Proceso de investigación en ISO 37301

🔊 Escuchar esta entrada

Proceso de investigación en ISO 37301

Ya estamos en una organización que implementa un sistema de gestión de compliance basado en la norma ISO 37301, ¡enhorabuena! Seguro has estado leyendo nuestros artículos y te has dado cuenta de que el cumplimiento es una forma valiosa de garantizar la continuidad del negocio y de fijar una posición firme en contra del financiamiento del terrorismo, sobornos, lavado de dinero y corrupción.

Además, percibes que hay riesgos que acechan a la empresa; algunos de ellos son:

• Vulnerar contratos de los trabajadores y proveedores.
• No pagar imposiciones, cotizaciones y demás beneficios laborales.
• Violar leyes y reglamentos del país.
• Mala reputación.
• Inadecuada gestión de activos.
• Conflictos de intereses.
• Incumplir acuerdos comerciales.
• Riesgos legales, financieros y operativos de toda índole.

Esto supone que contemos con un canal de denuncias confidencial y capaz de hacer seguimiento a las declaraciones que se presenten; también se requiere documentar los testimonios y hacer seguimiento a cada caso. La importancia del canal es considerable si tomamos en cuenta que puede prevenir delitos y detectar irregularidades antes de incurrir en riesgos penales capaces de generar multas, castigos, cierres y encarcelamientos.   Una vez que la denuncia es formulada, comienza el proceso que nos atañe: el de investigación, que comprende siete pasos:

Acciones inmediatas

Apenas la denuncia llegue al canal, es crucial iniciar las investigaciones pertinentes. Las demoras no tienen lugar y es necesario empezar con las pesquisas que contribuyan a dilucidar la situación. Tales iniciativas ameritan precisión, discreción y que solo se impliquen las personas involucradas en los hechos. Las dilaciones pueden ser interpretadas como complicidad ante posturas antiéticas.

Planificación de la investigación

Fijar el curso de las indagaciones ayuda a ordenar las acciones y los hechos ocurridos, lo que brinda claridad al caso e impide que se sigan pasos infructuosos. También sirve para evitar que se inmiscuyan personas ajenas al proceso y la investigación derive en un callejón sin salida que dé la impresión de que en la empresa imperan la impunidad y el descuido ante las irregularidades.

Recopilación de datos

Una vez que la planificación está lista, es necesario documentar la denuncia de forma pormenorizada y contrastarla con hechos. Para ello es recomendable ejercer una vigilancia en el área donde ocurrió la irregularidad, estudiar a los implicados y hacer entrevistas que contribuyan a registrar qué tan frecuente es que existan anomalías.

Organización de datos

Un montón de cifras, declaraciones y hallazgos por sí solos no tienen sentido ni representan un aporte relevante sin el orden necesario que permita tratar la información de manera idónea. Esto comprende jerarquizar y clasificar los datos, desechar elementos superfluos, corroborar y contrastar la información y elaborar los informes que llegarán a las personas pertinentes.

Análisis causal

Una investigación bien hecha amerita brindar detalles y sus porqués. El curso de toda pesquisa lleva inexorablemente a un final, a una resolución del conflicto. Y para tener una perspectiva clara de todo lo ocurrido, más allá del final, los datos ordenados nos darán los motivos. La reflexión sobre las irregularidades e incumplimientos será de utilidad para prevenir nuevas inconsistencias y fallas.

Acciones preventivas y correctivas

En este punto ya contamos con datos organizados y analizados que, tras dar en blanco con las causas de lo sucedido, tienen la posibilidad de ayudarnos a hallar las acciones preventivas que impedirán que se cometan los mismos errores. En caso de incurrir en equívocos similares, es menester precisar cuáles serán las acciones correctivas que se aplicarán, teniendo como base las investigaciones hechas previamente.

Informar los hallazgos

El último punto de nuestra lista es particularmente relevante porque una investigación engavetada no revestirá de utilidad para nadie, en ningún caso. Es decir, es tan importante hacer la investigación como comunicar los hallazgos obtenidos. ¿A quiénes informar? ¡A cada involucrado! Y, luego de que las gestiones lleguen a feliz término, es importante que todos en la organización sepan que las investigaciones sí existen, sí importan y sí ayudan a dilucidar cuestiones complejas. Dependiendo del asunto, sería útil que la investigación trascendiera y llegara más allá de los límites de la empresa, para que la imagen de transparencia, integridad, eficacia y transparencia llegara a oídos de clientes y partes interesadas, como agentes multiplicadores de buenas noticias. Ellas son importantes y merecen ser difundidas –tanto o más– que las reseñas sobre fraudes, sobornos y corrupción. Después de todo, los buenos somos más.

Fase	Objetivo	Acciones clave
1. Acciones inmediatas	Activar la investigación sin demora	Iniciar pesquisas de forma inmediata, con precisión y discreción; limitar la participación a las personas directamente implicadas
2. Planificación de la investigación	Ordenar y estructurar el curso de las indagaciones	Fijar un plan de acción claro; evitar pasos infructuosos y la participación de personas ajenas al proceso
3. Recopilación de datos	Documentar y contrastar la denuncia con hechos	Vigilar el área donde ocurrió la irregularidad; estudiar a los implicados; realizar entrevistas y registrar la frecuencia de anomalías
4. Organización de datos	Convertir la información recabada en material procesable y útil	Jerarquizar y clasificar los datos; descartar elementos superfluos; corroborar y contrastar la información; elaborar informes
5. Análisis causal	Identificar los motivos de fondo del incumplimiento	Analizar los datos ordenados para determinar las causas raíz; extraer aprendizajes que prevengan futuras inconsistencias
6. Acciones preventivas y correctivas	Evitar que la irregularidad se repita	Definir medidas preventivas basadas en las causas identificadas; establecer acciones correctivas para casos similares futuros
7. Comunicación de hallazgos	Trasladar los resultados a todos los implicados y proyectar transparencia	Informar a cada parte involucrada; difundir internamente que las investigaciones funcionan; valorar comunicar externamente para reforzar la imagen de integridad

Estas son fases del proceso de investigación que naturalmente puedes implementar en tu organización; no obstante, el uso de la tecnología de la información le dará un alcance superior porque:

• Facilita la confidencialidad de los datos en los procesos.
• Agiliza la visualización de los soportes.
• Permiten analizar la gestión de forma ágil y encontrar oportunidades de mejora en forma integrada.

La investigación de compliance combinada con las potencialidades que tienen los softwares actuales le dará una ventaja competitiva a las organizaciones que lo implementen en conjunto.

Incumplimientos que pueden activar una investigación interna en compliance

Una de las preguntas más frecuentes en las organizaciones que implementan la ISO 37301 es precisamente esta: ¿qué tipo de hechos o situaciones deben activar el proceso de investigación interna? La respuesta es más amplia de lo que muchos responsables de compliance esperan. No se trata únicamente de casos graves y evidentes como el fraude o el soborno, sino de cualquier indicio razonablemente fundado de que algo no está funcionando conforme a las obligaciones de compliance asumidas por la organización.

Incumplimientos legales y regulatorios son la categoría más obvia y, a menudo, la más urgente. Aquí se incluyen situaciones como el impago de cotizaciones sociales o tributos en plazo, el incumplimiento de normativa medioambiental, la operación sin las licencias o permisos administrativos exigidos, o la vulneración de normativa sectorial específica —financiera, sanitaria, alimentaria o de protección de datos, según el sector de actividad—. Cualquier señal de que la organización está operando fuera del marco legal vigente debe derivar de forma inmediata en la apertura de una investigación interna.

Conductas contrarias a los códigos de ética y conducta de la organización también son causa suficiente para activar el proceso. El acoso laboral, los conflictos de interés no declarados, el uso indebido de información confidencial, las prácticas discriminatorias o la aceptación de regalos o beneficios que comprometan la imparcialidad de quien los recibe son ejemplos habituales que llegan a los canales de denuncia de compliance y que exigen una respuesta investigadora estructurada y proporcionada.

El soborno y la corrupción en cualquiera de sus formas —activa, pasiva, directa o a través de intermediarios— constituyen incumplimientos de máxima gravedad que activan no solo la investigación interna, sino potencialmente la notificación a autoridades competentes. La ISO 37301, en estrecha relación con la ISO 37001, es especialmente exigente en este ámbito: la inacción ante una sospecha fundada de soborno puede derivar en responsabilidad penal para la propia organización.

El incumplimiento de contratos con clientes, proveedores o socios de negocio puede igualmente activar una investigación cuando existan indicios de que el incumplimiento no es accidental sino intencionado, o cuando pueda implicar prácticas desleales, falsificación de documentación o manipulación de condiciones pactadas. Lo mismo aplica a la inadecuada gestión de activos de la organización, que puede encubrir irregularidades financieras o desvíos de recursos.

Los riesgos legales, financieros y operativos detectados en auditorías o en el seguimiento ordinario del sistema son otra fuente habitual de apertura de investigaciones. Una no conformidad recurrente que no se resuelve, un indicador de riesgo que supera consistentemente sus umbrales o un patrón anómalo en los datos financieros son señales que el sistema de compliance no puede ignorar sin comprometer su eficacia.

Finalmente, cualquier denuncia recibida a través del canal —sea anónima o identificada, provenga de un empleado, un proveedor o un tercero— tiene la consideración de indicio suficiente para iniciar, al menos, una valoración preliminar. La ISO 37301 es clara: la demora o la inacción ante una denuncia no solo debilita el sistema, sino que puede ser interpretada como tolerancia institucional ante el incumplimiento, con las consecuencias reputacionales y legales que ello conlleva.

Qué soluciones de denuncias facilitan investigaciones internas

El canal de denuncias es la puerta de entrada del proceso de investigación en cualquier Sistema de Gestión de Compliance basado en la ISO 37301. Pero no todos los canales son iguales, ni todas las soluciones disponibles ofrecen las mismas garantías de confidencialidad, trazabilidad y eficacia investigadora. Elegir la herramienta adecuada marca una diferencia sustancial en la capacidad real de la organización para detectar, investigar y resolver incumplimientos.

Las soluciones digitales especializadas en gestión de denuncias e investigaciones han desplazado a los canales tradicionales —buzones físicos, correos electrónicos genéricos o líneas telefónicas sin gestión estructurada— precisamente porque responden a los requisitos más exigentes que plantean tanto la ISO 37301 como la normativa europea de protección del denunciante. Una solución de compliance verdaderamente eficaz debe reunir, como mínimo, las siguientes características:

Garantía de anonimato real. El denunciante debe poder reportar una irregularidad sin revelar su identidad y sin que sea posible rastrearla técnicamente. Esta garantía no puede ser solo una declaración de intenciones: debe estar respaldada por la arquitectura tecnológica de la solución. Sin anonimato real, la cultura de denuncia no prospera y los incumplimientos permanecen ocultos hasta que las consecuencias son irreversibles.

Registro centralizado y trazable de cada denuncia. Desde el momento en que una denuncia entra al sistema, debe quedar registrada con toda su información relevante: fecha y hora de recepción, contenido, documentación adjunta y estado en cada fase del proceso. Esta trazabilidad es indispensable tanto para garantizar que ninguna denuncia queda sin respuesta como para poder demostrar ante una auditoría que el proceso se ha gestionado conforme a los procedimientos establecidos.

Flujos de investigación estructurados y configurables. La solución debe permitir asignar cada denuncia al investigador o equipo responsable, establecer plazos de resolución, registrar las actuaciones realizadas en cada fase —recopilación de evidencias, entrevistas, análisis causal— y documentar las decisiones adoptadas. Un flujo de trabajo estructurado impide que las investigaciones se dilaten sin control o que los pasos críticos se omitan por falta de seguimiento.

Gestión segura de evidencias y documentación. Todo el material recopilado durante la investigación —testimonios, documentos, correos, registros de acceso— debe almacenarse de forma segura, con control de acceso estricto y sin posibilidad de alteración posterior. La integridad de la evidencia es un requisito básico tanto para la validez interna de la investigación como para su eventual utilidad ante instancias judiciales o regulatorias.

Informes y dashboards para el seguimiento por parte de la dirección. El oficial de compliance y los órganos de gobierno necesitan tener visibilidad en tiempo real sobre el estado de las denuncias e investigaciones abiertas, los tiempos de resolución, los tipos de incumplimiento más frecuentes y las áreas o procesos con mayor exposición al riesgo. Esta información es esencial para la revisión por la dirección y para la mejora continua del sistema.

El software ISO 37301 de ISOTools integra en una única plataforma el canal de denuncias, la gestión de investigaciones y el resto de módulos del Sistema de Gestión de Compliance, lo que permite que la información fluya de forma natural entre el proceso de denuncia, el análisis de riesgos y las acciones correctivas. Esta integración elimina los silos de información, reduce los tiempos de respuesta y garantiza que cada investigación deja una huella documental completa y auditable, cumpliendo con los requisitos más exigentes de la ISO 37301 y de la normativa europea vigente en materia de protección del denunciante.

Software para investigaciones internas y canal de denuncias en ISO 37301

Implementar un sistema anticorrupción y aplicar una lista de verificación para un sistema antisoborno como esta resulta mucho más fácil si se cuenta con una herramienta tecnológica avanzada que estructura el sistema y facilita cada tarea.

Así lo hace el  Software ISO 37001 de ISOTools, específicamente diseñado para abordar cada componente de un sistema antisoborno con éxito. Esta solución ofrece funcionalidades apropiadas, por ejemplo, para una gestión óptima de los ciclos de tareas y flujos de documentación, para la aplicación ágil de la debida diligencia o para alentar la denuncia a través de canales que protegen el anonimato y facilitan las investigaciones.