ANÁLISIS DE LA ESTANDARIZACIÓN DE MODELOS

DE CUMPLIMIENTO PENAL
BDO Risk & Advisory Services / Abogados y Asesores Tributarios

UNE 19601
Sistemas de gestión del Compliance Penal

People who know, know BDO

Auditoría & Assurance | Advisory | Abogados | Outsourcing

 UNE 19601: sistemas de gestión del compliance penal
ESTANDARIZANDO LOS MODELOS
DE CUMPLIMIENTO PENAL
Marcos internacionales de los modelos de gestión de riesgos penales
Desde el año 2010 el panorama
empresarial español está revolucionado
con motivo de la posible imputación por
responsabilidad penal derivada de una
serie de delitos que se puedan cometer
en el seno de las organizaciones.
El 23 de diciembre de 2010 el legislador introdujo por primera
vez en nuestro país la responsabilidad penal de la persona
jurídica. No obstante, esta responsabilidad penal no está
prevista para todos los supuestos de hecho que contempla
nuestro Código Penal, aunque sí para una lista cerrada de
delitos contemplados en el ya famoso artículo 31 bis del
Código Penal.
Esta novedad legislativa no es fruto de la imaginación del
legislador, sino que es fruto de la adecuación de nuestro
modelo legislativo a la realidad internacional que se ha
producido durante las últimas décadas tras varios
acontecimientos. En este sentido, podríamos señalar diversos
hitos en la historia reciente que han marcado esta nueva
modalidad de responsabilidad por parte de las personas
jurídicas.
En primer lugar, nos remontamos a los años 70, con el
nacimiento de la FCPA (Foreign Corrupt Practices Act), norma
que establece por primera vez la figura del Compliance Officer
en las organizaciones americanas. Podríamos decir que esta
normativa es el origen de los sistemas antibribery que se han
ido desarrollando con posterioridad.
Asimismo, durante las décadas 80 y 90 hemos vivido una
época de globalización en la que, a raíz de la libertad de
movimiento de personas, bienes y finanzas, ha prosperado la
criminalidad organizada, atravesando las fronteras de los
países. Este hecho ha supuesto la aparición de iniciativas o
corrientes a favor del autocontrol y responsabilidad de las
corporaciones, dando lugar a políticas mundiales relacionadas
con la prevención del blanqueo de capitales, iniciativas
anticorrupción de la ONU y la OCDE, y el desarrollo de
prácticas de Buen Gobierno.
La primera década del siglo XXI no estuvo exenta de
acontecimientos que, igualmente, han marcado la historia
legislativa reciente. Escándalos empresariales como los
acontecidos en Enron, Parmalat, Xerox, Siemens, Madoff, etc.,
provocaron la aparición de Committee of Sponsoring
Organizations of the Treadway Commission (COSO),
proporcionando orientación sobre el control interno, gestión
de riesgos y disuasión del fraude, Directrices de la OCDE y
Sarbanes-Oxley Act (SOX), que tratan de reforzar la idea de
Compliance, tanto legal como financiero, estableciendo
condiciones muy exigentes en relación con la exactitud y
veracidad de la información divulgada por las empresas.
Asimismo, aumentan las exigencias por parte de la Unión
Europea de establecer la responsabilidad de las personas
jurídicas, en cada país miembro, por hechos delictivos
cometidos en su seno.
Posteriormente llegamos a la crisis mundial del 2007, con la
caída de Leheman Brothers y el estallido de las hipotecas
subprimes. Ante esta situación, y ante la necesidad de poner
freno al reparto de dividendos y retribuciones vía bonus en las
entidades financieras, los Estados y las Organizaciones
Internacionales empiezan a primar la cultura del Governance y
la Ética en los Negocios, desarrollándose así los estándares ISO
en la materia.
UNE 19601: sistemas de gestión del compliance penal

En ese contexto nacen, entre otras, las siguientes legislaciones:

• En Italia, a través del Decreto
Legislativo 231, de 8 de junio de
2001, se estableció la
responsabilidad administrativa de
las personas jurídicas, si bien los
procedimientos por este tipo de
infracciones se llevan a cabo ante la
jurisdicción penal, y bajo las
normas del proceso penal.
• Por su parte, Chile, y como
requerimiento para su ingreso en la
OCDE, aprobó la Ley 20.393 de
2009, estableciendo la
responsabilidad penal de las
personas jurídicas en los delitos de
cohecho, lavado de activos y
financiamiento del terrorismo.
• Reino Unido, y tras un destacado
escándalo empresarial en materia
de corrupción, protagonizado por
BAE Systems, aprobó en 2010 la
conocida Bribery Act,
comprometiéndose con la OCDE
en la lucha contra la corrupción.

En este marco Internacional, y como hemos mencionado
anteriormente, nuestro legislador estableció la responsabilidad
penal de la persona jurídica en 2010, concretando, mediante
una nueva reforma de nuestro Código Penal en 2015, qué
deben contener los modelos de Compliance a los que se aluden
en diferentes legislaciones y normas o estándares
internacionales, para que los mismos puedan servir de
eximente en la imputación penal de las organizaciones.
Y es en este punto es el que nos encontramos, con grandes
referencias legislativas y la idea de implantar un órgano o
cultura de Compliance en las organizaciones. Pero, ¿cómo
llevarlo a cabo?
La respuesta la encontramos en la reciente aprobación de la
UNE 19601, que contiene los requisitos para la
implementación de un programa de Compliance penal.
Este estándar o especificación técnica nacional, de carácter
voluntario, tiene su origen en las especificaciones técnicas
internacionales ISO 19600, que establece las recomendaciones
para el establecimiento de un sistema de Compliance general,
e ISO 37001, en relación con el establecimiento de un sistema
de gestión adecuado para la prevención del soborno en las
organizaciones. Asimismo, recoge las directrices establecidas
en la Circular 1/2016 del Ministerio Fiscal, en el que se
establecen instrucciones a los fiscales para valorar la eficacia
de los planes de Compliance en las organizaciones que tras la
reforma se configuran como una eximente de la
responsabilidad penal.
 UNE 19601: sistemas de gestión del compliance penal

UNE 19601:
GESTIÓN DEL COMPLIANCE PENAL

La norma UNE 19601 establece los requisitos que debe
contener un sistema de gestión de Compliance penal, alineado
con los estándares normativos internacionales anteriormente
indicados, e incorporando un amplio catálogo de buenas
prácticas que darían lugar a un adecuado modelo de
Compliance en una organización.
Tiene carácter voluntario y es aplicable a cualquier sector,
tanto privado como público, así como a entidades sin ánimo de
lucro.
Esta norma UNE establece un marco de referencia completo
que permitirá disponer de un sistema de gestión de
Compliance penal adecuado a (i) las exigencias del Código
Penal español y (ii) los estándares internacionales en materia
de Compliance. En este sentido, la UNE 19601 integra los
requisitos que establece nuestro Código Penal en la estructura
de alto nivel desarrollada por ISO, de tal forma que queden
alineados los diversos sistemas de gestión de la organización.
La UNE 19601 regula la cultura de Compliance y la ética
empresarial, estableciendo los requisitos necesarios que debe
contener la Política de Compliance Penal. Dicha Política debe:
1. Exigir el cumplimiento de la legislación penal aplicable a la
organización.
2. Ser concurrente con los fines de la organización.
3. Identificar las actividades en cuyo ámbito puedan ser
cometidos los delitos que deban ser prevenidos.
4. Prohibir la comisión de hechos delictivos.
5. Minimizar la exposición de la organización a los riesgos
penales.
6. Proporcionar un marco adecuado para la definición, revisión
y consecución de los objetivos de Compliance penal.
7. Incluir un compromiso para cumplir con los requisitos de la
política de Compliance y del sistema de gestión de
Compliance penal.
8. Imponer la obligación de informar sobre hechos o conductas
sospechosas relativas a riesgos penales, garantizando la no
represalia al informante.
9. Incluir un compromiso con la mejora continua del sistema
de gestión de Compliance penal.
10. Imponer la autoridad e independencia del órgano de
Compliance penal.
11. Exponer las consecuencias de no cumplir los propios
requisitos de la política de Compliance penal, así como de
los derivados del sistema de gestión de Compliance penal.
La Política de Compliance Penal hace referencia a la
“Voluntad de una organización, según la expresa formalmente
su alta dirección o su órgano de gobierno, en relación con sus
objetivos de Compliance Penal”. Sería la expresión del Tone at
the Top del que tan regularmente se habla.
Asimismo, la norma UNE establece qué es un sistema de
gestión de Compliance Penal, marcando la diferencia con la
Política de Compliance Penal, definiéndolo como “el conjunto
de elementos de una organización, interrelacionados o que
interactúan para concretar y medir el nivel de consecución de
objetivos en materia de Compliance Penal, así como las
políticas, procesos y procedimientos para lograr dichos
objetivos”.
UNE 19601: sistemas de gestión del compliance penal

Este sistema de gestión penal está compuesto por el análisis y

evaluación del riesgo penal, y por los controles con los que
cuenta la organización para mitigarlo, sus modelos de gestión y
sus objetivos específicos en materia penal.
La cultura del Compliance en nuestro país es relativamente
reciente. Por ello, han sido las empresas de mayor tamaño las
pioneras en el desarrollo de modelos de prevención, sobre todo
en aquellos sectores más regulados, como el farmacéutico y el
financiero. En relación con las pequeñas y medianas empresas,
aproximadamente solo el 40% ha iniciado algún tipo de trabajo
en materia de Compliance.

Este sistema de gestión

penal está compuesto por
el análisis y evaluación
del riesgo penal, y por
los controles con los que
cuenta la organización para
mitigarlo, sus modelos
de gestión y sus objetivos
específicos en materia penal.
 UNE 19601: sistemas de gestión del compliance penal
POSICIÓN DE LA FISCALÍA GENERAL
DE ESTADO
La Circular 1/2016 de la Fiscalía General del Estado expone una
serie de aclaraciones en relación con la responsabilidad penal
de las personas jurídicas conforme a la última reforma del
Código Penal efectuada por la Ley Orgánica 1/2015.
Uno de los apartados que nos merece especial atención es el
relativo al régimen de exención de responsabilidad de las
personas jurídicas: los modelos de organización y gestión.
En este sentido, en la referida reforma del Código Penal, se
establece que la persona jurídica quedará exenta de
responsabilidad si se cumplen una serie de condiciones:
“1.ª el órgano de administración ha adoptado y ejecutado con
eficacia, antes de la comisión del delito, modelos de
organización y gestión que incluyen las medidas de vigilancia
y control idóneas para prevenir delitos de la misma naturaleza
o para reducir de forma significativa el riesgo de su comisión;
2.ª la supervisión del funcionamiento y del cumplimiento del
modelo de prevención implantado ha sido confiada a un
órgano de la persona jurídica con poderes autónomos de
iniciativa y de control o que tenga encomendada legalmente
la función de supervisar la eficacia de los controles internos
de la persona jurídica;
3.ª los autores individuales han cometido el delito eludiendo
fraudulentamente los modelos de organización y de
prevención y
4.ª no se ha producido una omisión o un ejercicio insuficiente
de sus funciones de supervisión, vigilancia y control por parte
del órgano al que se refiere la condición 2.ª”
Llegados a este punto, no resultará fácil para Jueces y Fiscales
valorar la adecuación y eficacia de dichos modelos por parte de
las organizaciones. Y, por su parte, las sociedades
potencialmente responsables de la comisión de delitos en el
seno de su organización, demandan el establecimiento de unos
criterios homogéneos, claros y objetivos en la valoración de sus
respectivos modelos. Ante esta situación y para dar respuesta
a ambas necesidades, consideramos que la norma UNE 19601
servirá como marco de referencia para todos los agentes
involucrados en los procesos de responsabilidad penal de las
personas jurídicas, sobre los contenidos que deben tener los
modelos de Compliance Penal, su adecuación a cada
organización y su eficacia comprobada.
En relación con dicha adecuación y eficacia de los modelos de
Compliance, éstos deben estar perfectamente adaptados a la
empresa y a sus concretos riesgos, análisis que será realizado al
identificar las actividades concretas que desarrolla la
organización y en la que se pueden cometer hechos delictivos.
Asimismo, los modelos de Compliance, además de tener
eficacia preventiva, deben posibilitar la detección de conductas
delictivas, con medidas tales como el establecimiento de
canales de denuncia que permitan a empleados y/o terceros la
comunicación al organismo encargado de velar por el
funcionamiento del modelo, aquellas conductas observadas
que pudiesen ser constitutivas de delito.
Se establece igualmente la obligatoriedad de implementar un
sistema disciplinario que sancione incumplimientos al modelo
de Compliance. La existencia de un sistema disciplinario
presupone la existencia igualmente de un código ético o de
conducta que recoja las obligaciones de directivos y
empleados.
UNE 19601: sistemas de gestión del compliance penal

En último lugar, para considerar como adecuado un modelo de

Compliance, se impone el deber de verificar periódicamente
la eficacia del mismo, y más aún cuando concurran
circunstancias en la organización que pudiesen modificar el
análisis y valoración de los riesgos.
En este sentido, en el Anexo A de la UNE 19601 se exhibe una
detallada correspondencia entre el artículo 31 bis del Código
Penal con los diferentes capítulos de la norma, lo que permite a
las organizaciones acreditar cómo la adecuación con el
estándar podría justificar el funcionamiento del sistema, en
caso de una posible imputación, ante los Tribunales.
La pretensión de la citada norma es el establecimiento de un
estándar adecuado y conforme con nuestro Código Penal,
unido a las mejores prácticas internacionales en materia de
modelos de organización y gestión de riesgos penales.
 UNE 19601: sistemas de gestión del compliance penal

CONTACTO

BDO dispone de profesionales multidisciplinares especializados en el asesoramiento

para la prevención y detección de delitos penales. Nuestros servicios incluyen desde el
asesoramiento en el diseño, implantación y evaluación de los Modelos de Corporate
Defense, al asesoramiento y asistencia legal en el ámbito de la responsabilidad penal de
los administradores y los análisis forenses.

ENRIC DOMÉNECH LEYRE ZAYAS MARISCAL IGNACIO LEGIDO

Socio | Risk & Advisory Services Gerente Risk Advisory Socio legal
+34 91 436 41 90 +34 91 436 41 90 +34 91 436 41 95
enric.domenech@bdo.es leyre.zayas@bdo.es ignacio.legido@bdo.es
UNE 19601: sistemas de gestión del compliance penal

ALICANTE
BARCELONA
BILBAO
GRAN CANARIA
MÁLAGA 9

MADRID
SEVILLA
PAMPLONA Exceptional client service worldwide
VALENCIA 67.700 profesionales | 1.400 oficinas | 158 países

VALLADOLID
ENRIC DOMÉNECH IGNACIO LEGIDO
VIGO
Socio | Risk & Advisory Services Socio legal
ZARAGOZA enric.domenech@bdo.es ignacio.legido@bdo.es

www.bdo.es/servicios/advisory/risk-advisory
www.bdo.global
www.bdo.es/blogs/blog-coordenadas-bdo

BDO Auditores, S.L.P. y BDO Abogados y Asesores Tributarios, S.L.P., sociedades limitadas españolas, son miembros de BDO International Limited, una compañía limitada
por garantía del Reino Unido y forman parte de la red internacional BDO de empresas independientes asociadas.

BDO es la marca comercial utilizada por toda la red BDO y por cada una de sus firmas miembro.