Curso SMETA 7 – Requisito 10.C: Ética Empresarial

Auditorías y Certificaciones, Ética Empresarial, Capacitación, Economía Circular, Educación y Capacitación, Estrategia, Gestión de la Cadena de Suministro, Gestión Empresarial, Leyes y regulaciones, Liderazgo, Negocios y Economía, Responsabilidad Social Corporativa, SMETA 7, Sostenibilidad 199 minutos

Introducción
El pilar de Ética Empresarial (Código 10.C) en la auditoría SMETA 7 abarca los principios éticos que deben regir las operaciones de una empresa, incluyendo la integridad, transparencia y honestidad en los negocios. Se trata de un conjunto de reglas y estándares morales que la empresa define y sigue para operar éticamente y cumplir con todas las leyes aplicables relacionadas con soborno, corrupción, fraude y prácticas empresariales poco éticas. En SMETA (Sedex Members Ethical Trade Audit), la Ética Empresarial constituye uno de los cuatro pilares de la auditoría (junto con Estándares Laborales, Seguridad y Salud, y Medio Ambiente) – si bien los pilares de Medio Ambiente y Ética Empresarial son opcionales, cada vez más empresas los incorporan para demostrar un compromiso integral con la responsabilidad social. Sedex recomienda fuertemente implementar mecanismos de denuncia (whistleblowing) y otros controles éticos en la cadena de suministro para asegurar estas buenas prácticas.

Cumplir con el requisito 10.C de SMETA 7 no es solo una cuestión de pasar una auditoría, sino de construir una cultura corporativa basada en la ética. La importancia de este pilar se alinea con normas internacionales ampliamente reconocidas. Por ejemplo, el Principio 10 del Pacto Mundial de las Naciones Unidas establece que “las empresas deben trabajar contra la corrupción en todas sus formas, incluidas la extorsión y el soborno”. Asimismo, organismos como la OCDE enfatizan que no se permite que las empresas ofrezcan ni acepten sobornos y que deben contar con programas de cumplimiento con controles internos para prevenir y detectar la corrupción, siendo transparentes en sus esfuerzos contra este flagelo. El impacto de no adherirse a estos principios puede ser devastador: según el PNUD, la corrupción, los sobornos, el robo y la evasión fiscal cuestan a los países en desarrollo alrededor de 1.26 billones de dólares anuales, perjudicando gravemente el desarrollo económico y social. Además, las empresas enfrentan riesgos legales, reputacionales y operativos severos. Un ejemplo aleccionador es el caso Airbus, donde este fabricante aeronáutico debió pagar en 2020 multas por £3,000 millones tras descubrirse que había incurrido en sobornos para obtener contratos. Las consecuencias no son solo económicas: la confianza de clientes, inversionistas y empleados también se ve minada cuando se descubre una mala ética empresarial.

En esta publicación abordaremos en profundidad cada sub-requisito de la sección 10.C (desde 10.C.A hasta 10.C.I) según SMETA 7. Cada apartado se presenta como un capítulo dedicado, que incluye:

  • Explicación detallada del sub-requisito, aclarando su alcance y propósito.
  • Principales “issue titles” (hallazgos o no conformidades típicas) asociados a dicho requisito, según la metodología SMETA 7, para comprender qué problemas suelen identificarse en auditorías relacionadas con ese tema.
  • Ejemplos de cumplimiento e incumplimiento, que ilustran situaciones reales o hipotéticas de cómo una empresa puede cumplir correctamente el requisito o, por el contrario, incurrir en una no conformidad.
  • Errores comunes (no intencionales) que las empresas suelen cometer en cada área, a pesar de sus buenas intenciones, y que conviene evitar.
  • Recomendaciones y buenas prácticas para asegurar el cumplimiento del requisito en las auditorías, basadas en estándares reconocidos (Sedex, OIT, ONU, ISO) y la experiencia de implementación.
  • Sugerencias para fortalecer la cultura de ética empresarial más allá de la auditoría, buscando no solo “pasar” la auditoría, sino integrar la ética en el ADN de la organización de forma sostenible.

Esta guía está pensada para profesionales encargados de implementar SMETA 7 en sus empresas, ofreciendo un recurso educativo claro y práctico para evitar no conformidades y, sobre todo, para promover una cultura ética que trascienda la auditoría.

Tabla de Contenido

CódigoTítulo del Sub-requisitoDescripción breve
10.C.AConocer la Legislación Vigente en Materia de Soborno y Prácticas Comerciales ÉticasAnaliza la necesidad de identificar y comprender todas las leyes locales e internacionales aplicables en ética empresarial.
10.C.BEvaluación de Riesgos de Soborno, Corrupción y Prácticas Éticas, e Implementación de MedidasPresenta cómo identificar, valorar y mitigar riesgos de malas prácticas a través de controles preventivos y proactivos.
10.C.CCumplimiento de Requisitos Legislativos FiscalesExpone la importancia de cumplir con las obligaciones tributarias y auditorías financieras como parte de una conducta ética.
10.C.DExistencia de Políticas que Rechacen el Soborno y las Prácticas Empresariales Poco ÉticasRevisa los requisitos sobre políticas escritas que prohíban formalmente el soborno y definan estándares de conducta.
10.C.EProhibición de Regalos, Comisiones y Pagos de FacilitaciónDetalla cómo establecer límites claros sobre la aceptación de regalos, pagos indebidos y conflictos de interés.
10.C.FMecanismos de Denuncia (Whistleblowing)Explica cómo implementar canales confidenciales y seguros para reportar malas prácticas sin temor a represalias.
10.C.GDifusión y Capacitación sobre Conducta ÉticaAborda la obligación de formar al personal sobre ética empresarial, políticas internas y legislación aplicable.
10.C.HGestión de Incidentes, Investigaciones y Acciones CorrectivasPresenta cómo debe actuar la empresa ante incidentes éticos: investigar, corregir y prevenir su repetición.
10.C.IVerificación del Estatus Legal de InstalacionesIndica cómo asegurar que los sitios operen legalmente con todas las licencias y permisos requeridos por ley.

Disclaimer

Este artículo es una interpretación personal y no tiene ninguna relación oficial con SEDEX ni con el esquema SMETA. Ha sido desarrollado de manera independiente con el propósito de orientar y formar a profesionales, empresas y lectores interesados en las auditorías éticas, basándome en mi análisis y experiencia. SEDEX es el propietario exclusivo de SMETA, y la información oficial, completa y veraz sobre SMETA 7 solo se encuentra en los documentos y recursos publicados directamente por SEDEX (www.sedex.com). Recomiendo encarecidamente consultar siempre las guías oficiales de SEDEX para garantizar el cumplimiento y la precisión en cualquier aplicación práctica. Al leer este artículo, el lector comprende que refleja únicamente mi perspectiva personal y no pretende, bajo ninguna circunstancia, representar, modificar o afectar la posición, directrices o reputación de SEDEX. Mi objetivo es contribuir al entendimiento general de los requisitos de SMETA de forma educativa y accesible.

¡Gracias por visitar mi blog y por tu interés en el cumplimiento ético!

10.C.A – Conocer la Legislación Vigente en Materia de Soborno y Prácticas Comerciales Éticas

Explicación del requisito

El sub-requisito 10.C.A exige que la empresa “demuestre conocimiento y comprensión de la legislación actual y relevante relacionada con el soborno, la corrupción, lo no ético o cualquier tipo de práctica comercial fraudulenta o poco ética”. En otras palabras, la organización debe estar al tanto de todas las leyes y normativas (locales, nacionales e incluso internacionales aplicables) que prohíben la corrupción y las conductas empresariales indebidas, y debe comprender cómo le aplican esas leyes. Este requisito busca garantizar que la empresa no opere en la ignorancia: desconocer la ley no exime de su cumplimiento, y en el terreno de la ética empresarial, la falta de conocimiento legal suele traducirse en incumplimientos graves.

Demostrar comprensión implica varios niveles: primero, identificar cuáles son esas leyes relevantes (por ejemplo, leyes nacionales anti-soborno, códigos penales que tipifican la corrupción, regulaciones sobre fraude financiero, etc.); segundo, entender el contenido de dichas normas (qué conductas prohíben, qué obligaciones imponen a las empresas y personas, cuáles son las sanciones por violarlas); y tercero, asegurarse de que ese conocimiento se difunda entre quienes toman decisiones en la empresa. Un sitio debe poder evidenciar en una auditoría que conoce su marco legal aplicable en ética empresarial – por ejemplo, mediante listas de leyes actualizadas, capacitaciones legales, asesoría jurídica periódica o políticas internas alineadas con la normativa vigente.

Este enfoque está en línea con las mejores prácticas internacionales. La OCDE, en sus Líneas Directrices para Empresas Multinacionales, establece claramente que no se permite que las empresas ofrezcan o acepten sobornos directa ni indirectamente, y que deben tener programas de ética y cumplimiento para prevenirlos. Asimismo, la Organización de las Naciones Unidas contra la Corrupción (UNCAC) y el Pacto Global de la ONU enfatizan la necesidad de que las empresas cumplan con las leyes anti-corrupción y actúen con integridad en todos los países donde operan. Muchas jurisdicciones cuentan con leyes extraterritoriales severas, como la Ley de Prácticas Corruptas en el Extranjero de EE.UU. (FCPA) o la Ley Anti-Soborno del Reino Unido, que alcanzan a empresas globales – por lo que incluso compañías locales pueden estar sujetas a ellas si tienen vínculos con esas naciones. En suma, 10.C.A espera que la empresa sepa cuáles son las reglas del juego ético y legal, y las incorpore a su gestión.

Un entendimiento cabal de la legislación conlleva también reconocer que la ética empresarial no se limita a evitar el soborno, sino que abarca cualquier práctica fraudulenta o deshonesta. Esto incluye, por ejemplo, conocer leyes contra la extorsión, contra la malversación, contra la competencia desleal, normas fiscales (que se cubren en otro sub-requisito), entre otras. La empresa debe estar consciente de que operar éticamente implica obedecer tanto la letra como el espíritu de la ley en todas estas áreas. Como menciona la guía de la OCDE, las empresas deberían “cumplir con la letra y el espíritu del derecho y las regulaciones fiscales” y de la misma forma con las normas anti-soborno, evitando “vacíos” o interpretaciones convenientes.

En la práctica, este requisito suele evaluarse entrevistando a la gerencia y personal clave para comprobar su conocimiento de las leyes anti-corrupción aplicables. También se revisan documentos: por ejemplo, si la empresa mantiene un listado de las leyes y reglamentos pertinentes en materia de ética o si dispone de evaluaciones de cumplimiento legal periódicas. El auditor podría preguntar: “¿Conoce la empresa la legislación local anti-soborno? ¿Puede mencionar las leyes relevantes y describir cómo se asegura de cumplirlas?”. Una respuesta adecuada sería evidenciar que sí: que la empresa sabe, por ejemplo, que el soborno activo y pasivo están prohibidos por la ley nacional, que existen requisitos de transparencia, que hay una autoridad anticorrupción a la que se reportan ciertos actos, etc., y que internamente han tomado medidas para respetar esas normas.

Principales issue titles (hallazgos) en SMETA 7 para 10.C.A

Según la matriz de hallazgos de SMETA 7, los incumplimientos típicos del sub-requisito 10.C.A suelen reflejar desconocimiento o falta de actualización legal. Los principales issue titles asociados son:

  • Falta de conocimiento de las leyes anti-soborno – “Site is not aware of all local or national laws covering bribery, corruption or unethical business practice” (Código 656). Este hallazgo indica que el sitio (la empresa auditada) no está al tanto de todas las leyes locales o nacionales que cubren el soborno, la corrupción o las prácticas comerciales poco éticas. En otras palabras, existen vacíos en el conocimiento legal del personal directivo o de cumplimiento. Es un hallazgo crítico porque sugiere un riesgo elevado de incumplir la ley por ignorancia.

Cabe destacar que, para 10.C.A, la tipología de hallazgos se concentra en esta cuestión de conocimiento legal. No tener identificada una ley relevante (por ejemplo, una nueva ley anticorrupción promulgada recientemente) sería suficiente para una no conformidad. También entraría aquí si la empresa conoce algunas leyes principales pero no todas las aplicables – el estándar pide “todas las leyes locales o nacionales relevantes”, por lo cual cualquier brecha en el mapa legal de la empresa es un hallazgo.

Ejemplos de cumplimiento

  • Empresa informada y actualizada: Una compañía manufacturera en Guatemala mantiene un registro compilado de toda la legislación nacional relevante en ética empresarial (Ley contra el Soborno, Código Penal – artículos de corrupción, leyes de fraude fiscal, etc.). El departamento legal organiza sesiones informativas semestrales para la alta dirección y mandos medios sobre cambios legales. Durante la auditoría, el gerente de cumplimiento puede explicar con soltura cuáles son las leyes anti-corrupción vigentes (mencionando, por ejemplo, la Ley de Probidad y Responsabilidades de Funcionarios en el país, las convenciones internacionales suscritas por Guatemala, etc.) y muestra evidencia documental de haber distribuido resúmenes de esas leyes al personal clave. El auditor constata así que la empresa demuestra conocimiento pleno de las normativas aplicables y que cuenta con un procedimiento para actualizarse cuando cambian (por ejemplo, suscripción a boletines legales, consulta a asesores externos). Este sería un ejemplo claro de cumplimiento de 10.C.A.
  • Integración de normas internacionales: Una empresa multinacional opera una filial en un país donde las leyes locales anticorrupción no son tan estrictas. Sin embargo, la matriz ha adoptado estándares internacionales más altos, adhiriéndose a la FCPA de EE.UU. y a la Ley UK Bribery Act porque atiende clientes en esos mercados. La filial local conoce y aplica esas regulaciones extraterritoriales voluntariamente. Por ejemplo, establece límites de valor para regalos empresariales alineados con la ley británica, a pesar de que la ley local no lo exija específicamente. En la auditoría SMETA, presentan su código de ética global que incluye compromisos de cumplir con “todas las leyes anti-soborno aplicables a nivel local e internacional”, evidenciando un conocimiento proactivo de normativas extranjeras relevantes. Esto va más allá del mínimo y sería considerado un cumplimiento robusto (incluso excediendo 10.C.A).
  • Capacitación legal al personal: Una empresa de ventas al por menor, sabiendo que sus gerentes regionales manejan contrataciones y podrían enfrentar dilemas éticos, contrata a un experto legal para capacitarlos sobre la Ley de Soborno local. Cada gerente firma un acta de participación donde se enumeran las leyes explicadas y se les entrega un manual con “lo que se debe y no se debe hacer” según la legislación. Durante la auditoría, el personal es consultado y efectivamente puede describir casos que serían ilegales (por ejemplo, “si un proveedor me ofreciera una comisión, sé que eso es soborno y está prohibido por la Ley X, además de por la política interna”). La evidencia de esta sensibilización legal demuestra cumplimiento: la empresa no solo conoce las leyes en abstracto, sino que se asegura de que sus empleados clave también las conozcan y las apliquen.

Ejemplos de incumplimiento

  • Desconocimiento de una ley clave: Una pyme exportadora es auditada bajo SMETA 7. Al entrevistar al gerente general sobre qué leyes anticorrupción rigen sus operaciones, este solo menciona de forma vaga el código penal en cuanto a robos, pero no está consciente de que existe una Ley específica de Combate a la Corrupción Administrativa en su país. Tampoco sabe si su país ha ratificado la Convención de la ONU contra la Corrupción. Esta laguna en su conocimiento legal es una no conformidad 10.C.A evidente: el sitio no está al tanto de las leyes locales/nacionales sobre soborno y corrupción. Aunque el gerente insiste en que “nosotros no sobornamos a nadie”, el auditor reporta el hallazgo porque la empresa no puede demostrar formalmente que identifica y comprende la normativa aplicable. Esta falta de conciencia la pone en grave riesgo, ya que podría incurrir en actos ilícitos sin saberlo.
  • Personal confundido o mal informado: Supongamos que en una empresa los mandos medios creen erróneamente que ciertos pagos de “facilitación” son legales porque “así se hacen las cosas aquí”. Durante la auditoría, un jefe de logística comenta que a veces dan propinas a agentes de aduana para agilizar trámites y que “hasta donde sé, eso no es ilegal, es costumbre local”. Este comentario prende alarmas: la realidad puede ser que esas “propinas” constituyen soborno según la ley, pero la empresa nunca capacitó al personal para distinguirlos. Este sería un incumplimiento de 10.C.A y 10.C.B a la vez – refleja falta de conocimiento de la legislación (A) y falta de evaluación del riesgo de soborno (B). Para efectos de 10.C.A, evidencia que la empresa no comunicó claramente qué establece la ley local sobre pagos de facilitación; probablemente desconoce que incluso pequeñas mordidas son ilícitas. El resultado sería un hallazgo, y muy probablemente derivaría en otro sub-requisito incumplido (falta de políticas o controles).
  • Cambios legales ignorados: Un país aprueba una nueva normativa que exige a las empresas llevar un registro de intermediarios y contratistas para prevenir corrupción (por ejemplo, una ley de responsabilidad penal empresarial que entra en vigor). Si la empresa auditada no está enterada de esta nueva ley – no ha actualizado su listado legal ni adaptado sus procedimientos – se evidenciará en la auditoría. Por ejemplo, el auditor podría preguntar: “¿Saben de la Ley 123/2024 sobre responsabilidad corporativa en corrupción?” y si la respuesta es “no, no la conocemos”, será un incumplimiento 10.C.A. La empresa, aunque de buena fe, no se mantuvo informada de la legislación vigente, lo cual la deja expuesta a sanciones. Este error de actualización puede ser no intencional (la ley es reciente), pero el estándar SMETA igual lo considera un fallo de conocimiento legal.

Errores comunes no intencionales

Incluso las empresas comprometidas pueden cometer errores involuntarios al tratar de cumplir 10.C.A. Algunos de los más frecuentes son:

  • Asumir que “ya sabemos lo necesario”: Dar por sentado que la experiencia suple al estudio legal. Por ejemplo, directivos con muchos años en la empresa que confían en su intuición y no consultan a abogados sobre nuevas obligaciones. Esta complacencia puede llevar a pasar por alto leyes emergentes o cambios sutiles en regulaciones existentes. Un caso común es no enterarse de leyes recientes anticorrupción o no relacionarlas con la operación propia (por ejemplo, leyes sobre financiamiento de partidos políticos que podrían afectar donaciones de la empresa). La intención no es violar la ley, pero la falta de un proceso sistemático de actualización legal es un error que deja brechas.
  • Enfocarse solo en leyes nacionales y olvidar estándares internacionales: Algunas empresas se concentran en la normativa local inmediata y no consideran estándares globales que, aunque no obligatorios por ley local, son relevantes para sus clientes o stakeholders. Por ejemplo, no conocer los principios de la Convención de la OCDE contra el Soborno de Funcionarios Extranjeros puede ser un descuido si la empresa exporta o interactúa con mercados donde esa convención impone obligaciones (aunque sea indirectamente a través de socios de negocio). Este error de perspectiva puede hacer que la empresa no adopte prácticas más estrictas que sus clientes internacionales esperan, resultando en no conformidades o pérdidas de negocio.
  • No documentar el conocimiento legal: Puede suceder que una empresa sí conozca las leyes (por ejemplo, su gerente legal las domina), pero no tenga evidencias documentales de ese conocimiento. En auditoría, lo que no está registrado “no existe”. Un error común es no mantener un listado escrito de las leyes aplicables, o no conservar los materiales de capacitación legal impartida. Entonces, a pesar de cumplir de facto, podría no demostrarse. Este es un error fácilmente evitable llevando registros formales.
  • Confiar en prácticas informales o “costumbre” local: En ciertos entornos de negocios, hay prácticas toleradas socialmente (regalos a autoridades, pagos aceleradores) que culturalmente se ven normales, pero legalmente son corrupción. Un error no intencional es pensar que “siempre lo hemos hecho así y nunca hubo problema, debe ser legal”. Esta mentalidad puede arraigarse en empresas familiares o tradicionales sin asesoría jurídica constante. El resultado es un choque durante la auditoría: lo que la empresa consideraba aceptable puede figurar explícitamente como ilegal en la ley, evidenciando la falta de conocimiento formal.

En resumen, la mejor forma de evitar estos errores es adoptar un enfoque proactivo: nunca asumir, siempre verificar cuál es la normativa vigente y hacer de la actualización legal un hábito organizacional.

Recomendaciones y buenas prácticas para asegurar el cumplimiento (10.C.A)

1. Mapeo completo de leyes y actualización periódica: Es fundamental elaborar un listado maestro de todas las leyes, reglamentos y normativas relevantes en ética empresarial que apliquen a la empresa. Este mapa legal debe abarcar soborno y corrupción, pero también fraude contable, lavado de dinero (si corresponde), extorsión, competencia desleal, protección al denunciante, etc. Una vez identificado el universo legal, establezca un responsable (por ejemplo, el área legal o de cumplimiento) para monitorear cambios legales. Inscríbase en boletines oficiales, siga comunicaciones de la procuraduría anticorrupción o agencias equivalentes, y participe en cámaras empresariales que suelen alertar sobre nuevas leyes. Idealmente, revise el listado al menos una vez al año para incorporarle novedades. Mantenga copia de la versión actualizada y versiones históricas para evidenciar este seguimiento. De esta forma, podrá demostrar en auditoría que tiene un proceso claro para conocer y actualizarse sobre legislación aplicable.

2. Consulta a expertos y formación legal interna: No dude en buscar asesoría externa especializada en temas anticorrupción. Un abogado externo puede realizar una sesión anual con la gerencia para repasar el cumplimiento legal y responder preguntas. Complementariamente, implemente capacitaciones internas sobre los principales cuerpos legales. Es recomendable que todos los gerentes y personal de confianza reciban al menos una inducción en las leyes anticorrupción relevantes. Materiales prácticos (guías resumidas, infografías) ayudan a aterrizar la jerga legal a la realidad diaria. Por ejemplo, talleres donde se expliquen casos reales de violaciones a la ley y sus consecuencias. La formación continua refuerza la importancia de la ética y enseña a los empleados cómo identificar situaciones comprometedoras en el marco legal. Una cultura de cumplimiento se logra cuando el personal entiende por qué existen esas leyes y cómo cumplirlas.

3. Integrar requisitos legales en políticas y procedimientos: Asegúrese de que su Código de Ética o Política Anticorrupción refleje textualmente el compromiso de cumplir con las leyes aplicables. Es decir, que no sea genérico, sino que mencione “cumpliremos con la Ley X de Prácticas Corruptas, la Ley Y, etc.”. Incluir referencias específicas demuestra al auditor que la empresa conoce esas leyes. Asimismo, traduzca las obligaciones legales en procedimientos concretos. Por ejemplo, si la ley exige llevar un registro de obsequios recibidos por empleados públicos, tenga un procedimiento interno para registrar regalos. Si la ley prohíbe donaciones políticas de empresas estatales, asegúrese de que su política financiera lo contemple. Integrar la ley en la operativa diaria es la mejor evidencia de conocimiento aplicado.

4. No olvidar el contexto internacional: Si la empresa tiene relaciones transnacionales (proveedores, clientes, casa matriz en el extranjero), investigue las leyes extraterritoriales o estándares internacionales que pudieran implicarla. Voluntariamente adoptar marcos globales reconocidos (como ISO 37001 de sistemas antisoborno, o guías de transparencia internacional) refuerza el cumplimiento de 10.C.A. Por ejemplo, ISO 37001 recomienda “asegurar el cumplimiento de la legislación pertinente, como la Ley Antisoborno del Reino Unido 2010”, y la colaboración con partes interesadas para gestionar el riesgo en la cadena de suministro. Esto sugiere que incluso si su país no tiene ciertas exigencias, acoger las de otras jurisdicciones avanzadas le da una ventaja preventiva y le prepara para competir en mercados exigentes en ética. Además, demuestra al auditor una visión amplia y seria del cumplimiento legal.

5. Cultura de preguntar y documentar: Fomente internamente que ningún empleado tenga miedo o vergüenza de preguntar sobre la legalidad de algo. A veces, la gente en niveles inferiores puede detectar una situación dudosa pero no está segura si es legal o no. Debe haber canales (formales o informales) para que consulten al área legal/compliance esas dudas. Mejor una pregunta a tiempo que una violación después. Igualmente, documente estas consultas y las respuestas dadas, pues demuestran un compromiso activo con conocer y clarificar las obligaciones legales. Un registro de Q&A legales internas puede ser útil y ser evidencia.

Siguiendo estas prácticas, la empresa fortalecerá su cumplimiento del requisito 10.C.A. Recordemos que una empresa informada es una empresa preparada. Como dice un principio básico, “el cumplimiento legal no es negociable”. En palabras de la ILO (OIT), las empresas deben observar las leyes y reglamentos nacionales, tener en cuenta las prácticas locales y cumplir sus compromisos conforme a la legislación y obligaciones internacionales aceptadas. Esto sienta las bases para todos los demás sub-requisitos de ética empresarial: conocer la ley es el primer paso para actuar éticamente.

Más allá de la auditoría: fortaleciendo una cultura de integridad legal

Cumplir con 10.C.A para la auditoría es importante, pero el objetivo de fondo es que la conciencia legal y ética se convierta en parte de la cultura corporativa. Algunas sugerencias para ir más allá del mero cumplimiento auditado:

  • Liderazgo visible en cumplimiento: La alta dirección debe continuamente enfatizar la importancia de cumplir la ley y actuar con integridad, no solo en discursos sino con el ejemplo. Si la gerencia muestra tolerancia cero a “atajos” ilegales, esa actitud permea. Por ejemplo, el CEO podría mencionar en cada foro interno logros relacionados con cumplimiento (“llevamos X años sin sanciones, gracias a que todos actuamos correctamente”). Este refuerzo constante ancla la idea de que “así es como hacemos negocios aquí: limpiamente y conforme a la ley”.
  • Valores éticos incorporados en evaluaciones y promociones: Más allá del conocimiento legal, premiar comportamientos que reflejen integridad refuerza la cultura. Puede incorporarse en las evaluaciones de desempeño un ítem sobre “cumplimiento de políticas y normas”, de modo que el ascenso de un empleado considere su historial ético además de resultados financieros. Recompensar el comportamiento ético – incluso con simples reconocimientos públicos mensuales al empleado que demostró integridad – envía el mensaje de que la empresa valora la honradez tanto como las metas comerciales.
  • Comunicación abierta y sin represalias: Crear un ambiente donde los empleados se sientan cómodos compartiendo información o preocupaciones sin temor es crucial. Si un trabajador percibe una posible ilegalidad, debe saber que puede reportarla (esto se enlaza con el sub-requisito 10.C.F sobre denuncias) y que la empresa prefiere afrontar el problema que esconderlo. Una cultura de “speak-up” robusta complementa al conocimiento legal: muchos escándalos corporativos se pudieron evitar si los empleados hubiesen hablado antes de que la mala conducta escalara. Por eso, más allá de tener el canal de denuncia (whistleblowing), se necesita una cultura de honestidad y transparencia donde consultar o reportar preocupaciones sea normal y hasta esperado.
  • Aprendizaje de experiencias e incidentes: Si alguna vez la empresa enfrenta un incidente legal o ético (por ejemplo, una investigación, una multa menor, un caso de soborno aislado), más allá de las acciones inmediatas, convierta esa experiencia en lección aprendida para todos. Tras resolver el caso, reúna al equipo y analicen qué falló, qué se aprendió y cómo evitarlo en el futuro. Este proceso educativo interno consolida la idea de mejora continua en cumplimiento. Incluso analizar casos de otras empresas en el sector (lo que se llama “learning from others’ mistakes”) en foros internos puede elevar la comprensión de la importancia de respetar leyes.
  • Compromiso público y responsabilidad social: Una empresa verdaderamente ética va más allá de lo obligatorio y se compromete públicamente con la integridad. Por ejemplo, adhiréndose al Pacto Global de la ONU (y reportando su progreso en anticorrupción) o participando en iniciativas locales de transparencia empresarial. Al voluntariamente rendir cuentas a la sociedad sobre sus prácticas éticas, la empresa se autoimpone un estándar aún mayor de cumplimiento. Esto crea una reputación de empresa íntegra, lo cual no solo previene problemas legales sino que atrae a clientes e inversores que valoran la honestidad.

En conclusión, el sub-requisito 10.C.A es la piedra angular de la gestión ética: conocer la ley. Una empresa que inculca ese conocimiento y respeto desde la base estará mejor posicionada para cumplir no solo con la auditoría SMETA, sino con sus propias metas de sostenibilidad y éxito a largo plazo. La ética empresarial empieza por no violar las normas– y a partir de allí, construir una cultura donde se haga lo correcto incluso cuando nadie esté mirando.

10.C.B – Evaluación de Riesgos de Soborno, Corrupción y Prácticas Éticas, e Implementación de Medidas de Mitigación

Explicación del requisito

El sub-requisito 10.C.B establece que la empresa debe “evaluar los riesgos de soborno, corrupción o cualquier práctica empresarial fraudulenta o poco ética, e implementar medidas para mitigarlos”. Esto significa que no basta con conocer las leyes (como pide 10.C.A) o tener buenas intenciones; la organización debe llevar a cabo un proceso proactivo de identificación y gestión de riesgos éticos en sus operaciones y entorno de negocio. En esencia, 10.C.B exige un enfoque sistemático: mapear dónde y cómo podría ocurrir un acto corrupto o antiético en la empresa, y luego tomar acciones preventivas para reducir la probabilidad de que ocurran o minimizar su impacto.

La evaluación de riesgos en ética empresarial funciona de forma similar a otros análisis de riesgos (por ejemplo, en seguridad o ambiente). Implica analizar factores internos (políticas, cultura organizacional, actividades críticas) y externos (países donde opera, industria, terceros asociados) para determinar en qué áreas la empresa es más vulnerable a la corrupción, fraude u otras malas prácticas. Por ejemplo, podría descubrirse que las interacciones con agentes aduanales presentan riesgo de soborno, o que en el departamento de compras existe riesgo de conflictos de interés, o que cierta región geográfica tiene altos índices de corrupción. Identificar esos escenarios de riesgo es el primer paso.

El segundo paso clave es implementar medidas de control y mitigación para abordar los riesgos detectados. Esto puede incluir una variedad de acciones: desde políticas y procedimientos específicos, capacitación focalizada, controles financieros (por ejemplo, doble firma para pagos), rotación de personal en puestos sensibles, auditorías internas, debida diligencia a terceros, hasta la decisión de evitar o cesar ciertas prácticas comerciales demasiado riesgosas. La premisa es que la empresa no debe esperar a que ocurra un incidente para reaccionar, sino que construya un escudo preventivo. Como dice la Norma ISO 37001, se debe “utilizar un marco sistemático para identificar el riesgo de soborno y aplicar controles para gestionarlo”.

La importancia de este enfoque está subrayada por numerosos estándares internacionales. ISO 37301 (sistemas de gestión de compliance) e ISO 37001 (antisoborno) dedican secciones completas a la evaluación de riesgos como elemento central de un programa de cumplimiento efectivo. Transparency International, por su parte, recomienda integrar la corrupción en la matriz general de riesgos corporativos. Incluso la OIT en su Declaración Tripartita sobre Empresas Multinacionales sugiere que las compañías tengan “una ética adecuada y programas de cumplimiento con controles internos para prevenir y detectar sobornos”, lo cual se logra justamente a través de evaluaciones de riesgo y controles derivados. Además, recordemos que los entornos regulatorios tienden a penalizar fuertemente la falta de prevención. Por ejemplo, algunas leyes (como la del Reino Unido) contemplan el delito de “falla en prevenir sobornos”, lo que hace que la empresa sea culpable si no tenía procedimientos adecuados para impedir la corrupción. Por tanto, 10.C.B no es solo una recomendación de buena práctica, sino un elemento crítico para la responsabilidad legal corporativa.

En el contexto de SMETA, este requisito también refleja un cambio de enfoque: de reaccionar a prevenir. Anteriormente muchas auditorías éticas solo revisaban si hubo incidentes, pero SMETA 7 quiere ver que la empresa gestiona proactivamente sus riesgos éticos. La evidencia que se suele buscar incluye: documentos de evaluación de riesgos (por ejemplo, una matriz de riesgos de integridad), registros de reuniones o comités de ética donde se discuten riesgos, planes de acción implementados para riesgos altos, y por supuesto la ausencia (o baja incidencia) de casos reales porque han sido contenidos por las medidas. También se evalúa la cultura: si los empleados en posiciones clave conocen los riesgos principales y cómo se controlan.

Un punto importante de 10.C.B es que abarca “cualquier práctica fraudulenta o poco ética”. Esto extiende el análisis más allá del soborno gubernamental clásico. Debe incluir riesgos de fraude interno (como malversación, alteración de facturas), fraude externo (estafas de terceros), colusión, extorsión, evasión fiscal deliberada, lavado de activos, financiación ilícita, anti-competitividad, entre otros. Cada empresa, según su sector y operaciones, tendrá un perfil de riesgo distinto. Por ejemplo, una empresa del sector financiero debe vigilar riesgos de lavado de dinero; una empresa de consumo masivo tal vez tenga más riesgo de sobornos a inspectores sanitarios o de competidores coludidos. Conocer su propio riesgo ético es parte de conocerse a sí mismo como organización.

Implementar medidas para mitigarlos puede traducirse en establecer controles internos robustos. La OCDE aconseja, por ejemplo, tener “controles internos, ética adecuada y programas de cumplimiento para prevenir y detectar sobornos”. Eso puede ser, en la práctica: procedimientos de aprobación de pagos, canal de denuncias (sub-requisito 10.C.F, que de hecho es una medida de mitigación para riesgo de irregularidades), auditorías sorpresa, análisis de datos en busca de transacciones anómalas, rotación de proveedores, etc. Cada control debe correlacionar con un riesgo identificado. Por eso, en auditoría SMETA, si se detecta que la empresa tiene un mecanismo (por ejemplo, “Política de Regalos y Entretenimiento”), se podría preguntar: “¿Cuál fue la razón de implementarla?”. La respuesta ideal es: “Porque identificamos que ofrecer o recibir regalos excesivos era un riesgo de corrupción en nuestro sector; por ello limitamos su valor y requerimos registro”. Esto demuestra el ciclo completo: riesgo identificado y su control implementado.

Principales issue titles (hallazgos) en SMETA 7 para 10.C.B

Las no conformidades típicas asociadas a 10.C.B se refieren a la ausencia de un sistema de evaluación/mitigación de riesgos o la presencia de evidencia de prácticas corruptas no controladas. Según la base de datos de SMETA 7, destacan los siguientes issue titles:

  • Sin sistema para investigar evidencia de soborno o prácticas no éticas – “No system to investigate evidence of bribery, corruption and unethical business practice” (Código 662). Este hallazgo indica que la empresa carece de un sistema o procedimiento para investigar indicios o pruebas de soborno, corrupción u otras prácticas no éticas. Suele interpretarse como falta de mecanismos formales para gestionar estos riesgos una vez que se manifiestan (por ejemplo, no hay protocolo de investigación interna frente a denuncias o hallazgos). Implica un vacío en la capacidad de respuesta y control interno ante incidentes éticos.
  • Evidencia de problemas de ética empresarial – “Evidence of Business Ethics issues e.g. bribery, facilitation payments, fraud, transhipment, tax evasion, anti-competitive practices, extortion, money laundering, political contributions etc.” (Código 660). Este hallazgo significa que existen evidencias de prácticas corruptas o poco éticas en la empresa – puede ser un soborno concreto ocurrido, pagos de facilitación detectados, fraude interno descubierto, evasión fiscal, prácticas anti-competitivas, extorsión, lavado de dinero, contribuciones políticas indebidas, etc. Cualquier incidente real de este tipo encontrado durante la auditoría (o conocido previamente y no mitigado) activaría este hallazgo. Su presencia generalmente sugiere que la empresa no evaluó o no controló adecuadamente sus riesgos, permitiendo que el problema ocurriera. Es una de las no conformidades más graves posibles, ya que evidencia un fallo tanto de prevención como de cumplimiento legal.

En resumen, los hallazgos de 10.C.B cubren tanto la falta de sistemas preventivos y de investigación (662) como la existencia de actos corruptos no prevenidos (660). Cualquiera de los dos es crítico: el primero apunta a un vacío estructural en el programa de ética, y el segundo a un fracaso real del programa con consecuencias palpables. Un auditor SMETA al ver cualquiera de estas señales calificará negativamente el cumplimiento de 10.C.B.

Ejemplos de cumplimiento

  • Matriz de riesgos ética implementada: Una empresa de logística internacional realiza cada año una evaluación de riesgos de ética empresarial. Identifica riesgos inherentes como: soborno en aduanas, fraude en facturación de servicios, colusión entre proveedores de transporte, y pagos de facilitación en ciertos puertos de alta corrupción. Clasifica el nivel de riesgo (alto, medio, bajo) y define controles para cada caso: por ejemplo, para soborno en aduana implementa una política estricta de no pagos en efectivo y contrata un agente aduanal certificado; para fraudes internos de facturación, establece rotación de personal en cuentas por pagar; para colusión, diversifica proveedores y fija reglas de licitación transparentes. Documenta todo esto en una matriz de riesgos con sus respectivas acciones mitigantes. Durante la auditoría, muestran esta matriz y evidencias de su ejecución (revisiones periódicas, mejoras implementadas). El auditor ve que la empresa conoce sus riesgos clave y ha tomado medidas concretas para mitigarlos – por ejemplo, verifica que en el último año rechazaron solicitudes sospechosas de “pagos extra” en aduana y lo reportaron a la gerencia. Este nivel de proactividad y control ejemplifica un pleno cumplimiento de 10.C.B.
  • Controles antisoborno certificados (ISO 37001): Una empresa mediana del sector manufactura decide adoptar la norma ISO 37001 de sistema de gestión antisoborno. Como parte de la certificación, realiza un análisis exhaustivo de riesgos de soborno y establece un conjunto integrado de controles: código de conducta, revisión de debida diligencia a socios de negocio, formación, canal de denuncias, auditorías internas, etc. La alta dirección se involucra en aprobar la evaluación de riesgos y asignar recursos a las medidas mitigantes. Cuando llega la auditoría SMETA, la empresa exhibe no solo su certificado ISO 37001, sino los registros que lo respaldan: talleres de identificación de riesgos con participación de todas las áreas, reportes de seguimiento de planes de acción, y un sistema digital donde monitorean indicadores (por ejemplo, porcentaje de empleados entrenados en ética, número de terceros evaluados). El auditor comprueba que la empresa aborda preventivamente el soborno con un enfoque de mejora continua, lo que cumple y excede los criterios de 10.C.B. (La ISO 37001 exige precisamente evaluar y tratar los riesgos de soborno, en línea con este sub-requisito).
  • Ningún incidente gracias a controles efectivos: Un ejemplo práctico: una empresa agrícola identificó riesgo de extorsión de grupos criminales en ciertas zonas rurales donde opera. En su evaluación de riesgos, catalogó este riesgo como alto. Como medidas, estableció colaboración con autoridades locales, protocolos de seguridad adicionales y directrices claras de no pago en caso de intentos de extorsión, además de protección a sus empleados. Con estas precauciones, la empresa lleva años sin incidentes a pesar del entorno complejo. En la auditoría, aunque no hubo “casos” concretos (lo cual es bueno), la empresa presenta su análisis de riesgo de extorsión y las medidas tomadas, mostrando cómo han mantenido el problema a raya. Este es un cumplimiento ejemplar: no esperar a que ocurra el problema para actuar, sino anticiparse. El auditor valora mucho este tipo de iniciativas preventivas y documentadas.

Ejemplos de incumplimiento

  • Sin análisis de riesgos formal: Una compañía de distribución, al ser consultada en la auditoría sobre sus riesgos de corrupción y cómo los controla, responde de manera improvisada. La gerencia dice “No creemos tener riesgos, aquí nunca ha pasado nada”. No pueden mostrar ningún documento que evidencie un análisis sistemático. No existe un listado de posibles riesgos, ni un procedimiento para evaluarlos. Este es un claro incumplimiento de 10.C.B: no se ha llevado a cabo una evaluación de riesgos de ética. Además, la autoconfianza ciega (“nunca ha pasado nada”) suele considerarse un mal síntoma, ya que muchas veces los riesgos no se visibilizan hasta que es tarde. El auditor levantaría un hallazgo código 662 (no hay sistema para investigar/gestionar evidencias de corrupción) porque la empresa básicamente no tiene sistema de riesgos éticos alguno.
  • Caso de soborno no gestionado adecuadamente: Supongamos que en los últimos meses ocurrió un incidente: un vendedor de la empresa fue descubierto ofreciendo un soborno a un cliente para cerrar un contrato. La empresa se enteró solo porque el cliente lo denunció. Al investigar la auditoría, se revela que no había pautas claras ni entrenamiento a los vendedores sobre esta conducta, ni mecanismos de monitoreo de sus interacciones con clientes. Además, tras el incidente, la empresa simplemente despidió al vendedor, pero no investigó a fondo ni reforzó controles (por ejemplo, revisar si otros vendedores hacían lo mismo). Este caso real enciende la alerta: evidencia (código 660) de un tema de ética empresarial (soborno comercial) y falta de un sistema robusto para manejarlo. Se incumple 10.C.B tanto por la ocurrencia del hecho (que muestra que el riesgo existía sin control) como por la respuesta inadecuada. Un programa eficaz habría identificado la presión por ventas como riesgo de soborno y puesto controles (metas de ventas realistas, supervisión de ofertas, clausulas anticorrupción en contratos, etc.). Al no haberlo hecho, la auditoría señalará la ausencia de medidas mitigantes previas y posteriores.
  • Fraude interno descubierto por azar: Imaginemos que en una empresa de construcción, un auditor externo detectó irregularidades: un jefe de compras había estado amañando contratos con un proveedor amigo, inflando precios y recibiendo “comisiones” (un fraude y conflicto de interés). La empresa no tenía implementado ningún mecanismo de revisión cruzada de compras ni rotación de personal, por lo que el esquema duró años sin ser detectado internamente. Sólo salió a la luz porque el auditor financiero se topó con facturas inusuales. En la auditoría SMETA, este escándalo (ya de dominio público o reportado a Sedex) será abordado. Claramente se trata de evidencia de prácticas fraudulentas y antiéticas (660) y apunta a que la empresa no evaluó ni controló bien el riesgo de fraude en compras. Es un incumplimiento severo. El auditor podría además indagar qué hizo la empresa al respecto; si la respuesta es que solo despidieron al responsable pero no cambiaron procesos ni evaluaron otros riesgos similares, aún se agrava la falta de acción mitigante. Este ejemplo muestra que no tener controles proactivos conlleva que los problemas crezcan silenciosamente, y cuando explotan demuestran la carencia de un sistema preventivo (10.C.B fallido).
  • Pagos de facilitación tolerados: Una multinacional tiene una filial en un país donde es común agilizar trámites aduaneros mediante pequeños pagos informales. La gerencia local no los considera “soborno serio” y no los reporta ni implementa controles, aunque en la matriz están prohibidos. Durante la auditoría, una revisión de cajas chicas y gastos de viaje revela varios pagos anotados vagamente que en realidad fueron “propinas” a funcionarios para evitar demoras. Esta es evidencia tangible de prácticas poco éticas (facilitation payments) en curso. Implica incumplimiento del código 660 (evidencia de soborno) y también un fallo de la matriz de riesgos: la empresa no aplicó su propia política global en esa filial, no capacitó adecuadamente o no supervisó. El hallazgo sería incuestionable: no se mitigó un riesgo conocido (sobornos menores) y hay prueba de ello. Más aún, la tolerancia hacia estos pagos sugiere que la empresa conocía el riesgo pero decidió ignorarlo, lo cual es un agravante. El resultado: una fuerte no conformidad y expectativa de que la empresa tome medidas correctivas inmediatas.

Errores comunes no intencionales

Al implementar la gestión de riesgos éticos, las empresas pueden caer en errores de buena fe que debilitan la efectividad de 10.C.B:

  • Evaluaciones de riesgo “de papel” (no vivas): Un error frecuente es realizar una evaluación de riesgos inicial para cumplir con un requisito (por ejemplo, para obtener una certificación o pasar una auditoría) y luego no actualizarla ni integrarla en la gestión diaria. La matriz de riesgos queda archivada sin seguimiento. Esto suele ocurrir si se hace solo por formalismo, quizás con asesor externo, pero no se involucra realmente al personal. El resultado: la empresa cree tener “check” en este punto, pero en la práctica los riesgos pueden cambiar y las medidas no se adaptan. Por ejemplo, la evaluación de hace 3 años no contemplaba los riesgos de ciberfraude, pero hoy la empresa sufre intentos de phishing que podrían derivar en fraude, y nadie re-evaluó ese riesgo nuevo. La evaluación de riesgos debe ser un documento vivo; de lo contrario, es un cumplimiento aparente pero no real.
  • Subestimar la probabilidad de ocurrencia: Otro error común es pensar “eso aquí no pasa” y puntuar ciertos riesgos demasiado bajo por optimismo o sesgo. Por ejemplo, saber que existe riesgo de soborno en el sector público, pero asumir que como la empresa raramente interactúa con el gobierno, no vale la pena considerarlo. A veces la empresa se enfoca solo en riesgos que ya experimentó y descarta los que no ha vivido, aunque otros en la industria sí. Este sesgo de confirmación puede dejar vulnerabilidades descubiertas. La objetividad en la evaluación es clave: considerar escenarios aunque no hayan ocurrido antes, porque siempre hay una primera vez. Involucrar opiniones diversas (no solo jefes optimistas, sino también empleados operativos que ven la realidad del terreno) ayuda a calibrar adecuadamente la probabilidad e impacto de los riesgos.
  • No asignar responsables ni recursos a las acciones mitigantes: Identificar riesgos y decidir controles es útil en teoría, pero un error es no concretar la implementación. Por ejemplo, la evaluación de riesgos dice: “Riesgo alto de fraude – acción: realizar auditorías internas semestrales”. Sin embargo, si no se designa quién hará esas auditorías, no se presupuestan, o no se establece un calendario, es probable que no se lleven a cabo. La mitigación queda en el papel. Esto pasa cuando la evaluación de riesgos se hace desconectada de la planificación financiera y operativa. Cada medida de control debe tener un dueño y, de ser posible, un indicador de cumplimiento (¿se completó la acción? ¿con qué frecuencia?). No hacerlo lleva a una falsa sensación de seguridad.
  • Olvidar ciertos ámbitos de riesgo (visión de túnel): A veces las empresas se enfocan mucho en ciertos tipos de riesgo que consideran más evidentes (por ejemplo, soborno a funcionarios) y pasan por alto otros. Por ejemplo, pueden ignorar riesgos de prácticas anti-competitivas (colusión con competidores, fijación de precios) porque piensan que eso es más de grandes consorcios, o no evalúan el riesgo de evasión fiscal orquestada (quizá porque finanzas lo maneja y asumen todo bien). Sin embargo, SMETA menciona explícitamente esos posibles riesgos en la descripción de 10.C.B. Toda práctica empresarial deshonesta cabe aquí, así que la evaluación debe ser integral. Un error no intencional es que el equipo que hace la evaluación no tenga conocimiento amplio y se limite a 2-3 riesgos típicos. La solución es incluir a múltiples áreas y consultar fuentes externas (benchmark de riesgos de la industria, guías anticorrupción sectoriales) para no omitir riesgos relevantes.
  • Confundir ausencia de incidentes con ausencia de riesgo: Es crucial entender que “no tener casos” no es igual a “no tener riesgos”. Muchas empresas incurren en este error cognitivo: “Nunca hemos tenido un caso de corrupción, por lo tanto, nuestro riesgo es cero”. Puede que no haya ocurrido por azar, o porque la empresa es joven, o porque ha tenido suerte. La falta de incidentes puede indicar buenos controles, sí, pero también puede indicar que simplemente no se han detectado (lo cual justamente es un riesgo en sí). Asumir que riesgo cero existe es casi siempre falso; todos los negocios tienen algún riesgo ético. La complacencia es enemiga de la prevención. Las mejores empresas en ética son las que asumen que siempre existe la posibilidad y por ello nunca bajan la guardia, aunque su historial sea limpio.

Recomendaciones y buenas prácticas para asegurar el cumplimiento (10.C.B)

1. Desarrollar un proceso formal de gestión de riesgos éticos: Institucionalice una metodología similar a la que utiliza para riesgos operativos o financieros, aplicada a la ética. Puede seguir marcos reconocidos como ISO 31000 (gestión de riesgos) adaptados a la ética, o las guías específicas de ISO 37001/37301 que detallan cómo evaluar riesgos de soborno y cumplimiento. Los pasos clave incluyen: identificar riesgos (lluvia de ideas con personal de todas las áreas), analizarlos (causas, consecuencias), valorarlos (probabilidad e impacto), priorizarlos y tratarlos. Documente este proceso en una Matriz o Registro de Riesgos de Ética Empresarial. Asegúrese de que cubra todos los tipos relevantes (soborno activo/pasivo, corrupción, fraude interno, fraude al sistema, colusión, lavado, evasión, etc.). Este documento será una de sus principales evidencias frente al auditor.

2. Involucrar a la alta dirección y asignar responsables: Un programa de riesgos éticos efectivo requiere apoyo desde arriba. La alta dirección debe demostrar liderazgo y compromiso con las medidas antisoborno y de cumplimiento. Establezca un Comité de Ética o de Cumplimiento que incluya ejecutivos de nivel senior, para revisar periódicamente la evaluación de riesgos y las acciones en curso. Este comité debe aprobar la matriz de riesgos y priorizar la asignación de recursos para controles. Además, nombre a responsables específicos para cada riesgo mayor. Por ejemplo, el Director de Finanzas podría ser responsable de mitigar el riesgo de fraude contable, el Gerente de Compras del riesgo de proveedores corruptos, etc. Esto crea rendición de cuentas. Durante la auditoría, evidenciar que la gerencia discute y monitoriza los riesgos (minutas de reuniones, presentaciones de reporte de riesgos) indicará que el sistema no es solo un papeleo, sino que está activo y respaldado por quienes dirigen la empresa.

3. Implementar controles internos proporcionales a los riesgos: Por cada riesgo identificado de nivel medio o alto, defina e implemente controles o acciones mitigantes concretas. Las medidas deben ser proporcionales a la magnitud del riesgo. Algunas buenas prácticas generales incluyen: separación de funciones en procesos financieros (para prevenir fraudes), políticas claras (por ejemplo, política de regalos, hospitalidad y donaciones para riesgos de soborno), procesos de diligencia debida para terceros (verificación de antecedentes de agentes, consultores, socios locales para evitar intermediarios corruptos), límites y aprobaciones en gastos, rotación periódica de personal en puestos críticos (compras, finanzas), auditorías internas regulares enfocadas en temas de ética (revisar cuentas, contratos, expedientes de empleados por posibles conflictos de interés), entre otras. Un control clave es también el canal de denuncias (cap. 10.C.F) para detectar irregularidades que escapen a otros controles. Por ejemplo, si el riesgo es soborno en ventas, un control puede ser revisión aleatoria de correos de ventas o requerir que siempre participen dos personas en negociaciones grandes (principio de los cuatro ojos). Documente la justificación de cada control en su matriz de riesgos para mostrar la conexión riesgo-control.

4. Monitorear e iterar – el riesgo es dinámico: Establezca una frecuencia de revisión de la evaluación de riesgos, al menos anual, y también cuando ocurra algún evento significativo (ej. entrada a un nuevo país, lanzamiento de nueva línea de negocio, cambio regulatorio importante o después de un incidente de corrupción). En cada revisión, actualice las calificaciones de riesgo y la eficacia de los controles existentes. Un concepto útil es el de “indicadores de riesgo clave” (KRI): métricas que puedan señalar aumento de exposición. Por ejemplo, si el índice de percepción de corrupción de Transparencia Internacional para el país cayó varios puntos (indicando más corrupción), tal vez los riesgos locales suben de probabilidad. O si la rotación de personal en finanzas es alta, puede aumentar el riesgo de errores/fraude. Use esos KRI para ajustar su mitigación a tiempo. Demostrar en auditoría que la empresa monitorea sus riesgos de forma continua es cumplir la letra y espíritu de 10.C.B. Un sistema de mejora continua, como exige ISO 37001, es la meta: planificar controles, ejecutarlos, verificar su efectividad (por auditorías, indicadores, denuncias recibidas) y actuar corrigiendo fallos.

5. Fomentar la participación de los empleados en la identificación de riesgos: Los trabajadores en distintos niveles pueden aportar información valiosa sobre dónde ven vulnerabilidades éticas. Implementar mecanismos como encuestas de percepción de riesgos, buzones de sugerencias anónimas (separado del canal de denuncias formal), o dinámicas en capacitaciones donde se pregunte “¿En qué situaciones ven presión para actuar contra los valores?”. Esto no solo enriquece la evaluación de riesgos con perspectivas de primera línea, sino que involucra al personal en la prevención, generando sentido de pertenencia. Los empleados se convierten en sensores que alertan de riesgos emergentes. Por ejemplo, podrían señalar “últimamente los inspectores de cierta agencia insinúan que esperan pagos”; información que la gerencia podría desconocer. Incorporar estas observaciones y agradecer la franqueza refuerza una cultura de transparencia y mejora continua.

6. Preparar planes de respuesta para incidentes: Aunque la meta es prevenir, parte de la mitigación es saber reaccionar adecuadamente si ocurre un incidente. Desarrolle procedimientos o protocolos de investigación interna para casos de sospecha de corrupción o fraude. Defina quién liderará la investigación, cómo se protegerán evidencias, cómo se garantiza la confidencialidad y no represalias durante la investigación, y cómo se escalan resultados a la dirección o a las autoridades si es necesario. Tener este “plan B” es también un control de riesgo: reduce el impacto de un incidente al contenerlo rápido y remediarlo. SMETA 7 en su issue 662 se fija si hay “sistema para investigar evidencia de soborno o prácticas no éticas” – asegúrese de poder mostrar uno. Esto puede venir en forma de un procedimiento escrito, o de ejemplos de investigaciones pasadas bien gestionadas (por ejemplo, minutas de un comité disciplinario, reporte de auditoría interna forense). Un buen manejo de un caso demuestra a los auditores que, aunque ocurrió, la empresa tenía controles de respuesta y aprendió de ello.

Siguiendo estas recomendaciones, la empresa no solo cumple con 10.C.B, sino que se acerca a estándares internacionales de compliance. Una gestión eficaz de riesgos de ética protege a la empresa de pérdidas financieras (fraudes), legales (multas, juicios) y reputacionales. Como señaló un representante de Proética (capítulo de Transparency International en Perú), las empresas deben implementar programas de cumplimiento anticorrupción para prevenir cualquier riesgo y, en caso de ocurrir, detectarlo a tiempo para remediarlo. Este enfoque proactivo es precisamente el espíritu de 10.C.B: anticiparse y actuar antes de que el problema crezca.

Más allá de la auditoría: hacia una empresa resiliente a la corrupción y el fraude

Para internalizar verdaderamente la prevención de la corrupción y malas prácticas en la cultura corporativa, considere estas sugerencias adicionales:

  • Integrar la ética en la planificación estratégica: Así como la empresa planea su crecimiento, debe planear cómo crecer sin comprometer sus valores éticos. Incluir los riesgos de corrupción en los análisis FODA, en comités de dirección, en decisiones de expansión (por ejemplo, “¿entramos a tal mercado? ¿cómo manejaremos su alto riesgo de corrupción?”) es crucial. Esto envía un mensaje de que la rentabilidad no se persigue a costa de la integridad. Empresas de clase mundial incluso llegan a renunciar a negocios potenciales si el riesgo ético es demasiado alto que ni los controles lo mitigan suficientemente – esa disciplina crea reputaciones intachables.
  • Benchmarking y aprendizajes sectoriales: Participe en foros de la industria sobre ética, intercambie experiencias con pares. A veces sectorialmente se pueden identificar esquemas de corrupción comunes y combatirlos colectivamente (por ejemplo, pactos de integridad entre empresas competidoras para no pagar sobornos en licitaciones). Estar al tanto de los casos sonados en su sector (por ejemplo, la sanción a Siemens en 2008 por sobornos masivos, la de Odebrecht en Latinoamérica) y analizar qué falló en esos casos y qué hicieron para recuperarse, brinda lecciones. Por ejemplo, se sabe que tras su escándalo, Siemens invirtió enorme cantidad (US$800 millones+) en crear un sistema de compliance de primer nivel, reduciendo incidentes en 90% y mejorando drásticamente su reputación. Esas historias sirven para motivar internamente las mejoras (¡nadie quiere pasar por lo que pasó Siemens!).
  • Cultura de mejora y no de culpa: Promueva internamente que la identificación de un riesgo o incluso de un error no será castigada sino apreciada como oportunidad de mejora. Si un empleado señala un control ineficaz o un riesgo no visto, celébrelo en lugar de ocultarlo. Esto anima a que la gente sea parte del sistema inmunológico de la empresa. Un ejemplo es recompensar a quienes destaquen por tomar decisiones íntegras aun bajo presión (como no ceder a una extorsión y en cambio reportarla). Esa persona debe ser reconocida como héroe de la ética, no vista como obstáculo. Una cultura que aplaude la integridad y la transparencia motiva a otros a seguir ese comportamiento.
  • Tecnología y analítica en compliance: Aproveche herramientas modernas para monitorear riesgos. Por ejemplo, software de compliance que cruza bases de datos para alertar de proveedores vinculados a funcionarios, algoritmos que detectan patrones irregulares en pagos (detección de fraude), canales de denuncia con seguimiento digital, etc. La tecnología puede actuar como “vigilante 24/7”. Muchas empresas hoy implementan compliance software y reportan mejoras significativas en la detección y reducción de incidentes. Invertir en estas herramientas muestra visión a futuro y compromiso tangible. No es un gasto, sino una protección de activos.
  • Compromiso con estándares externos voluntarios: Más allá de ISO 37001, hay iniciativas como la certificación “Empresa Limpia” en algunos países o pertenencia a coaliciones anti-corrupción. Por ejemplo, empresas que adoptan los Principios Empresariales para Contrarrestar el Soborno de TI o se someten a evaluaciones independientes (como TRACE International). Estos compromisos voluntarios obligan a mantener programas robustos porque hay rendición de cuentas externa. Si su empresa tiene esa convicción ética, sellos y certificaciones la obligarán a no bajar la guardia una vez pasada la auditoría SMETA.

En síntesis, cuando la prevención de la corrupción se convierte en parte del ADN de la empresa, no solo se evitan no conformidades, sino que la empresa se vuelve resiliente, confiable y sustentable. El camino de gestionar riesgos éticos es continuo, pero sus frutos se ven en la tranquilidad con que se puede operar y en la confianza que depositan los stakeholders. Una empresa con buena ética empresarial “duerme con la conciencia tranquila” y puede enfocarse en crecer sin temor a que un escándalo la derrumbe. Ése es el destino al que apunta el cumplimiento pleno de 10.C.B.

10.C.C – Cumplimiento de Requisitos Legislativos Fiscales (Responsabilidad Tributaria y Auditorías Financieras)

Explicación del requisito

El sub-requisito 10.C.C dispone que la empresa debe “demostrar conocimiento de y cumplimiento con cualquier requisito legislativo fiscal, cuando corresponda. Esto puede incluir auditorías financieras de terceros”. En términos simples, se trata de asegurar que la compañía cumple con sus obligaciones tributarias y financieras legales, que está al día con sus impuestos y regulaciones fiscales, y que si la ley exige auditorías externas u otro tipo de revisión financiera independiente, las lleva a cabo.

Este apartado introduce la dimensión de la ética financiera y tributaria dentro de la ética empresarial. No es suficiente con no sobornar; la empresa también debe actuar éticamente en cuanto al pago de impuestos y presentación fiel de su información financiera. La evasión fiscal deliberada, los fraudes contables o la falta de transparencia financiera se consideran conductas poco éticas y generalmente ilegales. Una empresa socialmente responsable reconoce su deber de contribuir al bien público pagando los impuestos que le corresponden. Por ende, SMETA 10.C.C enfatiza que la compañía debe cumplir con la “letra y el espíritu” de las leyes fiscales aplicables – no buscar atajos para evadir impuestos, no tener contabilidad oculta, etc.

Demostrar conocimiento y cumplimiento implica dos elementos: saber cuáles son las obligaciones fiscales (impuestos nacionales, locales, aranceles, contribuciones, retenciones, etc., aplicables a su operación) y evidenciar que se están cumpliendo. Esto puede incluir mostrar durante la auditoría que la empresa presenta sus declaraciones de impuestos en fecha, que no tiene deudas tributarias significativas sin resolver, que cuenta con las licencias o registros fiscales requeridos (por ejemplo, un número de identificación tributaria activo, certificado de estar inscrito en Hacienda, etc.). Si la ley del país exige que ciertas empresas se sometan a auditorías financieras externas (como suele ser para compañías medianas o grandes, o para ciertas industrias reguladas), la empresa debe probar que realiza dichas auditorías de estados financieros y que actúa sobre las recomendaciones de las mismas.

¿Por qué este punto está en Ética Empresarial? Porque la responsabilidad tributaria es considerada un aspecto de la integridad corporativa. La OCDE, en sus Líneas Directrices para Multinacionales, dedica un capítulo a Fiscalidad, indicando que “las empresas deben contribuir a las finanzas públicas del país anfitrión pagando sus impuestos de manera oportuna y de acuerdo con la letra y el espíritu de la ley, evitando trasladar ganancias para reducir carga tributaria”. En otras palabras, se espera un comportamiento fiscal honesto. La elusión agresiva (aprovechar huecos legales para no pagar donde se genera la riqueza) si bien puede ser técnica o legalmente viable, choca con el “espíritu” de la ley y hoy día se mira como práctica éticamente reprochable. Organismos internacionales (Naciones Unidas, G20) han enfatizado que la evasión y elusión fiscal corporativa minan la confianza y restan recursos a gobiernos para desarrollo. Por ello, una empresa ética se esfuerza por pagar lo que le corresponde y ser transparente en sus finanzas.

Desde la perspectiva de auditoría SMETA, 10.C.C también puede incluir verificar temas como: la empresa lleva sus libros contables conforme a normas, no hay indicios de doble contabilidad, no oculta ingresos, si recibe subsidios o exenciones, los maneja con transparencia, etc. También si ha habido multas o sanciones fiscales, revisar cómo respondió (esto se conecta con 10.C.H de acciones correctivas tras sanciones). La mención de “puede incluir auditorías financieras de terceros” sugiere que el auditor SMETA podría pedir evidencia de que la empresa pasó por auditoría contable (por ejemplo, el informe de un auditor externo sobre los estados financieros). En algunos países, las empresas deben por ley auditarse anualmente; en otros no es obligatorio si son pequeñas, pero igual es buena práctica hacerlo voluntariamente. Tener estados financieros auditados por una firma independiente es un fuerte indicador de transparencia y buena gobernanza.

Un caso particular a considerar es cuando la empresa opera en la informalidad parcial (por ejemplo, no está registrada formalmente, o tiene trabajadores no declarados). Eso no solo viola leyes laborales, sino también fiscales (no pagar impuestos sobre nómina, etc.). Por tanto, el cumplimiento de 10.C.C también se relaciona con la formalidad del negocio. Una empresa ética no opera en las sombras, sino que cumple su rol en la sociedad como contribuyente registrado y responsable.

Principales issue titles (hallazgos) en SMETA 7 para 10.C.C

Los hallazgos asociados a este sub-requisito apuntan a incumplimientos fiscales o falta de conformidad con requerimientos financieros legales. En la lista SMETA, el principal issue title identificado es:

  • Incumplimiento de requisitos legislativos fiscales – “Non-compliance with any fiscal legislative requirements”(Código 955). Esto implica que la empresa no cumple con algún requerimiento legal en materia fiscal. Puede referirse a múltiples situaciones: no pago de impuestos debidos, retrasos crónicos en declaraciones, falta de registros contables obligatorios, no realización de auditorías externas cuando la ley lo manda, etc. Es un hallazgo bastante amplio: esencialmente, cualquier infracción a la ley tributaria o financiera detectada sería consignada aquí.

Este código abarca desde situaciones de morosidad fiscal (deuda de impuestos significativa sin negociar con la autoridad) hasta irregularidades como mantener dos juegos de contabilidad (uno real y otro “oficial” para pagar menos impuestos). También podría aplicar si, por ejemplo, la empresa no tiene la licencia de actividad económica vigente o el permiso municipal para operar (aspecto legal que puede tener componente fiscal), aunque eso también se solapa con 10.C.I que trata de licencias de uso de suelo. En definitiva, 10.C.C se enfoca en si la empresa es honesta y diligente en sus obligaciones financieras legales.

Vale notar que a diferencia de otros sub-requisitos, aquí no hay muchos códigos diferentes: básicamente cumple o no cumple. La auditoría SMETA podría no entrar a hacer una revisión exhaustiva contable (no es una auditoría financiera en sí), pero sí buscará señales de alerta: por ejemplo, preguntará si ha habido sanciones por Hacienda recientemente, o si la empresa maneja efectivo excesivo sin justificativo, o pedirá ver el certificado de estar al día con impuestos (en algunos países se expide un paz y salvo tributario). Si hay alguna duda seria, podría recomendar una verificación más a fondo.

Ejemplos de cumplimiento

  • Empresa al día con sus impuestos y auditorías: Una compañía de manufactura mediana demuestra durante la auditoría que cumple puntualmente sus obligaciones fiscales. Presenta como evidencia cartas de la autoridad tributaria que certifican que no tiene deudas pendientes (por ejemplo, un “certificado de cumplimiento tributario” vigente). Además, al auditor SMETA se le muestra el informe anual de auditoría financiera independiente, donde el auditor externo dio una opinión limpia sobre los estados financieros. La empresa explica que por ley deben auditarse y que llevan 5 años haciéndolo sin salvedades. También exhiben su balance general y estado de resultados del último año firmados por contadores colegiados. Esta transparencia y orden indican un claro cumplimiento de 10.C.C. El auditor podría anotar positivamente que la empresa mantiene cuentas claras, audita sus finanzas y no tiene incumplimientos fiscales, lo cual concuerda con una cultura ética.
  • Formalización y pago de impuestos laborales: Una empresa agrícola que históricamente operaba en la informalidad decidió formalizar todas sus operaciones. Inscribió a todos sus trabajadores en la seguridad social y comenzó a retener y pagar los impuestos sobre la renta y cotizaciones sociales según la ley. Durante la auditoría, se evidencia el cambio: se muestran planillas de aportes a la seguridad social, recibos de pago de impuestos patronales, etc. Esto es importante porque en muchos casos, la informalidad laboral va de la mano con evasión fiscal (no pagar impuestos de nómina, etc.). Al formalizarse, la empresa demuestra cumplimiento de sus deberes fiscales. Si bien tuvo que absorber costos más altos (antes evadía, ahora paga), eso es parte de su compromiso ético. El auditor valorará que la empresa ha dado pasos para cumplir con el fisco y con los trabajadores, regularizando su situación. Esto cumple 10.C.C (y también otros requisitos de SMETA relacionados a laborales).
  • Transparencia en precios de transferencia (para multinacionales): Una subsidiaria local de una multinacional puede estar sujeta a normativas de precios de transferencia y reportes país-por-país. Un buen ejemplo de cumplimiento es que esta subsidiaria provea en la auditoría evidencia de que sigue las normas de precios de transferencia, es decir, que sus transacciones con partes relacionadas (casa matriz, filiales) se hacen a valores de mercado y no para erosionar la base imponible local. Podría mostrar documentación de estudios de precios de transferencia y confirmación de que presenta el informe local a la autoridad fiscal. Esto demostraría que la empresa no incurre en planeación fiscal agresiva que perjudique al fisco anfitrión, alineándose con la expectativa ética de pagar impuestos donde se generan los beneficios. Un auditor SMETA vería esto como un compromiso con el “espíritu” de la ley tributaria, y no solo la “letra”, cumpliendo 10.C.C en profundidad.

Ejemplos de incumplimiento

  • Deuda tributaria significativa sin resolver: Una empresa de textiles tiene varios años arrastrando deudas de IVA e impuesto sobre la renta. Ha sido multada por Hacienda por declaraciones omitidas. Durante la auditoría SMETA, al solicitar evidencia de cumplimiento fiscal, la empresa titubea. Finalmente admite que debe impuestos atrasados y no tiene un plan de pagos acordado. Este sería un incumplimiento claro: no está cumpliendo los requisitos fiscales. El auditor registrará el hallazgo (código 955) porque la empresa no puede demostrar que esté al día ni haciendo los esfuerzos por regularizarse. Además, la falta de cumplimiento fiscal suele interpretarse como falta de ética corporativa (¿dónde quedó ese dinero no pagado? Seguramente engrosando las utilidades de forma indebida). La auditoría podría incluso escalar la gravedad si sospecha evasión intencional, ya que sugeriría un patrón antiético grave.
  • Operar sin licencia fiscal o registro comercial: Supongamos que un taller de empaque auditado nunca se registró formalmente como contribuyente. Opera en efectivo, no emite facturas ni declara ventas. Esto emerge en la auditoría porque no pueden presentar ningún RUC/NIT o cédula fiscal. Este hallazgo se solaparía con 10.C.I (local no registrado) y con 10.C.C, porque implica no cumplir ninguna obligación fiscal. Es un caso de informalidad total. SMETA 7 en licencias (10.C.I) tiene códigos específicos para locales no registrados (códigos 33 y 34), pero en 10.C.C se reflejaría el aspecto fiscal: básicamente la empresa no existe ante la autoridad tributaria, lo cual es ilegal. Sería una no conformidad crítica que probablemente conlleve suspensión de comercio con clientes serios hasta que se formalice.
  • Estructuras contables opacas o fraudulentas: Imaginemos que un auditor SMETA detecta irregularidades en la forma que la empresa lleva sus cuentas. Tal vez por entrevistas con personal, se entera de la existencia de “caja 2” (caja paralela no declarada) usada para pagos no oficiales. O revisando superficialmente la nómina, ve que muchos trabajadores figuran con salario mínimo en planilla pero reciben extras por fuera (para evadir impuestos y cotizaciones). Estas prácticas contables fraudulentas indicarían incumplimiento deliberado de normas fiscales y financieras. Aunque un auditor social no hará una auditoría forense profunda, estas señales son suficientes para anotar una no conformidad 10.C.C. Ejemplos: facturas sin soporte, doble facturación, inventarios manipulados para reducir utilidades, etc. Cualquiera de estos indicios de fraude contable o evasión fiscal activa el hallazgo 955 – la empresa no está en cumplimiento con la legislación financiera. Un caso extremo real fue en 2015 la detección de que cierto proveedor en Asia falsificaba sus resultados para esconder ganancias y no repartir participación legal a trabajadores; un hallazgo así en SMETA sería gravísimo.
  • No realizar auditoría externa obligatoria: En países donde la ley exige auditoría externa a empresas de cierto tamaño, el no cumplirlo es en sí un incumplimiento legal. Por ejemplo, si una empresa grande (que por normativa mercantil debe presentar estados auditados) decide ahorrar dinero y no contrata auditor independiente, estaría violando la ley de sociedades. Si en la auditoría SMETA se pide el último dictamen de auditoría y no existe porque la empresa no lo hizo, sería otra forma de incumplir 10.C.C. Indica falta de transparencia y control financiero. Además, la ausencia de un tercero revisando aumenta riesgos de errores o fraudes no detectados.

Errores comunes no intencionales

En cuanto al cumplimiento de obligaciones fiscales, algunos errores que cometen las empresas (no con malicia sino por descuido) podrían dificultar cumplir con 10.C.C:

  • Falta de control sobre cambios normativos fiscales: Las leyes tributarias cambian con frecuencia (nuevas tasas, nuevos impuestos, eliminación de exenciones, requisitos de facturación electrónica, etc.). Un error es no mantenerse actualizado, lo que puede resultar en incumplimientos involuntarios. Por ejemplo, la empresa sigue aplicando una tasa antigua de impuesto porque no se enteró que subió el porcentaje; o no registra cierta información en sus facturas porque desconoce la nueva obligación de incluirla. Esto puede llevar a sanciones. La solución es similar a 10.C.A: suscribirse a boletines de la autoridad fiscal, contar con un contador al día o asesor que informe de cambios. No intencional, pero ocurre en pymes que llevan contabilidad de forma casera.
  • Documentación fiscal desordenada: Puede que la empresa pague sus impuestos, pero si no archiva los comprobantes adecuadamente, le costará demostrarlo. Un error común es no guardar evidencias de declaraciones y pagos. Si en la auditoría piden el comprobante de la última declaración anual y el responsable no sabe dónde está (o se perdió), la empresa queda mal parada. Aunque se pueda conseguir después, la impresión inicial es de falta de control. Lo mismo con documentos de auditorías externas: no disponer rápidamente del informe del auditor, del acta de junta que aprobó estados financieros, etc., denota desorganización. La recomendación es llevar un archivo fiscal centralizado con todas las declaraciones, pagos, certificados y auditorías, de modo que se puedan mostrar al auditor sin demora.
  • Asumir que “tema fiscal” no es “tema ética” y aislarlo: Algunas compañías se enfocan en anti-corrupción pero no relacionan los tributos con la ética, viéndolos solo como asunto técnico de contadores. Este silo puede hacer que la alta dirección no supervise suficientemente el área fiscal. Por ejemplo, puede haber presión indebida a contabilidad para “hacer magia” y pagar menos impuestos, sin que se vea como antiético internamente (“es ser listo con las finanzas”). Esto es un error cultural: se debe inculcar que evadir impuestos es tan incorrecto como sobornar. Todos los empleados deben entender que la ética incluye honrar las obligaciones con el Estado. No hacerlo puede crear doble moral: gente muy recta para no sobornar a un inspector, pero que aplaude deducir facturas falsas para bajar impuestos. Esa incoherencia socava la cultura ética integral.
  • Confiar ciegamente en terceros sin supervisión: Muchas pymes subcontratan su contabilidad o temas fiscales a gestores externos. Esto está bien, pero el error es desentenderse totalmente y no supervisar. Puede ocurrir que el gestor cometa errores o incluso fraudes (ejemplo, quedarse con dinero destinado a impuestos). La empresa quizá se entera cuando es muy tarde y enfrenta sanciones. Aunque se delegue, la empresa tiene la responsabilidad final ante la ley. Debe vigilar: pedir reportes periódicos al gestor, revisar que los pagos se hagan, quizá diversificar funciones (quien prepara no es quien firma cheques, etc.). En resumen, trust but verify. Dejar todo en manos de un tercero sin controles es arriesgado.
  • No prepararse para auditorías financieras: Si bien una auditoría contable la hacen contadores, la empresa en su conjunto debe cooperar y prepararse para ello. Un error es no dar suficiente importancia a las recomendaciones de auditores externos. Por ejemplo, el auditor reporta debilidades en control interno (que podrían llevar a errores o fraudes) y la gerencia no implementa las recomendaciones porque “no es obligatorio”. Esto puede dejar problemas latentes. En una siguiente auditoría (sea financiera o una social como SMETA) estos mismos puntos pueden convertirse en incidentes. La buena práctica es tratar las auditorías externas como aliadas para mejorar. Ignorarlas por considerarlas trámite es un error que le resta valor a todo el proceso.

Recomendaciones y buenas prácticas para asegurar el cumplimiento (10.C.C)

1. Conozca y planifique sus obligaciones fiscales: El primer paso es tener un calendario fiscal claro: fechas de declaración y pago de IVA/ITBIS, renta, contribuciones sociales, impuestos locales, etc. Nunca improvise con impuestos; use recordatorios, software contable con alertas o un cronograma visible para los responsables. Asegúrese de comprender cada impuesto o contribución aplicable: base de cálculo, tarifa, periodicidad. Si la empresa opera en varias jurisdicciones (distintos países o provincias), compile las obligaciones de cada lugar. Este calendario no solo ayuda a cumplir a tiempo (evitando recargos y multas) sino que muestra orden. Puede presentarlo al auditor si se discute cómo manejan los impuestos. Una empresa organizada dirá: “Aquí está nuestro calendario fiscal anual y quién es responsable de cada presentación/pago”. Eso da confianza de que no dejarán pasar un vencimiento por descuido.

2. Mantenga sus registros financieros al día y auditables: Lleve la contabilidad de acuerdo con las normas contables aplicables (ya sea normas locales o IFRS si corresponde). Libros contables ordenados y conciliados facilitan cumplir requisitos fiscales y demostrar integridad. Cierre mensualmente sus cuentas, para que cualquier anomalía salte temprano. Además, prepare estados financieros anuales auditados (si no es obligatorio por ley, es igualmente recomendable como buena práctica). Contar con la opinión de un tercero independiente sobre la veracidad de sus estados refuerza la credibilidad y cumplimiento ético. Muchos clientes valoran proveedores con finanzas auditadas porque reduce riesgos (SMETA sugiere auditoría de terceros como parte de este criterio). Por ejemplo, BSI menciona que certificarse en ISO 37001 permite demostrar cumplimiento de legislación pertinente, colaborando con stakeholders para supervisar riesgos en la cadena de suministro. En materia fiscal, tener auditores externos es colaborar con partes interesadas (accionistas, autoridades) para asegurar cuentas claras.

3. Pague sus impuestos completa y oportunamente: Esto suena obvio, pero en la práctica requiere disciplina financiera. Priorice el pago de impuestos como una obligación esencial, al mismo nivel que nómina o proveedores clave. No utilice dinero de impuestos para flujo de caja operativo (práctica peligrosa). Si la liquidez es un problema, gestione con anticipación facilidades de pago con la autoridad fiscal o financiamiento bancario, pero no caiga en mora sin planificar. Cada pago de impuesto, asegúrese de obtener y archivar el comprobante oficial. Si alguna vez recibe sanciones por errores o retrasos, páguelas o impúguelas de inmediato; no las deje acumular. Una forma de mostrar su cumplimiento es solicitando regularmente a la autoridad un Certificado de Solvencia Fiscal (si existe esa figura) y mantenerlo vigente. Algunas empresas lo hacen anualmente para presentarlo en licitaciones; puede servir en la auditoría SMETA como evidencia tangible de que “estamos al día con el fisco”. También, en la medida de lo posible, evite prácticas de elusión agresiva. Aunque no sean ilegales per se, pueden interpretarse mal éticamente. Por ejemplo, registrar operaciones en paraísos fiscales artificialmente. Alinee su estrategia fiscal con sus valores éticos y de responsabilidad social.

4. Transparencia y precisión en la información financiera: Asegúrese de que la información que reporta a las autoridades (y en general a cualquier stakeholder) sea veraz, completa y precisa. Esto incluye declaraciones de impuestos, reportes estadísticos, informes a inversionistas, etc. Minimice ajustes posteriores o rectificativas, que a veces denotan descuidos o intenciones de corregir cosas “descubiertas”. Antes de presentar cualquier declaración importante, revísela internamente o haga auditorías previas. En la cultura corporativa, recalque que “los números no se maquillan”. Cero tolerancia a contabilidad creativa o engañosa. Un buen ejercicio es hacer un pre-audit interno: simular la revisión que haría un inspector fiscal o auditor externo para ver si detectan algo raro. Mejore lo que surja. Al final del día, usted quiere estar cómodo de que si mañana le hacen una auditoría fiscal sorpresiva, no habrá sorpresas. Esa tranquilidad es señal de que 10.C.C está cubierto.

5. Aproveche auditorías externas para mejora continua: Si su empresa es auditada externamente (ya sea por mandato legal o voluntariamente), use esos resultados para mejorar su cumplimiento. Implemente las recomendaciones de control interno que los auditores financieros hagan. Muchas veces señalan, por ejemplo, débiles segregaciones de funciones, inventarios mal controlados, etc. – aspectos que, si se dejan pasar, pueden desembocar en errores o fraudes que afecten impuestos. Mostrar en SMETA que la empresa toma en serio su auditoría financiera y actúa sobre ella refuerza su perfil ético. Incluso podría compartir con el auditor SMETA un resumen de “hallazgos de auditoría externa y acciones tomadas” (sin revelar cifras confidenciales). Esto no es requerido formalmente, pero voluntariamente demuestra compromiso con la transparencia y mejora. Además, si su auditor externo emite cartas de gestión (management letters) y usted responde formalmente con un plan de acción, conserve esa correspondencia como evidencia de buena gobernanza financiera.

6. Formación y ética para personal de finanzas y contabilidad: Quienes manejan los números de la empresa deben ser aliados clave en la ética. Proporcióneles capacitación ética específica, resaltando la importancia de su rol en la honestidad corporativa. Incluya temas como: integridad en informes, confidencialidad (pero no complicidad en irregularidades), cómo manejar presiones para alterar cifras, etc. Apoye a los empleados contables cuando digan “no” a pedidos indebidos (ejemplo, si un directivo les insinúa inflar un gasto para pagar menos impuestos, respalde al contador en negarse). Incluir en el código de ética secciones sobre ética financiera y contable ayuda a establecer las expectativas. Algunas empresas tienen “políticas de registro financiero” que prohíben explícitamente llevar cuentas ocultas o fuera de libros – adopte esas prácticas. Al final, usted quiere un equipo financiero que vea el cumplimiento legal como parte de su orgullo profesional. Un contador ético dirá: “Mis balances pueden ser auditados por quien sea, están bien hechos”. Fomente ese orgullo. Incluso podría rotar al personal por auditoría interna o externa para que vean la importancia de la transparencia financiera desde múltiples ángulos.

Siguiendo estas recomendaciones, la empresa estará bien posicionada para demostrar en cualquier momento (no solo en auditoría SMETA) que es una entidad formal, cumplida y honesta en sus finanzas. Además, contribuirá positivamente a la sociedad al aportar sus impuestos justamente – lo cual es reconocido cada vez más como parte de la responsabilidad social corporativa. Un informe de la ONU señalaba que la corrupción, el soborno, el robo y la evasión fiscal socavan el desarrollo, costándole billones a los países. Las empresas pueden ser parte de la solución con una cultura de cumplimiento fiscal. En palabras de las Directrices OCDE, “cumplir con la letra y el espíritu de las leyes fiscales” no solo evita sanciones, sino que es la base de una operación ética que aporta al bienestar público.

Más allá de la auditoría: promoviendo una cultura de integridad financiera

Para llevar la ética tributaria y financiera al siguiente nivel dentro de la organización, considere:

  • Enmarcar el pago de impuestos como aporte social: Comunicar internamente qué significan los impuestos que paga la empresa en términos de contribución al país (escuelas, hospitales, infraestructura). Esto puede motivar orgullo en vez de verlo como “dinero perdido”. Algunas empresas incluyen en su reporte anual cuántos impuestos pagaron y lo presentan como parte de su responsabilidad con la comunidad. Hacer visible este aporte ayuda a crear conciencia de que ser contribuyente es ser un buen ciudadano corporativo. Cambia la narrativa de “impuestos = carga” a “impuestos = inversión en sociedad”.
  • Política de cero tolerancia a la evasión/elusión cuestionable: Más allá de cumplir la ley mínima, la empresa podría adoptar una política fiscal ética donde se compromete a no usar paraísos fiscales artificiales, no hacer planeación que carezca de sustancia económica, etc. Por ejemplo, algunas multinacionales se adhieren voluntariamente a códigos de conducta tributaria, comprometiéndose a declarar utilidades donde se generan. Si bien esto depende del tamaño y complejidad, incluso pymes pueden decir: “No pagaremos sobresueldos por fuera, no pagaremos nada en negro”. Hacer explícito ese compromiso y socializarlo con dueños/accionistas es vital, porque a veces la presión de evitar impuestos viene desde la propiedad. Pero si los dueños entienden el costo reputacional de ser vistos como evasores, apoyarán una política transparente.
  • Evaluar riesgo reputacional de asuntos fiscales: Hoy día la información de las empresas puede volverse pública (ejemplo, si la prensa descubre que X empresa se acogió a cierto esquema para no pagar impuestos). Vale la pena hacer un análisis de riesgo reputacional sobre la estrategia fiscal corporativa. Incluirlo en las evaluaciones de riesgos éticos (conexión con 10.C.B). Preguntarse: ¿qué pasaría si nuestros clientes supieran cómo manejamos nuestros impuestos? ¿Nos sentiríamos cómodos explicándolo? Si hay algo que genera duda o vergüenza, tal vez es señal de ajustarlo. Al anticiparse a posibles cuestionamientos, la empresa se blinda. Muchas marcas globales sufrieron boicots cuando se supo que apenas pagaban impuestos trasladando beneficios a paraísos fiscales – su reputación ética se dañó a ojos del público. No subestimar ese riesgo es clave para una ética integral.
  • Participación en iniciativas de transparencia (si son relevantes): En algunos países existen iniciativas de “Empresa Transparente”, donde las compañías voluntariamente divulgan cierta información o pasan por evaluaciones independientes en materia anticorrupción y fiscal. Un ejemplo global es el Transparency in Corporate Reporting de Transparency International, que evalúa qué tanto divulgan las empresas de sus estructuras y pagos. Considerar ser parte de estas evaluaciones o al menos tomar sus criterios como guía, puede elevar la cultura interna. Por ejemplo, TI sugiere que las empresas reporten país por país sus impuestos pagados para mayor transparencia. Si su empresa opera en varios países, podría voluntariamente incluir en su memoria anual cuánto paga en cada jurisdicción. Son pasos más allá de la exigencia legal que demuestran liderazgo ético.
  • Integrar control fiscal en la cadena de suministro: Así como Sedex promueve la ética laboral en la cadena, considere promover la formalidad y cumplimiento fiscal entre sus proveedores. Un proveedor informal que evade impuestos no solo es un riesgo (por ejemplo, podrían cerrarlo y afectar su cadena), sino que perpetúa malas prácticas. Podría incluir en su código de conducta de proveedores cláusulas instando a la legalidad financiera básica (estar registrados, emitir facturas legales, etc.). Incluso capacitar a proveedores pequeños en temas de formalización. Esto fortalece el ecosistema y reduce la probabilidad de verse involucrado indirectamente en esquemas fraudulentos (como facturas falsas). Va más allá de SMETA, pero consolida una red de negocios íntegros.

En conclusión, el requisito 10.C.C busca asegurar que la empresa “juegue limpio” en el terreno financiero y fiscal. Lograrlo no solo evita problemas legales, sino que aporta a la sostenibilidad económica del entorno. Una empresa que cumple con sus impuestos y es transparente en sus finanzas demuestra respeto por sus stakeholders: el Estado, sus empleados (que se benefician de prestaciones sociales bien financiadas), sus inversores (que confían en la veracidad de su información) y la comunidad en general. La ética empresarial incluye ser un contribuyente responsable, y quienes lo entienden cosechan reputación y estabilidad a largo plazo.

10.C.D – Política de Ética Empresarial (Anticorrupción) y Comunicación a Todas las Partes de Alto Riesgo (Incluyendo Proveedores)

Explicación del requisito

El sub-requisito 10.C.D exige que la empresa “tenga y comunique una política de ética empresarial que cubra el soborno, la corrupción o cualquier tipo de práctica empresarial fraudulenta o poco ética, a todas las partes que considere de alto riesgo, incluyendo los propios proveedores del sitio”. En otras palabras, se espera que exista un documento formal – una política o código de ética – donde la empresa establece sus estándares y prohibiciones en materia de integridad (especialmente respecto a soborno, corrupción, fraude, etc.), y que dicha política sea divulgada no solo internamente sino también externamente hacia aquellos actores con potencial de verse involucrados en riesgos éticos (por ejemplo, ciertos proveedores, contratistas, agentes, socios comerciales).

Este requisito tiene varias capas importantes:

  • Existencia de una política detallada: La empresa debe contar con una Política de Ética Empresarial o Política Anticorrupción clara. Puede ser un documento independiente enfocado en corrupción y fraude, o estar incluido dentro de un Código de Conducta más amplio. Lo crucial es que cubra explícitamente los temas relevantes: prohibición de sobornos (activos y pasivos), de pagos de facilitación, lineamientos sobre regalos, hospitalidad y donativos, prohibición de fraude, conflictos de interés, lavado de dinero, anti-monopolio, etc., según apliquen. Debe ser lo suficientemente detallada y específica a las operaciones de la empresa para ser efectiva. Una política genérica o vaga podría no considerarse adecuada. Por ejemplo, decir solo “nos portaremos éticamente” no basta; debe abordar escenarios concretos (¿puedo ofrecer un regalo? ¿de cuánto? ¿puedo invitar a comer a un cliente? ¿qué hacer si un funcionario me pide dinero? etc.). SMETA destaca la necesidad de una política detallada sobre soborno, corrupción y prácticas no éticas.
  • Comunicación de la política a partes de riesgo: No es suficiente tener la política guardada en un cajón. Debe haberse comunicado a aquellos grupos que la empresa considere de “alto riesgo”. ¿Quiénes son estos? El texto menciona explícitamente “incluyendo los proveedores del sitio”. Esto sugiere que los proveedores clave(especialmente los de alto riesgo para corrupción – por ejemplo, agentes comerciales, intermediarios, proveedores en países de corrupción elevada, etc.) deben conocer la política y quizá comprometerse a cumplirla. También abarca a empleados en posiciones de riesgo (las auditorías lo detallan: “empleados en puestos de mayor riesgo como gerencia, finanzas, compras y logística” deben recibir y entender la política). Básicamente, todos aquellos individuos o entidades que, por la naturaleza de su rol, podrían enfrentarse a tentaciones o situaciones de soborno o fraude. Por ejemplo: personal de compras (riesgo de recibir sobornos de proveedores), personal de ventas o licitaciones (riesgo de ofrecer sobornos a clientes o funcionarios), personal de logística (riesgo de sobornos en aduanas, transportes), personal financiero (riesgo de fraude contable), gerentes (riesgo de abuso de poder para beneficio propio), y proveedores externos (riesgo de que actúen en nombre de la empresa de forma corrupta).
  • Alcance hacia la cadena de suministro: La mención explícita de “propios proveedores” indica que SMETA valora la extensión de la cultura ética más allá de la compañía. Compartir la política con proveedores refleja que la empresa espera también integridad de sus socios. Muchas empresas piden a sus proveedores firmar un Código de Conducta de Proveedores que incluye cláusulas anticorrupción, o anexan su política ética en contratos. Si un proveedor es identificado como “alto riesgo” (por ejemplo, un intermediario que obtiene licencias en nombre de la empresa), quizá se deba entrenarlo adicionalmente o obtener una declaración de cumplimiento. Todo esto entra en 10.C.D.

En resumen, 10.C.D busca asegurar un compromiso formal y comunicacional con la ética. Donde 10.C.A y 10.C.B eran más internos (conocer leyes, evaluar riesgos), 10.C.D es la cristalización de esa postura en un documento de política y en su difusión activa. Esta es una piedra angular de cualquier sistema de compliance: sin políticas claras, los empleados pueden no saber qué se espera de ellos; sin comunicación, la política es letra muerta. Y sin llegar a los terceros, se crea una brecha (un proveedor corrupto puede echar por tierra los esfuerzos internos).

Cabe mencionar que las mejores prácticas internacionales insisten en la importancia del liderazgo ético desde la dirección y políticas corporativas. La norma ISO 37001, por ejemplo, exige que la organización establezca una política antisoborno aprobada por la alta dirección y la comunique a todos los empleados y socios de negocio relevantes. Igualmente, la guía de la OCDE-WB-UNODC (Manual Anticorrupción) señala la adopción de códigos de conducta como primer elemento de un programa de compliance. La OIT, en su lado, sugiere que las empresas tengan “políticas y procesos, respaldados al más alto nivel, que incluyan compromisos para mejorar el desempeño ético”.

Principales issue titles (hallazgos) en SMETA 7 para 10.C.D

Las no conformidades típicas para 10.C.D son dos, según la matriz SMETA:

  • Ausencia de política ética detallada sobre soborno/corrupción – “Lack of detailed Business Ethics policy concerning bribery, corruption or unethical business practices (e.g. fraud, tax evasion, political interest, anti-competitive practices, extortion or money laundering, etc.)” (Código 658). Esto significa que la empresa no cuenta con una política de ética empresarial suficientemente detallada que abarque soborno, corrupción y otras prácticas no éticas. Puede ser que no exista ninguna política escrita al respecto, o que la existente sea demasiado genérica e incompleta. Por ejemplo, un Código de Ética de 2 páginas que apenas dice “cumpliremos la ley y actuaremos con honestidad” sin mencionar escenarios concretos sería considerado insuficiente. La falta de una política robusta es un hallazgo serio, pues deja a la empresa sin guía formal ante dilemas éticos.
  • Política no comunicada a empleados de alto riesgo – “Policy and procedures to prevent or avoid bribery, corruption and other unethical business practices have not been communicated to employees in higher risk positions such as management, finance, purchasing and logistics” (Código 659). En este caso, la empresa puede tener una buena política, pero no la ha comunicado adecuadamente a los empleados en puestos críticos (gerentes, finanzas, compras, logística, etc.). Es decir, el papel existe pero las personas clave no la conocen o no han recibido capacitación al respecto. También es posible que la comunicación haya ocurrido pero no de manera efectiva (por ejemplo, se les envió por email hace años y no se verificó comprensión). El hallazgo indica un fallo en la difusión y arraigo de la política.

Nótese que la comunicación a proveedores también está implícita en 10.C.D, aunque la redacción de los issue titles se centra en empleados. Sin embargo, un auditor podría observar si la política llega a proveedores (quizá preguntando a un proveedor durante visita o revisando contratos con cláusulas éticas). Si no fuera el caso, es posible que lo mencione en el informe cualitativamente.

Ejemplos de cumplimiento

  • Código de Ética robusto y difundido: Una empresa de servicios profesionales posee un Código de Ética y Conducta de 20 páginas que cubre en detalle la prohibición de sobornos (con ejemplos de qué cuenta como soborno), fraude contable, gestión de regalos y atenciones (con montos límite y procesos de aprobación), manejo de información confidencial, prevención de conflictos de interés, relación con autoridades, etc. Este código está aprobado por el Directorio y firmado por el CEO, mostrando liderazgo ético desde la alta dirección. Al ingresar a la empresa, todos los empleados reciben una capacitación sobre el código y firman un compromiso de cumplirlo. Además, anualmente hacen un refresco virtual con cuestionarios para asegurarse de la comprensión. En áreas críticas (ventas, compras), se realizan talleres específicos donde se discuten casos prácticos de corrupción y la política a seguir. La empresa también entrega el Código de Ética a sus proveedores principales junto con los contratos, y requiere que lo acepten. Durante la auditoría, el personal es capaz de explicar la política anticorrupción de la empresa, citar pasajes importantes (como “no se permite ofrecer ni aceptar regalos de más de $50” o “cualquier intento de soborno debe reportarse de inmediato”). El auditor también ve copias del código exhibidas en murales y disponible en la intranet. Este es un ejemplo claro de cumplimiento: existe una política ética sólida y se comunica efectivamente a todos los destinatarios pertinentes.
  • Política anticorrupción extendida a la cadena de suministro: Una empresa manufacturera global implementa un Programa de Integridad para Proveedores. Esto incluye un suplemento en sus contratos de compra llamado “Cláusula Anticorrupción” donde el proveedor se compromete a no ofrecer sobornos y a reportar cualquier solicitud corrupta. Adicionalmente, la empresa organiza anualmente una sesión virtual con sus proveedores críticos para repasar su Código de Conducta de Proveedores, que incorpora los principios de su política de ética empresarial. En esta sesión explican, por ejemplo, que si un empleado de la empresa les pide un soborno, el proveedor debe rechazarlo y denunciarlo, y garantizan no tomar represalias contra el proveedor denunciante (protección de integridad). También advierten que cualquier proveedor que intente sobornar será sancionado (hasta terminar contrato). La auditoría SMETA destaca esta buena práctica – no solo la empresa tiene una política interna, sino que la ha proyectado hacia sus socios comerciales, reduciendo riesgos externos. Presentan correspondencia enviada a proveedores con la política, y un par de proveedores confirmaron haber recibido y entendido esos lineamientos. Esto excede lo básico pero es un excelente cumplimiento de 10.C.D, evidenciando la seriedad del compromiso ético.
  • Políticas específicas para funciones clave: Algunas empresas complementan el Código general con políticas específicas (que forman parte del marco ético global). Por ejemplo, una empresa tiene una Política de Regalos, Entretenimiento y Donaciones detallada (que define qué está permitido regalar o recibir y los procedimientos de aprobación y registro), una Política de Conflicto de Interés (que exige declaración anual de posibles conflictos por parte de empleados clave) y un Manual de Interacción con Funcionarios Públicos (especialmente útil si deben obtener permisos o licencias). Todas estas políticas están alineadas con el Código de Ética principal. Durante la auditoría, la empresa presenta este conjunto de documentos y evidencia que se han difundido: los empleados de compras tienen copias de la Política de Regalos y saben que deben registrar cualquier invitación de proveedor; el área de RR.HH. custodia los formularios de declaración de conflicto que cada gerente llena anualmente; el equipo de asuntos regulatorios conoce las pautas para trato con funcionarios. Este mosaico de políticas demuestra un sistema preventivo integral. Es cumplimiento más que satisfactorio de 10.C.D, ya que no solo hay “un documento”, sino un ecosistema de políticas vivas apoyadas por procedimientos.

Ejemplos de incumplimiento

  • Sin política escrita anticorrupción: Una pyme familiar opera de manera informal en cuanto a ética: asumen que “todo el mundo sabe que debe ser honesto” pero no tienen ningún código o política por escrito. En la auditoría, al pedírseles su política de ética, dan una respuesta oral: “bueno, nosotros siempre enseñamos que no hay que hacer trampa, pero no lo tenemos escrito”. Este es un incumplimiento directo del sub-requisito 10.C.D. El auditor levantará el hallazgo 658 – falta una política detallada anticorrupción. Aunque la intención de la empresa sea buena, la ausencia de un documento formal es una brecha importante. Además, al no estar escrito, es probable que cada empleado tenga su propia interpretación de hasta dónde llega la tolerancia o qué situaciones se contemplan. Por ejemplo, quizá un empleado cree que aceptar regalos costosos de proveedores está bien porque “el jefe nunca dijo nada” al respecto. Sin política, hay ambigüedad y riesgo.
  • Política genérica y desconocida: Un grupo empresarial posee un Código de Conducta general, pero es muy corto y tratado superficialmente. Dedica tal vez un párrafo al soborno diciendo “La empresa prohíbe todo soborno y acto de corrupción”, sin más detalles o guías. Este documento existe pero no se ha difundido efectivamente. De hecho, en la auditoría varios empleados en puestos de riesgo comentan no recordar su contenido, o dicen que “lo firmaron al entrar hace años pero nadie ha hablado más del tema”. No se han hecho capacitaciones ni refrescamientos. Peor aún, la alta dirección no referencia el código en comunicaciones. Este caso resultaría en hallazgos: probablemente el auditor marque tanto el 658 (porque la política carece de detalle, no menciona fraude, ni regalos, ni extorsión, etc.) como el 659 (porque no ha sido comunicada a quienes corresponde). La empresa podría argumentar que “tienen política”, pero a ojos del auditor es casi como no tenerla, dada su ineficacia y falta de sustancia.
  • Política no comunicada a un área de riesgo crítico: Supongamos que una empresa manufacturera tiene su código anticorrupción, pero olvidó incluir en la capacitación al personal de logística y aduanas (quizá se enfocaron en compras y ventas y pasaron por alto logística). Resulta que el auditor entrevista a un supervisor de logística que dice desconocer si existe una política sobre pagos de facilitación; él comenta que “a veces si el camión se retrasa mucho, mis jefes me autorizan a pagar algo extra en la aduana”. Esto muestra dos cosas: primero, que el empleado no recibió el mensaje de cero sobornos; segundo, que hay una práctica contraria a la supuesta política (que seguramente prohíbe sobornos). Claramente 10.C.D falla: la política pudo existir en papel pero no llegó a todos los rincones, dejando un “punto ciego” justo en un área de alto riesgo. Este sería un hallazgo 659 – la política no comunicada a empleados de logística (entre otros). Además, conllevaría posiblemente un hallazgo en 10.C.B (evidencia de sobornos de facilitación, código 660). Este ejemplo ilustra la importancia de no olvidar ninguna área al difundir, porque la cadena es tan fuerte como su eslabón más débil.
  • Proveedores no informados ni comprometidos: Imaginemos que la empresa tiene un código interno robusto, pero no involucra a sus proveedores en absoluto. Durante la auditoría, se entrevista a un proveedor de materias primas local y al preguntarle si conoce políticas éticas de la empresa cliente, dice que no, que nunca le han comentado nada al respecto. Ahora, si bien SMETA no obliga a auditar a los proveedores en este pilar, este hecho puede constar en observaciones. Si además, existe evidencia de un caso en que un proveedor actuó éticamente mal y la empresa no hizo nada, se vería peor. Por ejemplo, si un proveedor sobornó a un empleado de la empresa para ganar un contrato, y se descubrió pero la empresa ni le sancionó ni reforzó la comunicación de política con los demás proveedores, es un incumplimiento serio. Sería citado quizás en 10.C.B (incidente de corrupción) y reflejaría deficiencia en 10.C.D (no se comunicó la expectativa ética a proveedores). Los auditores podrían recomendar formalmente que la empresa extienda su política a terceros como mejora obligatoria.

Errores comunes no intencionales

Al implementar y comunicar la política ética, las empresas bien intencionadas pueden cometer errores que reducen su efectividad:

  • Política excesivamente teórica o complicada: Algunas empresas, con la idea de ser exhaustivas, producen un documento tan técnico o extenso (por ejemplo, plagado de lenguaje legal o de 100 páginas) que resulta poco comprensible o poco práctico para los empleados. Un error es pensar que por ser detallado será mejor; pero si no se comunica en lenguaje claro y digerible, muchos empleados no la asimilarán. Equilibrio es clave: detallado pero entendible. Idealmente con ejemplos. Un indicio de este error es si en una encuesta interna muchos dicen que la política es “difícil de entender” o no recuerdan sus puntos clave. La solución: redactar en lenguaje sencillo, usar FAQs, infografías, resúmenes. La meta es que un empleado promedio pueda explicar las reglas sin recitar jerga.
  • Comunicación de una sola vez (“check the box”): Un error común es tratar la difusión de la política como un evento único: se entregó el documento en la inducción inicial y listo. Con el tiempo, la gente olvida o llegan nuevos empleados que no vivieron esa inducción. La ética requiere refuerzo periódico. No basta el check de “todos firmaron el Código cuando ingresaron”. Sin refrescar, la política se vuelve letra muerta. La recomendación es una comunicación continua: charlas anuales, recordatorios en newsletters internos, hablar del tema en reuniones. Al igual que en seguridad industrial se pone carteles y se repite “cero accidentes” siempre, en ética hay que mantener el mensaje vivo. Un caso no intencional típico: la empresa cree que todos saben porque lo comunicó hace 5 años, pero la mitad del personal actual es nuevo y no recibió esa formación inicial.
  • Dar por hecho que los jefes comunicarán cascada: Algunas organizaciones elaboran la política y la envían a gerentes esperando que ellos la transmitan a sus equipos, pero sin monitorear ni apoyar esa cascada. Esto a veces falla: un gerente ocupado podría no priorizar este tema o no saber comunicarlo bien. Entonces la base nunca la escucha. Es un error suponer que la comunicación se dio solo porque se envió un memo a mandos medios. Se debe acompañar con material, plazos, y verificar cumplimiento. Mejor aún, reunir directamente a todo el personal en sesiones o usar medios directos (email a todos, carteleras, intranet). La cascada puede ser complementaria, pero no la única vía. Sin control, algunos empleados quedan desconectados.
  • No ejemplificar comportamientos esperados/prohibidos: Una política puede quedarse en lo abstracto si no se aterriza a la realidad cotidiana. Un error es no incluir ejemplos prácticos o guías concretas de aplicación. Por ejemplo: la política dice “prohibido sobornar”, pero no explica que invitar repetidamente a un funcionario a eventos lujosos puede considerarse soborno. Un empleado podría no darse cuenta de que eso aplica. O no define qué es “conflicto de interés” con casos. Esta falta de ejemplos deja margen a interpretaciones no intencionales pero erróneas. Las buenas políticas traen casos ilustrativos o, si no en el documento, en la capacitación. Este error se soluciona complementando la política con entrenamientos interactivos donde se discuten dilemas reales. Sin esa “bajada a tierra”, la gente puede firmar la política pero no saber cómo actuar en situaciones reales.
  • Olvidar la actualización de la política: Con el tiempo, cambios en leyes (por ej. nueva legislación de protección de denunciantes) o en la propia estructura pueden requerir ajustar la política. Un error es no revisar periódicamente el código/política. Podría quedar desactualizado respecto a las mejores prácticas o dejar fuera nuevos riesgos (como recientemente, riesgos de corrupción en entornos digitales, ciberextorsión, etc.). Una política obsoleta puede tener lagunas. Se recomienda revisarla al menos cada 2 años o cuando haya cambios significativos, e involucrar a varias áreas en la revisión. No actualizar también puede significar no abarcar sub-temas emergentes (ejemplo, antes quizá no se consideraba la ética en inteligencia artificial o el acoso sexual como parte de ética – hoy sí en muchos códigos). La ética evoluciona y la política debe reflejarlo.

Recomendaciones y buenas prácticas para asegurar el cumplimiento (10.C.D)

1. Desarrollar una política/código claro, completo y accesible: Si su empresa aún no tiene un Código de Ética o Política Anticorrupción formal, hágalo una prioridad. Puede basarse en modelos de organismos reconocidos (Sedex, Pacto Global, ISO 37001, etc.) y adaptarlo a su realidad. Asegúrese de incluir todos los temas relevantes: soborno (ofrecer/aceptar), conflictos de interés, regalos e invitaciones, donaciones y caridad (para evitar encubrimiento de sobornos), contribuciones políticas, fraude contable, competencia leal, lavado de dinero, protección de información confidencial, uso adecuado de activos, etc. Incluya definiciones y ejemplos breves para evitar ambigüedades. Por ejemplo: defina qué es soborno (“ofrecer o aceptar cualquier beneficio indebido…”), qué son pagos de facilitación, que “regalos modestos de cortesía son aceptables hasta X valor con transparencia, pero no se permiten regalos costosos o en efectivo”, etc. También indique claramente las consecuencias de violar la política (acciones disciplinarias). El tono debe ser firme en principios pero amigable en lenguaje. Formatee el documento para que sea fácil de leer (secciones claras, viñetas, quizás un resumen ejecutivo). Y muy importante: traducciones si se manejan varios idiomas en la empresa – cada empleado debe tenerla en el idioma que entienda. Este documento será el estandarte que mostrará al auditor para evidenciar cumplimiento. Si ya tiene un código, revíselo con ojo crítico: ¿cubre fraudes? ¿cubre extorsión? ¿menciona anti-monopolio? ¿está actualizado? Complementar si falta algo.

2. Aprobar la política al más alto nivel y difundir desde el liderazgo: Para que la política tenga peso, debe ser aprobada y respaldada por la alta dirección (Gerente General, Directorio). Un lanzamiento efectivo es con un mensaje del CEO enfatizando el compromiso inquebrantable con la ética y que todos deben acatar las normas. Este compromiso desde la alta dirección es crucial; los empleados deben percibir que “esto va en serio, viene desde arriba”. Recomiendo que el CEO firme una carta introductoria en el Código de Ética, y que en reuniones generales hable del tema. La dirección intermedia también debe liderar con el ejemplo (no serviría de nada que la política prohíba regalos costosos si los directores siguen recibiéndolos). Incluya la ética en la agenda regular de la empresa: por ejemplo, que en cada inducción de personal nuevo, un directivo se tome unos minutos para hablar de la cultura ética. Este liderazgo visible refuerza la comunicación de la política. Los empleados suelen prestar más atención cuando ven que sus jefes se involucran personalmente. Los líderes deben establecer el ejemplo de integridad y alentar comunicación abierta; esto es parte integral de la difusión de la política.

3. Realizar capacitación y concienciación continua dirigida a públicos objetivo: No se limite a entregar el documento; organice capacitaciones periódicas. Especialmente enfoque sesiones específicas para las áreas de alto riesgo: compras, ventas, finanzas, logística, alta dirección. En estas sesiones, repase la política pero sobre todo discuta casos prácticos. Por ejemplo: ponga escenarios “¿Qué harías si…?” – un proveedor te ofrece un regalo caro, un funcionario insinúa un pago extra, descubres que un colega falsifica reportes, etc. – y use la política como guía para la respuesta correcta. Esto ayuda a internalizar los conceptos. Haga las capacitaciones participativas y adaptadas al nivel: para operativos, quizá videos ilustrativos; para gerentes, talleres interactivos. Registre la asistencia y los temas cubiertos, así tendrá evidencia de la comunicación. Además, implemente refresher trainings anuales o bianuales para todos, aunque sea e-learning con un quiz para reactivar el conocimiento. Muchos estándares (como ISO 37001) hacen hincapié en capacitación continua de personal como parte vital del programa. En auditoría SMETA, usted puede mostrar listados de entrenamientos realizados (fechas, asistentes, contenido) para probar que realmente comunicó y enseñó la política a su gente.

4. Asegurar la comprensión y el compromiso (no solo la firma): Es común pedir a cada empleado que firme un acuse de recibo del Código de Ética. Hágalo, pero vaya más allá: evalúe la comprensión. Puede utilizar pequeñas pruebas o cuestionarios tras la capacitación para medir cuánto captaron. Por ejemplo, tras un taller, entregar un quiz de 5 preguntas sobre la política (como: ¿Cuál es el valor máximo de regalo permitido? ¿A quién reportar un intento de soborno? etc.). Si alguien falla, refuerce con coaching. También fomente que los empleados hagan preguntas si algo no les queda claro, ya sea en las sesiones o posteriormente (tal vez a través de un buzón de consultas éticas o designando un Compliance Officer accesible). El objetivo es que los empleados no solo “firmen por cumplir”, sino que realmente entiendan las reglas y las acepten. Una buena práctica es incorporar un segmento sobre ética en las evaluaciones de desempeño o encuestas de clima: “¿Conoces el Código de Ética? ¿Te sientes cómodo reportando violaciones? ¿Sabes qué conducta se espera de ti?” Las respuestas ayudarán a identificar lagunas de comunicación. Además, haga que nuevos empleados reciban la política el primer día y hablen de ella en inducción. No espere meses; desde el inicio deben saber las reglas del juego.

5. Extender la comunicación a terceros relevantes: Como pide explícitamente 10.C.D, identifique qué terceros suponen mayor riesgo ético y hágales llegar la política o estándares éticos. Mínimo, sus proveedores y contratistas principales. Puede hacerlo incluyendo un anexo en contratos: muchos contratos ahora traen cláusulas anticorrupción donde el proveedor declara no haber pagado sobornos para obtener el contrato y promete cumplir leyes anticorrupción (FCPA, UK Bribery, locales). También puede enviar una carta o folleto a proveedores explicando su política y canal de denuncias disponible para ellos (esto se relaciona con 10.C.F). Si tiene distribuidores o agentes que lo representen comercialmente, con más razón, firmar acuerdos de integridad. Algunas empresas realizan incluso capacitaciones conjuntas con proveedores en temas éticos para alinear expectativas (lo hicimos en el ejemplo de cumplimiento). Guarde evidencias: copias de contratos con la cláusula, listas de difusión de la política, correos enviados, firmas de proveedores en aceptación. Esto muestra al auditor que su compromiso ético trasciende su organización y que busca partners igual de íntegros. La guía ISO 37001 sugiere asegurarse de que proveedores, subcontratistas y agentes estén comprometidos con las mejores prácticas antisoborno, lo que confirma la importancia de este paso.

6. Actualización periódica de la política y refuerzo con lecciones aprendidas: Establezca una revisión periódica del Código de Ética (por ejemplo, cada 2 años) o cuando surja la necesidad. Involucre al departamento legal y de compliance en monitorear nuevas leyes o riesgos emergentes (como discutimos en errores). Si ocurre un incidente ético en la empresa o sector, analice si su política cubría esa situación adecuadamente; de lo contrario, ajústela. Comunique cualquier actualización a todos de manera formal, resaltando qué cambió. Por otra parte, integre las lecciones aprendidas de su propia experiencia: si tuvieron un caso de violación de la política, al cerrar el caso difunda (sin detalles sensibles) qué se aprendió y recuerde las secciones pertinentes del código. Por ejemplo: “Tras un incidente reciente de conflicto de interés, queremos recalcar la sección X del Código: deben declararse relaciones familiares con proveedores. Asegúrense de reportar cualquier posible conflicto”. Esto mantiene la política relevante y arraigada en la realidad de la empresa. Y demuestra humildad y compromiso con mejora continua.

Con estas medidas, la empresa se asegurará de tener un marco ético firme y vivo. En la auditoría SMETA, no solo podrá mostrar un documento, sino también evidencias de cómo lo implementa en la cultura. Paul Smith, del CFA Institute, aconsejaba que las empresas “deben contar con un código de ética para poder monitorear sus labores y determinar si han podido cumplir con sus metas”, enfatizando el compromiso con los más altos estándares profesionales. Esto refleja que un código de ética bien implementado no es un adorno, sino una herramienta de gestión.

Más allá de la auditoría: afianzando la cultura ética más allá del papel

Para realmente fomentar una cultura de ética empresarial en todos los niveles –que vaya más allá de solo tener la política–, considere estas acciones adicionales:

  • Vincular la ética con la identidad corporativa: Más allá del código formal, integre los valores éticos en la misión, visión y valores de la empresa. Si “integridad” es uno de los valores centrales declarados, hágalo visible en la marca y el discurso público. Las empresas que logran culturas sólidas presentan la ética no como una imposición, sino como parte de quiénes son. Por ejemplo, Johnson & Johnson tiene su famoso “Credo” que prioriza la responsabilidad hacia clientes, empleados, sociedad y accionistas en ese orden – ello impregnó su cultura por décadas. Encuentre su manera de expresar que la ética es parte del ADN corporativo. Esto hará que la política anticorrupción no se vea aislada, sino coherente con todo lo que la empresa dice y hace.
  • Promover una cultura de speak-up y respeto: Tener la política escrita es el primer paso; el segundo es crear un ambiente donde la gente se sienta segura de aplicarla, es decir, de decir que no ante presiones y de reportar violaciones. Refuerce constantemente que ningún empleado será reprendido por negarse a participar en algo poco ético, aunque parezca “perder un negocio”. Por ejemplo, incluya en la política o en comunicados que “la empresa apoyará a cualquier empleado que rechace un pedido indebido, aunque ocasione demoras o pérdidas; la integridad está primero”. Y cumpla esa promesa: si un vendedor pierde una venta por rehusarse a dar un soborno, felicítelo en lugar de regañarlo por la pérdida. Esto envía un potente mensaje cultural de que las métricas financieras no van sobre la ética. Asimismo, reforzar 10.C.F: un canal de denuncias confiable (sección siguiente) para que las personas hablen sin temor. Cuando los empleados ven que la política se aplica de verdad, empiezan a creer en ella y la interiorizan. La ética deja de ser teoría y se vuelve práctica diaria.
  • Historias y reconocimientos internos: Use narrativas para afianzar la cultura. Publique en boletines internos ejemplos positivos: “Queremos destacar a nuestro compañero X que detectó un intento de fraude y actuó conforme a nuestros valores, protegiendo a la empresa”. O “Gracias al equipo de compras que se apegó a la política y ahorró dinero evitando un proveedor poco transparente”. Relatar casos reales (sin avergonzar a nadie) donde la ética prevaleció refuerza conductas. Igualmente, si hubo una violación que se resolvió, comunicar (con tacto) que “se enfrentó y corrigió tal situación” muestra compromiso. Algunos organizan premios de ética: por ejemplo, “Empleado ético del trimestre” basado en nominaciones. Esto motiva porque convierte la integridad en algo aspiracional, no invisible. Debe manejarse con cuidado de no trivializarlo, pero bien hecho, crea héroes éticos en la organización.
  • Mantener la ética en tiempos de presión: Es fácil seguir la política en momentos normales, pero la prueba de fuego es durante crisis o metas agresivas. Si su empresa entra en un periodo de dificultad económica o intensa competencia, reafirme su compromiso ético en esos momentos. Por ejemplo, durante la pandemia muchas empresas sufrieron; algunas pudieron verse tentadas a recortar esquinas (sobornar para conseguir permisos, etc.). Las empresas verdaderamente éticas manifestaron que “saldremos adelante sin sacrificar nuestros principios”. Si hay recortes de personal, hágalo con transparencia y respeto (ética también en decisiones duras). Si hay presión de ventas, no introduzca bonificaciones que incentiven comportamientos indebidos sin control. Recuerde a los equipos que ningún objetivo comercial justifica violar el Código. Incluso podría posponer o ajustar metas irreales que empujen a la gente al borde. Esta coherencia en la adversidad es lo que sella la credibilidad del programa ético ante los empleados. Y quienes la vivan, serán defensores de la cultura en el futuro.
  • Escuchar y medir la cultura regularmente: Utilice encuestas éticas o auditorías culturales para tomar el pulso. Pregunte a empleados anónimamente si sienten presión para comprometer principios, si conocen vías para resolver dilemas, si confían en la empresa en estos temas. Los resultados le mostrarán áreas de mejora. A veces descubrimos que, pese a tener todo el andamiaje, en tal departamento hay malas prácticas encubiertas por un gerente poco alineado. Con esas herramientas puede detectar y corregir antes de que se vuelva un escándalo. La mejora continua aplica también a la cultura: midiendo, comparando año a año, viendo si las iniciativas incrementan la confianza interna. Una cultura de ética fuerte se refleja en orgullo de pertenencia: busque en las encuestas señales de que la gente valora la integridad de la empresa. Si logra eso, no solo cumplió 10.C.D – transformó la ética en una ventaja competitiva (empresas con reputación ética atraen mejor talento, clientes leales, inversores ESG, etc.).

En resumen, el sub-requisito 10.C.D es el corazón visible del programa ético: la política expresa los valores y la comunicación los inculca. Cumplirlo significa pasar de la teoría a la práctica, del papel a la conducta. Como dice Deloitte: “Una organización con buenas prácticas éticas es aquella que tiene como base un código de ética claro y actualizado que instruya la buena conducta”, pero sobre todo que lo vive día a día. Lograr esto requiere esfuerzo sostenido, pero los beneficios son incalculables: se crea un entorno de confianza dentro y fuera de la empresa, se evitan costosos escándalos, y se construye un legado del cual todos se sienten parte. Más allá de cualquier auditoría, esa es la recompensa de verdad.

10.C.E – Capacitación en Ética Empresarial para Personal en Roles de Mayor Riesgo

Explicación del requisito

El sub-requisito 10.C.E establece la necesidad de “proporcionar capacitación adecuada en ética empresarial a los trabajadores de todos los niveles en roles que tienen mayor exposición a riesgos de soborno, corrupción, prácticas fraudulentas o poco éticas, tales como ventas, compras, logística”. En esencia, se refiere a implementar programas de formación y concienciación específicos para aquellos empleados cuyo puesto los puede colocar en situaciones más propensas a dilemas éticos o tentaciones de corrupción.

Este requisito complementa al anterior (10.C.D) que era sobre tener la política y comunicarla. Aquí se enfatiza la capacitación práctica: no solo entregar un documento o dar una charla general, sino entrenar a las personas para prevenir, identificar y manejar riesgos éticos concretos en su día a día. Los roles mencionados (ventas, compras, logística) son ejemplos clásicos:

  • Ventas/Comercial: Suele enfrentar presiones de cuota y tiene interacción con clientes, a veces con funcionarios (si vende al gobierno). Riesgo: ofrecer “incentivos indebidos” para cerrar ventas, otorgar descuentos sin registro a cambio de favores, invitar a clientes a lujos que crucen la línea, etc.
  • Compras/Abastecimiento: Interactúa con proveedores que pueden ofrecer regalos, comisiones o sobornos para obtener contratos. Riesgo: corrupción (kickbacks), conflictos de interés (proveedor amigo/familiar), colusión en licitaciones, etc.
  • Logística/Despachos/Aduanas: Tratan con inspectores, aduanas, policía de caminos, etc., donde a veces se solicitan sobornos (“facilitaciones”) para acelerar trámites o evitar multas. Riesgo: pago de sobornos a funcionarios de bajo nivel, o vinculación con contrabando y fraude documental (por ejemplo, declarar menos peso).
  • Finanzas/Contabilidad: Maneja información financiera, podría cometer fraudes contables o ser abordado para “tapar” irregularidades. Riesgo: falsificación de registros, ocultamiento de pagos indebidos, condescender con prácticas de evasión, etc.
  • Gerencia/Directores: Toman decisiones grandes, a veces negocian con altos funcionarios o cierran contratos grandes. Riesgo: sobornos a alto nivel, tráfico de influencias, recibir sobornos, uso indebido de información privilegiada, nepotismo, etc.
  • Recursos Humanos: Podría no parecer obvio, pero RH maneja contrataciones (riesgo de nepotismo o contratación de personal a cambio de favores) y despidos (riesgo de corrupción sindical en algunos contextos). Además, RH suele ser custodio de los valores, por lo que deben estar formados para implementar la cultura.

El listado exacto de roles varía según la empresa; la clave de 10.C.E es que la empresa identifique sus “puestos sensibles” y oriente capacitación específica a ellos. Todos los empleados deben recibir cierta formación ética (especialmente sobre el código general), pero estos roles requieren capacitación adecuada más focalizada en las situaciones que enfrentarán.

¿Por qué es crucial? Porque los empleados en esas posiciones son la primera línea de defensa contra la corrupción. Puedes tener la mejor política (10.C.D), pero si no se asegura de que quienes ejecutan los procesos la sepan aplicar, fallará. Por ejemplo, un comprador podría tener la política en su escritorio pero en un viaje de trabajo, ante la oferta de un soborno, quizá no sepa cómo reaccionar sin una capacitación vivencial previa.

Las mejores prácticas (ISO 37001, guías de ONU, etc.) recalcan la importancia de la educación continua en ética. Se sugiere ofrecer talleres y programas educativos regulares que aborden temas éticos y brinden orientación sobre cómo enfrentar dilemas en el día a día. Un programa anti-soborno efectivo asigna más recursos de entrenamiento a las áreas de mayor riesgo. Por ejemplo, Transparencia Internacional recomienda capacitación personalizada para personal de procurement y ventas con ejemplos reales.

En auditoría, 10.C.E se evidenciará preguntando a empleados de estos roles si han recibido capacitación específica, qué entendieron, quizás solicitando cronogramas de formación, materiales, listas de asistencia, etc. Un indicador objetivo es la existencia de programas de formación estructurados: por ejemplo, un plan anual de capacitación en ética donde se ve que X departamentos tienen talleres dedicados.

Principales issue titles (hallazgos) en SMETA 7 para 10.C.E

La matriz de hallazgos SMETA 7 menciona específicamente:

  • Falta de capacitación en ética empresarial a individuos en roles de alto riesgo – “Lack of business ethics training to individuals in high risk roles” (Código 956). Este hallazgo es claro: no se ha proporcionado capacitación en ética a las personas que ocupan puestos de riesgo elevado. Es decir, la empresa carece de entrenamientos específicos o suficientes para esos empleados clave. Puede ser que no hay ninguna capacitación de ética en absoluto (lo cual sería un fallo grave) o que existe capacitación general pero nada dirigido a los riesgos particulares de ciertas funciones.

No se listan otros códigos para 10.C.E, lo cual sugiere que la auditoría aquí verifica fundamentalmente si existen programas de capacitación apropiados. No hay subdivisiones de hallazgos como “capacitaciones inefectivas” (eso es más subjetivo); más bien es binario: o se capacita a la gente de riesgo o no.

Ejemplos de cumplimiento

  • Programa de formación anual segmentado por áreas: Una empresa de mediano tamaño desarrolla, con ayuda de su departamento de compliance o un consultor externo, un plan anual de capacitación ética. En este plan, hay módulos distintos para diferentes públicos:
    • Un módulo básico de inducción para todo el personal (cubre código de ética general).Un módulo especializado para el equipo de Ventas y Marketing: incluye role-playings sobre cómo rechazar peticiones indebidas de clientes, cómo reportar sobornos solicitados, repaso de políticas de regalos con clientes y límites legales (por ejemplo, Foreign Corrupt Practices Act si aplica a ventas internacionales).

    • Un módulo para el equipo de Compras: discute casos de ofertas de comisiones por proveedores, cómo manejar invitaciones o regalos de proveedores (seguir la política), importancia de la transparencia en licitaciones, etc. Incluso invitan a un experto o a un representante de un organismo anticorrupción local para hablar de riesgos en contratación.

    • Un módulo para Logística y personal que trata con aduanas/reguladores: se enfoca en qué hacer si un inspector pide un pago, cómo usar el canal de denuncia, derechos legales (por ejemplo, memorizar que tienen derecho a recibo oficial de cualquier multa), repaso de la política que prohíbe pagos de facilitación y por qué, etc.

    • Un taller para Gerentes y directivos: aborda su responsabilidad especial, el compromiso desde el comité directivo, discusiones de dilemas éticos complejos, revisión de casos de alto perfil (ejemplo, analizar qué pasó en tal escándalo corporativo y cómo lo evitamos nosotros).Adicionalmente, capacitación a Finanzas/Controlling: enfocada en fraude interno, control interno, ética en reportes financieros (alineado con 10.C.C en cierto modo).
    La empresa realiza estas capacitaciones con frecuencia (por ejemplo, una vez al año cada módulo) e incluso las vuelve obligatorias (seguimiento de quién asiste). Durante la auditoría, muestran el plan, materiales (presentaciones, videos), listas de asistencia firmadas por participantes, y test de evaluación de conocimientos post-capacitación. Los empleados entrevistados en esas áreas recuerdan haber participado y pueden mencionar qué aprendieron (por ejemplo, un comprador dice: “Sí, nos explicaron que si un proveedor intenta sobornarnos, debemos informar a legal y no tomar ninguna decisión solos”). Este nivel de capacitación dirigida es cumplimiento ejemplar de 10.C.E – no hay duda de que la empresa se toma en serio formar a su gente de riesgo.
  • Capacitación e-learning global complementada localmente: Una multinacional con muchos empleados usa plataformas e-learning para llegar a todos con cursos de ética, incluyendo módulos específicos. Por ejemplo, todo empleado debe completar un curso en línea “Anti-Bribery and Corruption” anual con un test al final (y la plataforma registra puntajes). Pero además, la empresa identifica 200 puestos globales como “high risk” (ejemplo: todos los gerentes de ventas en mercados emergentes, todo el personal de procurement) y a esos les asigna cursos adicionales obligatorios como “Cómo manejar terceros intermediarios”, “Prevención del fraude en cadena suministro”, etc., también online pero más especializados. Los contenidos tienen casos prácticos interactivos. Complementario a esto, a nivel local, los compliance officers organizan seminarios o discusiones en vivo para reforzar. Por ejemplo, la filial de México trae a un exfuncionario honesto a hablar sobre cómo decir no a la corrupción en gobierno; la filial de China discute la cultura local de regalos y cómo conciliarla con la política corporativa. Esta mezcla de e-learning escalable y toques locales es efectiva. La auditoría puede ver reportes del sistema e-learning (quién completó, calificaciones) y testimonios del personal. Dado que es sistemático y orientado a roles, cumple con creces 10.C.E.
  • Simulacros y talleres prácticos recurrentes: Una empresa mediana elige un enfoque muy práctico: realiza talleres trimestrales de dilemas éticos con grupos rotativos de empleados de alto riesgo. En estos talleres (que duran 2 horas), se presentan 2-3 escenarios reales adaptados de incidentes pasados (propios o de la industria) y se discuten abiertamente. Por ejemplo, un trimestre juntan a todos los supervisores de logística para jugar un simulacro: un personaje es un funcionario de aduana corrupto, otro el supervisor, etc., y dramatizan la escena para luego debatir qué hacer. Otro trimestre, reúnen a los de ventas para un juego de roles sobre un cliente insinuando comisiones. Estas sesiones prácticas mantienen el tema vivo todo el año y permiten afinar habilidades (como decir “lo siento, nuestra política no lo permite” en diferentes formas). Además, sirven para detectar percepciones erróneas y corregirlas en grupo. Durante la auditoría, el personal puede relatar con vividez estos ejercicios (incluso reír recordando cómo jugaron cierto papel). Esto indica al auditor un altísimo nivel de compromiso formativo. No es solo una capacitación formal una vez, sino un esfuerzo continuo y creativo. Demuestra que la empresa no se conforma con “dar un cursillo”, sino que quiere que su gente esté realmente preparada. Indudablemente, es cumplimiento superior de 10.C.E.

Ejemplos de incumplimiento

  • Sin capacitación específica en ética para nadie: Una empresa pequeña o mediana nunca ha realizado una capacitación formal en ética o anticorrupción. Tal vez mencionan el tema brevemente en la inducción, pero no hay programas dedicados, y mucho menos orientados a roles. En la auditoría, al preguntarle a un comprador o a un vendedor si han recibido entrenamiento sobre soborno o ética, responden que “no realmente, solo conocemos lo que dice el manual de empleado a grandes rasgos”. Esto sería un incumplimiento directo: el hallazgo 956 falta de capacitación en ética a roles de alto riesgo. Dado que no se cumple ni lo básico, la no conformidad es clara. Incluso aunque la empresa diga “pero todos saben que no deben sobornar”, sin capacitación es meramente declarativo. Podría ser por desconocimiento (la empresa quizá no sabía que debía hacerlo) o por priorizar otras formaciones (técnicas, seguridad, etc. dejando de lado la ética). En cualquier caso, el auditor lo marcará y esperará ver un plan de capacitación implementado pronto como acción correctiva.
  • Capacitación general pero no enfocada en roles de riesgo: Una empresa realizó una inducción ética a todo el personal hace un par de años, de manera general, pero no ha dado capacitaciones específicas a las áreas críticas ni refrescado el contenido. Por ejemplo, el personal de ventas recibió la misma charla general que todos, sin profundizar en los desafíos particulares de su función. En entrevistas, un vendedor puede decir: “Sí, hace dos años nos dieron una charla de la política, pero nunca hemos tenido un entrenamiento especial sobre cómo lidiar con ciertos problemas”. Es decir, no se ha desarrollado nada a medida. Esto también es un incumplimiento de 10.C.E, aunque la empresa podría intentar argumentar que “capacitó a todos por igual”. El estándar pide “capacitación apropiada” para roles de mayor riesgo, lo que implica mayor intensidad o contenido adaptado, no simplemente la misma dosis para todos. Si los gerentes, finanzas, compras, etc., no recibieron nada más allá de lo básico común, se considerará insuficiente. Sería un hallazgo 956 igual, porque a esos individuos de riesgo no se les dio la capacitación que su rol amerita.
  • Capacitación puntual pero no recurrente (olvido de refrescos): Supongamos que una empresa sí impartió un taller robusto de ética hace unos 4 años, incluso trajo expertos, etc., pero no ha vuelto a capacitar desde entonces, y en ese periodo hubo renovaciones de personal (nuevos empleados en roles clave que nunca recibieron aquel taller). Así, varios compradores actuales o jefes de logística entraron después y no recibieron entrenamiento en ética (más allá de quizás leer la política). La empresa confía en que “ya capacitamos en 2019”, pero para 2025 eso quedó desactualizado y no cubrió a todos. En auditoría, se nota que algunos veteranos recuerdan el entrenamiento pero otros no saben de qué se habla. Este escenario podría considerarse incumplimiento parcial: quizá el auditor ponga una observación o hallazgo leve, pero dado el tiempo transcurrido, es probable que aplique 956 pues actualmente hay personal de riesgo sin capacitar. La falta de periodicidad debilita la efectividad. Una sola vez no basta para un programa continuo; SMETA espera formación permanente. En corrección, la empresa tendría que reinstituir capacitaciones regulares.
  • Contenido inapropiado o irrelevante para el riesgo: A veces la empresa hace “algo de capacitación” pero no cubre lo que realmente se necesita. Por ejemplo, contrata a un conferencista para hablar de “ética en general” con reflexiones filosóficas, pero no menciona nada práctico de sobornos, fraude, etc. Ni adaptado al trabajo diario. Los empleados asisten pero salen sin herramientas concretas. O quizás la capacitación se enfoca solo en “valores corporativos” de forma abstracta y no toca casos de corrupción. En la auditoría, podría ser evidente esta brecha si se pregunta “¿qué harías en X situación?” y el empleado luce confundido a pesar de que “recibió capacitación ética”. Si la capacitación no fue realmente adecuada ni específica, el auditor podría juzgar que no se cumplió la intención de 10.C.E – es decir, no fue “apropiada”. Esto es más subjetivo, pero un auditor experimentado notará si fue un “cumplir por cumplir” versus un entrenamiento útil. Probablemente resultaría en un hallazgo o al menos recomendación de mejorar la calidad del contenido.

Errores comunes no intencionales

Al implementar las capacitaciones en ética empresarial, se pueden encontrar algunos tropiezos aun con buena voluntad:

  • Sobrecarga de información o formato aburrido: Un error típico es diseñar capacitaciones muy densas, con exceso de texto legal o presentaciones monótonas, que no logran captar la atención de los asistentes. Especialmente con temas de ética, hay que competir con la posible percepción de “curso obligatorio sin importancia práctica”. Si se hace tedioso, los empleados desconectan mentalmente. La empresa marca que “sí capacitó”, pero el mensaje no caló. Lo no intencional aquí es confundir cantidad con calidad. Tres horas de conferencia unidireccional pueden ser menos efectivas que una hora de taller interactivo. La solución es incorporar metodologías dinámicas: casos reales, preguntas-discusión, videos cortos, incluso juegos (gamificación). Incluir anécdotas – la gente recuerda historias más que diapositivas llenas de texto.
  • No adaptar a la audiencia (nivel, idioma, contexto): Puede pasar que la capacitación sea demasiado técnica para operarios de bajo nivel educativo, o al revés, demasiado básica para directivos experimentados, o que se dé en un idioma que algunos no dominan bien. Esto reduce su impacto. Un error es usar el mismo material para todos sin ajustar. Lo óptimo es personalizar: por ejemplo, usar ejemplos simples y visuales para personal de planta, versus análisis más profundos con gerentes. Si hay personal de campo sin acceso a computadora, no pretender que hagan e-learning, sino usar charlas en sitio. Si hay empleados que no hablan español (en empresas globales), proveer traducción o entrenamiento en su idioma. No hacerlo deja a cierto segmento sin realmente asimilar la capacitación, aunque estuvieron presentes. Es un fallo de inclusión formativa.
  • Tratar la ética como tema aislado y no reforzarlo con otros sistemas: A veces se entrena en ética pero luego los demás sistemas de la empresa no lo refuerzan. Por ejemplo, se dice en capacitación “no vamos a castigar pérdidas por negarse a sobornar”, pero los indicadores de desempeño siguen presionando solo por resultados de ventas sin matices. Eso crea disonancia: el empleado piensa “la charla dice una cosa, pero mis metas dicen otra, así que la charla quizás es puro formalismo”. No es un error de la capacitación en sí, sino de no alinear la cultura corporativa con el mensaje. Solución: coherencia. Asegurarse que jefes inmediatos de los entrenados reafirmen el contenido en su gestión diaria. La capacitación no puede resolverlo todo en 2 horas; debe integrarse con políticas de recursos humanos (evaluaciones incluyen criterios éticos), con comunicaciones internas (recordatorios en intranet), etc. Sino, queda en el vacío.
  • Olvidar documentar la capacitación realizada: Un error administrativo es dar capacitaciones pero no llevar registros adecuados: quién asistió, cuándo, qué temas se cubrieron. Luego en la auditoría no hay evidencia formal más que testimonios verbales. Esto puede debilitar la demostración de cumplimiento. No intencionalmente, a veces se entrena informalmente (por ejemplo, charlas de un jefe a su equipo) pero no se anota. Lo ideal es siempre preparar listas de asistencia firmadas o electrónicas, agendas o slides guardadas, incluso retroalimentación de participantes. Así se puede exhibir un archivo de “capacitaciones impartidas” en caso de auditoría.
  • No evaluar la efectividad de la capacitación: Muchas empresas imponen capacitaciones pero no miden si fueron efectivas. Un error es suponer que con asistir ya todos aprendieron. Sin evaluaciones (quiz, encuesta de satisfacción, o mejor aún seguimiento de indicadores de cultura), no se sabe. Puede que la mayoría no entendió cierto concepto, y la empresa lo ignora. Involuntariamente podría seguir repitiendo un curso ineficiente año tras año. Para mejorar, siempre recolecte feedback: pregunte al final “¿qué tanto este curso le aclaró qué hacer si se encuentra con X?”; revise los puntajes de test, etc. Y ajuste. La capacitación es un ciclo de mejora: diseñar-impartir-evaluar-refinar.

Recomendaciones y buenas prácticas para asegurar el cumplimiento (10.C.E)

1. Identificar claramente los puestos y personas de alto riesgo a capacitar: Como paso inicial, derive de su evaluación de riesgos (10.C.B) y de su análisis organizativo quiénes requieren capacitación intensiva. Haga una lista de roles críticos – por ejemplo: todo personal de compras, ventas, logística, agentes de aduana, personal de licitaciones, directores de área, contadores clave, etc. Incluya también nuevos supervisores/jefes ascendidos (a veces, al volverse jefes enfrentan nuevos dilemas – formarlos en esa transición). Considere la rotación: si en compras entra un empleado nuevo, asegurarse de capacitarlo pronto aunque haya recibido la general. Este censo de “población de riesgo” le permitirá planificar entrenamientos dirigidos y no dejar a nadie importante fuera. Documente este análisis para mostrar que tiene identificados a los individuos clave y un plan para ellos.

2. Diseñar contenidos específicos a las situaciones de cada área: Al preparar la capacitación para cada grupo, utilice ejemplos y escenarios propios de su realidad laboral. Por ejemplo:

  • Para Ventas: simule negociaciones con clientes, trate el tema de regalos a clientes (qué está permitido, qué no), cómo reaccionar si un cliente insinúa un soborno, cómo manejar cuando un cliente gubernamental pide “colaboración” extra-contractual, etc. Incluir quizás un repaso de leyes anticorrupción relevantes (FCPA, etc., si les correspondiera).
  • Para Compras: enfoque en relación con proveedores: qué hacer si un proveedor ofrece una comisión oculta; política sobre licitaciones limpias; importancia de comparativos justos; explicar que aceptar un soborno pone en riesgo su empleo y la empresa. También recalcar cómo reportar acercamientos indebidos.
  • Para Logística/Aduanas: hable de los procedimientos correctos ante aduana, derechos del empleado a pedir identificaciones oficiales, no pagar nada extra sin recibo, etc. Quizá invitar a alguien de cumplimiento aduanero a dar tips. Reforzar el respaldo de la empresa: la empresa apoyará al empleado que se rehúse a pagar y lidie con demoras, mejor que corromper.
  • Para Finanzas: discuta ejemplos de fraude interno, enfatice controles internos y la ética de la información financiera, confidencialidad (evitar insider trading si aplica), y su rol como guardianes (que no cedan si alguien pide manipular cifras).
  • Para Gerentes: use dilemas más complejos, como decidir entre perder un gran contrato o entrar en una zona gris; abordar responsabilidad penal personal en corrupción (muchos directivos ignoran que pueden terminar presos si consienten sobornos); y su rol de liderar con el ejemplo. Tal vez presentarles casos reales de CEOs enjuiciados sirva de alerta. También incluir cómo crear culturas de integridad en sus equipos (ellos son multiplicadores).

Asegúrese de que cada sesión hable el lenguaje de la audiencia: si es personal técnico, use ejemplos técnicos, si son abogados corporativos, se puede ser más conceptual, etc. Desarrolle manuales o presentaciones ad hoc. El objetivo es que los asistentes sientan “esto aplica a mí, a mi trabajo cotidiano”. Por ello, considere hacer pequeñas encuestas previas: pregunte a miembros de esas áreas qué situaciones grises enfrentan, y así incluirlas. Un contenido hecho a la medida resonará mucho más que uno genérico.

3. Utilizar instructores calificados y métodos interactivos: Para temas de ética, contar con facilitadores competentes es clave. Si tiene un responsable de compliance interno con buena comunicación, puede liderar. Otra opción es traer expertos externos (ejemplo, consultor anticorrupción, ONG de integridad, incluso autoridades si es factible). Un buen instructor engancha a la audiencia, conoce casos actuales y responde preguntas difíciles. Además, utilice dinámicas para involucrar: juegos de rol (role-play), debates en grupo pequeño sobre un caso, quizzes en vivo (hay herramientas tipo Kahoot para hacer encuestas-juego con smartphones), videos dramatizados, etc. La interacción ayuda a retener el conocimiento. Por ejemplo, en un role-play, un empleado practica diciendo “no, señor, nuestra política no lo permite” a un falso cliente insistente – esa práctica puede darle seguridad para hacerlo de verdad. Los debates permiten oír ideas de colegas y alinearlas con la política. También preparen material de apoyo – folletos resumidos, tarjetitas de bolsillo con “pasos a seguir si enfrentas X”, posters recordatorios para áreas clave post-training. Convertir la capacitación en una experiencia más que en una clase magistral hará que el mensaje se interiorice profundamente.

4. Calendarizar entrenamientos periódicos y de refresco: No lo deje a la informalidad. Establezca en su plan anual cuántas capacitaciones en ética habrá y para quién, e incluya refrescos regulares. Por ejemplo: “Q1: taller para compras; Q2: taller para ventas; Q3: taller directivos; Q4: repaso general para todos mediante e-learning”. O al menos, cada área de riesgo reciba una sesión al año dedicada. Repetir con periodicidad no solo actualiza conocimientos, también envía la señal de que la empresa sigue enfocada en integridad consistentemente. Además, aproveche momentos clave: antes de que un equipo vaya a un país nuevo con más corrupción, déles un briefing de integridad adaptado a esa región; si viene una temporada de interacción con gobierno (por ejemplo, licitaciones anuales), refresque antes. Documente este calendario y cúmplalo. Y cuando hay rotación de personal en puestos críticos, programe capacitación para los nuevos en cuanto se estabilicen en el rol. La idea es que nadie en puesto de riesgo pase más de X meses sin recibir input de ética. SMETA menciona “appropriate training en roles de riesgo” sin decir frecuencia, pero la buena práctica es al menos anual o bienal. Muestre al auditor un plan sostenido, no algo improvisado.

5. Evaluar conocimientos y comportamientos post-capacitación: Implementar alguna forma de medir eficacia. Por un lado, evalúe conocimientos con test o preguntas al finalizar cada curso. Por ejemplo, un examen de 10 preguntas de opción múltiple donde deban escoger la acción correcta en escenarios dados. Establezca un puntaje mínimo y haga seguimiento a quienes no alcancen (re-entrenamiento o asesoría personal). Por otro lado, evalúe comportamientos a mediano plazo: tras meses, ¿ha aumentado el uso del canal de denuncias? (podría indicar mayor conciencia), ¿disminuyeron incidentes en esa área? ¿Los jefes notan cambios en cómo responden sus subordinados a dilemas? Puede usar encuestas anónimas 3-6 meses después preguntando “¿Te sientes más preparado para enfrentar situaciones éticas tras el curso X? ¿Aplicaste algo que aprendiste?”. Esto retroalimenta el programa. Si detecta que aún hay confusiones, refuerce. Además, comparta los resultados de las evaluaciones con la dirección para mostrar ROI: ejemplo “Después de capacitación en logística, 90% de supervisores dicen sentirse seguros para rechazar sobornos, comparado con 60% antes”. Eso justificará mantener recursos en entrenamiento.

6. Integrar la capacitación ética con otras iniciativas de desarrollo: Para no aislar la ética, incorpore este tema en la formación integral de sus empleados. Por ejemplo:

  • Incluir módulos de ética en programas de liderazgo o de ascenso a jefatura (para nuevos supervisores).
  • Añadir discusiones éticas en entrenamientos técnicos cuando corresponda (por ejemplo, en curso de gestión de proveedores, dedicar un segmento a integridad en compras).
  • Aprovechar la Semana de la Ética o Día Internacional Anticorrupción (9 de diciembre) para eventos especiales, charlas motivacionales.
  • Colaborar con RR.HH. para que en su “Universidad Corporativa” o plan de carrera, la ética sea un pilar (que avanzar a ciertos niveles requiera haber tomado ciertos cursos de integridad).

Esto normaliza el tema como parte de ser un profesional completo en la empresa. Deja de verse como “curso obligatorio de cumplimiento” y pasa a ser “competencia necesaria en mi rol”, igual que sabe Excel o técnicas de venta. Una cultura de aprendizaje continuo en ética es la meta, no algo puntual para la auditoría.

Siguiendo estas recomendaciones, su empresa no solo cumplirá 10.C.E, sino que estará empoderando a sus empleados para actuar éticamente bajo cualquier circunstancia. Recordemos que, como se suele decir, “la integridad sin conocimiento es débil e inútil, pero el conocimiento sin integridad es peligroso y terrible”. Aquí proveemos el conocimiento con integridad, fortaleciendo a cada persona para que tome decisiones correctas. Una fuerza laboral bien entrenada en ética es un blindaje para la organización. Además, a menudo los empleados aprecian estas capacitaciones – les da orgullo trabajar en una empresa que invierte en hacer lo correcto. Convertirlos en “guardianes de la ética” (cada uno en su puesto) es el resultado ideal: cumplir con SMETA y, más allá, crear una verdadera primera línea anticorrupción dentro de la empresa.

Más allá de la auditoría: fomentando el aprendizaje y la conciencia ética permanente

Para solidificar este componente en la cultura empresarial:

  • Crear “champions” o embajadores éticos internos: Identifique empleados respetados en diversas áreas que crean firmemente en la cultura ética y entrénelos más a fondo para que se conviertan en referentes locales de ética. Estos champions pueden ayudar a impartir micro-capacitaciones, asesorar colegas cuando tengan dudas, y ser ojos y oídos en sus departamentos. Por ejemplo, un jefe de almacén que es champion puede cada mes dar un pequeño recordatorio de 5 minutos a su equipo sobre un punto de integridad. O un senior de finanzas puede orientar a nuevos contadores sobre cómo manejar presiones indebidas. Tener gente en las trincheras reforzando el mensaje extiende la cobertura más allá de las sesiones formales impartidas por Compliance. Esto fomenta el compromiso del personal: se ve que la ética no es solo asunto de “los de arriba”, sino que colegas suyos también lideran. Reconozca a estos embajadores en foros internos para incentivar su labor voluntaria.
  • Aprovechar incidentes (propios o ajenos) como casos de estudio vivos: Más allá de los cursos planificados, cada vez que ocurra algo relevante – ya sea un near miss interno (un cuasi incidente) o una noticia pública de corrupción en su industria – utilícelo como oportunidad de aprendizaje. Por ejemplo, si en su empresa un empleado reportó un intento de soborno de un proveedor, anónimamente comparta el caso en un boletín interno explicando cómo actuó correctamente, qué se hizo y reiterando la política. O si sale en prensa que a tal empresa la multaron por un esquema fraudulento, discútalo en la siguiente capacitación: “¿Cómo evitaríamos nosotros algo así? ¿Qué controles tenemos, qué aprender de su error?”. Esto mantiene la formación contextualizada y refrescante. Los empleados ven que la empresa no es naive, que sabe lo que pasa afuera y se prepara.
  • Medir el impacto en la cultura a largo plazo: Ya implementó capacitaciones, ahora monitorice indicadores de cultura ética (¿Aumentan denuncias – lo cual puede ser bueno, pues indica confianza en reportar? ¿Bajan incidentes reales? ¿Mejoran las puntuaciones de “nuestro liderazgo actúa con integridad” en encuestas internas?). Publique internamente algunos datos: por ejemplo, “este año 95% de personal de riesgo completó su capacitación ética, vs 80% el año pasado – bien hecho” o “hemos notado mayor detección temprana de potenciales conflictos de interés gracias a la concienciación”. Celebrar avances consolida el hábito. Y si algo no mejora, redoble esfuerzos o re-enfoque los métodos.
  • No bajar la guardia, especialmente con personal antiguo: A veces se piensa que los veteranos ya “saben” y la capacitación se enfoca más en nuevos. Pero personal con muchos años puede volverse cínico o creer que lo han oído todo (pueden ser quienes digan “otra vez curso de ética… ya me la sé”). Precisamente a ellos hay que involucrarlos para que no se desconecten. Cambie metodologías para retarlos; quizás invítelos a co-facilitar o compartir sus experiencias en las sesiones (convertirlos en parte activa más que oyentes pasivos). O presentarles los nuevos retos éticos de un mundo cambiante (tecnología, ESG, etc.) para que sientan que siguen aprendiendo. La cultura es de todos, no solo de los nuevos. Combata la fatiga de cumplimiento innovando en los programas.
  • Extender la capacitación ética a las comunidades o stakeholders externos (si es pertinente): Esto ya es más allá, pero algunas empresas líderes comparten sus prácticas con proveedores (como mencionamos), o incluso con la industria (organizando charlas abiertas sobre integridad en el sector). O apoyan iniciativas educativas en universidades sobre ética profesional. Si la empresa tiene impacto comunitario, podría patrocinar talleres de ética empresarial en cámaras de comercio locales, etc. Todo esto posiciona a la empresa como campeona de la integridad. Si bien no es requerido por SMETA, refuerza su reputación y consolida internamente el orgullo de pertenecer a una empresa así. Los empleados ven coherencia entre lo que se les enseña y lo que la empresa promueve públicamente. Ese alineamiento evita cinismo.

En suma, el aprendizaje en ética debe concebirse como un proceso continuo, no un evento aislado. 10.C.E invita a crear un hábito organizacional de crecer en integridad. Cuando los empleados sienten que la empresa invierte en ellos no solo técnica o profesionalmente sino también como individuos éticos, se genera un fuerte vínculo. Se eleva el sentido de propósito: “No solo trabajo para ganar dinero, sino para hacerlo de forma honesta y contribuir a una organización honorable”. Ese orgullo puede ser un intangible poderoso, traducido en mejor clima laboral, retención de talento y preferencia de clientes. En la práctica, la empresa se blinda contra la corrupción porque cada persona entrenada se convierte en un sensor y un actor consciente, y colectivamente se crea un ambiente donde las malas conductas difícilmente prosperan sin ser desafiadas. Esa es la esencia de llevar 10.C.E más allá de la auditoría: crear una fuerza laboral informada, habilitada y comprometida con la ética, hoy y siempre.

¿Útil para tus auditorías SMETA?
He creado esta guía con dedicación. ¡Apoya mi trabajo con un café!

Dona un Café

10.C.F – Mecanismo de Denuncia Confidencial y Anónima, con Seguimiento e Investigación, Sin Temor a Represalias

Explicación del requisito

El sub-requisito 10.C.F pide a la empresa “desarrollar e implementar un mecanismo transparente y accesible que permita de forma efectiva la denuncia confidencial y anónima, así como el seguimiento e investigación de cualquier práctica empresarial fraudulenta o poco ética, sin temor a represalias hacia el denunciante”. En términos comunes, esto se refiere a establecer un sistema de denuncia o whistleblowing robusto dentro de la organización.

Este mecanismo es fundamental para detectar y abordar irregularidades que pueden no ser visibles a simple vista por la gerencia. Los empleados (y potencialmente otras partes) suelen estar en la primera línea para observar conductas indebidas, pero sin un canal seguro para reportarlas, esas conductas pueden perpetuarse ocultas. Un canal de denuncia efectivo es una pieza crítica de cualquier programa de ética porque:

  • Previene escaladas: Permite identificar problemas en etapas tempranas, antes de que se vuelvan mayores o públicos.
  • Protege a los denunciantes: Asegura que quien alce la voz no sufra represalias (despido, hostigamiento, estancamiento profesional). Esto es crucial para que la gente se atreva a hablar.
  • Crea cultura de transparencia: Demuestra que la empresa prefiere conocer las malas noticias internamente y gestionarlas, que esconder la basura bajo la alfombra.
  • Cumple exigencias legales: En varias jurisdicciones ya es obligatorio tener canales de denuncia confidenciales (por ejemplo, la Directiva de la UE de Whistleblowers). Además, marcos como ISO 37001 lo exigen y proveen guía.

El requisito destaca varios aspectos clave:

  • Transparente y accesible: Todos los empleados deben saber que existe el canal, cómo usarlo, y que es fácil de acceder (por ejemplo, no algo tan complicado que los disuada). Transparente también implica que confían en el proceso, es claro cómo se gestiona.
  • Confidencial y anónimo: Debe ofrecer la posibilidad de reportar manteniendo la identidad protegida. Idealmente, opción de anonimato total (no proporcionar nombre) si el denunciante así lo desea. No todos quieren revelar su identidad; sin anonimato, muchos callarían. Y confidencialidad en el manejo: la información del reporte solo la conocen los responsables de investigarlo, no se difunde.
  • Monitoreo e investigación: No basta con recibir la queja, hay que darle curso: investigarla seriamente, documentar hallazgos, tomar acciones correctivas si se comprueba, o cerrar el caso si no hay evidencia, etc. Y monitorear patrones (varias denuncias similares pueden indicar problema sistemático).
  • Sin temor a represalias: Probablemente lo más crítico. La empresa debe tener políticas y prácticas para prohibir cualquier retaliación contra denunciantes de buena fe. Esto incluye proteger su identidad, pero también, si se conoce, asegurarse de que no sea despedido, degradado, acosado, etc. Muchas personas no denuncian por miedo; la empresa debe contrarrestar ese miedo con garantías y con hechos (ej. sancionar a quien intente tomar represalias).

Las buenas prácticas en esta área se conocen bien: líneas telefónicas de denuncia gestionadas por terceros, buzones físicos, correos electrónicos dedicados, formularios web anónimos, apps, etc. También tener un proceso formal de gestión de casos: registro, evaluación inicial, asignación de investigador independiente, conclusiones, retroalimentación al denunciante (si se puede contactar anónimamente a través de un código, por ejemplo).

Según FaceUp.com (herramienta de whistleblowing), “Sedex recomienda proporcionar líneas de denuncia (whistleblowing hotlines) a lo largo de la cadena de suministro”, mostrando la importancia incluso más allá de la empresa. La ISO 37001 dedica un requisito específico a establecer procedimientos de reporte (whistleblowing) que animen a la gente a reportar sospechas de soborno. IATF 16949 (automotriz) también exige un canal de ética y escalamiento. Es decir, es un elemento recurrente en normas de cumplimiento.

SMETA, en sus guías, siempre ha puesto énfasis en disponer de mecanismos de queja para trabajadores (antes orientado a quejas laborales); ahora en 10.C.F es específico para ética empresarial. No obstante, seguramente el canal será el mismo en la práctica (una línea ética puede servir tanto para denunciar acoso laboral, como fraude, corrupción, etc.). Lo importante es que existe.

Principales issue titles (hallazgos) en SMETA 7 para 10.C.F

La lista SMETA detalla varios hallazgos que reflejan la ausencia o ineficacia de canales de denuncia:

  • No hay procedimiento confidencial de denuncia – “No confidential whistleblowing procedure in place”(Código 667). Significa que la empresa carece de un procedimiento de denuncia confidencial. O sea, no tiene un canal formal en absoluto, o lo que tiene no garantiza confidencialidad. Este es un hallazgo claro de falta total de cumplimiento de 10.C.F.
  • Procedimiento de denuncia no comunicado a todos los trabajadores – “Whistleblowing procedure is not communicated to all workers” (Código 668). Esto indica que puede existir el canal/procedimiento, pero los empleados no han sido informados de su existencia o uso. Un canal inútil porque la gente ni sabe que está ahí o cómo usarlo.
  • Falta de sistema transparente para reporte confidencial y gestión de resolución – “Lack of a transparent system in place for confidentially reporting and managing resolution of issues such as bribery, corruption, and unethical business practices” (Código 661). Este es similar a 667 pero enfatiza la ausencia no solo del canal sino de un sistema robusto para gestionar los reportes hasta su resolución. Podría implicar que quizás hay una forma de reportar pero no hay claridad en cómo la empresa las investiga o resuelve. Transparencia aquí se refiere a claridad del proceso (no necesariamente publicar los casos, sino que exista un proceso definido y confiable).
  • No hay mecanismo de quejas para partes externas relevantes (comunidad) – “No grievance mechanism communicated to relevant external parties (e.g. the local community)” (Código 957). Este indica que no se ha comunicado un canal de quejas a externos, por ejemplo la comunidad local. En contexto de ética empresarial, podría referirse a que si comunidades afectadas o gente fuera de la empresa quiere reportar conductas poco éticas de la empresa (piénsese soborno a autoridades locales o impacto corrupto en la comunidad), no tienen vía. Este está más allá del típico alcance interno: sugiere que en ciertos casos, el mecanismo debería ser accesible a terceros. Por ejemplo, una comunidad local que sospecha de una empresa contaminando podría denunciarlo; aunque eso cruza con temas de medio ambiente. Pero en ética, quizás si la empresa se involucra en actividades corruptas afectando comunidad (como comprar terrenos irregularmente), la comunidad debería tener un canal. No es un hallazgo muy común, pero Sedex lo contempla para demostrar apertura externa.

Resumiendo: la falta de un canal confidencial (667), la falta de comunicación del canal (668), la falta de un sistema transparente de gestión de denuncias (661) y la falta de canales para externos (957) cubren las principales brechas posibles en 10.C.F.

Ejemplos de cumplimiento

  • Canal de denuncia multifuncional implementado con buen uso: Una empresa establece una Línea Ética administrada por un proveedor externo independiente, disponible 24/7. Ofrece múltiples vías: número telefónico gratuito, formulario web anónimo, correo electrónico, y aplicación móvil, en idiomas que su personal maneja. Garantiza confidencialidad y permite anonimato. Los empleados fueron informados extensamente: se repartieron folletos, posters en áreas comunes (“Si ves algo, di algo – Línea Ética 800-XXX”), se incluyó en las inducciones y en recordatorios anuales. La empresa tiene un procedimiento escrito de cómo se manejan las denuncias: un Comité de Ética recibe los reportes del proveedor externo (que protege la identidad si es anónimo), hace un acuse de recibo, asigna un investigador interno (o externo si es muy delicado), se investiga en un plazo establecido, se toma acciones si procede, y se retroalimenta al denunciante (si no es anónimo) sobre la conclusión. Todo este flujo se documenta en un sistema de casos con control de accesos para confidencialidad. Además, la política interna incluye explícitamente que queda prohibido tomar represalias contra cualquiera que reporte de buena fe, y cualquier intento de represalia será sancionado. La alta dirección envía periódicamente mensajes animando a reportar problemas y reiterando la protección al denunciante. Gracias a esto, la empresa ha recibido varias denuncias en el último año: por ejemplo, un empleado reportó un posible fraude en almacén, se investigó y confirmó, resultando en la destitución de un supervisor corrupto. Otro reportó conductas de acoso que se resolvieron. En la auditoría SMETA, los empleados al ser entrevistados saben de la existencia del canal (lo mencionan espontáneamente, algunos hasta recuerdan el número), y confían en él. Pueden narrar casos de compañeros que usaron la línea y se tomaron en serio. El auditor verifica registros del sistema (sin detalles confidenciales, solo para ver que hay casos y se cerraron con acciones). Este es un cumplimiento excelente de 10.C.F: el canal existe, es conocido, se utiliza y efectivamente resuelve problemas sin represalias.
  • Procedimiento de quejas anónimo adaptado a planta fabril: En una fábrica con muchos trabajadores de producción de escolaridad básica, la empresa implementa un Buzón Físico de Quejas ubicado en un lugar discreto (por ejemplo, cerca del comedor pero en un rincón semi privado). Los trabajadores pueden depositar notas escritas (incluso la empresa provee formularios sencillos con preguntas guía, pero aceptan cualquier papel con la denuncia). El buzón se cierra con llave y solo una persona designada de confianza (por ejemplo, el oficial de cumplimiento o el gerente de RRHH) lo abre semanalmente con testigo del comité de ética. Se extraen las quejas y se registran. Paralelamente, para personal administrativo hay un correo electrónico confidencial de ética. Además, hay un número de WhatsApp administrado por el Oficial de Cumplimiento para reportes anónimos (usando un teléfono sin identificación del remitente, o se permite mandar audios/ mensajes y borrar el número). La empresa en su inducción explica cómo usar el buzón y otros canales, subrayando que pueden ser anónimos. Aseguran que cualquier denuncia será investigada y dan ejemplos de problemas resueltos gracias al buzón (sin dar nombres). Cuentan con un comité que analiza cada nota y asigna responsable de investigar. Por ejemplo, un operario denunció en una nota que su supervisor pide “mordidas” para asignar horas extra; se investigó discretamente entrevistando personal y se corroboró, tomando acción disciplinaria. La identidad del denunciante original nunca se reveló, incluso en esa investigación se mantuvo anónimo. Esto generó confianza; más trabajadores se animaron a usarlo, incluso para quejas de seguridad y otras (que igual se canalizan a las áreas pertinentes). Para incluir a la comunidad vecina, la fábrica pone un buzón accesible en la garita de seguridad donde cualquier vecino puede depositar una queja (por ejemplo, “ruido excesivo de noche” – cae más en ambiental, pero muestran apertura). Con todo esto, un auditor vería un sistema funcional adaptado al contexto: no es high-tech pero es transparente y efectivo. Preguntaría a empleados de piso y estos dirían “sí, conocemos el buzón de quejas, varios lo han usado”. Dado que cumple confidencialidad, accesibilidad (físicamente accesible y no intimida a quien no domina email), investigación y sin represalias (puede verse que un supervisor fue despedido por conducta indebida, no el denunciante), sería un buen cumplimiento de 10.C.F ajustado a su realidad.
  • Extensión del canal de denuncia a proveedores y comunidad: Una empresa agrícola trabaja mucho con comunidades locales e indígenas. Implementó un mecanismo comunitario de quejas: designó un enlace comunitario (una persona local capacitada) a quien los miembros de la comunidad pueden acudir si ven prácticas no éticas de la empresa (por ejemplo, soborno a autoridades locales para obtener tierras, maltrato a líderes comunitarios, etc.). Alternativamente, habilitó una dirección postal y correo electrónico específico para la comunidad, anunciados en reuniones comunales. Esta información se comunicó en asambleas locales y panfletos. De esta forma, si la comunidad tuviera denuncias, puede canalizarlas de forma confidencial (el enlace mantiene anonimato de quien se queja si lo desea) y la empresa las procesa a nivel corporativo similar a las internas. Esto cumple la intención de extender la transparencia a externos relevantes. Adicionalmente, a proveedores y contratistas la empresa les informa que pueden usar la misma línea ética interna para reportar cualquier conducta poco ética en la relación comercial. Se ha dado caso de un proveedor que denunció que un empleado de almacén le pedía “comisión” para darle contratos; se investigó y resolvió. Esto envía fuerte mensaje: la empresa quiere saber si alguien en su nombre actúa mal con terceros. En auditoría, mostrar evidencias de estas comunicaciones (cartas a comunidades, cláusulas en contratos de proveedores invitando a denunciar irregularidades) y quizás un ejemplo de caso manejado demostraría un compromiso más allá del cumplimiento. SMETA vería cubierto el punto 957 con creces, y 10.C.F en general, pues abarca todas las partes interesadas de riesgo.

Ejemplos de incumplimiento

  • No existe canal de denuncia alguno: Lamentablemente aún hay empresas sin ningún mecanismo formal para reportar quejas éticas. En una auditoría, al preguntar “¿Cómo pueden los empleados reportar preocupaciones éticas o casos de corrupción?”, si la respuesta es “Pueden hablar con su jefe o con Recursos Humanos, supongo”, es claro que no hay canal confidencial establecido. Los empleados pueden temer repercusiones si le cuentan a su jefe (que puede ser parte del problema) o a RRHH (que a veces prioriza proteger a la empresa). Sin un proceso formal confidencial, 10.C.F falla. Este es un hallazgo 667 – no hay procedimiento confidencial. Por ejemplo, supongamos un trabajador vio al gerente pagar un soborno a un inspector. Si la empresa no tiene canal, posiblemente no diga nada por miedo, o si se lo dice a RR.HH. tal vez RR.HH. por lealtad al gerente encubra. Esto es justo lo que SMETA quiere evitar. Así que la ausencia total de canal es un incumplimiento mayor.
    También puede ser que la empresa cree que hay un canal pero es completamente inadecuado: por ejemplo, dice “pueden meter quejas en una urna que está en la oficina del gerente”. Obviamente nadie la usaría porque el gerente la vigila. O “pueden mandar email a gerencia@empresa.com” – nada de anonimato ni confidencialidad. Eso equivaldría a no tener efectivamente. Lo mismo, hallazgo.
  • Existe el canal pero nadie sabe de él (ni lo usa): Un caso real: Una empresa instaló un número telefónico pero no lo comunicó bien, quizá un memo una vez y nada más. O está en el código de ética en letra pequeña pero no se enfatizó. Al entrevistar empleados, la mayoría dice no conocer ningún “canal confidencial” o “línea ética”. Incluso los delegados de trabajadores podrían decir “nunca hemos oído de eso”. Si hay un buzón pero escondido o sin rótulo claro, igual. Esto es un hallazgo 668 – procedimiento no comunicado. Y es grave, porque en la práctica es casi como no tenerlo. La auditoría notaría también falta de casos reportados (cero casos en años, lo cual puede indicar desconocimiento o desconfianza). Este incumplimiento suele deberse a implementar el canal solo para “complacer” un requisito, sin realmente integrarlo a la cultura. Al no comunicarlo, la empresa tal vez esperaba que “si no se usa mejor, así no lidiamos con problemas”, lo cual es contrario al espíritu.
  • Canal existe pero no garantiza anonimato/confidencialidad real ni seguimiento efectivo: Ejemplo: la empresa dice “tenemos un correo con el gerente general para denuncias”. Pero ese correo lo ve el gerente general y quizás su asistente, y si alguien escribe, fácilmente se puede identificar por estilo o contenidos; los empleados no confían que sea confidencial. Encima, si llega algo, no hay proceso claro: a veces el gerente investiga si quiere, o ignora lo que le incomoda. No hay transparencia sobre resultados. Este sistema “casero” falla en varios frentes: confidencialidad (los empleados temen que el gerente pueda voltear el asunto contra ellos), transparencia (nadie sabe qué pasa con los correos enviados), y potencial de represalias (¿y si la queja es contra el propio gerente, qué hará?). En la auditoría, podrían enterarse de este canal ineficaz y de la desconfianza general. Empleados pueden decir “sí, hay un email pero nadie lo usaría, aquí al que se queja lo echan”. Eso activaría hallazgos como 661 – falta de sistema transparente de reporte y resolución e incluso 667 (pues no hay un “confidential whistleblowing procedure” genuino). La empresa tal vez creyó cumplir con solo un email, pero claramente no. La falta de protección contra represalias suele manifestarse en cultura de miedo: si los auditores perciben que los empleados tienen terror de hablar, es mal síntoma. Casos así conllevan no conformidad y exigencia de diseñar un sistema real.
  • Represalias detectadas o rumor de ellas: Este es serio: si durante auditoría se descubre que alguien que denunció algo terminó despedido injustificadamente poco después, o fue hostigado, eso es un incumplimiento flagrante del espíritu de 10.C.F. Aunque el canal exista, su credibilidad muere si hay represalias. Por ejemplo, supongamos un empleado denunció acoso sexual de un gerente, y la empresa en lugar de protegerlo lo tachó de conflictivo y lo forzó a renunciar. Los colegas sabrán y jamás volverán a denunciar algo. El auditor, mediante entrevistas confidenciales, podría descubrir historias así. Sería un hallazgo crítico – indicaría que el canal no es seguro y se usan represalias (violando no solo SMETA, también seguramente leyes de protección al denunciante si las hay). Probablemente se reflejaría con el código 661 (falta de sistema confidencial y gestión, ya que hay evidencias de mala gestión). O, aunque no haya un issue title textual de “represalia”, el informe lo destacaría y la empresa enfrentaría serias consecuencias (incluso clientes podrían cortar relación por tolerar represalias).
  • No apertura a externos cuando sería relevante: Imaginemos un caso: la empresa opera en una comunidad indígena y hubo denuncias externas de que la empresa sobornó a líderes para conseguir tierra. Si la auditoría ve que la comunidad no tiene forma de plantear sus quejas formalmente a la empresa, y todo se ventila por prensa o protestas, notará la falta de mecanismo externo. Eso es 957. Si bien muchas auditorías se enfocan en canales internos, Sedex reconoce la importancia de stakeholders externos. Si la empresa lidia con público (por ejemplo, provee servicios, o su operación afecta a terceros), no ofrecer un canal es una brecha ética. Auditores podrían entrevistarse con representantes comunitarios y ver que desconocen cómo acercarse a la empresa. Este incumplimiento es menos común en hallazgos pero puede surgir en contextos de alto impacto local.

Errores comunes no intencionales

  • Canal implementado pero con barreras de uso (complejidad, idioma, horario): A veces las empresas contratan un servicio externo pero no adaptado a su fuerza laboral. Por ejemplo, una línea solo en inglés para trabajadores que solo hablan español; o un call center solo disponible en horario de oficina cuando muchos operarios trabajan turnos nocturnos. Esto, aunque no intencional, dificulta el acceso. También formularios web largos que asustan a quien no es diestro con computadoras. Hay que diseñar teniendo en mente al usuario más vulnerable. La buena práctica es probar el canal (user testing): pedir a un empleado voluntario promedio que intente hacer una denuncia anónima y ver dónde se atora. Simplificar y ofrecer alternativas. La accesibilidad es crucial. Un error es pensar “ya tenemos un 0800, listo” sin considerar si los empleados lo pueden y quieren usar.
  • No promover activamente la cultura de no represalias: Tenerlo escrito no basta; a veces los empleados siguen temerosos porque en su vida han visto denuncias castigadas (quizás en otras empresas) o culturalmente hay recelo (en algunos lugares el denunciante es visto como “soplón” o traidor). Si la empresa no trabaja culturalmente esto – por ejemplo, hablando abiertamente de la importancia de denunciar, reconociendo el valor del denunciante – puede que nadie use el canal pese a existir. Un error es no contrarrestar la noción negativa del whistleblower. Debe enmarcarlo como algo positivo, valiente, que salva a la empresa. Quizá incluso recompensar moralmente (sin revelar identidades, pero diciendo “gracias a denuncias anónimas, pudimos corregir X, apreciamos a quienes demuestran integridad así”). No intencionalmente, la dirección a veces se queda en “no habrá represalias” pero no promueve “sí habrá reconocimiento” (aunque sea moral). Por ende, pocos se atreven porque piensan que en el mejor de los casos no les pasa nada, pero tampoco ven beneficio y sí estrés. Dar retrolimentación a la plantilla de que las denuncias han llevado a mejoras crea incentivo para reportar.
  • No integrar la gestión de denuncias con mejoras sistémicas: Un error es tratar cada denuncia de forma aislada y no analizar patrones. Por ejemplo, tres denuncias separadas de acoso en un mismo departamento pueden indicar un problema cultural allí, más allá de sancionar a los infractores individuales. Si el sistema de denuncias no retroalimenta a la dirección sobre tendencias (de forma anónima), se pierden oportunidades de prevención. No es intencional, pero si Compliance investiga caso por caso sin mirar el panorama, quizás no recomiende cambios necesarios (por ejemplo, más formación en cierto tema, rotación de personal, etc.). Se debería generar informes periódicos (procesados para garantizar anonimato) de tipo y frecuencia de denuncias, áreas involucradas, para abordar causas raíz. Un programa maduro hace eso; uno inmaduro solo apaga incendios individuales. SMETA valora “solución y mejora continua”, así que un canal efectivo no solo resuelve, sino previene recurrencia.
  • Exceso de confianza en anonimato total sin canales de comunicación con anónimo: Esto es técnico: algunas empresas implementan buzón anónimo o sistema web anónimo, pero no prevén cómo dialogar con quien denuncia de forma anónima. Una buena práctica es usar plataformas que permiten mensajear al denunciante anónimo a través de un código (sin saber quién es) para pedir detalles adicionales. Si la empresa no tiene eso, puede que muchas denuncias anónimas queden en “no suficientes datos, no pudimos hacer nada”. El denunciante anónimo no ve resultado y se frustra. Un error es no comunicar “por favor danos la mayor información posible, porque si no dejas contacto, no podremos preguntar más”. Y si se puede habilitar, mejor. Sino, la tasa de casos no investigables sube y eso mina la confianza en el canal (“reporté y nada pasó”). No intencionado, pero solucionable con herramientas adecuadas.

Recomendaciones y buenas prácticas para asegurar el cumplimiento (10.C.F)

1. Establecer un canal de denuncia confiable y adaptado a su organización: Decida qué tipo de canal(es) funcionan mejor según el tamaño, idioma, distribución geográfica y cultura de sus empleados. Opciones:

  • Proveedor externo especializado: Muchas empresas medianas y grandes optan por un tercero que gestione la línea (teléfono y web). Esto agrega confianza (es independiente) y profesionalismo (operadores entrenados). Asegúrese que pueda manejar el idioma de sus empleados y entienda su contexto. Por ejemplo, hay proveedores locales en muchos países.
  • Número telefónico interno dedicado: Si es interno, que sea respondido por una persona de integridad probada (ejemplo, oficial de cumplimiento o auditor interno) o un buzón de voz seguro. Horario 24/7 idealmente. Debe ser gratuito (los empleados no van a pagar por denunciar). Publicar claramente: “Línea directa Ética: 800-XXX, ext YYY”.
  • Buzones físicos: Útil en entornos donde empleados no confían en tecnología o prefieren papel. Colóquelos en zonas neutrales, garantice que solo personal autorizado los abre. Recoja con frecuencia.
  • Correo electrónico específico: Ej: etica@empresa.com. Si la tecnología lo permite, se puede configurar para que sea accesado solo por la persona encargada, con medidas de seguridad.
  • Formularios web o app: Puede ser una sección en la intranet o un sitio público. Preferible con opción anónima.
  • Otras vías: Mensajería instantánea (WhatsApp, Telegram) con número designado, etc., aunque se debe considerar la confidencialidad (WhatsApp revela número del denunciante, a menos que se use un sistema anónimo).

Quizás la combinación es ideal: por ejemplo, un proveedor externo que provea teléfono y web anónimos, más un buzón físico para operarios. La clave es facilitar al máximo: el canal no debe requerir mucho esfuerzo ni exponer a quien denuncia. Una vez elegido, el canal debe estar plenamente operativo antes de lanzarlo (pruebe que el teléfono funciona, que el buzón en web no da error, etc.). Y asegure confidencialidad: por ejemplo, si es un teléfono interno, ubicarlo en oficina privada; si es un email, que no pase por secretarias. Considere las opciones de anonimato: es muy aconsejable permitirlo. Un estudio del ACFE (fraude) dice que 50% de denuncias vienen anónimas porque muchos temen identificarse. Sin anonimato, pierdes la mitad de la información potencial. Por ello, incluya la opción anónima y explíquela (por ejemplo, “puedes dejar tu nombre si quieres seguimiento personal, pero si no lo dejas, de igual forma investigaremos”). Use herramientas que permitan eso (varios softwares generan un código para el anónimo para comunicación bidireccional anónima). En síntesis: instale un canal robusto, pruébelo (test interno de cómo se recibe la denuncia, tiempos de respuesta, etc.), y téngalo listo para publicitar.

2. Comunicar intensivamente la existencia y funcionamiento del canal: Una vez implementado, la tarea crítica es que todos los empleados (y según el caso, proveedores y partes externas relevantes) sepan que existe, para qué sirve y cómo usarlo. Use múltiples medios:

  • Política escrita: En el Código de Ética o Política de Denuncias, describa el canal, garantías de confidencialidad y no represalia, y los contactos (números, webs, etc.).
  • Pósters y carteles: Diseñe materiales visuales atractivos (con eslogan tipo “¡Habla, te escuchamos!” o “Línea Ética: tu voz cuenta”) y colóquelos en puntos visibles: cafeterías, pasillos, tablones de anuncios, etc. Que incluyan los datos de contacto de forma clara. Actualícelos si algo cambia.
  • Reuniones y charlas: Haga que supervisores transmitan la información en reuniones de equipo. Mejor aún, organice charlas específicas sobre la línea ética (puede combinar con las capacitaciones de ética). Asegúrese de enfatizar: “preferimos que nos hables de un problema interno antes que se haga grande, estás protegido al hacerlo”.
  • Ejemplos hipotéticos: A veces la gente no sabe qué tipo de cosas reportar. De ejemplos: “Puedes denunciar si observas sobornos, fraudes, robos, acoso, discriminación, violaciones a derechos humanos, violaciones al código de ética, etc.”. Diga qué no es para este canal (por ejemplo, quejas salariales rutinarias tal vez van por RR.HH. a menos que sea incumplimiento grave; esto para no saturar con temas menores).
  • Confidencialidad y anonimato: Explique cómo se garantiza. Ejemplo: “Tus quejas llegarán directamente a X; si dejas tu nombre, solo este comité lo sabrá y te mantendrá reservado; si no, no intentes identificarte. No rastreamos llamadas ni IPs.” – esto da confianza.
  • No represalias: Repetir incansablemente: “Apreciamos a quienes denuncian de buena fe. No toleramos represalias; si alguien intentara tomarlas, será sancionado. Si sientes alguna represalia tras denunciar, repórtala también inmediatamente.” Los empleados deben oír de los jefes esta garantía.
  • Comunicaciones periódicas: En boletines internos, mails trimestrales recordando el canal, historias de éxito (ajustadas para mantener anonimato) como “Gracias a tu voz, resolvimos X, sigue ayudándonos a mejorar”.
  • Proveedores/externos: En contratos, incluir cláusula con información del canal para que puedan usarlo. En reuniones de proveedores, mencionar que pueden reportar problemas éticos a través de la línea. Con la comunidad, si aplica, en juntas o publicaciones locales: “La empresa X pone a disposición canal para cualquier inquietud relacionada con integridad: [medio]”.

El objetivo es saturación positiva: que sea difícil no saber que hay una línea de denuncia. Esto aborda el hallazgo 668 – asegúrese de que nadie pueda decir “no sabía”. Documente esta comunicación: tome fotos de pósters colocados, guarde copia de emails enviados, registros de inducción. Así en auditoría muestra evidencia tangible de difusión.

3. Establecer un proceso formal para gestionar e investigar las denuncias: Recibir la denuncia es apenas el inicio. Debe contar con un procedimiento escrito (aunque sea interno) de cómo se procesan:

  • Recepción y registro: Determinar quién recibe las denuncias (si es externo, ellos las pasan a la persona designada en la empresa). Llevar un registro central (folio, fecha, asunto general).
  • Acuse de recibo: Si no es anónimo y es posible, enviar acuse en 2-3 días agradeciendo y asegurando que se investigará. Si es anónimo vía plataforma con código, publicar acuse ahí para que lo vea al consultar su caso.
  • Evaluación inicial: Un pequeño comité o la persona encargada hace una clasificación: ¿El asunto cae bajo ética empresarial? ¿Hay conflicto de interés que requiera asignar a alguien independiente (ejemplo, la denuncia es contra un directivo – en tal caso quizás se debe escalar a la Junta Directiva o usar un investigador externo)? ¿Es creíble, detallado? Priorizar según gravedad.
  • Designación de investigador: Nombrar a un individuo o equipo para indagar. Puede ser auditoría interna, RR.HH. (si es acoso), legal, o un externo en casos delicados. Importante: investigar con imparcialidad y confidencialidad.
  • Plan de investigación: Determinar qué evidencias recopilar (documentos, entrevistas, etc.), plazos (intentar resolver en X semanas).
  • Protección del denunciante y testigos: Si se sabe quién es, monitorear que no sufra represalias durante el proceso. Por ejemplo, si su jefe es acusado, quizás provisionalmente cambiarlo de supervisor o darle teletrabajo para distanciarlo del presunto acosador, etc. Igualmente, asegurar testigos entrevistados confidencialidad.
  • Conclusión y acciones: Tras investigación, elaborar informe. Si la denuncia fue fundada, decidir sanciones (despidos, medidas disciplinarias) y corrección (por ejemplo, recuperar dinero malversado, reforzar controles). Si no se comprueba, cerrar con justificación. Sea cual sea, documentar la resolución.
  • Retroalimentación al denunciante: Si no es anónimo, comunicarle de manera general el resultado (“Gracias nuevamente; tras investigación tomamos las medidas apropiadas” – quizás sin detalles confidenciales). Si es anónimo vía código, publicar un mensaje final: “Caso #X investigado y concluido. Gracias por su aviso.” Esto cierra el ciclo.
  • Registro y análisis: Actualizar la base de datos de casos con resultado y fecha de cierre. Revisar si se cumplieron tiempos (si hay SLA) y si hay aprendizaje (¿necesitamos cambiar algo para que no ocurra de nuevo?).
  • Reportes periódicos: Preparar reporte (respetando anonimato) para alta dirección o comité de ética con cantidad de denuncias, tipo, estado, acciones. Eso es la “transparencia del sistema” internamente – que no queden en la oscuridad.
  • Protección continua: Incluso después, verificar en meses siguientes que el denunciante no haya sufrido nada. Incluirlo en evaluaciones: que no lo califiquen injustamente mal, etc.

Este proceso demuestra seriedad. En auditoría, mostrar el protocolo de whistleblowing (aunque sea confidencial en detalles, se puede enseñar el flujo general) da confianza al auditor de que no es un buzón al olvido. Y si piden casos de ejemplo, se pueden compartir anónimamente algunos (ejwmplo: “tuvimos un caso de soborno interno: recibimos denuncia anónima, investigamos, se despidió a 2 empleados y se reforzó tal control”). Cubre hallazgo 661, ya que es un sistema transparente de cómo se reporta y resuelve. Importante: si la denuncia involucra alta dirección, ideal es tener un canal alterno (como un comité del Directorio o un auditor externo) para que no la oculte la misma dirección. Mencione eso en el procedimiento (quién investiga directivos? Quizá auditoría externa o comité independiente).

4. Garantizar y hacer cumplir la política de no represalias: Incluya en su Código de Ética o en una política de denuncias una sección clarísima: “Prohibición de represalias”. Defina represalia (cualquier acción adversa contra alguien por haber denunciado o participado en una investigación). Declare que es motivo de sanción grave. Forme a los gerentes en esto específicamente (que entiendan que no pueden ni insinuar reproches). Si se detecta algún signo de represalia, actúe de inmediato para revertirla y sancionar al represor. Por ejemplo, si tras una denuncia un jefe cambia a un empleado de turno a uno peor sin justificación, revisarlo y si se concluye que fue castigo, revertirlo y disciplinar al jefe. Comunicar estos casos (sin nombres) internamente: “Reafirmamos nuestro compromiso de no represalias: recientemente tuvimos que sancionar a un mando por intentar tomar represalias contra un denunciante; no toleraremos eso.” Esto envía un mensaje poderoso: la empresa hace lo que dice. Los empleados al ver ese precedente confiarán más en el sistema. En auditoría, los entrevistados deben sentir que “aquí uno puede reportar sin miedo”. A veces auditores hacen preguntas como “¿te sentirías cómodo usando el canal si vieras algo mal?” para sondear miedo. Trabaje para que la respuesta sea sí, mencionando la cultura de protección. FaceUp.com dice: un sistema visible y accesible que asegura confidencialidad y anonimato es crucial para animar a reportar. Y eso junto con actos de no represalias cierra la confianza. Documente la no represalia en las políticas y demuestre en la práctica.

5. Extender el alcance del mecanismo según corresponda (proveedores, comunidad): Evalúe quiénes más deberían tener acceso al canal. Mínimo, proveedores y contratistas que trabajan en sus instalaciones o con sus empleados. Incluya en sus capacitaciones a proveedores (o en el manual de proveedores) la información de cómo pueden reportar si ven irregularidades (por ejemplo, “si algún empleado de nuestra empresa le solicita algo indebido, repórtelo a [canal]”). A veces los proveedores temen perder contrato – asegúreles confidencialidad también y que no habrá represalias comerciales por denunciar mala conducta de empleados propios (que sepán que la empresa quiere saber). Para comunidad local: si su operación toca comunidades, un “Mecanismo de Quejas Comunitarias” es recomendable. Esto puede ser simplemente difundir que pueden escribir a un correo de RSE o depositar carta en portería, garita, etc. O sesiones periódicas de diálogo donde se recogen inquietudes (eso es más abierto). Lo importante es que la comunidad no sienta que la empresa es una caja negra – que tengan una vía para ser escuchados. Para clientes (si aplica, en B2C): un canal de atención al cliente generalmente recibe quejas de servicio, pero si hay temas éticos (por ejemplo, un cliente observa prácticas corruptas en una tienda), también deberían saber a dónde escalar.
El hallazgo 957 sugiere al menos la comunidad local. Así que si su empresa tiene impacto en terceros, cubra eso.

6. Revisar y mejorar el mecanismo periódicamente: Tras implementar, monitoree su uso y efectividad. Indicadores: número de denuncias recibidas por periodo (un número extremadamente bajo puede indicar que no se animan; extremadamente alto quizá problemas sistémicos o canal mal usado), categorías más frecuentes (sirve para retroalimentar capacitaciones de ética), tiempo promedio de resolución, tasa de denuncias anónimas vs identificadas (si 100% anónimas, aún hay miedo, ¿qué hacer para que confíen a dar nombre? O tal vez culturalmente así está bien). Use encuestas anónimas para preguntar: “¿Conoces la línea? ¿Confías en que se manejan bien las denuncias? ¿Reportarías?” Si salen respuestas tibias, trabaje más en comunicación o confidencialidad. Revise también si el proveedor del canal responde adecuadamente. Haga drills (denuncias de prueba) de vez en cuando para ver cómo se procesan. También mantenga actualizados los contactos (si cambia el oficial a cargo o el número, comunique de nuevo). E involucre la alta dirección: presentarles un resumen anual de cómo va el sistema, para que sigan apoyando recursos.
Corrija las fallas detectadas: por ejemplo, si muchos dicen que la línea telefónica da tono ocupado, considere aumentar líneas; si un caso tardó 6 meses en resolverse, ver qué obstruyó e implementar mejoras. La meta es un sistema vivo y confiableque evoluciona. Para los auditores, ver que la empresa monitorea el canal muestra compromiso serio (no lo dejaron en piloto automático).

Con todo ello, su empresa cumplirá no solo con 10.C.F sino con el espíritu de fomentar una cultura de apertura y accountability. FaceUp.com recalcaba: “un sistema de denuncias seguro y anónimo es efectivo para detectar y abordar prácticas inapropiadas, permitiendo tomar medidas antes de que escalen”. Y Sedex mismo sugiere estas líneas especialmente para combatir problemáticas ocultas como la esclavitud moderna. Lo importante es que los empleados (y demás stakeholders) sientan que sus voces importan y serán protegidas. Un entorno donde la gente puede decir la verdad sin miedo es un entorno donde la corrupción y las faltas éticas difícilmente echen raíces profundas.

Más allá de la auditoría: consolidando una cultura de transparencia y diálogo abierto

Más allá de tener el canal operativo, hay elementos culturales y de liderazgo que pueden llevar el mecanismo de denuncia a un siguiente nivel:

  • Fomentar el Speak-up Culture de forma positiva: Idealmente, llegar a un punto donde reportar malas conductas no se vea solo como “denunciar” sino como “participar en la mejora de la empresa”. Dar nuevo sentido al whistleblower de villano a héroe. Algunas empresas realizan campañas tituladas “Habla, te escuchamos” o “Tu voz nos hace mejores”. Otras comparten historias anónimas de problemas detectados a tiempo gracias a que alguien habló. Por ejemplo: “Un empleado notó un error grave en un proceso que podía causar accidente, lo reportó y evitamos un desastre”. Aunque ese no sea corrupción, refuerza la idea de hablar. Integrar la idea de speak up en valores corporativos: que no haya tabú en criticar o exponer irregularidades. Un ambiente así no solo previene corrupción, también mejora eficiencia (muchas ineficiencias persisten porque empleados temen señalar fallos de jefes). Promover open-door policy: que los líderes se muestren accesibles a recibir preocupaciones directamente también (sin substituir canal formal, pero complementando, especialmente para asuntos menores o ideas). En resumen, crear un entorno donde comunicar malas noticias o alertas sea normal y apreciado. Esto complementa el canal formal y lo nutre.
  • Responder públicamente a preocupaciones recurrentes: Si nota que varias denuncias anónimas giran en torno a un mismo tema (ejemplo: “los empleados creen que el sistema de bonos es injusto”), quizás la empresa deba abordar ese tema abiertamente, no esperar solo canal formal. Comunicar “Hemos escuchado que hay inquietudes sobre X, aquí lo aclaramos o ajustamos”. Así la gente ve que su retroalimentación (aunque sea informal) produce cambios, generando más confianza para hablar. La transparencia genera más transparencia: compartiendo lo que se mejora gracias a las voces internas, la dirección valida el proceso. Obvio, sin divulgar detalles personales. Por ejemplo, si detectaron varias quejas de favoritismo, la dirección puede emitir un recordatorio de política de no trato preferencial y hacer cambios en los procedimientos de promoción. Eso envía el mensaje “escuchamos y actuamos”.
  • Proteger y reconocer a denunciantes emblemáticos (dentro de lo posible): Si hay un caso donde alguien abiertamente denunció un gran fraude y con ello salvó a la empresa de pérdidas, y esa persona está de acuerdo en ser reconocida, la empresa podría premiarla (monetario o en ascenso). Esto es delicado porque no se quiere crear la noción de “denuncia por recompensa”, pero reconocer la valentía envía fuerte señal. Quizá hacerlo en privado con un agradecimiento de la alta dirección es suficiente. O en casos que trascienden (ejemplo, un ingeniero alertó a autoridades de un riesgo ambiental que la empresa corregió – podría ser presentado como héroe internamente). La no represalia es el mínimo; el ideal cultural es el reconocimiento.
    Claro, en la mayoría de casos el anonimato se mantiene, pero cuando hay denuncias internas no anónimas de cosas correctas (por ejemplo, alguien reporta un fallo de integridad con su nombre en una reunión), aplauda eso en vez de ignorarlo. Esa persona debe quedar como ejemplo positivo, no “problemático”.
  • Extender la transparencia a la gobernanza corporativa: La empresa podría publicar en su informe anual (si hace RSE o similar) datos agregados de denuncias y su gestión, demostrando madurez. Algo como: “Este año recibimos 10 denuncias éticas: 4 relacionadas con fraude (se confirmaron 2 y se actuó), 3 por acoso (todas atendidas, 1 con medidas disciplinarias), 3 diversas. Reforzamos nuestros controles en áreas de fraude financiero a raíz de esos hallazgos.” Este nivel de transparencia externa genera confianza de stakeholders (clientes, inversionistas) de que la empresa tiene autolimpieza. También internamente, los empleados ven que la empresa no esconde sus trapos sucios sino los enfrenta. Obviamente, se hace preservando confidencialidad. Muchas grandes empresas ya lo hacen en sus memorias de sostenibilidad (reportan cuántos casos de corrupción detectaron via canal y resultos). Es la evolución natural de un buen sistema: rendición de cuentas incluso de su efectividad.
  • Mantener la independencia del proceso frente a cambios organizativos: Asegúrese de institucionalizar el canal para que no dependa de personas. Si el oficial de cumplimiento que manejaba se va, el sistema debe seguir sin brechas. Designar roles suplentes o un comité con permanencia. Incluirlo en los procedimientos de gestión. Así, pase lo que pase en la directiva, el canal perdura. También, velar por la independencia: a medida que crecen, podría ser necesario un Comité de Ética / Auditoría con miembros del Directorio que supervise los casos delicados, para asegurar que la alta gerencia no se juzgue a sí misma. Esto es más para empresas grandes, pero es aspiracional (ppor ejemplo, las denuncias recibidas se envían al grupo de auditoría del Consejo de Dirección).

En esencia, más allá de SMETA, un canal de denuncia efectivo es un pilar de la gobernanza ética y de una cultura de confianza. Cuando la gente cree que puede decir la verdad sin miedo, las organizaciones se vuelven más saludables, innovadoras y resilientes. Cumplir 10.C.F no solo evita no conformidades: habilita a la empresa a aprender de sus errores internos y corregir el rumbo rápidamente. En palabras de un principio ético, “El mal prospera cuando los buenos guardan silencio”. Este requisito se trata de garantizar que los “buenos” – que generalmente son la mayoría de empleados honestos – nunca tengan que guardar silencio. Si se logra eso, la empresa estará blindada contra muchas amenazas éticas, y además estará alineada con los más altos estándares internacionales de integridad.

10.C.G – Protección de Datos Personales: Consentimiento y Controles, Cumplimiento de Requisitos Legales de Privacidad

Explicación del requisito

El sub-requisito 10.C.G requiere que la empresa “obtenga y almacene datos personales con los consentimientos y controles apropiados, cumpliendo con los requisitos legislativos”. Esto aborda el tema de la protección de datos personales y privacidad dentro de la ética empresarial. Implica que cualquier información personal que la empresa recopile o maneje – sea de empleados, clientes, proveedores u otros – debe ser tratada de forma responsable y conforme a las leyes de protección de datos aplicables.

La ética en el manejo de datos se ha vuelto un pilar muy importante, especialmente con la digitalización y regulaciones como el Reglamento General de Protección de Datos (RGPD o GDPR) de la UE, las leyes locales de protección de datos (por ejemplo, la Ley Federal de Protección de Datos Personales en México, la Ley de Habeas Data en varios países latinoamericanos, etc.). Incluso si SMETA es un esquema global, espera que los sitios cumplan con tales legislaciones y también con un estándar de respeto a la privacidad.

Desglosemos los elementos de 10.C.G:

  • Obtención de datos personales con consentimientos apropiados: Esto significa que cuando la empresa recolecta datos personales de individuos (nombre, dirección, identificación, datos de salud, información de contacto, etc.), debe hacerlo con base legal. La base legal más común es el consentimiento informado de la persona, o bien otra base permitida (ejemplo, obligaciones contractuales, requerimientos legales). En contexto laboral, por ejemplo, el empleado generalmente provee sus datos al ser contratado bajo ciertas condiciones. Si la empresa decide usar esos datos para algo más (ejemplo, publicar foto en sitio web, o compartirlos con un tercero para beneficios), debería obtener consentimiento específico. Para datos de clientes, igualmente obtener permiso para usar o compartir su información con terceros.
  • Almacenamiento con controles apropiados: Esto se refiere a las medidas de seguridad y confidencialidad en la conservación de los datos. Controles apropiados significan, por ejemplo, guardar archivos físicos bajo llave y con acceso restringido, y archivos digitales protegidos con contraseñas, cifrado, controles de acceso por roles, firewalls, etc., dependiendo de la sensibilidad de la información. Debe prevenirse el acceso no autorizado, la pérdida, modificación o filtración de datos personales. Además, no retener datos más tiempo del necesario (minimización).
  • Cumplimiento de requisitos legislativos: Abarca conocer y seguir lo que la ley imponga. Por ejemplo, si la ley dice que para datos sensibles (salud, religión, etc.) se requiere consentimiento explícito por escrito, debe cumplirse. Si la ley otorga a individuos derechos (derecho a acceder a sus datos, rectificarlos, cancelarlos, oponerse – los llamados derechos ARCO o similares), la empresa debe tener procedimientos para atender esas solicitudes. O si la ley pide notificar brechas de datos a autoridades, estar preparado. En la UE, GDPR pide designar un DPO (Data Protection Officer) en ciertos casos, hacer evaluaciones de impacto para tratamientos riesgosos, etc. Quizás SMETA no espera tanto detalle, pero fundamental es no violar privacidad con prácticas como: recolectar datos excesivos sin justificación, ceder datos a terceros sin permiso, monitorizar empleados invadiendo su privacidad sin base legal, etc.
  • Ética de la información: Además de la ley, está la expectativa ética de no abusar de la información personal. Por ejemplo, no usar datos de empleados para fines ajenos al contexto laboral sin permiso (vender listas de empleados a aseguradoras, etc.), o no explotar datos de clientes indebidamente. La confidencialidad es parte del respeto: confidencialidad de registros médicos, de expedientes personales, de denuncias (conexión con F: datos de denuncias deben ser confidenciales).

Este sub-requisito se alinea con directrices como las de la OIT en su Repertorio de recomendaciones prácticas sobre la protección de los datos personales de los trabajadores (1997). Por ejemplo, la OIT recomienda que los empleadores deben tomar medidas de seguridad para proteger datos contra pérdida, acceso, uso o comunicación no autorizados. Esa cita misma (del Repertorio punto 7.1) está casi replicada en este requisito SMETA: “los empleadores deberían garantizar, mediante las salvaguardias de seguridad adecuadas, la protección de los datos personales contra su pérdida y todo acceso, utilización, modificación o comunicación no autorizados”. Así, cumplir 10.C.G es también cumplir principios de la OIT y, por ende, de la ética laboral internacional.

Algunos ejemplos concretos de lo que abarca:

  • Información de empleados: CVs, copias de identificación, datos bancarios, evaluaciones de desempeño, datos biométricos (huella para reloj checador, por ejemplo), datos médicos (exámenes de salud laborales), etc.
  • Información de clientes: datos de contacto, historial de pedidos, preferencias, a veces información financiera (tarjetas), etc.
  • Información de proveedores: contactos personales, cuentas bancarias de personas físicas, etc.
  • Cualquier otro: visitantes, candidatos a empleo, etc.

La empresa debe demostrar que los gestiona con el debido cuidado. Un punto crítico: hoy muchas violaciones éticas involucran datos (por ejemplo, escándalos por cámaras de vigilancia ocultas, seguimiento de empleados por GPS sin informar, etc.). 10.C.G busca prevenir “malos manejos” de datos personales, ya sea por negligencia (falta de seguridad) o por abuso (uso indebido).

Principales issue titles (hallazgos) en SMETA 7 para 10.C.G

La principal no conformidad listada es:

  • Evidencia de que la empresa hace mal uso de datos privados/confidenciales – “Evidence that the company misuses private and/or confidential data” (Código 663). Esto indica que hay pruebas de que la empresa ha utilizado o gestionado datos personales de forma indebida. Podría ser cualquier cosa: divulgar información confidencial sin permiso, recolectar datos sensibles sin base, sufrir una brecha de datos por negligencia, monitorear comunicaciones de empleados sin justificación legal, etc. Es un hallazgo fuerte, porque habla de mal uso.

Notablemente no hay códigos múltiples; es decir, no enumeran “no tiene política de privacidad” o “no capacita en protección de datos”. SMETA se enfoca en si se está mal manejando la info. Por tanto, para no conformidad, usualmente debe haber o un incidente concreto (por ejemplo, se descubrió que la empresa vendió datos de empleados a una casa de préstamos, por ejemplo), o una grave falta de controles (por ejemplo, expedientes médicos de empleados abiertos al alcance de cualquiera – evidencia de mal manejo).

Sin embargo, incluso sin incidente, un auditor puede citar 663 si ve prácticas obviamente incorrectas. Por ejemplo: la empresa publica en un mural las enfermedades de cada empleado (violando privacidad médica), o guarda copias de pasaportes en un archivador sin llave en recepción. Eso ya es “misuse or likely misuse”.

El auditor podría preguntar: “¿Qué medidas toman para proteger los datos personales (de empleados)?”“¿Los empleados firman autorizaciones para uso de sus datos?”“¿Tienen políticas de privacidad?” etc. Si se detecta incumplimiento legal claro (por ejemplo, en un país que exige consentimiento para uso de datos biométricos y la empresa los toma sin tal consentimiento), podría notarse.

Ejemplos de cumplimiento

  • Política de protección de datos y medidas de seguridad implementadas: Una empresa tiene una Política de Privacidad interna donde se describe qué datos de empleados recopila, con qué fines, cómo los protege y los derechos que tienen (acceder a su expediente, corregir errores, etc.). Todos los empleados reciben esto y firman un consentimiento al inicio de la relación laboral para el uso de sus datos en los fines de RR.HH. (nómina, beneficios, cumplimiento legal, etc.). Para datos sensibles (ejemplo, resultados de exámenes médicos), la empresa obtiene autorización explícita de los empleados antes de compartirlos con, digamos, el servicio médico ocupacional externo. En la oficina de RR.HH., los archivos físicos de personal se guardan en un archivador con llave; solo el personal autorizado de RR.HH. puede acceder. Los archivos digitales (por ejemplo, base de datos de nómina) están protegidos por contraseñas y solo accesibles a RR.HH. y contabilidad en lo pertinente. La empresa ha entrenado al personal de RR.HH. y TI sobre confidencialidad de datos. Además, si algún empleado necesita un dato personal (ejemplo, la dirección de un colega) para algo no laboral, se requiere permiso de ese colega. También, la empresa no publica fotos de empleados en redes sin permiso firmado. Cuando se instalan cámaras de CCTV en la planta, se informó a los empleados que es con fines de seguridad, se colocaron avisos en las áreas monitoreadas, y las grabaciones se almacenan cifradas por 15 días y luego se borran (y solo seguridad/gerencia las revisan si hay incidentes). Si hay leyes locales (por ejemplo, Ley de Datos Personales), la empresa está registrada ante la autoridad de datos y cumple sus lineamientos. En una auditoría, se vería que los datos personales están bien resguardados y hay procedimientos para ello. El auditor podría revisar un expediente de empleado (con permiso) y ver que tiene su formulario de consentimiento, etc. También verificar que nadie fuera de RR.HH. puede simplemente tomar un archivo. Al entrevistar empleados, dirían que confían en cómo la empresa maneja su info personal. Este es un buen cumplimiento de 10.C.G. Cumple el principio OIT citado: protecciones contra acceso no autorizado.
  • Consentimiento de empleados para usos secundarios y respeto de privacidad en monitoreo: Ejemplo: la empresa quiere implementar un sistema de reconocimiento de huella para fichar asistencia. Sabe que la huella es un dato biométrico sensible. Obtiene del empleado un consentimiento específico explicando qué dato se tomará (huella digital), para qué (únicamente control horario), cómo se almacenará (en forma cifrada, no imagen bruta de la huella), quién tendrá acceso (solo TI para mantenimiento), y que no se compartirá con terceros. Solo tras recabar ese consentimiento implementa el sistema. Un empleado que no quisiera, se le ofrece alternativa (ficha manual, por ejemplo). Además, la empresa monitorea correos corporativos y navegación web solo en cuanto a virus y seguridad, pero deja claro en una política de TI que la empresa puede revisar correo laboral por motivos de seguridad y hace banner de aviso en el login. No revisa correos personales. No coloca cámaras en áreas privadas (vestidores, baños), solo en áreas comunes de trabajo. Cualquier monitoreo respeta los límites legales (por ejemplo, no usa GPS en vehículos para rastrear fuera de horario). Al auditar, se ve que la empresa obtiene permisos para datos sensibles y no abusa del monitoreo. Los empleados confirman que firmaron y fueron informados, y no sienten invasión de su vida privada. Por ejemplo, no se les pide información irrelevante (religión, orientación sexual) salvo que ellos quieran declararla (por ejemplo, voluntariamente para temas de diversidad). Esto demuestra sensibilidad al tema de privacidad. Un auditor marcaría esto como cumplimiento.
  • Gestión segura de datos de clientes conforme a normativas: Si la empresa maneja datos de clientes (por ejemplo, la base de datos de consumidores con emails, teléfonos), implementa también buenas prácticas: tiene avisos de privacidad en su página web y en formularios, solicitando consentimiento para envíos de marketing; si comparte datos con terceros (por ejemplo, envíos logisticos) lo menciona en términos y asegura contratos de confidencialidad con esos terceros. Cuenta con medidas de ciberseguridad: firewalls, antivirus, copias de seguridad seguras. Y un protocolo en caso de brecha: supongamos hubo un hackeo, la empresa notificó a los clientes afectados y a la autoridad en plazo, mostrando transparencia (esto es un buen compliance de GDPR, por ejemplo). Para SMETA, lo importante es que no esconda ni descuide incidentes. La auditoría probablemente no se mete a fondo en datos de clientes, pero si es relevante, podrían ver el aviso de privacidad y su alineación con leyes. Un buen cumplimiento se refleja en no evidenciar malas prácticas como spam sin permiso, filtraciones recurrentes, etc.

Ejemplos de incumplimiento

  • Divulgación indebida de datos confidenciales de empleados: Un caso concreto: el auditor descubre que en la puerta de la enfermería de la fábrica hay un tablero donde están listados los nombres de empleados con enfermedades crónicas o que están en tratamiento médico, “para tener control”. Esto es una grave violación de privacidad médica. Los datos de salud son sensibles, y exponerlos así es un mal uso de datos privados. Seguramente ningún empleado consintió que su diabetes o condición esté a la vista de todos. Este hallazgo sería un claro 663: la empresa hace mal uso de datos confidenciales. Otro ejemplo: la empresa publica los salarios individuales de cada empleado en un mural (ha ocurrido en algunos sitios como “incentivo” o presión). Eso también es confidencial normalmente. O el gerente de RR.HH. comenta abiertamente entre colegas detalles de la vida personal de empleados obtenidos de sus archivos (por ejemplo, “fulano tiene antecedentes penales” como chisme) – si el auditor lo supiera, también es misusing confidential data. Cualquiera de estas situaciones mostraría falta de control ético y legal. Sería una no conformidad seria.
  • Falta de medidas de seguridad, datos personales accesibles a cualquiera: Ejemplo: el auditor pide ver cómo se guardan los expedientes de personal. Se dan cuenta que los archivos con documentos personales (copias de DPI, direcciones, contratos) están en un armario sin llave al cual muchas personas tienen acceso (por ejemplo, en la oficina general), incluso gente de fuera podría fisgonear. O los archivos digitales de nómina están en una carpeta compartida en la red sin restricciones, de modo que cualquier empleado curioso puede abrir la nómina y ver sueldos, cuentas bancarias, etc. Esto es mal resguardo de datos, por lo tanto mal uso porque no hay controles apropiados. Un auditor podría probarlo – a veces piden a un empleado de nivel bajo que intente abrir algún archivo supuestamente confidencial en la computadora para ver si hay restricción. Si lo logra, es evidencia de falla. Este incumplimiento puede no ser intencional (quizá TI no configuró bien permisos), pero tiene impacto severo. Entraría en 663 ya que la consecuencia es que datos pueden verse por no autorizados.
  • Recolección excesiva o sin base legal de datos personales: Por ejemplo, en la solicitud de empleo la empresa pide datos no pertinentes: religión, número de hijos, afiliación política, contraseña de redes sociales, etc. Aparte de discriminatorio, es un mal manejo de datos (viola minimización). O antes de contratar hace pruebas médicas invasivas sin consentimiento o relevancia (como prueba de VIH obligatoria para un puesto administrativo – va contra la privacidad y probablemente contra la ley). Otro: la empresa instala cámaras de audio en todas partes incluyendo comedor donde los empleados conversan – eso captura datos de conversación privada sin justificación. Tales prácticas mostrarían abuso en recolección de datos. Si auditores ven formatos intrusivos o se enteran (por entrevistas) que piden a los empleados información irrelevante, considerarán que se malutiliza la información personal. Igualmente, si los empleados dicen “aquí ponen GPS en nuestros vehículos fuera del horario de trabajo y no nos avisaron”, es violación de privacidad. Sería un hallazgo 663, pues no se respetan los límites legales/éticos. Muchas veces, auditorías de responsabilidad social detectan esta recolección excesiva – ejemplo, ver un formulario médico con preguntas inapropiadas.
  • Filtración o pérdida de datos no reportada ni gestionada: Imaginemos que la empresa sufrió el robo de un USB con datos de empleados (nómina con direcciones, etc.) y no tenía cifrado, ni notificó a los afectados. O un empleado no autorizado descargó lista de contactos de clientes y la empresa ni se enteró ni hizo nada. Si en la auditoría sale a la luz (quizá por entrevista con TI o empleados) que hubo una brecha y se manejó negligentemente, es mala señal. Aunque la auditoría SMETA no es una de ciberseguridad, si encuentran evidencias (ejemplo, “sí, hace poco circularon copias de cédulas de todos los empleados por WhatsApp y nadie dijo nada”), lo verían como mal uso. Un hallazgo 663 puede derivar de tal evento.
  • Ningún procedimiento de consentimiento ni política de privacidad: Aunque SMETA no lista “no policy” como hallazgo, la ausencia total de procedimientos sugiere probables mal manejos. Por ejemplo, auditor pregunta “¿Tienen alguna política sobre privacidad de datos personales?” y RR.HH. dice “No, no tenemos nada por escrito al respecto”. Luego pregunta “¿Piden autorización a los empleados para…?” “No, nunca hemos pensado en eso”. Esto indicaría un vacío. El auditor buscará alguna consecuencia de ese vacío, como ejemplos arriba. Tal vez, sin consentimiento, la empresa envió la base de datos de emails de empleados a un banco con el que hizo convenio, y ahora los empleados reciben ofertas no solicitadas – un mal uso. O la ausencia de directrices llevó a que cada jefe maneje datos a su antojo. Entonces, la falta de cualquier control documental predispone a incumplimiento. Podría no declararse hallazgo solo por no haber política, pero es probable que surjan malas prácticas asociadas.

Errores comunes no intencionales

  • Desconocimiento de la normativa de privacidad: Sobre todo en pymes, puede que la gerencia no esté al tanto de leyes nuevas de protección de datos. Piensen, la GDPR 2018 afectó globalmente, pero muchas empresas fuera de la UE no saben que si tratan datos de europeos, les aplica. O locales: varios países latam han modernizado sus leyes (ejemplo, Brasil LGPD 2020) y empresas no adaptadas. Este desconocimiento puede llevar a incumplir sin mala fe, pero la auditoría lo notará. Por eso, hay que educarse en las exigencias legales (como retención de datos, etc.). Errores: no saber que se necesita consentimiento para X, o que ciertos datos se consideran sensibles bajo la ley.
  • Adopción de tecnología sin considerar privacidad: Por ejemplo, instalar software de monitoreo de correos para seguridad informática, pero no comunicar a empleados ni limitar la revisión a asuntos de negocio, incurriendo en vigilancia excesiva. O implementar biometría porque es moderna, sin evaluar implicaciones de privacidad. La empresa no pretende mal, pero olvida la dimensión de protección de datos en la innovación. Antes de implementar cualquier tech de RR.HH. (cámaras, biométricos, geolocalización, sistemas en la nube con datos personales), se debe hacer un análisis de privacidad y cumplimiento. No hacerlo es error común.
  • No controlar bien permisos internos: A veces, por practicidad, se dan accesos de más (por ejemplo, todos en administración pueden ver expedientes de personal, argumentando «por si se necesita»). O no eliminar accesos de empleados que cambian de rol o salen (ex-empleado pudo llevarse datos porque no se revocó cuenta). Estas negligencias son errores no intencionales, pero peligrosos. Debe haber política de control de accesos y la gente de TI y RR.HH. coordinar con inmediatez.
  • No entrenar al personal en manejo de datos: Pueden existir medidas técnicas, pero un error es no sensibilizar a quienes manejan datos. Por ejemplo, una secretaria que fotocopia documentos de empleados y los deja olvidados en la impresora – fuga accidental. O personal que envía por email listas con datos personales sin cifrar. O que cae en phishing revelando datos. Si la gente no está concienciada, pueden inadvertidamente romper confidencialidad. Entrenarles y tener directrices (ejemplo, «no enviar datos personales por WhatsApp abierto», «usar contraseñas en archivos con datos sensibles», etc.) es clave. No hacerlo es error de omisión.
  • Guardar datos de más por tiempo indefinido: Muchas empresas guardan todo para siempre. Archivos de ex empleados de hace 20 años sin purgar, bases de clientes inactivos de hace una década. Esto va contra el principio de limitación de retención. No intencionalmente, a veces por «no sabemos si servirá», pero conlleva riesgos (más datos guardados = más que robar o filtrar). Debería haber purgas periódicas (e.j., destruir expedientes 5 años tras baja). No tenerlo planificado es un error común.

Recomendaciones y buenas prácticas para asegurar el cumplimiento (10.C.G)

1. Mapear los datos personales que la empresa maneja y su ciclo de vida: Haga un inventario de datos personales. Identifique: qué datos recolecta (de empleados, clientes, etc.), para qué finalidades, dónde se almacenan, quién los usa, con quién se comparten, cuánto tiempo se conservan y cómo se eliminan. Este mapeo es como una “ruta de datos”. Por ejemplo: datos de empleados (nombre, dirección, teléfono, datos familia para seguro, etc.) – se obtienen al ingreso; uso: nómina, contacto emergencias; almacenados en expedientes físicos en RR.HH. y en sistema digital de nómina; compartidos con: aseguradora médica (lista de asegurados), banco (pagos nómina), entes regulatorios (seguridad social); retenidos por el tiempo de empleo + X años; luego se archivan o destruyen. Haga lo mismo con datos de clientes (en su CRM?), proveedores (rubro de persona natural?), etc. Este panorama ayuda a detectar riesgos y cumplimiento. Documentarlo es útil ante auditoría: demuestra proactividad.

2. Asegurar base legal y consentimiento donde se requiera: Revise las bases legales por tipo de dato:

  • Empleados: Normalmente la base es el contrato laboral (se necesita sus datos para cumplirlo) y obligaciones legales (por ejemplo, informar a seguridad social). Esto cubre bastante. Aún así, haga que al contratar, en el contrato o anexo, el empleado autorice el tratamiento de sus datos para esos fines. Si va a usar sus fotos en marketing interno, pedirlo también (no asumir). Si va a recabar datos sensibles (raza para diversidad, huella, salud), pedir consentimiento expreso.
  • Clientes: Debe tener políticas de privacidad en la web o formularios, explicando qué datos recaba, con qué finalidades (marketing, entrega, etc.), y que obtenga la acción afirmativa del cliente (aceptar términos) cuando corresponda. Especialmente para envíos promocionales (muchos países exigen consentimiento expreso).
  • Proveedores: Datos de personas de contacto – generalmente se justifican para la relación contractual (ejemplo, tener su cuenta bancaria para pagos). Igual, no usarlos para otra cosa (no pasar su contacto a terceros sin permiso).
  • Otras personas (visitantes, candidatos): Si registran visitantes con datos, informarles que es por seguridad y se resguardan; no pedir más de la cuenta. Candidatos: tienen CVs con datos; usar solo para reclutar y luego destruir CVs de no elegidos después de X tiempo, a menos que consintieron a quedar en base para futuras vacantes.

Prepare formatos de consentimiento claros cuando aplique. Evite lenguaje legal confuso; explique en términos sencillos qué autorizan. Un consentimiento debería incluir: quién es responsable (la empresa), qué datos, para qué, si se comparten con alguien, y firma/fecha. Por ejemplo: “Autorizo a [Empresa] a recolectar y tratar mis datos personales proporcionados en este formulario, con la finalidad de gestionar mi relación laboral, incluyendo inscripción a seguridad social, pago de salario, gestión de beneficios, y cumplimiento de obligaciones legales laborales. Mis datos podrán ser compartidos con autoridades competentes o proveedores de servicios de nómina y salud laboral, bajo deber de confidencialidad. Entiendo que puedo ejercer mis derechos de acceso, rectificación, cancelación y oposición contactando a [contacto de RR.HH.].” Este es un texto base. Haga que todos firmen algo así. Digitalmente, guárdelo. Así ante auditor o inspección, tiene evidencia de consentimiento. Esto cubre “obtención con consentimientos apropiados”.

3. Implementar medidas de seguridad técnicas y organizativas: Basándose en su inventario, ponga controles:

  • Documentos físicos: Archivar en gabinete cerrado con llave, en área controlada. Limitar quién tiene la llave (lista de personas autorizadas). Registrar retiros de expedientes. Por ejemplo, un libro registro cuando alguien saca un expediente y lo devuelve. Guardar documentos sensibles (ejemplo, exámenes médicos) separados de expedientes generales, con acceso solo al médico o RR.HH. específico.
  • Archivos electrónicos: Clasificar qué info es confidencial, y configurar permisos en la red en concordancia. Por ejemplo, archivos de nómina solo a contabilidad y RR.HH., archivos de personal solo RR.HH., etc. Usar contraseñas robustas y cambiarlas periódicamente. Cifrar bases de datos sensibles o al menos tener backups cifrados. Asegurar que los computadores con acceso a datos estén bloqueados cuando no en uso (politica de pantalla).
  • Transmisión de datos: Si envía datos por email (ejemplo, lista de empleados a aseguradora), usar métodos seguros: cifrar archivos con contraseña y enviarla aparte, usar portales seguros de transferencia, etc. No mandar datos sensibles por mensajería no segura.
  • Almacenamiento en nube: Si usan servicios cloud, elegir proveedores reconocidos con buen cifrado y acuerdos de procesamiento de datos (ejemplo, AWS, Azure con configuraciones adecuadas). Revisar quién administra las claves.
  • Prevención de fugas: Implementar políticas de TI: no uso de USBs no autorizados (para evitar copia masiva de info), monitoreo antivirus para que malware no robe datos, etc.
  • Medidas físicas: En oficinas, mantener papeles con datos guardados, triturar lo que ya no sirve (no botar basura legible).
  • Formar a empleados: Hacer concientización de no hablar datos personales de otros en público, no dejar documentos en impresora, no usar chat personal para enviar listados etc. Un pequeño training de «Seguridad de la información y privacidad» es útil.
  • Contrato de confidencialidad: Hacer que empleados clave (RR.HH., contabilidad, TI) firmen NDA interno de que no revelarán datos personales a los que tengan acceso.
  • Planes de respuesta a brechas: Preparar qué hacer si un dato se pierde o filtra: a quién notificar (tal vez al gerente, al DPO si hay, a los afectados, y autoridades si exige la ley), cómo remediar (cambiar contraseñas, etc.). Documentar esto. Esperemos no ocurra, pero estar listos es buena práctica.

Al implementar esto, puede citar el repertorio OIT: «los empleadores deberían garantizar la seguridad de los datos personales contra pérdida y acceso no autorizado» y mostrar cómo lo está haciendo. Un auditor tal vez chequea cierre seguro de gabinete, o pide ver en una PC normal si puede abrir cierto archivo – se debería obtener un «acceso denegado», eso es bueno.

4. Establecer políticas y procedimientos de privacidad y comunicarlos: Redacte una Política de Protección de Datos Personales aplicable en la empresa (interna) que defina las pautas:

  • Tipos de datos que se consideran confidenciales.
  • Obligaciones de empleados en el manejo (ejemplo, «Tratar con confidencialidad la información personal de colegas, no divulgar sin autorización», «guardar expedientes en su lugar adecuado», etc.).
  • Medidas de seguridad (mucho ya implementado arriba, plasmarlo).
  • Prohibiciones (ejemplo, «queda prohibido usar datos personales para fines distintos a los autorizados», «no se permite acceder a expedientes sin necesidad laboral»).
  • Rol del encargado de datos (si designan a alguien, ejemplo. «Responsable de Privacidad: Jefe de RR.HH.»).
  • Procedimiento para atender solicitudes de los titulares (ejemplo, «si un empleado pide ver su expediente, se le dará copia en X días»; «si un cliente pide borrar sus datos de marketing, TI lo hará en X tiempo»).
  • Consecuencias disciplinarias de mal manejo (ejemplo, sanciones por divulgar información confidencial inapropiadamente).

Luego, comunique esa política a todos los empleados. Especial énfasis a quienes manejan datos (RR.HH., etc.) con capacitaciones específicas. Pero también al resto, para que sepan sus derechos y obligaciones. Por ejemplo, informe: «Tus datos se protegen, pero también debes respetar la privacidad de compañeros.» Podría integrarse al código de conducta o ser una política separada referenciada. Comunicar también externamente: un Aviso de Privacidad para terceros (candidato, cliente, etc.), colocado en la web o formularios. Ejemplo, «Sus datos serán tratados de conformidad con la ley tal, con las siguientes finalidades… » etc. Tenerlo disponible muestra transparencia. Hacerlo cumple con la parte de consentimiento y medidas de protección del requisito al formalizarlo.

5. Respetar derechos de los titulares de datos: Donde aplique legalmente, asegure tener procesos para que las personas ejerzan sus derechos sobre sus datos. Por ejemplo, un empleado quiere saber qué información suya tiene RR.HH. – se le permite revisar su expediente (en presencia de RR.HH., cuidando terceros). Si detecta error (dirección mal escrita), se corrige. Si un ex empleado solicita se borren sus datos que ya no sean necesarios, se hacen las bajas debidas (excepto lo que deba conservar por ley, ejemplo, 5 años por prescripción legal). Para clientes, si piden baja de mailing list, sacarlos pronto. Registre esas solicitudes. Tal vez SMETA no verifique esto específicamente, pero si un entrevistado dice «pedí que borraran mi foto de la web y no me hacen caso», sugiere mal control.
Ser proactivo: informe a empleados que pueden actualizar sus datos (eso es normal, para que nómina sea correcta). E informe a clientes en sus comunicaciones «si desea ejercer sus derechos de acceso, etc, contacte tal correo». Aunque no evalúen en auditoría, demuestra cumplimiento legal.

6. Auditar periódicamente el cumplimiento de protección de datos: Incluya en sus auditorías internas o revisiones anuales un check de privacidad. Ejemplo: cada año, revise quien accede a qué datos, si hubo incidentes (por ejemplo, logs de accesos en sistemas, alguna queja de empleado por privacidad), si están actualizados consentimientos (nuevos ingresados firmaron, etc.), y si se requiere actualizar medidas (nuevas amenazas, etc.). Actualice la política según cambien leyes o contexto (por ejemplo, teletrabajo: implica llevar datos fuera, hay que reforzar medidas en dispositivos remotos).
Mantenga la capacitación viva: a los de RR.HH. y TI darles refresco en normativa (hay cursos de protección de datos).
Todo esto cierra el ciclo de mejora continua en esta área.

Con este enfoque, en auditoría SMETA, el auditor podrá constatar:

  • Documentos: política de privacidad interna, evidencia de consentimientos firmados, ejemplos de avisos de privacidad.
  • Observaciones: archivos guardados bajo llave, PC con contraseñas, etc.
  • Entrevistas: empleados concientes de confidencialidad (por ejemplo, un RR.HH. respondiendo que siguen políticas estrictas y no divulgan info personal sin autorización).
  • Ausencia de quejas: nadie en entrevistas dice «acá distribuyen mis datos sin mi permiso» sino al revés, se sienten respetados.
  • Legal: en Paises con leyes dedicadas, tal vez hasta pregunten si la empresa se registró en la autoridad de datos (en algunos lugares piden notificar bases de datos). Si lo hicieron, muestren la constancia. Si no y es requerido, hay un gap legal. Por compliance, háganlo.

Más allá de la auditoría: fomentando una cultura de respeto a la privacidad

Para reforzar 10.C.G en el largo plazo:

  • Tratar la privacidad como derecho humano y valor corporativo: Incorpore en su cultura la idea de que respetar la privacidad de las personas es parte de la ética y respeto por la dignidad. No es solo cumplir la ley para evitar multas; es cuidar a la gente. Por ejemplo, en charlas de ética, incluya el tema: «así como no toleramos soborno, tampoco vamos a vulnerar la confidencialidad de la información personal de nuestra gente».
  • Prestar atención a nuevas tendencias y riesgos (Big Data, IA): Si su empresa empieza a usar análisis de datos masivos o inteligencia artificial con datos personales (ejemplo, evaluaciones algorítmicas de empleados o marketing personalizado a clientes), asesórese en ética de datos. Evite sesgos discriminatorios o invasivos. Recuerde que SMETA se actualiza; en el futuro podría incluir cuestiones de ética digital. Estar a la vanguardia voluntariamente es mejor.
  • Englobar la privacidad en la estrategia ESG: Actualmente, la gestión responsable de datos forma parte del pilar «Social» (S) y «Governance» (G) en muchas métricas ESG. Si la empresa busca destacar en sostenibilidad, puede reportar cómo protege datos.
  • Relación con clientes basada en confianza de datos: Haga de la privacidad un selling point, si aplica: «Tus datos seguros con nosotros». Muchas empresas tecnológicas se diferencian así (ejemplo, Apple con privacidad, etc.).
  • Responder proactivamente a incidentes y aprender: Si pese a todo ocurre un incidente (no hay infalible), actúe con total transparencia y diligencia. Informe a quienes afecte, brinde soporte (ejemplo, si se filtraron datos financieros, ofrecer monitoreo de crédito gratis por un año a afectados), investigue la causa real (tal vez falla en control interno) y arréglela. Después, comunique internamente «tuvimos este incidente, hicimos X para que no pase de nuevo». Esto convertirá un potencial problema reputacional en muestra de integridad.
  • Colaborar con autoridad y estándares: Si su país tiene autoridad de datos (ejemplo, agencias de protección de datos), colabore con ellos, participe en capacitaciones que ofrezcan, etc. Incluso consideren certificaciones (ISO 27701, extensión de 27001 para privacidad). No es obligatorio, pero demuestra compromiso.

En resumen, 10.C.G extiende la ética empresarial al terreno de la información personal, que en la era digital es sumamente importante. Una empresa que se gane la confianza de sus empleados y clientes en el manejo de sus datos tendrá una ventaja intangible enorme: le confiarán más información, lo que bien gestionado puede incluso mejorar el negocio, y evitará pérdidas por escándalos de privacidad. Como indica la OIT: «los empleadores no deberían recabar datos personales innecesarios, y deben proteger los que tienen». Al seguir esta directriz, la empresa no solo cumple SMETA, sino que respeta la esfera privada de las personas – un componente esencial de la dignidad y derechos humanos. Y en la economía actual, la confianza en el manejo de datos es tan valiosa como la calidad de un producto. Cumplir con 10.C.G es, por ende, no solo un deber ético y legal, sino una inversión en la reputación y el respeto hacia todas las personas vinculadas a la compañía.

10.C.H – Acciones Correctivas Efectivas tras Sanciones por Incumplimientos Éticos: Aprender de los Errores y Prevenir su Repetición

Explicación del requisito

El sub-requisito 10.C.H indica que la empresa debe “implementar acciones correctivas apropiadas y efectivas cuando hayan sido objeto de multas/procesos por incumplimiento de regulaciones de ética empresarial o equivalentes”. En pocas palabras, si la empresa ha sufrido alguna sanción legal o ha estado involucrada en casos de violación de normas éticas (por ejemplo, un caso de soborno, fraude corporativo, prácticas antiéticas en el pasado), debe mostrar que tomó medidas correctivas tras ese evento para remediar la situación y evitar reincidencias.

Este requisito promueve la idea de aprendizaje y mejora tras un incumplimiento. Nadie es perfecto, pero si hubo un problema serio de ética (que llevó a multas o acciones legales), la empresa tiene la responsabilidad de hacer introspección, identificar la causa raíz y corregir su sistema para que no vuelva a ocurrir. Es parte de la cultura de compliance: no se trata solo de castigar a los culpables sino de arreglar las fallas de control o cultura que permitieron el suceso.

Por ejemplo, si la empresa fue multada por sobornar a un funcionario, las acciones correctivas podrían incluir: renovación de la alta dirección involucrada, implementación de un programa anticorrupción (todos los puntos 10.C anteriores), capacitación intensiva, monitoreo externo, etc. Si fue un caso de fraude contable, correcciones en controles internos, auditorías más frecuentes, etc.

SMETA 7 incorporó este ítem quizá para alentar la transparencia y mejora continua. A veces en auditorías, las empresas ocultan su pasado sucio; esto les dice “no te penalizaremos por haber tenido un problema, sino por no haber hecho nada al respecto”.

Además, esto se alinea con la filosofía de “capacidad de corregir” (como en ISO: no conformidad – acción correctiva). De hecho, muchas leyes anticorrupción (como FCPA) y guías de clemencia valoran que la empresa tome remedios tras una infracción. En UN Global Compact, las empresas deben reportar avances inclusive en anticorrupción, asumiendo que pueden haber tenido contratiempos.

Es probable que los auditores pregunten si la empresa ha tenido alguna multa por corrupción/ética. Si sí, indagarán qué se hizo luego. Por ejemplo, “Ustedes tuvieron hace 2 años una sanción por evasión fiscal, ¿qué han cambiado desde entonces para asegurar cumplimiento fiscal?” Debe haber algo concreto.

Principales issue titles (hallazgos) en SMETA 7 para 10.C.H

El hallazgo asociado es:

  • Multas/historiales de procesos sin evidencia de acciones correctivas – “Historical fines/prosecutions with no evidence of corrective action” (Código 958). Esto indica que la empresa tiene antecedentes de sanciones éticas pero no puede demostrar que hizo algo para corregir el problema. Si hay un registro histórico (por ejemplo, prensa, juicio, o el propio proveedor lo confiesa en la SAQ) de un caso de corrupción o similar, el auditor espera ver evidencias de enmienda. Si no las hay, esto se marca.

No enumeran por separado «hubo caso de soborno» vs «caso de evasión» – simplemente cualquier incumplimiento serio no abordado.

Cabe destacar que esta no conformidad depende de saber de esos hechos históricos. A veces los proveedores no lo informan; pero Sedex SAQ quizás les hace preguntas de «¿Ha tenido sanciones legales en los últimos X años?» y ellos deben contestar. Si dijeron que sí, el auditor vendrá sobre aviso. O si en Google hay noticias (los auditores a veces hacen research externo). Si la empresa no lo declara pero auditor lo descubre, la situación es mala (falta de transparencia más incumplimiento).

Ejemplos de cumplimiento

  • Empresa con pasado de infracción y programa de mejora implementado: Una empresa manufacturera fue implicada hace 3 años en un caso de soborno aduanero (varios empleados suyos sobornaron a un oficial de aduanas para importar insumos). Recibieron una multa considerable del gobierno. Después de ese escándalo, la nueva dirección tomó medidas drásticas: contrató un consultor de compliance, implementó un programa anticorrupción completo (política, formación, canal de denuncias, due diligence a agentes aduanales, etc.), despidió a los empleados involucrados y cooperó con autoridades en la investigación. Además, adoptó una política de «cero facilitation payments» con procedimientos claros y estableció revisiones internas bianuales de sus operaciones de comercio exterior. En auditoría SMETA, la empresa no oculta el pasado; al contrario, presenta un informe de cómo respondieron al incidente (incluso podrían mostrar un plan de acción de la época con elementos: actualizar código de ética, entrenar X empleados, implementar hotline, etc., y evidencias de completado). Los auditores ven genuino compromiso: entrevistas confirman que empleados saben del cambio de política tras “lo que ocurrió”, la cultura cambió. Este es un buen cumplimiento: la empresa tuvo un tropiezo, pero tomó acciones correctivas robustas. Debe pasar la auditoría en 10.C.H.
  • Empresa reincorporada tras sanción con sistema de cumplimiento robusto: Por ejemplo, una empresa textil fue suspendida por su cliente hace 2 años porque se descubrió que un gerente extorsionaba a subcontratistas (práctica antiética). Tras ello, la empresa:
    • Reemplazó a ese gerente y a todo directivo que permitió las condiciones para eso. Creó un Comité de Ética que antes no existía para supervisar conductas.Introdujo un código de ética nuevo y obligó a todos los gerentes a firmar nuevamente su compromiso.Hizo talleres intensivos con todos los niveles sobre integridad, recordando las consecuencias (así aprendieron de la “lección”).Implementó auditorías a los contratos con subcontratistas para verificar que no haya irregularidades. Mantuvo comunicación con el cliente que los sancionó, reportándole los avances del plan de mejora; finalmente el cliente los reincorporó como proveedor al ver su cambio.
    En la auditoría actual, todo esto sale a relucir como positivo: hay minutas de Comité de Ética actuando, el nuevo código se ve alineado con best practices, los empleados mencionan que la cultura es más estricta ahora con la ética (“antes se toleraban cosas, ya no”). El auditor concluiría que la empresa aprendió y corrigió el rumbo. Esto cumple 10.C.H de forma ejemplar: la sanción sirvió para fortalecer la ética interna.
  • Empresa transparente sobre un problema menor y su corrección: No todos los casos son grandes escándalos. Ejemplo: la empresa tuvo una penalización administrativa por no reportar a tiempo una transacción sospechosa de dinero (un oversight, no intencional). Pagaron la multa y luego:
    • Revisaron su procedimiento de cumplimiento de antilavado, descubriendo falta de personal capacitado.Designaron a un oficial de cumplimiento antilavado y formaron al personal de tesorería en reportes a la autoridad. Implementaron una checklist para garantizar que cada trimestre se envían los reportes regulatorios a tiempo. Documentaron esta corrección e inclusive informaron voluntariamente a su banco que habían mejorado sus controles.
    En auditoría, si se comenta este incidente, se muestra la evidencia: memorando de nombramiento del oficial, plan de entrenamiento completado (listado de asistentes), nuevos procedimientos escritos. Dado que era un asunto de ética/regulación, aplicó acciones correctivas. El auditor ve diligencia incluso en un tema menor. Esto es cumplimento: no importa la escala del fallo, la empresa lo aborda seriamente.

Ejemplos de incumplimiento

  • Antecedentes de corrupción sin cambios aparentes: Digamos que en 2019 la empresa fue implicada en un caso de colusión en licitaciones públicas (varias empresas se pusieron de acuerdo para repartirse contratos; la empresa fue multada por defensa de la competencia). Sin embargo, internamente no hicieron mucho: quizás pagaron la multa y no más. La directiva es la misma, no implementaron ningún programa de compliance ni cambiaron políticas. En 2025, durante la auditoría SMETA, esta historia sale (sea porque el auditor la encontró en Google o en el SAQ lo mencionaron). Al preguntar “¿qué hicieron tras ese caso de colusión?”, la respuesta es vaga: “Bueno, ya no participamos en licitaciones públicas para evitar problemas” (lo cual no es correctivo, solo evasión). No hay evidencia de capacitación en ética de competencia, ni códigos reforzados, nada. Esto es un claro incumplimiento 958. La empresa no demuestra acción correctiva. El auditor lo reportará; probablemente en la CAP (plan de acción correctiva) se pedirá que implementen las medidas faltantes. Además, su reputación ante el cliente se daña: parece que no aprendieron la lección.
  • Reincidencia o patrón de problemas similares: Peor es si hay varios incidentes históricos sin correcciones. Por ejemplo, la empresa fue multada por contaminación ilegal (antiético vs medio ambiente) hace 4 años, y luego hace 1 año otra multa por un vertido – evidencia de no corregir procesos. Aunque esto es más pilar medio ambiente (10B), si era un caso de falsificar datos ambientales (ética), contaría. O en campo de corrupción: hace 5 años soborno pequeño, hace 2 años soborno otro – la empresa sigue en lo mismo. Si auditor ve reincidencias, sabrá que no hubo acciones efectivas. Probablemente puntúe mal 10.C.H. Por ejemplo: “La compañía tiene historial de infracciones repetidas en ética, lo que sugiere falta de medidas correctivas y cultura de cumplimiento”. Sería nota grave.
  • Acciones superficiales o cosméticas tras un escándalo: A veces la empresa hace algo pero muy por encima para quedar bien. Ejemplo: tras una multa por sobornos, anuncian un nuevo código ético pero no lo implementan de verdad. O cambian de nombre a la empresa (para borrar imagen) pero mantienen mismas prácticas. Un auditor perspicaz, vía entrevistas, notará: los empleados no vieron cambios reales, todo sigue igual excepto algunas palabras. Eso equivaldría a no correctivo. Si, por ejemplo, se vendió «hicimos capacitación» pero los empleados dicen “¿capacitaciones? no, nunca”, evidencia que solo se dijo pero no se ejecutó. También merecería un hallazgo 958 porque lo implementado no es efectivo ni apropiado (el requisito dice “appropriate and effective”). Poner curita sin limpiar herida no se considera “correctivo”.
  • Ocultamiento de problemas en vez de corregirlos: Lo contrario a la transparencia. Supongamos la empresa fue sancionada en otro país por un tema ético, y en vez de asumirlo, los directivos locales ni se enteraron o lo minimizan. Auditor lo descubre, pregunta, la gerencia lo niega o se hace la desentendida (y hay evidencia de contradicción). Eso ya es malo: falta de honestidad con auditor, más no corrección. Por ejemplo: en planta dicen “no, nunca hemos tenido incidentes”, pero auditor tiene recorte de periódico de hace 1 año de que un gerente fue arrestado por fraude. Este ocultamiento indica cultura de encubrimiento, no de mejora. Muy negativo. Saldrá en reporte y generará desconfianza general del cliente.

Errores comunes no intencionales

  • Pensar que pagar la multa cierra el asunto: Muchas empresas tras pagar una sanción creen «listo, asunto resuelto». No comprenden que la causa subyacente puede seguir latente. Es un error no usar esa experiencia para mejorar. A veces por orgullo (no querer admitir fallos internos) o por subestimar la importancia. Resultado: no hay corrección y el riesgo persiste.
  • No documentar las acciones correctivas realizadas: Puede que la empresa sí hizo cambios, pero informales. Ejemplo, tras un caso de soborno, despidieron involucrados y verbalmente dijeron “a partir de ahora, nada de sobornos”, pero no plasmaron en política ni guardaron registros de nada. Luego, en auditoría, no tienen «evidencias». Un error es no dejar rastro/documento del plan correctivo: cronogramas, memos de nuevas políticas, listas de capacitación post-incidente, etc. Lo que no está documentado es difícil de demostrar al auditor. Pudo haber mejora cultural intangible, pero sin prueba, podría considerarse incumplido. Mejor siempre formalizar el plan de acción tras un incidente y guardar evidencias de completado.
  • Acciones correctivas inadecuadas (no atacan causa raíz): Por ejemplo, tras un fraude contable se limitan a despedir al contador, sin revisar que quizá la cultura de ventas ejercía presiones que derivaron en fraude. O implementan controles pero no donde fue la falla. Falta análisis root cause: un error es enfocarse solo en la consecuencia visible (p.ej. castigar individuo) sin corregir el sistema (p.ej., segregación de funciones). Entonces es probable reincida con otro actor. Auditores con experiencia saben ver si la medida es superficial. O sea, si hay repetición en el historial, sabrán que la primera “corrección” fue inefectiva.
  • No involucrar a la organización en la lección aprendida: A veces la directiva gestiona la crisis pero no comunica al resto qué se aprendió. Por secreto o miedo. Entonces los empleados que no estuvieron directamente involucrados no saben del problema ni de la solución, perdiendo oportunidad de aprender. E incluso puede generar rumores nocivos («hubo algo raro y lo taparon»). Transparencia interna, hasta donde se pueda, es clave en acciones correctivas para ser efectivas (que todos sepan qué no debe volver a pasar y qué se hará distinto). No hacerlo es error: la “cultura” no se entera y no cambia.
  • Corregir solo después de auditorías externas, no proactivo: Algunas empresas esperan a que auditores/autoridades les digan que mal e impongan plan. Un error es no iniciar corrección voluntaria inmediatamente tras el incidente. Esa pasividad prolongada se ve mal. Y puede que lleguen a auditoría SMETA sin nada hecho porque «estábamos esperando consultor» o «no sabíamos qué hacer». Siempre es mejor al menos empezar medidas tangibles, aunque no perfectas, que quedarse de brazos cruzados hasta la auditoría.

Recomendaciones y buenas prácticas para asegurar el cumplimiento (10.C.H)

1. Reconocer y documentar cualquier incidente ético significativo del pasado: El primer paso es ser honesto con su propio historial. Haga una revisión de, digamos, últimos 5-10 años (o vida de la empresa) a ver si:

  • ¿Recibimos alguna multa relacionada con soborno, fraude, competencia desleal, fiscales, etc.?
  • ¿Fuimos parte de alguna investigación judicial/regulatoria? (Incluso si no culminó en multa, pero hubo acusaciones).
  • ¿Tuvimos escándalos internos (descubrimos algo aunque no trascendió a autoridades) – ejemplo, un gerente robó dinero, etc.?
  • ¿Hubo quejas graves de clientes o ONGs por temas éticos?

Haga una lista de esos incidentes históricos. Por pequeños que fueran, incluirlos. Esto le sirve para dos cosas: saber qué contar en auditoría (transparencia) y sobre todo asegurarse de que cada uno tuvo su seguimiento y lecciones aprendidas. Documente lo que se hizo tras cada evento:

  • Ejemplo, «2018: multa por soborno; implementamos política anticorrupción en 2019, etc.».
  • «2020: queja de nepotismo; en 2021 implementamos política de no nepotismo».
  • Si encuentra uno en que no se hizo nada en su momento (error), decida acciones retroactivas ahora. Más vale tarde: ejemplo, «2017 multa ambiental que nunca tratamos internamente; en 2023 contrataremos consultor y reforzaremos compliance ambiental». Y anótelo.
    Tenga un registro (informe interno) de «Historial de incidentes y acciones tomadas». Esto impresiona en auditoría: no solo por la transparencia, sino muestra que la empresa hace análisis de su historial. Obvio, no querrá tener muchos incidentes; pero si los tuvo, mejor mostrarse gestor de ellos que ocultador.

2. Por cada incidente identificado, aplicar metodología de acción correctiva: Use un enfoque tipo PHVA o 8D, etc., para cada caso:

  • Investigar causa raíz: Profundice más allá de «fue culpa de X persona». Pregunte 5 porqués: ¿Por qué sobornaron? (Porque tenían presión de cumplir con aduana sin retrasos) ¿Por qué presión? (mala planificación y cultura de urgencia a toda costa) ¿Por qué… etc.? O ejemplo, fraude contable: ¿por qué? (porque un empleado tenía acceso irrestricto y sin supervisión) ¿por qué? (porque faltaba segregación de funciones y auditoría interna ineficaz) etc. Documente esta causa raíz. Esto orienta qué corregir.
  • Plan de acción correctiva: En base a causas, defina acciones concretas, responsables, fechas. P.ej.,
    • Revisar políticas/procedimientos (¿necesitamos uno anticorrupción? ¿Actualizar manual contable? ¿Crear código de conducta?).
    • Mejorar controles (ejemplo, implementar revisión dual de transacciones, rotación en roles, sistema de aprobaciones).
    • Reforzar capacitación (ejemplo, todos los implicados + toda la empresa en integridad).
    • Cambios organizativos (¿necesario cambiar personal clave, reasignar responsabilidades, contratar compliance officer, etc.?).
    • Supervisión y seguimiento (ejemplo, auditorías extra en el área conflictiva los próximos 2 años).
    • Si corresponde, reparación: ¿hay que indemnizar a alguien afectado? (por ejemplo, comunidad) – eso también es acción correctiva (remedy harm).
  • Implementar las acciones: Ejecute el plan, asignando recursos. Documente cumplimiento: lista actualizada de controles implementados, registros de capacitaciones, evidencias de nuevas políticas aprobadas, actas de reuniones de comité sobre el tema, etc.
  • Verificar efectividad: Después de un tiempo, evalúe si las acciones funcionaron. Por ejemplo, tras implementar anticorrupción, ¿hubo incidentes nuevos? ¿La encuesta de cultura interna mejora? Monitoree indicadores (número de denuncias, auditorías sin hallazgos repetidos, etc.). Si algo no mejoró, refine. Por ejemplo, si aún detecta nepotismo pese a la política, quizás necesita reforzar enforcement. Este «Check-Act» cierra la corrección real.

Convierta todo esto en un informe de cierre de incidente. Es decir, tras X incidente, generamos un reporte de qué se hizo y resultados. Mantenga esos informes archivados. Así, si auditor pregunta, uno puede hasta compartirlo (o al menos resumirlo confiado). Demuestra profesionalidad: la empresa gestiona sus incumplimientos con seriedad.

3. Involucrar a la alta dirección y, si aplica, al directorio en las correcciones: Es vital que la cúpula directiva asuma responsabilidad tras un incidente. Que no lo vean como «error de alguien más, seguimos igual». Si no hay compromiso de arriba, los cambios suelen quedarse cortos. Por ejemplo:

  • Después de un incidente, el CEO debería hacer un comunicado interno reconociendo lo ocurrido, pidiendo disculpas si es el caso, y comprometiéndose a cambios (eso envía mensaje desde la alta dirección). Claro, cuidando cómo se dice para no implicar legalmente más, pero se puede expresar: «Aprenderemos de esto y seremos mejores».
  • La dirección debe asignar recursos (dinero para consultores, tiempo de empleados para entrenamientos, etc.).
  • Si la estructura de gobernanza lo permite, presentar el plan correctivo al Consejo de Administración u homólogo y obtener su respaldo (así hay accountability desde arriba).
  • Incluir las acciones en los objetivos estratégicos: por ejemplo, «implantación de programa compliance» como KPI de la empresa ese año.

Al mostrar a auditores que la alta gerencia lideró la respuesta (por ejemplo, Actas de comité de dirección discutiendo el caso, nombramiento formal de un compliance manager, etc.), se ve un compromiso genuino. Recuerde, SEDEX hace hincapié en «endorsement at highest level» en varios subrequisitos.

4. Refrescar continuamente la cultura para evitar recaídas: Después de un incidente, suele haber un impulso de mejora; pero con los años puede relajarse (memoria corta). Evite volver a viejos hábitos:

  • Institucionalice las mejoras: incorpórelas en procedimientos permanentes, no temporales. Ejemplo, si tras soborno se hizo training intensivo 2021, que la política sea entrenar cada año, no solo 2021.
  • Recordar el pasado como lección (sin culpar): En la cultura interna, se puede referir: «No queremos volver a tener caso X, por eso seguimos firmes en el cumplimiento». No para infundir miedo, sino consciencia.
  • Premie el desempeño ético: Si el incidente ocurrió por cultura de «resultados a toda costa», cambie la métrica. Ejemplo, ahora bonificamos no solo metas de ventas, sino cómo se logran (compliance). Esto alinea incentivos para no reincidir en sobornos para lograr ventas.
  • Traiga auditorías o evaluaciones externas: Tras un fiasco, invitar quizás a una certificadora (ISO 37001) o evaluaciones de terceros en años subsecuentes. Tener ojos externos ayuda a mantenerse en guardia.
  • Renovación peródica de personal clave: A veces mismo personal en mismos roles muchos años se acomoda y regresa a malas prácticas. Rotar gente en áreas sensibles (ejemplo, compras) disminuye riesgo de colusión repetida.

En fin, la idea es no bajar la guardia. Un refrán: «el que se quema con leche, ve la vaca y llora» – si se «quemó» la empresa, mantenga el respeto al fuego. Auditores verán bien ver la constancia del cambio en largo plazo.

5. Comunicar los resultados de las acciones correctivas a interesados externos (cuando pertinente): Si el incidente fue público (prensa, comunidad), es bueno informar lo que se hizo para mejorar:

  • Ejemplo, emitir un comunicado de prensa tras completar un plan: «Compañía X implementa nuevas medidas de gobernanza tras incidente Y.»
  • Notificar a clientes claves: a veces lo exigen. Ejemplo, un cliente importante puede preguntar «¿qué hicieron para asegurarse que no vuelva a pasar?» – tener un reporte listo para ellos mejora confianza.
  • Informar a los reguladores: Si la autoridad anticorrupción mantiene supervisión, demuestre que ha cumplido con las condiciones establecidas (por ejemplo, requisitos como un programa de cumplimiento monitoreado).
  • Incluso en reportes anuales de sostenibilidad, se puede incluir sección: «Tras el suceso X, la empresa ha implementado … y no ha vuelto a incurrir en tal práctica.»

La transparencia externa es delicada (por reputación). Pero transformando la narrativa de «teníamos este problema, lo abordamos seriamente y ahora somos mejores», se puede a veces convertir en algo de reputación responsable. Ejemplo, muchas empresas tras escándalos de corrupción encaran campañas de ética corporativa – no es greenwashing si realmente actuaron.

6. Prever contingencias: tener planes de respuesta para posibles futuros incidentes: Si ya pasó uno, suponer «no pasará otra vez diferente» es ingenuo. Diseñe un sistema de respuesta a incidentes éticos:

  • Asigne un equipo apropiado (tal vez el Comité de Ética) que, ante cualquier denuncia/proceso legal futuro, se active para gestionar (como un plan de crisis).
  • Simule mentalmente «qué haríamos si mañana nos multan por X». Hay plan? Ejemplo, plan de comunicación de crisis (quién dice qué a prensa, empleados, etc.), plan legal (contratar asesor inmediato), plan de investigación interna.
  • Esto le permite reaccionar rápido y eficaz a nuevos problemas, minimizando daños. Y los auditores valoran la resiliencia y preparación. Un proactivo compliance program asume la posibilidad de fallas y se prepara.

Con todo esto implementado, su empresa no solo evita un hallazgo 958, sino que exhibe madurez en gestión de riesgos éticos. Recuerde: nadie espera perfección cero incidentes, pero sí capacidad de reconocer errores y enmendarlos.

Más allá de la auditoría: hacia una empresa resiliente y comprometida con la mejora continua

  • Adoptar filosofía de mejora continua en ética (no solo en producción): Muchas empresas tienen Kaizen para calidad; aplique mentalidad similar a la ética. Siempre hay cómo mejorar la cultura. Después de resolver un incidente, siga buscando qué más se puede pulir (eso evite nueva crisis).
  • Compartir experiencias en la industria: A veces, empresas con incidentes aprendidos pueden liderar y ayudar a otras a evitar lo mismo. Por ejemplo, un consorcio de su sector para promover integridad. Participar en iniciativas (tipo Pactos de Integridad sectoriales). Esto no solo rehabilita la imagen sino eleva estándares globales.
  • Hacer de la ética un pilar de la estrategia a largo plazo: Post-incidente, algunas empresas deciden que la ética ya no será tema relegado a compliance, sino parte central de su identidad. Ejemplo, «Queremos ser la empresa más ética en nuestro rubro.» Lo plasman en visión, recursos sostenidos a compliance, métricas de cultura en balanced scorecard, etc. De esa aspiración sale reputación que reditúa en confianza de clientes y empleados.
  • Memoria institucional: Crear algún documento interno que compendie «lecciones aprendidas» de varios incidentes a lo largo de la historia (anónimo si quiere). Nuevos empleados pueden leer para conocer cultura (así «en 2015 pasó X, aprendimos Y»). No para un recuento negativo, sino didáctico. Pocas empresas hacen esto, pero podría ser valioso en formaciones internas.
  • Cultura de humildad y accountability: Fomentar que la empresa admita errores rápidamente en lugar de ocultarlos. Si un empleado se equivoca pero lo informa y busca ayuda para corregir, que sea felicitado (vs cultura de castigo que alienta encubrimiento). Extender esa filosofía a nivel corporativo: la empresa se responsabiliza de sus fallos y los corrige, no los niega. Esa humildad gana confianza de stakeholders a largo plazo.

En suma, 10.C.H es sobre cerrar el ciclo: cuando algo sale mal, se debe terminar bien (aprendido y corregido). Integrado con los sub-requisitos anteriores, se completa un sistema: la empresa se prepara para prevenir (A-G), tiene canales para detectar (F), y capacidad de reaccionar y mejorar (H). Este sub-requisito evita que un proveedor “problemático” se mantenga así en el tiempo. Como reza un dicho, “errar es humano, perseverar en el error es diabólico”. SMETA 10.C.H se asegura de que la empresa no persevere en el error, sino que aprenda de él y se vuelva éticamente más fuerte con cada prueba superada.

10.C.I – Licencias y Permisos de Terreno: Verificación de Títulos de Propiedad/Arrendamiento del Sitio Operativo

Explicación del requisito

El sub-requisito 10.C.I establece que la empresa debe “poder demostrar, cuando corresponda, que posee las licencias y permisos relativos a la propiedad y/o arrendamiento del terreno donde opera el sitio”. Esto apunta al aspecto ético/legal de la tenencia de la tierra o instalaciones. Implica que la empresa no debe estar operando en terrenos de forma irregular o ilegal, sino que tiene legítimo derecho (por título de propiedad o contrato de alquiler) para usar el lugar.

¿Por qué esto se considera ética empresarial? Porque usar tierra sin permiso es una forma de práctica ilícita o poco ética (pensemos: usurpación de tierras, operaciones en predios sin regularizar, ocupaciones informales, etc.). Hay varios contextos donde esto es relevante:

  • Empresas ubicadas en terrenos no regularizados: Ejemplo, fábricas construidas en zonas sin habilitación legal, a veces para evadir impuestos o porque obtuvieron la tierra de manera turbia.
  • Conflictos de tierra con comunidades: Ejemplo, plantaciones agrícolas en tierras disputadas o desalojadas indebidamente de comunidades locales. SMETA, orientada a responsabilidad social, vería mal si la empresa se benefició de despojos o no tiene su papelería en regla, ya que viola derechos de propiedad y posiblemente derechos humanos (tierras indígenas, etc.).
  • Licencias de uso de suelo y operación: Asegurar que la empresa tiene permisos municipales, licencias de fábrica, zonificación adecuada. Operar sin licencias es ilegal y antiético.
  • Arrendamiento formal: Si es alquilado, que haya contrato vigente y que no haya disputas con el dueño. A veces empresas ocupan espacios con contratos vencidos o arrendadores sin pago – es antiético no cumplir términos con arrendadores.

Este sub-requisito converge con legalidad fundamental. Probablemente su inclusión se debe a casos donde proveedores operaban en lugares clandestinos o informales (por ejemplo, talleres en barrios sin permisos, fábricas en suelo agrícola sin conversión, etc.). Para auditores, verificar 10.C.I es relativamente sencillo: pedirán ver documentos de propiedad o arrendamiento, y licencias de negocio. Code 33 y 34 confirman su foco:

  • 33 es «Local comercial informal y no registrado»
  • 34 es «Sitio operando sin licencias/permisos requeridos»

Así definieron los hallazgos. Este subrequisito es quizás más legalista, pero en Sedex aparece en Ética (pilar 4) porque va más allá de mero papeleo: su trasfondo es integridad y respeto a la normativa y comunidad.

Principales issue titles (hallazgos) en SMETA 7 para 10.C.I

Como anticipado, los hallazgos listados son:

  • Local no registrado/informal – “Business premises are informal and not registered (law enforcement or others would struggle to find the business)” (Código 33). Esto indica que la ubicación del negocio no está formalmente registrada ante autoridades (sin dirección legal, sin inscripción catastral, etc.), dificultando su localización oficial. Es un hallazgo grave, sugiere clandestinidad.
  • Falta de licencias/permisos válidos del sitio – “Site is operating without all required in-date licences and permits (e.g. business/factory license has expired)” (Código 34). Implica que la empresa no cuenta con alguna(s) licencia(s) obligatoria(s) para su operación en esa ubicación, o que se han vencido. Puede ser licencia de funcionamiento municipal, permiso ambiental (si lo consideran), pero el ejemplo dice «licencia comercial/fábrica vencida».

Ambos se clasifican para 10.C.I. El auditor buscará:

  • Documentos de propiedad (escritura, certificado registral) o arrendamiento (contrato vigente).
  • Licencia municipal de operación o similar (en muchos países se llama Patente Municipal, Licencia Comercial, etc.).
  • Otras licencias: a veces bomberos/cuerpo de bomberos da permiso de ocupación, Ministerio de Industria da registro de fábrica, etc. Lo que aplique localmente como «licencia para operar en ese lugar». Un CFO/gerente de planta suele tener estos papeles archivados.
  • Si el sitio es en un parque industrial, quizás la administración del parque tiene la prueba de sus permisos. Igual, el proveedor debe tener su parte.

Ejemplos de cumplimiento

  • Título de propiedad o contrato de alquiler válido y licencias al día: La empresa puede mostrar:
    • Su escritura pública que la acredita dueña del terreno y edificio donde opera, inscrita en el registro de la propiedad (con número de finca, etc.). Alternativamente, un contrato de arrendamiento vigente a nombre de la empresa, detallando la dirección, plazo actual, firmado por ambas partes, y preferiblemente registrado si la ley lo requiere.Una licencia comercial/industrial expedida por la municipalidad o autoridad competente, a nombre de la empresa, con la dirección exacta, vigente para el año en curso (generalmente se renueva anualmente pagando tasa).Un permiso de uso de suelo (si su país lo requiere) demostrando que la zona se permite industria/comercio. O un certificado de zonificación diciendo «este lote es de uso industrial y la planta es legal allí».Otras licencias pertinentes: por ejemplo, registro ante Bomberos de que el edificio cumple seguridad, licencia ambiental (si aplicable por tamaño), etc., todo en vigor sin expiración.
    Al auditor se le enseña una carpeta con copias de estos documentos. Fechas en orden, todo vigente, direcciones coinciden, nombres coinciden con la empresa (no licencias a nombre de una entidad distinta). Esto cumple muy bien con 10.C.I: se ve formalidad y respeto a trámites.
    Por ejemplo, «Fábrica ABC, S.A.» ubicada en 123 Zona Industrial, presenta:
    • Escritura #456, folio 123 del Registro, demostrando que ABC S.A. compró la parcela 789 de Zona Industrial en 2010. Patente Municipal #2025/321 extendida por Municipio de X, vigente hasta Dic 2025.Certificado del Registro de Comercio con esa dirección, actualizada. Permiso del Cuerpo de Bomberos #987 válido 2025. Auditor anota «Licencias y documentación de propiedad fueron revisados y están en orden» – Cumplimiento logrado.
  • Operar en parque industrial con documentos claros de ocupación legal: Supongamos la empresa no es dueña pero está en un parque industrial bajo arrendamiento del parque:
    • Se muestra el contrato de arrendamiento entre el parque (arrendador) y la empresa, con vigencia presente, inclusive con cláusula donde el arrendador garantiza que el parque cumple regulaciones. El parque provee a la empresa copia de su permiso global (a veces parques tienen licencias integrales; la empresa debe tener copia). La empresa presenta su registro ante la administración del parque (a manera de sub-licencia). Igualmente tiene su licencia municipal a su nombre (a veces a pesar de estar en parque, cada empresa saca su patente). Todo coincide.
    Esto demuestra que la empresa se ocupó de legalizar su presencia en el parque, no está «de colada». El auditor podría incluso verificar con la administración del parque, confirman que la Empresa X es arrendataria formal. Se evidencia cumplimiento.
  • Si están en territorio de comunidad, tener acuerdos formales: Un caso singular, la empresa opera en tierras ejidales o de comunidad con un acuerdo de usufructo. Cumplir 10.C.I implicaría mostrar ese acuerdo firmado con autoridades comunales y, de ser posible, avalado por ente gubernamental. Ejemplo, un contrato de usufructo por 30 años con la comunidad Y, aprobado por la asamblea local y notariado. Esto es «licencia social» formal. La auditoría vería que no están usurpando, hay consentimiento. Esto sumado a licencias estatales. Es un ejemplo de operar en contextos complejos pero con papeles claros.
  • Sede corporativa en orden: Para ser completos, no solo las plantas deben estar en regla. Si la auditoría incluye la oficina central (por ejemplo, porque es la sede del personal auditado) y esta opera sin un permiso de uso, sería un incumplimiento. Por ello, la empresa debe presentar el contrato de renta de la oficina y su licencia municipal correspondiente. Un cumplimiento total abarca todos los locales.

Ejemplos de incumplimiento

  • Operar en local sin ninguna documentación formal (local clandestino): Imaginemos un taller textil en un barrio residencial sin registro. El auditor llega y al pedir licencias, el dueño dice “No tenemos, estamos en trámite” (excusa típica). Ni patente municipal, ni siquiera puede probar que tiene permiso del dueño de casa. Puede que opere en un lugar rentado informal de palabra, sin contrato. Ese es un hallazgo 33 y 34 juntos: «premises informal/no registered; no licences». Como indica 33, si autoridades fueran a buscar, no encontrarían la empresa en ningún registro oficial. Esto es no conformidad grave, la empresa es «invisible» legalmente. El auditor la marca de inmediato, y es probable implicaciones serias (clientes quizás pausarán pedidos hasta regularicen). Por ejemplo, en Bangladesh, muchos talleres clandestinos ocultan su letrero y no tienen registro comercial; SMETA espera detectarlos así (y de hecho hay casos de proveedores ghost). Un hallazgo 33 suele ser un incumplimiento crítico.
  • Licencia municipal vencida y no renovada: Un escenario común, la empresa tiene patente municipal pero olvida renovarla hace 2 años (quizá por burocracia, negligencia contable). Al auditor se le muestra la licencia pero con fecha 2023 expirada. Eso es hallazgo 34: operando sin licencia al día. Quizá en la pared cuelga la vieja. El auditor la inspecciona, ve fecha de vencimiento diciembre de 2023, estamos febrero 2025, implica un hallazgo. O un permiso ambiental caducado. A veces los dueños dicen «ah, la municipalidad no ha pasado a cobrar, pero ya la pedimos» – excusa, pero para auditor es no conformidad hasta ver comprobante de pago y nueva emisión. Esto es un incumplimiento relativamente fácil de solventar (ir y pagar). Pero durante auditoría cuenta como hallazgo. Podrían dejarlo como de tipo menor si todo lo demás bien, pero igual necesita acción para solventarlo.
  • Disputa de propiedad sin resolver: Ejemplo, la empresa está en un terreno que antiguamente era ejido; compró a un supuesto representante pero hay disputas legales pendientes con comunidad. La empresa no tiene título claro (quizá solo documento privado no inscrito). El auditor pide escritura, la empresa muestra compraventa sin registro, o dice «está en juicio». Eso es problemático, en específico, la empresa no puede demostrar «poseer los permisos». Podría considerarse incumplimiento 33 (informal, no inscrito) o 34 (sin permisos). Este es caso real en agronegocios a veces. La auditoría notaría conflicto de tierras – incluso integridad, pues la empresa siguió adelante sin clarificar propiedad (no ética). Esto es no conformidad, y no fácil de corregir a corto plazo (porque implica litigios). Un cliente comprador vería un riesgo reputacional grande (posible desalojo forzoso, etc.). Podría reevaluar la relación.
  • Uso de instalaciones no permitidas para industria: Por ejemplo, si una fábrica opera en una zona residencial sin un permiso de uso de suelo para actividades industriales, podría estar incumpliendo regulaciones urbanas. El auditor podría descubrir que no se ha aprobado un cambio de uso, lo que invalidaría las licencias existentes. Esto constituye un hallazgo grave, clasificado como 34 (falta de permiso), ya que implica un incumplimiento legal significativo. Resolverlo puede requerir reubicar la fábrica o tramitar una rezonificación, ambos procesos complejos. En auditorías ESG, este problema podría escalarse si afecta a la comunidad local, como los vecinos. Desde un punto de vista ético, la empresa debe regularizar su situación o trasladarse, en lugar de ignorar la norma, ya que hacerlo reflejaría una falta de compromiso con la comunidad.
  • No se puede demostrar arrendamiento legal: Por ejemplo, una empresa subarrienda un galpón a un conocido sin un contrato formal. Cuando el auditor solicita el contrato de arrendamiento, la respuesta es: «Es de un conocido, todo es verbal». Sin documentación que lo respalde, esto constituye un hallazgo 33: «instalaciones informales». Este incumplimiento pone en duda la estabilidad de la operación (por ejemplo, el riesgo de desalojo repentino) y el cumplimiento legal (como posibles irregularidades fiscales relacionadas con el arrendamiento). La acción correctiva inmediata es formalizar un contrato de arrendamiento. Sin embargo, el auditor reportará esta falta como una no conformidad grave.

Errores comunes no intencionales

  • Descuidar la renovación de licencias por olvido: Sobre todo PYMEs ocupadas en producción a veces dejan caducar permisos por no llevar control de fechas. No con intención de evadir, pero es negligencia. Implantar un calendario de renovaciones con recordatorios evitaría este error.
  • Suposición de que arrendador se encarga de todo: Por ejemplo, la empresa arrendataria cree que el dueño del local sacó la patente municipal, pero legalmente la patente debe sacarla quien opera el negocio (no el dueño del inmueble). Así, operan sin patente al creer que el arrendador la tiene. Un error de comunicación. La empresa debe verificar quién debe tramitar cada permiso. Solución: hablar con arrendador, y si es suyo, pedir copia; si es propio, sacarlo.
  • Falta de actualización de direcciones oficiales: Si una empresa se muda, pero no actualiza su dirección en el registro fiscal o mercantil, los documentos oficiales reflejarán una ubicación antigua. Esto genera una discrepancia entre la ubicación real y la registrada, lo que un auditor podría clasificar como un hallazgo de «instalaciones informales» en la nueva sede. Aunque se trate de un error administrativo, es crucial mantener los registros actualizados con la nueva dirección para demostrar cumplimiento legal y evitar que la operación parezca no registrada.
  • Confiar en permisos generales sin verificar los individuales: Por ejemplo, un parque industrial puede afirmar que todos sus galpones cuentan con permisos generales, pero cada empresa podría necesitar tramitar su propia licencia específica. Si una empresa asume que el permiso del parque es suficiente y no obtiene su propia autorización, podría incurrir en una no conformidad. Es fundamental que la empresa consulte directamente con las autoridades locales, ya que la responsabilidad final recae en quien opera las instalaciones.
  • Licencias en trámite perpetuo: Algunas empresas afirman que sus licencias están «en trámite», pero pasan meses o años sin resolverlo. Declarar repetidamente «en trámite» en auditorías anuales constituye una no conformidad, ya que sugiere falta de compromiso para regularizar la situación. Es esencial contar con un cronograma claro y realista para obtener las licencias. De lo contrario, esta respuesta puede percibirse como una excusa para mantener un incumplimiento indefinido.
  • Acuerdos informales con autoridades en lugar de licencias: Algunas empresas operan sin permisos legales, confiando en arreglos informales, como sobornos a inspectores, para evitar sanciones. Esto es doblemente problemático: primero, es una práctica antiética; segundo, las auditorías como SMETA exigen documentación legal válida, no acuerdos ilícitos. Operar sin licencias constituye un incumplimiento grave (hallazgo 34), y el soborno agrava la situación al violar también el pilar 10.C.B (prevención de corrupción). La solución es tramitar las licencias de manera legal y transparente.

Recomendaciones y buenas prácticas para asegurar el cumplimiento (10.C.I)

1. Mantener un archivo organizado de documentos de propiedad, arrendamiento y licencias: Prepare una carpeta (física o digital) con los siguientes documentos, asegurándose de que estén actualizados y completos para cumplir con los requisitos de auditoría:

  • Escritura de la propiedad del sitio, acompañada de una certificación registral reciente (por ejemplo, un certificado del registro público de los últimos seis meses que confirme el propietario actual y la ausencia de gravámenes).
  • Contratos de arrendamiento vigentes, incluyendo cualquier adenda en caso de renovaciones.
  • Licencia municipal o patente anual, renovada cada año y archivada para demostrar un historial de cumplimiento.
  • Permisos sectoriales aplicables, como licencias de operación industrial, ambientales, sanitarias o de protección contra incendios, según los requisitos legales para operar las instalaciones.
  • Planos aprobados, si son requeridos por la normativa local (por ejemplo, permisos de construcción en ciertos países).
  • Comprobantes de registro ante entidades estatales, como el Ministerio de Industria o equivalente.
  • En caso de operar en un país extranjero, la sucursal local debe estar debidamente registrada y contar con su certificado de registro correspondiente.

2. Revisar periódicamente la vigencia y validez de licencias y permisos: Establezca un calendario corporativo con las fechas clave de renovación para garantizar el cumplimiento continuo:

  • Patente municipal: Generalmente anual, suele renovarse en enero. Asigne a un responsable, como el área contable o administrativa, la tarea de gestionar el pago y considerar opciones de renovación multianual si están disponibles.
  • Licencias de salud o ambientales: Algunas tienen vigencia de varios años. Registre las fechas de expiración en un sistema de calendario con alertas previas (por ejemplo, con varios meses de antelación) para tramitar prórrogas a tiempo.
  • Contrato de arrendamiento: Anote la fecha de renovación y configure recordatorios con seis meses de antelación para renegociar o extender el contrato. Archive cualquier adenda una vez formalizada.
  • Inspección de bomberos: Programe visitas anuales de inspección de manera proactiva, si corresponde.
  • Actualización de registros de propiedad: Si la empresa cambia de razón social (por ejemplo, por fusiones), asegúrese de actualizar los documentos de propiedad del terreno o instalaciones al nombre actual para que coincidan con el registro fiscal.

Cree una lista de verificación anual de todas las licencias y permisos, integrándola en el sistema de cumplimiento. Designe a un responsable (por ejemplo, el gerente de administración) para verificar anualmente que todos los documentos estén al día y reportar el estado a la gerencia. Esto garantiza que no se omitan renovaciones y demuestra compromiso con los estándares de auditoría.

3. Regularizar irregularidades antes de la auditoría: Para evitar no conformidades y garantizar el cumplimiento legal, realice una autoevaluación previa y corrija cualquier irregularidad detectada:

  • Falta de registro en el catastro: Inicie el trámite correspondiente para registrar la propiedad de inmediato.
  • Contrato de arrendamiento no registrado: Si la normativa local lo exige, formalice el registro del contrato ante la autoridad competente.
  • Ausencia de permiso de uso de suelo: Investigue los requisitos para obtenerlo (por ejemplo, estudios técnicos) y comience el proceso lo antes posible.
  • Ubicación en zona no autorizada: Planifique una reubicación a mediano plazo. Durante la auditoría, demuestre avances, como un plan para trasladar la planta a una zona que cumpla con la normativa de zonificación antes de una fecha específica.
  • Reclamos de comunidades sobre tierras: Inicie un diálogo con las comunidades afectadas para resolver conflictos. Si existen derechos legítimos, considere acuerdos compensatorios o reubicación.

La clave es evitar sorpresas durante la auditoría. Realice una revisión legal preliminar de las instalaciones al menos dos meses antes de la visita de Sedex, contratando, si es necesario, a un abogado local para evaluar la situación registral y de permisos. Este informe permitirá corregir cualquier incumplimiento a tiempo y demostrar compromiso con los estándares éticos de SMETA.

4. Garantizar la consistencia de la dirección y el estatus del sitio en todos los registros: Las inconsistencias en los registros pueden generar confusión durante una auditoría. Por ejemplo, si la licencia municipal indica «Lote 5, km 2 Carretera X», la escritura menciona «Finca 12345, polígono 4» y el registro mercantil señala «Km 2 Carretera X S/N», esto podría interpretarse como una operación informal. Para evitarlo, tome las siguientes medidas:

  • Concordancia de direcciones: Incluya en la documentación un documento que explique la equivalencia entre las direcciones (por ejemplo, «La Finca 12345 corresponde a la dirección municipal Lote 5, km 2 Carretera X»). Adjunte un plano o croquis para aclarar la ubicación.
  • SAQ de Sedex: En el cuestionario de autoevaluación de Sedex, indique la dirección oficial de uso común y, si difiere, añada la dirección registrada en el campo de direcciones múltiples.
  • Nombre de la empresa: Si la licencia está a nombre de una persona física (por ejemplo, en microempresas donde el dueño registra la patente a su nombre), cámbiela a nombre de la persona jurídica. Si no es posible, presente un documento que acredite la relación entre el nombre registrado y la empresa, aclarando que se trata de la misma entidad.

Estas acciones aseguran la coherencia de los registros, evitan malentendidos en la auditoría y demuestran cumplimiento con los estándares de SMETA, como el registro formal de las instalaciones.

5. Practicar la transparencia con clientes y auditores sobre la situación legal del sitio: Si la empresa está en proceso de regularizar algún aspecto legal, es fundamental no ocultarlo y explicarlo proactivamente al auditor, acompañando la información con evidencia concreta. Por ejemplo:

  • «Contamos con el contrato de arrendamiento vigente. La licencia municipal de 2025 está en proceso de renovación; presentamos la licencia de 2024 y el recibo de pago de 2025 con acuse de recibo, ya que la nueva se emitirá en una semana.»
  • «Estamos finalizando el registro de la ampliación de la planta. Aquí está la constancia de solicitud; mientras tanto, la licencia actual cubre la operación de las instalaciones originales.»

Los auditores valoran la transparencia proactiva y la presentación de documentación que demuestre avances. Esto es preferible a que descubran irregularidades por su cuenta, lo que podría interpretarse como una falta de compromiso. Mostrar franqueza fortalece la confianza y apoya el cumplimiento con los estándares éticos de SMETA.

6. Planificar con antelación la obtención de permisos para expansiones o nuevos proyectos: Es fundamental evitar iniciar operaciones en un nuevo sitio sin las licencias básicas, ya que tramitarlas bajo presión de tiempo puede generar incumplimientos. Para garantizar el cumplimiento ético y legal, obtenga al menos un permiso provisional si la presión de producción es alta. Esta planificación proactiva previene no conformidades en auditorías como SMETA. Por ejemplo:

  • Al adquirir un nuevo terreno, inicie de inmediato los trámites para la transferencia de título y la obtención de las licencias correspondientes, sin esperar a una auditoría.
  • Si abre un almacén adicional, registre su dirección en todos los sistemas oficiales y obtenga la licencia correspondiente si la normativa local lo exige.

Estas medidas aseguran que las operaciones sean legales desde el inicio y demuestran compromiso con los estándares éticos y legales

7. Obtener certificaciones que incluyan verificación legal: Participar en certificaciones reconocidas puede ayudar a garantizar el cumplimiento de requisitos legales. Por ejemplo, la certificación ISO 14001 incluye la verificación de permisos ambientales, lo que obliga a la empresa a regularizar sus licencias durante el proceso de preparación. De manera similar, programas o certificaciones locales, como distintivos de cumplimiento normativo, suelen requerir una revisión de la legalidad de las operaciones. Incorporarse a estos programas fomenta una gestión proactiva de los permisos y refuerza el cumplimiento de estándares éticos y legales, como los exigidos por SMETA, evitando no conformidades relacionadas con la falta de licencias

8. Fomentar la formalización en la comunidad y el sector: Además de garantizar su propio cumplimiento, una empresa formal puede promover la legalidad en su cadena de suministro y comunidad. Por ejemplo:

  • Exija a sus transportistas locales que presenten copias de sus licencias de operación válidas.
  • Apoye a talleres subcontratados para que obtengan su licencia municipal u otros permisos necesarios.
  • Participe en asociaciones empresariales para abogar por procesos de licenciamiento más simples, lo que facilita el cumplimiento general sin comprometer los estándares legales.

Estas acciones no solo elevan el estándar de cumplimiento en el sector, sino que también fortalecen la cadena de suministro, reduciendo el riesgo de no conformidades en auditorías como SMETA, especialmente en lo relacionado con proveedores y prácticas éticas.

En conclusión, el pilar 10.C.I de SMETA se resume en operar legalmente y cumplir con la normativa en el lugar donde se encuentra el sitio. Este requisito es fundamental, ya que la falta de legalidad en las instalaciones pone en duda otros aspectos del cumplimiento ético, como las políticas anticorrupción. Los auditores suelen revisar primero la documentación legal del sitio, y la ausencia de licencias puede generar dudas sobre el resto de la operación. Implementar esta guía demuestra la integridad de la empresa en este aspecto, evitando riesgos de clausura o no conformidades graves, como las relacionadas con instalaciones informales o falta de permisos. Una empresa ética comienza por respetar las leyes locales y los derechos de la comunidad donde opera.

Conclusiones y Recomendaciones Generales

Cumplir con el Requisito 10.C: Ética Empresarial de SMETA 7 no se trata simplemente de satisfacer una lista de control para la auditoría, sino de incorporar la ética en el tejido mismo de la empresa. A lo largo de este documento hemos abordado cada sub-requisito (10.C.A a 10.C.I) en detalle, cubriendo expectativas, ejemplos de cumplimiento e incumplimiento, errores comunes y mejores prácticas.

En conjunto, estos nueve sub-requisitos dibujan el perfil de una empresa íntegra, transparente y comprometida con la legalidad y los valores éticos en todos sus aspectos: desde conocer y seguir la ley (A), evaluar y prevenir riesgos de corrupción (B), cumplir obligaciones fiscales (C), contar con políticas anticorrupción robustas (D), capacitar a sus empleados para actuar con integridad (E), tener canales confiables para denunciar malas prácticas (F), proteger la privacidad y datos personales (G), aprender de sus errores y nunca repetirlos (H), hasta garantizar que opera de forma legal y legítima en su ubicación física (I).

Algunas recomendaciones transversales para consolidar un sistema de ética empresarial efectivo son:

  • El ejemplo empieza arriba: La alta dirección debe liderar con el ejemplo y apoyar activamente todas estas iniciativas. El tono ético establecido por gerentes y directores es fundamental para que la cultura cale. Involucrar a la dirección en aprobaciones de políticas, asistencia a capacitaciones clave, comunicaciones sobre integridad y en la respuesta a incidentes es crucial. Un equipo gerencial comprometido facilita el cumplimiento de todos los sub-requisitos.
  • Enfoque de sistema de gestión: Abordar la ética empresarial como un sistema interconectado. Ningún sub-requisito actúa en aislamiento: por ejemplo, las capacitaciones (E) refuerzan el cumplimiento de la política (D); el canal de denuncias (F) ayuda a detectar incumplimientos de la ley (A) o violaciones de política (D); las acciones correctivas (H) mejoran el sistema entero cuando algo falla. Por tanto, gestione estos elementos de forma integrada, con responsables claros (un encargado de compliance o un comité), con objetivos y métricas de seguimiento (KPIs de ética), y retroalimentación constante (auditorías internas, encuestas de cultura, etc.). Esto permite mejora continua en ética, tal como se hace en calidad o seguridad.
  • Comunicación y formación permanentes: La ética no se comunica una sola vez ni se entrena una vez; requiere refuerzo constante. Use múltiples canales de comunicación (boletines, charlas, carteleras) para mantener la ética visible. Celebre anualmente la Semana de la Ética o eventos similares que reafirmen los principios. Actualice los contenidos de capacitación con nuevos ejemplos y retos, para mantenerlos relevantes. Una fuerza laboral informada y consciente es la mejor defensa contra la corrupción.
  • Cultura de apertura y diálogo: Fomentar un ambiente donde hacer preguntas y expresar preocupaciones sea bienvenido. Los empleados deben sentir que pueden cuestionar órdenes dudosas, proponer mejoras a políticas, admitir errores sin represalias, y sobre todo reportar problemas sin miedo. Esta cultura de speak-up y respeto es el producto de muchas acciones: canal de denuncias eficaz (F), protección absoluta al denunciante, reconocimiento al comportamiento íntegro, líderes accesibles, etc. Cuando se logra, muchos problemas se solucionan a nivel incipiente y nunca escalan a incumplimientos mayores.
  • Colaboración con partes interesadas: La ética empresarial no termina en las puertas de la empresa. Involucre a sus proveedores, contratistas y comunidad en sus estándares éticos. Comuníqueles sus expectativas (por ejemplo, a través de un Código de Conducta para Proveedores) y bríndeles apoyo para cumplirlas (capacitaciones conjuntas, cláusulas claras en contratos, incluso ayuda técnica para formalización). Asimismo, dialogar con la comunidad local mejora la comprensión mutua y previene conflictos (relacionado con I). Ser un ciudadano corporativo responsable implica transparencia y buena fe con el entorno.
  • Apoyarse en estándares y recursos externos: Existen guías y normas internacionales de gran utilidad: la ISO 37001 (sistemas de gestión antisoborno) que cubre varios aspectos de 10.C, la ISO 37301 (sistemas de compliance), la guía de la OCDE-UNODC-BM sobre programas anticorrupción, las recomendaciones de la OIT en datos personales, entre otras. Adoptar o certificarse en estas normas eleva la credibilidad de su sistema ético. Asimismo, participar en iniciativas como el Pacto Global de la ONU (que en su Principio 10 exige luchar contra la corrupción) provee orientación y reconoce los esfuerzos ante socios comerciales.
  • Preparación para auditorías y mejora continua: Si bien el objetivo es más que aprobar la auditoría, es importante prepararse adecuadamente para la misma. Realice autoevaluaciones utilizando la SMETA Measurement Criteria para verificar su estado en cada punto. Subsanar con anticipación cualquier hallazgo potencial (por ejemplo, auditando sus propios controles, revisando que toda la documentación esté disponible y actualizada). Cuando reciba una auditoría externa, aproveche sus hallazgos como oportunidades de mejora, más que verlos punitivamente. Implementar las acciones correctivas sugeridas no solo evita no conformidades futuras, sino que realmente fortalece a la empresa. Mantenga registros de todo (políticas, capacitaciones, denuncias, licencias, etc.) organizados para poder demostrarlos fácilmente.

En último término, la cultura de ética empresarial debe transcender la auditoría: es un activo que protege a la empresa de riesgos legales y reputacionales, mejora el clima laboral (los empleados se sienten orgullosos de trabajar en una empresa íntegra), aumenta la confianza de clientes y socios, y contribuye al desarrollo sostenible de la sociedad. Una empresa con una cultura ética sólida estará mejor preparada para enfrentar desafíos y cambios, porque sus decisiones se basarán en principios firmes y no en atajos.

Por tanto, más allá de “evitar no conformidades” en SMETA, la invitación es a fortalecer la cultura de ética corporativa por convicción propia. Hacer lo correcto, incluso cuando nadie esté mirando, es la esencia de la integridad. Y como hemos visto, eso requiere sistemas, capacitación, liderazgo y perseverancia. No es fácil ni inmediato, pero los frutos son duraderos: reputación intachable, relaciones de confianza y sostenibilidad en el negocio.

Disclaimer

Este artículo es una interpretación personal y no tiene ninguna relación oficial con SEDEX ni con el esquema SMETA. Ha sido desarrollado de manera independiente con el propósito de orientar y formar a profesionales, empresas y lectores interesados en las auditorías éticas, basándome en mi análisis y experiencia. SEDEX es el propietario exclusivo de SMETA, y la información oficial, completa y veraz sobre SMETA 7 solo se encuentra en los documentos y recursos publicados directamente por SEDEX (www.sedex.com). Recomiendo encarecidamente consultar siempre las guías oficiales de SEDEX para garantizar el cumplimiento y la precisión en cualquier aplicación práctica. Al leer este artículo, el lector comprende que refleja únicamente mi perspectiva personal y no pretende, bajo ninguna circunstancia, representar, modificar o afectar la posición, directrices o reputación de SEDEX. Mi objetivo es contribuir al entendimiento general de los requisitos de SMETA de forma educativa y accesible.

¡Gracias por visitar mi blog y por tu interés en el cumplimiento ético!

¡Este contenido es para todos!
He creado este material con cariño para que cualquiera pueda consultarlo gratuitamente. Si te ha gustado o te ha sido útil, considera apoyar mi trabajo.

Dona un Café
Avatar de Desconocido

Publicado por DENIS TOLEDO

Máster en Sistemas Integrados de Gestión, ingeniero industrial y MBA con 22 años impulsando liderazgo y excelencia operativa. Padre comprometido. En este blog traduzco mi experiencia profesional y familiar en ideas prácticas sobre liderazgo, desarrollo personal, calidad, inocuidad, medio ambiente, ESG, gestión de riesgos y ciberseguridad, para ofrecerte una visión integral del éxito.

Publicado

Deja un comentario