Quienes tenemos algún rol en este amplio y creciente mundo de lo que llamamos "compliance" solemos referirnos a "línea ética"; "canal de denuncias"; "whistleblowing"; "hotline"; "speak up"; y otras denominaciones. Pero ¿de qué estamos hablando cuando hablamos de líneas éticas?

Los "canales de denuncias" se hallan bastante difundidos en las organizaciones y siguen en pleno crecimiento, en cuando a su uso como así también su mejora. Este tipo de dispositivo se constituye en un fuerte mecanismo de control a nivel organización como un todo, que funciona como mitigante de un amplio grupo de riesgos relacionados con numerosos aspectos del "compliance". A su vez un sistema de gestión de denuncias está nutrido de un amplio conjunto de controles a nivel de detalle. Esta nueva norma nos permite apreciar la diferencia que existe entre un control y un completo sistema de gestión. 

Para la norma no se trata entonces de implementar un dispositivo (o múltiples canales) para recibir denuncias, sino que ISO 37002 busca el establecimiento de un conjunto de procesos y normas interrelacionadas que pretenden mitigar en forma eficaz un conjunto de riesgos significativos vinculados a comportamientos indeseados. Y cuando digo "mero dispositivo", no quiero ser desmerecedor de todo lo que tiene para aportar un canal de denuncias. Pero deseo ser muy claro en la siguiente aseveración que me permito luego de que el equipo que dirijo haya implementado una gran cantidad de canales de denuncias en organizaciones de todo tipo y tamaño, en distintas partes de la Región: Un canal de denuncias tiene inmensas ventajas sobre otras medidas para detectar incumplimientos, irregularidades y fraudes. Pero, mal implementado y/o administrado puede traer grandes dolores de cabeza. Una vez un cliente nos convocó por una implementación fallida diciendo: "con este canal vamos perdiendo 2 a cero, y nos va a ser complicado remontar este partido".

Ahora bien, un sistema de gestión tal como lo propone la ISO 37002 es una guía para que las organizaciones puedan establecer, implementar, mantener y mejorar en forma continua un sistema de gestión de denuncias en forma completa.

La norma es muy nueva e innovadora, y, sin embargo, ya está siendo utilizada como sensor de comparación contra muchas de las implementaciones existentes, y, de esta forma, poder determinar las brechas contra las mejores prácticas. Y no es casualidad; pues, como sabemos, ISO es una organización global que reúne a expertos de todo el mundo en cada materia objeto de normalización, para que sus estándares sean referencia de buenas prácticas.

¿Es certificable ISO 37002?

Se trata de una guía (y por lo tanto es no certificable con acreditación). En la versión actual, se Estándar ISO del "tipo B" (directrices). Sin embargo, un ente de certificación podría realizar una auditoría utilizando métodos aceptados y emitir un certificado sin acreditación respecto de la adecuada implementación y funcionamiento del sistema de gestión en cuestión. 

Los sistemas de denuncias ya cuentan con una norma propia

¿Qué pretende ISO 37002?

En definitiva, si es que se consideró desarrollar un estándar para administrar reportes de irregularidades fue por la cantidad de implementaciones fallidas o que no cumplían con la finalidad buscada. Y esto lo dicen los expertos que participaron en la confección del estándar.

Una implementación de ISO 37002 a conciencia podrá lograr, entre otras cuestiones: alentar y facilitar el reporte de situaciones irregulares; apoyar y proteger a quienes realizan estos reportes, y si fuera necesario, a otras partes interesadas involucradas; asegurar que las denuncias se reciban íntegramente y se traten de manera adecuada y oportuna; fortalecer la cultura ética y el buen gobierno corporativo; reducir los riesgos de irregularidades, actuando también como medida preventiva / disuasoria; identificar y abordar las irregularidades con la diligencia y agilidad que la situación merezca (al respecto deberíamos considerar que detrás de una denuncia podrían existir riesgos elevados, incluso para la reputación de la organización, incluyendo temas que puedan impactar en la Justicia); contribuir a prevenir o minimizar la pérdida de activos, y, en el mejor de los casos ayudar a la recuperación de éstos; asegurar el cumplimiento de los códigos de ética y conducta, las políticas, los procedimientos, las instrucciones operativas y las obligaciones legales / regulatorias de la organización; atraer y retener personal comprometido con los valores, la cultura de la organización y el comportamiento íntegro; y mostrar solidez a través de buenas prácticas de compliance hacia las partes interesadas, incluyendo los mercados, los reguladores, los propietarios, los clientes, proveedores, posibles inversores, entre otros. 

ISO 37002 y la seguridad de la información

Resulta inherente a los sistemas de gestión de denuncia de irregularidades que administren información tanto personal como privada, y la familia de normas ISO 27000 (que integran a su vez el conjunto de normas ISO relativas a compliance), nos ayudan a interpretar mejor cómo dar profundidad en la protección de los datos en estos temas. ISO 27000 es un conjunto de estándares internacionales relacionados con la Seguridad de la Información, que con la publicación del estándar ISO/IEC 27701:2019 agrega como un vector de seguridad adicional lo relacionado con la protección de los datos de identificación personal. La familia ISO 27000 contiene un conjunto de requisitos, guías y buenas prácticas para el establecimiento, implementación, mantenimiento y mejora de Sistemas de Gestión de la Seguridad y Privacidad de la Información. En relación con la gestión de denuncias, el concepto de seguridad y privacidad de la información plantea revisar puntos relevantes que no podemos dejar de abordar: Protección de datos personales; Protección de la identidad de las personas; Confidencialidad sobre los datos involucrados en la denuncia; y, Aseguramiento de la integridad de los datos y trazabilidad del proceso.

¿Quién debe administrar el sistema de gestión?

Si bien la inmensa mayoría de canales de reporte son tercerizados en compañías expertas que dan garantías de confidencialidad, posibilidad de anonimato, escalabilidad, experiencia, entre otros atributos, esto no logra solucionar toda la problemática. De hecho la norma, si bien no espera que exista necesariamente un departamento exclusivo para administrar el sistema de gestión de la denuncia de irregularidades, pretende que se designe un responsable que lidere operativamente su buen funcionamiento con más un conjunto de recursos humanos y materiales que tengan relación con el dimensionamiento de actividades que merezca.

De esta forma, si es un tercero quien suministrará la tecnología y desempeñará gran parte de esta función, ISO 37002 pretenderá que alguien responsable administre un SLA (acuerdo de nivel de servicios) con ese tercero.

Bienvenida entonces una forma más robusta de gestionar las irregularidades en las organizaciones.