Conoce Atico34 - Solicita presupuesto
Compliance

ISO 37008 para la gestión de investigaciones internas

A finales de julio de 2023 se publicó la norma ISO/TS 37008:2023 Internal investigations of organizations – Guidance (Investigaciones internas de organizaciones – Guía), un estándar internacional que ha venido a llenar el vacío que existía en torno a la forma en cómo deben gestionarse y realizarse las investigaciones internas dentro las empresas. En este artículo repasamos los principales aspectos de la ISO 37008.

¿Qué es la ISO 37008?

La norma ISO 37008 es un estándar internacional que se presenta como una guía con orientaciones para que las empresas sepan cómo proceder a la hora de llevar a cabo una investigación interna, procedimiento imprescindible para que las empresas cumplan actualmente con las obligaciones recogidas en la Directivas Whistleblowing y la Ley 2/2023, de Protección al informante.

Paradójicamente, estas normas, que vienen a regular el canal de denuncias y la protección de los informantes o whistleblowers ante posibles represalias, apenas abordan las investigaciones internas, necesarias para poder dar cauce y resolución a las denuncias recibidas a través del canal.

Ahora, gracias a la publicación de la ISO 37008 para la gestión de investigaciones internas, las empresas cuentan con una herramienta más para complementar el programa de cumplimiento normativo y poder llevar a cabo investigaciones internas siguiendo las orientaciones estandarizadas de esta norma, que tiene como fin crear un proceso ordenado, sustentado sobre una serie de principios, que veremos más adelante.

Cabe señalar, como la propia ISO 37008 hace, que sus recomendaciones y orientaciones para la realización de investigaciones internas en ningún caso sustituye a los conceptos y obligaciones previstas en las normativas penal, laboral, de protección de datos y seguridad privada vigentes en nuestro país y que deben ser contempladas y aplicadas en estos procedimientos de investigación interna.

En cualquier caso, la publicación de la ISO/TS 37008:2023 viene a enriquecer el ámbito del compliance en las empresas y completar la ISO 37002:2021 y la ISO 37301:2021.

Objetivos de la ISO 37008 para la gestión de investigaciones internas

Los objetivos de la ISO 37008 son, fundamentalmente, establecer unas directrices y orientaciones para que las empresas puedan llevar a cabo los procesos de investigaciones internas al recibir y evaluar las denuncias que se reciben a través del canal de denuncias.

Para ello, la ISO 37008 propone una serie de principios que deben regir el procedimiento de investigación interna y la creación de cuatro documentos clave.

Respecto a los principios que deben respetar todos los procesos de investigación interna dentro de las organizaciones, estos son los de:

  • Independencia: La investigación interna no puede estar influenciada o controlada por otras personas, eventos o incentivos relacionados con el objeto de la investigación.
  • Confidencialidad: Toda la documentación y grabaciones generadas u obtenidas durante un proceso de investigación interna deben ser manejadas de forma confidencial, solo relevadas cuando sea necesario. Y el equipo de investigación debe conocer las posibles consecuencias legales de una filtración.
  • Competencia y profesionalidad: Las investigaciones internas deben realizarse por personal que cuente con habilidades, conocimientos, experiencia, actitudes y capacidades suficientes para garantizar la calidad del proceso. Así mismo, las investigaciones internas deben realizarse con integridad, de manera justa, con respeto a la verdad y la confianza, buen juicio y diligencia y completarse dentro de un tiempo razonable.
  • Objetividad e imparcialidad: Se deben evitar los conflictos de interés, realizarse con objetividad y basarse en evidencias y hechos. No hay lugar para interpretaciones o prejuicios.
  • Legalidad: Se deben tener en cuenta y aplicar las regulaciones y legislación correspondientes para asegurar la legalidad de la investigación.

Y los documentos clave que deben elaborarse para articular y regular las investigaciones internas son:

  • Política o procedimiento de investigaciones internas: Este documento debe definir las responsabilidades del equipo de investigación y asegurar el respeto de los derechos de todas las personas involucradas en el proceso de una investigación interna (esto es, denunciante, denunciado, otras personas mencionadas en la denuncia y el propio equipo de investigación). Está, por lo tanto, relacionado con la política del canal de denuncias.
  • Protocolo o normativa interna respecto al uso de las nuevas tecnologías: Se trata de elaborar una política TIC y una política de seguridad de la información en la que se contemplen medidas para evitar la destrucción, alteración o modificación, intencionada o involuntaria, de información que pudiera ser clave para el proceso de investigación interna. Además, también debe contemplar medidas para proteger las evidencias obtenidas durante el proceso y establecer una custodia y registro adecuados.
  • Plan de investigación: Este documento debe fijar el alcance, objetivo, calendario para las acciones que se van a realizar y un plan de entrevistas, que habrá de tener en cuenta los elementos legales y culturales para obtener resultados adecuados y dentro de la legalidad. La norma nos dice que este documento no debe ser cerrado, sino estar abierto a posibles cambios de acuerdo a la evolución del proceso.
  • Plan de comunicación: Este documento debe concretar el nivel de información que debe darse a los stakeholders (tanto internos como externos), con dos objetivos: evitar la paralización de la actividad diaria de la empresa y asegurar que la investigación interna pueda realizarse con las menos interferencias posibles.

La finalidad última que pretende alcanzar la ISO 37008 es dar a las empresas una herramienta que les permita llevar a cabo investigaciones internas de manera estructurada y con garantías para todos los implicados en el proceso, de manera que los resultados de las mismas permitan:

  • Tomar decisiones informadas sobre la posible vulneración de la normativa interna de la empresa, su código ético o cualquier otra norma o ley que le sean de aplicación.
  • Comprender las causas detrás de las infracciones cometidas.
  • Aplicar medidas disciplinarias proporcionadas.
  • Establecer medidas para evitar que vuelvan a producirse acciones similares.
  • Evaluar posibles pérdidas financieras.
  • Mitigar la responsabilidad penal de la empresa.
  • Promover la cultura del cumplimiento y la ética en la empresa.
  • Realizar informes y recoger evidencias de cara a posibles procedimientos legales a los que pudieran dar lugar las investigaciones internas.

tarifas compliance

Requisitos y características de la investigación interna en la norma ISO 37008

La norma ISO 37008 fija varios requisitos y características para las investigaciones internas.

En primer lugar, es fundamental el compromiso de los máximos órganos de dirección con la política de investigaciones internas desarrollada para la empresa. En segundo lugar, se debe determinar qué personas o departamento serán competentes para llevar a cabo los procesos de investigación interna, qué facultades tendrán, qué límites y qué derechos dispondrán las personas investigadas. Finalmente, se deberán documentar los resultados de la investigación y garantizar la confidencialidad en todo el proceso.

Respecto al proceso de investigación en sí, debe cumplir con los siguientes requisitos:

  • Tener un alcance objetivo, subjetivo y geográfico definidos.
  • Documentar todo el proceso y modificación del mismo.
  • Solicitar la confidencialidad de todas las partes involucradas por escrito o verbalmente, especificando cuáles son las consecuencias legales ante una posible filtración.
  • Documentar todo el contenido de las entrevistas y recabar la conformidad de los entrevistados en el acta o documento que se levante para dejar constancia de la conversación.
  • Documentar los resultados de la investigación en un informe final, si bien, se aconseja que cuando pueda existir un litigio iniciado o de previsible iniciación, se solicite asesoramiento legal respecto a la confidencialidad de la documentación generada durante el proceso de investigación.

Estructura de la ISO 37008

Aparte de la introducción y los correspondientes primeros puntos sobre el alcance, normativas de referencia y términos y definiciones, la estructura de la ISO 37008 se divide en ocho bloques y un anexo con la guía de uso para la aplicación de la norma.

En concreto:

Bloque Contenido
4. Principios
  • 4.1. Independencia
  • 4.2. Confidencialidad
  • 4.3. Competencia y profesionalidad
  • 4.4 Objetividad e imparcialidad
  • 4.5 Legalidad
5. Apoyo para las investigaciones internas
  • 5.1. Recursos
  • 5.3 Liderazgo y compromiso
6. Establecimiento de la política o procedimiento de investigación
7. Seguridad y medidas de protección
  • 7.1. Preservar y asegurar de evidencias
  • 7.2. Protección y apoyo al personal involucrado en las investigaciones
  • 7.3. Anti-represalias
  • 7.4. Protección
8. Proceso de investigación
  • 8.1. Equipo de investigación
  • 8.2. Evaluación preliminar
  • 8.3. Determinación del alcance de la investigación
  • 8.4. Plan de investigación
  • 8.5. Mantenimiento de la confidencialidad
  • 8.6. Responsabilidad ante filtraciones
  • 8.7. No interferencia
  • 8.8. Evidencia
  • 8.9 Entrevistas
  • 8.10. Finalización del proceso
  • 8.11. Informe de investigación
9. Posibles medidas correctivas o de mejora
  • 9.1. Propuesta de medidas correctivas y de mejora
  • 9.1. Medidas correctivas provisionales
  • 9.3. Plan para la comprobación de las medidas correctivas
  • 9.4. Proporcionalidad de las medidas correctivas y de mejora
  • 9.5. Monitorio y fomento de las medidas correctivas
10. Relación con stakeholders
  • 10.1. General
  • 10.2. Planificación
  • 10.3. Medidas para el proceso de comunicación
  • 10.4. Canales de comunicación efectivos
  • 10.5. Comunicación con gobierno y reguladores
  • 10.6. Revelación voluntaria ante las autoridades
11. Acciones disciplinarias

¿A quién está dirigida la norma ISO 37008?

La norma ISO 37008 está dirigida a cualquier empresa que haya adoptado un programa de compliance, así como a aquellas obligadas a tener un canal de denuncias (50 o más trabajadores), puesto que la investigación interna, cómo decíamos más arriba, es un proceso fundamental para la correcta gestión de las denuncias recibidas a través del canal de denuncias y hacer estas investigaciones manteniendo todas las garantías en cuanto a confidencialidad, protección de los denunciantes ante represalias y respeto de los derechos de las personas investigadas o involucradas en la investigación, es clave para cumplir con las obligaciones de la Ley 2/2023 y la Directiva Whistleblowing.

Cualquier empresa que quiera realizar con garantías los procesos de investigación interna, tiene ahora una guía para orientar todo el proceso.

¿La ISO 37008 es certificable?

La ISO 37008 no es certificable, puesto que se trata de una guía de orientaciones, aun así, su adopción y seguimiento puede ayudar a las empresas a crear una metodología clara y garantista para llevar a cabo los procesos de investigación interna dentro de la organización.