Programa de auditorías ISO 37001 antisoborno

🔊 Escuchar esta entrada

El programa de auditorías es uno de los pilares que sostiene el correcto funcionamiento del Sistema de Gestión Antisoborno basado en la ISO 37001. Toda organización que quiera certificarse necesita articular dos niveles de auditoría: el interno, realizado como mínimo una vez al año siguiendo la ISO 19011 y a cargo de auditores con formación específica en la norma, y el externo, gestionado por un organismo de certificación independiente que evalúa el sistema en un ciclo trienal con revisiones anuales intermedias. Antes de solicitar la certificación, la organización debe acreditar resultados en tres frentes: el cumplimiento de los objetivos antisoborno, los hallazgos de sus propias auditorías internas y la revisión formal por parte de la dirección. El tiempo mínimo de preparación desde el inicio de la implantación hasta estar en condiciones de auditar el sistema es de seis meses, período en el que resulta imprescindible formar al equipo en los requisitos de la norma, en técnicas de auditoría interna y en el rol de auditor líder. Tres actores concentran la responsabilidad del sistema: el órgano de gobierno, la función de cumplimiento y la alta dirección, cuya correcta identificación es el punto de partida para auditar la norma sin errores de interpretación.

Programa de auditorías en ISO 37001

En el año 2016, se publicó un nuevo estándar, la norma ISO 37001 de Sistemas de Gestión Antisoborno, con objeto de ayudar a las organizaciones a luchar contra el soborno en las empresas, y promover una cultura empresarial ética.

Aunque la norma ISO 37001 no garantiza al 100% que una organización no sucumba al soborno, si es cierto que especifica una serie de medidas que podrán implementarse y que servirán a las organizaciones para mejorar su capacidad para prevenir, detectar y tratar el riesgo de soborno.

No obstante, esta norma también demuestra a las principales partes interesadas, su compromiso hacia las prácticas internacionales en cuanto a antisoborno, pero no solo dentro de las operaciones, sino a nivel de las transacciones de la cadena de valor en su totalidad.

La importancia de esta norma es bastante evidente. Hoy en día, la corrupción, los fraudes o los sobornos están a la orden del día.

Todo ello ligado, además, al avance exponencial de las tecnologías en los últimos años, lo cual no es el medio de cultivo idóneo para el incremento de las vulnerabilidades en las organizaciones, especialmente en cuanto a la compra venta de información confidencial.

Para procurar mejores prácticas y obtener seguridad, por tanto, es conveniente implementar normas ISO.

Programa de auditoría interna

Se realizan en las organizaciones que tienen que hacer sus “autoevaluaciones” y determinar su nivel de cumplimiento.

Para las organizaciones que realicen auditorías internas, es necesario que tengan detallado un programa de auditoría interna basado en la ISO 19011, que es la norma que desarrolla cómo realizar las auditorías, independientemente de la norma.

Así, en estos programas de auditoría, en este caso para la ISO 37001, hay que establecer la frecuencia con la que se va a hacer una auditoría interna, que normalmente es anual.

También es importante, como es obvio, que para auditar la norma ISO 37001 el auditor o auditores deben conocer la norma y tener competencias para poder auditarla.

Para establecer las competencias que necesita este auditor interno, es bien sencillo, ya que necesita conocer la ISO 19011, para saber cómo auditar, y conocimientos sobre la ISO 37001, para saber qué auditar y cómo.

La frecuencia que se establezca en el programa para la realización de auditorías internas va a depender del tamaño, necesidad, estructura y disposición del personal.

No obstante, para la ISO 37001 se recomienda como mínimo una revisión de todo el Sistema de Gestión Antisoborno una vez al año.

Programa de auditorías con organismos de certificación o auditorías externas

Para llegar a este punto de solicitar las auditorías de certificación, llamadas auditorías externas, la organización tiene que haber estado trabajando previamente el Sistema de Gestión basado en la norma ISO 37001.

Para ello, debe cumplir con tres características:

• Resultados de los objetivos antisoborno.
• Resultados de las auditorías antisoborno.
• Resultado de la revisión por la dirección.

Una vez que se cumplen esas tres características y se implementa correctamente la norma ISO 37001, se ponen en contacto con el organismo de certificación.

A continuación, comienza el ciclo de certificación:

• Proceso de certificación inicial, en el que se obtiene el certificado en caso de cumplir todos los requisitos. El certificado tendrá validez durante tres años.
• Evaluaciones anuales del Sistema de Gestión Antisoborno en forma de muestreo, para determinar si la organización sigue cumpliendo los requisitos de la norma ISO 37001.
• En la tercera evaluación anual, se comienza un nuevo ciclo de certificación, denominado, recertificaciones.

Tiempo de preparación para la auditoría interna

El tiempo que una organización puede necesitar para preparar el Sistema de Gestión Antisoborno basado en la norma ISO 37001 será aquel necesario para dotar de madurez al sistema.

Por norma general, se recomienda un periodo de tres meses de implementación en cuanto a los indicadores de los procesos, para que se obtengan resultados que luego puedan compararse y revisarse en la auditoría.

No obstante, desde que se inicia el proceso, hasta llegar a este punto, puede tardarse un mínimo de seis meses, ya que precisa de actividades de capacitación.

Respecto a la norma que nos ocupa, hay tres capacitaciones básicas:

• Conocer los requerimientos de la norma y de la información documentada.
• Curso de auditores internos.
• Formación como auditor líder. Con este curso solo es necesario que se capacite a una persona, para que dé seguimiento al Sistema de Gestión Antisoborno.

[Tweet «Para la #ISO37001 se recomienda como mínimo una revisión de todo el #SistemaGestiónAntisoborno una vez al año…»]

Puntos clave de la auditoría ISO 37001

Hay situaciones muy específicas que pueden confundir con facilidad a la hora de auditar esta norma, y es principalmente por la falta de conocimiento en la misma.

Lo primero es identificar tres actores clave en el Sistema de Gestión Antisoborno:

• Órgano de gobierno, que es aquella persona o grupo de personas con la máxima autoridad en el SG Antisoborno. Pueden ser de origen externo (por ejemplo, accionistas).
• Función del cumplimiento, es algo así como el representante de la dirección, el que monitorea el SG y va a reportar a la alta dirección.
• Alta dirección, tienen también la máxima autoridad, pero se encuentran dentro de la organización (por ejemplo, Director General).

Lo segundo, es revisar los controles financieros y no financieros a través del análisis de riesgos.

Competencias que debe tener un auditor ISO 37001

La calidad de cualquier programa de auditorías antisoborno depende, en última instancia, de la preparación de quien la ejecuta. Un auditor ISO 37001 no puede limitarse a conocer los principios generales de auditoría: necesita un perfil técnico específico que combine el dominio metodológico de cómo auditar con el conocimiento sustantivo de qué auditar y por qué.

Conocimiento de la norma ISO 37001

El punto de partida es evidente pero con frecuencia se subestima: el auditor debe conocer en profundidad los requisitos de la ISO 37001, entendiendo no solo su literalidad sino su intención. Esto implica comprender la lógica del sistema de gestión antisoborno en su conjunto, saber identificar qué evidencias demuestran el cumplimiento real de cada cláusula y distinguir entre una no conformidad menor y una brecha estructural del sistema. Un auditor que desconoce la norma no detectará las vulnerabilidades que más importa detectar.

Dominio de la metodología de auditoría según ISO 19011

La ISO 19011 es la norma de referencia para la realización de auditorías de sistemas de gestión. El auditor ISO 37001 debe aplicar sus principios de forma rigurosa: planificación del programa de auditoría, elaboración del plan de auditoría, técnicas de muestreo, recogida y verificación de evidencias, redacción de hallazgos y comunicación de resultados. Sin esta base metodológica, la auditoría puede resultar válida formalmente pero poco útil para la mejora real del sistema.

Capacidad para identificar los tres actores clave del sistema

Uno de los errores más frecuentes en la auditoría de esta norma es la confusión entre los roles que la ISO 37001 define con precisión. El auditor debe saber distinguir con claridad el órgano de gobierno —que puede tener origen externo, como los accionistas— de la alta dirección, que ejerce la autoridad desde dentro de la organización, y de la función de cumplimiento, responsable del monitoreo continuo del sistema y de reportar a la dirección. Confundir estos roles durante la auditoría genera hallazgos incorrectos y conclusiones que no reflejan la realidad del sistema.

Competencias en análisis de riesgos y controles antisoborno

La ISO 37001 requiere que la organización evalúe y gestione sus riesgos de soborno de forma sistemática. El auditor debe ser capaz de revisar si ese análisis de riesgos es coherente con el contexto real de la organización, si los controles financieros y no financieros implementados son proporcionales a los riesgos identificados y si existen evidencias de que dichos controles se aplican en la práctica y no solo en la documentación.

Formación en ética e integridad organizacional

A diferencia de otras normas de gestión, la ISO 37001 opera en un terreno donde los factores culturales y conductuales tienen tanto peso como los procedimentales. El auditor debe tener criterio para evaluar aspectos como la cultura de integridad de la organización, el funcionamiento real de los canales de denuncia o la coherencia entre los valores declarados y las decisiones reales de la dirección. Esta competencia no se adquiere solo con formación técnica: requiere experiencia en entornos de compliance y gestión de riesgos reputacionales.

Formación específica como auditor líder

Para el seguimiento continuo del Sistema de Gestión Antisoborno, la norma recomienda que al menos una persona en la organización esté formada como auditor líder. Esta figura no solo realiza auditorías, sino que coordina el programa de auditoría en su conjunto, garantiza la coherencia entre los distintos ciclos de revisión y actúa como interlocutor principal con los organismos de certificación externos. Su formación específica como auditor líder ISO 37001 es, por tanto, una inversión estratégica y no un requisito burocrático.

Etapas del proceso de certificación ISO 37001

Obtener la certificación ISO 37001 no es un trámite puntual: es el resultado de un proceso estructurado que exige que el Sistema de Gestión Antisoborno haya alcanzado un nivel real de madurez antes de someterse a la evaluación de un organismo externo. Conocer cada etapa con detalle permite a la organización planificar el proceso con realismo, evitar interrupciones y maximizar las posibilidades de éxito en la auditoría de certificación.

Etapa 1 — Implantación del sistema y período de maduración (mínimo 6 meses)

El proceso comienza mucho antes de contactar con ningún organismo de certificación. La organización debe implantar el sistema de gestión antisoborno conforme a los requisitos de la ISO 37001, lo que incluye el análisis de riesgos, la definición de políticas y controles, la formación del equipo y el establecimiento de los mecanismos de denuncia y seguimiento. Desde el inicio de la implantación hasta estar en condiciones de auditar el sistema se recomienda un mínimo de seis meses, con al menos tres meses de funcionamiento activo de los indicadores de proceso para que existan datos comparables que evaluar.

Etapa 2 — Auditoría interna previa a la certificación

Antes de solicitar la certificación externa, la organización debe haber completado al menos un ciclo de auditoría interna conforme a la ISO 19011. Esta auditoría tiene un doble propósito: verificar internamente el grado de cumplimiento del sistema y generar la evidencia documental que el organismo de certificación requerirá. Los hallazgos de esta auditoría interna deben haberse gestionado, las no conformidades cerradas y los resultados presentados a la dirección en una revisión formal.

Etapa 3 — Revisión por la dirección

La revisión por la dirección es un requisito explícito de la norma y un prerequisito para la certificación. En ella, la alta dirección analiza los resultados de las auditorías internas, el grado de cumplimiento de los objetivos antisoborno y el desempeño general del sistema, y toma decisiones documentadas sobre mejoras, recursos y ajustes. Sin esta revisión formalizada y registrada, el proceso de certificación no puede avanzar.

Etapa 4 — Contacto con el organismo de certificación y auditoría de fase 1

Una vez que la organización ha acreditado los tres resultados exigidos —objetivos antisoborno, auditorías internas y revisión por la dirección— puede contactar con el organismo de certificación acreditado. La mayoría de los organismos inician el proceso con una auditoría de fase 1 o auditoría documental, en la que verifican que el sistema está suficientemente desarrollado y documentado para pasar a la auditoría de certificación en sitio. Esta fase identifica posibles brechas antes de comprometer la auditoría principal.

Etapa 5 — Auditoría de certificación inicial (fase 2)

Es la auditoría en sitio en la que el equipo auditor del organismo de certificación verifica in situ el funcionamiento real del sistema de gestión antisoborno. Se evalúa la implementación efectiva de los controles, la competencia del personal clave, el funcionamiento de los mecanismos de denuncia, la revisión de registros y la coherencia entre lo documentado y lo practicado. Si la organización cumple todos los requisitos de la norma, se emite el certificado ISO 37001, con una validez de tres años.

Etapa 6 — Evaluaciones de seguimiento anuales

Durante los tres años de vigencia del certificado, el organismo de certificación realiza auditorías de seguimiento anuales mediante muestreo. Estas evaluaciones verifican que la organización mantiene el sistema activo y sigue cumpliendo los requisitos de la ISO 37001. No se trata de una revisión completa del sistema, sino de una comprobación focalizada en las áreas más sensibles y en la evolución de los hallazgos del ciclo anterior.

Etapa 7 — Recertificación (al tercer año)

Al finalizar el ciclo trienal, la organización debe someterse a un proceso de recertificación que repite la lógica de la certificación inicial. Este nuevo ciclo evalúa la evolución del sistema a lo largo de los tres años, la capacidad de la organización para mejorar continuamente su gestión antisoborno y el mantenimiento de la cultura de integridad que la norma promueve. Superar esta etapa renueva el certificado por un nuevo período de tres años.

Gestionar este ciclo completo de auditorías y certificación de forma ordenada, con toda la documentación centralizada y los plazos bajo control, es precisamente donde herramientas como el Software ISOTools para ISO 37001 marcan la diferencia: automatizan los recordatorios, centralizan las evidencias y permiten a la función de cumplimiento demostrar el estado del sistema en cualquier momento del ciclo, sin depender de búsquedas manuales en el momento crítico de la auditoría.

Software para Programa de Auditorías

Gestionar tu Sistema de Gestión Antisoborno con base en la norma ISO 37001 y asegurar su cumplimiento es cierto que puede ser tedioso y acaparar gran cantidad de tiempo.

Con ISOTools, el Software para ISO 37001, aportar cumplimiento y seguridad es algo más que cotidiano, simplemente, es sencillo.

Se ajusta a las necesidades de su empresa, permitiendo realizar análisis con la mejor de las informaciones, detectando vulnerabilidades al instante de producirse.

¿Quiere saber más? Consúltenos.