REDFLAG-UNE e ISO

En el año 2025, tanto UNE como ISO han efectuado un cambio, una nueva estructuración de las normas de compliance, tanto la penal por parte de UNE España como la Antisoborno, por parte de ISO, Organización Internacional de Normalización.

En el presente artículo se pretende dar una pincelada de los cambios efectuados en ambas normas, concluyendo con unas sucintas conclusiones o resumen de los cambios efectuados.

Comenzando por las Novedades clave de la UNE 19601:2025.

No supone una “ruptura” con la versión 2017, pero sí una evolución relevante en estructura, claridad y alineación internacional.  Es el mismo modelo conceptual, pero más maduro, alineado y exigente en gobernanza y medición.

LA UNE 19601: 2017 fue un modelo pionero en España, inspirado en ISO 19600 y 37001, más descriptivo que sistemático, mientras que la UNE 19601: 2025, mantiene el enfoque, pero es más operativo y alineado con ISO 37301 y 37002 y está mejor integración con otros sistemas de gestión y está basado en experiencia real de aplicación, se podría decir que este cambio ha sido una evolución y no runa evolución.

1. Nueva estructura armonizada (High-Level Structure)

La norma adopta la estructura armonizada ISO (HLS), facilitando la integración con otros sistemas de gestión (ISO 37301, ISO 37001, ISO 9001, ISO 14001, etc.) y reforzando el enfoque de mejora continua.

2. Evaluación de riesgos penales

• 2017: ubicada en el capítulo de Planificación (6.2).
• 2025: se traslada al Capítulo 4 – Contexto de la organización (4.5).

Se refuerza su carácter fundacional y estratégico, incorporando requisitos más explícitos sobre:

• Identificación de todos los delitos aplicables a la persona jurídica.
• Justificación documentada de los delitos no relevantes.
• Revisión periódica basada en cambios internos y externos.

El cambio podíamos decir que es de envergadura, pues no es solo un cambio de ubicación, sino que al ubicarse en el capítulo 4 se refuerza el papel del liderazgo  y se alinea con estándares internacionales de gestión de riesgos.

3. Liderazgo, cultura y gobernanza del compliance

Se amplía el Capítulo 5 con dos nuevos subapartados:

• 5.1.4 Cultura de compliance: pasa a ser un requisito explícito, no solo un principio implícito.
• 5.1.5 Gobernanza del compliance penal: define responsabilidades indelegables del órgano de gobierno, reforzando su papel activo y no meramente formal, lo que supone una responsabilidad indelegable del liderazgo, es más exigente en “tone at the top”.

4. Distinción entre formación y toma de conciencia

La versión 2025 separa claramente:

• Formación: orientada a personas con funciones expuestas a riesgos penales.
• Toma de conciencia: dirigida a todo el personal y socios de negocio.

Esta diferenciación permite programas más ajustados al riesgo y mejor auditabilidad del sistema.

5. Planificación de cambios (nuevo requisito)

Se incorpora un nuevo apartado 6.3 – Planificación de los cambios, que exige anticipar y gestionar:

• Cambios normativos.
• Cambios organizativos o de gobernanza.
• Fusiones, adquisiciones, nuevas líneas de negocio, etc.

Esto convierte al sistema en más flexible y adaptativo, a la vez que exige una verdadera y constatable planificación del cambio, introduciendo un lógica mejora continua real.

6. Canales de denuncia y protección del informante

La UNE 19601:2025 se adapta expresamente a la Ley 2/2023, incorporando requisitos sobre:

• Confidencialidad y anonimato.
• Prohibición de represalias.
• Plazos de gestión.
• Independencia y ausencia de conflicto de intereses en las investigaciones.

Además, se alinea con la ISO 37002 de gestión de denuncias.

7. Diligencia debida en inversiones financieras

Se matiza y atenúa la exigencia de diligencia debida en participaciones financieras, ajustándola al grado real de influencia y control, evitando enfoques desproporcionados.

 8. Medición y eficacia

Existe un refuerzo de los indicadores de desempeño y de la evaluación de eficacia del sistema, lo que hace es que la Noram está más orientada a evidencias (auditoría/certificación).

9. Otros ajustes relevantes

– Clarificación de objetivos vs políticas

– Tratamiento de inversiones financieras

– Mejora del redactado y notas explicativas

Como resumen podíamos decir:

•Reubicación de la evaluación de riesgos al capítulo 4 (Contexto), integrando identificación, análisis, valoración, revisión y documentación, con disparadores por cambios  legales/jurisprudenciales.

• Gobernanza reforzada del órgano de compliance penal: independencia, acceso directo a órgano de gobierno y alta dirección, autoridad y

asesoramiento experto; la “cultura” pasa a liderazgo (5.1.4).

• Canales internos y procedimiento de investigación alineados con ISO 37002: confidencialidad/anonimato, no represalias, confianza, imparcialidad y protección; reporting claro al órgano de compliance.

• Separación de formación (con medición de eficacia) y toma de conciencia; evidenciar ambos programas por separado.

• Racionalización de supervisión en inversiones financieras puramente pasivas (mercados organizados) y enfoque proporcional en filiales y socios según grado de influencia.

• Anexo C (normativo) amplía la documentación mínima: incorporar evidencias de contexto/partes interesadas, revisiones (9.3–9.5) y no conformidades (10.2), además de los elementos ya existentes.

Comparativa resumida UNE 19601:2017 vs UNE 19601:2025

Área	UNE 19601:2017	UNE 19601:2025
Estructura	Propia, no HLS	Estructura armonizada ISO (HLS)
Evaluación de riesgos	Planificación (6.2)	Contexto (4.5), enfoque estratégico
Cultura de compliance	Implícita	Contexto (4.5), enfoque estratégico
Gobernanza	Menos desarrollada	Definición clara de responsabilidades
Formación	Tratamiento conjunto	Separación formación / concienciación
Canales internos	Requisitos generales	Adaptación plena a Ley 2/2023
Gestión del cambio	No prevista expresamente	Nuevo requisito específico
Alineación internacional	Parcial	Alta (ISO 37301, 37001, 37002)

Conclusión

La UNE 19601:2025 no cambia el “qué” del compliance penal, pero mejora significativamente el “cómo”:

• Más alineación internacional.
• Mayor peso del liderazgo y la cultura ética.
• Enfoque de riesgos más estratégico.
• Mejor integración con otros sistemas de gestión.

Para organizaciones ya certificadas en UNE 19601:2017, la transición exige un análisis de brechas (GAP), pero no una reconstrucción completa del sistema, es decir las organizaciones certificadas en 2017 no parten de cero, pero necesitan ajustes relevantes en gobernanza, riesgos y medición.

Novedades del Sistema de Gestión Antisoborno,

La ISO 37001:2025, publicada oficialmente el 28 de febrero de 2025, anula y sustituye a la ISO 37001:2016. Esta segunda edición responde a:

• Mayor presión regulatoria y de enforcement internacional
• Expectativas crecientes en ESG y gobernanza
• Digitalización de procesos y riesgos de terceros
• Necesidad de reforzar la cultura ética y el liderazgo efectivo

La revisión de ISO 37001:2025 (Sistema de Gestión Antisoborno) sigue la misma lógica que otras normas recientes: no rompe el modelo de 2016, pero lo hace más exigente, más medible y mejor integrado, igual que en UNE 19601:2025 hay una  evolución y no revolución. La revisión no cambia el objetivo del estándar, pero sí eleva el nivel de exigencia y madurez del sistema antisoborno.

1. Cambios estructurales y alineación ISO

• Adopta la última Estructura Armonizada ISO (HS).
• Facilita la integración con:
  • ISO 37301 (Compliance)
  • ISO 37002 (Canales de denuncia)
  • ISO 9001, ISO 14001, ISO 45001

Esto refuerza el antisoborno como parte del sistema de gobernanza global, no como un silo independiente.

2. Refuerzo del liderazgo y la gobernanza

Cambio clave: cultura como requisito

• Nuevo apartado 5.1.3 – Cultura antisoborno
• El órgano de gobierno y la alta dirección deben:
  • Promover activamente una cultura de tolerancia cero
  • Dar ejemplo visible y coherente
  • Integrar la ética en decisiones reales de negocio.

Refuerzo claro del concepto de cultura ética y antisoborno, pues se exige:  evidencia, acciones concretas  y la implicación del liderazgo. Se pasa de “intención” a “demostración”. La cultura deja de ser aspiracional y pasa a ser auditable.

3. Clarificación del papel del órgano de gobierno

• Se define y aclara el concepto de “cuerpo de gobierno”:
  • Consejo, administrador único, patronato, etc.
• Se refuerzan sus responsabilidades:
  • Aprobación de la política antisoborno
  • Supervisión del sistema
  • Alineación con la estrategia

Esto reduce interpretaciones minimalistas del rol del consejo con más presión sobre el “tone at the top”

4. Inclusión de cambio climático y sostenibilidad

Siguiendo la ISO London Declaration (2021) y la enmienda Amd1:2024 (es una actualización oficial publicada en febrero de 2024 que obliga a incorporar consideraciones sobre el cambio climático en todos los sistemas de gestión ISO), por lo que la norma exige:

• Analizar si el cambio climático es un factor relevante en:
  • Contexto de la organización (cláusula 4)
  • Riesgos de soborno (ej. licencias, permisos, contratación pública)

No obliga a todos los sectores por igual, pero sí obliga a analizarlo y justificarlo.

5. Gestión de riesgos

• Enfoque de riesgo dinámico y continuo.
• Expectativa de monitorización periódica, mayor exigencia en: metodología documentada, criterios claro, revisión periódica y trazabilidad, con especial atención a:
• Pagos de facilitación
• Intermediarios
• Operaciones digitales y automatizadas

Todo ello supone que los riesgos más auditables.

6. Due diligence (terceros y operaciones)

• Refuerzo de la diligencia debida con mayor profundidad según riesgo y seguimiento continuo (no solo inicial) sobre:

• Terceros
• Socios de negocio
• Operaciones sensibles.

Uno de los cambios más prácticos.

7. Conflictos de interés

• Se refuerzan los requisitos sobre:
  • Identificación
  • Declaración
  • Evaluación
  • Gestión y mitigación

El Anexo A amplía el análisis de conflictos vinculados al soborno, haciéndolo más operativo y práctico para auditorías.

8. Canales de denuncia e investigaciones

• Refuerzo de:
  • Confidencialidad
  • No represalia
  • Anonimato
• Mejor alineación con:
  • ISO 37002
  • Marcos legales de whistleblowing

Se exige mayor consistencia entre denuncias, investigaciones y medidas disciplinarias.

9. Revisión por la dirección

Cambio técnico importante

• El punto 9.2.3 exige ahora considerar:
  • Cambios en expectativas de partes interesadas
  • Cambios regulatorios, ESG y reputacionales.

Esto conlleva un refuerzo en KPIs, en indicadores de eficacia y en evidencias objetivas lo que supone un giro hacia “lo que no se mide no existe”.

10. Gestión del cambio

Se incorpora:

• planificación de cambios
• impacto en riesgos de soborno

Ello  nos lleva a alineación total con ISO modernas.

11. Comparativa resumida ISO 37001:2016 vs ISO 37001:2025

Área	ISO 37001:2016	ISO 37001:2025
Estructura	Annex SL inicial	Estructura armonizada actual
Cultura antisoborno	Implícita	Requisito explícito (5.1.3)
Órgano de gobierno	Referencia general	Rol claramente definido
Cambio climático	No considerado	Análisis obligatorio
Riesgos de soborno	Estáticos	Dinámicos y continuos
Diligencia debida	General	Más detallada y continua
Conflictos de interés	Básico	Refuerzo normativo
Integración ESG	Limitada	Alineación clara

11. Conclusión

La ISO 37001:2025 supone una evolución cualitativa, no una ruptura:

• Más exigencia en liderazgo y cultura.
  • Mejor integración con compliance y ESG.
  • Mayor foco en riesgos reales y gobernanza.
  • Menos formalismo, más eficacia demostrable

Para organizaciones certificadas en ISO 37001:2016, la transición requerirá ajustes relevantes, especialmente en cultura, rol del consejo, análisis de riesgos y diligencia debida, pero no una reconstrucción completa del sistema. No es rehacer el sistema, pero sí subirlo de nivel.