Procedimientos para gestionar incidentes en organizaciones

La gestión de incidentes constituye una de las fases más sensibles del sistema de cumplimiento normativo. Su finalidad es detectar, registrar, investigar y resolver las posibles infracciones o vulneraciones que puedan afectar al programa de compliance o al comportamiento ético de la organización.

Un procedimiento eficaz debe ser objetivo, documentado y trazable, garantizando la confidencialidad y los derechos de las partes implicadas, así como la comunicación con los órganos competentes y la aplicación de medidas correctivas.

Detección y registro del incidente

La primera fase consiste en la identificación del posible incumplimiento. Este puede detectarse a través de diversas fuentes:

Denuncias recibidas en el canal ético o canal de denuncias.
Auditorías internas o externas.
Supervisión del departamento de cumplimiento o de los responsables de área.
Alertas tecnológicas o revisiones documentales.

Una vez detectado, debe registrarse formalmente en el sistema de seguimiento o registro de incidentes, indicando:

Fecha de detección.
Persona u órgano que lo comunica.
Descripción resumida de los hechos.
Área o proceso afectado.
Nivel inicial de gravedad o riesgo.

Este registro permite mantener evidencia documental de cada caso y facilitar su trazabilidad durante todo el proceso.

Evaluación preliminar

Tras la detección, el responsable de cumplimiento o el comité designado realiza una evaluación preliminar para determinar si el incidente reúne los elementos suficientes para iniciar una investigación formal.

En esta fase se analiza:

La verosimilitud de los hechos

Se analiza si los hechos descritos son plausibles o creíbles en función de la información disponible.

Ejemplo: Un empleado comunica que "el jefe de compras acepta regalos de un proveedor".

Si aporta correos electrónicos, fechas o nombres específicos, el hecho se considera verosímil y se recomienda iniciar investigación.

Si se limita a decir "he oído que acepta regalos", sin más datos, la denuncia se clasifica como no verosímil y se archiva, salvo que se obtengan nuevas pruebas.

La verosimilitud no exige probar los hechos, solo que tengan apariencia de realidad y puedan ser comprobados.

Existencia de una posible infracción de normas internas o legales

El segundo criterio consiste en determinar si los hechos relatados podrían vulnerar una norma interna del programa de compliance o una disposición legal.

Ejemplos:

Un directivo que contrata a un familiar sin comunicarlo podría infringir el Código Ético (conflicto de intereses).
Una manipulación de facturas afectaría tanto al Reglamento Interno de Control Financiero como al Código Penal (art. 290 o 310) si se demuestra falsedad contable.
Un comentario ofensivo hacia una compañera vulneraría la política de igualdad y protocolo de acoso.

El objetivo es identificar qué norma concreta podría haberse vulnerado para decidir si el caso entra dentro del ámbito del programa de compliance.

Riesgo que podría suponer para la organización

Por último, se analiza el nivel de riesgo que el incidente puede generar para la empresa, tanto en términos legales como reputacionales, económicos o operativos.
Esta valoración permite priorizar los casos más graves y asignar los recursos adecuados.

Ejemplos:

Una omisión en el registro horario puede ser un incumplimiento leve con bajo impacto legal.
Una denuncia por soborno o corrupción implica un riesgo alto, con posibles sanciones penales y daño reputacional.
Un fallo en la protección de datos personales puede suponer un riesgo medio o alto, dependiendo del volumen y la sensibilidad de la información afectada.

Esta evaluación de riesgo inicial no sustituye al análisis posterior de la investigación, pero sirve para clasificar y priorizar incidentes.

Según el resultado, se decidirá archivar el caso por falta de indicios o abrir una investigación interna. Todo ello debe quedar documentado en un acta o informe breve de evaluación.

Recuerda que una evaluación preliminar bien documentada y basada en hechos verificables es el primer filtro de calidad del modelo de cumplimiento.

Investigación interna

Si se confirma la necesidad de investigar, se abre una investigación interna. Esta fase debe garantizar la imparcialidad, confidencialidad y derecho de defensa.

Las principales tareas incluyen:

Recopilar documentos, correos o pruebas relacionadas.

El primer paso consiste en reunir toda la información disponible que pueda ayudar a comprobar los hechos.
Esto puede incluir: correos electrónicos, contratos, registros de acceso, facturas, informes, actas de reuniones o cualquier otro documento que aporte evidencia.

Entrevistar a las personas implicadas o testigos.

Las entrevistas permiten contrastar versiones y aclarar hechos.
Se recomienda planificarlas previamente, elaborar un guion de preguntas objetivas y registrar las respuestas (por escrito o mediante acta).

Analizar los controles internos y su posible fallo.

Una parte clave de la investigación es revisar qué controles internos existían y por qué no detectaron el incidente a tiempo.
Este análisis ayuda no solo a resolver el caso, sino también a prevenir que vuelva a ocurrir.

Mantener una comunicación clara y limitada al personal estrictamente necesario.

Durante toda la investigación, es fundamental evitar la difusión innecesaria de información.
Solo deben conocer el caso las personas directamente implicadas o los miembros del comité de cumplimiento.

Al finalizar, se elabora un informe de investigación, con conclusiones, evidencias y recomendaciones de actuación.