Ibiza Consultores · Conocimientos y experiencia
Guía técnica · Compliance · Marco legal

ISO 37001 + LGSNA: cómo un Sistema de Gestión Antisoborno funciona como defensa legal

La conversación pública sobre ISO 37001 se concentra en compliance comercial. La conversación menos visible — pero más estratégica — es la dimensión defensiva: cómo un SGAS certificado mitiga responsabilidad bajo el marco LGSNA.

·10 min de lectura·Paola Benavides

Consultora ISO 27001 e ISO 37001·Certificada en seguridad de la información y compliance antisoborno

Cuando una empresa mexicana implementa ISO 37001:2016 — el estándar internacional de Sistemas de Gestión Antisoborno — la motivación inicial casi siempre es comercial: un cliente corporativo lo exige, un contrato gubernamental lo requiere, o una matriz extranjera lo pide como condición de operación.

Pero la dimensión más estratégica de ISO 37001 es defensiva: en un país donde el marco anticorrupción se endureció con la entrada en vigor de la Ley General del Sistema Nacional Anticorrupción (LGSNA), un SGAS certificado es la evidencia más sólida que una empresa puede presentar ante un proceso administrativo o penal por presuntas prácticas corruptas.

Este artículo explica por qué — y qué requisitos debe cumplir el SGAS para que ese argumento defensivo sea robusto.

El marco mexicano que cambió la conversación

El sistema anticorrupción en México opera sobre tres pilares interrelacionados:

  • LGSNA — Ley General del Sistema Nacional Anticorrupción. Establece la coordinación entre autoridades para prevenir, detectar y sancionar corrupción.
  • LGRA — Ley General de Responsabilidades Administrativas. Tipifica las faltas administrativas y las sanciones aplicables a servidores públicos y a particulares vinculados.
  • Artículo 11 Bis del Código Penal Federal. Establece la responsabilidad penal de las personas morales por delitos cometidos en su nombre o por su cuenta — incluyendo cohecho y soborno.

Lo que conecta los tres con ISO 37001 es un concepto clave: “sistema de prevención adecuado”. La jurisprudencia y la doctrina mexicana de compliance han consolidado que las empresas pueden mitigar su responsabilidad si demuestran haber implementado un sistema que prevenga, detecte y responda a actos corruptos. La pregunta operativa es: ¿qué evidencia se considera suficiente?

Por qué ISO 37001 es la evidencia más sólida disponible

Hay tres razones técnicas por las que un SGAS certificado bajo ISO 37001 es el estándar más fuerte de evidencia defensiva:

  • Certificación por tercera parte independiente

    ISO 37001 se certifica por organismos certificadores acreditados — no se auto-declara. Esto da validez probatoria significativamente mayor que cualquier sistema interno documentado por la propia empresa. La certificación es verificable: un juez o autoridad puede consultar el certificado vigente.

  • Componentes obligatorios alineados con doctrina mexicana

    ISO 37001 exige específicamente: política aprobada por máximo nivel directivo, evaluación de riesgos de soborno por relación/sector/transacción, debida diligencia de socios comerciales, controles financieros, canal de denuncias, capacitación documentada, y revisión por la dirección. Cada uno de estos elementos coincide con criterios que la doctrina mexicana de compliance reconoce como componentes de un sistema de prevención adecuado.

  • Operación continua auditada

    ISO 37001 no es un certificado decorativo. La auditoría de certificación es Etapa 1 (documental) + Etapa 2 (en sitio), y las auditorías de seguimiento anuales verifican que el sistema continúa operando. Si la empresa puede demostrar 12+ meses de operación documentada del SGAS, el argumento defensivo se sostiene en evidencia operativa, no solo documental.

Lo que hay que entender

ISO 37001 no garantiza inmunidad. Lo que hace es cambiar la conversación probatoria: ante una imputación, la empresa pasa de tener que probar “hicimos lo correcto” en abstracto a poder presentar evidencia formal verificable de un sistema auditado por tercera parte. Esa diferencia probatoria es lo que típicamente determina si la responsabilidad se mitiga, se reduce significativamente, o no.

Componentes obligatorios del SGAS

ISO 37001:2016 exige que el SGAS incluya los siguientes componentes — todos auditables y verificables:

  1. Política antisoborno aprobada por la dirección. Compromiso explícito del máximo nivel directivo, comunicado a empleados y socios comerciales relevantes.
  2. Evaluación de riesgos de soborno. Análisis estructurado por relación, sector geográfico y tipo de transacción. Los riesgos identificados se priorizan y se asocian a controles específicos.
  3. Debida diligencia de socios comerciales. Procedimiento documentado para evaluar a proveedores, agentes, consultores y terceros antes de establecer relación contractual.
  4. Controles financieros. Procedimientos para prevenir el uso de recursos de la empresa para sobornar — autorización de pagos, separación de funciones, reconciliación de cuentas, auditoría de gastos.
  5. Política sobre regalos, hospitalidad, donaciones políticas y de caridad, gastos de viaje. Guías específicas con límites, autorizaciones requeridas y registros.
  6. Canal de denuncias confidencial. Mecanismo accesible a empleados, socios comerciales y terceros para reportar sospechas de soborno.
  7. Capacitación documentada. Programa formal de formación antisoborno para personal en posiciones de riesgo, con registros de asistencia y evaluación.
  8. Investigación y respuesta a incidentes. Procedimiento para investigar denuncias o sospechas y aplicar acciones correctivas y disciplinarias.
  9. Auditoría interna del SGAS. Programa de auditorías internas que verifica la operación efectiva del sistema.
  10. Revisión por la dirección. Evaluación periódica al máximo nivel directivo sobre el desempeño del SGAS y decisiones para mejorarlo.

Caso de implementación dual: Idear Electrónica BEA

Idear Electrónica (BEA) es ejemplo de implementación dual ISO 27001 + ISO 37001 en proyecto integrado. La empresa del sector electrónico trabaja con clientes corporativos y dependencias de gobierno. Cada cliente nuevo enviaba checklists distintos cubriendo seguridad de la información Y compliance antisoborno. La empresa pasaba semanas llenando cuestionarios ad-hoc por cada calificación de proveedores.

La estrategia fue implementar las dos normas en proyecto integrado bajo Annex SL: política integrada, control documental compartido, análisis de riesgos coordinado, auditorías internas combinadas, y revisión por la dirección unificada. Las dos certificaciones se obtuvieron en proyecto único de 16 semanas.

Resultado: BEA dejó de llenar checklists ad-hoc y empezó a presentar evidencia formal certificada — tanto para clientes corporativos exigentes como para procesos de calificación con gobierno donde la dimensión antisoborno es crítica.

La ventaja del universo pequeño

Según ISO Survey 2024, en México hay solo 144 empresas certificadas en ISO 37001. Es un universo desproporcionadamente pequeño en relación al tamaño de la economía mexicana y al volumen de empresas que trabajan con gobierno o en sectores regulados.

Para una empresa que se certifica hoy, esto significa diferenciación competitiva real. Para procesos de calificación de proveedores donde se evalúa compliance antisoborno, formar parte de las 144 empresas certificadas es una credencial que la mayoría de competidores no puede mostrar.

Preguntas frecuentes

La Ley General del Sistema Nacional Anticorrupción (LGSNA) establece el marco coordinado entre autoridades federales, estatales y municipales para prevenir, detectar y sancionar la corrupción en México. Aplica especialmente a empresas que tienen relación contractual o regulatoria con cualquier nivel de gobierno (federal, estatal, municipal, organismos descentralizados, paraestatales). También aplica a la responsabilidad penal de personas morales bajo el artículo 11 Bis del Código Penal Federal.

No automáticamente, pero sí mitiga sustancialmente. La LGSNA y la legislación penal mexicana reconocen que las empresas pueden reducir su responsabilidad si demuestran haber implementado un sistema de prevención adecuado. ISO 37001:2016 es el estándar internacional más reconocido para evidenciar ese sistema. Frente a un proceso administrativo o penal, contar con un SGAS certificado es uno de los argumentos defensivos más sólidos disponibles.

Tres elementos. Primero: certificación por organismo independiente acreditado (no auto-declarada). Segundo: la norma exige componentes específicos que la jurisprudencia y la doctrina mexicana de compliance reconocen como elementos de un sistema de prevención (política aprobada por máximo nivel directivo, debida diligencia, controles financieros, canal de denuncias, capacitación documentada, revisión por la dirección). Tercero: el sistema debe demostrar operación continua — no es un certificado decorativo. Si la empresa puede mostrar 12+ meses de operación documentada del SGAS, el argumento defensivo es robusto.

Cuatro perfiles: 1) Empresas que trabajan con gobierno (federal, estatal, municipal) en cualquier sector. 2) Empresas exportadoras a EE.UU. (FCPA aplica) o Reino Unido (UK Bribery Act). 3) Empresas en sectores regulados — farmacéutico, energético, financiero, aeroespacial, defensa, infraestructura, salud pública. 4) Grandes corporativos que reciben checklists de proveedores con secciones de compliance antisoborno. En 2024 hay 144 empresas certificadas en México (ISO Survey 2024) — es un universo pequeño con ventaja competitiva alta para quien la obtiene.

La política escrita es el primer paso, pero por sí sola no es evidencia suficiente de 'sistema de prevención adecuado'. La LGSNA y la práctica judicial mexicana evalúan si la política se implementa, se entrena, se monitorea, y se hace cumplir — no si existe en papel. ISO 37001 obliga a demostrar todo ese ciclo de operación. Sin la auditoría externa que certifica esa operación, la defensa legal es significativamente más débil.

Son normas complementarias. ISO 37001 es el estándar internacional específico de antisoborno. NMX-CC-19600-IMNC-2017 (equivalente mexicano de ISO 19600) es la norma genérica de Sistemas de Gestión de Compliance, que cubre cualquier tipo de obligación regulatoria — no solo antisoborno. Una empresa puede certificar ISO 37001 sola, o construir un sistema de compliance integral basado en NMX-CC-19600 que incluya ISO 37001 como uno de sus componentes especializados.

Idear Electrónica (BEA), empresa del sector electrónico que trabaja con clientes corporativos y gobierno, implementó ISO 27001 + ISO 37001 en proyecto integrado. La razón: cada cliente nuevo enviaba checklists distintos cubriendo seguridad de la información (ISO 27001) y compliance antisoborno (ISO 37001). Con las dos certificaciones obtenidas, BEA dejó de llenar checklists ad-hoc y empezó a presentar evidencia formal certificada. La integración bajo Annex SL permitió compartir análisis de riesgos, auditorías internas y revisión por la dirección.

¿Tu empresa trabaja con gobierno o sectores regulados?

ISO 37001 no es solo un certificado para llenar checklists — es la evidencia más sólida de prevención adecuada bajo el marco LGSNA. Si tu empresa puede beneficiarse de la dimensión defensiva además de la comercial, vale la pena revisar el caso concreto.

Servicio ISO 37001ISO 27001 vs ISO 37001Diagnóstico sin costo