Compliance - Asociacion Española Compliance

Cuadernos de Compliance
¿Qué es
Compliance?
Alain Casanovas
01
Instituto de Estudios
de Compliance
www.asociacioncompliance.com
Cuadernos de Compliance - 01
www.asociacioncompliance.com ¿Qué es Compliance?
Alain Casanovas Abogado y miembro de la Junta Directiva de la Asociación Española de

Compliance ASCOM, es socio responsable de los servicios de Legal
Compliance en KPMG España. Experto acreditado y Head of Spanish
Delegation en los Project Committees 271 y 278 de ISO que produjeron
los estándares ISO 19600 sobre Compliance Management Systems e ISO
37001 sobre Anti-Bribery Management Systems. Coordinador y miembro
del grupo de trabajo ad-hoc de la Asociación Española de Normalización
UNE elaborador de la Norma UNE 19601 sobre sistemas de gestión de
Compliance penal.
Codirector de los dos primeros Programas de postgrado de Compliance en

España, en la Universidad Carlos III de Madrid y la Universitat Pompeu Fabra
(UPF) de Barcelona. Codirector del Programa Enfocado del IESE sobre
Compliance, Responsabilidad Social y Buen Gobierno. Director técnico
de los congresos nacional e internacional de Compliance organizados por
Thomson Reuters y ASCOM.
© 2018
La Serie de Cuadernos de Compliance es propiedad intelectual del

autor, estando prohibida la reproducción total o parcial del documento
o su contenido sin su consentimiento expreso, así como su difusión por
cualquier medio, incluyendo, de forma no limitativa, los soportes en papel,
magnéticos, ópticos, el acceso telemático o de cualquier otra forma que
resulte idónea para su difusión y conocimiento público.
La información contenida en esta publicación constituye, salvo error u

omisión involuntarios, la opinión del autor con arreglo a su leal saber y
entender, opinión que no constituye en modo alguno asesoramiento y que
subordina tanto a los criterios que la jurisprudencia establezca, como a
cualquier otro criterio mejor fundado. Los comentarios planteados sólo
recogen algunas cuestiones de índole general, que pueden ser de utilidad
a meros efectos informativos. Pero los contenidos de dichos comentarios
no pretenden ser exhaustivos y sólo reflejan el entendimiento del autor
de los aspectos que considera más relevantes respecto de las materias
tratadas. El autor no se responsabiliza de las consecuencias, favorables o
desfavorables, de actuaciones basadas en las opiniones e informaciones
contenidas en este documento.
2
© Alain Casanovas. Prohibida la distribución o reproducción total o parcial de este documento sin el consentimiento del autor.
Presentación En las conversaciones actuales puede hablarse de Compliance

sin que nadie se sorprenda. Es un término extendido, que
forma ya parte del vocabulario del mundo empresarial y
también del jurídico. Pero no siempre fue así.
El incremento del número de normas a cumplir, su creciente

naturaleza técnica y variabilidad en el tiempo han
generalizado la importancia del Compliance, antes coto casi
exclusivo de los mercados regulados. En ocasiones, aparece
un revulsivo que le brinda el protagonismo que merece en la
sociedad moderna: en España, la introducción del régimen de
responsabilidad penal de las personas jurídicas fue un factor
clave de este impulso, que determinó su expansión a la
prevención de ciertos delitos y sirvió también como trampolín
para constatar su utilidad general más allá de este propósito.
En otros países se habían dado experiencias parecidas, que
siguen repitiéndose actualmente alrededor del mundo.
Siguiendo una aproximación clásica, podríamos decir que

el Compliance es un conjunto de prácticas que ayudan a
prevenir, detectar y gestionar razonablemente los riesgos
asociados con el cumplimiento de las normas que afectan a
las organizaciones. Bajo este paraguas se engloban tanto las
normas a las que se hallan sometidas, como las que asumen
voluntariamente. Los daños derivados del incumplimiento
de ambas categorías no sólo se miden económicamente,
sino también en términos de reputación.
Puesto que se trata de una disciplina relativamente nueva,

no es extraño que algunas organizaciones decidieran
gestionarla mediante técnicas prestadas de otros campos
cercanos, como la gestión de riesgos. Sin embargo, en los
últimos años, se han emtido estándares internacionales sobre
Compliance, muy adaptados a esta nueva realidad y que
determinan el estado del arte actual en esta materia. Podría
decirse que, en poco tiempo, se ha conformado un lenguaje
de comunicación común que aproxima a los profesionales del
Compliance con independencia del país en el que operen.
En estos Cuadernos explicaré aspectos esenciales para

comprender esta nueva realidad, comenzando por saber qué
es Compliance.
Alain Casanovas
3
Índice
1. La curva de madurez del Compliance
2. Obligaciones de Compliance
3. La cultura ética y de respeto a las normas
4. De los programas a los sistemas de gestión

de Compliance
5. Autonomía e independencia
6. Sistemas de gestión genéricos y específicos
7. El paper Compliance
8. Preguntas frecuentes
4
1.
La curva de
Primera etapa
La evolución del Compliance está siendo muy rápida.
Encontramos antecedentes sobre su tratamiento en los
sectores regulados: es el caso, por ejemplo, de los textos
redactados en el año 2005 por el Comité de supervisión
madurez del bancaria de Basilea y de IOSCO, en los ámbitos de la banca
y de la intermediación financiera, respectivamente. La prolija
Compliance. regulación de estas actividades trata de salvaguardar a amplios
colectivos de sujetos (depositantes, inversores, usuarios,
etc), y su transgresión no sólo erosiona la confianza en las
organizaciones involucradas, sino en los mercados en general.
Por ello, las crisis de Compliance en estos ámbitos derivan
fácilmente en crisis de confianza y pánico bancario, de efectos
devastadores. No es de extrañar que, en estos contextos, los
modelos de negocio se cimienten en el cumplimiento estricto
de normas complejas, circunstancia que condicionó la creación
temprana de departamentos de cumplimiento normativo.
Debido a sus graves consecuencias, la transgresión del marco
regulatorio no sólo conlleva sanciones económicas sino
que puede también producir la pérdida de autorizaciones o
licencias administrativas, hasta el punto de poner en riesgo
la continuidad de las operaciones de las organizaciones
afectadas.
Segunda etapa
El constante incremento del volumen, complejidad y
variabilidad de las normas, así como la creciente severidad
de las consecuencias asociadas a su violación, es algo que
afecta actualmente a cualquier organización, dejando de
ser un fenómeno exclusivo de los mercados regulados. Este
entorno complejo provoca la expansión del Compliance
fuera de esos ámbitos, normalmente de la mano de bloques
normativos de aplicación general que irrumpen con gran
5
fuerza en el ordenamiento, como sucede con la prevención

del soborno o la protección de la privacidad, por citar un par
de ejemplos. Casos ejemplarizantes ayudan a comprender
que cualquier organización puede sufrir en primera persona
sus consecuencias tanto económicas como reputacionales.
Comienzan entonces a plantearse la necesidad de aplicar
técnicas y medidas organizativas que les eviten tales
A las experiencias, proyectadas sobre el amplio espectro de normas
organizaciones jurídicas que les afectan, empezando normalmente por las de
les resulta consecuencias más graves (esfera penal).
insuficiente
amparar sus Tercera etapa
decisiones El nivel de exigencia de los mercados provoca el nacimiento
en la de regulaciones privadas que trascienden de los requisitos
legales. Aumenta la importancia de aplicar buenas prácticas
interpretación en el quehacer de las organizaciones, lo que deriva en códigos
literal de privados tano sectoriales como de empresa. Son textos que
las normas formalizan el compromiso con el desarrollo de buenas prácticas
jurídicas, y brindan directrices a tales efectos. Su contenido sobrepasa
cuando la regulación jurídica, en el sentido de elevar el umbral de
exigencia para satisfacer las expectativas de los grupos de
finalmente sus interés. En muchas ocasiones, esta regulación enmarca el
actuaciones se tratamiento ético o deontológico de las operaciones.
perciben como Conscientes de su importancia, las organizaciones no sólo
injustas. adoptan este entramado de normas voluntarias, sino que
proyectan sobre ellas las buenas prácticas de Compliance. Así,
las obligaciones de Compliance pasan a comprender tanto las
impuestas por los poderes públicos (“requirements”), como
las asumidas voluntariamente (“committments”).
Cuarta etapa
La sociedad deja de tolerar comportamientos que, siendo
legales, son éticamente reprobables. Por ello, a las
organizaciones les resulta insuficiente amparar sus decisiones
en la interpretación literal de las normas jurídicas, cuando
finalmente se perciben como injustas. El empleo generalizado
de social media lleva fácilmente las crisis de confianza
a aquellas organizaciones que se limitan a cumplir con la
Ley pero observan conductas éticamente reprobables. Se
produce un rechazo a los comportamientos hipócritas,
donde se publicitan unos valores que se incumplen
sistemáticamente, amparándose en la legalidad. Los poderes
públicos adquieren conciencia de esta nueva realidad y exigen
de las organizaciones conductas éticamente correctas.
En ese escenario, sólo adquiere sentido la interpretación de
las normas (“requirements”) al amparo de los fundamentos
éticos que subyacen en los compromisos asumidos frente a la
sociedad (“committments”).
6
2.
En el apartado anterior he explicado las dos fuentes de
obligaciones de Compliance: los “requirements”, que son
aquellas normas que vienen impuestas a la organización;
y los “committments” que son aquellas otras asumidas
Obligaciones voluntariamente. Los sistemas de gestión de Compliance

modernos se proyectan sobre ambas categorías.
de Compliance.
En la terminología clásica de los sistemas de gestión, dejar
de cumplir con cualquiera de estas obligaciones se considera
una “no conformidad”, sin que existan diferencias entre
unas y otras. Sin embargo, el primer estándar internacional
sobre Compliance, la norma ISO 19600:2014, determinó un
avance conceptual al distinguir entre “no conformidad” e
“incumplimiento”. El primer concepto viene provocado por
el quebranto de un requisito del sistema de gestión, mientras
que el segundo representa el incumplimiento de alguna
obligación sustantiva de Compliance, sea un “requirement” o
un “committment”. No solicitar la preceptiva autorización para
obsequiar a un potencial cliente sería una “no conformidad”,
pero no necesariamente un “incumplimiento” si no contraviene
al patrón de conducta esperado por la ley y/o por la propia
organización (evitar pagar sobornos, por ejemplo).
Esta aproximación permite mejorar el sistema de gestión, dado

que un “incumplimiento” no precedido de una “no conformidad”
delata una vulnerabilidad a corregir. No obstante, a pesar de
su valor técnico, no se sigue esta aproximación en estándares
de Compliance posteriores, como la norma ISO 37001:2016
sobre sistemas de gestión anti-soborno o la Norma española
UNE 19601:2017 sobre sistemas de gestión de Compliance
penal. Estos textos recurren a la acepción clásica de “no
conformidad”, en un sentido amplio que engloba también el
“incumplimiento”.
7
3.
Las buenas prácticas sobre Compliance, recogidas en
los estándares avanzados, remarcan la importancia de
garantizar no sólo el cumplimiento de la Ley sino de los
valores, principios y patrones de conducta que asumen
La cultura las organizaciones.
ética y de Compliance y positivismo

respeto a las
Una buena parte de sistemas jurídicos son el resultado de la
normas. plasmación de las líneas de pensamiento positivistas, que
trasladan al mundo del Derecho el racionalismo. Bajo su
concepción, el mundo del Derecho, como herramienta para
la justa ordenación de la conducta humana, cristaliza en los
Códigos emitidos por el Poder Legislativo, alejando de esta
esfera otras aproximaciones basadas en acepciones morales,
éticas o religiosas. Por eso, en los ordenamientos jurídicos
de sesgo positivista es difícil hallar preceptos que recurran
a términos o valoraciones propias de estos ámbitos. En el
Código penal español, por ejemplo, no se cita ni una sola vez
el término “ética”, a pesar de que últimamente aparezca en
textos trascendentes de Compliance, como la Circular 1/2016
de la Fiscalía General del Estado o las sentencias más
relevantes del Tribunal Supremo interpretando el régimen de
responsabilidad penal de las personas jurídicas. Lo mismo
sucede en otros contextos y países: lo vemos también en el
ámbito de la tributación, donde se expande el concepto de
“tax morality” y cobran fuerza iniciativas que tratan de evitar
conductas ceñidas a la ley pero contrarias a la equidad
fiscal (BEPS de la OCDE, por ejemplo). A la luz de los
escándalos económicos que salpican la prensa diaria, la
sociedad percibe que ceñirse al tenor literal de las leyes no
siempre garantiza una buena conducta.
8
Compromisos éticos
Conscientes de este nuevo entorno, las organizaciones
que propugnan una gestión responsable tienden a ampliar
su abanico obligacional asumiendo voluntariamente
compromisos que trascienden los requisitos legales mínimos.
Es una forma de brindar confort a los grupos de interés y
apuntalar la sostenibilidad, siempre y cuando dichos
compromisos se cumplan. De ahí que las entidades
verdaderamente comprometidas con ellos los incluyan en
el ámbito del Compliance, dándoles así un protagonismo y
respaldo equivalente al de las normas tradicionales.
Fuentes de las obligaciones éticas

de Compliance.
Hay muchas maneras de asumir compromisos adicionales
a los fijados en la Ley. En ocasiones, algunas plataformas
u organizaciones emiten documentos de buenas prácticas
a los que las empresas se pueden adherir. Es habitual que
tengan una orientación sectorial, aunque también existen
compromisos de amplio alcance, como los de la iniciativa
Global Compact de las Naciones Unidas, por ejemplo.
También es posible que las organizaciones establezcan y

publiciten sus compromisos a través de Códigos Éticos,
Códigos de Conducta, documentos de ideario o valores y
equivalentes. Estos textos no sólo determinan el propósito
Los Códigos último de la organización sino los parámetros de conducta
esperados para alcanzarlos. De un tiempo a esta parte,
Éticos no sólo este tipo de textos ha incrementado su complejidad técnica
determinan para devenir el vértice del sistema normativo de las
el propósito organizaciones: su contenido es el que brinda sentido
último de la interpretativo a las normas o instrucciones de rango inferior,
como sucede en cualquier ordenamiento jurídico. Encontrarás
organización más información sobre ello en el Cuaderno número 7 de esta
sino los Serie (“Árbol de políticas de Compliance”).
parámetros
de conducta Sin embargo, la mera existencia de estos documentos
esperados no garantiza su aplicación uniforme y consistente en
las organizaciones, siendo éste un argumento obvio para
para incorporarlos al espectro de Compliance, que procurará su
alcanzarlos. aplicación efectiva como si de Ley se tratase. Lo contrario
equivale a considerar que los compromisos asumidos
voluntariamente son una categoría inferior de obligaciones,
lo cual es intolerable cuando se hacen públicos y terceros
depositan su confianza en ellos.
9
El Chief Ethics & Compliance

Officer.
En cualquier caso, los compromisos asumidos de manera
voluntaria normalmente exceden de las indicaciones legales
y suelen tener su fundamento en aspectos éticos, morales
o incluso religiosos. Por este motivo, cuando se incluyen
dentro del ámbito del Compliance, esta función adquiere
unos cometidos mucho más amplios que los clásicos de
cumplimiento normativo o regulatorio. Conscientes de ello, las
organizaciones que así lo entienden designan un Chief Ethics
& Compliance Officer, título que subraya su preocupación en
no limitarse al cumplimiento estricto de las leyes sino también
de procurar una conducta ética, y todo ello mediante
idénticos mecanismos organizativos. Para mantener una
conducta aceptable en la sociedad actual no cabe discriminar
entre normas de primer orden (las obligadas) y de segundo
orden (las auto-impuestas).
Relación tradicional entre ética y

Compliance
La relación entre ética y Compliance no es en absoluto
un descubrimiento nuevo: textos ampliamente conocidos,
como las US Sentencing Commission Guidelines que
vienen publicándose desde la década de los 90, fijan las
características de un “Effective Compliance & Ethics Program”
y subrayan que dentro de sus objetivos está el promover una
cultura ética.
Las tendencias modernas en materia de Compliance

abandonan el enfoque tradicional basado en establecer
parámetros de conducta y controlar su cumplimiento,
desplazándose hacia las prácticas que ayudan a cultivar la
cultura ética de los sujetos, a través de formación o mediante
campañas internas de concienciación, por ejemplo.
Profundizo sobre la relación existente entre ética y Compliance

en el Cuaderno número 6 de esta Serie (“Cultura ética y de
respeto a las normas”).
10
4.
En las últimas décadas se ha asociado el término
“Compliance” con el concepto de “Programa”. Las Líneas
Directrices que publica anualmente la US Sentencing
Commission nos hablan de los “Effective Compliance &
De los Ethics Programs”. Igualmente, el primer estándar nacional

en esta materia, la norma australiana AS 3806 del año 2006,
programas a versaba sobre “Compliance Programs”. Y así encontramos un
los sistemas sinfín de documentos, incluyendo los emitidos por la OCDE,

que comparten esta nomenclatura. Sin embargo, los textos
de gestión de modernos varían su orientación y abogan por los sistemas
Compliance. de gestión: es el caso de los estándares internacionales ISO

19600:2014 sobre Compliance Management Systems (CMS),
e ISO 37001:2016 sobre Anti-Bribery Management Systems
(ABMS), así como la Norma española UNE 19601:2017 sobre
sistemas de gestión de compliance penal. Este cambio no es
intrascendente, y obedece a un salto evolutivo en el modo
de organizar y gestionar el Compliance. Entraña una mejora
considerable en términos de eficacia.
Diferencias entre Programa y

Sistema de gestión
Simplificando las diferencias a efectos didácticos, podríamos
decir que un programa está compuesto por un conjunto
de elementos que se consideran adecuados para alcanzar
determinada finalidad. Un sistema de gestión también,
pero sus componentes se retroalimentan unos a otros,
afectándose y generando unas propiedades globales que no
se observan individualmente. En términos algo más técnicos,
podríamos decir que son sistemas complejos, mientras que
los programas suelen operar como sistemas complicados,
entendidos como la mera concurrencia de componentes que
siempre operan del mismo modo.
11
Lógica sistémica en el diseño,

operación y evaluación
Para diseñar, operar y evaluar un sistema de gestión, deben
conocerse las claves que condicionan su comportamiento
sistémico. Su ausencia erosiona tanto su razonabilidad
como su eficacia, hasta convertirlo en un conjunto inerte de
elementos, que nos retrotrae a la aproximación superada de
programa. Por eso, cuando en el mercado se valoran sistemas
Cuando en el de gestión de Compliance basados en los estándares ISO
y UNE citados anteriormente, se está haciendo hincapié en
mercado se el valor añadido que supone el empleo de sistemas de
solicitan los gestión, y la mayor confianza que generan en el mercado.
estándares En el Cuaderno número 4 de esta Serie (“Sistemas de gestión
ISO y UNE, se de Compliance”) desarrollo los compontes generalmente
aceptados que conforman un sistema de gestión en el ámbito
está haciendo del Compliance.
hincapié en el
valor añadido
que supone
el empleo
de sistemas
de gestión
y la mayor
confianza que
generan.
12
5.
Autonomía e independencia son cualidades importantes
para cualquier modelo de Compliance, siendo unos factores
claramente determinantes de su efectividad. Aunque algunas
personas los confunden, no son términos sinónimos.
Autonomía e La autonomía de la función de Compliance viene

independencia. determinada por su capacidad de operar sin necesidad de
ser continuamente mandatada. El concepto guarda relación
con una gestión proactiva, amparada en el libre acceso a
todas las informaciones y personas de la organización,
precisas para desarrollar razonablemente sus cometidos. La
independencia, sin embargo, se vincula con la neutralidad
en la toma de decisiones, de manera que su recto proceder
no se vea afectado por condicionantes ajenos a su función
o el miedo a represalias. Desarrollo estos conceptos y
sus evidencias en el Cuaderno número 5 de esta Serie
(“Autonomía e independencia en Compliance”).
Un órgano de Compliance puede ser autónomo, por disponer

de amplias facultades operativas, pero no independiente,
por estar supeditado a intereses de negocio cortoplacistas.
También puede ser independiente pero carecer de
autonomía, al no estar debidamente reconocido en el seno
de la organización o no disponer de recursos adecuados para
llevar a cabo sus labores.
La ausencia tanto de autonomía como de independencia

menoscaba gravemente la eficacia de la función de
Compliance. Por eso, es importante diseñar modelos de
Compliance que garanticen su concurrencia hasta donde sea
posible.
13
6.
Los sistemas de gestión de Compliance tanto pueden
ser genéricos como específicos. Los genéricos no
están ideados para proyecarse sobre las obligaciones
de un ámbito concreto, como sí lo están los específicos.
Sistema El estándar internacional ISO 19600:2014 establece
de gestión
directrices genéricas para diseñar sistemas de gestión
de Compliance en cualquier campo, pero deja de tener
genéricos y sentido emplearlo cuando existen estándares específicos
específicos. mejor acondicionados para un rol concreto. Así, aunque
puede articularse un sistema de gestión anti-soborno
según dicho estándar genérico, probablemente es mejor
recurrir al estándar ISO 37001:2016 sobre sistemas de
gestión anti-soborno, más adaptado a ese propósito.
Superestructuras de Compliance
Los estándares genéricos, como el citado ISO
19600:2014, pueden utilizarse ante cualquier entorno
de Compliance donde no hallemos directrices o
requisitos especializados, pero también para fijar y
evaluar estructuras de coordinación transversal: las
denominadas superestructuras de Compliance.
Cumplir con las normas no es ninguna novedad, pues

la mayor parte de organizaciones siempre lo han
hecho. La paulatina aparición de obligaciones sobre
aspectos concretos ha llevado a establecer equipos
internos especializados en ellos: ha sucedido en el
medio ambiente, en la prevención penal y del soborno,
en el respeto a las normas de libre competencia, en
la protección a los consumidores y usuarios, etc. La
diferencia del entorno normativo del siglo XXI respecto
14
de etapas anteriores radica en esa pluralidad, que

viene acompañada de una gran complejidad técnica
individual. En estos contextos, se precisa coordinar las
necesidades y actuaciones de cada uno de los bloques
o dominios de Compliance, a fin de racionalizar los
recursos y beneficiarse de sinergias. Lo contrario, esto
es, su gestión fragmentada, provoca descoordinación,
ineficiencias y debilita notablemente el entorno de
control de las organizaciones.
Una superestructura articulará y gestionará las prácticas

Una comunes que benefician a todos los bloques o dominios
superestruc- de Compliance (buena parte de los procedimientos
de diligencia debida, por ejemplo), permitiendo
tura de que estos proyecten su labor en las actividades
Compliance verdaderamente diferenciales, que es donde aportan su
articulará y valor. Adicionalmente, coordinará las necesidades de
gestionará cada área para asegurar que las iniciativas vinculadas a
prácticas cualquiera de ellas son consistentes y benefician a las
comunes que restantes en cuanto sea posible.
benefician
a todos los
bloques o
dominios de
Compliance.
15
7.
Los modelos de Compliance destinados a generar una mera
apariencia de organización y gestión reciben diferentes
nombres: “paper compliance”, “make up compliance”, “fake
compliance”, etc. El nivel de compromiso de una organización
Paper con promover una cultura ética y de respeto a la Ley

no se valora por el volumen de papel, sino a través de la
Compliance. razonabilidad y aplicación efectiva de cuanto está escrito.
No es extraño que determinados textos añadan el calificativo
“effective” a los modelos de Compliance que propugnan,
como sucede con las U.S. Sentencing Commission Guidelines
y sus “Effective Compliance and Ethics Programs”.
La plasmación documental de un modelo de Compliance

puede ser una exigencia legal, que facilita constatarlo y
analizar su aplicación real, pero no sustituye esta última
circunstancia. Por ello, es inútil generar una mera ilusión
escribiendo páginas y páginas sobre Compliance, que en
ocasiones se limitan a replicar el contenido de las leyes. Las
autoridades judiciales conocen perfectamente las normas y,
por eso, cuando evalúan un modelo de Compliance no esperan
hallar una simple reproducción de lo dicho en ellas, sino los
elementos que verdaderamente le dotan de efectividad.
Paper Compliance y modelos

degenerados
El “paper Compliance”, como mera formalidad, es
completamente inútil, salvo para provocar animadversión
en quienes leen una serie de obviedades o constatan que
muy poco de lo allí escrito tiene aplicación efectiva. Sólo
hay algo peor que el “paper Compliance”: los modelos que
encubren el incumplimiento. Son modelos degenerados
de Compliance, establecidos para que las personas de la
16
organización conozcan qué conductas deben ocultar y el

modo de hacerlo.
En septiembre de 2012 la antigua autoridad británica en

materia de Competencia, la Office of Fair Trading (OFT),
barajó la posibilidad de que los programas de Compliance
constituyeran un factor agravante de las sanciones
económicas, cuando se hubieran dispuesto para conciliar
o facilitar el incumplimiento, o para confundir a las
autoridades. Es un enfoque que ha calado en otras autoridades
de Competencia, como la italiana, y que seguramente se
extenderá en otros ámbitos y jurisdicciones. Por lo tanto, los
modelos inadecuados de Compliance no sólo son inocuos,
sino claramente perjudiciales cuando pervierten su finalidad.
Factores que determinan la

efectividad de los modelos de
Compliance
En los Estados Unidos, cuando se concretan los cargos contra
una organización por la comisión de un posible delito, se
tienen en consideración, entre otros factores (Filip Factors),
la existencia de un programa de Compliance efectivo en el
momento en que aquel se cometió. Es una forma de evaluar el
nivel de diligencia de la organización y sus responsables
a la hora de presentar cargos contra ellos.
A principios del año 2017, el Departamento de Justicia

El de los Estados Unidos publicó un interesante documento
sobre “Evaluation of Corporate Compliance Programs” que
Departamento relaciona algunos aspectos que la Sección de Fraude ha
de Justicia de venido considerando relevantes a la hora de evaluar los
los Estados programas de Compliance. Esto no significa que todos ellos
Unidos publicó deban concurrir en cada caso, circunstancia a ponderar
de manera individualizada. Algunos de estos elementos
un documento aparecían igualmente señalados en documentos previos
que relaciona como las US Sentencing Guidelines o la Resource Guide to
algunos the US FCPA, por ejemplo.
aspectos que
se consideran En España, la Circular 1/2016 emitida por la Fiscalía
General del Estado recogió una serie de criterios sobre las
relevantes características de los modelos de organización y gestión
a la hora de regulados en el Código Penal, aprovechando para señalar
evaluar los algunas malas praxis en relación con ellos. Son aspectos
programas de que denotan el paper Compliance.
Compliance.
Aunque todas estas directrices se proyectan sobre la esfera
penal, son igualmente útiles en modelos de Compliance sobre
otras materias.
17
8.
Preguntas
¿Es lo mismo Compliance que
Asesoría Jurídica interna?
Forma parte de los cometidos de la Asesoría jurídica interna
formalizar documentos y contratos, o incluso participar
frecuentes. en la negociación de su contenido. También se ocupa de
asesorar y trazar las estrategias jurídicas que permiten a la
organización obtener la máxima ventaja de las normas que
le aplican. Por todo ello, puede entrar en conflicto a la hora
de analizar, desde una perspectiva independiente, aquellos
aspectos en los que ha participado. No olvidemos que los
cometidos de la función de Asesoría jurídica interna incluyen
“advocacy”, estando orientados a la defensa de la organización
o la mejora de su posicionamiento en cualquier escenario, lo
cual no siempre combina bien con una perspectiva enfocada
en el largo plazo (sostenibilidad), que no sólo considera las
normas jurídicas sino también los valores que propugna la
organización frente a sus grupos de interés.
¿Sustituye Compliance a la Gestión

integral de riesgos?
Las organizaciones se ven expuestas a diferentes
riesgos, entre los que se encuentran aquellos vinculados
al incumplimiento de las normas jurídicas de aplicación
(“requirements”) y las asumidas voluntariamente
(“committments”). Bajo esta perspectiva, dicha tipología de
riesgos no deja de ser una parte de un conjunto mucho más
amplio. Evidentemente, cuando mayor es la especialización
en el tratamiento de los riesgos, mayor es la eficacia en su
prevención detección y gestión. Bajo este entendimiento,
la función de Compliance actúa sobre una especificidad de
riesgos en los que dispone de criterio experto para su mejor
18
evaluación y tratamiento. Esto no significa que Compliance

sea una escisión del área de Gestión de riesgos, pero debería
emplear métodos de evaluación alineados con los que se
aplican al resto de ámbitos de la organización, contribuyendo
así a obtener una visión coherente del conjunto. No obstante,
no olvidemos que la evaluación de riesgos es sólo una
de las facetas que desarrolla Compliance, realizando otras
muchas actividades como las asociadas a la generación
de una cultura ética y de respeto a la Ley, asesoramiento,
interlocución con los grupos de interés, etc.
¿Qué relación existe entre

Compliance y Auditoría interna?
Auditoría interna asegura el entorno de control de la
organización, brindando así confort sobre la robustez de la
información que se maneja y que finalmente se plasma en
sus reportes. Aunque sus cometidos suelen asociarse con la
información financiera, lo cierto es que aplican a cualquier
ámbito donde sea preciso obtener seguridad del control,
incluido Compliance. Aunque Auditoría interna se concibe
también como una función independiente, sus cometidos
son sustancialmente distintos a los de Compliance. Proyecta
su independencia para garantizar un distanciamiento y
promover el escepticismo profesional que le permita
desarrollar correctamente sus tareas de supervisión. Por
eso, no debería revisar controles que haya diseñado o
ejecutado. Sin embargo, la función de Compliance sí se
involucra en el diseño e incluso la eventual ejecución de
los controles de su ámbito, lo que le impide técnicamente
valorarlos de manera independiente. Siguiendo la teoría
de las tres líneas de defensa en el ámbito del control, la
primera estaría encarnada por las personas responsables de
la gestión operativa, que deberían velar por el cumplimiento
de las normas y estándares éticos en esa fase temprana; la
segunda por aquellas funciones que ayudan a la primera
línea a desarrollar sus cometidos, facilitándoles las directrices
adecuadas, donde se encuadra Compliance; y la tercera que
asegura el entorno de control desplegado en las anteriores
gracias a su visión distanciadas de esos ámbitos, donde está
Auditoría interna.
¿Establece Compliance parámetros

de Gobernanza o Responsabilidad
social?
Las funciones modernas de Compliance se ocupan también
de procurar el cumplimiento de las obligaciones que se
19
auto-imponen las organizaciones. Sin embargo, del mismo

modo que no fijan el contenido de las normas tradicionales
(“requirements”), tampoco lo hacen respecto de las asumidas
voluntariamente (“committments”). Compliance establece
mecanismos que ayudan a prevenir, detectar y gestionar el
incumplimiento de las tales obligaciones, pero no determina
su contenido, que viene dado por las autoridades legislativas
(“requirements”) o por las instancias correspondientes dentro
de la organización (“committments”). Son los órganos con
competencias para ello los que deciden qué obligaciones
adicionales asume la organización, más allá de las legales
(normalmente las áreas de buen gobierno, de sostenibilidad
o de responsabilidad social corporativa). La función de
La falta de Compliance potencia su eficacia, otorgando a tales
compromisos un tratamiento equivalente al de las normas
autonomía e jurídicas emanadas de los poderes públicos.
independencia
de la función ¿Qué sucede ante la falta de
de Compliance autonomía e independencia?
socava su
eficacia. Siendo conceptos diferentes, la ausencia tanto de autonomía
como de independencia socava gravemente la eficacia de
la función de Compliance. Es cierto que en organizaciones
pequeñas y medianas puede ser difícil disponer de los
medios materiales y humanos precisos para garantizar
ambos factores. Por eso, textos tan relevantes como las
US Sentencing Commission Guidelines establecen que en
compañías pequeñas puede ser su propio dueño y principal
directivo quien encarne la función de Compliance. Aunque
no es la mejor opción, debido a la completa confusión entre
“controlador” y “controlado”, es la única salida viable para
avanzar hacia el Compliance en organizaciones con esas
características. Esta solución de emergencia la encontramos
también en otros ordenamientos jurídicos, como el español,
cuyo Código penal admite que sea el propio órgano de
administración social el que desarrolle cometidos de órgano
de supervisión del modelo de organización y gestión para la
prevención de delitos, en personas jurídicas de pequeñas
dimensiones.
En situaciones excepcionales, la ausencia de autonomía y/o

independencia puede tener una explicación racional, aunque,
en tales casos, procede reflexionar profundamente sobre la
situación y articular todas las medidas que minimicen sus
consecuencias. En determinados contextos, donde existen
recursos materiales y humanos suficientes para paliar tal
déficit, puede resultar difícil explicarlo.
20
Serie de Cuadernos Compliance

Cuaderno 1 ¿Qué es Compliance?
El contenido de la función de Compliance ha evolucionado en
los últimos años, de la mano de estándares internacionales
y textos emitidos por reputadas autoridades nacionales.
En la actualidad, se encuentran claramente definidas las
expectativas que la sociedad deposita en la función de
Compliance y en los responsables que la representan.
Cuaderno 2 Conoce tu organización

La función de Compliance no actúa en paralelo a los procesos
de negocio sino que forma parte de ellos. Por lo tanto, conocer
la organización, no sólo desde la perspectiva societaria
sino especialmente en cuanto a sus estructuras, roles,
responsabilidades y procesos de negocio, es fundamental
para desarrollar razonablemente labores de prevención,
detección y gestión de riesgos de incumplimiento. Conocer
funciones sinérgicas y tender puentes con ellas es clave en
todo modelo eficaz de Compliance.
Cuaderno 3 Relación de Compliance con

Gobernanza y Gestión de riesgo
La función de Compliance está condicionada por aspectos
relacionados con la Gobernanza y la Gestión del riesgo. Sus
interacciones son tan importantes, que los modelos de gestión
empresarial modernos establece su gestión coordinada:
son las fórmulas GRC (Governance, Risk Management and
Compliance). Su interrelación es tal, que incluso se utilizan
aplicativos diseñados para asegurar la consistencia en su
tratamiento.
Cuaderno 4 Sistemas de gestión de Compliance

En los últimos años, los denominados “Programas de
Compliance” se han visto sobrepasados por los “Sistemas de
Gestión de Compliance”, que suponen un salto evolutivo en la
prevención, detección y gestión de riesgos de incumplimiento.
Los exponentes más conocidos son los estándares ISO
19600:2014 sobe Compliance Management Systems (CMS)
e ISO 37001:2016 sobre Anti Bribery Management Systems
(ABMS). En España destaca la Norma UNE 19601:2017
sobre sistemas de gestión de Compliance penal. Estos
modelos descansan en una serie de componentes clave que
se retroalimentan, mejorando notablemente la efectividad del
modelo.
21
Cuaderno 5 Autonomía e independencia en

Compliance
Autonomía e independencia no son términos sinónimos en
Compliance, y su concurrencia es clave para la eficacia de la
función. Ambos conceptos se traducen en una serie de buenas
prácticas que impulsan las organizaciones comprometidas
con una gestión responsable. El perfil profesional del propio
Compliance Officer es igualmente importante para que pueda
sacar el máximo partido a ambos factores.
Cuaderno 6 Cultura ética y de respeto a las

normas
El objetivo último de la función de Compliance es establecer
o mejorar la cultura ética y de respeto hacia las normas. La
vinculación entre ética y Compliance es indisociable, hasta
el punto de engendrar una figura híbrida en pujanza: el Chief
Ehics & Compliance Officer. Los estándares avanzados en
Compliance incluyen dentro de su perímetro de supervisión
las normas asumidas voluntariamente por las organizaciones,
dando entrada por esa vía al control sobre los compromisos
éticos.
Cuaderno 7 Árbol de políticas de Compliance

El establecimiento o mejora de la cultura ética y de respeto
a las normas precisa facilitar directrices de conducta a los
miembros de la organización. Este cometido se logra a
través de las políticas internas, que conforman un entramado
complejo de patrones de conducta y procedimientos para
encauzarlos adecuadamente. Esta red obedece a una
estructura jerárquica –de árbol- que comienza con valores
públicamente asumidos por la organización, y que debe
conocerse y gestionarse correctamente (policy management).
Cuaderno 8 La cadena de reporte en Compliance

Dentro de los cometidos que desarrolla la función de
Compliance se cuenta informar a los órganos correspondientes
del resultado de sus labores de supervisión, tanto en términos
de actividad desarrollada como de resultados obtenidos. Esta
dinámica da lugar a reportes operativos y memorias anuales
de Compliance, susceptibles de condicionar la información
que hace pública la organización. Para nutrir estos reportes
se precisa obtener y gestionar información interna de calidad,
canalizada a través de procedimientos diseñados con tal
propósito.
22
Cuaderno 9 Responsabilidades personales en el

ámbito del Compliance
La falta de impulso o desarrollo inadecuado de labores de
Compliance puede acarrear consecuencias relevantes en
términos de responsabilidad personal de los administradores
sociales, pero también del propio Compliance Officer, como
han puesto de manifiesto pronunciamientos jurisprudenciales
pioneros en esta materia.
Cuaderno 10 Compliance en el ámbito de la

prevención de delitos
Existen determinadas conductas irregulares que pueden
adquirir dimensión penal, siendo la actividad empresarial
un entorno propicio de ocurrencia. El caso más habitual
son las prácticas de soborno, ampliamente proscritas a
nivel internacional. Tanto los Estados como las principales
plataformas internacionales impulsan modelos de Compliance
en los ámbitos de la prevención de los delitos, en general, o
del soborno, en particular.
Cuaderno 11 Resistencia al cambio y conductas

obstructivas
Impulsar modelos de Compliance efectivos puede suponer
introducir en las organizaciones una serie de cambios que no
siempre serán bien acogidos por quienes se ven afectados
por ellos. La psicología social ha estudiado el comportamiento
humano, determinando factores que corrompen la conducta
de las personas en las organizaciones, así como su resistencia
al cambio y desarrollo de conductas obstructivas.
Cuaderno 12 Compliance en pequeñas

organizaciones
Las pequeñas y medianas organizaciones (Small and Medium
Enterprises, SME) disponen una cantidad limitada de recursos
para impulsar modelos efectivos de Compliance. Esto se
traduce en la necesidad de adaptar las buenas prácticas a
sus circunstancias específicas, lo cual no implica limitarse a
observar sólo una parte de ellas, sino el conjunto aplicando
correctamente el principio de proporcionalidad.
23
Bibliografía Compliance Penal Normalizado – El estándar UNE

19601
del autor. Alain Casanovas
Prólogo de José Manuel Maza Martín
Coedición: Thomson Reuters Aranzadi, AENOR Publicaciones.
Madrid 2017
Legal Compliance - Principios de Cumplimiento

Generalmente Aceptados
Alain Casanovas
Prólogo de José Manuel Maza, Magistrado del Tribunal
Supremo
Editor, Grupo Difusión
Difusión Jurídica y Temas de Actualidad, S.A.
Madrid 2013
Control Legal Interno

Alain Casanovas
Prólogo de Pedro Mirosa, Catedrático de Derecho Mercantil,
ESADE, Factultad de Derecho
Editor, Grupo Wolters Wluwer
Editorial La Ley, S.A.
Madrid 2012
Control de Riesgos Legales en la empresa

Alain Casanovas
Prólogo de Lord Daniel Brennan Q.C., former President of the
Bar of England and Wales
Madrid 2008
24
Conoce tu
organización
Alain Casanovas
02
de Compliance
www.asociacioncompliance.com Conoce tu organización

Compliance penal.

© 2018


2
Presentación En bastantes ocasiones, se espera que los profesionales de

Compliance desarrollen su cometido partiendo de sus propias
habilidades, integrándose por sí solos en la organización.
Aunque la facilidad para adaptarse y relacionarse con los
demás son competencias siempre bienvenidas, no por ello
debería concluirse que basta con contratar un Compliance
Officer para que, sin mayor esfuerzo de integración, desarrolle
eficazmente su cometido. Si hoy en día es impensable contratar
a un profesional de las finanzas para que prepare los reportes
económicos de la empresa según le dicte su entendimiento,
¿por qué no sorprende que, en muchos casos, la función de
Compliance no esté perfectamente organizada sobre la base
de políticas y procedimientos, como sucede en otros ámbitos
de la organización? Llama poderosamente la atención como,
en el siglo XXI, todavía persiste el entendimiento que aproxima
la función de Compliance más al arte que a la ciencia, aún
cuando existen reputados estándares internacionales que
ilustran sobre el modo de organizar eficazmente su labor.
Este Cuaderno te ayudará a identificar aspectos

organizativos esenciales a considerar para desenvolverte
correctamente en la esfera del Compliance.
Alain Casanovas
3
Índice
1. Conoce la estructura de negocio
2. Conoce qué se espera de ti
3. Conoce tus medios
4. Conoce Áreas Sinérgicas
5. Conoce áreas de apoyo
6. Conoce la cadena de reporte
4
1.
Los profesionales de formación jurídica solemos prestar atención a
la forma societaria de las empresas en las que nos desenvolvemos
o la estructura jurídica del grupo donde aquellos se integran,
especialmente para identificar y gestionar los requisitos o
Conoce la formalidades legales que se derivan de ello. Es una tarea que debemos
realizar más temprano que tarde, puesto que su incumplimiento
estructura de está normalmente sujeto a sanciones y puede, además, implicar la
negocio. pérdida de determinados derechos (autorizaciones, licencias, etc.)

o la asunción de otras responsabilidades y daños reputacionales.
Sin embargo, aunque es importante conocer y gestionar las
formalidades societarias, tanto o más lo es conocer la estructura
operativa de una organización desde la perspectiva de sus áreas
funcionales, unidades de negocio y procesos operativos. Sólo
a partir de ese conocimiento podrás desarrollarte plenamente y ser
efectivo en el ámbito del Compliance, interactuando con el resto de
personas de tu organización y ganando visibilidad en ella. Tu labor
sólo será reconocida por los demás si conoces bien las estructuras
funcionales, la operativa de negocio y, gracias a ello, ayudas a
prevenir, detectar y gestionar incidentes de Compliance.
Estructuras organizativas:
funciones
Los distintos cometidos en el seno de la empresa suelen distribuirse
en áreas funcionales: finanzas, recursos humanos, impuestos,
comercial, marketing, informática, logística, etc. La denominación
específica y las competencias concretas de cada función varían
según las empresas, pero en cada una se desarrollan actividades
vinculadas a obligaciones de Compliance diferentes: no están
sujetos a los mismos riesgos ni les aplican las mismas normas a
los equipos de marketing, que a los de logística, por ejemplo. Desde
esta óptica, puedes considerar que cada función de la empresa
constituye un pequeño universo en cuanto a obligaciones de
5
Compliance, resultado de las actividades y obligaciones que

afectan a su día a día. Conocer las singularidades de cada función
no sólo te brindará un valioso conocimiento de la estructura de la
organización, sino que también te facilitará conocer los riesgos de
Compliance que les afectan, ayudándoles a establecer medidas
para prevenirlos, detectarlos y gestionarlos de manera temprana.
Es positivo, además, que asocies el concepto de riesgo con el de
oportunidad: tras la detección de un riesgo de Compliance siempre
existe una oportunidad para mejorar la organización. La gestión de
riesgos, incluidos los de Compliance, es una de las diversas vías
que conducen a la excelencia.
Líneas o unidades de negocio

Cuando se desarrollan diferentes actividades de negocio en el
seno de una misma organización, es normal que se agrupen en
unidades separadas desde una perspectiva de gestión, aunque
no necesariamente desde la óptica jurídica. Se consigue así
profesionalizar y, por lo tanto, optimizar la gestión de cada una de
esas actividades, aunque, en ocasiones, se genere una disociación
entre la estructura jurídica y la de negocio.
Por lo tanto, ni la distribución de áreas funcionales ni la estructura

de unidades de negocio tiene porqué coincidir necesariamente
con el organigrama societario. No te preocupes si esto llama tu
atención: te darás cuenta de que, en la práctica, las organizaciones
necesitan flexibilidad para organizarse del modo más efectivo ante
un cambiante entorno de negocio, estableciendo órganos, jerarquía
de funciones y flujos de información sobre la base de estas
estructuras lógicas maleables, que no siempre coinciden con las
jurídicas. Sin embargo, debes mantenerte alerta para cumplir con
las exigencias que pueden venir condicionadas por el ordenamiento
jurídico: por ejemplo, el traspaso de datos personales dentro de una
misma unidad de negocio puede considerarse una cesión de dichos
datos en caso de que dichas unidades se ubiquen formalmente, en
dos o varias personas jurídicas distintas.
El concepto de organización
Las normas modernas sobre Compliance no suelen referirse a
“personas jurídicas” a la hora de proyectar su contenido, sino a
“organizaciones”, noción mucho más amplia y flexible. Así, por
ejemplo, las Líneas Directrices que publica anualmente la U.S.
Sentencing Commission trasladan el contenido de su “Effective
Compliance and Ethics Program” a las “organizations”, a pesar
de que exista en su sistema jurídico el concepto de “legal entity”.
De igual modo proceden los estándares ISO sobre Compliance e
incluso la norma UNE 19601:2017, cuando se refieren también a las
organizaciones. Y, como señalan estos textos, una organización
6
puede equivaler a una persona jurídica, o ser una parte o varias

de ellas. Por eso, las estructuras de Compliance en grupos de
Las sociedades pueden oscilar desde la centralización absoluta (un

modelo de Compliance para el conjunto) hasta la descentralización
estructuras (un modelo de Compliance para cada entidad del grupo), en virtud
de Compliance de sus características y necesidades. Lo importante es que la
en grupos de estructura de Compliance elegida sea la más eficaz.
sociedades
pueden oscilar Puntos ciegos
desde la
Para las labores de Compliance, es importante que no existan
centralización “cajas negras”, esto es, funciones o unidades de negocio donde
a la descentra- se desarrollen actividades con capacidad de generar incidentes
lización, en de Compliance que no se conozcan y supervisen adecuadamente.
virtud de sus Este fenómeno puede darse, por ejemplo, en entornos de rápido
necesidades. crecimiento (eventualmente inorgánico), o cuando la organización

está fuertemente plurilocalizada. También concurre cuando una
unidad de negocio, normalmente con buena contribución a la
cuenta de resultados, se obstina en mantener una gestión opaca a
los ojos de las instancias de control interno, circunstancia que nos
debe incomodar especialmente.
7
2.
Toda organización de cierto tamaño debería disponer de algún
documento describiendo la ubicación jerárquica y competencias de
cada puesto (descripción funcional). Trata de localizarlo o, en su
defecto, el que haga sus funciones, para conocer qué se espera de
Conoce qué se la función de Compliance que lideras o donde te ubicas. Te permitirá

conocer no sólo tus cometidos teóricos sino también el del resto de
espera de ti. áreas funcionales de la organización. Es, por lo tanto, un documento
de gran utilidad para familiarizarte con sus estructuras. Es positivo
que contrastes su contenido con la realidad, y trates de aclarar
con tus superiores las eventuales divergencias que percibas. Si
es preciso, impulsa un proceso de actualización y difusión de su
contenido.
Dimensión corporativa de Compliance

Recuerda que la función de Compliance tiene una evidente
dimensión corporativa: para desarrollar su labor de forma eficaz
es preciso que conozca e interactúe con la práctica totalidad de
áreas funcionales y unidades de negocio de la organización. Esta
particularidad no concurre necesariamente en otras funciones,
donde lo acotado de sus cometidos no precisa facilitarles esta
visión corporativa. Por eso, es también habitual que la función de
Compliance esté ubicada al mismo nivel jerárquico que otras áreas
igualmente acreedoras de esa vocación corporativa.
Aproximación proactiva vs reactiva

Con independencia de lo que aparezca plasmado en los documentos
organizativos, fíjate si la función de Compliance opera, en la práctica,
de forma reactiva o proactiva. Un esquema reactivo supone que
Compliance actúa a demanda (reacciona) al recibir instrucciones de
los órganos de gobierno o del equipo. Es una función, por lo tanto,
concebida para satisfacer las peticiones de ciertos interlocutores.
El esquema proactivo supone dotar a la función de Compliance
de legitimidad para actuar de forma autónoma frente a las áreas
8
funcionales y unidades de negocio, de modo que no necesite ser

requerida para dirigirse a dichos ámbitos y desarrollar labores
de prevención, detección y gestión. Los textos modernos sobre
Compliance exigen ese grado de autonomía (que puede incluso
ser una exigencia legal), que se contrapone claramente a los
modelos reactivos.
Los esquemas reactivos no propician que Compliance adquiera
una visión amplia de negocio y actúe de forma preventiva sobre el
resto de funciones o áreas de negocio, lo que socava gravemente
su eficacia. No son, en absoluto, entornos adecuados para disponer
de un sistema de gestión de Compliance, como los que describo
en el Cuaderno número 4 de esta Serie (“Sistemas de la gestión de
Compliance”). En el Cuaderno número 7 de esta Serie (“Autonomía
e independencia en Compliance”) encontrarás referencias a
cuestiones muy vinculadas con las características enunciadas.
Órganos de Compliance: la colegiación

Dentro de la propia función de Compliance, cuando se configura como
un órgano colegiado, existirá una distribución interna de competencias
entre sus miembros, normalmente por criterios de especialidad.
Puede suceder que, cuando el/los integrante/s de esta función
Puede suceder tengan un perfil especialista, por deformación profesional, dediquen

mayores esfuerzos a desarrollar determinadas actividades y relajar
que una espe- otras, lo que propicia un fenómeno de asimetría en la supervisión.
cialización Encontrarás más comentarios acerca de ello en el Cuaderno número
excesiva sobre 11 de esta Serie (“Resistencia al cambio y conductas obstructivas”).
determinadas Sé crítico contigo mismo y con tus compañeros, saliendo de vuestras
respectivas áreas de confort técnico y ejerciendo la supervisión, si es
materias del preciso con la ayuda de terceros, sobre aquellos aspectos o materias
personal de alejadas de vuestras áreas del conocimiento. En cualquier caso,
Compliance cuando estés frente a un órgano de Compliance colegiado, asegúrate
provoque una de conocer la distribución de competencias, especialmente en casos
asimetría en el de comparecencia en juicio o ante las administraciones públicas.
nivel de super- Evaluación del desempeño

visión.
Es posible que tu desempeño profesional se evalúe en base
determinados indicadores o KPI’s (de “Key Performance
Indicators”). Los KPI’s se fijan en función de los objetivos de la
organización y dicen mucho acerca de sus valores. Algunos KPI’s
frecuentes en Compliance son el número de consultas evacuadas,
actividades de formación realizadas, incidentes gestionados, etc.
No deberían concurrir KPI’s asociados a métricas de negocio
(ingresos, beneficio, rentabilidad, etc) ni que dependan de la opinión
de las personas potencialmente afectadas por las actividades
de Compliance (valoración por parte del equipo de ventas, del
cuadro directivo, etc). De esto hablo en los cuadernos número 5
(“Autonomía e independencia en Compliance”) y número 6 (“Cultura
ética y de respeto a las normas”) de esta Serie.
9
3.
La acepción moderna del término “Compliance” abarca aquellas
obligaciones que una organización debe cumplir (“requirements”),
junto con aquellas otras cuyo cumplimiento asume voluntariamente
(“committments”). Encontrarás más información sobre ello en el
Conoce tus Cuaderno número 1 de esta Serie (“¿Qué es Compliance?”). La

función de Compliance sólo puede desarrollarse en plenitud si tiene
medios. competencias y recursos para actuar sobre ambas, previniendo,
detectando y gestionando su eventual vulneración.
Conocimiento de las obligaciones

de Compliance
Aunque la cantidad de obligaciones de Compliance que afectan
a las organizaciones tiende a incrementarse, lo cierto es que
las tecnologías de la información facilitan mucho mantenerse
actualizado respecto de su contenido. Además, desarrollando la
evaluación de riesgos de Compliance exigida en los estándares
avanzados en esta materia, el universo de obligaciones a vigilar
especialmente se reducirá a las que verdaderamente pueden
impactar en la organización.
Por lo tanto, un primer aspecto a contrastar son las herramientas

de que dispones, o que incluso tú mismo puedes alimentar, para
conocer y seguir las normas (externas o eventualmente internas)
que pueden afectar a tu organización, por cuanto establecen
obligaciones de Compliance que afectan a sus funciones o unidades
de negocio.
Recursos tecnológicos
Actualmente existen bases de datos on-line y otros servicios de la
sociedad de información que te ayudarán enormemente. También
puedes utilizar técnicas de gestión del conocimiento (“knowledge
10
Management”) para acumular, ordenar y difundir internamente

información crítica, esto es, aquella que es especialmente relevante
para garantizar los objetivos de Compliance.
Información interna
No te sorprendas si experimentas dificultades no tanto en obtener
información jurídica (acceso a normas, sentencias, doctrina, etc) o
sobre las normas internas, sino en conocer a tiempo las actividades
que concurren en tu propia organización potencialmente afectadas
por ellas. Aunque esto no debería ser así, los procedimientos internos
de captación de información relevante a efectos de Compliance
distan mucho de estar al mismo nivel evolutivos que los del ámbito
financiero, por ejemplo. Una queja recurrente en Compliance deriva
Una queja de la opacidad o resistencia de las funciones o unidades de
negocio en facilitar a tiempo información que les ayude a reducir
recurrente en su exposición al riesgo. Es positivo establecer en Compliance
Compliance es herramientas de comunicación o reporte que permitan capturar a
la opacidad o tiempo esa información crítica. Hallarás más información sobre ello
resistencia de en los cuadernos número 3 (“Sistemas de gestión de Compliance”)
determinadas y 8 (“La cadena de reporte en Compliance”) de esta Serie.
áreas a
proporcionar
Recursos económicos
información. No puedo terminar este apartado sin referirme a los recursos
económicos que precisa Compliance para fortalecer su nivel de
autonomía e independencia.
Aunque el término “recursos” puede interpretarse de muchas

maneras, lo cierto es que uno de los más importantes es la
asignación presupuestaria o modelo de financiación. Cualquier
tercero que revise de forma crítica el modelo de Compliance prestará
atención a su dotación económica, tomándolo como indicador de
la relevancia que la organización otorga a sus cometidos.
11
4.
Los escándalos financieros de principios de siglo han acarreado
reflexiones profundas acerca de la gestión empresarial. A partir de ahí
han tomado fuerza los denominados modelos GRC (de “Governance,
Risk management & Compliance”), donde una adecuada gestión
Conoce áreas empresarial atraviesa por coordinar adecuadamente los objetivos

empresariales de gobernanza, gestión del riesgo y cumplimiento.
sinérgicas. Estos modelos entienden que una organización debe velar por la
gestión coordinada de estas tres facetas, pues tienen sinergias
tan evidentes que resulta prácticamente imposible –o por lo menos
ineficaz- gestionarlas aisladamente.
Lenguaje y herramientas comunes

Aunque trataré esta cuestión en el Cuaderno número 3 de esta
Serie (“Relación de Compliance con la gobernanza y la gestión
del riesgo”), es positivo que tomes conciencia de que deberías
comunicarte con los responsables de tales cometidos si quieres
desarrollar correctamente el tuyo. Es más, existen en el mercado
módulos para ERP’s que permiten gestionar de forma coordinada
los objetivos y tareas de cumplimiento, gobernanza y gestión del
riesgo, basados normalmente en mapas de procesos: para cada
proceso empresarial se analizan las repercusiones de estos tres
ámbitos y se determinan los flujos y controles para darles cobertura
a todos. Esto no sólo te obligará a conocer bien qué hacen las
funciones de gobernanza y gestión del riesgo, sino a utilizar
un lenguaje de comunicación común con ellas e, incluso, a
compartir herramientas informáticas.
Otras funciones sinérgicas

En el seno de las organizaciones existen otras funciones que
también guardan un estrecho vínculo con las obligaciones de
Compliance, como puedan ser las de asesoría jurídica, fiscal,
12
y recursos humanos. Aunque nadie te exige que te conviertas

en especialista en sus respectivos ámbitos del conocimiento, tu
vocación de supervisión corporativa sugiere mantener un adecuado
nivel de comunicación con sus responsables, estando al corriente
de sus actividades para poder prevenir, detectar y gestionar riesgos
de Compliance. Como explico en el Cuaderno número 4 de esta
Serie (“Sistemas de la gestión de Compliance“), cuando en una
organización existe esta diversidad de áreas y responsables de
cumplimiento (como las citadas, más algunas más: privacidad y
protección de datos personales, defensa de la competencia, marco
regulatorio, etc) es conveniente su coordinación a través de las
llamadas superestructuras de Compliance, de forma que pueda
obtenerse una visión consolidada, se compartan informaciones y se
asegure que todas esas áreas comparten valores. En el Cuaderno
número 1 de esta Serie (“¿Qué es Compliance?”) encontrarás más
información al respecto.
13
5.
En organizaciones de cierto tamaño existen áreas o funciones que
pueden reforzar significativamente tu eficacia. A continuación trataré
algunas de ellas.
Conoce áreas Tecnologías de la Información y

de apoyo. Comunicación (TIC)
El área de Tecnologías de la Información y Comunicación puede
ayudarte a desarrollar aplicativos para una adecuada gestión del
conocimiento (incluyendo la custodia, difusión y mantenimiento de
normas internas que comento en el Cuaderno número 7 de esta Serie
(“Árbol de políticas de Compliance”), o establecer controles específicos
vinculados a determinados procedimientos: por ejemplo, los de
autorización de determinadas transacciones. También a establecer
mecanismos para formalizar declaraciones de conformidad con las
políticas de la organización, por citar otro ejemplo de notable utilidad.
Comunicación
El área de Comunicación no sólo se ocupa de gestionar las
comunicaciones internas sino también las externas, asumiendo con
relativa frecuencia las tareas de relaciones institucionales. Como
resultado de tu trabajo, es más que probable que sea necesario emitir
comunicados internos o externos, siendo positivo que conozcas el
modo en que opera dicha área y saques partido de su buen hacer.
Control interno y auditoría interna

Por último, la función de Compliance puede establecer procedimientos
y controles de cumplimiento cuyo correcto diseño supervise Control
interno, y cuyo funcionamiento sea verificado por el departamento
Auditoría interna. Su intervención brinda confianza sobre el
funcionamiento real de los mecanismos de Compliance.
14
6.
Históricamente se ha citado la cadena de reporte en relación con la
información financiera. Sin embargo, en los últimos años se han
impuesto quienes predicaban que esta información es tan sólo una
parte de la que debe conocerse para juzgar la situación actual y
Conoce la previsiones de futuro de una organización. Cada vez es más común

que los reportes puramente financieros se vean complementados
cadena de con datos no financieros, como los relativos a la sostenibilidad o
reporte. medio ambiente. En algunas ocasiones, se trata de una exigencia

legal para determinado perfil de organizaciones (normalmente a
causa de su tamaño o mercados en los que operan).
La información de Compliance debería tratarse siguiendo

metodologías análogas a las que aplican otras áreas: recogiendo
información de calidad a través de protocolos establecidos
al efecto, para construir a partir de ella reportes operativos de
Compliance, según explico en el Cuaderno nº 8 de esta Serie
(“La cadena de reporte en Compliance”). En el fondo, se trata de
cuadros de mando que sintetizan la información relevante de
Compliance, que tanto el órgano de gobierno como la alta dirección
deben conocer para adoptar decisiones fundadas.
Fuera de los mercados regulados, son todavía pocas las

organizaciones que formalizan reportes de Compliance, y menos
todavía las que lo hacen tomando informaciones capturadas con
herramientas diseñadas al efecto. Más común es encontrarse con
reportes informales (verbales, por ejemplo) elaborados sobre
la base de las informaciones que se van obteniendo de manera
fragmentada. Los reportes así elaborados son arriesgados porque,
no siendo tan fiables como los basados en herramientas diseñadas
al efecto, pueden llegar a transmitir una falsa sensación de control
a los gestores de la organización. En este sentido, no olvides que
la información de Compliance puede terminar incorporada en los
reportes más amplios con destino a la opinión pública y los grupos
de interés, que confían en la solvencia de los datos recibidos.
15
7.
Preguntas
¿Cómo puedo evitar que existan
“cajas negras” en mi organización?
Básicamente depende de dos factores: tu voluntad de conocer lo
que sucede en la organización que sea de tu incumbencia, pero
frecuentes. también del compromiso de la alta dirección para apoyarte en

tal objetivo. Sin este apoyo de alto nivel experimentarás grandes
dificultades para desarrollar tu labor. Por eso, dicho soporte es
esencial en todo modelo de Compliance, y es uno de los primeros
elementos que se evalúan para determinar su eficacia.
¿Por qué no puede ser eficaz una

función de Compliance reactiva?
La eficacia de un sistema de la gestión de Compliance se mide,
entre otras cosas, por su capacidad para prevenir incumplimientos.
Si te resulta difícil interesarte o conocer qué ocurre en áreas
funcionales o unidades de negocio, porque no tienes legitimidad
para dirigirte a ellas o supervisarlas, te será complicado llevar a
cabo dichas tareas de prevención.
¿Qué se puede hacer ante la falta

de transparencia en una unidad de
negocio?
Para la adecuada gestión de los riesgos de la organización es
importante evitar que existan zonas exentas de supervisión y
control. Si te encuentras con áreas que obstaculizan desarrollar tus
competencias, deberás trasladarlo a tus superiores y conseguir su
apoyo para revertir tal situación. Su indiferencia en este contexto
no sólo constituye un mal ejemplo para el resto de áreas de negocio
sino también una manifestación de falta de diligencia por su parte.
16
¿Qué área debe prevalecer sobre

las demás, la de gobernanza,
gestión del riesgo o la de
cumplimiento?
Es difícil que las tres áreas tengan un peso equivalente en todas
las organizaciones. En algunos casos se entiende que los principios
de gobernanza influyen notablemente en la de gestión del riesgo
y el cumplimiento. Sin embargo, existen organizaciones donde
cualquiera de las otras adquiere mayor protagonismo por diversos
motivos, incluyendo su aversión al riesgo. En cualquier caso, lo
realmente importante es que las áreas gobernanza, gestión del
riesgo y cumplimiento estén debidamente comunicadas.
¿Por qué en ocasiones resulta

difícil la comunicación con Auditoría
interna?
La función de auditoría interna ha estado tradicionalmente enfocada
a la verificación de los controles financieros, muy ligados a una
métrica numérica que no siempre encaja bien con los riesgos de
Compliance. Estas distintas aproximaciones explican, pero no
justifican, el distanciamiento entre estas áreas que tanto tienen
que aportarse, precisándose un esfuerzo mutuo para enriquecer su
visión y potenciar su eficacia.
¿Cuando reporto sobre riesgos

de Compliance en las memorias
públicas, es correcto sesgarlos
Ni el público para mejorar la defensa jurídica de
en general la organización?
ni los grupos No es, desde luego, una buena aproximación. Ni el público en general,
de interés ni los grupos de interés en particular, esperan que los reportes sobre
esperan que Compliance la organización reflejen meros argumentos de defensa,
los reportes y se sentirán defraudados cuando conozcan que se han omitido o
de Compliance tratado de forma sesgada determinadas informaciones en beneficio

de la organización. Además de poder constituir una infracción legal,
omitan o constituye, desde luego, un atentado contra la propia esencia del
sesguen las Compliance.
informaciones
interesada-
mente.
17



tratamiento.

modelo.
18

Compliance

normas
éticos.


propósito.
19



obstructivas

organizaciones
20

19601
Madrid 2017

Alain Casanovas
Supremo
Madrid 2013

Alain Casanovas
Madrid 2012

Alain Casanovas
Madrid 2008
21
Relación
de Compliance
con Gobernanza y
Gestión de riesgo
Alain Casanovas
03
de Compliance
www.asociacioncompliance.com Relación de Compliance con Gobernanza y Gestión de riesgo

Compliance penal.

© 2018


2
Presentación Actualmente es difícil que un directivo de empresa pueda

abstraerse de los conceptos de gobernanza, gestión del
riesgo y cumplimiento. Como veremos en este Cuaderno, los
responsables de Compliance deben también familiarizarse
con los principios de gobernanza corporativa así como las
técnicas de gestión del riesgo. Ser capaz de comprender y
relacionarse estrechamente con los responsables en ambas
esferas, compartiendo con ellos principios y utilizando
un mismo vocabulario, constituye una característica del
profesional de Compliance del siglo XXI, que le dota de una
dimensión significativamente distinta respecto de épocas
pasadas.
Lamentablemente, algunos enfoques sectoriales siguen

anclados a una concepción del Compliance restringida a la
regulación de ciertas materias o mercados. Tal circunstancia
no ayuda a progresar correctamente a quienes se incorporan
a la disciplina, de modo que empleen un lenguaje de
comunicación común e incluso herramientas comunes para
la gobernanza corporativa y la gestión del riesgo. Es un
handicap para migrar a modelos de Compliance de mayor valor
añadido y ahonda el escalón existente con las necesidades
de buen gobierno en las empresas, que precisan técnicas
de gestión avanzadas que consideren la interacción de
estos elementos.
Si eres un profesional del Compliance, es importante que

percibas el cambio de paradigma que ha obrado en la
concepción de esta función y su estrecho vínculo con los
aspectos que trato en este Cuaderno.
Alain Casanovas
3
Índice
1. Conceptos básicos
2. Importancia de los parámetros generales de

gobernanza
3. Los modelos GRC
4. Función jurídica interna y Compliance
5. Tú forma de relacionarte con Gobernanza y

Gestión del Riesgo
4
1.
En la década de los años 80 tuvieron gran difusión las
metodologías que perseguían la mejora continua de los procesos
de las organizaciones, en una lucha sin fin para incrementar su
competitividad, productividad, cuota de mercado y beneficio. Sin
Conceptos embargo, a principios del siglo XXI se desencadenaron una serie

de escándalos financieros, con repercusión mediática mundial, que
básicos. cuestionaron cómo se estaban gestionando las organizaciones
así como la calidad de las informaciones que transmitían a la
sociedad. A partir de ahí, ganaron reconocimiento los modelos
de gestión empresarial que ponían énfasis en el control interno.
Más adelante se comprobó que las técnicas circunscritas al
control tampoco garantizaban per se un desarrollo saludable de
los negocios, aumentando los seguidores de los modelos que
abogaban por una gestión coordinada de la gobernanza, gestión
del riesgo y cumplimiento. Son los llamados “modelos GRC” (de
“Governance, Risk Management & Compliance”) que trataré en los
apartados siguientes.
Gobernanza
El concepto de gobernanza o buen gobierno corporativo
(“Corporate Governance”) está relacionado con el establecimiento
de estructuras para fijar y alcanzar los objetivos de la organización
en cuanto a su relación no sólo con sus órganos y accionistas,
sino también con otras partes interesadas (“stakeholders”). Los
principios de gobernanza de una organización darán lugar a
políticas y procedimientos que velarán por su relación con todos
estos colectivos. La empresa deja de preocuparse únicamente
de sí misma para centrar igualmente su atención en los demás y
buscar un equilibrio razonable en este entramado de intereses, bajo
la premisa general de que aquello positivo para las comunidades
donde opera contribuye a su sostenibilidad y le aporta beneficios
en el largo plazo.
5
Gestión del riesgo

La gestión del riesgo consiste en identificar, analizar y valorar los
focos de riesgo que amenazan a la organización, para determinar
así el modo de gestionarlos dentro de parámetros aceptables. Como
te puedes imaginar, existen muchos tipos de riesgos susceptibles
de provocar tanto daños económicos como reputacionales,
incluyendo el incumplimiento de las obligaciones de Compliance,
ya sean impuestas (“requirements”) o asumidas voluntariamente
(”committments”).
Compliance
Como verás, Compliance guarda mucha relación con los aspectos
que he señalado, pues, por una parte, vela por el cumplimiento de
las directrices auto-impuestas de gobernanza y, por otra parte,
tanto para éstas como para el resto obligaciones clásicas recurre a
técnicas de gestión de riesgos.
6
2.
Un modelo de Compliance está fuertemente afectado por los
parámetros de gobernanza de naturaleza interna, esto es, los
que determinan el funcionamiento de sus órganos.
Importancia de En general, las cuestiones relativas a la gobernanza corporativa

surgen primero como buenas prácticas recomendadas por
los parámetros diferentes plataformas, integrándose luego algunas en el derecho
generales de positivo. Son aspectos condicionan el modo de interpretar

conceptos abiertos de gestión que aparecen luego diseminados en
gobernanza. diversos textos. Así, por ejemplo, los estándares ISO y UNE sobre
Compliance hacen referencia a una serie de comportamientos
que, dependiendo el modo en que se interpreten, potencian
o malogran un modelo de Compliance. Así, por citar algunos
ejemplos, se refieren establecimiento y defensa de los valores
fundamentales de la organización, el compromiso visible con los
estándares publicados de comportamiento, el apoyo a las personas
que contribuya a la eficacia del sistema de gestión de Compliance
y especialmente a la propia función de Compliance, el ejercicio
de una supervisión razonable, el mantenerse informados con
periodicidad sobre el desempeño del sistema de gestión de
Compliance, el examen periódico de la eficacia del sistema de
gestión de Compliance, el respaldo de la política de Compliance, el
asegurar autoridad e independencia de la función de Compliance,
la alineación de Compliance con los valores de la organización, el
animar a los empleados para que acepten la importancia de cumplir
con los objetivos de Compliance, o la creación de un entorno que
favorezca informar de incumplimientos.
Son algunos ejemplos de los muchos parámetros de conducta que,

siendo clave para el correcto funcionamiento del sistema de gestión
de Compliance, pueden interpretarse de maneras muy variadas y
condicionar enormemente su eficacia. Que los estándares ISO
y UNE recurran a ellos no es criticable, dado que no pretenden
normalizar comportamientos de gobernanza corporativa sino
7
parámetros de gestión. Por consiguiente, una mayor concreción

caería fuera de su alcance y distorsionaría su objeto. No obstante,
en la actualidad se están promoviendo estándares detallados
de gobernanza a nivel internacional (ISO) que ayudarán a una
adecuada interpretación de estos y otros conceptos. Se quiere con
ello trascender lo ya publicado en esta materia, cuya generalidad
no ayuda mucho a interpretar y aplicar los contenidos regulados en
los sistemas de gestión.
Con el tiempo comprobarás que: (i) muchas disfunciones de
Muchas modelos de Compliance obedecen realmente a esquemas de

gobernanza deficientes, y (ii) fracasará un buen modelo de
disfunciones Compliance ubicado en un mal entorno de gobernanza.
de los modelos
de Compliance
obedecen
realmente a
esquemas de
gobernanza
corporativa
deficientes.
8
3.
Las interacciones entre las áreas de gobernanza, gestión del riesgo
y cumplimiento son inevitables hasta el punto de que resulta difícil
hallar documentos que aborden alguno de estos aspectos sin
referirse implícita o explícitamente a los restantes.
Los modelos
Referencias cruzadas
GRC.
A causa de lo anterior, muchos textos generales ampliamente
difundidos sobre gobernanza corporativa contemplan aspectos
típicos de la gestión del riesgo o del cumplimiento, como sucede
con los conocidos Principios de Gobierno Corporativo de la OCDE
o sus Líneas Directrices para empresas multinacionales, por citar
algunos ejemplos clásicos. Lo mismo sucede con textos o normas
aparentemente monográficas sobre la gestión del riesgo, que no
pueden evitar referirse a aspectos de gobernanza o cumplimiento.
Por eso, no te sorprendas si para localizar referencias interpretativas
en tu ámbito terminas recurriendo a textos aparentemente referidos
a esas otras esferas.
Ejemplos de interacciones
Para visualizar el nivel de interacción entre estos conceptos, lo más
sencillo es recurrir a ejemplos. Una organización puede dotarse de
normas que brindan a sus accionistas minoritarios ciertos derechos
por encima del mínimo legal exigible. Aunque es una buena práctica
de gobernanza corporativa, constituye también una obligación
auto-impuesta que se traduce en derechos para determinado
colectivo (los accionistas minoritarios). Por consiguiente, esta
decisión en el ámbito de la gobernanza tiene repercusiones
evidentes en Compliance, siendo una obligación a vigilar cuyo
incumplimiento puede reportar daños económicos y reputacionales
a la organización.
9
Con la gestión del riesgo sucede algo parecido. Aunque los

responsables de dicha función traten riesgos aparentemente
alejados del Compliance, como puedan ser inversiones significativas
en nuevos productos o la posibilidad de que se materialice una
catástrofe en las instalaciones, también tendrán en consideración
los riesgos de Compliance, que no dejan de ser una categoría
de riesgos a identificar, analizar y evaluar. Sin embargo, como
expongo en el Cuaderno número 4 de esta Serie (“Sistemas para la
gestión del cumplimiento“), organizar adecuadamente una función
Organizar ade-
de Compliance precisa desarrollar una evaluación de los riesgos
específicos de su ámbito. Esto no significa una traslación de
cuadamente competencias ni duplicidad de trabajo, sino que las áreas de gestión
la función de del riesgo y Compliance deben coordinarse para que la evaluación
Compliance de esta categoría de sea robusta, útil y consistente para ambas.
precisa
Desde luego, lo que carece de sentido es que las áreas de
desarrollar gobernanza, gestión del riesgo y cumplimiento se gestionen
una evaluación como silos separados, pues de este escenario solo cabe esperar
de los riesgos duplicidades, lagunas y, desde luego, tensiones entre sus
específicos de respectivos responsables.
su ámbito.
Necesidad de diálogo y coordinación
Aunque el concepto de gestión coordinada GRC está bastante
aceptado y rara vez se cuestiona, el reto de las organizaciones es
lograr una comunicación fluida entre estas esferas. En ocasiones,
las tareas de coordinación que se precisan entre ellas son
percibidas como invasiones de competencias, en ausencia de
claridad respecto de sus respectivos límites competenciales y zonas
de colaboración. Para evitar este efecto es necesario clarificar o
redefinir funciones, estableciendo las mecánicas de comunicación
que faciliten el diálogo entre áreas. Como apunté en el Cuaderno
número 1 de esta Serie (“Conoce tu organización”), es importante
que identifiques a sus respectivos responsables y promuevas
dinámicas de colaboración con ellos.
10
4.
¿Son equivalentes la función jurídica interna y la de Compliance?
Es una pregunta de gran calado que nos conduce a tratar el cambio
de paradigma que supone dotarse de una función de Compliance.
Función Cumplimiento regulatorio

jurídica Si analizamos los departamentos de “cumplimiento” identificados
interna y históricamente como tales, veremos que normalmente surgen en
organizaciones que operan en mercados regulados y que tienen por
Compliance. objeto, de forma prácticamente exclusiva, velar por el cumplimiento
del bloque normativo que ordena ciertas actividades. Observamos
ejemplos claros en la banca, la intermediación financiera, la actividad
aseguradora, el sector de producción y distribución de la energía,
las telecomunicaciones, la industria farmacéutica, etc. En estos
contextos, la función de Compliance se asocia al cumplimiento
regulatorio, relacionado con las normas que son normalmente de
origen público o sectorial y tienen una marcada dimensión técnica.
Encontrarás más información sobre ello en el Cuaderno número 1
de esta Serie (“¿Qué es Compliance?”).
Difusión del Compliance

Sin embargo, el volumen y complejidad de las normas ha
dejado de ser un fenómeno exclusivo de los sectores regulados,
apreciándose en las últimas décadas la irrupción de bloques
normativos que afectan a cualquier organización: la normativa
medioambiental, la relativa a la privacidad y el tratamiento de datos
personales, protección de consumidores y usuarios, lucha contra la
corrupción, etc. A ello se suma el incremento en la complejidad del
resto de normas que tradicionalmente afectan a las actividades
de negocio, como las societarias o las fiscales, por ejemplo. La
globalización de la economía añade que las organizaciones deban
gestionar el cumplimiento de este vasto conjunto de obligaciones en
11
las diferentes jurisdicciones donde operan, siendo normas que no

están armonizadas y que, en algunas ocasiones, pueden llegar a
ser contradictorias.
Si a este escenario, ya de por sí complejo, añadimos la supervisión

de las obligaciones que se auto-imponen las organizaciones, en
muchos casos obedeciendo directrices de gobernanza corporativa,
obtenemos una diversidad y complejidad en las obligaciones
de Compliance que nada tiene que envidiar a la de los sectores
regulados de hace algunos años.
A causa de lo anterior, los marcos de referencia para sistemas

de gestión de Compliance, tratados en el Cuaderno número 4 de
esta Serie (“Sistemas para la gestión del cumplimiento”), integran
estas fuentes de obligaciones de Compliance en el universo a
supervisar, desmarcándose del tratamiento tradicional enfocado
sobre unos pocos bloques regulatorios.
Segregación de Compliance
respecto de asesoría jurídica
interna
Entre las funciones tradicionales de las asesorías jurídicas internas
de las empresas se encuentra el velar por el cumplimiento de la
normativa. Ahora bien, se aprecian tres cambios relevantes respecto
de épocas pasadas: (i) a causa de la pluralidad y complejidad
de las normas, la prevención, detección y gestión de riesgos de
Compliance deja ser una tarea residual en términos de tiempo y
metodología, (ii) el incumplimiento de las normas pueden reportar
daños económicos y reputacionales significativos a cualquier
organización -aunque no opere en mercados regulados-, susceptibles
incluso de amenazar su continuidad, y (iii) desde una perspectiva
de independencia, el cumplimiento de las normas no puede recaer
en las mismas personas que participan en negociaciones, elaboran
el contenido de documentos o trazan estrategias de defensa.
Estos factores condicionan la segregación de los cometidos de
Compliance respecto de la función jurídica interna.
En primer lugar, surge la necesidad de profesionalizar la función de

Compliance, dotándola de recursos y procedimientos que garanticen
su operatividad. Deja de concebirse como una tarea residual
gestionada artesanalmente y surgen estándares que recogen
buenas prácticas generalmente aceptadas. En segundo lugar,
puesto que los cometidos de Compliance afectan a terceros (los
grupos de interés), su gestión razonable no justifica planteamientos
de pura defensa estratégica: no es de recibo que el público en
general se vea defraudado por que una organización desarrolla
conductas o negocios reprobables, aunque sean económicamente
interesantes o incluso tengan amparo legal.
12
Imagínate que alguna unidad de negocio precisa tu asesoramiento

para desarrollar actividades que, teniendo justificación legal,
perjudican a algún colectivo o son contrarias al Código Ético de la
organización. Podría llegar a comprenderse que la función jurídica
interna preparase un argumentario técnico para defender esa
iniciativa. Sin embargo, si la organización se muestra verdaderamente
comprometida con sus grupos de interés (objetivo de gobernanza
corporativa) y ha dispuesto directrices que prevengan decisiones
dañinas para ellos, desde Compliance deberán primar estas últimas
respecto de un articulario de defensa. Lo que estarás haciendo, en el
Compliance fondo, es priorizar unas normas de fuerte contenido ético (las auto-
prioriza impuestas) sobre el literal de la legalidad o la eventual ausencia
normas de regulación, defendiendo con ello la voluntad e interés de la
de fuerte organización, aunque pueda no parecerlo a ciertas personas con
contenido planteamientos cortoplacistas. Si has vivido situaciones de este

tipo, sabrás lo difícil que es convencer de que ciertas actuaciones,
ético sobre el aparentemente legales y beneficiosas para el negocio, realmente
simple tenor contravienen la voluntad declarada de la organización.
literal de la
legalidad. No es extraño que, para evitar dilemas éticos, la profesionalización
de la función de Compliance atraviese por segregarse de la función
jurídica interna, como viene apreciandose en el listado de “World’s
Most Ethical Companies” elaborado por la ONG Ethisphere.
Incluso algún colegio profesional europeo abogó hace años por
una regulación separada de los responsables internos de vigilar el
cumplimiento de la legalidad (“Commissariat aux Droit”) respecto
de los abogados de empresa tradicionales, en un primer intento
por dotarles del estatuto necesario para ayudarles en su difícil
cometido. Abordo con mayor profundidad la relación entre ética y
cumplimiento en el Cuaderno nº 6 de esta Serie (“Cultura ética y de
respeto a las normas”).
Está claro que Compliance adquiere en nuestros días una dimensión

que no ha tenido años atrás para la mayor parte de organizaciones.
Y es también evidente que para desarrollar eficazmente su
cometido precisa de autonomía e independencia: la primera se
vincula con la capacidad de actuar proactivamente sin necesidad
de ser mandatada, y la segunda con la ausencia de presiones
que garanticen su recto proceder. Son factores muy asumidos en
algunos sectores de actividad, y que en nuestros días se extienden
a todas las organizaciones gracias a la difusión de los estándares
de Compliance. Hablo de ello en el Cuaderno número 5 de esta
Serie (“Autonomía e independencia en Compliance”).
13
5.
Si deseas relacionarte con las funciones de Gobernanza y Gestión
del riesgo, localiza el documento organizativo donde se describen sus
competencias y los canales que emplean para capturar y gestionar
la información que manejan. Con ello evitarás redundancias
Tu forma de cuando definas los propios, pues una parte de las informaciones que
gestionan te serán igualmente de utilidad. Si no existen asignaciones
relacionarte claras de competencias o medios que faciliten una comunicación
con Gobernanza fluida entre funciones, impulsa procesos de mejora que mitiguen
estas deficiencias. Recuerda que el transcurso del tiempo no te
y Gestión del ayuda, en el sentido de que, mientras persistan estas indefiniciones,
Riesgo. la organización está expuesta a sufrir las consecuencias derivadas

de esa falta de coordinación.
Cuando no exista atribución de funciones en materia de Gobernanza

o Gestión del riesgo, es positivo que abras un debate acerca de su
eventual necesidad. Puesto que no se trata de crear estructuras
o cargos inútiles, es posible que algunas de estas funciones o
todas ellas confluyan en una misma área o incluso persona. Pero
esta solución será siempre mucho mejor que ignorar los objetivos
de una organización en las citadas esferas. Nadie criticará a la
organización por haberse dotado de unas estructuras mínimas que
sean proporcionales a sus circunstancias, pero, sin embargo, sí le
reprocharán no haberse planteado siquiera su existencia. Promueve
estructuras que sean razonables en el contexto de la organización.
Existen opiniones que otorgan un mayor peso a la función de

gobernanza corporativa que a las de Gestión del riesgo o
Compliance, en el sentido de que la primera establece las directrices
que dan sentido y guían a las otras dos. Tal aproximación viene incluso
implícitamente reconocida en algunas normas, como Solvencia II en
España que aplica a las empresas aseguradoras.
En cualquier caso, las personas de la organización deben conocer

quiénes son sus interlocutores en materia de Gobernanza, Gestión
del riesgo y Compliance.
14
6.
Preguntas
¿Están obsoletos los modelos de
gestión empresarial centrados en
el control interno de los riesgos?
No. Además de disfrutar de un amplio reconocimiento, estos
frecuentes. modelos han evolucionado hasta convertirse en marcos de
referencia ineludibles, por lo cual sería insensato restarles valor. Sin
embargo, habiendo nacido para mejorar el control interno, suelen
abordar la gobernanza o el cumplimiento de forma lateral, en lo que
tienen relación con aquella finalidad, sin dotarles de protagonismo
sustantivo. Esta es la mayor diferencia respecto de los modelos
GRC, que nacen considerando la importancia e interrelación de los
tres cometidos (gobernanza, gestión del riesgo y cumplimiento) y
abordan el modo de gestionarlos conjuntamente.
¿Cómo se inicia la implantación de

un modelo GRC en la empresa?
La implantación de un modelo de gestión GRC no debería
obedecer a modas, sino derivar de una reflexión profunda sobre
sus beneficios, y del firme compromiso respecto de los objetivos
fijados para cada una de las áreas. La organización, y en particular
su equipo directivo, deberían interiorizar las ventajas del modelo y
difundirlas dentro y fuera de la empresa. Por eso, un tercero con
experiencia puede ayudar en este proceso de reflexión, pero no
forzarlo ni sustituirlo. Si se desea automatizar la interacción entre
gobernanza, gestión del riesgo y cumplimiento, existen soluciones
informáticas para ello. Pero valora las necesidades reales de la
organización antes de abordar costosos proyectos de implantación
de herramientas, difícilmente reversibles.
15
¿Estaré burocratizando la empresa

al impulsar estructuras y procesos
de Compliance?
La crítica fácil al establecimiento de estructuras de Compliance
es que burocratizan la organización, restándole agilidad y
competitividad. Pero su necesidad nace de las exigencias
gubernamentales y/o de buen gobierno corporativo. Puesto que el
conjunto de obligaciones de Compliance es voluminoso, complejo
pero, a la vez, relevante para la continuidad del negocio, se hace
necesario establecer medidas para garantizar su correcta aplicación.
Con ello no se burocratiza una organización, poniendo en valor
su gestión y generando confianza de continuidad a los accionistas,
a los empleados y al resto de stakeholders. Cumplir con las normas
no constituye una formalidad administrativa, sino un objetivo
estratégico para cualquier organización.
16



tratamiento.

modelo.
17

Compliance

normas
éticos.


propósito.
18



obstructivas

organizaciones
19

19601
Madrid 2017

Alain Casanovas
Supremo
Madrid 2013

Alain Casanovas
Madrid 2012

Alain Casanovas
Madrid 2008
20
Sistemas de
gestión de
Compliance
Alain Casanovas
04
de Compliance
www.asociacioncompliance.com Sistemas de gestión de Compliance

Compliance penal.

© 2018


2
Presentación Desde hace tiempo me defino como un estudioso de las

normas del “cómo”. Aunque no es una clasificación al
uso, podemos distinguir entre las normas que indican qué
debemos hacer (normas del “qué”) y las que explican cómo
conseguirlo (“normas del cómo”). Podríamos decir que las
primeras son fáciles de producir, bastante evidentes y
estaríamos mayoritariamente de acuerdo con ellas. Así, por
ejemplo, debemos pagar impuestos si deseamos el bienestar
común, ser respetuosos con el medio ambiente y con las
comunidades donde operamos, evitar conductas incorrectas
por parte de las personas de nuestra organización o de
quienes se relacionan con ella, y un larguísimo etcétera.
¿Quién se atreve a criticar estos objetivos de sentido
común? La dificultad surge cuando nos preguntamos cómo
lograrlos, especialmente en un entorno de negocio complejo,
competitivo y globalizado. Es entonces cuando comienza la
búsqueda de las normas del “como” y nos damos cuenta de
que son escasas.
Conocer cómo ser diligente en procurar una conducta

ética y de respeto a la Ley no es intrascendente cuando
el volumen, complejidad y variabilidad de las normas
aumenta a velocidad vertiginosa. En este contexto, son una
valiosa ayuda las directrices y requisitos que emanan de
organismos nacionales e internacionales de reconocido
prestigio, señalando el modo razonable de actuar en un
entorno tan difícil como este. Estos textos nos hablaron
primero de los programas de Compliance, para referirse
después al concepto más moderno de sistemas de gestión
(“Compliance Management Systems” o CMS). Se extraen
de ellos los componentes fundamentales que voy a tratar
en este Cuaderno, que te serán de utilidad para organizar y
desarrollar eficazmente los cometidos de Compliance.
Alain Casanovas
3
Índice
1. Concepto de CMS
2. Marcos de referencia generalmente

aceptados
3. El “tone from the top”
4. Objetivos de cumplimiento y acciones

organizativas
5. La evaluación del riesgo
6. Controles de Compliance
7. Reportes de Compliance
8. Planes de acción
9. La monitorización
10. Documentación del modelo
11. Certificación o auditoría del modelo
4
1.
De un tiempo a esta parte, el concepto de “programa” de
Compliance se ha visto superado por el de “sistema de gestión
de Compliance”. Aunque ambos configuran modelos basados en la
concurrencia de una serie de principios y elementos para alcanzar
Concepto de determinados objetivos, los sistemas de gestión ponen énfasis en la

interacción dinámica que debe concurrir entre ellos. Encontrarás
CMS. más información sobre ello en el Cuaderno número 1 de esta Serie
(“¿Qué es Compliance?”).
Un sistema para la gestión del Compliance (“Compliance

Management System – CMS”) permite definir y alcanzar los
objetivos de Compliance de una organización. Desde hace tiempo,
ha dejado de ser un concepto ambiguo para estar perfectamente
definido en estándares internacionales como la norma ISO
19600:2014 sobre Compliance Management Systems o la norma
ISO 37001:2016 sobre Anti-Bribery Management Systems.
Quién normaliza los estándares

Normalmente, los Estados delegan la capacidad de normalizar
sobre aspectos técnicos a ciertas entidades, que se encargan de
establecer unos criterios y lenguaje de comunicación común
a través de la producción de estándares. En España, es la
Asociación Española de Normalización UNE la que tiene atribuidas
dichas facultades, como sucede con la Association Française de
Normalisation AFNOR en Francia, el Deutsches Institut für Normung
DIN en Alemania, el Ente Nazionale Italiano di Unificazione UNI en
Italia, el American National Standards Institute ANSI en los Estados
Unidos, y un largo etcétera. Las entidades de normalización se
agrupan en la International Organization for Standardization ISO,
que es una organización no gubernamental independiente de
la que actualmente forman parte 161 entidades de normalización
nacionales.
5
Practicas reconocidas versus

iniciativas no consolidadas
Los estándares de Compliance, tanto nacionales como
internacionales, no pretenden necesariamente recopilar las
prácticas más avanzadas, sino las más reconocidas, esto es,
aquellas cuya efectividad esté ampliamente admitida. Puesto que
uno de los objetivos de los estándares es procurar confianza en
los mercados, su contenido debe ser fiable. Esto excluye cualquier
ensayo o aproximación no consolidadas, susceptibles de ser
cuestionadas. De todos modos, las entidades de normalización
formulan revisiones periódicas de sus estándares, para refinar
su contenido e incorporar en ellos nuevos elementos de eficacia
probada.
Sistemas de gestión genéricos y

sistemas de gestión específicos
Puede hablarse de un sistema de gestión de Compliance de
manera genérica (aplicable al conjunto de obligaciones que afectan
a una organización), o de forma específica, cuando se proyecta
exclusivamente sobre algún tipo de obligaciones de Compliance
en particular (prevención penal y del soborno, protección de
la privacidad y de los datos personales, etc). El estándar ISO
19600:2014 es genérico (Compliance en general), mientras que
el ISO 37001:2016 es específico (Compliance anti-soborno).
La Norma UNE 19601:2017 es también un estándar específico,
ceñido a los modelos de organización y gestión requeridos en el
Código penal Español.
El principio de proporcionalidad
La aplicación de los estándares modernos de Compliance no
conduce a un único modelo de sistema de gestión. Existen múltiples
formas de adaptar sus directrices y requisitos, dando lugar a
modelos muy variados que se adaptan a las particularidades de cada
organización. De hecho, en la mayoría de estándares se reconoce
el principio de proporcionalidad: de cada organización cabe
esperar un modelo de Compliance adecuado a sus circunstancias.
Evidentemente, los sistemas de gestión en grandes organizaciones
precisarán más recursos y requerirán mayores formalidades que
en las pequeñas, pero en ambos casos se cubrirán una serie de
componentes esenciales.
Paradójicamente, existen organizaciones pequeñas y medianas

que, por la naturaleza de sus operaciones o por los mercados
en que operan, precisarán modelos de Compliance especialmente
robustos. Por lo tanto, cuando se habla de las circunstancias de la
6
organización no sólo cabe considerar las internas (cifra de negocios,

número de empleados, etc.) sino también las externas (mercados
geográficos o sectores en los que actúa, marco regulatorio, etc.).
La aplicación correcta del principio de proporcionalidad atraviesa
por considerar ambos grupos de circunstancias.
Obligación de los administradores

En cualquier caso, siendo los administradores quienes deben velar
Corresponde por la adecuada gestión de la organización, procurando mantener
una conducta ética y de respeto a la Ley, a ellos corresponde
a los adminis- impulsar un adecuado sistema de gestión de Compliance. Su
tradores ausencia, por lo tanto, puede interpretarse como una falta de
sociales diligencia y reportarles responsabilidad personal, como explico
impulsar un en el Cuaderno número 9 de esta Serie (“Responsabilidades
adecuado personales en el ámbito del Compliance”).
sistema de
gestión de
Compliance.
7
2.
El Instituto de Auditores Públicos alemán (IDW) publicó en el año
2011 su estándar AssS 980, regulando el proceso de emisión de
una opinión profesional sobre la razonabilidad de un sistema
de gestión de Compliance (CMS). Para identificar los aspectos
Marcos de críticos a tales efectos, el IDW tomó en consideración una serie de

textos y estándares aplicables en la esfera del Compliance: son los
referencia que se relacionan en dos tablas que forman parte de su apéndice
generalmente 1, titulado “Marcos CMS generalmente aceptados”. Este estándar

alemán es un texto importante no sólo por la novedad que supuso
aceptados. y la calidad técnica de su contenido, sino porque también reconoció
y relacionó una serie de documentos sobre Compliance con fuerte
reconocimiento internacional, emitidos por instituciones de prestigio.
Por eso, los calificó como marcos de referencia de Compliance
“generalmente aceptados”.
¿Qué es un marco de referencia

generalmente aceptado?
En líneas generales, para que un texto sobre Compliance se califique
como marco de referencia, se precisa que su contenido sea lo
suficientemente detallado para que dos o más profesionales lleguen
a conclusiones análogas cuando lo aplican en la práctica (escaso
margen de interpretación). El marco de referencia es generalmente
aceptado cuando se ha elaborado por una entidad de prestigio, a
través de un procedimiento regulado, transparente y participativo.
Los estándares fruto de la normalización nacional e internacional
(ISO) reúnen dichas características.
Estos marcos de referencia para organizar un CMS tanto pueden

ser genéricos (aplicables a la vigilancia de cualquier bloque
normativo o sobre el conjunto de ellos) como haber sido diseñados
pensando en alguno en particular. Por eso, existen estándares tanto
genéricos como específicos, como reconocen las dos tablas del
citado apéndice 1 del IDW AssS 980.
8
Los marcos de referencia o entornos de Compliance, tanto

genéricos como específicos, contienen indicaciones para el
diseño y evaluación de sistemas de gestión de Compliance,
cuya aplicación práctica dará lugar a modelos muy variados pero
coherentes en cuanto a directrices o requisitos.
Siete principios de Compliance

generalmente aceptados
A través del estudio de los diferentes marcos de referencia
generalmente aceptados en Compliance, el IDW observó que
compartían muchas de sus aproximaciones y componentes. Es
más, en ocasiones su contenido era sumamente parecido, aun
siendo textos producidos en jurisdicciones alejadas, por equipos de
trabajos diferentes y proyectados sobre sectores distintos. Por ello,
puede decirse que existen una serie de principios de aparición
recurrente en estos textos, cuyo conocimiento te ayudará a valorar
si el modelo de tu empresa está alineado con ellos y, por lo tanto,
si converge con las tendencias internacionales en materia de
Compliance.
En los siete apartados siguientes trataré cada uno de estos

principios y finalmente expondré algunas reflexiones acerca del
modo de documentar un modelo de Compliance y la posibilidad de
revisarlo, certificarlo o auditarlo. El orden de exposición es parejo
a su tratamiento en la norma técnica IDW AssS 980.
9
3.
No es ninguna novedad que cualquier proyecto de cambio o mejora
en el seno de las organizaciones precisa el apoyo de su órgano de
gobierno y la máxima dirección para llegar a buen fin. Establecer,
mantener o mejorar una cultura ética y de respeto a la Ley precisa
El “tone from de este soporte, que ha recibido muchas denominaciones: una de las
más actuales es “tone from the top”, que se diferencia del tradicional
the top”. “tone at the top”, por enfatizar que el compromiso del órgano de
gobierno y de la alta dirección no sólo reside en su propia esfera, sino
que desde ella debe también permeabilizar a toda la organización.
El “tone from the top”, es un factor clave para el desarrollo de una

adecuada cultura empresarial. En el ámbito que nos ocupa, es muy
difícil implantar CMS efectivos si la el órgano de gobierno y la máxima
dirección no otorgan relevancia y muestran su firme compromiso
con el Compliance. Por eso, no es de extrañar que los marcos
de referencia generalmente aceptados no sólo reconozcan este
elemento, sino que lo consideren una de las primeras cuestiones
que deben evaluarse. Sin esta afección, cualquier iniciativa de
Compliance corre el riesgo de naufragar ante las primeras dificultades.
Hallarás más información sobre ello en el Cuaderno número 6 de
esta Serie (“Cultura ética y de respeto a las normas”).
Podría pensarse que contrastar ese nivel de compromiso con los

objetivos de Compliance alberga gran subjetividad. Sin embargo,
el personal de Compliance percibe claramente cuando existe “tone
from the top” y cuando no. Tú mismo puedes examinar la actitud
del órgano de gobierno y equipo directivo, valorando hasta qué
punto perciben que es importante tú labor y observan una conducta
respetuosa con la ética y la Ley. Un tercero externo también alcanzará
una conclusión al respecto observando documentos organizativos
que corroboren la importancia que le otorga al cumplimiento de las
normas, y su soporte explícito al equipo de Compliance. El “tone
from the top” deja siempre traza, en forma de hechos y documentos.
El ojo educado las detecta fácilmente.
10
4.
Cuando concurre un adecuado “tone from the top”, el compromiso
del órgano de gobierno y de la máxima dirección con el Compliance
se manifestará, entre otros aspectos, en objetivos a cubrir en
esta faceta e impulso de las estructuras razonables que permitan
Objetivos de alcanzarlos.
cumplimiento Objetivos de Compliance

y acciones
Plantearse cuáles son los objetivos de Compliance es trascendente,
organizativas. porque determinarán las estructuras (órganos) y otros aspectos
(políticas, procedimientos, etc) para lograrlos. Normalmente, los
objetivos de Compliance atraviesan por una declaración general de
tolerancia cero a los incumplimientos de normas, entendiendo
por éstas tanto las que vienen impuestas (“requirements”) como
las asumidas voluntariamente (“committments”). Podríamos decir
que se trata de un objetivo estratégico general, al que pueden
sumarse otros, y que derivarán en objetivos tácticos u operativos.
Todos ellos vendrán condicionados el resultado de la evaluación
de los riesgos de Compliance. y las expectativas que tienen
depositadas los grupos de interés en la organización. El efecto
combinado de ambos factores condiciona la fijación de objetivos
ambiciosos en mayor o en menor medida.
Estructuras organizativas
El dimensionado de las estructuras organizativas vendrá entonces
determinado por lo objetivos de Compliance que la organización
se ha propuesto alcanzar. Las que asumen desarrollar actividades
potencialmente expuestas a riegos relevantes de Compliance
precisarán medidas orgánicas acordes con ese nivel de exposición,
mientras que las que renuncien a ellas podrán volcar menos
esfuerzos, comparativamente hablando.
11
Superestructuras de Compliance
Puesto que pueden coexistir diferentes áreas y responsables
de cumplimiento en una misma organización (responsable de
privacidad y protección de datos, responsable de cumplimiento fiscal,
responsable de cumplimiento regulatorio, etc), tiene sentido que se
coordinen en un foro común, destinado a garantizar la aplicación
uniforme y consistente de los principios de Compliance fijados por
la organización en sus políticas: si ésta desea una aplicación ética
y prudente de la normativa, los planteamientos fiscales agresivos
estarán fuera de lugar, por ejemplo. Coordinando las diferentes
áreas de cumplimiento se evitan este tipo de inconsistencias, se
facilita que las iniciativas de alguna de las áreas beneficien también
a las restantes, y se brinda una valiosa visión de conjunto al
órgano de gobierno y la máxima dirección.
Por sus beneficios contrastados, cada vez son más frecuentes
Por sus los modelos transversales de Compliance (también llamados

“superestructuras de Compliance”) dirigidos por “Compliance
beneficios Committes”, “Compliace Steering Groups” u otros órganos
contrastados, colegiados análogos. Lo que pretenden, en resumen, es aglutinar
cada vez y coordinar las diferentes áreas de cumplimiento para coordinarlas
son más y obtener sinergias. Alguno de sus integrantes adquiere un rol
frecuentes
de dirección, constituyéndose en Presidente del órgano o Chief
Compliance Officer –figura que adquiere sentido cuando ya existen
los modelos Compliance Officers responsables de áreas específicas-.
transversales
de Compliance. El órgano de Compliance establecido al efecto comprobará, entre
otras cosas, que existan y se difundan los parámetros de conducta
que deben observar las personas de la organización o incluso los
terceros que se vinculan con ella, para ayudarles a prevenir, detectar
o gestionar del mejor modo posible los riesgos de Compliance
que afectan a las diferentes áreas. Esto se construye a través de
políticas y procedimientos, según explico en el Cuaderno número
7 de esta Serie (“Árbol de políticas de Compliance”).
Aquellos cometidos que los principales estándares atribuyen al

Compliance Officer se hallan resumidos en el conocido Libro
Blanco sobre la función de Compliance, elaborado por la Asociación
Española de Compliance.
12
5.
Por mucho que existan estructuras organizativas de Compliance,
poca será su eficacia si no se proyectan sobre los riegos que
verdaderamente amenazan a la organización. La puesta en marcha
de un sistema de gestión de Compliance (CMS) y creación de
La evaluación estructuras organizativas, políticas y procedimientos sólo tiene

sentido si se han determinado qué riesgos deben ser prevenidos
del riesgo. detectados y gestionados. Por eso, el desarrollo de una evaluación
de riesgos (“risk assessment”) es un ejercicio clave para orientar
y dimensionar el CMS. Sin embargo, no sólo debe realizarse en
la etapa inicial de diseño, sino periódicamente para garantizar que
el CMS sigue siendo adecuado a las cambiantes circunstancias
internas y externas de la organización.
Las buenas prácticas abogan por inventariar primero los bloques

de normas que afectan a la organización para, luego, identificar
las conductas de riesgo asociadas con cada uno de ellos. En este
sentido, la evaluación de riesgos de Compliance atraviesa por dos
etapas, que transcurren desde una visión general (bloques de
obligaciones de Compliance) a una específica (casuísticas de riesgo
en cada bloque). Normalmente, los riesgos de Compliance terminan
categorizados por probabilidad de ocurrencia y consecuencias
en tal caso, lo que permite ilustrarlos gráficamente en un esquema
de coordenadas cartesianas positivas. En ocasiones, se recurre
al concepto de “gravedad” o “severidad”, que es el resultado
agregado de los dos factores anteriores, facilitando así priorizar los
riesgos evaluados.
Hecho lo anterior, se considera una buena práctica identificar tanto

los procesos o actividades, como los colectivos de personas
próximas a los riesgos detectados (incluyendo colaboradores
externos), para asegurar que se proyectan sobre ellos medidas de
supervisión y control adecuadas.
13
6.
Es importante que comprendas la necesidad de mantener el binomio
políticas/controles para dotar de eficacia a tu sistema de gestión
de Compliance (CMS). Las políticas de empresa, desde la más alta
(p.e. el Código Ético) hasta la más específica (p.e. Política sobre uso
Controles de
de los recursos informáticos) determinan patrones de conducta
para quienes se vinculan con la organización. La existencia de estos
Compliance. patrones es necesaria pero no suficiente: no basta con la difusión
interna de estas normas para garantizar su aplicación uniforme y
consistente. Los parámetros de conducta meramente formulados
pueden convertirse en papel mojado en ausencia de controles que
velen por su correcta aplicación, y sean capaces de desencadenar
acciones de remediación en aquellos casos que donde se precisen.
Los controles, por sí solos, tampoco están justificados cuando

no derivan de políticas que los amparen. En este sentido, las
políticas evitan que los controles se perciban como una supervisión
innecesaria o arbitraria. Por ello, el binomio políticas-controles es
algo que deberás tener siempre presente, pues ambos conceptos se
dotan de sentido recíproco.
Sobre la base de lo anterior, trata de que tu organización esté

equilibrada en cuanto a políticas y controles. Es frecuente que las
empresas establezcan políticas, las difundan entre sus empleados
y socios de negocio, y que incluso pidan una declaración de
conformidad con su contenido. Aunque constituye una buena
práctica, sólo con ello no se garantiza su observancia ni supone, per
se, una medida para detectar desviaciones. Se precisa dar un paso
más y establecer controles de Compliance.
No existen los controles infalibles: cuando concurren empleados o

socios de negocio resueltos a vulnerarlos, es posible que finalmente
lo consigan, eventualidad contra la cual sólo cabrían medidas
de prevención más allá de lo razonable en el ámbito empresarial.
Además, los controles pueden fallar debido a sus propios límites:
por ejemplo, cuando dependen del juicio humano, sujeto a error.
Sin embargo, aunque los controles no garantizan la seguridad
14
absoluta, sí que permiten alcanzar un nivel de seguridad razonable

en cuanto a los parámetros conductuales establecidos, desde luego
por encima de la esperable mediante la simple emisión de políticas.
Controles de alto nivel y específicos

Cabe distinguir entre controles de alto nivel y controles
específicos. Los primeros suelen asociarse a políticas de alto nivel
(un Código Ético, por ejemplo) y tienen un amplio espectro en cuanto
a cobertura de conductas, mientras que los segundos se vinculan
a políticas concretas y vigilan ciertas conductas en particular. Un
canal de denuncias vinculado al Código Ético (“whistleblowing line”)
Una “whistle- es, por ejemplo, un control de alto nivel, pues a través de él se pueden
reportar irregularidades muy variadas. Sin embargo, una revisión
blowing periódica del proceso de selección y adjudicación de contrataciones,
line” es un destinado a vigilar la aplicación razonable de la política de compras,
control de alto es un control específico que normalmente centrará su atención en
nivel, donde evitar conductas antieconómicas, fraudulentas o corruptas.
se pueden Entre los controles de alto nivel y los específicos debería darse
reportar cobertura a los bloques normativos y casuísticas de riesgo surgidas
irregularidades de la evaluación de riesgos de Compliance. Vemos como los

elementos que integran el CMS presentan un nivel elevado de
muy variadas. interacción.
Controles financieros y no financieros

Muchos marcos de referencia en Compliance distinguen también
entre los controles financieros y los no financieros. Los primeros
se proyectan sobre flujos económicos y dotan de seguridad a la
información financiera (la segregación de funciones, por ejemplo),
mientras que los segundos se aplican a otros procesos (política
de compras a través de una mesa debidamente estructurada, por
ejemplo).
Controles preventivos y detectivos

Es también común la distinción entre controles preventivos y
detectivos. Los primeros previenen la materialización del riesgo de
Compliance, mientras que los segundos la detectan. Son habituales,
por ejemplo, los manuales de instrucciones que ayudan al personal
a comportarse dentro de unos parámetros de conducta deseados. En
este sentido, por ejemplo, un manual de actuación ante solicitudes
de datos personales constituye un control preventivo. El desarrollo
de “revisiones internas de Compliance”, donde la función comprueba
directamente la aplicación uniforme y consistente de sus directrices
es, sin embargo, un control detectivo.
Controles automatizados y manuales

También es muy frecuente la distinción entre controles automatizados
y manuales, normalmente para otorgar un mayor grado de fiabilidad
a los primeros, especialmente cuando su frecuencia de aplicación
es también mayor.
15
7.
Puesto que la organización ha establecido sus objetivos de
Compliance, es razonable esperar que se interese por conocer
si se están alcanzando y las incidencias que surgen en dicho
camino. Por ello, es difícil justificar la ausencia de reportes internos
Reportes de de Compliance en aquellas organizaciones verdaderamente

comprometidas con la ética y el cumplimiento de la Ley.
Compliance.
Aunque dedico el Cuaderno número 8 de esta Serie (“La cadena de
reporte en Compliance”) a explicar el modo en que se monitorizan
los objetivos de Compliance, sí interesa ahora anticipar el sentido
de los flujos de la información relevante y cómo pueden terminar
impactando en los grupos de interés de la organización.
Información de uso interno, y de

uso externo
Existen informaciones relacionadas con el Compliance que son
trascendentes para terceros, dado que pueden fundamentar
sus decisiones atendiendo a datos que constan en los reportes
públicos. Es el caso de inversores, bancos o las propias autoridades
públicas. Por lo tanto, posiblemente manejarás informaciones con
capacidad no sólo de afectar a la organización sino también a estos
y otros terceros. Por eso, no es en absoluto prudente minusvalorar
la información de Compliance, que deberá estar sujeta a unos
flujos controlados y adecuadamente supervisados, que eviten
perjudicar a la propia organización y también a terceros.
Obtención de información de
calidad
Maneja siempre información de calidad. Es la información que se
obtiene a través de los diferentes procedimientos y que se reporta
periódicamente, como explico en el Cuaderno número 8 de esta
16
Serie (“La cadena de reporte en Compliance”). Aunque se puede

escribir mucho acerca de lo que es “información de calidad”, aplica
un criterio análogo al que esperarías respecto de la información
financiera: ¿sería información financiera de calidad la obtenida
a través de conversaciones de café con los responsables de las
operaciones? Del mismo modo que existen procedimientos
y herramientas para capturar la información económica que
ridiculizan el enunciado de la pregunta, también deben concurrir
respecto de la información de Compliance.
Un reporte de Compliance no basado en procedimientos y

herramientas definidas al efecto corre el riesgo de degradarse
con el transcurso del tiempo, erosionando su objetividad y
perjudicando su eficacia. Tales circunstancias son especialmente
peligrosas cuando terminan afectando no solo a la organización
sino también a sus grupos de interés.
17
8.
Consecuencia lógica de los reportes de Compliance son los planes
de acción: no se concibe que se detecten irregularidades o
aspectos susceptibles de mejora sin que inmediatamente se
planifiquen y ejecuten las medidas apropiadas.
Planes de Los planes de acción suelen adjuntarse o referirse en los reportes

acción. de Compliance, de forma que no sólo se exponen los incidentes
detectados sino también las acciones sugeridas para tratarlos,
incluyendo hitos a cubrir, responsables de su ejecución y plazos.
Encontrarás más información al respecto en el Cuaderno nº 8 de
esta Serie (“La cadena de reporte en Compliance”).
Los planes de acción no sólo deben contemplar las actividades

adecuadas para evitar o mitigar irregularidades, sino también (i)
las medidas que se adoptarán para evitar que se reproduzcan,
y (ii) las consecuencias que de derivarán para las personas de la
organización o sus colaboradores que las han ocasionado.
Evidentemente, forma parte de las competencias de Compliance y

del contenido de los reportes en su ámbito, monitorizar la correcta
ejecución de los planes de acción y proponer las correcciones
oportunas cuando no logren su propósito.
18
9.
El término “monitoring” se suele traducir con los anglicismos
“monitorizar” (Español) o “monitorear” (Español internacional). Son
términos muy extendidos en la literatura y marcos de referencia de
control interno y de Compliance.
La En el contexto que ahora nos ocupa, monitorizar significa, en

monitorización. esencia, vigilar que las capacidades del modelo de Compliance
no mermen por el transcurso del tiempo o debido al cambio de las
circunstancias de la organización, tanto de internas como externas.
Es más, a través de la monitorización del modelo de Compliance
se intenta que mejore según la experiencia acumulada, y vaya
así cubriendo las fisuras que se identifiquen sucesivamente en
búsqueda de la excelencia.
Monitorización programada y
sobrevenida
La monitorización se puede desarrollar de manera programada o
sobrevenida. La programada supone una revisión periódica que
se desarrolla aunque no concurran situaciones excepcionales:
simplemente para verificar que el modelo sigue siendo adecuado a
las circunstancias de la organización y estado del arte en su ámbito.
La sobrevenida concurre ante un cambio de circunstancias, tanto
internas como externas, o frente a la materialización de un incidente
de Compliance que obliga a replantearse el modelo. Ambos tipos de
revisiones deben estar previstas y reguladas en el CMS.
Monitorización continua
Las buenas prácticas abogan por la monitorización continua, de
forma que las capacidades del modelo se evalúen constantemente
sin esperar hitos específicos, actualizando y reforzando el sistema
de gestión tan pronto se tiene ocasión. En este sentido, los reportes
19
operativos de Compliance constituyen una buena oportunidad

para desarrollar ese “monitoring”, en el sentido de corroborar la
robustez de los controles que han permitido prevenir o detectar un
incidente, o valorar aquellos otros que deben implantarse o que
no han funcionado correctamente, aflorando, en ambos casos,
debilidades del modelo que inducen a la reflexión sobre cómo
erradicarlas.
Monitorización interna, externa y

mixta
Salvo que exista mandato legal al respecto, la monitorización del
modelo de Compliance no tiene por qué desarrollarse externamente,
pudiendo ejecutarse internamente, siempre que se dispongan
de recursos para ello y se salvaguarde la independencia del
revisor. Cabe también la posibilidad de que sea encomendada a
profesionales externos (igualmente desvinculados del diseño y
operación del modelo) o constituir un equipo mixto (interno/externo)
a tales efectos.
20
10.
Documentar adecuadamente el sistema de gestión de Compliance
no es una mera cuestión formal, sino algo necesario para evitar que
se degrade, demostrar su existencia y poder llegar a certificarlo o
auditarlo.
Documentación Todos los elementos que hemos tratado en este Cuaderno deberían
del modelo. hallarse soportados documentalmente. Los estándares ISO
sobre Compliance recurren para ello al concepto de “información
documentada” que no sólo cubre aquella que guarda relación
con la descripción del sistema de gestión, sino también con su
implementación y ejecución práctica. De ahí la importancia de no
sólo documentar el modelo, sino también las diferentes actividades
y decisiones que de él se derivan.
Documentar el modelo y el resultado de su aplicación permite

constatar su existencia, aunque cuestión distinta será valorar su
razonabilidad y eficacia.
Puesto que la aplicación de principios de Compliance generalmente

aceptados puede producir modelos muy variados, adecuados a
cada perfil de organización, se darán también múltiples formas de
documentarlos, sin que exista un único patrón al respecto. Ahora
bien, al elaborar o analizar dicha documentación deberá ponerse
especial cuidado en que refleje tanto los principios relacionados
en este Cuaderno, como evidencias inequívocas de su aplicación
práctica.
En cualquier caso, la documentación del modelo y de su

implementación real son condiciones necesarias si deseamos
revisarlo, certificarlo o auditarlo por un tercero independiente, que
aplicará el principio de escepticismo profesional y cuestionará
toda manifestación carente de soporte documental.
21
11.
Puesto que tanto la inexistencia, la inadecuación o la defectuosa
ejecución de un sistema de gestión de Compliance puede reportar
daños a la organización y terceros, es lógico que se busque cierto
confort a través de la opinión de un tercero independiente sobre la
Certificación o razonabilidad de su diseño, el adecuado nivel de implementación

y su eficacia. Además, la revisión del modelo de Compliance por
auditoría del un externo cualificado constituye una valiosa palanca de mejora.
modelo. Desde otra perspectiva, el órgano de gobierno también tendrá

interés en acreditar su diligencia en la implantación y ejecución
de un modelo de Compliance a través de la opinión de un tercero
independiente. Encontrarás más comentarios acerca de la
responsabilidad personal tanto de los administradores como del
propio Compliance Officer el Cuaderno número 9 de esta Serie
(“Responsabilidades personales en el ámbito del Compliance”).
A efectos de dicha revisión, comprueba si se realizará por

comparación con algún estándar reconocido internacionalmente,
así como los criterios y metodología de revisión que el tercero
independiente aplicará en su trabajo (estándar de revisión). Ambos
aspectos son muy importantes para poner en valor la revisión
efectuada y dotarla de la mayor robustez posible.
Evita las revisiones realizadas sin referencia a un patrón claro de

CMS y/o utilizando metodologías de verificación singulares, pues su
valor puede ser fácilmente cuestionado por terceros.
22
12.
Preguntas
¿Figuran relacionados en algún
lugar los textos que se consideran
marcos de referencia generalmente
aceptados en Compliance?
frecuentes. Podemos encontrar una relación de marcos de referencia
generalmente aceptados en el ámbito del Compliance en el estándar
de auditoría AssS 980 emitido por el Instituto alemán de Auditores
públicos (IDW) en el año 2011. Su apéndice 1 incluye dos tablas
enunciativas pero no limitativas: una de marcos genéricos y otra de
marcos específicos, a los que considera generalmente aceptados.
Aunque esta relación inicial no está actualizada, son textos de
conocimiento obligado para cualquier profesional vinculado con el
Compliance.
¿Qué puedo hacer si no percibo

el “tone from the top” en mi
organización?
El compromiso del órgano de gobierno y la máxima dirección
en cuanto a los objetivos de Compliance es un factor esencial no
sólo para alcanzarlos sino también para tu evolución profesional.
Puedes tratar de transmitir su importancia directamente o a través
de terceros expertos, que, seguramente, aportarán argumentos
y experiencias comparativas de utilidad. Pero si no vislumbras
que adquirir conciencia de la importancia del Compliance es una
eventualidad remota, tendrás que plantearte seriamente si te
encuentras en la organización adecuada para tu desarrollo
profesional.
23
Para asegurar el cumplimiento

de las normas en la organización,
¿es mejor designar un órgano
individual o colegiado?
Si estas en una organización con cierta diversidad en cuanto a
bloques normativos aplicables, lo más efectivo será pensar en
un órgano colegiado que integre a sus diferentes responsables,
coordinado por un Presidente o por el Chief Compliance Officer
(CCO). Pero en organizaciones medianas y pequeñas, tal vez no
tengas esta posibilidad ni sea necesaria, especialmente en casos
de poca complejidad del entorno normativo de aplicación.
¿Puedo desarrollar yo mismo

la evaluación de riesgos de
Compliance?
En ningún lugar consta que dicha tarea deba necesariamente
encomendarse a profesionales externos. Ahora bien, en modelos de
Compliance transversales, es importante que el “risk assesment”
cubra todos los bloques de normas que afectan a la organización,
y es difícil que una sola persona o un equipo reducido disponga
de los conocimientos precisos para ello. Por eso, normalmente,
este ejercicio lo realizarán equipos mixtos integrados por personal
cualificado de la organización junto con expertos externos de
algunas áreas específicas. Si en tu organización dispones de
personas con los conocimientos y experiencia necesarios, podrás
desarrollar este cometido junto con ellos. En caso contrario, mejor
auxíliate con profesionales externos.
¿Se necesita que los empleados

firmen todas las políticas de la
empresa?
La organización debe cuidarse de difundir sus políticas, de manera
que sean conocidas por todos aquellos a quienes afectan (sean o
no empleados). Es una buena práctica no sólo difundirlas sino dejar
constancia de su conocimiento e incluso aceptación, mediante
su firma física o a través de otras evidencias digitales. Algunas
normas y estándares exigen este procedimiento para personas
que ocupan posiciones especialmente expuestas (vinculadas a
procesos que entrañan riesgos de Compliance superiores a bajo).
Para el resto de supuestos, suele ser suficiente su entrega y puesta a
disposición. Es frecuente establecer “welcome packs” para nuevos
empleados, que contienen el conjunto de documentos esenciales
que aquellos precisan conocer, y que normalmente suscriben con
su incorporación.
24
¿Se puede considerar adecuado el

reporte verbal periódico en materia
de Compliance?
Los inconvenientes de los procedimientos informales, como un
Los reportes reporte verbal periódico, es que suelen degradarse con el transcurso
del tiempo, y resulta difícil tanto su consulta como verificar su
informales correcto desarrollo. Desde luego, un tercero independiente verá con
suelen ojos críticos este tipo de reportes, de los que puede cuestionarse no
degradarse sólo su utilidad sino su propia existencia. Además, si las materias
con el así tratadas pueden afectar significativamente a la organización o
transcurso del a sus stakeholders, la ausencia de soporte documental adquiere

tintes de negligencia grave.
tiempo.
Los planes de acción frente
incumplimientos, ¿deben reportar
medidas disciplinarias a los
empleados que los ocasionaron?
No es admisible la pasividad frente al incumplimiento. Además de
los corregir este tipo de situaciones, se deben estudiar medidas en el
orden laboral (empleados) y mercantil (externos) proporcionales
a la magnitud de la irregularidad, y amparadas por la normativa que
resulte de aplicación. En cualquier caso, es una buena práctica
prever medidas en el ámbito de los Recursos Humanos que no sólo
penalicen las conductas de incumplimiento sino que premien las
conductas correctas.
El hecho de que se produzca un

incumplimiento, ¿es prueba de la
inadecuación del CMS?
Un incumplimiento lo único que evidencia es lo obvio: que el
sistema de gestión ha fallado ante unas circunstancias concretas.
Pero esto no significa necesariamente que el CMS sea inadecuado
en su conjunto. De hecho, los marcos de referencia sobre
Compliance suelen recurrir al principio de seguridad razonable,
en contraposición al de seguridad absoluta, partiendo de la base
de que no existen sistemas de gestión infalibles. Ahora bien,
ante un incumplimiento se tendrán que evaluar sus causas y
determinar por qué no pudo prevenirse, detectarse o gestionarse a
tiempo, modificando el CMS para que la situación no se reproduzca.
No puede admitirse esta ausencia de análisis o que se repitan
irregularidades de la misma naturaleza, pues todo ello sí delata a la
inadecuación del CMS o negligencia en su gestión.
25
¿Se salvaguarda la responsabilidad

de la organización y sus
responsables disponiendo de un
documento descriptivo del CMS?
El calificativo “effective”, de aparición recurrente en bastantes textos
internacionales sobre Compliance, no es en absoluto casual. Y es
que un sistema de gestión de Compliance no supone un mero
planteamiento formal, sino un conjunto de elementos que deben
funcionar para disminuir la probabilidad de incumplimientos o reducir
sus consecuencias, y que dejan traza de su puesta en práctica. Se
equivocan completamente las organizaciones que disponen de un
CMS puramente formal, pues es relativamente fácil demostrar que
es una medida cosmética, que poco o nada contribuye a prevenir,
detectar o gestionar los riesgos de Compliance. En estos casos, no
cabrá esperar que mitigue la responsabilidad de la organización y
de sus administradores, sino más bien lo contrario.
26



tratamiento.

modelo.
27

Compliance

normas
éticos.


propósito.
28



obstructivas

organizaciones
29

19601
Madrid 2017

Alain Casanovas
Supremo
Madrid 2013

Alain Casanovas
Madrid 2012

Alain Casanovas
Madrid 2008
30
Autonomía e
independencia
en Compliance
Alain Casanovas
05
de Compliance
www.asociacioncompliance.com Autonomía e independencia en Compliance

Compliance penal.

© 2018


2
Presentación Las prácticas de buen gobierno corporativo abogan por

la integración de perfiles diversos e independientes en la
administración de las organizaciones. Esto brinda una valiosa
perspectiva que ayuda a mejorar la estrategia, hasta el punto
de exigirse en determinados tipos de entidades. Las ventajas
de incorporar consejeros independientes es poco discutida,
hasta el punto de aparecer nuevas figuras, como el Lead
independent director, llamado a representar y garantizar las
aportaciones de este colectivo frente al resto de consejeros.
En otros campos específicos, se ha venido considerando

igualmente necesario mantener distancia respecto de la
gestión operativa: los escándalos financieros de inicio de
siglo, provocados por déficits de control interno y falta de
fiabilidad de la información financiera, supusieron un impulso
notable a la función de auditoría interna. La regulación
aparecida en diferentes jurisdicciones hizo énfasis en un
factor determinante de su eficacia: su independencia. Así
concebida, la función de auditoría interna asegura que el
entorno de control fijado por la organización opera de
manera razonable, brindando confort razonable sobre la
fiabilidad de las informaciones reportadas.
Los medios de comunicación nos recuerdan a diario

la importancia de desarrollar la actividad empresarial
observando conductas éticas alineadas con la Ley. En
este contexto, se aprecia la necesidad de una función de
Compliance robusta, que ayude a prevenir irregularidades
mediante prácticas generalmente aceptadas en la comunidad
internacional. Para desarrollar eficazmente este cometido
también precisa una fuerte componente de independencia,
de modo que pueda desenvolverse con libertad de juicio
para prevenir, detectar y gestionar riesgos de incumplimiento
de los valores y normas que atañen a la organización.
En este Cuaderno explicaré las nociones de autonomía

e independencia que deben propiciarse en la función
de Compliance, en aras a que pueda desarrollar todo su
potencial.
Alain Casanovas
3
Índice
1. Autonomía e independencia como conceptos

diferenciados
2. Algunos elementos de autonomía
3. Algunos elementos de independencia
4. Algunas situaciones que amenazan la

autonomía e independencia
5. Responsabilidad personal del Compliance

Officer
4
1.
Aunque algunos textos se refieren indistintamente a la independencia
y autonomía de la función de Compliance, se trata de conceptos
distintos. En España, por ejemplo, el Código penal se refiere a las
“capacidades autónomas” del órgano de Compliance penal, olvidando
Autonomía e referirse expresamente a su independencia, tal vez por considerarla

una cualidad inherente o vinculada con la anterior. La Circular 1/2016
independencia de la Fiscalía General del Estado sí distingue entre ambos conceptos.
como conceptos Encontrarás comentarios interesantes sobre estos conceptos en los

diferenciados. cuadernos número 3 (“Relación de Compliance con Gobernanza y
Gestión del riesgo”) y 6 (“Cultura ética y de respeto a las normas”)
de esta Serie.
La autonomía
La autonomía hace referencia a la capacidad del órgano de
Compliance de actuar por iniciativa propia, sin necesidad de recibir
constantemente órdenes o mandatos específicos para desarrollar
sus cometidos. La autonomía es el factor que permite a Compliance
actuar proactivamente, desarrollando sus capacidades cuando
precisa hacerlo.
La independencia
La independencia supone la neutralidad de juicio que garantiza
el recto proceder de la función de Compliance. Se vincula este
concepto con la distancia respecto de los objetivos de negocio y
ausencia de represalias por el desarrollo de sus cometidos. Estos
factores son los que permiten a la función de Compliance desarrollar
sus actividades, incluyendo la emisión de recomendaciones, con la
libertad y neutralidad precisas.
5
Los objetivos de negocio

Cuando se espera el distanciamiento de la función de Compliance
respecto de los objetivos de negocio, parece que su interés fuera
distinto del resto de personas en cualquier organización con ánimo
de lucro. Sin embargo, ese es un entendimiento incorrecto.
Cuando el órgano de gobierno se compromete con el mantenimiento

de una cultura ética y de respeto a la Ley, tal voluntad deviene
necesariamente un objetivo para la organización y, por lo tanto, para
todas y cada una de sus personas. Por consiguiente, desarrollar
Desarrollar la gestión operativa de manera ética y legal no es incumbencia

exclusiva de algunos, sino de todas las personas vinculadas con la
una gestión organización. En este sentido, hay quien acertadamente manifiesta
ética y que “Compliance somos todos”. Bajo este entendimiento, no caben
legal no es objetivos de negocio que contravengan los de Compliance. Es cierto
incumbencia que, en ocasiones, quienes propugnaron la sujeción a ciertos
exclusiva de valores, los olvidan cuando afrontan determinadas decisiones del

día a día. La función de Compliance debe entonces recordarlo y tratar
algunos, sino de garantizar la consistencia entre lo que se dice y lo que se hace.
de todas las Todos necesitamos, de vez en cuando, una voz que nos ayude a
personas de la recordar nuestros compromisos.
organización.
Perfil del Compliance Officer
No cabe duda que autonomía y independencia son dos factores
clave para la efectividad de un modelo de Compliance. Sin embargo,
será difícil extraer su potencial cuando el perfil del Compliance Officer
no es el adecuado, en términos de formación, experiencia y actitud.
Bastantes estándares de Compliance, principalmente los específicos

en ciertos bloques normativos, señalan la importancia de que el
Compliance Officer disponga de una formación apropiada para
la supervisión de las normas correspondientes. En algunos casos,
llegan a exigirse ciclos recurrentes de formación acreditada por
un tercero independiente, para garantizar el nivel de formación del
personal de Compliance.
La experiencia permite modular las reacciones de Compliance

de acuerdo con las circunstancias de cada caso. Ayuda a no
sobreactuar ni quedar corto de respuesta. También contribuye a
respaldar adecadamente las decisiones y mejorar la capacidad de
influencia sobre el personal de la organización y terceros.
La actitud del Compliance Officer es la que le impulsa a actuar

delante de situaciones que considera merecedoras de su intervención.
Es importante mantener una vocación expansiva, en el sentido
de tender a considerar de su incumbencia cualquier situación que
se le plantee, y no lo contrario. La proactividad de la función de
Compliance tiene mucho que ver con su autonomía, pero todavía
más con la actitud del Compliance Officer para aprovechar las
capacidades que aquella le brinda.
6
2.
Se brinda autonomía a la función de Compliance cuando se le facilita
libre acceso a las personas y documentos de la organización,
haciendo públicas estas facultades (normalmente en el acto formal
de nombramiento y a través de comunicados internos). El libre
Algunos acceso a dichas personas implica también a los grupos de trabajo

o comités donde se debaten o toman decisiones susceptibles de
elementos de entrañar riesgos de Compliance. Es algo relevante, pues ayuda a
autonomía. prevenir de manera temprana decisiones potencialmente dañinas.
Los límites de las facultades vinculadas con la autonomía de la

función de Compliance guardarán siempre relación con la naturaleza
de sus cometidos. Por consiguiente, el acceso a personas y
documentos de la organización no constituye carta blanca para
ejecutar cualquier acción, sino únicamente para aquellas que se
encuentren amparadas en los cometidos inherentes a la función de
Compliance.
Puesto que la función de Compliance puede desarrollar labores

de interlocución frente a grupos de interés, especialmente las
administraciones públicas (incluyendo la judicial), conviene dotarles
igualmente de las capacidades de representación externa que
pueda precisar.
Evidentemente, las facultades anteriores deben ir acompañadas de

los recursos necesarios para poder desarrollarlas razonablemente.
Los estándares modernos de Compliance conciben el término

recursos en su acepción más amplia, incluyendo los de naturaleza
económica, pero también un equipo adecuadamente dimensionado,
acceso a asesoramiento externo y tiempo para desarrollar los
cometidos encomendados. Este último elemento es especialmente
importante en posiciones de Compliance a tiempo parcial, donde
otras labores les pueden restar capacidad de dedicación.
7
3.
Se brinda independencia a la función de Compliance
cuando se la aleja de aquellos condicionantes que suelen
envolver a las conductas contrarias a la ética y/o la legalidad.
Normalmente se trata de condicionantes de negocio,
Algunos entendidos como presión para alcanzar determinados

ingresos, beneficios, rentabilidad, etc. En el fondo, son estos
elementos de los factores que influyen en la conducta de muchas personas
independencia. en las organizaciones, y las impulsan a desarrollar conductas

de riesgo.
En este sentido, los estándares modernos de Compliance

señalan algunos elementos que contribuyen a la independencia
de la función. Su proximidad al órgano de gobierno y
no supeditación a las áreas de negocio es todo un clásico,
relativamente fácil de conseguir en organizaciones grandes
y medianas, pero problemática en las pequeñas. Sobre este
aspecto, puedes consultar el Cuaderno número 12 de esta
Serie (“Compliance en pequeñas organizaciones”).
El hecho de que formen parte del órgano de administración

social consejeros independientes, brinda un valor añadido a
la organización que beneficia también a Compliance, pues su
aproximación a la gestión social normalmente varía respecto
de los consejeros ejecutivos, asegurando la atención sobre
las informaciones y sugerencias planteadas por dicha función.
Encontrarás reflexiones interesantes sobre el particular en el
Cuaderno número 3 de esta Serie (“Relación de Compliance
con Gobernanza y Gestión del riesgo”).
El distanciamiento respecto de los “objetivos de negocio”

tiene consecuencias en cuanto al nombramiento, evaluación
del desempeño y esquema retributivo de las personas
que integran la función de Compliance. Ninguno de estos
aspectos puede quedar en manos de las áreas o cargos sobre
8
los que la función de Compliance proyecta su actividad, pues

tal circunstancia mermaría su eficacia por motivos obvios.
En particular, el esquema retributivo no debería indexarse
a parámetros económicos de negocio, pues ello conculcaría
directamente su independencia.
Las personas que integran la función de Compliance, y muy

especialmente su máximo representante, deberían estar
salvaguardados de represalias por el desempeño de su
cometido. Esto no sólo se consigue mediante declaraciones
programáticas del órgano de gobierno y la máxima dirección,
sino también estableciendo fórmulas de contratación
estables, que sólo amparen su discontinuidad mediando
informe justificativo. Algunas organizaciones garantizan,
además, una entrevista de salida con el órgano de gobierno
o incluso con representantes del regulador, cuando ello es
posible.
9
4.
Pueden darse situaciones donde, tras aparentes garantías de
autonomía e independencia, la función de Compliance vea
amenazados ambos factores. Veamos algunos casos y cómo pueden
aflorar en el contexto de una entrevista forense.
Algunas Dependencia funcional de

situaciones administradores ejecutivos
que amenazan Existen organizaciones donde la totalidad o parte de los miembros de
la autonomía e su órgano de administración social desarrollan actividades de dirección
independencia.
de negocio, involucrándose en su gestión operativa. Evidentemente,
son perfiles sensibles a las iniciativas que suponen una mejora de
los indicadores económicos, y eventualmente críticos con las que
no contribuyen directamente a ello. Depender funcionalmente de
administradores ejecutivos puede ser peligroso, salvo que tengan
interiorizada una cultura inquebrantable de comportamiento ético y
legal.
Cuando concurren este tipo de dependencias, incluida la del

Consejero delegado, procede analizar detalladamente si erosionan
las capacidades de Compliance por falta de independencia.
Dependencia de ciertos órganos o

cargos
En ocasiones, la función de Compliance puede verse subsumida
dentro de áreas mayores o más consolidadas, normalmente de
vocación corporativa. Es un fenómeno frecuente en etapas incipientes
del Compliance, donde todavía carece del empaque y la sustantividad
suficientes que justifiquen constituirse en área separada. En estos
casos, vemos Compliance integrado o dependiente de áreas
maduras como la financiera, la de gestión de riesgos, etc. Son áreas
cuya independencia podría no estar garantizada ni reconocida por
las prácticas que dictan los estándares modernos de Compliance,
pudiendo provocar debilidades en ese aspecto.
10
Carencia práctica de recursos

Se suele distinguir entre acordar y dispensar recursos a Compliance.
La primera actividad corresponde al órgano de gobierno, mientras
que la segunda es obligación de la máxima dirección y resto del
cuadro directivo. De este modo, son los administradores quienes
Los deben velar porque la función de Compliance disponga de los

recursos precisos para desarrollarse correctamente. Hecho esto, la
administrado- dirección se ocupará de no restringir o limitar el libre acceso a dichos
res sociales recursos.
deben velar Puede existir dotación de recursos, pero que su dispensa esté
para que la sometida a autorización de otras áreas (con carácter general la
función de financiera, aunque también puede precisar otras conformidades,
Compliance especialmente cuando es un presupuesto compartido). En estos
casos, por ejemplo, la capacidad real de aplicar una dotación
disponga presupuestaria puede ser mínima. Aunque no lo aparente, esto
de recursos equivale a carecer de recursos, lo que atenta abiertamente contra la
suficientes autonomía de Compliance.
para acometer Falta de apoderamiento
su labor.
No me refiero al apoderamiento formal, en el sentido de otorgamiento
legal de facultades, sino al “empowerment” anglosajón, entendido
como el conjunto de circunstancias que otorgan a la función de
Compliance capacidad de ser respetada y hacer valer su opinión.
Un modelo aparentemente correcto de Compliance puede ser
deliberadamente ineficaz por ausencia de empowerment. Hay
muchas maneras de conseguirlo, comenzando por designar cargos
de Compliance sin el perfil adecuado, hasta minimizar la relevancia
de su cometido o incluso contravenir abiertamente sus sugerencias.
El órgano de gobierno y la máxima dirección no deberían tolerar
ninguna de estas circunstancias, ni mucho menos propiciarlas.
Presentan un problema grave cuando se reproducen, pues no
sólo erosionan la legitimidad de la función de Compliance sino que
impiden consolidar una correcta cultura corporativa.
Entrevista forense
Los aspectos que he señalado, junto con otros adicionales, pueden
surgir en el transcurso de una entrevista forense. Son entrevistas
que se sustancian al cuestionar un modelo de Compliance, el
comportamiento de las personas encargadas de su operación
o las relacionadas con alguna irregularidad. En estos contextos
de esclarecimiento de los hechos y también de depuración de
responsabilidades, suelen aflorar cuestiones relacionadas con la
eficacia de la función de Compliance, en gran parte relacionadas con
su nivel de autonomía e independencia, y con circunstancias que las
pueden conculcar.
Una entrevista forense puede ser desarrollada por un equipo de
investigación (interno o externo) o por funcionarios públicos (cuerpos
y fuerzas de seguridad del Estado, Fiscalía General del Estado, etc).
11
5.
La función de Compliance está llamada a desempeñar un rol clave
en la evolución de las organizaciones durante el siglo XXI. Su
papel en la generación, mantenimiento o mejora de una cultura
ética y de respeto a la Ley está siendo reconocido por múltiples
Responsabili- ordenamientos jurídicos. Por ello, ninguna persona de buena

voluntad debería amedrentarse al asumir ese rol trascendente.
dad personal
del Compliance Sin embargo, en ocasiones se habla de la responsabilidad personal
del Compliance Officer, e incluso se difunden en los medios de
Officer. comunicación noticias al respecto. En el Cuaderno número 9 de esta
Serie (“Responsabilidades personales en Compliance”) trato esta
materia, aunque conviene aquí señalar algunas particularidades
relacionadas con su nivel de autonomía e independencia.
Existe un amplio consenso en considerar que la función de

Compliance tiene atribuidas competencias de supervisión, que
no necesariamente de decisión. Bajo este entendimiento, se
espera del Compliance Officer que desempeñe correctamente las
tareas de operación del modelo de Compliance, informando de los
resultados al órgano de gobierno y máxima dirección. Encontrarás
más información sobre ello en el Cuaderno número 8 de esta Serie
(“La cadena de reporte en Compliance”).
Sin embargo, a medida que este cometido esencial se complementa

con la potestad de adoptar decisiones, obviamente aumenta su
exposición personal por la diligencia esperable en esta faceta.
Su exposición es todavía mayor cuando se responsabiliza del
diseño del modelo de Compliance a operar. Por lo tanto, el nivel
de exposición máximo concurre al confluir tres actividades sujetas
a riesgos distintos: el diseño del modelo de Compliance, su
operación razonable, y la adopción y ejecución de las decisiones
apropiadas.
12
Podría pensarse que procurar ese universo de competencias

apoya el nivel de autonomía e independencia de la función de
Compliance. Pero no es un entendimiento del todo correcto, pues
sus capacidades en esos ámbitos serán siempre limitadas: por
ejemplo, no se conoce ningún caso en que el Compliance Officer
haya despedido al Consejero Delegado por malas praxis. Y es que
la mayor parte de decisiones de calado corresponden al órgano de
gobierno y la máxima dirección (en ocasiones, ex-lege), limitándose
Compliance a informar sobre hechos y sugerir posibles acciones a
emprender. Sucede algo parecido con la implantación de un modelo
de Compliance, donde deberían concurrir una serie de funciones
sinérgicas bajo el impulso y supervisión del órgano de gobierno
y la máxima dirección. Encontrarás más comentarios acerca de ello
en el Cuaderno número 2 de esta Serie (“Conoce su organización”).
En ocasiones, bajo la excusa de procurar máxima autonomía e

independencia a la función de Compliance, se formalizan amplias
delegaciones de facultades que contravienen principios de buena
gobernanza elementales. Sobre ello, puedes consultar el Cuaderno
número 3 de esta Serie (“Relación de Compliance con Gobernanza
y Gestión del riesgo”). En ocasiones, se pretende concentrar toda
la responsabilidad sobre el Compliance Officer, en un intento
deshonesto de zafarse de las responsabilidades inherentes a
determinadas posiciones en la organización.
13
6.
Preguntas
¿Cómo convenzo a la organización
de la necesidad de autonomía e
independencia para la función de
Compliance?
frecuentes. La autonomía e independencia son factores clave de eficacia de
la función de Compliance. Sin ellos, el modelo adolecerá de fuertes
limitaciones que le impedirán lograr sus objetivos.
Es importante que el órgano de gobierno sea consciente de ello,

pues a él corresponde impulsar y aprobar un modelo de Compliance
correcto. En caso de no hacerlo, los administradores pueden asumir
una responsabilidad personal por ello. Por lo tanto, aunque
sólo sea desde una perspectiva egoista, deberían mostrar interés
en dotar al modelo de Compliance con aquellas características
ampliamente reconocidas en los marcos de referencia modernos.
¿Es peligroso que me hayan

atribuido cometidos de Compliance
sin garantizar los factores que
determinan mi independencia y
autonomía?
La ausencia de elementos que te brinden autonomía e independencia
constituye un déficit significativo y seguramente visible del
modelo de Compliance. Te dificultará operarlo razonablemente y
limitará tus capacidades de desarrollo profesional. En el peor de
los casos, las carencias en estas esferas se podrán interpretar en
clave de “paper compliance”, es decir, de modelos documentados
para generar una apariencia de supervisión, pero sin voluntad real
de eficacia.
14
El peligro, por lo tanto, radica en disponer de un modelo débil de

Compliance, susceptible incluso de ser interpretado como un fraude.
¿Cómo debo comportarme ante una

entrevista forense?
Hay que preparar muy bien una entrevista forense, conociendo las
circunstancias que la han provocado y anticipando intelectualmente
las explicaciones a facilitar. En particular, y como conocedor del
modelo de Compliance, interesa poder describirlo adecuadamente
Será positivo disponer de asesoramiento profesional, que te puede
ayudar a enfocar correctamente tu intervención.
En cualquier caso, la función de Compliance jamás puede faltar

a la verdad, pues es una conducta contraria a los objetivos que
promueve.
¿Puedo cubrir mi responsabilidad

como Compliance Officer mediante
una póliza de seguro?
En el Cuaderno número 9 de esta Serie (“Responsabilidades
personales en Compliance”) explico las limitaciones de las
empresas aseguradoras para dar cobertura a determinado tipo de
contingencias.
Algunas responsabilidades son asegurables, mientras que otras no

lo son. En esta última categoría encontraríamos las de naturaleza
penal que, por motivos de orden público, suelen estar excluidas de
cobertura.
Las modalidades de participación en delitos son muy amplias,

incluyendo la participación necesaria, el encubrimiento, etc. Por
eso, para verse afectado por responsabilidad penal no se exige
la autoría material, como muchas personas piensan. Por motivo de
cargo, el Compliance Officer tiene o puede tener conocimiento de
ilícitos penales, circunstancia que condiciona su nivel de exposición
a reclamaciones penales. En este sentido, le ayudará poder acreditar
la existencia y aplicación de un modelo robusto de Compliance,
así como su operación razonable, mediante actividades de revisión,
certificación o auditoría desarrolladas y acreditadas por terceros
independientes.
15



tratamiento.

modelo.
16

Compliance

normas
éticos.


propósito.
17



obstructivas

organizaciones
18

19601
Madrid 2017

Alain Casanovas
Supremo
Madrid 2013

Alain Casanovas
Madrid 2012

Alain Casanovas
Madrid 2008
19
Cultura ética
y de respeto
a las normas
Alain Casanovas
06
de Compliance
www.asociacioncompliance.com Cultura ética y de respeto a las normas

Compliance penal.

© 2018


2
Presentación Quién se atreve a cuestionar la conveniencia de desarrollar los

negocios de una manera ética?: existen cuestiones que, por su
obviedad, escapan al debate. El objetivo de realizar actividades
empresariales acogiéndose a buenas prácticas, no sólo acatando
la legalidad sino también observando estándares éticos, figura
en las declaraciones de principios que muchas organizaciones
publicitan. Es más, dejan de ser una declaración programática
para derivar en guías y directrices detalladas, de carácter
vinculante para todo el personal de la organización: desde los
empleados a la máxima dirección. Sin embargo, a pesar de su nivel
de concreción, estas instrucciones pierden dimensión práctica en
ausencia de estructuras que velen por su cumplimiento. Es aquí
donde se aprecia la relación que existe entre el buen gobierno
corporativo y Compliance, puesto que el éxito en los objetivos
fijados el primer ámbito guardan relación con las estructuras
que les dotan de efectividad en el segundo. Ya que hablamos de
normas, incluyendo las asumidas voluntariamente en forma de
Códigos Éticos o de buenas prácticas, la función de Compliance
adquiere un protagonismo capital para procurar que se observen
los valores de la organización y los patrones de conducta en que
necesariamente se traducen. Por ello, se ha dicho que esta función
deviena la “conciencia de la empresa”.
Para organizaciones comprometidas con los estándares éticos y

buenas prácticas, Compliance defenderá aquellos valores que han
asumido y que conforman la expresión de su voluntad. Luchando
por el desarrollo ético de las operaciones se defiende, precisamente,
el deseo de las propias entidades. Hay quien ve en ello un cambio
de paradigma, donde una nueva función, Compliance, contribuye a
la sostenibilidad de las actividades de la organización, considerando
las legítimas expectativas que genera en sus grupos de interés
(“stakeholders”).
Alain Casanovas
3
Índice
1. Compliance y apetito de riesgo
2. El Chief Ethics & Compliance Officer
3. El tono ético de las organizaciones
4. Independencia de la función de Compliance
5. Comportamiento íntegro del responsable de

Compliance
4
1.
El apetito de riesgo es la cantidad de riesgo, en sentido extenso,
que una organización está dispuesta a aceptar para generar valor.
Existe un amplio abanico en cuanto a opciones de apetito de riesgo,
que discurre desde tolerarlo ampliamente, hasta observar aversión
Compliance al mismo. Entre las opciones de riesgo que normalmente barajan las
organizaciones, ¿podría incluirse el incumplimiento de las normas o
y apetito de los estándares éticos? Es decir, ¿está Compliance sujeto a diferentes
riesgo. opciones de apetito de riesgo, según decida cada organización? ¿Se

puede realmente decidir hasta qué punto se cumplen las obligaciones
de Compliance?
La actividad empresarial se desarrolla en el seno de comunidades

de personas y, por ello, queda sujeta a sus normas de convivencia.
Las leyes con que se dotan las sociedades son una traslación de
sus valores y voluntad, especialmente en territorios estructurados
políticamente como Estados democráticos de Derecho. Por ello, el
respeto de las leyes no debe interpretarse exclusivamente como un
acto inducido coercitivamente, sino como una muestra de respeto
hacia las sociedades que las han impulsado y de integración social
con ellas. Visto así, el incumplimiento de esas leyes no puede
ser una opción a considerar dentro del apetito de riesgo de una
organización, pues tal posibilidad abre las puertas al desarrollo de
cualquier actividad localmente indeseada. Y Compliance pretende
justamente lo contrario.
El potencial incumplimiento de las normas y estándares éticos lleva

a tratar dos materias: su interpretación razonable y el activismo
social en el mundo empresarial.
Interpretación razonable de las

normas
Una interpretación razonable de las normas estará siempre basada
en su estudio detallado, alcanzando una conclusión sólidamente
5
fundamentada en su finalidad y obrando coherentemente con ello.

Evidentemente, un estudio de este tipo debería estar documentado
y contrastado, de forma que no encubra una opción oportunista ni
mucho menos la simple voluntad de incumplimiento.
Activismo empresarial
Sin embargo, siendo clara la finalidad de una norma, ¿puede
una organización decidir no acatarla por contrariar sus valores?
Estaríamos hablando del activismo de empresa, donde la
organización adopta una decisión en conciencia que le conduce
voluntariamente al incumplimiento. Encontrarás interesantes
reflexiones sobre la relación de Compliance con la defensa de los
valores de las organizaciones en el Cuaderno número 1 de esta Serie
(“¿Qué es Compliance?”).
Se ha debatido bastante sobre la legitimidad del activismo de
Los efectos del las personas jurídicas pero, en cualquier caso, debes conocer
que sus efectos son sustancialmente distintos al activismo de
activismo en las personas físicas. Cuando una persona física manifiesta su
las personas oposición respecto de una norma, las consecuencias de su decisión
jurídicas son le afectarán esencialmente a ella o a un círculo reducido de sujetos.
sustancial- Sin embargo, cuando una organización practica activismo, los
potenciales perjudicados no son únicamente sus gestores, sino sus
mente empleados, accionistas, inversores, entidades financieras y resto
distintos de stakeholders. Imagina que, por adoptar una postura activista,
que en las una organización se expone a sanciones significativas capaces de
personas comprometer la continuidad de sus operaciones. ¿Acaso no tiene
físicas. derecho a ser consciente de ello el empleado que acepta una oferta
de trabajo frente a otra organización no activista? ¿No tienen derecho
a conocer esa decisión las entidades que van a financiarla, frente
a otras opciones más conservadoras? Como verás, el activismo
empresarial requiere que los terceros potencialmente afectados lo
conozcan y puedan entonces adoptar en conciencia sus decisiones
al respecto.
Cualquiera que sea tu aproximación respecto del activismo de

empresa, recuerda que, desde una perspectiva puramente técnica,
constituye una fuente de riesgos y como tal debes gestionarlo
internamente y frente a terceros.
Apetito de riesgo centrado en

entornos
Dejando de lado el activismo empresarial, el apetito de riesgo no se
concibe como la posibilidad de incumplir estándares éticos o leyes,
sino como la capacidad de operar en entornos que exponen a la
organización a posibles incumplimientos, bajo el entendimiento de
que se dispone de medios para prevenirlos, detectarlos y gestionarlos
correctamente.
6
2.
En los últimos años surge con fuerza la figura del Chief Ethics &
Compliance Officer, considerado como una evolución natural del
Chief Compliance Officer. Se introduce así la ética dentro de los
cometidos de Compliance o viceversa, lo cual tiene pleno sentido
El Chief Ethics si consideramos que el cumplimiento de las normas es una
manifestación de un comportamiento ético en el desarrollo de los
& Compliance negocios.
Officer.
La ética en las normas auto-
impuestas
Buena parte de marcos de referencia modernos en materia de
Compliance reconocen que las normas auto-impuestas están
dentro del alcance de vigilancia de un sistema para la gestión. Puesto
que estas normas, plasmadas en Códigos Éticos, deontológicos o
de valores, incorporan un notable componente ético, evidencian la
vinculación de dicha esfera con la función de Compliance.
Observar estos estándares éticos o las buenas prácticas sugeridas

sectorialmente constituye una obligación práctica ineludible en
algunas actividades. Así, para entidades bancarias y financieras,
por ejemplo, cuyo negocio se sustenta en generar confianza en los
mercados, seguir estas prácticas es fundamental hasta el punto que
su eventual incumplimiento se califica como “riesgo de integridad”.
Este entendimiento se extiende a otros sectores, de modo que son
pocas las organizaciones que pueden permitirse el lujo de sufrir los
daños reputacionales o incluso legales derivados de las malas
praxis.
Compliance y daños reputacionales

Una sentencia paradigmática emitida en julio de 2009 por el
Tribunal Federal de Alemania, que reproduzco y comento en el
7
Cuaderno número 9 de esta Serie (“Responsabilidades personales

en el ámbito del Compliance”) señala, precisamente, que uno de los
cometidos propios del Compliance Officer es la de evitar los daños
de imagen (reputacionales) a la organización, consolidando así el
entendimiento que esta figura debe velar por evitar daños derivados
del incumplimiento en un sentido amplio, incluyendo los inducidos
por prácticas incompatibles con una conducta ética.
Todo lo anterior lleva a considerar que la ética forma parte

indisociable de la función de Compliance, aunque no conste de
manera explícita en la descripción del cargo.
8
3.
Habrás oído hablar del “tono ético de las organizaciones”. Se
trata de un concepto relacionado con la cultura de la empresa,
en el sentido de incorporar en ella estándares de ética corporativa
en el desarrollo de los negocios. Esto enlaza directamente con
El tono Compliance, dado que observar las normas es la primerísima

manifestación de ética empresarial y en ese orden consta en la
ético de las mayoría de Códigos Éticos empresariales.
organizaciones.
Cultura organzativa
Alcanzar y mantener un buen tono ético en las organizaciones es
siempre un objetivo recomendable. En algunos países no sólo es
una sugerencia sino una necesidad: existen jurisdicciones donde
su modelo de incriminación penal, aplicado a las personas jurídicas,
atraviesa por evaluar su cultura organizativa. Estas aproximaciones
se contraponen a las de responsabilidad derivada de la persona
jurídica (incluyendo los de responsabilidad vicarial), donde la
imputación penal nace del mero hecho de que un administrador o
empleado haya cometido un ilícito en provecho de la empresa, con
independencia de la cultura que prevalezca en ella. Pero, incluso en
estos últimos modelos, los esfuerzos por mantener el tono ético
suelen tenerse en consideración y la tendencia es que incrementen
su relevancia jurídica, como ya puso de manifiesto en un estudio
encargado por la Naciones Unidas en el año 2008.
Comprenderás entonces que alcanzar y mantener el tono ético

no es un mero concepto teórico, sino un objetivo en la estrategia
empresarial y, por consiguiente, un ejercicio indispensable.
Tono ético y prevención penal

El tono ético es un concepto amplio que impacta en muchos
ámbitos de la organización, aunque existe la tendencia a
9
simplificarlo en cuanto a la prevención de conductas de tipificadas

penalmente. Quizás este entendimiento proviene de que algún
estándar de prevención penal se ha considerado adecuado para
alcanzar dicho tono ético, como son las líneas directrices que
publica anualmente la US Sentencing Commission en su Guidelines
Manual, en relación con la implantación de un “Effective Compliance
and Ethics Program”. Aunque trato este marco de referencia en
el Cuaderno número 10 de esta Serie (“Compliance en el ámbito
de la prevención de delitos”), conviene subrayar ahora que sus
objetivos no se circunscriben a reducir la probabilidad de comisión
de delitos sino a establecer una cultura de cumplimiento en las
organizaciones.
Apoyo de alto nivel

Recordarás que uno de los elementos más importantes de todo
sistema de gestión de Compliance, que comento en el Cuaderno
número 4 de esta Serie (“Sistemas para la gestión del Compliance”)
es el apoyo de alto nivel. Pues bien, es también de un elemento
clave para alcanzar y mantener el tono ético de la organización: de
poco servirán los esfuerzos que viertas en la consecución de dicho
objetivo si el órgano de gobierno y la máxima dirección no muestran
un compromiso firme con él.
10
4.
La independencia de la función de Compliance constituye un tema
de gran calado, especialmente para la generación y mantenimiento
de una correcta cultura corporativa. Aunque trato esta materia en
el Cuaderno número 5 de esta Serie (“Factores de autonomía e
Independencia independencia en Compliance”), merece la pena recordar ahora

algunos aspectos.
de la función de
Compliance. Primeras referencias sobre
independencia en Compliance
Son los sectores regulados, principalmente el bancario y el de la
intermediación financiera, los que primero señalan la necesidad
de que la función de cumplimiento sea independiente. En estas
actividades, mantener una buena reputación es fundamental, pues
su modelo de negocio se fundamenta en la confianza, precisando
para ello observar unos elevados estándares de conducta y
cumplimiento normativo. Bajo tal entendimiento, se concluye que
asegurar estas prácticas precisa liberar a la función de Compliance
de las eventuales presiones de negocio, susceptibles de socavar
su eficacia por efecto de los objetivos cortoplacistas. Así las cosas,
sólo una función de Compliance independiente puede procurar
eficazmente el mantenimiento de unos estándares de conducta
(legales y/o voluntarios), capaces de frenar ciertas ambiciones
económicas cortoplacistas. También aparecen con el inicio de siglo
normas que abogan explícitamente por la independencia de la
función de Compliance en otros sectores, como pueda ser el de los
laboratorios farmacéuticos.
Independencia explícita y factores

de independencia
Sin embargo, no todos los marcos de referencia en materia de
Compliance, contemplan explícitamente la independencia como
11
factor indispensable de eficacia. En cualquier caso, es común que

la mayoría de textos recomienden prácticas muy relacionadas
o claramente derivadas de ella, como, por ejemplo, la necesidad
de que los responsables de Compliance tengan un acceso fácil
y fluido con el órgano de gobierno y la máxima dirección de la
organización. Este y otros factores pretenden inmunizar a quienes
velan por las buenas praxis de los condicionantes de negocio.
Segregación del General Counsel

En las denominadas “World Most Ethical Companies” que lista la
ONG Ethisphere, se aprecia la tendencia a segregar del General
Se aprecia la Counsel la función de Compliance, en búsqueda de facilitarle las

características esenciales que precisa para desarrollar eficazmente
tendencia a su cometido, como pueda ser la independencia. Encontrarás
segregar la reflexiones interesantes al respecto en el Cuaderno número 3 de
función de esta Serie (“Relación de Compliance con Gobernanza y Gestión del
Compliance riesgo”).
respecto del
Legal Counsel. Otras normas
Puesto que garantizar la eficacia de la función de Compliance
guarda relación directa con su nivel de independencia, cada
vez veremos más normas refiriéndose expresamente a dicha
característica o sus manifestaciones más obvias. Un ejemplo
reciente lo encontramos en la regulación europea sobre el Data
Privacy Officer (responsable de cumplimiento en el ámbito de la
privacidad y protección de datos personales), cuya vinculación con
la organización queda sujeta a cierta duración que sólo puede
obviarse por motivos excepcionales y justificados. No escapa
que es una medida para garantizar la independencia de esta figura
de Compliance, orientada a aliviarla de presiones.
Organizaciones pequeñas
El único motivo que justifica una función de Compliance no
independiente no es técnico sino de masa crítica: no todas
las organizaciones pueden permitirse disponer de un equipo
de Compliance separado del de otras funciones (la jurídica por
ejemplo). Esto explica la timidez con que abordan esta materia
algunos marcos de referencia, mientras que estándares sectoriales
(banca, intermediación financiera, farmacia, por ejemplo), dirigidos
a organizaciones grandes, sí abogan abiertamente por esta
característica. A parte de tal circunstancia fáctica (tamaño de
la organización), no existen actualmente argumentos técnicos
para amenazar la independencia a la función de Compliance,
especialmente considerando el efecto negativo que puede inducir
en la generación o mantenimiento de una adecuada cultura
corporativa.
12
5.
A parte de formación y experiencia adecuadas para el desarrollo
de sus cometidos, existen una serie de cualidades personales que
vienen esperándose de las personas que desarrollan cometidos de
Compliance. A continuación los trataré someramente.
Comportamien-
Independencia e imparcialidad
to íntegro del
responsable de El responsable de Compliance debe garantizar independencia
e imparcialidad en su proceder: son conceptos que suelen
Compliance. confundirse cuando, realmente, no son sinónimos.
La independencia es una situación fáctica, relacionada con la

libertad de juicio. El responsable de Compliance es independiente
cuando su criterio técnico está libre de influencia o mandato
de otros, según he expuesto anteriormente, y cuando no teme a
represalias por desarrollar de buena fe su labor.
La imparcialidad se relaciona con un estado mental que permite

actuar de forma ecuánime, sin estar afectado por el interés, simpatía
o animadversión hacía algún sujeto o colectivo. También se utiliza
el término neutralidad para referirse a esta circunstancia. Lazos
familiares, de amistad o enemistad con determinados cargos de la
organización pueden generar parcialidad en los responsables de
Compliance y erosionar su eficacia, entendida como la defensa de
los valores de la organización.
No cabe duda que cuanto menor es el colectivo de personas en

una organización empresarial, mayores son los riesgos de que se
produzcan amenazas de independencia e imparcialidad a causa
de la mayor interacción y cercanía con sus equipos. Sin embargo,
los responsables de Compliance tratarán de desarrollar su labor de
forma razonable dentro de estos parámetros.
13
Integridad
Siendo independientes e imparciales, los responsables de
Compliance observarán una conducta íntegra, en el sentido de
actuar de manera ética y sin desviarse de sus cometidos a causa
de beneficios personales. Cada vez más textos de Compliance
señalan la importancia de revisar los antecedentes públicos de estas
personas, dentro y fuera de la organización (empleos anteriores,
por ejemplo), antes de proceder a su designación.
Dedicación
La dedicación necesaria es también un aspecto que cabe esperar
de los responsables de Compliance, y no sólo de los profesionales
a tiempo completo sino también de los que comparten estos
cometidos con otras tareas. En ocasiones, la falta de dedicación
no obedece al desinterés de los responsables de Compliance, sino
a la escasez de recursos puestos a su disposición. Recordemos
que la mayor parte de estándares de Compliance los exigen,
debiendo evaluarse si la organización y sus gestores han obrado
correctamente en tal sentido o, por el contrario, han escatimado
medios por no considerar Compliance un objetivo prioritario.
14
6.
Preguntas
¿Se pueden dejar de pagar
impuestos si tal decisión encaja
dentro del apetito de riesgo de la
organización?
frecuentes. El incumplimiento puro y llano de la normativa no entra dentro
del concepto de apetito de riesgo: es, simplemente, una ilegalidad.
Las organizaciones deben respetar las normas de aplicación en
las jurisdicciones donde operan, incluidas las fiscales, pues el
ejercicio de la actividad empresarial debe desarrollarse en armonía
con su entorno legal. El activismo empresarial (manifestarse
contrario a determinadas regulaciones) sólo puede plantearse de
manera transparente y responsable (explicitado y asumiendo sus
consecuencias), no como excusa oportunista para incumplir la Ley.
¿Cuáles son las normas éticas por

las que debe velar el CECO?
Seguramente, dentro de cada organización existen entendimientos
muy dispares acerca de lo que debe ser el desarrollo de los negocios
de una manera ética. Para evitar la falta de consistencia que esto
puede ocasionar, normalmente las organizaciones se adhieren a
un marco ético predefinido (sectorial o general) o elaboran el suyo
propio. Por lo tanto, para cuidar el tono ético de la organización
se precisa que sus estándares al respecto hayan sido previamente
definidos, pues, en caso contrario, las decisiones del Chief Ethics
and Compliance Officer (CECO) pueden percibirse arbitrarias.
15
¿Cómo se consigue un adecuado

tono ético en la organización?
Son muchos los factores que contribuyen a ello. Sin embargo,
suelen reconocerse algunos como especialmente relevantes. El
compromiso del órgano de gobierno y la máxima dirección (“tone
from the top”) es un elemento decisivo, hasta el punto que su
desafección respecto de los valores éticos convierte en estériles
otros esfuerzos para su establecimiento, mejora o mantenimiento.
A partir de ahí, tendrá sentido determinar estructuras organizativas,
políticas, procedimientos y controles que contribuyan a garantizar
el tono ético.
¿Es adecuado que la función

de Compliance dependa de la
financiera y le reporte el resultado
de sus tareas?
Es difícil emitir un juicio universal de adecuación en materias
organizativas, puesto que sólo conociendo profundamente
las circunstancias de cada organización puede evaluarse su
razonabilidad. Salvando esta distancia, los marcos de referencia en
Compliance coinciden en la necesidad de dotar a la función de un
acceso fácil y fluido con el órgano de gobierno y la máxima
dirección. Si la vinculación con la función financiera brinda
independencia, facilitando y garantizando también esa cercanía
podría llegar a considerarse una ubicación apropiada, aunque, a
priori, existen otras ubicaciones mejores a tales efectos.
¿Puede ser la función de

Compliance “part-time”?
Nuevamente, resulta difícil emitir un criterio de aplicación general,
pues las circunstancias de las organizaciones son muy variadas.
Sí puede decirse, sin embargo, que existen contextos que aconsejan
la dedicación a tiempo completo: grandes organizaciones,
entidades que operan en mercados regulados, entidades cotizadas,
grupos plurilocalizados, empresas que desarrollan diferentes ramas
de actividad, organizaciones que operan en jurisdicciones de riesgo,
empresas especialmente expuestas a reclamaciones, etc. Cuando
confluyen alguna o varias de estas circunstancias, será difícil
concebir que la función de Compliance no esté adecuadamente
dimensionada. Actualmente, sólo pueden plantearse cometidos
“part-time” en pequeñas empresas cuyas circunstancias son
simples y no precisan de tiempo de dedicación completo.
16



tratamiento.

modelo.
17

Compliance

normas
éticos.


propósito.
18



obstructivas

organizaciones
19

19601
Madrid 2017

Alain Casanovas
Supremo
Madrid 2013

Alain Casanovas
Madrid 2012

Alain Casanovas
Madrid 2008
20
Árbol de
políticas de
Compliance
Alain Casanovas
07
de Compliance
www.asociacioncompliance.com Árbol de políticas de Compliance

Compliance penal.

© 2018


2
Presentación Las políticas de empresa surgen de la conveniencia de

facilitar a las personas de la organización directrices que
les ayuden a desarrollar sus cometidos diligentemente.
En el fondo, son documentos que detallan el modo en que
la organización espera que actúen en el contexto de las
actividades encomendadas. Cuanto más grande y compleja
es una organización, más necesita de políticas que guíen a
sus personas, pues, en caso contrario, el modo de alcanzar
sus objetivos queda a su arbitrio. Es sumamente arriesgado
permitir esta diversidad, dado que pueden concurrir
interpretaciones muy variadas de la finalidad de las normas
y la forma de darles cumplimiento. Esto puede provocar
grandes diferencias conductuales en el seno de una
misma organización y la consiguiente exposición a riesgos
de Compliance.
Puesto que el desarrollo ordenado de las actividades de

negocio precisa fijar estas instrucciones detalladas, es
conveniente reflexionar acerca del modo más eficaz de
hacerlo. Esto lleva a analizar cómo se estructura y gestiona
un sistema de políticas de empresa, en lo que se denomina
“policy management”.
Este Cuaderno te resultará de utilidad para manejar con soltura

nociones esenciales para estructurar de forma jerárquica un
árbol de políticas de empresa, estableciendo así las bases
para que sea fácil gestionarlo. También encontrarás conceptos
útiles para reordenar un conjunto de normas internas ya
existentes, mejorándolo en cuanto a orden y eficacia.
Alain Casanovas
3
Índice
1. Por qué son necesarias las políticas
2. Cómo se estructura un árbol de políticas
3. Políticas y controles
4. El Código Ético
5. Problemas prácticos relacionados con las

políticas
4
1.
Es lógico preguntarse acerca de la necesidad de las políticas
de empresa, cuando ya existen normas legales que ordenan
el comportamiento social. Considerando, además, su incesante
crecimiento, ¿de dónde surge la necesidad de establecer normas
Por qué son internas adicionales? Existen varios motivos.
necesarias las Concreción y adaptación de

políticas. parámetros de conducta
Las políticas emitidas por las empresas pueden alcanzar un nivel
de concreción y adaptación a sus necesidades que no alcanzan
las normas de aplicación general, fijadas por los ordenamientos
jurídicos. Todo ello, en el bien entendido que las primeras no pueden
contravenir lo dictaminado en las segundas. En este sentido, las
políticas de empresa refuerzan el contenido de las normas jurídicas,
permitiendo su correcta interpretación y aplicación en el contexto
de unas actividades y valores empresariales en particular. Es más,
para garantizar el tono ético y sostenibilidad de sus actividades,
las políticas de empresa suelen elevar el umbral de exigencia en
relación con el marco jurídico de obligado cumplimiento.
Uniformidad de valores y cultura

Las políticas de empresa permiten uniformar los valores y cultura
en el seno de la organización. Es este un factor importante en grupos
multinacionales, donde las diferencias jurídicas y culturales pueden
ocasionar notables distorsiones en esta materia. Encontrarás más
información sobre ello en el Cuaderno número 6 de esta Serie
(“Cultura ética y de respeto a las normas”).
Las políticas de empresa definen, en definitiva, las conductas que

la organización espera y las que reprueba de sus empleados, así
como, eventualmente, de sus socios de negocio. Es más, concretan
patrones específicos de conducta y establecen los elementos
precisos para facilitar su aplicación efectiva.
5
2.
Podríamos decir que un sistema de políticas de empresa se asemeja
a un ordenamiento jurídico estatal, donde existe una jerarquía de
normas que dota de coherencia al conjunto.
Cómo se En los Estados de Derecho, un texto fundamental (la Constitución o

Carta Magna, por ejemplo) otorga sentido al resto de regulaciones
estructura derivadas, donde las norma inferiores no puede contradecir el espíritu
un árbol de de las superiores. Nos resulta difícil comprender un ordenamiento

estatal que no esté organizado a partir de un texto fundamental
políticas. que otorgue sentido a un modelo normativo jerárquico. Por eso,
nos sorprende mucho la coexistencia de leyes aparentemente
contradictorias o incoherentes.
A pesar de lo anterior, no nos llama la atención que algunas empresas

emitan políticas que no obedecen a modelos normativo ordenados.
Son escenarios proclives a conflictos, por falta de armonización.
Sistema ordenado de valores y

parámetros de conducta
Obviamente, una forma razonable de estructurar las políticas de
empresa es concebirlas como el desarrollo ordenado de un sistema
de valores y parámetros conductuales, donde una norma de alto
rango (Código Ético o Código de Conducta, por ejemplo) otorga
sentido y facilita un marco interpretativo para el resto. Con ello, el
sistema normativo de la empresa (políticas) tendrá consistencia,
siendo fácil de comprender, difundir y mantener.
Así estructuradas, las políticas deberían indicar el apartado o

capítulo del Código Ético o norma superior que desarrollan,
mostrando así a sus destinatarios que se hallan frente a piezas de
un mecanismo mayor, que obedece a determinados principios y
patrones conductuales esenciales.
6
No todas las políticas de empresa deben ostentar el mismo rango.

Indicaba antes que las principales políticas, derivadas directamente
del Código Ético o de Conducta, señalarían el apartado o capítulo de
dicho texto en que se amparan. A partir de ese núcleo de políticas
de alto nivel pueden establecerse otras de rango inferior. Cuanto
más se desciende en este árbol jerárquico, mayor es la concreción
de los contenidos y, por lo tanto, el nivel de detalle de su redacción.
Bajo esta perspectiva, muchas organizaciones distinguen entre
políticas y procedimientos, donde las primeras establecen
parámetros de conducta y las segundas el modo particular de
desarrollarlos mediante formularios, flujos de autorización, etc.
Políticas de empresa y modelo de

gobierno corporativo
La diferenciación entre categorías de normas ayuda a la
gobernanza de la organización, de modo que aquellas de alto
nivel que condicionarán al resto, son aprobadas por los órganos
de gobierno pertinentes. Las demás, de naturaleza más técnica y
estrato jerárquico inferior, pueden ser aprobadas por los órganos
de gestión adecuados por motivo de contenido. No obstante, esto
no significa que tal aprobación se produzca de cualquier manera
sino a través de un proceso ordenado de elaboración normativa.
Proceso de elaboración normativa

Ni cualquier persona de la organización debería estar habilitada
para elaborar una norma interna, ni cualquier órgano para
aprobarla. Cuando se desea una producción normativa ordenada
es aconsejable definir quién (i) tiene la capacidad de proponer
una norma, (ii) puede valorar su pertinencia, (iii) está capacitado
y se ocupará de redactar su contenido, (iv) debe supervisar su
elaboración, (v) tiene capacidad para aprobarla, en virtud de su
rango y contenido, (vi) debe planificar y ejecutar su difusión al
colectivo afectado, (vii) la archivará y velará por su accesibilidad y,
(viii) se ocupará de revisar periódicamente su contenido.
Estos son los aspectos básicos que regulará un procedimiento

de elaboración de normas internas (políticas y procedimientos),
evitando que la producción de estos textos quede al albur de quien
se considere capacitado para ello. La ausencia de documentos de
este tipo no contribuye a mantener un sistema ordenado de normas.
Un árbol de normas de empresa bien estructurado nos permite,

además, contextualizar rápidamente cualquier política, conociendo
su categoría, fecha de elaboración y estatus (vigor), órgano de
aprobación, materias tratadas (ámbito objetivo), alcance (ámbito
territorial), personas afectadas por su contenido (ámbito subjetivo),
cargos responsables, etc.
7
Compliance y el árbol de políticas

Velar por árbol de políticas no es una competencia indiscutida de
la función Compliance, especialmente cuando muchas de ellas
no guardan relación directa con la ética y el respeto a la Ley.
Existen muchas normas técnicas, de gran utilidad para acometer
determinadas tareas diarias, pero alejadas de esa esfera. De ahí
que los estándares sobre Compliance no consideren expresamente
el “policy management” como una competencia inherente a dicha
función. Puede suceder que otras áreas se ocupen de ello, como
Organización o Control interno, por ejemplo.
Sin perjuicio de lo anterior, es cierto que Compliance puede llegar a
Compliance
desempeñar esa tarea o adquirir un rol relevante en ella. En cualquier
caso, sí debe tomar conciencia de la parte del árbol de políticas que
puede le afectan y cuidar de su adecuación conforme venga definida en el
desarrollar procedimiento de elaboración normativa.
tareas de
gestión del Políticas en organizaciones
árbol de multinacionales
políticas de Aunque es un objetivo aparentemente sencillo estructurar un
empresa o, árbol empresarial de normas (políticas), las organizaciones
como mínimo, internacionales afrontan retos importantes para lograrlo. Como
desempeñar he señalado, las normas de empresa no pueden contravenir lo

establecido en las de cumplimiento obligado (normas jurídicas).
un rol Cuando se opera en una sola jurisdicción, esta sintonía es fácil de
relevante en conseguir, pero, cuando se opera en muchas, hay que poner cuidado
dicho ámbito. en que las normas de empresa de aplicación generalizada (políticas
globales) no contravengan ninguno de los ordenamientos locales
donde aplicarán, pues podrían llegar a ser ilegales o propiciar
incumplimientos. En estos contextos, pondrás cuidado en que
tanto la norma fundamental (Código Ético o de Conducta) como
las principales de aplicación internacional (políticas globales) sean
estables en el espacio y en el tiempo.
Una norma es estable en el espacio cuando mantiene su idoneidad

para aplicarse en diversas jurisdicciones. Lo es en el tiempo cuando
no es preciso adaptar su contenido constantemente. La generación
y mantenimiento de una cultura corporativa ética y de respeto a
la Ley precisa normas estables. Esto provoca necesariamente
la elaboración de redactados universales y programáticos, pues,
cuanto más se detalla su contenido, mayor es el riesgo de generar
conflicto con los ordenamientos locales donde se opera. Por ello, las
políticas globales suelen precisar políticas locales de desarrollo
(nacionales), donde su redacción se concreta en atención a las
particularidades legales de cada jurisdicción. Se consiguen así
políticas globales uniformes, pero susceptibles de adaptación a los
diferentes entornos geopolíticos. Para simplificar el árbol de políticas,
las globales pueden anexar las particularidades locales, evitando así
la proliferación normativa.
8
3.
En el Cuaderno número 4 de esta Serie (“Sistemas de gestión de
Compliance”) explico la conveniencia del binomio políticas/controles.
No olvides que una política cuyo cumplimiento no se controla corre
el riesgo de no aplicarse, del mismo modo que un control que no
Políticas y esté justificado por una política puede percibirse como caprichoso y
arbitrario. Podría decirse que la eficacia de las políticas depende en
controles. gran medida de los controles, del mismo modo que la legitimidad
de los controles depende de las políticas en que traen causa. Trata
de identificar en tu organización políticas huérfanas de controles o
controles cuya justificación se desconozca en términos de políticas.
Encontrarás allí ámbitos de mejora importantes.
¿Son las políticas controles?

Coloquialmente hablando, una política podría calificarse como un
control. Sin embargo, en términos más técnicos, una política puede
o no contener controles.

Compliance”) señalo que las políticas determinan parámetros de
conducta, mientras que los controles velan por que tales pautas se
cumplan. Así, por ejemplo, una política de regalos y atenciones puede
declarase opuesta a los sobornos y prohibir cualquier obsequio que
genere una obligación moral de devolución (parámetro de conducta).
Puede establecer, además, que los obsequios y atenciones por
encima de determinada cuantía deban ser previamente aprobados
por la función de Compliance (control preventivo). También que
los obsequios recibidos sean anotados en un registro interno que
también revisará periódicamente Compliance (control detectivo).
Este ejemplo, muy simplificado a efectos didácticos, ilustra como
una sola política contiene dos controles, un preventivo y el otro
detectivo. En ocasiones las mismas políticas o procedimientos
definen los controles para su correcta aplicación, pero en otros
casos figuran o se complementan en documentos separados.
9
Políticas y controles de alto nivel y

específicos
El Código Ético o el Código de Conducta, como normas de máximo
nivel en la empresa, también deberían llevar controles asociados.
Sucede que las normas de alto nivel, como éstas, llevan
aparejados controles que también son de alto nivel; mientras
que las políticas de rango inferior sobre aspectos concretos, llevan
asociados controles específicos. Por lo tanto, es falso que una
norma fundamental sea una mera declaración programática, pues
también debería llevar aparejado algún tipo de control que ayude a
contrastar su aplicación real.
Un control de alto nivel cubre un amplio espectro de parámetros

de conducta. Uno específico, se limita a algunas de ellas. Un canal
de denuncias (“whistleblowing line”) permite transmitir sospechas
sobre una gran variedad de irregularidades. Es, por lo tanto, un
control de alto nivel, adecuado para una norma de alto nivel. Por
eso, en los Códigos Éticos o de Conducta suele figurar, en lugar
destacado, la dirección de acceso al canal de denuncias, lo que
corrobora la bondad del binomio política/control.
Por cierto, los canales de denuncia o líneas éticas constituyen

controles tremendamente eficaces desde un punto de vista coste/
beneficio, pues son técnicamente sencillas de implantar, y la
experiencia demuestra que permiten detectar irregularidades que
hubiesen pasado inadvertidas para otros controles más costosos.
La función de Auditoría interna desarrolla un cometido relevante en

cuanto a los controles internos, verificando su aplicación uniforme
y consistente, y asegurando que contribuyen a la finalidad para la
que fueron creados.
10
4.
En ocasiones, se subestima el valor que tiene el Código Ético o
de Conducta para las organizaciones. Como he indicado, no es
un texto meramente estético sino el vértice de los valores de la
organización, llamado a vertebrar un árbol de normas internas
El Código Ético. coherente con ellos.
Código Ético, Código de Conducta,

Misión, Valores…
Aunque a efecto de estos Cuadernos me refiero continuamente al
Código Ético o de Conducta, existe una nomenclatura variada
para estas normas de rango máximo. De hecho, no todas ellas son
equivalentes.
Algunos de estos textos están muy centrados en valores. Suelen

exponer los propósitos últimos de la organización, en ocasiones
vinculados con aproximaciones religiosas. Son, por lo tanto,
documentos declarativos de principios genéricos y suelen recibir
una nomenclatura acorde con su naturaleza: Misión, Valores,
Ideario, Carta fundacional, etc.
En otras ocasiones, junto con la manifestación de los valores

propios de la organización, se regulan cuestiones típicas de ética
corporativa, como el respeto al medio ambiente, defensa de la
igualdad, etc. En esta categoría solemos encontrar los Códigos
Éticos, los Códigos de Cultura organizativa, etc.
Como explicaré en el apartado siguiente, la difusión general

que pretenden estos textos implica redactados sencillos y poco
extensos. Sin embargo, algunas organizaciones profundizan algo
más en su vertiente conductual, ampliándolos con explicaciones
más detalladas, ejemplos y anexos complementarios. Esto da lugar
a Códigos de Conducta.
11
Todos ellos son documentos de alto nivel, pueden coexistir y la

nomenclatura utilizada en la práctica no es en absoluto homogénea.
Características básicas
Suele aconsejarse que sean textos de poca extensión, asequibles
para todas las personas de la organización. En esta misma línea,
deben estar redactados en lenguaje simple, y en los idiomas que
comprenden sus destinatarios. Sin embargo, no por ello deben ser
textos vagos, sino claros en cuanto a los valores propugnados,
las conductas esperadas y las no deseadas. Deben tratarse,
además, de comportamientos relacionados con las actividades
de la organización, percibiéndose así su adaptación al entorno y
practicidad.
Es relativamente fácil encontrar guías para la elaboración de textos

de esta naturaleza, como la International Good Practice Guidance
ya emitida por la International Federation of Accountants (IFAC) en
el año 2007. En cualquier caso, siempre que se impulse la creación
de un texto de este tipo debe hacerse desde el convencimiento de
su utilidad y con voluntad de aplicarlo. No es un documento con
una función estética, sino claramente normativa.
Extensión a terceros
Existe una clara tendencia a extender los estándares de conducta
deseados por las organizaciones a los terceros con los que
se vinculan. Esto obedece al convencimiento de que igual de
incorrecto es desarrollar directamente conductas poco éticas
o ilegales, que tolerar su desarrollo por parte de terceros. De
hecho, la selección, contratación y supervisión razonable de socios
de negocio sigue siendo una asignatura pendiente en muchas
organizaciones. No olvides que, según el Informe de la OCDE sobre
el soborno internacional del año 2015, tres cuartas partes de los
sobornos se realizan mediando la intervención de terceros. Por
eso, no minusvalores los riesgos de Compliance que pueden venir
inducidos por este colectivo.
Puesto que los Códigos Éticos o de Conducta nacen pensando

en las personas de la organización, no todo su contenido es apto
para ser comprendido y aplicado por terceros. Por eso, algunas
organizaciones elaboran textos adaptados para ellos (Códigos
para proveedores, por ejemplo), haciendo hincapié en los aspectos
críticos a considerar en ese tipo de relaciones y tratando así de
extender las cautelas de Compliance a sus socios de negocio,
incluida la cadena de suministro.
12
Evolución y sentido actual

Hace décadas tuvieron notable difusión los documentos de alto
nivel que estoy tratando. Sin embargo, en aquel momento, rara
vez trascendían de las declaraciones programáticas. Sin embargo,
rápidamente se constató la importancia de dichos textos para fijar
la cultura organizativa y su utilidad como vértice de un sistema
normativo interno. A partir de entonces, creció su enfoque
Ha crecido
obligacional y se tecnificaron sus contenidos, haciéndolos idóneos
para dicho propósito. En la actualidad, se observan una serie de
el enfoque materias de trato recurrentemente en estos textos, acordes con las
obligacional preocupaciones que recogen leyes nacionales e instrumentos
de los Códigos internacionales.
Éticos y de
La tecnificación de los Códigos Éticos y de Conducta ha llevado
Conducta, a profesionalizar su elaboración, con la intervención de juristas
tecnificándose que conocen bien tanto las exigencias de la regulación como las
ligeramente su expectativas de los grupos de interés y, por lo tanto, el enfoque que
contenido. se les debe procurar.
Declaración de conformidad
Las declaraciones de conformidad con ciertas políticas, forman
parte de las actividades típicas de Compliance. Consisten en solicitar
evidencia de la recepción o puesta a disposición de un documento
(política). Es una forma de asegurarse de que sus destinatarios la
conocen.
En ocasiones, no sólo se quiere dejar constancia de su

conocimiento, sino también de la aceptación de su contenido.
Es más, eventualmente se exige manifestar que cualquier
contravención del texto se ha comunicado a través del canal
correspondiente.
Es importante plantearse el modo en que se difundirá el Código

Ético o de Conducta, así como el tipo de declaraciones de
conformidad que se cursarán. La eventual oposición por parte de
sus destinatarios a estas solicitudes difícilmente amparará acciones
disciplinarias contra ellos, aunque te permitirán identificar colectivos
que parecen no estar alineados con los valores de la organización. Y
no es en absoluto una información intrascendente para Compliance.
En Códigos Éticos o de Conducta abiertos, extensibles a terceros,

puede no ser práctico exigir su adhesión, si aquellos disponen de
textos equivalentes. Es más sencillo emplear fórmulas contractuales
confirmado regirse por valores equivalentes y aportando evidencia
documental de ello.
13
5.
A continuación trataré algunos de los retos que afrontan las
organizaciones a la hora de establecer y gestionar su árbol de
políticas. Conocerlos te ayudará a una gestión exitosa.
Problemas No es cuestión de cantidad, sino de

prácticos calidad
relacionados Podría decirse que sucede con las políticas algo parecido a las
con las infraestructuras: no es tan comprometida su construcción como su

mantenimiento. Del mismo modo que no se consigue una sociedad
políticas. más justa promulgando muchas leyes, emitir un gran número de
políticas tampoco asegura alcanzar los objetivos de Compliance.
Recuerda que las políticas son siempre instrumentales a los
objetivos que persiguen, y no una finalidad en sí mismas.
Es irracional emitir políticas que no se van a conocer, cumplir o
ambas cosas. Antes de producir políticas, valora la capacidad de
tu organización de difundirlas, supervisar su cumplimiento
y actualizarlas. Cuantas más políticas existan, mayor será el
esfuerzo requerido a para ello y los recursos que precisarás. En este
sentido, es mejor disponer de un número acotado de textos, sencillos
y claros, que sus destinatarios puedan conocer perfectamente.
Estructura de árbol
Como ya he apuntado, comienza estructurando tu sistema de
políticas sobre la base de un texto fundamental, que ayude a
disponer de un conjunto armonizado y coherente de valores y
patrones de conducta.
No obstante, es posible que en tu organización ya exista un

conjunto de políticas emitidas de manera fragmentada, esto es,
no vertebradas de forma jerárquica ni atendiendo a un marco claro
de valores. En tal caso, revisa el modo en que está estructurado
14
ese conjunto de normas y adopta las medidas oportunas para

armonizarlo. Sin una política de alto nivel (Código Ético o de
Conducta) te resultará difícil alcanzar una coherencia de conjunto,
lo que te llevará a impulsar iniciativas para dotarte de ella y
estructurar adecuadamente el resto de textos a su alrededor. Sólo
así evitarás los problemas típicos de un sistema desestructurado
de normas, donde conviven documentos modernos con antiguos
sin consistencia aparente entre ellos. Hecho esto, asegúrate de
disponer de un procedimiento de elaboración normativa para
evitar que el árbol de políticas, ya debidamente estructurado,
retorne al caos.
Es igual de problemático el exceso

de políticas que su defecto
Las grandes organizaciones no suelen acusar problemas en cuanto
a la confección de normas internas, sea porque disponen de
departamentos dotados de recursos suficientes para ello, porque
contratan dicha labor a empresas consultoras externas, o por
ambas circunstancias.
Más difícil les resulta lograr un nivel de conocimiento y aplicación

aceptable de su contenido. Como ya he señalado, en ocasiones
es preferible que existan pocas normas pero bien conocidas,
que documentos sesudos y prolijos pero ignorados. Desarrolla un
ejercicio de priorización de normas: identifica aquellas que son
críticas para la organización y centra tus esfuerzos en su contenido
y difusión. Prescinde de las innecesarias o emprende labores de
simplificación o consolidación para evitar redundancias en el resto.
Asegúrate de mantener el binomio políticas/controles.
La sobreabundancia de políticas o la extensión inapropiada de

su contenido provoca auténticas aberraciones, que dificultan la
consolidación de la cultura corporativa.
Importancia de la formación
La formación es un capítulo esencial para la correcta difusión
de políticas. Existen organizaciones donde, una vez aprobadas,
se ubican en repositorios accesibles para sus destinatarios (en la
Intranet corporativa, por ejemplo), asumiendo que éstos tomarán
la iniciativa de leerlas. Sin embargo, no es razonable esperar que
esto acontezca espontáneamente, siendo mejor diseñar ciclos
formativos que aseguren su debida comprensión. Para aquellos
textos críticos, establece, además, procedimientos para la
declaración de conformidad.
No te centres exclusivamente en las normas de nueva producción,

sino también en las variaciones que afectan las antiguas. Cada
15
vez que se modifique, sustituya o elimine una norma interna,

estudia el modo de asegurar el conocimiento de tal circunstancia.
En caso contrario, las variaciones pueden pasar inadvertida para
sus destinatarios. La peor expresión de este fenómeno es cuando
el personal de la organización duda de cuáles son las políticas
vigentes y, erróneamente, aplica las obsoletas.
Evidenciar la existencia de normas

y su nivel de conocimiento
Desde una perspectiva jurídica, no sólo te interesará difundir las
normas de la organización, sino también disponer de evidencias
que acrediten su existencia, difusión y conocimiento. Por ello,
tanto su puesta a disposición, como formación y conformidad con
su contenido deben estar soportados por medios que constituyan
prueba válida en juicio. Existen recursos tanto informáticos como
tradicionales para ello.
16
6.
Preguntas
¿Por dónde inicio la elaboración de
un árbol de políticas de empresa?
Comienza por una norma de alto nivel (Código Ético o de
Conducta) y continúa con las políticas que realmente necesite
frecuentes. tu organización. Elabora solamente aquellas normas que sean

críticas, considerando que luego tendrás que cuidarte de que
todo el acervo normativo se conozca y actualice. No existe una
respuesta estándar sobre el número de normas que debe conformar
un árbol de políticas de empresa, porque las necesidades varían
en cada organización y el disponer de estos textos no es jamás
una finalidad en sí misma.
Todos los Códigos Éticos parecen

iguales ¿Puedo copiar alguno para
mi organización?
Los Códigos Éticos o de Conducta suelen parecerse porque existen
algunas materias que, en la práctica, se consideran de tratamiento
obligado. Sin embargo, a partir de ese sustrato común, su
redacción se ceñirá a la realidad de cada organización, dando lugar
a textos de contenidos variados por los valores propugnados,
su priorización, el sector en que opera, el lenguaje empleado, los
ejemplos facilitados, etc. Por eso, es realmente difícil que existan
dos Códigos Éticos o de Conducta iguales, salvo en algunos grupos
de sociedades.
El riesgo de copiar un texto ajeno a tu organización es que sus

destinatarios perciban su lejanía respecto de la realidad y lo
interpreten como una mera formalidad. Por ello, nunca es buena
idea limitarse a copiar un texto que ha sido redactado para cubrir
las necesidades de otra organización.
17
En mi empresa existen políticas

pero no un texto de alto nivel que
cohesione el conjunto. ¿Debo
elaborar un árbol de normas
completamente nuevo?
No necesariamente. En teoría, el diseño de un sistema de políticas
de empresa comenzaría por establecer una norma de alto nivel y,
a partir de ahí, el resto (proceso top-down). Sin embargo, en la
práctica, es frecuente encontrarse con políticas de empresa que
llevan tiempo aplicándose y contribuyendo a generar una cultura
En la práctica, empresarial. En estos contextos, es razonable aprovechar los
es frecuente textos conocidos, pero tratando de cohesionar al conjunto a
encontrar través de la estructura esencial de los documentos y vertebrándolos
políticas de a partir un texto de alto nivel. Posiblemente precisarás menos
empresa que esfuerzo y será mucho más efectivo que impulsar un árbol de
políticas completamente nuevo.
llevan tiempo
aplicándose, Los administradores de mi empresa
siendo opinan que un canal de denuncias
razonable
propiciará comunicaciones
aprovecharlas
adecuando su
maliciosas y que requerirá unos
contenido al esfuerzos de gestión ingentes ¿Es
Código Ético o eso cierto?
de Conducta. Establecer y gestionar cualquier tipo de control significa siempre
mayor esfuerzo que no hacerlo. Sin embargo, es falso que un
canal de denuncias requiera un nivel ingente de recursos. Con
los medios informáticos actuales, establecerlo está al alcance de
cualquier organización, presentando un ratio de coste/ eficacia
muy elevado. En contra de lo que se pueda pensar, las estadísticas
presentan unos índices de utilización moderados y su empleo
malicioso es residual. Aunque encontrarás comunicaciones que
no deberían haberse cursado a través del canal (sobre materias
que no son de su objeto), y tal vez alguna con finalidad difamatoria,
cuando elabores estadísticas de uso comprobarás que son casos
completamente marginales.
Trabajo en una empresa que

dispone de muchas políticas, pero
no se conocen ¿Qué puedo hacer?
Lamentablemente, la falta de aplicación de las políticas
de empresa por su desconocimiento es un fenómeno
relativamente habitual. Hay factores que lo provocan,
como su multiplicidad o que su contenido sea extenso o
18
ininteligible para un lector medio. Presta atención a estas

características, comprueba que se comunique su creación
o modificación, ubicándose en lugares de fácil acceso para
quienes precisen consultarlas, y que se incorporen en ciclos
de formación recurrente. También comprueba si los textos
críticos están sujetos a declaraciones de conformidad.
Es posible que encuentres aspectos de mejora en alguno o
varios de estos ámbitos.
19



tratamiento.

modelo.
20

Compliance

normas
éticos.


propósito.
21



obstructivas

organizaciones
22

19601
Madrid 2017

Alain Casanovas
Supremo
Madrid 2013

Alain Casanovas
Madrid 2012

Alain Casanovas
Madrid 2008
23
La cadena
de reporte en
Compliance
Alain Casanovas
08
de Compliance
www.asociacioncompliance.com La cadena de reporte en Compliance

Compliance penal.

© 2018


2
Presentación Aunque la información financiera es importante para

diagnosticar la salud de la empresa, no es la única a
considerar, especialmente cuando se desea valorar la
capacidad de sus gestores para afrontar retos futuros.
No es de extrañar que los reportes financieros tiendan a
complementarse con indicadores de calidad en la gestión
sobre ciertas materias. Seguir recomendaciones de buen
gobierno corporativo conlleva hacer públicas estas
informaciones, que trascienden la dimensión meramente
económica o cuantitativa. Organizaciones independientes
llegan a tabular estas informaciones y elaboran índices
que son indicativos de la calidad de su gestión: el Dow
Jones Sustainability Index (DJSI) es un buen ejemplo de
ello, demostrando el gran impacto que tienen los datos no
financieros tanto en las recomendaciones de proxy advisors
como en las decisiones de inversores y otros stakeholders.
En un entorno normativo complejo, donde las consecuencias

de conductas poco éticas o ilegales pueden comprometer
la continuidad de las operaciones, es evidente que las
informaciones relacionadas con el Compliance ganan un
protagonismo que las convierte en contenido obligado
en los reportes tanto internos como externos. En este
sentido apuntan los cambios legislativos que están obrando
en muchas jurisdicciones, inicialmente proyectados sobre
organizaciones de interés público.
Es difícil reportar externamente información fiable sobre

Compliance cuando no se han definido las herramientas
precisas para la captacion y evaluación de información de
calidad en dicha esfera. La ausencia de estructuras internas
de Compliance, que articulen adecuadamente la cadena de
reporte, hace difícil trasladar a la opinión pública datos fiables,
por muy transparente que pretenda ser la organización.
En este Cuaderno no sólo veras la importancia que tiene

disponer de reportes de Compliance para la gestión interna
de la organización, sino el modo en que las informaciones allí
recogidas pueden terminar impactando a terceros.
Alain Casanovas
3
Índice
1. La cadena de reporte y su impacto tanto

interno como externo
2. La base de la cadena de reporte
3. Elaboración de reportes de Compliance
4. Procedimientos de urgencia
5. Los planes de acción o remediación
6. Acciones internas y externas
7. A quién se reporta
4
1.
Puesto que para gestionar correctamente una organización se
precisa información, su capación y análisis es vital para actuar con
diligencia. Una decisión imprudente es aquella que se adopta sin
valorar antes la información que se precisa.
La cadena de Cuando la organización aplica principios de transparencia, una

reporte y su parte de las informaciones procesadas se hace pública, de modo
impacto tanto que no sólo sus gestores sino también el resto de stakeholders
participan en su conocimiento. Por su trascendencia para el
interno como negocio, la información de Compliance forma parte de los datos
externo. que los gestores diligentes y los grupos de interés esperan recibir.
En la actualidad, el foco de interés está en conocer los mecanismos
internos para la prevención, detección y gestión de irregularidades
en materia de Derechos Humanos, el medio ambiente o la
corrupción, aunque se observa una clara tendencia expansiva hacia
otros ámbitos.
Flujograma básico
En líneas muy generales, la información relevante sobre cualquier
materia se capta a través de procesos y procedimientos diseñados
al efecto. Después se evalúa internamente aplicando criterio
experto, y termina reportándose tanto interna como externamente,
en el contexto de una gestión transparente. Este flujograma de
alto nivel aplica igualmente en Compliance para vertebrar su cadena
de reporte.
Que la cadena de reporte trascienda la organización, facilitando a

terceros determinadas informaciones, significa que es susceptible
de ocasionar daños cuando no sean completas o veraces. Tal
circunstancia obliga a extremar cautelas en su gestión, pues
nos adentramos en un terreno donde las negligencias pueden
perjudicar a amplios colectivos.
5
Antecedentes comparativos:
fiabilidad de los reportes
financieros
En la esfera económica, por ejemplo, se tomó conciencia de la
gran importancia de la rigurosidad de los reportes públicos tras
los escándalos financieros de inicio de siglo, que propiciaron la
promulgación de la célebre Sarbanes-Oxley Act norteamericana del
año 2002 (SOX), y de tantas otras normas nacionales, incluyendo
los Sistemas de Control Interno de la Información Financiera
(SCIIF) que establece la Comisión Nacional del Mercado de Valores
(CNMV) para sociedades cotizadas en España.
A raíz de todo ello, vemos que la información financiera que

fundamenta la cadena de reporte en dicha esfera está sujeta
a medidas estrictas de supervisión y control. Sin embargo,
cuando comparamos este escenario con la cadena de reporte en
Compliance, observamos que no siempre (i) existen mecanismos
de supervisión y control de la información crítica, (ii) se reporta
información relevante externamente, y (iii) la información reportada
externamente es de calidad.
Reportes integrados
Cada vez más voces cualificadas denuncian que la financiera es
sólo una parte de la información relevante para los grupos de
interés. De ahí nacen iniciativas orientadas a generar reportes que
aglutinen un elenco de variado informaciones, que verdaderamente
ayuden a formarse una idea de la calidad en la gestión. Se trata
de que sean útiles no sólo para comprender situación económico-
patrimonial de la organización en un momento dado, sino para
brindar confort sobre su futura evolución. Uno de los exponentes
más conocidos de esta tendencia es el Integrated Reporting que
impulsa el International Integrated Reported Council (IIRC).
6
2.
Tratar información de calidad se ha considerado siempre un
aspecto clave para fundamentar el proceso de toma de decisiones.
Años atrás, el problema radicaba en capturar información
adecuada; pero en la actualidad se añade el exceso de información
La base de irrelevante, que dificulta identificar la verdaderamente crítica. Tú

mismo puedes contrastarlo reflexionando sobre el contenido del
cadena de inbox de tu correo electrónico. ¿Cuántas comunicaciones son
reporte. auténticamente relevantes y cuántas otras te restan tiempo de

dedicación a cometidos prioritarios? Trasladando este ejemplo al
Compliance comprenderás que, en el entorno actual, tan arriesgado
es la carencia de información como el exceso mal gestionado.
He explicado cómo en el ámbito financiero se han volcado esfuerzos

significativos para depurar la información, a través de mecanismos
de supervisión y control. Lamentablemente, esta dinámica no
ha calado en otros ámbitos, como en Compliance, donde todavía
existen personas que lo consideran una labor artesanal, fuertemente
dependiente de las competencias individuales de las personas
que la desempeñan. Bajo esta perspectiva, disponer de información
de Compliance robusta es casi una cuestión de suerte.
Buenas prácticas de gestión de

información de Compliance
Obviamente, la existencia de estándares modernos sobre
Compliance hace insostenible el planteamiento anterior, y
aglutinan buenas prácticas para capturar, analizar y reportar
la información relevante en dicha esfera. De hecho, una de las
reflexiones obligadas en los estándares ISO 19600:2014, ISO
37001:2016 y UNE 19601:2017 versa sobre el modo de capturar
información y evaluar el rendimiento del sistema de gestión.
En este sentido, se proponen múltiples fuentes que van desde
los canales de comunicación y denuncia (“whistleblowing lines”),
hasta las herramientas de captación de opinión de usuarios
7
(servicios de atención al cliente – SAC-), o de pulso de la opinión

de los empleados (encuestas de clima laboral). Sin embargo, voy a
prestar especial atención a los procedimientos/herramientas de
comunicación de Compliance, análogas a las existentes en otras
áreas de la organización, y que conforman los paquetes de reporte
en sus respectivas materias.
Procedimientos y herramientas de
comunicación en Compliance
Los procedimientos de comunicación determinan cómo la
información relevante fluirá desde las instancias donde se genera
(origen) a la función que la tratará (Compliance). En términos de
cadena de reporte, dicho tratamiento implica su evaluación,
priorización y reporte a los órganos correspondientes, junto con
las sugerencias de actuación apropiadas.
Los procedimientos de comunicación más frecuentes en

pequeñas o medianas organizaciones son los de naturaleza informal,
en ocasiones consistentes en reuniones periódicas, presenciales
o a distancia, con los responsables de funciones o unidades de
negocio donde surge la información relevante para Compliance. Sin
embargo, aunque utilizar mecanismos informales de este tipo es
ágil y cómodo, es también arriesgado porque tienden a degradarse
y no siembre brindan información completa y veraz, perdiendo
entonces fiabilidad. De hecho, existen grandes diferencias entre
Existen la información que se transmite verbalmente y la que se escribe,

viendo que la segunda es normalmente más completa y fiable. En
grandes ocasiones, las reuniones informales terminan extinguiéndose con el
diferencias paso del tiempo, por la relajación en el hábito de su celebración, la
entre la rotación de las personas que participan en ellas, etc.
información
Adicionalmente, los procedimientos de comunicación informales
que se pueden llegar a producir asimetría en la supervisión y control,
transmite cuando procuran información de calidad en de las funciones o
verbalmente unidades de negocio próximas (desde un punto de vista geográfico,
y la que se de empatía con sus responsables, etc), pero no con el resto.
escribe.
Debido a lo anterior, es una buena práctica formalizar el
procedimiento de comunicación, elaborando las herramientas
que faciliten la plasmación de información relevante (formularios o
paquetes de reporte), como normalmente ocurre en otros ámbitos
de la organización.
El diseño de procedimientos/herramientas de comunicación

precisa conocer: (i) los diferentes bloques de obligaciones de
Compliance de los que se quiere obtener información, (ii) las
casuísticas de riesgo que exponen a la organización, para cada
uno de esos bloques, y (iii) las funciones o unidades de negocio
8
donde se genera información relevante sobre esos bloques y

casuísticas. Como imaginarás, haber desarrollado previamente un
ejercicio de evaluación de riesgos de Compliance ayuda mucho
a responder a estas preguntas. Encontrarás información sobre ello
en el Cuaderno número 4 de esta Serie (“Sistemas de gestión de
Compliance”).
Características de la herramienta
Puesto que cada función o unidad de negocio está sujeto a
distintos bloques de obligaciones de Compliance y, por lo tanto,
expuesto a diferentes casuísticas de riesgo, la herramienta de
comunicación con ellas no puede ser idéntica. Aunque es cierto
que un formulario de reporte puede comprender preguntas sobre
riesgos de Compliance de alcance general (conductas delictivas,
vulneraciones de la privacidad o datos personales, etc), debe
contemplar otras específicamente vinculadas con las actividades
de la función o unidad de negocio interrogada. Por ello, no son
inhabituales las herramientas de reporte con una base transversal
común, y otra específica por función o unidad destinataria.
En cuanto a la formulación de los enunciados recogidos en la

herramienta de comunicación, existen dos aproximaciones
prácticas: (i) pocas preguntas y de orientación abierta, o (ii) bastantes
preguntas cerradas sobre aspectos concretos. La primera opción
es adecuada cuando el criterio experto y/o responsabilidad de
gestión de las materias preguntadas se ubica en la función o unidad
apelada, de modo que sabrá que datos reportar al hilo de una
formulación amplia: ¿ha sucedido algo extraordinario en materia
de protección de datos personales que, por su eventual relevancia,
deba conocer la dirección de la organización? La segunda opción
implica un nivel de concreción mayor, que sólo adquiere sentido
cuando el criterio experto y/o responsabilidad de gestión radica
en la función apelante (Compliance): ¿Se ha producido alguna fuga
de datos de carácter personal?, ¿se ha informado a las autoridades
sobre ello?, ¿se han adoptado medidas para que no se reproduzca?,
etc.
Cuidado con la Compliance fatigue

Con gran probabilidad, los usuarios de estas herramientas estarán
sujetos a otros reportes (información financiera, de calidad, para
la gestión de los recursos humanos, etc.), de modo que el esfuerzo
adicional que supone completarlos no será bienvenido. Esto
puede generar un síndrome conocido como Compliance fatigue,
que deriva rápidamente en otro: el box ticking. Encontrarás más
información sobre ambos en el Cuaderno número 11 de esta Serie
(“Resistencia al cambio y conductas obstructivas”). Se lucha contra
ello produciendo formularios muy ceñidos a la realidad de los
9
usuarios y haciéndolos partícipes en el proceso de elaboración. De

este modo, comprenden su utilidad, pueden sugerir contenidos y
toman conciencia de su participación en un procedimiento crítico
para la organización. Reflexionar acerca de las circunstancias
reportables genera, además, un estado de alerta sobre los aspectos
que implican exposición a riesgos de Compliance, que se consolida
a medida que las herramientas se completan recurrentemente.
Normalmente cada organización desarrolla sus herramientas de

comunicación de Compliance modulando preguntas generales,
sobre materias específicas, abiertas o cerradas, pero ceñidas en
todo caso a sus necesidades concretas. Por eso, es muy difícil
encontrar dos herramientas siquiera parecidas en organizaciones
distintas. Sí es habitual que incorporen apartados de comentarios,
de modo que la función o unidad informante puede incorporar las
explicaciones que considere apropiadas, tanto de forma general
como respecto de cada pregunta.
Declaración de sujeto reportante

Las herramientas así diseñadas suelen incluir una declaración
del emisor conforme la información plasmada es correcta y
sustancialmente completa. Por lo consiguiente, tanto las omisiones
como los datos incorrectos contravienen el procedimiento y ayudan
a individualizar responsabilidades, llegado el caso. En este
sentido, los procedimientos y herramientas de comunicación de
Compliance actúan de manera parecida a las certificaciones en
cascada, tan típicas de los entornos SOX.
Las herramientas de comunicación formales sobre Compliance

constituyen un pilar básico para una cadena de reporte fiable. En
el apartado siguiente hablaré sobre su periodicidad, normalmente
ligada a los reportes de la función de Compliance al órgano de
gobierno y máxima dirección.
10
3.
Los reportes de Compliance son equivalentes a los cuadros de
mando que se vienen utilizando en otros ámbitos de la organización.
Según su periodicidad cabe distinguir entre: (i) reportes periódicos
Elaboración operativos, (ii) memorias anuales, y (iii) reportes ad-hoc. Todos ellos
se elevan al órgano de gobierno y máxima dirección, si bien difieren
de reportes de en su cadencia de entrega.
Compliance.
Los reportes operativos
Los reportes operativos se elaboran de manera periódica,
informando del desarrollo de las actividades propias de la función
de Compliance. Es habitual dotarles de la misma recurrencia que
otros reportes a los órganos societarios, lo que normalmente lleva a
cadencia trimestral. Es una periodicidad que aparece en algún texto
específico, como, en España, la Circular 1/2012 de la CNMV, citada
en la Circular 1/2016 de la Fiscalía General del Estado.
Las memorias anuales

Las memorias anuales consolidan la información de Compliance
del año/ejercicio. Cuando existen reportes operativos, estas
memorias devienen documentos ejecutivos que consolidan sus
contenidos año tras año, explicando las variaciones que se han ido
observando en los aspectos reportados, logros, ámbitos de mejora,
planes de futuro, etc.
Los reportes ad-hoc

Los reportes ad-hoc se producen sobre cuestiones concretas o
incidentes relevantes que deben ser informados inmediatamente
sin esperar al próximo reporte operativo o memoria anual.
11
Contenido
En cuanto a su contenido, los reportes de Compliance pueden (i)
facilitar indicadores de actividad (formación realizada, consultas
evacuadas, etc) y de efectividad (incidentes sufridos, etc), o (ii)
Informar sobre cambios estructurales en el sistema de gestión
(nuevos cargos o cometidos de Compliance, nuevas políticas,
etc). Aun siendo informaciones de diferente naturaleza, pueden
consolidarse en un mismo documento.
Puesto que la función de Compliance conforma una instancia de
supervisión, pero no necesariamente de decisión, los reportes
indicados pueden igualmente emplearse para elevar la adopción de
decisiones a los órganos o cargos que dispongan de capacidad legal
para hacerlo.
Vinculación con los objetivos de

Compliance
Aunque ya conoces los diferentes tipos de reportes, su adecuado
diseño atraviesa por vincularlos con los objetivos de Compliance.
De este modo, la información reportable al órgano de gobierno y
máxima dirección será coherente con tales objetivos, estableciendo
indicadores expresos acerca de su grado de consecución. Si uno de
los objetivos es, por ejemplo, aumentar el nivel de concienciación
Vit et aut sobre aspectos de Compliance en filiales no controladas, los
optis que qui indicadores reportables guardarán relación con las actividades
dit harchit planificadas para lograr ese propósito (desarrollo de sesiones de
qui illestem sensibilización, elaboración de documentos divulgativos, etc) y
acculparcia sobre su efectividad (incidentes o cuasi-incidentes de Compliance

en filiales no controladas). Aunque el resto de indicadores pueden
quatur, aut ser útiles, primarán los vinculados a los objetivos cuando el modelo
deraes ut et de Compliance opera como un sistema de gestión. Por eso,
ilitiis idebit algunas organizaciones separan en sus reportes de Compliance los
vitem acit indicadores vinculados a objetivos del resto de indicadores “clásicos”.
eumquibeatem Trazabilidad de la información

eumqui is
Completar un reporte operativo de Compliance es la culminación del
millignis proceso de captación y análisis de información que expliqué en
el apartado anterior. Esto permite trazar inequívocamente el origen
de la información e involucrar, en su caso, a las áreas o unidades
afectadas. Sin haber superado satisfactoriamente esta etapa, el
reporte tendrá pies de barro, pudiendo transmitir una falsa sensación
de seguridad a sus destinatarios.
Los reportes de Compliance no tienen por qué ser documentos
extensos o complejos. En cualquier caso, es una buena práctica
compararlos sucesivamente para contrastar la evolución de
sus indicadores. Recuerda que la información que manejas se
enriquecerá a medida que dispongas de datos comparables de
periodos anteriores, apreciando entonces tendencias de mejora,
empeoramiento o estabilidad.
12
4.
Mencionaba en el apartado anterior los reportes ad-hoc de
Compliance. Podría decirse que es un tipo de reporte que se sale de
lo ordinario o planificado, esto es, del ámbito propio de los reportes
operativos y memorias anuales. Aunque son muchos los motivos
Procedimientos que impulsan este tipo de reportes, normalmente la urgencia es el

factor estrella.
de urgencia.
Con mucha frecuencia, el tiempo se convierte en un factor crítico
para adoptar las medidas que eviten los riesgos o reduzcan las
consecuencias de su materialización. Existen riesgos de evolución
rápida que conviene gestionar lo antes posible, dada su capacidad
de crecimiento. De ahí la necesidad de procedimientos de
urgencia que permitan gestionarlos sin demora.
Los procedimientos de urgencia suponen, en esencia: (i) no esperar

al momento planificado de reporte, y (ii) informar directamente a
las instancias que tengan competencias y capacidad para adoptar
una decisión rápida, incluidos los máximos responsables de la
organización. Estas actuaciones explican también por qué la mayor
parte de marcos de referencia de Compliance exigen la proximidad
y facilidad de acceso de la función respecto del órgano de gobierno
y máxima dirección de la organización, constituyendo un factor de
eficacia obvio ante situaciones de urgencia.
Normalmente, los riesgos no materializados que precisan seguir

un procedimiento de urgencia (incluyendo el reporte ad-hoc) son
los que tienen una elevada probabilidad de materialización, y cuyo
impacto es significativo para la organización. Debes reportarlos y
gestionarlos tan pronto los detectes, sin pérdida de tiempo.
13
5.
Los reportes de Compliance pueden poner de manifiesto
aspectos de mejora, riesgos o incluso incidentes actuales
que se deben gestionar. De hecho, una de las actividades
donde la función de Compliance aplica su criterio experto
Los planes en la priorización de los incidentes según su gravedad.

Puesto que la organización dispone de recursos limitados,
de acción o es necesario este ejercicio para volcar los esfuerzos sobre
remediación. aquellos riesgos o situaciones susceptibles de ocasionar

mayores daños, tanto a la propia organización como a
terceros. Evidentemente, esto no supone desatender el resto
de situaciones, pero sí realizar una gestión eficaz del conjunto
en términos de tiempo y recursos.
Por eso, los estándares de Compliance precisan establecer

planes de acción o remediación, de manera que dichas
situaciones queden sujetas a actuaciones adecuadas que se
monitorizarán, informando de su evolución hasta su conclusión
exitosa. La función de Compliance puede desempeñar un
rol importante en el diseño, monitorización e incluso la
ejecución del plan, pero esto no la convierte necesariamente
en protagonista principal de su puesta en práctica ni, mucho
menos, en propietaria del riesgo en cuestión.
Opciones clásicas de gestión de

riesgos
El plan de acción o remediación describirá el riesgo y las
medidas propuestas para evitarlo, trasladarlo, compartirlo
o reducirlo. Existe una quinta posibilidad en la taxonomía
clásica de gestión de riesgos: asumirlo. Pero será una opción
excepcional, pues no forma parte del apetito de riesgo
mantener alegremente riesgos de incumplimiento, como
explico en el Cuaderno número 3 de esta Serie (“Relación de
Compliance con Gobernanza y Gestión del riesgo”).
14
Estructura
El plan detallará el modo de ejecutarlo, señalando los hitos
a cubrir, los roles y responsabilidades de ejecución y el
horizonte temporal para hacerlo. La efectividad de un modelo
de Compliance no sólo radica en su idoneidad para producir
estos planes, sino especialmente en su capacidad para
seguirlos y comprobar su idoneidad, hasta su terminación.
Reporte
Aunque no estés involucrado en su ejecución, tendrás que
conocer su estadio evolutivo en cada momento e informar
de ello mientras los riesgos persistan. Deberás también
plantear qué mejoras cabe introducir en el sistema de gestión
de Compliance para evitar que se reproduzcan, así como las
acciones que proceda emprender frente a miembros de la
organización o socios de negocio causantes o involucrados
con el riesgo o situación tratada.
15
6.
Obviamente, las personas que han provocado un riesgo o situación
actual de incumplimiento deben asumir las consecuencias de
ello de manera proporcional a su nivel de negligencia y a las
consecuencias derivadas de su conducta. Del mismo modo que
Acciones no se comprende que se detecten riesgos sin que se fije un plan

de acción o remediación, tampoco es lógico que ese plan no
internas y contemple las consecuencias que se derivarán a las personas que
externas. los propiciaron obrando dolo o negligencia.
Medidas frente al personal

Las medidas de orden interno afectan a la organización y su
personal. Se encuadrarían en este ámbito actuaciones propias de
Recursos Humanos (impacto en la evaluación del desempeño
de los empleados, con consecuencias en sus posibilidades de
promoción, etc), pero también en la esfera jurídico-laboral
(acciones disciplinarias), cuando ello sea legalmente posible.
Medidas frente a terceros

Las medidas de orden externo afectan a los terceros que han
generado el riesgo o participado en él. También cabe esperar aquí
medidas proporcionales al riesgo o daño efectivo ocasionado
(no sólo en términos económicos sino también reputacionales).
Recuerda que existen textos internacionales que recomiendan
discontinuar las relaciones de negocio con terceros que hayan
desarrollado comportamientos contrarios a la ética, especialmente
en materia de corrupción. Llegado el caso, puedes incluso valorar
la posibilidad de resolver por justa causa la relación contractual
con ellos, al amparo de textos internacionales susceptibles de ser
invocados en sus respectivas jurisdicciones.
Encontrarás más información sobre el particular en el Cuaderno

número 4 de esta Serie (“Sistemas de gestión de Compliance”).
16
7.
A qué órganos reporta Compliance es una cuestión interesante, que
enlaza con su dependencia funcional y jerárquica.
En líneas generales, no está escrito en fuego de qué órgano o cargo
A quién se debe depender la función de Compliance, siempre que se garantice

su autonomía, independencia y, en ese contexto, el acceso fluido
reporta. al órgano de gobierno. Son factores claves para su eficacia. Sobre
esta cuestión, puedes consultar el Cuaderno número 5 de esta
Serie (“Factores de autonomía e independencia en Compliance”).
Tales requisitos normalmente llevan a que la función de Compliance

dependa y reporte al órgano de gobierno, sea de manera directa
o a través de alguna comisión especializada (la de auditoría o la
responsabilidad social corporativa, por ejemplo). Esto permite a
los administradores cumplir con su deber de estar puntualmente
informados, y a la función de Compliance le garantiza un apoyo
rápido y contundente ante situaciones de potencial gravedad.
Los estándares más actuales de Compliance apuntan también

la obligación de informar a la máxima dirección. Es una cautela
comprensible, pues informando a este colectivo junto al órgano
de gobierno, se cubren todas las altas instancias con capacidad
legal de actuación. Habitualmente y salvo en casos con repercusión
estratégica, corresponderá a la alta dirección decidir sobre
los aspectos informados y al órgano de gobierno supervisar la
adecuación de tales decisiones, para satisfacerse después de su
correcta ejecución práctica. Y nuevamente Compliance desempeña
en ello un rol clave a través de sus reportes.
Esta doble línea de reporte no impide que se informe igualmente

sobre determinados aspectos a funciones sinérgicas (gestión de
riesgos, control interno, auditoría interna, asesoría jurídica interna,
etc), o a las áreas o unidades afectadas, si es procedente.
17
8.
Preguntas
¿Puede Compliance desarrollar
su cometido sin procedimientos
para proveerse de información de
calidad?
frecuentes. Difícilmente. Como el resto de funciones en la empresa, precisa
información de calidad para desenvolverse de manera fiable.
En ausencia de procedimientos y herramientas ideadas con tal
propósito, puede llegar a desarrollar su labor con información
incompleta, lo cual es especialmente peligroso cuando se transmite
una sensación de control que no se corresponde con la realidad.
¿Son frecuentes las herramientas

internas de comunicación de
Compliance en las organizaciones?
Existen diversos tipos de procedimientos y/o herramientas
de comunicación en Compliance. Los más extendidos son
reuniones periódicas donde se intercambia información
crítica con áreas funcionales o unidades de negocio. Sin
embargo, el paso del tiempo degrada su eficacia, en el sentido
de no respetar su periodicidad o ser muy difícil congregar a
todas las personas que deberían estar presentes. Por eso,
en algunos casos, estas reuniones languidecen y terminan
desapareciendo.
En líneas generales, los procedimientos no formales
degeneran con rapidez, lo que explica por qué los procesos
críticos de negocio se formalizan a través de herramientas
diseñadas al efecto (formularios de reporte financiero, por
ejemplo). Los procedimientos de comunicación de Compliance
así entendidos (formales y soportados en herramientas) son
cada vez más frecuentes, proporcionalmente al incremento
de la sensibilidad con una gestión responsable.
18
¿Es normal que la mayoría de

riesgos de Compliance sigan un
procedimiento de urgencia?
No debería serlo. El procedimiento de urgencia no
debe convertirse en el procedimiento habitual. Cuando
es así, puede deberse a carencias de planificación o
Ocuparse previsión. Ocuparse constantemente de asuntos urgentes
constantemen- dificulta planificar y ejecutar actividades ordenadamente,
circunstancia que a su vez genera más asuntos urgentes. Es
te de asuntos un círculo vicioso típico de organizaciones que no disponen
urgentes de procesos estructurados de Compliance.
tiende a
convertirse ¿Es positivo dejar constancia de
en un círculo la entrega de los reportes de
vicioso en Compliance?
organizaciones
que no Sí. La evidencia documental sobre la existencia y entrega
disponen de los reportes de Compliance demuestra una supervisión
responsable y evidencia también la diligencia del
de procesos Compliance Officer. Si demuestra haber informado sobre
estructurados riesgos o circunstancias que han provocado daños, o incluso
de Compliance. propuesto planes de acción para su mitigación, normalmente
quedará acreditado el nivel de diligencia que se espera de
él. Cabrá preguntarse entonces por qué quienes recibieron
esas informaciones y disponían de capacidades legales de
actuación, no obraron para evitar o mitigar el incumplimiento.
¿Debe la función de Compliance

ejecutar todos los planes de acción?
La función de Compliance no es propietaria de todos
los riesgos de incumplimiento de la organización. De
hecho, afectan a funciones y unidades de negocio muy
variadas. Ciertamente, existen algunos riesgos y situaciones
donde deberá diseñar y ejecutar los planes de acción
correspondientes. Respecto del resto, que normalmente
serán la mayoría, ayudará en su diseño, valorará por tanto
su adecuación y monitorizará su ejecución, informado
periódicamente de su grado de evolución a través de los
reportes de Compliance.
19
¿Hasta dónde pueden llegar las

acciones disciplinarias internas?
El marco jurídico-laboral aplicable a los empleados es
un primer factor a considerar. Se tratará normalmente
de un régimen tuitivo respecto de los derechos de los
trabajadores, y sólo amparará acciones disciplinarias ante
supuestos de gravedad, proporcionales siempre a la
misma. Deberás procurar la documentación susceptible de
acreditar la infracción jurídico-laboral ante un procedimiento
administrativo o judicial, la autoría de la infracción, su
gravedad (consecuencias negativas para la organización o
terceros) así como su encaje en alguna modalidad permitida
por el marco normativo. En esencia, son estos parámetros
los que definen hasta dónde pueden llegar las acciones
disciplinarias internas, y que variarán según la jurisdicción
donde quieran aplicarse, pero también según tu capacidad
para mantener o localizar unas evidencias documentales
robustas.
20



tratamiento.

modelo.
21

Compliance

normas
éticos.


propósito.
22



obstructivas

organizaciones
23

19601
Madrid 2017

Alain Casanovas
Supremo
Madrid 2013

Alain Casanovas
Madrid 2012

Alain Casanovas
Madrid 2008
24
Responsabilidades
personales en
el ámbito del
Compliance
Alain Casanovas
09
de Compliance
www.asociacioncompliance.com Responsabilidades personales en Compliance

Compliance penal.

© 2018


2
Presentación Desde hace algunos años ha comenzado a diluirse la

distinción clásica entre la figura del administrador social,
sujeto a un amplio abanico de responsabilidades -algunas
con tintes de objetividad-, y la de los empleados en régimen
laboral, cuyo marco tuitivo les mantenía alejados de la
responsabilidad personal frente a terceros. Esta situación
venía heredada de un entorno de negocios sencillo, donde
la involucración directa de los administradores en la gestión
diaria facilitaba hacerles acreedores inmediatos de
cualquier responsabilidad por los daños derivados de sus
decisiones. Por contra, los emplados se limitaban a arrendar
su capacidad de trabajo y seguir instrucciones, a cambio de
un salario.
Sin embargo, hace tiempo que el tamaño de las organizaciones

dejó de permitir esta proximidad respecto de la gestión
operativa, no quedando más opción que delegar ciertos
cometidos a órganos o cargos especializados, ocupados
normalmente por personas con niveles de formación y
retribución acordes con la trascendencia de sus cometidos.
En este entorno, se aprecia la tendencia a individualizar las

responsabilidades, exigiendo un nivel de diligencia elevado
en ciertos perfiles aún cuando no ostentan la condición de
administradores sociales. Especialmente cuando de su
conducta no sólo se pueden derivar daños a la organización
sino también a terceros. En estos contextos, la acción de
responsabilidad instada por el perjudicado podría dirigirse
contra la sociedad, contra las personas cuya negligencia
ocasionó el daño (sean o no administradores), o contra ambos.
Se habla en estos casos de un régimen de responsabilidad
agravada para sujetos que, por motivo de cargo, ostentan
un deber especial de vigilancia o posición de garante.
Entre ellos puede estar el Compliance Officer, como señaló
una conocida resolución judicial alemana hace más de
una década. Es una tendencia que vemos reproducirse en
jurisdicciones de diferentes países y también recogerse en
algunas normas.
Como Compliance Officer, es imprescindible que conozcas

las tendencias que se observan en materia de responsabilidad
personal y evalúes el modo en que te pueden llegar a afectar.
Alain Casanovas
3
Índice
1. Diligencia debida de los Administradores

sociales
2. Acción de regreso contra los

Administradores sociales
3. Responsabilidades de la Comisión de
Auditoría
4. Responsabilidades del Compliance Officer
5. Pólizas de seguro: traspaso del riesgo
6. Enfoque de la responsabilidad
• Apéndice I: Sentencia del Tribunal de Milán

de 13 de febrero de 2008
• Apéndice II: Sentencia del BGH de 17 de

julio de 2009
4
1.
La diligencia que se espera en España de un ordenado
empresario incluye el conocimiento de las obligaciones legales
que afectan a su actividad, tal como ha reconocido en general
nuestra jurisprudencia, especialmente en organizaciones que
Diligencia operan en mercados regulados. Obrar sin diligencia les puede

reportar responsabilidad personal no sólo frente a la sociedad
debida de los sino también ante a sus accionistas y terceros perjudicados.
Administrado-
Delegación responsable
res sociales.
El crecimiento de las empresas y la complejidad del entorno de
negocios han propiciado que, desde hace ya años, el cometido
principal de los administradores en organizaciones grandes no
sea involucrarse en la gestión operativa –objetivo materialmente
imposible-, sino delegar parte de sus funciones y ejercer vigilancia
sobre aquellos que las desempeñarán. Es la noción de delegación
responsable, que va unida al concepto de “supervisión”,
considerada una responsabilidad esencial e irrenunciable de los
administradores. Por consiguiente, estos no sólo deben velar por
su conducta sino también por la de los órganos subordinados,
que actúan por delegación. En cualquier caso, puesto que
los administradores delegan pero no abdican de sus amplias
competencias ex lege, ostentan lo que jurídicamente se califica de
posición residual de garante.
La responsabilidad de supervisión enlaza con instituciones jurídicas

clásicas, como la diligencia in vigilando: deber de mantener el
control sobre las conductas que desarrollan otras personas por
motivo de jerarquía o de delegación. Los administradores tendrán
presente que delegar ciertas funciones no equivale a olvidarse de
ellas y, por ello, siempre mantendrán un hilo de responsabilidad.
Les conviene, pues, articular estructuras de supervisión -incluyendo
las de Compliance-, pues, no hacerlo, puede constituir un indicio de
delegación irresponsable.
5
Exposición personal de los

administradores
El hecho de que los administradores estén sujetos a la
responsabilidad que deriva de sus propios actos así como la de sus
subordinados, incrementa notablemente su exposición al riesgo
de ser objeto de reclamaciones por parte de la propia organización
y de terceros. En relación con ello, es muy probable que en algún
momento deban acreditar que dispusieron los medios adecuados
de supervisión sobre quienes observaron una conducta irregular y
ocasionaron daños.
Compliance y responsabilidad
personal de los administradores
Los principios de Gobierno Corporativo de la OCDE, por ejemplo,
consideran que es una función clave del Consejo asegurar
mecanismos de control apropiados para la gestión de riesgos y
el cumplimiento con la Ley. Actualmente, está fuera de dudas
que los administradores deben adoptar las medidas necesarias
para que sus organizaciones cumplan con las obligaciones legales,
disponiendo los modelos adecuados a tales efectos, especialmente
cuando vienen exigidos por el marco jurídico.
Es positivo que los administradores de tu organización sepan qué

se espera de ellos en materia de Compliance, y que les motives
a impulsar un modelo de organización y gestión robusto. Es
importante hacerles ver que no sólo redundará en un mayor confort
para la organización, sino también para ellos, a título personal.
No se comprenderá su despreocupación o inactividad respecto del
Compliance, cuando incluso puede ser determinante o agravante
de su responsabilidad personal.
6
2.
Disponer los medios para garantizar el cumplimiento de la legalidad
es una obligación inherente a todo administrador. Si bien esta
diligencia es inexcusable en cualquier contexto, todavía lo es más
cuando el marco jurídico así lo exige. En relación con ello, ten
Acción de presente que cada vez son más frecuentes las normas que exigen
estructuras de Compliance. En España, por ejemplo, disponer de
regreso modelos de Compliance penal es requisito sine qua non para optar
contra los a la exención de la responsabilidad criminal de la persona

jurídica.
Administrado-
res sociales. La Sentencia del Tribunal de Milán
La desidia de los administradores en impulsar modelos de
Compliance acordes con las exigencias legales es difícilmente
justificable, como ilustró una interesante sentencia dictada por
el Tribunal de Milán el 13 de febrero de 2008, que se adjunta por
traducción libre como Apéndice I de este Cuaderno. Una sociedad
italiana se vio perjudicada por la inactividad de su Consejero-
Delegado y Presidente del Consejo de Administración, a la hora
de activar las estructuras internas de prevención penal exigidas
por la normativa italiana. Dicha sociedad sufrió una sanción por
ello, que repercutió contra el administrador negligente, actuación
que fue refrendada por el indicado Tribunal. Evidentemente, los
fundamentos jurídicos se ciñen al marco legal italiano de ese
momento, pero ¿acaso esta negligencia quedaría impune en
cualquier otro ordenamiento moderno? En el español desde luego
que no.
En este sentido, el foco de exposición de los administradores

frente a responsabilidades derivadas del Compliance es amplio,
pues no sólo proviene de los terceros perjudicados sino de su
propia organización y los gestores que le sustituyan.
7
Auditorías y certificaciones
externas
Considerando la duración de los periodos de prescripción y
caducidad de las acciones legales contra las organizaciones y
sus dirigentes, ningún administrador debería dejar su puesto sin
haber dispuesto los mecanismos de Compliance que le brindarán
confort ante futuras acusaciones de negligencia. En este sentido,
las revisiones, certificaciones y auditorías externas de modelos
de Compliance no sólo acreditan de las bondades del modelo
implantado, sino, de paso, ayudan a evidenciar la diligencia y
el buen hacer de los administradores que los impulsaron ante
eventuales críticas posteriores.
8
3.
La Comisión de auditoría sólo es obligatoria para determinado tipo
de sociedades (normalmente cotizadas), aunque puede formarse
también de manera voluntaria. Pero, cuando existe, es preciso
conocer bien sus atribuciones y, por lo tanto, el nivel de diligencia
Responsabili- que se espera de sus miembros.
dades de la Capacidades de decisión y sus

Comisión de consecuencias
Auditoría. La Comisión de Auditoría es una comisión delegada el Consejo de
Administración. Por consiguiente, está integrada por administradores.
Cuando aglutina perfiles diferentes (no administradores), adquiere la
condición de Comité, pues ya no puede considerarse una “porción”
del propio Consejo de Administración.
Cuando la Comisión de Auditoría viene exigida por la Ley, deben

conocerse bien las competencias y responsabilidades que le
atribuye el marco jurídico. En algunos casos, como en el sistema
norteamericano, dispone de auténtico poder de decisión sobre
ciertas materias. Por lo tanto, no actúa por delegación, siendo
posible tejer un hilo de responsabilidad directa cuando el
ejercicio negligente de sus capacidades decisorias causa daños a
la organización o a terceros.
En otros sistemas jurídicos, como el español, la Comisión de Auditoría

tiene también competencias sobre determinadas materias, pero no
dispone de capacidades de decisión, lo que le ha granjeado el
calificativo de cuasi-órgano social. Esto significa que es el Consejo
de Administración el órgano que finalmente adopta decisiones
sobre las materias en que la Comisión de Auditoría ejerce previa
supervisión. Esta estructura refuerza la posición residual de
garante de todos los miembros del Consejo de Administración. No
obstante, ante incidentes de Compliance, sitúa en un escenario
9
especialmente delicado a aquellos de sus miembros que, además,

forman parte de la Comisión de Auditoría, dada su especialización
en el campo de la supervisión y el control.
Comisión de Auditoría y Compliance

Entre otras funciones, suele esperarse de la Comisión de Auditoría
un papel de liderazgo en el control de riesgos, cuando no existe
otro órgano específico que se ocupe de ello (como puede suceder
en la Banca, por ejemplo). Obviamente, entre los riesgos a controlar
se contarán los de Compliance.
Existe una línea de pensamiento que atribuye a la Comisión de

Auditoría competencias en supervisión de riesgos financieros,
y atribuye los que carecen de tal naturaleza a otras comisiones
delegadas del Consejo de Administración. No obstante, es una
clasificación algo artificial, pues la mayoría de riesgos de Compliance
son cuantificables, provisionables y tienen impacto en los Estados
Financieros de la organización. La mayor parte de textos legales
que definen las funciones de la Comisión de Auditoría recurren a
redactados amplios para dar cabida a la supervisión de riesgos
de cualquier naturaleza. Por eso, es un error considerar que la
Es un error
Comisión de Auditoría sólo debe cubrir la supervisión financiera,
especialmente cuando la Ley le otorga competencias más amplias.
considerar que Sucede algo parecido con la función de Auditoría interna, que
la Comisión de también suele vincularse con el aseguramiento de los controles
Auditoría sólo financieros, cuando su valiosa labor es igualmente susceptible de
debe cubrir la proyectarse sobre otros ámbitos igualmente críticos.
supervisión La existencia de modelos razonables de organización y gestión

financiera. en materia de Compliance es, pues, una materia muy vinculada
con la Comisión de Auditoría. Pero esto no significa que la deba
encarnar directamente, pudiendo limitarse a ejercer una adecuada
supervisión de las actividades desarrolladas por órganos ad-hoc
de Compliance.
10
4.
Quien causa un daño tiene la obligación de repararlo: es una
máxima de convivencia social y pilar clásico de los ordenamientos
jurídicos. Sin embargo, el enfoque tuitivo de la normativa
laboral unido a la obligación general de supervisión de los
Responsabili- administradores de sociedades, parece haber desdibujado ese

fundamento básico, abocando a un régimen dicotómico: de escasa
dades del exposición frente a terceros del personal laboral, pero muy amplia
Compliance de los administradores sociales.
Officer. Individualización de
responsabilidades
Los escándalos financieros de inicio de este siglo han demostrado,
en no pocas ocasiones, que vinieron propiciados por la relajación
en el ejercicio de las competencias propias de determinados
cargos, con obligaciones de supervisión y control. Esto avivó
el debate de la responsabilidad de dichos cargos, aun no siendo
administradores, y propició el incremento de su exposición personal
como forma de prevenir episodios análogos. En algunos ámbitos,
como el de la prevención de conductas penales, se observa una
clara tendencia a individualizar responsabilidades, de forma que
quien haya cometido un daño no quede libre de castigo por hallarse
bajo la cobertura de una organización.
En esta clave que se comprenden ciertas normas promulgadas desde

entonces, que hacen hincapié no sólo en la necesidad de mejorar
el control interno sino también en la involucración personal de
aquellos sujetos con atribuciones en vigilancia y control. Esta
tendencia se observa tanto en normas como en pronunciamientos
jurisprudenciales producidos en países y contextos distintos.
11
La Sentencia del Tribunal Federal

de Alemania
Es paradigmática la sentencia del Tribunal Federal de Alemania
(BGH) de 17 de julio de 2009, cuya traducción libre se adjunta como
Apéndice II de este Cuaderno. Aunque es un pronunciamiento
muy célebre entre estudiosos del Compliance, es poco conocido
por el público general. La sentencia dictamina la responsabilidad
personal del Compliance Officer de una organización por no haber
desarrollado sus cometidos de manera diligente. La sentencia
no sólo es significativa por ello, sino también porque subraya
los cometidos que cabe esperar de esta figura, anticipándose
muchísimo a su tiempo. Así, establece que no sólo debe velar por
aquellos daños que pueda sufrir la organización, incluidos los
reputacionales, sino también evitar los que aquella pueda causar
a terceros.
Esto confirma la tendencia a individualizar responsabilidades,

diluyendo el tópico de que los únicos responsables de los
Se diluye desórdenes corporativos son sus administradores, y amplía la

posibilidad de sanciones directas contra quienes, con su conducta
el tópico negligente, ocasionan daños a terceros.
de que los
administrado- Aunque esta tendencia observa un desarrollo desigual en diferentes
res sociales países -debido a su respectiva tradición jurídica-, es difícil que
son los únicos

puedan abstraerse por completo de ella, máxime cuando existen
instituciones jurídicas bastante comunes que permiten aplicarla
responsables sin necesidad de introducir cambios normativos drásticos.
de los En particular, aquellos cargos a los que se exige determinada
desórdenes formación (especialmente superior) y cuyos cometidos incluyen
corporativos. deberes expresos de vigilancia y control (sea por vía contractual
o por descripción funcional) son claros candidatos a experimentar
personalmente sus consecuencias.
Toma seriamente en consideración tu nivel de exposición actual

a reclamaciones por motivo de cargo y analiza el modo en
que puedes verte afectado por ellas. En cualquier caso, impulsa
iniciativas de mejora que ayuden a acreditar tu diligencia, llegado
el caso.
12
5.
En la doctrina clásica de gestión de riesgos, una de las opciones que
se barajan es su traspaso. Esto significa que el riesgo no desparece,
pero se traslada a un tercero. Las pólizas de seguro canalizan esta
posibilidad, de modo que frente a la materialización de un riesgo
Pólizas de (siniestro) brindan la cobertura pactada con el asegurado.
seguro: Como sabes, existen pólizas de seguro que cubren la responsabilidad
traspaso del ante daños causados a terceros, e incluso otros gastos asociados
(defensa jurídica, etc.). En el ámbito de las empresas, son conocidas
riesgo. las llamadas pólizas de cobertura a D&O, destinadas a cubrir
las responsabilidades propias de administradores y directivos
(“Directors and Officers”). Sin embargo, no todo es asegurable.
La mayor parte de ordenamientos restringen la actividad

aseguradora en la esfera criminal, por motivos de orden público.
Teniendo el Derecho penal una vertiente punitiva, es lógico que se
quiera evitar que sus sanciones puedan ser aseguradas, perdiendo
su carácter penalizador del sujeto infractor. Por ello, los riesgos de
naturaleza penal rara vez pueden ser objeto de cobertura mediante
una póliza de seguro. Es cierto que algunos servicios ofrecidos
por las sociedades aseguradoras cubren los gastos de defensa
jurídico-penal o incluso las fianzas exigidas por las autoridades
mientras no exista una sentencia firme.
Es importante que tanto los administradores como el equipo

directivo (incluyendo al Compliance Officer) adquieran conciencia
de que las pólizas de seguro suscritas posiblemente se limitan a
cubrir una parte de sus responsabilidades por irregularidades en
Compliance. En este sentido, el único modo de obtener un nivel
aceptable de confort es disponiendo y acreditando estructuras de
Compliance robustas.
13
6.
Según he explicado en los apartados anteriores, los daños
ocasionados por el incumplimiento de las normas pueden
provocar responsabilidades personales en un amplio espectro
de sujetos dentro de la organización. Sin embargo, no se tratará
Enfoque de la necesariamente de una responsabilidad solidaria.
responsabilidad. Si el incumplimiento se debe a la inexistencia o inadecuación del

modelo de Compliance, la responsabilidad tenderá a dirigirse a
los administradores sociales, pues forma parte de sus cometidos
impulsar modelos de organización y gestión (supervisión) que
garanticen el desarrollo de las actividades de manera ética y legal.
En esencia, es este el planteamiento de la Sentencia del Tribunal
de Milán, adjunta a este Cuaderno como Apéndice I. Difícilmente
se comprenderá su relajación en este aspecto tan importante en el
entorno socio-económico actual.
Además, cuando la supervisión de los mecanismos de control interno

se atribuye a la Comisión de Auditoría, puede ser igualmente difícil
justificar su pasividad o negligencia en materia de Compliance. Tal
circunstancia le expone especialmente.
Existiendo un modelo de Compliance razonable, se espera del

personal encargado de su operación (el Compliance Officer y
su equipo) una conducta diligente y alineada con su contenido,
pudiendo llegar a asumir personalmente las consecuencias que
se deriven de sus actos u omisiones cuando produzcan daños a la
organización o a terceros. Este es, en esencia, el planteamiento
de la sentencia del Tribunal Federal de Alemania, adjunta a este
Cuaderno como Apéndice II.
Ten presente este esquema básico de ubicación de responsabilidades

y trata de que los cargos indicados conozcan la importancia de
promover una cultura ética y de respeto a las normas a través de un
modelo razonable de Compliance.
14
7.
Preguntas
¿Cómo puede un administrador
demostrar diligencia debida en
materia de Compliance?
Un administrador diligente dispondrá los medios necesarios para
frecuentes. que las operaciones de negocio se desarrollen dentro del marco de la
legalidad. Si, por el tamaño de la organización u otras circunstancias,
no puede asumir dicha obligación personalmente, cabrá esperar
una delegación responsable a los órganos adecuados. Será
positivo que los modelos de Compliance así impulsados observen
los principios y buenas prácticas de los marcos de referencia que
actualmente conforman el estado del arte en esta materia. Bajo
esta premisa, un tercero independiente puede revisar, auditar o
certificar el modelo de Compliance y generar confort tanto a los
administradores como a terceros.
¿Cómo puede un administrador

reducir la posibilidad de acciones
de regreso ante los daños causados
por un incidente de Compliance?
Un incidente de Compliance no es, por sí solo, evidencia irrefutable
de la falta de diligencia ni de los administradores ni de las demás
personas relacionadas con la supervisión. Sin embargo, conforma
un escenario propicio para cuestionar su diligencia. Respecto
de los administradores, siempre será de utilidad disponer de la
opinión de un tercero independiente acerca de la razonabilidad
del modelo de Compliance.
15
¿Es la Comisión de Auditoría

un órgano que debe dedicarse
exclusivamente a la supervisión de
riesgos financieros?
No necesariamente. Aunque se trata de un entendimiento bastante
difundido e incluso amparado por algunos textos sobre gobernanza,
lo cierto es que las leyes que regulan las funciones de la Comisión
de Auditoría le suelen otorgar competencias amplias en materia de
supervisión de los mecanismos de control de riesgos (en general).
Tal circunstancia hace difícil desvincular su labor con el Compliance,
que se proyecta sobre una especificidad de riesgos, susceptibles,
además, de impactar significativamente en los Estados Financieros.
¿Cómo puede tener responsabilidad

el Compliance Officer si depende
y sigue las instrucciones de los
administradores sociales?
El Compliance Officer debe operar de forma diligente el modelo
de Compliance fijado por la organización. Este nivel de diligencia
implica desarrollar correctamente las actividades que le atribuya
dicho modelo y los procedimientos establecidos al efecto. Esto
incluye realizar reportes al órgano de gobierno y máxima dirección,
así como escalar rápidamente la comunicación de los riesgos para
evitar su materialización. En alguna jurisdicción, este escalado
puede incluso derivar en un “noisy withdrawal” o renuncia al
cargo comunicada al regulador, cuando se han agotado las vías
internas de comunicación sin que se hayan adoptado las medidas
necesarias para prevenir o mitigar el daño. Sin necesidad de llegar
a estos extremos, lo cierto es que el Compliance Officer cumple
razonablemente su cometido cuando, habiendo desarrollado
las actividades encomendadas, reporta el resultado conforme
al procedimiento definido al efecto. En este sentido, un modelo
de Compliance adecuadamente diseñado le facilitará esta labor,
estableciendo una proximidad a los órganos de gobierno y canales
fluidos de comunicación con ellos. Por su parte, el órgano de
gobierno se cuidará de facilitar a la función de Compliance los
elementos de autonomía e independencia que le permitan
desarrollar sus cometidos con eficacia, incluyendo los recursos
económicos precisos. Los incumplimientos provocados por déficits
en dichos elementos, probablemente apuntarán más hacia la
inadecuación del modelo que a su operación negligente.
16
¿Qué garantiza que se vayan a

exigir responsabilidades a las
personas adecuadas?
Considerando las tendencias legislativa y judicial a individualizar
responsabilidades, posiblemente ganará importancia el análisis de
la diligencia que cabe esperar de los diferentes puestos en el seno
de las organizaciones, sean o no administradores. De este modo,
ante daños ocasionados por irregularidades de Compliance, la
inexistencia o falta evidente de adecuación de un modelo apuntará
a la responsabilidad de quien debió impulsarlos. Sin embargo,
acreditada la idoneidad de dicho modelo, el análisis de diligencia se
proyectará sobre aquellos cargos encargados de operarlo. Puesto
que este análisis precisa conocimientos cada vez más técnicos
en materia de Compliance, posiblemente los órganos judiciales y
arbitrales se valdrán de la opinión de expertos que considerarán las
circunstancias de la organización y evaluarán el modo de proceder
de unos y de otros.
17
Apéndice I Tribunal de Milán - Sección VIII de
lo civil.
Sentencia del
Tribunal de Sentencia núm. 1774 del 13 Febrero
Milán de 13 de 2008.
de Febrero de El Tribunal entiende que la demanda de la actora está parcialmente
2008. fundada y que merece, por lo tanto, ser estimada en los términos
siguientes:
Traducción libre, con
Se discute en el juicio de la responsabilidad del demandado
resaltados y formato
administrador con la petición formulada ante este Tribunal de que
distinto del texto dicte condena genérica (sin que haya oposición de la parte contraria
original. Eliminadas sobre este punto).
las partes inicial y
final del texto. Resulta pacífico entre las partes:
1. Que el demandado fue Presidente del Consejo de Administración
y Consejero Delegado de la sociedad actora desde el 29.06.1992
al 18 de mayo de 2004;
2. Que la sociedad actora fue sometida a una investigación al no
disponer, en el mencionado período de tiempo, de un adecuado
modelo organizativo y de gestión de acuerdo con el D.Lgs. núm.
231/2001 y que debido a ello, tras conmutación de la pena, se
concluyó en la imposición de una sanción de 64.000,00 euros;
3. Que el demandado fue procesado por delitos de corrupción,
manipulación de subasta y estafa, cometidos en el marco del
mencionado cargo administrativo y, en tal contexto, se le aplicó
una condena de privación de libertad.
Siendo este el marco de los hechos asumidos por ambas partes,

se discute entre ellas, a continuación, el presunto hecho invocado
por la actora según el cual el demandado habría incurrido en
18
responsabilidad por inadecuada actividad administrativa y debería

en tal contexto sufrir la condena genérica a la indemnización de los
daños causados.
El Juez que suscribe entiende que tal pretensión está fundada

dentro de los límites siguientes:
Cabe decir, ante todo, que la responsabilidad del demandado por

los ilícitos constitutivos de las imputaciones penales mencionadas
(y que, ciertamente, componen también los requisitos de una mala
gestión relevante a efectos civiles) se deriva de una pluralidad de
elementos concurrentes:
• En primer lugar, las declaraciones emitidas en procedimiento
penal en el que el demandado reconoció que “... en lo que se
refiere al dinero entregado a Z. y a W. en parte lo tomé de la
caja de X SPA ... Después reintegré lo retirado de la caja de X
SPA a través de los depósitos del conocido como “Scheletro”
[esqueleto, sic].
• Además, cabe considerar la petición de conmutación de la pena
que más adelante se obtuvo.
• Finalmente, (“last, but no least”), la misma posición defendida
en este procedimiento, en la que los hechos que se le atribuyen
no fueron, en realidad, discutidos por el demandado, quien se
defendió, exclusivamente, invocando la corresponsabilidad en
los hechos (que no excluyen su propia responsabilidad) y con
apreciaciones dirigidas a la minimización del daño (del que
hablaremos más adelante).
Además, cabe decir que, según el Tribunal, en concurso con la

acción dañina del demandado aparece, como causa concurrente
a los lamentables daños, también el comportamiento de la
sociedad actora (art. 1227 código civil), la cual, durante largo
tiempo, a través de la acción colusoria de todos sus órganos, tanto
de decisión (de hecho o de derecho) como de control, primero,
creó un sistema de “fondos en negro” para financiar actividades
ilícitas y, a continuación, desarrolló ampliamente tales actividades,
beneficiándose de los correspondientes resultados, todo ello sin
activar las responsabilidades del resto de sujetos implicados.
Hecha mención pues a las peculiaridades del caso en cuestión,

este Tribunal considera que tales responsabilidades concurrentes
de la actora y la demandada deben entenderse de forma paritaria
(50% y 50%) en la producción del daño que se lamenta.
Dicho esto, en general acerca de la carga de demostrar el hecho

perjudicial y pasando, ahora, al análisis de cada una de las imputaciones
de la actora, cabe decir, siempre únicamente en el contexto de
condena genérica que se ha solicitado a este Tribunal, que:
19
a. en lo referente a la falta de adopción de un adecuado modelo

organizativo, por un lado, el daño aparece como indiscutible
atendiendo al pago de la sanción pactada y, por el otro, resulta
igualmente indiscutible el concurso de responsabilidad del
demandado que, como Consejero Delegado y Presidente
del Consejo de Administración, tenía el deber de activar este
órgano que, en cambio, permaneció inoperante;
b. en lo que se refiere a las retiradas indebidas de fondos de la caja
de la sociedad, estas, como se ha dicho, han sido reconocidas
en procedimiento penal y corresponderá pues a los jueces
competentes la determinación del importe efectivamente debido
o su efectiva restitución;
c. en lo que respecta al daño referido a la disminución de la
facturación y a la presunta pérdida de oportunidades [de negocio],
por una parte, no se ha aportado la prueba, aunque genérica,
necesaria ante este Tribunal y, por otra parte, una tal disminución
aparece como consecuencia más que natural de las prácticas
anteriores de adquisición ilícita de la facturación misma.
Estas consideraciones convencieron al Tribunal de la fundamentación

parcial de la demanda y justifican que la misma sea acogida en los
términos mencionados, es decir, únicamente en medida de la mitad
de los daños sufridos y en cuanto a la falta de adopción de un
modelo organizativo así como en orden a las retiradas indebidas de
fondos de la caja de la sociedad.
En lo que atañe a la atribución de costas procesales (art. 91 del

Código de Procedimiento Civil), se considera equitativo liquidar tales
costas a favor del actor, en la suma de 321,83 euros por gastos y
en la medida de 10.000,00 euros en concepto de tasas y honorarios
profesionales que la demandada deberá pagar, atendiendo al hecho
de que se falla en su contra solo parcialmente, únicamente en la
medida de un cuarto.
Por todo lo anterior:
El Tribunal, pronunciándose sobre la demanda, rechazando cualquier

otra petición o excepción;
Acoge parcialmente la demanda presentada por la actora y, por

efecto de la misma, condena genéricamente a la demandada a
indemnizar a la actora en atención de los daños sufridos por esta
última de acuerdo con la falta de adopción de un modelo organizativo
adecuado y por las retiradas indebidas de fondos de la caja de la
sociedad;
Condena a la parte demandada a satisfacer a la actora el pago de

un cuarto de los gastos del presente procedimiento que ascienden a
2.830,45, aplicándose el IVA y el CPA (mutualidad de la abogacía).
20
Apéndice II Tribunal Federal (BGH).
Sentencia del Sentencia del 17 de Julio de 2009.
BGH de 17 de Fundamentos:
Julio de 2009. 1. El Tribunal regional condenó al acusado W. por complicidad
Traducción libre, con (por omisión) en estafa a una multa pecuniaria de 120
resaltados y formato tasas diarias y consideró 20 tasas diarias pagadas en
concepto de compensación por la excesiva duración del
distinto del texto
juicio. El recurso interpuesto por el acusado, fundamentado
original. Eliminadas en errores formales y reclamaciones materiales, es
las partes inicial y desestimado.
final del texto.
2. El Tribunal regional ha llegado a las siguientes conclusiones
y consideraciones:
3. El acusado trabajó desde 1989 como jurista titular de

dos exámenes de Estado en la empresa de servicios
municipales de limpieza Berliner Stadtreiniungsbetriebe (en
adelante, BSR) y, desde principios de 1998, desempeñó la
función de jefe del departamento responsable de asesorar
al gremio (Gremiumbetreuung) y de jefe del departamento
jurídico. Desde 2000 hasta finales de 2002 fue responsable
de la Revisión Interna. A BSR, una empresa de derecho
público, correspondía el servicio de limpieza de los viales
con conexión y utilización obligatorias para los propietarios
de los terrenos colindantes. Las relaciones jurídicas
fueron de derecho privado; sin embargo, para el cálculo
de los salarios, se aplicaba el principio de equivalencia y
de cobertura de gastos como base jurídico-pública de la
determinación de las tarifas.
21
4. De acuerdo con lo establecido en la ley de limpieza de los

viales de Berlín, los propietarios de los terrenos colindantes
tenían que correr con el 75 % de los gastos resultantes de
la limpieza de los viales; el 25 % restante de los costes
lo asumía el Estado federado de Berlín (art. 7, apartado
1). Los gastos originados por la limpieza de los viales sin
vecinos corrían totalmente a cargo del Estado federado de
Berlín (art. 7, apartado 6). Las tarifas se fijaron basándose
en una estimación de los gastos, y se establecieron cuatro
categorías en función de la frecuencia de la limpieza.
El reglamento de tarifas, pendiente de aprobación por
la dirección y el consejo de administración, lo redactó
el grupo de proyecto encargado del cálculo de tarifas
“Tarifkalkulation” cuyo jefe fue el acusado W. Al calcular las
tarifas correspondientes al periodo 1999-2000 se incluyó
por error en el cálculo de las tarifas el 75 % de los costes
de la limpieza de los viales sin vecinos, que habrían tenido
que sufragarse por el propio Estado federado de Berlín.
Después de detectar el error, este no se corrigió.
5. La dirección general de BSR formó un nuevo grupo de

proyecto para el periodo tarifario 2000-2001. El acusado W.
no formó parte de este nuevo grupo. Lo dirigió el señor H.,
igualmente acusado en el juicio anterior, que trabajaba en el
mismo departamento y dependía directamente del acusado
W. Este participó en persona en algunas reuniones del
nuevo grupo de proyecto, que se propuso corregir el error
de cálculo del periodo tarifario anterior. Pero siguiendo las
instrucciones del anterior coacusado G,, no se procedió a
la corrección. La tarifa, en cuya base de cálculo se incluían
también los viales sin vecinos, fue aprobada por la dirección
y el consejo de administración de BSR. Se explicaron las
diferentes tarifas, pero no se informó sobre la inclusión de
los viales sin vecinos. El acusado W., que conocía el error
de cálculo, no estuvo presente en la reunión de la dirección
general. Levantó las actas en la reunión del consejo de
administración, pero el Tribunal regional no pudo probar una
involucración más activa. El acusado W. no informó en lo
sucesivo ni a su superior directo, el Sr. D., presidente
de la junta directiva, ni a otro miembro del consejo de
administración. La administración del Senado aprobó la
tarifa, pero reclamó a BSR una revisión del cálculo. Sobre
la base de la tarifa aprobada se cobró a los propietarios de
los terrenos colindantes un total de 23 millones de euros en
exceso, pagados por la gran mayoría de los propietarios.
6. El Tribunal regional consideró el comportamiento del

anterior coacusado G. estafa como autoría mediata
en relación con todo el periodo tarifario 2001-2002. El
acusado W. fue cómplice. No se pudo probar sin lugar a
22
dudas una autoría directa del acusado W., que conocía

el error en el cálculo de la tarifa. No obstante, cometió
el delito de complicidad por omisión. La posición de
garante en el sentido del art. 13 del Código Penal alemán
resulta del hecho de que en calidad de jefe del grupo de
proyecto “Tarifkalkulation” fue responsable del error de
cálculo cometido en el periodo anterior y de su obligación
de corregir este error en el periodo tarifario inmediatamente
posterior. También implicó una posición de garante su
cargo de jefe de Revisión Interna. En esta posición estuvo
obligado a garantizar el cumplimiento de las disposiciones
legales también en defensa de los propietarios obligados a
pagar estas tarifas. Puesto que el acusado W. ha tolerado
la actuación del anterior coacusado G., solo incurrió en
complicidad intencional.
7. El recurso del acusado W. carece de fundamentos.
8. Se desestiman las alegaciones de un vicio procesal.
9. a) El apercibimiento de ocupación no contiene ningún error

de derecho. Tal como especificó el Senado en su decisión
del 24 de marzo de 2009 (NStZ 2009, 342; comentario
al respecto de Volkmer, NStZ 2009, 371) en relación con
su propia composición, un arrendatario al que se pueden
imputar las tarifas de la limpieza de acuerdo con las
estipulaciones contractuales no incurre en infracción en
el sentido del art. 22.1 en relación con el art. 338.2 del
Código Penal alemán. Contrariamente a la opinión de la
parte recurrente, el hecho de que el padre del juez We.
participe en un fondo organizado por una sociedad de
derecho privado no constituye un motivo de exclusión. Este
fondo per se no es propietario, sino que es una sociedad
de responsabilidad limitada la que administra la propiedad
en fideicomiso. Los intereses económicos del padre del
juez We., afectados de forma solamente indirecta a través
del fondo y la administración fiduciaria, no son un motivo
suficiente para una exclusión conforme al art. 22.3 del
Código Penal alemán.
10. b) El Tribunal regional denegó la solicitud de llamar a

declarar al testigo R. sin incurrir en error de derecho. La
defensa solicitó la declaración de este testigo, que sustituyó
al acusado en el cargo de jefe de Revisión Interna, como
prueba de las condiciones generales que caracterizan a la
Revisión Interna y de las relaciones de esta con la dirección.
El Tribunal regional desestimó la prueba solicitada, porque
consideró que el organigrama de la Revisión Interna y la
cuestión de las inspecciones que se están llevando a cabo
en la Revisión Interna no tienen efecto sobre la posición de
garante.
23
11. Esta decisión del Tribunal regional no da lugar a

reclamaciones. En lo que concierne a la posición de
garante, no tiene ninguna importancia el hecho de que la
Revisión Interna haya verificado el cálculo de las tarifas o
la incapacidad de esta de verificarlo debido a su escaso
personal. El Tribunal regional no dedujo la posición de
garante de una verificación concreta de las tarifas, sino
que se basaba en el cargo de jefe de la Revisión Interna
que ocupó el acusado e implicaba una responsabilidad
especial de impedir fraudes al fijar las tarifas.
12. c) Se desestima la alegación de la defensa de que el Tribunal

regional no escuchó la opinión de todos los propietarios
de los terrenos colindantes (aproximadamente 170.000
personas) con respecto al importe facturado ilegalmente
en exceso de BSR. La Sala de lo Penal consideró esta
solicitud como mera solicitud de pruebas.
13. aa) Esta consideración no da lugar a reclamaciones.

Contrariamente a lo que opina la defensa, el Tribunal
regional no consideró estimable esta solicitud en
conformidad con el art. 244 apartado 3 del Código Penal
alemán, simplemente porque no se indicó a los testigos
con nombre y dirección postal completa. Pero este requisito
es necesario (BGHSt 40, 3, 7; resolución del 28 de mayo
de 2009 – 5 StR 191/09, a publicar en BGHR StPO art.
244 apartado 6, Beweisantrag (Solicitud de pruebas)).
Como excepción se admite el caso de que el acusado no
estuviera en condiciones de indicar la dirección completa.
Pero en este caso no es así. El acusado habría podido
indicar varios propietarios de los terrenos colindantes
junto con la dirección completa, haciendo uso de sus
propios conocimientos, pero no lo hizo. Sin duda, podría
haber averiguado estos datos consultando a su empresa
empleadora y haberlos presentado ante el Tribunal regional.
14. bb) En cuanto al asunto del caso, el Tribunal regional

tampoco estuvo obligado a estimar la solicitud de pruebas.
En una declaración que se refería esencialmente a una
reclamación de pago, tal y como especificó con anterioridad
el Senado en su resolución del 9 de junio de 2009 referente al
coacusado G. en el mismo caso, es suficiente para producir
error en el sentido del art. 263 del Código Penal alemán si
los destinarios partían de la idea general de que el cálculo
de las tarifas era correcto. Los diversos destinatarios de las
facturas no se forman una imagen diferenciada. Por eso las
circunstancias del presente caso difieren de las decisiones
adoptadas por el Tribunal Federal (BGHR StGB art. 263,
apartado 1, Irrtum (Error) 9, 11), a las que se refiere el recurso
y cuyo objeto son las facturas o transferencias a revisar por
los perjudicados. Estos casos no son comparables con el
24
caso presente por el mero hecho de que la reclamación

de pago en este caso no representa para los respectivos
propietarios de los terrenos colindantes una explicación
económicamente importante y llamativa. Por lo tanto, los
diversos destinatarios únicamente podían partir de la idea,
formada por la conciencia constructiva y complícita, de que
la factura no sería fraudulenta.
15. cc) Esta idea formada por los destinatarios, basándose

esencialmente en las normas, la corroboró el Tribunal
regional, después de escuchar a varios testigos que
confirmaron este resultado con sus declaraciones.
Considerando este resultado, sobre todo en relación con
el carácter indisociablemente vinculado de los hechos, no
era necesario escuchar más testigos para esclarecer los
hechos. El hecho de que el Tribunal regional solo haga
constar las declaraciones de tres de estos testigos en los
fundamentos de derecho no infringe los artículos 261 y 267,
apartado 1, inciso 2, del Código Penal alemán. El tribunal
no está obligado a documentar las declaraciones de todos
los testigos.
16. 2. El recurso del acusado no demuestra ningún error de

derecho incurrido en su protesta material.
17. a) En relación con el recurso interpuesto contra la valoración

jurídico-penal del hecho principal como complicidad
por omisión en estafa, el Senado hace referencia a su
resolución adoptada en fecha 9 de junio de 2009 contra el
coacusado G. Las alegaciones de la defensa no dan lugar
a más explicaciones por parte del Senado en relación con
los supuestos de delito de estafa o con la no procedencia
de las disposiciones legales de los artículos 352 y 353 del
Código Penal.
18. Contrariamente a lo que opina la defensa, queda probado

que el acusado tenía conocimiento del hecho principal.
Según lo que averiguó el Tribunal regional, el señor H., que
dependía directamente del acusado, informó a este sobre
la intención del señor G. de “seguir actuando como si no
existiera ningún error”. Además, el acusado levantó acta
en la reunión del consejo de administración en la que el
señor G. presentó las tarifas calculadas incorrectamente y
se decidió aprobar dichas tarifas.
19. b) La sentencia que condena al acusado por complicidad

en estafa es, en resumen, acorde a la ley. El Tribunal
regional ha constatado con razón una posición de garante
del acusado.
25
20. aa) No obstante, esta posición no resulta por el simple

hecho de que el acusado hubiera dirigido la comisión de
tarifas durante el periodo de facturación anterior (no objeto
del juicio). Es cierto que esta comisión ya cometió el error
de incluir los viales sin vecinos en la tarifa, pero de ello no
resulta una posición de garante.
21. Una posición de garante entraría en consideración si

se hubiera creado realmente una situación de peligro
(injerencia). Sin embargo, la infracción previa de un deber
solamente da lugar a una posición de garante si esta
infracción crea un peligro inminente de que se realice
un tipo penal comisivo (BGHR StGB art. 13, apartado 1,
Garantenstellung (Posición de garante), 14; BGH NJK
1999, 69, 71, como complemento a lo impreso en BGHSt
44, 196; BGH NStZ 2000, 583). En este caso no existió
tal peligro inminente. El hecho de que hubiera un error en
la fijación anterior de las tarifas no significa que este error
tuviera que existir en el siguiente periodo tarifario. Esto es
así, a no ser que exista un peligro mayor de que el error
en la base del cálculo siga sin detectarse por la ausencia
de una nueva revisión objetiva y la base de cálculo
errónea sirva de base para la nueva fijación de tarifas, sin
cuestionarla. Para tal práctica no hay pruebas. Al contrario,
la tarifa correspondiente al periodo siguiente se vuelve a
calcular por completo. La responsabilidad exclusiva de la
nueva comisión de tarifas ya contradice el supuesto de una
posición de garante por injerencia (véase Roxin, Strafrecht
(derecho penal) AT II 2003, pág. 773). Puede que haya cierto
peligro, fundamentado en razones psicológicas, de repetir
este error a fin de ocultar el error cometido con anterioridad.
Sin embargo, esta motivación por sí sola no es suficiente
para justificar una posición de garante. La nueva tarifa se
fija de modo independiente basándose en los datos marco
relevantes, sin relación con la base de cálculo aplicada en
los periodos anteriores, cuyo error podría haber quedado
ocultado. Sin la intervención del acusado, no se habría
repetido el error automáticamente en el periodo tarifario
siguiente. Esto queda patente también porque la nueva
comisión de tarifas no quería repetir este error por iniciativa
propia, sino que fue motivada a hacerlo por la intervención
del anterior coacusado G. .
22. bb) En lugar de ello, el Tribunal regional ha deducido con

razón la posición de garante del acusado W. de su cargo
de jefe del departamento jurídico y de la Revisión Interna.
23. (1) La asunción de un área de competencia puede

implicar una obligación de garantía en el sentido del
art. 13, apartado 1, del Código Penal alemán. La posición
de garante resulta del supuesto de que la persona
26
depositaria de un deber de tutela en relación con

cierto peligro (véase Roxin, Strafrecht (derecho penal)
AT II 2003, pág. 712) tiene una “responsabilidad especial”
de la integridad del área de competencia asumida (véase
Freund en MünchKomm, StGB art. 13, nota marginal 161).
Evidentemente, la distinción general entre las obligaciones
de protección y las de control en este contexto no tiene
gran importancia, ya que la obligación de control tiene
por objeto la protección de un bien jurídico concreto y,
viceversa, una protección sin el control correspondiente del
objeto a proteger apenas es imaginable (véase BGHSt 48,
77, 92). La cuestión relevante es la definición del área de
competencia asumida por el obligado. No importa en este
caso la forma legal de la transferencia del deber, sino su
contenido teniendo en cuenta su base normativa (véase
BGHSt 43, 82).
24. La jurisprudencia ya ha reconocido posiciones de

garante deducidas de la asunción de ciertas funciones
en una serie de casos. Estos casos no solamente se
limitan a los representantes estatales o comunales que
tengan la obligación de proteger la vida y la integridad
física de los ciudadanos o de las personas de su ámbito
de responsabilidad (BGHSt 38, 325, 48, 77, 91), sino que
también incluyen agentes de policía (BGHSt 38, 388),
funcionarios de la autoridad de orden público (BGH NJW
1987, 199) y el personal penitenciario (BGH NJW 1983,
462). Una posición de garante también se fundamenta si
la persona en cuestión desempeña una función prevista
en la ley (véase OLF Frankfurt NJW 1987, 2753, 2757;
Böse NStZ 2003, 636) como concejal de la protección
del medio acuático (artículos 21a y siguientes de la
WHG (Ley del Régimen Hidráulico)), de la protección
atmosférica (artículos 53 y siguientes BImSchG (Ley
federal de la Protección Atmosférica)) y de la protección
radiológica (artículos 31 y siguientes del StrahlenschutzVO
(Reglamento de Protección Radiológica)).
25. La asunción de estas obligaciones de control y protección

también puede ser resultado de un contrato de servicios. En
este caso, el mero contrato de servicios evidentemente no
es suficiente, pero la asunción de un área de competencia
sí que es relevante para fundamentar una posición de
garante. No obstante, una posición de garante en el
sentido jurídico-penal no se puede deducir de cualquier
transferencia de obligaciones. Además, suele haber una
relación de confianza que motive a quien delegue las
funciones a transferir al obligado responsabilidades de
protección especial (véase BGHSt 46, 196, 202 f.; 39,
392,399). Un mero contrato de cambio o contrato laboral
27
por sí solos no son suficientes (Weigend in LK 12.ª

edición, art. 13, nota marginal 41). En el presente caso, el
acusado tuvo sin duda una posición de garante por el
área de competencia asumida. Contrariamente a lo que
opinan la defensa y la Fiscalía Federal, la obligación de
garantía no se limitaba a impedir solamente daños y
perjuicios materiales a su empresa, sino que también
incluía actuar contra delitos cometidos desde la propia
empresa contra sus abonados.
26. (2) El contenido y el alcance de la posición de garante

se definen por el área de competencia concreta
asumida por el responsable. Hay que tener en cuenta
las condiciones especiales de la empresa y el objeto del
cargo. Este objeto es decisivo porque define si la posición
de garante se limita a optimizar los procesos internos de
la empresa y a detectar e impedir infracciones del deber
cometidas contra la empresa, o bien si el responsable
también tiene obligaciones de detectar e impedir infracciones
cometidas por la empresa. Se deben considerar estos
criterios al valorar la descripción del cargo.
27. Tal práctica, recién denominada compliance en

grandes empresas, se lleva a cabo en el mundo
económico con programas de cumplimiento, creando
los así llamados compliance officers (véase BGHSt 52,
323,335; Hauschka, Corporate Compliance 2007 pág. 2
y siguientes). Su área de competencia incluye impedir
infracciones legales, especialmente delitos punibles,
que se cometan desde la empresa y que puedan
causarle graves daños por el riesgo de incurrir en
responsabilidades o por pérdida de prestigio (véase
Bürke en Hauschka, Corporate Compliance 2007 pág. 128
y siguientes). Estos compliance officers normalmente
tendrán una posición de garante en el sentido del
art. 13, apartado 1, del Código Penal alemán, estando
obligados a impedir delitos punibles cometidos por los
empleados de la empresa en relación con la actividad
de esta, como parte de su responsabilidad asumida
ante la dirección de la empresa de impedir infracciones
legales y especialmente delitos punibles (véase Kraft/
Winkler CCZ 2009, 29, 32).
28. Una responsabilidad tan amplia no nos consta en el

caso del acusado. Se constata que el acusado fue en
calidad de jurista jefe del departamento jurídico y, al
mismo tiempo, jefe de la Revisión Interna. Dependía
directamente del presidente de la junta directiva. Es cierto
que las competencias del jefe de la Revisión Interna y las
del compliance officer se solapan en gran medida (véase
Bürkle en Hauschka, Corporate Compliance 2007, pág.
28
139), pero es cuestionable que se le asigne al jefe de la

Revisión Interna de una empresa una posición de garante
que le obligue a impedir delitos punibles cometidos por la
empresa en perjuicio de terceros en el sentido del art. 13,
apartado 1, del Código Penal alemán.
29. En el caso presente, sin embargo, hay dos peculiaridades:

la empresa en cuestión es una entidad de derecho público
y la actividad no impedida por el acusado está relacionada
con la actividad que dicha entidad desarrolla en el ámbito
de derecho público, es decir, la limpieza de los viales con
conexión y utilización obligatorias para los propietarios de
los terrenos colindantes, un servicio que se cobra a estos de
acuerdo con los principios de tarifas de derecho público. Esto
tiene relevancia a la hora de determinar las obligaciones de
control del acusado. Como entidad de derecho público, BSR
está obligada a calcular correctamente las tarifas a pagar
por los propietarios. A diferencia de una empresa privada,
cuyo objetivo es esencialmente generar beneficios dentro
de un marco legal que tiene que respetar, el elemento clave
de la actividad de una entidad de derecho público es la
aplicación de la ley. Esto significa que el cumplimiento de la
ley es una parte esencial de su actividad empresarial. Por
lo tanto, en el ámbito de derecho público, no se distingue
entre los intereses de la empresa propia y los intereses
de terceras partes ajenas. Esto también tiene su efecto
sobre la interpretación de la obligación de control, porque
el objeto del control en el ámbito privado se entiende de
otra manera que en el ámbito de derecho público.
30. La obligación de control se centra en el cumplimiento de lo

que es objeto de la actividad de la empresa empleadora,
a saber, el cumplimiento legal del servicio de limpieza de
los viales, que también incluye una facturación correcta
de los costes originados. El cargo concreto del acusado
incluía el deber de proteger a los propietarios de
los terrenos colindantes contra tarifas excesivas
facturadas fraudulentamente e implicaba una posición
de garante correspondiente. Al delimitar el deber a
asumir por el acusado se deben tener en cuenta las
funciones que este desempeñó anteriormente para BSR.
Fue considerado experto en derecho tarifario y como tal
la “conciencia jurídica” de BSR (UA págs. 7, 10, 46). Esta
capacidad sin duda fue motivo de su nombramiento como
jefe de la Revisión Interna. El acusado, que dependía
directamente del presidente de la junta directiva, estaba
obligado, en calidad de jefe de la Revisión Interna, a
objetar las infracciones detectadas en el cálculo de las
tarifas (UA pág. 12), siendo las disposiciones legales de
obligado cumplimiento también para proteger a los sujetos
29
pasivos de las tarifas (UA pág. 56). Basándose en una

exposición suficiente de los hechos, el Tribunal regional
concluyó acertadamente que entre las responsabilidades
claves del acusado figuraba la obligación de impedir el
cobro fraudulento de tarifas excesivas por la limpieza de
los viales (véase Fischer, StGB 56.ª edición, art. 13, nota
marginal 17).
31. (3) Por lo tanto, según el art. 13, apartado 1, del Código
Penal alemán, el acusado tenía la obligación de objetar
cualquier error detectado en el cálculo de las tarifas,
independientemente de si este error perjudicaba a su
empresa empleadora o a terceras partes ajenas. La
omisión, contraria a su deber, tiene como consecuencia que
se le imputa el hecho punible que debería haber impedido
(véase BGH NJW 1987, 199). Por eso se constata, tal y
como expone el Tribunal regional sin incurrir en ningún
error de derecho, complicidad según el art. 27, apartado 1,
del Código Penal alemán, porque el acusado solo actuó
con complicidad intencional, subordinándose a la
actuación fraudulenta del acusado principal, el señor
G. Puesto que el acusado no impidió la actuación
fraudulenta del miembro de la dirección G. , aunque
podría haberlo hecho simplemente informando al
presidente de la junta directiva – una obligación
exigible a él–, cometió el delito de complicidad en
estafa por omisión. Dado que conocía todos los detalles,
sin duda se puede constatar también una autoría subjetiva
(véase BGHSt 19, 295, 299). El Tribunal regional lo expuso
acertadamente en los fundamentos de derecho.
32. c) Contrariamente a lo que opina la Fiscalía Federal, no se

le puede reprochar al acusado una gestión desleal según el
art. 266 del Código Penal alemán en perjuicio de BSR. Es
cierto que el acusado tiene la obligación de administrar el
patrimonio de su empresa empleadora, pero no se constata
un perjuicio en el sentido del art. 266 del Código Penal
alemán. BSR obtuvo una ventaja por la fijación fraudulenta
de las tarifas, porque registró unos ingresos más elevados
que los que le hubieran correspondido de acuerdo con el
reglamento legal.
33. La Fiscalía Federal está considerando la posibilidad de tal

perjuicio por los derechos a indemnización y los gastos
procesales después de la detección de la estafa. No
obstante, no se trata de un perjuicio directo (BGHSt 51,
29, 33; BGH NStZ 1986, 455, 456; ibídem art. 266, nota
marginal 55), porque supone un paso intermedio con la
detección del hecho. Sin embargo, la comparación del
patrimonio total necesaria para determinar el perjuicio se
debe basar en el plan delictivo llevado a cabo por el autor.
30
34. d) La determinación de la pena también es, en resumen,

acorde a la ley. Los reparos expresados en relación con los
daños y perjuicios valorados por el Tribunal regional, que
en el juicio contra el acusado G. han llevado a la anulación
de la condena penal en la resolución del Senado del 9 de
junio de 2009, no son aplicables en el caso del acusado
W. Según los fundamentos de derecho, el Tribunal regional
atribuyó poca importancia al monto de los daños y perjuicios
en el caso de este acusado.
35. Contrariamente a lo que opina la defensa, el Tribunal

regional consideró la motivación del acusado. Por lo tanto,
constató que el acusado G. se subordinó a la dirección por
una interpretación errónea de la lealtad.
36. La compensación fijada en 20 tasas diarias por el retraso

indebido del juicio tampoco es criticable. Teniendo en
cuenta el retraso de 10 meses que el Tribunal regional
constató sin incurrir en error de derecho, la disminución de
20 tasas diarias es suficiente y en ningún caso constituye
un defecto legal.
37. El Tribunal regional tampoco estaba obligado a aplicar

un marco penal más leve al acusado por fundamentos
de derecho, de acuerdo con el art. 13, apartado 2, del
Código penal en relación con el art. 49, apartado 1, del
mismo código. La argumentación que se basaba en el
hecho de que hubiera tenido la oportunidad de revelar
el error de cálculo a lo largo de varios meses es válida,
especialmente si se tiene en cuenta que el acusado asistió
en calidad de redactor del acta a la reunión del consejo
de administración en la que se presentaron las tarifas
calculadas incorrectamente.
38. El planteamiento de la aplicación facultativa de un marco

penal aún más leve de acuerdo con el art. 17, apartado 2,
del Código Penal alemán en relación con el art. 49, apartado
1, del mismo código, que se esperaba en el recurso, no era
necesario simplemente porque el acusado no incurrió en
ningún error de derecho. No es relevante que el acusado
tuviera conocimiento de la punibilidad de su actuación
como estafa. El error de derecho ya queda excluido si el
acusado sabe que su actuación (en este caso su omisión)
es ilegal (BGHSt 42, 123, 130; 52, 182, 190 f.; 52, 307,
313; BGHR StGB art. 11, Amtsträger (titular del cargo) 14).
Según los fundamentos de derecho, el acusado sabía que
las tarifas se calcularon infringiendo la ley de limpieza
de los viales de Berlín y estaba obligado a informar de
ello al presidente de la junta directiva por el contrato
de trabajo.
31



tratamiento.

modelo.
32

Compliance

normas
éticos.


propósito.
33



obstructivas

organizaciones
34

19601
Madrid 2017

Alain Casanovas
Supremo
Madrid 2013

Alain Casanovas
Madrid 2012

Alain Casanovas
Madrid 2008
35
Compliance en
el ámbito de
la prevención
de delitos
Alain Casanovas
10
de Compliance
www.asociacioncompliance.com Compliance en el ámbito de la prevención de delitos

Compliance penal.

© 2018


2
Cuadernos de Compliance - 10t
Presentación La necesidad de proyectar normas penales a la actividad

empresarial puede interpretarse en muchas claves.
Desde la perspectiva económica, los sobornos producen
ventajas anticompetitivas que no sólo perjudican al resto de
competidores, sino también a los usuarios o consumidores
finales, que se ven privados injustamente de opciones
mejores. Por otra parte, los flujos económicos generados
por las prácticas corruptas suelen incorporarse a circuitos
opacos, normalmente vinculados a otras actividades
criminales, alimentando así una espiral que no sólo impide
consolidar un mercado transparente sino que también socava
el progreso y el bienestar de las personas.
Por otra parte, el daño ocasionado por algunas negligencias

graves en las actividades empresariales han llevado a barajar
la criminalización de determinadas conductas en su ámbito.
Sucedió, por ejemplo, en Canadá tras el conocido Westray
Mine incident, acontecido en mayo de 1992, que supuso la
muerte de 26 mineros como consecuencia de una explosión,
y renovó el interés de la responsabilidad penal de las
organizaciones hasta su regulación explícita en el año 2004.
Todo ello explica el interés de las instituciones y plataformas

internacionales en luchar contra las conductas ilícitas
propicias a darse en los entornos de negocio. De ahí han
derivado fuertes recomendaciones para impulsar medidas de
prevención penal en el seno de las organizaciones, que han
motivado cambios relevantes en las legislaciones nacionales.
Sucedió en España en el año 2010, con la introducción de la
responsabilidad penal de las personas jurídicas.
El interés en perseguir determinadas conductas asociadas

con el mundo de los negocios también explica la profusión
de normas extraterritoriales en esta materia, como las
conocidas US Foreign Corrupt Practices Act (FCPA) o UK
Bribery Act.
En este Cuaderno explicaré los fundamentos de la prevención

penal y del soborno, citando algunos marcos de referencia
sobre Compliance en este ámbito.
Alain Casanovas
3
Índice
1. Modelos de prevención penal y anti-soborno
2. Prevención penal y tono ético
3. Estándares contra la corrupción y el soborno
4. Políticas, procedimientos y controles
5. Canales para el planteamiento de inquietudes
4
1.
La historia demuestra que las actividades de negocio pueden
ocasionar graves perjuicios en las comunidades donde se
desarrollan. No es de extrañar que el derecho penal haya ido
penetrando paulatinamente en la esfera empresarial: en algunas
Modelos de jurisdicciones, la responsabilidad penal de las personas jurídicas no

es una figura nueva, mientras, que en otras, es un avance reciente,
prevención en ocasiones condicionado por la fuerte presión internacional en
penal y la lucha contra determinadas malas praxis.
anti-soborno. La mayor parte de textos internacionales, desde los emitidos por

la OCDE hasta La Convención de las Naciones Unidas contra
la corrupción, suelen centrar su atención en la lucha contra la
corrupción, al considerarla una lacra que no sólo genera ventajas
anticompetitivas sino que termina vinculándose a actividades
criminales que conculcan los Derechos Humanos.
Modelos generales de Compliance

penal y modelos anti-soborno
Cuando hablamos del Compliance penal en las actividades
empresariales, cabe distinguir entre las normas que tratan de
prevenir un amplio espectro de conductas ilícitas, de aquellas
que centran su atención en las corruptas, incluyendo el soborno.
Esta distinción es importante, por cuanto de unas y otras normas
se derivan modelos de Compliance con alcance distinto: unos
establecen mecanismos generales para prevenir, detectar y
gestionar en el seno de las organizaciones diversidad de conductas
reprobables penalmente, mientras que otros limitan su alcance a los
ilícitos de corrupción.
5
Algunos marcos de referencia

Desde una perspectiva de Compliance, es importante que distingas
entre unos y otras modelos, pues es incorrecto considerar que un
sistema para prevenir, detectar y reaccionar frente a actos corrupción es
idóneo para lograr unos objetivos de prevención penal más amplios. Las
US Sentencing Commission Guidelines, por ejemplo, fijan directrices
para establecer un Effective Compliance and Ethics Program que
tienen alcance general. Sin embargo, las directrices que encontramos
en la Resource Guide to the U.S. Foreign Corrupt Practices Act (2012)
o en la Guidance to the UK Bribery Act (2010), por ejemplo, proyectan
sus recomendaciones sobre el ámbito específico del soborno (en
la norma americana sobre funcionarios públicos, y en la británica
también en el ámbito privado). Ten en cuenta esta diferencia, pues,
la normativa penal de cada vez más países, no se limita a exigir de
las organizaciones la prevención del soborno, sino también de otras
conductas ilícitas potencialmente vinculadas con el tráfico mercantil,
como la prevención del blanqueo de capitales, etc. En tales casos se
precisarán modelos de Compliance que cubran ese alcance.
El caso español: la Norma UNE

19601
En España, por ejemplo, el régimen de responsabilidad penal de
las personas jurídicas abarca un buen número de ilícitos y precisa
modelos de Compliance no sólo centrados en el soborno. Por
ello, aun existiendo reconocidos estándares internacionales sobre
el particular, como la norma ISO 37001:2016 sobre Anti-Bribery
Management Systems, se consideró adecuado desarrollar un
estándar nacional, la norma UNE 19601:2017 sobre Sistemas de
Gestión de Compliance penal, cubriendo así adecuadamente los
La Norma requisitos del Código penal, que comprenden, pero no se limitan, a la

prevención del soborno.
UNE 19601
cubre los No hay que preocuparse de eventuales redundancias, pues un
requisitos del modelo de Compliance penal general puede, además, reunir las
características de una modelo anti-soborno, siempre que cubra
Código penal también sus requisitos. En este sentido, por ejemplo, un modelo
español, que de Compliance español será adecuado para la prevención penal
comprenden, y también para el soborno, si cumple, al mismo tiempo, con los
pero no se requisitos que determinan los estándares UNE 19601 e ISO 37001.
limitan, a la Y no es difícil, considerando que la norma española está fuertemente

inspirada en los precedentes ISO. Encontrarás más información
prevención del sobre el particular en el Cuaderno número 4 de esta Serie (“Sistemas
soborno. de gestión de Compliance”).
Recuerda que los modelos de Compliance que se proyectan

exclusivamente sobre el soborno, muestran propensión a priorizar
el control financiero, que es insuficiente para la prevención de otras
conductas que no guardan relación directa con los flujos económicos
(delitos informáticos, por ejemplo).
6
2.
El incumplimiento de las leyes es una manifestación de conducta
contraria a la ética. Por eso, la práctica totalidad de Códigos Éticos y
de Conducta dedican sus primeros apartados a declarar el compromiso
con el cumplimiento de la Ley. Desde esta perspectiva, si bien las
Prevención
conductas contrarias a dicho mandato son éticamente reprobables, son
especialmente execrables cuando, por su gravedad, adquieren calado
penal y tono penal. De hecho, si analizamos qué comportamientos se consideran
ético.
empresarialmente éticos, veremos que son la antítesis de conductas
criminales. Por ello, difícilmente se comprende que una organización que
se manifieste alineada con una gestión ética carezca de mecanismos
para la prevención, detección y reacción ante comportamientos
potencialmente delictivos.
Tanto es así que el denominado “tono ético” de las organizaciones
ha llegado a vincularse con los modelos de prevención penal. En
este sentido, por ejemplo, el Ethics Resource Center norteamericano
consideró en 2011 que las US Sentencing Commission Guidelines
eran unas buenas directrices para alcanzar un adecuado tono ético.
No es de extrañar, considerando que uno de los objetivos declarados
expresamente en dicho texto es la consecución de una adecuada
cultura ética.
Si estás en una organización comprometida con el desarrollo ético
de sus actividades, tendrás que prestar atención a que tal voluntad
no constituya un mero objetivo programático, y si tienes dudas de
cómo evitar este escenario, comenzar con la prevención penal es una
buena idea. Deberías procurar que ese compromiso ético no se limite
a declaraciones vacías de contenido y sin repercusión en término de
estructuras de Compliance. Encontrarás en los estándares de prevención
penal buenas prácticas que facilitan migrar de las palabras a los hechos.
Ahora bien, todas las personas en la organización, especialmente el
órgano de gobierno y la máxima dirección, deben ser conscientes
de que la aplicación de mecanismos efectivos de prevención penal y
mejora del tono ético suponen un esfuerzo de implantación y, sobre todo,
impactarán sobre determinadas prácticas de negocio. Esto puede
suponer la renuncia a algunas operaciones y relaciones.
7
3.
Sabiendo que un modelo destinado a luchar contra la
corrupción no es equivalente a uno de prevención penal
general, te será de utilidad conocer la variedad de propuestas
que existen en ese campo. Verás que muchas de ellas no
Estándares son en absoluto nuevas, constituyendo modelos ampliamente

reconocidos a nivel internacional.
contra la
corrupción y el Algunas directrices internacionales
soborno. clásicas
Posiblemente, la lucha contra la corrupción es uno de
los ámbitos donde hallamos el mayor número de guías y
directrices de buenas prácticas para la empresa. Veamos
algunas de ellas.
A raíz de la conocida Convención contra el soborno de la

OCDE (1997) derivó su Recomendación para fortalecer la
lucha contra el cohecho (2009). En particular, su Anexo II
constituye una guía práctica para empresas sobre controles,
ética y cumplimiento. Es uno de los textos más recocidos
sobre el particular, cuyo contenido ha inspirado iniciativas
posteriores.
Otras plataformas internacionales también han mostrado su

interés en este ámbito y divulgado sus recomendaciones,
como los Principios Empresariales para contrarrestar el
Soborno emitidos por Transparencia Internacional (2003),
los Principios PACI (2005) o las Reglas de conducta y
recomendaciones de la Cámara de Comercio Internacional
para combatir la extorsión y el soborno (2005).
Estos textos son sólo una muestra de directrices en esta

esfera, a las que se suman y seguirán sumando otras más
8
recientes. En cualquier caso, algunas instituciones, como

Transparencia Internacional o CREATE han analizado
comparativamente las buenas prácticas que proponen,
viendo que convergen en una gran parte de sus contenidos.
Cuando adoptes como guía algún estándar sobre el particular,

contrasta si está ideado para aplicarse a prácticas con el
sector público, en el privado, o en ambos, dado que tal
circunstancia condiciona su contenido.
Algunas directrices nacionales

ampliamente reconocidas
Cada vez más normas nacionales fijan puntos de conexión
que habilitan su aplicación ante casos ocurridos fuera de su
territorio. Tal circunstancia rompe con el marcado carácter
territorial del Derecho penal y supone la capacidad de ser
encausado por ciertos hechos acaecidos en el extranjero
pero contrarios al ordenamiento nacional. Los ejemplos más
conocidos de extraterritorialidad en materia de soborno
lo tenemos con la Foreign Corrupt Practices Act (FCPA)
norteamericana, o la Bribery Act británica. Son textos
diseñados para facilitar su aplicación extraterritorial. Dada
la globalización de la economía y la frecuencia con que se
desarrollan transacciones económicas entre países, muchas
organizaciones potencialmente afectadas por estas normas
no son todavía conscientes de ello. Si te encuentras en una
organización con actividad internacional, analiza seriamente
hasta qué punto le pueden resultar de aplicación, pues, en
tal caso, tendrás que procurar que el modelo de prevención
penal sea adecuado a sus efectos.
Como ya he señalado, ambas normas disponen de

textos oficiales que facilitan directrices para establecer
sus respectivos modelos de Compliance, emitidos por el
Departamento de Justicia de los Estados Unidos juntamente
con el regulador norteamericano, y el Ministerio de Justicia
británico, respectivamente.
En el Reino Unido, la entidad de normalización nacional

Bristish Standards publicó en 2011 la norma BS 10500
sobre Anti-Bribery Management Systems (ABMS). Este
texto ayuda a cumplir con los mandados de la UK Bribery
Act, aunque puede también aplicarse en otros contextos de
lucha contra el soborno, tanto en el ámbito público como
privado. Constituyó el punto de partida para la elaboración
del estándar internacional ISO 37001:2016 también sobre
Anti-Bribery Management Systems (ABMS).
9
El estándar ISO 37001:2016

En el año 2013, la International Organization of Standarization
(ISO) puso en marcha un proyecto de normalización sobre
sistemas de gestión anti-soborno. Se tomó como punto de
partida la norma BS 10500 que he comentado en el apartado
anterior, refinando su contenido a través de un proceso que
congregó a 59 países, entre 37 partícipes y 22 observadores.
Tal circunstancia, unida a la involucración de diferentes
instituciones internacionales, convierte a este texto en el
referente internacional obligado sobre modelos para la
El estándar prevención, detección y gestión de riesgos de soborno, tanto
referidos al sector público como al privado. Ser posterior a
ISO 37001 es otros estándares y guías sobre la materia, le permitió identificar
el referente y compaginar buenas prácticas ampliamente reconocidas.
internacional
sobre modelos Se trata de un estándar certificable, de modo que un sistema
para la de gestión de Compliance puede ser sometido a una evaluación
de conformidad respecto de su contenido, emitiéndose, en
prevención, caso favorable, el correspondiente documento acreditativo
detección y por parte de una entidad independiente. Incorpora un Anexo
reacción ante con valiosas recomendaciones para luchar contra el soborno,
el soborno. que facilitan la aplicación práctica de sus requisitos.
Principios generalmente aceptados

Tanto los programas como los sistemas de gestión de
Compliance dan lugar a modelos que reúnen una serie de
características básicas. Encontrarás más información sobre
estos principios generalmente aceptados en el Cuaderno
número 4 de esta Serie (“Sistemas de gestión de Compliance”).
Partiendo de ellos, el modo de ordenarlos y desarrollarlos
varía según los textos, pero es difícil hallar fundamentos
esenciales que no hubiese ya identificado el Instituto de
Auditores Públicos alemán (Institut der Wirtschaftsprüfer
in Deutschland, conocido por su acrónimo IDW) en el año
2011, al publicar su norma técnica para “auditar” sistemas
de gestión de Compliance AssS 980, más conocida por su
acrónimo alemán PS 980.
Distinguiendo el soborno de las

conductas lícitas
Existen diferentes definiciones de “soborno”, tanto
en las legislaciones nacionales como en instrumentos
internacionales. Sin embargo, una aproximación sencilla es
aquella que califica el soborno como un acto que genera una
obligación moral de devolución.
10
La actividad empresarial supone desarrollar conductas

socialmente aceptadas que, sin embargo, pueden llegar
a traspasar el umbral de lo razonable. Los obsequios y
atenciones, o los gastos de hospitalidad son algunos
ejemplos clásicos sobre el particular, en la medida que
su empleo desmedido sí genera una obligación moral
de devolución. La línea divisoria vendría condicionada,
básicamente por (i) el valor del obsequio, atención, viaje,
etc, (ii) las circunstancias que concurren cuando se otorga,
y (iii) el perfil del destinatario. El valor del obsequio, que no
su precio o coste para la organización, determina el nivel de
compromiso que genera en su receptor: valores más elevados
tienen mayor capacidad de generar una obligación moral de
devolución. Las circunstancias en que concurre también son
relevantes, pues debería evitarse cualquier periodo cercano
donde el receptor deba tomar, tome o haya tomado una
decisión respecto de la organización. El perfil del destinatario
también es importante, pues aquellos cargos o posiciones con
capacidades de adoptar en cualquier momento decisiones que
afecten a la organización (funcionarios públicos, por ejemplo)
suelen ser los destinatarios más propicios para sobornos.
Los estándares modernos en materia de lucha contra el

soborno, como el nacional BS 10500 o internacional ISO 37001
no pretenden erradicar usos socialmente admisibles, sino
establecer mecanismos que garanticen el empleo lícito de
los mismos.
Sobornos directos e indirectos

Es conocido que la mayor parte de sobornos se pagan a
través de sujetos interpuestos. Rara vez una organización
abonará un soborno directamente, por la dificultad de encubrir
la naturaleza del pago. En el Informe sobre el soborno
internacional que elaboró la OCDE en el año 2015 apuntó que
el 75% de los sobornos analizados se canalizaron mediante
la intervención de terceros, fueran agentes, comisionistas,
asesores, lobistas, joint-ventures, etc. Por ello, los estándares
internacionales modernos remarcan la importancia de
evaluar a los socios de negocio (que incluyen esas figuras)
y contrastar la sustantividad de sus servicios en relación con
las cantidades que perciben por ellos.
Modalidades difícilmente trazables

de soborno
Los estándares modernos también están haciendo cada vez
más hincapié en las modalidades poco trazables de soborno,
como los favores personales (donde no se emplean recursos
11
de la propia organización) o el uso de información privilegiada

(cuyo mal empleo es ilícito en sí mismo, pero puede configurar,
además, un acto de soborno).
También la contratación de personas puede encubrir

situaciones de soborno: cuando no obedece a una necesidad
real, articulándose como forma de retribuir un favor pasado,
actual o futuro respecto de sujetos cercanos al empleado.
Puesto que el mero ofrecimiento de una ventaja puede ser
considerado soborno, también las promesas de contratación
son idóneas a tales efectos. Nuevamente, los estándares más
actuales en esta materia no pretenden evitar la contratación
de personas cercanas a determinados cargos, pero sí
adoptar cautelas para que no encubran escenarios de soborno.
Soborno real y soborno percibido

Entre los cometidos de la función de Compliance se encuentra
evitar, en la medida de lo posible, los daños de imagen
Existen derivados de conductas contrarias a la ética o a las normas.
actividades Puedes encontrar más información sobre ello en el Cuaderno
que, sin número 9 de esta Serie (“Responsabilidades personales en el
suponer un ámbito del Compliance”). Esto obliga a adoptar precauciones
soborno, en actividades donde, concurriendo las circunstancias
sospechosas que he relacionado anteriormente, podrían,
pueden ser sin embargo, no generar una obligación moral de devolución
percibidas pero ser percibidas como sobornos y perjudicar igualmente
como tal y a la organización. El ejemplo paradigmático lo tendríamos
perjudicar en atenciones de valor relevante que pueden recibir sujetos
igualmente que ya disfrutan de fortuna, sin que la aceptación esos
obsequios vaya a condicionar realmente sus decisiones. No
a la obstante, esa acción puede ser muy difícil de demostrar y
organización. justificar delante de terceros, incluida la opinión pública en
general. Por ello, es prudente analizar cuidadosamente tanto
los supuestos de soborno real como percibido, a efectos de
procedimientos de Compliance.
El soborno y los eufemismos

Mantente alerta respecto del empleo de eufemismos
que puedan encubrir conductas contrarias a la ética.
Pocas organizaciones califican el soborno por su nombre,
empleando eufemismos que encubren y edulcoran su
verdadera naturaleza tóxica. Se habla entonces de “prestar el
tratamiento especial”, “tener el sobrecoste habitual”, “realizar
el engrase”, “aplicar el suavizante”, etc. Presta atención al
empleo de este tipo de términos y no los consideres inocuos.
Averigua inmediatamente qué prácticas describen y actúa
para modificarlas o erradicarlas, cuando sea procedente.
12
4.
Compliance”) explico la diferencia entre políticas, procedimientos
y controles. En el ámbito de la lucha contra el soborno, procede
aplicarlos para prevenir, detectar y gestionar (reaccionar) ante
Políticas, ciertas situaciones.
procedimientos Las políticas reflejan los valores de la organización y, los traducen
y controles. en parámetros de conducta. Encontrarás más información sobre

esta materia en el Cuaderno número 7 de esta Serie (“El árbol de
políticas de Compliance”).
En el ámbito de la prevención penal y del soborno, las políticas

tratarán de evitar comportamientos criminales determinando
claramente qué conductas se consideran adecuadas y cuáles no
se toleran. Todo ello suele venir enmarcado por una declaración
general de tolerancia cero a la comisión de delitos, incluidos los
relativos al soborno.
Descritos los parámetros de conducta correspondientes, procederá

establecer los procedimientos para desarrollarlas del modo
apropiado. Tanto en estos procedimientos como en otras normas
internas, se fijarán controles para contrastar que aquellos se estén
ejecutando correctamente y contribuyendo de manera eficaz al logro
del objetivo pretendido. Existe la tendencia a asociar el soborno con
los controles financieros (autorización de pagos, por ejemplo),
aunque los estándares modernos remarcan la misma necesidad
de establecer controles no financieros (evaluación de socios de
negocio o control de las contrataciones de personal, por ejemplo).
Importancia de la formación
Recurriendo a un planteamiento clásico, podría interpretarse que
la formación es un control preventivo. Las actividades formativas
en materia de Compliance cultivan la integridad de las personas
13
y permiten reducir el control sobre ellas. Se atribuye a Henry Ford

el concepto de cultura corporativa, como el modo en que se
comportan los empleados cuando sus jefes no les están vigilando.
En este sentido, la mejora de la integridad de las personas de la
organización disminuye la necesidad de establecer controles, en un
sentido orwelliano.
No es extraño que la mayor parte de marcos de referencia en materia

de prevención penal y de la corrupción, apunten la conveniencia de
impartir formación a los empleados de la organización e incluso
a los socios de negocio. En cualquier caso, la formación debe
ceñirse a las conductas con probabilidad de comisión en cada
organización, ilustrada con ejemplos y desarrollada en un lenguaje
asequible que facilite su comprensión y aplicación.
Formación sobre Código ético y

Compliance penal básico
Puesto que los modelos de Compliance penal se consideran
adecuados para lograr o mantener un adecuado tono ético en las
organizaciones, no es inhabitual que la formación en prevención
penal o del soborno se incardine en los ciclos formativos propios del
Código Ético o de Conducta de la organización.
14
5.
Los estándares modernos sobre Compliance otorgan una relevancia
notable a los canales internos de comunicación y denuncia
(“whistleblowing lines”) como herramienta de utilidad para prevenir,
detectar y gestionar conductas inadecuadas. La traducción oficial
Canales para el
al español del estándar ISO 37001 los denomina canales para el
planteamiento de inquietudes, subrayando así su utilidad para
planteamiento transmitir cualquier duda o consulta relativa a la prevención del
de inquietudes.
soborno, más allá de la delación.
Diferentes canales
No sólo se recurre a estos canales en el ámbito de la prevención
penal y del soborno, sino que también es habitual encontrarlos
en la normativa de control financiero (SOX, por ejemplo), en
la laboral (contra la discriminación y el acoso) o aplicados contra
vulneraciones éticas de cualquier naturaleza. Por ello y en virtud
de su finalidad, tal vez puedan concurrir diferentes canales en una
misma organización, dependiendo de materias y del perfil del equipo
que gestionará las comunicaciones recibidas. En algunos casos y
para evitar complicaciones, se dispone un acceso único que deriva la
comunicación al canal/equipo oportuno dependiendo de la taxonomía
de comunicación declarada por el comunicante. En cualquier caso,
se asegurará el cumplimiento de los requisitos dispuestos por la
normativa cuando el canal está regulado legalmente, así como las
garantías de privacidad y cautelas asociadas con el tratamiento de
datos personales. Este último factor condicionará la aplicación de
una serie de medidas de seguridad lógica y también física.
Coste y eficacia
Por su notable eficacia y bajo coste de implantación, los canales
internos de comunicación y denuncia se han propagado
rápidamente, demostrando ser excelente mecanismos de detección
de irregularidades difícilmente constatables por otros controles más
costosos. Estos canales internos ganan eficacia cuando pueden ser
utilizados no sólo por el personal de la organización, sino también
15
por sujetos que no están en ella, como clientes, proveedores, socios

comerciales, ex-empleados y hasta organizaciones competidoras.
Por ello, algunos marcos de referencia en el ámbito de la prevención
penal, como la norma UNE 19601, exigen su accesibilidad por parte
de terceros.
Regulación y normalización
En algunos países existe regulación acerca del establecimiento y
En algunos gestión de los canales internos de comunicación y denuncia. En su
mayor parte, fijan garantías que brindan confort en su utilización:
paises existe exigencias de seguridad específicas o un régimen efectivo de
regulación impunidad al denunciante de buena fe, por ejemplo. Es importante
exigiendo el conocer las exigencias de estas regulaciones antes de implantar un
establecimien- canal de este tipo. En ocasiones, las garantías de confidencialidad
y no represalia se obtienen gracias a la intervención de un tercero
to de canales independiente en el proceso de comunicación, que las recibe e
internos de informa a la organización, filtrando aquellos datos que podrían
comunicación y emplearse para identificar al denunciante y tomar medidas en su
denuncia. contra.
Existen algunas plataformas o entidades nacionales que han emitido

recomendaciones técnicas en materia de whistleblowing lines, como
son los casos de Reino Unido o Japón. En la actualidad existe un
proyecto ISO para normalizar sobre sus características mediante un
documento de guías o directrices (futuro estándar ISO 37002).
Alternativas clásicas de
comunicación
Al tratar los canales internos de comunicación y denuncia puede darse
la impresión de estar pensando en direcciones de correo electrónico
y otros medios tecnológicos actuales. Pero no olvides que existen
formas tradicionales de comunicación que, más que alternativas,
pueden operar en paralelo con las informáticas. De hecho, constituye
una buena práctica que coexistan mecanismos variados a través
de los cuales puedan plantearse comentarios o formularse quejas,
superando así las eventuales suspicacias del comunicante en algún
canal concreto. Entre estas opciones, encontramos la comunicación
directa con el superior jerárquico, con los profesionales de la
función de Compliance, los buzones del empleado, las líneas
de teléfono para consulta, direcciones de correo ordinario y otros
recursos que ya venían empleándose antes de generalizarse el uso
de las tecnologías de la información.
Comunicación a las autoridades

Finalmente, recuerda que actuar frente a los ilícitos penales es una
cuestión de orden público. Esto implica que, caso de confirmarse
la comisión de un delito o tener indicios razonables de ello,
procederá informar a las autoridades pertinentes, según determine el
ordenamiento jurídico.
16
7.
Preguntas
Mi organización desea certificar
su modelo de Compliance sobre la
base del estándar ISO 37001 ¿Es un
modelo de Compliance adecuado en
frecuentes. España para cumplir la exigencias
del Código penal?
La norma ISO 37001:2016 es un estándar novedoso de prevención
del soborno, y puede decirse que refleja el estado actual del
arte en esta materia. Sin embargo, de los más de veinte delitos
que son imputables a la persona jurídica en España, sólo tres de
ellos se relacionan directamente con esa modalidad de corrupción
(cohecho, tráfico de influencias y corrupción en los negocios). Por
lo tanto, la norma ISO no te resultará de mucha ayuda, al centrar
su atención en una porción relativamente pequeña del universo
de Compliance penal español. Será mejor certificar el modelo de
Compliance sobre la base de la norma UNE 19601:2017, que fue
especialmente diseñada para ello.
Sin perjuicio de lo anterior, puesto que la norma española (UNE) es
posterior y se inspiró en los estándares internacionales (ISO 19600
e ISO 37001), te será sencillo cubrir también sus requisitos. De
este modo, con poco esfuerzo adicional, es posible disponer de
un modelo de Compliance alineado con las exigencias del Código
penal español, pero también con las expectativas internacionales
en materia de lucha contra el soborno.
¿Se puede llegar a cometer

soborno de manera indirecta?
Sin lugar a dudas. Es una fórmula que puede incluso llegar a
darse en organizaciones con estándares éticos elevados, donde los
empleados no concibe desarrollar directamente actos inapropiados,
pero descuidan el comportamiento de los terceros con los que se
17
vinculan. Abonar cantidades de dinero a agentes o intermediarios

independientes puede convertirse en un modo de encubrir sobornos
(vayan o no finalmente destinados a funcionarios públicos). Por
eso, tanto la Foreign Corrupt Practices Act norteamericana como la
Bribery Act británica y multitud de normas nacionales penalizan estas
formas de soborno indirecto. Trata de establecer cautelas para
evaluar el perfil de los socios de negocio, la naturaleza real de las
operaciones que desarrollan y la razonabilidad de las cantidades
que manejan por ellas. Mantente especialmente alerta cuando operes
en regiones con riesgo elevado de soborno.
Trabajo en una organización con más

de 5.000 empleados. ¿Cómo abordo
la formación para la prevención de
ilícitos penales?
En organizaciones con gran número de empleados, la formación
en Compliance constituye un reto. Debes diferenciar, en primer
lugar, entre las acciones formativas y las de concienciación. Las
primeras suponen la capacitación de las personas, mientras que
las segundas tienen por objeto generalizar un estado de alerta y
conciencia.
Evita que personas expuestas a riesgos de Compliance penal
no estén capacitadas para afrontarlas. Por eso, la formación
debe proyectarse sobre dicho ese colectivo, que no lo integran
necesariamente todas las personas de la organización. Para el resto,
será suficiente planificar acciones de concienciación.
En líneas generales, trata de segmentar a la población objeto de
formación por categorías profesionales, intentando aunar formación
presencial para el cuadro directivo, y estableciendo mecanismos de
formación a distancia para el resto: formación on-line o incluso en
cuadernos en soporte papel si no todos los empleados disponen de
recursos informáticos. En cualquier caso, deja constancia de haber
realizado la formación, las personas que han asistido a ella y evalúa
su aprovechamiento fijando pruebas prácticas a su finalización.
¿Supone mucho esfuerzo gestionar

un canal interno de comunicación y
denuncias?
Normalmente, no supone un esfuerzo extraordinario. Se
suele tener la percepción equivocada de que la existencia
de un canal de comunicación y denuncias supondrá recibir
un número elevado de quejas infundadas o maliciosas,
además de comunicaciones sin relación con la finalidad de
la herramienta. Realmente, la utilización que los empleados
hacen de los canales de comunicación y denuncia suele ser
baja, y solo excepcionalmente las comunicaciones recibidas
tienen finalidades difamatorias.
18



tratamiento.

modelo.
19

Compliance

normas
éticos.


propósito.
20



obstructivas

organizaciones
21

19601
Madrid 2017

Alain Casanovas
Supremo
Madrid 2013

Alain Casanovas
Madrid 2012

Alain Casanovas
Madrid 2008
22
Resistencia al
cambio y conductas
obstructivas
Alain Casanovas
11
de Compliance
www.asociacioncompliance.com Resistencia al cambio y conductas obstructivas

Compliance penal.

© 2018


2
Presentación Compliance guarda mucha relación con el comportamiento

de las personas. Es interesante ver que los protagonistas de
algunas irregularidades éticas y/o legales son individuos
respetables y bien formados. Esta realidad nos demuestra
que existen poderosos condicionantes de la conducta
que afectan por igual a las personas, sin que la educación
o es estatus social sean factores excluyentes de ciertas
transgresiones. Entramos entonces en los ámbitos de la
psicología.
La psicología cognitiva explica por qué las personas

distorsionamos la realidad de nuestras percepciones,
mientras que la psicología social nos muestra el modo que
en que el entorno condiciona cómo nos comportamos. En la
medida que Compliance pretende modular la conducta de las
personas hacia una cultura ética y de respeto a la Ley, se hace
imprescindible manejar los fundamentos de ambas ramas
de la psicología. Es algo que facilita muchísimo no sólo fijar
correctamente parámetros de conducta, sino hacerlo del
mejor modo y en el momento oportuno.
Hay quien dice que cualquier persona es un criminal en

potencia, faltando sólo un buen motivo para traspasar ese
umbral. El llamado “triángulo del fraude” vincula el origen de
las conductas irregulares a la convergencia de tres factores,
que conformarían los vértices de un triángulo hipotético: un
motivo, una oportunidad y una justificación. El motivo puede
darse en cualquier sujeto, sea por necesidad de recursos para
incrementar su nivel social, para atender gastos ordinarios,
por la dependencia de sustancias, ludopatía, etc. Concurre
oportunidad cuando se puede desarrollar impunemente la
conducta reprobable que producirá alguna ventaja individual,
sin miedo a ser descubierto o reprendido. La justificación es
el proceso intelectual del sujeto que ampara su conducta a
efectos internos o de sus allegados: he pagado un soborno,
pero todo el mundo lo hace. La teoría clásica del Compliance,
muy centrada en los marcos de control interno, se basa en
aumentar la supervisión sobre los individuos para erradicar la
oportunidad. La teoría moderna o de la integridad implica
cultivar los valores de los individuos y de la organización
para no dejar margen a la justificación. Los modelos de
Compliance modernos plantean normalmente esquemas
híbridos, de modo que reducen la oportunidad mediante
controles, y la justificación trabajando los valores.
En este Cuaderno encontrarás algunas nociones que te

introducirán en el estudio de las conductas individuales
y colectivas, que impactan en las actividades diarias de
Compliance.
Alain Casanovas
3
Índice
1. El “tone from the top”
2. La zona de confort
3. Elección del momento
4. Conformity-bias
5. Síndromes que socavan la cultura de

Compliance
6. Por qué te necesitan
4
1.
El nivel de compromiso del órgano de gobierno y la máxima
dirección con la ética y el respeto a la Ley, constituye un factor clave
para generar y mantener una cultura de cumplimiento. Marcos de
referencia, tanto en los ámbitos del Compliance como del control
El “tone from interno, subrayan la importancia de este elemento, hasta el punto

de considerarlo uno de los primeros a considerar. Un experto que
the top”. evalúe críticamente el modelo de Compliance, prestará atención a
las evidencias asociadas con este factor, en término de documentos
organizativos, societarios, comunicaciones, etc. La ausencia de
elementos que muestren esa voluntad será siempre muy sospechosa.
Creer y difundir los valores

Este compromiso ha recibido a lo largo del tiempo diversas
denominaciones, desde el “tone at the top” hasta el “executive
sponsorship”. Últimamente se habla de “tone from the top”,
haciendo hincapié en que el compromiso con el Compliance no debe
circunscribirse al órgano de gobierno y la alta dirección, sino fluir
desde allí a todos los rincones de la organización. Carencias en este
aspecto provocan que los objetivos de Compliance no sean percibidos
como algo importante, circunstancia que influye negativamente en
la conducta de las personas.
Falta de alineación del órgano de

gobierno y máxima dirección
El peor escenario de Compliance se produce cuando la máxima
dirección no está alineada con sus objetivos, hecho que puede
darse si la implantación del modelo no obedece a una decisión
verdaderamente interiorizada, sino impuesta desde la propiedad,
la casa matriz, los inversores, el regulador, etc. En estos casos, la
efectividad del modelo puede verse seriamente amenazada, pues
la falta de apoyo real por parte del órgano de gobierno y la máxima
dirección limitará necesariamente sus capacidades.
5
Gestionar situaciones de este tipo constituye, posiblemente, uno

de los mayores retos que puedes tener que afrontar. Estudios
conductuales nos ilustran lo difícil que es conseguir cambiar
la opinión de los perfiles de alto nivel, cuya exitosa trayectoria
profesional parece avalar la bondad de todos sus planteamientos.
Los administradores o directivos que minusvaloren el Compliance

no sólo buscarán argumentos para consolidar su opinión, sino que
la trasladarán a toda la organización, aún de manera involuntaria.
Y tal vez lo hagan desde la convicción profunda de estar obrando
correctamente, zafando a la organización de una carga innecesaria.
Cambiar esta percepción no es fácil. Recurre a las actividades

formativas y de concienciación, valiéndote de casos reales que
muestran cómo la falta de valores e incumplimiento de las normas
condujeron al desastre. Las hemerotecas están llenas de ejemplos
que ilustran las zozobras de conocidas empresas, encarcelamientos
de brillantes administradores y directivos, e incluso tragedias
personales derivadas de comportamientos contrarios a la ética y
a las normas. Lamentablemente, no tardarás en hallar ejemplos
de todos los sectores de actividad y jurisdicciones. Trata de
recurrir a supuestos cercanos al colectivo que estés formando o
concienciando.
6
2.
Paradójicamente, un freno para impulsar modelos de Compliance
puede presentarse en las personas a las que se ha confiado ocuparse
de ello.
Cuando se recibe el mandato de liderar la función de Compliance, es

La zona de normal que surjan inseguridades en cuanto a enfoques, actividades
confort. a desarrollar, etc. En este contexto, no es inhabitual que terminen

desarrollándose modelos de Compliance que giren en torno a las
zonas de confort de las personas que lo operan. Se diseñan así
modelos hechos a su medida, pero no necesariamente acordes a
las necesidades de su organización ni a las buenas prácticas
reconocidas en los marcos de referencia.
Así, por ejemplo, cuando el responsable máximo de Compliance ha

desarrollado su carrera profesional alrededor de cierta especialidad
jurídica, puede tender a proyectar sus esfuerzos sobre ese bloque
de obligaciones, descuidando el resto (control asimétrico). O cuando
procede del ámbito del control o auditoría interna, puede verse tentado
centrarse en sus metodologías y olvidar que Compliance no es sólo
control interno ni auditoría interna, especialmente cuando dichas
áreas se hayan proyectado únicamente sobre el terreno financiero.
Todas las personas experimentamos una resistencia natural a

abandonar nuestras zonas de confort, esto es, los ámbitos de trabajo
que conocemos bien y nos brindan seguridad. El responsable máximo
de Compliance es, verdaderamente, un perfil profesional sui generis,
pues precisa mantenerse alerta sobre un elenco de obligaciones
cada vez más extenso, y aplicar sobre ellas metodologías de la
ingeniería de procesos y del control interno para gestionarlas
adecuadamente.
Sin embargo, una gestión eficaz de esta diversidad no significa

necesariamente que el responsable máximo de Compliance deba
ocuparse personalmente de todos los aspectos. Por eso, es cada
vez más habitual encontrar comités de Compliance integrados por
perfiles profesionales plurales pero sinérgicos.
7
3.
Mantener una conducta ética y de respeto a la Ley no es un objetivo
exclusivo de las grandes organizaciones, siendo ya frecuente que
las medianas y pequeñas den un paso adelante en esta faceta de
la buena gestión corporativa. Es esta una realidad que se acelera
Elección del a medida que ganan difusión las buenas prácticas de Compliance
y dejan de percibirse como algo complejo. Encontrarás referencias
momento. sobre ello en el Cuaderno número 12 de esta Serie (“Compliance en
pequeñas organizaciones”).
Ahora bien, el momento para arrancar un proyecto de implantación

de Compliance no es intrascendente. Si la organización no está
lo suficientemente madura para ello, puede percibirse como una
iniciativa desproporcionada o fuera de lugar. En otros casos, el
rechazo puede provenir del creciente número de actividades de
reporte interno que se exige a las personas (informaciones relativas
a la gestión de calidad, gestión de los recursos humanos, gestión
financiera, sobre medio ambiente, etc). En estos contextos, un
proyecto de Compliance puede percibirse como una carga adicional
y provocar reacciones adversas a los colectivos afectados.
La madurez de las organizaciones

para afrontar el Compliance
La madurez de una organización para acoger un modelo de
Compliance guarda relación con la capacidad de que sus personas
comprendan que no se trata un simple añadido administrativo,
sino de una necesidad intrínseca al desarrollo responsable de
actividades. Observar una conducta ética y de respeto hacia las
normas no es una opción de apetito de riesgo sino una exigencia
de la sociedad, cuya desatención puede provocar graves daños
tanto a la organización, como a las personas que la integran.
Sobre estas materias, puedes consultar los cuadernos número 3
(“Relación de Compliance con Gobernanza y Gestión de riesgo”) y
8
9 (“Responsabilidades personales en Compliance”) de esta Serie.

Cuando las personas de la organización no son conscientes de ello,
Cuando las tenderán a manifestar rechazo hacia el Compliance, por cuanto les
resta libertad y les ocupa tiempo. En ocasiones, verse involucrado
personas en un desagradable incidente de Compliance es una ducha de
no son realidad que abre los ojos de algunas personas.
conscientes
de las graves En cualquier caso, disponer de un modelo de Compliance es, en
consecuencias
algunos casos, una exigencia legal. En estos supuestos, procede
acelerar el proceso de interiorización de su criticidad, evitando
derivadas fingir una apariencia de alineación con tal requisito para terminar
de ciertas en la esfera del “Paper Compliance”. Sobre este particular, puedes
conductas, consultar el Cuaderno número 1 (“¿Qué es Compliance?”) de esta
pueden Serie.
manifestar
rechazo al Rompiendo tópicos negativos
Compliance. Una parte de tu labor consiste en romper el entendimiento de que
Compliance es una moda, una formalidad, o una carga que no
aporta valor. Para ello, puedes explorar dos aproximaciones.
Hay quien inculca su bondad partiendo de las consecuencias

negativas que se pueden derivar en términos de sanciones o
daños reputacionales, incluso a título individual. Podríamos decir
que es una aproximación basada en el miedo, donde las personas
aceptan verse privadas de ciertas libertades y tiempo como mal
menor frente a consecuencias adversas de mayor gravedad.
Otra aproximación radicalmente distinta consiste en concienciar

a las personas de que la ética cotidiana y respeto a las normas es
un comportamiento inherente a la vida en sociedad. Esta opción
atraviesa por transmitir el sentido de los valores y las normas,
requiriendo, eso sí, unos esfuerzos formativos más elevados que la
instauración de un régimen basado exclusivamente en el control y
las sanciones.
Normalmente se recurre a fórmulas mixtas, de modo que la

conducta de las personas se vea condicionada por el respeto a
experimentar las consecuencias negativas de las irregularidades de
Compliance pero, sobre todo, comprendan la bondad de seguir los
valores y las normas, con independencia de lo anterior.
9
4.
En la década de los años 50 cobró celebridad el psicólogo
norteamericano Solomon Asch, y sus experimentos de psicología
social acerca del “conformity”. Actualmente se entiende como
conformity-bias la tendencia de las personas a seguir los
Conformity- planteamientos de grupo, aunque no estén necesariamente

alineados con los criterios individuales.
bias.
De acuerdo con lo anterior, si la mayoría de personas en una
organización observan conductas irregulares, el individuo que
se integra en ella puede terminar desarrollándolas al considerarlas
patrón de normalidad. Por ello, una de las tareas importantes
dentro de los cometidos de Compliance, es erradicar el conformity-
bias respecto de los comportamientos no alineados con los valores
de la organización, evitando que se impongan porque “lo hace todo
el mundo” o “porque no pasa nada”.
El self-conformity-bias
Del concepto de conformity-bias se segregó la acepción aplicable
a la psicología del individuo: es el denominado self-conformy-
bias. Este concepto hace relación al modo en que la persona
interpreta y recuerda las informaciones sobre la base de sus
propios intereses o expectativas. Este fenómeno explica como
un mismo hecho puede ser interpretado de manera radicalmente
distinta, por individuos sin pretensión de manipular la realidad, pero
con intereses distintos. El ejemplo típico es el modo en que dos
sujetos, simpatizantes de partidos políticos antagónicos, perciben
el desenlace de un debate electoral entre sus respectivos líderes.
Cada uno tenderá a apreciar los aspectos positivos de su candidato
simpatizante y los negativos del contrario, alcanzando finalmente
un estado de opinión sesgado a causa de ello.
El self-conformity-bias tiene implicaciones en el ámbito del

Compliance que es bueno que conozcas. La primera de ellas es
10
que los mensajes que transmitas pueden interpretarse de manera

incorrecta, atendiendo a los intereses de quienes los escuchan.
Esto significa que un consejo o sugerencia acerca del modo de
cumplir con determinadas normas puede llegar a interpretarse de
forma variada. Por ello, es conveniente ser claro en los mensajes
y contrastar que han sido interpretados correctamente por sus
destinatarios.
Otra manifestación no menos importante del self-conformity-bias se

relaciona con la capacidad del individuo de justificar su conducta
irregular. Por lo tanto, no interioriza la necesidad de cambiar
aquello que, en el fondo, considera justificado. Comprobarás
que hay personas que, habiendo provocado o participado en
una irregularidad de Compliance, no son conscientes de haber
obrado incorrectamente ni antes ni después del incidente.
Estos escenarios sólo pueden prevenirse mediante formación y
concienciación, siendo, por ello, una exigencia recurrente en la
mayoría de estándares modernos sobre Compliance.
Como habrás visto, la función de Compliance enlaza con aspectos

muy interesantes de la psicología social y cognitiva. Esto no
significa que debas reconvertirte a psicólogo, pero sí que tengas
presentes algunos conceptos que te ayudarán a gestionar
eficazmente comportamientos individuales y colectivos.
11
5.
Existen algunos síndromes conductuales estrechamente
vinculados con el Compliance. A continuación expondré algunos
de ellos y las causas que suelen motivarlos, con el objeto de que
puedas evitarlos o gestionarlos.
Síndromes
La Compliance fatigue
que socavan
la cultura de Este concepto viene muy relacionado con la Sarbanes Oxley Act
norteamericana del año 2002 y la cantidad de procedimientos que
Compliance. instauró para mejorar el control interno. Estos nuevos requerimientos,
junto con los que ya se venían gestionando para otras finalidades,
sobrepasaron el umbral de esfuerzo que muchos empleados
consideraban razonable. Ese conjunto de “formalidades” les impedía
dedicarse a las tareas para las que habían sido contratados y por
las cuales se evaluaba su desempeño.
En ocasiones la “compliance fatigue” viene provocada por la

organización, que no duda en asignar a sus empleados nuevos
cometidos de reporte sin facilitarles tiempo para ello ni dejar de
evaluarlos únicamente por las tareas “de negocio” que venían
realizando con anterioridad. Bajo estas circunstancias, es normal que
se opongan a iniciativas percibidas como un lastre a las actividades
que les permiten progresar laboralmente, causándoles desgaste
y, por lo tanto, “fatiga”.
La compliance fatigue se manifiesta de manera muy visible,

con reacciones adversas ante cualquier iniciativa para mejorar
procesos y controles que precisen la participación del personal.
Te ayudará unificar procesos y controles, evitar picos de reporte
(que confluyan en el tiempo varios procesos de reporte) y diseñar
contenidos fáciles de interpretar, muy ceñidos a la práctica
cotidiana de la organización. No olvides que los empleados sólo
aceptan políticas y procedimientos con los que realmente se
consideran conectados.
12
El box ticking
El “box ticking” suele ser una consecuencia de la “Compliance
fatigue”, aunque también puede concurrir de forma independiente.
Consiste en ejecutar los procedimientos definidos por la organización
sin detenerse a reflexionar sobre su sentido. En definitiva, no se
tiene plena consciencia de lo que se está reportando ni de sus
consecuencias. El caso típico es rellenar un formulario de reporte
con aquellas respuestas más obvias que garanticen no volver a ser
interrogado. Así, por ejemplo, declarar que todo es “satisfactorio”,
“correcto” o “no aplicable”. Es, en definitiva, plasmar un “tick” en el
recuadro que proceda del formulario para concluir lo antes posible
esa formalidad, sin mayores molestias.
Obviamente, cumplir procedimientos de manera irreflexiva y con

la única voluntad de terminarlos cuanto antes, socava su finalidad
última. Fallos sonados en los modelos de Compliance obedecen a
este síndrome.
Es importante esforzarse en que los procedimientos sean sencillos

de ejecutar y, sobre todo, que quienes se ven afectados por ellos
comprendan su finalidad. No permitas que en tu organización los
procedimientos sean una finalidad en sí mismos o así se perciban,
pues de ahí al box ticking sólo hay un paso.
Lip-service Compliance
Es curioso que uno de los síndromes relacionados con el
Compliance aparece incluso nombrado en algún estándar
internacional de referencia. Se trata del “lip-service Compliance”,
El lip-service literalmente “cumplimiento de boquilla”. Se da cuando personas de

la organización se manifiestan conscientes de la importancia de
Compliance se las políticas y procedimientos de Compliance, pero omiten adecuar
da en personas su conducta a ellos. También concurre en personas deshonestas,
deshonestas que actúan conscientemente de modo contrario al que defienden
que actuan públicamente.
de modo Estos patrones no exteriorizan una voluntad rebelde respecto de

contrario al los objetivos de Compliance, sino todo lo contrario: exteriorizan
que defienden comentarios alineados o neutros. Sin embargo, se actúa de manera
públicamente. muy distinta.
El “lip-service Compliance” puede darse a muchos niveles de la

organización, siendo su manifestación más grave la que afecta
al órgano de gobierno y máxima dirección, capaces de impulsar
Códigos éticos o de Conducta y de desarrollar, al mismo tiempo,
comportamientos contrarios a su contenido, en un ejercicio de
hipocresía que destruye el “tone from the top”. Es difícil erradicar
el “lip-service Compliance” cuando contamina a la cúpula directiva,
13
siendo más fácil gestionar episodios que afecten a mandos

intermedios o empleados, siempre que se disponga del adecuado
apoyo de alto nivel.
Minusvaloración del Compliance

Hay quien piensa que el conocimiento y adecuada aplicación de
las normas sólo precisa sentido común y dotes normales para la
lectura. Bajo este entendimiento, cualquier persona medianamente
capacitada se puede auto-considerar apta para gestionar
correctamente su interpretación y aplicación. Lo mismo sucede con
los principios éticos que fluyen del Derecho natural, y que cualquier
persona recta conoce desde su nacimiento...
Bajo este entendimiento, frecuente en algunos “self-made men”,

huelga la profesionalización del Compliance, ya que ética y
normas son perfectamente gestionables por personas normales,
sin precisar ninguna ayuda adicional. Esta minusvaloración del
Compliance puede venir avalada por la falta de incidentes en el
pasado y también, como indicaba al inicio, por la exitosa trayectoria
profesional de quienes la plantean. Si a estas circunstancias
añadimos el axioma “¿de qué sirve todo lo demás si no se vende?”,
obtenemos un escenario de riesgo típico en organizaciones muy
volcadas en la actividad comercial. Nuevamente, procede formación
y concienciación basadas en casos reales, mostrando que no toda
actividad de negocio es ética y legal, aunque lo parezca.
14
6.
Cuando asumas responsabilidades en Compliance, estarás
adoptando necesariamente un liderazgo ético, derivándose
importantes consecuencias para ti.
Por qué te El espejo donde mirarse

necesitan. Las personas buscamos patrones de conducta a nuestro alrededor
y nos adaptamos a ellos. Lo hacemos al viajar a un país extraño y
adecuarnos a sus costumbres, o cuando nos incorporamos a una
nueva organización.
En particular, los miembros de una organización prestan especial

atención a la conducta del equipo directivo, que encarna su
cultura. Por eso, sus acciones y omisiones son tan importantes a
la hora de establecer, mantener o mejorar una adecuada cultura
corporativa. Dentro del conjunto de líderes, los que integran
la función de Compliance adquieren gran visibilidad, pues se
convierten en brújula conductual de muchas personas. La menor
condescendencia o desviación de conducta se interpretará como
una declaración implícita de tolerancia y dará carta de naturaleza a
otras similares o peores.
Liderazgo ético
El liderazgo ético comienza por uno mismo y, para eso, hay
que estar entrenado. Hay quien afirma que sólo a través de una
conducta ética uniforme, en todas las facetas de la vida, pueden
desarrollarse unas competencias éticas robustas en el contexto de
la empresa. Sólo así se adquiere la agilidad necesaria para actuar
correctamente ante situaciones de estrés y dirimir complejos dilemas
éticos. Se trata de saber resistir a las tentaciones cortoplacistas que
irrumpen en el día a día de los negocios.
15
Con gran probabilidad, ejercer este tipo de liderazgo supondrá ir

contracorriente en algunos momentos, oponiéndote a decisiones
de negocio que suponen riesgos de Compliance obvios y
esforzándote por reconducirlas a escenarios más sensatos. Y es
aquí donde se produce la gran paradoja de los responsables de
Compliance: aunque tu cometido sea molesto, cuando deja de
serlo se convierte en superfluo. Un responsable de Compliance
para quien “todo está bien” no tiene valor ni para la organización ni
Un para sus compañeros, y así termina percibiéndose. Aunque se diga
responsable jocosamente que cumplimiento es una función del “no” (porque
de Compliance esa es su respuesta habitual ante ciertos planteamientos de
para quien negocio), esto no debe privarte de ser la conciencia de la empresa
“todo esta y manifestarte abiertamente.
bien” no tiene
valor para la
Sentido de la responsabilidad vs
organización prohibición
ni para sus El liderazgo ético implica predicar con el ejemplo y difundir los
compañeros. valores de la organización de manera ordenada. Ante la dificultad
que esto entraña, hay organizaciones que centran sus esfuerzos
en hacer efectiva la prohibición de determinadas conductas. Sin
embargo, es sumamente arriesgado abusar de las prohibiciones,
pues, salvo que se interiorice su sentido, terminarán percibiéndose
como privaciones de libertad de las que escapar en cuanto hay
ocasión. Es mucho mejor trasladar el sentido de la responsabilidad,
es decir, la confianza depositada en que las personas actuarán
de manera íntegra y honesta. Generando esta expectativa se
condiciona su conducta, como una “profecía” que se auto-cumple
(síndrome de Pigmalión). Es mejor que asumir que las personas
de la organización tienden al incumplimiento y que, por eso, sólo
pueden administrase inhibiendo sus conductas y controlándolas.
Ruptura del conformity

Regresemos finalmente al Conformity-bias. Los experimentos de
Solomon Asch demostraron que cuando una persona manifestaba
su disconformidad respecto de la opinión del grupo, otras personas
se motivaban para expresarla también y desviarse de la tendencia
grupal, rompiendo así el conformity. Pues bien, el responsable de
Compliance desempeña un rol capital en ello, pues su voz en la
organización es la que está llamada a impedir el conformity con las
decisiones o los comportamientos inadecuados.
16
7.
Preguntas
¿En qué tipo de documentos se
plasma el “tone from the top”?
El “tone from the top” implica una actitud continuada que, como
tal, deja traza en multitud de documentos de naturaleza variada.
frecuentes. Hallarás evidencias cuando se aprueba formalmente el Código

Ético o de Conducta, en las políticas de la organización (incluida
la de Compliance), y en buena parte de la documentación derivada
de todo ello: comunicados a toda la organización, reportes, etc.
También demuestra tone from the top en la actuación rápida y
contundente ante irregularidades de Compliance.
Realmente el tone from the top deja muchas evidencias, hasta

el punto que es realmente preocupante no hallar ninguna de ellas.
Nadie parece reconocer la

importancia de la función de
Compliance. ¿Es eso normal?
El órgano de gobierno y la máxima dirección deberían no sólo
reconocer sino difundir la importancia estratégica de observar
una senda ética y de respeto a las normas, subrayando el rol
clave de Compliance en ello. El resto de cuadro directivo también
debería hallarse alineado y difundir este mensaje, en lo que se ha
denominado “tone a the middle”. Ellos mantienen una interlocución
muy cercana con los equipos de gestión operativa y su proactividad,
en materia e Compliance, es muy relevante a la hora de establecer,
mantener o mejorar una cultura ética en toda la organización. Una
función de Compliance valorada y consolidada debería disfrutar del
reconocimiento generalizado que conlleva el soporte de todos estos
colectivos.
17
La falta de reconocimiento de los cometidos de Compliance no es

en absoluto normal ni intrascendente, procediendo reflexionar
acerca de las causas que lo provocan para actuar inmediatamente
sobre ellas.
Mi organización nunca encuentra

el momento para establecer un
modelo de Compliance. ¿Qué puedo
hacer?
En ocasiones, produce pereza ejecutar proyectos de mejora
que no se consideran directamente vinculados con la generación
de ingreso. Lamentablemente, existen organizaciones que se
dan cuenta de ello tarde y emprenden mejoras en el ámbito del
Compliance a raíz de verse involucradas en situaciones que les
reportarán daños económicos y reputacionales. Quien ha estado
inmerso en ellas conoce bien las ventajas de anticiparse, pues no
sólo se evitarán graves inconvenientes sino que también ayudará a
respaldar la diligencia del órgano de gobierno y máxima dirección
para una gestión responsable.
¿Dónde encuentro directrices

sobre el modo de organizar
razonablemente un Sistema de
gestión de Compliance?
Vit et aut
optis que qui En la actualidad, existen estándares internacionales muy
dit harchit reputados que ofrecen directrices y requisitos explícitos de
qui illestem Compliance. En el Cuaderno número 4 de esta Serie (“Sistemas
acculparcia de gestión de Compliance”) encontrarás algunas referencias. Por

su modernidad, son especialmente interesantes los estándares ISO
quatur, aut 19600:2014, ISO 37001:2016 y UNE 19601:2017.
deraes ut et
ilitiis idebit Es interesante que atiendas a su contenido y evites implantar
vitem acit modelos de Compliance poco alineados con su él. Ganarás eficacia
eumquibeatem
y conseguirás también que puedan ser evaluados positivamente
por terceros independientes, en caso de que resulte útil.
eumqui is
millignis ¿Cómo puedo evitar situaciones
negativas de “conformity”?
Para erradicar situaciones generalizadas de “conformity” es de
utilidad habilitar espacios de comunicación y debate. Cuando se
brinda a las personas oportunidades para comentar libremente sus
opiniones, sin temor a recriminaciones o represalias, suelen hacer
uso de ella y dificulta que algunas consoliden un estado de opinión
por el efecto conformity. Los estándares de Compliance modernos
18
recomiendan desarrollar talleres de trabajo o “forum groups”

donde debatir las inquietudes o las ideas de algunos colectivos
sobre la materia. No desaproveches la oportunidad de organizarlos
y liderarlos, permitiendo intercambiar pareceres, dar soporte a las
iniciativas positivas y erradicar el conformity de las incorrectas.
¿Cómo se lucha contra el “box

ticking”?
Desde luego, es mejor evitar que el “box ticking” se produzca,
pues, una vez instaurado, resulta más difícil erradicarlo. En
cualquier caso, las personas afectadas por las políticas y los
procedimientos de la organización necesitan comprender su
importancia y sentirse conectadas con ellos. De ahí que sea
una buena recomendación hacerlas partícipes en su diseño e
incluso en su difusión/formación.
Adicionalmente, la práctica totalidad de marcos de referencia

sobre Compliance no sólo sugieren impartir formación
sobre el contenido de los valores y normas a observar, sino
también sobre las políticas y procedimientos dispuestos
por la organización a tales efectos. Los ciclos formativos
constituyen, por lo tanto, una buena palanca para su
comprensión y prevenir el box ticking.
Es importante que contrastes si las medidas para evitar el

box ticking están siendo eficaces: selecciona aleatoriamente
procedimientos y herramientas de captación de información/
datos, y revisa si su contenido ha sido objeto de reflexión. Si
es preciso, coordina con auditoría interna esta labor.
19



tratamiento.

modelo.
20

Compliance

normas
éticos.


propósito.
21



obstructivas

organizaciones
22

19601
Madrid 2017

Alain Casanovas
Supremo
Madrid 2013

Alain Casanovas
Madrid 2012

Alain Casanovas
Madrid 2008
23
Compliance
en pequeñas
organizaciones
Alain Casanovas
12
de Compliance
www.asociacioncompliance.com Compliance en pequeñas organizaciones

Compliance penal.

© 2018


2
Presentación Al hablar de los sistemas de gestión Compliance, recurrimos

a conceptos relacionados con la ingeniería de procesos
y el control interno que llevan tiempo madurando en
organizaciones grandes. Esto genera la apariencia de que las
buenas prácticas de Compliance están alejadas de la realidad
de las empresas de pequeño tamaño. Suele pensarse que
éstas no disponen de recursos suficientes para establecer
buenos sistemas de gestión de Compliance. Es una forma
equivocada de pensar.
Los estándares modernos de Compliance contemplan la

posibilidad de adaptar sus directrices a las circunstancias
de cualquier organización, facilitando disponer de modelos
avanzados y ceñidos a sus particularidades. Es evidente
que, en bastantes aspectos, las pequeñas organizaciones
no disponen de las mismas capacidades que las grandes.
Pero esta obviedad no puede convertirse en excusa para
vivir de espaldas a la buenas prácticas que se imponen en
materia de Compliance, y que los clientes y socios de negocio
esperan también de las pequeñas organizaciones.
Como en muchos otros países, en España las pequeñas

y mediadas organizaciones (incluidas micro-empresas y
trabajadores autónomos) conforman la inmensa mayoría del
tejido empresarial. Ignorar a este colectivo es un grave error y,
por eso, los marcos de referencia de Compliance contemplan
la aplicación de sus contenidos de manera proporcional.
En particular, hallamos referencias a las “Small and Medium
Enterprises” (SME) en muchos de estos textos, esforzándose
por difundir buenas prácticas en una parte tan importante de
la economía.
Para que puedas pasar de las palabras a los hechos, en este

Cuaderno te facilitará ideas y conceptos a considerar para
trasladar principios o directrices de Compliance al entorno de
las pequeñas organizaciones.
Alain Casanovas
3
Índice
1. Lo importante es la cultura ética
2. El principio de proporcionalidad
3. Aplicación no razonable
4. Ventajas e inconvenientes
5. Nivel de exposición
6. Involucración de la propiedad
4
1.
Un modelo de Compliance es siempre instrumental y no una finalidad
en sí mismo. En ocasiones, envueltos en los tecnicismos propios de la
disciplina, olvidamos esta realidad y es entonces cuando tratamos de
replicar en pequeñas organizaciones las mismas prácticas que concurren
en las grandes. Y eso es un error.
Lo importante Las US Sentencing Commission Guidelines establecen como objetivo
es la cultura fundamental de un “Effective Compliance and Ethics Program” su capacidad
ética. para promover una cultura organizativa que impulse los comportamientos
éticos y el cumplimiento de la Ley. Es una interpretación que en España
acoge la Circular 1/2016 de la Fiscalía General del Estado al remarcar
que los modelos de Compliance no tienen por objeto evitar la sanción
penal, sino promover una verdadera cultura de ética empresarial. En esta
línea profundiza, todavía más, la célebre Sentencia 154/2016 del Tribunal
Supremo español, de 29 de febrero, al aclarar la importancia de la cultura
de cumplimiento como factor determinante de la responsabilidad penal
de la persona jurídica, incluso por encima de los requisitos previstos en el
Código penal sobre modelos de Compliance.
Cuando comprendemos que la finalidad de un modelo de Compliance

es, en última instancia, generar, mantener o mejorar la cultura ética y
de respeto a las normas, nos damos cuenta de que se trata de un reto
donde las pequeñas organizaciones disfrutan de ventaja, al concurrir en
ellas circunstancias muy favorables para lograr ese objetivo trascendente.
En organizaciones complejas no es razonable pensar que la cultura

de Compliance surgirá y se difundirá espontáneamente, salvo que se
apliquen homogéneamente una serie de prácticas que así lo permitan.
En pequeñas organizaciones, sin embargo, se puede alcanzar ese
objetivo de forma mucho más sencilla. Las US Sentencing Commission
Guidelines proponen ejemplos ilustrativos que permiten constatar en
ellas un nivel de compromiso equivalente al de compañías mayores,
incluyendo la formación a empleados mediante reuniones informales,
boletines, etc. Esto supone, en el fondo, la traducción de buenas
prácticas a las capacidades y recursos de que disponen las pequeñas
organizaciones. Es un ejercicio que se puede realizar sin excesiva
dificultad, siempre que no se caiga en el error de copiar iniciativas
pensadas para organizaciones mayores.
5
2.
La práctica totalidad de marcos de referencia en sobre Compliance
señalan la posibilidad de adaptar sus principios o requisitos a las
circunstancias de cada organización, descartando que un sistema
de gestión Compliance: (i) tenga una sola forma de ejecución, y (ii)
El principio de sea algo exclusivo de grandes organizaciones.
proporcionalidad. Correcta interpretación del

principio
Existe cierta inercia histórica a considerar el tamaño de la
organización como factor determinante de una correcta aplicación
del principio de proporcionalidad, como parecen señalar las
US Sentencing Commission Guidelines. También la limitación
de recursos suele apuntarse como elemento a considerar, según
recuerda la Guía para la aplicación de la Bribery Act británica. En
verdad, son otros muchos los factores a tener en cuenta, incluyendo
los mercados donde se opera, el tipo de negocios desarrollados,
los terceros con los que se vincula y un largo etcétera. La
aplicación proporcional de las buenas prácticas de Compliance
no viene condicionada exclusivamente por las circunstancias
internas de cada organización, sino también por las externas que
he esbozado. Los estándares modernos sobre Compliance inciden
en la importancia de un análisis completo de ambas esferas para
adaptar correctamente sus recomendaciones y requisitos. Puedes
consultar más información al respecto en los cuadernos número 1
(“¿Qué es Compliance?”) y 4 (“Sistemas de gestión de Compliance”)
de esta Serie.
No debe confundirse la aplicación proporcional de las buenas

prácticas recogidas en los estándares de Compliance con el llamado
“cherrypicking”: selección de aquellas que convienen por comodidad.
Por lo tanto, debe interpretarse como la aplicación de todos sus
componentes, adaptando las prácticas en que se descomponen
6
a las circunstancias internas y externas de cada organización.

De hecho, los marcos de referencia evitan encorsetar su contenido
en formalidades que dificulten este ejercicio, incrementando así su
capacidad de adaptación.
Adaptación de contenidos
Como anticipaba en el apartado anterior, un buen ejemplo de cómo
adaptar recomendaciones de Compliance lo encontramos en las
US Sentencing Commission Guidelines. Permite, por ejemplo, que
la operación del “Effective Compliance and Ethics Program” esté en
manos del propio órgano de gobierno social, cuando, por tamaño
de la organización, no existe posibilidad fáctica de atribuir ese
cometido a un órgano especializado. Es, por cierto, una solución
que también acoge el legislador español para las denominadas
“personas jurídicas de pequeñas dimensiones”.
Evidentemente, a pesar de revestir muchas menos formalidades, las

pequeñas organizaciones deben igualmente estar en disposición de
acreditar la existencia e idoneidad de su modelo de Compliance.
Por consiguiente, es falso que los modelos de Compliance y

los estándares que recogen buenas prácticas sean únicamente
asequibles para grandes organizaciones, pues existe el modo de
Existen modos trasladar su contenido a pequeña escala con medios al alcance de

cualquier empresario.
de trasladar
las buenas
prácticas de
Compliace
al alcance
de cualquier
empresario.
7
3.
El principio de proporcionalidad es de gran ayuda para generalizar
el Compliance en las organizaciones. Pero su aplicación sesgada es
sumamente peligrosa.
He señalado anteriormente la importancia de atender tanto las

Aplicación no circunstancias internas como externas de una organización, para
razonable. poder aplicar correctamente componentes y principios de Compliance.
Si atendemos solamente a las primeras, podemos obtener modelos
de Compliance modestos, que no son acordes con las segundas. Es
el caso, por ejemplo, de pequeñas organizaciones que operan en
mercados geográficos con conocido riesgo de corrupción, donde
su tamaño y recursos tal vez no les permiten disponer de modelos
robustos para operar en ellos. Puesto que asumir conscientemente
ese desequilibrio no forma parte del concepto de apetito de riesgo
en Compliance, tal vez sea razonable reflexionar sobre la idoneidad
de operar en emplazamientos para los que no se está preparado,
y que precisarán recursos por encima de las posibilidades reales.
Encontrarás más información sobre el apetito de riesgo en
Compliance en el Cuaderno número 3 de esta Serie (“Relación de
Compliance con Gobernanza y Gestión del riesgo”).
Con independencia de los mercados geográficos donde se

actúe, cierto tipo de actividades demanda estructuras robustas de
Compliance a causa de su potencial repercusión sobre la población.
En estos contextos, el principio de proporcionalidad no justifica
modelos pobres, deficientes para prevenir los daños a terceros por
una mala gestión de la salud pública o del medio ambiente, por
ejemplo. Nuevamente, podemos encontramos con la necesidad de
modelos de Compliance por encima de las circunstancias internas
de la organización.
El principio de proporcionalidad no puede justificar estructuras

inadecuadas al conjunto de circunstancias de cada organización.
Si ves que se están confundiendo los términos, levanta la mano y
explícalo.
8
4.
Las pequeñas organizaciones disfrutan de ventajas obvias en
materia de Compliance. A causa de su dimensión, la normativa
puede permitir que el órgano de gobierno desarrolle la supervisión
en este ámbito, lo que podría hacer eficazmente dada su cercanía
Ventajas e a las operaciones. Es más, el nivel de proximidad del órgano de

gobierno con los empleados facilita influir sobre ellos y consolidar
inconvenientes. fácilmente la cultura corporativa. Es un activo de gran valor del
que normalmente carecen las grandes organizaciones. Ahora bien,
bajo esta estructura de gobernanza y control, la organización estará
muy condicionada por los eventuales déficits éticos de su equipo
de gobierno. De hecho, aun cuando se designe un órgano de
Compliance con acceso rápido y fluido con el órgano de gobierno,
sufrirá enormemente dichas carencias, traducidas normalmente
en falta de autonomía e independencia. Este último elemento,
además, puede verse seriamente afectado por la dificultad de
distanciarse las operaciones así como de los compañeros que
desarrollan la gestión operativa, perdiendo Compliance neutralidad
de juicio. Sobre estas cuestiones, puedes consultar el Cuaderno
número 5 de esta Serie (“Autonomía e independencia en
Compliance”).
En líneas generales, los modelos de Compliance modestos

precisan, obviamente, menos recursos que los complejos. Por ello,
el nivel de formalidades de Compliance puede llegar a reducirse
drásticamente, lo que posibilita modelos sencillos y altamente
eficaces. Sin embargo, esto complica acreditar su existencia y
aplicación práctica. A efectos administrativos o judiciales, igual
de problemático es carecer de un modelo de Compliance, que
disponer de él pero no ser capaz de acreditarlo. Algunos textos,
como en España la Circular 1/2016 de la Fiscalía General del
Estado, abogan por modelos soportados documentalmente,
sin establecer diferencias por motivo de perfil de organización. Por
todo ello, no es razonable equiparar un modelo proporcional con la
ausencia de todo soporte documental.
9
5.
En líneas generales, aunque el alcance de las operaciones de
las pequeñas organizaciones suele ser limitado, existe consenso
en considerar que su nivel de exposición a los riesgos de
Compliance no es en absoluto despreciable. Esto obedece a
Nivel de varias razones.
exposición. Percepción errónea de la relevancia

del Compliance
Algunas organizaciones pequeñas consideran que el Compliance
sólo incumbe a grandes empresas. Esta percepción errónea lleva
a que sus gestores consideren muy ambiciosa la idea de disponer
de modelos adecuados, obviando las potenciales consecuencias
negativas que se derivan de ello, no sólo para la organización sino
también para ellos mismos. Como resultado, Compliance queda
fuera de sus agendas, multiplicando las posibilidades de sufrir
un incidente de esa naturaleza y mermando sustancialmente las
capacidades de acreditar diligencia debida en ese ámbito.
Difícil acreditación
Los modelos de Compliance modestos revisten menos
formalidades, lo que puede conllevar dificultades en la
acreditación de su existencia y aplicación. Estas limitaciones
pueden suponer, por ejemplo, grandes dificultades para que un
tercero independiente emita un juicio de conformidad con un
determinado modelo de Compliance. Es un aspecto que perjudica
notablemente las posibilidades de revisarlo, auditarlo o certificarlo.
Es más, como estas mismas limitaciones posiblemente afectarán
a otros ámbitos (calidad, gestión medioambiental, trazabilidad
alimentaria, etc), puede incluso resultar difícil acreditar un entorno
general de control que, en ausencia de un modelo contrastable de
Compliance, contribuya a la defensa de la organización.
10
Descuidar esta realidad acarrea amargas consecuencias, pues

los esfuerzos vertidos para establecer, mantener o mejorar el tono
ético y de respeto a la Ley pueden finalmente ser invisibles.
Organizaciones sin ánimo de lucro

Existe la percepción equivocada de que, por dedicarse a actividades
de interés social, las organizaciones sin ánimo de lucro no están
expuestas a riesgos de Compliance, o sus buenas intenciones
justifican dejarlos en un segundo plano de prioridades. Ninguno de
estos entendimientos es correcto. Es más, muchas organizaciones
sin ánimo de lucro desarrollan sus actividades en zonas geográficas
Muchas de alto riesgo: por ejemplo, de soborno en las importaciones de
organizaciones alimentos o medicinas.
sin ánimo
de lucro En la mayoría de casos, se trata de pequeñas organizaciones llenas
desarrollan de buenas intenciones. Sin embargo, pueden verse involucradas en

malas praxis que supondrán sanciones y/o daños reputacionales.
sus actividades En ocasiones, se trata de prácticas a las que son obligadas
en zonas (pago de sobornos), mientras que, en otros casos, obedecen al
geográficas de desconocimiento (carencia de autorizaciones, contratación laboral
alto riesgo en inadecuada) o la falta de control interno (conductas inapropiadas
materias de
del personal ante colectivos desprotegidos).
Compliance. Algunas organizaciones sin ánimo de lucro han protagonizado

escándalos sonados en materias de Compliance. Por eso, y a pesar
de su tamaño y buenas intenciones, procede igualmente aplicar
proporcionalmente cautelas de Compliance.
11
6.
En grandes organizaciones se ha ido consolidando la división
entre propiedad y gestión, en el sentido que generar una cultura
de Compliance es algo más alejado de la primera y próximo a la
segunda. Por poner un ejemplo a efectos didácticos, no se espera
Involucración
que el titular de una pequeña participación en el capital de una entidad
cotizada vaya a incidir en su cultura de Compliance. Sin embargo, la
de la situación varía drásticamente en las pequeñas organizaciones, donde
propiedad.
la cercanía de la propiedad a la gestión deviene un factor relevante
para impulsar los valores éticos.
Un ejemplo: empresas familiares

Un ejemplo lo hallamos en las empresas familiares, donde no cabe
duda que la voluntad de la familia condiciona enormemente la actitud
del equipo directivo y la orientación estratégica del negocio. No es
extraño, pues, que las US Sentencing Commission Guidelines se
refieran expresamente al rol de la propiedad en la implementación
de “Effective Compliance and Ethics Programs” en pequeñas
organizaciones.
Otro ejemplo: el capital riesgo

Una situación análoga puede concurrir en otros supuestos donde la
propiedad ejerce una gran influencia en la gestión, como es el caso
de algunos fondos de capital riesgo: no sólo pueden disponer del
control sobre sus inversiones, sino que analizan atentamente su
evolución para incidir en directrices de gestión.
Oportunidades y riesgos
Estas capacidades de la propiedad deben interpretarse en clave de
oportunidad, pero también de riesgo. Oportunidad porqué está en
sus manos inducir la adecuada orientación ética y de respeto hacia las
normas del negocio, pero riesgo porque no hacerlo, cuando se puede,
se barajará en clave de negligencia. Difícilmente se descargará toda
la culpa por una cultura deficiente sobre el equipo directivo cuando
aquel fue sido designado, reporta y asume el mandato de la propiedad.
12
7.
Preguntas
¿Justifica el principio de
proporcionalidad que una pequeña
organización no dedique recursos a
definir y conseguir sus objetivos de
frecuentes. Compliance?
Evidentemente no. El principio de proporcionalidad de no
ampara ninguna acción contraria a generar una cultura ética
y de respeto a la Ley. Obviamente, no definir los objetivos
a tales efectos no ayuda en nada a ello. Sí que justifica, sin
embargo, disponer de un modelo de Compliance adaptado a
sus circunstancias internas y externas, que, aun no siendo
comparable con el de una gran organización, presentará unos
principios básicos equivalentes.
¿Es necesario extremar

precauciones ante oportunidades
de negocio en economías
emergentes?
Si disponemos de información suficiente para concluir que
una economía emergente es, al mismo tiempo, una zona
geográfica con riesgos de Compliance, desde luego que
se deberán extremar las precauciones para prevenirlos,
detectarlos y gestionarlos. De hecho, se espera que las
empresas éticas, no importa su tamaño, contribuyan a
mejorar el entorno en los países que precisan progresar en
este ámbito. Por eso, no sólo cabe adoptar cautelas para
salvaguardarse de las conductas de riesgo, sino también
actividades de difusión que mejoren el entorno de negocios
en el medio y largo plazo.
13
¿Cómo se pueden explotar las

ventajas de ser una organización
pequeña en materia de
Compliance?
En una organización pequeña se puede generar y mantener
con mayor facilidad una cultura ética y de respeto a la
Ley, gracias a la cercanía de la propiedad y gestión con
las operaciones. Pero explotar esta faceta atraviesa por
comprometerse con ello y desarrollar una conducta ejemplar.
A partir de ahí, no es difícil definir un modelo de Compliance
proporcional a las circunstancias del caso y asegurarse de
que contempla principios de cumplimiento generalmente
aceptados.
¿Cómo puedo reducir el nivel

de exposición a los riesgos de
Compliance?
El nivel de exposición a los riesgos de Compliance disminuye
a medida que se aplican los principios y prácticas recogidas
en los estándares modernos sobre esta materia. Siendo una
pequeña organización, cabrá realizar este ejercicio de manera
proporcional a las circunstancias, pero no sólo recurriendo a
algunas de ellas por motivo de conveniencia.
¿Qué rol juega la propiedad en

el tono ético de una pequeña
organización?
En organizaciones pequeñas, cuya propiedad está
concentrada en pocas manos, suele disponer de una
capacidad notable para influir en la gestión y, por lo tanto,
su actitud juega un rol clave en definir o reorientar la cultura
del negocio. En estos contextos, profesionalizar la gestión
no debe interpretarse necesariamente como una completa
desvinculación respecto de los derroteros éticos de la
organización, pudiendo perfectamente conjugarse con unas
directrices claras y alineadas con las buenas prácticas al
respecto.
14



tratamiento.

modelo.
15

Compliance

normas
éticos.


propósito.
16



obstructivas

organizaciones
17

19601
Madrid 2017

Alain Casanovas
Supremo
Madrid 2013

Alain Casanovas
Madrid 2012

Alain Casanovas
Madrid 2008
18

Compliance - Asociacion Española Compliance

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Compliance - Asociacion Española Compliance

Cargado por

Copyright:

Formatos disponibles

Cuadernos de Compliance

Alain Casanovas Abogado y miembro de la Junta Directiva de la Asociación Española de

Codirector de los dos primeros Programas de postgrado de Compliance en

La Serie de Cuadernos de Compliance es propiedad intelectual del

La información contenida en esta publicación constituye, salvo error u

Presentación En las conversaciones actuales puede hablarse de Compliance

El incremento del número de normas a cumplir, su creciente

Siguiendo una aproximación clásica, podríamos decir que

Puesto que se trata de una disciplina relativamente nueva,

En estos Cuadernos explicaré aspectos esenciales para

1. La curva de madurez del Compliance

3. La cultura ética y de respeto a las normas

4. De los programas a los sistemas de gestión

6. Sistemas de gestión genéricos y específicos

fuerza en el ordenamiento, como sucede con la prevención

Obligaciones voluntariamente. Los sistemas de gestión de Compliance

Esta aproximación permite mejorar el sistema de gestión, dado

La cultura las organizaciones.

ética y de Compliance y positivismo

Fuentes de las obligaciones éticas

También es posible que las organizaciones establezcan y

El Chief Ethics & Compliance

Relación tradicional entre ética y

Las tendencias modernas en materia de Compliance

Profundizo sobre la relación existente entre ética y Compliance

De los Ethics Programs”. Igualmente, el primer estándar nacional

los sistemas sinfín de documentos, incluyendo los emitidos por la OCDE,

Compliance. de gestión: es el caso de los estándares internacionales ISO

Diferencias entre Programa y

Lógica sistémica en el diseño,

Autonomía e La autonomía de la función de Compliance viene

Un órgano de Compliance puede ser autónomo, por disponer

La ausencia tanto de autonomía como de independencia

Cumplir con las normas no es ninguna novedad, pues

de etapas anteriores radica en esa pluralidad, que

Una superestructura articulará y gestionará las prácticas

Paper con promover una cultura ética y de respeto a la Ley

La plasmación documental de un modelo de Compliance

Paper Compliance y modelos

organización conozcan qué conductas deben ocultar y el

En septiembre de 2012 la antigua autoridad británica en

Factores que determinan la

A principios del año 2017, el Departamento de Justicia

¿Sustituye Compliance a la Gestión

evaluación y tratamiento. Esto no significa que Compliance

¿Qué relación existe entre

¿Establece Compliance parámetros

auto-imponen las organizaciones. Sin embargo, del mismo

En situaciones excepcionales, la ausencia de autonomía y/o

Serie de Cuadernos Compliance

Cuaderno 2 Conoce tu organización

Cuaderno 3 Relación de Compliance con

Cuaderno 4 Sistemas de gestión de Compliance

Cuaderno 5 Autonomía e independencia en

Cuaderno 6 Cultura ética y de respeto a las

Cuaderno 7 Árbol de políticas de Compliance

Cuaderno 8 La cadena de reporte en Compliance

Cuaderno 9 Responsabilidades personales en el

Cuaderno 10 Compliance en el ámbito de la

Cuaderno 11 Resistencia al cambio y conductas

Cuaderno 12 Compliance en pequeñas

Bibliografía Compliance Penal Normalizado – El estándar UNE

Legal Compliance - Principios de Cumplimiento