El Modelo de Compliance Empresarial: Un Pilar para la Ética y la Sostenibilidad

El concepto de compliance o cumplimiento normativo ha ganado una importancia creciente para las empresas y organizaciones en el panorama empresarial actual. Se trata de una función específica dentro de las empresas, encaminada a detectar y gestionar los riesgos de incumplimiento de las obligaciones regulatorias bajo las que opera. El incumplimiento de una ley, o de determinada normativa, puede suponer una pérdida de reputación para una compañía, además de graves sanciones legales y multas.

¿Qué es el Compliance?

El término compliance, que se traduce al español como cumplimiento normativo, hace referencia al área específica de una compañía que se encarga de identificar, asesorar, monitorear y alertar de los riesgos en que puede incurrir una empresa, pública o privada, para velar por el estricto cumplimiento de la legalidad. El objetivo del compliance es evitar que una compañía incurra en delitos, sanciones o situaciones que puedan repercutir en el negocio o su reputación y comprometer su viabilidad futura.

La función de compliance se encarga de establecer estándares y procedimientos adecuados para evitar incumplimientos. De esta forma, se puede considerar el cumplimiento como una función específica dentro de las empresas, encaminada a detectar y gestionar los riesgos de incumplimiento de las obligaciones regulatorias bajo las que opera. Si no se ha conseguido evitar previamente el delito, el compliance puede aminorar considerablemente las consecuencias jurídicas.

Historia y Base Legal del Compliance Empresarial

El concepto de compliance empresarial nació en Estados Unidos en los años 70 ligado a casos de corrupción contrarios a la libre competencia en el sector financiero. Décadas más tarde, en el año 2005, el Comité de Supervisión Bancaria de Basilea definió el compliance corporativo como “el riesgo de que una compañía pueda incurrir en sanciones, multas, pérdidas financieras o pérdida de su reputación como resultado del incumplimiento de leyes, regulaciones, normas de autorregulación o códigos de conducta que apliquen a su actividad”.

En España, el concepto de compliance tiene sustento en la legislación desde 2010, con la reforma del Código Penal (Ley Orgánica 5/2010 de 22 de junio). El artículo 31 bis de esta ley introdujo la responsabilidad penal de las personas jurídicas, vinculando estrechamente el compliance de las empresas con el cumplimiento de la normativa penal. Más tarde, en 2015, una nueva revisión del Código Penal sirvió para introducir una cláusula que hace obligatorio para las empresas contar con planes de prevención de riesgos penales y un órgano o función responsable de su verificación. Este cambio normativo ha permeado hacia otros ámbitos jurídicos, como el de la Protección de Datos, y ha impulsado en la última década la creación de la figura del Compliance Officer, la persona responsable del cumplimiento normativo en una organización.

¿Para qué sirve el Compliance en una Empresa?

El objetivo del compliance es, por tanto, evitar que una compañía incurra en delitos, sanciones o situaciones que puedan repercutir en el negocio o su reputación y comprometer su viabilidad futura. Para evitarlo, las compañías han impulsado el desarrollo de áreas específicas de compliance, cuya misión es impulsar con agilidad las medidas necesarias para garantizar el cumplimiento de toda normativa que afecte al negocio. En este contexto, la función del área de compliance de una empresa consiste en anticiparse a los riesgos que pueden surgir, mostrando al equipo gestor de la compañía que el cumplimiento no es solo un coste necesario para hacer negocios, sino una posición estratégica que aporta valor y afianza el futuro de la organización.

El compliance reduce el riesgo de sanciones, multas e incluso procesos judiciales, salvaguardando el patrimonio y la estabilidad financiera de la empresa. Además, transmite confianza a los stakeholders (clientes, proveedores, empleados e inversores) al demostrar un compromiso con la ética y la transparencia. También motiva a los empleados a actuar con integridad y responsabilidad en su trabajo diario y evita errores y costes derivados del incumplimiento de las normas, optimizando los procesos internos.

Un sistema de Compliance bien estructurado refuerza la credibilidad de la empresa frente a sus grupos de interés. Los clientes perciben mayor seguridad al contratar productos o servicios, los proveedores confían en la solidez de la relación comercial y los inversores encuentran garantías de que la organización gestiona adecuadamente los riesgos. La correcta implementación de programas de Compliance puede actuar como un atenuante o incluso eximir de responsabilidad a la empresa y a sus directivos en caso de incumplimientos cometidos por terceros o por empleados de forma individual.

Tipos de Compliance en la Empresa

A la hora de poner en práctica el compliance en la empresa, distinguimos entre los modelos genéricos y los modelos específicos de cumplimiento:

• El modelo genérico o de superestructura de compliance se apoya en el marco regulatorio global que ofrece la norma ISO 37301, la cual fija las directrices y buenas prácticas para implantar la función de compliance en cualquier empresa u organización.
• Los modelos específicos de cumplimiento son los que abordan áreas jurídicas concretas, por ejemplo:
• Compliance penal
• Compliance corporativo
• Compliance medioambiental
• Compliance de prevención de riesgos laborales
• Compliance anticorrupción
• Compliance de salud pública
• Compliance fiscal y tributario

La labor del Compliance Officer pasa por integrar los sistemas específicos en un marco general y mantener una coordinación y supervisión del modelo para garantizar su eficacia, y que esté alineado con las necesidades del negocio.

Existen muchos tipos de compliance, desde el compliance legal, el compliance laboral o el compliance penal. Esta se compone de diversas prácticas y medidas que promueven una cultura de cumplimiento y buen gobierno corporativo. Al implementar políticas de cumplimiento, las organizaciones se protegen de posibles sanciones legales y multas. Además, a la hora de contratar proveedores, cada vez más empresas exigen contar con un código de ética y transparencia.

Estándares Internacionales de Gestión de Compliance

Existen diferentes estándares que ayudan a las compañías a implantar y certificar sistemas de gestión en compliance. Las organizaciones que desean implantar un modelo de gestión y, posteriormente, obtener una certificación o reconocimiento externo disponen actualmente de cuatro modelos principales:

Normas Genéricas:

• ISO 37301: Sistema de gestión de compliance. Es el modelo más ambicioso y complicado, ya que analiza los riesgos relacionados con todas las obligaciones de cumplimiento normativo, independientemente de las consecuencias (administrativas, penales, reputacionales, etc.) que puedan tener para la organización.
• UNE 19601: Sistema de gestión de compliance penal. La norma se centra en prevenir la comisión de delitos en las organizaciones para evitar su imputación penal, de acuerdo con el Código Penal español en vigor.

Normas Específicas:

• ISO 37001: Sistema de gestión de antisoborno. Norma centrada en prevenir los delitos de corrupción, cohecho, tráfico de influencias, malversación, etc., todos aquellos ligados al concepto de soborno.
• UNE 19602: Sistema de gestión de compliance tributario. Norma orientada a gestionar los riesgos tributarios (elusión de pago de impuestos y de la Seguridad Social, etc.).

¿Es Obligatorio Certificarse en Compliance?

No, no hay ningún requisito legal que obligue a una organización a certificarse en compliance. Aquellas que se embarcan en estos proyectos quieren garantizar que hacen bien las cosas y que se adoptan todas las medidas preventivas para minimizar la materialización de un riesgo. Además, obtener una certificación permite mejorar la reputación empresarial, fortalecer la confianza de los clientes y, en definitiva, robustecer la posición competitiva.

La experiencia de los últimos años nos indica que la mayoría de las organizaciones optan por la certificación de su sistema de gestión de compliance penal según la norma UNE 19601. Esta decisión viene motivada porque el Código Penal, en su artículo 31 bis, contempla la exención de la responsabilidad penal de las personas jurídicas si, entre otros requisitos, antes de la comisión del delito se implanta un sistema de gestión enfocado a la prevención. Y sin duda, obtener una certificación, es la prueba más robusta para demostrar el compromiso con el cumplimiento legal de una entidad ante las autoridades judiciales.

En muchos casos, las organizaciones optan también por implantar y certificar simultáneamente la norma ISO 37001 de antisoborno, considerando los casos de corrupción que se han conocido en los últimos años y el impacto que tendría la comisión de este delito en una organización. En cualquier caso, la decisión debe tener en cuenta, entre otros aspectos, qué riesgos quiere mitigar la empresa y cuáles son los requisitos de los clientes.

La Figura del Compliance Officer

La figura del Compliance Officer es el profesional encargado de asegurar que la empresa cumpla con la normativa vigente y reduzca al máximo los riesgos legales. Su nombramiento corresponde al órgano de administración y debe contar con independencia funcional y recursos suficientes para desempeñar su labor. Su autonomía es esencial: debe poder actuar sin interferencias y reportar directamente al máximo órgano de gobierno.

Las funciones del Compliance Officer o del comité incluyen la supervisión y actualización continuas del programa de compliance. Entre sus tareas se cuentan la identificación permanente de nuevas actividades de riesgo penal y la elaboración y revisión de los protocolos internos. Lidera la implantación de controles efectivos (financieros y operativos) y coordina las acciones de formación y concienciación sobre compliance en toda la organización. Además, impulsa la comunicación interna sobre el código de conducta y gestiona los canales de denuncia. Otra función fundamental es verificar periódicamente la eficacia del programa mediante auditorías internas o evaluaciones independientes, y asegurar que el modelo se adapte ante cambios legales o estructurales. Finalmente, este órgano informa regularmente a la dirección y al consejo de administración sobre el estado del cumplimiento, las incidencias detectadas y las mejoras necesarias, garantizando un ciclo continuo de actualización del modelo de compliance.

Elementos Esenciales de un Programa de Compliance

Un Programa de Compliance eficaz se compone de varios elementos esenciales, según exige el artículo 31 bis del Código Penal y la Circular 1/2016 de la Fiscalía. Estos componentes clave deben personalizarse al tamaño, actividad y riesgos de cada empresa.

1. Identificación y análisis de riesgos penales

La empresa debe detectar y documentar las áreas y procesos donde podrían cometerse delitos, realizando un análisis de riesgos penal adaptado a su actividad. Esto implica identificar, analizar y priorizar los riesgos legales, éticos y operativos a los que está expuesta la organización, teniendo en cuenta su sector, ubicación geográfica, entorno regulatorio, naturaleza de sus actividades, tamaño, etc. No se trata de aplicar un análisis genérico, sino de construir un mapa de riesgos adaptado a la realidad concreta de la empresa.

2. Políticas, códigos y procedimientos internos

Se deben definir los pasos y reglas claros para la gestión cotidiana y la toma de decisiones en situaciones de riesgo penal, plasmados en protocolos específicos. Una vez identificados los riesgos, es esencial desarrollar políticas y procedimientos claros que establezcan las normas de conducta esperadas y los mecanismos de control necesarios. Estas políticas deben estar alineadas con los riesgos detectados y redactadas en un lenguaje accesible, evitando tecnicismos innecesarios para asegurar su comprensión en todos los niveles de la organización. Los controles internos deben ser proporcionales al riesgo y diseñados para prevenir, detectar y corregir posibles incumplimientos.

3. Gestión adecuada de recursos financieros y canales de reporte

Debe existir un control riguroso de los fondos y medios económicos para prevenir el uso ilícito de recursos (por ejemplo, controles contables y presupuestarios internos). Asimismo, es fundamental el establecimiento de un mecanismo que permita a los empleados comunicar riesgos o incumplimientos, normalmente un canal de denuncias, y la obligación de informar dichos incidentes al órgano de compliance. Los canales de denuncia son una herramienta esencial dentro del sistema de compliance, no solo como mecanismo de detección de irregularidades, sino también como expresión de una cultura organizacional basada en la transparencia y la confianza. Para que sean efectivos, deben formar parte de un sistema de comunicación más amplio, abierto y bidireccional, que permita tanto la consulta como la denuncia de posibles incumplimientos. Es fundamental que estos canales sean accesibles, seguros, confidenciales y adaptados a las características de la organización, y que se comuniquen de forma clara a todos los empleados, explicando su propósito y funcionamiento.

4. Sistema disciplinario y medidas de control interno

El programa debe prever sanciones proporcionadas para quien incumpla las normas internas de compliance, garantizando que existan consecuencias claras ante cualquier violación. Asimismo, se deben establecer controles adicionales (auditorías internas, supervisión de operaciones clave) para asegurar el cumplimiento de las políticas internas.

5. Evaluación periódica y mejora continua

Revisión y auditoría regulares del programa para comprobar su efectividad; actualización de los protocolos según cambios legales o detección de fallos, asegurando que el modelo evoluciona con la empresa. La medición de indicadores de cumplimiento y la evaluación de resultados permiten ajustar el modelo de forma continua, garantizando así su mejora permanente.

6. Gestión de relaciones con terceros

La gestión de relaciones con terceros -proveedores, socios comerciales, agentes o distribuidores- representa un componente crítico del modelo de compliance, ya que muchas veces los riesgos más significativos provienen de fuera de la organización. Por ello, es imprescindible implementar procedimientos de diligencia debida que permitan evaluar la integridad y el historial de cumplimiento de cualquier tercero antes de formalizar una relación. Esta evaluación debe considerar factores como la ubicación, el tipo de servicio, la exposición a corrupción o sanciones, y debe documentarse adecuadamente. Además, los contratos deben incluir cláusulas específicas de cumplimiento que establezcan obligaciones claras, derechos de auditoría y consecuencias ante incumplimientos.

7. Independencia y recursos del área de compliance

Es fundamental garantizar la independencia funcional del área de compliance, asegurando que opere con autonomía respecto a las unidades operativas y que tenga acceso directo al órgano de gobierno. Además, debe contar con recursos suficientes, tanto humanos como tecnológicos y financieros, que le permitan desarrollar sus funciones con eficacia y responder a los desafíos del entorno regulatorio. Igual de importante es el acceso a datos relevantes y herramientas de análisis, que permitan al equipo de compliance identificar patrones, anticipar riesgos y evaluar la efectividad del modelo.

8. Compromiso de la alta dirección y cultura de compliance

Construir una cultura de compliance va más allá de establecer normas: implica integrar los valores éticos en el día a día de la organización. Para lograrlo, es fundamental mostrar el compromiso de la alta dirección y promover un liderazgo ético que actúe como referente, incorporando el cumplimiento como parte natural del proceso de toma de decisiones.

9. Gestión documental

Un modelo de compliance eficaz debe estar respaldado por una gestión documental rigurosa que permita evidenciar todas las actividades realizadas. Esto incluye mantener registros detallados y actualizados de las evaluaciones de riesgos, sesiones de formación, investigaciones internas, medidas disciplinarias, revisiones de políticas y cualquier otra acción relacionada con el cumplimiento.

Ejemplos Reales de Compliance en Empresas

Aunque la ley no obliga a tener implementado un plan de prevención de delitos penales en las empresas, lo cierto es que el compliance aporta varios beneficios a las empresas, siendo el más importante la posibilidad de atenuar o eximir a la empresa de su responsabilidad penal. Por ello, actualmente no es difícil encontrar algún ejemplo de compliance de una empresa, ya que cada vez son más las compañías que se preocupan de llevar al día su cumplimiento normativo.

Caso Villarejo (Macrocausa ‘Tándem’)

Empresas como Repsol, CaixaBank, Iberdrola Renovables y BBVA han sido imputadas en el caso Villarejo para aclarar una serie de contratos y pagos que se hicieron a la empresa Cenyt (perteneciente al ex-comisario) para que esta llevara a cabo diferentes trabajos, algunos de los cuales consistían en espionaje e investigación y obstaculización de competidores, entre otros. Por todos estos delitos, estas empresas podrían enfrentar penas que, aparte de elevadas multas, también podrían implicar desde la suspensión de su actividad, pasando por la inhabilitación para obtener ayudas públicas o contratar con el sector público, hasta la disolución de la compañía.

Para muestra, ya en junio de 2022, el juez instructor de la causa archivó la investigación sobre Repsol y CaixaBank, porque estas habían aportado durante la investigación su «modelo de organización y gestión para la prevención de delitos», que en el momento de los hechos investigados, cumplía con los requisitos que exige el artículo 31.2 bis del Código Penal para estos planes.

Caso Barçagate

Hablamos del conocido como el caso Barçagate, en el que se imputó a varios directivos de la cúpula del club, entre ellos el entonces presidente, Josep María Bartomeu, por los delitos de administración desleal y corrupción entre particulares. El Barçagate es un claro ejemplo de la importancia de tener no solo un programa de compliance, sino que este debe ser efectivo y promover la cultura del cumplimiento dentro de la empresa, algo que implica a los propios directivos, que son quienes deben implementar el denominado ‘tone at the top’.

Caso Volkswagen (‘Dieselgate’)

El último de nuestros casos reales de compliance nos lleva fuera de España, nos referimos al caso Volkswagen, también conocido como ‘Dieselgate’. El caso Volkswagen saltó en 2015, cuando la EPA (Agencia de Protección Medioambiental de Estados Unidos) descubrió que los coches del fabricante alemán tenían implementado en el ordenador de abordo un programa que permitía trucar las pruebas de emisiones, de manera que durante las mismas emitía menos contaminantes que cuando se conducía en condiciones normales. El escándalo salpicó a directivos y al chief compliance officer (jefe de cumplimiento) de la compañía (que además fue detenido y finalmente declarado culpable). Sin embargo, Volkswagen tenía implementado un sistema de compliance y un código ético. Lo que ocurrió es que la directiva decidió ignorar su propio sistema de compliance y aceptar el riesgo que suponía trucar las pruebas. Incluso llegó a indicar a sus ingenieros que debían ocultar toda la información relativa a ello.

Estos ejemplos demuestran que el compliance no solo se trata de cumplir normas, sino de construir una cultura organizacional basada en la ética, la transparencia y la responsabilidad. Porque el compliance también es prevenir la comisión de delitos, tener un mayor control sobre las operaciones de la empresa y los riesgos de incumplimiento a los que pueden enfrentarse sus miembros en su desempeño.

Tabla Comparativa de Modelos de Compliance