Debida diligencia de terceros en ISO 37001: cómo hacerla paso a paso

Última actualización: julio de 2026 · Por Marcos Díaz Rojas — Consultor Senior en Sistemas de Gestión ISO, con experiencia en ISO 37001 y 37301

Respuesta directa: la debida diligencia de terceros es uno de los controles centrales de ISO 37001: evaluar el riesgo de soborno asociado a socios de negocio, proveedores, agentes, distribuidores y clientes, antes y durante la relación. Consiste en clasificar a los terceros por riesgo, aplicar un nivel de diligencia proporcional, documentar los hallazgos y monitorear. El objetivo es evitar que tu organización responda por actos de soborno de terceros que actúan en su nombre.

Qué es y por qué ISO 37001 la exige

Buena parte del riesgo de soborno no está dentro de la organización, sino en su red de terceros: intermediarios, agentes y proveedores que actúan en su nombre. ISO 37001 exige conocer y gestionar ese riesgo antes de comprometerse, porque las leyes anticorrupción responsabilizan a la empresa por actos de terceros vinculados.

Pasos

  1. Clasifica a los terceros por riesgo: según país, sector, tipo de relación, exposición al sector público y monto.
  2. Aplica diligencia proporcional: más profundidad a mayor riesgo (información básica, verificaciones, referencias, antecedentes).
  3. Incorpora cláusulas antisoborno: compromisos contractuales y derecho de auditoría.
  4. Aprueba y registra: deja evidencia de la decisión y de quién la tomó.
  5. Monitorea: revisa periódicamente y ante cambios o señales de alerta (red flags).

Niveles de diligencia

NivelCuándoQué incluye
BásicaTerceros de bajo riesgoIdentificación e información esencial
EstándarRiesgo medioVerificaciones, referencias, cláusulas antisoborno
ReforzadaAlto riesgo (sector público, alto monto)Antecedentes ampliados, aprobación de alto nivel, monitoreo continuo

Qué documentar

La clasificación de riesgo del tercero, la diligencia aplicada y sus resultados, las cláusulas incorporadas, la aprobación y la fecha de la próxima revisión. Esta evidencia es clave en la auditoría de certificación y para demostrar debida diligencia ante la autoridad.

Errores comunes

El contexto completo está en la guía de ISO 37001; y por qué importa comercialmente, en ISO 37001 y licitaciones.

Evalúa tu debida diligencia de terceros: Pre-Evaluación gratuita

Preguntas frecuentes

¿Qué es la debida diligencia de terceros en ISO 37001?
La evaluación del riesgo de soborno asociado a socios, proveedores, agentes y clientes, antes y durante la relación, con un nivel de análisis proporcional al riesgo.
¿A qué terceros aplica?
A los que representan riesgo de soborno: socios de negocio, proveedores, agentes, distribuidores y, según el caso, clientes.
¿Cada cuánto se revisa?
Periódicamente y ante cambios o señales de alerta; no es un ejercicio de una sola vez.
¿Qué pasa si un tercero comete soborno?
La organización puede ser responsabilizada; una debida diligencia documentada es parte de su defensa y de la prevención.

Sobre el autor

Marcos Díaz Rojas es Ingeniero Civil Industrial (Magíster en Gestión de Activos), Consultor Senior con más de 20 años de trayectoria en Sistemas de Gestión ISO, Auditor IRCA/ICQ (SGEn) e Implementador y Auditor Líder certificado. Tiene experiencia implementando ISO 37001 (antisoborno) e ISO 37301 (compliance). Perfil en LinkedIn.

Contenido elaborado por Normexus. Información de referencia; los requisitos formales se rigen por la norma ISO 37001 vigente.