Whistleblower Lines: La Necesidad de Implementación de Plataformas en Apoyo al Anonimato
Toda persona que ha llegado a trabajar dentro del sector financiero, o en empresas trasnacionales ha escuchado la frase “contacta nuestra whistleblower line” una y otra vez, a veces no dándole la importancia que merece. Estas líneas de reporteo, son uno de los conceptos más importantes a reconocer, cuando hablamos de Compliance.
“La distancia entre el número uno y el número dos, es siempre una constante. Si quieres mejorar la organización, debes mejorar tú, y la organización crecerá contigo.” – Indra Nooyi, CEO de Pepsi Co.
Toda persona que ha llegado a trabajar dentro del sector financiero, o en empresas trasnacionales ha escuchado la frase “contacta nuestra whistleblower line” una y otra vez, a veces no dándole la importancia que merece. Estas líneas de reporteo, son uno de los conceptos más importantes a reconocer, cuando hablamos de Compliance.
Su denominación en idioma inglés no siempre resulta la más afortunada ya que puede llegar a relacionarse con “informante” o “soplón”, cuando en realidad representa un mecanismo para acercar el cumplimiento de la ley y de las políticas internas de las compañías, a las manos de todos y cada uno de sus empleados, sin importar su área ni cargo.
El mundo descubrió la importancia de contar con líneas de reporteo dentro de las empresas en el año 2001, cuando el término llegó a los oídos de todos, siendo utilizado sin control por algunos de los medios de comunicación. Todos escuchamos “Enron” y “Whistleblower” dentro de la misma oración una y otra vez, y conforme se iban difundiendo las notas periodísticas, no sólo nos sorprendió cómo la gente en los altos mandos lograron cometer fraudes incalculables o cómo fue posible que las autoridades norteamericanas no discernieran entre información real e información creada, sin omitir mencionar las tantas veces que los empleados intentaron advertir tal situación sin éxito alguno, sufriendo en algunos casos represalias laborales y en otros se vieron obligados a actuar en contra de las políticas internas de su empleador, de la ley y de su actuar ético.
Fueron casos emblemáticos como éstos, por los que, con el cambio de milenio, todos los reguladores y abogados motivados en un actuar mejor, decidieron incorporar líneas de reporteo anónimas, acercando el mundo de Compliance a todos los empleados. Asimismo, se derivaron reformas a legislaciones como lo fue la Dodd-Frank Act (regulación federal estadounidense) y, a su vez, la Organización para la Cooperación y el Desarrollo Económicos (OCDE) realizó análisis y reportes sobre la implementación de los canales de denuncia y el manejo de éstos últimos. Muchos pensamos que el mundo laboral había entendido con tales precedentes, que los directores generales ya no podrían actuar en contra de la ley sin que el personal de reporte y equipo a su cargo se enteraran, y por lo tanto, que ya no se tomarían represalias contra los empleados que quieren actuar éticamente.
Sin embargo, muy poco tiempo después, a finales de 2016, volvimos a escuchar el tan sonado término “Whistleblower” pero esta vez de la mano de “Wells Fargo”. Los fraudes cometidos fueron diferentes a los que se vieron en el caso de Enron, pues fueron los mismos empleados quienes aperturaron cuentas bancarias, contrataron servicios de banca electrónica y solicitaron nuevas tarjetas a nombre de los clientes sin su consentimiento ni aviso.
Llama la atención que las autoridades que investigaron el caso Enron, se dieron cuenta que no se había creado un canal de comunicaciones seguras para los empleados que quisieron levantar la alerta sobre las actividades dentro de la empresa, y como bien lo ha mencionado Sherron Watkins (whisteblower de Enron): “Si las protecciones actuales para denunciantes hubieran estado vigentes en ese momento, se habría podido informar sus inquietudes a la Comisión de Bolsa y Valores (Securities and Exchange Commission), manteniendo su nombre confidencial.”
Y quince años más tarde, Bill Bado, uno de los empleados que perdió su trabajo por llamar a la línea de reporte de Wells Fargo señaló que: “Un exfuncionario de recursos humanos de Wells Fargo incluso dijo que el banco tenía un método para tomar represalias contra los informantes. Dijo que Wells Fargo encontraría formas de despedir a los empleados “en represalia por arrojar luz” sobre cuestiones de ventas. Podría ser tan simple como monitorear al empleado para encontrar una falla, como llegar unos minutos tarde en varias ocasiones.”
Si bien cada día es más sencillo presentar quejas anónimas dentro de las empresas mexicanas, muchas veces el responsable de investigar y dar seguimiento se ve imposibilitado para buscar al informante y solicitar más información o dar respuesta sobre el proceso relacionado con dicha queja.
Sin darnos cuenta, aquéllos que hemos estado dentro de las áreas de Compliance de las empresas mexicanas, nos vemos ante la misma problemática: ¿Cómo investigamos una queja anónima o avisamos el resultado del proceso sin afectar el anonimato del quejoso?
Más de una vez, con los hechos narrados, la forma de escritura o vocabulario, o por el conocimiento de los sucesos, es muy fácil que, al mencionar la queja al investigado, éste pueda darse cuenta de la persona detrás del anonimato y tomar represalias laborales o personales bajo cualquier otro concepto o excusa como fue el caso de Wells Fargo.
La realidad es que si bien, estamos preparados como abogados para discernir entre lo legal, lo ético y las actividades que van en contra de dichos principios, no hay suficiente información ni cursos disponibles que nos preparen para el manejo de estas situaciones. Adicionalmente, debemos considerar que el uso de recursos tecnológicos dentro del área Legal continúa siendo escasa en comparación de otras áreas.
Por supuesto, los cursos y foros son nuestra primera solución para brindar una mejor capacitación y prepararnos mejor ante estas situaciones, pero podemos también hacer uso de las nuevas tecnologías para asegurar anonimato, seguimiento y protección laboral a los empleados que necesiten o deseen usar las líneas de reporte.
La necesidad de una plataforma de fácil acceso, creada conforme a la legislación mexicana y a la nueva ISO 37002 – 2021 “Whistleblowing management systems — Guidelines”, que pudiera ser replicada y adaptada a las empresas mexicanas que deseen incorporarla, es inminente.
A través de este tipo de plataformas, se podrían incluir datos prellenados para limitar la redacción personal del suceso a reportar y de cierta manera, eliminar componentes humanos que pudieran ser rastreables a dicha persona. Asimismo, se podría incluir un número de folio (sin datos de autenticación como correo) para continuar la comunicación, que éste pueda dar seguimiento al proceso realizado por el área de Compliance y descargar un reporte de las quejas presentadas para futura protección laboral y evidencia a presentar en caso de despido injustificado, nuevamente resguardando en todo momento el anonimato del informante.
La evolución tecnológica hoy en día nos brinda nuevas posibilidades para crear herramientas de fácil acceso y uso, con configuraciones de cifrado que eliminen la información detrás de un correo (nombre, fecha, hora, IP, entre otros) y que pueden ayudar a que las áreas que a veces tratamos con los elementos más humanos como son los principios legales y éticos, sean más productivos y a la par, se obtengan mejores resultados.
Por supuesto que es un reto de gran magnitud el poder desarrollar, incorporar y gestionar este tipo de herramientas, sin embargo, al no hacerlo nos estaremos perdiendo la oportunidad de crear nuevos estándares nacionales para las áreas de cumplimiento. Si estos recursos tecnológicos existen para áreas como protección de datos personales, ciberseguridad o de contabilidad, ¿por qué no podemos incluirlos en áreas consideradas como estratégicas, por su capacidad para poder atentar contra el correcto desempeño de los empleados de una compañía? Sin omitir mencionar, las sanciones infundadas que pudieran recibir por presentar información que, al final del día, está afectando a los clientes, inversionistas o al público en general.
Adicionalmente, al lograr implementar este tipo de herramientas innovadoras las empresas pueden fomentar una nueva estandarización a nivel nacional, lo cual se podría reflejar en un mayor interés y atención por parte de la Comisión Nacional Bancaria y de Valores, a través de la implementación de un programa de recompensas similar al establecido por la Comisión estadounidense, el cual, a la fecha, ha otorgado más de un billón de dólares a las personas que presentan información relevante y de uso para establecer la condena relacionada con delitos de carácter financiero o establecer sanciones por el desarrollo de malas prácticas.
Si el día de hoy estamos revolucionando y teniendo avances en cómo firmamos la documentación legal, cómo llegamos a nuestros destinos, cómo compramos ropa o comida, cómo realizamos inversiones en las distintas Bolsas alrededor del mundo y hemos logrado desarrollar herramientas de apoyo para los pequeños empresarios o inversionistas, acercando la banca a aquéllos que antes no hubieran tenido acceso o interés a través de la innovación, ¿por qué no atrevernos a revolucionar la forma en cómo protegemos a nuestros clientes, inversionistas, accionistas y empleados?
Mellanie Giiles Herrera.
Fuente: BLOG – AMEXICOM UNDER 35
Consulta la entrevista sobre el artículo en https://www.youtube.com/watch?v=7VcRzoj7MQA
El estándar global de whistleblowing lines: ISO 37002
Cuando en 2014 se publicó el primer estándar internacional (ISO) sobre Sistemas de Gestión de Compliance, la Norma ISO 19600, apenas contenía referencias sobre los canales internos de denuncia. Posteriormente, la publicación de la Norma ISO 37001 sobre Sistemas de Gestión Antisoborno en 2016 sí que abordó este tipo de medidas en su Capítulo 8, como también lo hace recientemente la Norma ISO 37.301 -que sustituye al citado primer estándar internacional-, dentro también de ese mismo capítulo. Aunque estos contenidos fijan los parámetros básicos para el correcto funcionamiento de este tipo de medidas, nunca fue su intención normalizar sobre ellas. La Norma ISO 37002 sobre Sistemas de Gestión de la denuncia de irregularidades sí tiene este propósito, estableciendo contenidos detallados y, en muchas ocasiones, llamativamente avanzados.
Cuestión de principios
El nuevo estándar sobre whistleblowing lines se basa en los principios de confianza, imparcialidad y protección. Estos tres fundamentos son, precisamente, los que en última instancia condicionan el éxito o el fracaso de los canales internos de denuncia. En muchas ocasiones, su baja utilización es consecuencia de debilidades en algunos de estos aspectos. Por ello, más allá de ser la base interpretativa del estándar, conforman el marco de análisis de las causas raíz detrás de la desconfianza y poco uso de estos canales.
La Norma ISO 37002 es muy oportuna a nivel global, donde el empleo de estos mecanismos se está difundiendo incluso en países con amargas reminiscencias de delación política, de épocas superadas. A nivel europeo, además, encaja perfectamente con la Directiva 2019/1937 de protección al denunciante, que impone este tipo de canales a un espectro muy amplio de entidades tanto privadas como públicas. No siendo la intención de este texto regular las características de los canales -más allá que garantizar la protección del denunciante-, el nuevo estándar global cubre un hueco evidente.
Los contenidos de la Norma están muy condicionados por los cuatro pasos que fija para gestionar denuncias: su recepción, evaluación, gestión y conclusión. Estas etapas influirán en el contenido de las Políticas internas (de gestión de denuncias o de investigaciones) en muchas organizaciones.
El canal de denuncias como sistema de gestión
Aunque inicialmente se pretendió emitir un documento de recomendaciones, muy en la línea del Whistleblowing Arrangements Code of Practice del año 2008, muchos países abogaron por darle forma de sistema de gestión, adoptando finalmente la conocida estructura de alto nivel (High Level Structure) de ISO. Esto explica la similitud, tanto de su índice como de muchos de sus contenidos, con los estándares ISO sobre Compliance. Más allá de esta afinidad, que permite integrar los contenidos de la Norma en sistemas de gestión ya implantados en las organizaciones, aboca a desarrollar ciertas tareas en términos de continuidad (planificación de actividades a desarrollar y recursos a emplear, comunicación, formación, toma de conciencia, reportes y su contenido, mejorar continua, etc). Además, evita abstraerse de las circunstancias de cada organización: no se comprenderá que no posibilite la comunicación de irregularidades asociadas con sus principales riesgos.
La Norma ISO 37002 es un sistema de gestión de Tipo B, es decir, no certificable. No obstante, su utilidad es indudable para aproximar las prácticas de las organizaciones a las expectativas de la sociedad en general, y de sus grupos de interés en particular.
Las competencias personales de quienes gestionan denuncias
Los textos sobre Compliance suelen referirse a las competencias personales asociadas con dicha función, como la integridad, el liderazgo o la capacidad para mantener la confidencialidad y el secreto. La Norma 37002 añade algunas que pueden llamar la atención: la generación de confianza, inteligencia emocional y la diplomacia. Quienes estén acostumbrados a la gestión de canales de denuncias saben perfectamente que no es una excentricidad: están tratando con personas, sus inquietudes y carga emocional, hasta el punto de que una gestión poco sensible puede empeorar drásticamente la situación. Es importante que estas competencias se proyecten no sólo sobre el denunciante, sino sobre el conjunto de personas involucradas con una comunicación, incluyendo a los denunciados.
Protección a un colectivo amplio
Aunque solemos pensar que la protección al denunciante sólo aplica a quien comunica una irregularidad dentro la organización (sea el personal o un tercero), abarca a un colectivo más amplio. La Norma ISO 37002 apunta la necesidad de proteger a denunciantes que han cursado su comunicación a través de los canales dispuestos por las autoridades. También extiende la protección a colectivos distintos del denunciante, pero igualmente susceptibles de ser represalidados (testigos, compañeros que lo apoyen, etc) e incluso a sujetos que no son los denunciantes, pero corren el riesgo de ser considerados como tales.
Protección de datos personales
Existen dos motivos por los cuales la Norma 37002 trata de forma muy general esta faceta dentro de su Capítulo 7. En primer lugar, los estándares ISO no tienen ni la voluntad ni la potestad de establecer plazos o regulaciones que, en verdad, corresponde fijar a los legisladores y reguladores en cada uno de los países donde se apliquen. Es consecuencia del Principio de subordinación a Ley, que no sólo aplica en este estándar sino también al resto que emite ISO. Además, aunque rige en Europa el Reglamento 2016/679 general de protección de datos, en la comunidad internacional son muchos los países que no disfrutan de mecanismos de armonización equivalentes. En segundo lugar, tratar esta metateria hubiese conducido a normalizar sobre aspectos fuera de su objeto, con el riesgo de fijar contenidos que impactasen en cuestiones no necesariamente vinculadas con su contenido.
El denunciante de buena fe
Se considera denunciante a la persona que comunica una irregularidad real o sospechada, pero sobre la creencia de que la información reportada es cierta. Esta creencia no es una mera intuición, sino que tiene que venir refrendada por observaciones, experiencias o informaciones que lleven a cualquier persona a la misma conclusión. Déficits relevantes en este sentido pueden amparar el archivo de una comunicación en la fase de su evaluación (comunicación infundada), o incluso a plantear que el denunciante no está obrando de buena fe.
Aunque la implantación de mecanismos internos para la gestión de denuncias es una práctica de buen gobierno corporativo, ocasionalmente se emplean fraudulentamente contra la organización o sus personas. Es un aspecto que trato en el video nº 8 de la Serie «Compliance: lecciones aprendidas», que ilustra el abuso que excepcionalmente se realiza de estos canales.
Fuente: El estándar global de whistleblowing lines: ISO 37002 – KPMG Tendencias
CNBV Sanciona con 1.4 Mdp a OXXO por Incumplimiento en Prevención de Lavado de Dinero
La Comisión Nacional Bancaria y de Valores (CNBV) impuso dos multas por 730 mil 400 pesos cada una a Oxxo, por irregularidades en prevención de lavado de dinero.
Aunque no aclaró si las sanciones responden a una misma irregularidad o a dos diferentes, la CNBV explicó que las multas responden a la omisión de disposiciones de la ley general de organizaciones y actividades aplicables a los transmisores de dinero.
“Omitió dar cumplimiento a las disposiciones de carácter general a que se refiere el artículo BIS de la ley general de organizaciones y actividades aplicables a los transmisores de dinero”, explicó.
En tanto, también impuso una multa por 29 mil 216 pesos a Oxxo, por limitar la entrega de los recursos al beneficiario designado y/o no se asegura que los recursos sean depositados a cuentas a nombre del beneficiario designado.
De acuerdo con los registros de la CNBV, se trata de la segunda ocasión en que multan a Oxxo, ya que en junio de 2015 impuso una sanción por 134 mil pesos por incumplir con disposiciones en materia de contabilidad.
Por su parte, Comunicación Corporativa de FEMSA, propietaria de Oxxo, dijo que no realiza declaraciones sobre procedimientos abiertos.
Fuente: CNBV sanciona a Oxxo por incumplimiento en prevención de lavado de dinero (eluniversal.com.mx)
