Perspectiva de la debida diligencia en la norma ISO 37001:2025

Autor: Daniel Peña

La debida diligencia es uno de los pilares fundamentales del sistema de gestión antisoborno conforme a la norma ISO 37001:2025. Su propósito es permitir que la organización identifique, evalúe y gestione los riesgos de soborno asociados a terceros, proyectos, transacciones y relaciones comerciales. Esta no se trata solo de recopilar información, sino de tomar decisiones informadas y proporcionales al nivel de riesgo.

En este blog te explicamos qué exige la norma, quiénes deben realizar la debida diligencia y cómo implementarla de forma práctica y eficaz.

¿Qué exige la norma ISO 37001:2025 respecto a la debida diligencia?

La norma establece que las organizaciones deben implementar un proceso de debida diligencia que:

· Sea proporcional a los riesgos identificados: por ejemplo, una empresa pequeña con bajo nivel de exposición no aplicará el mismo nivel de análisis que una multinacional que trabaja con múltiples intermediarios en países de alto riesgo.

· Se aplique antes y durante cualquier relación comercial: es decir, no basta con evaluar a un tercero solo al inicio. Debe mantenerse un monitoreo periódico, especialmente si, cambia la naturaleza de la relación, se identifica información nueva, el contexto del país/región se modifica, surgen señales de alerta.

· Permita tomar decisiones informadas: Es decir que la información recabada permita determinar si se debe; aprobar la relación, mitigar ciertos riesgos, como contratos, cláusulas, controles adicionales; o rechazar o finalizar la relación.

¿A quiénes se les debe aplicar debida diligencia?

La norma gira en torno a la premisa: “Si la persona o entidad puede generar, facilitar o verse envuelta en un soborno, debe ser sometida a debida diligencia.” Considerando esto la debida diligencia se aplica a todas las partes que puedan generar un riesgo de soborno, tales como:

· Terceros, incluyendo; proveedores y contratistas; intermediarios, distribuidores y agentes comerciales; consultores y asesores; socios temporales; representantes autorizados y personas que actúan en nombre de la organización.

· Proyectos y actividades específicas como; licitaciones y concursos; expansión a nuevos mercados, operaciones en países con alto riesgo de soborno, proyectos financiados externamente.

· Personal interno en roles sensibles: siempre de forma proporcional a su nivel de exposición al riesgo; personal de compras; ventas y desarrollo de negocios; relaciones gubernamentales, alta dirección y todo aquel que negocie, gestione contratos o pague en nombre de la organización.

· Socios de negocio: por ejemplo; adquisiciones y fusiones, alianzas estratégicas, inversionistas entre otros.

¿Cómo debe realizar una organización la debida diligencia?

La norma no exige un método único, pero sí define los elementos esenciales que se deben considerar al realizar la debida diligencia. Algunos de estos elementos son:

· Identificar y clasificar el riesgo: Debes tener claro qué nivel de riesgo representa la parte evaluada, para lo cual puedes considerar factores como: sector y actividad del tercero; país o región donde opera; montos involucrados; relación con funcionarios públicos; historial reputacional, estructura de propiedad y beneficiarios finales, entre otros. Una herramienta muy útil para llevar a cabo este elemento es utilizar una matriz de riesgo para determinar el nivel de debida diligencia requerido.

· Ejecutar la debida diligencia en el nivel adecuado: puedes establecer tres niveles de profundidad, dependiendo del riesgo, y documenta los motivos por los cuales se decidió el nivel de debida diligencia aplicado.

· Tomar decisiones basadas en los resultados: utilizar la información recabada para tomar decisiones como: establecer controles adicionales, cláusulas, capacitación, auditoría; terminar o suspender temporalmente la relación con algún socio, rechazar la relación con un nuevo socio, entre otras. No olvides mantener evidencia de que la decisión fue razonada y justificada.

· Monitorear y actualizar: establecer un sistema de monitoreo continuo, este puede ser anual, semestral o incluso trimestral dependiendo del nivel de riesgo. Establece sistemas de monitoreo especialmente en contratos de larga duración; proveedores o agentes en países de alto riesgo; servicios relacionados con gobierno; actividades donde el tercero actúa en nombre de la organización.

· Roles y responsabilidades dentro de la organización: para que la debida diligencia funcione, todos deben tener claro su rol. Establece quien, diseña y supervisar el proceso de debida diligencia, quien revisar casos de alto riesgo, quien ejecuta la debida diligencia en proveedores, quien verifica la documentación, quien identifica las señales de alerta, quien mantiene la comunicación con terceros.

Consejos para una implementación efectiva

· Mantén un proceso ágil, no compliques el proceso más de lo necesario.

· Usa herramientas digitales, esto te facilitara el almacenamiento y revisión de información.

· Adapta las herramientas a tu realidad, no copies y pegues modelos sin analizarlos.

· Establece señales de alerta claras y define acciones inmediatas cuando aparezcan.

· Capacita a las áreas clave sobre cómo detectar riesgos reales de soborno.

· Documenta todo, recuerda que, en auditorías, la evidencia lo es todo.

La debida diligencia no es solo un requisito, sino una herramienta estratégica para proteger a tu organización de prácticas ilícitas. Implementarla de manera proporcional, estructurada y continua permite: tomar mejores decisiones, reducir riesgos legales y reputacionales, fortalecer la transparencia y generar confianza con clientes, proveedores y autoridades Si tu organización está iniciando la implementación del sistema antisoborno, la debida diligencia será uno de los procesos clave que marcarán la diferencia entre cumplir la norma y tener un sistema realmente eficaz.

Referencias.

Organización para la Cooperación y el Desarrollo Económicos (OCDE). Guía de la OCDE de debida diligencia para una conducta empresarial responsable. 2018. Recuperado de: Guía de la OCDE de Debida Diligencia para una Conducta Empresarial Responsable (ES) el 15/12/2025.

Organismo para la estandarización (ISO). Sistemas de gestión antisoborno. Requisitos con orientación para su uso. ISO 37001. Segunda Edición. Traducción oficial. 2025.