable, requerir informes sobre el problema, escritos
sospecha. y firmados por las personas que los realizan.
• Adoptar las medidas necesarias en el caso de que la evaluación revele que se ha
Durante la investigación, la organización deberá tener en cuenta los siguientes factores:
producido un soborno, o una violación de la poütica antisoborno o del sistema
de gestión antisoborno. • Las leyes aplicables (puede ser necesario asesoramiento legal).
• Autorizar y habilitar investigadores, y esto debe hacerse sobre criterios objetivos • La seguridad del personal.
preestablecidos.
• El riesgo de difamación al realizar declaraciones.
• Cooperar con el personal relevante.
• La protección de las personas que reportan y que aparecen en los informes.
• Reportar el resultado de la investigación a la función de antisoborno compliance.
• La potencial responsabilidad penal, civil y administrativa, pérdida financiera y
• Preservar la confidencialidad de la investigación y de sus resultados. daño reputacional de la organización y los individuos.
156 G uío poro lo aplicación de UNE-ISO 37001 :20 17 Norma UN E-ISO 37001 . Recomendaciones y guío poro su implementación 157

• Cualquier obligación legal, o beneficio a la organización, que se deba comunicar


a las autoridades. 9 Evaluación del desempeño
• El mantenimiento de la confidencialidad hasta que los hechos sean probados. 9.1 Seguimiento, medición, análisis y evaluación
• La necesidad de que la dirección requiera la cooperación plena del personal en La organización debe determinar:
las investigaciones.
a) qué necesita para el seguimiento y medición;

Los resultados de las investigaciones deben ser comunicados a la dirección o a la b) quién es responsable del seguimiento;
función de compliance. Se comunicarán también a la función de cumplimiento anti- e) los métodos de seguimiento, medición, análisis y evaluación, según sea aplicable
soborno. Si la organización considera que los hechos están probados, deberá realizar para asegurar resultados válidos;
las acciones necesarias para remediarlos. Estas podrían ser:
d) cuándo se deben llevar a cabo el seguimiento y la medición;
• Terminar, retirar o modificar la participación de la organización en el proyecto, e) cuándo se deben analizar y evaluar los resultados del seguimiento y la medición;
transacción o contrato.
~ a quién y cómo se debe reportar dicha información.
• Pagar o reclamar cualquier beneficio obtenido inapropiadamente.
La organización debe conservar la información documentada apropiada como eviden-
• Aplicar medidas disciplinarias al personal responsable. cia de los métodos y resultados.
• Comunicar el asunto a las autoridades. La organización debe evaluar el desempeño antisoborno y la eficacia y eficiencia del
sistema de gestión antisoborno.
• Si el soborno ha tenido lugar, realizar las acciones oportunas para evitar o asu-
mir las posibles consecuencias legales _ NOTA Véase el Capítulo A.19 poro orientación.

La organización revisará sus procedimientos antisoborno para examinar si el pro-


blema surgió de algún punto débil y, en su caso, tomar las medidas necesarias para Este capítulo aborda la evaluación del desempeño antisoborno con el fin de ase-
solucionarlo. gurar su correcto desarrollo e implementación. La organización es responsable de
determinar:
• Qué necesita para realizar su seguimiento y calibración.
• Quién se responsabiliza del seguimiento.
• Qué métodos de seguimiento, medición, análisis y evaluación serán utilizados.
• Cuándo se llevará a cabo el seguimiento y la medición.
• Cuándo se analizarán y evaluarán los resultados anteriores.
• A quién y cómo se reportará dicha información.

La organización deberá conservar la información documentada apropiada como evi-


dencia.
Como en cualquier evaluación del desempeño, las formas de medir son diferentes
y en cada organización, dependiendo de su tamaño, recursos, estructura y cultura,
serán más efectivas unas u otras. La implementación se podrá realizar mediante la
integración de los objetivos antisoborno en la evaluación general de desempeño,
158 Guío poro lo op/icoción de UNE-ISO 37001:2017 Norma UNE-ISO 37001 . Recomendaciones y guío po ro su implementación 159

midiéndolos y analizándolos según los tiempos y fases en las que se haya definido
9.2 Auditoría interna
esta.
9 .2.1 La organización debe llevar a cabo auditorías internas a intervalos planificados,
En organizaciones que hayan implementado sistemas de gestión de las posibles de- para proporcionar información acerca de si el sistema de gestión antisoborno :
nuncias recibidas en el canal de denuncias interno (los llamados case management
systems), los datos recogidos en los mismos podrán ser muy útiles a la hora de eva- a) es conforme con :
luar el desempeño del sistema. Por ejemplo, esos sistemas de case management nos 1) los requisitos propios de la organización para su sistema de gestión antiso-
permitirán saber qué porcentaje de las denuncias se han recibido a través del canal borno;
de denuncias o a través del personal de la organización con puestos asignados en el
2) los requisitos de este documento;
sistema de gestión antisoborno. Podremos así comprobar el grado de confianza que se
tiene en ese personal y decidir, si así hiciera falta, realizar campañas de concienciación b) se implementa y mantiene eficazmente.
en ese sentido. Estos sistemas también nos permiten saber el porcentaje de denuncias NOTA 1 Véase la Norma ISO 19011 a modo de orientación sobre auditoría de sistemas de gestión.
que llegan de forma anónima (allí donde la legislación lo permita) y el de aquellas
NOTA 2 El alcance y la escala de las actividades de auditoría interna de la organización pueden variar
en las que el denunciante da sus datos personales. Es decir, permiten saber si en la dependiendo de una variedad de factores, incluyendo el iomaño de la organización, la estructuro,
organización no se temen las represalias o, al contrario, el personal no se siente lo la madurez y ubicaciones.
suficientemente cómodo para dar sus datos a la hora de reportar una posible violación
de la política antisoborno.
Es responsabilidad de la organización evaluar el desempeño antisoborno y la eficacia
A efectos de llevar a cabo el seguimiento, la medición y el análisis del sistema de ges-
y eficiencia del sistema antisoborno. En dicha evaluación se podrán medir:
tión antisoborno puede resultar especialmente útil recurrir a software que nos permita
crear lo que se llaman paneles de compliance o compliance dashboards, donde a través • Los incumplimientos y cuasi accidentes (un incidente sin efectos adversos).
de gráficos ilustrativos se muestre no solo la actividad o tendencias de las denuncias
• Los casos en los que no se cumpla con los requisitos antisoborno.
recibidas sino también, por ejemplo, las formaciones llevadas a cabo, la duración
media de las investigaciones, el porcentaje de denuncias fundadas, etc. • Los casos en los que no se consigan los objetivos.
Otra manera de medir y evaluar la efectividad del sistema de gestión antisoborno es • El estado de la cultura de cumplimiento.
a través de los estudios de clima laboral. Estos estudios, que miden la opinión de los
empleados respecto a diversos temas organizacionales, son una buena herramienta La organización podrá reevaluar periódicamente, ya sea en toda la organización o en
en la que integrar las diferentes cuestiones que queremos evaluar sobre el sistema. partes de ella, la eficacia de su sistema de gestión antisoborno.
La integración de la evaluación del sistema en otras herramientas de medición y Así mismo, la organización deberá realizar auditorías internas planificadas regular-
evaluación es posible y necesaria para evitar que su número sea elevado, con la con- mente, de conformidad con los requisitos propios de la organización para su sistema
siguiente carga de trabajo para las personas responsables de las mismas. de gestión antisoborno y los requisitos de la Norma ISO 37001, de manera que
proporcione información para que sea implementado y mantenido eficazmente.
Otra manera de medir y evaluar la efectividad del sistema de gestión antisoborno
es a través de los estudios de clima laboral. Estos estudios, que miden la opinión
de los empleados respecto a diversos temas organizacionales, son una buena he-
rramienta en la que integrar las diferentes cuestiones que queremos evaluar sobre 9.2.2 La organización debe:
el sistema.
a) planificar, establecer, implementar y mantener uno o varios programas de audito-
La integración de la evaluación del sistema en otras herramientas de medición y ría que incluyan la frecuencia, los métodos, las responsabilidades, los requisitos
evaluación es posible y necesaria, ya que evita un número elevado de evaluaciones, de planificación y la elaboración de informes, que deben tener en consideración
con la consiguiente carga de trabajo para las personas responsables de las mismas. la importancia de los procesos involucrados, y los resultados de las auditorías
previas;
Norma UNE-ISO 37001 . Recomendaciones y guío poro su implementación 161
160 Guío poro la aplicación de UNE-ISO 37001 :201 7

Las auditorías serán razonables, proporcionadas y basadas en el riesgo. Consistirán


b) definir los criterios de la auditoría y el alcance para cada auditoría; en procesos de auditorías internas y otros procedimientos que revisen actuaciones,
e) seleccionar los auditores competentes y llevar a cabo auditorías para asegurarse controles y sistemas para soborno o sospechas de soborno; la violación de los requi-
de la objetividad y la imparcialidad del proceso de auditoría; sitos de la política antisoborno o del sistema de gestión antisoborno; el fracaso o no
de que los socios de negocios se ajusten a los requisitos antisoborno y debilidades u
d) asegurarse de que los resultados de las auditorías se informan a la dirección
pertinente, a los niveles de dirección pertinentes, a la función de cumplimiento
oportunidades de mejora en el sistema de gestión antisoborno.
antisoborno, a la alta dirección y cuando sea apropiado, el órgano de gobierno
(si existe);
e) conservar la información documentada como evidencia de la implementación 9.2.4 Para asegurar la objetividad e imparcialidad de esos programas de auditoría, la
del programa de auditoría y de los resultados de las auditorías. organización debe asegurarse de que estas auditorías se efectúen por:

a) una función independiente o por personal establecido o designado para este


proceso; o
En este sentido:
b) la función de cumplimiento antisoborno (a menos que el alcance de la au-
• Se planificarán, establecerán, implementarán y mantendrán uno o varios p~~­
ditoría incluya una evaluación del propio sistema de gestión antisoborno, o
gramas de auditoría que incluy~ la frecuencia, l?s mét?dos, las responsab~­
un trabajo similar paro el que la función de cumplim iento antisoborno sea
dades, los requisitos de planificaciÓn y la elaboraciÓn de informes, que tendran
responsable); o
en consideración la importancia de los procesos involucrados y los resultados
previos de las auditorías. e) una persona apropiada de un departamento o función distintos del que está
siendo auditado;
• Se definirán los criterios y el alcance de cada una de las auditorías.
d) una tercera parte apropiada; o
• Se seleccionarán los auditores y se realizarán las auditorías para garantizar la
e) un grupo que comprenda cualquiera de a) a d).
objetividad y la imparcialidad del proceso.
• Se informará a la dirección pertinente acerca de los resultados de las auditor~as, a La organización debe asegurarse de que ningún auditor esté realizando la auditoría
la función de cumplimiento antisoborno, a la alta dirección y, si fuera apropiado, de su propia área de trabajo .
al órgano de gobierno.
NOTA Véase el Capítulo A 16 poro orientación.
• Se conservará la información documentada como evidencia de la implementa-
ción del programa de auditoría y de los resultados de las mismas.

A. 1 6 Auditoría interna
9 .2.3 Estas auditorías deben ser razonables, proporcionadas, y basadas en el riesgo. A.l6.1 El requisito exigido en el apartado 9.2 no significa que una organización esté
Estas auditorías deben consistir en procesos de auditoría interna u otros procedimientos obligada a tener su propia funció n de auditoría interna independ iente. Requiere que la
que revisen los proced imientos, controles y sistemas para: organización designe una función o una persona competente e independiente con la
responsabi lidad adecuada para llevar a cabo esta auditoría . Una organización puede
a) soborno o sospecha de soborno; utilizar a un tercero para operar la totalidad de su programa de auditoría interna, o
b) violación de los requisitos de la política antisoborno o del sistema de gestión puede contratar a un tercero para implementar determinadas partes de un programa
antisoborno ; existente.

e) fracaso de que los socios de negocios se ajusten a los requisitos antisoborno A.l6.2 La frecuencia de las auditorías dependerá de la s necesidades de la organi-
aplicables de la organización; y; zación . Es probable que algunos proyectos , contratos, procedimientos , controles y
sistema s sean seleccionad os cada año com o muestra para ser auditados .
d) debilidades u oportunidades de mejora en el sistema de gestión antisoborno.
162 Guía para fa aplicación de UNE-ISO 37001:2017 Norma UNE- ISO 37001. Recomendaciones y guía poro su implementación 163

A.l6 .3 La selección de la muestra puede esta r basada en el riesgo, de modo que, Las auditorías necesitan un tiempo de planificación para que las partes implicadas
por ejemplo, un proyecto con alto rie sgo de soborno se seleccione para la auditoría dispongan de los documentos requeridos, aunque en algunas ocasiones la organiza-
1 con una mayor prioridad qu e un proyecto con bajo riesgo de soborno . ción puede realizar una auditoría inesperada. En caso de existencia de un órgano de
1
gobierno, este puede dirigir su selección y frecuencia, buscando la independencia y
11 A.l6.4 La s auditorías, normalmente, necesitan planificarse con antelación pa ra que
ayudando a garantizar que se dirijan a las áreas de alto riesgo de soborno. También
1 la s partes rele va ntes d ispongan los documentos necesarios y el tiempo disponibles .
puede requerir acceso a todos los informes y a los resultados, así como ser notificado
Sin embargo , en algunos ca sos , lo orga nización puede considerar útil realizar una
de ciertos resultados de áreas concretas. La intención de la auditoría es proporcionar
1 auditoría inesperado a la s partes auditadas.
seguridad razonable al órgano de control (en caso de existir) y a la alta dirección de
A.l6.5 Si una organiza ción tiene un órgan o de gobiern o, el órgano de gobierno que el sistema de gestión antisoborno ha sido implementado y funciona eficazmente
también puede dirigir la selección y la frecuen ci a de las auditorías de la organización como elemento de prevención y detección del soborno, así como de disuasión para
según considere necesario, con el fin de ejercer la independencia y ayudar a garantizar cualquier personal potencialmente corrupto.
que las auditoría s se d irigen a las áreas de riesgo de soborno primario de la organiza-
ción. El órgano de gobierno también puede requerir el acceso a todos los informes de
auditoría y los resultados, y que las auditorías que identifican ciertos tipos de cuestiones
de riesgo más altos de soborno o los ind icadores de riesgo de soborno se reporte n al
9.3 Revisión por la dirección
órgano de gobierno tras la final ización de las auditorías.
9.3.1 Revisión por la alta dirección
A.l6.6 Lo intención de la aud itoría es proporcionar una seguridad razonable a l órga-
no de gobierno (si existe) y o la alta dirección de que el sistema de gestión antisoborno Lo alto dirección debe revisor el sistema de gestión ontisoborno de la organización
se ha implementado y está fun cionando con eficacia, para ayuda r a preven ir y detectar o intervalos planificados, poro asegurarse de su conveniencia, adecuación y eficacia
el soborno, y para proporcionar un elemento de disuasión para cualquier personal continuo.
potencia lme nte corrupto (ya que todo el personal será consciente de que su proyecto Lo revisión por lo alto dirección debe incluir consideraciones sobre:
o departamento podrían ser seleccionados paro la auditoría).
o) el estado de los acciones de las revisiones por la dirección previas;

b) los cambios en las cuestiones externos e internas que sean pertinentes al sistema
Para asegurar la objetividad e imparcialidad de los programas de auditoría, la orga- de gestión ontisoborno;
nización se asegurará de que las auditorías las efectúa una función independiente o
personal designado para el proceso, la función de cumplimiento antisoborno, una e) la información sobre el desempeño del sistema ontisoborno, incluidas los ten-
dencias relativas o:
persona apropiada de un departamento o función distintos del auditado, una tercera
parte apropiada o un grupo que comprenda una función independiente y una tercera 1) no conformidades y acciones correctivas;
parte apropiada.
2) resultados de seguimiento y mediciones;
La organización no está obligada a tener su propia función de auditoría interna, 3) resultados de las auditorías;
sino que designará una persona independiente y competente para llevar a cabo la
auditoría. 4) reporte de sobornos;

5) investigaciones;
Podrá utilizar a un tercero para llevar a cabo la totalidad del programa de auditoría
o contratarlo para implementar partes del mismo. 6) lo naturaleza y extensión de los riesgos de soborno que enfrento lo organi-
zación;
La frecuencia de las auditorías dependerá de las necesidades de la organización, y
es posible que algunos proyectos, contratos, procedimientos, controles y sistemas d) lo eficacia de las medidas adoptadas paro hacer frente o los riesgos de soborno;
sean elegidos cada año para ello. La selección de la muestra se puede basar en el
e) las oportunidades de mejoro continua del sistema de gestión antisoborno, que
riesgo, por lo que los proyectos de alto riesgo tendrán más probabilidad de ser
se mencionan en el apartado 10 .2.
seleccionados.
164 Guío para la aplicación de UNE-ISO 3 7001 :201 7 N orma UNE -ISO 37001 . Recomendacio nes y gu ío poro su impleme ntación 165

y los oídos de los empleados, colaboradores, proveedores y socios están puestos en


Los resultados de la revisión por la alta dirección deben incluir las decisiones relacio-
ellos, y deben actuar con diligencia en los casos en que el soborno aparezca o pueda
nadas con las oportunidades de mejora y cualquier necesidad de cambio en el sistema
aparecer.
de gestión antisoborno.
Un resumen de los resultados de la revisión por la alta dirección debe ser comunicado
al órgano de gobierno (si existe). 9.3.2 Revisión por el órgano de gobierno
La organización debe conservar información documentada como evidencia de los
El órgano de gobierno (si existe) se debe encargar de examinar periódicamente el
resultados de las revisiones por la alta dirección.
sistema de gestión antisoborno con base en la información proporcionada por la alta
dirección y por la función de cumplimiento antisoborno y cualquier otra información
que el órgano de gobierno puede solicitar u obtener.
Es responsabilidad de la alta dirección revisar el sistema de gestión antisoborno de la
organización de forma regular y planificada, de manera que se asegure su conveniencia, La organización debe conservar el resumen de la información documentada como
adecuación y eficacia continua. Dicha revisión incluirá consideraciones tales como: evidencia de los resultados de las revisiones del órgano de gobierno.

• El estado de las acciones realizadas como consecuencia de revisiones anteriores.


En caso de existencia de un órgano de gobierno, este se encargará de revisar periódi-
• Los cambios externos e internos pertinentes al sistema de gestión antisoborno. c~ente el sistema ~e ge~tión antisoborno, sobre la base de la información propor-
• La información sobre el desempeño del sistema antisoborno, que incluirá ten- Cionada por la alta direcciÓn y por la función de cumplimiento antisoborno, además
dencias relativas a no conformidades, acciones correctivas, resultado de segui- de cualquier otra información que el órgano de gobierno pudiera obtener o solicitar.
miento y mediciones, resultado de las auditorías, reporte de sobornos, inves-
El res~en d~ esta información documentada será conservado por la organización
tigaciones y la naturaleza y extensión de los riesgos de soborno a los que se como eVIdencia de los resultados de las revisiones realizadas por el órgano de gobierno.
enfrenta la organización.
• La eficacia de las medidas adoptadas frente a riesgos de soborno.
• Las oportunidades de mejora continua del sistema de gestión antisoborno en
9.4 Revisión por la función de cumplimiento antisoborno
cuanto a su idoneidad, adecuación y eficacia del mismo.
La función de cumplimiento antisoborno debe evaluar de forma continua si el sistema
• Cualquier necesidad de cambio en el sistema de gestión antisoborno. de gestión antisoborno es:

La organización conservará la información documentada como evidencia de los re- a) adecuado para gestionar eficazmente los riesgos de soborno a los que se en-
sultados de estas revisiones realizadas por la alta dirección. frenta la organización;

Como sabemos, resulta complicado introducir nuevos temas en la agenda de los b) está siendo implementado de manera eficaz.
comités de dirección. Debemos asegurarnos, a través de su compromiso, de que el sis- La función de cumplimiento antisoborno debe informar a intervalos planificados y sobre
tema antisoborno y los puntos del mismo que acabamos de comentar son analizados una base ad hoc, si es apropiado, al órgano de gobierno (si existe) y a la alta direc-
periódicamente en esos comités, en los que deben estar representados idóneamente ción, o a un comité apropiado del órgano de gobierno o de la alta dirección, sobre
todas las áreas funcionales de la organización, y obligatoriamente todas las áreas afec- la adecuación y la implementación del sistema de gestión antisoborno, incluyendo los
tadas por la implementación del sistema de gestión antisoborno. Un representante de resultados de las investigaciones y auditorías.
máximo nivel dentro de la organización debe informar al comité de dirección sobre NOTA 1 La frecuencia de tales informes depende de los requisitos de la organización, pero se recomienda
este tema y ser capaz de dar respuesta a las diferentes cuestiones que suscite. que sean al menos una vez al año.

En concreto, la revisión por parte de la dirección es un buen ejercicio como refuerzo NOTA 2 Lo organización puede usar un socio de negocios poro ayudar en la revisión, siempre y cuando las
observaciones de la otra organización se comuniquen adecuadamente a la función de cumplimiento
de su visión en cuestiones antisoborno, ya que el ejemplo y la guía de la dirección en antisoborno, a la alta dirección y si es apropiado, al órgano de gobierno (si existe).
los escenarios de riesgo son vitales para el correcto desarrollo del sistema. Los ojos
166 Guío para la aplicación de UNE-ISO 37001:2017 Norma UNE -ISO 37001. Recomendaciones y guío poro su implementación 167

La función de cumplimiento antisoborno evaluará de forma continuada el sistema


de gestión antisoborno para asegurar que:
1O Mejora
• Es adecuado para gestionar eficazmente los riesgos de soborno a los que se 1 0.1 No conformidades y acciones correctivas
enfrenta la organización. Cuando ocurre una no conformidad, la organización debe :
• Está siendo implementado de manera eficaz. a) reaccionar inmediatamente ante la no conformidad, y según sea aplicable:

1) tomar acciones para controlarla y corregirla;


Dicha función informará regularmente, a intervalos planificados (mínimo una vez
al año y dependiendo de los requisitos de la organización) y sobre una base ad hoc, al 2) hacer frente a las consecuencias;
órgano de gobierno (si existe) y a la alta dirección, si es pertinente, o en su defecto
b) evaluar la necesidad de acciones para eliminar las causas de la no conformidad,
a un comité apropiado del órgano de gobierno o de la alta dirección, sobre la ade-
con el fin de que no vuelva a ocurrir ni ocurra en otra parte, mediante:
cuación y la implementación del sistema de gestión antisoborno, incluyendo los
resultados de las investigaciones y las auditorías. Se contempla la utilización de un 1) la revisión de la no conformidad;
socio de negocios por parte de la organización para ayudar en la revisión, siempre 2) la determinación de las causas de la no conformidad, y;
y cuando las observaciones sean comunicadas adecuadamente a la función de cum-
plimiento antisoborno, a la alta dirección y, si es apropiado, al órgano de gobierno 3) la determinación de si existen no conformidades similares, o que potencial-
mente podrían ocurrir;
(si existiera) .
e) implementar cualquier acción necesaria;

d) revisar la eficacia de cualquier acción correctiva tomada;

e) si fuera necesario, hacer cambios ol sistema de gestión antisoborno.

Las acciones correctivas deben ser apropiadas a los efectos de las no conformidades
encontradas. La organización debe conservar información documentada adecuada,
como evidencia de:

- la naturaleza de las no conformidades y cualquier acción tomada posteriormente;

los resultados de cualquier acción correctiva .

NOTA Véase el Capítula A.20 paro orientación.

En este apartado la norma establece la necesidad de realizar acciones de mejora ante


no conformidades o incumplimientos detectados de los requisitos establecidos.
U na no conformidad es un incumplimiento de un requisito establecido en el sistema
de gestión antisoborno. Es decir, es un incumplimiento de una necesidad establecida
y obligatoria dentro del mismo.
Una acción correctiva es una acción tomada para eliminar la causa de una no confor-
midad y evitar que vuelva a ocurrir.
Puede haber no conformidades de muchos tipos. Por ejemplo:
• Que el órgano de gobierno no apruebe la política de antisoborno.
168 Guía para la aplicación de UNE-ISO 37001 :2017 Norma UNE-ISO 37001. Recomendaciones y guía para su implementación 169

• Que la política no esté disponible para todas las partes interesadas. • Evaluar la necesidad de acciones para eliminar las causas de la no conformidad:
la organización deberá no solo dar respuesta a la no conformidad, sino tomar
• Que no se realice lo establecido en un procedimiento del sistema de gestión
acciones para evitar que vuelva a ocurrir. Para ello se deberá:
(por ejemplo, en lo relativo a los conflictos de interés).
- Revisar la no conformidad.
O también, entre otros:
- Analizar sus causas.
• Que el resultado de un control no sea positivo.
- Identificar si existen no conformidades similares, o no conformidades que
• La compra a un proveedor no autorizado o al que no se le ha exigido la debida potencialmente podrían ocurrir.
diligencia necesaria.
- Evaluar las causas y, en función de dicho análisis, la organización decidirá si
• Que no se gestione una denuncia con los requisitos de confidencialidad o ano- es necesario establecer acciones. El objetivo es evitar que la no conformidad
nimato requeridos. se repita.
• La aceptación de un regalo por encima de los lúnites establecidos o incumplien-
• Implementar cualquier acción necesaria: si así-se ha decidido en el punto ante-
do lo estipulado.
rior, se llevarán a cabo acciones para eliminar la causa de la no conformidad.
• Los resultados negativos en la evaluación de la formación en materia de pre-
Las acciones correctivas que se realicen deben ser apropiadas a los efectos y
vención del soborno.
consecuencias de las no conformidades encontradas. Por ejemplo:
La gestión de no conformidades y acciones correctivas es uno de los elementos fun- Dar formación adicional.
damentales en el funcionamiento y eficacia del sistema de gestión antisoborno y en
Recoger más claramente en la documentación cómo realizar un determinado
la mejora continua del mismo. Un proceso sólido y bien desarrollado de gestión de
control.
no conformidades y acciones correctivas es una garantía de éxito y eficacia para el
sistema de gestión antisoborno. Automatizar el control mediante una aplicación o sistema informático.
Como se comentado reiteradamente a lo largo del libro, el enfoque de la Norma ISO
• Revisar la eficacia de cualquier acción correctiva tomada: con posterioridad, se
37001 es un enfoque de prevención y de mejora continua. Por ello, la organización
analizará si la acción implementada ha sido eficaz y funciona. Se verificará que
debe establecer un procedimiento o metodología para detectar y gestionar las no
no se ha repetido el incumplimiento.
conformidades y establecer acciones correctivas de mejora. Este procedimiento o
metodología debe incluir una serie de etapas: • Hacer cambios en el sistema de gestión antisoborno, si fuera necesario : la
organización deberá documentar y conservar todas las evidencias de las no
• Detectar y reaccionar inmediatamente ante la no conformidad: se deberá actuar
conformidades, acciones y acciones correctivas tomadas y modificará todo lo
lo antes posible y sin demora para:
necesario en el sistema de gestión antisoborno.
Establecer acciones que controlen la no conformidad y corregirla: esto es
lo que habitualmente se entiende como "tratar la no conformidad". Supone
actuar lo antes posible para evitar o reducir el problema y sus consecuencias.
Analizar y hacer frente a las consecuencias: una vez detectado el problema o
la no conformidad, se analiza el mismo y las posibles consecuencias.
Por ejemplo, en la auditoría interna se detecta la no realización de un control
para verificar que no se supera un importe autorizado de compra. En este caso,
se deberá revisar y verificar si se ha superado ese lúnite. En el caso de superarlo,
se analizarán las consecuencias económicas, jurídicas o de otro tipo.
Norma UNE -ISO 37001 . Recomendaciones y guío po ro su im plementación 171
170 Guía poro lo aplicación de UNE-ISO 3700 1:201 7

La fmalidad de este sistema de gestión no es solo establecer procedimientos, controles


10.2 Mejora continua y actividades de seguimiento, sino también planificar y mejorar. Es un sistema diná-
Lo organización debe mejorar continuamente lo idoneidad, adecuación, y eficacia del mico y con enfoque a la mejora continua. Por todo ello, la organización debe analizar
sistema de gestión ontisoborno. continuamente la conveniencia, adecuación y eficacia del mismo.

NOTA Véase el Capítulo A.20 paro orientación . Adicionalmente a la gestión de no conformidades y acciones correctivas de mejora,
vistos en el apartado anterior, se deben establecer planes y objetivos de mejora del
sistema de gestión antisoborno en general o de algunos de sus elementos en panicular.
A.20 Planificación e implementación de cambios en el sis- El tratamiento de las no conformidades y la toma de acciones correctivas son una
tema de gestión antisoborno parte fundamental en la mejora del sistema de gestión antisoborno, si bien existen
A.20.1 Lo idoneidad y lo efica cia del sistema de gesti ó n ontisoborno deberían ser otras fuentes o elementos que permiten detectar incidencias, posibles problemas,
evaluada s de forma continua y regular a tra vés de diferentes métodos, ta les co mo : necesidades y oportunidades. Entre ellas podemos destacar:
auditorías intern as (véase 9 .2 ), revisi ones por la función de cumpli miento a ntiso bo rno
• Las auditorías internas.
(véase 9.4), y revisión por la dirección (véase 9 .3) .
• La certificación.
A.20.2 La organ ización debería con side rar los resultados de toles evalua ciones poro
determinar si existe lo necesidad o lo oportunidad de cambiar el si stema de gestión • Informes de compliance.
ontisoborno.
• Las revisiones por la función de cumplimiento antisoborno.
A.20.3 Poro ayudar a asegurar la integridad del sistema de gestión ontisoborno y
que se mantenga su eficacia, los cambios en elementos indi viduales del sistema de • La revisión de la alta dirección.
gestión deberían tomar en cuento lo dependencia y el impacto de toles cambios sobre • Las revisiones por el órgano de gobierno.
la eficacia del sistema de gestión en su totalidad .
A.20.4 Cuando lo organizació n determ ino lo necesidad de cambios en el sistema de El análisis de los resultados de estas auditorías, informes y revisiones son elementos
gestión antisoborno, toles cambios deberían llevarse o cabo de uno manera planifica- de ~ntrada muy relevantes para la detección de las necesidades y oportunidades de
da, ten iendo en cuento lo sigu iente : meJora.
o) lo fi nal idad de los cambios y sus posibles consecuencias; La introducción de avances y cambios en el sistema de gestión antisoborno deben
b) lo integridad del sistema de gestión antisoborno ;
llevarse a cabo de una manera planificada y considerando lo establecido en el apar-
tado 6 de la norma, deberían tenerse en cuenta:
e) la disponibilidad de recursos ;
• La fmalidad de los cambios y sus posibles consecuencias.
d) la asignación o reas ignación de responsabil idades y autoridades;
• La integridad del sistema de gestión antisoborno.
e) la frecuen cia , el alcance y el cronog rama de la implementación de los cambios.
• La disponibilidad de recursos.
A.20.5 Las mejoras del sistema de gestión ontisoborno como resultado de las medidas
adoptadas en respuesta a cualqu ier no conformidad (véase l 0 . 1) y como resultado de • La asignación o reasignación de responsabilidades y autoridades.
los mejoras continuos (véase l 0 .2) deberían llevarse o cabo bajo el mismo enfoque • La frecuencia, el alcance y el cronograma de la implementación de los cambios.
que se indico en el aportado A.20 .4 .

Como se ha ido comentando con anterioridad a lo largo del libro, en este punto es
necesario remarcar que los sistemas de gestión basados en la estructura de alto nivel de
ISO, y en concreto el sistema de gestión antisoborno, se implementa con el objetivo ~o
solo de cumplir requisitos y mantenerlo, sino de mejorar su funcionamiento y eficacta.
Auditoría y certificación
de un sistema de gestión
antisoborno de acuerdo
a la Norma ISO 37001

La certificación
La certificación es un proceso llevado a cabo por una entidad independiente, que
se realiza mediante una evaluación de la conformidad, es decir, se verifica si un pro-
ducto o un sistema de gestión cumple con los requisitos establecidos en una norma
o documento técnico.
Cuando se comprueba que dicho cumplimiento existe, se concede un certificado que da
derecho al uso de una marca que constituye un elemento diferenciador en el mercado,
lo que mejora la imagen de una empresa y de sus productos y servicios, generando una
mayor confianza entre clientes, consumidores y otras partes interesadas.
Las organizaciones acreditadas para certificar deben cumplir unos requisitos esta-
blecidos por la entidad nacional de cada país, que en el caso español es la Entidad
Nacional de Acreditación (ENAC), la cual realiza auditorías periódicas para verificar
el cumplimiento de estos requisitos y, como consecuencia de ello, las acredita para
realizar auditorías de certificación.
La N arma ISO /lEC 17021-1 Evaluación de la conformidad. Requisitos para los orga-
nismos que realizan la auditoría y la certificación de sistemas de gestión. Parte 1: Requi-
sitos, establece los requisitos para las organizaciones que, como AENOR, realizan la
auditoría y la certificación de los sistemas de gestión. Según establece esta norma,
la certificación proporciona una demostración independiente de que el sistema de
gestión de la organización:
• Es conforme con los requisitos especificados.
• Es capaz de lograr coherentemente su política y objetivos declarados.
• Está implementado de manera eficaz.

173
174 Guío para la aplicación de UNE-ISO 37001 :201 7 Auditoría Y certificación de un sistema de gestión ontisoborno de acuerdo o lo Norma ISO 37001 175

En el caso concreto de la certificación de un sistema de gestión antisoborno de


acuerdo con la Norma ISO 37001, es una forma de asegurar que la organización Solicitud
ha implementado un sistema de gestión acorde con lo establecido en la política
antisoborno de la organización y que cumple con los requisitos establecidos en
la norma. Auditoría inicial

Esta certificación aporta valor a la organización, a sus clientes y a otras panes intere-
sad~s, como autoridades judiciales o socios de negocio. Es una muestra de confianza
Fase 1
hacia la propia organización y hacia los clientes, los accionistas, los empleados, las
Administraciones públicas y el entorno social de la empresa.
Es por todo esto que las organizaciones avanzadas buscan proveedores y socios de Fase 2
negocio cuya gestión y/o productos cuenten con el aval de una entidad de confianza.
En este contexto, la certificación por una organización de prestigio y rigurosa como
AENOR es un elemento competitivo diferencial. lTipo de
certificado?

Sistemas
Etc pos del proceso de certificación Producto

Las etapas del proceso de certificación (véase la figura 6) de un sistema de gestión, Ul


11)
10
y que serían aplicables para un sistema de gestión antisoborno son las detalladas a e:
continuación: Inspección 3"
¡¡¡·
y forma de ::;¡
~

• Solicitud y revisión de la solicitud: una vez implementado el sistema de gestión muestras o


por parte de la organización, esta solicita la certificación a una entidad acredita-
da (como puede ser AENOR), aportando una serie de información relacionada Ensayos
con el sistema de gestión.
Es importante indicar que AENOR no interviene en el proceso de implanta- Plan de acciones
ción del sistema, para garantizar así la independencia del proceso de auditoría correctivas
y certificación.
• Auditoría inicial de certificación: su objetivo es evaluar la implementación y la Evaluación y decisión
eficacia del sistema de gestión de la organización. Para ello, durante la auditoría,
el equipo auditor analiza el sistema de gestión basándose en los requisitos de
la norma de referencia y en lo establecido en los documentos que integran el
sistema de gestión de la organización.
• Decisión de la certificación: el informe de auditoría y; en su caso, el plan de
acciones correctivas, serán evaluados por la entidad acreditada (como puede
ser AENOR) con el fin de determinar el nivel de cumplimiento del sistema
de gestión con los requisitos establecidos en la norma de referencia y el grado de
confianza que ofrece dicho sistema. Fuente : AENOR.
Figura 6. Esquema general de certificación
176 Gu ío poro lo aplicación de UNE-ISO 37001 :201 7

Tras este proceso, se elevan las correspondientes recomendaciones a los órga- La Norma ISO 37001 y la
nos competentes de la entidad acreditada (AENOR) para que se adopte una
decisión sobre la emisión del certificado.
debida diligencia exigida
Si el resultado es favorable, se entregará el certificado que concede el derecho a los administradores de
al uso de la marca AENOR y que tendrá una vigencia de tres años. Durante
este período, el sistema de gestión de la empresa se somete a una auditoría de las sociedades de capital
seguimiento anual.
• Renovación de la certificación: a la finalización del plazo de validez del certi-
ficado, se reaLizará una auditoría de renovación, válida para un nuevo ciclo de
tres años.

La implementación efectiva de sistemas de gestión de compliance penal y antisoborno


Competencia del personal involucrado en la además de. ~yud~ a la preven~i~n de delitos, son elementos relevantes respecto del
deber de dili~enC1a de los administradores. El compliance no es solo importante desde
certificación el punto de vista del derecho penal, sino también desde el punto de vista del derecho
mercantil. Así los sistemas de gestión de compliance pueden ser considerados como
Las entidades de certificación deben asegurarse de que todo su personal tiene el
"un r~erto .seguro" a la hora de acreditar y garantizar el cumplimiento deber general
conocimiento y las habilidades apropiadas para realizar la auditoría de un sistema de
de diligencia de los administradores.
gestión, y en este caso, para realizar la auditoría del sistema de gestión antisoborno.
A ~ontinuación vamos ~ h~cer referencia los Títulos V y VI del Real Decreto Legis-
Para ello, se deben determinar los criterios de competencia del personal involucrado en latl~o 1/2010, de~ de Julio, por el que se aprueba el texto refundido de la Ley de
la gestión y realización de auditorías y en otras actividades de certificación relacionadas. SoCiedades de Capital en referencia a la junta general (Título V) y a la administración
En concreto, para el personal involucrado en la certificación de los sistemas de ges- de la sociedad (Título VI), y que tienen relación en mayor o menor medida con los
tión ISO 37001, ISO ha desarrollado la Norma UNE-ISO/lEC TS 17021-9:2017 requisitos relacionados con los órganos de gobierno tratados en la Norma ISO 37001.
Evaluación de la conformidad. Requisitos para los organismos que realizan la auditoría y la
certificación de sistemas de gestión. Parte 9: Requisitos de competencia para la auditoría y
la certificación de sistemas de gestión antisoborno, que establece la competencia requerida
Real Decreto Legislativo 1/201 O, de 2 de julio, por el que se
para auditar y certificar sistemas de gestión antisoborno. aprueba el texto refundido de la Ley de Sociedades de Capital
Entre otros, se deben establecer requisitos de competencia sobre: Título V. La Junta general
• Conocimientos generales. En est: título se establecen las dis~siciones y artículos sobre la Junta General. A partir
• Conocimientos sobre el soborno y mecanismos para prevenirlo. del articulo 159 se establecen obligaciones y disposiciones generales entre otros sobre
la competencia de la Junta (artículo 160), clases de juntas, convocatorias derechos de
• Contexto de la organización. información, imputación de acuerdos, etc. '
• Leyes, regulaciones y otros requisitos. En concreto el artículo 160 establece lo siguiente:
• Evaluación del soborno y la diligencia debida. Artículo 160. Competencia de la junta.
• Riesgos de soborno. Es competencia de la junta general deliberar y acordar sobre los siguientes asuntos:
• Controles para evitar el soborno. a) La aprobación de las cuentas anuales> la aplicación del resultado y la aprobación de
• Sistemas de gestión antisoborno. la gestión social.

177
178 Guío poro lo aplicación de UNE-ISO 3700 1:2017 Lo norma ISO 37001 y lo debido diligencio exigido o los administradores de lo s sociedades de... 179

b) El nombramiento y separación de los administradores) de los liquidadores Y1 en su caso1 3. En la sociedad de responsabilidad limitada los estatutos sociales podrán establecer
de los auditores de cuentas) así como el eJercicio de la acción social de responsabilidad distintos modos de organizar la administración atribuyendo a la Junta de socios la fa-
contra cualquiera de ellos. cultad de optar alternativamente por cualquiera de ellos sin necesidad de modificación
estatutaria.
e) La modificación de los estatutos sociales.
4. Todo acuerdo que altere el modo de organizar la administración de la sociedad)
d) El aumento y la reducción del capital social. constituya o no modificación de los estatutos sociales1 se consignará en escritura pública
e) La supresión o limitación del derecho de suscripción preferente y de asunción prefe- y se inscribirá en el Registro Mercantil.
rente.
Llegados a este punto, debemos destacar la importancia que pueden tener los sistemas
f) La adquisición) la enaJenación o la aportación a otra sociedad de activos esen- de gestión basados en estándares reconocidos (UNE 19601 o ISO 37001) auditados
ciales. y certificados, como apoyo y evidencia para la acreditación de la diligencia debida,
y en respuesta a la exigencia del artículo 226 sobre Protección de la discrecionalidad
Se presume el carácter esencial del activo cuando el importe de la operación supere
el veinticinco por ciento del valor de los activos que figuren en el último balance empresarial, también conocida como Business Judgement Rule.
aprobado. Artículo 225. Debergeneral de diligencia
g) La transformación) la fusión1 la escisión o la cesión global de activo y pasivo y el l . Los administradores deberán desempeñar el cargo y cumplir los deberes impuestos por
traslado de domicilio al extranJero. las leyes y los estatutos con la diligencia de un ordenado empresario1 teniendo en cuenta
h) La disolución de la sociedad. la naturaleza del cawo y las funciones atribuidas a cada uno de ellos.

i) La aprobación del balance final de liquidación. 2. Los administradores deberán tener la dedicación adecuada y adoptarán las medidas
precisas para la buena dirección y el control de la sociedad.
J) Cualesquiera otros asuntos que determinen la ley o los estatutos.
3. En el desempeño de sus funciones1 el administrador tiene el deber de exigir y el dere-
cho de recabar de la sociedad la información adecuada y necesaria que le sirva para el
Título VI. La administración de la sociedad cumplimiento de sus obligaciones.
En este título se establecen competencias, prohibiciones, deberes, y responsabilidades
Artículo 226. Protección de la discrecionalidad empresarial
para los administradores y el consejo de administración.
l. En el ámbito de las decisiones estratégicas y de negocio) suJetas a la discrecionalidad em-
A continuación se recogen algunos artículos que pueden ser relevantes a los efectos
presarial) el estándar de diligencia de un ordenado empresario se entenderá cumplido cuan-
de dar respuesta a los requisitos del capítulo 5 de la Norma ISO 37001 .
do el administrador haya actuado de buena fe1 sin interés personal en el asunto obJeto de
Artículo 209. Competencia del órgano de administración decisión) con infonnación suficiente y con arreglo a un procedimiento de decisión adecuado.
Es competencia de los administradores la gestión y la representación de la sociedad en los 2. No se entenderán incluidas dentro del ámbito de discrecionalidad empresarial aque-
términos establecidos en esta ley. llas decisiones que afecten personalmente a otros administradores y personas vinculadas
Y1 en particular, aquellas que tengan por obJeto autorizar las operaciones previstas en el
Artículo 21 O. M odos de organizar la administración artículo 230.
l . La administración de la sociedad se podrá confiar a un administrador único) a varios En el Capítulo VI se recogen una serie de artículos relativos al consejo de adminis-
administradores que actúen de forma solidaria o de forma conJunta o a un conseJo de tración. Destacamos los siguientes :
administración.
Artículo 242. Composición
2. En la sociedad anónima1 cuando la administración conJunta se confte a dos admi-
nistradores) éstos actuarán de forma mancomunada Y1 cuando se confte a más de dos l . El conseJo de administración estará formado por un mínimo de tres miembros. Los
administradores) constituirán conseJo de administración. estatutos fiJarán el número de miembros del conseJo de administración o bien el máximo y
180 Guío poro lo aplicación de UNE-ISO 37001 :20 17 Lo norma ISO 37001 y lo de bido diligencio exigido o los ad ministrad o res de los sociedades de ... 181

el mínimo) correspondiendo en este caso a la junta de socios la determinación del número ;) La convocatoria de la junta general de accionistas y la elaboración del orden del día
concreto de sus componentes. y la propuesta de acuerdos.
2. En la sociedad de responsabilidad limitada) en caso de consejo de administración) el k) La política relativa a las acciones o participaciones propias.
número máximo de los componentes del consejo no podrá ser superior a doce. l) Las facultades que la juntageneral hubiera delegado en el consejo de administración)
salvo que hubiera sido expresamente autorizado por ella para subdelegar/as.
Artículo 245. Organización y funcionamiento del consejo de administración
l . En la sociedad de responsabilidad limitada los estatutos establecerán el régimen de
organización y funcionamiento del consejo de administración) que deberá comprender,
en todo caso) las reglas de convocatoria y constitución del órgano) así corno el modo de
deliberar y adoptar acuerdos por mayoría.
2. En la sociedad anónima cuando los estatutos no dispusieran otra cosa) el consejo de
administración podrá designar a su presidente) regular su propio funcionamiento y
aceptar la dimisión de los consejeros.
3. El consejo de administración deberá reunirse) al menos) una vez al trimestre.

Artículo 249 bis. Facultades indelegables


El consejo de administración no podrá delegar en ningún caso las siguientes facultades:
a) La supervisión del efectivo funcionamiento de las comisiones que hubiera constituido
y de la actuación de los órganos delegados y de los directivos que hubiera designado.
b) La determinación de las políticas y estrategias generales de la sociedad.
e) La autorización o dispensa de las obligaciones derivadas del deber de lealtad confimne
a lo dispuesto en el artículo 230.
d) Su propia organización y funcionamiento.
e) La formulación de las cuentas anuales y su presentación a la junta general.
j) La formulación de cualquier clase de informe exigido por la ley al órgano de ad-
ministración siempre y cuando la operación a que se refiere el informe no pueda ser
delegada.
g) El nombramiento y destitución de los consejeros delegados de la sociedad) así corno el
establecimiento de las condiciones de su contrato.
h) El nombramiento y destitución de los directivos que tuvieran dependencia directa del
consejo o de alguno de sus miembros) así corno el establecimiento de las condiciones
básicas de sus contratos) incluyendo su retribución.
i) Las decisiones relativas a la remuneración de los consejeros) dentro del marco
estatutario y) en su caso) de la política de remuneraciones aprobada por la junta
general.
Bibliografía

A Guide for Anti-Corruption RiskAssessment. Urúted Nations Global Compact, Nueva


York, 2013.
A Resource Guide to the Foreign Corrupt Practices Act. Criminal Division of the US
Department ofJustice y Enforcement Division of the US Securities Exchange
Commision. Urúted States Government. Noviembre de 2012.
Bribery Risk Guide. Institute ofRiskManagement (IRM) ylransparency Internacional UK.
Londres, 2016.
BS 10500:2011 Specification for an anti-bribery management system (ABMS).
Código de buen gobierno de las sociedades cotizadas. Comisión Nacional del Mercado de
Valores. Febrero de 2015.
Federal organizational sentencing guidelines. Urúted States Sentencing Commission
(USSC).
Global Compact (Pacto Mundial) de Naciones Unidas. 26 de julio de 2000. Nueva
York, EE.UU.
Good Practice Guidance on Interna! Controls1 Ethics1 and Compliance. Orgarúsation for
Economic Co-operation and Development (OECD). Febrero de 2010.
GuidelinesManual. Urúted States Sentencing Commission (USSC) . Edición de 2016
(l.a ed. en 1987).
Hernández Pérez, María. "Building a Global Compliance Program", enACC Docket,
31 (1), enero/febrero de 2013.
Llobregat Rego, Berta y Román García, Salvador. "Prevención del delito en las or-
garúzaciones", en la revistaAENOR, núm. 308, octubre de 292, abril de 2014.
Oficina de las Naciones Urúdas contra la Droga y el Delito (UNODC). Convención
de las Naciones Unidas contra la Corrupción. Naciones Urúdas, Viena, 2004.

183
184 G uío poro lo aplicación de UNE-ISO 3700 1:2017

Oficina de las Naciones Unidas contra la Droga y el Delito (UNODC). Programa


anticorrupción de ética y cumplimiento para las empresas: guía práctica. Naciones
Unidas, Viena, 2013.
Real Decreto Legislativo 1/2010, de 2 de julio, por el que se aprueba el texto refun-
dido de la Ley de Sociedades de Capital.
Román García, Salvador. "Buenas prácticas que reducen responsabilidad penal", en Sobre los autores
la revistaAENOR, núm. 308, octubre de 2015.
Román García, Salvador. "Certificación de compliance, lucha contra el delito en em-
presas", en la revistaAENOR, núm. 332, diciembre de 2017.
Román García, Salvador. "Certificación de cumplimiento, ética, integridad y buen
gobierno", en la revistaAENOR, núm. 323, febrero de 2017.
Román García, Salvador. "Certificación UNE 19601 y la prevención de delitos", en
El Economista, 24 de junio de 2017.
María Hemández Pérez es Licenciada en Derecho por la Universidad Complutense
Román García, Salvador. "La certificación, un argumento de peso en compliance de Madrid, con especialización jurídico-comunitaria por la Universidad San Pablo
penal", enForum Calidad, núm. 280, abril de 2017. CEU de Madrid y Pos grado en Derecho y Economía de la Unión Europea por la
Román García, Salvador. ''U na gestión adecuada puede eximir de responsabilidad Universidad de La Sorbona de París.
penal a una organización'', enE! Comercio, 27 de diciembre de 2015. Actualmente es Socia Directora del Departamento de Compliance en Eversheds
The Bribery Act 2010. QJtick Start Guide. Ministry of Justice. United Kingdom Go- Sutherland Nicea y Responsable del Comité de Compliance de la Alianza de despachos
vernment. 20 ll. Latinoamericanos de Eversheds Sutherland Internacional. Asimismo, es Presidenta de
la Sección de Compliance del ilustre Colegio de Abogados de Madrid y Vicepresidenta
UNE 19601:2017 Sistemas de gestión de compliance penal. Requisitos con orientación de la Asociación de Profesionales de Cumplimiento Normativo (CUMPLEN). En
para su uso. el terreno educacional es Directora Académica del LLM Global Corporate Com-
UNE-EN 31010:2011 Gestión del riesgo. Técnicas de apreciación del riesgo. pliance del IE Law School en colaboración con la New York University y Direc-
tora de Corporate Compliance en el Internacional Business Law LLM y el Máster
UNE-EN ISO 14001:2015 Sistemas de gestión ambiental. Requisitos con orientación en Derecho Transnacional de los Negocios el IE. Regularmente escribe e imparte
para su uso. ponencias a nivel internacional con especial foco en la lucha anticorrupción en el
UNE-EN ISO 9001:2015 Sistemas de gestión de la calidad. Requisitos. entorno corporativo.
UNE-EN ISO jiEC 17021-1:2015 Evaluación de la conformidad. Requisitos para los
Salvador Román García es Licenciado en Dirección y Administración de Empresas
organismos que realizan la auditoría y la certificación de sistemas de gestión. Parte 1:
por la Universidad del País Vasco y Más ter en Derecho Penal Económico por la
Requisitos.
Universidad de Granada. Ha realizado el Programa Avanzado de Compliance del
UNE-ISO 19600:2015 Sistemas de gestión de compliance. Directrices. Instituto de Empresa y el programa Make an Impact: Sustainability for Proftssionals
UNE-ISO 26000 :2012 Guía de responsabilidad social. de la U niversity of Bath.

UNE-ISO 31000:2010 Gestión del riesgo. Principios y directrices. Actualmente es Gerente de Governance y Corporate Compliance en AENOR. Tiene una
extensa experiencia en auditorías e irnpartición de formación en corporate compliance,
UNE-ISO/lEC TS 17021-9:2017 Evaluación de la confimnidad. Requisitos para los orga- buen gobierno y responsabilidad social corporativa. Participa como experto en el
nismos que realizan la auditoría y la certificación de sistemas de gestión. Parte 9: Requi- grupo de trabajo responsable de la elaboración de las normas ISO 19600, ISO 37001
sitos de competencia para la auditoría y la certificación de sistemas de gestión antisoborno. y UNE 19601; en el grupo de trabajo de ISO Spanish Translation Task Force del

185
186 Guía para la aplicación de UNE-ISO 3700 1:20 17

Comité Técnico ISO PC 278, que consensuó la traducción de la norma ISO 37001
al idioma español y en el grupo de trabajo JWG 47 ISO TS 17021, que desarrolló
la norma ISO/lEC TS 17021-9:2016 Evaluación de la conformidad. Requisitos para
los organiSinOs que realizan la auditoría y la certificación de sistemas de gestión. Parte 9:
Requisitos de competencia para la auditoría y la certificación de sistemas de g estión anti-
soborno . Regularmente imparte formación en la áreas de corporate compliance, RSC
y buen gobierno.