Certificación ISO con alcance definido, verificación pública y operación local en Argentina. Por qué G-CERTI

Inicio/Normas ISO/ISO 37001

Certificación ISO 37001

ISO 37001 para integridad, compras y terceros.

Ayuda a estructurar controles de integridad para cadenas con debida diligencia, compras sensibles y relaciones con terceros. G-CERTI Argentina ayuda a encuadrar alcance, sedes, dotación y tiempos antes de iniciar una auditoría formal.

ARScotización local y factura argentina
Federalauditoría remota, híbrida y multisede
Globalverificación pública en gcerti.org

En una licitación pública, en el alta de proveedor de una operadora de energía o en la due diligence de un comprador internacional, la pregunta de fondo es siempre la misma: ¿cómo demuestra esta empresa que gestiona el riesgo de soborno de forma sistemática y no solo por declaración? ISO 37001 existe para responder esa pregunta con evidencia auditada por un tercero independiente, no con una promesa.

Una aclaración que ordena todo lo que sigue: G-CERTI certifica el sistema de gestión de una empresa; no lo implementa, no redacta las políticas del cliente ni ofrece consultoría. Certificar y preparar son cosas distintas, con dueños distintos.

Qué certifica

Qué es y qué certifica el sistema de gestión antisoborno

ISO 37001 es la norma internacional de sistemas de gestión antisoborno (Anti-Bribery Management Systems, ABMS). Su edición vigente es ISO 37001:2025, publicada en febrero de 2025, que supersede a la primera edición de 2016. La revisión formaliza el concepto de cultura antisoborno como parte de la eficacia del sistema, redefine la función de cumplimiento como función antisoborno con independencia operativa más clara, y añade referencias a cambio climático y a un tratamiento más detallado del conflicto de intereses. El núcleo de requisitos —evaluación de riesgo, debida diligencia, controles, denuncia— se mantiene.

Lo que la norma certifica es acotado, y conviene decirlo sin ambigüedad:

  • Certifica un sistema de gestión: el conjunto de políticas, procesos, controles y responsabilidades con que una organización previene, detecta y responde al soborno. No certifica una persona, un producto ni una operación puntual.
  • No certifica que en la empresa no haya ni habrá soborno. Ninguna norma puede garantizar eso. Certifica que la organización implementó controles razonables y proporcionados al riesgo, diseñados para prevenirlo, y que esos controles funcionan.
  • Cubre el soborno en sus dos direcciones —el que la organización podría pagar y el que podría recibir— y alcanza tanto al soborno directo como al que ocurre a través de terceros que actúan en su nombre: agentes, intermediarios, contratistas, socios de negocio.

El alcance de la norma es el soborno. No cubre por sí sola fraude, carteles, lavado de activos u otras conductas de compliance general, aunque un sistema antisoborno bien construido suele apoyarse en controles que también sirven a esos frentes.

El certificado no dice que la empresa es honesta. Dice que decidió no dejar la honestidad librada a la buena voluntad.

Estructura

Cómo se estructura la norma: cláusulas 4 a 10 y el Anexo A

ISO 37001 sigue la estructura armonizada de alto nivel común a las normas de sistemas de gestión ISO (la misma columna vertebral de ISO 9001, 14001 o 45001), lo que facilita integrarla con sistemas ya certificados. Sus requisitos se ordenan en las cláusulas 4 a 10:

  • Cláusula 4 — Contexto de la organización. Comprender la organización y su exposición, y realizar una evaluación del riesgo de soborno: por país, sector, tipo de transacción, contrapartes y proyectos. Es la piedra angular: define qué controles son razonables y proporcionados para esa empresa.
  • Cláusula 5 — Liderazgo. Compromiso de la alta dirección y del órgano de gobierno, política antisoborno y designación de una función antisoborno con autoridad e independencia adecuadas.
  • Cláusula 6 — Planificación. Objetivos antisoborno y acciones para tratar riesgos y oportunidades.
  • Cláusula 7 — Apoyo. Recursos, competencia, concientización y formación, comunicación e información documentada.
  • Cláusula 8 — Operación. El corazón operativo: debida diligencia sobre transacciones, proyectos y contrapartes; controles financieros y no financieros; gestión de terceros y de organizaciones controladas; compromisos antisoborno; regalos, hospitalidad, donaciones y beneficios; gestión de deficiencias; mecanismos de denuncia (whistleblowing) e investigación.
  • Cláusula 9 — Evaluación del desempeño. Seguimiento, medición, auditoría interna y revisión por la dirección y por la función antisoborno.
  • Cláusula 10 — Mejora. Se ordena, como en ISO/IEC 27001:2022 y ISO/IEC 42001:2023, en 10.1 Mejora continua y 10.2 No conformidad y acción correctiva.

ISO 37001 tiene un Anexo A, pero de naturaleza distinta a la de normas como ISO/IEC 27001 o ISO 42001: no es un catálogo numerado de controles para seleccionar según aplicabilidad, sino guía informativa, cláusula por cláusula, sobre cómo interpretar y aplicar los requisitos. Los controles antisoborno en sí están descritos dentro del cuerpo normativo, principalmente en la cláusula 8, y se aplican en la medida en que la evaluación de riesgo los justifique.

La consecuencia práctica es importante: no se trata de "cumplir una lista", sino de demostrar que los controles elegidos son razonables y proporcionados al riesgo real de la organización.

Marco argentino

ISO 37001 y la Ley 27.401 de Responsabilidad Penal Empresaria

En Argentina, la conversación sobre integridad empresaria no es abstracta: tiene una ley detrás. La Ley 27.401 de Responsabilidad Penal de las Personas Jurídicas (vigente desde 2018) establece que las empresas privadas —con o sin participación estatal, de capital nacional o extranjero— pueden ser penalmente responsables por un conjunto acotado de delitos: cohecho y tráfico de influencias, nacional y transnacional (artículos 258 y 258 bis del Código Penal); negociaciones incompatibles con el ejercicio de funciones públicas (artículo 265); concusión (artículo 268); enriquecimiento ilícito de funcionarios (artículos 268 (1) y (2)); y balances e informes falsos agravados (artículo 300 bis).

La ley le da al Programa de Integridad un rol concreto, no meramente simbólico:

  • Puede operar como eximente de pena (artículo 9°), pero no de forma automática: exige que la empresa haya denunciado espontáneamente el delito como resultado de su propia detección e investigación interna, que tuviera implementado un sistema de control y supervisión adecuado (artículos 22 y 23) antes del hecho, y que devuelva el beneficio indebido obtenido.
  • Opera como atenuante en la graduación de la pena (artículo 8°), entre otros factores.
  • Es condición necesaria para contratar con el Estado nacional en determinados supuestos (artículo 24°): contrataciones que por su monto requieran aprobación ministerial, y concesiones de servicios públicos bajo las leyes 13.064, 17.520 y 27.328.

El punto que conviene entender —y comunicar con precisión— es la relación entre la norma y la ley:

Lo que ISO 37001 sí aporta

  • Comparte buena parte de los componentes que exige un Programa de Integridad (artículos 22 y 23): evaluación de riesgos, política, alta dirección comprometida, capacitación, debida diligencia sobre terceros, canales de denuncia, controles y monitoreo.
  • Funciona como marco de referencia y evidencia auditada que ordena y sostiene ese programa.
  • Aporta lo que un programa interno por sí solo no tiene: verificación por un tercero independiente y un certificado verificable.

Lo que no hace

  • No es la Ley 27.401 ni la reemplaza: son instrumentos de naturaleza distinta.
  • No le "da cumplimiento" a la ley de forma automática.
  • Que el Programa de Integridad opere efectivamente como eximente o atenuante ante un caso concreto depende de las condiciones legales del artículo 9° o 8°, no de la certificación en sí.

Dicho de forma sobria: ISO 37001 no le "da cumplimiento" a la ley por sí sola, pero le da a una empresa argentina una estructura reconocida internacionalmente y una evidencia externa que sostiene su Programa de Integridad frente a la autoridad, un cliente o un comprador.

Perfiles

Quién la necesita en Argentina, y por qué el riesgo entra por los terceros

ISO 37001 no es para todas las empresas por igual. Tiene sentido donde la exposición al soborno es materialmente más alta o donde un tercero exige demostrarlo. En el mercado argentino, los perfiles recurrentes son:

Proveedores y contratistas del Estado

Empresas que participan en licitaciones y compras públicas, obra pública, concesiones y contrataciones con organismos. El riesgo es estructuralmente mayor y, en los supuestos del artículo 24° de la Ley 27.401, un Programa de Integridad puede ser condición necesaria para contratar.

Cadenas de grandes cuentas y multinacionales

Empresas que quieren entrar o permanecer en el padrón de proveedores de corporaciones que exigen estándares antisoborno a su cadena. En energía y oil & gas —donde el alta de proveedor es exigente— esto es especialmente frecuente.

Exportadoras y operaciones transfronterizas

El soborno transnacional está bajo escrutinio creciente. Compradores, socios y financiadores internacionales realizan due diligence de integridad sobre sus contrapartes argentinas.

Sectores con interacción intensa con funcionarios o permisos

Actividades donde la operación depende de autorizaciones, habilitaciones, inspecciones o pagos a organismos: infraestructura, construcción, salud, farmacéutica, minería, logística de comercio exterior.

Empresas con Programa de Integridad que buscan validación externa

Compañías que ya tienen un programa interno y quieren someterlo a auditoría independiente para robustecerlo y demostrarlo.

Un criterio simple para decidir: si en tu operación aparecen de forma habitual funcionarios públicos, intermediarios, agentes comerciales, regalos y hospitalidad hacia terceros, o compras sensibles, ISO 37001 tiene algo concreto que aportar. Si tu exposición a esos vectores es baja, probablemente el esfuerzo se justifique menos.

Y esto no es casual: en la mayoría de los casos de soborno corporativo, el problema no entra por la puerta principal, entra a través de un tercero. Un agente que "resuelve" un trámite, un intermediario que factura servicios difusos, un socio local en un mercado desconocido. Por eso la norma pone un peso desproporcionado —con razón— en la gestión de terceros y en las compras, exigiendo:

  • Debida diligencia proporcional al riesgo antes de contratar agentes, intermediarios, distribuidores, contratistas y socios: quién es la contraparte, quién la controla, qué antecedentes tiene, qué justifica su remuneración.
  • Cláusulas antisoborno en contratos con terceros y derecho a auditar o a terminar la relación ante incumplimientos.
  • Controles sobre pagos: aprobaciones, trazabilidad, prohibición de pagos en efectivo no justificados, control de pagos a través de terceros.
  • Reglas claras sobre regalos, hospitalidad y donaciones, con umbrales, registro y aprobación.

Este es, en general, el capítulo donde una empresa argentina descubre las mayores brechas al preparar la certificación: no en la política escrita, sino en cómo controla efectivamente a quienes actúan en su nombre.

Sectores

Aplicabilidad sectorial en Argentina

Dónde ISO 37001 suele evaluarse con más frecuencia en el país, y por qué:

Energía, oil & gas y minería

Alta interacción con permisos, grandes contratos y cadenas de proveedores exigentes. La homologación de proveedor de operadoras suele valorar la gestión de integridad.

Construcción e infraestructura

Obra pública y privada, licitaciones, subcontratación intensiva y relación con organismos de control.

Salud, farmacéutica y dispositivos médicos

Interacción con sistemas de compras públicas y profesionales; regalos y hospitalidad bajo escrutinio.

Servicios y consultoría con contratación estatal

Empresas cuyo negocio depende de contratar con el sector público.

Comercio exterior y logística

Interacción con aduanas, organismos de control y agentes en múltiples jurisdicciones.

Grandes cuentas y multinacionales

Casa matriz que exige un sistema de gestión antisoborno a sus filiales y proveedores argentinos.

Como en toda certificación, el certificado debe describir actividades reales: un alcance demasiado amplio o artificial no fortalece la evidencia, la debilita y aumenta el riesgo de hallazgos.

Un principio de imparcialidad que conviene tener presente: G-CERTI certifica, pero no implementa ni asesora sobre cómo construir el sistema del cliente. La formación profesional en ISO 37001 que ofrece la Academia es académica y separada; formarse no condiciona ni acelera la certificación de una empresa.

Si tu empresa participa en licitaciones, integra la cadena de una gran cuenta o exporta, el primer paso es acotar el alcance y recibir una propuesta con etapas y condición técnica.

Cotizar ISO 37001

Ruta de certificación

Cómo se prepara una propuesta seria.

Datos para cotizar

  • Razón social, CUIT y contacto responsable.
  • Sedes incluidas y actividad principal.
  • Dotación total y procesos cubiertos.
  • Estado del sistema: nuevo, migración, vigilancia o recertificación.

Resultado esperado

  • Propuesta con etapas y condición técnica.
  • Auditoría planificada según alcance.
  • Certificado verificable si la decisión técnica es favorable.
  • Seguimiento durante el ciclo de certificación.

Sectores

Sectores argentinos donde suele evaluarse ISO 37001.

Preguntas frecuentes

Preguntas sobre ISO 37001 en Argentina.

¿Qué certifica exactamente ISO 37001?

Certifica el sistema de gestión antisoborno de una organización: sus políticas, controles y procesos para prevenir, detectar y responder al soborno. No certifica una persona ni un producto, y no garantiza que no ocurra soborno; certifica que existen controles razonables y proporcionados al riesgo y que funcionan.

¿ISO 37001 hace que mi empresa cumpla la Ley 27.401?

No de forma automática, y conviene no afirmarlo así. La Ley 27.401 le da al Programa de Integridad un rol concreto —eximente bajo condiciones específicas (artículo 9°), atenuante en la graduación de la pena (artículo 8°), y condición necesaria para ciertos contratos con el Estado (artículo 24°)—, e ISO 37001 comparte buena parte de los componentes que ese programa exige (artículos 22 y 23). Por eso la norma funciona como marco de referencia y evidencia auditada que ordena y robustece un Programa de Integridad. Pero son instrumentos distintos: la certificación no reemplaza a la ley ni garantiza por sí sola que el Programa de Integridad opere como eximente en un caso concreto.

¿Sirve para licitaciones y compras públicas?

Puede ser un requisito o una ventaja competitiva como evidencia de gestión de integridad frente al comitente, y en los supuestos del artículo 24° de la Ley 27.401 un Programa de Integridad es condición necesaria para ciertos contratos con el Estado nacional. Lo que la certificación no hace es garantizar la adjudicación: acredita cómo gestionás el riesgo de soborno, no el resultado de un proceso de compra.

¿La formación en ISO 37001 certifica a mi empresa?

No. La formación es académica y profesional, y capacita a personas. La certificación de una empresa requiere auditoría y una decisión técnica independiente. Formarse no condiciona ni acelera esa certificación.

¿Se puede integrar con ISO 9001 u otras normas que ya tenemos?

Sí. ISO 37001 comparte la estructura de alto nivel de las demás normas de sistemas de gestión ISO, lo que facilita integrarla con un sistema ya certificado y auditarla de forma coordinada, reduciendo duplicación.

¿Dónde suele estar el riesgo real de soborno?

En los terceros. En la mayoría de los casos de soborno corporativo el problema no entra por la puerta principal sino a través de un agente, un intermediario o un socio local. Por eso ISO 37001 exige debida diligencia proporcional al riesgo sobre las contrapartes, cláusulas antisoborno en contratos, controles sobre pagos y reglas claras de regalos y hospitalidad. Suele ser el capítulo donde una empresa argentina descubre las mayores brechas al preparar la certificación.

WhatsApp