Debida diligencia de terceros en ISO 37001: cómo hacerla paso a paso
Respuesta directa: la debida diligencia de terceros es uno de los controles centrales de ISO 37001: evaluar el riesgo de soborno asociado a socios de negocio, proveedores, agentes, distribuidores y clientes, antes y durante la relación. Consiste en clasificar a los terceros por riesgo, aplicar un nivel de diligencia proporcional, documentar los hallazgos y monitorear. El objetivo es evitar que tu organización responda por actos de soborno de terceros que actúan en su nombre.
Qué es y por qué ISO 37001 la exige
Buena parte del riesgo de soborno no está dentro de la organización, sino en su red de terceros: intermediarios, agentes y proveedores que actúan en su nombre. ISO 37001 exige conocer y gestionar ese riesgo antes de comprometerse, porque las leyes anticorrupción responsabilizan a la empresa por actos de terceros vinculados.
Pasos
- Clasifica a los terceros por riesgo: según país, sector, tipo de relación, exposición al sector público y monto.
- Aplica diligencia proporcional: más profundidad a mayor riesgo (información básica, verificaciones, referencias, antecedentes).
- Incorpora cláusulas antisoborno: compromisos contractuales y derecho de auditoría.
- Aprueba y registra: deja evidencia de la decisión y de quién la tomó.
- Monitorea: revisa periódicamente y ante cambios o señales de alerta (red flags).
Niveles de diligencia
| Nivel | Cuándo | Qué incluye |
|---|---|---|
| Básica | Terceros de bajo riesgo | Identificación e información esencial |
| Estándar | Riesgo medio | Verificaciones, referencias, cláusulas antisoborno |
| Reforzada | Alto riesgo (sector público, alto monto) | Antecedentes ampliados, aprobación de alto nivel, monitoreo continuo |
Qué documentar
La clasificación de riesgo del tercero, la diligencia aplicada y sus resultados, las cláusulas incorporadas, la aprobación y la fecha de la próxima revisión. Esta evidencia es clave en la auditoría de certificación y para demostrar debida diligencia ante la autoridad.
Errores comunes
- Aplicar la misma diligencia a todos los terceros, sin diferenciar por riesgo.
- Hacer la diligencia una sola vez y no monitorear.
- No dejar evidencia de la decisión ni de quién aprobó.
El contexto completo está en la guía de ISO 37001; y por qué importa comercialmente, en ISO 37001 y licitaciones.
Evalúa tu debida diligencia de terceros: Pre-Evaluación gratuitaPreguntas frecuentes
- ¿Qué es la debida diligencia de terceros en ISO 37001?
- La evaluación del riesgo de soborno asociado a socios, proveedores, agentes y clientes, antes y durante la relación, con un nivel de análisis proporcional al riesgo.
- ¿A qué terceros aplica?
- A los que representan riesgo de soborno: socios de negocio, proveedores, agentes, distribuidores y, según el caso, clientes.
- ¿Cada cuánto se revisa?
- Periódicamente y ante cambios o señales de alerta; no es un ejercicio de una sola vez.
- ¿Qué pasa si un tercero comete soborno?
- La organización puede ser responsabilizada; una debida diligencia documentada es parte de su defensa y de la prevención.
Contenido elaborado por Normexus. Información de referencia; los requisitos formales se rigen por la norma ISO 37001 vigente.