El Compliance para PYMES: Una Necesidad Estratégica en el Tejido Empresarial Español

La red de producción española está compuesta principalmente por PYMES. El 99% de las empresas de nuestro país pertenecen a esta categoría, pero para un número considerable de ellas, el compliance es prácticamente un término desconocido, aunque es un elemento particularmente necesario. El concepto de Compliance o cumplimiento normativo a menudo se percibe como un lujo burocrático reservado para las multinacionales del IBEX 35. Muchos empresarios creen que, al ser una estructura pequeña, el control es directo y el riesgo inexistente. Sin embargo, este planteamiento puede ser fatal.

La Responsabilidad Penal de las Personas Jurídicas y la Evolución del Compliance

Desde que el compliance comenzó a regularse, con la introducción de la responsabilidad penal de las personas jurídicas en el Código Penal reformado de 2010 (reforzado por la reforma de 2015), se ha convertido en un elemento aún más esencial para las empresas. Las personas jurídicas son ahora penalmente responsables de los delitos cometidos por representantes legales, directivos u otras partes que no están sujetas a ningún mecanismo de control. Y el mecanismo de supervisión perfecto es un Sistema de Compliance.

El concepto de compliance tiene sustento en la legislación española desde 2010, con la reforma del Código Penal (Ley Orgánica 5/2010 de 22 de junio). El artículo 31 bis de esta ley introdujo la responsabilidad penal de las personas jurídicas, vinculando estrechamente el compliance de las empresas con el cumplimiento de la normativa penal. Más tarde, en 2015, una nueva revisión del Código Penal sirvió para introducir una cláusula que hace obligatorio para las empresas contar con planes de prevención de riesgos penales y un órgano o función responsable de su verificación.

La reforma del Código Penal de la Ley Orgánica 5/2010, de 22 de junio introdujo por primera vez la responsabilidad penal de las personas jurídicas, sin embargo, no fue hasta la Ley Orgánica 1/2015 con el artículo 31 bis del Código Penal, que se estableció que las personas jurídicas podían exonerarse o ver atenuada su responsabilidad penal si demostraban haber implantado un modelo de organización y gestión adecuado para prevenir o reducir el riesgo de comisión delictiva derivado de su actividad.

Este cambio normativo ha permeado hacia otros ámbitos jurídicos, como el de la Protección de Datos, y ha impulsado en la última década la creación de la figura del Compliance Officer, la persona responsable del cumplimiento normativo en una organización.

Importancia del Compliance para las PYMES

El cumplimiento normativo es uno de los temas que más interés está suscitando en las organizaciones en los últimos años. El objetivo del compliance es evitar que una compañía incurra en delitos, sanciones o situaciones que puedan repercutir en el negocio o su reputación y comprometer su viabilidad.

Desde sus inicios, los Sistemas de Compliance han sido frecuentemente asociados con grandes corporaciones, caracterizadas por estructuras complejas y amplios recursos económicos. Esta asociación ha llevado a la creencia errónea de que la detección y prevención de riesgos es una exigencia reservada exclusivamente a las grandes empresas. Sin embargo, la realidad demuestra que las pequeñas y medianas empresas (PYMES) son, en muchos casos, más vulnerables a sanciones y responsabilidades debido a la falta de departamentos especializados o de sistemas de control internos consolidados.

Cabe destacar que el tamaño de la empresa no siempre es proporcional al nivel de riesgo al que se enfrenta. De hecho, una PYME, por su actividad específica, puede tener un riesgo mucho más elevado que una gran corporación. El riesgo no depende del tamaño, sino de la naturaleza de la actividad y de los procesos que se gestionan, así como de la exposición a determinadas normativas y a los posibles incumplimientos de estas.

De acuerdo con la definición del artículo 2, Anexo I del Reglamento (UE) nº651/2014 de la Comisión, se consideran PYMES aquellas empresas que ocupan a menos de 250 personas trabajadoras y cuyo volumen de negocios anual no excede de 50 millones de euros o, cuyo balance general anual no supera los 43 millones de euros. Esta definición abarca a la gran mayoría de las empresas dentro del tejido empresarial español. Es incuestionable el peso de las PYMES en el mercado español, ya que representan aproximadamente el 99,8% del total de las empresas, conformando así la base del tejido productivo nacional.

Precisamente, su presencia es especialmente significativa en sectores estratégicos como el comercio, hotelería o la construcción, ámbitos en los que los riesgos penales son reales, frecuentes y cada vez más notorios. La evolución normativa, junto con el creciente nivel de exigencia por parte de clientes, proveedores, entidades financieras y autoridades públicas, hace imprescindible que las PYMES integren la cultura del cumplimiento en su modelo de negocio.

Ante esta realidad de riesgos legales y reputacionales, se vuelve indispensable para las PYMES contar con mecanismos que no solo garanticen el cumplimiento normativo, sino que también sirvan de prevención frente a posibles ilícitos y prácticas que puedan poner en peligro su estabilidad. El diseño e implementación de un sistema de prevención de delitos adaptado a las características y necesidades de cada PYME es fundamental para mitigar estos riesgos. Cualquier PYME puede realizar también acciones de cumplimiento normativo adecuadas a sus dimensiones y sin un coste desproporcionado.

El ‘copia y pega’ de modelos ajenos no solo es ineficaz ante un tribunal, sino que proyecta una peligrosa imagen de desinterés preventivo. Para que un Sistema de Compliance en las PYMES cumpla adecuadamente su función preventiva y defensiva, no debe limitarse a la mera implementación de un protocolo genérico. Es fundamental que el sistema esté diseñado y adaptado a las características particulares de cada empresa, teniendo en cuenta su tamaño, estructura organizativa, sector de actividad y los riesgos específicos derivados de su operativa.

Beneficios del Compliance para las PYMES

Como ya hemos dicho en otros de nuestros artículos sobre cumplimiento normativo, aunque la ley no obliga a tener implementado un plan de prevención de delitos penales en las empresas, lo cierto es que el compliance aporta varios beneficios a las empresas, siendo el más importante la posibilidad de atenuar o eximir a la empresa de su responsabilidad penal. Además, a la hora de contratar proveedores, cada vez más empresas exigen contar con un código de ética y transparencia.

Sin duda, el mercado y los consumidores están demandando que las organizaciones sean serias, transparentes, éticas, cumplan con sus obligaciones legales y tengan un compromiso social y ambiental. En el análisis DAFO que realiza el equipo gestor de una compañía, el cumplimiento normativo suele situarse en el marco de los riesgos y amenazas al crecimiento, bien por las novedades normativas que impacten sobre un sector productivo o bien por un contexto de inestabilidad política y legislativa que puedan comprometer ciertas operaciones empresariales. En la actualidad, el público objetivo de una empresa (sus clientes, trabajadores, proveedores, inversores y la sociedad en general) demandan una conducta y un cumplimiento que con frecuencia va más allá del umbral de lo que fijan las leyes.

Por todo ello, el Compliance en las PYMES ha dejado de ser una opción para convertirse en una necesidad estratégica ineludible. No solo constituye una herramienta clave para la gestión de riesgos legales y operacionales, sino que también es crucial para salvaguardar la reputación empresarial y garantizar la sostenibilidad a largo plazo de la organización en un entorno cada vez más regulado, competitivo y sensible a la imagen corporativa.

Cómo Implementar un Sistema de Compliance en PYMES

Establecer un sistema de compliance es menos complicado de lo que parece. De hecho, consiste en sistemas de prevención cuya complejidad es proporcional al tamaño de la empresa, sus circunstancias y el tipo de negocio en el que opera. Por esta razón, por ejemplo, cuanto mayor sea la empresa, más formal debe ser el sistema. Mientras que para organizaciones más pequeñas puede ser mucho más sencillo, con el sistema siendo proporcional al tamaño y estructura de la organización.

Sin embargo, para ser legalmente válido, un buen sistema de compliance, sea cual sea el tamaño de la empresa, debe cumplir ciertas condiciones, como la implementación de medidas de monitoreo o la existencia de un comité de control que permita supervisar el funcionamiento del sistema y su adhesión.

Para que un programa de compliance penal sea realmente efectivo, no basta con su mera existencia en papel, sino que debe ser aplicado y actualizado de manera continua. Para que un programa de compliance penal sea efectivo, debe ser aplicado de forma transversal en la organización. El entorno normativo está en constante evolución, por lo que un programa de cumplimiento penal debe ser flexible y capaz de adaptarse a nuevos requisitos legales. La ausencia de un plan de prevención de delitos expone a la empresa a múltiples riesgos, tanto legales como reputacionales.

Además, el Sistema de Compliance debe contar con una cultura organizacional sólida, que involucre a todos los niveles de la empresa, desde la alta dirección hasta los empleados. Esto incluye una capacitación continua, un canal de denuncias accesible y la implementación de medidas disciplinarias frente a incumplimientos.

Tipos de Compliance en la Empresa

A la hora de poner en práctica el compliance en la empresa, distinguimos entre los modelos genéricos y los modelos específicos de cumplimiento:

• El modelo genérico o de superestructura de compliance se apoya en el marco regulatorio global que ofrece la norma ISO 19600, la cual fija las directrices y buenas prácticas para implantar la función de compliance en cualquier empresa u organización.
• Los modelos específicos de cumplimiento abordan áreas jurídicas concretas, por ejemplo:
  • Compliance penal
  • Compliance corporativo
  • Compliance medioambiental
  • Compliance de prevención de riesgos laborales
  • Compliance anticorrupción
  • Compliance de salud pública
  • Compliance fiscal y tributario

La labor del Compliance Officer pasa por integrar los sistemas específicos en un marco general y mantener una coordinación y supervisión del modelo para garantizar su eficacia, y que esté alineado con las necesidades del negocio.

Certificación de Compliance para PYMES

Sí, por supuesto. Igual que desde hace muchos años las organizaciones disponen de modelos de gestión en ámbitos muy diversos (calidad, medio ambiente, seguridad laboral, etc.) recientemente se han desarrollado estándares que ayudan a las compañías a implantar y certificar sistemas de gestión en compliance. Aquellas que se embarcan en estos proyectos quieren garantizar que hacen bien las cosas y que se adoptan todas las medidas preventivas para minimizar la materialización de un riesgo. Además, obtener una certificación permite mejorar la reputación empresarial, fortalecer la confianza de los clientes y, en definitiva, robustecer la posición competitiva.

No, no hay ningún requisito legal que obligue a una organización a certificarse en compliance.

Modelos de Certificación Disponibles

Las organizaciones que desean implantar un modelo de gestión y, posteriormente, obtener una certificación o reconocimiento externo disponen actualmente de cuatro modelos:

Normas Genéricas:

• ISO 37301: sistema de gestión de compliance. Es el modelo más ambicioso y complicado, ya que analiza los riesgos relacionados con todas las obligaciones de cumplimiento normativo, independientemente de las consecuencias (administrativas, penales, reputacionales, etc.) que puedan tener para la organización.
• UNE 19601: sistema de gestión de compliance penal. La norma se centra en prevenir la comisión de delitos en las organizaciones para evitar su imputación penal, de acuerdo con el Código Penal español en vigor.

Normas Específicas:

• ISO 37001: sistema de gestión de antisoborno, norma centrada en prevenir los delitos de corrupción, cohecho, tráfico de influencias, malversación, etc., todos aquellos ligados al concepto de soborno.
• UNE 19602: sistema de gestión de compliance tributario, norma orientada a gestionar los riesgos tributarios (elusión de pago de impuestos y de la Seguridad Social, etc.).

La experiencia de los últimos años nos indica que la mayoría de las organizaciones optan por la certificación de su sistema de gestión de compliance penal según la norma UNE 19601. Esta decisión viene motivada porque el Código Penal, en su artículo 31 bis, contempla la exención de la responsabilidad penal de las personas jurídicas si, entre otros requisitos, antes de la comisión del delito se implanta un sistema de gestión enfocado a la prevención. Y sin duda, obtener una certificación, es la prueba más robusta para demostrar el compromiso con el cumplimiento legal de una entidad ante las autoridades judiciales.

En muchos casos, las organizaciones optan también por implantar y certificar simultáneamente la norma ISO 37001 de antisoborno, considerando los casos de corrupción que se han conocido en los últimos años y el impacto que tendría la comisión de este delito en una organización. En cualquier caso, la decisión debe tener en cuenta, entre otros aspectos, qué riesgos quiere mitigar la empresa y cuáles son los requisitos de los clientes.

A corto-medio plazo no hay duda de que cada vez más organizaciones implantarán y requerirán una certificación de compliance (principalmente, por exigencia de sus grandes clientes). Además, en los próximos meses está previsto que se publiquen otras normas específicas relacionadas con la libre competencia, aspectos laborales o el blanqueo de capitales.

Sin duda, el compliance es un ámbito en plena expansión, necesario para generar confianza con los clientes y para minimizar el riesgo en las organizaciones.

Un buen ejemplo de respaldo al compliance es el Grupo Elecnor, que fomenta constantemente las buenas prácticas en la lucha contra la corrupción. De hecho, como prueba de ello, en 2018, Elecnor se convirtió en la primera empresa española de su sector en obtener la certificación UNE-ISO 37001 para "Sistemas de Gestión Antisoborno", el estándar más exigente en la creación de sistemas de gestión en compliance y lucha contra la corrupción. Justo un año después, este reconocimiento se unió a la certificación del Sistema de Compliance de Elecnor bajo la norma UNE 19601 "Sistema de Gestión de Compliance Penal". En reconocimiento al espíritu de mejora continua de Elecnor, en 2021 ambas certificaciones fueron renovadas, demostrando el compromiso de la empresa en la lucha contra la corrupción.

Compliance para pequeñas empresas

Casos Reales de Compliance y sus Implicaciones

Para ponernos un poco en antecedentes, estas cuatro empresas están imputadas en el caso Villarejo (macrocausa ‘Tándem’) como piezas separadas, para aclarar una serie de contratos y pagos que se hicieron a la empresa Cenyt (perteneciente al ex-comisario) para que esta llevara a cabo diferentes trabajos, algunos de los cuales consistían en espionaje e investigación y obstaculización de competidores, entre otros. Por todos estos delitos, Repsol, CaixaBank, Iberdrola Renovables y BBVA podrían enfrentar como empresas penas que, aparte de elevadas multas, también podrían implicar desde la suspensión de su actividad, pasando por la inhabilitación para obtener ayudas públicas o contratar con el sector público, hasta la disolución de la compañía. Para muestra, ya en junio de 2022, el juez instructor de la causa archivó la investigación sobre Repsol y CaixaBank, porque estas habían aportado durante la investigación su "modelo de organización y gestión para la prevención de delitos", que en el momento de los hechos investigados, cumplía con los requisitos que exige el artículo 31.2 bis del Código Penal para estos planes.

Caso Barçagate

Hablamos del conocido como el caso Barçagate, en el que se imputó a varios directivos de la cúpula del club, entre ellos el entonces presidente, Josep María Bartomeu, por los delitos de administración desleal y corrupción entre particulares. El Barçagate es un claro ejemplo de la importancia de tener no solo un programa de compliance, sino que este debe ser efectivo y promover la cultura del cumplimiento dentro de la empresa, algo que implica a los propios directivos, que son quienes deben implementar el denominado ‘tone at the top’.

Caso Volkswagen (Dieselgate)

El último de nuestros casos reales de compliance nos lleva fuera de España (aunque también nos afectó), nos referimos al caso Volkswagen, también conocido como ‘Dieselgate’. El caso Volkswagen saltó en 2015, cuando la EPA (Agencia de Protección Medioambiental de Estados Unidos) descubrió que los coches del fabricante alemán tenían implementado en el ordenador de a bordo un programa que permitía trucar las pruebas de emisiones, de manera que durante las mismas emitía menos contaminantes que cuando se conducía en condiciones normales. El escándalo salpicó a directivos y al chief compliance officer (jefe de cumplimiento) de la compañía (que además fue detenido y finalmente declarado culpable). Sin embargo, Volkswagen tenía implementado un sistema de compliance y un código ético. Lo que ocurrió es que la directiva decidió ignorar su propio sistema de compliance y aceptar el riesgo que suponía trucar las pruebas. Incluso llegó a indicar a sus ingenieros que debían ocultar toda la información relativa a ello.

Publicaciones y Formación en Compliance

Existen diversas publicaciones y programas de formación que facilitan la comprensión e implementación del compliance para PYMES. Por ejemplo, el libro "Compliance penal para pymes según la Norma UNE 19601" explica y analiza cada requisito de la Norma UNE 19601 de manera práctica, haciendo hincapié en la repercusión que tiene el artículo 31 bis del Código Penal en cualquier empresa, independientemente de su tamaño. Este libro facilita la implementación de la norma y ayuda a las PYMES a reducir el riesgo penal al que toda empresa está expuesta en su día a día.

Otro recurso es el libro "Seguridad y salud en el trabajo para pymes según la Norma ISO 45001", editado por AENOR, que muestra cómo cualquier PYME puede implantar un sistema de gestión de seguridad y salud en el trabajo de acuerdo con los requisitos que se recogen en la Norma ISO 45001, con independencia de sus características y recursos. Así, facilita el camino que hay que seguir para establecer lugares de trabajo seguros y saludables, aportando múltiples ejemplos. Además, incluye una guía para ayudar a las organizaciones a redactar y estructurar el documento de no conformidad, necesario en el caso de no cumplir algún requisito de la norma.

En cuanto a la formación, existen cursos como el de "Esquema Nacional de Seguridad" que tienen como objetivos que los alumnos conozcan a través de un enfoque altamente práctico e interactivo los elementos del Esquema Nacional de Seguridad; adquieran los conocimientos operativos para diseñar, planificar y ejecutar un Plan de Adecuación; aprendan a efectuar autoevaluaciones, mediciones de madurez e implantar un esquema de métricas, y sepan dar una respuesta práctica y operativa de cumplimiento frente a auditorías. Los contenidos del curso analizan los conceptos del Esquema Nacional de Seguridad; medidas de seguridad, elaboración de planes de adecuación; autoevaluaciones y mediciones de nivel de madurez; proceso de auditoría; y la relación con el Esquema.

También se ofrecen jornadas sobre temas como "Compliance como sistema de gestión indispensable en el contexto Tributario", donde se pone de manifiesto que contar con sistemas de gestión de compliance tributario certificados supone un elemento diferenciador para demostrar la diligencia en el cumplimiento de las obligaciones fiscales.