Mitigar los riesgos de la denuncia de irregularidades

Los canales de denuncia existen para dar a los empleados una ruta para reportar irregularidades que sus gerentes no pueden o no desean sacar a la luz. El sistema solo merece ese rol cuando el personal confía en él: el mismo canal que permite a un ingeniero reservado reportar una prueba de seguridad falsificada también puede ser malinterpretado, utilizado malintencionadamente, o simplemente perdido en una bandeja de entrada, y cualquiera de esos modos de falla erosiona la confianza más rápido de lo que se construyó. Tres riesgos surgen una y otra vez: reportes falsos o malintencionados, canales cooptados para dirimir cuentas personales, y fallas de supervisión que se filtra nuevamente hacia el denunciante como represalia. Ninguno de ellos es teórico. El conjunto de datos de 2024 detrás del punto de referencia NAVEX 2025 abarca 2,15 millones de reportes en 4.077 organizaciones y 69 millones de empleados.

Cuando los reportes resultan ser falsos

El temor que anima la mayoría de las conversaciones "¿realmente necesitamos este canal?" es que alguien lo use para inventar una acusación: un empleado descontento presentando alegaciones fabricadas contra un gerente que quiere que se vaya, o un proveedor publicando una afirmación falsa para perturbar a un competidor. El riesgo es real pero más raro de lo que parece. La protección legal para denunciantes en casi todas las jurisdicciones se basa en la buena fe, no en la precisión de los hechos: un reportero que genuinamente creyó que había irregularidades está protegido incluso si la investigación no encuentra nada, mientras que uno que presentó una reclamación deliberadamente fabricada no lo está. Los reportes honestos pero equivocados son el sistema funcionando como se diseñó.

Los reportes deliberadamente falsos son algo diferente. Los estatutos estadounidenses como SOX y AIR21 permiten multas por quejas deliberadamente malintencionadas; los Estados miembros de la UE llevan carve-outs similares en sus leyes de transposición. La mitigación no es una admisión más estricta (eso solo suprime los reportes genuinos) sino un procedimiento de investigación documentado que registra evidencia, aplica el mismo rigor independientemente de quién sea nombrado, y produce un cierre escrito defendible para cada caso. Cuando el raro reporte de mala fe llega, el archivo lo muestra.

Quejas disfrazadas de denuncia

El uso indebido más común se ve completamente diferente. Un empleado con una disputa personal (una promoción perdida, un gerente que no aguanta, una cláusula de contrato que desea renegociar) la presenta a través del canal de denuncia porque esa es la ruta que conoce. Estrictamente hablando, estas son quejas, no denuncia. Se ocupan del empleo del propio reportero, no de un daño contra el público o la organización. Dirigidas a través del canal equivocado consumen ancho de banda investigativo, confunden los datos, y generalmente frustran al reportero, quien necesitaba una conversación con Recursos Humanos, no un archivo de investigación.

La solución es la admisión dual. Publique una ruta de quejas y una ruta de denuncia una al lado de la otra, nombre la diferencia claramente en la política, y realice un triaje de cada caso que llega a la puerta para que las disputas personales vayan a Recursos Humanos y los reportes de interés público vayan al investigador. Elegir el canal correcto para cada reporte mantiene los datos de denuncia lo suficientemente limpios para actuar.

Fallas de supervisión y represalia

El tercer riesgo es el que los datos deberían avergonzar a cada empleador para arreglarlo. El mismo conjunto de datos NAVEX muestra reportes de represalia aumentando a 3,08% de todos los envíos en 2024, desde 2,43% en 2021, mientras que la tasa de sustanciación para reclamaciones de represalia se sitúa en 18% (la más baja de cualquier categoría de riesgo y apenas por encima de donde se situaba hace una década). La imagen es regional: Europa sustancia represalia en 32%, América del Norte en 17%. Los datos de encuesta cuentan la misma historia desde el asiento del reportero; la Ethics & Compliance Initiative ha encontrado que aproximadamente la mitad de los empleados estadounidenses que reportaron mala conducta experimentaron alguna forma de represalia después.

La represalia rara vez llega como un correo electrónico de despido. Se parece a una transferencia a un escritorio peor, una promoción que se estanca sin explicación, una repentina ráfaga de amonestaciones disciplinarias, exclusión de un proyecto que el reportero solía liderar. Detectarla requiere la segunda mitad del proceso de denuncia (contacto de seguimiento con el reportero semanas y meses después del cierre, verificaciones de anomalías contra registros de Recursos Humanos, una ruta de escalada que el reportero puede usar sin volver a pasar por la misma cadena que represalió).

Lo que realmente mitiga los riesgos

Tres palancas hacen la mayor parte del trabajo, y la mayoría de los programas mal ejecutados carecen de todos ellos. Una política de denuncia escrita y pública es la base: define qué cuenta como un reporte, qué cuenta como represalia, quién maneja cada caso, y qué protecciones obtiene el reportero. Sin ese documento, cada caso se improvisa, y cada acusación de manejo indebido tiene que argumentarse desde cero.

La imparcialidad en la etapa de investigación es el siguiente punto débil. El fallo más común es que alguien de la línea de reportería del reportero termine en el equipo de casos, y el reportero (generalmente con razón) concluye que la investigación no será neutral. ISO 37002:2021 establece el enfoque convencional: separe la admisión de la investigación, documente la cadena de custodia, e incorpore un investigador externo cuando el caso implique personas senior. El estándar no es certificable pero la mayoría de los programas bien ejecutados lo siguen (ver las directrices ISO 37002 publicadas).

Y luego está el piso legal. El 6 de marzo de 2025 la Corte de Justicia de la UE multó a cinco Estados miembros por no transponer la Directiva de Denunciantes de 2019 a tiempo: Alemania 34 millones de euros, República Checa 2,3 millones de euros, Hungría 1,75 millones de euros, Estonia 500.000 euros más 1.500 euros por cada día adicional de incumplimiento, Luxemburgo 375.000 euros. Después de esos fallos, "escribiremos la política el próximo trimestre" dejó de ser una postura defendible para cualquier organización que opera en la UE. La página de protección de denunciantes de la Comisión es la referencia canónica.

Un canal de denuncia es principalmente un hábito institucional. Las políticas lo definen, los investigadores le dan fuerza, y una cultura que se toma los reportes en serio lo mantiene vivo entre casos. Si los tres modos de falla son incorrectos, el canal colapsa ya sea en silencio o ruido; si los aciertas, se convierte en el sistema de alerta temprana que el resto de la organización nunca tiene que construir.