Información que debe proporcionar una entidad pública para optar por su certificación ISO 37001
¿Qué información debe entregar una institución pública para certificarse en ISO 37001?
Acreditación del organismo de certificación
Cuando una institución pública decide certificarse en ISO 37001 – Sistema de Gestión Antisoborno y convoca organismos de certificación mediante procesos de contratación pública, debe proporcionar información clara, completa y verificable.
Esta información permite que los organismos de certificación acreditados (OEC) podamos evaluar la solicitud, planificar adecuadamente la auditoría y determinar el tiempo necesario para realizarla.
Estos requisitos no son discrecionales. Derivan de la ISO/IEC 17021-1 y del IAF MD 1, documentos obligatorios para la certificación acreditada de sistemas de gestión.
En los procesos de contratación, la institución debe exigir que el organismo oferente:
- Esté acreditado bajo la norma internacional ISO/IEC 17021-1 con alcance para ISO 37001.
- Su acreditación cuente con reconocimiento internacional, a través de los acuerdos multilaterales del IAF o del Global Accreditation Cooperation Incorporated o del organismo regional correspondiente (como IAAC en América).
- Tenga dentro de su alcance acreditado la certificación ISO 37001.
Esto asegura que el certificado emitido, en caso de otorgarse, tenga validez, reconocimiento y credibilidad internacional.
Información que la institución debe entregar
Para iniciar correctamente el proceso, la institución debe suministrar al organismo de certificación, como mínimo, la siguiente información:
Identificación institucional
Nombre legal, naturaleza jurídica, dirección principal, datos de contacto y representante autorizado.
Alcance de la certificación
Definición clara de las actividades, productos o servicios incluidos en el Sistema de Gestión Antisoborno, es decir, aquellos cubiertos con controles antisoborno.
Descripción general de la institución
Actividades principales, procesos relevantes y estructura básica de dirección y gobierno.
Sedes y sitios
Listado de sedes permanentes, sitios temporales (si existen), sitios virtuales (si existen) y aclaración sobre la existencia de una función central que gestione el sistema.
Personal involucrado
Número de personas que participan en los procesos dentro del alcance, distribución en cada sitio permanente, temporal y/o virtual y el número de turnos de trabajo por sede o sitio.
Procesos tercerizados
Identificación de actividades externalizadas relacionadas con el riesgo de soborno y descripción general de los controles establecidos.
Consultoría previa
Declaración sobre servicios de consultoría relacionados con ISO 37001 y su proveedor, si existieron en los últimos dos años.
Información adicional para la planificación de la auditoría
La institución también debe informar aspectos prácticos como:
- Condiciones de acceso y seguridad.
- Preferencia si la auditoría se debe/puede hacer remota o presencial.
- Restricciones logísticas relevantes.
- Idioma requerido para entrevistas y documentación.
- Cambios organizacionales recientes que puedan afectar el sistema.
Una aclaración clave sobre el otorgamiento del certificado
La certificación ISO 37001 no es un resultado garantizado por contrato.
Es el resultado técnico de un proceso de evaluación independiente.
El certificado solo puede otorgarse cuando la institución:
- Demuestra cumplimiento total de los requisitos de ISO 37001.
- Cierra todas las no conformidades mayores.
- Presenta planes de corrección y acción correctiva para las no conformidades menores, aceptados por el organismo de certificación.
Por esta razón, no es técnica ni jurídicamente viable establecer como obligación contractual autónoma el otorgamiento del certificado.
La obligación del organismo de certificación es:
- Realizar la auditoría conforme a ISO 37001.
- Evaluar la conformidad de manera objetiva.
- Tomar una decisión de certificación basada en evidencias.
Si la auditoría se ejecuta correctamente, pero la institución no resuelve las no conformidades, el organismo cumple con el contrato y el servicio debe ser remunerado, aun cuando no se otorgue la certificación.
Mensaje final
Una certificación ISO 37001 sólida comienza con información clara, continúa con una auditoría independiente y solo concluye cuando existe conformidad demostrada con la norma.
