Temas Unificados - Compliance

Entornos genéricos de cumplimiento
[1.1] ¿Cómo estudiar este tema?
[1.2] Principios y directrices de la OCDE
[1.3] Las normas de estandarización nacionales e internacionales
1 TEMA
TEMA 1 – Esquema
Esquema
ENTORNOS GENÉRICOS DE CUMPLIMIENTO
Las normas de
Principios y directrices de la estandarización nacionales e
OCDE internacionales
Principios de Gobierno Australian

Corporativo Standards
Líneas directrices para ISO

empresas
© multinacionales
Universidad Internacional de La Rioja (UNIR)
IDW
Entornos de
cumplimiento
AENOR
COSO OCEG
Compliance
Compliance
I d e a s c l a ve
1.1. ¿Cómo estudiar este tema?
Para estudiar este tema, además de leer y comprender las ideas clave, deberás
complementar los contenidos con las siguientes lecturas:
Casanovas, A. (2012). Legal Compliance. Principios de cumplimiento generalmente

aceptados (pp. 61-92). Madrid: Difusión jurídica.
Disponible en el aula virtual en virtud del artículo 32.4 de la Ley de Propiedad
Intelectual.
Casanovas, A. (2018). El estándar nacional sobre compliance penal: UNE 19601, Serie
Compliance avanzado – 8. KPMG. Disponible en:
https://www.tendencias.kpmg.es/wp-
content/uploads/2018/08/8_Estandares_Nacionaless_270718.pdf
En el tema 1 analizaremos el origen de los principios relativos a modelos de gestión

basados en gobernanza corporativa y entornos de cumplimiento. Repasaremos los
aspectos esenciales de dichos entornos y las metodologías que se aplican para su
desarrollo en el seno de la organización o empresa.
También veremos el papel que las normas de estandarización tanto nacionales como
internacionales juegan al respecto. Conoceremos cuáles son las más significativas, los
aspectos esenciales de su contenido y su utilidad en la materia.
1.2. Principios y directrices de la OCDE
El convenio fundacional de la Organización para la Cooperación y el Desarrollo

Económico (OCDE), firmado en París el 14 de diciembre de 1960, y que entró en vigor
el 30 de septiembre de 1961 contempla como uno de sus objetivos primordiales la
contribución a la «sana expansión económica» de los Estados. Para la consecución de
dicho objetivo la OCDE recomienda una serie de principios que con el paso del
tiempo se han convertido en auténticos modelos de funcionamiento para empresas y
organizaciones en el ámbito internacional.
TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

Compliance
Principios de Gobierno Corporativo
En 1999 emitió los denominados Principios de Gobierno Corporativo. Concebidos

inicialmente como recomendaciones generales sobre gobernanza, constituyen
el entorno genérico mayoritariamente aceptado para la gestión del cumplimiento al
abordar cuestiones tales como los procesos decisorios en materias medioambientales,
cuestiones de índole ética y aspectos relativos a la lucha contra la corrupción.
Si bien no reconocen la existencia de un único modelo de gobierno corporativo,
establecen principios de gran valor para la adopción de prácticas de buen gobierno que
han constituido históricamente la base de referencia para la legislación de los Estados.
No se trata de un texto específicamente centrado en Compliance, pero aborda aspectos

relativos, por ejemplo, al compromiso con los valores éticos, la integridad de la
información financiera y el cumplimiento normativo.
Líneas directrices para empresas multinacionales
En 1976 la OCDE aborda medidas para facilitar los procesos de inversión entre sus
estados miembros. La cuestión se plasma en la Declaration on International
Investment and Multinational Enterprises. Como parte de dicha declaración vieron la
luz las Guidelines for Multinational Enterprises. Las «Guidelines» son una serie de
recomendaciones para llevar a cabo negocios de forma responsable con el fin de
generar un entorno de confianza que dé seguridad a los inversores. Hoy por hoy
constituyen referencia obligada para las multinacionales, y su contenido determina los
elementos clave del entorno genérico para la gestión del cumplimiento.
Se estructuran en torno a una serie de bloques de cumplimiento normativo muy

esenciales, lo que hace difícil que las empresas multinacionales puedan obviar
cualquiera de ellos.
Resulta interesante destacar que uno de los principios señalados en las «Guidelines»
hace referencia no solo al comportamiento de la propia multinacional, sino también a la
necesidad de vigilar el comportamiento de sus proveedores.
También se señala la necesidad de que las empresas y organizaciones dispongan de

sistemas de cumplimiento, y a que den a conocer información sobre el mismo.

Compliance
Entornos de cumplimiento
Una parte esencial de cualquier sistema de cumplimiento la constituyen los

denominados entornos de control. Surgen en los años 90, centrados en la definición
de procedimientos de control interno. Su importancia crece en el siglo XXI, fruto de los
grandes escándalos de corrupción como el de la americana ENRON.
De entre todos los existentes es mayoritariamente aceptada la metodología desarrollada

por el Committee of Sponsoring Organizations (COSO). COSO se centra en el control
interno en el ámbito de la información financiera. No obstante, si bien el modelo solo es
aplicable en aquellos ámbitos directamente relacionados con los reportes financieros,
sus principios son aplicables de modo genérico en el ámbito del cumplimiento.
» COSO. Aspectos esenciales
El entorno definido por COSO ha devenido con el tiempo en el estándar por excelencia
en cuanto a control interno. Define un marco integrado de control genérico que se
basa en la existencia de información fiable. Se estructura en torno a una matriz de tres
dimensiones:
o Objetivos: estrategia, operaciones, información y cumplimiento.

o Componentes: elementos sobre los que hay que actuar, en relación a cada uno
de los objetivos anteriores, y que determinarán el nivel de efectividad con el que
una organización controla sus riesgos y oportunidades.
o Aplicación/evaluación: las dos dimensiones anteriores deben aplicarse tanto
a nivel de entidad como de actividad.
» OCEG. Aspectos esenciales
El modelo Open Compliance and Ethics Group (OCEG) también constituye un

estándar con reconocimiento internacional. Surge de un grupo de discusión diverso que
integra también a la comunidad jurídica. OCEG se centra en el estudio e interrelación
de tres elementos esenciales: gobernanza, gestión del riesgo y cumplimiento,
para definir la gestión integrada de todos ellos en un modelo de «Gobernance, Risk and
Compliance».

Compliance
OCEG declara expresamente que su modelo permite a las organizaciones operar dentro
de los condicionantes legales y contractuales.
» Recomendaciones comunes en los distintos entornos de cumplimiento
o Respaldo cultural.
o Estructuras.
o Identificación de riesgos.
o Políticas y procesos.
o Comunicación y corrección.
o Monitoreo.
1.3. Las normas de estandarización nacionales e internacionales
» ISO
ISO es el acrónimo de International Organization of Standarization. En griego

significa «equivalente». Es una ONG de carácter privado nacida en 1.947. Está
integrada por organizaciones nacionales que emiten normas a nivel local. Carece de
capacidad para legislar o imponer sus criterios, pero estos acaban imponiéndose a nivel
práctico como normas de cumplimiento casi obligado.
El 13 de octubre de 2016 se publicó un estándar de indudable relevancia en el ámbito

de Compliance: la norma ISO 37001 sobre sistemas de gestión antisoborno. Consciente
de los riesgos e importantes consecuencias del soborno, ISO ha desarrollado la primera
norma internacional que establece los requisitos que debe cumplir un sistema de
gestión para reducir la probabilidad de que en una organización se cometan este tipo de
delitos. La ISO 37001 establece por tanto los requerimientos y las directrices a seguir
para:
» El establecimiento, la implementación, el mantenimiento y la mejora de los

sistemas de gestión anticorrupción.
» Configura una serie de medidas para ayudar a las organizaciones a prevenir,
detectar y abordar el riesgo de soborno, unas medidas entre las que se encuentran
el nombramiento de una persona para supervisar el cumplimiento de las normas
adoptadas para evitar el soborno.

Compliance
» La formación como aspecto relevante para evitar riesgo.

» La evaluación de riesgos.
» La aplicación de controles financieros y comerciales.
» El establecimiento de procedimientos de diligencia debida, ya sean en relación con
las personas de la organización como en relación a los terceros con los que se
mantengan relaciones.
» La configuración de procedimientos de información y de investigación, todo ello
pasando por un previo e indispensable apoyo de alto nivel en la organización.
La norma ISO 37001 está dirigida a cualquier tipo de organización, al margen de su

tamaño o de su naturaleza privada o pública, incluyendo también a organizaciones sin
ánimo de lucro, dado que el estándar se ha concebido como una herramienta flexible
que pueda adaptarse tanto a la naturaleza y tamaño de la organización como al riesgo
del soborno al que se enfrenta. El término «organización» se configura también en un
sentido amplio y por consiguiente será posible implantar los sistemas antisoborno en la
totalidad de la empresa, en un parte de la misma o en un grupo de empresas.
Finalmente, mencionar que la ISO 37001 establece un sistema de gestión

«certificable», manteniendo la estructura de alto nivel de los modelos de gestión ISO
más recientes.
» Australian standards
Integrada en ISO y reconocida por el Gobierno australiano. Elaboró en 2006 un

estándar sobre programas de cumplimiento que ha adquirido aceptación internacional.
Busca detectar deficiencias en el ámbito del cumplimiento de las leyes, regulaciones y
códigos.
» IDW
El Institut der Wirtschaftsprüfer in Deutschland aprobó en marzo de 2011 la

Assurance Standard, que no constituye un entorno de cumplimiento sino una norma
de assurance, dirigida a auditores, para verificar sistemas para la gestión del
cumplimiento. Su finalidad no es establecer directrices en materia de cumplimiento,
pero identifica los aspectos clave que deben analizarse en un procedimiento de
revisión, señalando así indirectamente los principales elementos que han de tenerse en

Compliance
cuenta. Constituye, por tanto, una imprescindible norma de conocimiento en la

materia.
La Assurance Standard es utilizada como herramienta para el desarrollo de encargos

de seguridad razonable sobre sistemas de gestión de cumplimiento. El mencionado
concepto parte de la base de que todo mecanismo de control tiene limitaciones
inherentes que no pueden impedir que algunas vulneraciones no se prevengan o
detecten, normalmente a causa de errores humanos, negligencia o dolo. Se trataría por
tanto de reducir el riesgo a un nivel aceptablemente bajo.
» AENOR
La Asociación Española de Normalización y Certificación (AENOR) se constituye en

1.986. En 2017, tras un proceso de reorganización interno ha depositado en la entidad
UNE su tarea de normalización y cooperación. UNE constituye el organismo
legalmente responsable del desarrollo y difusión de las normas técnicas en España.
Recientemente acaba de publicar la UNE 19 601, sobre sistemas de gestión del

cumplimiento y sistemas de gestión anticorrupción. Esta norma establece los
requisitos para implantar un sistema de gestión de Compliance penal con el objetivo de
prevenir la comisión de delitos y reducir el riesgo penal en las organizaciones y así
favorecer una cultura ética y de cumplimiento.

Compliance
L o + r e com e n d ado
No dejes de leer…
Superestructuras de Compliance: el estándar global
Casanovas Ysla, Alain (10 de octubre de 2014). Superestructuras de Compliance: el

estándar Global. Blog KPMG Cumplimiento Legal.
El autor hace referencia a las denominadas superestructuras de Compliance, sistemas

orientados a gestionar el cumplimiento de obligaciones de distintos ámbitos y
naturaleza.
Accede al artículo a través del aula virtual o desde la siguiente dirección web:
http://www.kpmgcumplimientolegal.es/superestructuras-de-compliance-el-estandar-
global/
Costa, H y Richarte, F (23 de mayo de 2017). LaUNE 19601, un referente para los
profesionales del compliance penal. Confilegal
Repaso, en clave práctica, de la mencionada e importante norma UNE.
https://confilegal.com/20170523-la-une-19601-un-referente-para-los-profesionales-
del-compliance-penal/
TEMA 1 – Lo + recomendado © Universidad Internacional de La Rioja (UNIR)

Compliance
No dejes de ver…
UNE 19 601 Compliance Penal
Autor: AENOR-UNE
Año: 2017
Se trata de un vídeo muy breve que, de forma
resumida, hace una aproximación a los elementos
fundamentales de la norma ISO 19 601.
Accede al vídeo a través del aula virtual o desde la siguiente dirección web:
https://www.youtube.com/watch?v=1WMQApH7HvM
Modelo COSO 2013
Autor: ICADEFIS-ASF. Auditoría Superior de la

Federación (Órgano fiscalizador oficial del Estado
Mexicano).
Año: 2016
Muestra una visión global de la historia, elementos y conceptos básicos del modelo
COSO.
https://www.youtube.com/watch?v=r-Ya5FKKbJE

Compliance
+ I n f orm a c i ó n
A fondo
Entornos de control
Baquero, M. (2013). Entornos de control. En Manual práctico de control interno.

Teoría y aplicación práctica. Barcelona: Profit Editorial.
En este capítulo se abordan los principales aspectos que integran un

entorno de control.
OCDE (2004) Principios de gobierno Corporativo
Relación de principios aprobados por los ministros de la OCDE en 1999 y revisados en

2002. Constituyen la base legislativa y de funcionamiento en la materia en el ámbito
internacional.
https://www.oecd.org/daf/ca/corporategovernanceprinciples/37191543.pdf
Bibliografía
Ayala de la Torre, J. M. (2018). Compliance. Claves Prácticas. Madrid: Editorial

Francis Lefebvre.
Bajo Albarracín, J. C. (2017). Sistemas de gestión compliance. Guía práctica para el

compliance officers. Madrid: Editorial CEF.
TEMA 1 – + Información © Universidad Internacional de La Rioja (UNIR)

Compliance
Barquero, M. (2013). Manual práctico de control interno. Teoría y aplicación práctica.

Barcelona: Profit Editorial.
Bonatti, F. UNE 19601. Implementación y certificación de Sistemas de compliance

penal conforme a la norma UNE 19601: 2017. Madrid: Lefebvre El Derecho.
Dossier Compliance y Norma UNE 19601. (2017). Pamplona: Editorial Aranzadi

Thomson Reuters.
Mantilla, S.A. (2016). Auditoría de control interno. Bogotá. Ecoe Ediciones.
Román, S. (2018). Compliance: ISO 37001. AENOR en II Foro de Compliance del

Instituto Español de Ética y Compliance.

Compliance
T e st
1. Los principios de gobierno corporativo de la OCDE:

A. Se centran en recomendaciones específicas sobre gobernanza.
B. Constituyen una serie de normas fundamentales para garantizar sistemas
financieros sanos.
C. Carecen de reconocimiento internacional.
D. Vinculan jurídicamente al conjunto de los estados miembros.
2. Los principios de Gobierno corporativo de la OCDE:

A. Tienen la intención de incorporar disposiciones detalladas en legislaciones
nacionales.
B. Constituyen un texto centrado en Compliance.
C. Reconocen que no existe un modelo único de gobierno corporativo y apuntan
principios de utilidad para establecer prácticas de buen gobierno.
D. Centran su atención sobre sociedades cotizadas y por tanto no son de utilidad
para mejorar el gobierno corporativo en el resto de empresas.
3. Las líneas directrices de la OCDE para empresas multinacionales:

A. Señalan que la primera obligación de las empresas es cumplir con las leyes
locales.
B. Al igual que los Principios de Gobierno Corporativo, son de obligado
cumplimiento en términos legales.
C. Cuentan con un bloque específico dedicado al soborno y extorsión y al cohecho.
D. Constituyen una pauta de cumplimiento normativo que las organizaciones
multinacionales pueden ignorar fácilmente.
4. El control interno:
A. Es considerado un elemento clave para la correcta evolución de las
organizaciones.
B. Guarda sinergias con otras materias.
C. Su falta de implementación ha sido uno de los desencadenantes de los grandes
escándalos financieros.
D. Todas las respuestas anteriores son correctas.
TEMA 1 – Test © Universidad Internacional de La Rioja (UNIR)

Compliance
5. Respecto al modelo COSO:

A. Sus principios nacen con una vocación extensa que supera el ámbito del
control financiero.
B. Su origen parte de una iniciativa del sector público.
C. El entorno que define constituye el estándar por excelencia en cuanto a control
interno.
D. Las respuestas A y C son verdaderas.
6. Señala cuáles son los cuatro objetivos que constituyen la primera matriz del modelo
COSO:
A. Estrategia, decisiones, información y cumplimiento.
B. Táctica operacional, decisiones, información y cumplimiento.
C. Estrategia, operaciones, publicidad y cumplimiento.
D. Estrategia, operaciones, información y cumplimiento.
7. El modelo OCEG:
A. Concede especial importancia a los procesos de gobernanza, riesgo y control.
B. Permite a las organizaciones operar dentro de los condicionantes legales y
contractuales.
C. No ha contado para su definición con expertos de la comunidad jurídica.
D. Todas las anteriores son falsas.
8. La organización ISO:
A. Es una entidad privada que cuenta con capacidad para legislar e imponer sus
criterios.
B. Lleva a cabo trabajos de certificación en cuanto al cumplimiento de sus
estándares.
C. Trabaja de forma independiente con respecto a otras entidades que también
producen estándares.
D. Todas las anteriores son falsas.

Compliance
9. La IDW Assurance Standard AssS 980:

A. Es una norma técnica orientada a auditores.
B. No puede considerarse un entorno de cumplimiento, ya que no es ese su cometido.
C. Tiene como objeto brindar una seguridad razonable acerca del sistema para la
gestión del cumplimiento evaluado. D. Todas las
anteriores son verdaderas.
10. La norma UNE 19 601:

A. Se encuentra en fase de definición. B. No es
certificable.
C. Establece los requisitos para implantar un sistema de gestión de Compliance penal.
D. Su implantación es obligatoria en empresas de más de 250 trabajadores.

Compliance
Los problemas jurídicos del cumplimiento

normativo
[2.2] Compliance y responsabilidad penal de las personas

jurídicas
[2.3] Programas de cumplimiento eficaz y exigencias de debido

control
[2.4] Entorno legal internacional en materia de

responsabilidad penal de personas jurídicas
2 TEMA

Compliance
TEMA 2 – Esquema
Esquema
LOS PROBLEMAS JURÍDICOS DEL CUMPLIMIENTO
NORMATIVO
Compliance y responsabilidad Programas de cumplimiento

penal de la persona jurídica eficaz y exigencias de debido
control
©
Compliance en los Responsabilidad penal
Problemas
Introducción distintos sistemas de de la persona jurídica y Soluciones

responsabilidad penal proceso penal
de la persona jurídica
Compliance
Compliance
I d e a s c l a ve
Para estudiar este tema complementa las ideas clave con el siguiente artículo:
Nieto, A. y Zapatero, L. (2013). El derecho penal económico era la compliance (pp. 11-
26). Valencia: Tirant lo Blanch.

Intelectual.
Fiscalía General del Estado. Circular de la Fiscalía General del Estado sobre la
responsabilidad penal de las personas jurídicas conforme a la reforma del Código
Penal efectuada por Ley Orgánica 1/2015. Disponible en:
https://www.fiscal.es/fiscal/PA_WebApp_SGNTJ_NFIS/descarga/Circular_1-
2016.pdf?idFile=81b3c940-9b4c-4edf-afe0-c56ce911c7af
Martín Boado, A. M. (2016). Circular 1/2016, de 22 de enero, de la Fiscalía General del

Estado como marco de referencia en la evaluación de los programas de compliance de
las empresas españolas. Revista Alerta 1/2016 del Instituto de Ética y Compliance.
Disponible en:
http://www.ieecompliance.org/app/download/5812980984/Alerta+1_2016_IEEC_C
OMPLIANCE_Circular+1_2016+Fiscalia+General+del+Estado_ALL+INDUSTRIES_V
PS_vf.pdf
Martín Boado, A. M. (2016). Checklist Programa de Compliance Eficaz. Revista Alerta

1/2016 del Instituto de Ética y Compliance. Disponible en:
http://www.ieecompliance.org/app/download/5812981014/Check+list+Programa+Co
mpliance+Eficaz.pdf
En el tema 2 veremos la evolución de los preceptos del derecho que han desembocado
en el actual concepto de responsabilidad penal de la persona jurídica. Analizaremos el
importante papel del Compliance en el asunto, estudiando las distintas interpretaciones
que en derecho penal se otorga a la responsabilidad penal de las empresas.
Analizaremos la importancia clave del proceso penal a la hora de determinar la

Compliance
responsabilidad penal de la empresa y definiremos los aspectos clave que un programa

de cumplimiento ha de tener para ser eficaz.
2.2. Compliance y responsabilidad penal de las personas
Introducción
La evolución del derecho penal económico ha hecho que este se haya ido adaptando a
los retos que los distintos modelos económicos han ido planteando a lo largo de la
historia.
Surgen a lo largo de la historia europea normas penales para proteger bienes jurídicos
concretos según el momento histórico: los delitos de quiebra en la baja Edad Media, las
maquinaciones para alterar el precio de las cosas en la era napoleónica, los delitos
societarios a finales del siglo XIX y finalmente el derecho penal tributario en el seno del
Estado social y democrático de derecho, con el fin de proteger las funciones
recaudatorias de la Hacienda Pública.
Por su parte, en los Estados Unidos de América se desarrollan tres estrategias

jurídico penales diferentes: las sanciones anti trust, el insider training y la
determinación de la responsabilidad penal de las personas jurídicas, cuya finalidad es
motivar a sus gestores para que adopten medidas de organización interna que
garanticen el respeto a la legalidad, es decir, Compliance.
El siglo XX supuso el tránsito desde la visión del Estado interventor y protector hacia lo
que algunos autores han denominado como regulatory capitalism. Es en este contexto
en el que la función de Compliance adquiere una especial relevancia como mecanismo
híbrido entre lo público y lo privado. Así, la imposición de sanciones penales o
administrativas a las personas jurídicas es la forma de motivar a sus directivos para que
establezcan mecanismos de debido control eficaces.
Compliance en los distintos sistemas de responsabilidad penal de las

personas jurídicas
La función de los programas de cumplimiento en el sistema de responsabilidad penal

de las personas jurídicas dependerá del modelo de responsabilidad que se siga.

Compliance
En el sistema vicarial o de heterorresponsabilidad es la de evitar que se realicen

delitos en el seno de la persona jurídica que pueden dar lugar a responsabilidad penal.
Por su parte, en el modelo de responsabilidad propia de la empresa, el hecho de

contar con una buena organización preventiva es la clave para decidir el sí y el cuándo
de la responsabilidad de la persona jurídica.
No obstante lo anterior, existe una posición intermedia, propuesta hace años por el
autor alemán Tiedeman, y que guarda encaje con el artículo 31. bis de nuestro
Código Penal. Consiste en un modelo combinado. De esta forma, a la persona jurídica
se le imputaría el hecho realizado por los administradores de la entidad, tal y como
propone el modelo vicarial, fundamentando su responsabilidad en un defecto de
organización.
Por su parte, en el caso de que el delito haya sido cometido por un empelado, como
consecuencia de la falta del debido control del administrador, resulta más discutible
dónde reside la diferencia práctica entre el modelo combinado y las propuestas de
culpabilidad empresarial en sentido estricto.
De esta forma, y más allá de sesudos debates teóricos que podrían incluso devenir en
estériles a la hora de la aplicación práctica de los preceptos penales, es claro que la
clave del asunto se halla en el papel relevante que el sistema de Compliance juega de
cara al ejercicio del debido control por parte de la empresa. Debido control que no ha
de limitarse a los empleados sino también, y especialmente, a la actividad de los
administradores.
Responsabilidad penal de las personas jurídicas y proceso penal
En España, con la entrada en vigor el 23 de diciembre de 2010 de la LO 5/2010, de 22

de junio, se produjo una modificación de la Ley Orgánica 10/1995, de 23 de noviembre,
del Código Penal, introduciendo por primera vez la responsabilidad de las personas
jurídicas. Dicha modificación fue seguida de otra que concretó aún más las medidas
que las personas jurídicas han de tomar para evitar su responsabilidad penal y que se
concretó en la Ley Orgánica 1/2015, de 30 de marzo.

Compliance
Pues bien, hemos de destacar que la regulación española, tras la citada introducción de
la responsabilidad penal de las personas jurídicas de 2010, exigía que:
» El delito se cometa en nombre o por cuenta de la misma y en su provecho por sus

representantes legales o administradores de hecho o de derecho.
» El delito se cometa en el ejercicio de sus actividades sociales y por cuenta y en

provecho de las mismas, por quienes, estando sometidos a la autoridad de las
personas señaladas anteriormente, hayan podido realizar los hechos por no haberse
ejercido sobre los mismos el debido control, atendidas las concretas circunstancias
del caso.
Dicho régimen de responsabilidad penal de la persona jurídica fue criticado, ya desde

su entrada en vigor, por un amplio sector doctrinal, que lo consideró incompleto y
confuso en muchos de sus aspectos esenciales. Quizá por ello, cinco años después, con
un escaso número de procedimientos dirigidos contra personas jurídicas y sin apenas
tiempo para haber evaluado la eficacia de tan novedosa normativa, la Ley Orgánica
1/2015, de 30 de marzo, acomete una importante modificación del art. 31 bis y extiende
el régimen de responsabilidad a las sociedades mercantiles públicas. Así pues, dicha
introducción de la responsabilidad penal de la persona jurídica, ajena a nuestra
tradición jurídica, se estableció sobre la casi totalidad de las formas societarias.
Ante la ausencia de un marco normativo suficiente que ofreciese seguridad jurídica a

jueces y empresas para conocer cómo se puede ejercer el «debido control», que evitase
la imputación y la condena penal, con fecha 1 de julio de 2015, entró en vigor la Ley
Orgánica 1/2015, de 30 de marzo, que, a grandes rasgos, corrigió esta situación,
introduciendo dos novedades:
1. El reconocimiento de que: «la persona jurídica podrá quedar exenta de

responsabilidad penal» si prueba ante el Juzgado: a) que cuenta con un modelo de
organización y gestión que incluye las medidas de vigilancia para prevenir
eficazmente el delito; b) que cuenta con un órgano independiente, con poderes
autónomos de iniciativa y control; c) que ejerce adecuadamente sus funciones; y d)
que el delito ha podido cometerse porque su autor eludió fraudulentamente los
modelos de organización y de prevención. Y ello, no solo en los delitos cometidos por
los empleados, sino también en los delitos cometidos por algún administrador.

Compliance
2. Para ello, el Proyecto indica qué debe tener un modelo de organización y gestión: a)
un mapa de riesgos («identificarán las actividades en cuyo ámbito puedan ser
cometidos los delitos que deben ser prevenidos»); b) unos protocolos de actuación,
preventiva y reactiva frente a la comisión de delitos; c) modelos de gestión de los
recursos financieros; d) un canal de denuncias de cuyo resultado se reporte al
órgano de administración; e) un sistema disciplinario «que sancione adecuadamente
el incumplimiento de las medidas que establezca el modelo; y f) una verificación
periódica del modelo y de su eventual modificación».
Además, para garantizar el funcionamiento eficaz del modelo de prevención de delitos,

este debe prever las medidas que, de acuerdo con la naturaleza y el tamaño, así como el
tipo de actividades que se llevan a cabo, garanticen el desarrollo de su actividad
conforme a la Ley y permitan la detección rápida y la prevención de las situaciones de
riesgo, así como una verificación periódica del mismo y su eventual modificación para
adaptarse a las circunstancias cambiantes en la sociedad.
El impacto sobre el proceso penal de la introducción de la responsabilidad penal de la

persona jurídica es un aspecto de capital importancia.
Desde el punto de vista del proceso, la responsabilidad penal de la persona jurídica

debe leerse como un intento del Estado de buscar cooperación en las empresas para
investigar determinadas formas de delincuencia empresarial. De ahí la importancia de
la colaboración de la persona jurídica en el proceso. El artículo 31.bis del Código
Penal español recoge: la confesión y la cooperación como circunstancias «atenuantes»
y el hecho de tener implantado en la organización antes de la comisión del delito de un
programa de cumplimiento (con el correspondiente plan de prevención de delitos)
como circunstancia «eximente» de la responsabilidad penal de la persona jurídica.
Para completar este epígrafe debes consultar el artículo 31 bis del Código Penal
español.
https://www.boe.es/buscar/act.php?id=BOE-A-1995-25444
No obstante, se plantean importantes problemas para los derechos fundamentales de

la persona física investigada. El primero surge en cuanto a la obligación, o no, de

Compliance
aportar en el proceso documentación, que sería utilizada en su contra, y que si se

entrega se hace bajo coerción y con fines puramente de control administrativo.
El segundo está en relación a la elección del abogado de la persona jurídica, en cuanto

que lo más normal será la existencia de un conflicto de intereses, dentro del proceso
penal, entre persona jurídica y física. Por ello todo se aconseja que existan abogados
distintos.
Para profundizar, puedes consultar la sección A fondo donde encontrarás una relación
y resumen de las Sentencias y Resoluciones de mayor interés en materia de
Responsabilidad Penal de la Persona Jurídica.
2.3. Programas de cumplimiento eficaz y exigencias de debido

control
Sobre la «eficacia» de los Programas de cumplimiento previsto, como se ha visto en las

líneas anteriores, en el art. 31 bis del Código Penal Español, se ha pronunciado la
Circular 1/2016 de la Fiscalía General del Estado, la cual establece los «criterios» que
los Fiscales del Estado español deberán seguir para poder afirmar que una organización
cuenta con un programa de cumplimiento «eficaz» que permita por tanto a la persona
jurídica «eximirse» de la correspondiente responsabilidad penal en el caso de
cometerse delitos en el seno de la misma.
La referida Circular 1/2016 constituye, por tanto, un texto de máxima importancia que
todo abogado debe conocer.
Sobre el contenido de la Circular 1/2016 y la novedad e importancia que ha tenido esta

en la práctica debe verse la publicación Alerta 1/2016 del Instituto Español de Etica y
Compliance, titulada Circular 1/2016, de 22 de enero, de la Fiscalía General del Estado
como marco de referencia en la evaluación de los programas de compliance de las
empresas españolas, de febrero 2016, la cual incluye como documento adjunto un
checklist con una relación sumaria de los «criterios» que deberán tener en
cuenta los Fiscales en España para considerar la «eficacia» de un
Programa de Cumplimiento. A tenor de la larga extensión de dicha Circular, dicho
checklist puede resultar de gran utilidad práctica para Abogados y Compliance Officers

Compliance
que deseen valorar el grado de eficacia del Programa de Cumplimiento de determinada

organización.
Algunos de los elementos clave de esos Programas de Cumplimiento van a ser los
siguientes documentos internos de las empresas.
Código Ético Interno
Documento que vendrá a sintetizar los principios generales éticos que la compañía
desea que rijan en las actividades de esta y, por tanto, de obligado cumplimiento para
sus empleados y para algunos terceros con los que estos se relacionen (ej. proveedores,
agentes, distribuidores, etc.). En la práctica es frecuente que recojan de forma muy
resumida las cuestiones más importantes de cada Política interna. Es bastante
frecuente además que las entidades (normalmente entidades de grandes dimensiones)
además de disponer de un Código Ético Interno dispongan de una versión resumida del
mismo con un formato visual más ameno y que suelen compartir con terceros con los
que estas se relacionan (proveedores, agentes, distribuidores, etc.) para facilitar el
cumplimiento del mismo también por parte de estos -y no solo por los empleados de
tales entidades y que suelen colgar también en sus páginas webs para que estén
accesibles a cualquier persona o entidad que visite su página, con la finalidad de que
sea públicamente conocidos los principios éticos que rigen dichas entidades y sus
actividades. Vease al respecto el «Compliance System Brochure de SIEMENS»
disponible en la página web de esta compañía.
Políticas internas
Documentos que vendrán a regular de forma «detallada» los principios éticos

recogidos en el Código Ético de la compañía, y que la compañía desea que sean
cumplidos por los empleados y terceros con los que se relacionan (ej. agentes,
distribuidores, proveedores, etc.). Por regla general habrá una Política interna en cada
materia de relevancia para la empresa (ej. en materia Anticorrupción, Prevención del
Blanqueo de Capitales y Financiación del Terrorismo, en materia de Publicidad y
Actividades promocionales, en materia de Tratamiento de Datos Personales, etc.) Las
Políticas facilitan por tanto el cumplimiento a nivel interno del Código Ético de la
organización.

Compliance
Procedimientos
Documentos que vienen a regular el «proceso» que se seguirá internamente en la

empresa para la toma de decisiones en relación con materias de cierto riesgo
recogidas en cada correspondiente Política, identificando los Departamentos y roles
que intervendrán en cada fase del proceso, así como las distintas funciones y
responsabilidades que asumirán cada uno de ellos en dicho proceso. Los
Procedimientos facilitan por tanto el cumplimiento a nivel interno de cada Política
existente en la organización.
Una vez vistos estos Programas de Cumplimiento, es importante conocer la tipología y

contenido que pueden tener dichos Códigos Éticos internos, así como dichas Política y
Procedimientos internos. Se recoge a continuación una relación básica de los Códigos
Éticos, Políticas y Procedimientos de Compliance con las que suelen contar las
compañías, relación que no tiene carácter exhaustivo, sino únicamente ilustrativo,
puesto que las grandes corporaciones suelen tener un volumen considerable de
Políticas (pudiendo alcanzar 30 políticas o incluso un número superior).
A continuación, encontrarás una lista de estas políticas:
» Código Ético.
» Política de Regalos y Atenciones.
» Política Anticorrupción y relaciones con funcionarios públicos y/o con organismos
públicos.
» Política de Prevención del Blanqueo de Capitales y Financiación del Terrorismo.
» Procedimiento de Funcionamiento del Comité de Ética y de Compliance.
» Política de Control de terceros (agentes, distribuidores, proveedores, etc.)
» Política de Tratamiento de datos personales.
» Política de Comercio Exterior.
» Política de revisión y aprobación de materiales promocionales (publicidad).
» Política de interacciones comerciales.
» Política de donaciones y subvenciones a ONG, fundaciones, asociaciones y
entidades de interés público.
» Política de uso de ordenadores y correo electrónico de la empresa por parte de los
empleados.

Compliance
En empresas pertenecientes a sectores muy regulados (ej. farmacéutico, de productos

sanitarios, productos cosméticos o para el cuidado de la salud, etc.) en aras de
protección de los pacientes, consumidores y sociedad en general, dichos Códigos,
Políticas y Procedimientos se basan a su vez en los Códigos Éticos o de Buenas
Prácticas Sectoriales (Autorregulación Sectorial), redactados de común acuerdo por
representantes de las empresas asociadas a las Asociaciones Nacionales del
correspondiente sector (ej. Código de Buenas Prácticas de FARMAINDUSTRIA,
vinculante para empresas farmacéuticas asociadas o adheridas a la Asociación Nacional
que aglutina y representa los intereses de las empresas de la industria farmacéutica).
Para ampliar esta información, puedes acudir al apartado A fono donde encontrarás un
ejemplo de estos Código de Buenas Prácticas Sectoriales.
Una vez asumida la importancia de los programas de cumplimiento previstos en el art.

31 bis del Código Penal español como elementos de prevención de la criminalidad en el
seno de la empresa, cabe señalar la existencia de tres problemas fundamentales.
El primero puede denominarse el problema de la cosmética. Radica en la elaboración

de un programa de Compliance no con el fin de implantar una verdadera cultura de
respeto a la legalidad, sino para evitar posibles multas o sanciones, a modo de un
seguro al uso. Se daría pues un problema de falta de credibilidad.
El segundo, este del lado de las empresas, es la falta de seguridad jurídica. Las
empresas se lamentan de que si bien el legislador exige ejercer el debido control, no da
pista alguna de cuál es su nivel de exigencia.
El tercero radica en que el cumplimiento penal supone en algún modo la

privatización de una función pública tan importante como es el control de la
criminalidad.
En cuanto a las soluciones, para el primero de los problemas, el autor Ulrich Sieber
defiende que se han de reforzar aquellos controles cuyo eficaz funcionamiento no
dependa de la dirección de la empresa, como por ejemplo el canal de denuncias. La
mejor manera de conseguir un plan de cumplimiento efectivo es que terceros
independientes intervengan en su diseño, implantación y supervisión.
Las certificaciones, según defiende Matus Acuña, pueden aportar soluciones en el

ámbito de la seguridad jurídica de los programas de cumplimiento. No obstante, si

Compliance
la cuestión en torno a la certificación se banaliza puede agravar el problema cosmético,

pues puede crearse artificialmente todo un mercado certificador a modo de simple
«quita multas».
Con respecto a las investigaciones internas, se ha de decir que constituyen una

parte esencial de los programas de cumplimiento. La aportación de pruebas, o la
confesión de los hechos solo podrán hacerse normalmente de forma eficaz tras las
conclusiones de la investigación.
No obstante, es imprescindible tener en cuenta que han de respetarse en todo momento

los derechos de los empleados sospechosos, de forma similar a como se haría en el
proceso penal, ya que si no se respetan estas garantías, el juez no podrá tener en cuenta
los elementos de prueba o las informaciones recabadas.
Lo mismo ocurre con las sanciones disciplinarias, cuya política debe estar fijada de
antemano para así otorgar mayor legitimidad al conjunto del plan de Compliance.
2.4. Entorno legal internacional en materia de responsabilidad

penal de personas jurídicas
Como España, muchas otras jurisdicciones regulan supuestos donde una persona
jurídica puede ser responsable de la comisión de delitos, razón por la que el llamado
corporate defense ostenta una relevancia importante desde un marco jurídico
internacional. Veamos algunos ejemplos de este marco internacional en materia de
responsabilidad penal de personas jurídicas y en materia anticorrupción:
Estados Unidos contempla la responsabilidad penal de la persona jurídica
La US Foreign Corrupt Practices Act (FCPA) resulta una de las normas más relevantes
en materia de responsabilidad penal de la persona jurídica en Estados Unidos. Sin
embargo, también existen otras normas penales que también regulan importantes
consecuencias penales para la persona jurídica, como son, entre otras, las leyes
reguladoras de propiedad intelectual, las de fiscalidad, antitrust, inmigración, delitos
cibernéticos, tráfico humano, blanqueo de capitales, terrorismo, pornografía infantil,
insolvencias punibles, etc.

Compliance
Con arreglo a lo dispuesto en la legislación federal estadounidense, se considera que

una compañía es una «persona» y, por tanto, puede ser condenada por la comisión de
los delitos previstos en las leyes penales estadounidenses. La mayoría de los casos
investigados y perseguidos contra una compañía son sobre la base de la teoría del
respondeat superior, según la cual, una compañía es responsable por los delitos
cometidos por un empleado de esta que actúe dentro del ámbito de su
trabajo.
En los últimos años, el Departamento de Justicia estadounidense (DOJ) ha procesado a

docenas de multinacionales por violaciones de la legislación federal en materia de
soborno, fraude, evasión fiscal, antimonopolio, etc. Todas estas condenas conllevaron
la imposición de multas económicas elevadas y, en todos estos casos, la compañía o
corporación fue declarada responsable por los actos ilegales cometidos por sus
empleados.
La legislación estadounidense, con el fin de determinar la responsabilidad penal ha

establecido una serie de teorías, que exponemos brevemente:
» La teoría de respondeat superior: la compañía será penalmente responsable

siempre que el empleado, en la esfera de su trabajo y aunque inicialmente pretenda
conseguir un beneficio para sí mismo, consiga también para esta un beneficio,
aunque sea indirectamente;
» La teoría de la intencionalidad por medio de la cual el gobierno ha de ser capaz de
probar que el individuo tiene algún nivel de conciencia que le permite realizar el acto
prohibido o que actúa a sabiendas de que el acto prohibido tendrá lugar como
resultado de su acción;
» La teoría de la combinación, en la que para probar el conocimiento e
intencionalidad, basta con probar el conocimiento de una pluralidad de empleados;
» La teoría de la simple instrumentalidad: la matriz puede ser declarada responsable
por la conducta de su filial, cuando la matriz ha utilizado a esta como medio para
cometer el delito en un intento de eludir su responsabilidad;
» La teoría de la involucración, por la cual, y aunque la filial sea una compañía distinta
e independiente de la matriz, si esta última ha estado involucrada en la comisión del
delito por parte de la filial, también será responsable.
Especial mención merece la US Foreign Corrupt Practices Act (en lo sucesivo

FCPA) por la relevancia que esta tiene en materia de responsabilidad penal de la

Compliance
persona jurídica. Dicha ley está diseñada para castigar el soborno a funcionarios de
gobiernos extranjeros. El DOJ es el que se encarga de que esta ley se cumpla. La FCPA
prohíbe los pagos corruptos a funcionarios, oficiales o empleados de
gobiernos extranjeros, organismos del estado y entidades públicas,
persiguiendo a sus autores aunque estos hayan actuado por medio de
intermediarios.
A la hora de comprender mejor la FCPA conviene tener presente una serie de términos
que resultan de especial importancia para poder determinar si una compañía está
sujeta o no dicha normativa. Brevemente analizamos dichos conceptos:
» Domestic concern: incluye cualquier compañía perteneciente al grupo constituida en

los Estados Unidos, sus territorios o Puerto Rico, o que tenga su principal centro de
actividad en Estados Unidos. También se entienden comprendidos los ciudadanos,
nacionales o residentes;
» Dentro del territorio de Estados Unidos: incluso los ciudadanos que no se
encuentren comprendidos dentro del término domestic concern pueden verse
incluidos dentro del ámbito de la FCPA si realizan cualquier acto encaminado a un
pago corrupto en Estados Unidos;
» Cualquier cosa de valor: puede ser cualquier cosa que pudiera beneficiar al receptor;
» Funcionario extranjero: Se entienden incluidos los funcionarios, empleados
gubernamentales, agencias del gobierno, gobernantes electos o candidatos,
funcionarios y empleados de organizaciones internacionales;
» Corrupta e intencionadamente: significa que se ha de realizar con deseo de provocar
un comportamiento inadecuado en el receptor y de forma consciente y voluntaria, a
propósito;
» Conocimiento e invalidación: el empleo de intermediarios para la realización de
dichos pagos no elude el conocimiento;
» Obtención o retención de un negocio: Interpretación amplia por parte del DOJ sobre
lo que se entiende por obtener o retener un negocio (conservar o renovar un
contrato).
La mayor parte de la legislación penal de Estados Unidos únicamente aplica a

conductas que hayan tenido lugar dentro del territorio estadounidense. Sin embargo,
hay ciertas leyes que contienen previsiones que permiten al DOJ perseguir las
violaciones o incumplimientos de dichas leyes fuera de Estados Unidos, como por
ejemplo, la ley federal de blanqueo de capitales, pero únicamente en determinados

Compliance
supuestos (la conducta se hubiera realizado por un ciudadano estadounidense o, en

caso de ser un ciudadano no estadounidense, que la conducta hubiera ocurrido en parte
de Estados Unidos).
Sin embargo, por encima de todas ellas destaca la FCPA la cual expresamente aplica
tanto a compañías como a ciudadanos estadounidenses y no estadounidenses. De tal
forma que dicha norma contiene tres previsiones respecto a su jurisdicción
extraterritorial:
» Las compañías y personas físicas estadounidenses tienen prohibido incumplir las

disposiciones de la FCPA en cualquier parte del mundo;
» Cualquier emisor de valores o títulos en el mercado de valores estadounidense (sea
persona física estadounidense o no) tiene prohibido usar el mail estadounidense o
cualquier otro instrumento de comercio interestatal para violar la FCPA en cualquier
parte del mundo;
» Los ciudadanos y compañías no estadounidenses tienen prohibido incumplir las
disposiciones de la FCPA en el territorio estadounidense. En este último supuesto, el
DOJ tiene la teoría de que el tráfico de correo electrónico puede ser suficiente para
constituir un acto realizado dentro del territorio estadounidense. Igualmente lo
entienden respecto del empleo de cuentas bancarias estadounidenses.
Consecuencias penales
Conforme a la FCPA la consecuencia penal es una multa que puede alcanzar hasta los
2 000 000 de dólares para las compañías y 100.000 dólares y prisión de hasta cinco
años para los empleados. Sin embargo, la Ley de Multas Alternativas establece multas
de hasta el doble del beneficio que el acusado pudiera haber conseguido realizando el
pago corrupto, por lo que dichas multas pueden ser significativamente superiores. Los
incumplimientos de la FCPA también pueden llevar aparejados como pena la
confiscación por el gobierno de cualquier propiedad de la compañía resultante de dicha
violación legal.
El DOJ ha establecido un sistema de pautas (Federal Sentencing Guidelines) para

dictar sentencias en relación con el cálculo de las penas que se han de imponer a las
personas físicas y jurídicas por las violaciones de las leyes federales. Estas pautas
contienen un nivel básico de los delitos con un rango de pena asociado a cada delito, así
como una serie de factores agravantes y atenuantes.

Compliance
Circunstancias atenuantes
Entre las medidas o factores para atenuar el nivel del delito o su pena establecidas en
las pautas dictadas por el DOJ, destacan que: (i) las compañías tengan implantado un
efectivo programa ético y de cumplimiento; (ii) hayan informado de la comisión de
delito; (iii) cooperen en la investigación del delito; y (iv) hayan admitido su
responsabilidad derivada de la comisión del delito.
El DOJ asimismo valora: la naturaleza y gravedad del delito, el riesgo de daño para el
público, si la compañía ha tenido un comportamiento anterior similar, la existencia de
un eficaz programa de cumplimiento y de planes para ponerle remedio, la adecuada
persecución del infractor y la colaboración en la investigación con las autoridades, etc.
Programas de cumplimiento (Compliance Programs)
Tal y como hemos apuntado, a través de las Federal Sentencing Guidelines, Estados
Unidos, ha desarrollado qué se entiende por contar con un sistema eficaz ético y de
cumplimiento. Las claves fundamentales serían las siguientes:
» Para desarrollar un sistema efectivo de cumplimiento, una compañía debe ejercer la

debida diligencia para prevenir y detectar la comisión de un ilícito penal, así como
promover una cultura empresarial que fomente las conductas éticas y el compromiso
con el cumplimiento de la ley.
» La debida diligencia y la promoción de una cultura empresarial requiere:
o Que la compañía establezca procedimientos para prevenir y detectar cualquier
conducta penal.
o Los directivos de la empresa deben tener conocimiento del contenido y
operatividad de los programas de cumplimiento y de ética, así como supervisar la
implementación y efectividad de tales programas.
o Los altos cargos de la compañía deben garantizar que la compañía tenga un
efectivo programa de cumplimiento y de ética, tal y como se describe en las
Federal Sentencing Guidelines.
o Delegar en empleados concretos la operatividad del día a día y la responsabilidad
de los programas de cumplimiento y ética, los cuales deberán informar
periódicamente a los altos cargos y, en su caso, a las autoridades sobre la
efectividad de tales programas. Para llevar a cabo dichas tareas, las citadas

Compliance
personas deben estar provistas de los adecuados recursos, de la suficiente

autoridad y tener acceso directo a las autoridades.
o La compañía debe emplear todos sus esfuerzos en evitar incluir dentro de ese
grupo a personas que la organización sepa o haya tenido conocimiento de que
hayan podido estar involucradas en actividades ilegales o en cualquier otra
conducta incompatible con un efectivo programa ético y de cumplimiento.
o La compañía debe comunicar periódicamente a sus empleados de forma práctica
sus estándares y procedimientos, así como cualesquiera otros aspectos de los
programas de ética y cumplimiento, bien mediante programas de formación o
bien difundiendo la información de cualquier otra forma que permita a dichas
personas conocer cuáles son sus roles y responsabilidades.
o La compañía debe garantizar que los programas de ética y cumplimiento se sigan,
lo cual incluye la monitorización y auditoría para detectar las irregularidades, que
se evalúe periódicamente su efectividad, y se tenga y se dé a conocer un sistema
de comunicación, el cual garantice el anonimato y la confidencialidad a los
trabajadores y agentes que quieran acudir al mismo para informar sobre
potenciales o reales conductas penales sin miedo a represalias.
o Los programas de ética y cumplimiento han de ser promovidos y garantizados por
la compañía mediante los apropiados incentivos a los empleados para que actúen
conforme a los mismos, así como mediante la implementación de medidas
disciplinarias para los empleados que incurran en conductas penales o se nieguen
a adoptar las medidas necesarias para prevenir o detectar tales conductas.
o Cuando la conducta criminal haya sido detectada, la compañía debe actuar en
consecuencia para responder apropiadamente ante tal conducta y prevenir
futuras conductas similares, lo cual incluye hacer cualquier modificación
necesaria en los programas de ética y cumplimiento.
o La compañía periódicamente evaluará el riesgo de comisión de delitos y tomará
las medidas necesarias para diseñar, implementar o modificar cualquiera de las
anteriores cuestiones para reducir el riesgo de comisión de delitos.
Veamos, a continuación, algunos ejemplos de países en los que se prevé la

responsabilidad penal de la persona jurídica:
» Brasil: en Brasil, su legislación, y más concretamente su Código Penal, no contiene

ninguna estipulación relativa a la responsabilidad penal de la persona jurídica y ello
porque su sistema penal está basado en el supuesto de que solo las actividades
realizadas por las personas físicas pueden ser penalmente sancionadas. No obstante,

Compliance
su Constitución de 1988 recoge la posibilidad de sancionar penalmente a las

personas jurídicas por las conductas y actividades consideradas como atentatorias
contra el medio ambiente. Dicha previsión legal fue posteriormente desarrollada en
mayor profundidad por la Ley Federal nº 9605 de 12 de febrero de 1998 relativa a
las cuestiones medioambientales, en cuyas disposiciones se recoge una clasificación
de todos los delitos medioambientales.
» India: la Ley India establece tanto la responsabilidad civil como la penal para las
personas jurídicas en el Código Penal Indio de 1860 y la Ley de Enjuiciamiento
Criminal.
» Sudáfrica: la normativa penal prevé la responsabilidad penal de la persona jurídica

con pocas excepciones. Para determinar si una entidad es culpable, Sudáfrica utiliza
el estándar de responsabilidad vicarial: si cualquier empleado o agente de la
empresa cometió el delito dentro del ámbito de su autorización y para el beneficio de
la empresa, la responsabilidad será imputada a la entidad.
» China: el Código Penal es el único elemento normativo de la República Popular de

China que regula la responsabilidad penal de la persona jurídica. Dicho Código
dispone que la compañía que cometa un acto dañino a la sociedad o a otra persona
será responsable penalmente si el Código Penal considera ese acto como un delito.
Por tanto, las compañías solo podrán ser penalmente responsables por aquellos
delitos que el Código Penal establezca claramente que pueden ser cometidos por
personas jurídicas.
» República Checa: la República Checa prevé la responsabilidad penal de la persona

jurídica desde la aprobación de la Ley No. 418/2011 Coll., sobre responsabilidad
penal de las personas jurídicas, aunque a ella se han sumado muchos otros
elementos normativos que desarrollan dicha responsabilidad en casi todos los
ámbitos.
» Portugal: en la versión original del Código Penal portugués de 1982 (Decreto Ley no.
400/82 de 23 de Septiembre) y, de acuerdo con la versión previa de la normativa
penal en la materia, la responsabilidad penal de la persona jurídica existía solo en
supuestos muy concretos. Esto significa que cuando los delitos se cometían a través
de la persona jurídica, con muy pocas excepciones, solo era condenada la persona
física que actuaba en representación y nombre de la compañía. Poco a poco, el rango
de delitos por los que la persona jurídica podía ser declarada responsable creció
aprobándose numerosos elementos normativos que preveían dicha responsabilidad.

Compliance
A continuación, veamos también ejemplos de países en los que no se prevé la

responsabilidad penal de la persona jurídica:
» México: no existe responsabilidad penal de la persona jurídica. Si bien es cierto que

las consecuencias bajo algunas disposiciones administrativas, de carácter estatal y
de carácter federal, pueden tener los mismos efectos que dicha responsabilidad tiene
en países como España, esto es que puede llegar incluso a la suspensión o disolución
de la sociedad.
» Argentina: aunque la legislación penal Argentina ha seguido en términos generales

el principio latino societas delinquere non potest, en numerosos elementos
normativos se prevé la sanción de la compañía por los delitos cometidos en su
organización. De hecho, en los últimos meses el Gobierno ha presentado proyecto en
el que se prevé que las compañías puedan ser sancionadas por delitos de corrupción.
» Alemania: conforme a la legislación penal alemana una persona jurídica no puede

ser directamente responsable por la comisión de un delito, sino solo la persona física
por aplicación del principio nulla poena sine culpa, lo que significa que para que
exista responsabilidad penal se requiere una conducta culpable y dicha conducta
solo puede predicarse de una persona física. Por su parte, el código alemán establece
que si bien no se deriva responsabilidad para la persona jurídica, en determinadas
circunstancias, sí que se le puede imponer una multa por los comportamientos
ilícitos de la persona física dependiente de ella.
» Turquía: de acuerdo al artículo 20 del Código Penal Turco, las penas solo pueden
imponerse sobre personas físicas que cometen un delito o están implicadas en el
mismo. Está expresamente prohibido bajo el mencionado artículo que las personas
jurídicas sean condenadas a ninguna pena. A pesar de que el Código Penal Turco no
permite aplicar las penas sobre las personas jurídicas, estas entidades están sujetas a
determinadas medidas de seguridad. Además, está fuera de toda discusión que las
entidades puedan ser objeto de sanciones administrativas bajo el Código de delitos
leves No. 5326 y cualquier otra normativa secundaria.
» Rusia: conforme a lo dispuesto en el Código Penal ruso, las personas jurídicas no

están sujetas a responsabilidad penal puesto que solo la contempla respecto de las
personas físicas. Sin embargo, la legislación rusa, y más concretamente el Código de
Infracciones Administrativas, prevé la responsabilidad administrativa para una
amplia variedad de infracciones (entre otros, corrupción, quiebras/insolvencias,

Compliance
etc.) cuyas sanciones, en algunos casos, pueden llegar a ser similares o equivalentes
a las consecuencias penales que en otras jurisdicciones se aplican a la persona
jurídica. Asimismo, contempla la responsabilidad civil de la persona jurídica en
aquellos supuestos de daños causados por la compañía a terceras partes como
consecuencia de la comisión de un delito o infracción por un directivo de esta.

Compliance
L o + r ecom e n d ado
No dejes de leer…
Cumplimiento normativo, criminología y responsabilidad penal de las

personas jurídicas
Nieto, A., Lascuraín, J.A., Blanco, I. (2015). Cumplimiento normativo, criminología y

responsabilidad penal de las personas jurídicas. En Manual de cumplimiento penal en
la empresa (pp. 50-104). Valencia: Tirant lo Blanch.
El autor analiza diversos aspectos en relación al cumplimiento normativo y su

vinculación con cuestiones tales como como el delito estructural, la responsabilidad
penal individual en relación a diversas figuras delictivas. También ilustra sobre la
eficacia de los programas de cumplimiento en relación a cuestiones como el deber de
control y la diligencia debida (Due dilligence).
Ética y gobernanza en las organizaciones
Soriano, J.E. (2016). Código penal y cumplimiento normativo: la paradoja de un

derecho suave que elimina al más fuerte de los derechos. Madrid: Centro de Buen
Gobierno.
Bajo el hilo conductor de una etapa de cambios en la materia, el autor analiza las
actuales exigencias de ética y gobernanza en las organizaciones y repasa aspectos
jurídicos relativos a los modelos de cumplimiento.
Accede al recurso a través del aula virtual o desde la siguiente dirección web:
http://www.centrobuengobierno.ie.edu/wp-
content/uploads/sites/87/2013/11/Codigo-Penal-Y-Cumplimiento-Normativo.pdf

Compliance
No dejes de ver…
Claves de la responsabilidad penal corporativa: Corporate Compliance
Autor: Asociación de Jóvenes Abogados de Madrid

Año: 2015
Breve vídeo en el que Javier Muñoz Cuesta, Ex –

Fiscal Jefe de Navarra habla sobre protocolos de
prevención de delito en empresas, incumplimiento
del deber de control, y requisitos del plan de
Compliance en los términos establecidos en el
artículo 31. Bis del Código Penal Español.
http://www.centrobuengobierno.ie.edu/wp-
content/uploads/sites/87/2013/11/Codigo-Penal-Y-Cumplimiento-Normativo.pdf
Los programas de compliance penal, un nuevo campo para la abogacía
Autor: Ilustre Colegio de Abogados de Alicante

Año: 2015
El conferenciante, Bernardo del Rosal Blasco,

Catedrático de Derecho Penal de la Universidad de
Alicante, habla sobre la correcta implementación de los
planes de Compliance en el ámbito de las empresas,
desde un punto de vista práctico y didáctico.
https://www.youtube.com/watch?v=umMquSPzNg8

Compliance
A fondo
Fiscalía General del Estado. Circular 1/2016
Circular de la Fiscalía General del Estado sobre la responsabilidad penal de las

personas jurídicas conforme a la reforma del Código Penal efectuada por Ley Orgánica
1/2015.
https://www.fiscal.es/fiscal/PA_WebApp_SGNTJ_NFIS/descarga/CIRCULAR%201-
2016%20-%20PERSONAS%20JUR%C3%8DDICAS.pdf?idFile=cc42d8fd-09e1-4f5b-
b38a-447f4f63a041
Ejemplos de Códigos Éticos Internos o Sectoriales en materia de

Compliance
El siguiente documento recoge algunos ejemplos de Códigos Éticos, tanto sectoriales

como internos. El objetivo es poder conocer la tipología y el contenido de los distintos
Códigos, a los que muchas organizaciones deciden obligarse por voluntad propia en sus
actuaciones empresariales, para contribuir a un mayor cumplimiento por parte de sus
empresas y empleados de la normativa global o sectorial.
Accede al documento a través del aula virtual.

Compliance
Ejemplos de Políticas y Procedimientos en materia de Compliance
El siguiente documento recoge las distintas material sobre las cuales las organizaciones
suelen tener políticas y/o procedimientos. El objetivo es que puedas conocer la
tipología de las distintas políticas y procedimientos, que las organizaciones suelen tener
en materia de compliance.
Sumario de Jurisprudencia relevante en materia de Compliance
El siguiente documento recoge algunas de las Sentencias o Resoluciones dictadas por

autoridades judiciales y administrativas (así, tribunales, autoridades judiciales o
autoridades anticorrupción) de interés en materia de Compliance, que se han ido
dictando en España y en otros países.
Bibliografía
Bonatti, F. (2018). Memento Experto Sistema de Gestión de Compliance: estándares

ISO y UNE 19601. Madrid: Editorial Francis Lefebvre
Casanovas, A. (2017). Compliance Penal normalizado, El estándar UNE 19601.

Pamplona: Editorial Aranzadi Thomson Reuters.
Gómez-Jara, C. (2016). Tomarse la responsabilidad penal de las personas jurídicas en

serio: la culpabilidad de las personas jurídicas. En Estudios de Derecho Penal
(homenaje al Profesor Miguel Bajo). Madrid: Editorial Universitaria Ramón Areces.
Gómez-Jara, C. (2017). El Tribunal Supremo ante la responsabilidad penal de las

Personas Jurídicas. El inicio de una larga andadura. Pamplona: Aranzadi Thomson
Reuters.

Compliance
Gómez, M. (2016). Compliance penal y política legislativa. El deber personal y

empresarial de evitar la comisión de ilícitos en el seno de las personas jurídicas.
Valencia: Tirant lo Blanch
Martin Boado, A. M. (2016). Circular 1/2016 de la Fiscalía. En Desayuno de Trabajo.

Instituto Español de Ética y Compliance.
Nieto, A., Lascuraín, J.A., Blanco, I. (2015). Manual de cumplimiento penal en la

empresa. Valencia. Tirant lo Blanch.
Nieto, A. y Zapatero, L. (2013). El derecho penal económico en la era compliance (pp.

11-26). Valencia: Tirant lo Blanch.
Sanchez, I. (2018). Corporate Compliance en la industria farmacéutica:

Responsabilidad penal de la persona jurídica y de Consejeros, Directivos, Managers, y
otros empleados. II Foro de Compliance. Instituto Español de Ética y Compliance.

Compliance
T e st
1. El derecho penal tributario:

A. Supone un factor de intervención del Estado en la economía.
B. Se desarrolla en la mayoría de Europa tras la segunda guerra mundial.
C. Brinda protección a las funciones recaudatorias de la Hacienda Pública.
D. A y C son correctas.
2. Relaciona los siguientes preceptos delictivos con su referente histórico.

-Delito de quiebra - Código penal napoleónico
-Maquinaciones para alterar - Siglo XIX el precio de las cosas
-Delitos societarios - Baja Edad Media
3. En relación a la evolución del derecho penal económico, la era del denominado

capitalismo regulatorio:
A. Se basa en una mayor prestación de servicios por parte del Estado.
B. Carece de afán regulatorio, por lo que disminuye el número de normas
elaboradas.
C. Contempla los programas de cumplimiento como una especie de hibridación
entre lo público y lo privado.
D Solo contempla la existencia de mecanismos públicos de presión, como la Due
Dilligence.
4. Indica las tres estrategias jurídico-penales acuñadas en los Estados Unidos de

América como parte del proceso evolutivo de su derecho penal en relación al
cumplimiento normativo:
A. Sanciones anti trust, derecho penal privado y Compliance.
B. Sanciones anti alcohol, derecho penal privado y Compliance.
C. Sanciones anti alcohol, derecho administrativo de sociedades y Compliance.
D. Sanciones anti trust, derecho penal del mercado de valores y Compliance.

Compliance
5. En relación al modelo de cooperación público-privada que determina la era del

denominado capitalismo regulatorio:
A. La imposición de sanciones penales o administrativas a las personas jurídicas
es la forma de motivar a sus directivos a que establezcan medidas de debido
control eficaces.
B. Los administradores que no impulsen la adopción de programas de
cumplimiento son gestores negligentes.
C. Existen mecanismos privados de presión como la Due Dilligence.
D. Todas las respuestas anteriores son verdaderas.
6. Indica cuál de las siguientes afirmaciones es cierta:

A. En el sistema de responsabilidad vicarial, los sistemas de compliance tienen la
función de evitar que se realicen delitos en el seno de la persona jurídica que
puedan dar lugar a responsabilidad penal.
B. La persona jurídica solo puede ser responsable por el hecho cometido por
persona individual, y no por el hecho propio, consistente en la falta de
organización.
C. Al operar sobre un ente indeterminado que carece de personalidad individual,
la presunción de inocencia no es un principio aplicable en el proceso penal de
la persona jurídica.
D. El sistema de cumplimiento no debe controlar en ningún caso la actividad de
los administradores, al señalarse en estos la responsabilidad individual del
delito.
7. Respecto del proceso penal de la persona jurídica puede afirmarse que:

A. La colaboración de la persona jurídica, aportando prueba o confesando
culpabilidad es irrelevante.
B. La búsqueda de colaboración por parte del fiscal no plantea problemas para los
derechos fundamentales de la persona física investigada.
C. El artículo 31.bis del Código Penal español recoge la cooperación y la confesión
como circunstancias atenuantes.
D. Es aconsejable que el mismo abogado defienda a la persona jurídica y a la
persona física inculpada en el delito.

Compliance
8. Los tres grandes problemas de los sistemas de Compliance son, según Ulrich Sieber: A. Cosmética,
seguridad jurídica y privatización de la función pública del control
de la criminalidad.
B. Estadarización, seguridad jurídica y privatización de la función pública del control de la
criminalidad.
C. Cosmética, seguridad jurídica y afán privatizador de la criminalidad.
9. Indica cuál de las siguientes afirmaciones sería adecuada para aportar solución a los problemas de
los sistemas de Compliance:
A. En el diseño e implantación de los programas de cumplimiento deben
reforzarse controles cuyo eficaz funcionamiento dependa de la dirección de la empresa.
B. La manera más idónea de conseguir un programa de cumplimiento efectivo es que terceros
independientes intervengan en su diseño, implantación y supervisión.
C. Es aconsejable que el sistema de Compliance implantado esté dotado de los requisitos
necesarios para que pueda ser certificado.
D. B y C son correctas.
10. Respecto de las investigaciones internas

A. No son esenciales para el programa de cumplimiento, especialmente en relación a lo
estipulado en el artículo 31.bis del Código penal Español.
B. Los empleados sospechosos deben tener derechos similares a los que gozan en
el proceso penal.
C. Dado que no se conoce a priori el resultado de la investigación, no es relevante fijar con
claridad los derechos y deberes de los empleados en una investigación interna.
D. Moosmayer señala que el marco jurídico de las investigaciones internas
proviene principalmente del derecho del trabajo, del derecho a la protección de datos y de
los derechos adquiridos.

Compliance
Conceptos generales de Compliance

[3.2] Introducción
[3.3] Las tres líneas de defensa
[3.4] Compliance como función de gestión de riesgo
[3.5] Diferencias con Asesoría jurídica y Auditoría interna

Compliance
TEMA

Compliance
TEMA 3 – Esquema
Esquema
CONCEPTOS GENERALES DEL COMPLIANCE
Las tres líneas de defensa

gestión de riesgo jurídica y Auditoría interna
Negocio o actividad de la Diferencias con Asesoría

empresa. jurídica.
• Análisis de actividades.
© • Determinación de los riesgos.
Función del Compliance • Supervisión.

y otras funciones. Diferencias con
• Trazabilidad de las actuaciones. Auditoría interna.
• Aplicación de medidas correctoras.
Auditoría interna.
Compliance
Compliance
I d e a s c l a ve
Para estudiar este tema deberás complementar las ideas clave con la siguiente lectura:
Enseñat, S. (2016). Manual del Compliance Officer (pp. 21-33; 35-43). Cizur Menor:
Aranzadi.

Intelectual.
En el presente tema veremos de forma sencilla los antecedentes históricos y el

desarrollo en el tiempo de la función de Compliance. Repasaremos definiciones y
modelos mayoritariamente aceptados para el conjunto de la materia, contextualizado el
asunto en la gestión de riesgos, y analizaremos las diferencias entre la función de
Compliance y otras que aparentemente podrían solaparse con esta.
3.2. Introducción
Los orígenes de la función de Compliance se sitúan en Estados Unidos, a comienzos

del siglo XX y como respuesta a la necesidad de luchar contra la corrupción, la mafia y
el blanqueo de capitales obtenido de actividades delictivas. Surgen así normas
orientadas a atajar fenómenos delictivos concretos en el ámbito de los negocios y que
poco a poco van constituyendo un entorno legal de funcionamiento que obliga a las
empresas a preocuparse del cumplimiento (Compliance) de dichas normas en el seno
de sus actividades.
El riesgo de Compliance se define, según el Comité de supervisión bancaria de

Basilea (2005), de la siguiente forma: «El riesgo de Compliance es el riesgo de que una
organización pueda sufrir sanciones, multas, pérdidas financieras o pérdida de su
reputación como resultado del incumplimiento de las leyes, regulaciones, normas de
autorregulación o códigos de conducta que se apliquen a su actividad».

Compliance
3.3. Las líneas de defensa
La clave de un adecuado sistema de Compliance penal está en la existencia de unos

procedimientos claros y unas responsabilidades claramente definidas. El sistema de
control interno basado en las tres líneas de defensa se configura como un modelo
sencillo y comúnmente aceptado.
» La primera línea de defensa la constituye el «negocio» o actividad propia de la

empresa. Los empleados que día a día desarrollan esta actividad deben ser
conocedores de los riesgos a los que se enfrentan en su día a día y saber gestionarlo.
» La segunda línea está compuesta por la función de Compliance y por otras unidades
de control que existan en la organización. Deben supervisar el correcto
funcionamiento de los controles y su aplicación efectiva por parte de la primera
línea.
» La tercera línea de defensa está constituida por la función de auditoría interna, que
ha de supervisar a todas las unidades de la organización.
3.4. Compliance como función de gestión de riesgos
Efectivamente, la función de Compliance consiste principalmente en gestionar unos

riesgos específicos dentro de la organización. Para ello será necesario implementar
un esquema de funcionamiento basado en las siguientes fases:
» Análisis de actividades: mediante un ejercicio detallado de comprensión de

todas las líneas de actividad que se llevan a cabo en la compañía con el objeto de
posteriormente determinar los riesgos. Obviamente, el tipo de actividad tendrá unos
riesgos asociados específicos.
» Determinación de los riesgos: mediante un mapa de riesgos donde se

identificarán las actividades en cuyo ámbito puedan existir mayores riesgos de
distinta naturaleza (operacionales, penales…).

Compliance
» Establecimiento de controles: mediante un mapa de controles: en particular,

identificar y evaluar los controles existentes en la misma, que sirven de mitigantes
de la exposición al riesgo anteriormente determinado.
» Supervisión. Resulta fundamental llevar a cabo una supervisión de las actuaciones

de compliance por parte del órgano responsable cuyas funciones deben estar fijadas
con claridad con el objeto de que pueda llevar a cabo su función.
» Trazabilidad de las actuaciones. Resulta fundamental que todas las labores de

supervisión llevadas a cabo en el marco del compliance queden recogidas a través de
las formas adecuadas (informes, análisis, actas y otros documentos) y mediante el
uso de las aplicaciones informáticas que correspondan.
» Aplicación de medidas correctoras.
3.5. Diferencias entre Compliance, asesoría jurídica y auditoría

interna
Diferencias con Asesoría jurídica
¿Es verdaderamente necesario dotarse de una función de Compliance si ya se cuenta

con un departamento bien consolidado de asesoría jurídica? Siguiendo el esquema
mayoritariamente aceptado de las tres líneas de defensa, estas dos funciones no tienen
los mismos objetivos. Mientras que el asesor jurídico o legal tiene como misión la
defensa de la propia organización, la función de Compliance vela por los intereses de
las terceras partes dentro de la empresa (clientes, accionistas, proveedores, sociedad en
general).

Compliance
Diferencias con Auditoría interna
Siguiendo con el modelo de las tres líneas de defensa, hemos visto ya que Compliance y
Auditoría constituyen líneas diferenciadas. Por su parte, existen diferencias
importantes entre la monitorización que realiza el Compliance y las revisiones de la
Auditoría interna:
» Compliance monitoriza solo los controles de su ámbito mientras que Auditoría

supervisa todos los controles, incluida la propia función de Compliance.
» Compliance monitoriza de forma más continua, ágil e inmediata mientras que las
revisiones de Auditoría suelen ser tiempo después de que hayan transcurrido los
hechos.
» Compliance, manteniendo su independencia, puede y debe participar en el diseño de
las políticas, procedimientos y controles, mientras que Auditoría actúa de forma
independiente con respecto al negocio.

Compliance
No dejes de leer…
Una guía de aproximación al Compliance para la Abogacía
Guía práctica que desde un punto de vista eminentemente didáctico analiza los
conceptos clave en el ámbito de la gestión de riesgos. La guía se concibe como
herramienta de aplicación práctica en el ámbito de la abogacía pero define un esquema
de funcionamiento muy útil y aplicable de forma general. En los apartados 1 a 3
encontrarás información relacionada con el tema que estamos viendo.
http://www.abogacia.es/wp-content/uploads/2016/03/ABOGACIA-riesgos-ebook-
ok.pdf
Declaración de Posición: Las tres líneas de defensa para una efectiva

gestión de riesgos y control (2013)
Artículo del IIA en el que se explican de forma esquemática los conceptos básicos sobre
el modelo de las tres líneas de defensa y su aplicación en el ámbito de la gestión de
riesgos y su utilidad en los entornos de control.
https://na.theiia.org/translations/PublicDocuments/PP%20The%20Three%20Lines%
20of%20Defense%20in%20Effective%20Risk%20Management%20and%20Control%2
0Spanish.pdf

Compliance
No dejes de ver…
Compliance en el ámbito penal: la necesidad para la empresa
Autor: Bureau Veritas

Año: 2016
Intervención de Guillermo Ruiz-Blay, profesor

universitario y experto en Compliance, que repasa de
forma didáctica nociones generales sobre Compliance.
https://www.youtube.com/watch?v=9RiS_fa7FKg

Compliance
A fondo
Asociación Española de Compliance (ASCOM)
Casanovas, A. (2017). Libro blanco sobre la función del compliance. Madrid: ASCOM.
En el siguiente enlace encontrarás el libro blanco sobre la función Compliance,

publicado en 2017.
http://www.asociacioncompliance.com/Ascom/wp-content/uploads/2017/04/Libro-
Blanco-Compliance-ASCOM.pdf
Bibliografía
Bajo Albarracín, J. C. (2017). Sistemas de gestión compliance. Guía práctica para el

compliance officers. Madrid: Ed. CEF.
Carrau, R. (2016). Compliance para PYMES (Abogacía Práctica). Pamplona: Editorial

Aranzadi Thomson Reuters.
Complianza Consultoria. (22 de febrero de 2018). Responsabilidad penal de la persona

jurídica: resoluciones del tribunal supremo y audiencias. El blog de Complianza.
Recuperado de: http://www.complianza.net/actualidad/responsabilidad-penal/
Estupiñán, R. (2016). Administración de riesgos ERM y la auditoría interna. Bogotá:

ECOE Ediciones.
Laurence, Y.M. (2008) Primeros pasos en la gestión de riesgos. Madrid: AENOR.
Ribas, X. (2018). Practicum Compliance. Pamplona: Editorial Thomson Reuters.

Compliance
Saiz, C.A. (2015). Compliance. Pamplona: Aranzadi.
Saiz Peña, C.A. (Coord.). (2015). Compliance. Cómo gestionar los riesgos normativos
en la empresa (Gran Tratado). Pamplona: Ed. Aranzadi Thomson Reuters.
Thomson Reuters. (2017). Compliance. Guía Práctica de identificación, análisis y

evaluación de riesgos. Pamplona: Ed. Thomson Reuters.

Compliance
A c t i v i d a d es
Caso WCA: Desarrollo de un programa de cumplimiento bajo

los requisitos mínimos de la norma UNE 19601:2017
Objetivos de la actividad
» Identificar y aplicar con criterio las normas pertinentes

» Aplicar los conocimientos teóricos a la práctica para el asesoramiento jurídico
profesional.
» Adquirir la capacidad de trabajo independiente, impulsando la organización y
favoreciendo el aprendizaje autónomo.
Supuesto de hecho:
El grupo de empresas Manufacturas Asturias S.A. formado por la principal antes

indicada y otras tres sociedades de las cuales esta es propietaria del 100% de sus
participaciones sociales precisa, por requisito de un tercero, el diseño e implantación de
un programa de cumplimiento bajo las directrices de la norma de Sistemas de Gestión
de Compliance Penal, UNE 19601:2017, para que posteriormente pueda superar una
auditoría de certificación realizada por una entidad de certificación independiente.
Cada una de las empresas tiene una actividad diferente, siendo Manufacturas Asturias
S.A. la empresa originaria que tiene como actividad principal el mecanizado de todo
tipo de piezas industriales, las otras tres empresas del grupo tienen actividades muy
variadas que van desde la hostelería hasta la inversión en inmuebles.
Las empresas ya han hecho unos avances previos en materia de compliance y ya tienen
elaborada una serie de elementos a exponer:
» Matriz de riesgos de cumplimiento en los cuales de identifican los riesgos penales a

los que están sometidos mediante la mención literal de los delitos aplicables a la
persona jurídica y clasificándolos en alto, medio o bajo. No tienen muy claro los
criterios con los que se hizo esta matriz ya que fue contratada a un asesor externo.
» Código de Conducta disponible para descarga en la página web de la empresa.
TEMA 3 – Actividades © Universidad Internacional de La Rioja (UNIR)

Compliance
» Canal de denuncias consistente en un correo electrónico dirigido al Responsable

Legal del grupo de empresas.
Cuestiones:
» La organización le requiere para que presente un informe en el cual se detallen los

requisitos mínimos establecidos por la norma UNE 19601 a tener en cuenta para el
desarrollo de su programa/sistema de cumplimiento.
» En complemento a lo anterior la organización quiere que le describa brevemente que

tipo de acciones y/o documentos concretos tendría que desarrollar para cumplir con
los requisitos de esta Norma y superar la auditoría externa.
» ¿Qué elementos del programa de cumplimiento podrán realizarse en conjunto (un

único documento u acción para todo el grupo) para todas las empresas del grupo
bajo una visión de eficiencia y que elementos tendrían que desarrollarse de forma
individualizada?
» Una vez diseñado y programa de cumplimiento y entregado a la organización,

¿Estaría ya estaría lista para solicitar y superar la auditoría externa? Argumente y
razone su respuesta.
» Según lo establecido por la norma UNE 19601 ¿Identifica algún tipo de problema o
carencia en la matriz de riegos actual de la organización? Argumente y razone su
respuesta.
» A la luz del mecanismo de denuncias establecido por este grupo de empresas,

¿Qué medidas le recomendaría emprender e aras de dar cumplimiento a lo
requerido por UNE 19601 así como por las buenas prácticas internacionales en
esta materia? Argumente y razone su respuesta.

Compliance
Rúbrica
Caso WCA Puntuación Peso

(valor real: 3,5 Descripción máxima
%
puntos) (puntos)
Correcta y completa identificación de
Criterio 1 2 20%
los requisitos aplicables
Correcta y completa argumentación de
Criterio 2 la aplicación práctica de los requisitos 4 40%
aplicables
Correcta y sintética respuesta a las
Criterio 3 cuestiones que se plantean (forma y 3 30%
fondo)
Capacidad de síntesis (no excederse del
límite en líneas propuesto suponiendo
Criterio 4 que el contenido se adecúa a los 1 10%
objetivos propuestos)
10 100
%
Extensión máxima: 30 líneas por pregunta, fuente Georgia 11 e interlineado 1,5.

Compliance
T e st
1. Los orígenes de la función de Compliance se sitúan en:

A. Europa después de la segunda guerra mundial.
B. Europa a comienzos del siglo XX.
C. Gran Bretaña después de la segunda guerra mundial.
D. Estados Unidos a comienzos del siglo XX.
2. Indica cuál de las siguientes afirmaciones es verdadera:

A. Los ataques del 11 de septiembre de 2001 condujeron a la publicación de
normas para combatir el delito fiscal.
B. La Sarbanes Oxley Act se publica como respuesta a escándalos como la caída
de Enron.
C. En los sectores regulados como el financiero la función de Compliance se
impuso de forma voluntaria en las empresas.
D. La convención anticorrupción de la OCDE no ha sido revisada desde su
promulagación.
3. Señala cuáles de los siguientes elementos forman parte del riesgo de Compliance
según la definición del Comité de Supervisión Bancaria de Basilea:
A. Sufrir sanciones y multas.
B. Sufrir pérdidas financieras y pérdida de reputación.
C. Sufrir robos de información sensible.
D. A y B son correctas.
4. Indica cuál de los siguientes principios no está relacionado con la función de

Compliance:
A. Compliance comienza en la cúpula de las organizaciones.
B. Una organización debería observar exclusivamente el tenor literal de las leyes,
y no su espíritu.
C. Compliance debería ser parte de la cultura de una organización.
D. Compliance afecta a todos los miembros de la organización.

Compliance
5. Indica el orden correcto de las tres líneas de defensa, partiendo desde la primera
hasta la tercera:
A. Compliance, negocio, auditoría interna.
B. Auditoría interna, compliance, negocio.
C. Compliance, auditoría interna, negocio.
D. Negocio, compliance, auditoría interna.
6. La responsabilidad última del control de riesgos recae sobre:

A. El comité de auditoría.
B. El órgano de Compliance.
C. Los miembros de la alta dirección.
D. La primera línea de defensa.
7. Al respecto de la gestión de riesgos, puede decirse que:

A. Compliance es una función de gestión de riesgos.
B. La aplicación de medidas correctoras no forma parte de la gestión de riesgos.
C. El Compliance Officer gestiona unos riesgos específicos dentro de la
organización.
D. A y C son verdaderas.
8. En cuanto a las diferencias y/o similitudes entre Asesoría jurídica y Compliance,

podemos afirmar que:
A. Son dos elementos con el mismo objetivo pero con funciones diferentes.
B. Son dos elementos que forman parte de la tercera línea de defensa.
C. Sus intereses nunca entran en conflicto.
D. Asesoría tiene como misión principal defender a la organización y sus
empleados mientras que Compliance vela por los intereses de terceras partes.
9. En cuanto a las diferencias y/o similitudes entre Auditoría interna y Compliance,

pude decirse que:
A. Sus tareas de supervisión no son complementarias.
B. Compliance forma parte de la segunda línea de defensa y Auditoría constituye
la tercera.
C. No existen diferencias sustanciales entre la monitorización que realiza
Compliance y la revisión que lleva a cabo Auditoría.
D. Las revisiones de Auditoría interna generalmente ocurren antes de que se haya
producido el incumplimiento.

Compliance
10. La monitorización de Compliance:

A. Supervisa únicamente los controles y riesgos de Compliance.
B. Se lleva a cabo con mayor inmediatez al posible riesgo o incumplimiento. C. Se realiza
de forma frecuente y continua.
D. Todas las anteriores son verdaderas.

Compliance
Las consecuencias jurídicas del non

compliance
[4.2] Introducción
[4.3] La responsabilidad penal de la empresa
[4.4] La imputación penal de los miembros de la empresa
4 TEMA

E s q u e ma
TEMA 4 – Esquema
LAS CONSECUENCIAS JURÍDICAS DEL NON COMPLIANCE
La responsabilidad penal de la La imputación de los

empresa miembros de la empresa
La responsabilidad
El injusto empresarial.
penal de los directivos.
El criterio de imputación
de la pena.
Compliance
© Universidad Internacional de La Rioja (UNIR)

Compliance
I d e a s c l a ve
Para estudiar este tema deberás complementar las ideas clave expuestas a continuación
con la siguiente lectura:
García, P (2014). Criminal Compliance (pp. 89-114). Pueblo Libre (perú): Palestra
Editores.

Intelectual.
Martin Boado, A. M. (2015). El nuevo Código Penal no perdona los delitos cometidos
por los directivos de una organización. Revista PM Farma, septiembre-octubre.
Disponible en:
http://www.ieecompliance.org/app/download/5812981069/La+responsabilidad+de+
Directivos%2C+Consejeros+y+Compliance+Officers.pdf_vAM.pdf
Martin Boado, A. M. (2016). Casos reales 1/2016. Instituto Español de Ética y

Compliance. Disponible en:
http://www.ieecompliance.org/app/download/5812980999/Casos+Reales+1-
2016_VPS.pdf
En el presente tema analizaremos las consecuencias que tiene para el conjunto de la

organización el hecho de no implementar programas de Compliance, o hacerlo de
forma no idónea o poco diligente. Partiendo de los distintos sistemas teóricos al
respecto de la delimitación de la responsabilidad penal de la persona jurídica, veremos
los supuestos de imputabilidad tanto de la empresa como de sus directivos.
4.2. Introducción
El non-compliance se produce de forma clara cuando la organización no cuenta con

un programa de cumplimiento normativo. Pero también de forma secundaria si el
programa no es adecuado o no se observa su contenido de manera suficiente ¿Puede

Compliance
ello dar lugar, llegado el caso, a la responsabilidad penal de los encargados de formular,
implementar y llevar a cabo el plan de Compliance?
4.3. La responsabilidad penal de la empresa
En el marco de la empresa, la situación de non-compliance puede repercutir en la

imputación penal de la empresa misma, por lo que se hace necesario discutir cómo la
lógica del Compliance puede incidir en esta cuestión.
El injusto empresarial
El fundamento mayoritariamente aceptado, más allá de matices doctrinales, basa la

imputación de la empresa en el hecho propio, o modelo de autorresponsabilidad, por
lo que se hace necesario delimitar cuál sería ese hecho propio y el consenso al respecto
parece darse en entender que el hecho por el cual se responsabiliza a la empresa es un
defecto de organización. De esta forma, la ausencia de Compliance o el Compliance
inapropiado podrían ser elementos que fundamentasen, llegado el caso, la imputación
de la empresa.
A partir de aquí pueden tomarse distintas decisiones sobre cómo castigar la

conducta punible. Una de ellas sería criminalizar en sí misma la organización
defectuosa de la empresa que haga posible la comisión de un delito por alguno de sus
miembros, siendo en este caso que la infracción atribuida a la persona jurídica
consistiría en una situación de non-compliance.
La otra alternativa sería tratar la situación de non-compliance como la causa de la

responsabilidad penal de la empresa por el delito cometido por su órgano o
representante. El defecto organizativo, que atañe de pleno a la empresa, la hace
penalmente competente por el delito realizado en su seno. Si bien en el derecho español
no existe obligación de tener un plan de Compliance, compete a la empresa el tenerlo o
no tenerlo, de modo que resultará responsable de los delitos que se cometan debido a la
situación de non-compliance y que podrían haberse evitado con un adecuado plan de
cumplimiento. Al respecto, recordemos aquí que el artículo 31 bis del Código Penal
español prevé el hecho de tener implantado en la organización antes de la comisión del
delito un programa de cumplimiento (con el correspondiente plan de prevención de

Compliance
delitos) puede constituir una circunstancia «eximente» de la responsabilidad penal de

la persona jurídica.
A tenor de la importancia del art. 31 bis del Código Penal español deberás consultar
para completar el estudio de este epígrafe.
https://www.boe.es/buscar/act.php?id=BOE-A-1995-25444
Es importante no obstante también señalar que el non-compliance no siempre deriva

en una imputación por los delitos producidos, ya que esta no solo se produce como por
la creación del riesgo sino, además, por la materialización de este en un resultado.
El criterio de imputación de la pena
La situación de non-compliance como circunstancia que agrava la pena solo puede ser
tenida en cuenta dentro de un modelo de heterorresponsabilidad, ya que si no se
estaría valorando doblemente una misma circunstancia.
No obstante, sí puede afirmarse que la corrección del defecto de organización a

través de la puesta en marcha de un plan de Compliance sí será tenida en cuenta a la
hora de determinar la pena a imponer, a través de la consideración de un atenuante.
4.4. La imputación de los miembros de la empresa
La situación de non-compliance puede derivar también en responsabilidad penal

individual de los miembros de la empresa debido a delitos cometidos en el marco de
sus actividades.
La responsabilidad penal de los directivos
La decisión de poner en marcha un plan de Compliance corresponde a los directivos de

la empresa, de ahí que si la situación de non-compliance puede ser fácilmente
atribuible a estos, será sobre ellos sobre quienes se individualizará la
responsabilidad penal.

Compliance
Cabe señalar en este punto que si bien, y como ya se ha dicho, la legislación española no
impone de forma obligatoria la puesta en marcha de planes de cumplimiento en las
empresas, está ya abierto el debate jurídico sobre si la decisión de no llevar a cabo
medidas de cumplimiento penal supondría por parte de los directivos cometer delito
de administración desleal, al no haber tomado las medidas adecuadas para
salvaguardar los intereses de la empresa.
Es importante señalar que el concepto de administrador en los delitos comunes debe de

entenderse en un sentido amplio, como las personas que integran el órgano de
administración de la empresa, pudiendo adquirir este distintas formas como son
administrador único, administradores solidarios o mancomunados, y consejo de
administración.
Así, desde la perspectiva de la gestión de la empresa, el administrador tiene

encomendadas las principales funciones como las de planificación, organización,
coordinación y vigilancia general de la actividad empresarial encaminadas al desarrollo
y consecución del que sea el objeto social.
No obstante, las funciones de gestión general de la empresa no solamente pueden estar

en manos de los administradores, sino que también pueden encargarse los directores
gerentes o directores generales. Por tanto, la consideración de administrador en el
ámbito de los delitos comunes se extendería también a esos otros altos directivos de la
empresa con competencias sobre la gestión al máximo nivel.
Sin ser excluyentes, los tipos delictivos más frecuentes de los que los administradores o
asimilados pueden ser responsables son los siguientes:
» Defraudaciones: Estafas y apropiaciones indebidas. (Artículos 248 a 254 CP). Hay

que señalar que desde la reforma efectuada por la LO 1/2015, la administración
desleal –artículo 295– se ha sacado de los delitos societarios y situado entre los
delitos patrimoniales –artículo 252–, pues puede ser sujeto pasivo del mismo tanto
una persona individual como una sociedad.
» Delitos contra la propiedad intelectual e industrial, al mercado y a los consumidores.
(Artículos 270 a 288 CP).
» Delitos contra la Hacienda Pública y la Seguridad Social. (Artículos 305 a 310 CP).
» Delitos contra los Derechos de los trabajadores. (Art. 311 a 318 CP).

Compliance
Obviamente la situación no admite discusión alguna cuando se habla de sectores

regulados y que, esta vez, sí, imponen la obligatoriedad de llevar a cabo medidas
concretas de control con respecto a la comisión de actos ilícitos.
En cuanto a la comisión de actos ilícitos por parte de trabajadores «no directivos»,

debe decirse que si existe en la empresa un programa de cumplimiento idóneo y
adecuado, el hecho señalado no debe derivar en la responsabilidad penal del directivo.
Para ampliar esta información, puedes leer una relación y resumen de las Sentencias y
Resolución de mayor interés en el apartado A fondo.

Compliance
No dejes de leer…
Responsabilidad penal de directivos y administradores
Algorta, M. (septiembre, 2010). Responsabilidad penal de directivos y administradores.

Revista Jurídica. Bufete Barrilero y Asociados.
Interesante artículo en el que la autora analiza supuestos y condiciones para establecer

la responsabilidad criminal de quienes intervienen en la comisión de un delito en el
seno de organizaciones jerarquizadas y en las que las funciones directivas están
claramente determinadas.
http://www.barrilero.com/wp- content/uploads/2013/05/REVISTA%20JURIDICA
%20SEPTIEMBRE%202010_MAB
.pdf
Responsabilidad penal de los administradores de una sociedad
Bufete Escura (4 de abril de 2017). Responsabilidad penal de los administradores de

una sociedad. Blog de nuevas tecnologías- Escura.
Breve análisis del tema con referencias al artículo 31.bis del Código Penal y
jurisprudencia del Tribunal Supremo.
http://www.escura.com/archivos/pdf/responsabilidad-penal-administradores-
sociedad-65-2017.pdf

Compliance
No dejes de ver…
Responsabilidad penal de la empresa y del directivo
Autor: Fundación Industrial Navarra

Año: 2015
Conferencia de D. Jorge Arellano, responsable de

Corporate Compliance, que ofrece una serie de
interesantes reflexiones sobre la responsabilidad penal de
personas jurídicas en el marco legislativo actual.
https://www.youtube.com/watch?v=UzQf_q-g95U&t=649s

Compliance
A fondo
Delimitación conceptual y atribución de responsabilidad penal al

administrador de derecho
Gil, M.S. (julio, 2013). Delimitación conceptual y atribución de responsabilidad penal al

administrador de derecho: una revisión de doctrina desde la jurisprudencia. Revista de
Derecho penal y Criminología, 3 (10), 115-154
El artículo se centra en analizar la figura del administrador de derecho y analiza

situaciones de atribución a este de la responsabilidad penal y ofrece un completo
listado de jurisprudencia relacionada con la materia.
http://e-spacio.uned.es/fez/eserv/bibliuned:revistaDerechoPenalyCriminologia-2013-
10-4015/Documento.pdf
Sumario de Jurisprudencia relevante en materia de Compliance
El siguiente documento recoge algunas de las Sentencias o Resoluciones dictadas por

autoridades judiciales y administrativas (así, tribunales, autoridades judiciales o
autoridades anticorrupción) de interés en materia de Compliance, que se han ido
dictando en España y en otros países.

Compliance
Bibliografía
Benítez, D. (2017). El cumplimiento y el órgano de administración social. Dossier

Compliance y Norma UNE 19601. Madrid: Thomson Reuters.
Complianza Consultoría (22 de febrero de 2018). Responsabilidad penal de la persona

jurídica: resoluciones del tribunal supremo y audiencias. El blog de Complianza.
Disponible en:
http://www.complianza.net/actualidad/responsabilidad-penal/
Consejo General de la Abogacía Española. (2017). Informe 5/2017. Comisión jurídica

sobre la intervención del abogado como responsable de cumplimiento normativo
(compliance officer).
Del Moral, A. (21 de noviembre de 2017). A vueltas con los programas de cumplimiento
y su trascendencia penal. Elderecho.com. Disponible en:
https://www.elderecho.com/tribuna/penal/Programas-cumplimiento-compliance-
penal_11_1160680001.html
García, P. (2014). Criminal Compliance. Perú: Palestra Editores.
Kuhlen, M., Ortiz de Urbina, J.P., Gimeno, Í. (2013). Compliance y teoría del Derecho
penal. Madrid: Marcial Pons, Ediciones Jurídicas y Sociales
Luceño, J. L. y Herrera, R. (2017). El Compliance como Responsabilidad del Consejo

de Administración. Dossier Compliance y Norma UNE 19601. Madrid: Thomson
Reuters.
Moya, A. (2010). Responsabilidad penal de los administradores: delitos societarios y

otras formas delictivas adaptada a la ley 5/2010 de reforma del código penal.
Barcelona: Editorial Bosch, S.A.
Silva., J.M. (2013). Criminalidad de empresa y compliance. Barcelona: S.A. Atelier

libros

Compliance
T e st
1. Una situación de non-compliance se produce de manera clara cuando:

A. El órgano de administración no está claramente constituido.
B. La empresa no cuenta con normas internas acordes a sus procesos
operacionales.
C. El administrador ejerce su responsabilidad de manera mancomunada.
D. La empresa no cuenta con un programa de cumplimiento normativo.
2. En el ámbito de la responsabilidad penal de la empresa, la situación de non-

compliance:
A. No tiene relevancia ninguna.
B. Tiene una doble relevancia.
C. No es tenida en cuenta en ningún caso a la hora de decidir la pena.
D. No es importante para decidir la imputación penal contra la empresa.
3. Indica cuál es el modelo de responsabilidad penal de la empresa que mejor se ajusta

a los estándares actuales de imputación penal:
A. Heterorresponsabilidad por hecho impropio.
B. Autorresponsabilidad.
C. Heterorresponsabilidad por hecho propio.
D. Ninguna de las anteriores.
4. En el sistema de imputación penal por hecho propio, ese hecho que genera la
imputación es:
A. Un defecto de organización.
B. Un defecto de estructura directiva.
C. Una inadecuada estructura societaria.
D. La ausencia de estructuras jerarquizadas.

Compliance
5. Indica cuál de las siguientes afirmaciones es correcta:

A. A la hora de castigar el defecto de organización una opción legislativa es
criminalizar en sí misma al conjunto de actividades de la empresa.
B. La obligatoriedad del Compliance en España anula cualquier posibilidad de
imputación penal.
C. Si bien no pesa sobre la empresa un deber jurídico de incorporar un programa
de cumplimiento, se considera una incumbencia suya hacerlo.
D. El hecho de que exista programa de cumplimiento en la empresa inidóneo e
inapropiado no genera una situación de non-compliance, ya que el plan existe.
6. La Ley de contravenciones alemana (OWIG):

A. Castiga a la empresa cuando sus órganos cometen un delito.
B. El delito atribuido a la persona jurídica consistiría en una situación de non-
compliance.
C. No castiga a la empresa en ningún caso.
D. A y B son verdaderas.
7. Respecto del incumplimiento del deber de implementar un plan de Compliance

idóneo, puede afirmarse que:
A. Siempre conlleva una imputación penal de los delitos producidos.
B. La imputación objetiva se reduce a la creación del riesgo penalmente
prohibido.
C. El riesgo debe realizarse en resultado para para que haya posible imputación.
D. Ninguna de las anteriores es verdadera.
8. La llamada culpabilidad reactiva:

A. Supone que la empresa corrige su defecto organizativo con la adopción de un
plan de compliance una vez se ha cometido el delito.
B. En ningún caso supone un aspecto valorable positivamente a efectos de
imposición de pena.
C. Puede llegar a suponer la atenuación de la pena pero no su sustitución.
D. Ese concepto no existe, pero sí, a los mismos efectos, el de responsabilidad
procesal ex – post.

Compliance
9. Puede ser consecuencia de la situación de non-compliance:

A. La imputación de responsabilidad penal a los miembros individuales de la empresa por
un delito cometido en el marco de las actividades empresariales.
B. La imputación de responsabilidad penal individual a los directivos por no haber
salvaguardado adecuadamente el interés de la empresa.
C. La imputación de responsabilidad penal individual a los directivos si el non- compliance
deriva claramente de su ámbito de decisión.
D. Todas las anteriores son verdaderas.
10. En cuanto al carácter defectuoso de un sistema de cumplimiento normativo:

A. Se prueba con la sola realización de un delito en el marco de la actividad empresarial.
B. Queda probado por el hecho de que un trabajador haya sido capaz de eludirlo. C. Para
probar dicho carácter es necesario realizar un análisis concreto de las
medidas que incluye el sistema.
D. Quedará probado si las medidas implantadas no reducen a cero el riesgo de comisión de
delitos.

Compliance
Public Compliance
[5.2] Ética pública y cumplimiento normativo
[5.3] Asimetrías en la prevención de la corrupción
5 TEMA

Compliance
TEMA 5 – Esquema
Esquema
PUBLIC COMPLIANCE
Ética pública y Asimetrías en la

cumplimiento prevención de la
normativo corrupción
©
Compliance mucho más
Aspectos importantes: código
desarrollado en empresa
ético, política formativa y
privada que en
evaluación de riesgos.
administración pública.
Compliance
Compliance
I d e a s c l a ve
Para estudiar este tema deberás complementar las ideas clave con la siguiente lectura:
Nieto, A. y Maroto, M. (2014). Public compliance. Prevención de la corrupción en

administraciones públicas y partidos políticos (pp. 17-42). Ciudad Real: Universidad
de Castilla la Mancha.

Intelectual.
En el presente tema abordaremos la cuestión del public compliance o cumplimiento

normativo en el sector público, aspecto también relevante de cara a completar la visión
global del ámbito del cumplimiento normativo y los modelos de prevención penal. De
esta forma y partiendo de la evolución histórica del concepto, analizaremos las
diferencias, y los motivos de estas, entre la implantación de los modelos de Compliance
en el sector privado frente a su escasa presencia, más allá de la observancia de una serie
de normas de tipo general, en el sector y las administraciones públicas.
5.2. Ética pública y cumplimiento normativo
El concepto de ética pública surge a finales de los años 70 en el mundo anglosajón

ante la necesidad de controlar la corrupción en las administraciones públicas. Se llega
al convencimiento de que el conjunto de normas y reglas no es suficiente para controlar
la actividad de la administración y de que se hace necesario establecer mecanismos de
autorregulación mediante el establecimiento de controles internos en las
organizaciones.
En este contexto de autorregulación el código ético supone la pieza fundamental

sobre la que basar el conjunto del cumplimiento normativo. La clave de un buen código
ético está, más allá de su contenido, en que haya sido elaborado contando con la
participación de aquellos a quienes va a afectar su estricto cumplimiento.

Compliance
Otro aspecto primordial en el engranaje del respeto a la ética está, también en relación
con la importancia del código ético, en la política formativa. La formación constituye
el elemento más importante para garantizar la eficacia de la política de cumplimiento, y
por supuesto, esto también es así en el ámbito de las organizaciones públicas.
El siguiente elemento importante para el cumplimiento normativo es la evaluación

de riesgos. Quizá este aspecto sea el principal problema en relación a la ética
pública, en el sentido de que se trata de un concepto que no ha sido realmente
interiorizado por las administraciones públicas hasta fechas bien recientes y sin que,
hasta ahora, se hayan desarrollado tampoco mecanismos de control interno al estilo de
los implementados en las empresas privadas. No en vano nuestra actual regulación en
la materia excluye directamente a las administraciones públicas de la aplicación del
concepto de responsabilidad penal de persona jurídica.
De ahí la importancia de que las administraciones públicas aborden de forma

profesional el public compliance centrándose en la importancia de valorar sus
riesgos y siendo conscientes de que las simples normas de carácter general no son
suficientes como mecanismo de control eficaz para la prevenir la comisión de delitos.
5.3. Asimetrías en la prevención de la corrupción
Ante este panorama, no es difícil extraer la conclusión de que el desarrollo del

Compliance en la empresa privada ha sido mucho más profundo, profesional y
universal que las medidas llevadas a cabo en el caso de las administraciones públicas.
Así, si el nacimiento y consolidación del Compliance ha supuesto una suerte de
privatización de la lucha contra el delito y la corrupción, no es comprensible que la
administración no se aplique a sí misma las mismas normas cuya aplicación solicita
para el sector privado.
Se da, de esta forma, una clara situación de asimetría cuya justificación ha de

buscarse precisamente en una presión regulatoria a su vez asimétrica en la medida en
que si bien distintas normas procedentes de distintos ámbitos del derecho han
establecido estímulos e incentivos para la universalización del Compliance en el sector
privado, esto no ha sido así para con las organizaciones públicas.

Compliance
No dejes de leer…
Ética pública y buen gobierno
Bautista, O.D. (2009). Los códigos de ética en asuntos de Estado. En Ética pública y
buen gobierno. Fundamentos, estado de la cuestión y valores para el servicio público
(pp. 93-117). Toluca: Instituto de Administración pública del Estado de México
El documento que se propone, que resultó galardonado con mención honorífica en el

Premio Bienal IAPEM 2008, muestra, entre otros aspectos, un estudio comparativo al
respecto de principios éticos de gestión pública en distintos países de nuestro entorno.
http://eprints.ucm.es/9829/1/eticapublica.pdf
Legge Anticorrupzione 190-2012- Gobiernos de la República de Italia
Ley anticorrupción de la República Italiana. Constituye uno de los textos más

modernos y elaborados sobre lucha contra el delito, perfeccionando instrumentos
básicos para la prevención de la corrupción.
Accede a la Ley a través del aula virtual o desde la siguiente dirección web:
http://www.marche.istruzione.it/news/2013/112013/allegati/legge_anticorruzione_n.
_190-2012_0.pdf

Compliance
No dejes de ver…
Estatuto del Empleado público, deberes y código de conducta
Autor: García, C.S.

Año: 2016
La autora del vídeo ofrece unas pinceladas muy

interesantes sobre el Real Decreto Legislativo 5/2015
de 30 de octubre, sobre Texto Refundido de la Ley del
Estatuto Básico del Empelado público, centrándose en
los principios éticos que deben presidir la actuación de
los empleados públicos.
https://www.youtube.com/watch?v=6oZrslXUr4I

Compliance
A fondo
La ética y la corrupción en la política y la administración pública
Bautista, O.D. (2005). La ética y la corrupción en la política y la administración

pública. Universidad Internacional de Andalucía, Sevilla
Tesis doctoral que versa sobre ética pública. En los capítulos 4 y 5 se incluye
información sobre diversos organismos anticorrupción y también se habla sobre el
Estatuto Básico de la Función Pública y se identifican los valores éticos para los
servidores públicos en España.
http://dspace.unia.es/bitstream/handle/10334/45/0007_Diego.pdf?sequence=1
Bibliografía
Enseñat, S. (2016). Manual del Compliance Officer. Guía práctica para los
responsables de Compliance de habla hispana. Pamplona: Editorial Thomson Reuters.
Escura (22 de febrero de 2017). Jurisprudencia sobre la representación de una persona

jurídica en un proceso penal. Escura.com. Disponible en:
https://www.escura.com/es/blog-escura/jurisprudencia-la-representacion-procesal-
una-persona-juridica-proceso-penal/
Marleny, L. (2008). Manual de ética pública. Cómo incorporar la ética pública en la

cultura institucional de los organismos y entidades del Estado. Asunción: programa
umbral Paraguay
Villoria, M., Izquierdo, A. (2015). Ética pública y buen gobierno: regenerando la

democracia y luchando contra la corrupción desde el servicio público. Instituto
Nacional de Administración Pública INAP

Compliance

Compliance
T e st
1. La idea de ética pública aparece:

A. A principios de la década del 2000 como consecuencia de la caída de ENRON.
B. A finales de los 70, en Francia, como mecanismo de control de la corrupción en
las administraciones públicas.
C. A finales del siglo XIX, en EEUU como consecuencia de la corrupción derivada
de la expansión del ferrocarril.
D. A finales de los 70, en el mundo anglosajón, como mecanismo de control de la
corrupción en las administraciones públicas.
2. El informe Nolan, punto de partida del concepto de public compliance, pone de

manifiesto que:
A. El incremento y la mejora de la regulación constituyen per se un antídoto
suficiente para la prevención de prácticas corruptas.
B. Las medidas de autorregulación suplen la necesidad de contar con controles
externos como la existencia de un poder judicial independiente.
C. Se hace necesario potenciar medidas de autorregulación que incrementen los
controles internos de cada organización.
D. Las administraciones públicas gozan de un elevado grado de implantación de
mecanismos de control interno.
3. Respecto del papel del código de conducta como medida de autorregulación de las
administraciones públicas, se puede afirmar que:
A. Se le considera un eje central de las medidas internas.
B. Contrarresta el contexto de justificación que propicia la comisión de delitos.
C. Es importante que en su proceso de elaboración participen las personas
afectadas por sus disposiciones.
D. Todas las anteriores son ciertas.

Compliance
4. Indica cuál de las siguientes afirmaciones no es cierta con respecto al Estatuto Básico
del Empleado Público (EBEP):
A. Se limita a poner de manifiesto una serie de valores, principios y normas
básicas de conducta.
B. Obliga a cada administración pública a contar con su propio catálogo de
normas de conducta.
C. Determina que las reglas y principios que contiene «informarán la
interpretación y aplicación del régimen disciplinario de los funcionarios
públicos».
D. No tiene validez jurídica directa como norma de derecho penal.
5. Al respecto del análisis de riesgos en el seno de las administraciones públicas se

puede afirmar que:
A. Se ha puesto un énfasis suficiente en su implementación.
B. No tiene mucho sentido, dado el carácter público de la administración.
C. No tiene el mismo grado de desarrollo con el que cuenta en la empresa privada.
D. Está contemplado en el Plan Nacional de Riesgos de las Administraciones
Públicas que se elabora anualmente.
6. Al respecto de la asimetría entre «Compliance público» y «Compliance privado», se

puede decir que:
A. El grado de implantación de medidas anticorrupción en la empresa privada y
la administración pública es similar.
B. La adopción de programas de cumplimiento en las empresas supone en cierta
medida una privatización de la lucha contra la corrupción.
C. La razón de la asimetría está en la falta de presión regulatoria que incentive la
aplicación del Compliance en la administración pública.
D. B y C son ciertas.
7. Una buena estrategia para el desarrollo del public compliance está en:
A. Aplicar al sector público las medidas del Compliance privado.
B. La privatización de los servicios de Compliance en las administraciones
públicas.
C. La privatización de los servicios públicos.
D. La reducción del sector público.

Compliance
8. Al respecto del EBEP en el contexto del public compliance, sería recomendable que: A. Se
transformase en una norma penal.
B. Incluyese un código ético único para el conjunto de las administraciones públicas.
C. Estableciera la obligación de que cada administración pública contase con su
propio programa anticorrupción.
D. Ampliase su ámbito de aplicación a cargos municipales electos.
9. Indica cuál de los siguientes grupos de actividades incluye las más proclives a la corrupción
en el marco de actuación de las administraciones públicas:
A. Urbanismo, sanidad, educación, contratos.
B. Urbanismo, contratos, contratación de personal, subvenciones. C.
Urbanismo, contratos, sanidad, subvenciones.
D. Urbanismo, contratos, educación, subvenciones.
10. La alternativa que más minimiza los daños colaterales de la multa y que puede a su vez actuar
como medida incentivadora para el public compliance es:
A. El cese de prestación de servicios por parte de la administración pública.
B. La publicación de listas nominativas de infractores en el BOE. C. La
intervención judicial de la administración afectada.
D. La intervención policial de la administración afectada.

Compliance
Análisis de riesgos
[6.2] Introducción
[6.3] Identificación, gestión y control
[6.4] El método Mosler
6 TEMA

E s q u e ma
TEMA 6 – Esquema
ANÁLISIS DE RIESGOS
Identificación, gestión y
control El método Mosler
Parámetros: función,
Campos para la
sustitución, profundidad, Carácter del Riesgo
valoración del riesgo.
externalización, agresión,
vulnerabilidad.
Compliance

Compliance
I d e a s c l a ve
con la lectura del siguiente artículo:
Jiménez, V. (5 de mayo de 2017). La valoración de los delitos de los delitos en un

programa de compliance. El método de mosler como método de análisis y evaluación
de los riesgos penales (1). Diario la Ley, núm. 8973
http://escura.com/archivos/pdf/LALEY_Valoracion-delitos-programa-compliance-
victor-jimenez-2017.pdf
En el presente tema analizaremos la utilidad y necesidad de un adecuado proceso de

identificación de los riesgos penales como base para implementar de forma acertada y
eficaz un programa de cumplimiento.
Veremos aspectos generales sobre gestión de riesgos y nos detendremos en estudiar

una propuesta concreta de actuación en la materia: el método de Mosler.
6.2. Introducción
El primero de los requisitos que el artículo 31.bis del Código Penal español
establece para los modelos de Compliance es el que indica que se han de identificar las
posibles actividades en las que podría materializarse la comisión de un delito, lo que
lleva aparejado la realización de una evaluación de riesgos penales.
Por su parte, la Fiscalía General del Estado señala también este aspecto en su circular
1/2016, estableciendo que los programas de Compliance deben ser aptos para
identificar, gestionar, controlar y comunicar los riesgos reales y potenciales derivados
de las actividades de la empresa.

Compliance
Todo lo cual lleva a la necesidad de proponer un método de evaluación y medición de

riesgos penales.
6.3. Identificación, gestión y control
Cualquier método de gestión de riesgos penales debe basarse en un precepto básico:

evaluar la exposición de la empresa al riesgo de ser declarada responsable de la
comisión de delitos. Por ello, resulta fundamentar cimentar la construcción de
cualquier programa de compliance penal en una evaluación de riesgos sólida.
Determinar la exposición al riesgo penal de una compañía exige no solo

conocer los tipos penales que pueden afectar a una persona jurídica, sino
identificar de la forma más precisa posible cuales de esos delitos tienen un mayor grado
de probabilidad de comisión en función de la actividad empresarial que se lleva a cabo
en la empresa.
De esta forma, será básico examinar, por un lado, la exposición al riesgo en cada
una de las áreas de negocio y departamentos y, por otro lado, las actividades que se
desarrollan en su seno. Este proceso analítico debe culminar en un entendimiento
pleno de las actividades que se llevan a cabo en la compañía en el contexto de su
organización interna. Es por ello, por lo que el organigrama de la compañía, los
departamentos que la estructuran, funciones y muchos otros aspectos organizativos
resultarán esenciales para poder terminar la exposición al riesgo con precisión.
El siguiente aspecto relevante en el proceso será el establecimiento de controles

preventivos de modo que finalmente seamos capaces de haber definido para cada uno
de los delitos comisibles:
» El nivel de riesgo en términos, como mínimo de impacto y probabilidad.

» Los controles y actuaciones clave para minimizar su comisión.
» La fortaleza de los mencionados controles.
» Las acciones de mejora que se consideren adecuadas.
Por lo general, cuando se realiza una evaluación de riesgos de naturaleza penal se

diseña una serie de controles asociados a cada delito en particular. Controles que, por
otra parte, deberán ser testeados de cara a acreditar su solidez y buen funcionamiento.

Compliance
En relación con esta materia no podemos dejar de mencionar que en diciembre de 2014
se ha aprobado la Norma Iso 19600:2014, Compliance Management-Guidelines, que
contiene directrices y metodologías específicas para diseñar e implantar un modelo de
compliance en una empresa. Meses antes, se publicó en 2014 por AENOR un Modelo
de gestión del riesgo para la prevención de delitos que establece que requisitos para: (i)
prevenir la comisión de delitos; (ii) detectar, reparar y disminuir los efectos del delito
cometido y (iii) mejorar continuadamente reduciendo el riesgo penal de las
organizaciones.
Es también fundamental la norma ISO 31000 para la Gestión de Riesgos al

proporcionar principios y guías exhaustivas para la gestión del riesgo, de hecho, esta
norma ayuda a las organizaciones en sus análisis y evaluaciones de riesgos. Algunas
premisas fundamentales de la gestión del riesgo serían:
» Establecer el contexto estratégico: consiste en la definición de parámetros básicos

para la gestión del riesgo, así como el alcance y los criterios para el resto de procesos,
algo que se debe hacer de manera ineludible desde el conocimiento de todos los
aspectos que se engloban en la actividad llevada a cabo por la empresa.
» Identificar los riesgos: la empresa tiene que identificar de forma sistémica los riesgos
a los que se encuentra sometida, las causas de los mismos y los posibles efectos que
tendría su materialización. Se encuentran recogidas las acciones que se relacionan
con la clasificación del riesgo, dependiendo de su tipología.
» Analizar el riesgo: en esta fase se establece la probabilidad de que suceda un riesgo y
el impacto que generan sus consecuencias, mediante su calificación y su evaluación,
con el fin de que se establezca, de la manera más eficiente posible, el nivel de riesgo
y por lo tanto las acciones correctoras que se deben llevar a cabo. El éxito de este
proceso depende en gran medida de la calidad de la información que se haya
obtenido en la fase de identificación y el tipo de método que se haya escogido para
realizar el análisis.
» Valoración de los riesgos: se deberán confrontar los resultados obtenidos a raíz del
análisis del riesgo, con las medidas de control que han sido identificadas, para
establecer prioridades en el tratamiento de los riesgos y poder fijar las políticas de
gestión que sean más adecuadas.
» Políticas de administración de riesgos: constituye la fase final. Una vez identificados,
clasificados y valorados los riesgos es el momento de establecer las políticas de
gestión de riesgo, que se encuentran articuladas en cuatro ejes diferentes:

Compliance
transferencia del riesgos, retención del riesgo, reducción del riesgo o evitar dicho
riesgo.
» Monitorización y revisión: teniendo en cuanta de que es muy difícil que los riesgos
detectados dejen de suponer una amenaza para la empresa, es imprescindible
establecer los indicadores de seguimiento sobre las medidas que se establecen para
la gestión de riesgos.
6.4. El método Mosler
Un método eficaz debe permitir identificar, analizar y evaluar los riesgos penales. A
nivel genérico, el método de Mosler se suele utilizar para evaluar los riesgos que se
producen en determinadas actividades, así como aquellos que vienen dados por
factores externos a las mismas, pero siempre en el ámbito de los riesgos físicos. Su
aplicación es trasladable al ámbito que nos ocupa con un simple cambio de enfoque en
el que el punto de vista ha de ser el de la organización en su conjunto.
El primer paso es determinar qué delitos, del total de los comisibles, podrían llegar a
afectar en la práctica a la organización. El segundo es el análisis de riesgos y por último
habrá que contemplar qué elementos debería tener la organización para prevenir cada
delito.
De esta forma, el análisis del riesgo de comisión de un delito se determina en función

de los siguientes parámetros:
» Función: afectación del delito al funcionamiento del día a día de la empresa.

» Sustitución: mide la facilidad de sustituir a las personas/cosas afectadas.
» Profundidad: mide el efecto psicológico sobre los trabajadores y sus
consecuencias.
» Externalización: se calcula si los efectos negativos serían de carácter individual,
local, regional, estatal o internacional.
» Agresión: valora la sanción que el Código Penal impone a cada delito.
» Vulnerabilidad: se valora la posibilidad real de que se llegue a materializar el
riesgo.

Compliance
Cada uno de estos parámetros se puntúa en una escala del uno al cinco y en el que la
puntuación otorgada viene definida por una serie de criterios individualizados que el
propio modelo define.
A partir de ahí, establece tres campos para la valoración del riesgo:
» Importancia del riesgo = función x sustitución

» Daño ocasionado = profundidad x externalización
» Peligro = agresión x vulnerabilidad
El método de Mosler también define que el llamado Carácter del Riesgo es igual a
importancia x daño, para finalmente sintetizar la descripción final del riesgo en torno a
dos criterios definitivos: PELIGRO y CARÁCTER.
La multiplicación de estos dos valores es la que ofrece el dato que sirve para analizar
el riesgo:
» De 2 a 250, riesgo muy bajo

» De 251 a 500, riesgo bajo
» De 5001 a 700, riesgo medio
» De 701 a 1.000, riesgo alto
» De 1.001 a 1.250, riesgo muy alto

Compliance
No dejes de leer…
Buenas prácticas para la gestión y supervisión del riego operativo
Elaborado por el comité de supervisión bancaria de Basilea en 2003, puede

considerarse un documento «clásico» sobre riesgo y mecanismos de control. Se centra
en el sector bancario pero su esquema y contenido ofrecen pautas de actuación de las
que se extraen conclusiones aplicables en la práctica con carácter general.
http://www.bis.org/publ/bcbs96esp.pdf
Gestión del riesgo de fraude: prevención, detección e investigación
López, J. (coord.) (2015). Gestión del riesgo de fraude: prevención, detección e

investigación. La fábrica del pensamiento. Instituto de Auditores internos de España.
Guía práctica en la que se nos muestra la importancia de la evaluación de riesgos como

parte del proceso de minimización en la comisión de un clásico comportamiento
delictivo: el fraude.
Accede a la guía a través del aula virtual o desde la siguiente dirección web:
https://auditoresinternos.es/uploads/media_items/f%C3%A1brica-fraude.original.pdf

Compliance
No dejes de ver…
ISO 31 000 Gestión de riesgos
Autor: Universidad Nacional José Mª Arguedas- Perú

Año: 2014
Repaso en clave didáctica a los aspectos

fundamentales de la norma ISO 31000, que
constituye una herramienta muy útil en el ámbito de
la gestión de riesgos en empresas y organizaciones.
https://www.youtube.com/watch?v=t57g5u2eFjk&t=19s

Compliance
A fondo
Caso práctico sobre apetito de riesgo
Muñoz, C., Gil, T. (2015). Caso práctico sobre apetito de riesgo. La fábrica del
pensamiento. Instituto de Auditores internos de España
El apetito de riesgo es un elemento esencial en el proceso global de identificación,

gestión y control de riesgos. El presente documento ofrece información interesante,
desde un planteamiento eminentemente práctico, sobre cómo afrontar tan importante
cuestión.
https://auditoresinternos.es/uploads/media_items/150629-caso-pr%C3%A1ctico-
sobre-apetito-de-riesgo.original.pdf
Bibliografía
AENOR (2010). UNE - ISO 31000. Gestión del riesgo. Principios y directrices
Gómez-Jara, C. (2016). Tomarse la responsabilidad penal de las personas jurídicas en

serio: la culpabilidad de las personas jurídicas. En Estudios de Derecho Penal
(homenaje al Profesor Miguel Bajo). Madrid: Editorial Universitaria Ramón Areces.
Gómez-Jara, Díez, C. (2017). El Tribunal Supremo ante la responsabilidad penal de

las Personas Jurídicas. El inicio de una larga andadura. Pamplona: Aranzadi
Thomson Reuters.
Laurence, Y.M. (2008). Primeros pasos en la gestión de riesgos. Madrid: AENOR
Pascual, A. (2016). El plan de prevención de riesgos penales y responsabilidad

corporativa. Barcelona: Editorial Bosch S.A.

Compliance
Ribas, X. (2018). Practicum Compliance 2018. Pamplona: Editorial Aranzadi Thomson

Reuters
Saiz Peña, C. A. (coord.). (2015). Compliance. Cómo gestionar los riesgos normativos
en la empresa (Gran Tratado). Pamplona: Editorial Aranzadi Thomson Reuters.
Thomson Reuters. (2017). Compliance. Guía Práctica de identificación, análisis y

evaluación de riesgos. Pamplona: Editorial Aranzadi Thomson Reuters.

Compliance
Caso WCA: Elaboración de un mapa de riesgos
» Asignar correctamente las actividades de riesgo a los responsables de los mismos.

» Efectuar una correcta valoración de riesgos.
» Identificar controles y obtener el riesgo residual. (Concepto de mitigación de
riesgo).
» Saber realizar planes de mitigación eficaces acorde con los riesgos a mitigar.
Supuesto de hecho
Dentro del proceso de implementación de un programa de Compliance, la Escuela de

Futbol Unirense (EFU), que tiene su actividad principal en la organización de campus
de veranos para niños, ya ha identificado las actividades de riesgo dentro de su
organización, y va a proceder a la elaboración de un mapa de riesgos.
La estructura organizativa de la EFU está compuesta por 4 Áreas que dependen de la

Dirección General:
» Área de Administración y Control de Gestión.

» Área de Formación.
» Área de Campus y Clinics.
» Área de Recursos Humanos.
Así mismo, disponen de un sistema de gestión implementado recientemente, donde se

han identificado, entre otros los siguientes procesos:
» Solicitud, selección, aprobación, conformación y pago de pedidos de bienes y

servicios.
» Conciliaciones bancarias.
» Gestión de impuestos.
» Altas/bajas y organización.
» Manual de acogida.

Compliance
» Seguimiento y control actividades campus.
Dentro de estas actividades de riesgo, se han identificado las siguientes 3 actividades de

riesgo:
Tipo de
Descripción del riesgo Actividad de riesgo
riesgo
02.01. La captación, traslado,
transporte, acogida o recepción,
empleando violencia, intimidación o
engaño, o abusando de una situación
de superioridad o de vulnerabilidad o
Captación, acogida y
mediante la entrega o recepción de
reclutamiento de menores en las
pagos o beneficios para obtener el
escuelas, a través de los
Trata de consentimiento de una persona que
empleados de los profesionales,
seres poseyera el control sobre la víctima,
colaboradores, entrenadores, de
humanos de personas con cualquiera de las
socios locales y cualquier tercero
siguientes finalidades: a) Imposición
que actúe en nombre y
de trabajos forzados; b) explotación
representación de la EFU
sexual (incluyendo la pornografía);
c)explotación para realizar actividades
delictivas; d) extracción de sus
órganos corporales; e)celebración de
matrimonios forzados
Inducir, promover y
03.02. Inducir, promover, favorecer,
reclutamiento de menores en las
Prostitución facilitar la prostitución o Aceptar u
escuelas, a través de los
y explotación obtener, a cambio de una
empleados de los profesionales,
sexual y remuneración o promesa, una relación
colaboradores, entrenadores, de
corrupción sexual de un menor de edad o una
socios locales y cualquier tercero
de menores persona con discapacidad necesitada
que actúe en nombre y
de especial protección.
representación de la EFU
12.01. Defraudar a la Hacienda Liquidaciones indebidas.
Pública, estatal, autonómica, foral o Contrataciones fraudulentas.
Contra la local en más de 120.000 euros Falseamiento contable para la
Hacienda (eludiendo el pago de tributos, obtención de ayudas a nivel
Pública y la cantidades retenidas o que se nacional o comunitario o para
SS hubieran debido retener o ingresos a ocultar beneficios o desviar hacia
cuenta, obteniendo indebidamente otros países con situaciones
devoluciones o disfrutando fiscales más ventajosas

Compliance
Cuestiones:
Ejercicio 1: En función de la probabilidad y del impacto, define en el Mapa de riesgos

la criticidad del riesgo (muy bajo, bajo, medio, alto o crítico).
Ejercicio 2: A partir de las 3 actividades de riesgo identificadas en el enunciado y para

una de ellas, deberán:
A través del Excel de apoyo:

» Asignar los riesgos a los procesos.
» Asignar los riesgos a los departamentos
» Realizar una valoración de riesgos para obtener el riesgo inherente
» Identificar los controles
» Realizar la valoración de los controles y obtener el riesgo residual
» Establecer los umbrales de riesgo
» Establecer los planes de mitigación
A través de contestación escrita y fundamentada:

» (*) Cuál ha sido el criterio utilizado para la valoración de los riesgos.
» (*) Cuál ha sido el criterio utilizado para la valoración de los controles.
Rúbrica
Caso WCA Puntuación Peso

(valor real: 3,5 Descripción máxima
%
puntos) (puntos)
Correcta asignación de los riegos y
Criterio 1 1,5 15%
departamentos implicados a los riegos
Criterio de la valoración de los riegos
Criterio 2 inherentes 2 20%
Criterio 3 La identificación de posibles controles 1,5 15%
Criterio de valoración de los controles
Criterio 4 y la obtención del Riesgo residual 2,5 25%
Planes de acción propuestos y su
Criterio 5 idoneidad 2,5 25%
10 100
%
Extensión máxima: Excel de apoyo + 10 líneas por pregunta (*), fuente Georgia 11 e
interlineado 1,5.

Compliance
T e st
1. El artículo 31.bis del Código Penal español establece en su apartado 5, con respecto a
los modelos de cumplimiento, que:
A. Identificarán a los posibles responsables de los delitos que puedan ser
cometidos y que deben ser prevenidos.
B. Identificarán los riesgos en cuyo ámbito puede producirse la comisión de un
delito.
C. Identificarán al órgano supervisor de la prevención del delito.
D. Identificarán las actividades en cuyo ámbito puedan ser cometidos los delitos
que deben ser prevenidos.
2. La circular 1/2016 de la Fiscalía General del Estado indica que los programas de
Compliance deben ser aptos para:
A. Controlar y comunicar los riesgos reales y potenciales derivados de la actividad
de la empresa.
B. Identificar, gestionar, controlar y comunicar los riesgos reales y potenciales
derivados de la actividad de la empresa.
C. Identificar, gestionar, controlar y comunicar los riesgos reales y potenciales
derivados de la actividad de los directivos.
D. Identificar y suprimir los riesgos reales y potenciales derivados de la actividad
de la empresa.
3. Cualquier método de gestión de riesgos penales debe basarse en un precepto básico:

A. Evaluar la exposición de la empresa al riesgo de ser declarada responsable de
la comisión de delitos.
B. Evaluar la exposición de la empresa al riesgo de ser sancionada en cualquier
ámbito administrativo.
C. Evaluar la exposición de la empresa al riesgo de ser declarada responsable de
la comisión de delitos por parte de los directivos.
D. Evaluar la exposición de la empresa al riesgo de no contar con un órgano de
administración adecuado.

Compliance
4. La aplicación de un método de identificación y gestión de riesgos tiene sentido para:

A. Medir y evaluar el impacto de los riesgos.
B. Fundamentar las decisiones que se adopten para afrontar los riesgos.
C. Eliminar en la medida de lo posible la subjetividad en la valoración del riesgo.
D. Todas las anteriores son correctas.

A. Es objeto del análisis de riesgos facilitar el establecimiento de protocolos de
control.
B. En el análisis de riesgos no tiene sentido evaluar parámetros externos a la
empresa tales como clientes y proveedores.
C. La correcta identificación de los riesgos es esencial para poderlos prevenir y
reducir.
D. A y C son correctas.
6. El método de Mosler:
A. Se utiliza para evaluar los riesgos que se provocan en determinadas
actividades, así como aquellos que vienen dados por factores internos a las
mismas.
B. Su aplicación al Compliance se basa en analizar exclusivamente los riesgos que
afectan a las personas que integran la organización.
C. En ningún caso, cuando se aplica a la gestión de riesgos a nivel general, evalúa
el riesgo de daños a personas o cosas.
D. Se utiliza para evaluar los riesgos que se provocan en determinadas
actividades, así como aquellos que vienen dados por factores externos a las
mismas.
7. Los parámetros que evalúa el método de Mosler se puntúan según la siguiente

escala:
A. De uno a diez puntos.
B. De uno a cinco puntos.
C. De uno a cien puntos.
D. De uno a cincuenta puntos.

Compliance
8. Los parámetros que evalúa el método de Mosler son:

A. Función, sustitución, profundidad y vulnerabilidad.
B. Función, sustitución, profundidad, externalización, agresión, vulnerabilidad y flexibilidad.
C. Disfunción, sustitución, profundidad, externalización, vulnerabilidad y
agresión.
D. Función, sustitución, profundidad, externalización, agresión y vulnerabilidad.
9. Según el método de Mosler, el factor denominado «Importancia del riesgo penal» es fruto de
multiplicar la puntuación otorgada a los siguientes parámetros:
A. Profundidad por externalización. B. Agresión
por vulnerabilidad.
C. Función por sustitución.
D. Función por externalización.
10. Según el método de Mosler, el factor denominado «Carácter del riesgo» es fruto de multiplicar la
puntuación otorgada a los siguientes parámetros:
A. Profundidad por externalización.
B. Importancia del riesgo por daño ocasionado. C.
Importancia del riesgo por peligro.
D. Daño ocasionado por peligro.

Compliance
Sujetos competentes para la adopción de

medidas de vigilancia y control
[7.2] El órgano de administración
[7.3] Casos especiales
[7.4] Entidades sin personalidad jurídica
[7.5] Sociedades mercantiles públicas y entidades de derecho

público
7 TEMA

Compliance
TEMA 7 – Esquema
Esquema
SUJETOS COMPETENTES PARA LA ADOPCIÓN DE MEDIDAS DE
VIGILANCIA Y CONTROL
El órgano de Sociedades mercantiles

Entidades sin públicas y entidades de
administración Casos especiales personalidad jurídica derecho público
© Los testaferros
Los mandos
intermedios
Los compliance
officers
Compliance
Compliance
I d e a s c l a ve
Gómez, M. (2016). Compliance penal y política legislativa (pp. 49-68). Valencia:

Tirant lo Blanch

Intelectual.
En el presente tema analizaremos cuestiones relativas a la posible responsabilidad

penal de los miembros del órgano de administración de la empresa, centrándonos en
qué condiciones deben darse para que dicha responsabilidad acabe materializándose de
forma efectiva.
Veremos también qué ocurre en situaciones especiales relativas a grupos concretos

como son los testaferros, los mandos intermedios y el propio compliance officer, así
como el asunto relativo a la responsabilidad penal en entes sin personalidad jurídica y
también en los que, en mayor o menor medida, forman parte de la estructura de la
Administración del Estado.
7.2. El órgano de administración
La responsabilidad del órgano de administración ante los ilícitos cometidos en el

seno de la empresa deviene en cuestión primordial de estudio.
Objeto especial de atención lo constituye todo lo relacionado con la omisión de medidas

y sus consecuencias en la consumación del delito. De esta forma, la cuestión que se
plantea es la de quién debe estimarse como competente para adoptar las medidas
omitidas.

Compliance
Es necesario poner de manifiesto que el hecho de que se tenga competencia para

disponer medidas de Compliance no equivale automáticamente a adoptar posición de
garantía y, por lo tanto, a la posibilidad de fundamentar una imputación penal por ese
hecho de forma simple y aislada.
La actual redacción del artículo 31.bis concluye que es sobre el órgano de

administración sobre quien recae el deber jurídico de adoptar medidas de prevención
de delitos en el ámbito de la empresa, pero dado que este órgano por sí mismo no es un
sujeto idóneo de responsabilidad penal, habrá de individualizarse a qué personas
físicas en concreto se puede imputar tal omisión, las cuales son los administradores de
derecho. Lo mismo ocurre con los administradores de hecho, ya que en la medida en
que tienen capacidad para comprometer a la empresa, son competentes también para la
adopción de medidas de Compliance.
Pero ¿qué pasa con el resto de miembros de la organización o empresa?
7.3. Casos especiales
Los testaferros
García Cavero diferencia tres grupos de supuestos:
» Personas pantalla, testaferro en sentido estricto.

» Persona de atrás.
» Administrador de derecho sometido a voluntad de persona de atrás.
Los mandos intermedios
Los mandos intermedios carecen de competencia originaria para la adopción de

medidas de Compliance ya que la decisión última, como hemos visto ya, recae en el
órgano de administración. No obstante, sí es posible que adquieran dicha competencia
por delegación, lo cual no implicará que el delegante pueda desentenderse totalmente
de la adopción de medidas de Compliance.

Compliance
Los compliance officers
La determinación sobre la autoría del compliance officer podrá darse si, una vez
nombrado, no adopta medida alguna o estas son insuficientes, y habrá que valorar
también si se ha dado una efectiva delegación y qué poderes en concreto le han sido
delegados para ejercer su función, de modo que su responsabilidad penal debería
depender de la acreditación de su capacidad efectiva para tomar decisiones en relación
a la actividad de la empresa.
7.4. Entidades sin personalidad jurídica
Ejemplos como uniones temporales de empresas o comunidades de bienes constituyen

supuestos de entes sin personalidad jurídica reconocida como tal en el
ordenamiento jurídico. No obstante, en la medida en que operan en el mercado y
desarrollan las actividades propias que les son inherentes, se comportan en
determinados aspectos del mismo modo que las entidades mercantiles: celebración
de contratos, obligaciones fiscales, etc.
Es por ello por lo que su actuación no debe quedar ajena a la protección del bien
jurídico del que es objeto el Derecho Penal ni a su carácter preventivo, lo que debe
hacer posible la imputación de un delito a una entidad de estas características si
concurren tres situaciones:
» Si a la entidad en concreto le son imputables derechos y deberes.

» Si pueden afectar a un bien jurídico protegido.
» Si se les puede imponer multas o sanciones, lo que da muestra de la existencia de un
patrimonio inherente a la entidad.
7.5. Sociedades mercantiles públicas y entidades de derecho

público
La sociedades mercantiles públicas que ejecutan políticas públicas o prestan

servicios de interés económico general responden penalmente por los delitos cometidos

Compliance
en su seno, por el deber de prevenir tales comportamientos alcanza a su órgano de

administración.
No ocurre lo mismo, por el contrario, en lo que respecta a entidades de derecho

público, ya que la actual redacción del artículo 31.bis del Código Penal
salvaguarda a toda una suerte de entidades que de modo genérico podríamos calificar
como «adscritas a la estructura del Estado en sus más diversos niveles»
(Administraciones territoriales, organismos reguladores, agencias públicas…).

Compliance
No dejes de leer…
La responsabilidad penal de los miembros de los órganos de

administración de la empresa
Roig, M. La responsabilidad penal de los miembros de los órganos de administración

de la empresa: prevención y defensa. Disponible en economisjurist.es
El artículo analiza el asunto desde la perspectiva de lo dispuesto en el artículo 31.bis del

Código Penal y muestra algunas interesantes sentencias al respecto.
http://www.economistjurist.es/articulos-juridicos-destacados/la-responsabilidad-
penal-de-los-miembros-de-los-organos-de-administracion-de-la-empresa-prevencion-
y-defensa/#
Responsabilidad penal del administrador en delitos comunes desde o

dentro de la empresa
Redacción Espacio Asesoría. (6 de junio de 2016). Responsabilidad penal del

administrador en delitos comunes desde o dentro de la empresa. Disponible en
espacioasesoría.com
En el siguiente artículo se analizan las condiciones que deben darse para que el
administrador responda penalmente.
http://www.espacioasesoria.com/Noticias/responsabilidad-penal-del-administrador-
en-delitos-comunes-desde-dentro-de-la-empresa

Compliance
No dejes de ver…
La omisión
Autor: Universitas Miguel Hernández

Año: 2014
Dadas las implicaciones que el asunto tiene en

cuanto al deber de vigilancia y diligencia debida del
órgano de administración, Fernando Miró Linares
analiza en este vídeo las condiciones, implicaciones
e importancia del tipo omisivo en el contexto del
derecho penal con el fin de extrapolar el concepto
al ámbito del Compliance.
https://www.youtube.com/watch?v=jA6trqedQdo

Compliance
A fondo
El concepto de personas jurídicas penalmente responsables
Miras, N. (2010). El concepto de personas jurídicas penalmente responsables. Revista

Anales de Derecho, vol. 28
El autor analiza el concepto de persona jurídica y discute la idoneidad de la utilización

de la persona jurídica por parte del legislador como entidad colectiva penalmente
responsable.
http://revistas.um.es/analesderecho/article/viewFile/125781/136891
Bibliografía
García, P. (1999). Responsabilidad penal del administrador de hecho dela empresa:

criterios de imputación. Barcelona: J.M. Bosch.
Juanes Peces, A. (coord.) (2017). Vicepresidente del Tribunal Supremo. Memento

Experto Compliance Penal. Madrid: Editorial Francis Lefebvre.
Martin Boado, A. M. (2015). El nuevo Código Penal no perdona los delitos cometidos
por los directivos de una organización. Revista PM Farma, septiembre-octubre.
Ríos, J.M. (2005). El administrador de hecho en los delitos societarios. Cádiz: Servicio
de publicaciones de la Universidad de Cádiz.
Silva, J.M. (2003). El delito de omisión: concepto y sistema. Montevideo: BDEF.
Zugaldía, J.M. (2012). La responsabilidad criminal de las personas jurídicas, de los

entes sin personalidad y de sus directivos. Valencia: Tirant lo Blanch.

Compliance
T e st

A. El artículo 286 del Código Penal establece la responsabilidad penal directa del
administrador por la no implementación de medidas de Compliance.
B. La delimitación de la responsabilidad penal del administrador puede exigirse a
título de autoría o a título de participación.
C. El hecho de tener competencia para implementar medidas de Compliance
equivale automáticamente a posición de garantía.
2. El artículo 31.bis y subsiguientes del Código Penal:

A. Exime de pena a la persona jurídica si ha implementado medidas de
Compliance antes de la comisión del delito.
B. Exime de pena a la persona jurídica si ha implementado medidas de
Compliance después de la comisión del delito.
C. Exime de pena a la persona jurídica si el administrador procede a disminuir el
daño causado por el delito.
D. Exime de pena a la persona jurídica si el administrador aporta pruebas de la
comisión del delito.
3. El deber jurídico de adoptar medidas de prevención de delitos en el ámbito

societario a que se refiere el artículo 31.bis recae sobre:
A. El comité de auditoría.
B. El comité de dirección.
C. El órgano de administración.
D. La asesoría jurídica.

Compliance
4. Respecto de la responsabilidad derivada de la omisión de adoptar medidas de

prevención de riesgos penales, puede decirse que:
A. El órgano de administración por sí mismo es un sujeto idóneo de
responsabilidad penal.
B. El artículo 31.bis determina per se que los administradores se encuentran en
posición de garantía.
C. No correspondería en ningún caso al administrador de hecho.
D. Debe individualizarse a qué personas físicas en concreto se puede imputar
dicha responsabilidad.
5. En cuanto a la disyuntiva entre administrador de hecho y de derecho puede decirse

que:
A. El administrador de derecho es competente para la adopción de medidas de
prevención de delitos.
B. Desde el punto de vista del derecho penal, el concepto de administrador de
hecho debe abordarse desde una perspectiva no sometida al criterio del
derecho mercantil o civil.
C. Administrador de derecho es aquel que determine la legislación.
6. Al respecto de la competencia de los mandos intermedios para la adopción de

medidas de vigilancia y control puede afirmarse que:
A. Los mandos intermedios no suelen contar con autonomía a la hora de tomar
decisiones.
B. Los mandos intermedios carecen de competencia originaria para la adopción
de medidas de Compliance.
C. Los mandos intermedios nunca pueden ser competentes, ni siquiera por
delegación del órgano de administración.
D. Si los mandos intermedios reciben competencia por delegación, ello implica
que el órgano de administración puede desentenderse totalmente de su
responsabilidad.

Compliance
7. Al respecto de la responsabilidad del compliance officer puede afirmarse que:

A. Puede ser responsable si, una vez nombrado, no adopta ninguna medida.
B. Nunca será responsable, pues actúa por delegación del órgano de
administración.
C. Su responsabilidad dependerá, en todo caso, de la acreditación de su capacidad
efectiva de tomar decisiones.
8. En lo que se refiere a la determinación de la responsabilidad pernal de las entidades

sin personalidad jurídica:
A. No debe existir relación directa entre responsabilidad penal de la persona
jurídica y el deber jurídico de adoptar medidas de prevención de riesgos
penales.
B. El derecho penal ha de quedar forzosamente limitado por los criterios
característicos de otras ramas del ordenamiento jurídico.
C. En ningún caso s e podrá imputar responsabilidad penal a este tipo de
entidades.
D. Todas son falsas.
9. Indica cuál de los siguientes no es un dato central característico de las entidades sin
personalidad jurídica que influye de cara a la posible imputación de estas por la
comisión de un delito:
A. Que sea posible que se le imputen derechos y obligaciones.
B. Que tenga materialmente potencialidad para afectar al bien jurídico protegido.
C. Que disponga de un órgano de administración jerarquizado.
D. Que posea la capacidad abstracta de hacer frente a la pena de multa.

Compliance
10. Indica cuál de las siguientes afirmaciones es falsa:

A. En el caso de las sociedades mercantiles públicas que ejecuten políticas públicas o
presten servicios de interés económico general solamente les podrán ser impuestas las
penas previstas en las letras a) y g) del número 7 del artículo 33.
B. Las Sociedades mercantiles públicas incurren en responsabilidad penal de
persona jurídica por las actividades delictivas que se den en su seno.
C. Las entidades de derecho público incurren en responsabilidad penal de persona
jurídica por las actividades delictivas que se den en su seno.
D. Alcanza al órgano de administración de las sociedades mercantiles públicas el
deber de prevenir en su seno la comisión de infracciones delictivas.

Compliance
El canal de denuncias
[8.2] Función y evolución del canal de denuncias
[8.3] Whistleblowing en el derecho internacional y comparado
[8.4] La protección del denunciante frente a represalias
[8.5] Referencias bibliográficas
8 TEMA

Compliance
TEMA 8 – Esquema
Esquema
EL CANAL DE DENUNCIAS
Whistleblowing en el La protección del

Función y evolución del derecho internacional y denunciante frente a
canal de denuncias comparado represalias
©
Protección por derecho Protección por Programas de amnistía

constitucional y laboral. derecho penal. y otros incentivos.
Compliance
Compliance
I d e a s c l a ve
Para estudiar este tema deberás complementar el estudio de las ideas clave con la
siguiente lectura:
García, B. (2015). Whistleblowing y canales institucionales de denuncia. En Nieto, A.

Manual de cumplimiento penal en la empresa (pp. 207-233). Valencia: Tirant lo
Blanch.

Intelectual.
Agencia Española de Protección de Datos Personales. (2007). Informe Creación de un

sistema de denuncias internas de las empresas (mecanismos de whistleblowing).
Disponible en:
http://www.complianza.net/actualidad/wp-content/uploads/2017/07/informe-
aepd.pdf
Agencia Española de Protección de Datos. Dictamen de la Agencia Española de

Protección de 2017 en relación al Anteproyecto de LOPD. Disponible en:
http://servicios.mpr.es/seacyp/search_def_asp.aspx?crypt=xh%8A%8Aw%98%85d%
A2%B0%8DNs%90%8C%8An%87%A2%7F%8B%99tt%84sm%A3%91%87
En el presente tema abordaremos aspectos significativos en relación al canal de

denuncias, que constituye un elemento imprescindible, no solo en términos de
requisito legal, para el correcto funcionamiento del modelo de prevención penal.
Veremos la evolución histórica de la función de whistleblowing y nos centraremos
especialmente en la situación al respecto de la protección del denunciante ante posibles
represalias.

Compliance
8.2. Función y evolución del canal de denuncias
El canal de denuncias representa uno de los elementos esenciales de todo sistema de

cumplimiento. El objeto del canal de denuncias está en hacer posible que cualquier
miembro de la organización pueda poner en conocimiento de esta la información que
tenga sobre conductas ilícitas, negligentes o poco éticas. Su utilidad, si está bien
gestionado y constituye realmente una muestra clara del compromiso de la
organización con el respeto a la legalidad, es indudable por la información de la que
será depositario, de gran valor como medida de prevención, como estrategia de defensa
y también como test general del funcionamiento del sistema de compliance.
La evolución del concepto de delator o whistleblower arranca en la antigua Roma,

en la que existían delatores profesionales cuya actividad estaba regulada legalmente y
que proporcionaban información para facilitar el cobro de impuestos.
No obstante y como ocurre en la mayoría de aspectos relacionados con el Compliance,

hemos de viajar hasta los Estados de Unidos de América en el siglo XIX para encontrar
el origen de la regulación y el papel actual de los whistleblowers. Así, nos encontramos
con la False Claims Act de 1.863, que estipuló el establecimiento de recompensas
para aquellos ciudadanos que proporcionasen información útil para luchar contra el
fraude generalizado que practicaban los contratistas privados del ejército durante la
guerra de secesión.
El paradigma cambia en los años 60 del siglo XX, momento en el que al gran poder e
influencia de las grandes empresas se contrapone un potente movimiento social de
denuncia frente a sus comportamientos abusivos e irrespetuosos con la legalidad. Es
significativa la Civil Service Act de 1.978, que protege a los funcionarios que
denuncien comportamientos indebidos en la Administración.
Actualmente, el papel del delator ha trascendido la esfera pública para convertirse en

un elemento esencial al servicio de las empresas privadas. Así se reconoce en 2004
en las Sentences Guidelines de los EEUU y en la legislación de otros países, también en
Europa. Por su parte, la importante Sarbanes-Oxley Act de 2002 también contempla
medidas relativas a la función y protección de los whistleblowers.
Es fundamental que el canal de denuncias, como elemento esencial en las empresas, sea
operativo y eficaz, razón por la que se deberán recoger en un reglamento (estatuto o

Compliance
documento corporativo interno similar) de funcionamiento las siguientes cuestiones

básicas que regulan el canal de denuncias:
Procedimiento de Comunicación de Actuaciones Irregulares.
» Identificación de una irregularidad
La persona sujeta que conozca la existencia de una conducta irregular, ilegal, contraria
a las políticas y procedimientos de la compañía, así como el incumplimiento o
vulneración de las normas establecidas en el Código Ético, deberá reportarlo
inmediatamente al Órgano Responsable de Cumplimiento Penal, tanto si le
afecta personalmente como si afecta a terceros. Esta comunicación puede
realizarse a través de correo físico, de correo electrónico o a través de la intranet de la
Sociedad, debiendo ésta habilitar al menos una de esas tres vías para recibir las
denuncias.
» Comunicación y recepción de la denuncia
La persona que tuviese conocimiento de alguna de las irregularidades citadas en el

punto anterior deberá comunicarlo a través del formulario facilitado por la empresa, no
admitiéndose las denuncias que no se formulen a través del mismo.
» Requisitos mínimos de la denuncia
La denuncia deberá contener la siguiente información, para poder ser tramitada:
o Identificación del denunciante (se trata de una exigencia de acuerdo con el

Informe 2007-0128 de la Agencia Española de Protección de Datos).
o Descripción del evento denunciado detallando, en la medida de lo posible, al
menos, los siguientes extremos: en qué consisten las conductas irregulares,
contrarias a la legalidad, a las políticas y procedimientos de la sociedad o a lo
establecido en el Código Ético; posibles personas implicadas; fechas aproximadas
de comisión de los hechos; medios a través de los cuales se han realizado las
conductas irregulares o contrarias al Código Ético; áreas de negocio afectadas; y
procesos relevantes afectados (p.ej. contratación, contabilidad, tesorería...).

Compliance
En cualquier caso, se recomienda que la comunicación sea lo más descriptiva y

detallada posible, facilitando de esta forma al receptor la identificación de la o las
personas o departamentos implicados.
Las denuncias deberán atender siempre a los criterios de veracidad y proporcionalidad.

Las personas que efectúen una denuncia deberán garantizar que los datos
proporcionados son veraces, exactos y completos.
Procedimiento de actuación e investigación
» Recepción y calificación de la denuncia
Una vez recibida la denuncia, el Órgano Responsable de Cumplimiento Penal la

calificará considerando si reúne los requisitos mínimos para su tramitación, declarando
su improcedencia en el supuesto de que sea anónima o manifiestamente infundada.
» Registro de las denuncias
Una vez recibida la denuncia, se le asignará un código de identificación correlativo y se

incorporará a una base de datos en la que se informará de la calificación dada a dicha
denuncia y de su estado de tramitación. La base de datos se actualizará a lo largo de las
distintas fases del procedimiento.
Los datos que se proporcionen a través del canal de denuncias serán incluidos en un
fichero de datos de carácter personal, titularidad de la Sociedad, para la gestión de la
comunicación recibida en el Canal de Denuncias, así como para la realización de
cuantas actuaciones de investigación sean necesarias para determinar la comisión de la
infracción. Esta base de datos será tratada conforme a lo que establece la Ley Orgánica
15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD).
Respecto a los plazos de conservación de los datos de carácter personal, se actuará

conforme a lo establecido en la Ley Orgánica 15/1999, de 13 de diciembre, de
Protección de Datos de Carácter Personal (LOPD).

Compliance
Tramitación
Una vez admitida a trámite la denuncia, se iniciará su investigación y estudio. Si se

considera por el órgano responsable de cumplimiento penal que los hechos
denunciados no quedan suficientemente acreditados o no suponen una infracción de
ninguna índole, se procederá a desestimar la denuncia, archivándola y comunicándolo
al denunciante. Si, por el contrario, se considera que concurren indicios razonables de
la existencia de una acción u omisión contraria a la legalidad, a las políticas y
procedimientos de la sociedad o a lo establecido en el código ético, se procederá
conforme a lo establecido en el punto siguiente «Conclusión del procedimiento».
El órgano responsable de cumplimiento penal podrá recabar toda la información y

documentación que considere oportuna y necesaria en cada momento de parte del
denunciante, el denunciado, cualquier empleado o dirección de la entidad. Para la
gestión de la correspondiente denuncia, se designará a las personas y se emplearán los
medios adecuados a la actuación investigada.
Con carácter general, el denunciado será informado de la existencia de una denuncia en

el momento en que se proceda al inicio de las actuaciones de investigación. No
obstante, en aquellos supuestos en los que exista un riesgo importante de que dicha
notificación ponga en peligro la capacidad de investigar de manera eficaz la denuncia,
la notificación al denunciado podrá retrasarse mientras exista dicho riesgo.
Conclusión del procedimiento
Una vez tramitada la denuncia y obtenidas las conclusiones pertinentes se dará traslado
de las mismas al órgano competente para la adopción de las decisiones o acciones
oportunas, con arreglo a lo previsto a la normativa aplicable, sin perjuicio de otras
responsabilidades penales o administrativas que pudiesen concurrir.
La totalidad de la documentación e información recibida o generada en las distintas

fases del proceso deberá ser custodiada conforme a lo establecido en la legislación
vigente y podrá ser objeto de auditoría.
La base de datos de las denuncias recibidas se actualizará en todas las fases de la

tramitación o conclusión del procedimiento, incorporando a la misma un resumen del
estado de la denuncia y de la información relativa a la misma.

Compliance
Asimismo, se notificará al denunciante el fin de la investigación, informándole de las

principales medidas adoptadas.
8.3. Whistleblowing en el derecho internacional y comparado
Si bien como hemos visto la figura del whistleblower viene de antaño, su función no
ha sido objeto de gran regulación sobre todo por parte de legislaciones nacionales,
habiéndose concentrado sobre todo en lo relativo a la protección del denunciante.
Sobre la protección por derecho laboral y los requisitos que deben cumplirse para que
mediante los canales de denuncia puedan denunciarse conforme al Derecho español
actos cometidos por otros empleados que finalicen en medidas disciplinarias, debe
leerse la publicación «Los canales de denuncia interna (whistleblowing) en el ámbito
laboral», de Raúl Rojas Rosco, que te ayudará a ampliar el estudio de este punto.
https://www.elderecho.com/tribuna/laboral/Canales-denuncia-interna-
whistleblowing-compliance-laboral_11_1055680001.html
8.4. La protección del denunciante frente a represalias
Como sabemos, la reforma del Código Penal Español del año 2010 introdujo la
responsabilidad penal de las personas jurídicas y posteriormente, la reforma de 2015
incluyó la conveniencia de adoptar un Modelo de Prevención de Riesgos Penales,
previamente a la comisión del hecho, como medida para eximir de la citada
responsabilidad (artículo 31 bis del Código Penal español).
Entre las medidas de vigilancia y control que propone la norma se encuentran los
canales de denuncia.
Por su parte, la Circular 1/2016 de la Fiscalía General del Estado (FGE) se refiere a los
canales del modo siguiente: «la existencia de unos canales de denuncia de
incumplimientos internos o de actividades ilícitas de la empresa es uno de los
elementos clave de los modelos de prevención».

Compliance
Por tanto, los canales de denuncia son fundamentales en el momento de implantar un

modelo efectivo de cumplimiento normativo (o compliance) en una organización para
prevenir la comisión de delitos.
El aspecto primordial, que garantiza la eficacia de un canal de denuncias, es que

inspire confianza a sus potenciales usuarios y esa confianza debe basarse en
garantizar la protección del denunciante frente a efectos negativos y represalias de
índole diversa. El problema está en que materializar tal protección no es fácil debido a
la ya mencionada falta de regulación al respecto de la materia en nuestro ordenamiento
jurídico, materia sobre la que los poderes públicos no han decidido intervenir hasta la
fecha, y dándose como consecuencia la mera existencia de pocas normas, dispersas,
heterogéneas y que resultan a todas luces insuficientes.
Como resultado de esa inexistencia de normas, la Agencia Española de Protección de

Datos se ha tenido que pronunciar en diversas ocasiones sobre la admisión, o no, a su
juicio, en el Derecho español, de la posibilidad de aceptar las empresas denuncias
«anónimas», en relación a lo cual debe tenerse en cuenta la evolución que se produce
en el criterio de la AEPD incluido en el Informe AEPD 2007-0128 (en el que declinaba
dicha posibilidad) frente al Informe AEPD 0194/2017 sobre el Anteproyecto de LOPD
en el que viene a aceptar las denuncias anónimas si bien dentro del marco de canales de
denuncias externalizados en terceras empresas.
No obstante lo anterior, debe mencionarse aquí que en abril de 2018, la Comisión
Europea anunció la iniciativa política sobre protección a denunciantes de la legislación
europea y su plasmación jurídica en un proyecto de Directiva que presumiblemente
entrará en vigor dentro de 2 anos.
Entiende la Comisión que los denunciantes tienen un rol fundamental en la

investigación y sanción de quienes incumplen las leyes. Pretende la UE que los
ciudadanos se sientan legalmente protegidos (ausencia de represalias), para denunciar
aquellos casos de corrupción y actividades delictivas o fraudulentas que puedan
conocer, garantizando seguridad jurídica tanto para denunciante, como para
denunciado y penalizando las posibles denuncias falsas que pudieran producirse de
manera malintencionada.
Se considerará un proceso en tres niveles; primero en las vías internas de cada

organización. Si este no resultara efectivo o pudiera poner en peligro el interés general,

Compliance
se podrá recurrir a las autoridades competentes y finalmente a los medios de

comunicación en caso de que estas no tomaran medidas.
Se impondrá la obligatoriedad de establecer canales éticos tanto en el sector privado

(personas jurídicas con más de 50 empleados o 10 M. de euros de facturación anual)
como en instituciones públicas y ayuntamientos con más de 10 000 habitantes.
La persona jurídica tendrá la obligación de garantizar la confidencialidad del

denunciante (salvo que se acredite falsedad en la denuncia) y responder en un plazo
máximo de 3 meses.
En España, sin normativa aun de protección al delator, ya funcionan canales éticos,

algunos de dudosa eficacia y sin suficiente generación de evidencias. Su implantación
se potencia sobre todo con la reforma del Código Penal de 2015, imponiéndose la
obligación de informar de posibles riesgos e incumplimientos al organismo encargado
de vigilar el modelo de prevención.
Así mismo lo recomienda tanto la norma ISO 19600 como la Fiscalía General del
Estado, dando esta mayor relevancia a la implantación por parte de un tercero
independiente, ajeno a la organización (Circular 1/2016 FGE). Y diferentes estudios lo
reconocen como la más eficaz medida de control de actos delictivos y anticorrupción.
Si bien en nuestro país, a día de hoy, la normativa de protección de datos permite la

implantación de canales internos de denuncia confidenciales pero no «anónimos»
(según la Agencia Española de Protección de Datos), previsiblemente su
funcionamiento, modo y plazos de tratamiento de datos e investigación serán
modificados con la futura Ley Orgánica de Protección de Datos, como ya parece
inferirse del art. 24 del Proyecto de Ley Orgánica de Protección de Datos de
24 de Noviembre de 2017, de inminente aprobación y entrada en vigor para
adaptarse al Reglamento Europeo, el cual parece aceptar ya las denuncias «anónimas»
como puede verse al leer dicho artículo, lo que te ayudará a completar el estudio de este
punto.
Así, se potenciará la protección del informador, permitiendo la denuncia anónima y

estableciendo el menor tiempo posible (máximo tres meses) para dar respuesta y
suprimir del sistema los datos de carácter personal, pudiéndolos llevar a un entorno
distinto si la investigación lo requiere.

Compliance
Protección por derecho constitucional y laboral
En la medida en que la denuncia del delator se produce en el ámbito laboral, será en

ese espacio en el que este sufra principalmente las consecuencias de su denuncia,
generalmente en forma de despido o sanción si su contenido atañe a algún superior.
La cuestión aquí es dilucidar si el empleador puede argumentar su represalia

basándose en un incumplimiento de la buena fe por parte del trabajador que
denuncia. Pues bien, el Tribunal Constitucional ha señalado al respecto que los hechos
ilícitos y la falta de ética no forman parte del ámbito de normalidad laboral al que
queda obliga la buena fe contractual.
Protección por derecho penal
El derecho penal se ha acercado tan solo mínimamente al fenómeno del

whistleblowing. Sí es más clara la regulación en cuanto a la protección del criminal
arrepentido que decide contar los delitos de los que ha sido autor o partícipe, pero nada
se dice de forma taxativa en materia penal sobre quien es tan solo un mero observador
externo que denuncia unos hechos y es posteriormente represaliado por ello. Habría
que buscar la protección en todo caso en ámbitos muy etéreos como la coacción o los
delitos contra la integridad moral y también, este quizá un tanto más potente para
proteger la identidad del denunciante pero también muy matizable, el de revelación de
secreto.
Programas de amnistía y otros incentivos
La experiencia demuestra que los sistemas de denuncia que mejor han funcionado son
los que ofrecen incentivos económicos a modo de recompensa.
Al respecto de los planes de amnistía internos en las empresas, debemos decir

que son de gran importancia si lo que se busca es la complicidad delatora de quienes
han participado en la comisión del delito, garantizándoles que por parte de la propia
empresa no se actuará contra ellos en cuestiones como imposición de sanción
disciplinaria o reclamación subsidiaria de daños.

Compliance
8.5. Referencias bibliográficas
Martin Polvorinos, C. (2018). Conveniencia y obligatoriedad de los canales de

denuncia. Disponible en:
https://www.asociacioncompliance.com/conveniencia-y-obligatoriedad-de-los-
canales-de-denuncia

Compliance
No dejes de leer…
Los canales internos de denuncia: compliance y protección de datos
Breve pero interesante documento, elaborado por el Bufete Escura, en el que se nos
habla sobre canales internos de denuncia desde el punto de vista de la protección de
datos.
http://www.escura.com/archivos/pdf/compliance-y-proteccion-de-datos-77-
2016.pdf
Programa de recompensas a los whistleblowers
Martin Boado, A. M. (2016). La Securities and Exchange Commission estadounidense

(U.S. SEC) publica el informe anula de 2015 sobre su programa de recompensas a los
«whistleblowers». Revista Compliance Journal, 1.
En la siguiente reseña podrás leer acerca de los planes de recompensa existentes en

otros países (así, en EEUU) titulada La Securities and Exchange Commission
estadounidense (U.S. SEC) publica el informe anula de 2015 sobre su programa de
recompensas a los «whistleblowers».

Compliance
No dejes de ver…
Canal de denuncias
Ejemplo práctico de funcionamiento de un canal de denuncias.
https://www.youtube.com/watch?v=P9jXgMfOQo4

Compliance
A fondo
Análisis jurídico de los whistleblowers y los canales de denuncia

habilitados en la empresa
Interesante y completo artículo, elaborado por José Luis Colom (2014) en el que el
autor aborda de forma muy práctica y en clave jurídica numerosos aspectos
relacionados con los canales de denuncia.
http://www.aspectosprofesionales.info/2014/10/analisis-juridico-de-los-
whistleblowers.html
Bibliografía
Martin Boado, A. M. (2016). Circular 1/2016, de 22 de enero, de la Fiscalía General del

las empresas españolas. Revista Alerta 1/2016 del Instituto Español de Ética y
Compliance, febrero.
Martin Boado, An. M. (2016) Ponencia Circular 1/2016 de la Fiscalía. Desayuno de

Trabajo organizado. Instituto Español de ética y Compliance.
Martin Polvorinos, C. (2018). Conveniencia y obligatoriedad de los canales de

denuncia. Disponible en:
https://www.asociacioncompliance.com/conveniencia-y-obligatoriedad-de-los-
canales-de-denuncia/
Ragués i Vallés, R. (2006). ¿Héroes o traidores? La protección de los informantes

internos (whistleblowers) como estrategia político – criminal. InDret. Revista para el
análisis del Derecho

Compliance
Ragués i Vallés, R. (2013) Whistleblowing: una aproximación al Derecho penal.

Madrid: Marcial Pons
Silva, J.M. (2013). Criminalidad de empresa y compliance: prevención y reacciones

corporativas. Barcelona: Atelier libros jurídicos

Compliance
T e st
1. El canal de denuncias o whistleblowing:

A. Es el instrumento interno utilizado para sancionar en el marco de la empresa
la participación en un delito.
B. Se fundamenta en el silencio como deber de lealtad a la empresa.
C. Es un elemento esencial en todo programa de cumplimiento.
D. Sirve para transmitir todo tipo de información relevante.
2. El procedimiento más correcto a seguir por cualquier integrante de la empresa u

organización que tenga sospecha fundada de la comisión en su seno de un ilícito es:
A. Acudir a las autoridades.
B. Acudir a la prensa.
C. No hacer nada.
D. Utilizar el canal de denuncias.
3. Una de las principales preocupaciones al respecto de los sistemas de whistleblowing

es:
A. La repercusión mediática del asunto denunciado.
B. La protección del delator frente a posibles represalias.
C. La salvaguarda de los intereses de la empresa u organización.
D. Las consecuencias frente al accionariado en caso de sociedades de capital
reguladas.
4. Indica cuál de las siguientes afirmaciones no es cierta:

A. La falta de actividad o mal uso del canal de denuncia será un aspecto indicativo
de la escasa vigencia del programa de cumplimiento.
B. Si el trabajador sospecha que su denuncia no va a ser tomada en serio no se
expondrá a los riesgos que implica utilizar el canal.
C. La falta de cultura efectiva de cumplimiento en la empresa redundará
negativamente en la efectividad del canal.
D. El canal de denuncias es relevante como mecanismo de información pero no
como medida de control.

Compliance
5. Indica cuál de las siguientes normas no guarda relación con la evolución histórica del
canal de denuncias:
A. False Claims Act (FCA) de 1863.
B. Whistleblowing Commission Sentences (WCS) de 1918.
C. Civil Service Act de 1978.
D. Sentencing Guidelines a partir de 2004.
6. El mayor obstáculo que ha encontrado el fenómeno del whistleblowing, en general,

es probablemente:
A. Las dificultades tecnológicas para su puesta en marcha en el seno de las
empresas.
B. La oposición a su implantación por parte de los miembros del órgano de
administración.
C. La poca atención que ha recibido por parte de los legisladores sobre todo
nacionales.
D. Su encaje funcional en el conjunto de la política de Compliance.
7. Señala cuál de los siguientes elementos normativos ha suplido la ausencia de

legislación clara al respecto del whistleblowing:
A. La normativa procedente de organizaciones internacionales.
B. La normativa sobre protección de datos.
C. En menor medida, algunas regulaciones nacionales.
8. El principal factor de efectividad de un canal de denuncias está en:

A. El medio a través del cual comunicar la denuncia.
B. La confianza que su uso inspire en sus usuarios potenciales.
C. El hecho de que esté abierto a grupos de interés externos.
D. La adecuada codificación de la información de la que es depositario.
9. Indica cuál de los siguientes elementos constituye un factor de protección del

denunciante frente a posibles represalias:
A. El derecho constitucional.
B. El derecho laboral.
C. El derecho administrativo.
D. A y B son verdaderas.

Compliance
10. Señala cuál de los siguientes aspectos supone un factor de protección del denunciante
frente a posibles represalias que forma parte del derecho penal:
A. Los programas de amnistía.
B. El delito de revelación de secreto.
C. El delito de infracción de la buena fe contractual. D. El delito
de falta de protección del trabajador.

Compliance
El órgano de Compliance
[9.2] Introducción
[9.3] El órgano de cumplimiento penal
[9.4] Elementos del modelo de gestión y organización de

delitos
9 TEMA

Compliance
TEMA 9 – Esquema
Esquema
EL ÓRGANO DE COMPLIANCE
El órgano de Elementos del modelo

cumplimiento penal. de organización y
gestión de delitos
Elementos
Requisitos primordiales
Poderes Identificación de las Obligación de

autónomos de Ejercicio diligente actividades. informar.
© iniciativa y de las funciones de
supervisión,
control.
vigilancia y control. Protocolos o Sistema
procedimientos. disciplinario.
Modelos de gestión Verificación

de los recursos periódica del
financieros. modelo.
Compliance
Compliance
I d e a s c l a ve
Bajo, M., Feijoó, B.J. y Gómez-Jara, C. (2016). Tratado de responsabilidad penal de las
personas jurídicas (pp. 186-216). Pamplona: Aranzadi.

Intelectual.
Martin Boado, A. M. (2016). Circular 1/2016 de la Fiscalía General del Estado. Alerta
1/2016 del Instituto Español de Ética y Compliance. Disponible en:
PS_vf.pdf
En el presente tema analizamos aspectos formales relativos a modelos de cumplimiento

cuyo contenido resulta esencial e imprescindible para que la eficacia de dicho modelo
quede garantizada en el contexto jurídico de la eximente, y atenuante en su caso, de la
responsabilidad penal de la persona jurídica.
Veremos en concreto todo lo relativo, desde la óptica de la regulación sobre la materia

del Código penal español de 2015, al órgano de cumplimiento penal y sus requisitos y
también a lo que tiene que ver con los elementos del modelo de organización y gestión
de riesgos penales.
9.2. Introducción
El Código Penal de 2015 determina en su artículo 31.bis las características que

deben cumplir los denominados modelos de organización y gestión de delitos con el fin
de que su puesta en marcha puede ser considerada como eximente de la
responsabilidad penal de la persona jurídica.

Compliance
De esta forma, la vigencia efectiva en el seno de la empresa de un plan de prevención de

delito adecuado y eficaz en el momento en que dicho delito se comete, supone mostrar
el compromiso de la organización con el cumplimiento de la legalidad y la prevención
de la actividad delictiva, lo que hará que nada en el comportamiento de la persona
jurídica sea reprochable en términos de exigencia de responsabilidad penal.
Debido a la importancia del art. 31 bis del Código Penal español, deberás consultarlo a
través del siguiente enlace: https://www.boe.es/buscar/act.php?id=BOE-A-1995-
25444
La primera de las características de estos modelos de organización y gestión de riesgos

penales atañe a lo que comúnmente puede denominarse como órgano de
cumplimiento penal. Veámoslo.
9.3. El órgano de cumplimiento penal
En efecto, el Código Penal establece en el artículo 31 bis, apartado 2 la necesidad,

como requisito para la exención de responsabilidad penal de la persona jurídica, que
esta cuente con un órgano que supervise, vigile y controle el modelo de organización y
gestión de delitos, al decir así:
«[…] 2.ª la supervisión del funcionamiento y del cumplimiento del modelo de

prevención implantado ha sido confiada a un órgano de la persona jurídica con
poderes autónomos de iniciativa y de control o que tenga encomendada
legalmente la función de supervisar la eficacia de los controles internos de la
persona jurídica».
Dicho órgano podrá:
» Crearse específicamente a tal efecto.

» Otorgar las funciones un empleado o departamento ya existente en la empresa (ej.
al órgano de la empresa que ya tenga legalmente atribuidas las funciones de
supervisión de control interno).
» Podrá ser el propio órgano el que asuma sus funciones.
Ahora bien, el órgano de cumplimiento penal deber ser preferentemente un órgano

interno, en opinión de la Circular 1/2016 de la Fiscalía General del Estado, al estar

Compliance
aquel más próximo al negocio de la organización y, por consiguiente, con mayor

capacidad de identificar los correspondientes riesgos.
El órgano de cumplimiento penal puede ser unipersonal (Compliance Officer) o

colegiado (Comité de Compliance), e incluso ambas figuras en cuyo caso el Compliance
Officer formará parte del Comité de Compliance asumiendo en el mismo el liderazgo de
dicho Comité. En ambos casos se recomienda que se redacte internamente los deberes y
responsabilidades de la persona, comité o departamento que asuma el rol del órgano de
cumplimiento penal.
De gran actualidad es el debate sobre si los Compliance Officer deben ser perfiles
juristas (abogados) o si puede o deber ser otro tipo de perfiles no juristas. Sobre ello
debe leerse la Circular del Consejo General de la Abogacía Español de 2017, que se
pronuncia por el perfil jurista de dichos profesionales (Consejo General de la Abogacía
Española. Informe 5/2017 informe que emite la comisión jurídica sobre la intervención
del abogado como responsable de cumplimiento normativo (compliance officer).
Madrid 2017).
» Poderes autónomos de iniciativa y control
El órgano de cumplimiento penal debe ostentar «poderes autónomos de iniciativa y

control», lo que resulta fundamental para poder ejercer las funciones de supervisión,
vigilancia y control que le corresponden de forma inherente. Se concretan en:
o Tener autoridad y responsabilidad en todos los niveles del plan de Compliance.

o Tener acceso, entre otros factores, al proceso de toma de decisiones de la
empresa.
o Tener la suficiente autoridad e independencia.
» Ejercicio diligente de las funciones de supervisión, vigilancia y control
Como consecuencia de los poderes de iniciativa y control, el Código Penal exige de cara
a la eximente, que no se haya incurrido en una falta de diligencia con respecto a las
labores de supervisión, vigilancia y control, por lo que será necesario llevar a cabo una
serie de medidas, acordes a la estructura y modo de funcionamiento de la empresa
que sean capaces de impregnar de forma efectiva la cultura de cumplimiento en la
totalidad de sus áreas y actividades.

Compliance
Competencias del órgano responsable de cumplimiento penal
El órgano de cumplimiento penal tendrá como función básica la de controlar,

supervisar, evaluar y mejorar el Modelo de Prevención y Detección de Delitos. Para este
fin, será investido de poderes autónomos de iniciativa y control, y reportará
directamente al Consejo de Administración de la Compañía.
En concreto, esta función de supervisión y control del funcionamiento del modelo de

prevención y detección de delitos supone asumir las responsabilidades que detallamos
a continuación:
» Definir y actualizar anualmente un Mapa de Riesgos Penales, donde se identifiquen

las actividades de la sociedad en cuyo ámbito puedan ser cometidos los delitos que
deben ser prevenidos.
» Supervisar, controlar y evaluar el funcionamiento del modelo de prevención y

detección de delitos, en coordinación con los responsables directos de los controles
establecidos en la Sociedad para prevenir delitos.
» Identificar debilidades de control o aspectos de mejora, promover planes de

actuación para su subsanación, y actualizar/modificar las medidas y controles que
forman parte del modelo de prevención y detección de delitos de la sociedad.
» Comunicar o promover la efectiva comunicación a todo el personal de la sociedad de

los controles previstos en el modelo de prevención y detección de delitos que les
resulten aplicables, así como sus eventuales modificaciones o actualizaciones.
» Promover planes de formación sobre el modelo de prevención y detección de delitos

implantado en la sociedad.
» Asesorar a la dirección de la sociedad en tomas de decisión que puedan implicar una

posible responsabilidad penal de la persona jurídica.
» Gestionar un repositorio de evidencias documentales donde se acredite el efectivo

ejercicio de control y supervisión continuo del modelo de prevención y detección de
delitos, manteniendo un registro actualizado de los controles que forman parte de
dicho modelo, de los informes elaborados por auditores internos o externos que
puedan tener relación con el funcionamiento del modelo, de expedientes sobre

Compliance
incumplimientos del mismo producidos en la sociedad, así como las medidas

tomadas para su corrección, etc.
» Analizar y registrar de forma adecuada aquellos riesgos y controles que puedan

afectar a varios departamentos de la empresa.
» Todo lo anterior debe incluirse en un plan anual de control, supervisión, evaluación

y actualización del modelo de prevención de delitos.
» Informar periódicamente al órgano de administración de la sociedad sobre los

resultados de las evaluaciones del modelo de prevención y detección de delitos.
» Certificar anualmente el cumplimiento del modelo (esta certificación podría

realizarla el propio órgano responsable de cumplimiento penal o un experto
independiente).
Autonomía e independencia del Órgano Responsable de Cumplimiento

Penal
La Ley Orgánica 1/2015, de 30 de marzo de Reforma del Código Penal establece,

claramente, que el órgano al que la compañía atribuya las funciones supervisión y
control del Modelo de Prevención y Detección de Delitos debe contar con poderes
autónomos de iniciativa y control.
Esta exigencia de Ley Orgánica 1/2015, de 30 de marzo de Reforma del Código Penal
implica que el órgano al que le sea atribuida la función de Cumplimiento Penal:
i. Debe ser un órgano autónomo para tomar sus propias decisiones en materia de
cumplimiento penal, sin sujeción ni dependencia jerárquica respecto de ningún otro
órgano de la Compañía.
ii. Debe ser un órgano al que por parte del Consejo de Administración de la Compañía
se le hayan atribuido los poderes necesarios para llevar a cabo las funciones de control
del Modelo de Cumplimiento Penal.

Compliance
Estos requisitos implican que en la configuración del Órgano Responsable de

Cumplimiento Penal deben tenerse presentes los siguientes principios:
i. El Órgano de Cumplimiento Penal no puede depender de ningún otro órgano de la

Compañía reportando sus conclusiones y resultados al Consejo de Administración.
ii. En el momento de su constitución el Consejo de Administración debe aprobar sus

Estatutos de Funcionamiento.
iii. Dichos Estatutos deben garantizar que el órgano Responsable de Cumplimiento

Penal quede facultado para: (i) poder requerir la documentación/información que
considere necesaria para el desempeño de sus competencias, tanto a cualquier órgano,
oficina, centro de trabajo o departamento de la Compañía, como empleado, cualquiera
que sea su categoría dentro de la organización; (ii) poder solicitar que se sancione a
cualquier miembro de la organización que se niegue a facilitar la
documentación/información requerida; (iii) emitir recomendaciones vinculantes para
el Órgano de Administración de la Compañía en materia de Cumplimiento Penal.
Asimismo, entendemos que los miembros del Órgano de Cumplimiento Penal deben
contar con garantías suficientes como para poder desarrollar su trabajo en esta materia
sin miedo a represalias.
Por último, tanto la implantación de dicho órgano, como sus funciones y competencias
deberán ser debidamente comunicadas a toda la compañía, haciendo saber que deberán
atender a cualquier requerimiento de documentación que desde el mismo se les pueda
realizar.
Alternativas de configuración del órgano responsable de cumplimiento

penal
En cuanto a la implantación de un órgano responsable de cumplimiento penal existen

distintas alternativas que entendemos pueden resultar de interés:
i. Crear un órgano de cumplimiento penal únicamente: crear un órgano con poderes de

iniciativa y control que reportara al consejo de administración y cuya única función
fuera la de controlar, supervisar, evaluar y mejorar el modelo de prevención y detección
de delitos.

Compliance
ii. Crear un órgano de cumplimiento en sentido amplio, que incluya entre sus
funciones:
a. Cumplimiento normativo: dicha función tendría por objeto realizar el seguimiento

del proceso de actualización permanente del inventario de obligaciones legales que
afectan a la sociedad y la autoevaluación periódica del cumplimiento de las mismas.
b. Cumplimiento penal: dicha función tendría por objeto el seguimiento, revisión,

actualización y control del modelo de prevención y detección de delitos.
c. Cualquier otra función de monitorización y seguimiento de los procesos de control y

revisión internos que la Sociedad quiera asignar a la función de cumplimiento.
Una vez escogido entre las opciones anteriores, se deberá decidir el modo en el que se
organizará dicho órgano de cumplimiento:
i. Órgano unipersonal compuesto por un único responsable.
ii. Órgano colegiado compuesto por una pluralidad de representantes de varios

departamentos de la Sociedad, entre los cuales, por lo general y con base en nuestra
experiencia, debería estar ineludiblemente representado el departamento de asesoría
jurídica de la compañía.
Dentro de esta opción existe asimismo la posibilidad de configurar el órgano con todos
sus miembros internos, es decir, con personal propio de la compañía, o bien con la
participación de un asesor externo especializado, por la garantía de independencia e
imparcialidad que a priori puede ofrecer esta opción.

Compliance
9.4. Los elementos del modelo de organización y gestión de

riesgos penales
Tal y como hemos expresado ya, el Código Penal establece cuáles son los elementos
primordiales con los que el modelo de organización y gestión de riesgos penales debe
contar al objeto de conseguir la eximente de pena o, en su caso, atenuarla. Son los
siguientes:
Dice así el art. 31 bis, apartado 5 del Código Penal:
«5. Los modelos de organización y gestión a que se refieren la condición 1.ª del
apartado 2 y el apartado anterior deberán cumplir los siguientes requisitos:
»1.º Identificarán las actividades en cuyo ámbito puedan ser cometidos los
delitos que deben ser prevenidos.
»2.º Establecerán los protocolos o procedimientos que concreten el proceso de

formación de la voluntad de la persona jurídica, de adopción de decisiones y de
ejecución de las mismas con relación a aquéllos.
»3.º Dispondrán de modelos de gestión de los recursos financieros adecuados

para impedir la comisión de los delitos que deben ser prevenidos.
»4.º Impondrán la obligación de informar de posibles riesgos e

incumplimientos al organismo encargado de vigilar el funcionamiento y
observancia del modelo de prevención.
»5.º Establecerán un sistema disciplinario que sancione adecuadamente el

incumplimiento de las medidas que establezca el modelo.
»6.º Realizarán una verificación periódica del modelo y de su eventual

modificación cuando se pongan de manifiesto infracciones relevantes de sus
disposiciones, o cuando se produzcan cambios en la organización, en la
estructura de control o en la actividad desarrollada que los hagan necesarios».
Es decir, dichos requisitos son los siguientes:
Identificación de las actividades en cuyo ámbito puedan ser cometidos los delitos
que deben ser prevenidos. El primer paso necesario para valorar adecuadamente el
riesgo es señalar qué actividades son «susceptibles» de que se cometa un delito como
consecuencia de su ejercicio.
Establecimiento de protocolos o procedimientos que concreten el proceso de

formación de la voluntad de la persona jurídica, de adopción de decisiones y de

Compliance
ejecución de las mismas con relación a aquellos. Se trata aquí de determinar de forma
clara cuál es la estructura de toma de decisiones y de señalar de forma individual a los
responsables de dichas decisiones.
En la práctica de las empresas multinacionales este tipo de procedimientos son

comúnmente conocidos con las siglas en inglés SOP (Standard Operation Procedure) y
en Español PNT (Procedimientos Normalizados de Trabajo) y es frecuentemente que
exista un SOP por cada materia de relevancia para la empresa, con la finalidad de
regular internamente las funciones y responsabilidades que asumirá cada
departamento o rol dentro de la empresa para tomar una determinada decisión,
relevante para la empresa, o para controlar, o reducir determinado riesgo.
Así en organizaciones de tamaño grande o medio es muy frecuente que existan SOP en
las materias siguientes:
» Publicidad y Actividades Promocionales (habitual en sectores muy regulados. Ej.

sector salud, sector alimentario, sector cosmético y de productos naturales, etc.)
» Control de proveedores.
» Anticorrupción y relaciones con la Administración Pública y funcionarios públicos.
» Prevención del Blanqueo de Capitales y Financiación del Terrorismo.
» Tratamiento de Datos Personales.
» Regalos y atenciones a realizar por la compañía o recibir por lo empleados.
» Funcionamiento del canal de denuncias.
Estos procedimientos pueden tener o no la forma de «diagramas de flujo» y suelen

tener un documento asociado en el que se recogen los principios éticos generales
aplicables a dicha compañía en dicha material, comúnmente conocidos como
«políticas» (Policy en inglés). De esta forma puede afirmarse que:
» La política vendría a recoger los principios generales éticos que la compañía a

nivel interno y por voluntad propia ha decidido imponer a sus empleados e incluso
a terceros que colaboren con la empresa, basados la mayoría de las veces en
normativa y regulaciones propias del sector en el que dicha opera.
» Y el procedimiento vendría a recoger el concreto proceso que deberá regir en

dicha compañía para hacer posible el cumplimiento de la
correspondiente política, concretando qué departamento o rol de la

Compliance
empresa actuará en cada momento y las diferentes funciones y

responsabilidades de cada uno de estos para contribuir al cumplimiento de la
correspondiente política.
Podrás consultar un ejemplo de esta tipología y contenido de este tipo de Políticas y

Procedimientos en el apartado A fondo.
Disposición de modelos de gestión de los recursos financieros adecuados

para impedir la comisión de los delitos que deben ser prevenidos. Este aspecto tiene
una doble vertiente. Por un lado se ha de dotar al modelo de los recursos económicos y
humanos necesarios para garantizar su correcto funcionamiento, por otro, el adecuado
control de los recursos financieros resulta vital para impedir la comisión de delitos, en
especial los relacionados con la corrupción.
Imposición de obligación de informar de posibles riesgos e incumplimientos al

organismo encargado de vigilar el funcionamiento y observancia del modelo de
prevención. Hace referencia a los canales de denuncia.
Establecimiento de un sistema disciplinario que sancione adecuadamente el

incumplimiento de las medidas que establezca el modelo. Se trata aquí de dotar al
modelo de un componente de «enforcement» que beneficie su eficacia y aplicabilidad.
Realización de una verificación periódica del modelo y de su eventual

modificación cuando se pongan de manifiesto infracciones relevantes de sus
disposiciones, o cuando se produzcan cambios en la organización, en la estructura de
control o en la actividad desarrollada que los hagan necesarios. Este aspecto constituye
un elemento clave a la hora de demostrar su eficacia a lo largo del tiempo.

Compliance
No dejes de leer…
Impacto de la Ley Orgánica 1/2015 por la que se modifica el Código Penal e

los sistemas de corporate compliance de las personas jurídicas
Camacho, A. y Uría, A. (19 de mayo de 2015). El impacto de la Ley Orgánica 1/2015 por
la que se modifica el Código Penal en los sistemas de corporate compliance de las
personas jurídicas. Diario La Ley, 3328/2015.
El artículo analiza los aspectos novedosos del Código Penal que atañen a los elementos
y puesta en marcha de modelos de Compliance, deteniéndose en lo relativo al órgano de
supervisión y control.
https://www.perezllorca.com/es/actualidadPublicaciones/ArticuloJuridico/Document
s/ACV%20y%20AUP%20Diario%20la%20Ley.pdf
Las revisiones del modelo de Compliance
Casanovas, A. (noviembre, 2015). Las revisiones del modelo de Compliance. KPMG-

Serie de test de compliance. Blog KPMG Cumplimiento Legal.
Documento en el que el autor reflexiona sobre la verificación del modelo de prevención

penal desde un punto de vista didáctico y con objeto de poner de manifiesto los
elementos clave que dicho proceso debe contemplar.
https://assets.kpmg.com/content/dam/kpmg/es/pdf/2016/12/Test_Compliance_11.p
df

Compliance
No dejes de ver…
La función de Compliance - Compliance Basics 3
Autor: KPMG
Año: 2017
Interesante vídeo en el que el autor, Alain Casanovas,

hace un repaso de los principales aspectos que integran
la función de Compliance y se detiene en cuestiones
relativas al órgano de supervisión y control.
https://www.youtube.com/watch?v=Q6g1JqWgl9M&list=PL0U1g2QyI9ayxcM_81qPL
onmB5iN3n_t6&index=3

Compliance
A fondo
El tratamiento del régimen disciplinario en la negociación colectiva
González-Posadas, E. (2008). El tratamiento del régimen disciplinario en la

negociación colectiva. Madrid: Ministerio de Trabajo y Asuntos Sociales.
Interesantes cuestiones sobre el poder disciplinario del empresario, codificación y

graduación de faltas y aplicación del régimen disciplinario.
http://www.empleo.gob.es/es/sec_trabajo/ccncc/descargas/TratamientoRegimenDisc
iplinario_NegociacionColectiva.pdf
Ejemplo de Políticas y Procedimientos en materia de Compliance
El siguiente documento recoge las distintas materias sobre las cuales las organizaciones
suelen tener políticas y/o procedimientos. El objetivo es que puedas conocer la
tipología de las distintas políticas y procedimientos, que las organizaciones suelen tener
en materia de Compliance.
Bibliografía
Consejo General de la Abogacía. (2017). Informe 5/2017 del Consejo General de la

Abogacía Español. Informe que emite la comisión jurídica sobre la intervención del
abogado como responsable de cumplimiento normativo (compliacne officer).

Compliance
Enseñat, S. (2016). Manual del Compliance Officer. Guía práctica para los
responsables de Compliance de habla hispana. Pamplona: Editorial Aranzadi
Thomson Reuters.
Martin Boado, A. M. (2016). Circular 1/2016, de 22 de enero, de la Fiscalía General del

las empresas españolas. Alerta 1/2016 del Instituto Español de ética y Compliance.
Nieto, A. y otros. (2015). Manual de cumplimiento penal en la empresa. Valencia:

Tirant lo Blanch.
Puyol Montero, J. (2016). Criterios prácticos para la elaboración de un Código de
Compliance (Abogacía Práctica). Madrid: Editorial Tirant lo Blanch
Ribas, X. (2018). Practicum Compliance 2018. Pamplona: Aranzadi Editorial Thomson

Reuters.
Zamorano, S. y Polo, A. (2016). La dificultad de construir un órgano de supervisión y

cumplimiento del modelo de Compliance. Pamplona: Aranzadi Actualidad jurídica.
Volumen 25. Número 921.

Compliance
T e st

A. Es en el apartado de la culpabilidad donde debe analizarse la eficacia del
modelo o sistema de gestión de Compliance.
B. La vigencia plena de un programa de cumplimiento eficaz en el momento de la
comisión del delito simboliza una cultura de cumplimiento de la legalidad.
C. Si se cumplen de forma eficaz las obligaciones de Compliance pero aun así se
comete un delito, el Estado debe mantener la pretensión de la pena.
2. En relación a la cultura de Compliance, el derecho penal exige a las empresas:

A. Un cumplimiento meramente «formal» de la legalidad.
B. Un compromiso «material» de cumplir con la norma.
C. Un compromiso meramente «formal» de la norma.
D. Un cumplimiento meramente «formal» de la norma.
3. La normativa penal española sobre modelos de organización y gestión de delitos

tiene una profunda influencia de:
A. El derecho alemán.
B. El derecho anglosajón.
C. La Sarbanes Oxley Act.
D. El derecho italiano.
4. El órgano de cumplimiento penal:

A. Puede ser objeto de creación específica.
B. Sus funciones de supervisión, vigilancia y control pueden ser asignadas a un
órgano que ya tenga legalmente atribuidas las funciones de supervisar la
eficacia los controles internos.
C. En personas jurídicas de pequeñas dimensiones sus funciones pueden ser
asumidas por el propio órgano de administración.

Compliance
5. Indica cuál de las siguientes facultades no forma parte de las que concretan la
existencia efectiva de poderes autónomos del órgano de cumplimiento penal:
A. Tener autoridad y responsabilidad para el diseño, consistencia e integridad del
sistema de gestión de Compliance penal.
B. Tener autoridad para actuar de forma independiente.
C. Tener capacidad para designar cargos directivos.
D. Tener acceso a todos los niveles de la organización.
6. La posibilidad de que las funciones del órgano de cumplimiento penal sean asumidas
por el propio órgano de administración:
A. Puede darse en cualquier empresa que tenga más de 250 trabajadores y su
cifra anual de negocio sea superior a 12 millones de euros.
B. Puede darse en empresas que estén autorizadas a presentar cuenta de pérdidas
y ganancias abreviada.
C. No puede darse en ningún caso porque ello conllevaría falta de independencia.
D. Puede darse solo cuando el consejero delegado asume las labores de
representación legal de la persona jurídica.
7. Respecto de la identificación de las actividades en cuyo ámbito puedan ser cometidos

los delitos que deben ser prevenidos, se puede afirmar que:
A. No es necesario hacer tal identificación, ya que lo pertinente es la elaboración
del mapa de riesgos.
B. El sector de la empresa o actividad no es relevante, basta con una
aproximación global.
C. Es el primer paso relevante para la conformación del mapa de riesgos.
D. Ha de hacerse por el comité de auditoría en un proceso ex – post.
8. En cuanto al elemento del modelo de Compliance relativo a la disposición de

modelos de gestión de los recursos financieros adecuados para impedir la comisión de
los delitos que deben ser prevenidos:
A. Se refiere solo a que el órgano de Compliance cuente con los recursos
financieros adecuados.
B. Se refiere solo a que la empresa controle sus recursos financieros para impedir
la comisión de delitos.
C. El modelo de Compliance no requiere de financiación específica, ya que su
competencia es transversal.
D. Tiene una doble vertiente que contempla lo indicado en las respuestas A y B.

Compliance
9. Los sistemas de whistleblowing:

A. Potencian la delación de potenciales incumplimientos.
B. Se establecen únicamente para la detección de conductas que provocan un perjuicio a
terceros.
C. Deben exigir, según la Agencia Española de Protección de Datos, la
identificación del denunciante. D. A y C son
verdaderas.
10. En cuanto al establecimiento de un sistema disciplinario que sancione adecuadamente el

incumplimiento de las medidas que establezca el modelo de organización y gestión de delitos,
podemos afirmar que:
A. Su encaje es incompatible en el marco de las normas laborales.
B). Para resultar éticamente aceptable, no debe incluir en ningún caso el despido. C. Supone un
elemento que refuerza al modelo de Compliance, pues la sanción
reafirma la vigencia de las normas relativas al cumplimiento penal.
D. Es un tema incluido de manera generalizada en la práctica totalidad de los convenios
colectivos.

Compliance
La responsabilidad penal del Compliance

officer
[10.2] Posición de garante
[10.3] Complicidad omisiva
[10.4] Conclusiones
10 TEMA

E s q u e ma
TEMA 10 – Esquema
LA RESPOSABILIDAD PENAL DEL
COMPLIANCE OFFICER
Posición de garante Complicidad omisiva Conclusiones
El compliance officer Delegación en el

en la posición de compliance
garante. officer no
determina una
exoneración
completa del
delegante.
Compliance

Compliance
I d e a s c l a ve
Para estudiar este tema deberás complementar el estudio de las ideas clave expuestas a
continuación con la siguiente lectura:
Mercedes, V. (2015) La responsabilidad penal de los administradores y del Compliance

Officer en la última reforma del Código Penal. Actualidad Jurídica Aranzadi, núm.
910/2015.
El artículo está disponible en el aula virtual en virtud del artículo 32.4 de la Ley de
Propiedad Intelectual.
Casanovas, A. (21 de septiembre 2017). Responsabilidad del Compliance Officer en

UNE 19601. ElDerecho.com. Disponible en:
https://www.elderecho.com/contenido_juridico/jurisprudencia/responsable-
compliance-officer-une-19601_11_1137805001.html
Martin Boado, A. M. (2016). Circular 1/2016 de la Fiscalía General del Estado. Alerta
1/2016 del Instituto Español de Ética y Compliance. Disponible en:
PS_vf.pdf
En el presente tema estudiaremos de una forma resumida y práctica los principales

aspectos que, tras la reforma de nuestro Código Penal en el año 2015, definen y
fundamentan la posible responsabilidad penal del órgano de administración y muy en
concreto del compliance officer: posición de garante, deber de control y delegación.
10.2. Posición de garante
La reforma del Código Penal de 2015 introduce la figura del compliance officer u
oficial de cumplimiento. Tanto esta reforma como la llevada a cabo por la Ley 31/2014
de modificación de la Ley de Sociedades de Capital, lleva a la posible responsabilidad

Compliance
penal de los administradores, como garantes, por los delitos de los empleados, en
comisión por omisión.
No obstante, el compliance officer no asume de forma directa esa posición de garante

a no ser que en la delegación de funciones que recibe haya un deber contractual
específico de evitación de delitos que supere a las funciones de supervisión y control del
modelo.
Volviendo a lo anterior, la mencionada Ley 31/2014 introduce para los

administradores el deber de control de las compañías, lo que les lleva sin género de
dudas a ocupar la posición de garantes en términos de legislación penal. Esto supone
que podrán ser responsables penalmente a título de autores, autores mediatos o
partícipes por delitos comunes o especiales.
10.3. Complicidad omisiva
Mención especial merece también la comisión por omisión. En este supuesto la

responsabilidad penal se sustanciaría, dada la mencionada posición de garante, y si
concurren las condiciones de equivalencia de la omisión a la acción, por no haber
adoptado las medidas adecuadas para la evitación de los delitos en el ámbito de la
empresa.
Esto es así hasta el punto de que la delegación de funciones hacia terceros como el
compliance officer no determina una exoneración completa del delegante, ni por la
misma razón traslada la responsabilidad de forma automática al delegado. Antes al
contrario, existe ya cierta jurisprudencia alemana que condena por asunción de
posición de garante por complicidad omisiva en supuestos de acumulación de
posiciones de garantía.
10.4. Conclusiones
La normativa actual derivada de la reforma del Código Penal del año 2015 basa la
posible responsabilidad penal de la persona jurídica en el defecto de organización,
que queda configurado como tipo penal autónomo.

Compliance
Corresponde al órgano de administración la adopción de medidas de vigilancia y

control que prevengan la comisión de delitos, antes de que estos se materialicen, o que
disminuyan de forma significativa el riesgo de su comisión.
Los administradores adquieren la posición de garantes en el contexto penal y esta

posición guarda relación también con el deber mercantil específico de control sobre la
empresa y sus riesgos.
Al compliance officer le corresponde supervisar el funcionamiento y cumplimiento

del modelo de prevención de delitos. Para ello cuenta con poderes de iniciativa y
control, pero no de decisión (que corresponden al órgano de administración). Por ende,
no le corresponde ni la adopción ni la modificación de los programas de cumplimiento,
ni tampoco la decisión final en relación con los mismos. Es por esto por lo que el
compliance officer no asume de forma automática la posición de garante.
La delegación no exonera por completo de responsabilidad al órgano de

administración.
En la ponencia de Ana M. Martin Boado, titulada «Circular 1/2016 de la Fiscalía»,

impartida durante Desayuno de Trabajo organizado por el Instituto Español de Ética y
Compliance en Febrero de 2016, disponible en la biblioteca virtual de la UNIR pueden
verse casos reales de otros países en los que se ha llegado a imputar o incluso a
condenar a un Compliance Officer por actos delictivos cometidos en el seno de sus
organizaciones. Casos que resultan de enorme interés por la influencia que pueden
llegar a tener para las Autoridades Judiciales o de Anticorrupción de otros países como
España.

Compliance
No dejes de leer…
La posición de garante en el Derecho español
Maciá, R. (enero, 2009). La posición de garante en el Derecho español: concepto y

estructura. Pórtico Legal.
Interesante artículo teórico en clave jurídica sobre los aspectos primordiales de la

posición de garante.
https://porticolegal.expansion.com/pa_articulo.php?ref=326
La comisión por omisión
Meini, I. (2003) La comisión por omisión: una interpretación alternativa del artículo 13
de Código Penal. Universidad de Friburgo.
El autor reflexiona sobre aspectos interesantes relativos al delito de comisión por

omisión y también sobre el significado e importancia de la posición de garante.
http://perso.unifr.ch/derechopenal/assets/files/anuario/an_2003_17.pdf

Compliance
¿Tiene el Compliance Officer responsabilidad penal?
Anllo, L. y Alguacil, J. (s. f.). ¿Tiene el Compliance Officer responsabilidad penal?

[entrada en línea]. World Compliance Assoiation.
Los autores, en una aproximación de derecho comparado entre Argentina y España,

comentan distintos aspectos de una hipotética responsabilidad penal del Compliance
Officer.
Accede al artículo desde la siguiente dirección web:

http://www.worldcomplianceassociation.com/1408/articulo-tiene-el-compliance-
officer-responsabilidad-penal.html
No dejes de ver…
¿Cuándo una omisión se puede equiparar a una acción? Fernando Miró
Autor: Universitas Miguel Hernández

Año: 2015
Vídeo de contenido jurídico con aspectos técnicos en

relación a la Comisión por omisión.
https://www.youtube.com/watch?v=IKWWgxEQDuU

Compliance
A fondo
La responsabilidad penal del compliance officer
De Urbano, E. (2016). La responsabilidad penal del compliance officer. Revista

Aranzadi Doctrinal, núm. 4/2016. BIB 2016\2014.
El artículo repasa aspectos interesantes sobre la responsabilidad penal de las personas

jurídicas y el papel del compliance officer.
El artículo está disponible en el aula virtual en virtud del artículo 32.4 de la Ley de
Bibliografía
Gómez, J.L., Arroyo, L., Nieto, A. (2013). El Derecho Penal Económico en la Era
Compliance. Valencia: Tirant lo Blanch
Kuhlen, L., Montiel, J. P., Ortiz de Urbina, Í. (2013). Compliance y teoría del Derecho
penal. Madrid: Marcial Pons
Ley 31/2014, de 3 de diciembre, por la que se modifica la Ley de Sociedades de Capital

para la mejora del gobierno corporativo.
Montoya, M. A. (2015). Sobre la condena a administradores y Compliance Officers por

falta de medidas de prevención. Disponible en:
https://miguelangelmontoya.com/2015/07/08/sobre-la-condena-a-administradores-
y-compliance-officers-por-falta-de-medidas-de-prevencion/
Rodríguez, M.J. (2005). Atribución de responsabilidad en comisión por omisión.

Pamplona: Aranzadi

Compliance
Velasco, E. (2016). Cuestiones prácticas sobre responsabilidad penal de la persona

jurídica y Compliance. Pamplona: Editorial Aranzadi Thomson Reuters.

Compliance
Actividad: Grupo BAMI
El objetivo de esta actividad es diseñar un modelo de prevención de delitos para el

Grupo Bami tomando en consideración la información facilitada. Por ello, la finalidad
del ejercicio es que razones y te familiarices con los elementos claves que deben
configurar un diseño efectivo de un modelo de prevención y detección de delitos para
un grupo de empresas.
Diseñar un modelo de prevención de delitos comporta la necesidad de razonar cómo se

realizaría la implantación de los elementos que, legalmente, deben configurar un
modelo. Explicando, en detalle y según la información facilitada, lo que corresponda al
caso respecto a cada uno de los elementos.
Descripción
Empezando de cero…
Hace cinco años se creó un grupo empresarial denominado Grupo Bami que está
compuesto por cuatro sociedades de responsabilidad limitada. Cada una de las
sociedades lleva a cabo una línea de actividad empresarial diferenciada, pero las cuatro
sociedades comparten una estructura organizativa, pues ciertos departamentos son
únicos para las cuatro empresas.
GRUPO BAMI
SWIM, S.L. KRANON, S.L. LUGANO, SL. ATRIX, S.L.
Grupo Bami dispone de una página web (grupobami@com) donde figura la actividad
de las 4 sociedades.
TEMA 10 – Actividad © Universidad Internacional de La Rioja (UNIR)

Compliance
Las actividades que desarrollan las cuatro sociedades son:
SWIM, S.L
Es una empresa que presta servicios de asesoramiento fiscal a entidades españolas que
tienen actividad en otros países, especialmente, en territorios como el Principado de
Andorra y la República de Chipre. Diseñan estructuras fiscales complejas desde
España.
Los ingresos del SWIM, S.L. suponen un 15% del Grupo Bami. Actualmente, tienen en
plantilla 25 trabajadores (abogados y administrativos).
El director general es D. Álvaro Fernández.
Como sociedad sujeta a la normativa de prevención de blanqueo de capitales cuenta

con un representante ante el SEPBLAC y un órgano de comunicación y control. El
representante legal ante el SEPBLAC es D. Herminio Fernández y sus tres hijos (Marta,
Álvaro y Luis) son miembros integrantes del Órgano de Comunicación y Control.
KRANON, S.L.
Es una empresa de promoción y construcción inmobiliaria. Se trata de la sociedad de

mayor facturación del Grupo Bami, pues sus ingresos suponen un 55% del negocio del
Grupo.
Actualmente, tiene en plantilla más de 200 trabajadores. El director general es D.

Herminio Fernández.
En los últimos años la sociedad ha llevado a cabo varias promociones y construcción de

viviendas de lujo en Marbella, siendo casi todos sus compradores clientes rusos o
mercantiles rusas. En muchos casos han tenido que lidiar con ofrecimiento de pagos en
metálico por parte de este tipo de cliente.
Como sociedad sujeta a la normativa de prevención de blanqueo de capitales cuenta

con un representante ante el SEPBLAC y un órgano de comunicación y control. El
representante legal ante el SEPBLAC es D. Herminio Fernández y sus tres hijos (Marta,
Álvaro y Luis) son miembros integrantes del Órgano de Comunicación y Control.

Compliance
LUGANO, S.L. es una empresa que se dedica a gestionar la solicitud y otorgamiento

de subvenciones a empresas por parte de organismos estatales. Sus ingresos suponen
un 15% del negocio del Grupo. Actualmente, tienen en plantilla 35 trabajadores. El
director general es D. Luis Fernández.
Existen varios mandos intermedios (8) dentro de la sociedad que tratan habitualmente
con la administración en la gestión de las subvenciones. Es una práctica habitual en
periodo navideño mandar a los principales interlocutores de la administración una
cesta de navidad por cortesía del Grupo Bami.
ATRIX, S.L. es una empresa que se dedica a la explotación de un hotel de lujo situado
en Zamora, cuyos ingresos suponen un 15% del negocio del Grupo. Actualmente, tienen
en plantilla 60 trabajadores. La directora general es Doña. Marta Fernández.
Es una sociedad que utiliza mucho los servicios de una ETT para llevar a cabo
contrataciones temporales. Además, es habitual la contratación de trabajadores
extranjeros que puedan atender a clientes extranjeros.
En las 4 sociedades figura como administrador único D. Herminio Fernández, fundador

del Grupo Bami.
Las 4 sociedades comparten los siguientes departamentos:
» Departamento de Recursos Humanos: encargado de la contratación del personal en

las 4 sociedades y de todas las cuestiones relacionadas en materia de personal.
Figura como Director del Departamento: D. Emiliano Estévez. Se cuenta con un
externo en materia de prevención de riesgos laborales que ayuda a que las
compañías estén al día en términos de cumplimiento.
» Departamento de Finanzas: encargado de todas las gestiones de pagos y cobros y,

en general, con las atribuciones tradicionales de cualquier departamento de
finanzas. Figura como Director del Departamento: D. Luis Tarda. Se informa que
no existe ningún protocolo escrito específico en relación a los pagos y cobros. La
única persona que tiene las claves para ordenar pagos es D. Luis Tarda, sin perjuicio
de que algún miembro de su departamento pueda conocerlas.

Compliance
» Departamento de Asesoría Jurídica: encargado de todas las gestiones jurídicas de la

compañía, gestión de funciones de compliance en general y gestión con los
despachos de abogados externos. Figura como Director del Departamento: D.
Ernesto Sancho. Además de Ernesto, un becario completa la asesoría jurídica, pero
es el primero el que personalmente trata todos los temas legales y interactúa con los
despachos externos.
» Departamento de IT o informática: encargado de la gestión y apoyo de todas las

herramientas informáticas de las 4 sociedades. Prestan apoyo a todos los
trabajadores de todas las sociedades. Figura como Director del Departamento: D.
Ángel Díaz.
Cada sociedad cuenta con sus propios departamentos de compras y adquisiciones,

departamentos de marketing y publicidad y otros departamentos específicos en función
de la actividad empresarial de cada una de las compañías.
Algo de información adicional que facilita el Grupo Bami:
» Respecto a la sociedad KRANON, S.L. han ocurrido en los últimos años varios
accidentes laborales en varias construcciones que han terminado en lesiones muy
importantes para los trabajadores afectados.
» La asesoría jurídica del Grupo Bami no revisa los contenidos publicitarios que se
realizan en el Departamento de Publicidad. Es un mal histórico que ocurre desde
hace años.
» Respecto a la sociedad KRANON, S.L. nos transmiten que están construyendo más
en las zonas de Marbella y que muchos de sus compradores son personas de
nacionalidad rusa. En muchas ocasiones el pago en metálico en parte del precio se
plantea como posibilidad por parte de los compradores.
» Grupo Bami dispone de una intranet común para todos los empleados de las cuatro
sociedades que suele utilizarse para colgar documentos informativos.
» Respecto a la sociedad ATRIX, hace dos años se interpuso por un proveedor una
demanda de juicio monitorio que fue recibida en el domicilio social. Nunca se
planteó oposición y actualmente se encuentra en fase de ejecución. La directora

Compliance
general de la compañía, Marta Fernández, explica que se trata de un accidente, de

un descuido, porque el requerimiento judicial y posterior despacho de ejecución no
fue gestionado por la empresa ni la asesoría jurídica.
» Las cuatro sociedades han recibido inspecciones limitadas por parte de la Agencia
Tributaria en materia de IVA. En algún caso, las inspecciones han terminado con
sanciones por importes no excesivamente relevantes.
» Las cuatro sociedades no tienen un registro o una trazabilidad de los poderes para
actuar, hacer pagos y demás en la compañía. Cada sociedad apodera a las personas
que selecciona y luego no existe ningún seguimiento cuando esas personas salen de
la compañía de cara a revocar esos poderes.
» Según informa el Director de la asesoría jurídica que gestiona los asuntos legales en
las cuatro sociedades no existen cláusulas contractuales que puedan tener la
función de prevenir delitos.
» Ninguna de las sociedades tiene un pack de bienvenida para los empleados ni

política de regalos en funcionamiento.
» Ninguna de las sociedades dispone de un mecanismo en virtud del cual los

trabajadores puedan elevar consultar o quejas, más allá de poder mandar un email
al responsable de Recursos Humanos.
» Las sociedades no cuentan con ninguna herramienta que permita servir de

repositorio de documentación acreditativa de cumplimiento legal. Por ejemplo,
KRANON y SWIM no archivan digitalmente ningún documento acreditativo de
compliance en materia de prevención de blanqueo de capitales.

Compliance
Rúbrica
Grupo BAMI Puntuación Peso

(valor real: 2 Descripción máxima
%
puntos) (puntos)
Se articula una estructura general
Criterio 1 2 20%
completa del modelo
Se incluyen todos los elementos del
Criterio 2 modelo de prevención 2 20%
Se razona y amplia qué elemento del
Criterio 3 modelo de prevención 2 20%
Se detectan las incidencias más
Criterio 4 relevantes en relación con el modelo 2 20%
Redacción clara y directa
Criterio 5 2 20%
10 100
%
Extensión máxima: 4 páginas, fuente Georgia 11 e interlineado 1,5.

Compliance
T e st
1. La reciente reforma del Código Penal exonera la responsabilidad penal de la empresa

si:
A. El órgano de administración se configura adecuadamente.
B. Dispone de un programa de cumplimiento cuyos requisitos no están definidos.
C. Dispone de un seguro de riesgo penal.
D. Dispone de un programa de cumplimiento con determinados requisitos y
contenidos.
2. La Ley 31/2014 de modificación de la Ley de Sociedades de Capital:

A. No aborda ningún aspecto relativo a la responsabilidad de los administradores.
B. Tiene como objeto primordial la mejora de la responsabilidad social de las
empresas.
C. Impone a los administradores un específico deber de control de riesgos en la
empresa.
D. Supone un tránsito del derecho imperativo a un predomino del soft law en el
gobierno corporativo.
3. Con respecto a la responsabilidad del compliance officer, puede afirmarse que:

A. No asume directamente la posición de garante.
B. La evitación de los delitos es una de las funciones inherentes a su desempeño,
sin necesidad de que esta le sea encomendada como un deber contractual
específico.
C. Sus funciones «clásicas» son la supervisión del funcionamiento y
cumplimiento del modelo de prevención.

Compliance

A. Parte de los problemas que encara el derecho mercantil cuando regula la
responsabilidad de los administradores se comparten por el derecho penal
económico.
B. El desplazamiento del riesgo en las organizaciones es uno de los fenómenos
que puede desembocar en la denominada irresponsabilidad organizada de las
corporaciones.
C. La ley 31/2014 menciona que los fallos de gobierno corporativo son una de las
causas de la crisis económica y financiera.
5. Indica cuál de los siguientes grupos de fenómenos guarda relación con la

denominada irresponsabilidad organizada de las corporaciones:
A. Difusión y fragmentación de la información, aplazamiento del riesgo y
delegación de funciones.
B. Vinculación de la información, aplazamiento del riesgo y delegación de
funciones.
C. Difusión de la información, fragmentación del riesgo y delegación de
funciones.
D. Difusión y fragmentación de la información, desplazamiento del riesgo y
delegación de funciones.

A. A nivel internacional se advierte una creciente trascendencia de la regulación
del gobierno corporativo en las sociedades de capital.
B. La imposición a los administradores de un específico deber de control de
riesgos de la empresa permite sostener su responsabilidad, como garantes, por
los delitos de los empleados.
C. El oficial de cumplimiento (compliance officer) asume directamente la posición
de garante, al igual que los administradores.
D. Los administradores deberán tener la dedicación adecuada y aportarán las
medidas precisas para la buena dirección y el control de la sociedad.

Compliance
7. La facultad indelegable de determinar las políticas de control y gestión de riesgos y la supervisión

de los sistemas de información y control establecida en la legislación de sociedades se atribuye a:
A. La Comisión de Auditoría.
B. El Consejo de Administración. C. El
Departamento jurídico.
D. La Comisión delegada.
8. La posición de garante de los administradores:

A. Queda diluida en el trámite de delegación de funciones a un tercero. B. Deriva de
su deber de control de la compañía.
C. Queda diluida por el mero encargo de ejecución de un determinado cometido. D. Se
traslada al compliance officer en todos los casos.
9. Con respecto a la posición de garante del compliance officer, puede afirmarse que:
A. Puede asumir dicha posición contractualmente en atención a la delegación de funciones que
le opere el órgano de administración mediante contrato o acuerdo societario.
B. Se sustanciará finalmente por los tribunales en atención a la delimitación
concreta de sus funciones.
C. No la ocupará si carece de poderes ejecutivos y solo tiene capacidad de iniciativa y de
control.
10. La nueva redacción del artículo 31.bis del Código Penal:

A. Aclara que el modelo de responsabilidad penal de la empresa se basa en el defecto de
organización.
B. Configura un tipo penal autónomo para el delito de empresa.
C. Se mantiene anclada en el esquema de responsabilidad vicarial. D. A y B son
verdaderas.

Compliance
Canales de control
[11.2] Introducción
[11.3] Procesos internos de control
[11.4] Procesos de control externos
[11.5] Certificación de control
11 TEMA

Compliance
TEMA 11 – Esquema
Esquema
CANALES DE CONTROL
Procesos internos de Procesos de control

control externos Certificación de control
Control de
Control estructural
adaptación
Documentación de Control de
control responsabilidad
Control de la
Control de actuación
actividad formativa
©
Control de canal de
Presupuestos y
denuncias recursos
Control de
Investigación interna
seguimiento
Consultoría externa
Compliance
Compliance
I d e a s c l a ve
Para estudiar este tema deberás leer y comprender las ideas clave expuestas a
continuación y complementarlas con la siguiente lectura:
Pascual, A. (2016). El plan de prevención de riesgos penales y responsabilidad

corporativa (pp. 365-380). Madrid: Editorial Bosch, S.A.

Intelectual.
En el presente tema estudiaremos las ventajas y elementos básicos para la implantación

de medidas de control en el seno de la empresa u organización, aspecto que resulta
clave para que el órgano de administración cumpla con su obligación, derivada de la
actual legislación al respecto de la responsabilidad penal de la persona jurídica, relativa
al deber de control y a la actuación en materia de prevención de delitos.
11.2. Introducción
Las reformas del Código Penal del año 2010 y la posterior de 2015 han venido a
despejar todo tipo de posibles dudas al respecto de la responsabilidad penal de la
persona jurídica. La empresa u organización puede ser responsable de la comisión de
un delito por lo que cobra especial importancia el establecimiento de control sobre la
actividad de la empresa.
De esta forma los administradores adquieren el deber de vigilancia, ya sea de forma

directa según determinadas características de la empresa, o indirecta mediante un
proceso de delegación, que ha de materializarse necesariamente en el establecimiento
de un programa de prevención de riesgos penales cuya responsabilidad recae en un
órgano de cumplimiento. Parte importante del programa de cumplimiento vendrá
determinada por la implantación de medidas de control que prevean y minimicen el
riesgo de comisión de delitos.

Compliance
11.3. Procesos internos de control
El Código Penal establece la responsabilidad penal de la persona jurídica por no

establecer el debido control. Las causas que llevan al incumplimiento del mencionado
deber pueden ser tres: negligencia, imprudencia e impericia.
Así pues, los procesos de control deberán orientarse a neutralizar estas tres causas.
Control estructural
» A nivel estratégico. Establece la política de control con sus fines y objetivos.

» A nivel organizativo. Define el organigrama y asigna responsabilidades y recursos.
» A nivel de gestión y operativo. Define protocolos y actividades concretas y las
atribuye al personal de cada departamento.
Documentación de control
Si bien la actividad de Compliance tiene un eminente carácter preventivo, también es

necesario dotarla de eficacia reactiva como herramienta de defensa y justificación de la
acción de la empresa. De ahí que sea imprescindible documentar el proceso de control
para que quede trazabilidad de sus actuaciones.
Control de la actividad formativa
La formación es uno de los elementos primordiales de todo plan de prevención de

delitos. En línea con lo que se acaba de expresar, la acción formativa de la empresa con
respecto al Compliance debe quedar convenientemente registrada y documentada.
Control de canal de denuncias
El canal de denuncias, además de ser uno de los elementos obligatorios de todo plan de
prevención de delitos, supone una de sus herramientas más eficaces. Por lo tanto, una
adecuada gestión del canal, que incorpore protocolos de actuación y respuesta eficaces
deviene en materia prioritaria. En línea con lo ya expuesto, la actividad registrada por
el canal de denuncias deberá quedar correspondientemente documentada.

Compliance
Investigación interna
Las investigaciones internas van a constituir una pieza clave de los Programas de
Compliance. En ocasiones la iniciación de una investigación interna puede ser
consecuencia de una denuncia interpuesta ante el canal de denuncias de dicha
organización bien por un empleado o por terceros y en otras ocasiones la iniciación de
una investigación interna será consecuencia de otros factores. Así, por ejemplo, fruto de
alguna revisión o auditoría, puntual o periódica, realizada en la compañía por el
Compliance Officer o Departamento de Compliance y en la que este haya detectado
indicios de un posible incumplimiento de determinada normativa, regulaciones éticas
sectoriales o regulaciones éticas internas de dicha compañía (así, Código Ético interno,
una Política corporativa, algún Procedimiento interno en materia de Compliance,etc.)
Con tal finalidad, el art. 31 bis, 5, 4º del Código Penal establece la obligatoriedad de que
los empleados reporten al Dpto. de Compliance cualquier situación de incumplimiento,
al decir expresamente así:
«4.º Impondrán la obligación de informar de posibles riesgos e

incumplimientos al organismo encargado de vigilar el funcionamiento y
observancia del modelo de prevención.»
Para poder hacerse correctamente y sin riesgo de eliminar el valor probatorio de los
medios probatorios obtenidos durante la investigación interna, fundamentalmente en
vistas a iniciar posteriormente un proceso judicial de despido del empleado infractor,
se aconseja realizar conjuntamente con asesores laboralistas externos.
De especial sensibilidad será también el correcto tratamiento de los datos personales

del denunciante y del denunciado, resultado de una denuncia, para lo cual habrá que
estar a lo establecido en la normativa vigente en materia de tratamiento de datos
personales y en el caso español a las Circulares emitidas hasta la fecha por la Agencia
Española de Protección de Datos.

Compliance
11.4. Procesos de control externos
El control externo hace referencia a que el plan de prevención de delitos sea sometido a
una mirada externa y ajena a la empresa u organización. De esta forma, la mirada de un
experto totalmente alejado de la dinámica interna de la empresa y ajeno a sus conflictos
cotidianos, será muy útil para detectar deficiencias y recibir propuestas de mejora que
afianzarán la eficacia del modelo de control implantado.
Control de adaptación
Se lleva a cabo para determinar si el plan responde de forma idónea a los objetivos
planteados.
Control de responsabilidad
Se establecen unos responsables de control en cada departamento de la entidad.
Control de actuación
Supervisión de las actuaciones de cada departamento y traslado de la información

oportuna.
Presupuestos y recursos
La concreta asignación de recursos al plan de prevención de delitos supone un claro

elemento que indica el compromiso con su efectividad por parte del órgano de
administración.
Control de seguimiento
Se aplica sobre los elementos básicos del plan.
Consultoría externa
Aporta múltiples elementos positivos, todos ellos basados en el valor añadido que
supone la exhaustiva revisión de los procedimientos por parte de un ente especializado
externo.

Compliance
11.5. Certificación de control
Si bien no se trata de un requisito legal en la normativa española al respecto del

Compliance, sí es práctica habitual en otros países la existencia de oficinas de
registro de planes de prevención de delitos. El valor añadido que aporta una
certificación es clave a la hora de demostrar el compromiso con la cultura de
cumplimiento y respeto a la legalidad y constituye un elemento más de la política de
control externo.
Ahora bien, es importante señalar que la mera existencia de una certificación, ya sea
«extraoficial», esto es, expedida de parte de una entidad experta en Compliance
(despacho de abogados, consultora…) u «oficial», que proceda de un proceso de
acreditación tipo ISO, en ningún caso sirve, pos sí sola y como elemento aislado, para
acreditar que se ha cumplido con la obligación de debido control que exonera de la
responsabilidad penal a la persona jurídica. Compliance es un todo mucho más
complejo que un simple certificado.

Compliance
No dejes de leer…
Entorno de control
Armendáriz, J. (coord.) (2014). Entorno de control: siete preguntas que cualquier

Consejero debe plantearse. La fábrica del pensamiento. Instituto de auditores internos
de España.
Visión general sobre entornos de control en grandes compañías que ofrece pautas de
análisis interesantes para favorecer una estrategia de control adecuada y su
implementación en el seno de la organización.
https://auditoresinternos.es/uploads/media_items/f%C3%A1bricacontrol-
web.original.pdf
Sistemas de control interno
Ruíz, R.E. (2012). Sistemas de control interno (pp. 12-48). Universidad Nacional
Autónoma de México.
Material didáctico de Licenciatura en Contaduría de la mencionada universidad sobre

sistemas de control interno. Ofrece información interesante sobre aspectos generales
de control interno y sobre modelos de control.
Accede al documento a través del aula virtual o desde la siguiente dirección web:
http://fcasua.contad.unam.mx/apuntes/interiores/docs/2012/contaduria/4/1461.pdf

Compliance
No dejes de ver…
¿Qué es el control interno?
Autor: Universidad Simón Bolívar de Barranquilla

Año: 2017
Leonardo Pacheco Trujillo nos ofrece un resumen

muy didáctico e interesante sobre los elementos
esenciales de cualquier sistema integrado de control
interno.
https://www.youtube.com/watch?v=Rp_N22_b8uA

Compliance
A fondo
Claves para la implantación de sistemas de control interno
Blanco, J. (abril, 2008). Claves para la implantación de control interno. Estrategia

financiera, 249-2008, 22-29.
El autor reflexiona sobre los beneficios en clave estratégica de la implantación de un

sistema de control interno y de sus implicaciones en términos de ventaja competitiva,
tanto en el seno de la empresa como hacia el exterior.
Accede al artículo a través del aula virtual en virtud del artículo 32.4 de la Ley de
Bibliografía
Amat, O., Campa, F. (2013). Manual del controller. Barcelona: Profit editorial.
Barquero, M. (2013). Manual práctico de control interno. Barcelona: Profit editorial.
Usenas, R. Ó. (1999). Manual de control interno. Buenos Aires: Ediciones Macchi.

Compliance
T e st
1. La antijuricidad del delito de persona jurídica viene dada por:

A. Acción u omisión que por imprudencia leve no evita el resultado.
B. Acción u omisión que por imprudencia grave no evita el resultado.
C. Acción u omisión que por negligencia no evita el resultado.
D. B y C son ciertas.
2. Indica qué clasificación de las siguientes es correcta al respecto del análisis de la

gravedad de los delitos:
A. Por su naturaleza, comunes y específicos.
B. Por su manifestación de acción y de reacción.
C. Por su perseguibilidad, púbicos, privatizados y semiprivados.
D. Por el sujeto que los realiza, comunes y especiales.
3. Señala cuál de las siguientes actividades puede considerarse como atenuante según
lo dispuesto en el artículo 31. Bis.4 del Código Penal:
A. Haber establecido durante el juicio oral medidas eficaces para prevenir y
descubrir delitos que en el futuro pudieran cometerse.
B. Haber establecido con posterioridad al juicio oral medidas eficaces para
prevenir y descubrir delitos que en el futuro pudieran cometerse.
C. Haber establecido, antes del comienzo del juicio oral, medidas eficaces para
prevenir y descubrir delitos que en el futuro pudieran cometerse.
D. Ninguna de las anteriores es cierta.
4. Indica cuál de las siguientes afirmaciones no es cierta con respecto al deber de

vigilancia de los administradores:
A. La simple delegación no es válida si no se tienen los poderes suficientes.
B. La delegación no apta produce un efecto rebote en el delegante.
C. No es posible delegar la función de vigilancia bajo ninguna circunstancia.
D. Para ser válido, el domino sobre la vigilancia y control ha de ser real y efectivo.

Compliance
5. Al respecto del compliance officer, es correcto afirmar que:

A. Debe velar por el cumplimiento de lo dispuesto en el programa de auditoría.
B. No puede ser un órgano colegiado.
C. Es responsable de la propuesta de actualización del plan de prevención de
riesgos penales.
D. Recibe sus funciones por delegación de la asesoría jurídica.
6. El certificado de cumplimiento:
A. Es exigible por ley.
B. Constituye un elemento más para acreditar la eficacia del plan de prevención
penal.
C. Constituye por sí solo un elemento eximente de la responsabilidad penal de la
persona jurídica.
D. Solo puede ser emitido por el órgano de administración de la empresa.
7. Los tres niveles del control estructural son:

A. Estratégico, organizativo y de gestión y operativo.
B. Táctico, analítico y operacional.
C. Estratégico, analítico y de procedimiento.
D. Estratégico, analítico y operacional.
8. Señala cuál de los siguientes no forma parte de los procesos de control internos:
A. Control de formación.
B. Control de denuncias.
C. Control de investigación.
D. Control de seguimiento.
9. Indica cuál de los siguientes no forma parte de los procesos de control externos:
A. Control de responsabilidad.
B. Control de denuncias.
C. Control de actuación.
D. Consultoría externa.

Compliance
10. La consultoría externa como mecanismo de control externo: A. Objetiviza

el plan de prevención de delitos.
B. Complementa el plan de prevención de delitos.
C. Aporta seguridad al plan de prevención de delitos. D. Todas las
anteriores son ciertas.

Compliance
Los documentos de trabajo

[12.2] La lista de comprobación
[12.3] Los diagramas de flujo
[12.4] Matriz de elementos, hojas de registro y archivo
12 TEMA

Compliance
TEMA 12 – Esquema
Esquema
LOS DOCUMENTOS DE TRABAJO
La lista de Matriz de elementos,

comprobación Los diagramas de flujo hojas de registro y
archivo
Tipos de listas de Beneficios del uso de

comprobación listas de comprobación
Listas de
comprobación por Beneficios para el
riesgos auditor
©
Listas de
comprobación por Beneficios para la
departamentos entidad auditada
Listas de
comprobación por
aspectos
Compliance
Compliance
I d e a s c l a ve
Bajo, J.C. (2017). Auditoría de sistemas de gestión. Compliance (pp. 69-77). Pamplona:
Aranzadi.

Intelectual.
En el presente tema abordamos la cuestión relativa a la auditoría del modelo de

prevención de delitos, no tanto desde el planteamiento de preparar a la empresa u
organización para acometer un proceso de certificación, sino con el fin de ofrecer una
serie de nociones básicas sobre la utilidad y metodología de los procesos de análisis
interno como herramienta de gran utilidad para el control interno y para la trazabilidad
de la acción de Compliance.
12.2. La lista de comprobación
La lista de comprobación es el documento de trabajo base para el auditor, en ella se

fijan los requisitos que han de ser comprobados de acuerdo al estándar en concreto. En
muchos casos el ítem de la lista será el propio requisito transformado en pregunta
pero además, una lista de comprobación bien diseñada deberá incluir otras preguntas
que van más allá de lo meramente indicado en el requisito.
Las preguntas deben ser formuladas de tal manera que la respuesta «Sí» indique
cumplimiento y la respuesta «No» muestre incumplimiento, pero se debe añadir
además una calificación en relación al grado de cumplimiento con adjetivos del tipo:
parcial, total, satisfactorio…

Compliance
Tipos de listas de comprobación
Si bien el formato y orden de las preguntas de la lista de comprobación son factores que
corresponden al autor de la misma, existen tres sistemas habituales:
» Listas de comprobación por riesgos. Las preguntas se ordenan por grupos que
corresponden a los diferentes riesgos inherentes.
» Listas de comprobación departamentales. Las preguntas se ordenan en

relación a las distintas áreas en las que se organiza la empresa.
» Listas de comprobación por aspectos. Se agrupan las preguntas en función de

los distintos aspectos que debe cumplir el sistema.
Beneficios del uso de las listas de comprobación
» Beneficios para el auditor:
o Sirve como guía para la tarea de auditoría.

o Sirve como registro de los aspectos auditados.
o Sirve para procesos posteriores de auditoría.
» Beneficios para el auditado:
o Supone un factor de objetividad.

o Le informa de los aspectos que son o van a ser supervisados.
o Sirve como herramienta interna de control para la empresa.
12.3. Los diagramas de flujo
El diagrama de flujo es una potente herramienta de auditoría pero que requiere un

conocimiento muy profundo del sistema a auditar. Sirve para presentar una secuencia
cronológica de las distintas actividades desarrolladas. Tiene como principal ventaja
que ofrece una información muy gráfica y descriptiva pero también el gran
inconveniente de lo costoso de su elaboración.

Compliance
12.4. Matriz de elementos, hojas de registro y archivo
La matriz de elementos
Sirve para auditar el grado de implantación del sistema en cada una de sus áreas.
Las hojas de registro
Se utilizan para que el auditor tome nota de aspectos subjetivos pero que entiende son
de transcendencia para el proceso.
El archivo
Se utiliza para guardar todos los documentos generados durante el proceso de

auditoría. Más allá de la obvia necesidad de acometer esta tarea, el archivo resultará de
utilidad en caso de requerimiento judicial al respecto del modelo de Compliance y
también como herramienta de control interno y base de partida para auditorías
posteriores.

Compliance
No dejes de leer…
Las revisiones de Compliance
Casanovas, A. (2015). Las revisiones de Compliance. Blog KPMG Cumplimiento Legal.
El autor habla sobre la necesidad y utilidad de revisar el modelo de cumplimiento penal

y propone una serie de interesantes calves sobre el asunto.
https://home.kpmg.com/content/dam/kpmg/pdf/2015/11/Test_Compliance_11_revis
iones_modelo_Compliance.pdf
Marco de relaciones de auditoría interna con otras funciones de

aseguramiento
Del Olmo, O. (2013). Marco de relaciones de Auditoría interna con otras funciones de
aseguramiento. Guía práctica. Madrid: La fábrica de pensamiento. Instituto de
Auditores Internos de España.
Práctico manual sobre la función de aseguramiento, función cuyo objetivo a nivel global
es la obtención de evidencias sobre el funcionamiento de los procesos internos en
relación a la gestión de riesgos y los sistemas de control, que aporta una visión genérica
muy interesante y que resulta de aplicación a los modelos de Compliance.
https://auditoresinternos.es/uploads/media_items/fdp_aseguramiento-
dic2013.original.pdf

Compliance
No dejes de ver…
Documentando el modelo
Autor: KPMG
Año: 2017
El video trata el tema de la importancia de

documentar el modelo de Compliance y ofrece
pautas sobre cómo estructurar adecuadamente tan
importante función.
https://www.youtube.com/watch?v=DpQp9_Tm-HE

Compliance
A fondo
Manual de procedimientos de auditoría interna
Completo manual sobre la función y práctica de auditoría elaborado por la Universidad

de Buenos Aires. Aporta información de interés, en las páginas señaladas, sobre
técnicas de obtención de evidencias en auditoría y también sobre herramientas de
análisis de información.
http://www.uba.ar/download/institucional/informes/manual.pdf
Bibliografía
Sandoval, H. (2012). Introducción a la Auditoría. México D.F.: Biblioteca Digital Red

Tercer Milenio.
Santillana, J.R. (2004). Fundamentos de auditoría. Madrid: Thomson.

Compliance
T e st
1. Cuando al auditor se le solicita la realización de una auditoría lo primero que debe

conocer es:
A. La estructura del Consejo de administración.
B. Los parámetros de valoración.
C. El estándar utilizado en el diseño del sistema a auditar.
D. La guía de implementación de controles.
2. Indica cuál de las siguientes afirmaciones no es cierta con respecto al proceso de

auditoría:
A. El auditor necesita un documento de trabajo que le permita realizar su
actividad de forma sistemática.
B. Es razonable que el auditor realice la auditoría utilizando como documento de
trabajo el propio estándar.
C. El auditor debe seleccionar, en cada caso, el documento de trabajo que
considere más adecuado.
D. Existen diversos tipos de documentos de trabajo que permiten realizar la
auditoría correctamente.
3. En cuanto a la lista de comprobación, diremos que:

A. Como documento de trabajo del compliance officer, fija los requisitos del
estándar que serán auditados.
B. Con el fin de extraer las conclusiones adecuadas, las cuestiones que incluye
deben dar respuesta a aspectos generales y poco concretos.
C. No debe incluir preguntas sobre criterios que no estén claramente establecidos
en la norma.
D. En muchos casos las cuestiones incluidas en la lista son los propios requisitos
transformados en pregunta.
4. Indica cuáles de los siguientes son los distintos tipos de listas de comprobación:
A. Por riesgos, departamentales y por aspectos.
B. Por riesgos, departamentales y por intensidad.
C. Por riesgos, estructurales y por aspectos.
D. Por riesgos, por flujograma y departamentales.

Compliance
5. Las listas de comprobación por riesgos:

A. Analizan los riesgos como un todo.
B. Se centran exclusivamente en los riesgos inherentes al órgano de
administración.
C. Ordenan las preguntas en grupos que responden a los diferentes riesgos.
D. Ordenan los riesgos para evitar que se materialicen.
6. Indica cuál de los siguientes aspectos no es un beneficio para el auditado derivado

del uso de listas de comprobación:
A. Garantía de objetividad.
B. Información sobre las líneas básicas de auditoría.
C. Sirve al auditado para sus propias auditorías.
D. Constituye una guía básica para la auditoría.
7. Indica cuál de los siguientes aspectos no es un beneficio para el auditor derivado del
uso de listas de comprobación:
A. Garantía de objetividad.
B. Guía básica para la auditoría.
C. Sirve para posteriores auditorías.
D. Registro de la auditoría.
8. No es una ventaja de los diagramas de flujo el hecho de que:

A. Son muy gráficos y descriptivos.
B. Requieren un gran esfuerzo para su preparación.
C. Reflejan de forma rápida los incumplimientos del sistema.
D. Obligan a una búsqueda de evidencias lógica y sistemática.
9. La matriz de elementos por departamento:

A. Utiliza como inputs las hojas de registro.
B. Permite analizar el grado de implantación del sistema en cada uno de los
departamentos.
C. Se utiliza cuando se estructura el desarrollo de la auditoría interna de forma
departamental.
D. B y C son verdaderas.

Compliance
10. Con respecto a las hojas de registro, se puede afirmar que:

A. Se usan para recoger información de tipo más subjetivo y que debe ser tenida en cuenta en
el proceso de auditoría.
B. No existe un formato estándar para confeccionarlas.
C. Deben ser guardadas con el resto de documentos de la auditoría. D. Todas son
ciertas.

Compliance
Compliance en materia de prevención de

blanqueo de capitales y protección de datos
[13.2] El compliance en materia de prevención de blanqueo de

capitales y financiación de terrorismo
[13.3] Entorno legal nacional e internacional
[13.4] El compliance en materia de protección de datos
[13.5] Entorno legal nacional e internacional
13 TEMA

Compliance
TEMA 13 – Esquema
Esquema
Compliance prevención blanqueo de
capitales y protección de datos
Sujetos obligados según normativa Ley 3/2018 y Reglamento. Concepto

Ley 10/2010 y reglamento datos de carácter personal
Medidas diligencia: simplificada, Regulación nuevos derechos: olvido,

normal y reforzada. Análisis de riesgo Unidad
compliance portabilidad y limitación de
interno como punto de partida tratamiento
© Conservación documentación
Comunicación SEPBLAC
Manual de prevención
Identificación de clientes Nueva figura: Delegado de Protección
Órganos internos comunicación de datos
Nombramiento representante
SEPBLAC
Compliance
Compliance
I d e a s c l a ve
Para estudiar este deberás estudiar las Ideas clave que se proponen a continuación.
En el presente tema veremos de forma sencilla las cuestiones más esenciales que
afectan a las empresas en el cumplimiento legal o compliance de las obligaciones
dimanantes en materia de prevención de blanqueo de capitales y financiación del
terrorismo, así como en materia de protección de datos de carácter personal.
13.2. El compliance en materia de prevención de blanqueo de

capitales y financiación de terrorismo
Introducción
El cumplimiento legal en materia de prevención de blanqueo de capitales es una

cuestión esencial que afecta a las competencias de cualquier unidad de compliance de
una compañía que por su actividad se encuentra sujeta a las obligaciones que impone el
entorno legal sobre esta cuestión. Es imprescindible que una unidad de compliance
conozca las medidas de control que deben ejecutarse en la compañía en materia de
prevención de blanqueo.
El blanqueo de capitales puede definirse como aquella actividad que tienen

como objetivo la incorporación al tráfico económico legal de bienes que
proceden de conductas constitutivas de delito. En particular, la Ley 17/2010, de
28 de abril, de Prevención del Blanqueo de Capitales y Financiación del Terrorismo, en
su art. 1.2 considera blanqueo las siguientes actividades:
» La conversión o la transferencia de bienes, a sabiendas de que dichos bienes

proceden de una actividad delictiva o de la participación en una actividad delictiva,
con el propósito de ocultar o encubrir el origen ilícito de los bienes o de ayudar a
personas que estén implicadas a eludir las consecuencias jurídicas de sus actos.

Compliance
» La ocultación o el encubrimiento de la naturaleza, el origen, la localización, la

disposición, el movimiento o la propiedad real de bienes o derechos sobre bienes, a
sabiendas de que dichos bienes proceden de una actividad delictiva o de la
participación en una actividad delictiva.
» La adquisición, posesión o utilización de bienes, a sabiendas, en el momento de la
recepción de los mismos, de que proceden de una actividad delictiva o de la
participación en una actividad delictiva.
» La participación en alguna de las actividades mencionadas en las letras anteriores, la
asociación para cometer este tipo de actos, las tentativas de perpetrarlas y el hecho
de ayudar, instigar o aconsejar a alguien para realizarlas o facilitar su ejecución.
Se utilizan distintas expresiones para referirse al blanqueo de capitales tales como

«lavado» y su traducción a otros idiomas como al inglés money laundering tiene un
significado similar. De hecho, el término anglosajón money laundering tiene su origen
en Estados Unidos debido al modelo que usaba Al Capone a principios del siglo XX para
otorgar de apariencia legal a sus actividades delictivas de extorsión, tráfico de armas y
prostitución mediante una red de lavanderías donde se mezclaba dinero legal con
dinero procedente de estas actividades criminales.
Sujetos obligados en materia de prevención de blanqueo de capitales
Tienen la consideración de sujeto obligado las personas o entidades a las que se refieren
los artículos 2.1 y 2.5 de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de
capitales y de la financiación del terrorismo.
Asimismo, se entienden sujetas a las obligaciones establecidas en la Ley 10/2010, de 28

de abril, las personas o entidades no residentes que, a través de sucursales o agentes o
mediante prestación de servicios sin establecimiento permanente, desarrollen en
España actividades de igual naturaleza a las de las personas o entidades mencionadas
en los citados artículos.
Cuando las personas físicas actúen en calidad de empleados de una persona jurídica o
cuando le presten servicios permanentes o esporádicos, las obligaciones impuestas por
la ley recaerán sobre la persona jurídica respecto de los servicios prestados.

Compliance
Los sujetos obligados quedan sometidos, además, a las obligaciones establecidas en la

Ley 10/2010, de 28 de abril, respecto de las operaciones realizadas a través de agentes u
otras personas que actúen como mediadores o intermediarios de aquellos.
Son sujetos obligados los estipulados por la Ley (art. 2) 10/2010. Destacamos, entre
otros, los siguientes ejemplos: asesores fiscales y contables; Promotores y
Agencias Inmobiliarias; auditores de cuentas; notarios y registradores de
la propiedad, mercantiles y de bienes muebles, los casinos de juego, las
fundaciones y las asociaciones, las personas dedicas profesionalmente a la
intermediación en la concesión de préstamos o créditos.
Los sujetos obligados en materia de prevención de blanqueo de capitales deben cumplir

con una serie de obligaciones legales entre las que destacan: la diligencia debida,
las obligaciones de información y la adopción de medidas de control
interno.
La diligencia debida: medidas normales, simplificadas y reforzadas
Las obligaciones en materia de diligencia debida tienen por objeto la identificación y

conocimiento de aquellas personas físicas o jurídicas que pretendan establecer
relaciones de negocio con los sujetos obligados. Así, La Ley de Prevención del Blanqueo
de Capitales y de la Financiación del Terrorismo y su Reglamento, aprobado por
Real Decreto
304/2014, de 5 de mayo, prevén, en función del riesgo, distintos niveles de aplicación
de las medidas de diligencia debida.
En primer término, nos encontramos las medidas normales de diligencia debida

que exigen la identificación, por parte de los sujetos obligados, de quienes pretendan
establecer relaciones de negocio o intervenir en cualquier operación. Se deberá exigir la
presentación de documentos acreditativos de la identidad de los clientes, habituales o
no, en el momento de entablar relaciones de negocio o de efectuar operaciones.
Tratándose de personas físicas, estas deberán presentar documento nacional de

identidad, permiso de residencia expedido por el Ministerio de Justicia e Interior,
pasaporte o documento de identificación válido en el país de procedencia que incorpore
fotografía de su titular, todo ello sin perjuicio de la obligación que proceda de
comunicar el número de identificación fiscal (NIF) o el número de identificación de
extranjeros (NIE), según los casos, de acuerdo con las disposiciones vigentes.
Asimismo, se deberán acreditar los poderes de las personas que actúen en su nombre.

Compliance
Tratándose de personas jurídicas, presentarán documento fehaciente acreditativo de

su denominación, forma jurídica, domicilio y objeto social, sin perjuicio de la obligación
que proceda de comunicar el número de identificación fiscal (NIF). Asimismo, se
deberán acreditar los poderes de las personas que actúen en su nombre.
Cuando existan indicios o certeza de que los clientes o personas, cuya identificación
fuera preceptiva, no actúan por cuenta propia, el sujeto obligado recabará la
información precisa a fin de conocer tanto la identidad de los representantes,
apoderados y autorizados, como de las personas por cuenta de las que actúan.
Asimismo, los sujetos obligados deben identificar al titular real (entendiendo por
tal a la persona o personas físicas que, en último término, posean o controlen, directa o
indirectamente, un porcentaje superior al 25 % del capital o de los derechos de voto de
la sociedad o entidad o que a través de otros medios ejerzan el control, directo o
indirecto, de la gestión de una persona jurídica).
Los sujetos obligados deben, además, obtener información y realizar un seguimiento

continuo del propósito e índole prevista de la relación de negocios con sus clientes,
incluyendo el escrutinio de las operaciones efectuadas a lo largo de dicha relación.
En segundo término, nos encontramos las medidas simplificadas de diligencia

debida. Así pues, los sujetos obligados podrán aplicar, en los términos establecidos en
los artículos 9 y 10 de la Ley 10/2010, de 28 de abril, y en su normativa de desarrollo,
medidas simplificadas de diligencia debida respecto de aquellos clientes, productos u
operaciones que comporten un riesgo reducido de blanqueo de capitales o de
financiación del terrorismo.
En esta línea, los sujetos obligados podrán decidir si aplican una o varias de
las medidas de diligencia debida establecidas en el art. 17 del Reglamento:
(i) Comprobar la identidad del cliente o del titular real únicamente cuando se supere un
umbral cuantitativo con posterioridad al establecimiento de la relación de negocios; (ii)
reducir la periodicidad del proceso de revisión documental; (iii) reducir el seguimiento
de la relación de negocios y el escrutinio de las operaciones que no superen un umbral
cuantitativo; y (iv) no recabar información sobre la actividad profesional o empresarial
del cliente, infiriendo el propósito y naturaleza por el tipo de operaciones o relación de
negocios establecida.

Compliance
En tercer y último término, las medidas de diligencia reforzada que esencialmente

exige a los sujetos obligados aplicar medidas de refuerzo en situaciones donde el
análisis de riesgo previo conduzca a casos de un mayor riesgo.
Son supuestos de aplicación de medidas reforzadas de diligencia debida: (i) servicios de

banca privada; (ii) operaciones de envío de dinero cuyo importe, bien singular, bien
acumulado por trimestre natural supere los 3.000 euros; (iii) operaciones de cambio de
moneda extranjera cuyo importe, bien singular, bien acumulado por trimestre natural
supere los 6.000 euros; (iv) relaciones de negocios y operaciones con sociedades con
acciones al portador, que estén permitidas conforme a lo dispuesto en el artículo 4.4 de
la Ley 10/2010, de 28 de abril; y, entre otras; relaciones de negocio y operaciones con
clientes de países, territorios o jurisdicciones de riesgo, o que supongan transferencia
de fondos de o hacia tales países, territorios o jurisdicciones, incluyendo en todo caso,
aquellos países para los que el Grupo de Acción Financiera (GAFI) exija la aplicación de
medidas de diligencia reforzada.
Obligaciones de información: examen especial, comunicación por indicio y

sistemática
Los sujetos obligados examinarán con especial atención cualquier hecho u operación,
con independencia de su cuantía, que, por su naturaleza, pueda estar relacionado con el
blanqueo de capitales o la financiación del terrorismo reseñando por escrito los
resultados del examen. Asimismo, los sujetos obligados comunicarán (comunicación
por indicio), por iniciativa propia, al Sepblac cualquier operación, incluso la mera
tentativa, respecto al que exista indicio o certeza de que está relacionado con el
blanqueo de capitales o la financiación del terrorismo.
Sin perjuicio de lo establecido para aquellas operaciones sujetas a comunicación por

indicio, determinadas categorías de sujetos obligados deben comunicar mensualmente
al Sepblac ciertas operaciones (comunicación sistemática).
Medidas de control interno
Los sujetos obligados han de aprobar por escrito y aplicar políticas y procedimientos
adecuados en materia de diligencia debida, información, conservación de documentos,
control interno, evaluación y gestión de riesgos, garantía del cumplimiento de las
disposiciones pertinentes, comunicación y admisión de clientes, con objeto de prevenir

Compliance
e impedir operaciones relacionadas con el blanqueo de capitales o la financiación del

terrorismo.
Los sujetos obligados deben designar como representante ante el Sepblac a una persona
residente en España que ejerza cargo de administración o dirección de la sociedad y que
será responsable del cumplimiento de las obligaciones de información establecidas en la
Ley 10/2010, de 28 de abril.
Podemos destacar, entre otras, las siguientes medidas de control interno:
» Análisis de riesgos por tipología de clientes, países…

» Políticas y procedimientos de control tales como un plan de compliance (aquí
englobaríamos políticas de conocimiento de clientes, sistemas de alerta y otros
protocolos).
» Un manual de prevención de blanqueo: los sujetos obligados deben aprobar un
manual de prevención del blanqueo que se mantendrá actualizado, con información
completa sobre las medidas de control interno adoptadas.
» El manual estará a disposición del Sepblac para el ejercicio de sus funciones de
supervisión e inspección.
» Nombramiento de órganos de control interno o compliance officer encargado de
verificar el cumplimiento del plan de compliance.
» Los sujetos obligados, cuyo volumen de negocios anual exceda de 50 millones de
euros o cuyo balance general anual exceda de 43 millones de euros contarán,
además, con una unidad técnica para el tratamiento y análisis de la información.
La unidad técnica deberá contar con personal especializado, en dedicación
exclusiva y con formación adecuada en materia de análisis
» Conservación de documentación: los sujetos obligados conservarán los
documentos y mantendrán registros adecuados de todas las relaciones de negocio y
operaciones, nacionales e internacionales, durante un período de diez años desde la
terminación de la relación de negocio o la ejecución de la operación ocasional. Los
registros deberán permitir la reconstrucción de operaciones individuales para que
puedan surtir, si fuera necesario, efecto probatorio.
» Examen Externo: Las medidas de control interno adoptadas por los sujetos
obligados serán objeto de examen anual por un experto externo. Los resultados del
examen se consignarán en un informe escrito que describirá las medidas de control
interno existentes, valorará su eficacia operativa y propondrá, en su caso, eventuales
rectificaciones o mejoras. No obstante, en los dos años sucesivos a la emisión del

Compliance
informe, podrá ser sustituido por un informe de seguimiento, referido a la

adecuación de las medidas adoptadas para solventar las deficiencias identificadas.
» Plan de Formación: Los sujetos obligados deben adoptar medidas para que sus
empleados tengan conocimiento de las exigencias derivadas de la Ley 10/2010, de 28
de abril. A tal efecto, aprobarán un plan anual de formación en materia de
prevención del blanqueo de capitales y de la financiación del terrorismo
13.3. Entorno legal nacional e internacional
Referencia internacional y comunitaria
El referente internacional de la normativa sobre prevención de blanqueo de capitales

son las 40 recomendaciones del GAFI. En 1990, el GAFI (Grupo de Acción
Financiera Internacional), un organismo intergubernamental, elaboró las llamadas 40
recomendaciones cuyo objetivo era determinar presupuestos básicos a aplicar por los
estados de cara a mejorar sus sistemas de prevención de blanqueo de capitales. Las
recomendaciones se han ido revisando posteriormente por el GAFI en distintas
ocasiones. Durante 1991 y 1992 el GAFI amplió sus miembros de los 16 países originales
a 20 y posteriormente este número ha ido creciendo.
Otros grupos de carácter internacional que velan por el cumplimiento en materia de

prevención de blanqueo de capitales, entre otros, son los siguientes:
» Grupo de Acción Financiera del Caribe (Gafic).

» Grupo de Acción Financiera de Latinoamérica (Gafilat).
» Grupo Eurasia (EAG, por sus siglas en inglés).
» Grupo Asia-Pacífico sobre el Blanqueo de Capitales (APG, por sus siglas en inglés).
» Grupo de Acción Financiera del Medio Oriente y África del Norte (Gafimoan).
» Grupo Intergubernamental de Acción contra el Blanqueo de Capitales de África
Occidental (Giaba, por sus siglas en francés).
» Grupo de Acción contra el Blanqueo de Capitales de África Central (Gabac, por sus
siglas en francés).
» Grupo Antiblanqueo de África Oriental y Austral (ESAAMLG, por sus siglas en
inglés).
A nivel comunitario, existen varias directivas en materia de prevención de blanqueo de

capitales. Destacamos, entre otras, la Directiva 91/308/CEE (ya derogada), la Directiva

Compliance
2005/60/CE, la Directiva 2006/70/CE, el Reglamento 1889/2005, la Directiva

2015/849 (cuarta directiva) y la Directiva 2018/843 (quinta directiva) del Parlamento y
del Consejo de 30 de mayo por la que se modifica la cuarta directiva relativa a la
prevención de la utilización del sistema financiero para el blanqueo de capitales o la
financiación del terrorismo. Resultan principales novedades de la 5ª Directiva:
» Nuevos sujetos obligados a la normativa

» Criterios para la elaboración de listas de países de riesgo por la UE.
» Refuerzo y armonización a nivel de la UE de las medidas reforzadas de diligencia
debida a aplicar a relaciones de negocio y operaciones vinculadas con países de
riesgo.
» Endurecimiento de las medidas a aplicar a instrumentos de prepago.
» Registros centrales de titularidades reales.
» Refuerzo de la protección de los empleados o representantes que comuniquen
operaciones sospechosa.
Referencia nacional
A nivel español, es de obligado cumplimiento señalar la Ley 10/2010, de 28 de abril

de prevención del blanqueo de capitales y de la financiación del terrorismo.
Además, destaca el Real Decreto 304/2014, de 5 de mayo, por el que se aprueba el
Reglamento de la Ley 10/2010, de 28 de abril, de prevención del blanqueo
de capitales. Aunque existen otras normas administrativas centradas en la prevención
en esta materia, es también crucial el sistema represivo de estas conductas establecido
en el Código Penal que en el art. 301 tipifica como delito el blanqueo de
capitales.
Son actores esenciales en el panorama español en materia de prevención de blanqueo

de capitales: la Comisión de Prevención del Blanqueo de Capitales e
Infracciones Monetarias (la Comisión), que es, dependiendo de la Secretaria de
Estado de Economía, considerado el máximo responsable del desarrollo de la política
preventiva y de la lucha contra el blanqueo de capitales en España.
Es fundamental también el Servicio Ejecutivo de la Comisión (SEPBLAC) que es

un órgano independiente de la Comisión que actúa en función de la directrices
elaboradas y aprobadas por el Comité Permanente de la Comisión y del Plan Anual de
Inspección. Por último, también destaca la Secretaria de la Comisión y el Comité
de Inteligencia Financiera.

Compliance
13.4. El compliance en materia de protección de datos
Introducción
Como la prevención del blanqueo de capitales y financiación del terrorismo, el

cumplimiento en materia de protección de datos es una de las mayores preocupaciones
de cualquier unidad de compliance legal de una empresa.
La protección de las personas físicas en relación con el tratamiento de datos personales

es un derecho fundamental protegido por el artículo 18.4 de la Constitución española. A
modo introductorio, debemos sentar como base inicial que por dato de carácter
personal se entiende cualquier información referida a personas físicas (no
jurídicas) identificadas o identificables: nombre y apellidos, dirección, teléfono,
DNI, número de la seguridad social, fotografías, firmas, correos electrónicos, datos
bancarios, edad y fecha de nacimiento, sexo, nacionalidad, etc. Es decir, datos
personales son todos aquellos que permiten identificar a una determinada persona. El
nuevo Reglamento ha incluido como dato de carácter personal los datos de contacto de
las personas físicas que prestan servicios en las personas jurídicas, cargo, mail
corporativo, teléfono corporativo…
Normalmente, a la hora de mencionar estos datos se habla de ficheros, ya sean

automatizados (en soporte informático) o no automatizados (en soporte físico o papel).
Los ficheros son todo conjunto organizado de datos de carácter personal
(por ejemplo, fichero de clientes, fichero de proveedores donde figuran los datos
personales de los proveedores o fichero de currículums, etc.). El tratamiento de los
datos son operaciones y procedimientos que permitan, entre otras, la
recogida, grabación y conservación de los datos. Existe la figura de un
responsable del fichero o tratamiento de los datos. Es decir, existe la figura de un
responsable del fichero o del tratamiento (borrar de los datos) y de un
encargado del fichero o del tratamiento. Estas figuras pueden coincidir en la
misma persona.
Obligaciones
Todas aquellas personas físicas o jurídicas que tengan alguno de estos datos de carácter
personal, ya sea de clientes, usuarios o visitantes, empleados, proveedores, etc. ya sea
en soporte informático o en papel, deben cumplir las obligaciones que resumimos
brevemente a continuación:

Compliance
Calidad de los datos
Los datos de carácter personal solo se podrán recoger cuando sean adecuados y no
excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas
para las que se hayan obtenido. Obviamente, los datos no podrán usarse para
finalidades incompatibles con aquellas para las que fueron recogidos. Los datos tienen
que ser exactos, por tanto, si fuera necesario, habrá que actualizarlos. Se recoge el
deber de confidencialidad, tanto para el responsable del tratamiento de los datos como
para todo aquel que intervenga en el proceso.
Derecho de información en la recogida de datos
En los formularios, cuestionarios u otros impresos utilizados para la recogida de datos

figurarán en los mismos, en forma claramente legible, la siguiente información:
1. De la existencia de un fichero o tratamiento de datos de carácter personal, de la

finalidad de la recogida de estos y de los destinatarios de la información.
2. Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean
planteadas.
3. De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
4. De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y
oposición. Limitación al tratamiento.
5. De la identidad y dirección del responsable del tratamiento o, en su caso, de su
representante.
Consentimiento del afectado
El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco

del afectado, salvo que la ley disponga otra cosa. El consentimiento podrá ser revocado
cuando exista causa justificada para ello. En definitiva, es necesario el consentimiento
expreso del titular de los datos para poder recabarlos y usarlos.
Deber de secreto
El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de

los datos de carácter personal están obligados al secreto profesional respecto de los
mismos

Compliance
y al deber de guardarlos, obligaciones que subsistirán incluso después de finalizar sus

relaciones con el titular del fichero o, en su caso, con el responsable del mismo.
Comunicación o cesión de datos
Los datos de carácter personal solo podrán ser comunicados o cedidos a un tercero para
el cumplimiento de fines directamente relacionados con las funciones legítimas del
cedente y del cesionario con el previo consentimiento del interesado. Por lo tanto, para
ceder los datos personales, es necesario que se den los dos requisitos anteriores,
incluido el consentimiento del interesado.
Acceso a los datos por cuenta de terceros (Encargo de tratamiento)
Como indicábamos anteriormente en el ejemplo de la asesoría, es posible que un

tercero, diferente del responsable del fichero, sea el que realice el tratamiento de los
datos. En estos casos se exige que exista un contrato de encargo de tratamiento entre el
responsable (Empresa X) y el encargado del tratamiento (asesoría), en el que se indique
la forma de tratar los datos y las medidas de seguridad a adoptar.
Derechos de las personas
Los derechos de la persona sobre sus datos personales la legislación española remite a la
normativa europea. Se establecen los siguientes derechos: (i) derecho a rectificar tus
datos inexactos o incompletos; (ii) derecho de oposición al tratamiento de los datos;
(iii) derecho a suprimir tus datos si se usan para fines ilícitos o llega a término la
finalidad para la que fueron recabados; (iv) derecho a conocer para qué van a ser usados
y el plazo de uso de los mismos; (v) derecho a solicitar la suspensión del tratamiento de
tus datos, la conservación y la portabilidad de los mismos.
Seguridad de los datos
El responsable del fichero y, en su caso, el encargado del tratamiento deberán adoptar

las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de
los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no
autorizado.

Compliance
Notificación de ficheros
La inscripción de ficheros de datos de carácter personal ante la Agencia Española de

Protección de Datos (AEPD) dejó de ser obligatoria a partir del 25 de mayo de 2018,
fecha en la que el nuevo Reglamento General de Protección de Datos pasó a ser de
cumplimiento obligado. Ahora es necesario realizar un registro de actividad bajo la
responsabilidad de cada responsable de tratamiento.
En este registro se deberán recoger la naturaleza de los datos que recoge, el propósito
con el que los trata, si los transfiere o no a terceros países, con quién los comparte y las
medidas de seguridad que emplea.
13.5. Entorno legal nacional e internacional
Nivel nacional y europeo
El marco legal español lo configuraba, como punto de partida, la Ley orgánica

15/1999 de 13 de diciembre, de Protección de Datos de Carácter Personal.
No obstante, tras la entrada en vigor del Reglamento General en materia de Protección
de Datos, el pasado 25 de mayo de 2018, Reglamento (UE) 2016/679 del
Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la
protección de las personas físicas en lo que respecta al tratamiento de sus datos
personales y a la libre circulación de estos datos y por el que se deroga la Directiva
95/46/CE), muchos aspectos quedaban sin concretar y debían ser objeto de regulación
por parte de cada uno de los Estados miembros.
A tal fin, se aprobó en España el Real Decreto 5/2018, de 27 de julio, de medidas

urgentes para la adaptación del Derecho español a la normativa de la
Unión Europea en materia de protección de datos. Recientemente, dicho real
decreto ha quedado derogado mediante la aprobación de Ley Orgánica 3/2018,
de 5 de diciembre, de Protección de Datos Personales y garantía de los
derechos digitales.
Esencialmente, los cambios introducidos por el Reglamento General de la UE de

Protección de Datos (RGPD) y adaptados a ley española en virtud de la Ley Orgánica
3/2018 consisten, entre otros, en exigir al responsable del tratamiento que aplique las

Compliance
medidas técnicas y organizativas apropiadas para garantizar y poder demostrar que el

tratamiento es conforme con el Reglamento. Y el segundo, el enfoque de riesgo
recoge expresamente que las medidas dirigidas a garantizar su cumplimiento deben
tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como
el riesgo para los derechos y libertades de las personas.
Derechos
En cuanto a los derechos, en la LOPD se reconocen derechos de acceso, rectificación,

cancelación y oposición (ARCO). Con el RGPD se mantienen los derechos reconocidos
como ARCO, si bien se modifica el procedimiento de los mismos para ejercerlos
estableciéndose condiciones concretas y además se regulan nuevos derechos. Partiendo
del principio de transparencia, en el RGPD se recalca que el procedimiento debe ser
visible, accesible y sencillo. Los responsables tienen la obligación de facilitar y
garantizar a las personas interesadas el ejercicio de sus derechos, permitiendo que se
puedan presentar solicitudes mediante medios electrónicos.
El ejercicio de los derechos será gratuito salvo excepciones de solicitudes infundadas o

excesivas. El responsable deberá informar al interesado sobre las actuaciones derivadas
de su petición en el plazo de un mes que podría ampliarse hasta dos, si el responsable
decidiera no atender una solicitud deberá informar de la negativa en un plazo de un
mes. En el derecho de acceso se ha introducido una modificación que valoramos
positivamente. Se reconoce el derecho a obtener una copia de los datos personales
objeto del tratamiento, antes se facilitaban los datos de base del afectado, pero no
copias o documentos (excepto en el caso de la historia clínica).
Por otra parte, en el RGPD se regulan nuevos derechos: el derecho al olvido, el derecho
a la portabilidad de los datos y el derecho a la limitación de tratamiento.
El primero de ellos, derecho al olvido, permite al interesado, en determinados casos,

obtener sin dilación indebida del responsable del tratamiento de datos (RTD) la
supresión de los datos personales que le conciernan, lo que vendría a ser como los
derechos de oposición y cancelación reforzados y garantizados en el entorno de
Internet. Es la consecuencia de la aplicación del derecho al borrado.
Otro derecho, es el derecho a la portabilidad de los datos, que permite al interesado

recibir los datos personales que le incumban. Además, tendrá derecho a que los datos

Compliance
personales se transmitan directamente de responsable a responsable cuando sea

técnicamente posible. Este derecho facilita la contratación electrónica y el cambio de
proveedor de servicios, simplificando el traslado de los datos y garantiza que el
proveedor anterior no retenga los datos del interesado.
El derecho a la limitación de tratamiento es un nuevo derecho donde aún existen

cuestiones inconclusas que se irán perfilando. Este derecho supone que, a petición del
interesado, este último tiene la potestad de solicitar y obtener del responsable de
tratamiento de datos una limitación del tratamiento de sus datos personales cuando
concurran en inexactitud, ilicitud, oposición o reclamación. El responsable de datos
informará al interesado cuando deje de aplicar la limitación de datos. No debe
confundirse con el bloqueo de datos que existe en la legislación española.
Cambios y obligaciones de control en el seno de las empresas. El Delegado

de Protección de Datos
Con el RGPD, son distintos los cambios y las obligaciones de control que tendrán lugar
en el seno de la empresa. Entre ellas, deberán incorporar la figura del Delegado de
Protección de Datos, llevar un registro de actividades de tratamiento y realizar una
evaluación de impacto de tratamiento de datos.
El delegado de protección de datos (DPD) será el encargado de asesorar

sobre todos los asuntos en materia de protección de datos. Asimismo,
supervisará el cumplimiento de la normativa aplicable y, si se diese el caso, cooperar
con las autoridades y actuar como punto de contacto en caso de que se plantee alguna
cuestión relacionada con la privacidad.
Este punto del Reglamento europeo había creado mucha confusión ya que no quedada
claro cuándo no era obligatorio tener un DPD. La nueva Ley española 3/2018 establece
hasta 16 casos concretos en los que, de manera taxativa, se exige su existencia. Entre
otros: colegios profesionales, centros de enseñanza, establecimientos financieros de
créditos, aseguradoras, empresas de servicios de inversión…
Los Delegados tienen que ser conocidos por la Agencia de Protección de Datos española
y/ o, en su caso, las autoridades autonómicas de protección de datos. Ambos
organismos están obligados a tener una lista actualizada de esos delegados.

Compliance
Que, a su vez, están obligados a poseer una titulación universitaria que acredite los
conocimientos especializados en el derecho y la práctica en materia de protección de
datos. El delegado de protección de datos actuará como interlocutor del responsable o
encargado del tratamiento ante la Agencia Española de Protección de Datos y las
autoridades autonómicas de protección de datos.
Los registros de actividades serán realizados tanto por los responsables como por los
encargados de tratamiento, se hará por escrito y con información detallada acerca de
cada operación de tratamiento de datos que realicen; y, por último, las evaluaciones de
impacto se llevarán a cabo en los supuestos en los que un tratamiento entrañe un alto
riesgo para los derechos y libertades de las personas físicas, en especial, por el uso de
nuevas tecnologías.
El ámbito de aplicación del Reglamento, como hasta ahora, se aplicará a responsables o

encargados de tratamiento de datos establecidos en la UE y se amplía a responsables y
encargados de datos no establecidos en la UE, siempre que estos realicen tratamientos
derivados de una oferta de bienes o servicios destinados a ciudadanos de la Unión
Europea.
Sanciones
Uno de las cuestiones que está generando más debate y controversia es la diferencia
exponencial de la cuantía de las sanciones en el Reglamento. No se establecen cuantías
mínimas, las máximas son mucho más elevadas, pudiendo alcanzar los 20 millones de
euros, en función del artículo que haya sido vulnerado. Las sanciones impuestas sobre
infracciones tendrán en cuenta para la aplicación de las mismas el volumen de negocio
total anual de la empresa sancionada.
No obstante, el régimen legal español (Ley de 3/2018) en relación con las infracciones
realiza la siguiente distinción:
» Muy graves: las que supongan una vulneración sustancial del tratamiento y tengan
que ver con el uso de los datos para una finalidad diferente de la anunciada, la
omisión del deber de informar al afectado, la exigencia de un pago para poder
acceder a los datos propios almacenados, transferencia internacional de información
sin garantías… Este tipo de infracción prescribe a los 3 años.

Compliance
» Graves: las que supongan una vulneración sustancial del tratamiento y tengan que
ver con datos de un menor recabados sin consentimiento, falta de adopción de
medidas técnicas y organizativas necesarias para la efectiva protección de datos o,
por ejemplo, el incumplimiento de la obligación de nombrar responsable o
encargado de tratamiento de datos. Este tipo de infracción prescribe a los 2 años.
» Leves: las restantes que no queden contempladas en los grupos anteriores.

Prescribirán al año y se refieren a casos como la no transparencia de la información,
el incumplimiento de no informar al afectado cuando lo haya solicitado o, por
ejemplo, el incumplimiento por parte del encargado de sus obligaciones.
Además, para aplicar una u otra sanción también se tendrán en cuenta circunstancias
como el carácter continuado de la infracción, la vinculación de la actividad del infractor
con el tratamiento, la afectación a los derechos de los menores, etc.

Compliance
L o + r ecom e n d ado
No dejes de leer…
Recomendaciones sobre las medidas de control interno para la prevención

del blanqueo de capitales y de la financiación del terrorismo
El objetivo de estas recomendaciones es precisamente facilitar a los sujetos obligados el

cumplimiento de la obligación de disponer de políticas, procedimientos y manuales
adecuados en materia de prevención del blanqueo de capitales y de la financiación del
terrorismo. Las recomendaciones han sido elaboradas por el SEPBLAC.
https://www.sepblac.es/wp-
content/uploads/2018/03/recomendaciones_sobre_medidas_de_control_interno_pb
cft.pdf
Buenas prácticas: aplicación de listas de personas y entidades sujetas a

sanciones y contramedidas financieras internacionales
Se trata de un documento elaborado por el SEPBLAC que contiene una serie de buenas
prácticas y recomendaciones para la aplicación práctica de listas de sanciones y
contramedidas financieras internacionales, aplicables, tanto a los clientes, como a las
personas con las que se realizan operaciones
content/uploads/2018/03/aplicacion_de_listas_de_personas_y_entidades_sujetas_a
_sanciones_y_contramedidas_financieras_internacionales.pdf

Compliance
Corrupción en las actividades económicas internacionales. Indicadores de

riesgo
Se trata de un documento elaborado por el SEPBLAC que incluye indicadores de riesgo

con objeto de facilitar a los sujetos obligados el cumplimiento de las obligaciones que,
en relación con la corrupción en las actividades económicas internacionales, se derivan
de la Ley 10/2010, de 28 de abril.
content/uploads/2018/03/corrupcion_en_las_actividades_economicas_internacional
es_indicadores_de_riesgo.pdf
Las 40 Recomendaciones del GAFI
Es fundamental conocer las 40 recomendaciones que ha elaborado en materia de

prevención de blanqueo de capitales.
http://www.fatf-gafi.org/media/fatf/documents/recommendations/pdfs/FATF-40-
Rec-2012-Spanish.pdf
Guía sobre el uso de videocámaras para seguridad y otras finalidades
Se trata de un documento publicado por la Agencia Española de Protección de Datos

que aclara las obligaciones en materia de protección de datos que supone el uso de
videocámaras para seguridad.
https://www.aepd.es/media/guias/guia-videovigilancia.pdf

Compliance
No dejes de ver…
Conferencia sobre las claves del reglamento general de protección de datos

para abogados
El conferenciante, Pedro Rodríguez López de Lemus., habla sobre las cuestiones

prácticas más esenciales del nuevo reglamento en materia de protección de datos de
carácter personal.
https://www.youtube.com/watch?v=8Avm84y9gOk

Compliance
Bibliografía
Aliaga, J. A. (2010). Normativa Comentada de Prevención del Blanqueo de Capitales, La

Ley. Revista de Derecho Universidad Católica del Norte, 18(2), 435-439.
Galvez-Bravo, R. (2014). Los modus operandi en las operaciones de blanqueo de

capitales. Bosch.
Juanes, Á. (2017). Compliance Penal, Normas sobre prevención de blanqueo de

capitales. Madrid: Lefebvre.
Martínez-Carande, J. L. (2014). La conservación de documentos en el nuevo reglamento

de prevención del blanqueo de capitales. El artículo 29 del Real Decreto 304/2014, una
puerta al caos documental. Diario La Ley, 8354.
Morales, A. (2017). El sistema de prevención de blanqueo de capitales y financiación del

terrorismo. Diario La Ley, 8908.
Recio, M. (2017). Directrices del GT29 sobre el delegado de protección de datos: figura
clave para la responsabilidad («accountability»). Diario La Ley, 2.
Saiz-Peña, C. (2015). Compliance, Como Gestionar los riesgos normativos de la

empresa. Prevención de Blanqueo de Capitales. Aranzadi.

Compliance
T e st
1. ¿Cuál de las siguientes afirmaciones es correcta?

A. Los sujetos obligados deben conservar durante 15 años la documentación
acreditativa del cumplimiento de las medidas de prevención de blanqueo de
capitales.
B. Los sujetos obligados deben conservar durante 5 años la documentación
capitales.
C. Los sujetos obligados deben conservar durante 10 años la documentación
capitales.

A. Las medidas de control interno adoptadas por los sujetos obligados serán
objeto de examen anual por un experto externo
B. Las medidas de control interno adoptadas por los sujetos obligados serán
objeto de examen anual por un experto externo, pero en los dos años sucesivos el
informe podrá ser sustituido por un informe de seguimiento sobre deficiencias
detectadas. C. Las medidas de control interno adoptadas por los sujetos obligados
serán objeto de un examen cada dos años, sin perjuicio de la potestad discrecional
de realizarlo cada año.

A. Los sujetos obligados, cuyo volumen de negocios anual exceda de 50 millones
de euros o cuyo balance general anual exceda de 43 millones de euros, contarán,
B. No todos los sujetos obligados deben contar con una unidad técnica.
C. Los sujetos obligados, cuyo volumen de negocios anual exceda de 20 millones
de euros o cuyo balance general anual exceda de 43 millones de euros, contarán,

Compliance
A. El titular real es la persona o personas físicas que, en último término, posean o

controlen, directa o indirectamente, un porcentaje superior al 25 % del capital o
de los derechos de voto de la sociedad o entidad o que a través de otros medios
ejerzan el control, directo o indirecto, de la gestión de una persona jurídica.
B. El titular real es la persona o personas físicas que, en último término, posean o
C. El titular real es la persona o personas físicas que, en último término, posean o

A. Los sujetos obligados comunicarán (comunicación por indicio) por iniciativa
propia al Sepblac cualquier operación, solo las consumadas, respecto al que exista
indicio o certeza de que está relacionada con el blanqueo de capitales o la
B. Los sujetos obligados comunicarán (comunicación por indicio) por iniciativa
propia al Sepblac cualquier operación, incluso la mera tentativa, respecto a la que
exista indicio o certeza de que está relacionada con el blanqueo de capitales o la
C. Los sujetos obligados comunicarán (comunicación por indicio) por iniciativa
propia a la Policía cualquier operación respecto a la que exista indicio o certeza de
que está relacionada con el blanqueo de capitales o la financiación del terrorismo.

A. Son sujetos obligados en materia de prevención de blanqueo de capitales, entre
otros, los asesores fiscales y contables, promotores y agencias inmobiliarias y
auditores de cuentas.
B. Solo son sujetos obligados en materia de prevención de blanqueo de capitales
las entidades financieras y las aseguradoras.
C. Son sujetos obligados en materia de prevención de blanqueo de capitales, entre
otros, los asesores fiscales y contables, promotores y agencias inmobiliarias y
hoteles.

Compliance

A. El delegado de protección de datos no interactúa con la Agencia Española de
Protección de Datos.
B. El delegado de protección de datos actuará como interlocutor del responsable o
encargado del tratamiento ante la Agencia Española de Protección de Datos y las
autoridades autonómicas de protección de datos.
C. El delegado de protección de datos solo interactúa con las autoridades
autonómicas de protección de datos pero no con la Agencia Española de
Protección de Datos.

A. Las infracciones graves en materia de protección de datos prescribe a los 2
años. B. Las infracciones leves en materia de protección de datos prescribe a los 3
años. C. Las infracciones leves en materia de protección de datos prescriben al
año.

A. En el RGPD se regulan nuevos derechos: el derecho al olvido, el derecho a la
portabilidad de los datos y el derecho a la limitación de tratamiento.
B. En el RGPD se regulan nuevos derechos: el derecho al olvido y el derecho a la
portabilidad de los datos.
C. A y B son incorrectas.
10. Por dato de carácter personal se entiende cualquier información referida a personas
físicas y personas jurídicas identificadas o identificables: nombre y apellidos, dirección,
teléfono, DNI, número de la seguridad social, fotografías, firmas, edad y fecha de
nacimiento, sexo, nacionalidad, etc.
A. Verdadero.
B. Falso.

Temas Unificados - Compliance

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Temas Unificados - Compliance

Cargado por

Copyright:

Formatos disponibles

Entornos genéricos de cumplimiento

[1.1] ¿Cómo estudiar este tema?

[1.2] Principios y directrices de la OCDE

[1.3] Las normas de estandarización nacionales e internacionales

Principios de Gobierno Australian

Líneas directrices para ISO

1.1. ¿Cómo estudiar este tema?

Casanovas, A. (2012). Legal Compliance. Principios de cumplimiento generalmente

En el tema 1 analizaremos el origen de los principios relativos a modelos de gestión

1.2. Principios y directrices de la OCDE

El convenio fundacional de la Organización para la Cooperación y el Desarrollo

TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

Principios de Gobierno Corporativo

En 1999 emitió los denominados Principios de Gobierno Corporativo. Concebidos

No se trata de un texto específicamente centrado en Compliance, pero aborda aspectos

Líneas directrices para empresas multinacionales

Se estructuran en torno a una serie de bloques de cumplimiento normativo muy

También se señala la necesidad de que las empresas y organizaciones dispongan de

TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

Una parte esencial de cualquier sistema de cumplimiento la constituyen los

De entre todos los existentes es mayoritariamente aceptada la metodología desarrollada

» COSO. Aspectos esenciales

o Objetivos: estrategia, operaciones, información y cumplimiento.

» OCEG. Aspectos esenciales

El modelo Open Compliance and Ethics Group (OCEG) también constituye un

TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

» Recomendaciones comunes en los distintos entornos de cumplimiento

1.3. Las normas de estandarización nacionales e internacionales

ISO es el acrónimo de International Organization of Standarization. En griego

El 13 de octubre de 2016 se publicó un estándar de indudable relevancia en el ámbito

» El establecimiento, la implementación, el mantenimiento y la mejora de los

TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

» La formación como aspecto relevante para evitar riesgo.

La norma ISO 37001 está dirigida a cualquier tipo de organización, al margen de su

Finalmente, mencionar que la ISO 37001 establece un sistema de gestión

Integrada en ISO y reconocida por el Gobierno australiano. Elaboró en 2006 un

El Institut der Wirtschaftsprüfer in Deutschland aprobó en marzo de 2011 la

TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

cuenta. Constituye, por tanto, una imprescindible norma de conocimiento en la

La Assurance Standard es utilizada como herramienta para el desarrollo de encargos

La Asociación Española de Normalización y Certificación (AENOR) se constituye en

Recientemente acaba de publicar la UNE 19 601, sobre sistemas de gestión del

TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

Superestructuras de Compliance: el estándar global

Casanovas Ysla, Alain (10 de octubre de 2014). Superestructuras de Compliance: el

El autor hace referencia a las denominadas superestructuras de Compliance, sistemas

Repaso, en clave práctica, de la mencionada e importante norma UNE.

TEMA 1 – Lo + recomendado © Universidad Internacional de La Rioja (UNIR)

UNE 19 601 Compliance Penal

Modelo COSO 2013

Autor: ICADEFIS-ASF. Auditoría Superior de la

TEMA 1 – Lo + recomendado © Universidad Internacional de La Rioja (UNIR)

Baquero, M. (2013). Entornos de control. En Manual práctico de control interno.

En este capítulo se abordan los principales aspectos que integran un

OCDE (2004) Principios de gobierno Corporativo

Relación de principios aprobados por los ministros de la OCDE en 1999 y revisados en

Ayala de la Torre, J. M. (2018). Compliance. Claves Prácticas. Madrid: Editorial

Bajo Albarracín, J. C. (2017). Sistemas de gestión compliance. Guía práctica para el

TEMA 1 – + Información © Universidad Internacional de La Rioja (UNIR)

Barquero, M. (2013). Manual práctico de control interno. Teoría y aplicación práctica.

Bonatti, F. UNE 19601. Implementación y certificación de Sistemas de compliance

Dossier Compliance y Norma UNE 19601. (2017). Pamplona: Editorial Aranzadi

Mantilla, S.A. (2016). Auditoría de control interno. Bogotá. Ecoe Ediciones.

Román, S. (2018). Compliance: ISO 37001. AENOR en II Foro de Compliance del