¿Por qué la plataforma web para canales de denuncias anónimas es recomendable externalizarla? 4 consideraciones claves

El 25 de noviembre del 2009 se promulgó en Chile la ley 20.393 de responsabilidad penal de las personas jurídicas en los delitos de lavado de activos, financiamiento al terrorismo y cohecho. A partir de esta ley comenzó a proliferar la implementación de canales de denuncias anónimas, con el fin de dar cumplimento a uno de los requerimientos de este marco legal.

Antes de la promulgación de esta ley ya existían empresas multinacionales y algunas multilatinas que contaban con un canal de denuncias por medio de una plataforma web o correo electrónico y las entidades locales prácticamente no contaban con este tipo de plataformas, salvo algunas empresas que cotizan en bolsa local y que se adhieren generalmente a buenas prácticas globales o cumplen con alguna normativa como la ley Sarbanes Oxley por ejemplo por cotizar a su vez en la bolsa de Nueva York.

Cuando diversas entidades comenzaron a implementar el modelo de prevención de delitos, conforme a lo que estipula la ley 20.393, los canales de denuncias anónimas comenzaron a aumentar en formar exponencial en organizaciones de diversas industrias. 

Así es como se ven ciertos protocolos de denuncias que están relacionados con un simple correo electrónico de la empresa en donde los denunciantes pueden registrar sus denuncias y en otros casos, algunas entidades han implementado plataformas tecnológicas web desarrolladas y alojadas en sus servidores.

A continuación les comentaré las 4 desventajas y riesgos de contar con un canal de denuncias anónimas instalado en los servidores de las empresas, sea web o un correo electrónico:

1.- Existe desconfianza de parte de los denunciantes (internos y externos) cuando la plataforma es proveía por la empresa. Ej. Temores de seguimientos de IP por parte de la entidad y por ende perdida del anonimato, lo cual vulneraría la confidencialidad de la denuncia.

2.- No es recomendable colocar un correo electrónico de la empresa o entidad como canal de denuncias anónimas, ya que cualquier denuncia quedará en los servidores de la entidad siendo susceptibles de ser alterados en su integridad y/o confidencialidad antes de llegar a los miembros del comité de ética o de prevención de delitos.

3.- Al ser el canal de denuncias una plataforma web de la entidad, podría ser susceptible a alteraciones. Surgen cuestionamientos tales como: 

¿Qué pasa si las denuncias son alteradas o eliminadas antes de que llegen a los responsables de prevención de delitos u oficial de ética? 

¿Cómo se obtiene seguridad razonable respecto a la integridad y confidencialidad de las denuncias?

4.- Siempre las denuncias deben llegar de manera integra a más de 1 interlocutor, a fin de mantener un control por oposición de intereses. Esto se tiende a perder cuando existe sólo un correo electrónico o las plataformas web no cuentan con los "workflows" apropiados que contemplen a todos los interlocutores en un flujo de trabajo del canal de denuncias.

Adicional a lo antes mencionado, es importante tener siempre presente de que el éxito de los canales de denuncias anónimas, estará directamente relacionado con la difusión interna y la visibilidad que tenga para que los "stakeholders" externos puedan hacer sus denuncias de manera práctica y bajo un protocolo probado y divulgado. Al respecto, me he podido percatar que hay empresas que colocan el canal de denuncias lo menos visible posible, lo cual conlleva a no cumplir el objetivo, no siendo una buena práctica.

Finalmente, tengamos presente que el canal de denuncias anónimas, es el mejor aliado de las 3 líneas de defensa en la organización y opera como un muy buen control disuasivo generalmente.

Solución SAP Audit Management. Lo nuevo de la suite GRC

Hace muy poco tiempo SAP ha liberado la solución SAP Audit Management como parte de un nuevo módulo de la suite Governance, Risk & Compliance (GRC).

Esta nueva solución estará destinada a ayudar a las áreas de auditoría interna a gestionar el ciclo completo de auditoría, que nace desde el plan anual de trabajo, pasando por la desagregación de unidades organizativas, procesos de negocio, objetivos de control, riesgos, actividades de control (manuales, automáticas, semiautomáticas), pruebas de auditoría, observaciones de control, planes de acción de remediación y seguimiento de los mismos.

Lo bueno de esta nueva solución, es que se integra de forma natural con el resto de las componentes de la suite GRC: Access Control, Process Control y Risk Management, por lo que los auditores internos podrán desarrollar sus planes anuales de auditoría, a partir de las evaluaciones de riesgos realizadas a través de Risk Management. 

Es importante tener presente, que Risk Management permite realizar evaluaciones de riesgo "top-down", es decir, partiendo de los riesgos estratégicos pudiendo bajar a los riesgos a nivel de procesos de negocio en la entidad (tácticos u operativos).

Asimismo, los auditores podrán vincular sus pruebas tanto sustantivas como de cumplimiento de controles configurados y automáticos, aprovechando la integración con SAP GRC Process Control y Access Control (a nivel de controles de segregación de funciones).

Ahora bien, las entidades que no tengan implementado algún otro componente de la suite SAP GRC, podrán utilizar tanto Fraud como Audit Management, ya que si bien funcionan integradas pero una no es condición para que funcione la otra.