ALCANCE DE UN SISTEMA ANTISOBORNO EN ISO 37001
El alcance de un sistema de gestión antisoborno representa sus límites y determina el ámbito de la organización protegido contra el soborno.
Límites
Es fundamental la determinación de los limites del sistema. Implica establecer que“cubre” el sistema y que no, qué parte de la organización está protegida contra el soborno.
De acuerdo a la Norma ISO 37001:2016 la organización no está obligada a proteger todas sus áreas, funciones o procesos por medio del sistema antisoborno, sino al menos aquellas vulnerables y susceptibles de sufrir el soborno.
El alcance que se establezca constará en la Certificación Internacional ISO 37001 que le otorgue un organismo certificador acreditado. Recomiendo certificar inicialmente las áreas, procesos y localidades en las cuales se hayan registrado sobornos o intentos de soborno en el pasado y mas adelante continuar con el resto intentando en lo posible ampliar formalmente el alcance para abarcar toda la organización.
Establecer el alcance de un sistema de gestión antisoborno equivale a construir los cimientos y las columnas de un edificio. No podemos cometer errores en el diseño y trazado de sus bases por qué más adelante ya no será posible o al menos no será fácil hacer correcciones en el mismo ya que el edificio se levantará sobre dichas bases hacia.
Riesgos y alcance
ISO 37001:2016 demanda que se consideren los riesgos de soborno como la guía principal para establecer el alcance. Estos riesgos están a su vez ligados a las cuestiones externas e internas a la organización (contexto ISO 37001:2016, 4.1) y a las partes interesadas y sus requisitos (4.2).
Por tanto, el alcance responde a impulsos de los que no se tiene control pero que efectivamente están presentes. Aunque se organice y planifique detalladamente y exhaustivamente todos los procesos y productos de una empresa, los riesgos de soborno están presentes (impulsados por el contexto y las partes interesadas) y por tanto el sistema de gestión antisoborno debe cubrir todas las áreas o procesos que “sufran” de dichos riesgos de soborno.
Es por esto que la evaluación de los riesgos de soborno (4.5) debe ser realizada con mucho cuidado y precisión teniendo cuidado de identificar todos los riesgos existentes sin dejar fuera aquellos que consideremos de poco impacto.