ISO/TS 37008:2023
INVESTIGACIONES INTERNAS DE LAS ORGANIZACIONES-ORIENTACIÓN
INVESTIGACIONES INTERNAS DE LAS ORGANIZACIONES-ORIENTACIÓN
👇Unete a nuestra comunidad ISO37001:2025 de WhatsApp donde compartimos más información de valor y noticias de los eventos de actualización de la norma👇(cupos limitados)
SALA DE LECTURA ACADEMICA
Nota Importante👇se comparte la Sala de Lectura de la Comunidad profesional ISOS con fines academicos y educativos , la norma ISO deben ser adquiridas y compradas formalmente en el sitio web oficial 👇 https://www.iso.org
La investigación interna es parte integrante de la gestión organizacional. La investigación interna es un proceso profesional de determinación de hechos, iniciado por o para una organización, con el fin de establecer los hechos en relación con una supuesta o presunta irregularidad, mala conducta o incumplimiento (como soborno, actividades fraudulentas, acoso, violencia o discriminación). Las investigaciones internas permiten a una organización:
tomar decisiones informadas si se han infringido leyes, reglamentaciones, códigos del sector, políticas internas, procedimientos, procesos, la política de compliance corporativa y/o los valores y la ética de la organización;
comprender las causas que provocaron los incumplimientos mencionados;
determinar si una acusación o preocupación está fundamentada o no;
evaluar las pérdidas financieras de una organización;
mitigar la responsabilidad de la organización y/o de sus directivos;
establecer e implementar las medidas paliativas necesarias para evitar que se produzcan conductas similares;
reforzar la cultura de compliance y ética de la organización;
realizar informes externos a las autoridades pertinentes (fuerzas y cuerpos de seguridad, órganos judiciales, autoridades reglamentarias u otros órganos prescriptos por la ley o reglamentaciones) o a las partes interesadas pertinentes cuando sea necesario;
tomar decisiones sobre sanciones a directivos y/o empleados e inhabilitación para trabajar con terceros involucrados en conductas poco éticas.
Las acciones civiles, los informes de los denunciantes y las investigaciones externas de las autoridades reglamentarias también pueden ser motivos de investigación interna, de modo que las organizaciones afectadas puedan averiguar qué desencadenó las acciones, los informes y las investigaciones externas y, seguidamente, tomar las medidas oportunas.
La investigación interna forma parte de un sistema de gestión del compliance. Este documento puede utilizarse como ayuda para la aplicación de otras normas como ISO 37301, ISO 37001 e ISO 37002. También puede ser una herramienta útil para que una organización identifique los riesgos. Con los hallazgos de la investigación interna, una organización puede analizar las causas fundamentales del comportamiento indebido y diseñar medidas para controlar los riesgos.
No tener la capacidad de realizar investigaciones internas y/o no realizarlas puede tener efectos adversos en una organización, así como en la eficacia del sistema de gestión del compliance, no permitiendo que se cumplan con el cometido de reforzar las irregularidades.
Es indispensable que los órganos de dirección y administración lleven a cabo investigaciones internas obligatoriamente siguiendo los principios de independencia, confidencialidad, competencia y profesionalidad, objetividad e imparcialidad, legalidad y licitud.
Este documento proporciona orientación sobre investigaciones internas en las organizaciones, que incluyen:
los principios;
apoyo a las investigaciones;
establecimiento de la política, los procedimientos, los procesos y las normas para llevar a cabo una investigación e informar sobre ella;
la comunicación de los resultados de las investigaciones;
la aplicación de medidas de remediación.
Este documento es aplicable a todas las organizaciones, independientemente de su tipo, tamaño, ubicación, estructura o finalidad.
NOTA Véase el anexo A para orientaciones sobre el uso de este documento.
En el texto se hace referencia a los siguientes documentos de manera que parte o la totalidad de su contenido constituyen requisitos de este documento. Para las referencias con fecha, solo se aplica la edición citada. Para las referencias sin fecha se aplica la última edición (incluida cualquier modificación de esta).
ISO 37001, Sistemas de gestión antisoborno. Requisitos con orientación para su uso.
ISO 37002, Sistemas de gestión de la denuncia de irregularidades. Directrices.
ISO 37301, Sistemas de gestión del compliance. Requisitos con orientación para su uso.
Para los fines de este documento, se aplican los términos y definiciones incluidos en las Normas ISO 37001, ISO 37002, ISO 37301 además de los siguientes:
ISO e IEC mantienen bases de datos terminológicas para su utilización en normalización en las siguientes direcciones:
Plataforma de búsqueda en línea de ISO: disponible en http://www.iso.org/obp
Electropedia de IEC: disponible en http://www.electropedia.org/
3.1 investigación interna:
Proceso profesional de determinación de hechos, iniciado por o para una organización (3.3), para establecer los hechos en relación con una supuesta o presunta infracción, mala conducta o incumplimiento.
Efecto de la incertidumbre en los objetivos
[FUENTE: ISO 31000:2018, 3.1, modificado – Notas a la entrada eliminadas]
Persona o grupo de personas que tienen sus propias funciones con responsabilidades, autoridades y relaciones para el logro de sus objetivos.
NOTA 1 El concepto de organización incluye, entre otros, un trabajador independiente, compañía, corporación, firma, empresa, autoridad, sociedad, organización benéfica o institución, o una parte o combinación de estas, ya estén constituidas o no, públicas o privadas.
[FUENTE: ISO 37301:2021, 3.1, modificado – Nota 2 a la entrada eliminada]
Necesidad legítima de conocer o tener acceso a un mínimo de información sensible.
[FUENTE: ISO 19650-5:2020, 3.4, modificado – “de un posible receptor de información” eliminado, “o tener acceso a” sustituido por “acceder, o poseer”, y “una cantidad mínima de” añadido a la definición]
Personas designadas para gestionar o llevar a cabo una investigación.
Persona que dirige una investigación.
Persona u organización (3.3) que puede afectar, verse afectada o percibirse como afectada por una decisión o actividad.
[FUENTE: ISO 37301:2021, 3.2, modificado – “interested party” eliminado como término preferido]
Personas con la responsabilidad organizativa de las investigaciones.
Persona o grupo de personas con responsabilidad y autoridad para la operación del sistema de gestión del compliance.
[FUENTE: ISO 37301:2021, 3.23, modificado – Nota 1 a la entrada eliminada]
Persona o grupo de personas que tienen la última responsabilidad y autoridad en las actividades, gobierno y políticas de una organización (3.3) ante quienes la alta dirección (3.11) informa y rinde cuentas.
[FUENTE: ISO 37301:2021, 3.21, modificado – Notas a la entrada eliminadas]
Persona o grupo de personas que dirigen y controlan una organización (3.3) al más alto nivel.
[FUENTE: ISO 37301:2021, 3.3, modificado – Notas a la entrada eliminadas]
Una investigación interna no debería verse influenciada o controlada por otras personas, acontecimientos o incentivos en relación con el asunto que se está investigando.
NOTA Véase el apartado A.3.1 para orientación.
Todos los documentos e información recogidos en el contexto de una investigación, incluidos los registros, las evidencias y los informes, deberían tratarse de forma confidencial y sensible. Los documentos y la información solo deberían revelarse en función de la “necesidad de saber” y los investigadores deberían conocer las leyes ordinarias y los requisitos reglamentarios aplicables.
Una investigación interna debería ser llevada a cabo por investigadores que tengan habilidades profesionales, conocimientos, experiencia, actitud y capacidad para asegurar la calidad de su trabajo.
Una investigación interna debería llevarse a cabo con integridad, imparcialidad, veracidad, tenacidad, confianza, inteligencia emocional, buen juicio y diligencia, y completarse a su debido tiempo.
NOTA Véase el apartado A.3.2 para orientación.
Una investigación interna debería estar libre de conflictos de interés, realizarse de manera objetiva y basarse en evidencia real. La investigación no debería verse influenciada por sentimientos personales, interpretaciones o prejuicios.
NOTA Véase el apartado A.3.3 para orientación.
Quienes establezcan o lleven a cabo una investigación interna deberían identificar las reglamentaciones, las leyes y los estatutos aplicables en todas las jurisdicciones pertinentes para asegurar la legalidad de la investigación.
NOTA Véase el apartado A.3.4 para orientación.
El órgano de gobierno debería apoyar el establecimiento, la aplicación, el mantenimiento y la mejora continua de las investigaciones internas, para lo cual la alta dirección de la organización debería proporcionar los recursos adecuados.
Los recursos pueden incluir, entre otros, personal, infraestructura financiera, técnica y organizacional. Estos recursos pueden proporcionarse interna o externamente.
NOTA Véase el apartado A.4.1 para más información.
El órgano de gobierno, la alta dirección y otros responsables deberían demostrar su liderazgo y compromiso con una investigación interna independiente, objetiva, imparcial y confidencial.
Se debería informar razonablemente al órgano de gobierno, a la alta dirección y a otras personas que ocupen los cargos adecuados, de acuerdo con el plan de comunicación acordado, las directrices y políticas internas preestablecidas, o según lo que los investigadores consideren necesario.
NOTA Véase el apartado A.4.2 para orientación.
La organización debería establecer y aplicar una política o procedimientos de investigación que:
definan el alcance de la investigación, el proceso, las responsabilidades y las capacidades de los investigadores internos;
establezcan un vínculo claro con los procedimientos de “denuncia de irregularidades” o “hablar de irregularidades” (speak up) de la organización;
exijan una actuación o actuación adecuada cada vez que se plantee un problema;
aseguren que la investigación se lleve a cabo respetando los derechos de las personas involucradas;
instruyan y capaciten a los investigadores para llevar a cabo el trabajo de investigación;
exijan la cooperación de todo el personal en la investigación;
aseguren que la investigación sea llevada a cabo por personal independiente de la investigación y que se informe al respecto;
exijan que el resultado de la investigación, incluida cualquier limitación, incumplimiento o cualquier otra irregularidad en la investigación, se documente, revise y comunique adecuadamente;
exijan que la investigación se lleve a cabo de forma confidencial y que la información solo se comparta con las personas que necesiten conocerla;
exijan que la organización deba disponer de políticas o procesos para detener inmediatamente los actos ilícitos, también durante una investigación en curso;
exijan que las lecciones aprendidas o las recomendaciones derivadas de las investigaciones se utilicen para evitar que se repitan las irregularidades;
exijan que las políticas y procedimientos se actualicen periódicamente con lo aprendido de las investigaciones internas.
NOTA Véase el capítulo A.5 para orientación.
Desde el principio del proceso, los investigadores deberían comenzar a identificar dónde pueden almacenarse las evidencias pertinentes.
El investigador debería trabajar con las funciones pertinentes de la organización para determinar si algún testigo clave o personal investigado está ya en proceso de abandonar la organización, por el motivo que sea.
La organización debería contar con políticas o procesos para evitar que alguien manipule testigos y borre, destruya, altere, transfiera o culte, intencionadamente o no, cualquier forma de información, datos o registros, que puedan utilizarse como evidencia, y someter a la persona a medidas disciplinarias como incumplimiento del código de conducta.
La organización también debería establecer medidas de protección para evitar que la información obtenida en el curso de la investigación se facilite a personas sin necesidad de conocerla.
NOTA Véase el apartado A.6.1 para orientación.
La organización debería tomar medidas para asegurar:
que todas las actividades de investigación, incluidas las entrevistas, se lleven a cabo en ausencia de cualquier forma de amenaza, promesa, inducción u opresión;
que las investigaciones y entrevistas se lleven a cabo de forma discreta y con un nivel razonable de privacidad;
que las evidencias aportadas por los testigos se mantengan confidenciales.
NOTA Véase el apartado A.6.2 para orientación.
La organización debería adoptar medidas para asegurar que los testigos, denunciantes, investigadores, entrevistados, sujetos de investigación y el personal que toma decisiones sobre medidas de remediación y acciones disciplinarias tengan protección contra cualquier forma de presión, intimidación, amenaza, acoso y cualquier otra conducta perjudicial.
NOTA Véase el apartado A.6.3 para orientación.
La organización debería proteger el bienestar físico y psicológico de cualquier persona que participe en la investigación.
8.1.1 Nombramiento del equipo de investigación
La alta dirección o el órgano de gobierno debería nombrar o autorizar a una persona o a un equipo para llevar a cabo una investigación, a menos que una carta de investigación existente preestablezca el proceso del nombramiento. En el caso de que la dirección actual tenga un conflicto de interés, la dirección del siguiente nivel debería realizar dicho nombramiento o autorización. Una investigación puede asignarse a investigadores externos.
NOTA Véase el apartado A.7.1 para más información.
8.1.2 Línea jerárquica para reportar investigaciones
El órgano de gobierno, la alta dirección u otras personas que ocupen el cargo adecuado según las políticas internas de la organización deberían designar una línea jerárquica para reportar investigaciones que se encargue de aplicar las sanciones y recomendar otras medidas de seguimiento de la investigación.
El equipo de investigación debería mantener actualizada periódicamente o a intervalos definidos la línea jerárquica para reportar investigaciones, incluidas las funciones, responsabilidades y autoridades, y presentar el informe de investigaciones para su revisión.
Las responsabilidades de la línea jerárquica para reportar investigaciones incluyen, entre otras, las siguientes:
evaluar la naturaleza de las acusaciones;
comprobar cualquier posible conflicto de interés;
examinar la posibilidad de futuras interacciones con las autoridades y otras partes interesadas en relación con los resultados de la investigación;
considerar la gravedad o la seriedad del asunto;
evaluar el posible riesgo financiero, de reputación o reglamentario para la organización.
El equipo de investigación debería realizar una evaluación preliminar de la acusación.
El equipo de investigación debería considerar la gravedad y credibilidad de la acusación presentada y si las acusaciones son lo suficientemente específicas como para iniciar una investigación.
Cuando sea posible, el equipo de investigación debería considerar la posibilidad de ponerse en contacto con el denunciante y pedirle detalles adicionales en relación con las acusaciones, evaluar seguidamente si es necesaria una investigación a gran escala y utilizar los resultados de la evaluación para planificar la investigación.
Los resultados de la evaluación preliminar deberían documentarse claramente. En los casos en que se requieran nuevas investigaciones, esto debería reflejarse mediante una decisión documentada.
NOTA Véase el apartado A.7.2 para más información.
8.3.1 Alcance
El equipo de investigación debería considerar los resultados de la evaluación preliminar, si los hubiere, para determinar el alcance de la investigación de modo que esta pueda llevarse a cabo de forma eficaz y adecuada.
Antes de determinar el alcance de la investigación, es importante establecer los objetivos previstos de la investigación, tales como:
si se requiere que el investigador simplemente descubra los hechos de un incidente en particular;
si se requiere que el investigador tome una determinación con respecto a si existe algún incumplimiento de la política de la organización o una posible violación de la ley;
si el investigador tiene que hacer una recomendación con respecto a qué acción se debería tomar en caso de que se identifique un incumplimiento.
8.3.2 Cambios en el alcance
Si, en el marco de la investigación, el equipo de investigación tiene conocimiento de otras infracciones organizacionales de las políticas de la organización o de actividades delictivas, el alcance de la investigación debería adaptarse en consecuencia. El cambio de alcance debería documentarse.
8.3.3 Elementos de determinación
A la hora de determinar el alcance de la investigación, el equipo de investigación debería tener en cuenta los elementos críticos, entre los que se incluyen:
sustancia: las acusaciones específicas;
intervalo: período de tiempo que debería examinar la investigación;
geografía: qué regiones o países abarcará la investigación;
lugar: dónde se produjeron los supuestos incidentes;
personas: quienes presuntamente llevaron a cabo una infracción.
El equipo de investigación debería establecer un plan de investigación. En el plan deberían esbozarse los siguientes factores:
los antecedentes, el alcance, los plazos, la finalidad y el objetivo de la investigación;
el personal requerido para ser entrevistado o para facilitar información que ayude a la investigación;
los recursos internos o externos necesarios y disponibles para lograr el objetivo y si se necesitan recursos expertos, como contables forenses, asesores externos, investigadores externos, expertos del sector o expertos en análisis forense digital;
una evaluación sobre si es necesario suspender el contrato laboral de algún empleado o custodio mientras duran las investigaciones y revocar el acceso físico a las oficinas o sistemas informáticos;
las posibles fuentes de evidencias y cómo tratar la conservación, recopilación y revisión de las evidencias;
cómo realizar las entrevistas, incluyendo el cronograma de entrevistas y de notificaciones;
si alguna persona sujeta a la investigación necesita o requiere representación legal, si está permitido, y/o una persona de apoyo que la acompañe durante la entrevista;
si existe alguna cuestión legal importante;
los riesgos y/o retos que el objeto de la investigación puede causar a la investigación y a la organización, y qué estrategias se van a utilizar para mitigarlos o eliminarlos;
cómo debería registrarse la investigación y a qué partes interesadas debería informarse, cuándo y con qué nivel de detalle;
si la organización está obligada a hacer una auto-denuncia a la autoridad gubernamental correspondiente de acuerdo con los requisitos de información.
El plan de investigación debería tratarse como un documento vivo y debería actualizarse a medida que cambie la situación para asegurar que la investigación cumple el alcance, el objetivo y los principios fundamentales. Las modificaciones del plan de investigación deberían documentarse.
NOTA Véase el apartado A.7.3 para orientación.
El flujo de información debería controlarse en función de la necesidad de conocer y mantenerse confidencial durante todo el proceso de investigación.
Cuando sea necesario, el investigador principal podrá informar a las partes interesadas pertinentes identificadas en el plan de investigación.
NOTA Véase el apartado A.7.4 para más información.
8.6.1 Advertencia por escrito
Se recomienda enviar una advertencia por escrito a las partes interesadas para destacar la importancia del requisito de mantener la confidencialidad, los impactos negativos de la divulgación (accidental o no) y las posibles responsabilidades por la divulgación.
Los impactos negativos de la divulgación incluyen, entre otros, la manipulación o eliminación de evidencias, o causar daños a personas involucradas en la investigación o causar daños a la organización. El incumplimiento de la confidencialidad puede llevar a sanciones y responsabilidades para las personas causantes del incumplimiento.
NOTA Véase el apartado A.7.5 para orientación.
8.6.2 Advertencia verbal
En determinadas circunstancias, una advertencia verbal puede ser más apropiada que una advertencia por escrito a las partes interesadas. El investigador principal debería decidir cuándo y cómo comunicarla. La advertencia verbal debería incluir los principales aspectos indicados en la advertencia escrita. El investigador principal debería llevar un registro de todas las advertencias verbales emitidas, y puede informar a las partes interesadas de este registro.
La advertencia debería incluir el aviso a la persona de que no haga nada que pueda interferir en el proceso de investigación o impedir la recopilación de hechos.
La organización debería tomar medidas para evitar o detener las interferencias en la investigación. Esto puede incluir interferencias de partes externas, otras organizaciones y partes internas, como determinados directivos u otros departamentos. El investigador principal debería informar de cualquier intento relevante de interferir en la investigación a la línea jerárquica para reportar investigaciones o a la dirección de la organización de acuerdo con la política o el procedimiento de investigación, o de la forma que el investigador principal considere adecuada.
8.8.1 Recopilación y revisión de documentos
El equipo de investigación debería tomar todas las medidas de control para obtener, asegurar, organizar y revisar con seguridad todos los documentos necesarios recopilados de partes internas o externas.
La actividad investigadora debería considerar el examen de todas las evidencias aplicables.
El objetivo principal de la revisión de estos registros es detectar documentos críticos esenciales para la investigación. En cuanto a la revisión a gran escala, puede considerarse la utilización de herramientas tecnológicas o digitales o la contratación de proveedores de servicios o asesores externos.
NOTA Véase el apartado A.7.6.1 para orientación.
8.8.2 Recopilación, conservación, análisis y revisión de datos electrónicos
El equipo de investigación debería trabajar con el departamento de tecnología de la información o con un proveedor de servicios externo cuando se requiera el análisis de cualquier evidencia electrónica con el fin de identificar, preservar y analizar los datos electrónicos. Existen plataformas tecnológicas y herramientas de búsqueda/descubrimiento electrónico que pueden facilitar la revisión de datos digitales y gestionar el flujo de trabajo de revisión de datos digitales. Los investigadores deberían considerar el uso de la tecnología y de expertos en la materia para ayudar a la recuperación y revisión de los datos electrónicos.
El equipo de investigación y el departamento de tecnología de la información o el proveedor de servicios externo deberían aplicar medidas adecuadas para proteger todos los datos electrónicos capturados.
El personal encargado de la recopilación, el análisis y la revisión de datos electrónicos debería tener la competencia genérica descrita en la Norma ISO/IEC 27037:2012.
NOTA Véase el apartado A.7.6.2 para orientación.
8.9.1 Preparativos
Antes de realizar la entrevista o entrevistas, el equipo de investigación debería hacer lo siguiente:
Elaborar una lista inicial de las personas a entrevistar.
Preparar un plan de entrevistas que incluya un esquema de las áreas temáticas, las preguntas si se consideran necesarias, y los documentos, correos electrónicos u otros materiales que se utilizarán durante la entrevista, y decida también un calendario para el momento y la secuencia de las entrevistas. Las entrevistas deberían programarse de manera que se impida a los entrevistados manipular las preguntas y respuestas de la entrevista. El plan de la entrevista debería tener en cuenta las funciones de los entrevistadores y las posibles respuestas del entrevistado.
Adoptar técnicas de entrevistas adecuadas.
Realizar entrevistas utilizando técnicas adecuadas en las que los entrevistadores deberían tener suficiente competencia.
Evaluar la cultura y el ecosistema locales antes de determinar la conformación del equipo para una entrevista.
NOTA 1 En determinadas geografías, puede recomendarse que, si la discusión es con una mujer, sea conveniente que el equipo de investigación incluya a una mujer en la sala de discusión.
Revisar y recopilar los documentos pertinentes, según proceda.
Tomar medidas para realizar las entrevistas en un entorno libre de interferencias y perturbaciones externas y que pueda asegurar la confidencialidad.
NOTA 2 Véase el apartado A.7.7.1 para orientación.
8.9.2 Realización de una entrevista
Deberían tomarse medidas para asegurar que una entrevista, en particular con un sujeto de una investigación, sea presenciada cuando sea apropiado. Esto puede involucrar la presencia de dos entrevistadores o de un entrevistador y un testigo o, en su lugar, grabar la entrevista, cuando sea apropiado y esté permitido. Se debería asegurar que haya un número proporcionado de entrevistadores presentes para evitar que resulte opresivo. Los entrevistadores deberían tener en cuenta el idioma en el que se realizará la entrevista. Si los entrevistadores no hablan la lengua que entiende el entrevistado, deberían disponerse medios para la traducción.
El entrevistador debería, como método para averiguar los hechos, aclarar con el entrevistado cualquier información incoherente o contradictoria.
Una vez concluida la entrevista, el entrevistador debería pedir al entrevistado que reconozca que la declaración documentada es verdadera y exacta a su leal saber y entender y preguntarle si tiene algo más que añadir o aclarar.
Debería llevarse un registro preciso de la entrevista. Los entrevistadores deberían seguir las políticas y procedimientos de grabación de entrevistas y tener en cuenta la legislación local. Los entrevistados pueden firmar un registro de la entrevista cuando sea apropiado y esté permitido.
Al realizar la entrevista, el entrevistador o entrevistadores deberían:
prestar atención a las interacciones con el entrevistado;
ser profesional y respetuoso con el entrevistado;
ejercer una buena capacidad de escucha;
proporcionar información exacta y correcta.
NOTA Véase el apartado A.7.7.2 para orientación.
8.9.3 Registro de una entrevista
Las entrevistas deberían documentarse de forma adecuada y apropiada, y los resultados deberían almacenarse de forma segura y mantenerse confidenciales. Cada entrevista documentada puede comunicarse por escrito al entrevistado o entrevistados. Los registros de las entrevistas deberían conservarse de acuerdo con la política de conservación de datos/registros de la organización.
NOTA Véase el apartado A.7.7.3 para orientación.
Una investigación no debería considerarse sustancialmente completa a menos que logre lo siguiente:
el equipo de investigación está preparado para formular conclusiones basadas en evidencias, y estas conclusiones son suficientes para que el órgano de gobierno y/o la dirección tomen una decisión en relación con el incidente de incumplimiento;
el equipo de investigación pueda rendir cuentas plenamente de su trabajo a sus destinatarios;
el resultado de la investigación proporcione una base suficiente para iniciar medidas de remediación y acciones correctivas.
NOTA Véase el apartado A.7.8 para orientación.
Los resultados de la investigación deberían registrarse por escrito. Para las investigaciones en las que se prevea un litigio y/o si es necesario revelar información a las autoridades reglamentarias (por ejemplo, en un sector regulado), debería obtenerse asesoramiento jurídico sobre el tratamiento (confidencial) de los informes y documentos de la investigación. Los registros de investigación (que incluyen los registros de las entrevistas) y los informes finales de investigación deberían comunicarse de forma objetiva y precisa.
El equipo de investigación debería reunir y registrar los documentos de trabajo que respalden el informe.
El informe de la investigación debería elaborarse de acuerdo con las evidencias documentales, auditivas, visuales y orales.
El informe de investigación debería contener una explicación completa de los hechos pertinentes, las limitaciones y restricciones encontradas y limitarse al alcance de la investigación.
El equipo de investigación debería ser consciente de todas las leyes aplicables y seguir la política de conservación de la organización en relación con la preservación de todos los registros y resultados. El equipo de investigación debería asegurar la seguridad de los datos para que no se utilicen indebidamente para otros fines y estén adecuadamente protegidos (por ejemplo, contra la pérdida de confidencialidad, el uso indebido o la pérdida de integridad).
NOTA Véase el apartado A.7.9 para orientación.
El equipo de investigación puede, con sujeción a los requisitos de la organización, proponer medidas de remediación adecuadas que se aplicarán sobre la base de los resultados de la investigación para minimizar el impacto de las infracciones y mejorar los controles internos del programa de compliance de la organización. Deberían utilizarse métodos de análisis de las causas raíz para llegar a las medidas de remediación y mejoras más apropiadas para asegurar que las causas raíz se abordan de forma adecuada, suficiente y eficaz.
A medida que avanza la investigación, el equipo de investigación puede poner de manifiesto brechas de compliance, infracciones a la ley y hacer recomendaciones al órgano de gobierno, a la alta dirección o a la función de compliance para que adopten medidas de remediación urgentes.
El equipo de investigación debería informar a la función de compliance, si así se le solicita, para ayudar a elaborar un plan provisional sobre medidas provisionales. El plan debería exponer claramente las brechas o vulnerabilidades en materia de compliance y el objetivo o los objetivos que se pretenden alcanzar con estas medidas.
La función de la organización asignada según las políticas o procedimientos correspondientes debería diseñar un plan de remediación final basado en el informe de investigación.
Las medidas de remediación posteriores a la investigación deberían desglosarse en pasos específicos con las correspondientes tareas asignadas a una persona responsable para su aplicación adecuada y oportuna.
La función de compliance debería llevar a cabo una evaluación exhaustiva del plan para asegurar su eficacia y viabilidad.
Al formular el plan de corrección final, la función de la organización asignada de acuerdo con las políticas o procedimientos correspondientes debería considerar la gravedad de los incumplimientos revelados por las conclusiones del informe de investigación. Seguidamente, debería considerar la posibilidad de ajustar el programa de compliance de la organización existente mediante la creación de nuevas políticas o procedimientos o la modificación de los existentes, el refuerzo o la modificación del seguimiento del compliance o la impartición de formación adicional en materia de compliance.
Se debería hacer seguimiento de las medidas de remediación y su aplicación para comprobar su eficacia por la función apropiada dentro de la organización o designada externamente.
La organización debería volver a examinar el programa de compliance para determinar si es necesario revisarlo y ajustarlo a la luz del plan de remediación.
NOTA Véase el capítulo A.8 para orientación.
La organización y el equipo de investigación deberían disponer de canales de comunicación eficaces con las partes interesadas.
La organización debería identificar a las partes interesadas pertinentes para la comunicación. La comunicación con estas partes interesadas debería llevarse a cabo a través del equipo de investigación (incluyendo a los entrevistadores, la dirección de cumplimiento, dirección, funciones de compliance, recursos humanos, relaciones públicas, asesoría legal).
Cada interacción debería realizarse de forma intencionada, con mensajes y guiones planificados de antemano y en consonancia con las aportaciones del equipo de investigación y de las funciones de la organización que tengan experiencia e interés en la interacción correspondiente.
Al comunicar los resultados de la investigación, la organización debería solicitar la opinión del equipo de investigación.
El equipo de investigación debería planificar una comunicación eficaz con todas las partes interesadas para asegurar que tanto las operaciones diarias de la organización como la investigación puedan continuar.
El plan de comunicación debería tener como objetivo abordar las cuestiones importantes y minimizar cualquier impacto negativo en las operaciones. La organización debería determinar qué nivel de información tienen derecho a conocer las distintas partes interesadas.
La función de compliance debería decidir las medidas de acompañamiento en función del resultado de una determinada interacción para llevar a cabo la investigación a medida que avanzan los asuntos. Las medidas típicas incluyen acciones disciplinarias preventivas, revelaciones a las autoridades gubernamentales, alteraciones de negocio, etc. Estas medidas deberían ser evaluadas profesionalmente por la organización antes de ser adoptadas. Antes de decidir las medidas, la organización debería consultar a los departamentos correspondientes de la organización sobre las medidas que les conciernen.
El equipo de investigación debería planificar la comunicación con las autoridades gubernamentales y las autoridades reglamentarias sobre las cuestiones específicas que se estén investigando, si procede. Antes de comunicarse con ellos, la organización debería consultar a sus asesores jurídicos internos o externos y los directores pertinentes para asegurarse de que los intereses y derechos de la organización estén plenamente protegidos.
Sobre la base del progreso de la investigación, el equipo de investigación debería proporcionar las evidencias o la información necesaria a la función legal y de compliance de la organización para asesorar al órgano de gobierno de la organización o a la alta dirección para evaluar si la organización debería efectuar una autodenuncia a las autoridades, por ejemplo, para la reducción de la responsabilidad o la atenuación. Los responsables de la toma de decisiones deberían tener en cuenta las directrices de documentación proporcionadas por la autoridad reglamentaria o gubernamental pertinente y las posibles consecuencias legales de la autodenuncia. Para evaluar las consecuencias legales, la organización debería considerar la posibilidad de solicitar asesoramiento legal profesional.
NOTA Véase el capítulo 9 para orientación.
Sobre la base del informe final, pueden adoptarse medidas disciplinarias contra el personal o las organizaciones implicadas.
NOTA Véase el capítulo A.10 para orientación.
Anexo A (Informativo)
Orientaciones para la utilización de este documento
A.1.1 Generalidades
Las orientaciones de este anexo son meramente ilustrativas. Su propósito es indicar en algunas áreas específicas el tipo de acciones que una organización puede emprender en la gestión y realización de investigaciones. No pretende ser exhaustiva ni prescriptiva.
A.1.2 Alcance
Las acciones de aplicación de la ley por parte de los gobiernos a menudo conllevan la necesidad de gestionar y llevar a cabo una investigación como parte de un esfuerzo de determinación de los hechos y, seguidamente, decidir qué medidas de remediación deberán adoptarse. Estas medidas pueden referirse a cuestiones como el control de las exportaciones, el cumplimiento de sanciones, el blanqueo de dinero, la defensa de la competencia, el soborno, el fraude y la lucha contra la corrupción.
Las acciones civiles y los incidentes de denuncia de irregularidades también pueden ser motivo de investigaciones internas, de modo que las organizaciones afectadas puedan averiguar qué desencadenó las acciones y los incidentes y, seguidamente, aplicar las medidas adecuadas para reducir las responsabilidades y evitar que se repitan.
Las referencias normativas se refieren a los términos y definiciones aplicables a este documento. Los usuarios pueden remitirse a ellas y a la Bibliografía para consultar otras informaciones y normas internacionales pertinentes para las investigaciones internas.
A.3.1 Independencia
Una investigación interna debería ser un proceso sistemático, independiente y documentado de identificación de hechos y observación de pruebas, a fin de establecer, de determinar si se ha producido, se está produciendo o es probable que se produzca alguna irregularidad y en qué medida. Para asegurarse del principio de independencia, objetividad e imparcialidad de la investigación, el equipo de investigación debería actuar sin preferencias personales y sin ninguna conexión con relación a la persona sujeta a una investigación, el denunciante y otras partes interesadas.
Deberían redactarse y conservarse documentos, autoridad y cualquier otra forma de declaración para las funciones de investigación a fin de evitar posibles conflictos de intereses y parcialidad.
El investigador debería estar facultado para llevar a cabo la investigación, pudiendo recomendar acciones correctivas o de remediación adecuadas, y para facilitar la toma de decisiones. La investigación no debería tratarse como una represalia contra el denunciante, el testigo y las partes interesadas, sino como un proceso de determinación de los hechos.
A.3.2 Competencia y profesionalidad
Un investigador debería tener conocimientos y habilidades generales o haber recibido formación e instrucción específicas para llevar a cabo una investigación. El investigador debería haber adquirido conocimientos y habilidades sobre los principios, procesos y metodologías de investigación. El investigador debería ser capaz de:
preparar, llevar a cabo, informar y cerrar una investigación;
comprender los tipos de riesgos y oportunidades asociados a la operación del negocio de la organización;
verificar y confirmar la pertinencia y exactitud de la información recopilada;
hacer relación a las leyes estatutarias y los requisitos reglamentarios aplicables.
Las evidencias de conocimientos y habilidades pueden demostrarse mediante la experiencia laboral o en proyectos, certificados, antecedentes académicos y formación, incluido el desarrollo profesional continuo (DPC) y la formación profesional continua (FPC).
El investigador debería actuar con profesionalidad, respetando y siguiendo los principios, códigos de conducta, políticas y procedimientos de la organización. El investigador debería mostrar credibilidad y fiabilidad siendo coherente en una investigación.
El investigador debería demostrar su sentido de la responsabilidad durante la investigación siendo educado y atento.
A.3.3 Objetividad e imparcialidad
Un investigador no debería prometer el anonimato ni ninguna otra cosa a cambio de cooperación. La persona sujeta a una investigación debería ser notificada acerca de cualquier política de la organización que requiera su participación, pero el investigador no debería ofrecer ninguna evaluación de la responsabilidad legal, ninguna descripción de las protecciones aplicables a los "denunciantes" ni ninguna otra cosa que equivalga a asesoramiento jurídico. El equipo de investigación no debería hacer ninguna conclusión que pueda ir en detrimento de los objetivos de la dirección o en contra de las políticas de la organización.
Si la persona sujeta a una investigación solicitase representación legal, la organización debería ser consciente de todas las leyes y prácticas aplicables y no debería obstaculizar ni perjudicar injustamente a la persona que realiza la solicitud.
Si procede, el investigador de una organización debería notificar a la persona investigada de que él representa a la organización y no a la persona investigada. El privilegio abogado-cliente pertenece a la organización, no a la persona investigada. La organización puede renunciar al privilegio legal a su propia discreción, si está permitido.
A.3.4 Legalidad y licitud
La investigación debería llevarse a cabo respetando las leyes y reglamentaciones. La decisión de llevar a cabo una investigación no es en sí misma una acusación sin ninguna presunción de culpabilidad y debería tratarse como un proceso neutral de determinación de los hechos.
Se debería informar al sujeto o sujetos identificados como presuntos infractores en la investigación de que tienen el deber de cooperar con el investigador, siempre que dicha cooperación no les exija simplemente admitir su culpabilidad. Se debería dar al sujeto o sujetos el derecho a responder cuando sea necesario y la opción de recibir asistencia. El sujeto o sujetos no deberían interferir en la investigación. Las evidencias no deberían ser retenidas, destruidas o alteradas, las personas llamadas como testigos en la investigación interna no deberían ser influenciadas, entrenadas, amenazadas o intimidadas.
Antes, durante y después de la investigación, no debería haber ningún tipo de acoso, restricción de movimientos o violación de la intimidad contra ninguna de las partes involucradas en la investigación interna.
El resultado de la investigación puede llevar a la conclusión del informe de investigación de que no se ha cometido una acción indebida o contraria a la ética, o una falta de acción, según el caso.
A.4.1 Recursos
Los recursos pueden incluir, entre otros, personal, asignación financiera y otras funciones organizativas como auditoría interna, tecnología de la información, soluciones de seguridad, conocimientos jurídicos, desarrollo profesional y formación, y la función de compliance. Estos recursos pueden ser internos a la organización o externos. A continuación se describen con más detalle los recursos mencionados:
Personal (recursos humanos): personal suficiente y competente que dedique el tiempo suficiente a sus responsabilidades funcionales pertinentes para que la investigación interna pueda funcionar eficazmente. Esto incluye asignar suficientes recursos humanos (internos o externos) a la investigación.
Asignación financiera (recursos financieros): se disponga de presupuesto suficiente, incluso para la función de investigación interna, para que ésta pueda funcionar eficazmente.
Función organizativa (recursos físicos): se pongan a disposición los recursos físicos necesarios, incluso para la función de investigación interna, para que ésta pueda funcionar eficazmente.
Los recursos pueden subcontratarse a abogados, auditores externos, expertos en contabilidad forense y forense digital, investigadores, expertos en comunicación y otros cuando sea necesario.
A.4.2 Liderazgo y compromiso
El órgano de gobierno y la alta dirección de la organización deberían asegurar que la investigación interna se lleva a cabo de forma independiente, objetiva, imparcial, sin perjuicio de confidencialidad y sin ninguna interferencia de la alta dirección.
Debería existir cooperación entre la dirección, el equipo de investigación, el denunciante o denunciantes, los testigos, el sujeto o sujetos u otras partes interesadas, y debería prestarse apoyo siempre que sea necesario y cuando se considere necesario para ayudar en la investigación.
Ninguna persona debería quedar sin ser escuchada, y el sujeto implicado siempre tiene derecho a beneficiarse de las normas de la justicia natural para ser informado de las acusaciones concretas, ser oído y defenderse antes de que se adopte cualquier medida disciplinaria. Del mismo modo, no debería haber ninguna aplicación selectiva de las políticas de investigación.
Debería concederse protección y apoyo incluso si la investigación revela que la denuncia es inadvertidamente errónea o que la acusación no está fundamentada.
Este documento proporciona orientación sobre cómo la organización debería establecer una política y un procedimiento de investigación que tengan en cuenta diversos factores, como las leyes aplicables, las obligaciones legales, el contexto del negocio, el tamaño de una organización, los procesos de investigación, la estructura de presentación de informes, la protección de las partes que plantean inquietudes y las posibles responsabilidades a las que puede enfrentarse la organización. Las investigaciones internas pueden provocar directa o indirectamente riesgos legales si no se gestionan adecuadamente.
Debería recabarse asesoramiento legal cuando existan implicaciones legales. Esto es especialmente cierto cuando se identifica información sensible o privilegiada en el curso de la investigación. También debería recabarse asesoramiento legal sobre si existe una obligación reglamentaria o estatutaria de informar determinados delitos (incluidas las pérdidas financieras potenciales o reales en la medida en que se cuantifiquen) que se identifiquen en el curso de la investigación. Todas las investigaciones deberían realizarse partiendo del supuesto de que el caso acabará en un proceso judicial, por lo que los procedimientos de investigación deberían poder resistir el escrutinio del tribunal.
A.6.1 Conservación y seguridad de las evidencias
Deberían adoptarse medidas razonables para impedir la eliminación, destrucción, alteración, transferencia u ocultación deliberadas o involuntarias de cualquiera de las evidencias (que incluyen evidencias físicas, digitales o testimoniales) que contienen información útil para la investigación. Los denunciantes y los testigos también son un tipo de evidencia importante. La organización puede poner en marcha políticas internas, como prohibir la instalación de limpiadores de procesos de investigación en los ordenadores de la empresa directamente o facilitar y proteger la información recibida. También debería considerarse preservar las evidencias por el mismo período mínimo de conservación de los ordenadores portátiles de la empresa utilizados por personal previamente identificado con puestos sensibles después de que dicho personal abandone la organización. Dichos ordenadores portátiles se mantendrán bajo custodia para preservar las evidencias forenses en caso de que se inicien investigaciones contra este personal.
También es importante evitar que la información obtenida en el curso de la investigación se filtre a personas no autorizadas, incluida la persona investigada. Una opción para mitigar el riesgo de pérdida de evidencias es contar con una política de aseguramiento de las evidencias a la primera oportunidad. Puede ocurrir que una persona sujeta a una investigación coloque un dispositivo de escucha o grabación secreta en un teléfono móvil en funcionamiento en el despacho, la sala de conferencias y otras salas para recopilar información relacionada con la investigación. Por lo tanto, la organización debería tener una política para comunicar la necesidad de confidencialidad a todas las partes involucradas durante la investigación (por ejemplo, testigos, entrevistados).
proporcionar tutoriales sobre aspectos de seguridad a los empleados en puestos clave y establecer una sensación de lucha contra las escuchas telefónicas;
controlar factores clave como el alcance de las personas que entran y salen de un espacio de investigación, controlar los accesos, hacer seguimiento de las entradas y salidas y aplicar estrictamente el sistema de registros de visitantes;
emplear a expertos especializados y utilizar equipos profesionales para realizar controles regulares y/o ad hoc contra las escuchas telefónicas en zonas clave;
utilizar bolsas anti-interferencias para embolsar los teléfonos móviles del sujeto de la investigación, así como de los investigadores;
colocar equipos anti-interferencias en una sala de investigación donde se lleve a cabo una investigación.
A.6.2 Protección y apoyo al personal involucrado en las investigaciones
Los testigos e investigadores son importantes para la investigación y, por lo tanto, las organizaciones deberían considerar cómo proteger razonablemente a los testigos e investigadores de cualquier forma de amenaza, presión indebida, intimidación u opresión. Proporcionar una protección razonable de la privacidad sobre la identidad de los testigos, manteniendo la confidencialidad de la información facilitada por los testigos y proporcionando un entorno cómodo y propicio para que los testigos faciliten la información requerida. Por ejemplo, la entrevista debería realizarse en un entorno confidencial y seguro, fuera de la vista del público y de toda interferencia externa.
A.6.3 Evitación de represalias
Los testigos y denunciantes también deberían tener la seguridad de que no se tomarán represalias si plantean preocupaciones o si la información facilitada en una investigación resulta ser inválida o sin mala intención. Además, las personas que tomen represalias (o permitan que otros lo hagan) deberían enfrentarse a medidas disciplinarias, teniendo en cuenta la legislación local. Las políticas de protección y apoyo que se presten a los testigos y denunciantes formarán parte de la cultura que la organización debería tratar de fomentar. Una protección y un apoyo débiles, a largo plazo, pueden dar lugar a una falta de cooperación de los empleados por miedo a represalias o repercusiones.
A.7.1 Nombramiento del equipo de investigación
Un equipo de investigación puede incluir lo siguiente:
un investigador profesional capacitado para llevar un caso complejo desde la admisión hasta la conclusión;
personal de seguridad al que a menudo se asigna el trabajo de campo, por ejemplo, entrevistar a testigos externos y obtener registros públicos y otros documentos de terceros;
un auditor que pueda revisar evidencias documentales internas, programar pérdidas y prestar asistencia en áreas técnicas de las operaciones de la organización;
un asesor legal que pueda proporcionar asesoramiento legal a la investigación, en lo que respecta a los aspectos legales;
personal de recursos humanos y asesores legales a los que se puede consultar para asegurar que no se vulnera la legislación que regula los derechos de los empleados en el lugar de trabajo;
un representante de la dirección que pueda prestar ayuda;
un consultor externo independiente.
Las líneas de informe (directas o punteadas) pueden establecerse para que el resultado de la investigación pueda notificarse a la persona autorizada.
A.7.2 Evaluación preliminar
Antes de llevar a cabo la investigación, el investigador puede realizar la siguiente investigación preliminar no invasiva:
ponerse en contacto con el querellante/informante/denunciante;
revisar toda la información pertinente que se haya pasado por alto;
identificar la estructura empresarial presente en el caso;
identificar a los principales actores;
identificar el entorno de trabajo;
identificar el entorno cultural;
identificar los problemas técnicos;
identificar las leyes, reglamentaciones y normas aplicables;
revisar la necesidad de involucrar asesoramiento externo;
revisar la necesidad de informar a los litigantes sobre aspectos de la investigación.
Dependiendo del resultado de la investigación preliminar, se toma la decisión de cerrar la investigación en consonancia con las funciones organizativas apropiadas.
A.7.3 Planificación de la investigación
Los investigadores pueden remitir asuntos para asesoramiento legal cuando exista una cuestión legal de secreto profesional en la jurisdicción. Cuando no exista la consideración de secreto profesional, pero el asunto tenga interés legal, el investigador debería considerar actualizaciones pertinentes de la evolución del caso a la parte interesada legal apropiada en la forma acordada.
A.7.4 Mantenimiento de la confidencialidad
El anonimato tiene por objeto proteger la identidad de las personas involucradas en la investigación. Puede aplicarse a la persona o las personas que han informado el asunto (por ejemplo, el denunciante), a los testigos y/o al sujeto o sujetos de la investigación.
Se puede asignar un nombre en clave al caso investigado para anonimizar la investigación. También se puede asignar un nombre en clave al sujeto de la investigación para anonimizarlo.
La organización puede incluir cualquier requisito pertinente de privacidad de datos en las políticas y procedimientos internos de investigación. Si es aplicable, las partes interesadas que deberían ser informadas al inicio de la investigación pueden ser la función de compliance y/o la persona que esté a cargo del sector o región pertinente, si esto se puede hacer sin crear ningún conflicto de interés.
A.7.5 Advertencia por escrito
El investigador principal debería enviar por correo electrónico el aviso de confidencialidad al denunciante o a la persona que proporcionó la pista que dio lugar a una investigación, además de a las personas a las que el investigador principal elija informar.
Se recomienda que se proporcione una advertencia por escrito en relación con:
responsabilidades relacionadas con violaciones de la confidencialidad, incluidas, entre otras, amonestaciones, sanciones administrativas, despido o responsabilidad penal;
la importancia de la no divulgación, incluida la garantía de que una investigación pueda continuar sin interrupción.
A.7.6 Evidencias
A.7.6.1 Recopilación y revisión de documentos
A.7.6.1.1 Almacenamiento de documentos
Los documentos deberían almacenarse en un lugar seguro y de acceso restringido exclusivamente a los investigadores.
El acceso a documentos electrónicos debería estar restringido únicamente a las partes pertinentes.
Véanse otras normas internacionales como ISO/IEC 27001.
A.7.6.1.2 Reducción de documentos
Si la revisión de documentos se realiza sobre cantidades voluminosas de datos, el equipo de investigación debería reducir metódicamente el número de documentos objeto de revisión. En caso necesario, los investigadores deberían elaborar (una serie de) términos clave, intervalos de fechas o criterios para que el proceso sea más manejable. Los investigadores también deberían considerar métodos para identificar la información crítica y los documentos con información crítica. Es posible que los investigadores tengan que volver una y otra vez sobre determinados documentos para afinar y analizar la información.
A.7.6.1.3 Protocolo de revisión
Cuando un equipo de investigación inicia el proceso de revisión, debería desarrollar un protocolo de revisión para sacar el máximo provecho de los documentos, marcar los documentos como relevantes para cuestiones concretas objeto de investigación y clasificar los documentos recopilados en grupos para su revisión. Puede exigirse que el protocolo de revisión se actualice o modifique en el curso de la investigación con las aprobaciones necesarias de la dirección.
A.7.6.1.4 Control de calidad
Una vez marcados todos los documentos potencialmente importantes en la primera ronda de revisión, si es necesario, investigadores de mayor nivel y más experimentados (internos o externos) pueden realizar una segunda ronda de revisión para controlar la calidad. Estos investigadores de mayor nivel deberían encontrar formas más eficaces o más eficientes identificando los documentos relevantes que pueden descartarse. Los revisores de documentos deberían contar siempre con un técnico al que consultar las cuestiones técnicas y de fondo.
A.7.6.2 Recopilación, conservación, análisis y revisión de datos electrónicos
A.7.6.2.1 Recuperación de dispositivos electrónicos
Un investigador debería trabajar con el departamento de tecnología de la información o con un proveedor de servicios externo para comprender y decidir cómo se almacenan, recuperan y analizan los datos electrónicos, siendo consciente de no dejar huellas digitales.
A.7.6.2.2 Planificación de la recuperación y el análisis
Nadie más que el investigador principal puede decidir si es necesario recuperar un dispositivo electrónico. El investigador principal de una investigación debería colaborar estrechamente con el departamento de tecnología de la información para recuperar los ordenadores de trabajo, los teléfonos móviles y algunos otros dispositivos electrónicos (que contengan los datos electrónicos a revisar). El investigador principal debería trabajar en cooperación directa con el departamento de tecnología para planificar y llevar a cabo el proceso de recuperación, a menos que el departamento de tecnología no pueda ser utilizado en una investigación interna.
El equipo de investigación debería mantener cierto grado de flexibilidad en este proceso. Una vez iniciada la investigación, es necesario recuperar el ordenador portátil de la persona investigada para preservar las evidencias. En caso de emergencia, el equipo de investigación, con la ayuda del departamento de tecnología de la información, debería recuperar inmediatamente los ordenadores portátiles, teléfonos móviles y otros dispositivos electrónicos (que contengan los datos electrónicos a revisar) de las personas investigadas.
Si la recopilación de datos (por ejemplo, imágenes de disco forenses de ordenadores portátiles, servidores, móviles, etc.) se va a llevar a cabo en forma discreta, el equipo de investigación debería asegurar que la adquisición y gestión de datos se ajusta a las políticas de tecnología de la información de la organización.
A.7.6.2.3 Servicio de terceros
Se puede contratar a un proveedor externo de servicios forenses digitales para que lleve a cabo la recuperación forense y el análisis de los datos o documentos recuperados de los ordenadores portátiles, teléfonos móviles y otros dispositivos electrónicos de las personas investigadas.
A.7.6.2.4 Recopilación de datos forenses
Un equipo de investigación debería decidir cómo realizar el análisis forense de los datos del siguiente modo:
Recopilación remota de datos: si el custodio objetivo sigue empleado, el equipo de investigación puede llevar a cabo una recopilación remota de datos del ordenador de trabajo del custodio y considerar la posibilidad de realizar una imagen forense completa a través de la red de la organización sin dar aviso al custodio.
Recopilación de datos en directo: cuando es necesario adquirir datos en directo de dispositivos que aún están en funcionamiento. La recopilación en vivo de datos volátiles en la memoria de acceso aleatorio (RAM) puede permitir la recuperación de información valiosa, como el estado de la red, la aplicación de firewall y las contraseñas.
Recopilación de datos fuera de línea: el equipo de investigación también puede aplicar la recopilación fuera de línea para realizar una imagen completa utilizando herramientas forenses estándar de sector y documentación exhaustiva para mantener los procedimientos de la cadena de custodia.
Recopilación de datos con el consentimiento: el equipo de investigación, con la ayuda de expertos, puede recopilar una copia de los datos de correo electrónico del custodio de la organización.
Análisis de datos: el equipo realizará un análisis forense de las imágenes forenses recopiladas. Los resultados del análisis se facilitarán al equipo de investigación o al asesor externo para su revisión.
A.7.6.2.5 Análisis forense
El análisis forense puede realizarse teniendo en cuenta lo siguiente:
Historial de Internet: los sitios web que el custodio ha visitado recientemente, incluidas las actividades asociadas a cualquier servicio basado en la nube.
Lista de archivos accedidos/modificados/creados: lista de archivos a los que se ha accedido, que han sido modificados o han sido creados recientemente.
Historial de dispositivos de almacenamiento externo: una lista de los archivos que se han copiado en dispositivos de almacenamiento externos.
Historial de los servidores en la nube: lista de documentos o de actividades del usuario en los servidores en la nube.
Recuperación de eliminación: una lista de archivos que han sido eliminados pero recuperados por los expertos forenses del equipo de investigación.
Registros de mensajes instantáneos: el equipo también puede proporcionar al propio equipo de investigación o a abogados externos los registros de mensajes instantáneos descifrados del ordenador objetivo.
Procesamiento de datos: el equipo de investigación puede, normalmente a través de un experto forense externo, emplear motores de procesamiento para procesar los datos extraídos de correos electrónicos y hojas de cálculo con los datos extraídos diseminados a nivel de elemento exactamente en qué datos están contenidos en el universo presentado, para registrar todos los metadatos a nivel de elemento y tal como existían antes del procesamiento, y para permitir una reducción del contenido de los datos seleccionando sólo los elementos apropiados para pasar a su revisión.
Revisión de evidencias: los datos se alojan en una plataforma web de revisión en la que el equipo de investigación o abogados externos pueden revisar los documentos de forma sinérgica y sincronizada.
Elaboración de informes: el equipo de investigación presenta un informe que resume el trabajo realizado y cómo se ha llevado a cabo.
Análisis de datos: el equipo de investigación debería analizar la investigación recopilada como se ha mencionado anteriormente, junto con el resultado de la revisión de documentos y la entrevista de la persona investigada.
A.7.7.1 Preparativos
Las técnicas de entrevistas incluyen escuchar atentamente, hacer preguntas generales, buscar la cooperación de los testigos y llegar a un terreno común.
El investigador debería proponer a la persona objeto de una investigación ser asistida durante la entrevista por representantes de los trabajadores o representantes sindicales, teniendo en cuenta la legislación local.
A.7.7.2 Realización de una entrevista
La entrevista debería realizarse del siguiente modo:
mantener las entrevistas encauzadas y que fluyan de forma lógica;
seguir el plan o esquema de la entrevista, pero estar preparado para improvisar;
mantener la confidencialidad de la entrevista y el recuerdo de cada testigo impoluto por las opiniones de los demás;
estar preparado para hacer frente a la falta de cooperación de los entrevistados aplicando técnicas de persuasión o imponiendo medidas disciplinarias.
A.7.7.3 Registro de una entrevista
Si se preparan notas detalladas o memorandos de entrevistas, deberían tomarse medidas específicas para proteger estos documentos como productos de trabajo privilegiados y entre abogado y cliente (si procede).
Los entrevistadores no deberían entregar notas escritas ni memorandos al sujeto, al testigo o a su abogado.
Los entrevistadores pueden grabar una entrevista de cualquier forma (por ejemplo, audio y/o video), teniendo en cuenta la legislación local.
A.7.8 Proceso de finalización
El equipo de investigación debería finalizar la investigación cuando pueda explicar el presunto incidente de forma coherente. En caso contrario, debería continuar la investigación hasta que haya más información disponible o fuentes adicionales, momento en el que debería finalizar la investigación, y el equipo de investigación debería explicar las limitaciones en la información.
Como parte del proceso de finalización de la investigación, el equipo de investigación podrá:
crear un documento de reconocimiento en el que se indique el resultado de la investigación:
acusación fundamentada;
acusación infundada;
no concluyente;
organizar los documentos de la investigación;
colocar todos los documentos y productos del trabajo en una carpeta con un índice y separadores con pestañas si la organización exige que se conserven copias impresas en papel;
comunicar los resultados de la investigación al órgano de gobierno y a las partes interesadas pertinentes y aprobadas;
preparar un informe/presentación que resuma la investigación;
proponer destinatarios internos de los resultados de la investigación (por ejemplo, recursos humanos, controladores, departamentos financieros) y sí deberían comunicarse al denunciante o al informador.
El órgano de gobierno debería recabar asesoramiento legal sobre la conveniencia de notificar la (posible) inquietud a los órganos organizacionales y reglamentarios pertinentes. Debería identificar los órganos reglamentarios exactos que exigen informar y quién hará el informe, y debería estar preparado para cualquier posible repercusión.
A.7.9 Informe de investigación
Un informe de investigación típico suele incluir un resumen ejecutivo, los antecedentes, la presentación/descripción de la metodología de investigación y las evidencias encontradas, el análisis de las evidencias y una conclusión, y puede incluir recomendaciones (es decir, mejoras del control) si la organización lo requiere.
Por lo general, el resumen ejecutivo debería incluir los hallazgos, conclusiones y sugerencias clave, para las medidas de remediación.
Por lo general, la descripción de los antecedentes debería incluir los departamentos o unidades involucrados, las actividades pertinentes de las unidades involucradas, los empleados involucrados y las relaciones entre los empleados, los hechos de antecedentes sujetos a la acusación o incidente y las cuestiones fácticas a ser resueltas.
El análisis de las evidencias en el informe de investigación normalmente debería incluir el reconocimiento de las posiciones de cada parte, la descripción de las evidencias que apoyan cada posición, la evaluación de los hechos, la identificación de los hechos relevantes, la desestimación de los hechos irrelevantes y la evaluación de la credibilidad en cuanto a los hechos controvertidos.
La conclusión del informe de investigación puede incluir los siguientes elementos clave:
a) referencia a la norma política en cuestión para que el órgano de gobierno y las partes interesadas aprobadas y pertinentes tomen las decisiones correspondientes;
b) establecer hallazgos que puedan utilizarse para alcanzar los objetivos relacionados con los hechos investigados;
c) proporcionar los hallazgos, en lugar de una conclusión legal, para determinar si la preocupación o acusación está fundamentada, no está fundamentada o no es concluyente.
A.8 Posibles medidas de remediación o mejoras
Un informe de investigación adecuado constituye una base sólida para adoptar medidas de remediación. Estas acciones deberían abordar las causas del incidente de incumplimiento.
Las funciones organizacionales apropiadas deberían preparar un plan de remediación que tenga en cuenta:
una evaluación de la suficiencia, adecuación y eficacia del control o controles internos existentes para detener el incidente de incumplimiento;
una hoja de ruta sobre cómo mejorar el control o controles internos existentes.
Algunas medidas de remediación a considerar por la organización pueden ser:
a) impartir formación especializada sobre compliance a los empleados;
b) mejorar los controles internos de la organización para evitar el incidente de incumplimiento;
c) revisar la relación contractual con terceros;
d) someter el programa de compliance y/o los controles específicos a auditorías o pruebas;
e) reestructurar las áreas y los puestos involucrados en el incidente de incumplimiento.
La identificación de los momentos críticos para la comunicación con las partes interesadas pertinentes forma parte de la responsabilidad del equipo de investigación. La interacción con las partes interesadas pertinentes puede producirse antes, durante o después de la investigación. La coyuntura precisa debería determinarse en función de los hechos materiales que se descubran en la investigación. El equipo debería ejercer su juicio profesional sobre la cuestión y solicitar la opinión del equipo de compliance de la organización con el fin de maximizar el beneficio que ofrecen estos momentos críticos.
Las partes interesadas pertinentes pueden ser externas e internas. Las partes interesadas externas, como las autoridades, los auditores financieros, los proveedores y los clientes, son importantes porque tienen un impacto significativo en las operaciones normales de una organización determinada. Las partes interesadas internas incluyen, entre otros, a los empleados y accionistas de una organización determinada. Ellos tienen un efecto muy directo en la forma en que se lleva a cabo la investigación. La identificación de estos sujetos de interacción debería realizarse antes de llevar a cabo la investigación. La planificación de la investigación debería minimizar el impacto en el funcionamiento diario de la organización.
La organización debería haber establecido normas de comunicación a aplicar y un sólido conjunto de herramientas de comunicación para gestionar con éxito a las partes interesadas. Las distintas partes interesadas requieren diferentes formas de estrategias de comunicación. Sin embargo, hay algunos puntos comunes a tener en cuenta para una comunicación óptima. La característica más importante de cualquier proceso de comunicación es la escucha/recopilación cuidadosa de información sobre las relaciones públicas de la organización en ese momento. La comunicación con las distintas niveles jerárquicos debería llevarse a cabo para obtener y enviar mensajes contradictorios. También se debería permitir alentar la continuidad de las interacciones y la comunicación con las partes interesadas de la organización para asegurar que las partes interesadas son conscientes de los procesos de flujo de la investigación. Además, las partes interesadas también deberían pasar por un proceso de campaña de toma de conciencia para alinearse con los procedimientos existentes de una organización.
Los beneficios y riesgos que figuran en la tabla A.1 deberían tenerse en cuenta a la hora de decidir si se hace una auto-denuncia.
La adopción de medidas disciplinarias contra las personas investigadas debería ser decidida por el órgano de gobierno y/o la dirección correspondiente, en consulta con el equipo de recursos humanos.
Esto depende en gran medida del tipo, el entorno, las circunstancias, el contexto y la complejidad de la organización en la que opera en la industria:
las organizaciones que contratan principalmente con el sector público deberían dar prioridad a su buena fe con las autoridades públicas;
algunos necesitan proteger su reputación.
El interés superior de una organización también depende de las circunstancias específicas del momento. Por ejemplo, una acción gubernamental de aplicación de la ley puede por sí sola causar un daño significativo a la reputación o una pérdida de negocio. En ese caso, lo mejor para la organización es limpiar su nombre rápidamente. Por lo tanto, debería tenerse en cuenta la circunstancia específica antes de adoptar medidas disciplinarias.
Otros factores que deberían evaluarse para imponer medidas disciplinarias son, entre otros:
la reacción del gobierno;
antigüedad de los investigados;
nivel de publicidad;
requisitos reglamentarios;
necesidad de disuasión;
gravedad de la conducta irregular;
sanción disponible;
monto/cálculo de la pérdida financiera y su impacto potencial en la organización (materialidad).
Se debería tener en cuenta un equilibrio al evaluar estos factores.
[1] ISO 19650-5:2020, Organization and digitization of information about buildings and civil engineering works, including building information modelling (BIM). Information management using building information modelling. Part 5: Security-minded approach to information management.
[2] ISO 31000:2018, Gestión del riesgo. Directrices.
[3] ISO 37000:2021, Gobernanza de las organizaciones. Orientación.
[4] ISO/IEC 27001, Information security, cybersecurity and privacy protection. Information security management systems. Requirements.
[5] ISO/IEC 27037:2012, Information technology. Security techniques. Guidelines for identification, collection, acquisition and preservation of digital evidence.