Due diligence anticorrupción según ISO 37001
La due diligence anticorrupción es uno de los controles operacionales más importantes dentro del sistema de gestión antisoborno de ISO 37001. Consiste en un proceso sistemático de investigación y verificación de las personas y organizaciones con las que la empresa se relaciona, con el objetivo de identificar riesgos de soborno o corrupción antes de establecer o mantener relaciones comerciales.
En el contexto chileno, donde la Ley 20.393 establece la responsabilidad penal de las personas jurídicas por actos de sus representantes, agentes o intermediarios, contar con procesos robustos de due diligence no es solo una buena práctica: es una necesidad legal para demostrar la existencia de un modelo de prevención efectivo.
¿Qué es la due diligence anticorrupción?
Según ISO 37001, la due diligence anticorrupción es el proceso mediante el cual la organización evalúa la naturaleza y el alcance de los riesgos de soborno asociados a transacciones, proyectos, actividades, socios comerciales y personal específico. El objetivo es tomar decisiones informadas sobre si proceder con una relación comercial, y bajo qué condiciones y controles.
No se trata de un proceso estándar que se aplica por igual a todos. ISO 37001 exige un enfoque proporcional al riesgo: la profundidad y el alcance de la due diligence deben ser coherentes con el nivel de riesgo identificado en la evaluación inicial.
Niveles de due diligence
| Nivel | Riesgo | Alcance | Ejemplo de aplicación |
|---|---|---|---|
| Básico | Bajo | Verificación de identidad, consulta de listas restrictivas, información pública básica | Proveedor local de suministros de oficina |
| Estándar | Medio | Básico + análisis de estructura societaria, verificación de antecedentes comerciales, consulta de medios | Proveedor de servicios profesionales recurrente |
| Reforzado | Alto | Estándar + investigación profunda, visitas in situ, verificación de beneficiarios finales, análisis de PEP | Intermediario para operaciones con entidades gubernamentales |
| Exhaustivo | Muy alto | Reforzado + investigación por terceros especializados, evaluación de riesgos jurisdiccionales, entrevistas | Joint venture en país con alto índice de corrupción |
Red flags: señales de alerta
ISO 37001 requiere que la organización identifique y actúe frente a señales de alerta (red flags) que pueden indicar riesgo de soborno. Las señales más comunes incluyen:
- Jurisdiccionales: Operaciones en países con alto índice de percepción de corrupción, jurisdicciones opacas o paraísos fiscales
- Transaccionales: Solicitudes de pagos en efectivo, a cuentas en terceros países, facturación inflada, servicios intangibles sin entregables claros
- De terceros: Intermediarios sin experiencia demostrable en el sector, estructura societaria opaca, vinculación con personas expuestas políticamente (PEP)
- Operacionales: Presión para omitir procedimientos, urgencia injustificada, resistencia a la transparencia, cambios de alcance no documentados
- Contractuales: Comisiones excesivas, cláusulas de confidencialidad inusuales, pagos a entidades no relacionadas con la prestación
Terceros de riesgo: quién debe ser evaluado
La due diligence anticorrupción debe aplicarse a todos los terceros que pueden generar riesgo de soborno para la organización. Esto incluye agentes y representantes comerciales, intermediarios y brokers, socios de joint ventures y consorcios, proveedores críticos y contratistas, consultores y asesores que interactúen con funcionarios públicos, y destinatarios de donaciones, patrocinios y contribuciones.
Proceso de due diligence paso a paso
Paso 1: Clasificación del riesgo
Antes de iniciar la due diligence, clasifica la relación comercial según su nivel de riesgo. Los factores a considerar son el tipo de tercero (intermediario vs proveedor directo), el sector de actividad, la jurisdicción, el monto de la transacción y la interacción con entidades gubernamentales.
Paso 2: Recopilación de información
Según el nivel de riesgo, recopila información sobre la identidad legal y estructura societaria, los beneficiarios finales, el historial de cumplimiento legal, la presencia en listas restrictivas y de sanciones, la vinculación con PEP, las referencias comerciales, y la reputación en medios y fuentes públicas.
Paso 3: Evaluación y decisión
Analiza la información recopilada, identifica las red flags y evalúa si el riesgo residual es aceptable. Las decisiones posibles son: aprobar la relación sin condiciones adicionales, aprobar con controles reforzados, requerir información adicional, o rechazar la relación comercial.
Paso 4: Monitoreo continuo
La due diligence no es un evento único. ISO 37001 exige monitoreo continuo de los terceros, con revisiones periódicas basadas en el nivel de riesgo y actualizaciones cuando se identifican cambios significativos en las circunstancias.
Due diligence y la Ley 20.393
El modelo de prevención de delitos de la Ley 20.393 exige que las organizaciones implementen procedimientos para prevenir los delitos contemplados en la ley. La due diligence anticorrupción conforme a ISO 37001 satisface directamente este requisito, proporcionando un proceso documentado, proporcional y auditable de evaluación de terceros.
Automatiza tu due diligence con GRC360
GRC360 te permite gestionar procesos de due diligence anticorrupción con flujos de trabajo automatizados, evaluación de riesgos, seguimiento de red flags y trazabilidad completa de las decisiones.
Crear Cuenta GratisProfundiza en el marco legal con nuestros artículos sobre ISO 37001 y la Ley 20.393, compliance penal en Chile y canal de denuncias.
¿Necesitas gestionar tu compliance?
GRC360 te ayuda a implementar estándares ISO, gestionar riesgos y cumplir con la normativa.
Crear Cuenta Gratis