ISO 37001. 9.- Evaluación del desempeño
9.1 Seguimiento, medición, análisis y evaluación
La organización debe determinar:
-
qué se necesita monitorear y medir para evaluar la eficacia del sistema de gestión antisoborno;
-
quién es responsable del seguimiento y la medición;
-
los métodos de seguimiento, medición, análisis y evaluación, cuando sea aplicable, para garantizar resultados válidos y fiables;
-
cuándo deben llevarse a cabo las actividades de seguimiento y medición;
-
cuándo y cómo deben analizarse y evaluarse los resultados;
-
a quién y de qué manera se debe comunicar y reportar la información obtenida.
La organización debe conservar información documentada que evidencie los métodos aplicados, los resultados y las conclusiones derivadas del seguimiento y medición.
El seguimiento y la medición deben permitir a la organización evaluar el desempeño, la eficacia y la eficiencia del sistema de gestión antisoborno, identificando oportunidades de mejora continua.
9.2 Auditoría interna
9.2.1 Generalidades
La organización debe realizar auditorías internas a intervalos planificados para proporcionar información objetiva sobre si el sistema de gestión antisoborno:
-
cumple con los requisitos establecidos por la organización y con los de la presente norma internacional;
-
se encuentra implementado, mantenido y mejorado eficazmente.
9.2.2 Programa de auditoría
La organización debe planificar, establecer, implementar y mantener uno o más programas de auditoría interna, que incluyan:
-
la frecuencia, los métodos, las responsabilidades, los criterios de auditoría, el alcance y los requisitos de planificación e informe;
-
la consideración de la importancia de los procesos, los resultados de auditorías previas, los riesgos de soborno identificados y los cambios relevantes en el contexto o en el sistema;
-
la selección de auditores competentes e independientes, asegurando la objetividad e imparcialidad del proceso de auditoría;
-
la comunicación de los resultados a la dirección responsable, la función de cumplimiento antisoborno, la alta dirección y el órgano de gobierno, según corresponda.
La organización debe conservar información documentada que evidencie la ejecución del programa de auditoría y sus resultados.
9.2.3 Alcance y enfoque basado en riesgo
Las auditorías deben ser razonables, proporcionales y basadas en el riesgo, y deben revisar, según corresponda:
-
la existencia de sobornos, sospechas de soborno o intentos de soborno;
-
las violaciones de la política antisoborno o de los requisitos del sistema de gestión;
-
los incumplimientos por parte de socios de negocio respecto a los compromisos antisoborno acordados;
-
las debilidades del sistema de control interno y las oportunidades de mejora.
9.2.4 Objetividad e independencia
Para asegurar la objetividad e imparcialidad, las auditorías deben ser realizadas por:
-
una función independiente designada para tal fin;
-
la función de cumplimiento antisoborno (cuando tenga independencia funcional respecto al área auditada);
-
personal competente de una unidad distinta a la auditada; o
-
una parte externa apropiada (auditor externo).
La organización debe asegurarse de que ningún auditor audite su propia área de trabajo o función.
9.3 Revisión por la dirección
9.3.1 Revisión por la alta dirección
La alta dirección debe revisar el sistema de gestión antisoborno a intervalos planificados, para garantizar su continuada adecuación, eficacia y alineación con la estrategia de la organización.
La revisión debe incluir, como mínimo:
-
el estado de las acciones derivadas de revisiones previas;
-
los cambios en los factores internos y externos pertinentes al contexto de la organización (4.1);
-
los requisitos actualizados de las partes interesadas (4.2);
-
la información sobre el desempeño y eficacia del sistema antisoborno, incluyendo:
-
resultados de seguimiento, medición y auditorías;
-
denuncias, investigaciones y resultados de casos confirmados de soborno;
-
no conformidades y acciones correctivas;
-
estado de la implementación de controles antisoborno;
-
evolución y naturaleza de los riesgos de soborno;
-
-
la eficacia de las medidas adoptadas para mitigar los riesgos de soborno;
-
las oportunidades de mejora del sistema de gestión antisoborno.
Los resultados de la revisión deben incluir decisiones y acciones relacionadas con:
-
la mejora continua del sistema de gestión antisoborno;
-
las necesidades de cambio en la política, objetivos o controles;
-
la asignación de recursos adicionales, si procede.
La organización debe conservar información documentada sobre las conclusiones, decisiones y acciones derivadas de la revisión por la alta dirección.
9.3.2 Revisión por el órgano de gobierno
El órgano de gobierno debe realizar revisiones periódicas del sistema de gestión antisoborno, basándose en:
-
la información proporcionada por la alta dirección y la función de cumplimiento antisoborno;
-
los resultados de auditorías internas y externas;
-
los reportes de denuncias e investigaciones relevantes;
-
cualquier otra información o evidencia que el órgano de gobierno solicite o considere pertinente.
El órgano de gobierno debe asegurar que las revisiones permitan evaluar el desempeño global del sistema y su contribución a la integridad organizacional.
La organización debe conservar información documentada sobre los resultados y decisiones del órgano de gobierno.
9.4 Revisión por la función de cumplimiento antisoborno
La función de cumplimiento antisoborno debe realizar una evaluación continua e independiente del sistema de gestión antisoborno para determinar:
-
su adecuación y eficacia frente a los riesgos de soborno identificados;
-
su nivel de implementación y conformidad con los requisitos de la norma ISO 37001:2025 y los de la organización;
-
la necesidad de acciones correctivas o preventivas derivadas de hallazgos o incidentes.
Los resultados de esta evaluación deben reportarse periódicamente a la alta dirección y al órgano de gobierno.