Doble Grado en Derecho y Administración y Dirección de Empresas

TRABAJO DE FIN DE GRADO DE ADE (21973)

Curso académico 2019-2020

DISEÑO DE UN PLAN DE “COMPLIANCE” PARA

MICROEMPRESAS:
MUCHO MÁS QUE UN PROGRAMA DE PREVENCIÓN DE LA
RESPONSABILIDAD PENAL DE LA PERSONA JURÍDICA.

RICARDO LÓPEZ HERNÁNDEZ

(ricardo.lopez1997@gmail.com)

Tutor externo: Supervisor interno:

Ilmo. Sr. Josep M. Torras Coll Dr. Oriol Amat Salas
Magistrado de la Audiencia Provincial de Catedrático de Economía Financiera y
Barcelona y Profesor Asociado de Contabilidad.
Derecho Procesal Penal.
 RESUMEN

Los planes de compliance se configuran como una estrategia de defensa preventiva ante una eventual
imputación penal de la persona jurídica, la cual desde el año 2010 puede ser responsable en España
por ciertos delitos cometidos en su seno o en el marco del desarrollo de su actividad. Generalmente,
los programas de compliance se implementan en medianas y grandes empresas y se articulan alrededor
de la aportación e instauración de herramientas de detección de riesgos. Pero realmente estos planes
deberían ser mucho más que eso: deberían tender a instaurar una cultura empresarial ética y sostenible,
asimilada, compartida y practicada por cada uno de los directivos, cuadros intermedios y trabajadores.
Y, en este sentido, resultan ser igualmente necesarios y útiles para las microempresas; si bien, estos
deberán adaptarse a sus características. Además, su instauración puede entenderse como la punta de
lanza mediante la cual introducir la Responsabilidad Social Corporativa en estas organizaciones.

Palabras clave: compliance, responsabilidad penal de la persona jurídica, microempresa, guía de

implementación, behavioral compliance, responsabilidad social corporativa, ética empresarial.

ABSTRACT

Compliance plans are designed as a preventive defense strategy in the event of criminal charges
against the legal person, which since 2010 may be liable in Spain for certain crimes committed within
the company or in the course of its business. Generally, compliance programs are implemented in
medium and large companies and are structured around the provision and implementation of risk
detection tools. But actually, these plans should be much more than that: they should tend to establish
an ethical and sustainable business culture, assimilated, shared, and practiced by each of the
directors, middle managers, and workers. In this sense, they are equally necessary and useful for
micro-enterprises, although they should be adapted to their characteristics. Furthermore, their
implementation can be understood as the spearhead through which to introduce Corporate Social
Responsibility in these organizations.

Keywords: compliance, criminal liability of the legal person, micro-enterprise, implementation guide,
behavioral compliance, corporate social responsibility, business ethics.

2
 ÍNDICE

Página
INTRODUCCIÓN. 4

CAPÍTULO I: ENTENDER PARA CONVENCER. 5

1. ¿Por qué cumplir? 5
1.1. Compliance: una visión global. 5
1.2. La responsabilidad penal de la persona jurídica. 7
1.3. El cumplimiento por convicción. 10

2. Un entorno cambiante. 12
2.1. Microempresas: presente y futuro del tejido empresarial español. 12
2.2. Hacia un nuevo paradigma empresarial. 13

CAPÍTULO II: GUÍA DE IMPLEMENTACIÓN. 16

1. Descripción y funcionamiento de la organización. 16
2. La evaluación de riesgos. 17
3. Pre (potencial) incumplimiento: el plan integral de prevención. 18
3.1. Prevención específica. 18
3.2. Prevención general. 19
4. La detección. 21
5. Post-incumplimiento: el plan de mitigación. 22
6. Los canales de comunicación. 23
7. La verificación del plan. 23

CONCLUSIONES. 24

REFERENCIAS BIBLIOGRÁFICAS. 26

ANEXOS: MODELOS PARA IMPLEMENTAR EL PLAN DE COMPLIANCE. 27

I. ANEXO 1: modelo de descripción y funcionamiento de la organización. 28
II. ANEXO 2: modelo de evaluación de riesgos, prevención específica, detección y 31
plan de mitigación.
III. ANEXO 3: modelo de revisión periódica y de revisión eventual. 33
IV. ANEXO 4: modelo para el código ético y los canales de comunicación. 35
V. ANEXO 5: modelo para el régimen de incentivos y el régimen sancionador. 36

3
 INTRODUCCIÓN.

Con la reforma del Código Penal de 2010 se introdujo, por primera vez en España, la
responsabilidad penal de la persona jurídica. Este hecho ha reforzado la necesidad de que las empresas
españolas de cualquier tamaño cuenten con planes de compliance. Sin duda, las empresas de mayor
tamaño ─y, en consecuencia, con más recursos─ han sido las primeras en implementarlos. Pero los
planes de compliance son igualmente necesarios en pequeñas y medianas empresas ─PyMEs─ y, sin
embargo, a diferencia de lo que ocurre en otros países, sigue habiendo un excesivo desconocimiento
de su necesidad; y, por ello, su observancia en empresas pequeñas sigue siendo insuficiente.

Este trabajo pretende, en primer lugar, concienciar acerca de la necesidad de contar con un
programa de compliance y, en segundo lugar, ser una guía para todas aquellas microempresas que
deseen implementar un plan de este tipo en el seno de su organización. Así pues, la intención es
analizar de qué modo pueden empezar a aplicar principios de cumplimiento normativo en su día a día
a través de un programa de compliance adaptado a su tamaño, a sus necesidades y, por supuesto, a su
actividad. La implantación, sin embargo, requiere mucho más que la aportación e instauración de
meras herramientas de detección y gestión de riesgos, o de un comportamiento basado en el
cumplimiento legal aislado: se necesita el establecimiento de una cultura empresarial ética y
sostenible, asimilada, compartida y practicada por cada uno de los directivos, cuadros intermedios y
trabajadores. Este es uno de los principales aspectos en los que se enfoca el Behavioral Compliance
─o “cumplimiento conductual”─. Y, en su instauración, el hecho de que la empresa sea de pequeño
tamaño debe entenderse como una fortaleza.

La hipótesis de este trabajo es que incluso una microempresa necesita un programa de

compliance. Si bien, este debe adaptarse a sus características. Su diseño, el modo de personalizarlo, así
como la manera de incidir en un cumplimiento normativo empresarial basado en el convencimiento y
no en la imposición en este tipo de empresas es el principal objetivo de este trabajo.

Finalmente, quisiera agradecer sinceramente al Dr. Oriol Amat Salas la ayuda prestada para la
realización de este trabajo, y, por supuesto, al Ilmo. Sr. Josep Maria Torras Coll, por las importantes
enseñanzas teóricas y técnicas, pero sobre todo humanas, que me ha transmitido con su palabra y con
su ejemplo en todo momento.

Espero que resulte interesante… Y útil.

4
 CAPÍTULO I

ENTENDER PARA CONVENCER.

«No son nuestras habilidades las que muestran cómo somos, sino nuestras elecciones.»

J. K. Rowling.

1. ¿POR QUÉ CUMPLIR?

1.1. Compliance: una visión global.

La World Compliance Association (2020) define el concepto compliance ─en castellano,

cumplimiento normativo─ como “un conjunto de procedimientos y buenas prácticas adoptados por las
organizaciones para identificar y clasificar los riesgos operativos y legales a los que se enfrentan y
establecer mecanismos internos de prevención, gestión, control y reacción frente a los mismos”.

A menudo se entiende que el término compliance engloba en la práctica conceptos como el de

“gobierno empresarial” o el de “gestión de riesgos”, puesto que, si bien son diferentes, existe una
relación estrecha entre ellos. En efecto, estos tres conceptos tienen como propósito común asegurar
que la organización está bien gestionada, bajo los principios de eficacia, eficiencia y diligencia debida.
En primer lugar, el concepto de “gobierno” tiene que ver con la estructura de dirección y control
dentro de una organización, debido a la complejidad generada por la multiplicidad de acciones y
procesos que se llevan a cabo, así como con la toma de decisiones en el marco de su actividad ─que
incluye, por supuesto, decisiones sobre la gestión de riesgos y sobre el cumplimiento normativo─.

En segundo lugar, el concepto de “gestión de riesgos” hace referencia a los incidentes que
pueden resultar de exponer la actividad empresarial ante un mercado caracterizado por la
incertidumbre singular de la competencia imperfecta. Y lo cierto es que no siempre es posible mitigar
por completo el riesgo existente en cualquier operación, entre otras cosas porque muchos de los
factores que inciden en el desarrollo de la actividad empresarial son exógenos. Es por ello por lo que
el objetivo realístico de la gestión de riesgos no es tanto eliminar el riesgo asociado a una actividad
concreta, sino gestionarlo de forma que incida del modo menos perjudicial posible sobre la empresa.

Y, en tercer lugar, el concepto de “compliance” responde al esfuerzo de las organizaciones

para cumplir corporativamente con las leyes y otras normas que conforman el sistema regulatorio de
nuestro ordenamiento jurídico, pero también para cumplir con la normativa interna de buenas prácticas
que tenga la empresa en cuestión. Y ello precisa conocer qué normas resultan de aplicación a las tareas
que se realizan en el campo de actividad concreto, así como implementar los mecanismos necesarios
para prevenir infracciones, detectar incidentes ─si llegan a producirse─ y, en ese caso, establecer las
medidas necesarias para subsanarlos y para evitar que vuelvan a suceder (Miller, 2016, pp.2-3).

5
 Los tres conceptos, tomados en consideración de manera conjunta, deben tratar de impedir que
se pierda la esencia de la relación contractual fáctica o expresa que marca la razón de ser de la
organización, y por eso se dice que su propósito es asegurar que la empresa actúe debidamente.
Asimismo, se pretende, actuar y responder de la manera más adecuada para con los propietarios e
inversores. Si se analiza esta relación desde un punto de vista económico se puede apreciar que los
accionistas se comprometen a ceder parte de sus intereses y motivaciones a los directivos, para que
puedan dirigir la empresa por ellos. Por lo tanto, se basa en el concepto de separación de la propiedad
y de la gestión en una empresa. El problema surge cuando los gestores toman decisiones que están
muy alejadas de los intereses de los socios; o, dicho de otro modo, cuando emerge un problema de
alineación de intereses. Y esto resulta en una pérdida de valor para la empresa y una pérdida
irrecuperable de eficiencia cuya carga es repercutida directamente sobre los propietarios.

Este alejamiento fruto de la divergencia entre los intereses mencionados y las acciones que se
llevan a cabo genera unos costes de agencia, precisamente debido a las desviaciones en que el agente
incurre con respecto al objetivo de maximizar el bienestar del principal. Y el problema es que el
principal no siempre puede ser consciente de que el agente está actuando de un modo parcial debido a
la posible existencia de información asimétrica entre las partes. Y esto provoca que el principal no
siempre pueda ejercer una función decisiva de control sobre el agente, como debería, precisamente por
su desconocimiento de lo que está sucediendo. La búsqueda por parte del principal de la información
necesaria para tomar las decisiones que maximicen su bienestar y el de la empresa constituye una
imperfección del sistema corporativo que, como se ha indicado, genera un coste que conlleva una
pérdida de eficiencia ─debido a la necesidad de conocer las intenciones del agente cuando este toma
determinadas decisiones, y que conlleva dos costes adicionales asociados: (1) el de corrección o
alineación de intereses, también con una pérdida irrecuperable de eficiencia asociada, y (2), muy
relevante, el coste reputacional─. Pero esta situación puede ser corregida a través de un plan de
compliance, que consolide un interés mínimo común al que ambas partes deban ajustarse, basado en la
adecuación de las actuaciones empresariales al cumplimiento de la Ley.

Cada evento histórico relevante ha traído asociado un cambio en la manera de hacer las cosas,
por tal de adelantarse a los acontecimientos y evitar que vuelvan a suceder. Así, no es extraño que la
primera empresa de la historia que hizo públicas sus cuentas a sus accionistas, que fue la Compañía
Holandesa de las Indias Orientales, lo hiciese para informarles de que había quebrado. A partir de ese
momento, se estableció normativa por tal de que las empresas publicaran periódicamente sus cuentas
financieras. Y esto funcionó así durante casi 130 años, hasta que estalló el Crack de 1929. Tras esta
severa crisis, las empresas y los legisladores se dieron cuenta de que las corporaciones habían estado
publicando sus cuentas, pero que no necesariamente se había verificado que estas fueran ciertas y
precisas. Así que, nuevamente, se estableció normativa por tal de que los estados financieros de las
empresas fueran revisados por entidades externas, como son los auditores de cuentas.

6
 Pues bien, del mismo modo en que todos estos cambios en la normativa empresarial fueron
una respuesta a estos hechos históricos, se podría decir que el compliance, tal y como lo entendemos
hoy en día, a pesar de que ya existía antes, tuvo su golpe de gracia a principios del siglo XXI, cuando
escándalos corporativos como los de Enron, WorldCom o Parmalat pusieron en evidencia la necesidad
de fortalecer la regulación empresarial. Este hecho evidenció la indiscutible necesidad de contar con
police-patrols ─que debería entenderse como “patrullas de vigilancia o de control público”─, pero
esto era difícil de implementar. Primero, por la mera carencia de los recursos necesarios por parte de
las Administraciones Públicas para inspeccionar debidamente a todas las empresas cotizadas, debido a
su tamaño, y a todas las PyMEs, debido a su número; juntamente con una ausencia de determinación
real de llevarlo a cabo por parte de los gobiernos. Segundo, por la imposibilidad de mantener una
confianza sincera hacia la honestidad profesional de quien controla, y de quien controla al que controla
─y, así, sucesivamente─. Y tercero, por las consideraciones ideológicas que supondría el hecho de
admitir la necesidad de que el gobierno incida en el desarrollo del mercado.

Con todo ello, se acabó optando por diseñar un sistema de control interno que, aunque de
manera diferente, ya venía existiendo, y se trató de mejorar y de respaldar por una legislación que
forzara a las empresas a llevarlo a cabo ante la posibilidad de incurrir en responsabilidad penal.

1.2. La responsabilidad penal de la persona jurídica.

La responsabilidad penal de las personas jurídicas se introdujo en el ordenamiento jurídico

español a través del artículo 31 bis del Código Penal ─en adelante, CP─, con la Reforma del CP de
2010 ─LO 5/2010─. Anteriormente, si se cometía un presunto delito en el seno de la organización, el
responsable penal, en caso de haberlo, debía ser necesariamente la persona física que lo había
cometido. Sin embargo, tras la reforma, la comisión de este mismo delito por parte de un miembro de
la organización puede convertir a la empresa en sujeto inmediato de derecho penal y, en consecuencia,
puede ser sancionada. Por ello se dice que se ha transitado del clásico axioma «societas delinquere
non potest» ─una sociedad no puede delinquir─, hacia el nuevo aforismo «societas delinquere et
puniri potest» ─una sociedad puede delinquir y puede ser penada─ (Torras Coll, 2018, p.3).

Siguiendo la línea de lo expuesto en el apartado anterior, y en vista a las tres dificultades

identificadas para ejercer un control exhaustivo por parte del Estado sobre la adecuación normativa de
toda actividad empresarial, el legislador decidió trasladar a las empresas el deber de controlar
internamente la prevención de delitos que puedan cometerse tanto en su seno como en el marco de su
actividad, “a fin de que esta asuma una autorresponsabilidad a cambio de articular un conjunto de
circunstancias eximentes y atenuantes de la responsabilidad penal” (Torras Coll, 2018, p.42). Así lo
corrobora el Tribunal Supremo ─en adelante, TS─ en su Sentencia 516/2016, de 13 de junio.

El nacimiento de la responsabilidad penal de la persona jurídica exige tres requisitos positivos,

y un cuarto requisito negativo: (I) que se incurra en uno de los delitos expresamente previstos; (II) que

7
sea cometido por un directivo o empleado no adecuadamente controlado; (III) que reporte beneficios a
la entidad; y (IV) que no exista un plan de compliance que pueda considerarse adecuado o eficaz en un
juicio ex ante ─en un juicio ex post, siempre será ineficaz─ (del Moral García, 2017, p.12).

I. El primer requisito positivo es, como se ha indicado, que se le atribuya a la persona

jurídica uno de los siguientes delitos: tráfico ilegal de órganos humanos (156 bis.3 CP); trata de seres
humanos (177 bis.7 CP); prostitución, explotación sexual o corrupción de menores (189 bis CP);
descubrimiento y revelación de secretos y allanamiento informático (197 quinquies CP); estafas (251
bis CP); frustración de la ejecución (258 ter CP); insolvencias punibles (261 bis CP); alteración de
precios en concursos y subastas públicas (262 CP); daños informáticos (264 quater CP); contra la
propiedad intelectual e industrial, el mercado y los consumidores (288 CP); negativa a actuaciones
inspectoras (294 CP); blanqueo de capitales (302.2 CP); financiación ilegal de los partidos políticos
(304 bis.5 CP); contra la Hacienda Pública y contra la Seguridad Social (310 bis CP); contra los
derechos de los trabajadores y de los ciudadanos extranjeros (318 CP); urbanización, construcción o
edificación no autorizables (319.4 CP); contra los recursos naturales y el medio ambiente (328 CP);
relativos a la energía nuclear (343.3 CP); riesgos provocados por explosivos (348.3 CP); contra la
salud pública (366 CP), incluido el tráfico de drogas (369 bis CP); falsificación de moneda (386.5
CP); falsificación de tarjetas de crédito y débito y cheques de viaje (399 bis CP); cohecho (427 bis
CP); tráfico de influencias (430 CP); malversación (435.5 CP); delitos de odio y enaltecimiento (510
bis CP); financiación del terrorismo (576 CP), y contrabando (2.6 Ley Orgánica 12/1995).

II. El segundo requisito positivo, que hace referencia a criterios personales, contiene dos
supuestos subjetivos distintos. El primero (i), que se contempla en el art. 31 bis.1(a), consiste en que el
delito haya sido perpetrado por uno de los representantes legales o por aquellos que actuando
individualmente o como integrantes de un órgano de la persona jurídica, están autorizados para
tomar decisiones en nombre de la persona jurídica u ostentan facultades de organización y control
dentro de la misma (LO 10/1995, p.17). Se refiere a los directivos y administradores de la sociedad;
pero también a mandos intermedio, e incluso al mismo Chief Compliance Officer.

El segundo supuesto subjetivo (ii), que se contempla en el art. 31 bis.1(b), consiste en que el
delito haya sido perpetrado por quienes, estando sometidos a la autoridad de las personas físicas
mencionadas en el párrafo anterior, han podido realizar los hechos por haberse incumplido
gravemente por aquéllos los deberes de supervisión, vigilancia y control de su actividad atendidas las
concretas circunstancias del caso (LO 10/1995, p.17). Se refiere a que también los empleados pueden
provocar que la sociedad incurra en uno de los delitos tipificados a tales efectos. Pero, en este caso, tal
y como se ha indicado, se requiere, para poder atribuirle la responsabilidad penal, que se constate que
efectivamente hubo “un déficit de control sobre tal subordinado” por parte de los responsables de la
sociedad; y, además, se especifica que este ha de ser “grave”. La gravedad particular deberá apreciarla
el juez atendiendo a las circunstancias del caso concreto (del Moral García, 2017, p.12).

8
 III. El tercer requisito positivo hace referencia a que la conducta delictiva observada debe
redundar en beneficio de la sociedad, ya sea de forma directa o indirecta. Debe entenderse que este
requisito se cumple incluso cuando no haya logrado conseguirse el beneficio mencionado, siempre que
la acción ilícita perpetrada fuese tendente a conseguirlo; así como en aquellos casos en los que la
persona física haya actuado individualmente para su propio beneficio, si se puede desprender que este
beneficio personal afecta positivamente a la entidad (Circular 1/2016, pp.9-11).

IV. El cuarto requisito para el nacimiento de la responsabilidad penal de la persona

jurídica es, como se ha indicado, de ámbito negativo, y se corresponde con el hecho de no tener
implementado un plan de cumplimiento normativo, que cumpla, en virtud del art. 31 bis.5 CP, con los
siguientes requisitos: (1) identificación de las actividades en cuyo ámbito puedan ser cometidos los
delitos que deben ser prevenidos; esto incluye el efectivo diseño de medidas concretas de prevención
de la comisión de ilícitos penales; (2) establecimiento de protocolos o procedimientos que concreten el
proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución
de las mismas con relación a tales ilícitos; esto implica instaurar un modelo de organización que
concrete la cadena de mando; (3) fijación de modelos de gestión de recursos financieros adecuados
para impedir la comisión de los delitos que deben ser prevenidos; y esto incluye también la previsión
de una línea económica concreta para sufragar los costes asociados a la subsanación de los potenciales
ilícitos; (4) imposición de la obligación de informar de posibles riesgos e incumplimientos al
organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención; lo cual
supone que se deberá contar con un canal de denuncias efectivo; (5) establecimiento de un sistema
disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el
modelo; y (6) verificación periódica del modelo de cumplimiento, así como su eventual modificación
cuando se pongan de manifiesto infracciones relevantes que hagan necesaria su revisión por tal de
seguir velando efectivamente por el adecuado cumplimiento normativo (LO 10/1995, pp.17-18).

Respecto a los derechos procesales, cabe destacar que la persona jurídica goza de los mismos
que se dispensan a la persona física, que son aquellos contemplados en el art. 118.1 de la Ley de
Enjuiciamiento Criminal ─en adelante, LECrim─. Asimismo, la persona jurídica dispone de los
siguientes mecanismos de defensa: (a) la conformidad, establecida en el art. 779.1.5 LECrim, en
relación con el art. 801 de la misma Ley; (b) la eximente específica del art. 31 bis. 2-5 del CP ─punto
IV─, y (c) las atenuantes genéricas previstas en el art. 31 quater del CP (Torras Coll, 2018, p.12).

En relación con estas últimas, las circunstancias atenuantes que se prevén en el art. 31 quater
son: (i) la confesión; (ii) la colaboración en cualquier momento del proceso; (iii) la reparación o
disminución del daño causado por el delito antes del juicio oral; y, por supuesto, (iv) haber establecido
antes del juicio oral medidas eficaces para prevenir y detectar delitos que podrían cometerse en el
futuro bajo la cobertura de la persona jurídica. Sin duda, la razón de ser de esta última es conseguir
que se aplique una cultura de cumplimiento en la entidad (Torras Coll, 2018, pp.20-21).

9
 En cuanto a la cuestión acerca de quién ostenta la carga procesal de probar que se cumplen las
condiciones del art. 31 bis del CP, lo lógico es que quien alegue la eximente sea quien aporte el
programa de compliance para acreditar que concurren los presupuestos para hacerse merecedor de la
exención o atenuación de la responsabilidad penal (Torras Coll, 2018, p.33). Pero, en todo caso, tal y
como establece el TS en STS 221/2016, de 16 marzo, la carga de la prueba del delito investigado
corresponderá a la acusación. Y en caso de duda sobre la concurrencia de alguno de los cuatro
requisitos expuestos, no procede la condena a la persona jurídica (del Moral García, 2017, pp.16-19).

Por su parte, el Chief Compliance Officer, conocido por sus siglas CCO, es el encargado de
dirigir y supervisar con independencia el desarrollo del plan de compliance en la entidad. Así, su tarea
no se limita únicamente a asesorar normativamente en materia penal. Desde el punto de vista jurídico
se entiende que no alcanza la condición ni la posición de garante y, en consecuencia, no debería
responder por los delitos de la persona jurídica a la que asesora, “a excepción de connivencia activa en
la acción delictiva, ya lo fuere como inductor, cooperador necesario o como cómplice” (Torras Coll,
2018, p.23). En cualquier caso, cabe mencionar que, según el art. 31 bis.3 en las personas jurídicas de
pequeñas dimensiones, las funciones de supervisión ─del CCO─ a que se refiere la condición 2.ª del
apartado 2 podrán ser asumidas directamente por el órgano de administración. Y a estos efectos debe
entenderse que son “personas jurídicas de pequeñas dimensiones” aquéllas autorizadas a presentar la
cuenta de pérdidas y ganancias abreviada; esto es, a efectos de este trabajo, todas las microempresas.

Finalmente, deben señalarse las consecuencias penales que se prevén para la persona jurídica.
Están comprendidas en el art. 33.7 CP y son las siguientes: (1) la multa, ex art. 50 CP; (2) la
disolución de la sociedad, regulada en el art. 33.7.b) CP; (3) la suspensión de actividades, en los
términos del art. 33.7.c) CP; (4) la clausura de locales y establecimientos, según se establece en el art.
33.7.d) CP; (5) la prohibición de realizar en el futuro las actividades en cuyo ejercicio se haya
cometido, favorecido o encubierto el delito, ex art. 33.7.e) CP; (6) la inhabilitación para obtener
subvenciones y ayudas públicas para contratar con el sector público y para gozar de beneficios e
incentivos fiscales o de la Seguridad Social, en virtud del art. 33.7.f) CP; o (7) la intervención judicial
(Torras Coll, 2018, pp.24-28). Las sanciones que se dirigen contra las personas jurídicas nunca
conllevan penas privativas de libertad por razones evidentes (del Moral García, 2017, p.20).

En vistas a todo lo expuesto, sin duda, tal y como indica Bacigalupo (2019), “el
reconocimiento de la responsabilidad penal de la persona jurídica ha supuesto el mayor cambio de
paradigma experimentado por el derecho penal en las últimas décadas”.

1.3. El cumplimiento por convicción.

Del Moral García (2017, p.10) afirma que si para motivar conductas se introduce el Derecho
Penal, y de este modo se alienta la política de prevención en las empresas, “se obtendrán globalmente
muchos mejores resultados en la tarea de reducir la delincuencia en el mundo empresarial”. Y es

10
cierto, pero es insuficiente. Se ha demostrado que contar con documentos, códigos o manuales escritos
no basta, sino que se necesita incrementar los esfuerzos por integrar el cumplimiento normativo en la
cultura de la empresa y por monitorizar su desempeño. En este sentido, incluso se podría afirmar que
los programas de compliance “no tienen por objeto evitar la sanción penal de la empresa sino
promover una verdadera cultura ética empresarial” (Ministerio Fiscal, 2016, p.20). Por ello, en
palabras de este mismo Magistrado, “los planes de compliance no pueden convertirse en un mero
salvoconducto o un simple artificio exculpatorio. Es necesario demostrar que efectivamente su
aplicación conduce a generar esa cultura de cumplimiento empresarial” (del Moral García, 2017, p.21).

Y todo ello, como es obvio, ganó fuerza tras la crisis financiera que estalló a mediados del año
2008. Los riesgos asociados al incumplimiento normativo han llevado a que muchas de las grandes
empresas apliquen programas de compliance a todos los niveles, a diferencia de la mayoría de PyMEs.
El objetivo, sin duda, no ha sido otro que el de intentar «humanizar» a la persona jurídica (Torras Coll,
2018, p.5). Pero esto sólo puede lograrse creando una cultura de cumplimiento en la organización; una
cultura que demanda promover la ética, la integridad y las buenas prácticas en toda la entidad,
extendiéndose el esfuerzo de buena fe para cumplir; lo que sitúa a la función del compliance en
sintonía con la Responsabilidad Social Corporativa ─en adelante, RSC─ (Engler, 2016).

Con toda seguridad, el planteamiento de la instauración de una regulación que sancionase la

falta de ajuste del comportamiento observado a la normativa existente fue un gran paso en un primer
momento. Pero lo cierto es que, aun así, continúa siendo realmente difícil tratar de manera efectiva y
ex ante que no haya lugar para la picaresca del engaño o la maquinación, ante la imposibilidad de que
las normas existentes prevean o abarquen todo tipo, no sólo de conductas, sino también de actitudes
individuales posibles en un ámbito tan amplio y complejo como es el corporativo.

Por ello, siguiendo el enfoque del Behavoral Compliance en su vertiente más cercana a la
RSC, lo que resulta verdaderamente eficaz desde un punto de vista estratégico es implementar una
cultura de cumplimiento en las organizaciones con bases éticas sólidas, donde los directivos prediquen
con un ejemplo honesto que se propague en cascada y se proyecte sobre el resto de trabajadores de la
empresa ─Tone of the Top─; con una comunicación efectiva dentro de la entidad y con un sistema de
incentivos que favorezcan unos objetivos propuestos ─que, a su vez, deberán ser específicos,
medibles, alcanzables, relevantes y limitados en el tiempo─. O, dicho de otro modo, resulta coherente
considerar que hay que conseguir que en el ámbito empresarial las personas no actúen de modo parcial
o autointeresado, sino que, por el contrario, su comportamiento se ajuste a unas buenas prácticas; pero,
a su vez, esto debe lograrse por una convicción que se proyecte tanto a nivel personal como a nivel
corporativo, evitando tener que recurrir a la amenaza sancionadora del Derecho Penal como único
estímulo para actuar correcta, adecuada y responsablemente. Y esto no quiere decir que la normativa
en materia de cumplimiento deba desaparecer; al contrario: el hecho de implementar una cultura
empresarial basada en una ética consolidada lo que haría sería volver aún más efectiva a la normativa.

11
 2. UN ENTORNO CAMBIANTE.

2.1. Microempresas: presente y futuro del tejido empresarial español.

El término “microempresa” es fundamentalmente un concepto legal. Por ello, no es de

extrañar que aquello que se entiende por “microempresa” pueda variar de un país a otro. La definición
que se inserta en el ordenamiento jurídico español se halla en el artículo 2.3, Título I, del Anexo a la
Recomendación de la Comisión, de 6 de mayo de 2003, “sobre la definición de microempresas,
pequeñas y medianas empresas” (2003/361/CE), y se configura del siguiente modo:

En la categoría de las PYME, se define microempresa como una empresa que ocupa a menos
de 10 personas y cuyo volumen de negocios anual o cuyo balance general anual no supera los
2 millones de euros.

Por su parte, el artículo 4.1 del Real Decreto 1515/2007, de 16 de noviembre, “por el que se
aprueba el Plan General de Contabilidad de Pequeñas y Medianas Empresas y los criterios contables
específicos para microempresas” recoge las circunstancias que han de cumplir las empresas para que
puedan optar por la aplicación de los criterios contables específicos de las microempresas. Estos son:

Que […] durante dos ejercicios consecutivos reúnan, a la fecha de cierre de cada uno de
ellos, al menos dos de las siguientes circunstancias:
a) Que el total de las partidas del activo no supere el millón de euros.
b) Que el importe neto de su cifra anual de negocios no supere los dos millones de euros.
c) Que el número medio de trabajadores empleados durante el ejercicio no sea superior
a diez.

En enero de 2020 había en España 1.133.528 microempresas, lo que supone el 39,25% de la

actividad económica española ─Nº microempresas / (Nº empresas + Nº de autónomos)─ y un 86,3%
del tejido empresarial español ─Nº microempresas / Nº empresas─ (Dirección General de Industria y
de la PyME, 2020, p.1). Así, se pueden encontrar numerosas microempresas en sectores agrícolas y
ganaderos, o en pequeños talleres industriales y artesanos, entre otros, pero, sin duda, predominan en
las distintas actividades del sector terciario y, muy mayoritariamente, entre las start-ups.

Por su parte, las “microempresas” no deben confundirse con los “autónomos” ─que suponen
el 54,36% de la actividad económica española en la misma fecha─. Las tres principales diferencias
entre ambos grupos son que mientras que los autónomos tienen una personalidad física, tienen una
responsabilidad ilimitada y tributan por el Impuesto sobre la Renta de las Personas Físicas; las
microempresas tienen una personalidad jurídica, suelen tener una responsabilidad limitada ─puesto
que generalmente se constituyen mediante SL─ y tributan por el Impuesto de Sociedades.

Lo cierto es que la legislación vigente no especifica prácticamente los requisitos que deben
cumplir los planes de compliance de las microempresas, más allá de la posibilidad de asumir la

12
función de supervisión por parte del órgano de administración en aquellas empresas que pueden
formular una cuenta de pérdidas y ganancias abreviada, en virtud del art. 31 bis.3 del CP. No obstante,
las microempresas tienen personalidad jurídica y, en consecuencia, pueden ─y deberían─ desarrollar
una motivación de prevenir el ilícito penal. Y la cuestión es que ciertas microempresas pueden tener la
sensación de no disponer de los medios o recursos necesarios para afrontar la inversión que comporta
el diseño de un plan de compliance pero, en realidad, la elaboración de un programa de cumplimiento
no sólo es del todo deseable para ellas, sino que, sin duda, es totalmente viable si se está bien
asesorado. Simplemente, habrá que adaptar dicho plan a la actividad y a las necesidades concretas de
la entidad, con especial atención a sus particularidades, como ser verá en el Capítulo II.

En efecto, resulta imprescindible que se establezcan planes de compliance en microempresas

para lograr una adecuada implementación de una cultura de cumplimiento ─en los términos descritos
en el apartado 1.3─ en el tejido empresarial español ─del que, como se ha visto, las microempresas
representan un elevado porcentaje─. Y, en este proceso, debe tenerse muy en cuenta que su reducido
tamaño constituye una fortaleza a explotar para este fin por cuanto este influye de manera positiva en
la instauración de dichos planes, puesto que suelen ser entidades caracterizadas por su flexibilidad y
por una notoria capacidad de adaptación a los cambios que las convierte en organizaciones realmente
versátiles y en las que estos programas de cumplimiento adivinan una enorme proyección.

2.2. Hacia un nuevo paradigma empresarial.

El entorno empresarial se enfrenta actualmente a un cambio de paradigma, dirigido a colocar a

la persona en el centro de la actividad corporativa. Y en una sociedad del conocimiento, este nuevo
paradigma debe permitir generar valor a largo plazo (López Pérez, 2014). Para ello, se precisan tres
requisitos: (1) que el vínculo del trabajador con la empresa se desarrolle en un entorno de seguridad y
de buenas condiciones laborales; (2) que prime la libertad y la autonomía en la ejecución del trabajo
por parte de los empleados y (3) que se alineen los propósitos de los trabajadores con los de la
empresa y se reconozca el progreso y la contribución de cada cual (Pink, 2010).

Durante buena parte del siglo XX, uno de los principales objetivos que guiaban la actividad de
los directivos de Recursos Humanos era que los trabajadores obedecieran las reglas. Sin embargo, en
el siglo XXI, “el reto para estos directivos es conseguir trabajadores comprometidos con la empresa y
que aporten a esta toda su creatividad” (López Pérez, 2014). Sin duda, cada vez más empresas
comienzan a mostrar sensibilidad y responsabilidad ante el impacto que originan sus actuaciones en el
entorno social y medioambiental. Y, para ello, la obtención de beneficios deviene una condición
necesaria para el desarrollo empresarial, pero no suficiente para su adecuado y sostenible desempeño.

En efecto, este nuevo paradigma presenta un nuevo orden de prevalencia de los criterios
empleados en el proceso de toma de decisiones, y de este modo entran en juego apreciaciones tales
como el modo en el que la empresa consigue sus resultados, el impacto empresarial que se proyecta

13
sobre el entorno, o incluso nuevas concepciones del concepto de “éxito” (López Pérez, 2014). Y en el
núcleo del nuevo modelo de relaciones se encuentra no sólo la dignidad del ser humano, sino la
sostenibilidad del entorno en el que la empresa opera.

Esto conduce a la necesidad de abrir un debate social acerca de la ética de las organizaciones,
por tal de ajustar su comportamiento a los principios de honestidad y de responsabilidad. La ética de la
empresa constituye una reflexión sobre las prácticas corporativas, los valores que las inspiran y los
resultados estas que producen en el conjunto de la sociedad. Y, en este sentido, existen tres niveles que
conviene diferenciar y afrontar: (1) la ética imperante en el sistema económico; (2) la ética en las
empresas y (3) la ética de las personas que integran las empresas. Sin duda, la instauración de planes
de compliance que incorporan mecanismos de RSC y que se sigan por convicción se centra en el
segundo nivel, pero sus efectos indudablemente se proyectan también sobre el primero, por
agregación, y sobre el tercero, por concienciación y educación.

Resulta indiscutiblemente necesario el establecimiento real de una política de RSC honesta, y

esto no es sino una manera de responder para con el entorno. No cabe duda de que la concepción
actual de stakeholder ─parte interesada o grupo de interés─ no involucra únicamente a los accionistas,
como propietarios, o a proveedores, clientes, acreedores y deudores, por estar directamente afectados
en términos de interacción empresarial, sino también a todos aquellos colectivos de ámbitos que se ven
afectados por la actividad de la empresa de manera indirecta, como puede ser el conjunto de la
sociedad. En este sentido, la RSC ─que no debe confundirse con “filantropía”─ deriva del desarrollo
de la ética en las empresas, que las impulsa a compartir voluntariamente con la sociedad parte de las
ganancias obtenidas, a minimizar los impactos de su actividad y a trabajar para avanzar en la
implementación de los Derechos Humanos. Lo que caracteriza a la RSC, por lo tanto, es la intención
intrínseca que origina el desarrollo de estas prácticas, que no sólo inciden en el proceso de producción
y de gestión de la empresa, sino que, a su vez, se proyectan sobre el entorno.

Generalmente las empresas instauran una política de RSC por dos motivos: (1) para cambiar
su imagen pública después de un hecho negativo o (2) para mejorar su imagen para ganar en
competitividad. Pero debería haber una tercera, que fuese ex ante, y que se correspondiese con el
convencimiento íntimo, por parte de la dirección y la propiedad de la empresa, de guiarse por unos
principios y unos valores asimilados y compartidos en todos los niveles organizacionales, tales como
la integridad, la confianza, la justicia, el diálogo, la transparencia, la dignidad, la legalidad, el
compromiso cívico, la ecología y la responsabilidad empresarial (Fundación ÉTNOR, 2020).

Se debería, en definitiva, transitar hacia una dirección por valores, cuyos objetivos se
concretasen en (1) conseguir un equilibrio entre la salud económica, la salud emocional de los
integrantes de la empresa y la salud ética de la misma, consiguiendo así tanto una mayor felicidad
interna como una mayor contribución a la sociedad; (2) construir participativamente una idea de

14
proyecto empresarial ilusionante; (3) humanizar la organización y (4) potenciar la legitimación,
cohesión y credibilidad de los propietarios y de la dirección ante sí mismos, ante sus colaboradores y
ante el conjunto de la sociedad. Esto es, debería transitarse de la “persona jurídica” a la “persona
jurídica moral”. Y ello requiere algo más que el mero cumplimiento de la legalidad: se necesita que la
empresa sea responsable, que contemple ampliamente las consecuencias de cada decisión y que, en
consecuencia, las ajuste al respeto de los Derechos Humanos.

Y para ello se necesita proceder a la instauración de una ética en las empresas. El modo de
realizarlo debería ser, en primer lugar, la definición de un conjunto de valores y criterios de actuación,
así como su compromiso de aceptación por parte de todos los integrantes de la empresa, en aras de
detallar su responsabilidad social. Y, en segundo lugar, la creación de instrumentos que sirviesen de
referencia para evaluar y supervisar su instauración, tales como códigos éticos o de buena conducta,
que pueden perfectamente formar parte del plan de compliance, pero que, sin duda, se pueden
complementar con auditorias éticas, con formación ética para trabajadores, o con otros mecanismos
que contribuyan a favorecer su observancia, como, por ejemplo, mediante el establecimiento de
canales internos de denuncias ante el potencial incumplimiento de las buenas prácticas. Y es crucial
que las empresas apliquen estos códigos éticos con carácter universal; esto es, allá donde operen. La
instauración de una ética consolidad en la empresa aumentará la motivación por el trabajo y, en
consecuencia, la satisfacción de los trabajadores; generará cohesión por participar en una misma
cultura de empresa asumida como propia; supondrá una ventaja competitiva, y evitará todos aquellos
comportamientos considerados indeseables. Pero estos efectos positivos sólo serán alcanzables si sus
instauradores creen de verdad en esta cultura empresarial y velan por su propagación con su ejemplo.

Sin duda, la trascendencia social que tiene toda actividad empresarial en el entorno requiere,
bajos estos términos, una combinación de (a) competencia y cooperación; (b) beneficio y justicia, y (c)
crecimiento económico y crecimiento sostenible. Y, en este sentido, las microempresas, junto al resto
de PyMEs, por la flexibilidad que ofrece su relativa sencillez organizativa, por su tamaño, por la
importancia de su presencia en la actividad económica y por su cercanía a los consumidores deben ser
pequeñas pioneras en la gran transición hacia este nuevo paradigma empresarial.

En el siguiente capítulo se presenta, en forma de guía, el método de elaboración de un programa de

cumplimiento. Las indicaciones contenidas en los siguientes apartados conforman pautas y
herramientas para desarrollar una implementación adaptada a las características de las
microempresas. Y la realización de todas ellas puede llevarse a cabo con la ayuda de los formularios
previstos en el Anexo a tales efectos, puesto que constituyen, conjuntamente, una plantilla de plan de
compliance para microempresas.

15
 CAPÍTULO II:

GUÍA DE IMPLEMENTACIÓN.

«Me lo contaron y lo olvidé. Lo vi y lo entendí. Lo hice y lo aprendí.»

Confucio.

1. DESCRIPCIÓN Y FUNCIONAMIENTO DE LA ORGANIZACIÓN.

En primer lugar, es necesario detallar la configuración de la microempresa, prestando especial

atención a su estructura. Debe definirse el sector. Además, conviene especificar las áreas de actividad
existentes, así como los procesos de toma de decisiones actuales. Paralelamente a ello, se deben definir
las tareas que realizan cada uno de los integrantes. Un organigrama sería realmente útil para ilustrarlo.
Se trata, al fin y al cabo, de “conocerse a sí mismo” en el presente mediante la realización de un
examen cualitativo y global del modo de funcionar de la entidad. VÉASE ANEXO 1

En segundo lugar, debe definirse cuál es la misión, la visión y los valores de la microempresa.
Estos parámetros guiarán el proceso de elaboración de este plan de compliance, y deberán ser tenidos
en cuenta a la hora de establecer cuál es el objetivo de implementar dicho plan ─qué se pretende
conseguir─ y cómo va a llevarse esto a cabo. Habrá que analizar si los valores de la entidad que han
sido definidos son compartidos por todos los integrantes. El objetivo es que sean aceptados por todos,
con lo cual, si no han sido definidos previamente, resultaría interesante implicar tanto a trabajadores
como a propietarios ─socios─ en su proceso de determinación. En caso de divergencia, deberán
tomarse en consideración las medidas oportunas que permitan incentivar y favorecer el encaje de
aquellos discrepantes con los valores que han sido detallados para llevar adelante el proyecto. Y habrá
que ponderar si el grado de disconformidad, en caso de que exista, es parcial o totalmente contrario a
los valores, puesto que, ante todo, si se pretende instaurar una cultura ética duradera debe evitarse que
una discordancia incida negativamente en el desarrollo ordinario deseado de la propia actividad.

En tercer lugar, deberá señalarse a la persona que supervisará el funcionamiento y el

cumplimiento del modelo de compliance. Este deberá tener iniciativa en este sentido, y autonomía en
su funcionamiento en aras de controlar y comprobar la eficacia del plan, tal y como requiere el art. 31
bis.2.2.ª del CP. Y, en virtud del art. 31 bis.3, al tratarse de una microempresa, estas tareas “podrán ser
asumidas directamente por el órgano de administración”. Con lo cual, tanto el propietario como el
director por designación expresa o de facto podrán ostentar las funciones de CCO, sin perjuicio de que
se decida, en función de las circunstancias específicas del caso concreto, basándose en criterios de
necesidad y adecuación, que sea otro integrante de la empresa quien deba asumir dicha labor.
Finalmente, se debería incluir un análisis del entorno en el que opera la entidad, valorando las
debilidades y fortalezas, a nivel interno, así como las amenazas y oportunidades, a nivel externo.

16
 2. LA EVALUACIÓN DE RIESGOS.

Este punto consiste en analizar cada tarea ─o proceso─ llevado a cabo en el seno de la
microempresa desde un punto de vista crítico: se trata de realizar un mapa de riesgos; esto es, de
identificar exhaustivamente los potenciales riesgos asociados a cada una de ellas. Es tarea del Chief
Compliance Officer llevar a cabo este proceso con el objetivo de diseñar aquellos mecanismos de
control que resulten necesarios para prevenir a la organización de la comisión inintencionada de ellos,
asignando los recursos que se precisen a aquellas actividades que conlleven un mayor riesgo. Por
supuesto, el supervisor de este plan de compliance puede, al igual que sucede con empresas de mayor
tamaño, buscar ayuda externa para ello. VÉASE ANEXO 2

En primer lugar, debe describirse, para cada riesgo identificado, en qué consiste éste, y cuál
sería su consecuencia, en caso de que éste tuviera lugar. Y debe asignarse (a) una probabilidad al
hecho de que ocurra o no. O, dicho de otro modo, debe considerarse ¿qué probabilidad hay de que
suceda este riesgo? Debería escogerse una de entre las siguientes probabilidades cualitativas, siendo
ciertamente importante ser realista y prudente en la elección: (1) improbable; (2) poco probable; (3)
probable, y (4) muy probable. Y, paralelamente, habrá que identificar (b) cuán elevada es la gravedad
de dicho riesgo en caso de cometerse. Para ello, deberían contemplarse los siguientes parámetros
cualitativos: (1) leve; (2) medio; (3) grave, y (4) muy grave. En la tercera leyenda del Anexo 2 puede
consultarse el “riesgo actual estimado” hallando la casilla que corresponda a la intersección de ambos
parámetros identificados ─en (a) y (b)─. Además, deberá identificarse y hacerse constar en qué delito
puede incurrir la microempresa en caso de que se manifieste este riesgo contemplado.

Sin duda, resulta imprescindible contar para ello con la colaboración del trabajador/a a cargo
de quien normalmente está dicha tarea o proceso, puesto que al realizarlas habitualmente, no sólo se
ven directamente implicados/as en ellos, sino que además son quienes mejor conocen la realidad
asociada a su práctica diaria. Con lo cual, su conocimiento resulta de gran interés y valor.

Y, en segundo lugar, se debe considerar qué mecanismos de control existen actualmente para
evitar los riesgos potenciales que han sido identificados ─si es que se han previsto anteriormente tales
mecanismos─, así como con qué frecuencia se ejercen. Habiendo tomado esto en consideración, se
debe establecer un “objetivo de riesgo que alcanzar”; esto es, indicar una categoría de riesgo de entre
las previstas en la tercera leyenda del Anexo 2, tomando en consideración que la gravedad del riesgo
en caso de cometerse difícilmente podrá reducirse, puesto que es algo intrínseco; pero que, por el
contrario, la empresa sí que puede incidir activamente en el grado de probabilidad de que este riesgo
ocurra, diseñando nuevos controles específicos, como se verá en el apartado 3 de esta guía. El nivel de
riesgo que se asume como objetivo se determinará mediante la intersección de los parámetros
considerados, tal y como se ha indicado anteriormente para encontrar el “riesgo actual estimado”. Una
correcta efectuación del mapa de riesgos resulta imprescindible para garantizar la eficacia del plan.

17
 3. PRE (POTENCIAL) INCUMPLIMIENTO: EL PLAN INTEGRAL DE PREVENCIÓN.

Un plan integral de prevención debe abarcar mucho más que los meros riesgos asociados a
tareas o procesos, como los que han sido identificados previamente. Como se ha indicado en el
Capítulo I, la implementación de un programa de compliance requiere no solamente la aportación e
instauración de herramientas de detección y gestión de riesgos, sino que, sin duda, se necesita el
establecimiento de una cultura empresarial ética. En este sentido, la “prevención específica” hace
referencia al adecuado tratamiento que debe darse a los riesgos que se han contemplado en el apartado
anterior, y la “prevención general” hace referencia a todas aquellas medidas que previenen riesgos
indirectamente y que, por su esencia, contribuyen a la creación de un compromiso ético y sostenible de
cumplimiento corporativo.

3.1. Prevención específica.

A mayor “riesgo actual estimado” de una tarea o proceso, o a mayor diferencia entre el “riesgo
actual estimado” y el “objetivo de riesgo” en el mapa de riesgos, mayor relevancia deberá tener en el
momento de instaurar procesos de control, puesto que su potencial impacto en la empresa será más
perjudicial, ya sea por su mayor probabilidad de que ocurra o por su mayor gravedad intrínseca.

Por ello, habiendo detectado los riesgos, en los términos indicados en el apartado anterior,
procede prestar especial atención al tipo de control que requiere el riesgo en cuestión, entendido esto
como un plan de acción. En primer lugar, conviene considerar cuáles son los mecanismos que mejor se
ajustan a los riesgos identificados en términos de idoneidad en aras de alcanzar la eficacia de su
gestión. Para ello, deberá realizarse una valoración crítica y honesta del rendimiento de aquellos
mecanismos que se han venido observando con anterioridad, si es que han existido. Deberán valorarse
sus puntos débiles y sus puntos fuertes. La intención debe ser el establecimiento, en segundo lugar, de
unos controles que mejoren los puntos débiles y, a su vez, refuercen los puntos fuertes. Y esto puede
llevarse a cabo (1) mediante la mejora de los ya existentes, (2) mediante su sustitución por otros
mecanismos nuevos, o (3) combinando los anteriores con otros nuevamente previstos. Además, deberá
concretarse en qué van a consistir, cómo se van a llevar a cabo, así como con qué frecuencia. Los
controles y sistemas de vigilancia para gestionar dichos riesgos deberán detallarse en un lenguaje claro
y preciso, y deberán ser conocidos por todos los integrantes de la empresa. VÉASE ANEXO 2

Y habiendo concretado cómo reducir el “riesgo actual estimado” y el nuevo modo de proceder
para evitar que estos tengan lugar, debe volver a definirse el riesgo asociado a dicha tarea o proceso.
En este caso, se denominará “riesgo esperado”. El modo de determinarlo se hará mediante la
intersección de los parámetros “probabilidad del riesgo” y “gravedad en caso de cometerse”, previstos
en la tercera leyenda del Anexo 2, usados anteriormente. La metodología operativa de este sistema de
detección y gestión del riesgo ha sido inspirada en la prevista en World Compliance Association, 2019;
si bien, esta ha sido simplificada y adaptada a las necesidades que puede tener una microempresa.

18
 3.2. Prevención general.

El enfoque de la prevención general es eminentemente conductual. Por ello, conviene

puntualizar unas recomendaciones actitudinales que deben seguir los trabajadores, pero que, sin duda,
deben incentivarse y motivarse por parte de la dirección de la microempresa. En primer lugar, se
deben examinar los efectos que se derivan de la aversión a perder que objetivamente toda persona, en
mayor o menor medida, experimenta en situaciones de riesgo. Atendiendo a la Teoría Prospectiva
desarrollada por Kahneman y Tversky en el año 1979, las personas se vuelven más arriesgadas cuando
se enfrentan a la amenaza de pérdida de lo que tienen, en comparación con cuando se enfrentan a la
oportunidad de ganar algo de igual valor (Kahneman & Tversky, 1979). Así pues, no alcanzar las
expectativas suele ser procesado como un riesgo de pérdida; y, ante esta situación, psicológicamente
existe la posibilidad de que la persona tienda a realizar actos que en otra situación no hubiera llevado a
cabo, en aras de conseguir los objetivos en cuestión. Por ello, conviene ser conocedor del hecho de que
los comportamientos no deseados son más propensos a observarse cuando a las personas se les
plantean objetivos que están fuera de su alcance, o que realmente son muy difíciles de lograr.

En consecuencia, es necesario que todos los que toman decisiones en la práctica diaria
conozcan este hecho y que, por tanto, se cercioren de que los objetivos planteados ─en forma de tareas
a realizar o actividades a encomendar─ se ajusten a las características SMART ─específicos,
medibles, alcanzables, relevantes y limitados en el tiempo, por sus siglas en inglés─ por tal de que se
cree una dinámica de funcionamiento realista y evitar así incentivar indirecta e incluso
involuntariamente situaciones que provocan actitudes no deseadas. Esto es, en palabras de Rick y
Loewenstein (2008), “hay que evitar que los trabajadores se encuentren en un agujero del que
perciban que el comportamiento deshonesto proporciona el único medio aparente de escape”.

Siguiendo esta línea de análisis conductual en el ámbito empresarial, Langevoort (2015)

identificó una serie de elementos que favorecen la aparición de conductas deshonestas que, del mismo
modo, conviene que sean conocidas por la dirección de la microempresa a fin de crear un clima
empresarial que las impida o que, como mínimo, dificulte activamente su aparición, tales como,
primero, los conflictos de intereses. Debe ponerse especial énfasis en la alineación de los intereses de
los trabajadores con los de la microempresa a fin de evitar comportamientos oportunistas. Segundo, las
condiciones laborales. Uno de los puntos que trata Langevoort es el hallazgo de que “cognitivamente,
ser ético es un trabajo duro”, y que es más probable que aparezcan comportamientos indeseados en
situaciones de agotamiento o de debilidad. En consecuencia, la dirección, en aras de proteger una
cultura ética de comportamiento en el seno de la organización, debe velar por el bienestar de sus
trabajadores, evitando situaciones que les provoquen estrés o cansancio, o bien compensándoles tras
estas, en caso de que realmente sean difíciles de salvar. Tercero, “la sobreponderación de los
beneficios presentes sobre los costos futuros”. Debería establecerse un sistema de incentivos que
contrapesara a las motivaciones intrínsecas de actuar oportunistamente en el presente. Cuarto, lo que

19
denomina “Pendientes Resbaladizas” ─en inglés, “Slippery Slopes”─; y quinto, muy relacionado, el
comportamiento por imitación. En relación con el primer concepto, Langevoort establece que, desde
un punto de vista psicológico, una persona es más propensa a actuar deshonestamente cuando ya ha
actuado deshonestamente en el pasado. Y, respecto del segundo, indica que “el engaño es contagioso”,
especialmente si de ello se derivan una serie de beneficios evidentes para el resto de trabajadores, y si
no se tiene una ética personal sólida. Con lo cual, la dirección debería ser contundente ante el primer
indicio de observación de un comportamiento indeseado, y tratar de evitar actitudes de cierta pasividad
o en las que se manifieste directa o indirectamente una apariencia de ausencia de desaceptación que,
sin duda, no impedirían concluyentemente que volviesen a observarse en el futuro. Y sexto, la
competencia y la competitividad. Se ha demostrado que los comportamientos deshonestos son más
frecuentes en situaciones de intensa competencia. Con lo cual, debería tender a crearse un ambiente
empresarial que primarse e incentivase activa y conscientemente la cooperación. VÉASE ANEXO 4

Por otro lado, la dirección de la microempresa deberá conocer la Teoría Bifactorial de

Herzberg, que establece que existen dos tipos de factores en relación con la motivación del trabajador:
los factores higiénicos ─o extrínsecos─ y los factores motivacionales ─o intrínsecos─. Los primeros
son aquellos que cuando están no motivan especialmente ─o cuya motivación es meramente
temporal─, pero que, sin duda, su ausencia desmotiva; como, por ejemplo, el sueldo, la relación
cordial con los compañeros, el entorno físico del trabajo, la higiene del espacio en el que se trabaja,
etc. Y, por su parte, los segundos son aquellos que, cuando están, motivan realmente, tales como la
autonomía en el trabajo, el propósito personal, el reconocimiento, la responsabilidad, etc (Herzberg
et al., 1959). La dirección de la microempresa debería potenciar los factores motivacionales en el
desarrollo diario de su actividad empresarial y, a la vez, asegurar que los factores higiénicos se
estabilicen y consoliden en un mínimo prudente y sostenido en el tiempo que no desmotive a los
trabajadores. Un trabajador motivado es más difícil que cometa actos deshonestos, indeseados por la
empresa, puesto que aumenta su nivel de implicación en el proyecto empresarial, en todos los sentidos,
incluido el de adecuación ética de su comportamiento. VÉASE ANEXO 5

Por ello, resulta necesario que se establezca una cultura de empresa basada en unas prácticas
éticas que deben ser conocidas, asimiladas, interiorizadas y compartidas por todos y cada uno de los
integrantes. Y para lograr esto se debe establecer, primero, un código ético de la microempresa, que
debe ser sintético y fácil de entender. Segundo, se debe definir cuál será la política de empresa; esto
es, cómo se ajustarán las tareas y actividades diarias al código ético, en relación con el cumplimiento.
Tercero, se deberá diseñar un régimen de incentivos y un régimen sancionador alineados con la
política de empresa y con el código ético instaurado, a fin de motivar que las conductas de los
integrantes de la microempresa se ajusten a las buenas prácticas esperadas y que permitan, en primer
lugar, prevenir riesgos e incumplimientos ─internos y externos─; pero también, en segundo lugar,
premiar a los que adecúan su comportamiento a dichas prácticas ─como el aumento del días de

20
vacaciones al año, el establecimiento de una prima salarial puntual, el reconocimiento público y en la
organización, mejoras en el espacio, entre otros─ y sancionar toda actividad o modo de trabajo que se
desvíe de los estándares éticos previstos. Y en este sentido sería realmente efectivo que se planificase
algún tipo de formación o asesoramiento a los trabajadores ─e incluso a la dirección, si es necesario─
que les permita conocer en detalle de qué trata la nueva política de empresa, cómo se estructura el
código ético y cómo adecuar sus respectivas tareas y actividades a este nuevo enfoque empresarial.

Es imprescindible que en una microempresa haya cohesión ética para que el plan de
compliance sea realmente eficaz. Se dice que “la gente hace trampas menos de lo que podría, pero
más de lo que debería” (Engler, 2016). Sin duda, la prevención general consiste en identificar qué
provoca estos comportamientos indeseados, por tal de adelantarse y evitar que puedan desembocar en
situaciones indeseadas, por un lado, y, por otro, conseguir que la adecuación ética se haga por
convicción y no por imposición; lo cual resulta imprescindible en un plan integral de prevención.

4. LA DETECCIÓN.

La detección se basa en la operatividad de los nuevos controles previstos en la fase de

“evaluación de riesgos” y de “prevención específica”, que pueden hallarse en el Anexo 2. En este
sentido, la principal función que le corresponde a esta fase es la de identificar tanto un riesgo en
concreto como el surgimiento de una situación que conlleve un riesgo asociado, por tal de que el
personal de la microempresa tenga conocimiento de ello y pueda actuar debidamente en consecuencia.

Para ello es imprescindible que la microempresa se plantee: ¿cómo se va a poder saber si ha

habido un incumplimiento? Está claro que los controles son necesarios para prevenir la aparición de
situaciones de riesgo, pero también sirven para detectar cuándo un proceso, tarea o actividad no se ha
ejecutado correctamente. Con lo cual, la principal característica de la “detección” respecto de la fase
de “prevención específica” es que no se trata tanto de instaurar mecanismos de control, sino de
verificar que estos son realmente efectivos en la práctica diaria. Y para ello es necesaria la
monitorización de los controles en aras de conocer si estos están siendo eficaces. VÉASE ANEXO 2

Los controles pueden ser preventivos y correctivos, pero también detectivos. Es importante
incidir también en estos últimos, puesto que serán los que, en última instancia, proporcionarán aviso a
la microempresa de que ha surgido un riesgo. Por ello, se requiere también que se establezca con qué
frecuencia se van a desarrollar estos controles preventivos: ocasional, aleatoria, periódica, permanente,
etc. Sin duda, interesa detectar todo riesgo tan pronto como sea posible, a fin de reducir el impacto que
pueda tener y prevenir peores consecuencias futuras. El trabajador encargado del control de la
actividad en la que surge el riesgo, que puede ─o no─ coincidir con el trabajador encargado de realizar
dicha tarea, deberá comunicar al CCO y a la dirección de la microempresa ─en caso de que estos no
coincidan─ el surgimiento del problema. Y, a su vez, aquél que haya asumido la función de CCO, con
la asistencia del trabajador en cuestión, deberá emprender el plan de mitigación para resolverlo.

21
 5. POST-INCUMPLIMIENTO: EL PLAN DE MITIGACIÓN.

El plan de mitigación tiene como objetivo resolver el problema que ha sido detectado,
iniciando un plan de acción encaminado tanto a subsanarlo lo más rápida y efectivamente posible
como a establecer los medios y mecanismos suficientes para evitar su repetición; y, a su vez, impedir
que este influya negativamente en otros sectores o que repercuta directamente sobre los clientes.

El modo en que la empresa tenga previsto actuar cuando surja una situación de riesgo debe
plasmarse en un documento escrito, que constituirá, en sí, el “plan de mitigación” del programa de
compliance asociado a un riesgo previamente detectado. Para ello, deberían haberse detallado las
distintas medidas a adoptar según el riesgo y la tarea o proceso de que se trate, que debería incluir, en
cualquier caso (a) qué se va a hacer (b) quién lo va a hacer y (c) cómo lo va a hacer. En cierto modo, el
plan de mitigación funciona como un cortafuegos a los riesgos que puedan surgir. VÉASE ANEXO 2

Por otro lado, es importante que la microempresa sea consciente de que no siempre es posible
eliminar o minimizar el impacto del riesgo que ha tenido lugar o del incumplimiento observado. Para
esos casos, convendría valorar con anterioridad la utilidad de contratar seguros que, a pesar de que no
acaben con el daño, permitan suavizar el impacto con el que el daño repercuta en la empresa
─generalmente, a nivel económico─. Sin duda, también debe contemplarse la posibilidad de que (a) el
riesgo surgido no hubiese sido contemplado previamente en el plan específico de prevención; (b) el
mecanismo de control previsto no haya funcionado; (c) que los sistemas de detección no hayan sido
eficaces, o (d) que se haya resuelto el problema a través de unos mecanismos no previstos inicialmente
en el plan. Se debe tener en cuenta que el plan de compliance no es algo estático, sino dinámico y, en
consecuencia, algo que está sujeto a constante modificación y mejora. Por ello, es realmente
importante realizar una revisión del protocolo de respuesta tras cada problema detectado. Se deberían
identificar cuáles han sido los puntos fuertes y débiles ─qué ha funcionado y qué no─ y modificar el
Anexo 2. Para su revisión, puede usarse el formulario previsto en el Anexo 3. VÉASE ANEXO 3

En suma, el proceso de respuesta ante la detección de un riesgo o un incumplimiento debería

ser: (1) comunicarlo a los responsables de la microempresa; (2) iniciar el plan de mitigación previsto,
aunque hay margen de improvisación para adaptarlo a las circunstancias concretas, y adoptar toda
medida necesaria para reparar, subsanar o disminuir el daño causado; (3) analizar las causas por las
que no se ha podido prevenir o evitar el problema y realizar una revisión del plan de compliance,
incorporando lo sucedido en el plan de control, si este no se había previsto; (4) reforzar las medidas de
prevención en el ámbito de que se trate, y (5) emprender medidas disciplinarias, si fuera necesario. La
Fiscalía General indica que tanto la evitación en el pasado de otros delitos como la reacción de la
empresa frente a la aparición de la conducta delictiva son pautas para la evaluación de la exención o
atenuación de la responsabilidad penal de la persona jurídica; con lo cual, conviene seguir este proceso
(del Moral García, 2017, p.21).

22
 6. LOS CANALES DE COMUNICACIÓN.

Se entiende por canal de comunicación o de denuncias todo medio físico o informático

previsto por la microempresa, a disposición de todo aquél que tenga relación con la entidad ─que
generalmente serán trabajadores, pero que, sin duda, no excluye a directivos, clientes, proveedores,
colaboradores o subcontratados─, para que pueda tanto realizar consultas o sugerencias sobre el plan
de cumplimiento instaurado, como también canalizar información que pueda tener acerca de la
existencia de prácticas contrarias al código ético o a la cultura o política de empresa, a fin de ponerlas
en conocimiento de aquél que ostente la función de CCO, o incluso de la justicia, si fuera necesario.

Se trata de uno de los requisitos que establece el art. 31 bis.5 CP para poder optar a la
exención de responsabilidad; y, en este sentido, se requiere que el hecho de informar, en caso de tener
conocimiento de prácticas deshonestas, se presente como una obligación. Aquél que ejerza las
funciones de CCO deberá recibir información sobre riesgos e incumplimientos a través de estos
canales; y, a su vez, deberá contrastar lo recibido mediante una investigación conducente a la adopción
de medidas preventivas, correctivas o sancionadoras (Torras Coll, 2018, p.22). VÉASE ANEXO 4

Por ello, como se puede apreciar, la figura del whistleblower ─que debe entenderse como un
“delator” o un “alertador”─ adquiere un papel activo y ciertamente relevante en la lucha contra las
prácticas irregulares y de sesgo delictivo que pueden tener lugar tanto en el seno de la organización
como en el desarrollo de su propia actividad. En consecuencia, esta figura debe ser incentivada y
protegida por el propio plan de compliance, “proporcionándole cierto halo de confidencialidad que le
dé un confort suficiente para denunciar la irregularidad detectada” (Torras Coll, 2018, p.8).

7. LA VERIFICACIÓN DEL PLAN.

Finalmente, resulta necesario llevar a cabo revisiones periódicas, de distinta índole, para
analizar si el plan de compliance está funcionando correctamente. Como se ha indicado en el apartado
5, el programa requiere de una continua monitorización y revisión, a fin de mantener a lo largo del
tiempo su eficacia, en relación con su propósito; y estas pueden darse no sólo como reacción ante un
determinado problema que haya surgido, sino también de manera regular. VÉASE ANEXO 3

En este sentido, deberá prestarse especial atención a: (1) la determinación de las medidas para
evaluar la eficacia del plan ─que incluye las herramientas e indicadores para valorar nuevos
potenciales riesgos y nuevos posibles aspectos de mejora─; (2) la posibilidad de realizar auditorías
externas, por tal de someter el plan a verificación por parte de especialistas, y (3) la revisión
permanente, propiamente dicha, que incluiría tanto el examen pormenorizado del funcionamiento
habitual del plan en el marco de la tarea o proceso en el que se desarrolla, como su actualización ante
posibles modificaciones legislativas o ante cambios en la estructura de la empresa, por tal de asegurar
que se mantiene operativo, que se ajusta a la normativa aplicable vigente y que sigue siendo eficaz.

23
 CONCLUSIONES.

Los sistemas normativos se caracterizan por contener técnicas de motivación de conductas

cuya observación permite o facilita alcanzar un objetivo social previsto y deseado por el legislador. En
este sentido, la inclusión del art. 31 bis en el CP responde a la necesidad de velar activamente por la
honestidad empresarial y las buenas prácticas corporativas de aquellas personas jurídicas que operan
en España. Y lo incentiva introduciendo la posibilidad de eximir o, en menor medida, atenuar la
responsabilidad penal de la persona jurídica llegado el caso. Con lo cual, este atractivo, consecuencia
de adecuar las prácticas diarias a una serie de normas, constituiría un primer argumento que de hecho
motiva la decisión de cumplir con ellas. Pero es un motivo que se sitúa en un estadio primitivo. El
verdadero fundamento que debería promover la decisión de adecuar el comportamiento empresarial a
unas pautas conductuales íntegras y honestas debería ser la consciencia personal y empresarial de estar
haciendo lo correcto. Esta debería ser la razón genuina acerca de por qué que cumplir.

Por su parte, el compliance se configura, en primer lugar, como una estrategia de defensa
preventiva ante una eventual imputación penal y que, a su vez, trata de evitar los costes reputacionales
asociados a un hipotético riesgo de incumplimiento, que generalmente son de muy difícil ─o incluso
de irreversible─ reparación. Sin duda, pone en valor el compromiso ético de la empresa, fomentando
la credibilidad y fiabilidad ante posibles clientes e inversores, y contribuye a mejorar el control que los
administradores y directivos tienen sobre la organización de la empresa. En segundo lugar, y en
esencia, resulta una herramienta realmente eficaz para prevenir a la empresa de los delitos que puedan
cometer sus empleados y su instauración dota a la entidad de una serie de beneficios en sus relaciones
tanto con la Administración Pública como con otras empresas o entidades de crédito, tales como la
obtención de puntuación adicional para acceder a concursos y licitaciones, o para obtener
subvenciones y ayudas públicas; para acceder más fácilmente a determinadas líneas de financiación;
para acceder al mercado internacional y para contratar con grandes empresas y multinacionales que
exigen a sus proveedores tener implantado un programa de compliance; para favorecer la viabilidad de
operaciones de reestructuración empresarial, e incluso para lograr primas de seguros de
responsabilidad más bajas, entre otros (Torras Coll, 2018, pp.44-45).

Para ello, se han identificado como aspectos primordiales de la implantación de un programa

de compliance ─esto es, como aquellas características con las que todo plan de cumplimiento debería
contar─ lo siguiente: (1) la identificación de las actividades sensibles a la comisión de delitos a
prevenir en el seno de la empresa, que puede llevarse exitosamente a cabo mediante un mapeo
adecuado de riesgos penales y conductuales; (2) la obligación de informar de los posibles riesgos e
incumplimientos al CCO; (3) el establecimiento de canales de denuncia y procedimientos de
investigación interna; (4) la correcta y adecuada asignación y gestión de recursos financieros; (5) el
hecho de disponer de un sistema disciplinario que sancione adecuadamente en caso de

24
incumplimiento; y que, atendiendo a las últimas tendencias del behavioral compliance, puede
complementarse eficazmente con un sistema de incentivos inteligentemente diseñado en aras de
motivar conductas ex ante; (6) la verificación periódica del modelo y su constante actualización y
adaptabilidad a los cambios que puedan surgir tanto en la empresa como en el entorno y que puedan
afectar tanto directamente como indirectamente al correcto, adecuado y legal desarrollo de su
actividad, y (7) la concienciación de la política de cumplimiento mediante planes de formación a
empleados y directivos.

Además, es importante tener en cuenta que un plan de compliance sencillo, adaptado a las
necesidades de las microempresas y relativamente fácil de implementar puede ser la punta de lanza
mediante la cual introducir la Responsabilidad Social Corporativa en estas entidades. Y, en este
sentido, debe ponerse de relieve que, ante la reticencia de algunos empresarios a implementar planes
de compliance, estos no deben ser entendidos como gastos innecesarios, sino como inversiones
trascendentales que aportan un valor añadido a la empresa, que la proyecta hacia una posición
privilegiada en el mercado competitivo y que, sin duda, la sitúa en un primer plano en valor
reputacional.

Se da la paradoja de que la mayoría de empresas que operan en países democráticos no suelen

tener estructuras democráticas. Y esto puede dificultar la instauración de un sistema de valores que
propicie la RSC mediante conductas éticas. Por su parte, aún hoy, el 97% de las PyMEs consideran
que los obstáculos a los que deben hacer frente en la implementación de programas de RSC son las
dificultades económicas asociadas, la desmotivación y el desconocimiento acerca de cómo llevarlo a
cabo (LEITAT, 2010, p.22). Pero, sin embargo, el 82% de sus empleados valora positivamente el
establecimiento y la existencia de códigos éticos y de planes de RSC en sus organizaciones (REPM &
ICADE, 2016, p.11). Con lo cual, habiéndose determinado que la voluntad ya existe, debe primarse la
difusión de que instaurar mecanismos de RSC no es ni algo complejo ni algo que sólo las grandes
empresas puedan llevar a cabo. En efecto, debe transmitirse que empezar con un plan de compliance,
como el que se ha propuesto, supone dar el primer paso en el desarrollo de este proyecto ético y social
que puede mejorar el funcionamiento del entorno económico y corporativo, haciéndolo más justo y
responsable.

25
 REFERENCIAS BIBLIOGRÁFICAS.

Bacigalupo, S. (2019). Una cultura empresarial irrenunciable. El País.

https://elpais.com/elpais/2019/08/12/opinion/1565625358_224362.html
Boletín Oficial del Estado. (1995). Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal. Boletin Oficial del
Estado. https://www.boe.es/buscar/pdf/1995/BOE-A-1995-25444-consolidado.pdf
Boletín Oficial del Estado. (2007). Real Decreto 1515/2007, de 16 de noviembre, por el que se aprueba el Plan
General de Contabilidad de Pequeñas y Medianas Empresas y los criterios contables específicos para
microempresas. 1-166.
Centro Tecnológico LEITAT. (2010). Estudio sobre las necesidades y las herramientas que dispone la Pyme para
poder realizar acciones. https://leitat.org/descargas/noticias/ON0008.pdf
Comisión Europea. (2003). Recomendación de la Comisión, de 6 de mayo de 2003, sobre la definición de
microempresas, pequeñas y medianas empresas. Diario Oficial de la Unión Europea, L 124(2003/361/CE), 36-41.
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2003:124:0036:0041:es:PDF
del Moral García, A. (2017). A vueltas con los programas de cumplimiento y su trascendencia penal. Tribuna, Penal,
Revista de Jurisprudencia. https://elderecho.com/vueltas-los-programas-cumplimiento-trascendencia-penal
Dirección General de Industria y de la PyME. (2020). Cifras PYME. Portal PYME, 1-3. http://www.ipyme.org/es-
ES/publicaciones/Paginas/estadisticaspyme.aspx
Engler, H. (2016). Behavioral compliance : how to stop «good people» from doing bad things. Financial Regulatory
Forum - Reuters. http://blogs.reuters.com/financial-regulatory-forum/2016/08/16/behavioral-compliance-how-to-
stop-good-people-from-doing-bad-things/
Fundación ÉTNOR. (2020). Aplicando la Ética. https://www.etnor.org/aplicando-la-etica/
Herzberg, F., Mausner, B., & Snyderman, B. B. (1959). The Motivation to Work. En New York: John Wiley.
Kahneman, D., & Tversky, A. (1979). Prospect Theory: An Analysis Of Decision Under Risk. Econometrica, 263-291.
Langevoort, D. C. (2015). Behavioral Ethics, Behavioral Compliance. Research Handbook on Corporate Crime and
Financial Misdealing, Jennifer Arlen, ed., Edward Elgar Publishing, Forthcoming. Georgetown University Law
Center. https://ssrn.com/abstract=2651101
López Pérez, R. (2014). El Nuevo Paradigma Empresarial. Cámara Internacional de Empresarios Barcelona - Blog.
http://ciebarcelona.blogspot.com/2014/10/el-nuevo-paradigma-empresarial.html
Miller, G. P. (2016). The Law of Governance, Risk Management, and Compliance (Second Edition). Wolters Kluwer in
New York - Aspen casebook series.
Ministerio Fiscal. (2016). Circular 1/2016, de 22 de enero, sobre la responsabilidad penal de las personas jurídicas
conforme a la reforma del Código Penal efectuada por Ley Orgánica 1/2015. Boletin Oficial del Estado,
Memoria de la Fiscalía General del Estado. https://www.boe.es/buscar/abrir_fiscalia.php?id=FIS-C-2016-
00001.pdf
Pink, D. (2010). Si pagaran por dar sangre, habría menos donantes. La Vanguardia, "La Contra" (07/09/2010).
http://hemeroteca.lavanguardia.com/preview/2010/09/07/pagina-64/82890952/pdf.html?search
Red Española del Pacto Mundial & Cátedra de Ética Económica y Empresarial de ICADE. (2016). Estudio sobre
la percepción de la ética y la RSE en PYMES. https://www.pactomundial.org/wp-
content/uploads/2016/10/Estudio-sobre-la-Percepción-de-la-Ética-y-la-RSE-en-PYMES-2016.pdf
Rick, S., & Loewenstein, G. (2008). The role of emotion in economic behavior. Handbook of Emotions - The Guilford
Press, M. Lewis, J. M. Haviland-Jones, L. F. Barrett (Eds.), 138-156. https://doi.org/10.2139/ssrn.954862
Torras Coll, J. M. (2018). Aspectos procesales de la responsabilidad penal de la persona jurídica. Valoración del
programa compliance.
https://diariolaley.laleynext.es/Content/DocumentoRelacionado.aspx?params=H4sIAAAAAAAEAC2NQWvDM
AyFf818GYw4tOtJlyzHMcoWelds4Rhcq7XlrPn3U9cKHtJDn_Sujco20U3AsY-BXy-
UMZm6Zc7bGabSyAjOFbqXg7Oq3qCThmlkB73t7i6uNOEMneHiqQybTsKC6ZsqWLvfm7rw7xeuMaBEzgO
Wx9_oPYxTp9W_7
World Compliance Association. (2019). Guía de implementación de compliance para pymes.
www.worldcomplianceassociation.com
World Compliance Association.(2020).¿Qué es Corporate Compliance?http://www.worldcomplianceassociation.com
26
26
 ANEXOS

MODELOS PARA IMPLEMENTAR EL PLAN DE COMPLIANCE.

27
 I. ANEXO 1: MODELO DE DESCRIPCIÓN Y FUNCIONAMIENTO DE LA ORGANIZACIÓN.

DETALLES DE LA MICROEMPRESA ORGANIGRAMA

Nombre
NIF
Sede social
Otras direcciones
Teléfono(s)
Email(s)

Sector (Insertar aquí)

Actividad(es) 1.
2.
3.
…

Socio(s)/a(s) 1.
2.
3.
…

Estructura (Descripción)
(jerárquica,
horizontal, por
tareas, por
procesos…)

Toma de (Descripción)
decisiones

28
I. ANEXO 1: MODELO DE DESCRIPCIÓN Y FUNCIONAMIENTO DE LA ORGANIZACIÓN.

ANÁLISIS DEL ENTORNO

Origen Interno Origen Externo

MISIÓN DEBILIDADES AMENAZAS

VISIÓN

FORTALEZAS OPORTUNIDADES
VALORES

ENCARGADO/A DE LA SUPERVISIÓN DEL PLAN

(asume la función de Chief Compliance Officer)

(Nombre y DNI)

(Firma)

29
 I. ANEXO 1: MODELO DE DESCRIPCIÓN Y FUNCIONAMIENTO DE LA ORGANIZACIÓN.

PERSONAL
Nombre Tarea(s)
1. (Conviene otorgar un número a cada tarea. Estos números se usarán como “código de tarea” en el Formulario del Anexo 2)

2.

3.

4.

5.

6.

7.

8.

9.

30
II. ANEXO 2: MODELO DE EVALUACIÓN DE RIESGOS, PREVENCIÓN ESPECÍFICA, DETECCIÓN Y PLAN DE MITIGACIÓN.
Código de RIESGO DELITO OBJETIVO DE
tarea Descripción Probabilidad Consecuencia Gravedad ASOCIADO RIESGO
(1) (2) (3)

Trabajador/a CONTROL ACTUAL RIESGO ACTUAL

encargado/a Tipo (descripción) Frecuencia ESTIMADO
(3)

Trabajador/a MEJORA O NUEVO CONTROL PREVENTIVO RIESGO

encargado/a Tipo (descripción) Frecuencia ESPERADO
(Detallar específicamente qué medidas se van a adoptar para prevenir el riesgo) (3)

CONTROL DETECTIVO
Tipo (descripción) Frecuencia
(Detallar específicamente qué medidas se van a adoptar para detectar el riesgo)

PLAN DE MITIGACIÓN OBJETIVOS ESPECÍFICOS

(Detallar específicamente cuál va a ser el protocolo de actuación ante la detección del riesgo)

31
II. ANEXO 2: MODELO DE EVALUACIÓN DE RIESGOS, PREVENCIÓN ESPECÍFICA, DETECCIÓN Y PLAN DE MITIGACIÓN.

(1) Leyenda: TIPOLOGÍA DE PROBABILIDAD DE RIESGO.

1 2 3 4
PROBABILIDAD DEL RIESGO
Improbable Poco probable Probable Muy probable

(2) Leyenda: TIPOLOGÍA SEGÚN NIVEL DE GRAVEDAD.

1 2 3 4
GRAVEDAD EN CASO DE COMETERSE
Leve Medio Grave Muy grave

(3) Leyenda: TIPOLOGÍA DE RIESGOS E ÍNDICE PARAMÉTRICO DE RIESGO ASOCIADO.

MUY MUY
PROBABILIDAD DEL RIESGO

4 Muy probable ALTO ALTO

ALTO ALTO

MUY MUY
3 Probable MEDIO MEDIO
ALTO ALTO

2 Poco probable BAJO MEDIO MEDIO ALTO

MUY
1 Improbable BAJO MEDIO ALTO
BAJO

Muy
Leve Medio Grave
grave
La metodología operativa de este sistema de detección
1 2 3 4 y gestión del riesgo ha sido inspirada en la prevista en
GRAVEDAD EN CASO DE COMETERSE World Compliance Association, 2019.

32
III. ANEXO 3: MODELO DE REVISIÓN PERIÓDICA Y DE REVISIÓN EVENTUAL.

- REVISIÓN EVENTUAL -
Código de tarea PLAN DE CONTROL PREVENTIVO (evaluación del proceso de prevención).
Trabajador Análisis descriptivo de lo ocurrido Consecuencias

Puntos fuertes Puntos débiles Propuestas de reforma

(¿Qué ha funcionado bien?) (¿Qué no ha funcionado?) (Corrección/reformulación: deberá revisarse el Anexo 2)

Código de tarea PLAN DE CONTROL DETECTIVO (evaluación del proceso de detección).

Trabajador Análisis descriptivo de lo ocurrido Consecuencias

Puntos fuertes Puntos débiles Propuestas de reforma

(¿Qué ha funcionado bien?) (¿Qué no ha funcionado?) (Corrección/reformulación: deberá revisarse el Anexo 2)

Código de tarea PLAN DE MITIGACIÓN (evaluación del proceso de resolución).

Trabajador Análisis descriptivo de lo ocurrido Consecuencias

Puntos fuertes Puntos débiles Propuestas de reforma

(¿Qué ha funcionado bien?) (¿Qué no ha funcionado?) (Corrección/reformulación: deberá revisarse el Anexo 2)

33
III. ANEXO 3: MODELO DE REVISIÓN PERIÓDICA Y DE REVISIÓN EVENTUAL.

- REVISIÓN PERIÓDICA –
Código de Código de
REVISIÓN REVISIÓN
tarea tarea
Trabajador/a encargado/a Riesgo esperado de la tarea Trabajador/a encargado/a Riesgo esperado de la tarea

Valoración del funcionamiento Valoración del funcionamiento

Estado control preventivo Estado control detectivo Estado control preventivo Estado control detectivo

Propuestas de mejora Propuestas de mejora

Fecha de la revisión Riesgo actual estimado Fecha de la revisión Riesgo actual estimado

Fecha anterior revisión Fecha anterior revisión

34
IV. ANEXO 4: MODELO PARA INSTAURAR EL CÓDIGO ÉTICO Y LOS CANALES DE COMUNICACIÓN.
CÓDIGO ÉTICO CANALES DE COMUNICACIÓN

35
V. ANEXO 5: MODELO PARA EL RÉGIMEN DE INCENTIVOS Y RÉGIMEN SANCIONADOR.

COMPORTAMIENTO / CONDUCTA INCENTIVO

ACCIÓN / OMISIÓN / COMPORTAMIENTO / CONDUCTA SANCIÓN

36