ISO 37003:2025 – Un estándar internacional para fortalecer la gestión del riesgo de fraude

Por Albert Salvador

Vivimos tiempos en los que el riesgo de fraude crece con la misma velocidad con la que se transforman los negocios. Como profesional dedicado a la integridad y al control interno, he sido testigo de cómo la confianza institucional puede verse profundamente afectada por incidentes que, en muchos casos, eran prevenibles. Por eso, considero que la aparición de la norma ISO/FDIS 37003:2025 representa una herramienta valiosa para todas aquellas organizaciones que, como la mía, buscan protegerse de forma proactiva frente al fraude. A continuación, comparto mis reflexiones y análisis sobre este nuevo estándar que, aunque no es certificable, constituye una guía sólida y coherente para implementar un Sistema de Gestión del Control del Fraude (FCMS).

¿Qué es la norma ISO 37003 y por qué me parece relevante?

La ISO 37003 ofrece directrices para que organizaciones de cualquier tipo o tamaño puedan diseñar, implementar, mantener y mejorar un sistema eficaz para gestionar el fraude. Su enfoque se centra en prevenir, detectar y responder ante actos fraudulentos, tanto internos como externos.

Lo que más valoro de esta norma es que no sólo contempla el fraude contra la organización, sino también aquel cometido por la propia organización o en su nombre. Esto amplía significativamente su alcance ético y reputacional. En mi experiencia, es fundamental tener una mirada amplia y realista del riesgo para enfrentarlo con efectividad.

Los elementos clave de un buen Sistema de Gestión del Control del Fraude

La norma se organiza en diez capítulos principales que abarcan desde la comprensión del contexto organizacional hasta la mejora continua. A continuación, resumo los aspectos que, en mi opinión, merecen mayor atención:

1. Comprender el contexto

• Analizar los factores internos y externos que pueden influir en la exposición al fraude.
• Incluir temas emergentes como el cambio climático en el análisis de riesgos me pareció una recomendación innovadora y útil.

2. Liderazgo y gobernanza

• El compromiso del órgano de gobierno y de la alta dirección es clave. En mi trayectoria, he comprobado que los sistemas antifraude sólo funcionan si hay liderazgo desde lo más alto.
• Se asignan responsabilidades claras y se refuerza la importancia de la colaboración entre funciones como auditoría interna, compliance y seguridad de la información.

3. Planificación y evaluación del riesgo

• Recomiendo realizar una evaluación de riesgos realista y específica, considerando tanto los riesgos tradicionales como los tecnológicos.
• La colaboración entre funciones es esencial para evitar silos y asegurar una visión integral del riesgo.

4. Soporte y cultura

• Me parece fundamental asegurar los recursos necesarios, pero también fomentar una cultura organizacional basada en la integridad.
• La formación debe ser continua y adaptada a cada perfil, incluyendo socios de negocio.

5. Prevención activa

• La creación de un marco de integridad sólido es, para mí, una de las claves más importantes. Esto incluye políticas sobre conflictos de interés y controles internos sólidos.
• Las «pruebas de presión» sobre los controles internos son prácticas que recomiendo implementar.

6. Detección eficaz

• Me entusiasma que la norma impulse el uso de herramientas como la analítica de datos y la inteligencia artificial para identificar señales de alerta temprana.
• También refuerza prácticas que yo ya utilizo, como entrevistas de salida y canales de denuncia protegidos.

7. Respuesta profesional

• Disponer de un plan claro para reaccionar ante incidentes de fraude es esencial.
• Se abordan desde la recolección de evidencia digital hasta la evaluación del impacto reputacional y legal, algo que considero de gran valor práctico.

8. Evaluación del desempeño

• Las auditorías periódicas y la revisión de resultados son pilares que utilizo en mi gestión para asegurar la mejora continua.

9. Mejora constante

• Me identifico plenamente con el enfoque de mejora continua de la norma. Cada incidente, cada hallazgo, debe servir para fortalecer el sistema.

Mi conclusión personal

Estoy convencido de que esta norma no solo proporciona herramientas técnicas, sino que también representa una oportunidad para reafirmar un liderazgo basado en la ética, la responsabilidad y la transparencia. Aunque la ISO 37003 no sea certificable, su integración con otras normas como ISO 37001 (anticorrupción), ISO 31000 (riesgos), ISO 27001 (seguridad de la información) o ISO 37002 (canales de denuncia) permite construir un marco de gobernanza robusto y coherente.

Implementarla no es simplemente una cuestión de cumplimiento, sino una expresión clara del tipo de organizaciones que queremos liderar y construir. En mi opinión, ese compromiso con la integridad es lo que realmente marca la diferencia.

Si quieres una presentación en Español de la ISO 37303, puedes solicitarla mediante mail a: info@fraudeinterno.com (solo para subscriptores del blog)