27 preguntas y respuestas sobre ISO 37001

INTEDYA

1. ¿Qué es ISO y qué es un estándar?

ISO es una organización internacional independiente y no gubernamental con sede en Ginebra, Suiza, y con miembros de 163 organismos nacionales. Ha desarrollado y publicado más de 20.000 estándares internacionales, de los cuales los más conocidos son ISO 3166 - Códigos de país, ISO-4217 - Códigos de moneda y, en el campo de sistemas de gestión, ISO 9001 - Gestión de calidad.

2. ¿Qué es un sistema de gestión?

Un sistema de gestión es la forma en que una organización gestiona las partes interrelacionadas de su negocio para alcanzar sus objetivos. Estos objetivos pueden relacionarse con una serie de temas diferentes, incluida la calidad del producto o servicio, la eficiencia operativa, el desempeño ambiental, la salud y la seguridad en el lugar de trabajo, etc.

3. ¿Cómo se desarrollan los estándares?

Los expertos forman un comité técnico que es responsable de un área temática específica. Comienzan el proceso con el desarrollo de un borrador que cumple con una necesidad específica del mercado. Esto luego se comparte para comentar y seguir discutiendo.

El proceso de votación es la clave del consenso. Si eso se logra, el borrador está en camino de convertirse en un estándar ISO. Si no se llega a un acuerdo, el borrador se modificará más y se votará nuevamente.

Desde la primera propuesta hasta la publicación final, el desarrollo de un estándar

generalmente conlleva alrededor de unos 3 años.

4. ¿Dónde puedo obtener copias de los estándares?

Los estándares se pueden comprar en línea en la tienda ISO y también pueden obtenerse del organismo nacional miembro de ISO.

5. ¿Qué es "certificación"?

La certificación es la disposición por parte de un organismo independiente de aseguramiento por escrito (un certificado) de que el producto, servicio o sistema en cuestión cumple con los requisitos específicos.

La certificación puede ser una herramienta útil para agregar credibilidad, al demostrar que su producto o servicio cumple con las expectativas de sus clientes y otras partes interesadas. Para algunas industrias, la certificación es un requisito legal o contractual.

6. ¿ISO certifica a las organizaciones a sus estándares?

ISO desarrolla estándares internacionales, pero no realiza certificaciones y no emite certificaciones. Esto es realizado por organismos de certificación externos a ISO, por lo que una organización no puede ser certificada por ISO. Sin embargo, el Comité de Evaluación de la Conformidad (CASCO) de ISO ha producido una serie de normas relacionadas con el proceso de certificación, que son utilizadas por los organismos de certificación.

7. ¿Qué es ISO 37001?

La Norma ISO 37001, Sistemas de gestión de antisoborno establece los requisitos para ayudar a una organización a establecer, implementar, mantener y mejorar un programa de cumplimiento contra el soborno. Incluye una serie de medidas y controles que representan las buenas prácticas antisoborno globales.

8. ¿Por qué se propuso y desarrolló ISO 37001?

El soborno es uno de los problemas más destructivos y desafiantes del mundo. Con más de 1 billón de dólares pagados en sobornos cada año según la OCDE, las consecuencias son catastróficas, lo que reduce la calidad de vida, vulnera el estado de derecho y el gobierno, aumenta la pobreza y erosiona la confianza pública. Para las empresas, el soborno puede destruir el valor y causar daño a las personas y partes interesadas externas.

A pesar de los esfuerzos para combatir el soborno, éste sigue siendo un problema importante, por ello ISO ha desarrollado un nuevo estándar para ayudar a las organizaciones a luchar contra los sobornos y promover un negocio ético y una cultura organizacional.

9. ¿Hay otras normas ISO relacionadas con ISO 37001?

Sí. Algunos de los estándares relacionados con ISO 37001 incluyen:

• Sistemas de gestión de cumplimiento ISO 19600 - Directrices
• ISO 26000 Orientación sobre Responsabilidad Social
• ISO 31000 Gestión del riesgo - Principios y directrices

A diferencia de estos estándares que establecen principios que se pueden usar libremente como guía, ISO 37001 establece los requisitos para el cumplimiento de la norma, que permite a una organización buscar la certificación, si así lo desea.

10. ¿Es obligatorio cumplir con ISO 37001?

Es un estándar voluntario que una organización puede adoptar, si así lo desea. Sin embargo, es posible que el cumplimiento de la norma se convierta en un requisito legal o contractual para ciertas organizaciones o industrias.

11. ¿Qué tipos de sobornos aborda la norma?

A los efectos de la norma, el soborno se define como la oferta, la promesa, el otorgamiento, la aceptación o la solicitud de una ventaja indebida de cualquier valor (que podría ser financiero o no financiero), directa o indirectamente, e independientemente de su (s) ubicación (es). En violación de la ley aplicable, como un incentivo o recompensa para una persona que actúa o se abstiene de actuar en relación con el desempeño de los deberes de esa persona.

Esta definición incluye el soborno de funcionarios tanto en el sector público como en el privado. La norma además tiene en cuenta sobornos por parte de la organización (soborno activo) o de la organización (soborno pasivo). Se extiende a los sobornos por parte del personal o socios comerciales que actúan en nombre de la organización o para su beneficio, así como a la corrupción del personal o de sus socios comerciales en relación con las actividades de la organización.

La norma no aborda específicamente el fraude, los cárteles, los delitos antimonopolio / de competencia, el blanqueo de dinero u otras actividades relacionadas con prácticas corruptas (como las que abarca la Convención de las Naciones Unidas contra la Corrupción) aunque una organización puede optar por ampliar el alcance de sus sistemas de gestión para tales actividades.

12. ¿Cuál es la diferencia entre soborno y corrupción?

La corrupción es un concepto más amplio que el soborno. Además del soborno en los sectores público y privado, la Convención de las Naciones Unidas contra la Corrupción incluye otros delitos como malversación de fondos, malversación u otra desviación de propiedad por parte de un funcionario público, comercio de influencias, abuso de funciones, enriquecimiento ilícito, malversación de fondos, lavado de activos del delito, ocultamiento y obstrucción de la justicia.

13. ¿ISO 37001 define "soborno"?

La norma ISO 37001 generalmente define soborno como: ofrecer, prometer, dar,

aceptar o solicitar una ventaja indebida de cualquier valor, directa o indirectamente, e independientemente de la(s) ubicación(es), en violación de la ley aplicable, como un incentivo o recompensa para una persona actuar o abstenerse de actuar en relación con el desempeño de los deberes de esa persona. 

14. ¿Quién puede usar ISO 37001?

ISO 37001 es flexible y se puede adaptar a una amplia gama de organizaciones, independientemente del tamaño, sector, estructura, geografía o jurisdicción. Es aplicable a organizaciones pequeñas, medianas y grandes, así como a partes de una organización. En el sector privado, ISO 37001 puede ser utilizado por empresas comerciales, organizaciones sin fines de lucro y organizaciones no gubernamentales. ISO 37001 también se puede usar en el sector público.

15. ¿Qué requiere la norma?

Para cumplir con la norma, la organización debe implementar una serie de medidas y controles de manera razonable y proporcionada para ayudar a prevenir, detectar y lidiar con los sobornos.

16. ¿La norma requiere un sistema de gestión independiente?

ISO 37001 proporciona requisitos mínimos y guías de apoyo para la implementación o evaluación comparativa de un sistema de gestión contra el soborno. Es una herramienta de gestión de riesgos y brinda seguridad a la administración, los inversores, los empleados, los clientes y otras partes interesadas de que una organización está tomando medidas razonables para prevenir, detectar y gestionar adecuadamente el riesgo de soborno.

17. ¿Cómo beneficiará la norma a una organización?

La norma proporciona requisitos mínimos y guías de apoyo para la implementación o evaluación comparativa de un sistema de gestión contra el soborno. Es una herramienta de gestión de riesgos y proporciona seguridad a la administración, los inversores, los empleados, los clientes y otras partes interesadas de que una organización está tomando medidas razonables para prevenir, detectar y gestionar adecuadamente el riesgo de soborno.

18. ¿El uso de la norma protege a una organización contra el enjuiciamiento en caso de soborno por parte de su personal o sus socios comerciales?

El uso de la norma, con o sin certificación de terceros, no ofrece una protección absoluta contra el enjuiciamiento de la organización por soborno que ocurra en su esfera de actividad. Sin embargo, puede servir como evidencia de que la organización ha implementado medidas adecuadas para prevenir el soborno, lo que puede reducir o incluso excluir su responsabilidad.

19. ¿La implementación y la conformidad con ISO 37001 garantizan que no se producirá soborno?

ISO 37001 no puede garantizar que el soborno se haya producido o no en una organización. Puede ayudar a la organización a prevenir, detectar y responder al riesgo de soborno y fortalecer la cultura antisoborno.

20. ¿Cómo se usa la norma?

Las organizaciones pueden decidir usar ISO 37001 de varias maneras. Por ejemplo material de orientación para ayudar en el desarrollo de un sistema de gestión contra el soborno o establecer expectativas, una referencia para evaluar un sistema de gestión antisoborno de la organización actual, o para evaluar un sistema antisoborno de una organización que ya se encuentra dentro de una cadena de valor existente, una ventaja competitiva, etc.

21. ¿La norma tiene que cubrir una organización completa?

La norma puede ser utilizada por una organización completa, pero también se puede usar para partes de una organización, como ciertas actividades de una organización, solo una o un grupo de compañías.

22. ¿Quién está involucrado en la planificación, implementación, administración y mantenimiento de ISO 37001 en la organización?

Todos en la organización tienen funciones y responsabilidades relacionadas con el diseño, la planificación, la implementación, la administración y el mantenimiento continuo de un sistema de gestión de antisoborno ISO 37001. Todos los empleados son responsables de conocer y cumplir con la política contra el soborno, completar la capacitación y notificar casos reales o potenciales de incumplimiento.

23. ¿Cuánto tiempo llevará implementar la norma?

El tiempo puede variar en función de la organización, dependiendo de factores como el tamaño, la estructura, la complejidad, los recursos, la experiencia en el tema, etc. Para una organización grande, es razonable permitir un año o dos, mientras que una organización pequeña puede establecer todos los requisitos en cuestión de meses.

24. ¿Puede una organización estar certificada según ISO 37001?

Sí. Una organización puede invitar a un organismo de certificación independiente para verificar que esté en conformidad con el estándar.

25. Si una organización implementa ISO 37001, ¿es obligatoria la certificación?

En general, no. Al igual que la decisión de implementar la norma, la búsqueda de la certificación es una decisión tomada por la organización. Sin embargo, para algunas industrias, o en adquisiciones, la certificación puede ser un requisito legal o contractual.

26. ¿Necesita una organización crear un nuevo programa separado contra el soborno para obtener la certificación ISO 37001?

No. Las medidas requeridas por ISO 37001 están diseñadas para integrarse con los procesos y controles de gestión existentes. ISO 37001 sigue la estructura común de alto nivel para las normas del sistema de gestión ISO, para una fácil integración con, por ejemplo, IS0 9001 - Gestión de calidad o ISO 19600 - Sistemas de gestión de cumplimiento.

27. ¿Qué requisitos deben cumplir los organismos de certificación al proporcionar auditoría y certificación de sistemas de gestión para una organización?

Si bien ISO no realiza ninguna certificación en sí misma, ha emitido junto con la Comisión Electrotécnica Internacional ciertos requisitos para los organismos que brindan auditoría y certificación de sistemas de gestión (ISO/IEC 17021).

Debido a la especificidad de los sistemas de gestión antisoborno, se han emitido requisitos de competencia adicionales específicos para la auditoría y certificación de los sistemas de gestión de sobornos (Especificación técnica ISO/CEI TS 17021-9).

Fuente: ISO

Este artículo fue publicado en su Blog Fraude Interno, el cual es un Blog creado con el objetivo de compartir conocimientos e inquietudes relacionados con el fraude interno, tanto con profesionales de la auditoria interna como con cualquier empresario o directivo que no disponga de un departamento de auditoria interna en su organización. Para mayor información debes visitar: https://fraudeinterno.wordpress.com/.

       ¿Te ha gustado la información? ¡Compártela con otro auditor interno!