¿Qué te queda por hacer antes de la ISO de Gestión de Canales de Denuncia?

El éxito pasa por transparentar el proceso, generar confianza a las partes, ganar cercanía con la comunicación y profesionalizar al máximo las fases

¿Qué te queda por hacer antes de la ISO de Gestión de Canales de Denuncia?

Todo está preparado para que, en los próximos días, quizás semanas, se publique definitivamente la ISO 37002 como una guía para la implementación de un sistema de gestión en materia de canales de denuncia.

En el sector estábamos expectantes por conocer qué sería antes: la norma voluntaria, como es el caso, o el requerimiento legal que apura la cuenta atrás. Ya sea por estos motivos, ya sea por la legislación para la prevención de blanqueo de capitales o, como medida en los planes de igualdad, el caso es que está siendo el año del canal denuncia y han sido muchas las organizaciones que han decidido implantar uno, integrar los canales que tenían previamente, evaluar la idoneidad de los que habían implementado, formar a los intervinientes, certificar a sus gestores, etc.

Está claro que es necesario implementar una solución tecnológica, pero esto debe ser el fin de un proceso de maduración interna en las organizaciones. Un proceso que asegure cada fase de tal manera que no se permita la improvisación cuando tengamos que gestionar las comunicaciones.

A continuación, se exponen algunos de los puntos que deben estar claramente definidos y documentados.

En cuanto a los roles, fijar, en primer lugar, quién lidera la responsabilidad del canal, independientemente de quién lo gestione (por delegación o encargo). Se trata del área que asegura su existencia, promueve su conocimiento, supervisa su correcta gestión, define y asegura las garantías que se establezcan, etc. Es a quien se reporta el informe de situación periódico y la memoria anual.

Además, habrá que dejar claro quién lo recibe y en qué casos, quién hace el triaje, quiénes investigan, quienes deciden, quién asegura el cumplimiento de las acciones, quién archiva y quién elabora los informes de situación.

En segundo lugar, cuál es el alcance del canal: esto es, para qué sociedades; países; para qué grupos de interés; para qué tipo de denuncias; ¿aceptamos consultas o reclamaciones?, etc.

Por último, qué áreas internas y/o externas van a participar en el mismo y qué habilidades son las que se requieren: en función del rol que deban desempeñar en el proceso (investigación, decisión); en función del tipo de denuncia que se reciba (acoso, fraude, corrupción); en función de las medidas cautelares que puedan aplicarse, en función de las acciones correctoras que procedan, etc.

A partir de la reflexión anterior es cuando se tiene que diseñar unas políticas y/o procedimientos que sirvan para que quienes hagan uso del canal o participen del mismo, desde cualquier perspectiva, conozcan lo que se espera de cada uno y, por extensión, del canal de denuncias de la organización. Para esto es cuando se empieza a definir el proceso de cómo facilitar, cómo comunicar, cómo garantizar, cómo investigar, cómo decidir, cómo archivar, cómo hacer los informes, qué indicadores definir, cómo supervisar la eficacia del canal, etc. Cada proceso en sí, tiene bastante relevancia, especialmente para seguir asegurando las garantías que se han establecido en el inicio, para llegar a los grupos de interés, etc.

Con todo lo anterior avanzado, es el momento de mirar soluciones tecnológicas que se adapten a las especificidades de la organización y no al revés. Por supuesto, no he entrado en el tema de las garantías de confidencialidad, no represalias o de comunicación al denunciante (incluso anónimo), ni en la garantía de defensa y trato de justo del denunciado porque ya están recogidas en la directiva, por lo que no son negociables. Incluyo en esta parte la nulidad de los canales que funcionan mediante correo electrónico o formulario en la web alojada en el servidor de la organización o que reenvía la información como mail desde el mismo o a un correo corporativo porque deja la información accesible para las personas de sistemas.

Una vez que tenemos todo lo anterior, vamos a plantearnos ir a la consecución de una ISO 37002 y vayamos o no, recordad que esta herramienta y la información que se deriva de la misma debe ser auditada para asegurar su eficacia y la veracidad de la información que se deriva de la misma con el objetivo de seguir mejorándola año tras año.

Mis recomendaciones personales para el éxito pasan por integrar canales, transparentar el proceso, generar confianza a todas las partes, ganar cercanía con la comunicación, facilitar a todas las partes su función, profesionalizar al máximo las fases, en especial el triaje, entrenar a todos los participantes, informar a todos los intervinientes y reportar de la manera más precisa posible.

Eduardo Navarro Villaverde, consejero ejecutivo de BeCompliance y vicepresidente segundo de la Asociación de Profesionales de Cumplimiento Normativo (CUMPLEN)

Normas
Entra en El País para participar