👇Unete a nuestra comunidad ISO37001:2025 de WhatsApp donde compartimos más información de valor y noticias de los eventos de actualización de la norma👇(cupos limitados)
SALA DE LECTURA ACADEMICA
Nota Importante👇se comparte la Sala de Lectura de la Comunidad profesional ISOS con fines academicos y educativos , la norma ISO deben ser adquiridas y compradas formalmente en el sitio web oficial 👇 https://www.iso.org
INTRODUCCIÓN
La amenaza de irregularidades es el acto de infringir sobre aspectos de irregularidades que dañan la integridad. Las irregularidades pueden provenir de múltiples fuentes y adoptar diversas formas, incluidas la corrupción, el soborno, el fraude, la malversación y otras actividades delictivas. Las irregularidades pueden dañar la reputación de una organización, la confianza de las partes interesadas y la sostenibilidad a largo plazo.
Las organizaciones están comenzando cada vez más a ver la necesidad de establecer reglas prácticas y normas claras de conducta para disuadir las irregularidades. Estas reglas prácticas sirven como base para el comportamiento ético y la gobernanza responsable.
Este documento proporciona orientación a las organizaciones para establecer, implementar, mantener, revisar y mejorar los sistemas de gestión frente a irregularidades, con el fin de:
a) apoyar y facilitar la detección de irregularidades;
b) servir y proteger a las organizaciones y a sus partes interesadas contra el riesgo de irregularidades;
c) apoyar a las organizaciones en la investigación de irregularidades y en la toma de medidas correctivas y disciplinarias;
d) ayudar a las organizaciones a cumplir con los requisitos legales, normativos, reglamentarios y contractuales;
e) fomentar la mejora continua en la lucha contra las irregularidades.
Los beneficios potenciales para las organizaciones incluyen:
— proteger la organización frente a riesgos de irregularidades (ej. fraude, corrupción, soborno);
— servir de garantía a entornos de probidad sin soborno y sujetar a la rendición de cuentas adecuada;
— asegurar el cumplimiento de las políticas y los procedimientos organizacionales y los objetivos legales y sociales;
— atraer y retener al personal comprometido con los valores y la cultura de integridad;
— demostrar la implantación práctica de plataformas éticas y valores a los interesados, incluidos, los reguladores, los propietarios y otras partes interesadas;
— aumentar el compromiso de los líderes para prevenir conductas indebidas;
— disminuir la posibilidad de sanciones disciplinarias y otros procesos sancionadores;
— reducir el riesgo de pérdidas potenciales y daños financieros;
— fomentar un entorno de trabajo ético y sostenible.
Un sistema de gestión de la denuncia de irregularidades ofrece garantías confiables organizacionales al:
— aumentar el compromiso de los líderes para prevenir conductas indebidas;
— disuadir a las personas a participar en irregularidades;
— animar a las personas a denunciar sospechas de irregularidades;
— facilitar la detección de irregularidades en etapas tempranas;
— mejorar la transparencia y la rendición de cuentas.
Este documento se aplica a organizaciones de todos los tamaños en diversos sectores, incluidas organizaciones privadas, públicas, sin fines de lucro y de voluntariado. El alcance se extiende a todos los niveles de la organización y se centra en la prevención, la detección y la respuesta a las irregularidades.
Este documento no se aplica a "conductas antisociales" (es decir, conductas de capricho, sin intención de irregularidades), ni se aplica a irregularidades menores que no comprometan la integridad ni la confianza en la organización. Sin embargo, las organizaciones pueden considerar establecer mecanismos internos para gestionar estas situaciones.
La aplicación de este documento es voluntaria, pero se alinea con las guías de la buena práctica y las expectativas de las partes interesadas, lo que fortalece la gobernanza y la sostenibilidad a largo plazo.
Sistemas de gestión de la denuncia de irregularidades. Directrices
Esta Norma proporciona directrices para establecer, implementar y mantener un sistema de gestión de la denuncia de irregularidades eficaz basado en los principios de confianza, imparcialidad y protección en los siguientes cuatro pasos:
a) recepción de las denuncias de irregularidades;
b) evaluación de las denuncias de irregularidades;
c) tratamiento de las denuncias de irregularidades;
d) conclusión de los casos de irregularidades.
Las directrices de esta Norma son genéricas y están destinadas a ser aplicables a todas las organizaciones, independientemente de su tipo, tamaño, naturaleza o la actividad que realicen, y del sector público, privado o sin fines de lucro.
El alcance de la aplicación de estas directrices dependerá de los factores especificados en los subcapítulos 4.2 y 4.3. El sistema de gestión de la denuncia de irregularidades puede ser independiente o puede utilizarse como parte de un sistema de gestión general.
No hay referencias normativas en esta Norma
Para los fines de este documento, se aplican los términos y definiciones siguientes.
ISO e IEC mantienen bases de datos terminológicas para su utilización en normalización en las siguientes direcciones:
— Plataforma de búsqueda en línea de ISO: disponible en https://www.iso.org/obp
— Electropedia de IEC: disponible en https://www.electropedia.org/
3.1 sistema de gestión
Conjunto de elementos de una organización (3.2) interrelacionados o que interactúan para establecer políticas (3.7) y objetivos (3.25), así como procesos (3.27) para lograr estos objetivos.
Notas:
Un sistema de gestión puede abordar una sola disciplina o varias disciplinas.
Los elementos del sistema de gestión incluyen la estructura de la organización, roles y responsabilidades, planificación y operación.
El alcance de un sistema de gestión puede incluir la totalidad de la organización, funciones específicas de la organización, secciones específicas de la organización, o una o más funciones a través de un grupo de organizaciones.
3.2 organización
Persona o grupo de personas que tiene sus propias funciones con responsabilidades, autoridades y relaciones para lograr sus objetivos (3.25).
Notas:
El concepto de organización incluye, pero no se limita a, una empresa, compañía, firma, empresa individual, autoridad, asociación, sociedad, beneficencia, institución, o parte o combinación de las anteriores, constituidas o no, públicas o privadas.
Una organización puede ser incorporada o no, y puede ser de naturaleza pública o privada.
Se considera que una organización tiene funciones propias si puede establecer sus propias políticas y procedimientos y que la alta dirección (3.10) puede ser controlada dentro de la organización.
3.3 personal
Directores, funcionarios, empleados, personal temporal o trabajadores y voluntarios de la organización (3.2).
[FUENTE: ISO 37001:2016, 3.25, modificada — Se han eliminado las Notas 1 y 2 a la entrada.]
3.4 parte interesada
Persona u organización (3.2) que pueda afectar, verse afectada o percibirse como afectada por una decisión o actividad.
Notas:
Una parte interesada puede ser interna o externa a la organización.
Las partes interesadas pueden incluir clientes, propietarios, personas de una organización, proveedores, entidades públicas, banqueros, sindicatos, socios o la sociedad que pueda incluir competidores o grupos de presión.
Puede establecerse como requisito legal, regulatorio o contractual que una organización informe a las partes interesadas relevantes y dialogue con ellas sobre sus percepciones acerca de las decisiones o actividades de la organización.
Influye en las percepciones una organización que establezca un diálogo abierto con las partes interesadas sobre sus necesidades y expectativas.
[FUENTE: ISO 26000:2010, 2.20, modificada — Se han eliminado las Notas 1 y 3 a la entrada. La definición original ha sido modificada con la adición de las Notas 1 y 2 a esta norma.]
3.5 alta dirección
Persona o grupo de personas que dirige y controla una organización (3.2) al más alto nivel.
Notas:
La alta dirección tiene el poder de delegar autoridad y proporcionar recursos dentro de la organización.
Si el alcance de un sistema de gestión (3.1) comprende solo una parte de la organización, entonces por alta dirección se entiende a quienes dirigen y controlan esa parte de la organización.
El término es comúnmente usado como sinónimo de términos como directorio ejecutivo, comité ejecutivo y similares.
3.6 órgano de gobierno
Persona o grupo de personas que tiene que rendir cuentas (3.30) en última instancia en nombre de toda la organización (3.2).
Notas:
Cada entidad organizacional tiene un órgano de gobierno, que no debe definirse explícitamente.
Un órgano de gobierno puede incluir, pero no está limitado a, una junta directiva, consejo de control, consejo de gestión o administradores.
[FUENTE: ISO/IEC 38500:2015, 2.9, modificada — Las palabras “tienen que rendir cuentas en última instancia en nombre de” han sido reemplazadas por “responsable del desempeño y conformidad en” y se han agregado las Notas 1 y 2 a la entrada.]
3.7 política
Intenciones y dirección de una organización (3.2) según lo expresado formalmente por su alta dirección (3.5).
Nota: La política se traduce en forma de compromisos y declaraciones esenciales de la dirección enmarcadas dentro de los sistemas de gestión de ISO.
3.8 irregularidad
Acción u omisión que puede causar daño.
Notas:
Las irregularidades pueden incluir, entre otras, las siguientes:
— incumplimiento de la ley (nacional o internacional), como fraude, corrupción, incluido el soborno, lavado de dinero o financiación del terrorismo, acoso o discriminación;
— incumplimiento de la política de la organización (3.2) y de los procedimientos establecidos;
— conducta no ética o indebida;
— incumplimiento de las obligaciones contractuales;
— incumplimiento de los requisitos reglamentarios o estatutarios;
— conducta que de otro modo pueda causar un daño físico, financiero, reputacional o de otro tipo a la organización, a su personal (3.3), a las partes interesadas (3.4) o al público en general.
Las irregularidades o daños resultantes pueden haber ocurrido en el pasado, estar sucediendo actualmente o ocurrir en el futuro.
3.9 denunciante
Persona que informa sobre sospechas de irregularidades (3.8) o sobre irregularidades reales y tiene una creencia razonable de que la información es verdadera en el momento de informar.
Notas:
Una creencia razonable es una creencia sostenida por el denunciante basada en los hechos y circunstancias de los que tiene conocimiento, y que los individuos con su misma posición considerarían una creencia razonable.
Ejemplos de denunciantes incluyen, entre otros, los siguientes:
— personal (3.3) dentro de una organización (3.2);
— contratistas, subcontratistas, proveedores, agentes, asesores, socios de negocio y sus empleados;
— clientes, consumidores, usuarios de servicios, ciudadanos u otras personas externas a la organización que interactúan con ella o son impactados por sus actividades;
— personas anónimas que presentan denuncias;
— representantes de sindicatos, asociaciones profesionales, organizaciones no gubernamentales o reguladores.
3.10 denuncia de irregularidades
Información sobre sospechas de irregularidades (3.8) o irregularidades reales aportada por un denunciante (3.9).
Notas:
Las denuncias de irregularidades pueden presentarse de forma verbal, en persona, por escrito o en formato electrónico o digital.
Se distinguen dos clases:
— denuncias abiertas: en las que el denunciante revela información con su identidad conocida por la organización receptora de la denuncia;
— denuncias anónimas: en las que el denunciante no revela su identidad, ni tampoco la organización conoce dicha identidad.
3.11 función de gestión de la denuncia de irregularidades
Personas con la responsabilidad y autoridad para el funcionamiento del sistema de gestión (3.1) de la denuncia de irregularidades (3.10).
3.12 evaluación de las denuncias de irregularidades (triaje)
Evaluación inicial de las denuncias de irregularidades (3.10) para los propósitos de categorización, adopción de medidas preliminares, priorización y asignación para su manejo posterior.
Nota: Se pueden considerar los siguientes factores: probabilidad y gravedad del impacto de las irregularidades sospechadas o de irregularidades del personal (3.3), gobernanza (3.2) y otras partes interesadas (3.4), incluidos los daños a la integridad (daños financieros, ambientales, humanos o de otro tipo).
3.13 conducta perjudicial
Acto u omisión bajo amenaza, propuesto o real, directo o indirecto que pueda resultar en daño a un denunciante (3.9) u otra parte interesada (3.4) pertinente, relacionado con la denuncia de irregularidades (3.10).
Notas:
Daño incluye cualquier consecuencia adversa, ya sea relacionada con el trabajo o personal, incluyendo, pero no se limita a, despido, suspensión, degradación, transferencia, cambio de funciones, alteración de las condiciones laborales, calificaciones de desempeño (3.26) adversas, procedimientos disciplinarios, oportunidad reducida de ascenso, denegación de servicios, inclusión en listas negras, difamación, daño a la reputación, revelación de la identidad del denunciante, pérdida financiera, procesamiento o acción legal, acoso, aislamiento, imposición de cualquier forma de daño físico o psicológico.
La conducta perjudicial incluye retaliación, represalias, retribución, acciones u omisiones deliberadas, realizadas a sabiendas o imprudentemente, para causar daño a un denunciante u otras partes pertinentes.
La conducta perjudicial también incluye no prevenir o no minimizar el daño mediante el cumplimiento de un estándar de atención razonable en cualquier paso del proceso (3.27) de denuncia de irregularidades.
Las acciones que se tomen para tratar la propia irregularidad (3.8) del denunciante, su desempeño o gestión, que no estén relacionadas con su papel en la denuncia de irregularidades, no constituyen una conducta perjudicial para los fines de este documento.
Otras partes interesadas pertinentes pueden incluir a los potenciales o presuntos testigos, confidentes, asesores, representantes sindicales o de trabajadores, así como a cualquier persona que se perciba razonablemente pueda estar involucrada en un proceso de denuncia de irregularidades dada una entidad.
3.14 investigación
proceso (3.27) sistemático, independiente y documentado para establecer los hechos y evaluarlos objetivamente para determinar si hubo irregularidades (3.8), están ocurriendo o es probable que ocurran y su alcance
Nota 1 a la entrada: Una investigación puede ser interna, externa o combinada.
Nota 2 a la entrada: Una investigación interna se lleva a cabo por la propia organización (3.2) o por una parte externa en su nombre.
Nota 3 a la entrada: Partes externas también pueden imponer una investigación a la organización.
3.15 auditoría
proceso (3.27) sistemático e independiente para obtener evidencia y evaluarla objetivamente para determinar en qué medida se cumplen los criterios de auditoría
Nota 1 a la entrada: Una auditoría puede ser interna (de primera parte), o externa (de segunda o tercera parte), y puede ser combinada (combinando dos o más disciplinas).
Nota 2 a la entrada: Una auditoría interna es la que se lleva a cabo por la propia organización (3.2) o por una parte externa en su nombre.
Nota 3 a la entrada: “Evidencia de auditoría” y “criterios de auditoría” se definen en la Norma ISO 19011.
Nota 4 a la entrada: Este constituye uno de los términos comunes y definiciones esenciales de la estructura armonizada para las normas de sistemas de gestión ISO.
3.16 competencia
Capacidad para aplicar conocimientos y habilidades para lograr los resultados previstos
Nota 1 a la entrada: Este constituye uno de los términos comunes y definiciones esenciales de la estructura armonizada para las normas de sistemas de gestión ISO.
3.17 conformidad
Cumplimiento de un requisito (3.28)
Nota 1 a la entrada: Este constituye uno de los términos comunes y definiciones esenciales de la estructura armonizada para las normas de sistemas de gestión ISO.
3.18 no conformidad
Incumplimiento de un requisito (3.28)
Nota 1 a la entrada: Este constituye uno de los términos comunes y definiciones esenciales de la estructura armonizada para las normas de sistemas de gestión ISO.
3.19 acción correctiva
Acción para eliminar la causa de una no conformidad (3.18) y para prevenir la recurrencia
Nota 1 a la entrada: Este constituye uno de los términos comunes y definiciones esenciales de la estructura armonizada para las normas de sistemas de gestión ISO.
3.20 mejora continua
Actividad recurrente para mejorar el desempeño (3.26)
Nota 1 a la entrada: Este constituye uno de los términos comunes y definiciones esenciales de la estructura armonizada para las normas de sistemas de gestión ISO.
3.21 información documentada
Información que una organización (3.2) tiene que controlar y mantener, y el medio que la contiene
Nota 1 a la entrada: La información documentada puede estar en cualquier formato y medio y puede provenir de cualquier fuente.
Nota 2 a la entrada: La información documentada puede referirse a:
— el sistema de gestión (3.1), incluidos los procesos (3.27) relacionados;
— información generada para que la organización opere (documentación);
— evidencia de los resultados alcanzados (registros).
Nota 3 a la entrada: Este constituye uno de los términos comunes y definiciones esenciales de la estructura armonizada para las normas del sistema de gestión ISO.
3.22 eficacia
Medida en que se realizan las actividades planificadas y se logran los resultados planificados
Nota 1 a la entrada: Este constituye uno de los términos comunes y definiciones esenciales de la estructura armonizada para las normas de sistemas de gestión de ISO.
3.23 medición
proceso (3.27) para determinar un valor
Nota 1 a la entrada: Este constituye uno de los términos comunes y definiciones esenciales de la estructura armonizada para las normas de sistemas de gestión de ISO.
3.24 seguimiento
Determinar el estado de un sistema, un proceso (3.27) o una actividad
Nota 1 a la entrada: Para determinar el estado, puede ser necesario verificar, supervisar u observar críticamente.
Nota 2 a la entrada: Este constituye uno de los términos comunes y definiciones esenciales de la estructura armonizada para las normas de sistemas de gestión de ISO.
3.25 objetivo
Resultado a lograr
Nota 1 a la entrada: Un objetivo puede ser estratégico, táctico u operativo.
Nota 2 a la entrada: Los objetivos pueden referirse a diferentes disciplinas (tales como objetivos financieros, de salud y seguridad, y ambientales). Pueden ser, por ejemplo, de toda la organización o específicos de un proyecto, producto, servicio o proceso (3.27).
Nota 3 a la entrada: Un objetivo puede expresarse de otras maneras, por ejemplo, como un resultado perseguido, un propósito, un criterio operativo, como un objetivo de denuncia de irregularidades (3.10), o con el uso de otras palabras con un significado similar (por ejemplo, fin, objetivo, meta).
Nota 4 a la entrada: Un sistema de gestión (3.1) de la denuncia de irregularidades, los objetivos de la denuncia de irregularidades los establece la organización (3.2), en consonancia con la política (3.7) de denuncia de irregularidades, para lograr resultados específicos.
Nota 5 a la entrada: Este constituye uno de los términos comunes y definiciones esenciales de la estructura armonizada para las normas de sistemas de gestión de ISO.
3.26 desempeño
resultado medible
Nota 1 a la entrada: El desempeño se puede relacionar con hallazgos cuantitativos o cualitativos.
Nota 2 a la entrada: El desempeño se puede relacionar con actividades de gestión, procesos (3.27), productos, servicios, sistemas u organizaciones (3.2).
Nota 3 a la entrada: Este constituye uno de los términos comunes y definiciones esenciales de la estructura armonizada para las normas de sistemas de gestión de ISO.
3.27 proceso
conjunto de actividades interrelacionadas o que interactúan, que emplean o transforman elementos de entrada para obtener resultados
Nota 1 a la entrada: El hecho de que el resultado de un proceso se llame salida, producto o servicio depende del contexto de la referencia.
Nota 2 a la entrada: Este constituye uno de los términos comunes y definiciones esenciales de la estructura armonizada para las normas de sistemas de gestión de ISO.
3.28 requisito
necesidad o expectativa establecida, generalmente implícita u obligatoria
© ISO 2021 - © INACAL 2021 - Todos los derechos son reservados
Nota 1 a la entrada: “Generalmente implícito” significa que es una costumbre o práctica común para la organización (3.2) y para las partes interesadas (3.4), que la necesidad o expectativa esté implícita.
Nota 2 a la entrada: Un requisito especificado es aquel que está establecido, por ejemplo, en información documentada (3.21).
Nota 3 a la entrada: Este constituye uno de los términos comunes y definiciones esenciales de la estructura armonizada para las normas de sistemas de gestión de ISO.
3.29 riesgo
efecto de la incertidumbre sobre los objetivos (3.25)
Nota 1 a la entrada: Un efecto es una desviación de lo esperado — ya sea positivo o negativo.
Nota 2 a la entrada: La incertidumbre es el estado, incluso parcial, de deficiencia de información relacionada con la comprensión o conocimiento de un evento, su consecuencia o su probabilidad.
Nota 3 a la entrada: El riesgo se refiere a menudo a eventos potenciales y consecuencias, o a una combinación de ambos. Se expresa frecuentemente en términos de una combinación de las consecuencias de un evento (incluyendo cambios en las circunstancias) y la probabilidad de que ocurra (véase la Guía ISO 73:2009, 1.1).
Nota 4 a la entrada: En el contexto de los sistemas de gestión, el riesgo a menudo se expresa en términos de efectos potenciales sobre la conformidad (de productos y servicios), sobre la satisfacción del cliente (y de las partes interesadas), o sobre la eficacia y eficiencia del sistema de gestión.
Nota 5 a la entrada: La definición de riesgo dada en esta Norma Internacional está alineada con la de la Guía ISO 73:2009, 1.1, pero se ha modificado para ser aplicable al contexto de los sistemas de gestión.
Nota 6 a la entrada: Este constituye uno de los términos comunes y definiciones esenciales de la estructura armonizada para las normas de sistemas de gestión de ISO. El término “riesgo” puede ser definido en normas específicas de sistemas de gestión como una desviación de la definición.
3.30 rendición de cuentas
obligación de rendir por el cumplimiento de una responsabilidad
4.1 Comprensión de la organización y su contexto
La organización deberá determinar las cuestiones externas e internas que sean pertinentes para su propósito y que afectan a su capacidad para lograr los resultados previstos de su sistema de gestión de la denuncia de irregularidades.
Estas cuestiones pueden incluir, pero no se limitan a, los siguientes factores:
a) el tamaño y la estructura de la organización;
b) las ubicaciones y sectores en los que la organización opera o planea operar;
c) la naturaleza, cultura, escala y complejidad de las actividades/operaciones de la organización;
d) la naturaleza y necesidades del personal;
e) el modelo de negocio de la organización;
f) las entidades sobre las que la organización ejerce control y las entidades que ejercen control sobre la organización, incluidos los beneficiarios finales de la organización;
g) los socios de negocio de la organización;
h) los sectores de negocio de la organización;
i) la exposición de la organización a obligaciones o cuestiones de interés público;
j) las obligaciones y deberes legales, reglamentarios, contractuales y de otra índole, aplicables.
NOTA: Una organización tiene control sobre otra organización si controla directa o indirectamente la gestión de la organización.
4.2 Comprensión de las necesidades y expectativas de las partes interesadas
La organización deberá determinar:
a) las partes interesadas que son pertinentes para el sistema de gestión de la denuncia de irregularidades;
b) los requisitos pertinentes de estas partes interesadas;
c) cuáles de estos requisitos se abordarán a través del sistema de gestión de la denuncia de irregularidades.
© ISO 2021 – © INACAL 2021 – Todos los derechos son reservados
4.3 Determinación del alcance del sistema de gestión de la denuncia de irregularidades
La organización deberá determinar los límites y la aplicabilidad del sistema de gestión de la denuncia de irregularidades para establecer su alcance.
Cuando se determina este alcance, la organización deberá considerar:
a) las cuestiones externas e internas a que se refiere el apartado 4.1;
b) los requisitos a que se refiere el apartado 4.2;
c) las actividades de la organización relacionadas con la denuncia de irregularidades;
d) las entidades, las funciones, las actividades, los procesos, los productos, los servicios, los proyectos, los socios de negocio y las relaciones contractuales pertinentes para la organización;
e) los riesgos de irregularidades relacionados con la denuncia que enfrentan la organización y su personal;
f) los requisitos legales, reglamentarios, contractuales y de otra índole que debe cumplir la organización.
El alcance deberá estar disponible como información documentada.
4.4 Sistema de gestión de la denuncia de irregularidades
La organización debería establecer, implementar, mantener y mejorar continuamente un sistema de gestión de la denuncia de irregularidades, incluidos los procesos necesarios y sus interacciones, de acuerdo con las recomendaciones de este documento.
El sistema de gestión de la denuncia de irregularidades debería aplicar los principios de confidencialidad, integridad y protección, y debería asegurar la retroalimentación adecuada durante todo el proceso. El sistema de gestión de la denuncia de irregularidades debería respaldar todos los pasos del proceso de denuncia.
a) Recepción de las denuncias de irregularidades: el sistema de gestión de la denuncia de irregularidades debería especificar cómo se pueden realizar y recibir las denuncias, teniendo en cuenta los factores incluidos en el subcapítulo 4.3.
b) Evaluación de las denuncias de irregularidades (riesgo): el sistema de gestión de la denuncia de irregularidades debería especificar el proceso de evaluación de las denuncias recibidas, incluidos aspectos como la prioridad, la integridad y la relevancia de la información. Al mismo tiempo, el sistema de gestión de la denuncia de irregularidades debería permitir una evaluación del riesgo de perjuicio y el nivel de protección y apoyo necesarios para los denunciantes y otras personas involucradas.
c) Tratamiento de las denuncias de irregularidades: el sistema de gestión de la denuncia de irregularidades debería prever una investigación imparcial y oportuna, con medidas correctoras y acciones disciplinarias, cuando corresponda. Asimismo, debería prever mecanismos de seguimiento para verificar la implementación de esas medidas, incluidos los plazos para que se obtengan los resultados. Estas medidas de protección pueden incluir, entre otras, el despido de personas implicadas.
d) Conclusión de los casos de denuncia de irregularidades: el sistema de gestión de la denuncia de irregularidades debería especificar cómo se comunican los resultados a las partes involucradas en los resultados de cada etapa del tratamiento. También debería especificar cómo se utilizan los resultados de las denuncias de irregularidades, según corresponda, para el aprendizaje organizacional y otras mejoras (por ejemplo, mejoras de gestión, estrategias organizacionales y otras acciones preventivas).
Los pasos del proceso de denuncia de irregularidades se especifican en los subcapítulos 8.2 a 8.5.
5 Liderazgo
5.1 Liderazgo y compromiso
5.1.1 Órgano de gobierno
El órgano de gobierno debería:
a) establecer objetivos para un sistema de gestión de la denuncia de irregularidades eficaz y supervisar a la alta dirección con respecto a estos;
b) aprobar la política de denuncia de irregularidades de la organización y comunicar mensajes claros sobre su existencia, importancia y uso;
c) demostrar ese compromiso adoptando la política y el sistema de gestión de la denuncia de irregularidades;
d) a intervalos planificados, recibir y revisar información sobre el contenido y el funcionamiento del sistema de gestión de la denuncia de irregularidades de la organización;
e) asegurar que se asignen y se destinen los recursos adecuados y apropiados necesarios para el funcionamiento eficaz del sistema de gestión de la denuncia de irregularidades;
f) ejercer una supervisión adecuada de la implementación, integridad y mejora continua del sistema de gestión de la denuncia de irregularidades de la organización.
5.1.2 Alta dirección
La alta dirección debería demostrar liderazgo y compromiso con respecto al sistema de gestión de la denuncia de irregularidades:
a) asegurando que la política de denuncia de irregularidades y los objetivos del sistema de gestión de la denuncia de irregularidades se establezcan y se integren en los procesos de negocio de la organización;
b) asegurando que la política de denuncia de irregularidades de la organización, incluida la importancia del sistema de gestión de la denuncia de irregularidades y la necesidad del mismo sean comunicadas, entendidas y aplicadas dentro de la organización;
c) asegurando que los recursos necesarios para el sistema de gestión de la denuncia de irregularidades se encuentren disponibles;
d) comunicando la importancia de una gestión eficaz de la denuncia de irregularidades y de la conformidad con el sistema de gestión de la denuncia de irregularidades;
e) orientando la política de denuncia de irregularidades interna y externamente (véase 5.4);
f) asegurando que el sistema de gestión de la denuncia de irregularidades logre los resultados previstos (véase 5.1.1);
g) dirigiendo y apoyando a las personas para que contribuyan a la eficacia del sistema de gestión de la denuncia de irregularidades;
h) previniendo la represalia contra:
personas denunciantes, personas a quienes se dirigen las denuncias y otras personas involucradas en el sistema de gestión de la denuncia de irregularidades;
personal que proporcione pruebas o participe en actividades en el marco del sistema de gestión de la denuncia de irregularidades;
i) apoyando a otras funciones pertinentes para demostrar su liderazgo en lo que se refiere a sus responsabilidades;
j) asegurando que las personas se rijan por políticas públicas claras en relación con la denuncia de irregularidades, proporcionando el personal y los recursos adecuados para implementar las políticas y procedimientos del sistema de gestión de la denuncia de irregularidades;
k) apoyando las investigaciones de posibles irregularidades y asegurando que las personas involucradas en ellas estén libres de toda represalia;
l) apoyando y participando activamente en el sistema de gestión de la denuncia de irregularidades, al mismo nivel que otras funciones principales de gestión;
m) asegurando que se desarrollen revisiones del funcionamiento y observaciones al sistema de gestión de la denuncia de irregularidades, a intervalos planificados;
n) mejorando continuamente la idoneidad, adecuación y eficacia del sistema de gestión de la denuncia de irregularidades.
5.2 Política de denuncia de irregularidades
La alta dirección debería establecer una política de denuncia de irregularidades que:
a) sea apropiada para el propósito de la organización;
b) proporcione un marco de referencia para el establecimiento de los objetivos del sistema de gestión de la denuncia de irregularidades;
c) explique el alcance del sistema de gestión de la denuncia de irregularidades (véase 4.3);
d) incluya un compromiso de cumplir con los requisitos aplicables;
e) incluya un compromiso con la mejora continua del sistema de gestión de la denuncia de irregularidades;
f) prohíba una conducta perjudicial;
g) se comprometa claramente con una cultura de hablar/escuchar;
h) proporcione orientación, en un lenguaje fácilmente comprensible, sobre cómo prevenir la intimidación y dónde buscar apoyo o asesoramiento sobre el proceso de denuncia de irregularidades;
i) incluya un compromiso de confianza, imparcialidad e integridad y protección durante todo el proceso de denuncia;
j) promueva la protección de la confidencialidad en la denuncia de irregularidades;
k) requiera la autoridad e independencia de la función de gestión de la denuncia de irregularidades;
l) explique las consecuencias del incumplimiento de la política de denuncia de irregularidades, por ejemplo, realizar denuncias falsas deliberadamente y llevar a cabo una conducta perjudicial puede justificar una acción disciplinaria;
m) haga referencia a canales de denuncia alternativos disponibles fuera de la organización, como los establecidos por los reguladores;
n) haga referencia a la ley aplicable;
o) describa los pasos clave de los sistemas de gestión de la denuncia de irregularidades, incluida la forma en que se recibirán, evaluarán, tratarán y comunicarán las denuncias de irregularidades;
p) no se restrinja a la posibilidad de denunciar en hojas o obligaciones contractuales, tales como los acuerdos de no divulgación, o cláusulas con respecto a la afiliación, a la confidencialidad comercial y la confidencialidad de los empleados, entre otros;
q) proporcione información sobre la política de retención de datos de la organización. La política de denuncia de irregularidades debería:
— desarrollarse con la participación del personal y otras partes interesadas, según corresponda,
— estar en consonancia con otras políticas,
— estar eficientemente disponible como información documentada,
— comunicarse periódicamente en los idiomas apropiados dentro y fuera de la organización,
— estar a disposición de las partes interesadas, según corresponda, teniendo debidamente en cuenta aspectos como la edad, el idioma, las discapacidades, entre otros,
— revisarse a intervalos planificados.
5.3 Roles, responsabilidades y autoridades
5.3.1 Alta dirección y órgano de gobierno
La alta dirección debería asegurarse de que las responsabilidades y autoridades para los roles pertinentes se asignen y se comuniquen dentro de la organización.
© ISO 2021 - © INACAL 2021 - Todos los derechos son reservados
NORMA TÉCNICA PERUANA
NTP-ISO 37002
20 de 56
La alta dirección debería asignar la responsabilidad y autoridad a la función de gestión de la denuncia de irregularidades para:
a) asegurar que el sistema de gestión de la denuncia de irregularidades es conforme a las recomendaciones de este documento;
b) informar sobre el desempeño del sistema de gestión de la denuncia de irregularidades al órgano de gobierno y a la alta dirección.
La alta dirección puede asignar parte o la totalidad de la función de gestión de la denuncia de irregularidades a personas externas a la organización. Si es así, la alta dirección debería asegurarse de que el personal designado dentro de la organización tenga responsabilidad y autoridad suficientes para hacer que la función asignada externamente.
El órgano de gobierno, la alta dirección y todo el personal deberían ser responsables de comprender, cumplir y aplicar las recomendaciones del sistema de gestión de la denuncia de irregularidades, en lo que respecta a su función en la organización.
5.3.2 Función de gestión de la denuncia de irregularidades
La función de gestión de la denuncia de irregularidades debería tener la responsabilidad y autoridad para:
a) diseñar, implementar, operar y mejorar el sistema de gestión de la denuncia de irregularidades;
b) asegurar que el sistema de gestión de la denuncia de irregularidades esté diseñado y dotado de recursos para asegurar una evaluación integral de las denuncias y los riesgos de represión, investigaciones imparciales y oportunas de las denuncias, y disposiciones de protección y apoyo;
c) asegurar, en la medida de lo posible en la organización, que las funciones de investigación y protección se desempeñen de manera independiente (por ejemplo, sean proporcionadas por diferentes personas o áreas), reconociendo al mismo tiempo que cada una puede asignarse a funciones existentes;
d) proporcionar asesoramiento y orientación sobre el sistema de gestión de la denuncia de irregularidades y cuestiones relacionadas con la denuncia de irregularidades;
e) informar sobre una base planificada y ad hoc acerca del desempeño del sistema de gestión de la denuncia de irregularidades al órgano de gobierno, la alta dirección y otras funciones pertinentes, como la función de cumplimiento, según sea apropiado.
La función de gestión de la denuncia de irregularidades deberá evitar que los recursos adecuados (véase 7.1) y sistemas de apoyo personal (como la consejería, mediación, asesoramiento e incluso asistencia legal adecuada) estén limitados al acceso directo y sin restricciones a los recursos adecuados, según sea necesario, para asegurar la imparcialidad, independencia y eficacia del sistema de gestión de la denuncia de irregularidades.
La función de gestión de la denuncia de irregularidades debería tener acceso directo, irrestricto y sin filtros, a la dirección y/o al órgano de gobierno.
NOTA: La asignación de esta función a una persona dedicada exclusivamente a esta función, especialmente en organizaciones más grandes, puede ser el medio más eficaz de asegurar la independencia e imparcialidad, siempre y cuando exista un control sobre el acceso a sistemas de confianza o responsabilidad.
5.3.3 Toma de decisiones delegada
La alta dirección puede delegar la autoridad para tomar decisiones como parte del proceso de denuncia de irregularidades, como, por ejemplo, recibir denuncias de irregularidades, realizar evaluaciones, implementar acuerdos de protección y apoyo, realizar investigaciones y concluir casos. La organización debería establecer y mantener un proceso apropiado de toma de decisiones (incluyendo políticas y controles) que incluya que los tomadores de decisiones tengan un nivel apropiado de autoridad y estén libres de conflictos de intereses reales o potenciales.
La alta dirección debería asegurarse que estos procesos se revisen periódicamente como parte de su función y responsabilidad de la implementación y el cumplimiento del sistema de gestión de la denuncia de irregularidades.
6 Planificación
6.1 Acciones para abordar riesgos y oportunidades
Al planificar el sistema de gestión de la denuncia de irregularidades, la organización debería considerar sus políticas existentes, procesos y funciones existentes (cumplimiento, legal, presencia de informes, compras, regulación, comunicación, entre otros). Las cuestiones referidas en el subpárrafo 4.1 y las necesidades y expectativas referidas en el subpárrafo 4.2 y determinar los riesgos y oportunidades que necesitan abordarse para:
— asegurar que el sistema de gestión de la denuncia de irregularidades pueda lograr los resultados previstos, es decir,
— alentar y facilitar la denuncia de irregularidades;
— apoyar y proteger a los denunciantes y otras partes interesadas pertinentes involucradas;
— asegurar que las denuncias de irregularidades se traten de manera adecuada y oportuna;
— mejorar la cultura organizacional y de gobernanza;
— reducir los riesgos de irregularidades;
— prevenir o reducir efectos no deseados;
— lograr la mejora continua.
La organización debería planificar:
a) acciones para abordar estos riesgos y oportunidades;
b) la manera de:
— integrar e implementar las acciones en sus procesos del sistema de gestión de la denuncia de irregularidades;
— evaluar la eficacia de estas acciones;
— involucrar al personal pertinente y las partes interesadas pertinentes en la planificación del sistema de gestión de la denuncia de irregularidades;
— tratar los casos en los que se denuncien irregularidades de una organización (por ejemplo, a las autoridades pertinentes);
— definir grados de confidencialidad, apoyo y protección que la organización proporcione proporcionalmente dentro del sistema de gestión de la denuncia de irregularidades;
— incorporar y recopilar retroalimentación del denunciante y otras partes interesadas pertinentes.
6.2 Objetivos del sistema de gestión de la denuncia de irregularidades y planificación para alcanzarlos
La organización debería establecer los objetivos de su sistema de gestión de la denuncia de irregularidades en las funciones y niveles pertinentes.
Los objetivos del sistema de gestión de la denuncia de irregularidades deberían:
a) ser coherentes con la política de denuncia de irregularidades;
b) ser medibles (si es posible);
c) tener en cuenta los requisitos aplicables;
d) ser objeto de seguimiento;
e) evaluarse;
f) comunicarse;
g) actualizarse, revisarse, según corresponda o ambos;
h) asegurar la detección temprana y la prevención de irregularidades;
i) estar disponibles como información documentada.
Al planificar cómo lograr los objetivos de su sistema de gestión de la denuncia de irregularidades, la organización debería determinar:
— qué se va a hacer;
— qué recursos se requerirán;
— quién será responsable;
— cuándo se finalizará;
— cómo se hará seguimiento y evaluarán los resultados;
— cómo se actualizarán según corresponda;
— cómo se comunicarán los resultados.
6.3 Planificación de cambios
Cuando la organización determine la necesidad de cambios en el sistema de gestión de la denuncia de irregularidades, los cambios deberían llevarse a cabo de manera planificada (véase 10.1).
7 Apoyo
7.1 Recursos
La organización debería determinar y proporcionar los recursos necesarios para el establecimiento, implementación, mantenimiento y mejora continua del sistema de gestión de la denuncia de irregularidades y para cumplir sus objetivos.
Los recursos pueden incluir, entre otros, recursos financieros y humanos, soluciones de TI, habilidades especializadas, infraestructura organizacional, investigadores, material de referencia actual sobre denuncia de irregularidades, experiencia legal y desarrollo y formación profesional. Estos recursos pueden proporcionarse interna o externamente.
NOTA: Dependiendo del tamaño, la complejidad, la estructura, las operaciones y otras consideraciones de la organización a las que se hace referencia en las subcláusulas 4.1, 4.2 y 4.3, las organizaciones pueden considerar determinar funciones del sistema de gestión de la denuncia de irregularidades adecuadas que incluyan sustentar la recolección, el procesamiento y la investigación de denuncias de irregularidades a terceros partes independientes o proveedores de servicios externos, como proveedores de servicios de denuncia de irregularidades, servicios de contabilidad, servicios desde el punto de vista legal o servicios de auditoría. En tal caso, la organización debería mantener responsabilidad sobre las decisiones tomadas teniendo en cuenta las posibles limitaciones y restricciones externas.
La organización debería:
— determinar la competencia necesaria de las personas que realizan, bajo su control, un trabajo que afecta el sistema de gestión de la denuncia de irregularidades, su desempeño y operaciones;
— asegurarse de que esas personas sean competentes basándose en la educación, formación o experiencia apropiadas;
— asegurar, cuando sea pertinente, que el personal pueda trabajar con el nivel adecuado de imparcialidad;
— tomar acciones para adquirir la competencia necesaria y evaluar la eficacia de las acciones tomadas, cuando sea aplicable.
La información documentada apropiada para proporcionar evidencia de la competencia debería estar disponible.
NOTA: Las acciones aplicables pueden incluir, por ejemplo, la provisión de formación, la tutoría o la reasignación de personas empleadas actualmente, o la contratación de empleados o la contratación externa para prestación de servicios de personas competentes.
Los responsables de realizar las actividades relacionadas con la protección, el apoyo y la investigación deberían presentar, entre otras, las siguientes características:
— fiabilidad;
— inteligencia emocional;
— diplomacia;
— imparcialidad;
— liderazgo;
— ponderación;
— buen juicio.
7.3.1 Generalidades
Las personas que realizan trabajos bajo el control de la organización deberían tomar conciencia de:
— la política de denuncia de irregularidades (véase 5.2);
— los objetivos del sistema de gestión de la denuncia de irregularidades (véase 6.2);
— su contribución a la eficacia del sistema de gestión de la denuncia de irregularidades, incluidos los beneficios de una mejora de desempeño del sistema de gestión de la denuncia de irregularidades (véase 10.2);
— las implicaciones del incumplimiento con los requisitos del sistema de gestión de la denuncia de irregularidades.
7.3.2 Medidas de formación y toma de conciencia del personal
La organización debería proporcionar medidas adecuadas para la toma de conciencia y la formación del personal. Esta formación debería abordar las siguientes cuestiones:
a) el sistema de gestión de la denuncia de irregularidades de la organización, la política, los procesos, los procedimientos, las herramientas y el deber de cumplir;
b) su contribución a la eficacia del sistema de gestión de la denuncia de irregularidades;
c) cómo reconocer las irregularidades;
d) cómo y a quién pueden denunciar sospechas de irregularidades;
e) cómo y a quién pueden hacer preguntas sobre el sistema de gestión de la denuncia de irregularidades;
f) cómo pueden ayudar a prevenir, evitar y proteger frente a conductas perjudiciales;
g) información sobre el apoyo y los recursos disponibles;
h) las protecciones disponibles al utilizar el sistema de gestión de la denuncia de irregularidades;
i) las disposiciones previstas en la legislación local pertinente;
j) el impacto de no denunciar irregularidades y sus posibles consecuencias;
k) información para posibles denunciantes sobre asesoramiento confidencial independiente disponible;
l) el código de conducta o el código de ética de la organización o equivalente, cuando exista;
m) explicar las consecuencias del incumplimiento de la política de denuncia de irregularidades, por ejemplo, cómo la realización deliberada de denuncias falsas y la conducta perjudicial pueden justificar una acción disciplinaria;
Todo el personal debería comprender que:
aunque a menudo puede ser deseable o necesario que los individuos denuncien las irregularidades en primer lugar a su superior, también puede ser deseable o necesario denunciar las irregularidades a través de otros canales proporcionados por la organización, especialmente si su superior no actúa de manera adecuada o existe un conflicto;
la política de denuncia de irregularidades no exime a los superiores de asumir la responsabilidad propia de sus puestos de trabajo;
el sistema de gestión de la denuncia de irregularidades proporciona canales de denuncias y protecciones complementarias, y que los directivos son fundamentales para su aplicación;
la política de denuncia de irregularidades no impide que un individuo denuncie ante las autoridades pertinentes;
el sistema de gestión de la denuncia de irregularidades no sustituye las obligaciones legales locales de informar a las autoridades pertinentes, cuando corresponda.
Se deberían proporcionar al personal medidas para la toma de conciencia sobre la denuncia de irregularidades y formación, en el proceso de su acogida y, de manera regular (a intervalos planificados determinados por la organización), según corresponda a sus funciones, los riesgos de incumplimiento a los que esté expuesto y cualquier circunstancia cambiante.
Las medidas de sensibilización y los programas de formación deberían actualizarse periódicamente, según sea necesario, para reflejar cualquier nueva información pertinente.
La organización debería implementar procedimientos que traten las medidas de toma de conciencia y la formación para los socios de negocio que actúen en su nombre o en su beneficio. Estos procedimientos deberían identificar a los socios de negocio para los que se necesitan medidas de sensibilización y formación, su contenido y los medios por los cuales se debería proporcionar la formación.
La organización debería conservar información documentada de que se ha realizado la formación.
7.3.3 Formación para líderes y otros roles específicos
El órgano de gobierno, la alta dirección, la función de gestión de la denuncia de irregularidades, la dirección y cualquier persona que tenga roles, responsabilidad y autoridad dentro del sistema de gestión de la denuncia de irregularidades deberían estar formados acerca de cómo operar la política y cómo manejar las denuncias de irregularidades.
La formación debería cubrir cuestiones tales como:
a) el alcance de las irregularidades dentro de la política de denuncia;
b) qué es una irregularidad y qué no lo es;
c) los canales para denunciar irregularidades;
d) qué puede esperar un denunciante de la política de denuncia de irregularidades, en términos de comunicación y procesos, y cómo se evaluarán y abordarán las denuncias de irregularidades;
e) qué procesos existen para asegurar la confianza, la imparcialidad y la protección;
f) qué es la confidencialidad, su importancia y cómo mantenerla;
g) el concepto y los tipos de conductas perjudiciales, cómo prevenirlas y abordarlas, incluidas las consecuencias para la persona responsable y las medidas correctivas disponibles para la persona que sufrió la conducta perjudicial;
h) cómo recibir las denuncias de irregularidades;
i) cómo evaluar las denuncias de irregularidades;
j) cómo tratar las denuncias de irregularidades;
k) cómo proporcionar retroalimentación al denunciante;
l) cómo pueden presentarse las interacciones con los denunciantes y cómo responder de manera apropiada;
m) la importancia de una adecuada gestión e impartición, incluida la presunción de inocencia de todas las partes de los informes;
n) cuándo y cómo deberían tomarse las acciones correctivas;
o) las implicaciones que puede haber cuando las denuncias de irregularidades no se gestionan cumpliendo con la política de denuncia de irregularidades;
p) cómo elaborar y guardar (por ejemplo, retener o mantener, según proceda) la documentación relacionada con el sistema de gestión de la denuncia de irregularidades.
7.4 Comunicación
La organización debería determinar las comunicaciones internas y externas pertinentes para el sistema de gestión de la denuncia de irregularidades, incluyendo:
a) qué comunicar;
b) cuándo comunicar;
c) a quién comunicar;
d) cómo comunicar eficazmente;
e) quién comunica;
f) los idiomas en los que se comunicará.
Cuando se introduzca o actualice la política, se deberían tomar las siguientes acciones:
El personal debería ser informado sobre los puntos/cambios clave. La participación de sus directores:
— ayuda a asegurar que la dirección tenga un rol claro en los acuerdos y que se comprenda ampliamente su papel;
— comunica el mensaje, de la propia dirección, de que es seguro y aceptable que su personal denuncie las irregularidades cometidas por los que están encima de ellos.
— Debería enviarse una comunicación desde el órgano de gobierno o la alta dirección (por ejemplo, una carta personalizada, un boletín informativo o una publicación en la intranet, entre otros). Esto proporcionará credibilidad a la iniciativa en toda la organización y es una forma eficaz de demostrar liderazgo (véase 5.1).
Las organizaciones deberían considerar hasta qué punto otras partes interesadas deberían recibir esta comunicación.
La política de denuncias y la información sobre el sistema de gestión de la denuncia de irregularidades deberían comunicarse eficazmente al nuevo personal e incluirse, cuando exista, en el paquete de información para nuevos empleados que se entrega en el momento en el que estos se suman a la organización.
La organización debería utilizar sus canales de comunicación habituales, como boletines, correo electrónico, carteles, publicaciones en intranet o internet, reuniones de personal, murales, cursos de formación, tablones de anuncios internos o volantes manuales, folletos, tarjetas billetera, redes sociales, en persona y cualquier otro vehículo de comunicaciones apropiado.
7.5 Información documentada
7.5.1 Generalidades
El sistema de gestión de la denuncia de irregularidades de la organización debería incluir:
a) la información documentada requerida en este documento;
b) la información documentada que la organización determina como necesaria para la eficacia del sistema de gestión de la denuncia de irregularidades.
NOTA: La extensión de la información documentada para un sistema de gestión de la denuncia de irregularidades puede variar de una organización a otra debido a:
— el tamaño de la organización y a su tipo de actividades, procesos, productos y servicios;
— la complejidad de los procesos y sus interacciones;
— la competencia de las personas.
7.5.2 Creación y actualización de la información documentada
Al crear y actualizar información documentada, la organización debería asegurarse de que lo siguiente sea apropiado:
— la identificación y descripción (por ejemplo, título, fecha, autor o número de referencia);
— el formato (por ejemplo, idioma, versión de software, gráficos) y medios de soporte (por ejemplo, papel, electrónico);
— la revisión y aprobación con respecto a la idoneidad y adecuación;
— las medidas de protección de datos.
NOTA: Es útil configurar un sistema de revisión regular de todas las denuncias no resueltas, según el tamaño y la complejidad de la organización. Además, asegurando que todos los casos son tratados de acuerdo con la política de denuncia de irregularidades es útil para identificar tendencias y áreas de mejora.
7.5.3 Control de la información documentada
La información documentada requerida por el sistema de gestión de la denuncia de irregularidades y recomendada por este documento debería controlarse para asegurarse que:
a) esté disponible y sea idónea para su uso, donde y cuando se necesite;
b) esté protegida adecuadamente (por ejemplo, contra pérdida de confidencialidad, uso indebido o pérdida de integridad).
Para el control de la información documentada, la organización debería tratar las siguientes actividades, según corresponda:
— la distribución, el acceso, la recuperación y el uso;
— el almacenamiento y la preservación, incluida la preservación de la legibilidad;
— el control de cambios (por ejemplo, control de versiones);
— la conservación y la disposición.
La información documentada de origen externo que la organización determina como necesaria para la planificación y operación del sistema de gestión de la denuncia de irregularidades se debería identificar, según sea apropiado, y controlar.
La función de gestión de la denuncia de irregularidades debería asegurar que la información documentada se protege y mantiene de acuerdo con la política de retención de datos de la organización (véase también la protección de datos en el subcapítulo 7.5.4), incluyendo:
— todas las denuncias de irregularidades, como se describe en el subcapítulo 8.2;
— las acciones tomadas;
— los resultados de las investigaciones realizadas;
— otra documentación relevante.
NOTA: El acceso puede implicar una decisión con respecto al permiso para ver solo la información documentada, el permiso y la autoridad para ver y cambiar la información documentada.
7.5.4 Protección de datos
Se debería considerar la protección de datos, ya que puede tener un impacto en los aspectos identificados del sistema de gestión de la denuncia de irregularidades. Ejemplos de áreas impactadas incluyen, pero no se limitan, a las siguientes:
a) identificación de quién puede acceder a los datos pertinentes y quién aprueba dicho acceso;
b) gestión de datos (seguridad, retención, eliminación, acceso, modificación de información de identificación personal y transferencias internacionales de datos);
c) derechos de protección de datos del denunciante, el sujeto o los sujetos que aparecen en la denuncia y otras partes interesadas implicadas en la irregularidad;
d) aviso sobre los datos recopilados;
e) alcance del sistema de gestión de la denuncia de irregularidades;
f) si se permite o no el anonimato.
Cuando una organización está considerando la posibilidad de subcontratar a un proveedor externo de denuncias de irregularidades, se debería realizar la debida diligencia para asegurar que los más altos estándares de protección de datos disponibles sean aplicables por defecto y por diseño.
7.5.5 Confidencialidad
Deberían establecerse procesos para asegurar que todas las partes interesadas, incluido el denunciante y cualquier otro sujeto o sujetos que aparecen en la denuncia, disfruten de confidencialidad. La identidad del denunciante y de las partes interesadas pertinentes no debería revelarse a nadie más allá de lo estrictamente necesario, sin su consentimiento.
Cuando sea muy probable que la identidad de un denunciante pueda ser conocida (debido a que previamente ha planteado inquietudes abiertamente o a que la naturaleza de la información hace que sea fácilmente identificable) o debiera ser revelada porque así lo exige la ley, estas circunstancias deberían notificarse al denunciante con anterioridad, y potencialmente deberían tomarse medidas adicionales para protegerle de posibles perjuicios.
Al establecer procesos, incluidos procedimientos y herramientas, para asegurar la confidencialidad de un denunciante y otras partes interesadas implicadas en el proceso de denuncia de irregularidades, incluido cualquiera de los sujetos que aparecen en la denuncia, las organizaciones deberían considerar lo siguiente:
a) una serie de características que pueden identificar inadvertidamente a una persona (nombre, voz, género, descripción del puesto, departamento, entre otros);
) las circunstancias de la irregularidad denunciada pueden llevar inadvertidamente a la identificación del denunciante;
c) la forma en que una organización investiga la denuncia de irregularidades también puede identificar inadvertidamente al denunciante;
d) la forma en que se denuncia un resultado también puede identificar al denunciante;
e) la forma en que una organización recopila datos sobre indicadores para la evaluación (véase 9.1.2) puede identificar inadvertidamente a los denunciantes que han informado de manera confidencial;
f) hacer saber a los denunciantes que, cuando se permite la denuncia confidencial o anónima, es posible que se requiera revelar su identidad durante la investigación para seguir adelante;
g) hacer que los denunciantes sean conscientes de que cuando se permite la denuncia anónima, ésta puede limitar la capacidad de investigar y proteger al individuo;
h) cuando se permite el anonimato, las organizaciones pueden definir mecanismos para permitir la comunicación con el denunciante.
Los procedimientos deberían incluir cómo tratar los casos en los que se ha violado la confidencialidad o se ha intentado identificar al denunciante o a las partes interesadas pertinentes. Esto incluye brindar apoyo y tomar medidas disciplinarias.
8 Operación
8.1 Planificación y control operacional
La organización debería asegurar que su sistema de gestión de la denuncia de irregularidades incluye los siguientes procesos, como se muestra en la Figura 3:
— recepción de denuncias de irregularidades;
— evaluación de la mejor manera de abordar las denuncias de irregularidades y proteger y apoyar al denunciante;
— tratamiento de las denuncias de irregularidades y las necesidades de protección y apoyo de las personas involucradas;
— conclusión de los casos de denuncia de irregularidades.
— evaluación de la mejor manera de abordar las denuncias de irregularidades y proteger y apoyar al denunciante;
— tratamiento de las denuncias de irregularidades y las necesidades de protección y apoyo de las personas involucradas;
— conclusión de los casos de denuncia de irregularidades.
Proporcionar retroalimentación a los denunciantes puede ayudar a generar y mantener la confianza, y brindar una oportunidad para que el denunciante comunique información adicional. La retroalimentación debería gestionar las expectativas y hacerse en un tono empático. Debería incluir:
a) la información sobre el estado de la denuncia;
b) los pasos siguientes (si los hay).
Se debería proporcionar retroalimentación en cada paso del proceso de denuncia de irregularidades (véase la Figura 3).
El acuse de recibo debería ser oportuno (por ejemplo, un acuse de recibo automático inmediato, seguido de un mensaje personalizado dentro de los tres días hábiles). Si un paso en particular está tardando más de lo esperado, se debería hacer una retroalimentación intermedia al denunciante para actualizar los plazos.
El nivel de detalle proporcionado al denunciante sobre las acciones tomadas por la organización como resultado de la denuncia de irregularidades que se pueda dar en la retroalimentación puede limitarse para evitar comprometer cualquier investigación.
EJEMPLO: La retroalimentación puede incluir:
— confianza [por ejemplo, “gracias, nos tomamos su denuncia en serio” (recepción); “Sin embargo, la información no es útil (pregunta)” (evaluación); “Comenzaremos una investigación, ¿estaría de acuerdo en hablar directamente con un investigador?” (evaluación); “¿Quiere proporcionar información adicional?” (evaluación)];
— establecer canales para dar más información (por ejemplo, ofrecer la posibilidad de continuar cambiando la forma de comunicarse, por ejemplo, la denuncia se realizó en línea, ofrecer un canal para hablar directamente en persona);
— próximos pasos en el proceso y posibles resultados;
— período de tiempo para los próximos pasos (cuando pueden esperarse más retroalimentaciones).
— motivos del limitado detalle de la retroalimentación;
— información sobre el apoyo disponible y las medidas tomadas para su protección, incluidas las medidas para proteger su identidad o su anonimato;
— información sobre las responsabilidades de la organización;
— información sobre las responsabilidades del denunciante.
Las organizaciones deberían asegurarse de que cada paso del proceso de denuncia de irregularidades se inicie sin demoras injustificadas y se complete en un plazo de tiempo razonable (véase la Figura 3).
La organización debería planificar, implementar y controlar los procesos necesarios para cumplir con las recomendaciones y para implementar las acciones determinadas en el capítulo 6, mediante:
— el establecimiento de los criterios para los procesos;
— la implementación del control de los procesos de acuerdo con los criterios.
La información documentada debería estar disponible en la medida necesaria para tener la confianza de que los procesos se han llevado a cabo según lo planificado.
La organización debería controlar los cambios planificados (véase 6.3) y revisar las consecuencias de los cambios no previstos, tomando acciones para mitigar cualquier efecto adverso, según sea necesario.
La organización debería asegurarse de que los procesos, productos o servicios proporcionados externamente, que son pertinentes para el sistema de gestión de la denuncia de irregularidades, estén controlados.
8.2 Recepción de denuncias de irregularidades
Las organizaciones deberían identificar, implementar, comunicar y mantener canales de denuncia visibles, accesibles y seguros. En la medida de lo posible, al menos un canal debería estar fuera de la jerarquía de la dirección. Los canales de denuncia pueden ser canales de denuncia internos alternativos o canales de denuncia operados por un proveedor de servicios de denuncia de irregularidades subcontratado.
NOTA: Visible y accesible significa que los denunciantes pueden encontrar y utilizar fácilmente los canales de denuncias disponibles.
Los métodos comunes para recibir denuncias pueden incluir conversaciones personales, el uso de líneas telefónicas internas o externas, informes en línea, correo electrónico, aplicaciones digitales o móviles, correo postal o buzón interno.
EJEMPLO 1: En los canales personales, incluida la presentación de denuncia a diferentes funciones de la dirección (por ejemplo, director de línea, alta dirección, órgano de gobierno, responsable de protección de datos, responsable de seguridad ambiental y/o salud, oficial de compliance o defensor del pueblo de una organización):
— asegurar que las conversaciones se desarrollen en un lugar donde se garantice la confidencialidad;
— aclarar y capturar información más útil del denunciante, así como generar confianza y empatía.
EJEMPLO 2: Para los canales telefónicos, los siguientes elementos pueden aumentar la accesibilidad y la fiabilidad:
— número de teléfono gratuito exclusivo;
— capacidad multilingüe, cuando sea pertinente;
— disponibilidad fuera del horario de trabajo habitual en la organización;
— el uso de un operador humano, que pueda aclarar y tomar información más útil del denunciante, así como generar confianza y empatía;
— una ubicación físicamente segura para los operadores, que también puede aumentar la confidencialidad;
— que la conversación no sea grabada sin el consentimiento del denunciante.
EJEMPLO 3: Los canales de denuncia en línea, digitales o a través de aplicaciones móviles pueden:
— facilitar la comunicación bidireccional segura, anónima o confidencial;
— ofrecer al denunciante la opción de cargar archivos adjuntos;
— ser capaz de utilizar varios idiomas cuando sea pertinente.
EJEMPLO 4: Las denuncias por correo pueden enviarse a una dirección específica que se maneje de forma segura. Cuando los buzones internos se utilicen como canal en un sistema de gestión de la denuncia de irregularidades, es importante que las organizaciones se aseguren que pueden mantener el anonimato o la confidencialidad, por ejemplo, que no estén dentro del alcance de ninguna cámara de seguridad para evitar identificar inadvertidamente al denunciante.
Independientemente del canal:
— la organización puede sugerir una estructura que puedan tener las denuncias, sin que ello sea obligatorio;
— la información debería tratarse de acuerdo con el subcapítulo 7.5.
La dirección debería estar formada para identificar y tratar adecuadamente las denuncias de irregularidades (véase 7.3).
NOTA: La información que puede preguntarse al denunciante puede incluir lo siguiente.
— ¿Dónde tuvo lugar la irregularidad (jurisdicción)?
— ¿Cuándo ocurrió la irregularidad (pasado, presente, futuro, en curso)?
— ¿Quién está involucrado en la irregularidad?
— ¿La irregularidad se ha denunciado anteriormente? Si es así, ¿qué denunció y cuándo? ¿y a quién?
— ¿Qué acción tomaron?
— ¿Cuál es el impacto para la organización desde su punto de vista?
— ¿La dirección está involucrada o es conocedora de la irregularidad?
— ¿Existe algún riesgo para usted o para los demás?
— ¿Tiene algún documento u otra evidencia, como fotografías, para respaldar la denuncia?
— ¿Hay alguien más con conocimiento de primera mano con quien podamos ponernos en contacto?
— ¿He entendido correctamente sus inquietudes?
— ¿Alguien ha tratado de ocultar esto o ha tratado de disuadirlo de comunicar su inquietud? Si es así, díganos quién y cómo.
Se deberían gestionar las expectativas del denunciante. No se debería pedir a los denunciantes que recopilen de forma proactiva más pruebas de irregularidades. Se debería informar al denunciante sobre lo que se puede esperar en términos de retroalimentación, tiempo de respuesta, disposiciones y limitaciones operativas y legales (por ejemplo, alcance, confidencialidad y anonimato). Se debería acordar con el denunciante un canal apropiado para una mayor comunicación.
8.3 Evaluación de denuncias de irregularidades
8.3.1 Evaluación de la irregularidad denunciada
La organización debería identificar, implementar y mantener uno o varios procesos que aseguren la evaluación, triaje y gestión imparciales de las denuncias de irregularidades. Las decisiones de la evaluación deberían documentarse (véase 7.5).
Las denuncias deberían clasificarse y priorizarse en función del riesgo (es decir, la probabilidad de la irregularidad y su impacto potencial).
NOTA: Al evaluar las denuncias, se pueden considerar los siguientes aspectos.
— ¿Está la irregularidad incluida dentro del alcance de la política de denuncia de irregularidades? Si no es así, ¿necesitaría tratarse de acuerdo con otro procedimiento o abordarse de otra manera? (véase 4.3);
— ¿Es la irregularidad un delito penal? ¿Es necesario remitir la irregularidad a las autoridades policiales o reguladoras?
— ¿Cuándo sucedió la irregularidad o está a punto de suceder?
— ¿Existe una necesidad inmediata de detener o suspender las actividades del negocio?
— ¿Existe un riesgo inmediato para la salud y la seguridad?
— ¿Existe un riesgo inmediato para los derechos humanos o el medio ambiente?
— ¿Existe una necesidad inmediata de asegurar y proteger las pruebas antes de eliminarlas o destruirlas?
— ¿Existe algún riesgo para las funciones, los servicios y la reputación de la organización?
— ¿La continuidad del negocio se verá afectada por la denuncia que se está investigando?
— ¿Podría haber efectos de los medios de comunicación en la denuncia de irregularidades?
— ¿Cómo se puede gestionar este proceso de evaluación, asegurando al mismo tiempo la confianza, la protección y la imparcialidad?
— ¿Hay disponible más información que lo corrobore?
— ¿Cuál es la naturaleza de la irregularidad (es decir, tipo, frecuencia, prevalencia, función y antigüedad de los sujetos de la denuncia)?
— ¿Existe la posibilidad de que se denuncie la irregularidad fuera de la organización?
— ¿Se ha denunciado previamente la irregularidad?
— ¿Cómo obtuvo el denunciante la información: la información es de primera mano o proviene de rumores?
El resultado de evaluar la denuncia de irregularidades puede incluir una o más de las siguientes acciones:
a) involucrar a otras funciones (por ejemplo, recursos humanos, legal, auditoría interna, compliance, salud y seguridad, finanzas), si es necesario, y si esto no compromete la confianza, imparcialidad y protección de la investigación, para apoyar la investigación;
b) recopilar más información;
c) tomar medidas preliminares (por ejemplo, suspensión del tema del informe, pruebas seguras);
d) investigar la denuncia de irregularidades;
e) consultar o coordinar con otros procedimientos;
f) informar a las autoridades pertinentes (por ejemplo, organismo regulador o de aplicación de la ley);
g) concluir el caso (véase 8.5).
La decisión y, cuando sea posible, las razones de la misma deberían comunicarse al denunciante (véase 8.1).
8.3.2 Evaluación y prevención de riesgos de conducta perjudicial
Cuando se realiza una denuncia, las organizaciones deberían evaluar el riesgo de perjuicio para el denunciante y otras partes interesadas pertinentes, considerando, por ejemplo, lo siguiente.
a) ¿Cuál es la probabilidad de que se mantenga la confidencialidad? (por ejemplo, ¿quién más tiene conocimiento? ¿A quién más se han contado? ¿La naturaleza de la información revela su identidad? ¿Es la única persona que tiene acceso a la información? ¿Se trata de un delito penal en el que será necesario revelar evidencias, así como la identidad del denunciante?).
b) ¿El denunciante está ansioso por el perjuicio? ¿Ha ocurrido ya una conducta perjudicial o se tiene conocimiento de alguna amenaza inmediata?
c) ¿El denunciante está involucrado en la irregularidad o esta se encuentra dirigida a él?
d) ¿La denuncia involucra múltiples tipos de irregularidades?
e) ¿Cómo obtuvo el denunciante la información?
f) ¿Cuál es la relación del denunciante con el sujeto de la denuncia?
g) ¿Cuál es la relación del denunciante con la organización?
Dependiendo de los riesgos identificados, las organizaciones deberían identificar e implementar estrategias y acciones para prevenir el perjuicio contra el denunciante y otras partes interesadas pertinentes, por ejemplo:
— proteger su identidad;
— compartir información sobre la base de que sea algo estrictamente necesario;
— proporcionar apoyo durante todo el proceso, incluida la comunicación regular, con consideración y sistemas especiales hacia las personas vulnerables (por ejemplo, niños, jóvenes, trabajadores migrantes, personas con problemas de salud mental o dificultades de aprendizaje y personas mayores);
— cambiar el lugar de trabajo o los mecanismos de reporte de información;
— advertir a los sujetos de la denuncia o a las partes interesadas de que una conducta perjudicial o la violación de la confidencialidad puede ser una falta disciplinaria.
El nivel de protección y las acciones relacionadas que se tomen dependen del tipo y el momento de la denuncia de irregularidades y de las posibles consecuencias de las irregularidades (por ejemplo, sobre el sujeto de la denuncia y otras partes interesadas pertinentes).
Se debería hacer seguimiento y revisar los riesgos en varios puntos del proceso, por ejemplo, cuando se tome la decisión de investigar, durante la investigación de la denuncia y una vez conocido el resultado de la investigación, así como, cuando corresponda, después de que el caso se haya cerrado.
8.4 Tratamiento de las denuncias de irregularidades
8.4.1 Tratamiento de las irregularidades denunciadas
Las organizaciones deberían identificar, implementar, comunicar y mantener un proceso que asegure que las investigaciones sean realizadas de manera imparcial por personal debidamente calificado. Deberían ser justas e imparciales con la unidad de negocio en cuestión, el denunciante y el sujeto de la denuncia.
Se debería respetar el debido proceso en cualquier investigación que surja de una denuncia de irregularidades. Por ejemplo, la investigación debería llevarse a cabo sin prejuicios y el sujeto de la denuncia de irregularidades debería tener el derecho a responder según sea necesario y la opción de ser asistido.
En interés, tanto de la imparcialidad real, como de la percibida, se debería considerar, según corresponda, la posibilidad de emplear investigadores externos en condiciones de igualdad con la organización, en particular cuando no se disponga de habilidades de investigación especializadas internamente o cuando no se asegure la imparcialidad de un investigador interno. En la medida de lo posible, debería adoptarse un enfoque multidisciplinario cuando sea requerido. La gestión de la investigación profesional incluye, entre otros, pero no se limita a, los siguientes principios.
a) Las investigaciones deberían contar con los recursos adecuados.
b) Deberían definirse y documentarse claramente los términos de referencia y alcance.
c) El proceso de investigación debería ser lo suficientemente sólido como para soportar una revisión administrativa, operativa y legal. Se debería mantener una ruta de auditoría que relacione las actividades de investigación con los planes aprobados. La investigación debería considerar cualquier sujeto de la denuncia como presunto inocente.
d) La investigación no debería interferir directa o indirectamente con una investigación judicial. Debería cooperar cuando sea apropiado o requerido.
e) La investigación debería asegurar y proteger las pruebas.
f) Los datos personales deberían gestionarse de acuerdo con el subcapítulo 7.5.4 (protección de datos).
g) La investigación debería proteger cualquier información que pueda identificar a cualquier sujeto de la denuncia.
h) Todas las investigaciones deberían poder escalarse y adaptarse a medida que las circunstancias puedan cambiar según avance la investigación.
i) La comunicación debería ser clara e inequívoca, equilibrando los intereses de las organizaciones y los denunciantes.
j) Las organizaciones deberían comunicar regularmente, incluso con los pasos en los que se produce un progreso material, en forma de retroalimentación al denunciante.
8.4.2 Protección y apoyo al denunciante
Se debería brindar protección y apoyo práctico al denunciante. La protección y el apoyo deberían comenzar tan pronto como se reciba una denuncia de irregularidades y continuar durante y tras el proceso de la denuncia. La responsabilidad para la protección y el apoyo debería asignarse claramente dentro de la organización.
La organización debería proteger a los denunciantes de posibles perjuicios por la denuncia de irregularidades que se lleven a cabo internamente o externamente ante la autoridad pertinente. Toda política debería dejar claro que el intento de identificar al denunciante o de llevar a cabo una conducta perjudicial en relación con una denuncia no se tolera y es un asunto disciplinario.
La protección implica dar todos los pasos razonables para evitar que se produzca un perjuicio o para contener un perjuicio ya identificado para evitar un daño mayor. Las estrategias implementadas dependerán de las posibles fuentes de daño identificadas a través de la evaluación del riesgo (véase 8.3.2).
El apoyo práctico implica alentar y tranquilizar al denunciante acerca del valor de denunciar irregularidades y dar los pasos para ayudar a su bienestar. El apoyo puede ser emocional, financiero, legal o relativo a la reputación.
La alta dirección es responsable de asegurar el apoyo y la protección. La función de gestión de la denuncia de irregularidades (véase 5.3.2) es responsable de asegurar que las medidas de apoyo y protección se implementen en la organización.
8.4.3 Tratamiento de la conducta perjudicial
Los denunciantes pueden denunciar conductas perjudiciales a través de los canales descritos en el subcapítulo 8.2, así como al personal responsable de apoyarlos y protegerlos.
Si una organización se da cuenta o sospecha que un denunciante se enfrenta a una conducta perjudicial, debería evaluar qué acción debería tomarse. Dicha evaluación debería hacer una consideración especial hacia las personas vulnerables (por ejemplo, niños, jóvenes, trabajadores migrantes, personas mayores).
Si la conducta perjudicial amerita una investigación, esta debería ser realizada por personal imparcial.
Si se establece que se está produciendo o ha ocurrido una conducta perjudicial, la organización debería tomar medidas razonables para detener y abordar la conducta perjudicial y apoyar al denunciante y otras partes interesadas pertinentes.
La reparación puede ser necesaria. En la medida de lo posible, debería restituirse al denunciante a la situación que habría tenido de no haber sufrido el perjuicio. Por ejemplo:
a) ubicando al denunciante en el mismo puesto o en puesto equivalente, con igual salario, responsabilidades, posición y reputación;
b) justo acceso a promoción, formación, oportunidades, beneficios y derechos;
c) restitución a la posición comercial anterior en relación con la organización;
d) retirando un litigio;
e) disculpas por cualquier perjuicio sufrido;
f) indemnización por daños.
La organización debería tomar las medidas disciplinarias apropiadas contra cualquier persona que sea responsable de una conducta perjudicial.
8.4.4 Protección de los sujetos de la denuncia
Las organizaciones deberán identificar e implementar estrategias para proteger a los sujetos de la denuncia, por ejemplo:
a) proteger la identidad (en la medida de lo posible);
b) llevar a cabo las investigaciones, de tal manera que se preserve la confidencialidad en la medida en que sea posible y apropiado para asegurar que los sujetos no queden expuestos a daños en lo relativo a la reputación (la información se comparte sobre la base de que sea algo estrictamente necesario);
c) asegurar el debido proceso, incluyendo una investigación y asistencia oportunas, justas, imparciales y confidenciales;
d) brindar apoyo durante todo el proceso, incluyendo una comunicación regular;
e) si no se obtuvo evidencia de irregularidades, se pueden considerar medidas de remediación adicionales, por ejemplo, medidas relativas a la reputación, financieras o relativas a la situación laboral.
8.5 Conclusión de casos de denuncia de irregularidades
La conclusión de un caso de denuncia de irregularidades representa el final del procesamiento de la denuncia de irregularidades.
Un caso de denuncia de irregularidades pasará a la fase de conclusión cuando no se considere necesaria ninguna acción en respuesta a la denuncia, cuando la determinación de los hechos deje claro que no se justifica una investigación adicional, cuando la denuncia se remita a otro proceso que deba ser resuelto, o al final de cualquier investigación (se encuentren o no irregularidades).
La conclusión de casos de denuncia de irregularidades puede implicar:
a) la conclusión de una investigación, incluyendo la emisión de conclusiones;
b) la toma de acciones en respuesta a cualquier recomendación (por ejemplo, revisión de políticas, acciones disciplinarias);
c) la comunicación con personal responsable de apoyar y proteger al denunciante y otras partes interesadas pertinentes;
d) la identificación de cualquier medida de protección en curso;
e) la recopilación de la retroalimentación del denunciante y de otras partes interesadas pertinentes;
f) la identificación de las lecciones aprendidas, así como de los controles que necesiten mejorarse en relación con las políticas, los procedimientos o las prácticas;
g) la consideración de cómo, y de qué forma, una denuncia de irregularidades puede usarse, para el aprendizaje organizacional, como un estudio de caso;
h) la conservación de información documentada (véase 7.5) con respecto a la conclusión del caso, incluyendo la fecha de cierre, quién aprobó el cierre y qué acciones se tomaron.
Cuando se detecte una irregularidad, la organización debería:
— tomar las medidas adecuadas para resolver las irregularidades y supervisar continuamente la eficacia de esas medidas, de conformidad con las políticas organizacionales adecuadas;
— imponer las sanciones apropiadas;
— remitir los asuntos a las autoridades pertinentes cuando sea apropiado y hacer seguimiento de los resultados o decisiones tomadas.
Es posible que la organización desee considerar cómo reconocer y recompensar al denunciante por denunciar irregularidades, con el consentimiento previo del denunciante (que incluye, entre otros, la expresión de gratitud y elogio público por parte de la alta dirección).
Las acciones planificadas y tomadas, y cualquier conclusión, deberían comunicarse de manera oportuna al denunciante y a las partes interesadas pertinentes. Esto debería incluir cualquier guía independiente disponible para revisar el manejo del caso de denuncia de irregularidades.
Cuando existan restricciones legales sobre lo que es posible comunicar acerca de las acciones y las conclusiones (por ejemplo, cuando la irregularidad constituye un delito), se deberían notificar al denunciante, cuando sea posible, las razones de la comunicación limitada.
NOTA: Puede ser necesario volver a abrir un caso cuando esté justificado.
9 Evaluación del desempeño
9.1 Seguimiento, medición, análisis y evaluación
9.1.1 Generalidades
La organización debería determinar:
— qué necesita seguimiento y medición;
— quién es responsable del seguimiento;
— los métodos de seguimiento, medición, análisis y evaluación necesarios para asegurar resultados válidos;
— cuándo se deberían realizar el seguimiento y la medición;
— cuándo se deberían analizar y evaluar los resultados del seguimiento y la medición;
— a quién y cómo se debería comunicar dicha denuncia.
La información documentada para proporcionar evidencia de los resultados debería estar disponible.
La organización debería evaluar el desempeño y la eficacia del sistema de gestión de la denuncia de irregularidades.
9.1.2 Indicadores de evaluación
Las organizaciones pueden considerar la forma de poder hacer seguimiento y medir el desempeño de su sistema de gestión de la denuncia de irregularidades a través de la referencia a varios indicadores cuantitativos y cualitativos. La siguiente es una lista no exhaustiva de ejemplos de asuntos que una organización puede seguir y medir en el contexto de su sistema de gestión de la denuncia de irregularidades:
a) el número de denuncias de irregularidades recibidas por país, región y departamento;
b) la naturaleza de la irregularidad denunciada;
c) el tiempo necesario para acusar recibo de la denuncia inicial de irregularidades;
d) para cada paso del proceso, el tiempo dedicado a su completación;
e) las proporciones relativas a lo largo del tiempo de las denuncias recibidas a través de las líneas de denuncias normales, los sistemas de denuncias alternativos internos y los sistemas de denuncias alternativas externos;
f) la retroalimentación de los denunciantes, incluida la satisfacción con el sistema de gestión de la denuncia de irregularidades y sugerencias de mejora;
g) la encuesta periódica al personal sobre el conocimiento y la confianza en el sistema de gestión de la denuncia de irregularidades;
h) la proporción de denuncias que se sustentan en una investigación frente a las que no se sustentan;
i) la proporción de denuncias que quedan fuera del alcance del sistema de gestión de la denuncia de irregularidades;
j) la proporción de denuncias en los que la información proporcionada era deliberadamente falsa;
k) los resultados en materia de empleo en relación con los denunciantes (por ejemplo, el seguimiento de la proporción de denunciantes que se abandonan la organización después de haber realizado una denuncia de irregularidades y las razones de su salida);
l) la proporción de denuncias que acarrean acciones correctivas;
m) el tiempo medio de investigación/cierre de los casos;
n) gravedad de las cuestiones planteadas;
o) la eficacia y el valor de las acciones correctivas tomadas.
La organización puede comparar el desempeño de su sistema de gestión de la denuncia de irregularidades para cada uno de sus elementos con una serie de indicadores correspondientes a diferentes períodos de reporte para ayudar a la mejora continua (véase 10.2). Al evaluar los indicadores, se debería ser especialmente cuidadoso antes de llegar a determinadas conclusiones (por ejemplo, el número de denuncias recibidas no siempre es un fiel reflejo del nivel de irregularidades que se producen; la ausencia de denuncias debería generar dudas sobre la eficacia del sistema).
9.1.3 Fuentes de información
Las fuentes de información para la evaluación del sistema de gestión de la denuncia de irregularidades pueden incluir:
a) denuncias entrantes;
b) expedientes de casos de investigación;
c) datos de encuestas;
d) retroalimentación de denunciantes y partes interesadas pertinentes, tales como sujetos de la denuncia, testigos, investigadores, la dirección, entre otros;
e) análisis de indicadores;
f) otra documentación pertinente disponible.
El seguimiento y la medición del desempeño es un proceso continuo que variará según la organización e incluye:
— evaluación cualitativa del funcionamiento del sistema de gestión de la denuncia de irregularidades de la organización;
— evaluación cuantitativa periódica de los indicadores de desempeño (de acuerdo con los ejemplos establecidos en el subcapítulo 9.1.1).
El proceso debería mantener la confidencialidad.
9.2 Auditoría interna
9.2.1 Generalidades
La organización debería llevar a cabo auditorías internas a intervalos planificados para proporcionar información acerca de si el sistema de gestión de la denuncia de irregularidades:
a) es conforme con:
— los requisitos propios de la organización para su sistema de gestión de la denuncia de irregularidades;
— las recomendaciones de este documento;
b) se implementa y mantiene eficazmente.
9.2.2 Programa de auditoría interna
La organización debería planificar, establecer, implementar y mantener un programa o varios programas de auditoría, que incluyan la frecuencia, los métodos, las responsabilidades, los requisitos de planificación y la elaboración de denuncias.
Al establecer el programa de auditoría interna, la organización debería considerar la importancia de los procesos involucrados y los resultados de auditorías previas.
La organización debería:
a) definir los objetivos, criterios y alcance para cada auditoría;
b) seleccionar los auditores y realizar auditorías para asegurarse de la objetividad y la imparcialidad del proceso de auditoría;
c) asegurarse de que los resultados de las auditorías se comuniquen a la dirección pertinente;
d) asegurarse de que los resultados de la auditoría se consideren y se actúe según corresponda.
La información documentada debería estar disponible para proporcionar evidencia de la implementación del programa o programas de auditoría y de los resultados de las auditorías.
9.3 Revisión por la dirección
9.3.1 Generalidades
La alta dirección debería revisar el sistema de gestión de la denuncia de irregularidades de la organización e informar de sus conclusiones al órgano de gobierno, a intervalos planificados, para asegurarse de su idoneidad, adecuación y eficacia continuas.
9.3.2 Entradas para la revisión por la dirección
La revisión por la dirección debería incluir:
a) el estado de las acciones de las revisiones por la dirección previas;
b) los cambios en las cuestiones externas e internas que son pertinentes para el sistema de gestión de la denuncia de irregularidades;
c) los cambios en las necesidades y expectativas de las partes interesadas que son pertinentes para el sistema de gestión de la denuncia de irregularidades;
d) la información sobre el desempeño del sistema de gestión de la denuncia de irregularidades, incluidas las tendencias relativas a:
— las no conformidades y las acciones correctivas;
— los resultados de seguimiento y medición;
— los resultados de auditoría;
— las oportunidades de mejora y aprendizaje continuos;
9.3.3 Resultados de la revisión por la dirección
Los resultados de la revisión por la dirección deberían incluir las decisiones relacionadas con las oportunidades de mejora continua y cualquier necesidad de cambios en el sistema de gestión de la denuncia de irregularidades.
La información documentada para proporcionar evidencia de los resultados de las revisiones por la dirección debería estar disponible.
10 Mejora
10.1 Mejora continua
La organización debería mejorar continuamente la idoneidad, adecuación y eficacia del sistema de gestión de la denuncia de irregularidades. Cuando una organización determine que existe la necesidad de un cambio en el sistema de gestión de la denuncia de irregularidades, dicho cambio debería llevarse a cabo de manera planificada (véase 6.3) y debería considerar lo siguiente:
a) el propósito de los cambios y sus posibles consecuencias;
b) la integridad del sistema de gestión de la denuncia de irregularidades;
c) la disponibilidad de recursos;
d) la asignación o reasignación de responsabilidades y autoridad;
e) el grado, el alcance y el plazo de implementación de los cambios;
f) el alcance del sistema de gestión de la denuncia de irregularidades.
10.2 No conformidades y acciones correctivas
Cuando ocurra una no conformidad con el sistema de gestión de la denuncia de irregularidades, la organización debería:
a) reaccionar ante la no conformidad y, según sea aplicable:
— tomar acciones para su control o corrección;
— hacer frente a las consecuencias;
b) evaluar la necesidad de acciones para eliminar las causas de la no conformidad, con el fin de que no vuelva a ocurrir ni ocurra en otra parte, mediante:
— la revisión de la no conformidad;
— la determinación de las causas de la no conformidad;
— la determinación de si existen no conformidades similares, o que potencialmente puedan ocurrir;
— implementar cualquier acción necesaria;
— revisar la eficacia de cualquier acción correctiva tomada;
c) si fuera necesario; hacer cambios en el sistema de gestión de la denuncia de irregularidades. Las acciones correctivas deberían ser apropiadas a los efectos de las no conformidades encontradas. La información documentada debería estar disponible como evidencia de:
— la naturaleza de las no conformidades y cualquier acción posterior tomada;
— los resultados de cualquier acción correctiva.
[1] ISO 19011, Directrices para la auditoría de los sistemas de gestión
[2] ISO/IEC 27001, Information technology — Security techniques — Information security management systems — Requirements
[3] ISO/IEC 27018, Information technology — Security techniques — Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors
[4] ISO 31000, Gestión del riesgo — Directrices
[5] ISO 37001:2016, Sistemas de gestión antisoborno — Requisitos con orientación para su uso
[6] ISO 37301, Sistemas de gestión del compliance — Requisitos con orientación para su uso
[7] ISO/IEC 38500:2015, Information technology — Governance of IT for the organization
[8] ISO Guide 73, Risk management — Vocabulary