I. Introducción
Antes de dar inicio al artículo es importante señalar que, tanto la ISO 37000 sobre gobernanza en las organizaciones, como la ISO 37002 sobre sistemas de gestión de denuncias, no se encuentran aprobadas. En el momento de escribir este artículo, ambas se encuentran en fase de consulta[1].
Teniendo esto en cuenta, expondré las cuestiones esenciales que contienen ambas normas ISO, advirtiendo que el contenido de este artículo se ha basado en borradores de las normas y, por ende, pueden cambiar en mayor o menor medida.
II. ISO 37000 sobre gobernanza en las organizaciones
Tras escándalos de corrupción y mala gestión de organizaciones como los casos Enron, Lehman Brothers, o FIFA, existe cada día más un interés por las buenas prácticas en las organizaciones de todos los sectores; privados, públicos e incluso en organizaciones sin ánimo de lucro.
Por ese motivo, la Organización Internacional de Normalización ha decidido plasmar en una norma ISO aquellas líneas de actuación y principios que deben regir en todas organizaciones para poder alcanzar sus metas con eficacia, sostenibilidad, responsabilidad y equidad.
Para ello, la ISO 37000 parte de la definición de gobernanza dada en la norma BS 13500 (código de prácticas para obtener una gobernanza eficaz)[2] y persigue:
- Aclarar la distinción entre el ámbito de la gobernanza y el ámbito de la gestión.
- Apoyar la legislación, la política, la reglamentación o la orientación nacionales existentes.
- Considerar la orientación internacional existente en relación con la gobernanza de las organizaciones.
- Proponer un conjunto coherente de recomendaciones (definiciones, marco, prácticas) para que las organizaciones puedan hacer frente a los diferentes entornos y partes interesadas.
- Facilitar el establecimiento de un diseño limpio y completo de la gobernanza de una organización, como un sistema.
Además, las recomendaciones de la norma serán aplicables a todo tipo de organizaciones, con independencia de su tipo, tamaño, localización estructura o finalidad.
Concretamente, desarrolla una serie de directrices para las organizaciones relacionados con once principios de la gobernanza:
- Propósito
- Generación de valor
- Estrategia
- Supervisión
- Responsabilidad
- Compromiso de las partes interesadas
- Liderazgo
- Datos y decisiones
- Gestión del riesgo
- Responsabilidad social
- Viabilidad organizacional y éxito a lo largo del tiempo
En alguno de estos apartados, la norma ISO dedica un epígrafe a presentar un posible dilema que pudiera surgir en una organización ligado con el principio de gobernanza en cuestión y lo resuelve, orientando la conducta que se esperaría del órgano de gobierno de una organización en los términos de la norma.
III. ISO 37002 sobre sistemas de gestión de denuncias
Principalmente, la norma ISO 37002 tiene como objetivo[3] guiar a las organizaciones en crear y gestionar canales de denuncias. Contempla la posibilidad de que éstos se creen a través de entrevistas personales, líneas telefónicas, páginas web, email, apps móviles, por correo postal o correo interno.
A diferencia de la ISO 37000, la ISO 37002 se concibe como un sistema de gestión y seguirá una estructura de alto nivel[4]. De este modo se facilita la integración del sistema dentro de una organización que ya cuente con otros sistemas, como la ISO 9001[5], o la más reciente ISO 19601[6]. Se conseguirá así garantizar la coherencia en el lenguaje empleado entre los sistemas de diferentes disciplinas.
No obstante, la norma se concibe como autónoma; puede ser implantada en el seno de cualquier organización, aunque no cuente con otros sistemas ISO integrados.
Además, la ISO 37002 no se circunscriben a un tipo de organización concreto, o que opere en un sector específico. Así, este estándar podrá ser usado por organizaciones de todos los tamaños (incluidas PYMES) y dedicadas a cualquier sector.
En este sentido, se contempla la posibilidad de designar a varios trabajadores que tuvieran otras responsabilidades en la empresa para que asuman conjuntamente la gestión del canal de denuncias cuando la organización no cuente con personal dedicado en exclusiva a esa tarea, siempre que no exista conflicto de intereses.
En concreto, la norma establece cuatro puntos esenciales que cada organización debe contemplar para la creación de un sistema de denuncias:
- Cómo se reciben las comunicaciones de irregularidades: el sistema de canal de denuncias tendrá que determinar cómo se pueden presentar y recibir las denuncias teniendo en cuenta el alcance[7] del canal. Se recomienda crear al menos un canal de comunicación ajeno a la dirección de la organización, pudiendo subcontratarse con terceros ajenos a la empresa.
- Cómo se evalúan y clasifican estas comunicaciones: el sistema tendrá que especificar el procedimiento de clasificación de las comunicaciones teniendo en cuenta, principalmente, el riesgo que puede suponer el hecho comunicado (ponderando imparcialmente la verosimilitud de la comunicación y su potencial impacto). Este procedimiento de clasificación de las denuncias debe además documentarse. Asimismo, el sistema debe contemplar desde este momento del procedimiento medidas de protección para el denunciante y terceros que pudieran estar implicados.
- Cómo se resuelven las comunicaciones: el sistema tendrá también que contemplar unas normas de investigación imparciales y adecuadas, así como medidas de protección y seguimiento apropiadas para el denunciante y aquellas personas que pudieran ser sujeto del informe relacionado con la denuncia. De cara a reforzar la apariencia de imparcialidad, la norma estima que las organizaciones deberían valorar la contratación de investigadores externos, en especial cuando no cuenten con personal con aptitudes relacionadas con la investigación interna o cuando la imparcialidad del investigador interno no pueda asegurarse.
- Cómo se cierran los incidentes de irregularidades: finalmente, el sistema tendrá que contemplar un sistema de clausura de las investigaciones, junto con recomendaciones y decisiones relacionadas con el resultado de las mismas. Asimismo, las medidas de protección podrán mantenerse y ser seguidas con posterioridad a la clausura de la investigación.
Finalmente, la ISO 37002 recoge un capítulo específico dedicado a la evaluación del rendimiento del sistema de denuncias implantado. Señala una serie de indicadores que pueden ser empleados de cara a evaluar dicho desempeño del sistema junto con auditorías internas.
IV. Conclusiones
Estos nuevos estándares ISO vienen a completar un sistema de normas que lleva creciendo varios años.
Desde una perspectiva penal, los criterios fijados por la ISO 37002 como indicadores del buen funcionamiento del sistema de denuncias implantado en una empresa pueden servir de orientación a la hora de evaluar su eficacia dentro de los sistemas de prevención de delitos de cara a la eximente de responsabilidad penal de la persona jurídica prevista en el art. 31 bis del Código Penal.
No obstante, no puede olvidarse que los estándares marcados por las normas ISO en ningún caso son exigidos por nuestro Código Penal para determinar si un sistema de compliance o, en este caso, un canal de denuncias es eficaz.
Adicionalmente, habrá que ver qué interacciones surgen entre la norma ISO 37002 y nuestro ordenamiento jurídico interno cuando se transponga la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo de 23 de octubre de 2019 relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión.
[1] En concreto, la ISO 37000 se encuentra en fase 40.20 (votación del borrador de la norma) y se prevé que se publique en el segundo cuatrimestre de 2021 y la ISO 37002 se encuentra en la fase 40.60 (cierre de las votaciones del borrador de la norma) y se prevé su publicación para finales de 2021.
[2] “El Sistema mediante el cual toda la organización es dirigida, controlada y responsabilizada para alcanzar su propósito a largo plazo” o “The system by which the whole organization is directed, controlled and held accountable to achieve its core purpose over the long term”.
[3] https://committee.iso.org/sites/tc309/home/projects/ongoing/ongoing-2.html.
[4] Todas las normas ISO con estructura de alto nivel se estructuran en diez capítulos: 0. Introducción; 1. Alcance (Objeto y campo de aplicación); 2. Referencias normativas (Normas para consulta); 3. Términos y definiciones; 4. Contexto de la organización; 5. Liderazgo; 6. Planificación; 7. Soporte (incluyendo Recursos); 8. Operación; 9. Evaluación del desempeño; 10. Mejora.
[5] Sobre sistemas de gestión de calidad.
[6] Sobre sistemas de gestión de compliance.
[7] Cada organización puede fijar el alcance de su canal de denuncias teniendo en cuenta: la estructura de la propia organización (tamaño, localización, actividad, modelo de negocio, socios de negocio, obligaciones estatutarias, regulatorias, etc.); los tipos de denunciantes permitidos (personal interno, terceros ajenos a la organización, socios de negocio, etc.); el lugar desde el cual se pueden formular las denuncias; y el tipo de irregularidades que quedan cubiertas por el sistema del canal de denuncias (corrupción, comportamientos contrarios a la ética; defraudaciones; infracciones de códigos de conducta internos de la organización; discriminación; acoso laboral; distracción de fondos; abuso de autoridad; conflictos de interés; administración desleal; cuestiones relacionadas con la salud o seguridad en el trabajo; derechos humanos; etc.).