Una norma cubre un riesgo específico. La otra cubre el sistema que gestiona todos los riesgos similares.
Antisoborno es un caso particular de compliance. No al revés.
ISO 37001:2016 (sistema de gestión antisoborno, ABMS) e ISO 37301:2021 (sistema de gestión de compliance, CMS) cubren dimensiones del mismo problema con scope distinto. Una organización con 37001 certificada tiene un sistema específico para gestionar el riesgo de soborno. Una organización con 37301 certificada tiene un sistema general para gestionar todas las obligaciones de compliance — incluido, pero no limitado a, el riesgo de soborno.
La elección entre certificar una, otra, o ambas depende del perfil regulatorio del sector y de la composición del riesgo legal de la organización.
ISO 37001 establece un sistema de gestión dedicado exclusivamente al riesgo de soborno. Sus cláusulas exigen evaluación de riesgo específica (cláusula 4.5), debida diligencia sobre socios comerciales y personal (cláusula 8.2), controles financieros y no financieros (cláusulas 8.3-8.4), función de cumplimiento antisoborno (cláusula 5.3), procedimientos de denuncia (cláusula 8.9), investigación de soborno (cláusula 8.10).
ISO 37301 establece un sistema general que cubre toda la materia de compliance: regulatoria, contractual, ética, fiscal, laboral, ambiental, sectorial. La cláusula 4.6 exige identificación de obligaciones de compliance — soborno es una de ellas, junto con todas las demás. El sistema 37301 puede operar sobre la misma estructura organizacional, con un único Chief Compliance Officer y un único comité.
Esto significa que 37001 es subset operativo de 37301. Una organización con 37301 maduro puede absorber 37001 como módulo dedicado, mientras que la inversa no es cierta: 37001 no convierte automáticamente a una organización en compliance-management compliant.
En licitaciones públicas LATAM y europeas, las cláusulas anticorrupción exigen progresivamente que el contratista tenga sistema antisoborno verificable. ISO 37001 es el vehículo más reconocido. Aunque la certificación rara vez es legalmente obligatoria, su ausencia se convierte en factor de descalificación de hecho en muchos procesos.
Para entidades del sector público, certificar 37001 funciona también como mecanismo de auto-protección: demuestra que el riesgo de corrupción se gestiona sistemáticamente, lo cual es defensa razonable ante señalamientos políticos o auditorías externas.
Para proveedores del sector público (constructoras, consultoras, energía, salud), 37001 es palanca comercial concreta en concursos. El paper publicado en este sitio sobre sector público LATAM documenta este patrón con muestras agregadas.
Organizaciones con múltiples regulaciones aplicables (financieras, salud, telecomunicaciones, energía) suelen beneficiarse de certificar ambas. 37301 estructura el sistema general; 37001 demuestra rigor adicional sobre el riesgo más sensible políticamente.
La integración es operativamente eficiente. El comité de compliance bajo 37301 absorbe al comité antisoborno bajo 37001 como subcomisión. La política general de compliance enmarca la política antisoborno específica. La debida diligencia se ejecuta en un único motor con criterios duales.
El costo marginal de sumar 37001 sobre una base 37301 ya certificada es bajo — típicamente 30-40% del costo de certificar 37001 stand-alone, según país y organismo.
Para una organización del sector público o proveedora del sector público, 37001 primero suele ser pragmático: la palanca comercial es inmediata. 37301 se suma cuando la complejidad regulatoria de la organización lo justifica.
Para una organización financiera, sanitaria o de telecomunicaciones, 37301 primero suele ser estratégico: el sistema de compliance general es defensivo respecto a múltiples reguladores. 37001 se suma como módulo dedicado.
Para una multinacional con operaciones en jurisdicciones de alto riesgo de soborno (algunos países LATAM, África, Asia), ambas certificadas simultáneamente puede ser inversión defensible — protege la operación frente a investigaciones FCPA / UK Bribery Act / Ley 27.401 argentina.
| Dimensión | ISO 37001:2016 | ISO 37301:2021 |
|---|---|---|
| Tipo | Sistema dedicado (ABMS) | Sistema general (CMS) |
| Riesgo cubierto | Soborno (todas las formas) | Todas las obligaciones de compliance |
| Función dedicada | Antibribery compliance function | Compliance function (Chief Compliance Officer) |
| Debida diligencia | Sí — socios + personal específica | Sí — sobre obligaciones de compliance |
| Controles financieros específicos | Sí (cláusula 8.3) | No detallados — remite a 37001 |
| Denuncia / whistleblowing | Sí (cláusula 8.9) | Sí (cláusula 8.5) |
| Demanda regulatoria típica | Sector público + proveedores | Sectores multi-regulados (banca, salud, energía) |
| Costo aproximado (50-200 emp) | 12.000-30.000 USD inicial | 20.000-50.000 USD inicial |
| Compatibilidad | 37001 subset de 37301 cuando se integran | CMS general |
Entidad del sector público
ISO 37001 primero. ISO 37301 cuando la complejidad regulatoria lo justifique.
Proveedor del sector público (construcción, energía)
ISO 37001 como palanca comercial inmediata. ISO 37301 según expansión de la regulación aplicable.
Banco, aseguradora o financiera regulada
ISO 37301 primero. ISO 37001 como módulo dedicado.
Multinacional con presencia en jurisdicciones de alto riesgo
Ambas simultáneamente. SGI compliance + antisoborno integrado.
La pregunta de fondo no es cuál norma certificar — es qué riesgos legales tiene la organización y cómo se demuestran gestionados a un regulador o a un cliente corporativo. Una evaluación preliminar independiente identifica si el riesgo de soborno es la prioridad por su exposición sectorial o si la prioridad es estructurar un compliance general.
Una evaluación preliminar independiente — bajo criterio ISO 19011, sin venta de implementación ni de certificación — clarifica qué demuestra cada esquema para su caso real.
Solicitar diagnóstico