Compliance Sin Fronteras: Estándares Globales para una Gestión Ética y Competitiva (Normas ISO 37301 y UNE 19601)
- Introducción al compliance penal
1.1 Qué es el compliance penal y por qué es importante
El compliance penal es el conjunto de procedimientos, políticas y controles adoptados por una organización para prevenir, detectar y gestionar los riesgos de comisión de delitos en su seno o por parte de sus miembros o colaboradores. Su objetivo es evitar que la actividad empresarial desemboque en una responsabilidad penal para la persona jurídica.
Desde la reforma del por la Ley 21.393, las empresas en Chile pueden ser penalmente responsables. Esto expone a las compañías a graves sanciones como multas, suspensión de actividades, clausura de locales, prohibición de contratar con el sector público o incluso su disolución.
Pero la ley permite a las empresas quedar exentas de responsabilidad penal si, antes de cometerse el delito, contaban con un modelo de organización y gestión (programa de compliance) que resulte idóneo para prevenir delitos o reducir significativamente el riesgo de su comisión. Por eso, implementar un sistema eficaz de compliance penal es crucial para mitigar los riesgos legales y reputacionales asociados a incumplimientos o conductas ilícitas.
Además de este “valor defensivo” ante posibles procesos penales, un buen programa de compliance aporta importantes beneficios en términos de mejora del gobierno corporativo, reputación, competitividad y sostenibilidad del negocio a medio y largo plazo.
1.2 Fuentes normativas del compliance penal
El marco normativo del compliance penal en Chile está integrado fundamentalmente por:
- a) Las Leyes 21.393 y 21.595. El art. 4 de la primera Ley regula los requisitos que deben cumplir los modelos de organización y gestión para prevenir delitos. Básicamente:
- Identificación de las actividades o procesos de la persona jurídica que impliquen riesgo de conducta delictiva.
- Establecimiento de protocolos y procedimientos para prevenir y detectar conductas delictivas en el contexto de las actividades o procesos, los que deben considerar necesariamente canales seguros de denuncia y sanciones internas para el caso de incumplimiento.
- Asignación de uno o más sujetos responsables de la aplicación de dichos protocolos, con la adecuada independencia, dotados de facultades efectivas de dirección y supervisión y acceso directo a la administración de la persona jurídica.
- Previsión de evaluaciones periódicas por terceros independientes y mecanismos de perfeccionamiento o actualización a partir de tales evaluaciones.
Cumplir estos requisitos permite a la empresa quedar exenta de responsabilidad penal, siempre que, con anterioridad al delito, la persona jurídica haya adoptado e implementado “efectivamente” un modelo “idóneo” de gestión de compliance.
- b) Norma UNE 19601 “Sistemas de gestión de compliance penal”: Es el estándar iberoamericano que especifica los requisitos para implantar, mantener y mejorar continuamente un sistema de gestión de compliance penal conforme a las exigencias del Código Penal español. Sigue la estructura de alto nivel de las normas ISO de sistemas de gestión. No es certificable.
- c) Norma ISO 37301 “Sistemas de gestión de compliance”: Es el estándar internacional que proporciona directrices para establecer, desarrollar, implementar, evaluar, mantener y mejorar un sistema eficaz de gestión de compliance. Aborda el compliance en general, no solo penal. Es certificable.
- d) Otras referencias muy relevantes son las normas ISO 37001 (gestión antisoborno) y 31000 (gestión de riesgos).
1.3 Beneficios de un sistema de gestión de compliance penal
Un sistema robusto de gestión de compliance penal reporta sustanciales beneficios para la organización:
- a) Prevenir la comisión de delitos en el seno de la empresa por parte de administradores, directivos o empleados, evitando la responsabilidad penal de la persona jurídica y las graves sanciones asociadas (multas, prohibición de actividades, intervención judicial, disolución, etc.).
- b) En caso de ser investigada o procesada, permitir a la empresa acreditar que contaba con un modelo eficaz de prevención y control, eximiéndose así de responsabilidad penal o, como mínimo, atenuando las posibles sanciones a imponer.
- c) Reducir otros riesgos legales como sanciones administrativas, reclamaciones de terceros, pérdida de licencias o autorizaciones, exclusión de licitaciones públicas, etc.
- d) Proteger la reputación, la marca y la imagen pública de la organización, evitando el daño derivado de incumplimientos legales o conductas ilícitas de sus miembros.
- e) Transmitir a clientes, inversores, socios y stakeholders en general un mensaje de compromiso con el cumplimiento de la ley y la ética empresarial, generando mayor confianza en la organización.
- f) Promover una cultura corporativa de integridad, responsabilidad y cumplimiento, con valores y pautas de conducta compartidos a todos los niveles.
- g) Atraer y retener talento: los profesionales cada vez valoran más trabajar en organizaciones éticas y socialmente responsables.
- h) Acceder a financiación y captar inversores: los criterios ASG (Ambientales, Sociales y de Gobierno) son ya claves en las decisiones de inversión y financiación. El buen gobierno y el compliance son factores críticos.
- i) Mejorar los procesos de gobierno, control y gestión de riesgos en general, al integrar controles de compliance en las operaciones y toma de decisiones.
- j) Obtener inteligencia útil derivada del canal de denuncias, las investigaciones o las auditorías que permita detectar conductas ilícitas o irregulares en una fase temprana y reaccionar con rapidez.
- k) Prevenir otras conductas no penales pero éticamente reprochables como el fraude interno, los conflictos de interés, el acoso laboral, las malas prácticas comerciales, etc. que pueden dañar económica y reputacionalmente a la empresa.
En definitiva, más allá de una exigencia legal, un sistema de compliance penal es una potente herramienta de gestión que aporta importate valor añadido y ventajas competitivas a la organización.
- Elementos clave de un sistema de gestión de compliance penal
Un sistema robusto de gestión de compliance penal debe integrar los siguientes elementos clave:
2.1 Liderazgo y compromiso de la alta dirección
El buen funcionamiento de un sistema de compliance requiere del compromiso firme, visible y sostenido en el tiempo del máximo órgano de gobierno (Consejo de Administración) y la alta dirección con la cultura de cumplimiento.
Ese “tone from the top” se manifiesta en aspectos como:
– Aprobar y respaldar expresamente la política de compliance penal.
– Dotar al sistema de compliance de recursos financieros, humanos y materiales suficientes.
– Establecer un órgano de compliance con poderes autónomos de iniciativa y control.
– Evaluar periódicamente la eficacia del sistema y asegurar que se corrigen las deficiencias.
– Aprobar un régimen disciplinario transparente y equitativo ante incumplimientos.
– Comunicar clara y recurrentemente la importancia del compliance, predicando con el ejemplo.
El órgano de gobierno debe también promover activamente una cultura ética en la organización, aprobar un código de conducta alineado con los valores corporativos, fomentar el planteamiento de inquietudes y la protección del denunciante, incentivar económicamente el buen desempeño en compliance, etc.
Pese a delegar la gestión en la dirección y el órgano de compliance, en última instancia es el órgano de gobierno el máximo garante y responsable del buen funcionamiento del sistema.
2.2 Evaluación de riesgos penales
La piedra angular de un sistema de compliance penal es la evaluación de los riesgos de comisión de delitos a los que está expuesta la organización. No se pueden prevenir los riesgos que previamente no hayan sido identificados, por lo que este es el punto de partida necesario.
La evaluación de riesgos penales implica:
- a) Identificar las actividades de la empresa en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos. Se trata de localizar los “puntos de riesgo” en la organización. Para ello, debe partirse del catálogo de delitos aplicables a la persona jurídica y valorar en qué procesos, funciones o niveles de la empresa sería factible su comisión. Por ejemplo, los delitos fiscales o el blanqueo podrían producirse en el área de Finanzas, los delitos contra los consumidores en el departamento Comercial, los delitos contra los trabajadores en Recursos Humanos o los delitos medioambientales en el área de Producción. Algunas señales de riesgo serían transacciones inusuales, ausencia de controles, conflictos de interés o indicios de connivencia con terceros.
- b) Analizar los riesgos penales identificados. Debe estudiarse la probabilidad de ocurrencia de cada tipo delictivo y la gravedad de su posible impacto atendiendo a las circunstancias de la empresa: su tamaño, sector, ubicaciones, modelo de negocio, histórico de incidentes, etc. Algunos factores a considerar son los beneficios potenciales del delito, la facilidad de comisión, la idoneidad de los controles, las posibles sanciones y el daño reputacional.
- c) Evaluar los riesgos penales, priorizándolos en función de su probabilidad e impacto. Debe establecerse el nivel de riesgo inherente de cada ilícito (bajo, medio, alto) y revisar la idoneidad de los controles existentes para prevenirlo y detectarlo. Esto permite cuantificar el riesgo residual y valorar si se sitúa por encima o por debajo del “apetito de riesgo” aceptado por la empresa. Los riesgos deben reevaluarse periódicamente, en especial si hay cambios significativos en la organización, el entorno o ante incumplimientos graves.
- d) Tratar los riesgos más relevantes, adoptando controles para evitar que se materialicen. Según el nivel de riesgo se puede optar por:
– Evitar: Cesar actividades de riesgo muy elevado (p.ej. salir de un país).
– Mitigar: Implantar controles preventivos eficaces (p.ej. segregación de funciones).
– Transferir: Trasladar el riesgo a un tercero (p.ej. cláusulas con socios).
– Aceptar: Asumir el riesgo residual cuando sea bajo y esté controlado.
- e) Registrar y comunicar los resultados de la evaluación de riesgos. El mapa de riesgos penales resultante debe documentarse y comunicarse a las funciones pertinentes de la organización. Esto permite “aterrizar” e integrar el sistema de compliance en las áreas y procesos de mayor exposición.
En definitiva, una evaluación integral de riesgos es el cimiento para construir el resto de elementos del sistema: código ético, políticas, procedimientos, controles, formación, canal de denuncias, auditoría, etc. La evaluación de riesgos dota de contenido material al compliance penal, permitiendo un modelo ajustado al perfil de riesgo de cada organización.
2.3 Política y objetivos de compliance penal
La política de compliance penal es una declaración pública y por escrito del máximo compromiso de la organización con el cumplimiento de la legalidad penal y la prevención de delitos. Debe ser aprobada por el órgano de gobierno a propuesta del órgano de compliance.
La política debe recoger al menos los siguientes contenidos:
- a) Exigencia general del cumplimiento de la legislación penal aplicable a la empresa.
- b) Tolerancia cero de la organización ante la comisión de cualquier hecho delictivo.
- c) Identificación clara de las actividades de riesgo a prevenir especialmente (según el mapa de riesgos penales).
- d) Compromiso de dotar al sistema de compliance de los recursos adecuados para su eficaz funcionamiento.
- e) Deber de consultar al compliance officer ante dudas sobre la legalidad de una actuación.
- f) Obligación taxativa de informar (whistleblowing) de conductas potencialmente delictivas a través del canal de denuncias.
- g) Garantía de indemnidad y confidencialidad de los denunciantes de buena fe. Prohibición expresa de represalias.
- h) Consecuencias disciplinarias de incumplir la política o el sistema de compliance.
- i) Aplicación a todos los miembros de la empresa, con independencia de su cargo o función.
La política debe ser accesible para todos los empleados y difundirse a socios de negocio relevantes.
Para materializar la política, el órgano de gobierno debe establecer objetivos de compliance penal evaluables y medibles, al menos anualmente.
Algunos ejemplos de objetivos de compliance penal típicos:
– Impartir formación en compliance a un % mínimo de la plantilla al año.
– Obtener una puntuación mínima en las encuestas de cultura ética.
– Resolver un % de las denuncias recibidas en un plazo máximo.
– Revisar anualmente los controles en las áreas de alto riesgo.
– Auditar el sistema de compliance penal cada x años.
Los objetivos deben documentarse, ser realistas pero ambiciosos y asignar plazos y responsables de su consecución.
2.4 Roles y responsabilidades en compliance. El órgano de compliance
La implantación eficaz del sistema de compliance requiere definir claramente los roles y responsabilidades en la materia a tres niveles:
- a) Órgano de gobierno: Aprueba la política de compliance, supervisa la eficacia del sistema, nombra al compliance officer y revisa anualmente el sistema. Es el responsable último del compliance.
- b) Órgano de compliance penal: Supervisa el funcionamiento y cumplimiento del sistema de compliance con poderes autónomos de iniciativa y control. Sus funciones básicas son:
– Identificar y evaluar anualmente los riesgos penales de la empresa.
– Proponer la política y objetivos de compliance al órgano de gobierno.
– Proponer cambios en el sistema de compliance.
– Promover una cultura de cumplimiento y diseñar la formación.
– Asesorar ante dudas sobre conductas de riesgo penal.
– Gestionar el canal de denuncias y coordinar su investigación.
– Proponer medidas disciplinarias por incumplimientos.
– Elaborar el plan anual de compliance (presupuesto, recursos, etc.).
– Reportar al órgano de gobierno sobre el funcionamiento del sistema.
– Proporcionar información o documentación requerida judicialmente.
– Representar a la empresa ante autoridades en cuestiones de compliance penal.
El órgano de compliance es clave para liderar, impulsar y hacer cumplir el sistema. Puede ser unipersonal (compliance officer) o colegiado (comité de compliance). Debe gozar de iniciativa propia, suficientes recursos, acceso directo al órgano de gobierno y máxima independencia y autoridad. La función de compliance debe estar separada de la gestión operativa del negocio, ser desempeñada por profesionales con conocimiento jurídico y visión estratégica, actuar bajo criterios objetivos y no verse sujeta a influencias, presiones o conflictos de interés.
- c) Alta dirección y mandos intermedios: Son responsables de implementar el sistema de compliance en sus respectivos departamentos y procesos. Deben aplicar las políticas y procedimientos aprobados, atender los requerimientos del compliance officer y reportarle cualquier indicio o sospecha de incumplimiento legal.
Cada miembro de la organización, con independencia de su nivel jerárquico, es responsable de cumplir la ley, la política de compliance y el resto de normas internas, comunicando cualquier infracción que detecte. Los deberes de compliance deben integrarse en las descripciones de puesto y objetivos anuales de desempeño del personal y formar parte de la cultura corporativa.
2.5 Operación y control. Controles financieros y no financieros
El sistema de gestión de compliance debe integrarse en las operaciones y toma de decisiones de la empresa mediante la implantación de controles efectivos, basados en los riesgos y orientados a prevenir y detectar la comisión de delitos.
Los controles de compliance pueden ser:
- a) Financieros: Pretenden evitar que los recursos económicos de la organización se utilicen para la comisión de delitos. Ejemplos:
– Segregación de funciones entre autorización, ejecución, registro y control.
– Doble firma para pagos y aprobación de inversiones según matriz de poderes.
– Conciliaciones bancarias.
– Controles de acceso a cuentas bancarias y fondos.
– Auditorías financieras periódicas.
– Revisión de gastos de representación, comisiones, donaciones, etc.
– Sistemas de gestión del riesgo de fraude, blanqueo de capitales, etc.
- b) No financieros: Buscan reducir los riesgos penales en los procesos y actividades operativas de las distintas áreas. Ejemplos:
– Evaluación de integridad y conocimiento (KYC) de clientes, proveedores y socios.
– Cláusulas anticorrupción en contratos mercantiles.
– Canal de comunicación de riesgos laborales y plan de prevención.
– Manuales de buenas prácticas y protocolos de actuación.
– Sistemas de gestión certificados (calidad, medio ambiente, seguridad, etc.).
– Controles de acceso físico a áreas sensibles.
– Procedimientos de protección de datos y seguridad informática.
Los controles deben diseñarse en todas las etapas del ciclo de actividad de la empresa para disminuir el riesgo de comisión de delitos. Algunos ejemplos:
Ciclo comercial:
– Evaluación de riesgos penales de nuevos mercados, productos o socios.
– Análisis KYC de prospects.
– Controles sobre material publicitario y etiquetado.
– Formación en competencia, anticorrupción y protección de datos.
Ciclo de compras:
– Selección de proveedores conforme a criterios objetivos y éticos.
– Due diligence de integridad de proveedores de alto riesgo.
– Contratos con cláusulas de cumplimiento legal.
– Transparencia y control de regalos y atenciones.
Ciclo financiero:
– Segregación de conciliación, cobros y pagos.
– Revisión de transacciones inusuales (paraísos fiscales, sin soporte, etc.).
– Límites a pagos en efectivo.
– Control de donaciones y contribuciones políticas.
Ciclo de recursos humanos:
– Selección meritocrática de personal. Verificación de antecedentes penales.
– Formación en compliance y código ético. Evaluación del desempeño ético.
– Control de conflictos de interés.
– Confidencialidad y protección al denunciante de infracciones.
Ciclo de sistemas:
– Control de accesos y usuarios.
– Monitorización de usos indebidos de recursos informáticos.
– Continuidad de negocio y seguridad de la información.
– Protección de secretos industriales y datos personales.
Cada empresa debe diseñar los controles preventivos y detectivos adaptados a su actividad, organización y perfil de riesgo. Los controles deben documentarse, difundirse e integrarse en los procesos operativos. Deben ser objeto de seguimiento y revisión continua por parte del órgano de compliance para asegurar su diseño adecuado y eficacia operativa en la reducción del riesgo penal.
2.6 Comunicación, formación y sensibilización
Difundir una cultura de integridad y cumplimiento es esencial para que el sistema de compliance penal funcione eficazmente. Esto requiere una estrategia de comunicación, formación y sensibilización coherente y sostenida en el tiempo.
Algunas acciones clave en este ámbito:
- a) Comunicación:
– Dar a conocer la política de compliance penal a empleados y socios de negocio.
– Elaborar un código ético con los valores y pautas de actuación “no negociables”.
– Publicar en web el compromiso de tolerancia cero frente al delito.
– Establecer un lema o eslogan interno de compliance (p.ej. “Doing the right thing”).
– Enviar newsletters o email recordatorios sobre aspectos clave de compliance.
– Colocar posters, paneles o screensavers sobre incumplimientos de alto riesgo.
– Mencionar el compliance en eventos corporativos y planes estratégicos.
– Publicar una memoria anual de compliance con indicadores clave.
- b) Formación:
– Realizar un training inicial y recordatorio anual online sobre cumplimiento y ética.
– Impartir formación específica a colectivos con mayor exposición a riesgos penales.
– Simular casos prácticos y dilemas éticos que se puedan plantear.
– Evaluar la comprensión y aplicación de las pautas de compliance.
– Capacitar a la dirección para liderar con el ejemplo la cultura de cumplimiento.
– Proporcionar guías rápidas sobre “qué hacer y no hacer” por tipo de delito.
– Participar en foros sectoriales para intercambiar buenas prácticas.
- c) Sensibilización:
– Realizar encuestas para medir la percepción de los empleados sobre el clima ético.
– Promover la reflexión sobre dilemas éticos con un “Compliance Day”.
– Escenificar role-plays de situaciones de riesgo y cómo actuar.
– Publicar las sanciones disciplinarias aplicadas por incumplimientos (anonimizadas).
– Reconocer públicamente los comportamientos ejemplares en compliance.
– Requerir una declaración anual de adhesión a la política de compliance.
– Obtener feedback de los empleados sobre el sistema de compliance.
2.7 Diligencia debida en la selección de personal y socios de negocio
Para prevenir riesgos penales, las empresas deben seleccionar y monitorizar diligentemente tanto al personal interno como a sus socios de negocio externos. En función del nivel de riesgo, se aplicarán procesos de evaluación y control más o menos exhaustivos.
- a) Diligencia debida con candidatos a empleados. Acciones a realizar:
– Entrevistar sobre su comprensión y aceptación del código de conducta.
– Verificar su identidad, cualificaciones y experiencia.
– Pedir referencias profesionales a anteriores empleadores.
– Preguntar sobre antecedentes penales (en puestos clave).
– Evaluar su posible conflicto de interés por parentesco o vínculos con terceros.
– Monitorizar periódicamente el cumplimiento del código ético.
– Incluir la adhesión a la política de compliance en su contrato laboral.
- b) Diligencia debida con socios de negocio. Dependiendo del riesgo del tercero, se aplicarán medidas más exhaustivas:
– Comprobar su identidad y estructura societaria/titularidad real.
– Evaluar su reputación, litigiosidad y posibles sanciones previas.
– Analizar la razonabilidad económica de la relación.
– Solicitar certificados negativos de antecedentes penales de sus gestores.
– Entrevistar a sus directivos sobre su compromiso de cumplimiento legal.
– Revisar sus políticas y modelo de compliance penal (si existe).
– Incluir en los contratos obligaciones y garantías de cumplimiento normativo.
– Obtener periódicamente confirmación escrita de ausencia de incumplimientos.
– Auditar el desempeño en compliance del socio durante la relación.
– Resolver la relación en caso de sospechas fundadas de actividad ilícita.
2.8 Canal de denuncias e investigaciones internas
Uno de los elementos clave de un programa de compliance penal es un canal confidencial para que tanto empleados como terceros puedan comunicar de buena fe posibles delitos o incumplimientos de los que tengan conocimiento. El canal debe cumplir algunos requisitos:
– Garantizar la confidencialidad del denunciante y permitir las denuncias anónimas.
– Prohibir y sancionar las represalias de cualquier tipo contra denunciantes.
– Estar accesible y ser ampliamente difundido a través de diversos medios.
– Que su gestión se atribuya a una función independiente (órgano de compliance).
– Mantener un registro de todas las denuncias y comunicaciones recibidas.
– Acusar recibo de la recepción de la denuncia al comunicante.
– Aplicar filtros para descartar denuncias manifiestamente infundadas o no procedentes.
– Priorizar la investigación de las denuncias por nivel de riesgo y credibilidad.
– Asignar la investigación a un equipo profesional e independiente (interno o externo).
– Establecer protocolos para preservar la cadena de custodia de las evidencias.
– Presumir la inocencia del denunciado y darle audiencia antes de concluir la investigación.
– Emitir un informe con conclusiones y recomendaciones (sanción y/o acciones correctivas).
– Comunicar el resultado al denunciante, explicando los motivos si se archiva la denuncia.
– Mantener un registro de acciones ejecutadas sobre cada denuncia.
– Facilitar información o comparecer ante las autoridades si lo requieren.
Las denuncias fundamentadas y las conclusiones de las investigaciones no sólo permiten corregir conductas indebidas detectadas, sino que son una valiosa “materia prima” para alimentar la mejora continua del sistema de compliance: identificar nuevos riesgos, brechas de control, necesidades de formación, etc.
2.9 Auditoría, seguimiento y revisión
Un sistema de compliance penal debe someterse a una supervisión continua por parte del órgano de compliance y a revisiones y auditorías periódicas para verificar su adecuado diseño y eficacia.
El plan anual de compliance debe prever al menos:
- a) Auditoría interna del sistema de gestión de compliance penal:
– Comprobar la actualización del mapa de riesgos penales.
– Evaluar la idoneidad y eficiencia del tono ético de la alta dirección.
– Revisar el funcionamiento efectivo del órgano de compliance y su estatuto.
– Verificar la formalización de la política de compliance y su conocimiento interno.
– Examinar una muestra de controles financieros/no financieros en áreas de riesgo.
– Analizar el alcance y eficacia del plan de formación y comunicación.
– Validar la investigación diligente de una muestra de denuncias recibidas.
– Revisar la aplicación consistente del régimen disciplinario.
– Identificar brechas respecto a los requisitos de las normas UNE e ISO de compliance.
– Emitir un informe con recomendaciones de mejora priorizadas por relevancia.
- b) Seguimiento continuo por el órgano de compliance:
– Actualización del análisis de riesgos penales ante cambios legislativos o corporativos.
– Obtención de indicadores cuantitativos y cualitativos del sistema (KPIs y KRIs).
– Seguimiento de la ejecución del plan anual de compliance (formación, revisiones, etc.).
– Coordinación permanente con departamentos clave (Legal, Auditoría, PRL, Calidad, etc.).
– Monitorización continua del canal de denuncias y análisis de tendencias.
– Velar por la coordinación y coherencia de los controles en los distintos procesos.
– Reporte periódico a la alta dirección y órgano de gobierno del funcionamiento del sistema.
- c) Revisión por la alta dirección:
– Verificar el cumplimiento del plan y objetivos anuales de compliance.
– Evaluar la evolución de los indicadores clave de desempeño (KPIs) de compliance.
– Revisar los cambios en los riesgos penales derivados del entorno o la propia actividad.
– Analizar los resultados de las auditorías internas o externas realizadas.
– Aprobar los recursos necesarios para mantener la operatividad del sistema.
– Valorar las recomendaciones de mejora propuestas por el órgano de compliance.
– Analizar la eficacia de las campañas de formación y sensibilización.
– Aprobar las medidas disciplinarias y organizativas derivadas de las investigaciones.
- d) Certificación externa (voluntaria):
– Someter el sistema de compliance penal a una auditoría por un tercero independiente.
– Obtener una certificación de conformidad con las normas ISO o UNE aplicables.
– Comunicar internamente la obtención o renovación de la certificación.
– Publicar en web el certificado para reforzar el compromiso externo con el compliance.
La certificación externa aporta la confianza de una evaluación objetiva por un experto, asegura la alineación a estándares reconocidos y refuerza la imagen de la empresa ante terceros.
La alta dirección debe revisar al menos anualmente la eficacia global del sistema de compliance penal. Y el órgano de gobierno debe supervisar en última instancia, examinando al menos:
– El compromiso de la dirección y la difusión de una cultura ética.
– La valoración de los riesgos penales más relevantes para la organización.
– La eficacia de los controles internos para mitigarlos.
– Los resultados de las revisiones del órgano de compliance y de las auditorías.
– La evolución de métricas clave de compliance (ej. denuncias, incumplimientos, etc).
– La gestión adecuada de casos de conductas irregulares detectadas.
– La idoneidad de estructura y medios del órgano de compliance.
– La consistencia en la aplicación del régimen disciplinario interno.
– Los planes de acción para corregir deficiencias de control identificadas.
- Implantación de un sistema de gestión de compliance penal
Para implantar con éxito un sistema de gestión de compliance penal, siguiendo las mejores prácticas y estándares internacionales, se recomiendan las siguientes fases:
3.1 Diagnóstico inicial de exposición a riesgos penales
– Análisis del contexto legal/penal aplicable en países de actividad.
– Identificación de áreas, procesos, transacciones y socios de mayor riesgo.
– Evaluación de madurez de elementos de compliance penal (política, controles, etc.).
– Identificación de brechas respecto a requisitos normativos (CP, ISO, UNE).
– Evaluación global del nivel de exposición a riesgos penales.
3.2 Diseño a medida del modelo de compliance penal
– Definición de política de compliance penal.
– Nombramiento del compliance officer y regulación de su estatuto.
– Establecimiento de procesos de evaluación y gestión de riesgos penales.
– Diseño de controles financieros y no financieros en áreas clave.
– Definición de plan de formación y comunicación en compliance.
– Desarrollo del código ético y normas internas de conducta.
– Redacción de cláusulas contractuales sobre cumplimiento normativo.
– Diseño del proceso de investigación interna de denuncias e incumplimientos.
– Redacción del manual del sistema de gestión de compliance penal.
– Aprobación por el órgano de gobierno de los elementos anteriores.
3.3 Implementación efectiva en la operativa diaria
– Ejecución del plan de formación y comunicación a todos los niveles.
– Integración de controles de compliance en procedimientos y sistemas.
– Implantación del canal de denuncias y protocolo de investigación.
– Evaluación de riesgos penales de terceros y formalización de contratos.
– Obtención de adhesión de la plantilla a las políticas de compliance.
– Seguimiento del funcionamiento del sistema por el órgano de compliance.
– Aplicación consistente del régimen disciplinario ante incumplimientos.
– Reporte periódico a la dirección de indicadores de desempeño del sistema.
3.4 Evaluación de la eficacia y planes de mejora continua
– Desarrollo del plan anual de revisiones y auditorías de compliance.
– Realización de una auditoría del sistema de gestión de compliance penal.
– Encuesta de percepción del clima ético entre empleados y terceros.
– Reporting del órgano de compliance a la dirección sobre eficacia del sistema.
– Identificación por la dirección de oportunidades de mejora priorizadas.
– Ejecución de los planes de acción para corregir deficiencias detectadas.
– Mantenimiento de evidencias y registros documentales de compliance.
– Revisión del sistema por el órgano de gobierno al menos anualmente.
Algunos factores críticos de éxito en la implementación:
– Compromiso visible y proactividad de la dirección con el compliance penal.
– Alineación de la política de compliance con la estrategia y procesos de negocio.
– Enfoque basado en riesgos, con dedicación a áreas de mayor exposición penal.
– Comunicación consistente a todos los niveles de la importancia del compliance.
– Responsabilidad transversal de todas las áreas en la ejecución del modelo.
– Formación extensa y práctica sobre qué conductas evitar y cómo actuar.
– Empoderamiento del órgano de compliance con recursos y autoridad suficientes.
– Consistencia en la aplicación de sanciones disciplinarias ante incumplimientos.
– Reportes e indicadores de compliance robustos para monitorizar el sistema.
– Actualización continua del programa a cambios legislativos o corporativos.
También hay que anticipar algunas barreras a superar:
– Percepción del compliance como un coste en lugar de una inversión.
– Visión del compliance como responsabilidad del departamento jurídico o de auditoría.
– Falta de conciencia del riesgo penal entre mandos intermedios y empleados.
– Inercias y reluctancia a modificar prácticas históricas no del todo correctas.
– Tentación de priorizar objetivos comerciales sobre principios éticos.
– Tendencia a minimizar o racionalizar incumplimientos poco relevantes.
– Desconfianza hacia un canal de denuncias gestionado internamente.
– Ausencia de métricas cuantificables sobre la eficacia del compliance penal.
La implantación efectiva de un sistema de gestión de compliance penal siguiendo estándares reconocidos conlleva sin duda costes y esfuerzo. Pero los beneficios en términos de prevención de delitos, generación de confianza en stakeholders y protección de reputación los compensarán con creces. Más allá del objetivo de evitar una potencial responsabilidad penal de la persona jurídica, el compliance penal es también un compromiso ético y una palanca de competitividad.
Un plan eficaz de compliance penal hará de la integridad una ventaja competitiva que fortalecerá la posición de la empresa a medio y largo plazo.
4.2 Integración en los procesos de negocio
Una de las claves de éxito de un programa de compliance es conseguir integrar los principios, políticas y controles de compliance en la toma de decisiones estratégicas y en la operativa diaria a todos los niveles. El compliance no debe verse como una función aislada del negocio, sino como parte del “ADN” de la organización.
Algunas estrategias para integrar el compliance en los procesos:
– Incluir objetivos de integridad y cumplimiento en los planes estratégicos.
– Asignar responsabilidades de compliance en todas las descripciones de puesto.
– Vincular una parte de la retribución variable de los managers al desempeño ético.
– Incorporar criterios ESG (environment, social, governance) en decisiones de inversión.
– Establecer una “disciplina operativa” que no tolere excepciones a las normas.
– Aplicar la debida diligencia en compliance en fusiones y adquisiciones.
– Adaptar los sistemas de IT para soportar controles de compliance.
– Revisar anualmente los procesos desde una “lente ética” para identificar mejoras.
– Escuchar el feedback de empleados y terceros sobre dilemas éticos del día a día.
4.3 Extensión a terceros bajo el control de la organización
El comportamiento ético y el respeto a la ley también se debe exigir y promover entre los terceros bajo control de la organización (filiales, consorcios…) o que actúen en su nombre (proveedores, agentes, intermediarios…).
Para extender la cultura de compliance:
- a) Entidades controladas mayoritariamente (>50% derechos de voto):
– Exigir la adopción de una política de compliance penal y controles equiparables.
– Incluir reportes de compliance de las filiales en los informes corporativos.
– Establecer una línea de reporte del compliance officer de la filial a la matriz.
– Incluir las filiales en el alcance de las auditorías corporativas de compliance.
- b) Participadas minoritarias o “joint ventures”:
– Promover que el órgano de gobierno apruebe una política de compliance penal.
– Incluir compromisos de compliance en los acuerdos entre socios/estatutos sociales.
– Evaluar su modelo de compliance como parte de la “due diligence” previa.
– Si hay “banderas rojas”, acordar un plan de acción para reforzar su compliance.
– Establecer un derecho de auditoría sobre el cumplimiento normativo del vehículo.
– Requerir reportes periódicos sobre ética y cumplimiento (canal de denuncias, etc.).
– En casos críticos, contemplar la desinversión si hay riesgos legales relevantes.
- c) Proveedores, subcontratistas, distribuidores, agentes:
– Comunicar la política de compliance y tolerancia cero ante delitos.
– Suscribir cláusulas éticas y de cumplimiento legal en contratos.
– Realizar una due diligence de integridad basada en el nivel de riesgo.
– Impartir formación en compliance (presencial u online) a terceros clave.
– Requerir adhesión al código de conducta de proveedores/distribuidores.
– Obtener una certificación periódica del tercero sobre cumplimiento normativo.
– Realizar auditorías de compliance (incluso in situ) en casos de alto riesgo.
– Monitorizar que no aparecen en listas de sanciones durante la relación.
La extensión del compliance a terceros es clave para mitigar riesgos, ya que los actos ilícitos de socios de negocio también pueden generar responsabilidad penal para la organización si actúan en su nombre o interés.
4.4 Medición del desempeño. Indicadores clave de compliance
Para conocer el grado de implementación y eficacia del sistema de compliance penal, es necesario obtener métricas cuantitativas y cualitativas que permitan detectar ineficiencias, medir progresos y comparar el desempeño (benchmarking).
Algunos indicadores clave de compliance (KPIs y KRIs):
KPIs sobre el nivel de implementación:
– % de empleados formados en compliance penal (por nivel).
– % de terceros de alto riesgo evaluados y con contrato ético.
– % de filiales con modelo de compliance implantado.
– % de procesos críticos con una auditoría de compliance.
– Ratio de inversión en compliance por empleado/cifra de negocio.
KRIs sobre el nivel de riesgo/incumplimientos:
– Nº de denuncias recibidas en el canal de denuncias (por tipología).
– Nº de casos de incumplimientos detectados (por área/país).
– Nº de empleados sancionados por conductas no éticas (por nivel).
– Importe de multas por infracciones legales.
– Nº de noticias negativas en prensa sobre conductas irregulares.
Indicadores cualitativos :
– Puntuación de la encuesta de clima ético entre empleados.
– Grado de sensibilización sobre principios éticos (encuesta a empleados y terceros).
– Grado de satisfacción de denunciantes con la gestión de su caso.
– Valoración del compromiso ético de la dirección (por niveles).
– Puntuación en índices ASG externos (Dow Jones Sustainability, Ethisphere, etc.).
Es aconsejable elaborar un cuadro de indicadores relevantes según las características y riesgos de la organización y realizar una medición anual para identificar tendencias y áreas de mejora.
El órgano de compliance debe reportar el resultado de los indicadores periódicamente a la alta dirección. Y el desempeño en compliance se debería integrar en el cuadro de mando corporativo para darle visibilidad y enfatizar su importancia estratégica.
- La cultura de cumplimiento
Uno de los objetivos finales de todo sistema de compliance es desarrollar una cultura corporativa basada en valores éticos, la integridad y el respeto a la ley. La cultura de compliance se puede entender como el conjunto de conocimientos, valores, creencias y comportamientos compartidos en una organización en relación con el compromiso con la ética y el cumplimiento normativo.
Algunos factores que promueven una cultura de integridad sólida:
– Un “tone from the top” con un compromiso genuino de la dirección con la ética.
– La inclusión de la integridad en la misión, visión y valores corporativos.
– Nombrar a directivos que sean referentes de conducta ética intachable.
– Predicar con el ejemplo, con coherencia entre lo que se dice y lo que se hace.
– Enfatizar el respeto a la ley y normas como responsabilidad de todos.
– Incluir dilemas éticos en la toma de decisiones estratégicas.
– Reaccionar con contundencia y equidad ante conductas irregulares.
– Reconocer y recompensar los comportamientos íntegros de los empleados.
– Fomentar la transparencia y el “speak up” sobre malas prácticas.
– Tratar los errores como oportunidades de aprendizaje y mejora.
– Compartir “lecciones aprendidas” de casos reales de incumplimientos.
– Realizar actividades participativas sobre integridad (role-plays, debates, etc.).
– Comunicar hitos relevantes en ética y cumplimiento a grupos de interés.
Es importante subrayar que un comportamiento ético no es solo lo legalmente obligatorio, sino que implica “hacer lo correcto” desde un punto de vista moral, más allá del mero cumplimiento normativo. La integridad corporativa entendida en un sentido amplio (transparencia, equidad, respeto, responsabilidad…) refuerza la reputación y genera confianza en los grupos de interés, lo que redunda en un mejor desempeño sostenible.
Pero un entorno de alta integridad no sólo previene conductas ilícitas, sino que promueve la innovación, la productividad, la atracción de talento, el orgullo de pertenencia, la satisfacción del cliente y una mejor gestión del riesgo. Una cultura ética es un factor crítico para la excelencia y competitividad empresarial. Y el compliance es un elemento basilar para promover esa cultura.
Por ello, el “business case” del compliance penal va más allá de evitar la comisión de delitos y los enormes costes que conllevarían. Su principal beneficio es generar un clima de confianza e integridad que favorezca la creación de valor compartido para todas las partes interesadas.
Un liderazgo basado en valores, unos estándares éticos exigentes, una comunicación transparente y una tolerancia cero ante los incumplimientos son la mejor receta para que la cultura de cumplimiento impregne a toda la organización.
El órgano de compliance debe ser el principal abanderado y promotor de esa cultura, desarrollando iniciativas continuadas para interiorizar el mensaje de que “el fin no justifica los medios”. Que saltarse las reglas del juego no es una opción. Y que el éxito empresarial sólo es valioso si se consigue de forma ética y respetando la ley.
- Conclusiones
La responsabilidad penal de las personas jurídicas ha convertido el compliance penal en una prioridad estratégica para las organizaciones. Más allá de una moda pasajera, se trata de una nueva forma de entender el papel social de la empresa basada en una cultura de integridad.
La implementación de un sistema eficaz de gestión de compliance penal siguiendo las mejores prácticas nacionales e internacionales no sólo minimizará los riesgos legales, sino que aportará importantes beneficios en términos de reputación, confianza y creación de valor a largo plazo.
Los elementos clave de ese sistema son:
– El compromiso de la dirección y el establecimiento de un órgano de compliance empoderado.
– La evaluación continuada de los riesgos penales inherentes a la actividad.
– La definición de una política y objetivos alineados con la estrategia corporativa.
– La implantación de controles financieros y no financieros basados en los riesgos.
– La difusión de un código ético y la formación activa en valores.
– La exigencia de integridad no sólo a empleados sino también a socios de negocio.
– El establecimiento de un canal de denuncias accesible y la investigación rigurosa.
– La revisión periódica del modelo por parte del órgano de gobierno.
Pero, más allá de los elementos formales, la prioridad es desarrollar una auténtica cultura corporativa que sitúe la ética y la integridad en el frontispicio de la organización. Que impulse el cumplimiento de la ley no solo por las consecuencias de infringirla, sino por convicción y por responsabilidad. Que promueva el comportamiento íntegro no como una imposición, sino como una forma de entender los negocios y las relaciones con los grupos de interés.
La excelencia empresarial ya no se puede entender sin un compromiso con los más altos estándares éticos. El compliance es el camino para dotar de la máxima credibilidad a ese compromiso. Es una oportunidad para alinear el éxito económico con la ejemplaridad en el comportamiento.
En un entorno de creciente exigencia social, solo las organizaciones capaces de generar confianza en sus stakeholders a través de una sólida reputación de integridad podrán competir con garantías en el medio y largo plazo. El compliance es una inversión estratégica en ese activo intangible pero crítico que es la confianza.
Por supuesto, implementar un robusto sistema de gestión de compliance penal no es una tarea fácil ni rápida. Requiere liderazgo, recursos, perseverancia y coherencia. Puede implicar cambiar inercias y paradigmas muy arraigados. Pero es un reto ineludible y apasionante a partes iguales. Las organizaciones que lo afronten con determinación no solo minimizarán riesgos, sino que se diferenciarán y reforzarán su posición competitiva de forma sostenible.
Vivimos tiempos en los que la sociedad civil demanda un comportamiento más ético y responsable a las empresas. En los que el “cómo” se hacen las cosas es tan relevante como los resultados obtenidos. En los que los criterios ASG están en el radar de inversores, clientes, empleados y reguladores. En este contexto, las organizaciones están obligadas a elevar el listón de sus compromisos en materia de integridad corporativa.
Un sistema de compliance penal alineado con los más altos estándares será la piedra angular para avanzar con paso firme por esa senda. Proporciona un marco robusto de normas, procesos e indicadores para “aterrizar” los principios éticos en el día a día, para que impregnen la cultura y la forma de hacer negocios.
Pero el compliance no es solo una cuestión de los especialistas en la materia. Compete a todos los miembros de la organización. Requiere un alineamiento de toda la cadena de dirección en torno a unos valores compartidos. Exige valentía para afrontar dilemas éticos y anteponer siempre la integridad a objetivos cortoplacistas. Demanda coraje para denunciar irregularidades y proteger al denunciante. Implica predicar con el ejemplo y recompensar las buenas conductas. Reclama analizar proyectos, inversiones y relaciones con “las gafas de la ética”. En definitiva, exige poner el foco más en el “ser” que en el “parecer” íntegro.
No hay atajos para una cultura de integridad y compliance robusta. Es el resultado de un esfuerzo continuo, visible y transversal. De insistir una y otra vez en que “hacer lo correcto” no es una opción, sino la única forma de operar. De generar un entorno de confianza mutua y “tolerancia cero” ante conductas ilícitas. De promover el compromiso intrínseco con la ética más allá de la presión extrínseca legal.
Hacer del compliance una palanca de integridad y una ventaja competitiva al servicio de un propósito corporativo responsable y un modelo de negocio sostenible: ese es el gran desafío y la gran oportunidad. Las organizaciones que lo asuman con determinación no sólo protegerán mejor sus activos tangibles, sino que desarrollarán otros intangibles aún más valiosos: credibilidad, legitimidad, reputación. Construirán relaciones duraderas con sus grupos de interés basadas en la confianza. En definitiva, reforzarán su “licencia social para operar” y su sostenibilidad en el largo plazo.