Por Guillermo Zapata;
Gerente Senior del área de Consultoría en Riesgos, Compliance y Servicios Forenses en PwC.
Miembro del equipo de Compliance de The Key.
En el mundo empresarial es cada vez más frecuente que la existencia y operatividad de un Programa de Compliance forme parte de la agenda de los órganos de gobierno y administración de una empresa, ya sea para tratar sobre el estado de madurez o atender a un requerimiento de inversionistas, socios comerciales u otros grupos de interés externos.
Uno de los abanderados en dicha temática es el Programa de Prevención de Corrupción, el cual se encuentra conformado, tal como dispone la Ley N° 30424, por estándares mínimos: (i) un encargado de prevención, designado por el máximo órgano de administración de la persona jurídica o quien haga sus veces, según corresponda, que debe ejercer su función con autonomía e independencia; (ii) identificación, evaluación y mitigación de riesgos para prevenir la comisión de los delitos de cohecho activo, colusión, tráfico de influencias, lavado de activos y financiamiento del terrorismo; (iii) implementación de procedimientos de denuncia; (iv) difusión y capacitación periódica del Programa de Prevención; y, (v) evaluación y monitoreo continuo del Programa.
Si bien existen componentes complementarios previstos en el Reglamento (aprobado por D.S. Nº 002-2019-JUS), tales como registro de actividades y controles internos; políticas para la gestión de regalos, auspicios, hospitalidad, viajes y entretenimiento; donaciones; contribuciones a campañas políticas, entre otros; uno de los mecanismos de prevención más relevantes para identificar de manera temprana eventos que afecten las prácticas de prevención de corrupción empresarial (y de fraude en general) es la estructuración, diseño y puesta en marcha de canales de denuncias en una empresa.
El reconocimiento del valor y efectividad de los canales de denuncias se encuentra documentado en varios análisis y benchmarks. Por ejemplo, la Asociación de Examinadores de Fraude Certificados (ACFE), en su estudio global de fraude del 2020[1], ha identificado que las organizaciones con canales de denuncias detectan fraudes de manera más rápida que aquellas empresas que no los tienen; además, que las empresas que no tienen canales de denuncias presentan mayores pérdidas económicas que aquellas instituciones que sí cuentan con tales medios; y que desde el año 2010 el uso de mecanismos de reporte se ha incrementado notablemente, entre otros insights que permiten acreditar beneficios económicos y competitivos para las organizaciones. De manera complementaria, el estudio de PwC denominado “Global Economic Crime Survey” publicado en 2020, destaca que la implementación de canales de reportes puede ayudar a identificar un riesgo no considerado previamente[2], lo cual sin duda mejora la gestión de riesgos empresariales.
En ese orden de ideas, la implementación de canales de denuncias no es sólo una expectativa regulatoria en temas de Prevención de Corrupción, inclusive es un componente esencial de cara a una adecuada y efectiva implementación de un programa, conforme con lo establecido en los “Lineamientos para la Implementación y Funcionamiento del Modelo de Prevención”, aprobados por la Superintendencia del Mercado de Valores (SMV), mediante Resolución SMV Nº 006-2021-SMV/01, publicada el 31 de marzo del año en curso.
En adición, la relevancia de una adecuada implementación de canales de denuncias es de tal nivel, que su correcto funcionamiento y efectividad también permite ser un facilitador de cumplimientos regulatorios en otros temas que tienen incidencia en las prácticas de Compliance empresarial, por ejemplo, aspectos vinculados a libre competencia[3]o represión de conductas laborales de hostigamiento; e, inclusive, son un pilar fundamental del desarrollo de un sistema de Buen Gobierno Corporativo[4]para las empresas peruanas y, por ende, de su sostenibilidad en términos de integridad empresarial.
Los canales de denuncias no son solo establecidos a nivel local por las consideraciones normativas precitadas, sino que también se convierten en un estándar global de gestión empresarial, pues son regulados por la norma ISO 37301 – Sistema de Gestión de Compliance; ISO 37001 – Sistema de Gestión Antisoborno; ISO 31022 – Sistema de Gestión del Riesgo Legal; entre otras.
Para una adecuada gestión de los canales de denuncias se ha emitido recientemente la norma ISO 37002 – Sistema de gestión de denuncias que, si bien no es certificable, brinda una guía orientativa sobre todo el proceso de gestión de denuncias. Los canales de denuncias son un punto de inicio para recopilar eventos, pero forman parte de una gestión integrada de evaluación, administración, investigación y cierre formal de los eventos reportados. En otras palabras, para acreditar Compliance no basta con señalar o difundir cuáles son los medios de reporte (típicamente un correo electrónico específico, página web especial o línea telefónica dedicada), sino que debe generarse un ciclo adecuado de gestión de los eventos reportados. En efecto, la norma ISO 37002 propone cuatro pasos que deben formar parte de todo sistema de gestión de denuncias:
a) Recepción de los reportes.
b) Evaluación de los reportes.
c) Abordar los reportes (tratamiento).
d) Conclusión de los eventos reportados.
Por tanto, conceptualicemos que uno de los componentes del Programa de Compliance no se agota en tener uno o varios canales de denuncias, ya sea internos o tercerizados, sino que la clave es contar con una adecuada gestión de los reportes formulados en tales medios.
En esa línea, con la emisión de la norma ISO 37002 se genera el espacio de autoevaluación por cada organización para reflexionar sobre cómo es el ciclo de gestión de denuncias, de tal forma que esté asentado en los principios de confianza, imparcialidad y protección, pues la mayor o menor incidencia o solidez de estas bases origina el éxito o fracaso de los canales de denuncias y, consecuentemente, de su gestión.
A continuación, proponemos un flujo de trabajo bajo el siguiente enfoque:
Elaboración propia
Para viabilizar el proceso precitado, sugerimos las siguientes acciones:
1) Sin duda existen aspectos claves a considerar en el diseño de los medios de recepción, como que sean visibles para el público en general (acceso universal). Por ejemplo, en el contexto actual, es imprescindible que las empresas difundan sus canales en sus respectivas páginas web, en una sección que sea fácilmente identificable, que establezca qué mecanismos de reporte existen, cuál es el protocolo de recepción, administración y respuesta a los reportes presentados, los niveles de receptores de las situaciones reportadas y qué se considera una denuncia (catálogo o tipologías definidas).
2) En cuanto a la operativa del canal (ejecución), se debe emplear un lenguaje sencillo (considerar temas de idioma según la jurisdicción en que opere la empresa), claro (directo) y medios que sean “user-friendly” con el reportante, para que se reciban sus denuncias o atiendan sus dudas en cuanto a la presentación del reporte.
3) Un pilar transversal a los puntos precitados consiste en tener personal profesional, con habilidades blandas, que generen confianza, cuenten con inteligencia emocional para lidiar con las situaciones reportadas y su gestión, que sean imparciales, libres de conflicto de interés e integridad; mientras que también se debe definir el perfil que tendrá el equipo asignado a la investigación del caso (interno o externo, el tipo de competencias profesionales, experiencia, soft skills, entre otros), pues tendrán un rol crítico en dilucidar el evento reportado.
4) Mientras que, en relación con la efectividad, es transcendental evaluar si los canales de denuncias están funcionando adecuadamente, es decir, analizar si se presentan o no reportes, las tipologías existentes, identificar tendencias, determinar cómo se resolvieron los hechos reportados, qué medidas de remediación se adoptaron o si se llegaron a efectivizar las sanciones. En resumen, identificar la causa-raíz del evento y adoptar las medidas de remediación oportunas, lo cual también forma parte del componente de mejora continua de cualquier Programa de Compliance y de las normas ISO mencionadas en este artículo.
5) En adición, es vital fortalecer las capacitaciones tanto internas como externas sobre la existencia de los medios de reporte, enfatizando que son seguros e independientes en su administración, divulgando cuáles son las medidas de protección al reportante y las políticas de no represalia, la salvaguarda del derecho de defensa, del debido proceso, así como las consideraciones en caso se interpongan denuncias de manera maliciosa o de mala fe.
6) Considerar la implementación de prácticas de privacidad orientadas a proteger no solo los datos personales del reportante, sino de otros involucrados, y adoptar los principios de consentimiento informado, así como establecer adecuados protocolos de seguridad y confidencialidad de la data suministrada, además de su tratamiento durante el ciclo de gestión de denuncias, en particular en el proceso de investigación.
7) Definir a los receptores de la información, así como posibles usuarios de esta, tanto internos como externos; y determinar mecanismos de seguridad: cómo se recibe, custodia, transmite, en qué dispositivos, si se emplearán medios de anonimización o encriptación.
8) Hacer evaluaciones periódicas sobre revisión de accesos, autorizaciones y vulnerabilidad de las aplicaciones, sobre todo si los canales de denuncias son administrados internamente.
En atención a lo expuesto, el sistema de gestión de denuncias ha venido para quedarse y debe ser administrado bajo un enfoque evolutivo. En ese sentido, conviene tener presente que es clave un correcto diseño, despliegue interno y externo, uso, abordaje de los eventos reportados, sus consecuentes investigaciones y la medición de la efectividad del sistema, para acreditar un funcionamiento idóneo de un Programa de Compliance, pero sobre todo como mecanismo para identificar oportunamente fraudes, alegaciones o riesgos de estos, cualquier mala praxis empresarial que afecte el tono ético de la institución, que sea éticamente contraria a sus grupos de interés o afecte el cumplimiento de una norma externa o interna de la organización (incluido contratos o convenios con terceros), entre otros, con la finalidad de evitar o mitigar consecuentes sanciones, pérdidas financieras y, en especial, reputacionales, ergo, debe formar parte del core empresarial y sus buenas prácticas de Gobernanza Corporativa.
[1] Para más información, ver el estudio publicado por ACFE denominado “Report to the Nations 2020 – Global Study on Occupational Fraud and Abuse”, en el siguiente enlace:
https://www.acfe.com/report-to-the-nations/2020/Default.aspx
[2] Para más información, ver el estudio publicado por PwC denominado “Global Economic Crime Survey”, en el siguiente enlace:
https://www.pwc.com/gx/en/forensics/gecs-2020/pdf/global-economic-crime-and-fraud-survey-2020.pdf
[3] Para más información, ver la “Guía de Programa de Cumplimiento de las normas de Libre Competencia” publicada por INDECOPI, en el siguiente enlace:
[4] Para más información, ver el “Código de Buen Gobierno Corporativo para las Sociedades Peruanas” publicado por la SMV, en el siguiente enlace
Imagen de cabecera: unsplash.com
