Documentos de Académico
Documentos de Profesional
Documentos de Cultura
la preparación
de la Certificación CESCOM
Junio 2023
9 788409 493531
ÍNDICE DE CONTENIDOS
ÍNDICE DE CONTENIDOS
Presentación 9
3.2. Estructura 79
3.4. Definiciones 81
3.6. Liderazgo 86
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 2
ÍNDICE DE CONTENIDOS
3.7. Planificación 92
3.8. Apoyo 93
3.9. Operación 96
3.10. Evaluación del desempeño 98
3.11. Mejora 101
3.12. Resumen del módulo 102
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 3
ÍNDICE DE CONTENIDOS
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 4
ÍNDICE DE CONTENIDOS
12.4. Norma UNE 19601:2017 sobre Sistemas de Gestión de Compliance penal 458
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 5
ÍNDICE DE CONTENIDOS
14.5. Fases del blanqueo de capitales, financiación del terrorismo y de la proliferación 543
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 6
ÍNDICE DE CONTENIDOS
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 7
ÍNDICE DE CONTENIDOS
19.5. Principales riesgos que hay que gestionar en el sector público 755
Bibliografía 824
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 8
PRESENTACIÓN
ASCOM es una asociación profesional sin Las personas que superen con éxito el examen
ánimo de lucro, constituida en mayo de recibirán por correo electrónico el diploma
2014, que nació de la iniciativa de un grupo de la certificación CESCOM® y su nombre y
de personas con amplia experiencia en el apellidos serán publicados en la página web
ejercicio de la función de Compliance con de ASCOM en un listado en el que figuran
el objetivo de profesionalizar dicha función todas las personas que han obtenido la
en España. Persiguiendo este objetivo, la certificación. Adicionalmente, la certificación
Junta Directiva de ASCOM fijó como uno de CESCOM® está homologada con las
los objetivos prioritarios de la asociación la certificaciones emitidas por las asociaciones
creación de una certificación profesional miembro de la International Federation of
de Compliance, objetivo que fructificó en la Compliance Associations (IFCA), de la cual es
Certificación de Compliance CESCOM , cuya ®
miembro ASCOM. Por ello, las personas que
primera convocatoria tuvo lugar en el mes superen el examen de CESCOM® obtendrán
de julio de 2016. Desde entonces se han también la acreditación de Internationally
celebrado un total de trece convocatorias Certified Compliance Professional, reconocida
para los exámenes, en las que se han inscrito por las asociaciones miembro de IFCA.
más de tres mil personas.
El buen funcionamiento del proceso de la
La Certificación de Compliance CESCOM®, certificación se garantiza por parte del Comité
emitida por la Asociación Española de Académico de las Certificaciones de ASCOM,
Compliance ASCOM, es una certificación del que forman parte personas cuya misión
profesional que acredita que las personas es aportar rigor, transparencia, objetividad e
que la obtienen cuentan con suficientes imparcialidad en todas las fases del proceso.
conocimientos profesionales en el ámbito
de Compliance en el momento en el que se Estos materiales han sido elaborados con el
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 9
PRESENTACIÓN
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 10
Módulo 1
Introducción a la
función de Compliance
en las organizaciones
MÓDULO 1 • INTRODUCCIÓN A LA FUNCIÓN DE COMPLIANCE EN LAS ORGANIZACIONES
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 12
MÓDULO 1 • INTRODUCCIÓN A LA FUNCIÓN DE COMPLIANCE EN LAS ORGANIZACIONES
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 13
MÓDULO 1 • INTRODUCCIÓN A LA FUNCIÓN DE COMPLIANCE EN LAS ORGANIZACIONES
En este contexto, las estructuras de Para que este marco o estructura funcione,
Gobernanza, Gestión de Riesgos y las empresas deben alinear su estrategia,
Compliance (GRC) surgen como el marco sus procesos, su tecnología y su personal.
en el que las empresas son dirigidas y Las empresas tienden a crear programas o
controladas, asegurando que actúan de forma modelos de GRC centrados en la estrategia4,
ética, de acuerdo con su apetito de riesgo, y los procesos y la tecnología, pero suelen
cumpliendo con todas las normas, externas subestimar la dimensión humana. Sin
e internas, que les resultan de aplicación. En embargo, son las características personales,
este sentido, las estructuras de GRC están las competencias y las acciones llevadas a cabo
necesariamente conectadas con la estrategia, por las personas lo que determina en mayor
la cultura y los valores de la organización. medida un modelo GRC exitoso.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 14
MÓDULO 1 • INTRODUCCIÓN A LA FUNCIÓN DE COMPLIANCE EN LAS ORGANIZACIONES
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 15
MÓDULO 1 • INTRODUCCIÓN A LA FUNCIÓN DE COMPLIANCE EN LAS ORGANIZACIONES
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 16
MÓDULO 1 • INTRODUCCIÓN A LA FUNCIÓN DE COMPLIANCE EN LAS ORGANIZACIONES
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 17
MÓDULO 1 • INTRODUCCIÓN A LA FUNCIÓN DE COMPLIANCE EN LAS ORGANIZACIONES
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 18
MÓDULO 1 • INTRODUCCIÓN A LA FUNCIÓN DE COMPLIANCE EN LAS ORGANIZACIONES
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 19
MÓDULO 1 • INTRODUCCIÓN A LA FUNCIÓN DE COMPLIANCE EN LAS ORGANIZACIONES
tipo, o en evitar una multa o sanción. Riesgo de sanciones legales o regulatorias, pérdidas
financieras o pérdida de su reputación que una
Sin embargo, un sistema de Compliance
organización puede sufrir como resultado del
implica mucho más. Velar por el cumplimiento incumplimiento de las leyes, regulaciones, normas
no solo de la letra, sino también de su de autorregulación y códigos de conducta que se
espíritu. Además, se asegura de la puesta aplican a sus actividades.
en práctica de los principios y valores que
Comité de Supervisión Bancaria de Basilea,
una organización ha decidido adoptar
(2005)
voluntariamente, así como las normas de
conducta que los desarrollan. Riesgos de Compliance
el mero cumplimiento de las normas las obligaciones de Compliance, esto es, aquellas
que una organización debe cumplir, y también las
externas. Además, debe asegurar el
que elige voluntariamente cumplir”.
cumplimiento de los valores y normas
adoptados interna y voluntariamente. Libro Blanco sobre la Función de Compliance
(2017)
En este sentido, en línea con lo que
indica el Libro Blanco sobre la Función de
Algunos ejemplos de obligaciones internas
Compliance10, una función de Compliance
adoptadas discrecionalmente por las
asume las tareas de prevención, detección
empresas y que debemos considerar
y gestión de riesgos de Compliance. Así, son
también obligaciones de Compliance serían,
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 20
MÓDULO 1 • INTRODUCCIÓN A LA FUNCIÓN DE COMPLIANCE EN LAS ORGANIZACIONES
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 21
MÓDULO 1 • INTRODUCCIÓN A LA FUNCIÓN DE COMPLIANCE EN LAS ORGANIZACIONES
en todo caso, cada programa cuente con un actividad empresarial. Igual parece suceder con
el término ética, e incluso el de integridad, que
responsable de su operación.
empiezan a vincularse a algo más que el ámbito
En caso de que exista un programa de Responsabilidad Social de las empresas para
transversal o superestructura de Compliance, vincularse al ámbito de Compliance.
la responsabilidad de operar y rendir cuentas
Esta tendencia evidenciaría la estrecha relación
por la adecuada operación de los programas
existente entre ética y Compliance ya que,
específicos existentes corresponderá a sus
efectivamente, Compliance es mucho más que
respectivos responsables, sin perjuicio de que
limitarse al cumplimiento de la ley. Este hecho
también pueda corresponder en materia de
contribuye también a visualizar la ética empresarial
supervisión y coordinación general al máximo como una disciplina que va mucho más allá de la
representante de la función de Compliance. RSE.
Por último, un sistema de gestión Compliance AZNAR y VACCARO (2015) indican que, tanto desde
(CMS) es, según la Norma ISO 37301, el un punto de vista ontológico (la naturaleza del “ser”
conjunto de elementos de una organización o “lo que es”) como práctico, las leyes y la ética son
interrelacionados o que interactúan para conceptos diferentes que no siempre van de la
establecer políticas, objetivos y procesos para mano. Nos recuerdan que puede haber actividades
lograr los objetivos de Compliance. que, aún dentro de los límites legales, son
cuestionables éticamente. Atendiendo por tanto a
Un CMS es el modelo organizativo y de gestión
lo que se viene recalcando desde la introducción,
en el que se integra la función de Compliance la función de Compliance debe ir mucho más allá
y el programa o programas gestionados del “cumplimiento normativo”. Como veremos
para dar cumplimiento a las obligaciones de más adelante, las empresas no solo se enfrentan
Compliance de la organización. Implica dotar a dilemas legales, sino también éticos. Antes esas
a la empresa de los mecanismos y estructuras disyuntivas, deben plantearse no solo qué es lo que
necesarios e incorpora necesariamente un la ley les permite, sino qué es “lo que deben hacer”
adecuado marco de Gobernanza, Riesgos y (¿Es lo correcto para la sostenibilidad a largo plazo
Compliance (GRC). de mi organización?).
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 22
MÓDULO 1 • INTRODUCCIÓN A LA FUNCIÓN DE COMPLIANCE EN LAS ORGANIZACIONES
La función de Compliance y, por tanto, la de los En España, entre 2015 y 2019, los
encargados de ésta, cumple una labor esencial órganos judiciales impusieron
al hacer comprender a los directivos que “no se
sanciones por valor de 2045M de
trata solo de evitar multas y sentencias de cárcel:
Euros, por incumplimientos de
el comportamiento ético también contribuye a
obligaciones de Compliance
mejorar la reputación de la compañía y reforzar su
sostenibilidad”.
Más allá de los cambios organizativos por el
Partiendo de esta idea, quizás procede reflexionar legítimo temor a las sanciones, las empresas
sobre la necesidad de formular formalmente el u organizaciones de otro tipo, deberían
término Compliance en términos de integridad y reflexionar sobre el propósito último del
ética corporativa de forma que se incremente la programa de Compliance que establezcan.
concienciación sobre la necesaria interdependencia
y relación entre ética y cumplimiento legal, y se Como ya aludíamos anteriormente, que una
contribuya a desarrollar y/o mantener un buen empresa sea exonerada de responsabilidad
comportamiento de los individuos que integran las penal o evite una sanción no debería ser
organizaciones. la finalidad o la razón última por la que
establecer una función de Compliance. Esta
es, o debería ser, la consecuencia de haber
1.4. El propósito de la función instaurado un modelo de organización
de Compliance y gestión que fomente eficazmente el
cumplimiento de las normas y la aplicación
Como se ha mencionado en este módulo,
práctica de los principios y valores que la
los escándalos corporativos han contribuido
empresa haya adoptado y comunicado.
a que los estados desarrollen nuevas leyes y
regulaciones. La norma ISO 19600:2015 (sistemas de
gestión de Compliance, remplazada por ISO
El refuerzo y mayor exigencia de las normas
37301:2021) nos recordaba que la función
de conducta introducidas por la regulación y
de Compliance implica también gestionar el
la inclusión del requisito de que las entidades
cumplimiento de otra serie de obligaciones y
financieras cuenten con una función de
compromisos “no legales” que las empresas
Compliance, ha contribuido a que esta eligen cumplir.
industria haya implantado ya desde hace
tiempo esta figura. Esto es testimonio de que las
responsabilidades de una empresa no se
Por otro lado, en el ámbito penal, sin duda, circunscriben únicamente al cumplimiento
el reconocimiento de la responsabilidad de la ley y la obtención de beneficios
penal de la persona jurídica ha impulsado económicos12.
programas de prevención de delitos que
muchas empresas han decidido establecer. La decisión de una organización de establecer
y desarrollar un programa de Compliance
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 23
MÓDULO 1 • INTRODUCCIÓN A LA FUNCIÓN DE COMPLIANCE EN LAS ORGANIZACIONES
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 24
MÓDULO 1 • INTRODUCCIÓN A LA FUNCIÓN DE COMPLIANCE EN LAS ORGANIZACIONES
Para ello, habitualmente, además de poder directiva y resto de profesionales que integren
Es importante tener en cuenta cual es el tipo necesario que participen activamente en los
de riesgo que debe prevenirse, dado que, en procesos de la organización y participen con
función de la tipología y el nivel de impacto las unidades de negocio para conocer qué
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 25
MÓDULO 1 • INTRODUCCIÓN A LA FUNCIÓN DE COMPLIANCE EN LAS ORGANIZACIONES
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 26
MÓDULO 1 • INTRODUCCIÓN A LA FUNCIÓN DE COMPLIANCE EN LAS ORGANIZACIONES
1.6. Requisitos para establecer que establece el Código Penal, tales programas no
pueden enfocarse a conseguir este propósito sino
una función de Compliance a reafirmar una cultura corporativa de respeto a la
ley, donde la comisión de un delito constituya un
Establecer una función de Compliance implica
acontecimiento accidental y la exención de pena,
más que la mera redacción y distribución
una consecuencia natural de dicha cultura. De
entre los directivos y resto de empleados de otra manera, se corre el riesgo de que en el seno
normas, políticas y protocolos de actuación de la entidad los programas se perciban como una
interna (elementos formales). También va suerte de seguro frente a la acción penal.
más allá de la gestión del riesgo de que una
empresa pueda ser imputada penalmente. Ejercer la función de Compliance es, en
esencia, una función de gestión de riesgos que
Compliance no se limita a que una organización
para que sea eficaz debe estar sustentada en:
cuente con una lista de verificación de políticas
dadas a conocer a todos los empleados, a. Mecanismos que identifiquen los
ni a listados o porcentajes que sirvan para temas candentes y qué implicaciones
evidenciar, por ejemplo, cuántos empleados tienen en términos de Compliance.
han recibido formación en la empresa sobre Esto es fundamental para identificar las
distintas cuestiones de Compliance. obligaciones de Compliance a las que hemos
hecho referencia más arriba. Por ejemplo,
En este sentido, la Circular 1/2016 de la el reconocimiento de la responsabilidad
Fiscalía General del Estado16 (FGE) nos penal de la persona jurídica ha sido una
proporciona una orientación útil para aquellas de ellas. Otros temas de actualidad que
organizaciones que dispongan o piensen en se presentan como cuestiones clave
establecer una función de Compliance, así son la digitalización, y el uso de nuevas
tecnologías, como la inteligencia artificial o
16 FGE, 2016: 39-40 blockchain.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 27
MÓDULO 1 • INTRODUCCIÓN A LA FUNCIÓN DE COMPLIANCE EN LAS ORGANIZACIONES
18 Paine (1994)
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 28
MÓDULO 1 • INTRODUCCIÓN A LA FUNCIÓN DE COMPLIANCE EN LAS ORGANIZACIONES
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 29
MÓDULO 1 • INTRODUCCIÓN A LA FUNCIÓN DE COMPLIANCE EN LAS ORGANIZACIONES
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 30
MÓDULO 1 • INTRODUCCIÓN A LA FUNCIÓN DE COMPLIANCE EN LAS ORGANIZACIONES
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 31
MÓDULO 1 • INTRODUCCIÓN A LA FUNCIÓN DE COMPLIANCE EN LAS ORGANIZACIONES
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 32
MÓDULO 1 • INTRODUCCIÓN A LA FUNCIÓN DE COMPLIANCE EN LAS ORGANIZACIONES
que sean tomados en cuenta para ascender Del mismo modo, entre los indicadores negativos
o promocionar a los empleados) deben ser que darían lugar a posibles correctivos, se pueden
con los valores y principios éticos. Igualmente, • Haber generado/participado en una situación
deben incluir criterios relacionados con el de riesgo de incumplimiento. No haber
cumplimiento de los objetivos de Compliance. facilitado la información o documentación
solicitada por el órgano competente o haberlo
hecho a destiempo.
Una práctica extendida entre las organizaciones
es la de establecer una estructura de incentivos/ • No haber cumplimentado y entregado, o
correctivos en materia de Compliance, sobre la base haberlo hecho fuera de tiempo, la declaración
de un mecanismo de medición del perfil de riesgo formal de conformidad, o cualquier otra
de las personas que trabajan en la organización, y documentación relacionada con Compliance
con las que esta mantiene relaciones comerciales. que haya sido requerida.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 33
MÓDULO 1 • INTRODUCCIÓN A LA FUNCIÓN DE COMPLIANCE EN LAS ORGANIZACIONES
Las medidas disciplinarias, a pesar de su Si bien es cierto que no existe un modelo único
impopularidad en algunos ámbitos, permiten que sirva para todo tipo de organización, y
transmitir la idea de que incumplir las leyes que la eficacia de un modelo de organización
o actuar de forma contraria a los principios y y gestión de estas características pasa por
valores de la organización tiene consecuencias su adecuada adaptación a la realidad y
internamente. particularidades de cada una, existen sin
duda elementos comunes y necesarios para
Cualquier régimen disciplinario que se
contribuir a su eficacia.
implante, así como su aplicación, debe
hacerse conforme a la legislación laboral y a Un estándar o marco de referencia es
los convenios colectivos vigentes. aquella norma creada por una institución
de prestigio a través de un procedimiento
Asimismo, su aplicación debe ser uniforme
regulado, transparente y participativo. Para
y consecuente, de forma que todos
su elaboración, se cuenta con expertos
los profesionales de la empresa, con
de prestigio lo que, unido a las anteriores
independencia del rango o posición que
características, otorga a este tipo de normas
dicho profesional ocupe en la organización.
un indudable valor como representación
La eficacia de cualquier régimen disciplinario de los últimos avances y tendencias en un
dependerádequesuaplicaciónsepercibacomo ámbito. Los estándares tanto nacionales
justa y equilibrada, pudiendo afectar positiva como internacionales pueden ofrecer
o negativamente (en caso de una aplicación directrices para ordenar modelos, tanto
injusta, arbitraria o desproporcionada) al genéricos (transversales) como específicos de
desarrollo y mantenimiento de una cultura Compliance.
corporativa ética.
A continuación, se repasan los principales
1.8. Estándares o marcos de marcos internacionales que pueden
referencia para sistemas de ser utilizados como referencia por las
Compliance organizaciones para poner en marcha un
sistema de Compliance.
El modo de gestionar el cumplimiento de
las normas y los estándares éticos que 1.8.1. Compliance en la industria
aplican a la actividad de las organizaciones financiera
es una actividad cuya complejidad se está
incrementando en los últimos años. Las A los efectos de estos materiales de estudio,
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 34
MÓDULO 1 • INTRODUCCIÓN A LA FUNCIÓN DE COMPLIANCE EN LAS ORGANIZACIONES
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 35
MÓDULO 1 • INTRODUCCIÓN A LA FUNCIÓN DE COMPLIANCE EN LAS ORGANIZACIONES
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 36
MÓDULO 1 • INTRODUCCIÓN A LA FUNCIÓN DE COMPLIANCE EN LAS ORGANIZACIONES
Para que la función de Compliance pueda En este sentido hay dos marcos, algo más
cumplir sus funciones en las entidades recientes que el original (1992), que deberían
financieras, la propia regulación exige que considerados por las empresas que implanten
cuente con: sistemas de Compliance: COSO 2013 y COSO-
ERM 2017. Es importante señalar que ambos
• Recursos: Los necesarios, incluyendo
marcos:
atribuciones;
• No son excluyentes entre sí: el documento
• Información: Acceso a toda la que necesite
COSO-ERM 2017 no reemplaza el Marco
para el desarrollo de sus tareas;
Integrado de Control Interno COSO 2013.
• Independencia: La suficiente para que no
• Aun siendo dos marcos distintos, son
se comprometa su objetividad y no entre
complementarios, utilizando ambos una
en conflicto de intereses.
estructura de componentes y principios.
Por otro lado, estas exigencias son mínimos • Algunos aspectos sobre la gestión de
extrapolables a cualquier otro tipo de riesgos y el control interno se desarrollan
organización en las que se debe implantar un más profundamente en el Marco COSO
modelo de Compliance efectivo. ERM 2017.
22 El COSO está constituido por representantes de cinco organiza- [...] un proceso llevado a cabo por el
ciones del sector privado en EE. UU., para proporcionar liderazgo
intelectual en torno a tres temas relacionados entre sí: la gestión consejo de administración, la dirección
del riesgo empresarial (ERM), el control interno y la disuasión del
fraude. https://www.coso.org/ y el resto del personal de una entidad,
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 37
MÓDULO 1 • INTRODUCCIÓN A LA FUNCIÓN DE COMPLIANCE EN LAS ORGANIZACIONES
- División
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 38
MÓDULO 1 • INTRODUCCIÓN A LA FUNCIÓN DE COMPLIANCE EN LAS ORGANIZACIONES
6. La organización define los objetivos con 16. La organización selecciona, desarrolla y realiza
suficiente claridad para permitir la identificación evaluaciones continuas y/o independientes
y evaluación de los riesgos relacionados. para determinar si los componentes del
sistema de control interno están presentes y en
7. La organización identifica los riesgos para la
funcionamiento.
consecución de sus objetivos en todos los niveles
de la entidad y los analiza como base sobre la 17. La organización evalúa y comunica las
cual determinar cómo se deben gestionar. deficiencias de control interno de forma
oportuna a las partes responsables de aplicar
8. La organización considera la probabilidad de
medidas correctivas, incluyendo la alta dirección
fraude al evaluar los riesgos para la consecución
y el consejo, según corresponda.
de los objetivos.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 39
MÓDULO 1 • INTRODUCCIÓN A LA FUNCIÓN DE COMPLIANCE EN LAS ORGANIZACIONES
[La gestión del riesgo empresarial] no es una función dinamizadora de la correcta actuación
ni un departamento. Es la cultura, las capacidades de quienes integran las organizaciones y
y las prácticas que las organizaciones integran con es en este sentido uno de los principales
el proceso de definición de la estrategia y aplican
riesgos que deben gestionarse en el
cuando la llevan a la práctica, con el propósito de
ámbito de Compliance.
gestionar el riesgo a la hora de crear, preservar y
materializar el valor. • Estrategia y establecimiento de
COSO (2017) objetivos: La gestión del riesgo
empresarial, la estrategia y el
Este documento destaca la importancia que establecimiento de objetivos actúan
tiene la gestión del riesgo empresarial en de forma conjunta en el proceso de
la planificación estratégica, y su necesaria planificación de la estrategia.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 40
MÓDULO 1 • INTRODUCCIÓN A LA FUNCIÓN DE COMPLIANCE EN LAS ORGANIZACIONES
que, a su vez, se agrupan en cuatro categorías: definiciones típicas del mundo de la auditoria,
compromiso, desarrollo, monitorización y de modo que comprender su contenido
mejora continua. requiere estar familiarizado con ellas. Por
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 41
MÓDULO 1 • INTRODUCCIÓN A LA FUNCIÓN DE COMPLIANCE EN LAS ORGANIZACIONES
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 42
MÓDULO 1 • INTRODUCCIÓN A LA FUNCIÓN DE COMPLIANCE EN LAS ORGANIZACIONES
• Se trata de una función de origen anglosajón, que surge como reacción a desmanes
corporativos de multinacionales estadounidenses y comportamiento poco éticos o que
fomentaban la corrupción.
• Un análisis del empleo de la FCPA a lo largo de los años, así como de la cronología de la normativa
y documentos clave de la función (convenios, guías, principios, estándares, etc) evidencia su
creciente importancia a inicios del siglo XXI, que se incrementa globalmente de forma
mucho más acentuada a partir de la crisis de 2008.
• La función de Compliance está conformada por los recursos dedicados a gestionar los
riesgos de este ámbito (su identificación, análisis, evaluación, respuesta, monitorización e
información para la toma de decisiones). Su propósito es la ejecución exitosa de sus programas
para que se gestionen adecuadamente dichos riesgos.
• Los elementos que constituyen un programa de Compliance eficaz son varios, todos ellos
necesarios; desde el liderazgo y compromiso de la Dirección a la existencia (o fomento hasta
alcanzarla) de una cultura corporativa ética.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 43
MÓDULO 1 • INTRODUCCIÓN A LA FUNCIÓN DE COMPLIANCE EN LAS ORGANIZACIONES
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 44
Módulo 2
La relación entre
ética y Compliance
MÓDULO 2 • LA RELACIÓN ENTRE ÉTICA Y COMPLIANCE
• Entender cómo y en qué influye la ética en la forma en que una organización lleva a cabo
normativa y regulación. sus actividades para obtener ganancias o
alcanzar otras metas u objetivos. Cualquier
• Comprender los aspectos fundamentales de
organización puede intentar llevar a cabo su
las principales teorías de aplicación en la ética
actividad de una manera guiada por valores y
empresarial.
principios éticos.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 46
MÓDULO 2 • LA RELACIÓN ENTRE ÉTICA Y COMPLIANCE
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 47
MÓDULO 2 • LA RELACIÓN ENTRE ÉTICA Y COMPLIANCE
Por el contrario, mientras cada individuo “morales”33. Por tanto, el ámbito empresarial
puede tener su propio entendimiento de también cuenta con una dimensión moral.
lo que es bueno o malo (conforme, por
La ética empresarial, también denominada,
ejemplo, a sus creencias, valores, etc.),
ética en los negocios, es un campo de la ética
la ética trata de mostrar unos principios
centrado en la actividad de las organizaciones
universales o referencias objetivas que nos
empresariales. Es por tanto una subdisciplina
permiten contrastar nuestros puntos de vista
de la ética aplicada, y se ocupa, como
personales, facilitando por tanto un sistema
otras deontologías profesionales, de lo que
o modelo “racional” para evaluar la moralidad
moralmente es considerado correcto o
de una acción o comportamiento.
incorrecto en un ámbito profesional (en este
La ética es una rama del pensamiento. En caso, en los negocios).
este sentido, no deberíamos hablar de
La ética empresarial es una guía para la
“distintas éticas”, sería más acertado hablar
excelencia humana en el mundo empresarial,
de la existencia, como veremos más adelante,
o, dicho de otro modo, una guía para la
de distintos principios, teorías o perspectivas
calidad humana en los negocios34.
éticas (relativismo, utilitarismo, etc.).
económica, también constituyen relaciones 35 Driscoll y Hoffman (1999), Ethics matters: How to implement va-
lues-driven management, Center for Business Ethics (Bentley Co-
llege).
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 48
MÓDULO 2 • LA RELACIÓN ENTRE ÉTICA Y COMPLIANCE
el seno de las empresas como un incidente de los valores, actitudes, creencias y modelos
aislado. Nunca llegan a plantearse que en esos de comportamiento que definen la cultura
casos exista algún tipo de responsabilidad de organizativa.
la empresa.
2.2.2. Aspectos constitutivos de la
Desde esta perspectiva podríamos entender ética empresarial
que la ética se reduciría a un conjunto de
De acuerdo con lo explicado en el epígrafe
valores subjetivos que nada tendría que
anterior, la ética empresarial englobaría todo
ver con el mundo de los negocios. De ahí la
aquello relacionado con las organizaciones
conocida expresión “los negocios son los
empresariales y lo acometido en su nombre.
negocios” o la idea de que no hay que mezclar
negocios y ética, porque, como a veces se Así pues, la ética empresarial pertenece
argumenta, el beneficio económico debería al ámbito de las acciones que desarrollan
ser lo primero37. los individuos cuando se encuentran
involucrados en actividades de negocio o
La empresa es una institución económica y, al
acciones llevadas a cabo cooperativamente
igual que ocurre con la economía en general,
dentro de una organización40.
tiene una base o fundamento moral38. El
sistema de libre mercado es producto de Ello no implica, sin embargo, que los
nuestras convicciones sobre la naturaleza de estándares que aplican a la ética empresarial
una buena vida y una buena sociedad, sobre difieran de los principios fundamentales
la justa distribución de bienes y servicios, y que deberían aplicarse a cualquier actividad
sobre qué tipo de bienes y servicios hay que desarrollada por el ser humano.
distribuir. Por tanto, aunque es cierto que el
objetivo de la empresa es la obtención de un
La ética empresarial es “el estudio de cómo
lucro, generar beneficio no es una actividad se aplican las normas morales personales a las
moralmente neutra, por lo que también actividades y metas de la empresa comercial. No es
importa la forma (cómo) éste se obtiene. un estándar moral separado, sino el estudio de la
forma en que el contexto de los negocios plantea
La ética sí tiene todo que ver con la gestión sus propios problemas para la persona que actúa
de la actividad empresarial39 y, de hecho, como agente de este sistema”.
las malas prácticas identificadas en el mundo
Good Intentions Aside: A Manager’s Guide to
de los negocios implican habitualmente
Resolving Ethical Problems,
la involucración tácita (e incluso muchas
NASH, L.
veces, explícita) de otros individuos de la
organización. Dichas conductas son un reflejo
En este contexto, es importante comprender
qué aspectos concretos deben ser tratados
37 Friedman, M. (1970), The Social Responsibility of Business is to In-
crease its Profits, The New York Times Magazine. por la ética empresarial:
38 Hoofman y Moore (1990).
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 49
MÓDULO 2 • LA RELACIÓN ENTRE ÉTICA Y COMPLIANCE
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 50
MÓDULO 2 • LA RELACIÓN ENTRE ÉTICA Y COMPLIANCE
2.3. Orígenes y desarrollo de la Así, para los que gustan de buscar referencias
ética empresarial y antecedentes, nos podemos remitir al
código de Hammurabi (1750 a.C.), donde
Las crisis financieras y los escándalos
ya se establecían ciertas reglas y normas
corporativos han contribuido sin duda a
de naturaleza ética para mercaderes y
incrementar el interés por la ética en el
vendedores ambulantes en el desempeño de
ámbito de los negocios.
su profesión.
La ética empresarial, concebida como
Siglos más tarde, ya en la antigua grecia,
una disciplina académica, es un fenómeno
Aristóteles (s. IV a.C.), en sus obras “Política” y
relativamente reciente que se ha desarrollado
“Ética a Nicómano”, habla sobre las relaciones
sobre todo en los EE.UU desde los años 70
económicas y el comercio, cuestionando la
del siglo pasado. A lo largo de este apartado
avaricia y condenando la usura.
revisaremos algunos ejemplos de reflexiones
éticas realizadas por filósofos y teólogos a lo Aristóteles distinguía entre oikonomikos
largo de la historia, y analizaremos el origen o economía doméstica (esencial para el
y desarrollo de la ética empresarial como funcionamiento de cualquier sociedad), y
disciplina académica o campo de estudio y chrematisike, el intercambio que tiene como
también como “movimiento corporativo42”. objetivo el lucro (lo que criticaba).
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 51
MÓDULO 2 • LA RELACIÓN ENTRE ÉTICA Y COMPLIANCE
46 Cortina, A. (2000).
47 De George (2005).
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 52
MÓDULO 2 • LA RELACIÓN ENTRE ÉTICA Y COMPLIANCE
48 Niebuhr, R. (1966) El hombre moral y la sociedad inmoral: un estu- 50 El concepto surge en EE.UU en 1953, tras la publicación de Social
dio sobre ética y política. Ediciones Siglo Veinte. responsibilities of the businessman, de Howard R. Bowen.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 53
MÓDULO 2 • LA RELACIÓN ENTRE ÉTICA Y COMPLIANCE
En su mayor parte, tales cursos pusieron En Países Bajos, el príncipe Bernardo, marido
énfasis en la ley y prevaleció el punto de vista de la reina Juliana (considerada en 1979 como
de la gestión de la dirección de la empresa, la mujer más rica del mundo), dimitió de todas
sus responsabilidades militares y comerciales, al
aunque pronto se agregó la perspectiva de los
cuestionarse sus relaciones con Lockheed, de la
empleados, los consumidores y del público
que recibió 1.1M.
en general. Los libros de texto no prestaban
atención a la teoría ética, ni se hablaba, de En Japón, el antiguo primer ministro Kakuei TANAKA
fue detenido y condenado, aunque los recursos
principios o estándares éticos, sino de valores
dilataron su entrada en prisión, falleciendo antes.
o demandas sociales y, posteriormente del
concepto reputación corporativa51. Fuentes:
www.theguardian.com/news/2001/nov/12/
Como campo académico, la ética empresarial guardianobituaries.philipwillan
surgió en la década de 1970, con la entrada www.nytimes.com/1976/11/21/archives/japans-
de un número significativo de filósofos, que watergate-made-in-usa-japan.html?_r=0
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 54
MÓDULO 2 • LA RELACIÓN ENTRE ÉTICA Y COMPLIANCE
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 55
MÓDULO 2 • LA RELACIÓN ENTRE ÉTICA Y COMPLIANCE
empresa y de sus accionistas. Esto supone En esa misma época también emergió
un cambio de paradigma respecto a la un creciente interés56 en el ámbito de las
idea de Milton FRIEDMAN ya comentada, buenas prácticas de gobierno corporativo
en la que defendía la idea de que la única (es decir, en como una empresa es dirigida,
responsabilidad social de la empresa es la de administrada y gestionada).
maximizar beneficios.
Este interés se centró en el papel desempeñado
También en ese mismo sentido, en los 90 , se 55
por los consejos de administración de las
introdujo la idea de que las responsabilidades empresas y sus responsabilidades en materia
de una empresa no se circunscribían de actuación diligente, rendición de cuentas,
únicamente al cumplimiento de la ley y la transparencia y responsabilidad social de la
obtención de beneficios económicos. empresa.
De acuerdo con esta teoría, las empresas Se empezó a ver cómo el entramado de
tendrían cuatro niveles o ámbitos de relaciones entre el consejo de administración,
responsabilidad: los máximos ejecutivos de la empresa, los
equipos directivos, los accionistas y otras
Económica Ética;
partes interesadas planteaba cuestiones
Legal; Filantrópica.
éticas de diversa índole que era necesario
abordar (independencia, conflictos de
intereses, etc.).
Por ejemplo, entre los componentes de las No obstante, con anterioridad57, ya se habían
responsabilidades éticas de la empresa se creado iniciativas en este sentido (ética en
encontraría evitar que las normas éticas las empresas), concretamente en la industria
se vean comprometidas por el logro de los de defensa de EE.UU. Tras denuncias de
objetivos corporativos. despilfarro y fraude entre los contratistas
56 Melé (2009)
55 Carrol, A. (1991), The Pyramid of Corporate Social Responsibility:
Toward the Moral Management of Organizational Stakeholders, pá- 57 Darcy, K. (2013), Ethics and Compliance: Birth of a profession, Bu-
ginas 39-48, Business Horizons (julio -agosto). siness Compliance 03-04/2013, Baltzer Science Publishers.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 56
MÓDULO 2 • LA RELACIÓN ENTRE ÉTICA Y COMPLIANCE
de defensa, esta industria formó en 1986 un empresa no es solo una entidad económica,
organismo autorregulador, el ya mencionado sino que también es parte de la sociedad,
Iniciativa de la Industria de Defensa (DII) , 58
y por tanto debería contribuir al bien de la
muy probablemente en un intento por sociedad más allá de lo que establece la ley.
ambas partes (industria y administración
REAGAN) de evitar regulación adicional, a la Por último, y relacionado con los dos últimos
par que mostraba algún tipo de reacción en conceptos señalados, conviene reseñar que
el sentido que demandaba la opinión pública la evolución experimentada en el ámbito de
estadounidense de entonces. la responsabilidad de las empresas, más allá
de las responsabilidades legales, y del logro
Así, en colaboración con el gobierno, el DII de objetivos económicos y la obtención de un
desarrolló un modelo de ética interna y beneficio, no hace sino plantear la necesidad
programas de Compliance para detectar y de las empresas de reflexionar sobre su
prevenir mal uso de fondos, los fraudes y
propósito último60.
otras irregularidades. La ética y el Compliance
comenzaron de esta manera a tomar forma
“La sociedad exige que las empresas, tanto
en las empresas y a hundir sus raíces en las
cotizadas como no cotizadas, sirvan a un propósito
organizaciones.
social. Para prosperar a lo largo del tiempo, cada
empresa debe no solo ofrecer un rendimiento
Por otro lado, algunas empresas empezaron
financiero, sino también mostrar cómo realizan una
a valorar también el comportamiento ético
contribución positiva a la sociedad. Las empresas
como un elemento que contribuía a generar
deben beneficiar a todas las partes interesadas,
valor a través de la confianza en la empresa incluidos accionistas, empleados, clientes y las
(cuestión esencial para el mantenimiento de comunidades en las que operan”.
la organización y las relaciones comerciales).
Además, más recientemente han surgido dos A sense of Purpose
nuevos conceptos o ideas relacionados con la Carta anual a los CEO, enero 2018
la empresa tiene en el entorno económico, de sus grupos de interés y generar así un valor
58 http://www.dii.org.
60 Fink, L. (2018), A sense of purpose, https://www.blackrock.com/
59 Melé (2009) corporate/investor-relations/larry-fink-ceo-letter.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 57
MÓDULO 2 • LA RELACIÓN ENTRE ÉTICA Y COMPLIANCE
Caso de estudio II: La ética de Johnson & Johnson (J&J) y el caso Tylenol
Fundada en 1886 por el General Robert JOHNSON, J&J fabrica y, entre otros, vende productos
farmacéuticos, de higiene personal, biotecnología etc. Considerada como una compañía modélica,
gozaba de una reputación esplendida. Año tras año, ocupaba un lugar destacado en el Top 100 de
los mejores lugares para trabajar de EE.UU.
“Nuestro Credo” define una jerarquía de responsabilidades más que un conjunto específico
de valores y principios de actuación. Los trabajadores de J&J son alentados a tomar decisiones
inspirados en la filosofía que hay detrás de este documento.
La reacción de la empresa fue rápida y precisa. J&J creó de inmediato un comité de crisis de siete
personas, y su primera decisión fue retirar todos los envases de Tylenol del área de Chicago. Era
una acción acorde con el propio Credo de la empresa, según el cual la primera responsabilidad de
la empresa es el consumidor. El análisis de las cápsulas arrojó un dato alarmante: algunas de ellas
contenían restos de cianuro, aunque se desconocía el origen de la contaminación. La empresa, en
línea con sus valores y principios, advirtió a la opinión pública de lo que había ocurrido y decidió
adoptar una política de transparencia absoluta con los medios de comunicación.
El equipo de crisis identificó cuatro audiencias a las que había que prestar una atención especial:
el consumidor, al que se dirigirían básicamente a través de la prensa; la comunidad médica; los
trabajadores de la compañía; y la Food and Drug Administration (FDA), la agencia gubernamental que
regula la venta de medicamentos en EE.UU. Desde el primer momento, J&J colaboró activamente
con el FBI, con el objetivo determinar responsabilidades y si la contaminación se había producido
dentro o fuera de las plantas de J&J.
Aunque supuso un gran coste para la empresa (100M de dólares) J&J no dudó en retirar el
medicamento en cuestión (31M de envases), Además, recomendó a los consumidores no usar
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 58
MÓDULO 2 • LA RELACIÓN ENTRE ÉTICA Y COMPLIANCE
ninguno de los productos Tylenol hasta que se hubiera determinado las causas. En consecuencia,
la producción y comercialización de Tylenol cesó. Todo ello se hizo sin que la compañía tuviera
realmente un conocimiento preciso de la extensión de la contaminación ni sus causas. Cuando
finalizaron las investigaciones, se supo que la contaminación fue debida a una manipulación
externa intencionada y que en ningún caso se debía a fallos del proceso de producción. J&J fue
reconocida por los medios por su diligente, honesta y rápida actuación.
El caso Tylenol constituye un ejemplo de cómo poner la ética en práctica y la relación entre una
gestión exitosa de una crisis y una cultura ética positiva en todos los niveles de una empresa. Tal y
como afirma J&J en su web, “nuestro Credo es más que solo una orientación moral. Creemos que
es la receta para un negocio de éxito”.
Fuentes:
- Javier SALGADO, Tylenol, la crisis que abrió los ojos a muchas empresas, https://jsgestiondecrisis.
com/?s=tylenol
- Domènec MELÉ, 2009, Business Ethics in Action: Seeking Human Excellence in Organizations, p17-
19, Palgrave Macmillan.
- J&J website: https://www.jnj.com/credo/
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 59
MÓDULO 2 • LA RELACIÓN ENTRE ÉTICA Y COMPLIANCE
2.3.4. La ética en las empresas a desde la regulación que las empresas vayan
través del marco legal y regulatorio más allá del cumplimiento de la letra de
las normas, y valoren si su conducta ofrece
Las empresas han fallado repetidamente el mejor resultado para los clientes, la
a la hora de actuar con ética e integridad, reputación corporativa propia y también la
demostrando no ser capaces de de la industria a la que pertenecen (enfoque
autorregularse, dejando a los mercados basado en principios y valores). No
reaccionar negativamente y a los gobiernos olvidemos que la ética, como veíamos en un
(como en el caso de los EE.UU), adoptar epígrafe anterior, es un proceso de reflexión
medidas legislativas para tratar de poner un que implica el uso de la razón para encontrar
remedio “rápido” a la situación61. claves que orienten en la forma de actuar
(acciones) y la adopción de decisiones.
La incapacidad de las empresas de
autorregularse y prevenir eficazmente la Tanto o más importante que la existencia
falta de ética e integridad en el seno de sus de un marco legal que promueva el
organizaciones, ha llevado inevitablemente a establecimiento de programas de ética y
un incremento de la regulación. La cuestión Compliance en las empresas, es el tipo de
que debemos plantearnos es si la ética puede enfoque adoptado por dicho marco legal
impulsarse y fomentarse eficazmente a y regulatorio y las expectativas sobre las
través de leyes y regulaciones (y su naturaleza empresas y el modelo de gestión ética que
coercitiva y punitiva). establezcan.
Más allá del resultado de dicha reflexión, Un exceso de regulación podría llegar a ser
un adecuado marco legal y regulatorio contraproducente, porque incrementaría el
desempeña un papel esencial en el fomento riesgo de convertir los programas de ética en
de aquellos cambios necesarios para crear y una suerte de lista de verificación.
desarrollar la adopción de un enfoque ético
en la gestión empresarial y contribuir a la Algunos autores62 sostienen que la primera
excelencia y madurez de las organizaciones. norma que ayudó a impulsar el movimiento
Para ello, los estados (gobiernos), y los de ética empresarial fue la Ley de Derechos
organismos reguladores y supervisores, Civiles de los EE.UU de 1964 (U.S. Civil Rights
deben encontrar las formas de lograr que Act).
las empresas transformen sus culturas
Esta norma prohíbe la discriminación basada
corporativas de una manera que realmente
en la raza, el color, la religión o el origen
aliente comportamientos “correctos” entre
nacional en los establecimientos públicos
sus profesionales.
relacionados con el comercio interestatal,
Fomentar la responsabilidad legal corporativa así como en lugares de alojamiento público y
es necesario, pero también lo es fomentar entretenimiento.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 60
MÓDULO 2 • LA RELACIÓN ENTRE ÉTICA Y COMPLIANCE
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 61
MÓDULO 2 • LA RELACIÓN ENTRE ÉTICA Y COMPLIANCE
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 62
MÓDULO 2 • LA RELACIÓN ENTRE ÉTICA Y COMPLIANCE
son intrínsecamente buenas o malas (desde El egoismo ético68, establece que cada
este punto de vista, el robo, por ejemplo, persona debe actuar siempre para promover
sería considerado inmoral incluso cuando se el mayor equilibrio posible entre el bien y el
realice para crear un bienestar en otros). mal para sí mismo.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 63
MÓDULO 2 • LA RELACIÓN ENTRE ÉTICA Y COMPLIANCE
Así, Kant mantiene que los individuos deben Desde esta perspectiva, la ética de la virtud
actuar no porque lo que hagan vaya a tener aplicada al mundo de la empresa implica
un buen resultado, si no porque es su deber reflexionar sobre aquello que la empresa
actuar así. quiere ser.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 64
MÓDULO 2 • LA RELACIÓN ENTRE ÉTICA Y COMPLIANCE
Por último, la ética de la virtud permite sin Paso 1: Identificar los hechos
duda ese espacio tan necesario de reflexión
sobre lo que la empresa es y quiere ser, Es imposible tomar buenas decisiones si
fomentando la honestidad de quienes la se desconocen los datos. En tal sentido, es
integran y la búsqueda del bienestar social, conveniente detenerse a pensar y analizar
económico y medioambiental de la sociedad cuestiones tales como:
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 65
MÓDULO 2 • LA RELACIÓN ENTRE ÉTICA Y COMPLIANCE
ética para intentar salir, de manera creativa, para que, en caso de duda o indecisión, no
y que, en suma, se ha entado en diálogo con las personas más cercanas a mí respecto
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 66
MÓDULO 2 • LA RELACIÓN ENTRE ÉTICA Y COMPLIANCE
73 Argandoña, A. (2008), La ética en los negocios, Occasional Paper 75 Treviño, L.K., Waver, G. y Reynolds, S. (2006), Behavioral Ethics in
OP nº 8/10, IESE. Organizations: A Review, Journal of Management, Vol. 32 No. 6.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 67
MÓDULO 2 • LA RELACIÓN ENTRE ÉTICA Y COMPLIANCE
La ética no es una vestimenta o algo acuerdo con la ética que la propia empresa
externo a la propia estrategia empresarial propugna) contribuirán al éxito de la
aprobada con el fin de conseguir los empresa en el largo plazo77.
objetivos establecidos por el gobierno de la
organización. La ética debe ser parte de la La ética es un tipo de saber que necesita tiempo
propia estrategia. Ésta debe diseñarse a para crear una forma de vida, necesita proyectarse
partir de los valores que determine la propia al futuro desde el presente y el pasado, necesita
empresa y que contribuirán a definir su sujetos o corporaciones que se sepan responsables
de tales proyectos y de sus realizaciones, necesita
misión y su visión.
una finalidad que se inscribe en la cuenta de
La ética entra en juego desde el mismo resultados, pero va más allá de ella.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 68
MÓDULO 2 • LA RELACIÓN ENTRE ÉTICA Y COMPLIANCE
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 69
MÓDULO 2 • LA RELACIÓN ENTRE ÉTICA Y COMPLIANCE
Enron surgió en julio de 1985, fruto de la fusión de Houston Natural Gas e InterNorth, Enron llegó
a ser una empresa de servicios multinacional y diversificada (venta de gas como materia prima,
operaciones de cobertura, transacciones globales en internet, etc.)
La compañía empezó a crecer de forma desproporcionada, por lo que necesitaba mantener una
buena calificación crediticia. En 1997, Enron empezó a explorar nuevos mercados, pero estos
negocios no cumplieron con las expectativas, dificultando el crecimiento económico de la empresa,
el mantenimiento del precio de la acción y el de una buena calificación de crédito.
Enron requería una inyección de liquidez constante, lo dependía de unas ratios de deuda/capital
favorable y un precio alto de las acciones. Para ello, los directivos de Enron buscaron formas para
eliminar la mayor cantidad de deuda posible de las cuentas de la empresa, lo que consiguieron
mediante prácticas irregulares:
Y llegó el colapso: en el 2000 el precio de la acción de Enron cayó debido al estallido de la burbuja de
Internet. En octubre de 2001, Enron declara pérdidas multimillonarias en los resultados del tercer
trimestre del año, tan solo dos semanas después de que Kenneth LAY, su presidente, afirmara ante
sus empleados que las previsiones de resultados eran muy buenas y que las acciones de Enron eran
una ganga. Esto causó el derrumbe de la acción (hasta los 0,30 $). Incapaz de pagar sus deudas, en
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 70
MÓDULO 2 • LA RELACIÓN ENTRE ÉTICA Y COMPLIANCE
diciembre de 2001 Enron solicita a las autoridades estadounidenses acogerse a la normativa que
protege a las empresas que sufren bancarrota. Se produjo entonces la mayor quiebra de la historia
empresarial de EE.UU. Tras declararse la bancarrota, se abrieron múltiples investigaciones, entre
ellas a la empresa auditora de Enron, Arthur Andersen.
Enron disponía de un código ético de 64 páginas y un grupo de valores entre los que figuraban el
respeto, la integridad, la comunicación y la excelencia. Pero en la práctica, los resultados financieros
primaban, y el clima que se vivía en la compañía se caracterizaba por actitudes de arrogancia,
avaricia, corrupción y “crueldad”.
Tras la caída de Enron y el posterior debate en EE.UU, se promulgó la ley Sarbanes- Oxley en 2002.
Dicha ley, aun en vigor, introdujo una regulación más estricta con el fin de evitar que se repitan
casos como el descrito.
Fuentes:
• Caso Enron, https://elpais.com/economia/2002/04/10/actualidad/1018423974_850215.html
• The smartest guys in the room (2005), película documental de Alex GIBNEY, basada en el libro del mismo nombre
escrito por Bethany MCLEAN y Peter ELKIND (Ed. Penguin, septiembre 2004)
• Domènec MELÉ, Business Ethics in Action: Seeking Human Excellence in Organizations, p23-25,Palgrave Macmillan,
2009,.
• Joseph KAHN y Jonathan D. GLATER, Enron collapse: The overview, The New York Times, http://www.nytimes.
com/2001/12/13/business/enron-s-collapse-the-overview-enron-auditor-raises-specter-of-crime.html
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 71
MÓDULO 2 • LA RELACIÓN ENTRE ÉTICA Y COMPLIANCE
Hacer las cosas bien requiere, sobre todo, y efectiva, al considerar únicamente el
contar con una cultura corporativa que cumplimiento del trámite (letra de los
impacte positivamente en el comportamiento requisitos exigidos por las leyes) y no el
de las personas que integran las espíritu tras la exigencia de control.
organizaciones y para ello no basta con
Además, otro problema al que se enfrentan
la aprobación y publicación de códigos y
es que los empleados dejen de confiar y
políticas de Compliance perfectamente
creer en el propio programa de Compliance.
redactadas, por muchos valores y principios
La función deviene para ellos en una carga
éticos que contengan.
burocrática, una suerte de mecanismo
Por otro lado, la adopción de un enfoque que utiliza la dirección de la empresa para
ético durante el diseño y desarrollo de los eludir responsabilidades y traspasarlas a
programas de Compliance contribuye a los empleados. El riesgo más inmediato es
reflexionar sobre el propósito último de que se incrementan los incumplimientos
dicho programa. (paradoja de Compliance78).
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 72
MÓDULO 2 • LA RELACIÓN ENTRE ÉTICA Y COMPLIANCE
La ética permite a las empresas centrarse una competencia inefectiva en los mercados
en lo que “deberían hacer” (motivación financieros”.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 73
MÓDULO 2 • LA RELACIÓN ENTRE ÉTICA Y COMPLIANCE
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 74
MÓDULO 2 • LA RELACIÓN ENTRE ÉTICA Y COMPLIANCE
• La ética aplicada es, a su vez, una rama de la ética, y se ocupa de estudia la aplicación de las
teorías éticas. La ética empresarial (o ética en los negocios) es una subdisciplina de la ética
aplicada que se ocupa de lo que moralmente es considerado correcto o incorrecto en mundo
de los negocios.
• La ética, aplicada a los negocios, aunque nueva como disciplina, no ha carecido de recorrido
histórico. La aplicación de reglas morales o éticas al desempeño de la actividad empresarial se
ha dado desde la Antigüedad.
• La dimensión moral de los negocios ha sido objeto de estudio desde Aristóteles, pasando
por Santo Tomás de Aquino, los reformistas Lutero y Calvino, Weber, Kant, Smith, Marx y varios
papas.
• Respecto de las teorías éticas, cabe señalar al relativismo y absolutismo éticos. El primero
afirma que la ética de las acciones depende de las circunstancias (temporales, culturales, etc).
Por el contrario, el absolutismo niega esta dependencia, afirmando que existencia de unos
principios universales que no varían en función de las circunstancias.
• Otras teorías éticas son el consecuencialismo (con sus posturas de egoismo ético y utilitarismo),
el enfoque deontológico (absolutismo de las normas) y la ética de la virtud (con el fin de una
buena vida, entendida como la de un actuar honesto).
• Por esta razón, existe una dimensión ética innegable en las normas desarrolladas desde
entonces, que no ha hecho más que incrementarse a lo largo del tiempo con exigencias
adicionales. Así, se han ido incorporando de conceptos novedosos en este ámbito (sostenibilidad,
riesgo de conducta, etc) y se ha vinculado de la eficacia de los programas de prevención de
riesgos penales a la consecución de una cultura empresarial ética.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 75
MÓDULO 2 • LA RELACIÓN ENTRE ÉTICA Y COMPLIANCE
• Los programas de Compliance corporativos, para ser verdaderamente efectivos, deben influir
y conformar y fomentar una cultura organizacional ética, como complemento a los sistemas
formales existentes.
• La ética debe ser parte integrante de la estrategia de las empresas, que han de convencerse
de que aplicarla crea valor para ellas y todas las partes interesadas.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 76
Módulo 3
Compliance. Requisitos
buscaba asegurar conductas de cumplimiento
desde varias perspectivas.
con orientación para su
uso Publicada en diciembre de 2014, fue
incorporada como norma española en 2015
bajo la denominación UNE-ISO 19600.
Objetivos
Esta norma permitió el diseño y la evaluación
Tras completar este módulo, el alumno
de un sistema de gestión de Compliance
deberá ser capaz de:
adaptado a las características y circunstancias
particulares de cada organización, implicando
• Conocer los aspectos más relevantes de la ISO
a todos los miembros de la organización,
37301, así como los antecedentes de dicha
independientemente de su categoría
norma y sus diferencias con su predecesora, la
ISO 19600. profesional, en su correcta ejecución.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 78
MÓDULO 3 • NORMA ISO 37301. SISTEMAS DE GESTIÓN DE COMPLIANCE. REQUISITOS CON ORIENTACIÓN PARA SU USO
con esta norma pueda verificarse por un de Gestión del Compliance Penal y UNE-
tercero independiente, al contener requisitos ISO 19602:2019, sobre Sistemas de
medibles. Compliance Tributario), lo que facilita
su adopción y reduce esfuerzos a las
organizaciones que ya han implantado
dichos sistemas.
• Certificable: Como ya se ha mencionado, para mejor comprensión, así como para una
esta cualidad permitirá incorporar a mayor familiarización con las los conceptos y
Igualmente, es integrable con los demás criterios, aunque sus normas terminan
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 79
MÓDULO 3 • NORMA ISO 37301. SISTEMAS DE GESTIÓN DE COMPLIANCE. REQUISITOS CON ORIENTACIÓN PARA SU USO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 80
MÓDULO 3 • NORMA ISO 37301. SISTEMAS DE GESTIÓN DE COMPLIANCE. REQUISITOS CON ORIENTACIÓN PARA SU USO
3.4. Definiciones
El estándar ISO 37301 incluye en su apartado
3 (“Términos y definiciones”) un listado
de conceptos necesarios para el correcto
entendimiento de su contenido.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 81
MÓDULO 3 • NORMA ISO 37301. SISTEMAS DE GESTIÓN DE COMPLIANCE. REQUISITOS CON ORIENTACIÓN PARA SU USO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 82
MÓDULO 3 • NORMA ISO 37301. SISTEMAS DE GESTIÓN DE COMPLIANCE. REQUISITOS CON ORIENTACIÓN PARA SU USO
3.5.1. Comprensión de la
organización y su contexto
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 83
MÓDULO 3 • NORMA ISO 37301. SISTEMAS DE GESTIÓN DE COMPLIANCE. REQUISITOS CON ORIENTACIÓN PARA SU USO
Las obligaciones de Compliance incluyen A fin de poder identificar cuáles son sus
los requisitos que una organización obligaciones de Compliance, la organización
tiene obligatoriamente que cumplir, así debería identificar, analizar y evaluar, con
como aquellos que una organización carácter previo, cuáles son sus principales
elige voluntariamente cumplir (llamados riesgos en ese ámbito.
compromisos).
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 84
MÓDULO 3 • NORMA ISO 37301. SISTEMAS DE GESTIÓN DE COMPLIANCE. REQUISITOS CON ORIENTACIÓN PARA SU USO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 85
MÓDULO 3 • NORMA ISO 37301. SISTEMAS DE GESTIÓN DE COMPLIANCE. REQUISITOS CON ORIENTACIÓN PARA SU USO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 86
MÓDULO 3 • NORMA ISO 37301. SISTEMAS DE GESTIÓN DE COMPLIANCE. REQUISITOS CON ORIENTACIÓN PARA SU USO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 87
MÓDULO 3 • NORMA ISO 37301. SISTEMAS DE GESTIÓN DE COMPLIANCE. REQUISITOS CON ORIENTACIÓN PARA SU USO
d. Los empleados de todos los niveles actuar sin interferencias por parte de la
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 88
MÓDULO 3 • NORMA ISO 37301. SISTEMAS DE GESTIÓN DE COMPLIANCE. REQUISITOS CON ORIENTACIÓN PARA SU USO
• Los principios según los cuales se van • Una declaración de política general.
a gestionar las relaciones con partes
• Estrategias de gestión y asignación de
interesadas internas y externas.
responsabilidades y recursos.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 89
MÓDULO 3 • NORMA ISO 37301. SISTEMAS DE GESTIÓN DE COMPLIANCE. REQUISITOS CON ORIENTACIÓN PARA SU USO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 90
MÓDULO 3 • NORMA ISO 37301. SISTEMAS DE GESTIÓN DE COMPLIANCE. REQUISITOS CON ORIENTACIÓN PARA SU USO
Sea cual sea el sistema y las razones que lo • Establecer un canal de denuncias y
justifiquen, la organización debe asegurar en asegurarse de que las denuncias se
todo caso que la función de Compliance: gestionan adecuadamente.
• Dispone de acceso a toda la información y Por otro lado, la función de Compliance debe
datos necesarios de la organización. supervisar que:
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 91
MÓDULO 3 • NORMA ISO 37301. SISTEMAS DE GESTIÓN DE COMPLIANCE. REQUISITOS CON ORIENTACIÓN PARA SU USO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 92
MÓDULO 3 • NORMA ISO 37301. SISTEMAS DE GESTIÓN DE COMPLIANCE. REQUISITOS CON ORIENTACIÓN PARA SU USO
los requisitos aplicables, susceptibles de ser b. Asegurarse de que dichas personas sean
monitorizados, comunicarse, actualizarse competentes, basándose en su formación
cuando corresponda y estar disponibles y experiencia.
como información documentada.
c. Hacer lo necesario para que adquieran
Cuando se planifica cómo lograr sus objetivos la competencia necesaria y evaluar la
de Compliance, la organización debe eficacia de las acciones tomadas.
determinar qué se va a hacer, qué recursos
Antes de contratar personal o de promocionar
serán necesarios, quién será responsable,
al personal existente, la organización debería
cuándo se finalizará y cómo se evaluarán los
llevar a cabo la debida diligencia que podría
resultados.
incluir comprobaciones de referencias o de
3.7.3. Planificación de los cambios antecedentes (filtrado de personal).
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 93
MÓDULO 3 • NORMA ISO 37301. SISTEMAS DE GESTIÓN DE COMPLIANCE. REQUISITOS CON ORIENTACIÓN PARA SU USO
procedimientos internos.
Lo anterior se puede lograr mediante
• Cambios en la estructura organizativa. métodos tales como:
servicios.
• Actualizaciones regulares sobre
• Cuestiones identificadas en la cuestiones de Compliance.
monitorización, auditorías, reclamaciones,
incumplimientos e información de las
partes interesadas.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 94
MÓDULO 3 • NORMA ISO 37301. SISTEMAS DE GESTIÓN DE COMPLIANCE. REQUISITOS CON ORIENTACIÓN PARA SU USO
• La política y procedimientos de
Compliance de la organización.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 95
MÓDULO 3 • NORMA ISO 37301. SISTEMAS DE GESTIÓN DE COMPLIANCE. REQUISITOS CON ORIENTACIÓN PARA SU USO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 96
MÓDULO 3 • NORMA ISO 37301. SISTEMAS DE GESTIÓN DE COMPLIANCE. REQUISITOS CON ORIENTACIÓN PARA SU USO
1. Ser visible y accesible en toda la identificar las causas raíz de malas prácticas,
las vulnerabilidades del sistema de gestión del
organización;
Compliance y los fallos de responsabilidad,
2. Tratar las denuncias o informaciones incluso entre los directivos, la alta dirección y
confidencialmente; el órgano de gobierno.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 97
MÓDULO 3 • NORMA ISO 37301. SISTEMAS DE GESTIÓN DE COMPLIANCE. REQUISITOS CON ORIENTACIÓN PARA SU USO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 98
MÓDULO 3 • NORMA ISO 37301. SISTEMAS DE GESTIÓN DE COMPLIANCE. REQUISITOS CON ORIENTACIÓN PARA SU USO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 99
MÓDULO 3 • NORMA ISO 37301. SISTEMAS DE GESTIÓN DE COMPLIANCE. REQUISITOS CON ORIENTACIÓN PARA SU USO
La organización debe llevar a cabo auditorías • Las comunicaciones a través del canal de
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 100
MÓDULO 3 • NORMA ISO 37301. SISTEMAS DE GESTIÓN DE COMPLIANCE. REQUISITOS CON ORIENTACIÓN PARA SU USO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 101
MÓDULO 3 • NORMA ISO 37301. SISTEMAS DE GESTIÓN DE COMPLIANCE. REQUISITOS CON ORIENTACIÓN PARA SU USO
• La Norma ISO 37301:2021 establece el estándar certificable que establece los requisitos para los
sistemas de gestión de Compliance (CMS. Es la norma que reemplaza a la ISO19600 que, pionera
en esta materia, establecía recomendaciones (no requisitos y, por tanto, no era certificable).
• Además de ser certificable, otros aspectos destacables de la ISO 37301 son el fomento de una
cultura de Compliance como núcleo de la norma; insistir en un enfoque basado en el riesgo
para permitir su alineamiento con otras normas del ámbito; la ampliación del análisis del entorno
de la organización y la importancia y énfasis puestos en el aprovechamiento de canales de
denuncia interna.
• Los objetivos de Compliance son los fines a alcanzar en ámbitos concretos, que deben coadyuvar
al cumplimiento de la política de Compliance.
• Las obligaciones de Compliance incluyen básicamente dos tipos: los requisitos y los compromisos.
• Los requisitos son deberes que una organización tiene obligatoriamente que cumplir (por
cuestiones legales y normativas). Por otro lado, los compromisos son aquellos que una
organización elige voluntariamente cumplir.
• Cuando una organización vulnera alguna de sus obligaciones, se denomina no-conformidad (si
afecta a un requerimiento) o incumplimiento (si afecta a un compromiso).
• La norma estable los siguientes principios de gobierno: el acceso directo a los órganos de gobierno,
independencia de la función (libre de conflictos de interés), asignación de recursos (humanos,
técnicos, económicos) y autoridad (sin sometimiento a cargos subalternos o intermedios).
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 102
Módulo 4
Buenas prácticas de la
función de Compliance
MÓDULO 4 • BUENAS PRÁCTICAS DE LA FUNCIÓN DE COMPLIANCE
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 104
MÓDULO 4 • BUENAS PRÁCTICAS DE LA FUNCIÓN DE COMPLIANCE
Liderazgo y cultura son dos caras de la Así, las organizaciones que establecen
misma moneda, y no pueden comprenderse un programa de Compliance cuentan, en
por separado. Dependiendo de cómo sea general, con elementos como códigos éticos
la cultura de una organización así será el y /o de conducta, políticas y procedimientos
liderazgo (p.ej., a quién se promociona o quien escritos, canales de denuncia, mecanismos
retiene la atención de seguidores). Incluso de identificación, análisis y evaluación de los
podríamos afirmar que lo verdaderamente riesgos, etc.
importante para un líder es crear y gestionar
Sin embargo, estos elementos corren el
la cultura de la organización84.
riesgo de convertirse en meros soportes de
Este módulo aborda estos dos elementos, unas normas cuyo contenido no sea aplicado
liderazgo y cultura corporativa, para en el día a día de la actividad empresarial (en
comprender su significado, su importancia en definitiva, un Compliance de papel).
el desarrollo y mantenimiento de programas
Los programas de Compliance, y en particular,
de Compliance, y cómo deben ejercerse
los elementos formales que contienen, deben
y desarrollarse para que Compliance no
integrarse y formar parte de los procesos y
quede en meras formalidades y documentos
decisiones de una organización.
escritos.
los programas y estructuras organizativas que las políticas y documentos que aprueban y
permitan dar apoyo al desarrollo del modelo comunican, influyen en la forma que tiene la
Los programas de Compliance documentan Por ello, el impulso del programa por
formalmente los esfuerzos que realiza una parte de quienes dirigen y administran las
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 105
MÓDULO 4 • BUENAS PRÁCTICAS DE LA FUNCIÓN DE COMPLIANCE
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 106
MÓDULO 4 • BUENAS PRÁCTICAS DE LA FUNCIÓN DE COMPLIANCE
de una organización. En esta definición no Cada una de estas formas de liderar tiene sus
aparece el ejercicio de control como un propias características y fortalezas:
elemento relevante.
ESTILO CARACTERISTICAS FORTALEZAS
Un líder será, por tanto, aquel que logre Ganar de cualquier forma. Buenos en
influir, motivar y poner los medios para que emergencias y
Oportunista Orientado a sí mismo.
oportunidades
otros contribuyan al éxito de la organización, Manipulativo. de venta
Conscientes de un posible
Tipos de liderazgo: quién y cómo lo conflicto entre sus
Efectivo en
papeles de
Individualista principios y sus acciones,
ejerce o entre los valores de
consultoría y
negocios.
la organización y su
implementación.
Podemos analizar el fenómeno del liderazgo
Tienden a ignorar
de diferentes formas. Por un lado, podemos normas que consideran
preguntarnos qué habilidades técnicas y qué irrelevantes.
logics).
Distintas formas de liderar, sus características y fortalezas.
Elaboración propia.
Fuente: Basado en Rooke y Torbert (2005:3). Seven transformations of
89 Rooke y Torbert (2005) leadership. Harvard Business Review.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 107
MÓDULO 4 • BUENAS PRÁCTICAS DE LA FUNCIÓN DE COMPLIANCE
Los estilos menos efectivos90 para el liderazgo modelo de liderazgo que puede contribuir a
organizacional son el oportunista y el generar un impacto que exceda las fronteras
diplomático. Sin embargo, los más efectivos, de la propia organización (por ejemplo,
son el estratega y el alquimista. contribuyendo a los Objetivos de Desarrollo
Sostenible de la ONU).
Que un líder reconozca su propia lógica de
acción es el primer paso hacia el desarrollo Sin embargo, la realidad de las
de un estilo de liderazgo más efectivo. No organizaciones, y muy especialmente en
obstante, el descubrimiento más notable el mundo de la empresa, hace que quienes
y alentador es que los líderes pueden dirigen y gestionan lo hagan enfrentándose a
transformarse de una lógica de acción (action presiones de diversa índole (maximización del
logic) a otra. beneficio para los accionistas, por ejemplo),
y superando determinados sesgos (como el
Hasta aquí hemos visto como una persona
de atender al interés propio, o la tendencia
que esté al frente de una organización puede
a racionalizar o justificar determinadas
desarrollar distintas formas de liderar, y
conductas en beneficio de la organización).
que en función de las características de
esta forma de liderar puede impactar más o Todo ello hace necesario no caer en la
menos en la transformación y cambio de las ingenuidad de pensar que un buen líder solo
organizaciones. se caracteriza por sus habilidades y cualidades
técnicas. Se debe por tanto abordar también
Podríamos concluir que un programa
la dimensión ética del liderazgo, es decir, qué
de Compliance, contemplado desde la
tipo de transformación se persigue y cómo se
perspectiva del cambio y transformación
logra (¿qué conductas y actitudes caracterizan
inherente a su puesta en marcha y desarrollo
a ese líder?).
(con todo lo que hemos visto que conlleva,
sobre todo, desde un punto de vista de
Diferencia entre líder y jefe o superior
cultura corporativa), necesita del apoyo de
jerárquico (directivo)
profesionales que sean eficaces como líderes
transformacionales, como es el caso de los Si bien un jefe o superior jerárquico puede asumir a
líderes estratégicos. su vez un papel de liderazgo, una posición jerárquica
no genera automáticamente una cualidad de líder
Si tenemos en cuenta, además, que un buen (Schein, 2004)
Compliance no consiste solo centrarse en lo
que la ley permite a una organización, sino
en lo que ésta debe hacer para llevar a la
práctica los valores y principios éticos que
haya adoptado voluntariamente, la forma
de liderar del alquimista emerge como un
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 108
MÓDULO 4 • BUENAS PRÁCTICAS DE LA FUNCIÓN DE COMPLIANCE
buen liderazgo.
Este término, como indican los autores de
Por tanto, la dimensión ética del liderazgo esta definición, ha sido elegido de forma
representa un pequeño componente que deliberada, dado que lo que puede ser
En este sentido, podemos decir que es Además, esa referencia puede hacer pensar
necesario que el líder influya en el grupo que se limita a un ámbito legal o normativo.
miembros del grupo (organización) crezcan moralmente aceptables. Es decir, un líder ético
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 109
MÓDULO 4 • BUENAS PRÁCTICAS DE LA FUNCIÓN DE COMPLIANCE
en adelante ELS) fue desarrollado por unos valores corporativos (incluido, claro está,
investigadores93, donde se describen las el cumplimiento de la legalidad) y los
características y comportamientos presentes comportamientos expresados y exigidos en
en un liderazgo ético: el día a día de la actividad de la organización.
• Conduce su vida personal de una manera Tal y como apunta la Ethics & Compliance
ética; Initiative (2017), el liderazgo ético impacta
positivamente en la puesta en práctica de un
• Define el éxito no solo por los resultados
programa de Ética y Compliance:
sino por cómo se logran;
Emmanuel LULIN
Un programa de Compliance requiere de su
promoción e impulso por parte de líderes Senior Vice President, & Chief Ethics Officer,
L’Oréal (Ethics & Compliance Initiative, 2017)
que ilustren en el día a día el contenido de
dicho programa. Líderes que se preocupen
por la el alineamiento entre principios y
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 110
MÓDULO 4 • BUENAS PRÁCTICAS DE LA FUNCIÓN DE COMPLIANCE
94 Consultar: www.fca.org.uk/publication/business-plans/bu-
siness-plan-2019-20.pdf y www.fca.org.uk/publication/busi-
ness-plans/business-plan-2018-19.pdf 95 Treviño y Brown (2004)
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 111
MÓDULO 4 • BUENAS PRÁCTICAS DE LA FUNCIÓN DE COMPLIANCE
Caso de estudio IV: El papel del liderazgo en los esfuerzos de Carlson para combatir el tráfico y
explotación de niños
La empresa hotelera Carlson es un ejemplo de compromiso ético llevado a la práctica, en este caso, para
proteger los Derechos Humanos y combatir la explotación sexual infantil en la industria de viajes y hospitalidad.
Las raíces de Carlson se remontan a 1938, cuando Curtis L. CARLSON tomó una idea para un programa de lealtad
y, con un préstamo de 55 dólares, fundó la Gold Bond Stamp Company en Minneapolis (Minnesota, EE.UU).
Carlson siempre ha impulsado y se ha basado en un sólido conjunto de valores que ejemplifican el espíritu
emprendedor y los altos estándares de calidad encarnados por su fundador, quien elaboró el Credo Carlson:
“Cualquier cosa que hagas, haz con integridad; a dónde vayas, ve como un líder; a quien sirvas, sirve
con cariño; cuando sueñes, sueña a lo grande; y nunca, jamás, te rindas”
Hoy, Carlson opera en casi 150 condados y territorios en todo el mundo, y lo dirige la tercera generación de
propiedad familiar. Además, hacer negocios de una manera socialmente responsable ha sido un principio rector
de Carlson durante sus más de ocho décadas de historia. Desde el punto de vista del liderazgo, esta empresa
ha ejemplificado como desde la dirección se puede impulsar un cambio que contribuya a que los propios
empleados de la empresa colaboren en la puesta en práctica de un programa de lucha contra el tráfico de
personas y la explotación sexual de menores en las instalaciones hoteleras de la empresa.
La presidenta y anterior CEO de la compañía, Marilyn CARLSON NELSON, hizo que su empresa fuese la
primera compañía hotelera y de viajes de EE.UU. en firmar, en 2004, el código de conducta internacional de la
industria dirigido a la protección de menores (Code of Conduct for the Protection of Children against Sexual
Exploitation in Travel and Tourism).
A pesar de que la firma de dicho código pudiera tener consecuencias negativas para el negocio, se decidió que
era más importante hacer lo posible para que la empresa impactara positivamente en este tema tan crucial y
contribuyera a la protección de los derechos humanos.
• Integrar una cláusula en los contratos como proveedor de no aceptación de explotación infantil en sus
instalaciones.
Carlson puso en práctica todos estos compromisos y no lleva a cabo actividades con empresas sobre las que
tenga constancia que participan de algún modo en explotación sexual de menores. Además, puso en práctica
un sistema que involucra y hace parte del programa a todos los empleados, solicitándoles su colaboración
para comunicar cualquier conducta inapropiada. En este sentido puso en marcha un programa de formación
que incluso, inicialmente, llegó a ser liderado por un grupo de empleados comprometidos con la causa. Como
operativamente era necesario que un departamento concreto se responsabilizara de la gestión del programa,
en 2010 se decidió que lo liderara el departamento de Negocio Responsable (Responsible Business).
Carlson tiene además una política de compartir su conocimiento en este ámbito y compartir su programa de
formación con otras compañías para ayudarles a proteger y defender a los niños de todo el mundo.
Fuentes:
Zemke, E. (2011). Case Study: Carlson´s efforts to combat trafficking and exploitation of children
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 112
MÓDULO 4 • BUENAS PRÁCTICAS DE LA FUNCIÓN DE COMPLIANCE
Las normas sociales tácitas son las que Cultura organizacional / cultura corporativa
realmente definen qué comportamientos
Conjunto de valores, creencias, suposiciones y
se fomentan o desalientan y se aceptan o
prácticas compartidas por quienes integran una
rechazan dentro del grupo de individuos que
organización y que marcan las normas implícitas
integran una organización96.
(no escritas) de cómo se hacen las cosas y cómo se
relacionan los individuos.
Pero cuando esas normas no están alineadas
con los valores éticos y los principios de
actuación que las organizaciones comunican En definitiva, la cultura de una empresa u
y dan a conocer a través de sus códigos éticos organización de otro tipo se evidencia a través
genera se convierte en el peor enemigo de la las cosas por aquí). Es lo que los directivos y
97 Langevoort, 2016
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 113
MÓDULO 4 • BUENAS PRÁCTICAS DE LA FUNCIÓN DE COMPLIANCE
qué valores éticos, principios de actuación y o decisiones contrarias a las normas legales
normas de conducta integran su visión de la y/o a los propios valores éticos y normas de la
ética corporativa (y cumplir las leyes es uno organización), la cultura corporativa emerge
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 114
MÓDULO 4 • BUENAS PRÁCTICAS DE LA FUNCIÓN DE COMPLIANCE
No obstante, ya hace tiempo que el desarrollo Las culturas basadas en la intimidación (el
de una cultura ética se vincula al propio miedo a la detección y la sanción) no son
desarrollo de los programas de Compliance. precisamente el mejor camino hacia la
En el año 2004, las ya mencionadas USFSG honestidad y la rendición de cuentas101.
fueron actualizadas para incluir como
En este sentido, existe una profusa
objetivo de los programas de Compliance
literatura académica que ha contribuido a
de las organizaciones “promover una cultura
evidenciar que un enfoque basado solo en
organizacional que fomente la conducta
el cumplimiento de las leyes ve dificultado su
ética y el compromiso de cumplir con la ley”.
eficacia para mejorar conductas y decisiones
No obstante, en el ámbito del desarrollo debido al alcance limitado de las propias
e implementación de sistemas de gestión leyes y regulaciones para impactar en la
de Compliance, se suele indicar que este conducta102. Sin embargo, un enfoque basado
debe contribuir a una adecuada cultura de en la puesta en práctica de principios éticos y
Compliance. Así, podemos definir cultura de valores puede ser más efectivo en el logro de
Compliance como: la integridad de la organización103.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 115
MÓDULO 4 • BUENAS PRÁCTICAS DE LA FUNCIÓN DE COMPLIANCE
Qué elementos o factores impactan Según este marco conceptual, la cultura ética
en la cultura de una organización está compuesta por cinco dimensiones:
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 116
MÓDULO 4 • BUENAS PRÁCTICAS DE LA FUNCIÓN DE COMPLIANCE
Contrato social
Injusticia Confianza cultura corporativa se vea perjudicada.
organizacional organizacional
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 117
MÓDULO 4 • BUENAS PRÁCTICAS DE LA FUNCIÓN DE COMPLIANCE
una cultura ética implica prestar atención a el coste esperado si ese incumplimiento es
Financial Conduct Authority (FCA) del Reino conocer que una conducta está prohibida
Unido publicó un documento titulado por una ley (por ejemplo, haciendo firmar
de las normas en función de cuatro factores: tengan en cuenta otros factores que influyen
en la conducta de las personas que integran
108 Killingsworth (2012) una organización.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 118
MÓDULO 4 • BUENAS PRÁCTICAS DE LA FUNCIÓN DE COMPLIANCE
Los sesgos de comportamiento: Tal y como No cabe duda de que el interés por agradar
se explica en el punto anterior, las personas y obtener la conformidad de otros (somos
no siempre respondemos a los mecanismos seres sociales) nos puede conducir en
de control, detección y castigo de una manera determinadas ocasiones al incumplimiento
estrictamente racional. del marco normativo establecido.
Esos mismos sesgos, además, influyen Solemos sentir satisfacción cuando hacemos
en la evaluación que hacemos de los lo que consideramos correcto y tenemos
controles que las empresas han puesto en sentimientos negativos (remordimiento,
marcha precisamente para minimizar dicho vergüenza, culpa, desasosiego, etc.) cuando
incumplimiento. hacemos algo que consideramos incorrecto.
Se entiende que los sesgos pueden afectar En definitiva, nuestros valores o principios
a, por ejemplo, nuestras preferencias morales también dirigen nuestra forma de
(preferencia por obtener algo ahora en lugar actuar. De ahí la importancia de cultivarlos a
de más tarde y, en consecuencia, percepción nivel organizativo y contribuir a la identidad
de un incremento de los beneficios obtenidos moral de la organización.
por un incumplimiento), o también a nuestro
El comportamiento humano en
proceso de adopción de decisiones.
Compliance
La presión de grupo: Una empresa es una
En relación al cumplimiento de normas y
comunidad de personas. En consecuencia,
estándares éticos, la experiencia demuestra
las potenciales decisiones que implican
que en grandes organizaciones conviven tres
el incumplimiento de una norma son
perfiles:
generalmente adoptadas por un grupo o por
individuos en un contexto grupal. 1. Las personas que difícilmente
incurrirán en una violación
Podemos decir, por tanto, que el contexto
consciente de las mismas;
social y la presión de grupo influye en nuestro
proceso de adopción de decisiones109. 2. Las susceptibles de hacerlo
dependiendo en gran medida
En definitiva, ser parte de un grupo puede
de las circunstancias;
cambiar nuestras creencias, nuestras
preferencias y nuestros comportamientos. 3. Las propensas a quebrantarlas,
normalmente guiadas por
109 Asch (1956) intereses personales.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 119
MÓDULO 4 • BUENAS PRÁCTICAS DE LA FUNCIÓN DE COMPLIANCE
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 120
MÓDULO 4 • BUENAS PRÁCTICAS DE LA FUNCIÓN DE COMPLIANCE
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 121
MÓDULO 4 • BUENAS PRÁCTICAS DE LA FUNCIÓN DE COMPLIANCE
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 122
MÓDULO 4 • BUENAS PRÁCTICAS DE LA FUNCIÓN DE COMPLIANCE
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 123
MÓDULO 4 • BUENAS PRÁCTICAS DE LA FUNCIÓN DE COMPLIANCE
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 124
MÓDULO 4 • BUENAS PRÁCTICAS DE LA FUNCIÓN DE COMPLIANCE
Aunque es una materia muy poco una necesidad normativa que hace
contribuir a ello, ayudando a comprender contra las mismas por parte de los
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 125
MÓDULO 4 • BUENAS PRÁCTICAS DE LA FUNCIÓN DE COMPLIANCE
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 126
MÓDULO 4 • BUENAS PRÁCTICAS DE LA FUNCIÓN DE COMPLIANCE
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 127
MÓDULO 4 • BUENAS PRÁCTICAS DE LA FUNCIÓN DE COMPLIANCE
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 128
MÓDULO 4 • BUENAS PRÁCTICAS DE LA FUNCIÓN DE COMPLIANCE
eficiente a todas estas personas, de forma que sus respectivas funciones están claramente
no haya duplicidades ni áreas de control sin definidas. El modelo de 2013 se ha adoptado con
cubrir. Es, por tanto, necesario que se definan éxito por una gran parte de las organizaciones
claramente las funciones de forma que los a nivel internacional, por lo que se ha verificado
componentes de cada una de las áreas entiendan suficientemente en la práctica.
bien los límites de sus responsabilidades y
Por ello, haremos referencia al modelo de 2013
cómo encajan en la estructura de control del
y no al de 2020 cuando nos refiramos a las
riesgo global de la organización.
líneas de defensa de las organizaciones, ya
Este este modelo de control del riesgo fue que consideramos que está más alineado con
descrito en el documento The Three Lines of las características y principios que deben regir
Defense in Effective Risk Management and la función de Compliance.
Control, publicado por el Institute of Internal
Así, en el modelo de las tres líneas de defensa
Auditors (IIA) en enero de 2013110, y actualizado
tradicional nos encontramos con:
en julio de 2020. El nuevo modelo en vigor
se basa en el esquema que se reproduce a • Primera línea (Negocio): constituida por
continuación. las áreas responsables de llevar a cabo
las actividades propias de la empresa
110 The Three Lines of Defense in Effective Risk Management and
Control, (Altamonte Springs, FL: The Institute of Internal Auditors y las unidades operativas y que no
Inc, January 2013). Disponible en https://na.theiia.org/
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 129
MÓDULO 4 • BUENAS PRÁCTICAS DE LA FUNCIÓN DE COMPLIANCE
forman parte de áreas de control. Son las sus funciones la supervisión y monitorización
funciones dueñas de los riesgos y las que de los controles que ejecutados por la primera
los gestionan. línea.
y/o monitorizar los controles de la primera tres líneas de defensa de este modelo, no hay
línea de defensa (o controles internos). duda de que son los responsables de fijar los
Normalmente esto incluye, al menos, a objetivos de la organización, de determinar las
una función de gestión de riesgos (junto estrategias para conseguir dichos objetivos y
con un comité, en su caso) y una función de establecer las estructuras de gobernanza
de Compliance, encargada de monitorizar y los procesos adecuados para gestionar los
determinados riesgos y que depende de la riesgos que surgen en la búsqueda de los
alta dirección o del órgano de administración. objetivos.
Compliance forma parte de la segunda línea Los miembros del órgano de administración
de defensa, por lo que tiene como parte de y de la dirección ejecutiva son los últimos
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 130
MÓDULO 4 • BUENAS PRÁCTICAS DE LA FUNCIÓN DE COMPLIANCE
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 131
MÓDULO 4 • BUENAS PRÁCTICAS DE LA FUNCIÓN DE COMPLIANCE
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 132
MÓDULO 4 • BUENAS PRÁCTICAS DE LA FUNCIÓN DE COMPLIANCE
en la empresa tiene el debido control. • Asignar las tareas a las personas concretas
que se van a responsabilizar de su ejecución.
• Realizar el seguimiento de que las tareas
La planificación realizada con un enfoque
planificadas se ejecutan correctamente.
basado en el riesgo es importante para:
• Analizar los riesgos de forma sistemática y
ordenada. El Plan Anual de Compliance y, en general,
• Identificar correctamente las prioridades. toda la actividad de Compliance debe estar
• Asignar los recursos existentes de forma eficaz. basada en el riesgo, centrándose en aquellos
• Identificar y asignar responsables en las de mayor probabilidad e impacto.
distintas áreas de negocio.
• Fomentar la participación y aceptación de los 4.4.1. Proceso de elaboración del
riesgos por parte del personal. Plan Anual de Compliance
• Fomentar la coordinación entre los distintos
Para elaborar el Plan Anual de Compliance,
departamentos implicados en un mismo riesgo.
intentando lograr el mayor aprovechamiento
de los recursos que poseen las empresas de
Por otro lado, no se debe confundir
una manera correcta, rápida y eficaz, se puede
independencia con el aislamiento; cuando
seguir el proceso que se resume en el siguiente
así sucede, se compromete la efectividad del
esquema:
programa de Compliance, y los objetivos del
plan anual se pueden ver afectados.
El Plan anual de Compliance “es un documento Fases del proceso de elaboración del plan anual
Fuente: Elaboración propia
estructurado en el que se describen con detalle
las tareas que va a realizar el [responsable de] 111 Enseñat de Carlos, S. Manual del Compliance Officer. (2016).
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 133
MÓDULO 4 • BUENAS PRÁCTICAS DE LA FUNCIÓN DE COMPLIANCE
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 134
MÓDULO 4 • BUENAS PRÁCTICAS DE LA FUNCIÓN DE COMPLIANCE
fase de planificación.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 135
MÓDULO 4 • BUENAS PRÁCTICAS DE LA FUNCIÓN DE COMPLIANCE
Estos controles sólo dan resultado si se que realizar de manera proporcionada tanto
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 136
MÓDULO 4 • BUENAS PRÁCTICAS DE LA FUNCIÓN DE COMPLIANCE
• Plan de monitorización (que incluya todas las contenido de este plan. Esto determinará
áreas de la organización); la involucración que tendrán durante todo
• Revisiones temáticas específicas (de las áreas el año en la consecución de objetivos. Será
que mayor riesgo tengan asociado); una tarea sustancial el asegurar que, en
la presentación del plan, se describen de
• Plan de formación;
manera clara y concisa tanto los objetivos
• Debida diligencia y seguimiento de socios de como lo que se espera de ellos.
negocio.
Será interesante asimismo que comprendan
el alcance de los objetivos y de qué manera
Cada uno de ellos debe estar definido, con un
se va a interactuar con las distintas áreas de
objetivo realista y correctamente especificado
negocio y que aporten todas aquellas ideas o
de manera que la persona responsable tenga
inquietudes que puedan tener con respecto
mucha claridad sobre lo que se espera en
al plan presentado. Esto determinará el nivel
cada uno de ellos.
de compromiso con el plan aprobado.
Todos ellos de manera conjunta tratan de dar
El plan puede modificarse a lo largo del
efectividad al programa de Compliance que se
ejercicio por diversas causas (restricción
haya establecido, y por lo tanto deberían ser
de recursos, incidencias surgidas que no
un indicador en el caso de que por ejemplo
estaban previstas, auditorías o inspecciones
en el proceso de monitorización se descubra
de los supervisores, aprobación de nuevas
que existen incumplimientos por parte de
leyes, etc.).
algunas unidades de negocio.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 137
MÓDULO 4 • BUENAS PRÁCTICAS DE LA FUNCIÓN DE COMPLIANCE
Dicho informe tendrá como finalidad previas al informe y que conlleven una
asegurar que en todas las filiales del Grupo modificación de los procedimientos existentes
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 138
MÓDULO 4 • BUENAS PRÁCTICAS DE LA FUNCIÓN DE COMPLIANCE
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 139
MÓDULO 4 • BUENAS PRÁCTICAS DE LA FUNCIÓN DE COMPLIANCE
Informes específicos
Identificación, en el plan anual, de áreas compartidas tanto con el área que haya
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 140
MÓDULO 4 • BUENAS PRÁCTICAS DE LA FUNCIÓN DE COMPLIANCE
En éste, se debe determinar el alcance y el universo de personas que han sido formadas,
acciones de concienciación y sensibilización
impacto de lo sucedido, y siempre en estos
realizadas, incidencias producidas, etc.
casos se debe producir la elevación a la
Dirección en el momento en el que se haya • Supervisores: contactos mantenidos con
los organismos supervisores en el período,
realizado por completo la investigación y
compromisos adquiridos, estado de
se Hay que tener en cuenta en este tipo
implementación de los compromisos.
de informes el principio de prudencia y
de proporcionalidad. Es decir, hay que • Monitorización: revisiones realizadas en el
período, deficiencias encontradas, medidas de
recabar siempre todos los detalles antes
remediación propuestas.
de alertar del riesgo con objeto de tomar
las decisiones con información fundada. • Medidas correctoras: estado de
implementación de las medidas de
A su vez, el principio de proporcionalidad remediación de revisiones anteriores,
es importante ya que el evento de riesgo informe sobre su evolución, incidencias
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 141
MÓDULO 4 • BUENAS PRÁCTICAS DE LA FUNCIÓN DE COMPLIANCE
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 142
MÓDULO 4 • BUENAS PRÁCTICAS DE LA FUNCIÓN DE COMPLIANCE
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 143
MÓDULO 4 • BUENAS PRÁCTICAS DE LA FUNCIÓN DE COMPLIANCE
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 144
MÓDULO 4 • BUENAS PRÁCTICAS DE LA FUNCIÓN DE COMPLIANCE
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 145
MÓDULO 4 • BUENAS PRÁCTICAS DE LA FUNCIÓN DE COMPLIANCE
• El liderazgo es un concepto muy estudiado, tanto históricamente como en el contexto militar, político o
de las organizaciones en general. Liderar es la habilidad de una persona para influir, motivar, posibilitar a
otros para contribuir a la consecución de los objetivos de las organizaciones.
• Existen siete tipos de liderazgo, cada uno con su características y fortalezas: oportunista, diplomático,
experto, triunfador, individualista, estratega y alquimista.
• La ética forma parte intrínseca de un buen liderazgo. Un liderazgo ético pone en práctica lo que predica,
y promociona dichas conductas. El liderazgo ético reduce los riesgos de Compliance.
• La cultura [corporativa] ética tiene cinco dimensiones: contrato social, comportamiento de los líderes,
ética organizacional, percepción de los individuos y respuesta a una conducta indebida.
• La cultura influye en la conducta de quienes la integran, en función de cuatro factores: Análisis coste/
beneficio; sesgos de comportamiento; presión de grupo y las consideraciones morales. Otros factores
que influyen en el comportamiento de los empleados son: la claridad; el ejemplo; los objetivos, tareas y
responsabilidades (si son realistas y alcanzables o no); el compromiso; la transparencia; las discusiones
francas y ausencia de temas tabú; la ejecución, como percepción de sistema justo, proporcionado y
carente de arbitrariedad.
• Las tres líneas de defensa es un modelo de sistema de control simple y efectivo. Como su nombre indica,
está basado en una estructura de tres líneas que ejercen labores de control (1ª, negocio), supervisión (2ª,
control interno) y verificación o aseguramiento (3ª, auditoría interna).
• Un elemento esencial del modelo es la separación entre líneas (cuanto más definida, mejor) y su
coordinación (dependiente de la tipología de organización que se trate). Debe evitarse que se ejerzan
funciones de varias líneas por una misma persona, pero si así sucediera, debe quedar reflejado
documentalmente.
• La gestión de riesgos es normalmente más fuerte cuanto más separadas y definidas se encuentren las
tres líneas.
• El Plan anual de Compliance es un documento estructurado en el que se describen con detalle las tareas
que va a realizar el responsable de Compliance a lo largo del ejercicio. Sus fases de elaboración son:
planificación, organización, dirección y control.
• Su contenido no está regulado, si bien debería incluir: evaluación de riesgos; plan de formación del
personal; plan de monitorización; nuevas políticas, procedimientos y revisiones; participación de
Compliance en comités y órganos de control; estructura de la función; recursos, etc.
• El plan anual se aprueba por la alta dirección. Es modificable, si bien las modificaciones deberán ser
aprobadas por el mismo órgano que aprobó el plan.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 146
MÓDULO 4 • BUENAS PRÁCTICAS DE LA FUNCIÓN DE COMPLIANCE
• Los informes de Compliance son esenciales para varios propósitos, desde demostrar la actividad
desarrollada por la función hasta apoyar la toma de decisiones informada, como parte de los deberes de
la alta dirección y los órganos de administración.
• Dentro de los diferentes informes existentes, podemos identificar los específicos (planificados o urgentes)
y los periódicos.
• Los informes específicos tienen como propósito la evaluación de controles. Los informes periódicos
están programados y tienen un contenido normalizado ajustado a las necesidades de la organización.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 147
Módulo 5
Responsabilidad
social y buen gobierno
corporativo
MÓDULO 5 • RESPONSABILIDAD SOCIAL Y BUEN GOBIERNO CORPORATIVO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 149
MÓDULO 5 • RESPONSABILIDAD SOCIAL Y BUEN GOBIERNO CORPORATIVO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 150
MÓDULO 5 • RESPONSABILIDAD SOCIAL Y BUEN GOBIERNO CORPORATIVO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 151
MÓDULO 5 • RESPONSABILIDAD SOCIAL Y BUEN GOBIERNO CORPORATIVO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 152
MÓDULO 5 • RESPONSABILIDAD SOCIAL Y BUEN GOBIERNO CORPORATIVO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 153
MÓDULO 5 • RESPONSABILIDAD SOCIAL Y BUEN GOBIERNO CORPORATIVO
lugar de trabajo”.
Fue desarrollada en 1997 por la entidad
el papel de los gobiernos para incentivar las y certificable, que establece los requisitos
buenas prácticas empresariales, así como el voluntarios a ser cumplidos por las empresas
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 154
MÓDULO 5 • RESPONSABILIDAD SOCIAL Y BUEN GOBIERNO CORPORATIVO
revisión120 de la norma, y data de 2014 (tras lugar de trabajo, la empresa quedará sujeta
las de 2001, 2004 y 2008). a supervisión periódica para comprobar
que continúa cumpliendo con los requisitos
Junto con la norma SA
exigidos.
8000, se auditan los
requisitos del Anexo de Las ventajas fundamentales de implantar
Indicadores de este estándar son, entre otras, crear
Desempeño (Performance confianza entre sus socios y la sociedad;
Indicator Annex SA 8000), garantizar la armonía social; mejorar la
que contiene las eficiencia mejorando la motivación del
expectativas de desempeño que, como personal, compromiso y fidelidad; apoyo
mínimo, deberá cumplir aquella empresa que de la sostenibilidad del negocio, así como el
afirme cumplir con los requisitos este acceso a nuevos mercados.
estándar. Ambos documentos forman parte
Esta norma es aplicable globalmente,
de la certificación SA8000 que, tal y como
sin perjuicio del sector industrial o ámbito
hemos indicado anteriormente, es una norma
geográfico. No obstante, teniendo en cuenta
voluntaria y auditable, para la obtención de la
que está totalmente orientada al ámbito
certificación de un sistema de gestión de
del trabajo, suele utilizarse en industrias
responsabilidad social corporativa.
conocidas por tener malas condiciones
Entre los principales objetivos de la laborales, así como en países en los que es
certificación SA8000 se encuentran el frecuente encontrar estos problemas.
establecimiento de unas condiciones mínimas
AA 1000
para alcanzar un ambiente de trabajo seguro
y saludable, la libertad de asociación y El conjunto de normas
negociación colectiva, y la implantación de Accountability 1000 (AA
una estrategia empresarial para tratar los 1000) fue publicado en
aspectos sociales relacionados con el trabajo. 1999 por el ISEA
También contiene reglas sobre la duración (Institute for Social and
de la jornada laboral, los salarios o la lucha Ethical Accountability),
contra la discriminación en el ámbito laboral, una organización
entre otros muchos aspectos. internacional sin ánimo
de lucro fundada en 1996 con la participación
Para que las empresas puedan obtener esta
de ONGs, académicos, empresas consultoras
certificación es necesario que la soliciten a
y multinacionales, con la finalidad de
través de una de las agencias de certificación
proporcionar a cualquier tipo de organización
aprobadas por la SAI. La agencia realizará
unos estándares de mejora de la
una inspección inicial y una vez se certifica el
sostenibilidad. Esta norma pretende ser muy
completa en su tratamiento de los aspectos
120 www.mites.gob.es/ficheros/rse/documentos/monitoreo/
SA8000.pdf de la RSC.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 155
MÓDULO 5 • RESPONSABILIDAD SOCIAL Y BUEN GOBIERNO CORPORATIVO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 156
MÓDULO 5 • RESPONSABILIDAD SOCIAL Y BUEN GOBIERNO CORPORATIVO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 157
MÓDULO 5 • RESPONSABILIDAD SOCIAL Y BUEN GOBIERNO CORPORATIVO
• Comportamiento ético: El
comportamiento de las organizaciones
debe basarse en los valores de
“honestidad, equidad e integridad”.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 158
MÓDULO 5 • RESPONSABILIDAD SOCIAL Y BUEN GOBIERNO CORPORATIVO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 159
MÓDULO 5 • RESPONSABILIDAD SOCIAL Y BUEN GOBIERNO CORPORATIVO
corporativo. Cabe destacar algunas de ellas: imprescindible que las normas de gobierno
corporativo se adapten a la realidad del
• Se ensalza el papel del gobierno país en que deban aplicarse. La prioridad es
corporativo para fomentar mercados fomentar un buen uso de estos principios y
justos y transparentes, la asignación que los países y las empresas recojan los
eficiente de recursos y el rol esencial del beneficios de un mejor gobierno corporativo.
mercado bursátil en la promoción del
buen gobierno corporativo. Esta norma es compatible con las
declaraciones de la ONU, la Organización
• Avances en el derecho a la información
Internacional del Trabajo (OIT) y la OCDE y el
y a la participación en las decisiones
Desarrollo Económico, así como con el Pacto
importantes de las organizaciones. Se
Mundial.
introduce un nuevo capítulo relativo a
inversores institucionales, mercados Estándares GRI
bursátiles y otros intermediarios.
Con el objetivo de crear un modelo universal
• Reconocimiento de la cooperación de memorias de sostenibilidad, en 1997, de
activa entre la sociedad y los grupos de la mano de las ONG CERES y Tellus Institute con
interés para defender y reconocer sus la colaboración del Programa de las Naciones
derechos, esto es, el papel de los grupos Unidas para el Medio Ambiente (PNUMA), se
de interés en el gobierno corporativo. fundó “Global Reporting Initiative (GRI)” una
• Identificación de las áreas en las que se ha institución que creó los estándares GRI.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 160
MÓDULO 5 • RESPONSABILIDAD SOCIAL Y BUEN GOBIERNO CORPORATIVO
Una vez más, la opinión pública clamó Actualmente existen 38 estándares GRI, que
por cambios que potenciaron el derecho tras las recientes actualizaciones se han
medioambiental, exigencias mayores en el estructurado en tres bloques o series122.
trasporte marítimo (eliminación progresiva de
Las tres primeras, denominadas Universales,
petroleros monocasco) y mayor transparencia
deben utilizarse por todas las organizaciones
en asuntos de sostenibilidad.
que proporcionen información no financiera.
Los estándares GRI surgen, por tanto, como Son el GRI 1 (Fundamentos), el GRI 2
necesidad identificada en el ámbito de (Contenidos generales) y el GRI 3 (Temas
la transparencia, sostenibilidad y medio materiales1).
ambiente.
122 www.globalreporting.org/how-to-use-the-gri-standards/gri-stan-
dards-spanish-translations/
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 161
MÓDULO 5 • RESPONSABILIDAD SOCIAL Y BUEN GOBIERNO CORPORATIVO
• Estándares temáticos Serie 200, que Como hemos descrito antes, los estándares
informan de los impactos materiales universales son aplicables a cualquier tipo
de una organización en cuanto a temas de organización que prepare un informe
económicos. de sostenibilidad. Además, se ajustan a la
tipología de las organizaciones, que pueden
• Estándares temáticos Serie 300, que seleccionar entre las normas temáticas que
informan de los impactos materiales más se ajusten a su actividad.
de una organización en cuanto a temas
ambientales. Conclusiones
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 162
MÓDULO 5 • RESPONSABILIDAD SOCIAL Y BUEN GOBIERNO CORPORATIVO
sus grupos de interés o partes interesadas sino también la forma de obtenerlos, lo que
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 163
MÓDULO 5 • RESPONSABILIDAD SOCIAL Y BUEN GOBIERNO CORPORATIVO
El gobierno corporativo es un pilar de la RSC, Además, las empresas que realmente aplican
pues mediante la limitación de riesgos y estos modelos y programas de Compliance,
una gestión más adecuada de las empresas esta denominada cultura ética y del
se crea confianza en el mercado y crece la cumplimiento, y a través de ellos crean sus
competitividad empresarial. códigos de conducta, podrán demostrar en
su EINF a su compromiso con la sociedad, sus
A continuación, analizará brevemente la Ley prácticas éticas y su mitigación de los riesgos
11/2018, de 28 de diciembre, de Información ESG.
No Financiera y Diversidad, y la modificación
que la misma introduce en la llevanza de las Como señala la Ley 11/2018, la divulgación
sociedades, en las nuevas obligaciones de su de información no financiera o relacionada
con la responsabilidad social corporativa
contribuye a medir, supervisar y gestionar el
125 Ley que modifica: (1) el Código de Comercio, (2) el texto refun-
dido de la Ley de Sociedades de Capital (aprobado por el R.D rendimiento de las empresas y su impacto en
Legislativo 1/2010, de 2 de julio), y (3) la Ley 22/2015, de Audi-
toría de Cuentas (que lleva a cabo la transposición a nuestro or- la sociedad.
denamiento jurídico de la Directiva 2014/95/UE,que modifica la
Directiva 2013/34/UE respecto de la divulgación de información
no financiera e información sobre diversidad por parte de deter- El preámbulo de la Ley 11/2018 establece
minadas grandes empresas y determinados grupos).
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 164
MÓDULO 5 • RESPONSABILIDAD SOCIAL Y BUEN GOBIERNO CORPORATIVO
Social Internacional;
Por tanto, las cuentas anuales, a partir de la
• Declaración tripartita de principios sobre entrada en vigor y con sujeción a las normas
reguladoras para ello incluirán, cuando
126 Puede utilizarse el Sistema de Gestión y Auditoría Medioambien- proceda, el EINF, introduciendo la Ley 11/2018
tales, EMAS, adaptado a nuestro ordenamiento jurídico a través
del R.D.239/2013, de 5 de abril.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 165
MÓDULO 5 • RESPONSABILIDAD SOCIAL Y BUEN GOBIERNO CORPORATIVO
punto separado del orden del día para de evaluación o certificación ambiental; los
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 166
MÓDULO 5 • RESPONSABILIDAD SOCIAL Y BUEN GOBIERNO CORPORATIVO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 167
MÓDULO 5 • RESPONSABILIDAD SOCIAL Y BUEN GOBIERNO CORPORATIVO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 168
MÓDULO 5 • RESPONSABILIDAD SOCIAL Y BUEN GOBIERNO CORPORATIVO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 169
MÓDULO 5 • RESPONSABILIDAD SOCIAL Y BUEN GOBIERNO CORPORATIVO
interés. Así, las empresas se responsabilizan fin han sido desarrolladas sobre la base
que derivan de sus acciones. La RSC las empresas debe ser responsable, eficaz
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 170
MÓDULO 5 • RESPONSABILIDAD SOCIAL Y BUEN GOBIERNO CORPORATIVO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 171
MÓDULO 5 • RESPONSABILIDAD SOCIAL Y BUEN GOBIERNO CORPORATIVO
Este órgano debe contar con independencia comparten los criterios anteriores tratan de
adoptar tanto las decisiones de ordinaria toma de decisiones y/o control de los órganos
administración, como aquellas decisiones corporativos de las sociedades, encontrando
empresariales relevantes. Por tanto, el caso paradigmático en el modelo dualista
estos autores circunscriben el gobierno alemán que posteriormente será analizado y
corporativo a la creación de sistemas que que, de momento, no ha sido incorporado con
controlen la idoneidad, profesionalización carácter general en nuestro ordenamiento
e independencia de los miembros de los jurídico.
órganos de administración de las sociedades
5.3.3. Antecedentes del buen
y que monitoricen su actuación con base
gobierno corporativo: la influencia
en estándares de diligencia en la gestión y
anglosajona y europea
lealtad.
Reino Unido y EE.UU
De este modo, el órgano de administración
se convierte en el adecuado para centralizar En la década de los años setenta diversos
la gestión empresarial, encargado además autores anglosajones, sobre la base de
de funciones deliberativas, así como de la la dicotomía existente entre propiedad y
supervisión y fiscalización de las personas y representación en las sociedades mercantiles,
órganos que tengan delegadas las funciones así como de los distintos papeles que juegan
ejecutivas y de alta dirección, que serán socios o accionistas y administradores,
las encargadas de ejecutar las decisiones comenzaron a estudiar los problemas y las
de gestión aprobadas por el órgano de necesidades originados por la formación de
administración. grandes corporaciones empresariales.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 172
MÓDULO 5 • RESPONSABILIDAD SOCIAL Y BUEN GOBIERNO CORPORATIVO
Fue en Reino Unido donde las teorías sobre El informe, conocido popularmente con el
buen gobierno corporativo tuvieron y tienen nombre de su autor (Informe Cadbury), fue
un mayor impulso, convirtiéndose en uno de publicado en 1992.
los países con más tradición en esta materia.
En él se definieron por primera vez las líneas
Sus códigos e informes han constituido
de evolución de las teorías sobre el gobierno
una referencia para el resto de los países
corporativo, tales como la de responsabilidad
europeos.
del órgano de administración frente a los
En la década de 1990, algunos de los autores socios y accionistas, el papel relevante de la
anglosajones más relevantes ya identificaron auditoría, tanto externa como interna o la
cuáles eran los principales retos de gobierno supervisión de los sistemas retributivos del
corporativo pendientes de cubrir por la órgano de administración, creando al efecto
normativa de sociedades británica, a saber: comisiones especializadas integradas por
consejeros.
• Las sociedades no estaban obligadas
a tener comisiones de auditoría que Los objetivos de este informe estaban
facilitaran a los consejeros no ejecutivos orientados a obtener seguridad en cuanto a
fuentes alternativas de información la eficiencia en las operaciones, control en la
contable y financiera de la sociedad. auditoría de las empresas, transparencia en
la información y cumplimiento de las normas
• No existían comisiones de remuneración
para una correcta gestión empresarial.
independientes que definieran los
sistemas retributivos de los consejeros. Con posterioridad al Informe Cadbury,
se promulgó el Código Combinado, que
• Las sociedades no tenían comisiones
incorporó por primera vez el principio
especializadas independientes que
“cumplir o explicar” (“comply or explain”),
controlaran la actuación del órgano de
y que impone a las sociedades cotizadas la
administración en su conjunto.
obligación de informar periódicamente a los
• La transparencia en la información que organismos supervisores y a los mercados
las sociedades suministraban o ponían a acerca de la aplicación interna de las políticas
disposición del mercado era insuficiente. de gobierno corporativo y el cumplimiento
de las recomendaciones en la materia o, en
Las escasas normas existentes sobre
caso contrario, explicar las razones de su
transparencia no resultaban vinculantes y
incumplimiento.
eran susceptibles de modificación.
Alemania
Paralelamente, en el año 1990 se organizó,
también en Reino Unido, un comité presidido En la Europa continental, destaca el sistema
por Adrian CADBURY para la elaboración de de gobierno societario, denominado sistema
un informe sobre la evolución que debía tener dualista. En síntesis, desmiembra el gobierno
el gobierno corporativo de las sociedades en de las sociedades mercantiles en dos órganos
el mercado británico. diferenciados:
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 173
MÓDULO 5 • RESPONSABILIDAD SOCIAL Y BUEN GOBIERNO CORPORATIVO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 174
MÓDULO 5 • RESPONSABILIDAD SOCIAL Y BUEN GOBIERNO CORPORATIVO
Algunas de las iniciativas más interesantes Los miembros de la OCDE (entre ellos España,
en materia de gobierno corporativo desde su creación en 1961) aprobaron en
desarrolladas por la Comisión se incluyeron 1999 los Principios OCDE de Buen Gobierno
en los mencionados “Libros Verdes”, Corporativo, que ofrecieron normas no
posteriormente desarrollados por el “Plan vinculantes y buenas prácticas internacionales,
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 175
MÓDULO 5 • RESPONSABILIDAD SOCIAL Y BUEN GOBIERNO CORPORATIVO
con una guía para su implantación, que incluyó • el ejercicio de los derechos de los
una serie de directrices sobre los derechos accionistas.
de los accionistas, revelación de datos, o
funciones de los consejos de administración, No obstante lo anterior, los principios
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 176
MÓDULO 5 • RESPONSABILIDAD SOCIAL Y BUEN GOBIERNO CORPORATIVO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 177
MÓDULO 5 • RESPONSABILIDAD SOCIAL Y BUEN GOBIERNO CORPORATIVO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 178
MÓDULO 5 • RESPONSABILIDAD SOCIAL Y BUEN GOBIERNO CORPORATIVO
• 2015 Código Unificado de Buen Gobierno de En el ámbito societario, la LSC impulsa que las
las Sociedades Cotizadas sociedades establezcan procedimientos de
Cronograma de referencias de Buen Gobierno Corporativo en España
toma de decisiones y concreten el alcance de
Elaboración propia
las competencias de los distintos órganos, los
El modelo de buen gobierno corporativo, mecanismos de delegación de competencias
entendido como el conjunto de normas, y el contenido de las facultades indelegables
principios y recomendaciones de actuación de los órganos de administración para facilitar
de las sociedades, trata de evitar, entre otras, el desarrollo de sus atribuciones sobre ellas.
las situaciones de conflictos de intereses en
pro del interés social. Evolución y desarrollo del buen
gobierno corporativo en España
El gobierno corporativo guarda relación
directa con los programas de Compliance. El desarrollo de la materia en España ha
De hecho, en muchas ocasiones los sistemas sido progresivo. No obstante, el avance
de gobierno corporativo son respuestas a más notable se ha producido mediante los
las exigencias normativas, que cristalizan en códigos de buen gobierno de las sociedades
políticas y procedimientos internos. cotizadas, de cumplimiento voluntario
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 179
MÓDULO 5 • RESPONSABILIDAD SOCIAL Y BUEN GOBIERNO CORPORATIVO
obligación jurídica alguna, sino que sus puede formar parte un consejero a tres y
destinatarios pueden elegir entre adoptarlas jubilación a los setenta años.
o no. • Atribución de responsabilidad al
consejo en relación con la difusión de
Una de las principales aportaciones del
código Olivencia fue separar la gestión de información al mercado y los inversores.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 180
MÓDULO 5 • RESPONSABILIDAD SOCIAL Y BUEN GOBIERNO CORPORATIVO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 181
MÓDULO 5 • RESPONSABILIDAD SOCIAL Y BUEN GOBIERNO CORPORATIVO
mayoría de miembros a su vez deben ser normas jurídicas de aquellas otras que debían
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 182
MÓDULO 5 • RESPONSABILIDAD SOCIAL Y BUEN GOBIERNO CORPORATIVO
2015, que se basa en 25 principios y establece establecerse las medidas adecuadas para
64 recomendaciones. proteger los intereses legítimos de todas
las partes involucradas y solventar los
El CBG se centra en los siguientes
eventuales conflictos de intereses.
aspectos:
• Las sociedades deben informar con
• Identificar, para su exclusión del
claridad en la junta general sobre el grado
régimen del propio CBG (al tratarse de
de cumplimiento de las recomendaciones
una norma con el carácter voluntario),
del CBG.
aquellas recomendaciones contenidas
en el CUBG que fueron incorporadas • Los administradores deben realizar un
al derecho imperativo y, por tanto, de uso limitado de la facultad delegada de
obligado cumplimiento, con motivo del emitir acciones o valores convertibles
mencionado informe de 14 de octubre con exclusión del derecho de suscripción
de 2013 de la comisión de expertos preferente y facilitar adecuada
y mediante la aprobación de la Ley información a los accionistas sobre dicha
31/2014,de 3 de diciembre, por la que se utilización.
modifica la Ley de Sociedades de Capital
para la mejora del gobierno corporativo Junta general de accionistas:
(“Ley 31/2014”). • La junta general de accionistas debe
• Incorporar los principios de buen gobierno funcionar bajo principios de transparencia
de los que se derivan las concretas y con información adecuada.
recomendaciones que recoge el CBG.
• La sociedad debe facilitar el ejercicio de
• Introducir recomendaciones específicas los derechos de asistencia y participación
en materia de responsabilidad social en la junta general de accionistas en
corporativa. igualdad de condiciones.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 183
MÓDULO 5 • RESPONSABILIDAD SOCIAL Y BUEN GOBIERNO CORPORATIVO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 184
MÓDULO 5 • RESPONSABILIDAD SOCIAL Y BUEN GOBIERNO CORPORATIVO
• Que las sociedades establezcan reglas que • Que la remuneración de los consejeros
obliguen a los consejeros a informar y, en sea la necesaria para atraer y retener a
su caso, a dimitir en aquellos supuestos los consejeros del perfil deseado y para
que puedan perjudicar al crédito y retribuir la dedicación, cualificación y
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 185
MÓDULO 5 • RESPONSABILIDAD SOCIAL Y BUEN GOBIERNO CORPORATIVO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 186
MÓDULO 5 • RESPONSABILIDAD SOCIAL Y BUEN GOBIERNO CORPORATIVO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 187
MÓDULO 5 • RESPONSABILIDAD SOCIAL Y BUEN GOBIERNO CORPORATIVO
de administración, así como someter a su Para intentar dotar de una cierta seguridad
autorización la adopción de determinadas jurídica a la indeterminación del término
decisiones o acuerdos que versen sobre “activo esencial”, la norma establece una
determinadas materias de gestión, salvo presunción sobre el carácter esencial
disposición contraria de los estatutos sociales. de los activos cuando su importe supere
En consecuencia, para evitar este control será el veinticinco por ciento (25%) del valor de
necesario que la propia junta lo acuerde vía los activos que figuren en el último balance
modificación estatutaria. Esta circunstancia aprobado.
podrá ser conocida por cualquier tercero,
Esta presunción no impide que un activo
toda vez que los estatutos sociales y sus
cuyo valor sea inferior al referido porcentaje
modificaciones deben ser inscritos en el
no pueda ser considerado esencial por otros
Registro Mercantil.
motivos no relacionados con su valoración
Además, hay que tener en cuenta que el (por su carácter estratégico, comercial o
hecho de ejecutar una instrucción recibida potencial de desarrollo).
de la junta general de socios no exonera a
Por el contrario, un aspecto más discutible es
los administradores del cumplimiento de sus
si un activo que supere el porcentaje pudiera
deberes si dicha ejecución produce un daño
no considerarse un activo esencial. La doctrina
al patrimonio social.
entiende que la presunción de esencialidad
Por otro lado, la nueva redacción del artículo es de naturaleza iuris tantum, admitiéndose,
160 de la LSC amplía las competencias de por tanto, prueba en contrario.
la junta general, exigiendo su autorización
No obstante, ante la posición de los
para la (i) adquisición, (ii) enajenación o (iii)
autores más reacios a considerar que dicha
aportación a otra sociedad de aquellos activos
presunción puede ser destruida, parece
considerados como esenciales.
previsible que será necesaria una sólida y
Esta autorización se ha introducido con excesiva argumentación para su admisión en
el fin de controlar por parte de los socios sede registral y jurisprudencial.
o accionistas aquellas operaciones que,
Derecho de información
por su volumen y relevancia patrimonial,
puedan tener un impacto similar al de una La reforma ha modificado parcialmente el
modificación estructural. derecho de información regulado en el artículo
197 de la LSC, exclusivamente en relación con
En primer lugar, el tenor literal del artículo
las sociedades anónimas, quedando intacto
ha dado lugar a debate doctrinal en cuanto
el régimen del derecho de información para
al límite de los conceptos “adquisición,
las de responsabilidad limitada previsto en el
enajenación o aportación” (por ejemplo, el
artículo 196 de la LSC.
establecimiento de cargas o gravámenes
sobre determinados activos, cesiones de La reforma del derecho de información en
derechos, etc.). sociedades anónimas se debe a los abusos
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 188
MÓDULO 5 • RESPONSABILIDAD SOCIAL Y BUEN GOBIERNO CORPORATIVO
129 No obstante, podrán figurar en el mismo punto del orden del día.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 189
MÓDULO 5 • RESPONSABILIDAD SOCIAL Y BUEN GOBIERNO CORPORATIVO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 190
MÓDULO 5 • RESPONSABILIDAD SOCIAL Y BUEN GOBIERNO CORPORATIVO
en aquellos actos que contravengan la ley obligación de reunirse, al menos, una vez
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 191
MÓDULO 5 • RESPONSABILIDAD SOCIAL Y BUEN GOBIERNO CORPORATIVO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 192
MÓDULO 5 • RESPONSABILIDAD SOCIAL Y BUEN GOBIERNO CORPORATIVO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 193
MÓDULO 5 • RESPONSABILIDAD SOCIAL Y BUEN GOBIERNO CORPORATIVO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 194
MÓDULO 5 • RESPONSABILIDAD SOCIAL Y BUEN GOBIERNO CORPORATIVO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 195
MÓDULO 5 • RESPONSABILIDAD SOCIAL Y BUEN GOBIERNO CORPORATIVO
El fin es que los posibles errores en la toma en relación al deber de diligencia, evitando la
de decisiones empresariales no deriven de revisión judicial de las decisiones estratégicas
forma automática en una infracción de sus y de negocio.
deberes y, por tanto, en responsabilidad.
Lo anterior no significa que se excluya
Ello es debido a que en la gestión de cualquier por completo la responsabilidad del
negocio interviene un factor de riesgo administrador, sino que la actuación del
relevante que escapa del control absoluto administrador queda amparada siempre
de los administradores. Así, un régimen de y cuando se siga una forma de proceder
responsabilidad excesivamente riguroso concreta en la adopción de dichas decisiones
resultaría contraproducente, provocando estratégicas y de negocio. Los elementos
que los administradores evitaran tomar configuradores de la regla son los siguientes:
decisiones que desde el punto de vista
estrictamente empresarial pudieran resultar
Decisiones estratégicas y de
muy beneficiosas, por involucrar algún riesgo. negocio
reforma del artículo 226 de la LSC, un es, las limitadas al ámbito técnico‑empresarial.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 196
MÓDULO 5 • RESPONSABILIDAD SOCIAL Y BUEN GOBIERNO CORPORATIVO
133 Se trataría de una manifestación de la severidad con que la re- deber de lealtad, que contrasta con la flexibilización que la regla
forma operada por la Ley 31/2014 trata el incumplimiento del de discrecionalidad empresarial imprime al deber de diligencia.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 197
MÓDULO 5 • RESPONSABILIDAD SOCIAL Y BUEN GOBIERNO CORPORATIVO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 198
MÓDULO 5 • RESPONSABILIDAD SOCIAL Y BUEN GOBIERNO CORPORATIVO
por sus funciones como tales, debiendo • Se atribuyen a la junta general facultades
ser aprobada por la junta. decisorias en la materia más allá de la
• El sistema de remuneración establecido aprobación con carácter consultivo del
en los estatutos deberá determinar el informe anual sobre remuneraciones
concepto o conceptos retributivos, que de los consejeros. De esta forma,
podrán consistir en uno o varios de corresponde a la junta la aprobación
los siguientes: a) una asignación fija, b) de la política de remuneraciones de los
dietas de asistencia, c) participación en consejeros, de conformidad con el sistema
beneficios, d) retribución variable con de remuneración estatutariamente
indicadores o parámetros generales previsto, con base en la propuesta del
de referencia, e) remuneración en consejo y previo informe de la comisión
acciones o vinculada a su evolución, f) de nombramientos y remuneraciones.
indemnizaciones por cese, siempre y
• Régimen distinto para la retribución de
cuando el cese no estuviese motivado
los consejeros en función del desempeño
por el incumplimiento de las funciones de
o no de funciones ejecutivas.
administrador, y g) los sistemas de ahorro
o previsión que se consideren oportunos.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 199
MÓDULO 5 • RESPONSABILIDAD SOCIAL Y BUEN GOBIERNO CORPORATIVO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 200
MÓDULO 5 • RESPONSABILIDAD SOCIAL Y BUEN GOBIERNO CORPORATIVO
sea auxiliado en esta evaluación cada tres Su contenido funcional mínimo es el previsto
años por un consultor independiente. en la LSC, lo cual no es óbice para que
cada sociedad pueda añadir competencias
Delegación de facultades, comisiones
adicionales.
especializadas y limitaciones en su desarrollo
• Comisión de auditoría. Las funciones
Delegación de facultades (arts. 249, 249 bis,
legalmente encomendadas a este órgano
529 ter LSC):
son las siguientes:
La delegación de facultades cuenta con un para que este someta a la junta general
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 201
MÓDULO 5 • RESPONSABILIDAD SOCIAL Y BUEN GOBIERNO CORPORATIVO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 202
MÓDULO 5 • RESPONSABILIDAD SOCIAL Y BUEN GOBIERNO CORPORATIVO
vertiente de derecho (regulando la forma operación supere el veinticinco por ciento del
y manera en que el consejero puede valor de los activos que figuren en el último
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 203
MÓDULO 5 • RESPONSABILIDAD SOCIAL Y BUEN GOBIERNO CORPORATIVO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 204
MÓDULO 5 • RESPONSABILIDAD SOCIAL Y BUEN GOBIERNO CORPORATIVO
El informe debe ofrecer una explicación como hemos visto en punto 4 anterior del
detallada de la estructura del sistema presente Módulo, el informe de gobierno
de gobierno de la sociedad y de su corporativo ha de contener (artículo 540,4.c),
funcionamiento en la práctica, con el siguiente subapartado 6º) una descripción de la política
contenido mínimo: de diversidad aplicada en relación con el
consejo de administración, de dirección y
• Estructura de la propiedad.
de las comisiones especializadas que se
• Cualquier restricción a la transmisibilidad constituyan en su seno.
de valores y cualquier restricción al
derecho de voto.
• Estructura de la administración de la
sociedad.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 205
MÓDULO 5 • RESPONSABILIDAD SOCIAL Y BUEN GOBIERNO CORPORATIVO
• La RSC es la manera en que las empresas integran las preocupaciones sociales, ambientales y
económicas en su cultura corporativa, con el fin de establecer mejores prácticas, crear valor y,
en definitiva, contribuir a mejorar la sociedad.
• En España, es de especial interés conocer las obligaciones que derivadas de la Ley 11/2018, de 28
de diciembre, de información no financiera y diversidad, a la hora de determinar los obligados
a proporcionar el EINF (Estado de Información No Financiera), su contenido (informaciones
sobre cuestiones medioambientales; sobre cuestiones sociales y relativas al personal; sobre el
respeto de los DDHH; relativa a la lucha contra la corrupción y el soborno; sobre la sociedad;
cualquier otra información significativa) y presentación (de acuerdo con marcos nacionales,
de la UE, EMAS o internacionales, como las normas y estándares mencionados anteriormente).
• Otro concepto de origen foráneo es el de buen gobierno corporativo, como ejercicio consciente
de gestión de una organización, aplicando normas y principios para un adecuado y equilibrado
funcionamiento de los órganos de gobierno, asegurando su organización eficaz, transparente
y justa, para salvaguardar el interés social, y maximizar el valor de la empresa a medio y largo
plazo.
• Las bases del buen gobierno se establecieron por primera vez en la década de 1990 en Reino
Unido, con el denominado Informe CADBURY (1992), tras la identificación de varias deficiencias
existente en el ámbito del gobierno corporativo.
• En España, destacan las iniciativas como el Código Olivencia (1997), el Informe Aldama (2002),
el Código Unificado de Buen Gobierno de las Sociedades Cotizadas o Código Conthe (2006) y el
más reciente Código de Buen Gobierno de las Sociedades Cotizadas (2015)
• Cabe destacar que la Ley 31/2014 integró la conocida como “business judgment rule” al incluirla
en a LSC bajo el título protección de la discrecionalidad empresarial. Esta regla garantiza a
los administradores de las sociedades libertad en la tome de decisiones empresariales sin temor
a que deriven de forma automática en una infracción de sus deberes y en responsabilidad,
siempre que se cumplan con unos requisitos.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 206
Módulo 6
El Compliance Officer
MÓDULO 6 • EL COMPLIANCE OFFICER
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 208
MÓDULO 6 • EL COMPLIANCE OFFICER
De ahí que muchas entidades (sobre todo El desarrollo de nuevas líneas de negocio
las americanas) hablan del “We are all en entornos digitales ha conllevado que
Compliance Officers” o lanzan mensajes a las para su asesoramiento y gestión desde el
plantillas conteniendo ideas-fuerza que les punto de vista de riesgos de Compliance,
hagan ser conscientes de que ellos también los responsables de Compliance hayan
forman parte del universo de Compliance evolucionado hacia nuevos perfiles técnicos
(“Compliance starts with C and ends with YOU” (IT Compliance).
(Encore) o “Do the right thing”).
A diferencia de otros entornos en los que
6.2. Puestos y estructuras existen equivalencias normalizadas (por
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 209
MÓDULO 6 • EL COMPLIANCE OFFICER
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 210
MÓDULO 6 • EL COMPLIANCE OFFICER
139 Enrique Aznar y Antonino Vaccaro (2015) 140 Aznar y Vaccaro (2015).
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 211
MÓDULO 6 • EL COMPLIANCE OFFICER
estos CLO/ BLO, que se hacen cargo • Debe ser puesto de alto nivel.
de las labores de Compliance de esta • Compliance Liaison Officer/
Business Liaison Compliance
primera línea, así como de la coordinación
Officer (Oficial de enlace en la
y escalado con el departamento de primera línea)
Compliance. Así, se refuerza la función de • Surge por presión regulatoria,
Compliance en primera línea, creando y vinculada a las tres líneas de
CLO/BCLO defensa.
crea un puente de comunicación efectiva
• Es una especialización de las
con el departamento de Compliance.
labores de Compliance, pero en la
primera línea (negocio).
• Denominación general de un
• Refuerza coordinación y enlace
empleado que desarrolla labores
entre Negocio y Compliance.
de Compliance.
• En organizaciones pequeñas, • Denominación específica de un
Técnico,
puede ser la denominación del CO que desarrolla labores de en
Compliance Analista,
responsable de la función. un ámbito o área concreta, como
Officer Especialista
puede ser KYC, PBC/FT, riesgos.
• En ocasiones, está especializado
en funciones concretas (PBC/
Cuadro resumen de puestos habituales de la función de Compliance.
FT, KYC, etc), por lo que recibe la Elaboración propia.
denominación de técnico, analista
o especialista.
6.2.2. Estructuras de Compliance
• Órgano unipersonal que aglutina
los cometidos de Compliance Como se ha señalado en el epígrafe anterior,
• En pequeñas o medianas la función de Compliance dentro de una
organizaciones donde el elenco
Head of normativo es acotado. organización puede desplegarse de varias
Compliance maneras, siguiendo un modelo o estructura
• También en organizaciones
mayores, para ejercer labores en de gestión distinto. Estas estructuras variarán
un ámbito específico dentro de un
en función de varios parámetros, como
marco organizativo y jerárquico
superior. pueden ser:
• Responsable de Compliance en • Tamaño de la organización;
organizaciones complejas o grupos
empresariales
• Sector en el que opera;
• Por lo general suelen cubrir
regiones (CCO Europa o EMEA, CCO • Complejidad de la regulación general o
Americas, etc) o varias entidades
CCO, CECO, sectorial aplicable;
en un mismo país (p.ej. CCO para
CIO
un conglomerado).
• Organización interna (concentración o
• Pueden referir varias
denominaciones en función separación respecto de otras funciones);
del énfasis que quiera poner la
organización (Ética, Integridad) o • Cultura organizacional y tradición en
su enfoque.
Compliance.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 212
MÓDULO 6 • EL COMPLIANCE OFFICER
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 213
MÓDULO 6 • EL COMPLIANCE OFFICER
• En organizaciones complejas
Realizar las evaluaciones de riesgos de o pertenecientes a sectores
regulados, es habitual que exista
Compliance orientados a una actividad
la figura del comité de Compliance
concreta (KYC, PBC/FT, fraude, denuncias, como parte del gobierno
etc), y también informes de evaluación corporativo de las entidades. En
organizaciones pequeñas, este rol
y resultados. Lo eleva al responsable se identifica con el máximo órgano
funcional (o de ámbito específico). de administración (p. ej. Consejo
de Administración).
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 214
MÓDULO 6 • EL COMPLIANCE OFFICER
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 215
MÓDULO 6 • EL COMPLIANCE OFFICER
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 216
MÓDULO 6 • EL COMPLIANCE OFFICER
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 217
MÓDULO 6 • EL COMPLIANCE OFFICER
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 218
MÓDULO 6 • EL COMPLIANCE OFFICER
El director de la Unidad de Inteligencia Financiera El CO debe lograr persuadir de que esas malas
de EE.UU (FinCEN, Financial Crimes Enforcement praxis pueden reportar beneficios a corto plazo
Network), Jamal EL-HINDI declaró que “hacerlo en el mejor de los casos, pero comprometen
personalmente responsable refuerza a la profesión
el futuro de la organización a medio y largo
de Compliance, demostrando que este tipo de
plazo. Esto es debido al alto impacto que las
comportamientos no serán tolerados en los rangos
de los profesionales de Compliance”.
sanciones o riesgos reputacionales pueden
tener, y su naturaleza diferida (son riesgos
Fuentes: con impacto de efectos significativos, pero
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 219
MÓDULO 6 • EL COMPLIANCE OFFICER
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 220
MÓDULO 6 • EL COMPLIANCE OFFICER
En Japón, las personas han de pasar una o registro, más allá de la adecuación
formación que el propio regulador provee. genérica en el sector financiero en cuanto
En EE.UU, el personal de Compliance de a la formación, experiencia y capacidad
ciertos sectores (p.ej. valores) ha de pasar (adecuación al puesto) que, como parte de
por formaciones y pruebas (en remoto) que la Alta Dirección, debe tener el Compliance
ciertas plataformas de formación proveen. Officer en una entidad financiera (banco, caja
de ahorro o entidad de crédito).
Asimismo, hay casos en los que el CO ha de
estar registrados ante las autoridades (p. En este sector, la implantación del Compliance
ej. el New York Stock Exchange requiere que se ha venido centrando, entre otros asuntos
dos tipos de perfiles de Compliance Officer clave, en PBC/FT, por lo que a los profesionales
estén registrados: i) Perfil de supervisor de en dicho ámbito se les está normalmente
Compliance que ha de ser un cargo ejecutivo exigiendo ciertas acreditaciones,
o de alta dirección; ii) Perfil de profesionales ampliamente reconocidas por el sector. No
de Compliance a cargo de 10 o más personas). obstante, dado que se han desarrollado
para el mercado anglosajón (y, por tanto,
La experiencia requerida dependerá del si se
centradas en la normativa y especificidades
trata de un perfil más experimentado o bien
estadounidenses), en ocasiones pueden ser
uno “junior” dentro de los departamentos
inespecíficas o irrelevantes para el desarrollo
de Compliance, y del nivel de complejidad
de la función en otras regiones o países.
de la organización y sus negocios. A mayor
experiencia, mayor bagaje, que facilitará Tampoco existe la necesidad de registrarse
que el Compliance Officer pueda tener en alguna entidad profesional. El único
el conocimiento necesario para tomar registro del que se tiene constancia
decisiones adecuadas y conseguir los apoyos relacionado con el ámbito de Compliance es
precisos para mover proyectos de una forma el del Banco de España en relación a aquellos
eficiente, mediante toma de decisiones que pueden realizar el Informe de Experto
pragmáticas. Externo regulado por el artículo 28 de la Ley
10/2010. Sin embargo, nada se regula sobre
Además, la experiencia permite comparar
la experiencia, acreditaciones o formación
con situaciones similares que haya vivido
de aquellos que se registran, por lo que
en el pasado, así como tener una mayor
cualquier persona puede hacerlo sin que
red de contactos. Básicamente ha de contar
exista condicionante alguno.
con el nivel de experiencia necesario para
desempeñar las funciones que se le asignen Esta carencia de requisito legal ha supuesto,
de una manera efectiva. como en otros ámbitos, que los propios
profesionales del sector hayan recurrido a
Situación actual en España
iniciativas como la de la Asociación Española
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 221
MÓDULO 6 • EL COMPLIANCE OFFICER
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 222
MÓDULO 6 • EL COMPLIANCE OFFICER
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 223
MÓDULO 6 • EL COMPLIANCE OFFICER
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 224
MÓDULO 6 • EL COMPLIANCE OFFICER
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 225
MÓDULO 6 • EL COMPLIANCE OFFICER
la región, y que la dependencia local sea A este respecto, la mayoría de las entidades
meramente orgánica. globales ya han integrado dentro de sus
programas de comunicación, el mensaje
En ciertas jurisdicciones la dependencia
anual de apoyo a Compliance o de código
está establecida por la regulación. Este es
de conducta. Este ejercicio ha pasado a
el caso de entidades financieras en Países
ser un mero trámite, y por este motivo, los
Bajos, en las que el CCO debe tener acceso
supervisores americanos ahora evalúan
directo al Consejo de Administración, y en
todos los mensajes de la alta dirección
el caso de que éste esté comprometido, se
para identificar si es apoyo a la cultura de
escala al Consejo o Junta de Supervisión.
Compliance es real o si simplemente se ve
Como ya se ha visto anteriormente, como una obligación formal a cubrir cada
la dependencia del CO depende en cierto periodo de tiempo.
gran medida del grado de madurez,
• Peso de indicadores de desempeño
sofisticación y compromiso de las
relacionados con Compliance que se
organizaciones con esta función. En
hayan asignado los mandos intermedios
etapas iniciales, es común que el CO esté
de la organización y que éstos, a su
integrado dentro de otros departamentos
más, pero en sectores regulados el CO vez, hayan establecido indicadores de
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 226
MÓDULO 6 • EL COMPLIANCE OFFICER
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 227
MÓDULO 6 • EL COMPLIANCE OFFICER
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 228
MÓDULO 6 • EL COMPLIANCE OFFICER
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 229
MÓDULO 6 • EL COMPLIANCE OFFICER
En casos puntuales en los que no se Hammond (2019), los motivos por los que
tenga los conocimientos o experiencia se realizan delegaciones de funciones de
necesarios dentro de los equipos, cabe Compliance suelen ser:
la posibilidad de solicitar ayuda o apoyo
- Necesidad de mayor evaluación de
externo (p. ej. consultores). No obstante,
procesos de Compliance.
cabe señalar que en determinados casos
- Falta de conocimientos o habilidades
y sectores muy regulados, este apoyo
en el equipo interno.
puede convertirse en una subcontratación
o externalización de una función crítica - Ahorro de costes.
que requeriría aprobación previa del
Este mismo estudio indica que las
regulador (como es el caso del sector
entidades han de estar preparadas
financiero).
para posibles preguntas de reguladores
Esta delegación de funciones no respecto a porqué no se ha invertido en
conlleva delegación de responsabilidad los equipos internos (p. ej. formación o
ni por parte del CO, ni por parte de la contratación), ya que casos en los que
entidad, tal y como viene indicado en el conocimiento es requerido y falta de
ciertas regulaciones (p. ej. la relativa a la manera persistente dentro de los CO
prevención de blanqueo y financiación suponen un riesgo en sí mismos.
del terrorismo, o MiFID II).
• Recursos económicos suficientes:
Las decisiones de externalización o presupuesto para poder contratar al
subcontratación total o parcial de personal adecuado, formación de plantillas
funciones de Compliance han de ser y mantenimiento de conocimientos de
debidamente documentadas. Asimismo, los equipos de Compliance, asistencia a
se ha garantizar que no afectarán al conferencias, cuotas de pertenencia a
principio de permanencia, por el cual, asociaciones y publicaciones relacionadas
las entidades han de asegurarse que la con Compliance (revistas especializadas).
función de Compliance desarrolle sus
labores de forma constante y permanente. En su guía149 de la función de Compliance
bajo MiFID II (General guideline 5), la
ESMA considera que, si una entidad
ESMA establece que los presupuestos de
de servicios de inversión debido a su
Compliance en entidades que presten
naturaleza, tamaño y tipo de negocio
servicios de inversión (si estas desglosan
es incapaz de contratar personal de
presupuestos por funciones o unidades),
Compliance independiente para que
ha de ser coherente con el nivel de riesgo
monitorice, la externalización podrá verse
de Compliance al que esté expuesta la
como una posible solución.
Según el estudio “Cost of Compliance 2019: 149 Guidelines on certain aspects of MiFID II Compliance function requi-
rements, ESMA, (2021), www.esma.europa.eu/sites/default/files/
10 years of regulatory change”, de English y library/guidelines_on_certain_aspects_of_mifid_ii_compliance_
function_requirements.pdf
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 230
MÓDULO 6 • EL COMPLIANCE OFFICER
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 231
MÓDULO 6 • EL COMPLIANCE OFFICER
Fuentes:
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 232
MÓDULO 6 • EL COMPLIANCE OFFICER
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 233
MÓDULO 6 • EL COMPLIANCE OFFICER
También ha de tenerse en cuenta que estas Por este motivo, el Comité de Supervisión
combinaciones pueden generar conflictos de Bancaria de Basilea (2015) recomienda
interés, que han de documentarse, incluyendo que auditoría interna esté separada de
medidas tomadas para minimizarlos. Compliance.
3. ¿Por qué la compañía ha escogido ese tipo de han de integrarse en los informes de la
estructura de Compliance? función de riesgos, y casos escalados a dicho
departamento, pueden tener ramificaciones
Evaluation of Corporate Compliance Programs
(versión actualizada de 2020)
en el universo de Compliance.
Departamento de Justicia de EE.UU
6.6.4. Relación de Compliance con
Asesoría Jurídica
6.6.2. Relación de Compliance con
Auditoría Interna En ocasiones es frecuente que Compliance
y Legal estén integradas en la misma
Las actividades desarrolladas por la función
función (“Legal y Cumplimiento” o “Legal y
de Compliance como segunda línea de
Compliance”). No obstante, la función de legal
defensa están sometidas a evaluación por la
presenta a menudo situaciones de conflictos
tercera línea de defensa (esto es, auditoría
de intereses con el ámbito de Compliance.
interna), quien evaluará aspectos tales como,
La Asesoría Legal o Jurídica se enfoca en los
por ejemplo:
límites de lo que legalmente se puede hacer o
• Adecuación del personal de Compliance no se puede hacer, sin embargo, el rol del CO
• Eficacia y eficiencia de su programa de implica asesorar al órgano de administración
monitorizaciones y testeos sobre los riesgos no sólo legales, sino también
de carácter ético o reputacional, basándose
• Evaluación de las políticas
no sólo en la regulación existente, sino
• Iniciativas de formación también en los principios y valores éticos de
de proyectos regulatorios
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 234
MÓDULO 6 • EL COMPLIANCE OFFICER
puede ser el borrador del nuevo reglamento otras funciones con las que existen ámbitos
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 235
MÓDULO 6 • EL COMPLIANCE OFFICER
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 236
MÓDULO 6 • EL COMPLIANCE OFFICER
• Al igual que con la nomenclatura, algo parecido sucede con las estructuras de Compliance,
existiendo un amplio rango de ellas: desde el Compliance ejercido por una única persona
(unipersonal) al liderado por un responsable (órgano unipersonal) que cuenta con un equipo,
unidad o departamento, o al Comité de Compliance (órgano colegiado) participado por
diversos miembros de la organización.
• Compliance tiene una carga de trabajo significativa, pero su importancia queda aún más
evidenciada por las consecuencias que puede llegar a tener: los casos de Siemens, MoneyGram
o Volkswagen son ejemplo del impacto económico, reputacional e incluso personal de una
labor descuidada o inexistente de Compliance en las organizaciones, llegando incluso a
amenazar la propia existencia o viabilidad de éstas.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 237
MÓDULO 6 • EL COMPLIANCE OFFICER
• Hay que ser consciente de la realidad de cada organización y asumir las tareas y áreas de
solapamiento entre diversas funciones de control interno, que pueden generar tensiones.
Por ello, ya se trate de solapes con Auditoría Interna como con Riesgos o Seguridad, el
Compliance Officer deberá asegurarse de que se establece una adecuada separación y
colaboración con dichas funciones, siempre bajo una definición, lo más precisa posible, de
las tareas y funciones que se atribuyen a cada departamento y en cuales, de existir, se dará
una responsabilidad compartida o colaboración estrecha.
• Cuando Compliance se combine con alguna otra función de las anteriores, será necesario
mantener cierta separación e identificación clara entre las tareas de cada función,
documentando las circunstancias y razones de la organización para optar por esta estructura.
Asimismo, será aconsejable evitar la combinación de Auditoría Interna y Compliance en
la medida de lo posible, por significar la supresión de una de las líneas de defensa.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 238
Módulo 7
Gestión de riesgo
de Compliance
MÓDULO 7 • GESTIÓN DE RIESGO DE COMPLIANCE
• Conocer los conceptos básicos de la gestión de Así, los riesgos de Compliance deben
riesgos e identificar las normas y estándares
contemplarse como un grupo dentro del
más empleados.
universo de riesgos que una empresa debe
• Describir las fases de la gestión de riesgos de identificar y gestionar.
Compliance.
Desde esta perspectiva, Compliance es una
• Definir el concepto de riesgos de Compliance,
identificar sus categorías y causas. función de gestión de riesgos que requiere
identificar en qué casos puede producirse
• Conocer la ISO 31001 y su aplicación a la gestión
un incumplimiento de una obligación
de riesgos de Compliance.
legal o regulatoria (tanto de su letra como
• Conocer la relación entre los conceptos de
de su espíritu) o una vulneración de los
riesgo inherente, controles, riesgo residual
compromisos adquiridos por la organización
y apetito de riesgo.
(valores y principios de actuación).
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 240
MÓDULO 7 • GESTIÓN DE RIESGO DE COMPLIANCE
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 241
MÓDULO 7 • GESTIÓN DE RIESGO DE COMPLIANCE
habitual es la ISO 31000 Gestión del riesgo. integrado de gestión de riesgos evita que
Directrices, norma de 2009 (actualizada en se produzcan “silos de riesgo” dentro de las
2018), y el enfoque aportado por COSO-ERM . 152
organizaciones, visualizando las conexiones
entre ellos.
El marco integrado COSO Enterprise Risk
Management de 2004 (cuyo elemento más Podemos concluir así que la gestión del riesgo
significativo es el conocido cubo -ahora tiene una función estratégica muy significativa,
espiral- COSO- ERM), y el más reciente marco ya que a las empresas les interesa considerar
COSO- ERM, publicado como actualización del (y sobre todo comprender) sus riesgos clave
anterior en 2017153, son ejemplos de marcos para poder adoptar decisiones informadas.
de referencia para la gestión de riesgos
corporativos.
7.2.1. Responsabilidades en
materia de gestión de riesgos
Por otro lado, resulta también indispensable
La responsabilidad última de que una empresa
que las organizaciones cuenten con
mecanismos adecuados de dirección y control establezca un marco adecuado de gestión del
interno, y aseguren una actuación íntegra y en riesgo y que éste funcione eficazmente, recae
Podríamos decir que ERM aporta el método más adelante), en relación con cada
y GRC la filosofía. ERM tiene su enfoque en la uno de los principales grupos de riesgo,
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 242
MÓDULO 7 • GESTIÓN DE RIESGO DE COMPLIANCE
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 243
MÓDULO 7 • GESTIÓN DE RIESGO DE COMPLIANCE
Los profesionales de gestión de riesgos el norte de Escocia. Su valoración bursátil cayó por
(incluidos los Compliance), deben contribuir debajo de 100M de libras (112M de euros), después
a crear conciencia sobre los riesgos en los de que sus acciones bajasen un 90% más.
miembros de los consejos de administración, Dichos contratos resultaron ser mucho menos
y educarlos en los aspectos esenciales de la lucrativos de lo anticipado, lo que redujo ingresos
gestión de riesgos (terminología, metodología, y aumentó sus deudas (alto nivel de deuda y bajos
supieron -o no quisieron- ver el riesgo para una negligente gestión de los riesgos. Precisamente,
una de las cuestiones que los expertos apuntaron
sus propios clientes y para la calidad del
fue la incapacidad del consejo de administración
servicio prestado, el establecimiento de
de Carillion de gestionar sus principales riesgos
unos exigentes objetivos de venta cruzada
estratégicos, aquellos que amenazaban su modelo
de productos en los que basaban el plan de de negocio, su desempeño futuro, su solvencia o su
incentivos económicos a los empleados. liquidez.
El grupo británico Carillion, un importante contratista de gobierno y dirección de este tipo de empresas (de
de construcción y servicios del gobierno británico, contratos de servicio con el sector público).
anunció a comienzos de 2018 su entrada en Fuentes:
“liquidación forzosa con efectos inmediatos”. Su
• ACCA (2018), The governance lessons of Carillion's
colapso se precipitó tras el fracaso en las negociaciones
collapse, accesible en www.accaglobal.com/us/en/
con sus bancos acreedores (HSBC, Santander UK y
member/member/accounting-business/2018/04/
RBS, entre otros) que se negaron a otorgar una nueva
corporate/carillions-collapse.html
línea de crédito de 300M de libras (338M de euros sin
la implicación directa del gobierno. • El País (2018), La constructora británica
Carillion quiebra y entra en liquidación
La lucha de Carillion por su supervivencia se (https://elpais.com/economia/2018/01/15/
remonta a julio de 2017, cuando su situación actualidad/1516013214_980732.html)
financiera se vio debilitada, en gran medida, debido
• The Guardian (2018),The Guardian view on Carillion’s
a los sobrecostes en tres importantes proyectos de collapse: no hiding place (Editorial), www.theguardian.
construcción para el sector público: un hospital en com/commentisfree/2018/jan/16/the-guardian-view-
Birmingham, otro en Liverpool y una carretera en on-carillions-collapse-no-hiding-place
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 244
MÓDULO 7 • GESTIÓN DE RIESGO DE COMPLIANCE
su interés y extensión (apenas 9 páginas de Vemos, por tanto, que el riesgo de Compliance
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 245
MÓDULO 7 • GESTIÓN DE RIESGO DE COMPLIANCE
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 246
MÓDULO 7 • GESTIÓN DE RIESGO DE COMPLIANCE
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 247
MÓDULO 7 • GESTIÓN DE RIESGO DE COMPLIANCE
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 248
MÓDULO 7 • GESTIÓN DE RIESGO DE COMPLIANCE
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 249
MÓDULO 7 • GESTIÓN DE RIESGO DE COMPLIANCE
una relación exhaustiva, sino que en cada toma de decisiones; la relación de las
caso se deberán analizar los factores que personas con poderes y autorizadas
se consideren relevantes para identificar para tomar riesgos; las atribuciones y
correctamente los riesgos. competencias de los directivos (¿existe
una política clara y definida de gestión
Gobierno y estructura de la
de riesgos?); los procesos detallados de
organización
toma de decisiones, en casos de grupos
cultura de riesgo existente y conocer si existe y dirección. Desde esta perspectiva uno
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 250
MÓDULO 7 • GESTIÓN DE RIESGO DE COMPLIANCE
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 251
MÓDULO 7 • GESTIÓN DE RIESGO DE COMPLIANCE
factores de riesgo o de otras cuestiones, por Legal y Seguridad, sólo se pueden mencionar
a modo de ejemplo las siguientes tareas como
lo que se deberá actualizar la información
habituales de Compliance, sin ánimo exhaustivo:
y estar permanentemente atentos a las
publicaciones y anuncios al público y a la • Programas de prevención de riesgos penales
industria que realizan dichos organismos. empresariales.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 252
MÓDULO 7 • GESTIÓN DE RIESGO DE COMPLIANCE
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 253
MÓDULO 7 • GESTIÓN DE RIESGO DE COMPLIANCE
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 254
MÓDULO 7 • GESTIÓN DE RIESGO DE COMPLIANCE
impacto y su probabilidad y, para ello, vamos sanciones que se pudieran imponer por
a introducir el concepto de riesgo inherente. un evento de riesgo) o el impacto en su
En esta fase deberemos medir o valorar el reputación (por ejemplo, la existencia
riesgo inherente de cada uno de los riesgos de publicidad negativa a nivel nacional e
que componen el universo de riesgos de internacional).
Compliance de la organización.
También puede medirse a través de la
Riesgo inherente valoración del impacto causado en sus
clientes (por ejemplo, número de clientes
Es importante tener en cuenta que, para llevar afectados, o perdida financiera o daño
a cabo este análisis, únicamente se toma en causado a los mismos).
consideración el riesgo inherente, es decir, el
Para valorar los impactos, se pueden
riesgo propio de las actividades y los servicios
utilizar criterios cualitativos (por
que presta la empresa, sin considerar
ejemplo, ¿cuál es la preocupación del
los posibles controles o mecanismos de
regulador sobre un riesgo concreto del
prevención existentes.
sector al que pertenece la empresa?),
Por tanto, el riesgo inherente 160
es aquel que o cuantitativos (por ejemplo, ¿cuál es
por su naturaleza no se puede separar de la el importe de la sanción que podrían
actividad que realiza la organización. Es decir, imponer el organismo supervisor?), o una
es intrínseco a sus distintas actividades y combinación de ambos.
áreas de negocio, sin considerar los sistemas
• Probabilidad: Se refiere a la expectativa
de control que se hayan implantado.
puramente teórica de que se produzca
El riesgo inherente se mide por la combinación el evento de riesgo, sin considerar las
de dos parámetros: la probabilidad y el medidas mitigantes que puedan estar
impacto. implantadas o que se puedan implantar,
y teniendo en cuenta exclusivamente
• Impacto: Se refiere a las consecuencias
las características y el contexto de la
que la materialización del riesgo tiene
organización, es decir, el sector económico
para la empresa, o, como se indicaba
en el que opera, las actividades que
anteriormente, también puede medirse
realiza, las zonas geográficas en las que
desde la perspectiva del daño o
presta sus actividades, el tamaño y otras
detrimento causado a terceros, tales
características relevantes.
como los clientes.
Para medir la probabilidad pueden utilizarse
Para valorarlo se suele tener en cuenta la
criterios de frecuencia (número de veces en un
pérdida financiera para la empresa (por
periodo de tiempo determinado en las que se
ejemplo, el importe o naturaleza de las
ha materializado el riesgo en el pasado) o de
factibilidad, es decir, cuáles son expectativas
160 Enseñat, S. (2016), p 80, Manual del Compliance Officer, Thomson de que se materialice en el futuro.
Reuters.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 255
MÓDULO 7 • GESTIÓN DE RIESGO DE COMPLIANCE
inherente:
Este documento deberá ser objeto de
revisión y verificación periódica, por ejemplo,
una vez al año, con objeto de determinar si
existen riesgos adicionales que no se habían
considerado, que habría que añadir, o si
hubiera que modificar el análisis de los que
se han identificado, ajustando su impacto o
probabilidad.
El riesgo inherente es el punto de partida
para realizar la evaluación de riesgos, de ahí Valoración de los riesgos
la importancia de que se realice de forma
rigurosa y concienzuda. La principal finalidad de realizar la valoración
de los riesgos es la toma de decisiones
El resultado de la identificación y el análisis informadas en cuanto a su tratamiento, es
de los riesgos de Compliance deberá decir, decidir en cada caso si hay que actuar
ser convenientemente documentado. o no, qué tipo de actuación tenemos que
En la plantilla o matriz en la que queden realizar, con qué urgencia o prioridad se debe
documentados los distintos riesgos actuar, etc.
identificados y sus correspondientes riesgos
inherentes, se pueden añadir todos los
El propósito de la valoración del riesgo es apoyar a la
aspectos que se consideren convenientes toma de decisiones. La valoración del riesgo implica
para completar o enriquecer la información. comparar los resultados del análisis del riesgo con
los criterios del riesgo establecidos para determinar
cuándo se requiere una acción adicional
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 256
MÓDULO 7 • GESTIÓN DE RIESGO DE COMPLIANCE
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 257
MÓDULO 7 • GESTIÓN DE RIESGO DE COMPLIANCE
asumir ciertos riesgos. Por ello, para obtener los Otros dos conceptos relacionados con el
resultados deseados, gestionar una empresa apetito de riesgo que es necesario conocer y
implica gestionar riesgos, y para poder hacerlo maneja, son:
con garantías, las empresas deben definir su
sistema de gestión de riesgos”. • Tolerancia al riesgo: Los límites del
riesgo, fuera de los cuales la organización
Por ello es resulta fundamental determinar no está preparada para aventurarse en la
cuál es la cantidad de riesgo que la búsqueda de sus objetivos a largo plazo.
organización desea asumir en la consecución Por ejemplo, una organización puede
de sus objetivos. La fijación de este umbral tener, con carácter general, un apetito
permite mantener los riesgos en los niveles de riesgo bajo hacia el incumplimiento
deseados, y, en consecuencia, contribuye de las leyes y normas legales y puede
a la generación de valor (el beneficio o tener una tolerancia cero al riesgo de
rentabilidad obtenida por una organización
determinadas violaciones de la ley (por
no deja de ser el premio por una adecuada
ejemplo, la comisión de un delito) y una
gestión de los riesgos).
tolerancia ligeramente superior hacia
El apetito de riesgo se puede definir por tanto violaciones de otros preceptos legales.
como la cantidad de riesgo, a nivel global, que Para ampliar la información sobre este
los órganos de administración y dirección de tema se puede consultar el documento
una organización están dispuestos a aceptar Understanding and Communicating Risk
en su búsqueda de valor y de cumplimiento Appetite, publicado por COSO164.
con los objetivos a largo plazo de la
organización (los objetivos de una empresa • Capacidad de riesgo: Es la cantidad
deberían ir más allá de los estrictamente máxima de riesgo que una organización
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 258
MÓDULO 7 • GESTIÓN DE RIESGO DE COMPLIANCE
• Preventivos: Aquellos que “actúan” antes canal de denuncias interno, prevención del
de que se materialicen los riesgos con una blanqueo de capitales, prevención del uso
finalidad de evitarlos o mitigarlos (ex ante). de información privilegiada, segregación
de funciones, seguridad de la información,
• De detección: Aquellos que “actúan” ex
etc.) que deben ser respetadas por
post, es decir, una vez se ha materializado
todos los empleados y directivos de la
el riesgo y que tienen como finalidad
organización. Se formulan con objeto
detectarlo de forma diligente y
de prevenir los riesgos de Compliance
oportuna y /o monitorizar el adecuado
y deben de ser aprobadas por la alta
funcionamiento de los controles
dirección de la entidad. Al responsable de
implantados.
Compliance le corresponde proponerlas,
Entre los distintos controles que se pueden las consecuencias de los incumplimientos.
legales o establecerse como controles las dobles firmas, los procesos internos de
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 259
MÓDULO 7 • GESTIÓN DE RIESGO DE COMPLIANCE
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 260
MÓDULO 7 • GESTIÓN DE RIESGO DE COMPLIANCE
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 261
MÓDULO 7 • GESTIÓN DE RIESGO DE COMPLIANCE
• Efectividad del funcionamiento del control. Cada organización dispondrá de sus propios
• Efectividad global del control. procedimientos internos para medir el riesgo
residual, como cruce entre el riesgo inherente
• Persona responsable de cada control.
y la efectividad de los controles asociados a
• Departamento/s implicado/s.
cada riesgo. En el cuadro siguiente se facilita
• Fecha de inclusión del control en el registro. un ejemplo como referencia.
• Personas/departamentos responsables de la
ejecución del control.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 262
MÓDULO 7 • GESTIÓN DE RIESGO DE COMPLIANCE
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 263
MÓDULO 7 • GESTIÓN DE RIESGO DE COMPLIANCE
En cualquiera de los casos, tendremos que los controles, el riesgo residual supera al
realizar un ejercicio de análisis y de adopción apetito de riesgo de la organización, se
de decisiones con relación a la necesidad de abre la necesidad de implementar controles
implementar medidas adicionales, bien sea adicionales o de mejorar la efectividad de los
para evitar el riesgo (impidiendo la realización existentes.
de determinadas actividades), para reducirlo
De forma esquemática podemosrepresentarel
(eliminando la fuente del riesgo, reduciendo su
proceso de la siguiente forma:
probabilidad o su impacto), para compartirlo
o transferirlo (modificando contratos con
terceras artes, suscribiendo pólizas de
seguros), o para aceptarlo (monitorizando su
evolución).
• Supervisar de forma continua de los De acuerdo con la norma UNE-ISO 31000, los
riesgos y controles (monitorización de planes de tratamiento del riesgo consisten
Compliance) en documentar la manera en la que se
implantarán las opciones de tratamiento
• Establecer indicadores de riesgo (KRI) que
elegidas. Estos planes de tratamiento
permitan su monitorización permanente.
deberían incluir, entre otros aspectos, los
• Recomendar medidas de remediación de siguientes:
las deficiencias identificadas
• El fundamento de la selección de
• Realizar el seguimiento de la opciones para el tratamiento, incluyendo
implementación de las medidas de los beneficios esperados.
remediación acordadas
• Las personas que rinden cuentas y
• Informar a la alta dirección sobre las aquellas responsables de la aprobación e
deficiencias relevantes identificadas implementación del plan.
y las principales incidencias en la
• Las acciones propuestas.
implementación de medidas correctoras
• Los recursos necesarios, incluyendo las
Así, cuando por cualquier razón, por ejemplo,
contingencias.
porque se incrementa la probabilidad o el
impacto del riesgo o porque se debilitan • Las medidas del desempeño.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 264
MÓDULO 7 • GESTIÓN DE RIESGO DE COMPLIANCE
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 265
MÓDULO 7 • GESTIÓN DE RIESGO DE COMPLIANCE
• El periodo de conservación de la
información.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 266
MÓDULO 7 • GESTIÓN DE RIESGO DE COMPLIANCE
• Los riesgos de Compliance no están aislados. Su gestión debe formar parte de un enfoque
integrado, que permita ser consciente y visualizar no sólo todos los riesgos a los que se
enfrentan las organizaciones, sino cómo están conectados e interactúan entre ellos.
• Los riesgos de Compliance son aquellos relacionados con las acciones u omisiones que pueden
llevar a una organización a sufrir sanciones, multas, pérdidas financieras o reputacionales
por (y a causa de) incumplimientos de las leyes, regulaciones, normas de autorregulación o
códigos de conducta que se apliquen a su actividad, así como por la implantación de controles
deficientes o fallos en los mismos.
• Para la gestión de riesgos, las normas y estándares más conocidos y empleados son el ISO
31000 Gestión del riesgo. Directrices, actualizada en 2018, y el marco integrado COSO- ERM
(Enterprise Risk Management), actualizado en 2017.
• En la gestión de sus riesgos, Compliance ejecutará las mismas actividades que cualquier otra
función en este ámbito: identificar, analizar, evaluar, responder, detectar (monitorizar) e
informar.
• De acuerdo con lo anterior, y siguiendo como referencia la norma ISO 31000, aplicable a
cualquier tipo de organización, la gestión de riesgos de Compliance se realizará llevando a
cabo las siguientes fases y actividades:
• Las organizaciones actúan en el mundo real, en el que todos nos enfrentamos a cambios,
incertidumbres y riesgos en nuestra toma de decisiones. Por tanto, el riesgo es consustancial
a la actividad, y no cabe ignorarlo, sino gestionarlo adecuadamente.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 267
MÓDULO 7 • GESTIÓN DE RIESGO DE COMPLIANCE
• Este riesgo consustancial a la actividad, es el riesgo inherente. Este riesgo se mide como
combinación de dos parámetros: la probabilidad de que el riesgo se manifieste o materialice,
y el impacto que éste tendría. Si se aplican controles de cualquier naturaleza (preventivos, de
detección o de reacción) para evitarlo, prevenirlo, reducirlo o mitigarlo, la cantidad de riesgo
resultante es la denominada riesgo residual.
• Una vez completadas las fases de gestión de riesgos, el resultado (riesgo residual) ha de ser
una cantidad de riesgo aceptable. La categorización de aceptable o no estará determinada por
el concepto de “apetito de riesgo”, o cantidad de riesgo, a nivel global, que una entidad está
dispuesta a aceptar en su búsqueda de valor. Para una adecuada gestión, el riesgo residual
siempre ha de ser igual o menor que el apetito de riesgo.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 268
Módulo 8
Normativa interna
de las organizaciones
MÓDULO 8 • NORMATIVA INTERNA DE LAS ORGANIZACIONES
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 270
MÓDULO 8 • NORMATIVA INTERNA DE LAS ORGANIZACIONES
Kelsen, parte de una norma de máximo máximo nivel que otorgue sentido al resto,
resto del conjunto, sin que normas de rango (Código Ético, Código de Conducta, Valores,
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 271
MÓDULO 8 • NORMATIVA INTERNA DE LAS ORGANIZACIONES
como “Gestión de políticas”, siendo la gestión organización, quién debe encargarse de velar
de políticas uno de los cometidos que está por su cumplimiento, revisar su contenido
asumiendo la función de Compliance. A tal y, en su caso, modificarlas, o cómo deben
respecto, lo primero que debe procurarse organizarse y ordenarse estas normas para
es un entorno jerárquico definido para garantizar el cumplimiento de todas ellas,
establecer, dentro de ese contexto, el proceso entre otras cuestiones.
de creación, aprobación, difusión y archivo
Este procedimiento destinado a ordenar
de las normas, en los términos descritos más
la producción normativa es lo que
adelante.
informalmente se conoce como “Norma
Por consiguiente, una primera evidencia Cero” o “Norma de Normas”.
para valorar la “Gestión de políticas” de una
empresa es la existencia de una norma de Contenido esencial de la Norma Cero
alto nivel capaz de vertebrar el conjunto.
Aunque las organizaciones podrán desarrollarla
En su ausencia, será difícil ponerle orden
con el formato interno y denominación acorde
y dotarlo de consistencia, especialmente
con su terminología interna, debería responder las
cuando crezca de manera descontrolada.
siguientes ocho cuestiones esenciales:
Esta norma, que además de existir debe ser 1. Quién tiene la capacidad de impulsar la creación
idónea en cuanto a sus contenidos y el modo de una norma o su revisión.
en que los dispone, debería tratarse de una
2. Quién debe valorar inicialmente la idoneidad
mezcla perfectamente aquilatada entre de su creación.
los valores propios de la organización y las
3. Qué personas o funciones deben estar
directrices de gestión ética moderna.
involucradas en el proceso de su creación.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 272
MÓDULO 8 • NORMATIVA INTERNA DE LAS ORGANIZACIONES
Comunicación
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 273
MÓDULO 8 • NORMATIVA INTERNA DE LAS ORGANIZACIONES
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 274
MÓDULO 8 • NORMATIVA INTERNA DE LAS ORGANIZACIONES
Así pues, recordar la existencia de normas debe contar con una norma básica que
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 275
MÓDULO 8 • NORMATIVA INTERNA DE LAS ORGANIZACIONES
detallan los criterios que sigue la organización En este mismo sentido, es fundamental
para tomar decisiones corporativas. también que la organización lleve a cabo
tareas de comunicación, formación y
También es común encontrar entre estas
sensibilización sobre su contenido.
políticas de Alto Nivel normas que regulan el
funcionamiento de los canales de denuncia de La Política de Compliance
la organización, tanto desde un punto de vista
La Política de Compliance se configura
organizativo como desde una perspectiva
como una de las políticas de Alto Nivel de la
normativa, estableciendo la obligación de los
organización, en la que se incluyen:
empleados de comunicar cualquier incidencia
que pueda entrañar responsabilidad para la 1. los objetivos de Compliance acordados
organización o los derechos que amparan por la organización;
a denunciantes y denunciados, entre otras
2. el principio de compromiso e involucración
cuestiones.
de todo el personal en su consecución;
No obstante, debido a que estas políticas 3. las estructuras de Compliance dispuestas
son aprobadas por el órgano superior de la para auxiliar en esa labor. El órgano
organización (Consejo de Administración), de administración de la organización
y sólo pueden modificarse por el mismo, es debe encargarse de aprobar y brindar la
conveniente mantener b ajo el número de máxima difusión a este documento.
éstas. Así, sólo políticas verdaderamente
de alto nivel (por el ámbito, la autoridad Esta norma define el marco de principios
y el mensaje a transmitir, su estabilidad y de cumplimiento, desarrollando los valores
otras razones similares) deben elevarse y principios previstos en el Código Ético o
a esta categoría, evitando las rigideces de Conducta de la organización. Con ello se
de tener que recurrir a este órgano para promueve una cultura de integridad y respeto
cuestiones de menor entidad o de impacto hacia las normas que tiene en consideración
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 276
MÓDULO 8 • NORMATIVA INTERNA DE LAS ORGANIZACIONES
a una parte del personal- que deberán Los patrones de conducta que se promueven
implementarse para prevenir la comisión (o rechazan) una organización, suelen hallarse
de aquellos riesgos concretos sobre los que reflejados en sus políticas. Siguiendo el mismo
la organización, tras evaluar sus riesgos, esquema que el del Ordenamiento Jurídico,
ha detectado una mayor probabilidad de este tipo de política emanará directamente
comisión. del Código Ético o de Conducta o de la Política
de Compliance con la que se dote.
Tampoco existe un listado tasado de políticas
específicas en materia de Compliance, en La política de prevención penal pone en valor
tanto en cuanto cada organización deberá la importancia de todas estas normas como
implantar aquellas que le ayuden a minorar medio de ejercer la prevención de conductas
los riesgos concretos a los que se expone en el ilícitas.
ejercicio de su actividad, si bien es común que
las organizaciones se doten de una política en Los patrones de conducta exigidos por
materia de prevención penal (como parte de la legislación, así́ como por las políticas
política robusta sobre usos informáticos (ante prevención penal, conformarán el marco de
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 277
MÓDULO 8 • NORMATIVA INTERNA DE LAS ORGANIZACIONES
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 278
MÓDULO 8 • NORMATIVA INTERNA DE LAS ORGANIZACIONES
- Regalos, actividades de
entretenimiento y hospitalidades. Ubicación de una política anticorrupción en una superestructura de
Compliance. Elaboración propia
- Donaciones a partidos políticos.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 279
MÓDULO 8 • NORMATIVA INTERNA DE LAS ORGANIZACIONES
169 Helin et al. (2011); Kaptein (2010) moral (dimensión ética de la organización).
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 280
MÓDULO 8 • NORMATIVA INTERNA DE LAS ORGANIZACIONES
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 281
MÓDULO 8 • NORMATIVA INTERNA DE LAS ORGANIZACIONES
Pero, además, no hay que olvidar que el código Para que un código ético o de conducta sea
ético y/o de conducta implica un compromiso eficaz y cumpla con su finalidad es relevante
de la organización que lo aprueba y publicita. que en este documento o en la normativa de
desarrollo posterior se establezcan de forma
Las organizaciones que aprueban un
clara y concisa las siguientes medidas:
código ético y/o de conducta, asumen
voluntariamente una deuda ética hasta que • Sensibilizar a todos los empleados y partes
pueden probar que están cumpliendo con interesadas de la organización sobre
los estándares éticos que han adoptado la importancia del cumplimiento de los
oficialmente . Y no debemos olvidar, que no
170
principios generales de comportamiento,
hay mayor pérdida de confianza que la que para llevar a cabo su ejercicio profesional
se produce cuando alguien no es capaz de de un modo correcto.
cumplir con sus propios compromisos.
• Informar a todos los empleados y partes
Por tanto, es fundamental que las empresas y interesadas que una infracción de los de
organizaciones de otro tipo, sean conscientes los principios marcados en el código de
del importante papel que puede tener el conducta o en otras normativas internas
código ético que adopten y tomar las medidas establecidas puede implicar medidas
necesarias para que no queden en meros disciplinarias. Esto podría llegar a suponer
papeles y documentos elaborados para cuidar la resolución del contrato de trabajo (para
la imagen corporativa, pero sin aplicación real
directivos y empleados), o la resolución de
en el día a día de sus actividades.
los contratos (para proveedores u otras
Recomendaciones para que los partes afectas con relación contractual
códigos de conducta cumplan con mercantil).
su finalidad • Dejar constancia expresa y clara de la
La adopción de códigos éticos o de conducta condena tajante de la organización a
puede responder a diversas finalidades, cualquier tipo de comportamiento ilegal
como, por ejemplo: o que infrinja los estándares éticos
determinados por la misma.
• Ser una herramienta interna de gestión
para declarar los valores y estándares • Adoptar las medidas necesarias para
éticos de la organización; permitir a la organización una actuación
rápida, en caso de que se identifique
• Ser una vía para ejercer influencia sobre las
la materialización de un riesgo de
prácticas de sus socios o negocios globales;
Compliance.
• Ser un medio para informar a clientes y
• Establecimiento de canales de denuncia
proveedores de los principios seguidos
y una cultura de comunicación abierta
en la elaboración y fabricación de sus
en la que no exista miedo a represalias
productos.
por comunicar incumplimientos o
170 Bulgarella, (2018 sospechas fundadas de malas conductas
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 282
MÓDULO 8 • NORMATIVA INTERNA DE LAS ORGANIZACIONES
Código Ético
Contenido y alcance del código de
Herramienta esencial a través de la cual conducta
la organización da a conocer, interna y
A continuación, sin carácter exhaustivo,
externamente, los principios de actuación y
incluimos algunos ejemplos de secciones que
valores que espera de sus directivos y resto de
empleados, y que puede sin duda contribuir pueden incluirse en un Código de Conducta.
• Confidencialidad de la información;
Además, como mínimo, este documento • Conflictos de intereses;
debe cumplir los siguientes principios:
• Conducta interna;
• Contratación de familiares;
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 283
MÓDULO 8 • NORMATIVA INTERNA DE LAS ORGANIZACIONES
principios, el resto de las políticas específicas sentencia que “(..) un código ético complementa la
regulación de las relaciones laborales en la medida
aplicables a cada ámbito concreto.
en que establece unos principios para implementar
Sin embargo, y pese a tratarse de la norma conductas socialmente responsables, pero que no
puede sustituir ni suplantar la legislación laboral, ni
más importante dentro de la organización,
el diálogo social o la negociación colectiva. Por tanto,
no podemos olvidar su condición de norma
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 284
MÓDULO 8 • NORMATIVA INTERNA DE LAS ORGANIZACIONES
los principios de actuación del código ético sólo serán 8.2.3. Políticas y procedimientos
vinculantes en la medida que encajen plenamente en los
principios constitucionales, legales y contractuales que Un programa de Compliance es un marco a
regulan las relaciones laborales y, en consecuencia, las través del que se planifica y desarrollan las
previsiones de infracciones y sanciones que contenga responsabilidades de Compliance. Dichas
un código ético deben encajar en las disposiciones que obligaciones pueden ser de índole legal y
sobre esta materia estén previamente determinadas
regulatorio (aquellas que una organización
en el convenio colectivo de aplicación, en consecuencia
debe cumplir), u obligaciones que la empresa,
esta referencia a la imposición de sanciones por no
u organización de otro tipo, elige cumplir (es
observar las actuaciones contenidas en el código
decir, adoptadas de forma voluntaria, como,
ético, solo puede ser entendido en el sentido de que
la no observancia de los criterios de actuación que por ejemplo, un código ético).
se recogen en Código Ético y de Conducta podrá ser
Hay que tener en cuenta que establecer un
sancionado conforme al régimen disciplinario vigente
programa de Compliance implica centrarse en
(…)”.
gestionar riesgos, no en elaborar normativa
innecesaria.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 285
MÓDULO 8 • NORMATIVA INTERNA DE LAS ORGANIZACIONES
de ningún tipo.
Dependiendo del sector de actividad en
el que se encuentra la organización y de
Política
otros factores, será necesario asegurarse
Declaración de normas que los empleados deben de que la organización cuenta con las
seguir; debe ser clara y sencilla de entender.
políticas necesarias para cumplir con los
Procedimiento requerimientos y recomendaciones de los
reguladores correspondientes, en su caso.
Documento que detalla los métodos utilizados para
poder dar cumplimiento a las políticas en el día a
En este sentido, la organización tiene que
día. Los empleados deben tener las herramientas
ser activa en todo lo relativo al seguimiento
necesarias para poder cumplir las políticas que les
aplican. de las novedades regulatorias y normativas
que le puedan ser aplicables, para identificar
las políticas, procedimientos o guías que
Aunque estas definiciones nos pueden
puedan llegar a ser necesarias.
aclarar las diferencias, no siempre es sencillo
distinguir entre una política (o cuando debe Todos estos temas son objeto de estudio
establecerse) y un procedimiento a la hora de en otros módulos de este material, y en
elaborar y aprobar un documento. otros módulos se encuentran mucho más
detallados, por lo que no se ampliará más
En el cuadro a continuación, se resumen
detalle aparte de señalar y hacer hincapié
algunas de las diferencias esenciales entre
ambos: en que la normativa indica la necesidad de
tener políticas y procedimientos que sirvan
POLÍTICAS PROCEDIMIENTOS como medida de control de los riesgos de
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 286
MÓDULO 8 • NORMATIVA INTERNA DE LAS ORGANIZACIONES
Ideas y consejos para gestionar las políticas Por su parte, el Departamento de Justicia de
y procedimientos los EE.UU actualizó en junio de 2020171 su
1. Asegurar que la gestión de políticas es una guía u Orientaciones para la evaluación de
responsabilidad centralizada. Programas de Compliance, donde se incluyen
2. Identificar las versiones vigentes, garantizando una serie de preguntas sobre las políticas y
y facilitando acceso a estas y su disponibilidad procedimientos para evaluar si un Programa
(plataformas, formatos, medios…)
de Compliance se puede considerar “efectivo”.
3. Prever la desactualización de políticas. Puede
ser peor que carecer de ella. Según este documento (ya mencionado en el
4. Toda política ha de tener un propietario módulo 1), las tres cuestiones fundamentales
responsable, con conocimientos y experiencia que un fiscal utilizará para evaluar el Programa
en el área o temática concreta. de Compliance de una organización serán:
5. Acompañar los procedimientos y procesos
para implementar una política de un plan de a. ¿Está bien diseñado el Programa de
monitorización, para control y seguimiento de Compliance de la organización?
su cumplimiento.
El fiscal revisará si el programa es
6. Vincular las políticas con la regulación y los
comprensible, verificando si existe
estándares que las originan.
un mensaje de tolerancia cero hacia
7. Incluir en la gestión de políticas y procedimientos
determinados incumplimientos, sino
la confirmación de su conocimiento por los
empleados y, en su caso, la certificación. también si las políticas y procedimientos
están debidamente integradas en la
8. Organizar las políticas: fecha, numeración,
ámbito, departamento alfabéticamente, etc. operativa de la organización y son
conocidas por parte de los empleados.
9. Establecer un sistema y calendario de revisión,
actualización y aprobación de las políticas y
Un programa de Compliance bien diseñado
procedimientos.
implica políticas y procedimientos que
10. Instaurar un sistema de seguimiento periódico
dan contenido y efecto a las normas de
(p. ej, mensual, bimestral…) del desarrollo y
tipo ético. Los fiscales analizarán si la
estado de las políticas internas
organización dispone de un código de
11. Establecer y documentar un sistema de
conducta que manifieste su compromiso
delegaciones de aprobación.
con el cumplimiento de las normas, su
12. Adoptar la claridad y la concisión como
principios básicos.
accesibilidad y aplicación a todos los
empleados. Los procedimientos deben
13. Registro de toda versión y modificación: cuándo,
cambios realizados, motivo, etc.
llevar la cultura de Compliance a la
operativa del día a día.
14. Establecer revisiones periódicas
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 287
MÓDULO 8 • NORMATIVA INTERNA DE LAS ORGANIZACIONES
b. ¿Se está implementando el Programa de b. No solo los empleados, sino también los
Compliance de manera efectiva? directivos, han de conocer y entender
las políticas de Compliance, ya que éstos
En este caso los fiscales analizarán:
son también una pieza clave, y deben ser
• El papel de la Alta Dirección. capaces de dar consejo y guiar a quienes
• La autonomía y los recursos dedicados pregunten dudas o consulten al respecto.
al Compliance. c. Los tres mayores desafíos en la gestión de
• Las medidas disciplinarias para los políticas de Compliance son:
que no cumplen, e incentivos para los • La formación de empleados en
que cumplen la normativa. políticas.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 288
MÓDULO 8 • NORMATIVA INTERNA DE LAS ORGANIZACIONES
Function in Banks”172, donde define riesgo del decretos, etc. Su característica común
Compliance como el riesgo de que: es la obligatoriedad de cumplimiento
para todos los sujetos, tengan o no
“(…) una organización pueda sufrir
conocimiento de esta, y además de poder
sanciones, multas, pérdidas financieras o
ser coercitiva (por ejemplo, un impuesto)
pérdidas en su reputación como resultado
está bajo control judicial directo.
del incumplimiento de las leyes, regulaciones,
normas de autorregulación o códigos de Pautas o normas no vinculantes (Soft law),
conducta que se apliquen a su actividad”. conformado por las pautas y normas que
rigen en empresas e instituciones, adoptadas
Esta definición aúna Compliance y riesgos, así
de forma voluntaria.
como las consecuencias de no cumplir, pero
no acaba de definir qué es Compliance como Su adopción puede tener un carácter
función. individual, principalmente a través de un
Código Ético o un Código de Conducta, o
Compliance es la capacidad que una
sectorial, fundamentalmente a través de la
organización tiene, a través de los
adhesión a un sistema de autorregulación
procedimientos implementados, de
elaborado por un conjunto de empresas
demostrar la intencionalidad de la actividad
de un sector de actividad determinado, y
previa a su ejecución cumpliendo con toda
que, una vez aprobado, es de cumplimiento
la normativa vigente (leyes, sistemas de
obligatorio para las partes.
autorregulación y códigos de conducta)173.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 289
MÓDULO 8 • NORMATIVA INTERNA DE LAS ORGANIZACIONES
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 290
MÓDULO 8 • NORMATIVA INTERNA DE LAS ORGANIZACIONES
los principios y valores que una organización implementación efectiva. Casos como Enron,
decide adoptar. Siemens, Volkswagen o Facebook son bien
conocidos.
Un Código de Conducta desarrolla las normas
que regulan los principios y valores éticos Por tanto, partiendo de la base de que la
definidos, principalmente a través de políticas asunción voluntaria de compromisos a través
y procedimientos. No hay que minusvalorar de una autorregulación se realiza no sólo
el efecto positivo, integrador y generador de de buena fe sino demostrando, según la
riqueza que tiene dentro de una organización, definición de Compliance, la intencionalidad
contar con un Código Ético y/o de Conducta – de la actividad previa a su ejecución cumple
en adelante Códigos -, ya que son parte crítica con la normativa vigente, hay que señalar
a la hora de implementar una cultura de cuáles son los requisitos que deben cumplirse
Compliance dentro de la propia organización. y que, de forma simplificada, serían los
siguientes:
Está ampliamente demostrado – por su
generalización en las organizaciones- que • Ámbito de aplicación: Ser aplicado a
tener un Código ha sido, entre otras medidas, todos los miembros de la organización,
una herramienta fundamental para tener estableciendo mecanismos que permitan
éxito en esta compleja sociedad. Tener confirmar su lectura y comprensión
un Código es condición necesaria pero no (habitualmente requiriendo la firma del
suficiente para realmente poder cumplir documento). Estos Códigos pueden ser
con sus objetivos ya que éstos deben ser aplicados a terceros si se incluyen en
legítimos y si se utiliza indebidamente tiene los contratos (por ejemplo, contratos
consecuencias muy negativas. con proveedores). Además, dada la
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 291
MÓDULO 8 • NORMATIVA INTERNA DE LAS ORGANIZACIONES
sido mayor en sectores como el financiero o continua evolución. Esta ventaja es una
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 292
MÓDULO 8 • NORMATIVA INTERNA DE LAS ORGANIZACIONES
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 293
MÓDULO 8 • NORMATIVA INTERNA DE LAS ORGANIZACIONES
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 294
MÓDULO 8 • NORMATIVA INTERNA DE LAS ORGANIZACIONES
El sistema de autorregulación de los laboratorios En dicho informe, conocido como Informe Levison,
farmacéuticos innovadores (materializado en se recomienda la creación de un organismo
el Código de Buenas Prácticas de la Industria supervisor de la prensa que garantice que los
Farmacéutica) se sustenta sobre seis principios medios pueden autorregularse con eficacia. Este
fundamentales: confianza, integridad, respeto, sistema debería garantizar la calidad del periodismo,
legalidad, transparencia y prevención. así como proteger la intimidad de las personas.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 295
MÓDULO 8 • NORMATIVA INTERNA DE LAS ORGANIZACIONES
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 296
MÓDULO 8 • NORMATIVA INTERNA DE LAS ORGANIZACIONES
179 Moore, Tanlu y Bazerman (2010), Conflict of interest and the in-
trusion of bias, Judgment and Decision Making, Vol. 5, No. 1, pp.
178 Cain DM and Detsky AS (2008), Everyone's a Little Bit Biased
37–53, journal.sjdm.org/10/91104/jdm91104.pdf.
(even Physicians), JAMA, 299(24), pp. 2893–5. doi: 10.1001/
jama.299.24.2893. 180 Moore, Tanlu y Bazerman (2010),
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 297
MÓDULO 8 • NORMATIVA INTERNA DE LAS ORGANIZACIONES
Por último, es muy importante tener claro Ejemplo: Vinculación familiar del
que la mera existencia de un conflicto de responsable de compras de una
intereses en el desempeño de la actividad empresa con un directivo de una
profesional no debe suponer, a priori, un empresa proveedora de servicios que
comportamiento censurable o sancionable. ha presentado oferta para prestar sus
Así, es importante no confundir la existencia servicios.
de un conflicto de intereses con un acto de
b. Potenciales: Una persona tiene un
corrupción.
interés particular que podría influir a la
No obstante, las situaciones de conflictos de hora de hacer un juicio profesional desde
intereses mal identificadas y no gestionadas la posición o cargo que ocupa, pero aún
pueden poner en riesgo la integridad de la no se encuentra en una situación en la que
empresa (y del propio individuo). tenga que ofrecer este discernimiento.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 298
MÓDULO 8 • NORMATIVA INTERNA DE LAS ORGANIZACIONES
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 299
MÓDULO 8 • NORMATIVA INTERNA DE LAS ORGANIZACIONES
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 300
MÓDULO 8 • NORMATIVA INTERNA DE LAS ORGANIZACIONES
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 301
MÓDULO 8 • NORMATIVA INTERNA DE LAS ORGANIZACIONES
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 302
MÓDULO 8 • NORMATIVA INTERNA DE LAS ORGANIZACIONES
Sin perder de vista el enfoque basado que las políticas de gestión de conflicto
en el riesgo antes mencionado, estas de intereses adviertan claramente de la
obligaciones han de resultar de aplicación obligación que tiene cualquier profesional
a todos los individuos (consejo de de la organización de inhibirse o
administración, directivos y resto de abstenerse de actuar o cuando su juicio
empleados) que de un modo u otro profesional pueda verse afectado por un
puedan verse inmersos en situaciones de interés particular.
conflicto de intereses que comprometan
No obstante, la obligación de no actuar
los objetivos de Compliance de la empresa
no es suficiente para evitar que se
(por ejemplo, la lucha contra la corrupción
materialicen conflictos de intereses y es
en todas sus formas).
por ello necesario que se establezcan
Una forma efectiva de prevenir que se medidas adecuadas para remediar y
materialicen situaciones de conflicto de gestionar los conflictos que se identifiquen
intereses en un el desarrollo de un proyecto (según se explica en el punto siguiente).
o actividad corporativa (por ejemplo,
c. Mecanismos o medidas específicas para
el asesoramiento en una operación
gestionar el conflicto, real o potencial,
de adquisición de otra compañía, o la
una vez identificado: Bajo este apartado
contratación de proveedores para un
se incluirían todas aquellas medidas
proyecto de infraestructura), es solicitar
tendentes a prevenir un impacto negativo
una declaración de conflictos de intereses
derivado de una situación en la que
por defecto al comienzo del mismo.
la emisión de un determinado juicio
De este modo, desde una perspectiva profesional o la adopción de una decisión
“conductual” y de utilización práctica corporativa se vea finalmente influenciada
de las evidencias obtenidas en el por intereses particulares. Ejemplos de
ámbito del estudio de las ciencias del algunas medidas serían:
comportamiento de los individuos, se crea
• La implantación de procedimientos
una predisposición a que desde el principio
eficaces que impidan o controlen
todos los participantes en el proyecto
el intercambio de información
sean conscientes de la importancia de
entre personas que participen en
identificar intereses particulares que
actividades cuyos intereses entren en
puedan influir indebidamente en las
conflicto.
decisiones que adopten181.
• Por ejemplo, en una entidad bancaria,
b. Obligación de abstención de actuar en
el establecimiento de una barrera
caso de involucración en una situación
informativa entre el área de análisis
de conflicto de intereses: Es importante
bursátil (equities research) y el área que
asesora en operaciones corporativas
181 OCDE (2018), La integridad pública desde una perspectiva conduc-
tual. El factor humano como herramienta anticorrupción, p 8, Public tales como fusiones y adquisiciones.
Governance Reviews.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 303
MÓDULO 8 • NORMATIVA INTERNA DE LAS ORGANIZACIONES
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 304
MÓDULO 8 • NORMATIVA INTERNA DE LAS ORGANIZACIONES
8.4.7. Los conflictos de intereses en Por ello, es importante separar, siempre que
la función del Compliance Officer sea posible, la función de Compliance de otras
funciones, particularmente la de Asesoría o
Cualquier persona puede verse Departamento Legal, cuando estén unificadas
potencialmente incursa en conflictos de o exista alguna dependencia entre ambas. No
intereses , incluido el propio Compliance
183
debemos dejar de insistir, una vez más, en la
Officer, como empleado. importancia de mantener independientes
la función de Compliance y la de auditoría
En ocasiones puede ser una buena práctica
interna para evitar el solapamiento de la 2ª
que la función se configure como un órgano
y 3ª línea de defensa, con la consecuente
colegiado, de manera que si cualquiera de sus
pérdida de una de ellas.
integrantes –incluido el máximo responsable
de la función- está incurso en una situación
de conflicto de intereses que comprometa su
imparcialidad, pueda gestionarse por el resto
de los miembros.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 305
MÓDULO 8 • NORMATIVA INTERNA DE LAS ORGANIZACIONES
Caso de estudio X: Wells Fargo. Conflictos de intereses y plan de incentivos a los empleados.
Wells Fargo es una de las mayores compañías financieras de EE.UU, así como uno de los cuatro
grandes bancos de ese país. Entre 2009 y 2016, 5.300 empleados (un 1% de la plantilla) abrieron
cerca de 1.5M de cuentas bancarias y asignaron 565.000 tarjetas de crédito a clientes sin su
autorización. En 2017 se descubrió un total de 2,1M de cuentas cuya existencia sólo conocieron los
clientes al cargárseles las comisiones.
Los empleados del banco norteamericano habían realizado ventas cruzadas y abierto cuentas falsas
a sus clientes para cobrarles comisiones, debido a la presión ejercida por el banco por aumentar
sus resultados: querían cumplir los objetivos de ventas, de los que dependían sus “bonus” a final
de año.
Como en otros casos ya comentados, Wells Fago contaba con programas de Compliance. También
disponía de un código ético y otro de conducta del negocio, donde se enfatizaba el deber de guiarse
en todas las actuaciones “por lo que es correcto para los clientes”. Por último, también existía un
documento, “Visión y Valores”, firmado por el CEO, donde se destacaba la importancia de la ética y
la integridad.
Este caso ejemplifica, entre otras cuestiones, cómo una empresa que establece objetivos comerciales
poco realistas y una fuerte presión para alcanzarlos (el mantra comercial utilizado era ‘eight is great’,
haciendo referencia al número de productos que deberían contratarse por cada cliente), influye
negativamente en la forma en la que los empleados prestan su servicio y venden productos a sus
clientes. En consecuencia, se genera un riesgo de Compliance (mala venta de productos y fraude)
que la mera existencia de un código ético y de conducta no impide. Si el mensaje trasladado es que
el comportamiento que se incentiva es únicamente lograr objetivos económicos, pero no el prestar
un servicio de calidad y atender debidamente a los intereses y necesidades del cliente (requisitos
básicos para garantizar un nivel adecuado de protección del cliente de los servicios financieros),
se crea un conflicto de intereses en el que la balanza se inclinará hacia el interés particular del
empleado (beneficio económico o mantenimiento de su puesto de trabajo).
Debido a este riesgo, la regulación financiera exige a las entidades que gestionen adecuadamente
sus conflictos de intereses. Así, en 2013, el regulador europeo ESMA (European Securities and
Markets Authority) emitió unas directrices sobre “sobre políticas y prácticas de remuneración” para
garantizar la implementación coherente y mejorada de los requisitos en materia de gestión de
conflictos de interés ya existentes de MiFID I, y el cumplimiento con las normas de conducta. En
esta línea, el regulador del Reino Unido (por aquel entonces, la “Financial Services Authority” o FSA),
publicó ese 2013 una guía específica titulada “Riesgos para los clientes derivados de los incentivos
financieros”. En ella revela una serie de fallos en la industria financiera a la hora de establecer
planes de incentivos, tales como no ser capaces de identificar correctamente cómo los esquemas
de incentivos pueden conducir a una mala venta, y comprender cómo la complejidad de su diseño
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 306
MÓDULO 8 • NORMATIVA INTERNA DE LAS ORGANIZACIONES
Este caso es ejemplo evidente de cómo los objetivos de Compliance han de estar presentes en
el diseño de la estrategia empresarial y la aprobación de objetivos de negocio. Es fundamental
asegurar que en los mensajes enviados a los empleados (en este caso, a la red comercial), existen
una coherencia entre los comportamientos intencionados o esperados (código ético, políticas de
Compliance etc.) y los expresados por otros medios (por ejemplo, en comunicaciones y mensajes
de la dirección y mando intermedios, o mediante el propio plan de incentivos). Además, para que
la labor de Compliance resulte eficaz y pueda velar por la prevención del riesgo de mala conducta
derivado de un plan de incentivos (conflicto de intereses), Compliance debe ser involucrados y
participar en el proceso de su diseño y aprobación.
Fuentes:
• Cavanna, J., 2016,5.300 cómplices y un liderazgo sin agallas: a propósito de Wells Fargo, Revista digital
Compromiso Empresarial, artículo accesible en https://www.compromisoempresarial.com/rsc/2016/11/5-
300-complices-y-un-liderazgo-sin-agallas-a-proposito-de-wells-fargo/
• European Securities and Markets Authority (ESMA), 2013, Guidelines on remuneration policies
and practices (MIFID), ESMA/2013/606, accesible en https://www.esma.europa.eu/sites/default/files/
library/2015/11/2013-606_en.pdf
• Financial Conduct Authority (FSA), 2013, Risks to customers from financial incentives, final guidance,
accesible en https://www.fca.org.uk/publication/finalised-guidance/fsa-fg13-01.pdf
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 307
MÓDULO 8 • NORMATIVA INTERNA DE LAS ORGANIZACIONES
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 308
MÓDULO 8 • NORMATIVA INTERNA DE LAS ORGANIZACIONES
La diligencia debida en la
fase de selección afecta al
propio personal de la
organización (procedimiento
conocido como filtrado de Distintos ámbitos en los que se llevan a cabo procedimientos de
diligencia debida. Elaboración propia
personal o “Know Your Employee”, KYE), pero
también a terceros. En todos estos ámbitos procede que la
organización ponga cuidado en seleccionar
Este último grupo es más voluminoso de lo
a personas –físicas o jurídicas- alineadas
que aparenta, al considerarse tercero todo
con sus objetivos de Compliance (carece de
aquel con quien se mantiene algún vínculo
sentido la pulcritud en lo referente a la propia
de negocios, pero que no ostenta la cualidad
empresa, pero la laxitud en lo que afecta a
de empleado.
terceros que se vinculan de algún modo con
Por ello, siguiendo la terminología anglosajona, ella mediante una nueva relación, ya sea de
estos terceros pueden hallarse por arriba carácter laboral o mercantil).
(“upstream”), por abajo (“downstream”) o a los
lados (“lateral”). Las medidas de vigilancia y control que
se aplican para gestionar los riesgos
• Por arriba, donde se hallarán inherentes en cada uno de estos ámbitos de
principalmente los clientes (también relaciones de la empresa son asimétricas.
podrían ubicarse allí patrocinadores y Así, normalmente existirá mayor capacidad
otras figuras análogas); de vigilancia y control sobre proveedores
• Por abajo, se localizarán los proveedores que sobre clientes, considerando la mayor
y subcontratistas; capacidad de negociar que normalmente
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 309
MÓDULO 8 • NORMATIVA INTERNA DE LAS ORGANIZACIONES
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 310
MÓDULO 8 • NORMATIVA INTERNA DE LAS ORGANIZACIONES
De este modo, estos sistemas o No obstante, cabe señalar en este punto que,
plataformas ofrecen a sus clientes una en España, los servicios de investigación están
forma rápida y normalizada de obtener enmarcados en la normativa de seguridad
resultados a través de una sola búsqueda, privada, que establece varias limitaciones
encargándose dichos sistemas de respecto de quienes están habilitados para
alimentar y mantener actualizados esos realizar investigaciones privadas y en qué
listados de entidades (personas físicas y circunstancias. En cualquier caso, no es ilegal
jurídicas). recabar información pública sobre un tercero,
tanto por medios propios como a través de
Algunos de estos sistemas arrojan
un profesional.
resultados por proximidad fonética
o incluso con transliteración en caso Si este fuera el caso (la contratación de un
de caracteres no latinos. El coste de profesional), habrá de quedar constancia
suscripción a BBDD de integridad ha documental del interés legítimo invocado
disminuido gracias a su popularización, y asegurarse de que el tercero contratado
constituyendo una herramienta de cuente con los permisos, esté inscrito en
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 311
MÓDULO 8 • NORMATIVA INTERNA DE LAS ORGANIZACIONES
los registros que previene la normativa Se recomienda, por ejemplo, incluir cláusulas que
y se comprometa a no utilizar medios contemplen el derecho a realizar auditorías. En caso
de no ser posible, considerar esta imposibilidad en
o procedimientos no amparados por la
la propia evaluación del riesgo.
normativa.
Otro tipo de cláusulas a incluir, por ejemplo, en la
Estas prevenciones no son baladí. Los contratación de agentes o de proveedores para
escándalos vinculados a investigaciones realizar un proyecto o trabajo de gran alcance,
privadas irregulares han salpicado a entidades serían:
y cargos de alto nivel de empresas tan • Prohibición expresa de comisión de delitos;
conocidas como Iberdrola, Repsol, CaixaBank,
• Exigencia de que exista un sistema de gestión
BBVA, Mutua Madrileña, Grupo Planeta, de Compliance;
Generali, Legalitas, Alcampo, Citibank, Societe
• Incluir el derecho de resolución de la relación
General, Coca-Cola (Asturbega y Casbega)185y contractual en caso de incumplimiento de lo
muchas otras, lo que ha supuesto no sólo indicado anteriormente.
consecuencias reputacionales, sino también
La propia UNE 19601:2017 reconoce que, en
penales.
ocasiones, la organización no tendrá́ suficiente
influencia para incluir estas cláusulas en contratos
Fase de formalización y/o
con socios de negocio.
contratación
Si finalmente se firma un contrato en ausencia de
La etapa de formalización tales cláusulas, este hecho debería ser considerado
de la relación (laboral o como un factor en la evaluación del riesgo que
mercantil) o contratación supone dicha contratación. De hecho, las reticencias
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 312
MÓDULO 8 • NORMATIVA INTERNA DE LAS ORGANIZACIONES
(una vez más: enfoque basado en el riesgo). políticas y procedimientos internos para cumplir
con dichos objetivos.
Fase de reevaluación y seguimiento
Este seguimiento debe completarse con:
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 313
MÓDULO 8 • NORMATIVA INTERNA DE LAS ORGANIZACIONES
organización- normalmente en régimen Por otro lado, es habitual que los departamentos
laboral- desde una perspectiva de Compliance. de Compliance con responsabilidad sobre varias
jurisdicciones tomen como referencia y extiendan a
El objetivo es cerciorarse de que las las demás el procedimiento más exigente de todas
personas de la organización disponen de las ellas. Sin embargo, en ocasiones esto no es posible,
competencias necesarias para desarrollar debido a que existen comprobaciones que, siendo
su trabajo y asumir sus obligaciones ilegales en unas jurisdicciones, no llevarlas a cabo
cualquier persona que, bajo el control de la Así, por ejemplo, en España sería ilegal (en general)
organización, realizan un trabajo que afecta solicitar a un candidato sus antecedentes penales.
al desempeño de Compliance. Abarca por En cambio, en el estado de Florida (EE.UU) no
tanto también a quienes se encuentran en la sólo sería aconsejable, sino que, de no hacerlo,
la organización contratante se arriesgaría a ser
primera línea de defensa y no solo a quienes
responsable de cualquier daño a terceros causado
ocupan funciones en la segunda o tercera.
por su empleado en el ejercicio de sus funciones,
si éste contaba con antecedentes penales previos
Por otro lado, la expresión ”disponer de las
relacionados con el delito o daños producidos. Esto
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 314
MÓDULO 8 • NORMATIVA INTERNA DE LAS ORGANIZACIONES
u otras fuentes abiertas de información. Behavioural insights for public integrity, harnessing
the human factor to counter corruption, Public
En el ámbito de la promoción de los empleados, Governance Reviews,
además del desempeño profesional, la OCDE (2018)
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 315
MÓDULO 8 • NORMATIVA INTERNA DE LAS ORGANIZACIONES
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 316
MÓDULO 8 • NORMATIVA INTERNA DE LAS ORGANIZACIONES
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 317
MÓDULO 8 • NORMATIVA INTERNA DE LAS ORGANIZACIONES
Global Compact de la ONU187 hasta los convertirse en la excusa perfecta que ampare
valores recogidos en el código ético). De la ignorancia deliberada (ceguera voluntaria)
hecho, cuando el peso de los proveedores en cuanto a las conductas que desarrollan.
es relevante en las actividades de la
Otro motivo para extremar precauciones
empresa, se llega a disponer de un
es que el nivel de control sobre “joint-
código ético especial para ellos, donde
ventures” donde participan otros socios,
únicamente se abordan las materias que
puede llegar a ser inferior al que desarrollan
son de su incumbencia y al que se obligan
individualmente cada uno de ellos. Esta
contractualmente. Además, se regula
cómo se verificará su cumplimiento o situación es especialmente patente cuando
incluso las necesidades de formación. ningún socio dispone de una posición clara de
dominio en materia de toma de decisiones. Si,
• Seguimiento: De la evolución del
además, su nivel de sensibilidad en materia
proveedor, actualizando y valorando
de Compliance es dispar, aumenta el riesgo
periódicamente la información que
de que las malas praxis prevalezcan sobe las
condicionó su selección, actuando en
correctas.
consecuencia.
Debe definirse un procedimiento de
187 Para más información consultar: www.pactomundial.org/cate-
gory/aprendizaje/10-principios/ aprobación de relaciones de negocio con
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 318
MÓDULO 8 • NORMATIVA INTERNA DE LAS ORGANIZACIONES
terceros, así como a las personas que se En el ámbito del ejercicio de los procedimientos
ocuparán de él. Debe contrastarse también de diligencia debida (tanto los de proyección
aquí la concurrencia de las tres etapas de interna como externa), las aproximaciones
diligencia debida: basadas en el perfil de riesgo consisten en
condicionar el trato que se dispensa a una
• Selección de socios de negocio:
persona o entidad (incluido el nivel de control
Una adecuada selección, valorando
antecedentes frente a las administraciones sobre ella) de acuerdo con su perfil de riesgo,
de la evolución del socio de negocio, adoptar después las medidas que procedan
actualizando, valorando periódicamente para premiar o repudiar sus conductas.
la información que determinó su elección,
y actuando en consecuencia. Actividad en zonas de riesgo
con ellos hasta que se consiga mitigar su documenten. Esto permitirá monitorizar su nivel de
ejecución y disponer de evidencias documentales
riesgo, o discontinuar la relación cuando lo
acreditativas del buen hacer de la organización
anterior no resulte posible188.
(principio de información documentada).
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 319
MÓDULO 8 • NORMATIVA INTERNA DE LAS ORGANIZACIONES
• Confirmación de la realización de
Medición del perfil de riesgo
cursos de formación periódicos sobre
externo
cumplimiento ético y prevención penal –
presencial u online. En el momento de formalizar la vinculación
jurídica con una persona u organización, se
• Ausencia de sanciones disciplinarias.
debe pensar en mecanismos que amparen
• La comunicación de algún una posterior validación o confirmación
comportamiento sospechoso mediante el de la información que facilitó inicialmente.
canal de denuncias. A continuación, se desarrollan algunas
opciones:
Contenido de un Plan de acción
• La confirmación periódica de la
Aunque varían en función de la organización, la información facilitada inicialmente por
siguiente información deberían encontrarse en
parte del sujeto implicado. Suele ser una
cualquier plan de este tipo:
cautela para sujetos de bajo riesgo.
1. Naturaleza de la incidencia. Puede establecerse
una taxonomía, para efectos estadísticos, de • La autoevaluación periódica del propio
seguimiento y control. sujeto sobre la base de una batería
2. Descripción de la incidencia, facilitando de preguntas. Puesto que este control
información que permita su adecuado descansa nuevamente en la credibilidad
conocimiento. del sujeto que se autoanaliza, sólo es
3. Forma o canal de conocimiento de la incidencia, recomendable frente a perfiles de riesgo
que permitirá valorar la eficacia de dichos bajo.
canales.
• La verificación periódica de las cualidades
4. Entidad jurídica en cuyo seno se ha producido
la incidencia, identificando a la línea de negocio del sujeto por la organización que
afectada. pretende vincularse con él o por una
5. Departamento o Área en la que se ha generado. tercera parte independiente. Es una
cautela frecuente en los procedimientos
6. Personas relacionadas con la incidencia y su
papel en ella. de diligencia debida de proyección
externa, y es muy recomendable que
7. Plan de acción establecido para mitigar la
incidencia. conste expresamente en la relación
contractual (el derecho a realizar
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 320
MÓDULO 8 • NORMATIVA INTERNA DE LAS ORGANIZACIONES
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 321
MÓDULO 8 • NORMATIVA INTERNA DE LAS ORGANIZACIONES
• Las organizaciones se gobiernan a través de un sistema normativo. Entre las normas que
conforman ese sistema, debe existir una estructura, una jerarquía definida, donde las normas
de rango inferior deben alinearse con las de rango superior. En la cúspide, la norma cero, de la
que parten el resto, comenzando su desarrollo desde las políticas de alto nivel y descendiendo
en rango hasta las instrucciones o denominación equivalente, de acuerdo con los usos de cada
organización.
• Cabe distinguir entre política, como declaración de normas que los empleados deben seguir,
clara y sencilla de entender; y procedimiento, como documento que detalla los métodos
utilizados para poder dar cumplimiento a las políticas en el día a día.
• Parte del sistema normativo debe estar alineado con la legislación vigente en la jurisdicción de
la organización. Pero existen otras normas de la organización que no proceden de la imposición
exterior, sino que forman parte de la autorregulación, es decir, la capacidad que tiene una
entidad u organización para regularse a sí misma. La autorregulación debe entenderse como la
voluntaria adhesión de una organización a unas normas no impuestas ni obligatorias.
• Parte de la normativa interna está orientada a evitar y gestionar los denominados conflictos
de intereses. Estos conflictos se dan cuando un empleado de una organización se enfrenta
a situaciones en las que un interés propio interfiere o puede interferir con su capacidad para
actuar de acuerdo con el interés de otra parte, cuando exista una obligación de actuar en
beneficio de esa parte.
• Los conflictos de intereses pueden estar condicionados o generarse por factores externos
(circunstancias ajenas a la entidad, como vínculos familiares, económicos o de otra naturaleza),
o factores internos (generados por circunstancias organizativas y de gestión interna, como
dependencias jerárquicas inadecuadas, concurrencia de actividades o responsabilidad que
entran en conflicto, deficiente diseño de sistema de remuneración o incentivos, etc).
• Toda organización debería contar con una política de gestión de conflictos de intereses, de la
que formen parte, como mínimo, los siguientes elementos: forma de comunicación y registro
de conflictos de intereses; ámbito de obligación de abstención y difusión a los empleados;
definición y detalle de los mecanismos de gestión de los conflictos de intereses.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 322
MÓDULO 8 • NORMATIVA INTERNA DE LAS ORGANIZACIONES
• Igualmente, la normativa interna incluye políticas y procedimientos que regulan una actividad
cada vez más esencial, como es la diligencia debida. Dependiendo del contexto, puede
tener varios significados, pero se puede entender como un proceso operativo de obtención y
valoración de información que contribuye a la evaluación de riesgos.
• La diligencia debida consta de tres etapas secuenciales, cada una de las cuales otorga sentido a
la siguiente: selección y evaluación, formalización de la relación, y seguimiento y reevaluación.
Esto es debido a que la diligencia debida es un proceso de naturaleza dinámica y continua, que
no finaliza mientras exista la relación entre las partes, puesto que las circunstancias de cada
una son susceptibles de variar a lo largo del tiempo.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 323
Módulo 9
Canales de denuncia
e investigaciones
MÓDULO 9 • CANALES DE DENUNCIA E INVESTIGACIONES
Si bien el control sobre las conductas de los en un primer momento, con formación
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 325
MÓDULO 9 • CANALES DE DENUNCIA E INVESTIGACIONES
Ni que decir tiene que en el contexto del Como se puede apreciar de la definición de
régimen de responsabilidad penal de las la ISO37002, la denuncia de irregularidades
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 326
MÓDULO 9 • CANALES DE DENUNCIA E INVESTIGACIONES
UNE-ISO 37002
Sistemas de gestión de denuncia de
irregularidades
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 327
MÓDULO 9 • CANALES DE DENUNCIA E INVESTIGACIONES
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 328
MÓDULO 9 • CANALES DE DENUNCIA E INVESTIGACIONES
A principios de la década de los 70 del siglo pasado, Stanley Adams (nacido Stanislao Formosa)
era un alto ejecutivo de origen anglo-maltés que trabajaba para la farmacéutica suiza Hoffmann-
La Roche (Roche), donde había ejercido puestos de responsabilidad en Europa y América Latina.
Después de varios años de ejercicio profesional en esta multinacional, Adams descubrió que su
empresa estaba involucrada en actividades de fijación de precios y otras infracciones que violaban
las leyes de competencia, las normas de la CEE y el acuerdo de libre comercio entre Suiza y la CEE.
Tras reflexionar sobre esta situación, decidió revelar los detalles del cártel y demás actividades
ilegales, infracciones, etc a las autoridades de la competencia de la Comisión Europea (CE) en
Bruselas. Para ello, el 25 de febrero de 1973 escribió una carta dirigida a Albert Borschette, un
diplomático luxemburgués que ostentaba el puesto de Comisario Europeo de Competencia en
aquellos años.
Pero la CE cometió una serie de gravísimas negligencias: permitió que un empleado de Roche
fotocopiase algunos de los documentos incriminatorios facilitados por Adams, los cuales le
señalaban como el denunciante. Por si no fuera suficiente, poco después, un empleado de la
CE confirmó a un abogado de Roche que Adams era el informante. Para finalizar, la CE tuvo
conocimiento de que las autoridades suizas habían abierto un proceso penal contra dos
empleados suyos y Adams, pero no se molestaron en alertarle.
La vida de Adams dio un vuelco completo: de denunciante a denunciado. Las autoridades suizas
ni le protegieron a él, ni la libre competencia, ni a los consumidores. No tomaron medidas contra
Roche. Detuvieron a Adams, acusándole y procesándole por robo y espionaje industrial. A su
esposa le advirtieron de que su marido se enfrentaba a una pena de 20 años de cárcel; ante esta
perspectiva, acabó suicidándose.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 329
MÓDULO 9 • CANALES DE DENUNCIA E INVESTIGACIONES
seis meses de prisión. Ya libre, denunció a Suiza y a la CEE, y tras 10 años de litigio, en 1985, acabó
recibiendo una indemnización de la CE de apenas 200.000 libras, alrededor de un 40% de sus
gastos en el proceso.
La Unión Europea, por su parte, aún tardaría más de 45 años desde la denuncia original en legislar
sobre el asunto, con la aprobación en 2019 (un par de años después del fallecimiento de Adams)
la Directiva UE 2019/1937, relativa a la protección de las personas que informen sobre infracciones
del Derecho de la Unión.
Con todo, quizá lo más sorprendente es la descripción del caso que, aún hoy, hace la propia
Roche en su página web, donde la autocrítica, asunción de una mala praxis o cualquier señal de
arrepentimiento brillan por su ausencia. El caso Adams se despacha en apenas dos líneas, de
pasada. Pero posiblemente lo más discutible sea cómo Roche se victimiza, al describir la acción
de Adams como una “filtración” de información confidencial y no como una denuncia de sus
actividades ilegales: “(…) en 1973, cuando salió a la luz un escándalo de colusión en los precios de las
vitaminas. Un empleado de Roche, Stanley Adams, había filtrado acuerdos confidenciales a la CE, [lo] que
desencadenó un escándalo que condujo a una acción legal por parte de la Comisión Europea en 1974”.
Fuentes:
• Blowing the final whistle, Nick Mathiason, 25/11/2001. The Guardian, www.theguardian.com/business/2001/
nov/25/businessofresearch.research
• The Price of Whistle blowing: the flawed ECJ Decision in Stanley Adams vs. Commission of the European
Communities (1985), David Fabri
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 330
MÓDULO 9 • CANALES DE DENUNCIA E INVESTIGACIONES
EE.UU, Reino Unido, y otros países cuyas la Directiva 95/46/CE (conocido como GT29),
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 331
MÓDULO 9 • CANALES DE DENUNCIA E INVESTIGACIONES
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 332
MÓDULO 9 • CANALES DE DENUNCIA E INVESTIGACIONES
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 333
MÓDULO 9 • CANALES DE DENUNCIA E INVESTIGACIONES
denuncia, conforme a los procedimientos los miembros del personal que no sean
De acuerdo con la Directiva 2019/1937 4. Los Estados miembros velarán por que las
respecto al diseño de los canales de denuncias autoridades competentes designen a los
externos: miembros del personal responsables de
tratar denuncias, y en particular de:
1. Se considerará que los canales de denuncia
externa son independientes y autónomos, a. informar a cualquier persona interesada
siempre que cumplan todos los criterios sobre los procedimientos de denuncia;
siguientes: b. recibir y seguir denuncias;
a. se diseñen, establezcan y gestionen de c. mantener el contacto con el denunciante
forma que se garantice la exhaustividad, a los efectos de darle respuesta y de
integridad y confidencialidad de la solicitarle información adicional en caso
información y se impida el acceso a necesario.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 334
MÓDULO 9 • CANALES DE DENUNCIA E INVESTIGACIONES
5. Los miembros del personal a que se refiere el 7. Una declaración que explique y recoja con
apartado 4 recibirán formación específica claridad las condiciones de protección de
a los efectos de tratar las denuncias.” aquellos que denuncien ante la autoridad
competente en relación a su posible
Estos canales de denuncia externos deberán responsabilidad por una infracción de
ser conocidos y, para ello, las autoridades confidencialidad.
competentes deberán publicar en una
sección separada, fácilmente identificable y 8. Los datos de contacto del centro
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 335
MÓDULO 9 • CANALES DE DENUNCIA E INVESTIGACIONES
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 336
MÓDULO 9 • CANALES DE DENUNCIA E INVESTIGACIONES
del sector privado que tengan 50 o más informativos y/o en la documentación que se
trabajadores deberán establecer canales facilita tanto a la hora de incorporarse como
de denuncias internos. Asimismo, establece empleado (dentro de lo que se conoce como
que los canales de denuncia podrán paquete de bienvenida o welcome pack) como
gestionarse internamente por una persona o durante los ciclos de formación periódica.
departamento designados al efecto o podrán
Cada organización puede estructurar el canal
ser proporcionados externamente por un
como considere conveniente. Teniendo en
tercero. Todas las salvaguardas y requisitos
cuenta esta libertad, es aconsejable que el
que establece la Directiva también se aplicarán
acceso al canal sea lo más sencillo posible,
a los terceros a los que se encomiende la
fijando vías de acceso, adaptadas al idioma
gestión de los canales de denuncia de una
local en las organizaciones multinacionales, y
entidad jurídica del sector privado.
huyendo de extensos formularios y de otras
Las entidades jurídicas del sector privado cuestiones que puedan frenar la intención
que tengan entre 50 y 249 trabajadores inicial del denunciante.
podrán compartir recursos para la recepción
También existe la posibilidad, cuando no
de denuncias y toda investigación que
obligación, de establecer varias vías para la
deba llevarse a cabo, sin perjuicio de las
recepción de las comunicaciones, siempre que
obligaciones impuestas a dichas entidades
el órgano competente reciba la información.
de mantener la confidencialidad, de dar
respuesta al denunciante y de tratar la Las vías de acceso al canal de denuncias más
infracción denunciada. utilizadas son el canal telefónico, a través del
que se pueda denunciar de manera inmediata
Lo anterior será también de aplicación a todas
una posible irregularidad, plataformas o
las entidades jurídicas del sector público,
sistemas específicos y el correo electrónico, si
incluidas las entidades que sean propiedad o
bien este último está siendo progresivamente
estén sujetas al control de dichas entidades.
sustituido por sistemas o plataformas
9.5.2. Acceso al canal de denuncias específicas.
y publicidad
También es relevante determinar el colectivo
Para que el canal de denuncias cumpla de personas que puede acceder a este canal.
su función de manera efectiva, debe ser Es evidente que todos los empleados de una
fácilmente accesible a todos los empleados organización deben poder acceder, pues
de la organización. a ellos va dirigido en primer lugar y son los
que tienen mayor probabilidad de presenciar
A este respecto, cuando el canal de denuncias las presuntas actividades irregulares que
esté informatizado, es recomendable que se deberían comunicar. No obstante, en
exista un enlace directo y fácilmente visible una organización también se producen
en la intranet de la organización, así como interacciones con terceros (clientes, accionista,
convenientemente situado en carteles proveedores, etc.) de manera eventual o
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 337
MÓDULO 9 • CANALES DE DENUNCIA E INVESTIGACIONES
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 338
MÓDULO 9 • CANALES DE DENUNCIA E INVESTIGACIONES
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 339
MÓDULO 9 • CANALES DE DENUNCIA E INVESTIGACIONES
Por último, y complementariamente a dicha otorgadas por los Estados, así como las
dualidad, también cabe la posibilidad de infracciones relativas al mercado interior
estructurar canales específicos por materias: en relación con los actos que infrinjan las
financiero/contable, cuestiones relacionadas normas del impuesto sobre sociedades.
con la discriminación y el acoso laboral o
sexual, penal o vinculado en general con lo 9.6. Derechos del denunciante
establecido en el código ético o de conducta y denunciado
de la organización, etc.
El principal objetivo de cualquier norma
En este sentido, la Directiva 2019/1937 referente a los canales de denuncias es la
establece un catálogo mínimo de cuestiones protección de los denunciantes, como medida
que deben contemplarse en los canales de imprescindible para garantizar el uso efectivo
denuncias. Así, se deberán incluir infracciones de los mismos.
sobre:
No obstante, también es importante
• Contratación pública. garantizar los derechos de los denunciados, en
la medida en la que una simple comunicación
• Servicios, productos y mercados
no debería penalizarles en modo alguno hasta
financieros, y prevención del blanqueo de
comprobar la veracidad de las acusaciones y
capitales y la financiación del terrorismo.
se recaben las pertinentes pruebas.
• Seguridad de los productos y conformidad.
Los denunciantes deberán tener derecho
• Seguridad del transporte. a protección siempre que tengan motivos
razonables para pensar que la información
• Protección del medio ambiente.
sobre infracciones denunciadas es veraz en
• Protección frente a las radiaciones y el momento de la denuncia.
seguridad nuclear.
9.6.1. Protección del denunciante
• Seguridad de los alimentos y los piensos,
En este sentido, la Directiva 2019/1937
sanidad animal y bienestar de los animales.
establece las siguientes medidas de
• Salud pública. protección del denunciante:
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 340
MÓDULO 9 • CANALES DE DENUNCIA E INVESTIGACIONES
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 341
MÓDULO 9 • CANALES DE DENUNCIA E INVESTIGACIONES
a las personas afectadas por la información las medidas necesarias para prohibir todas las
suministrada, especialmente la de la formas de represalias contra las personas que
persona que hubiera puesto los hechos en realicen denuncias, incluidas las amenazas de
conocimiento de la entidad, en caso de que se represalias y las tentativas de represalia, en
hubiera identificado. particular, en forma de:
la persona jurídica. Las denuncias a las que incluidas las sanciones pecuniarias.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 342
MÓDULO 9 • CANALES DE DENUNCIA E INVESTIGACIONES
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 343
MÓDULO 9 • CANALES DE DENUNCIA E INVESTIGACIONES
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 344
MÓDULO 9 • CANALES DE DENUNCIA E INVESTIGACIONES
9.7. ISO 37002 - Sistemas de que obliga a las empresas con más de 50
Compliance
Características
• ISO 31000 Sistemas de Gestión de riesgos.
La ISO 37002 sistema de gestión de tipo B,
Hasta su publicación de esta norma, el es decir, no certificable. Es una norma que
canal de denuncias solo se había tratado establece directrices o recomendaciones.
tangencialmente en otras normas, como la No obstante, se puede utilizar conjunta
ISO 37001 (Sistemas de Gestión Antisoborno) e integradamente con otras normas ISO
o la ISO 37301 (Sistemas de Gestión de certificables, como la ISO 37001 o la ISO37301.
Compliance).
Dichas directrices deben servir para
La ISO 37002 llega para llenar ese vacío, en implementar, gestionar, evaluar, mantener y
un momento clave para los países miembros mejorar un sistema de gestión de denuncias
de la UE, los cuales están transponiendo a su de irregularidades, sólido y eficaz, dentro de
normativa interna la Directiva (UE) 2019/1937, las organizaciones.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 345
MÓDULO 9 • CANALES DE DENUNCIA E INVESTIGACIONES
Asimismo, establece las cuatro fases o pasos • Irregularidad: Acción u omisión que
en la gestión de un sistema de denuncia de puede causar daño.
irregularidades en los que se ha estructurado • Denunciante: Persona que informa
este módulo, y que son: sobre sospechas de irregularidades o
a. Recepción de las denuncias de sobre irregularidades reales y tiene una
irregularidades creencia razonable de que la información
es verdadera en el momento de informar.
b. Evaluación de las denuncias;
c. Tratamiento (gestión) de las mismas; • Denuncia de irregularidades
d. Conclusión de los casos. información sobre sospechas de
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 346
MÓDULO 9 • CANALES DE DENUNCIA E INVESTIGACIONES
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 347
MÓDULO 9 • CANALES DE DENUNCIA E INVESTIGACIONES
expectativas de las partes interesadas, que Respecto al papel del órgano de gobierno
sean igualmente relevantes para el sistema establece las siguientes responsabilidades:
de gestión de denuncias.
a. Aprobar la política de denuncias de la
También ha de determinar el alcance concreto organización y transmitir mensajes claros
de este sistema de gestión de denuncias, sobre su existencia y su uso;
haciendo en este particular un especial
b. Demostrar su compromiso adoptando
hincapié en la identificación de quién puede
la política y el sistema de gestión de
informar (empleados, clientes, proveedores,
denuncias;
otros grupos), desde dónde, y qué tipos de
ámbitos o irregularidades están cubiertas por c. Recibir y revisar, a intervalos planificados,
el sistema. información sobre el contenido y el
funcionamiento del sistema de gestión de
Por último, la norma recomienda establecer,
denuncias de la organización;
implementar, mantener y mejorar
continuamente su sistema de gestión de d. Garantizar la asignación de recursos
denuncias, incluidos los procesos necesarios adecuados y necesarios para el
y sus interacciones, de acuerdo con sus funcionamiento eficaz del sistema de
pautas y recomendaciones. gestión de la denuncia;
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 348
MÓDULO 9 • CANALES DE DENUNCIA E INVESTIGACIONES
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 349
MÓDULO 9 • CANALES DE DENUNCIA E INVESTIGACIONES
Acciones para abordar los riesgos y las b. ser medibles (si es posible);
oportunidades
c. tener en cuenta los requisitos aplicables;
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 350
MÓDULO 9 • CANALES DE DENUNCIA E INVESTIGACIONES
Una vez concretados los objetivos, el siguiente Respecto a este punto, la norma indica que la
paso para la organización es determinar la organización debe:
forma de alcanzarlos. Así pues, la organización
a. Determinar las competencias requeridas
deberá determinar:
de cualquier persona que realice tareas
a. qué se va a hacer; que afecten al sistema de gestión
de denuncias de irregularidades, su
b. qué recursos se van emplearán;
rendimiento y sus operaciones;
c. quién será el responsable;
b. Asegurar que toda persona que participe
d. plazo o calendario para su finalización; en el sistema de gestión disponga de
la educación, formación o experiencia
e. cómo se supervisarán y evaluarán los
precisas;
resultados;
c. Garantizar que el personal sea capaz de
f. cómo se actualizará (en su caso);
trabajar con la adecuada imparcialidad y,
g. cómo se comunicarán los resultados. en su caso, tomar medidas para adquirir
la competencia necesaria, y evaluar la
Apoyo al sistema de gestión de la
eficacia de las acciones adoptadas;
denuncia de irregularidades
d. Conservar la información documentada
En este capítulo, la norma se centra en las adecuada como prueba de la competencia.
necesidades del sistema de gestión, en
relación a recursos, competencia, labores de Concienciación
sensibilización y formación, la comunicación
En este epígrafe, la norma indica las medidas
y la documentación de la información.
de medidas de formación, concienciación y
Recursos sensibilización del personal que se han de
adoptar, así como la formación que han de
La organización ha de proporcionar los recibir los líderes y otros roles específicos.
recursos necesarios para el establecimiento,
desarrollo, implementación, evaluación, Comunicación
mantenimiento y mejora continua del sistema
En este punto, la ISO 37002 realiza
de gestión de denuncias y sus objetivos.
recomendaciones sobre comunicaciones
Esos recursos pueden incluir los financieros, internas como externas, relevantes para el
humanos, tecnológicos, de conocimientos sistema de gestión de denuncias, incluyendo
especializados, infraestructura, investigadores, el mensaje a comunicar, la oportunidad
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 351
MÓDULO 9 • CANALES DE DENUNCIA E INVESTIGACIONES
(cuándo), quién y , cómo, así como el idioma una adecuada comunicación con el
en el que se hará dicha comunicación. denunciante. Al mismo tiempo, debe
prever la evaluación del riesgo de perjuicio
Información Documentada
y el nivel de protección necesario para
• Evaluación: La ISO 37002 recomienda Por tanto, en esta fase no sólo se incluyen
que el sistema que se establezca recomendaciones acerca de la ejecución
especifique la forma en la que se realizará de una investigación imparcial y oportuna,
la clasificación/catalogación y priorización sino también de aquellas las tareas
de las denuncias, con un enfoque basado relacionadas con la protección y apoyo
en el riesgo. al sujeto denunciante en sentido amplio
(denunciante y personas relacionadas
Igualmente, en esta fase se debe
con la denuncia).
evaluar la integridad de la información
proporcionada, la relevancia de los hechos,
las medidas preliminares o provisionales 193 Las investigaciones internas, pueden ser realizadas por personal
interno, personal externo (actuando en nombre de la organiza-
y la asignación interna, manteniendo ción) o una combinación de ambos, algo frecuente en casos com-
plicados o con requerimientos especiales.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 352
MÓDULO 9 • CANALES DE DENUNCIA E INVESTIGACIONES
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 353
MÓDULO 9 • CANALES DE DENUNCIA E INVESTIGACIONES
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 354
MÓDULO 9 • CANALES DE DENUNCIA E INVESTIGACIONES
La gestión del canal de denuncias debe Tanto en los canales de denuncias externos
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 355
MÓDULO 9 • CANALES DE DENUNCIA E INVESTIGACIONES
comprobar, rectificar y aceptar mediante su Las entidades jurídicas de los sectores privado y
firma la transcripción de la llamada. público y las autoridades competentes ofrecerán
al denunciante la oportunidad de comprobar,
3. En los casos en que para la denuncia se
rectificar y aceptar mediante su firma el acta de
utilice una línea telefónica u otro sistema
la reunión.”
de mensajería de voz sin grabación, las
entidades jurídicas de los sectores privado En gran parte de los sistemas no telefónicos
y público y las autoridades competentes o de audio (plataformas de formularios), que
tendrán derecho a documentar la denuncia son los más habituales para la recepción de
verbal en forma de acta pormenorizada denuncias esta fase de recepción de denuncia
de la conversación escrita por el personal incluirá normalmente tres actividades:
responsable de tratar la denuncia. Las
1. Registro automático de la denuncia en
entidades jurídicas de los sectores privado
el sistema.
y público y las autoridades competentes
ofrecerán al denunciante la oportunidad de • Envío de respuesta al denunciante
comprobar, rectificar y aceptar mediante su (a modo de acuse de recibo de la
firma el acta de la conversación. denuncia), comunicación que lo que
suele incluir:
4. Cuando una persona solicite una reunión
con el personal de las entidades jurídicas • Identificación de la denuncia
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 356
MÓDULO 9 • CANALES DE DENUNCIA E INVESTIGACIONES
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 357
MÓDULO 9 • CANALES DE DENUNCIA E INVESTIGACIONES
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 358
MÓDULO 9 • CANALES DE DENUNCIA E INVESTIGACIONES
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 359
MÓDULO 9 • CANALES DE DENUNCIA E INVESTIGACIONES
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 360
MÓDULO 9 • CANALES DE DENUNCIA E INVESTIGACIONES
194 Joy, Peter & Mcmunigal, Kevin. (2010). Corporate “Miranda” War-
nings. Paper 10-07-02. Legal Studies Reasearch Paper Series. Was-
hington University in St Louis.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 361
MÓDULO 9 • CANALES DE DENUNCIA E INVESTIGACIONES
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 362
MÓDULO 9 • CANALES DE DENUNCIA E INVESTIGACIONES
Compliance deben contar con los recursos denunciados son ciertos, se deberán
detallar los extremos que sustentan
suficientes para dicha tarea. En este sentido,
dicha conclusión y proceder a preparar el
es una buena práctica que exista una partida
informe de conclusiones.
presupuestaria específica, asignada al órgano
competente con capacidad de investigar Respecto del contenido, el informe de
las denuncias, que deje constancia de su conclusiones reflejará el resultado de toda la
existencia en los estados financieros de la investigación y servirá de base para la toma
organización. La cuantía de dicha partida de las decisiones que procedan. El informe
presupuestaria será un reflejo de la prioridad debe contener, como mínimo, los siguientes
real que otorga la organización a la vigilancia extremos:
e investigación de irregularidades en su seno.
• Aspectos formales y técnicos: Título,
9.8.4. Fase 4: Conclusión autor, fecha, origen, clasificación de
seguridad del documento (restricciones o
La organización debe contar con limitaciones de acceso al mismo).
un procedimiento para concluir las
investigaciones, así como proponer • Antecedentes del expediente desde
el momento en el que se produjeron los
recomendaciones y decisiones basadas en
hechos, junto con los datos de contexto del
los resultados y conclusiones.
caso y de las personas o departamentos
Esta fase finaliza el proceso, y comprende objeto de la investigación.
la puesta a disposición de los hechos del
• Objeto de la investigación y finalidad.
denunciado, el análisis de las pruebas
aportadas y de la propia versión del • Enumeración y descripción de
denunciado, y la posterior redacción del actuaciones y aspectos analizados,
informe de conclusiones dirigido al órgano indicando los hechos relevantes
competente para tomar la decisión. Las investigados y detectados. En todos estos
conclusiones del informe, respecto de la casos se debe conservar, disponible
denuncia, se orientarán en uno de estos dos y referenciada, cualquier evidencia o
sentidos: documentación que se haya utilizado
en el proceso de investigación, haya
1. Denuncia no procedente: En el supuesto sido relevante o no. Es recomendable
en el que la investigación de los hechos que se haga una relación de toda la
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 363
MÓDULO 9 • CANALES DE DENUNCIA E INVESTIGACIONES
preventivas. razones:
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 364
MÓDULO 9 • CANALES DE DENUNCIA E INVESTIGACIONES
Entre las decisiones que se pueden adoptar, graves, la rescisión unilateral de relación
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 365
MÓDULO 9 • CANALES DE DENUNCIA E INVESTIGACIONES
• Una parte esencial de la mejora de la cultura de Compliance y la lucha contra la corrupción y las
irregularidades en las organizaciones se basa en la prevención y la obtención de información
relevante. Para ello, es esencial facilitar involucrar a los empleados y partes interesadas en esta
labor y obtener su colaboración.
• La denuncia de una irregularidad es “el acto de informar sobre la sospecha de una infracción o el
riesgo de una infracción”, o bien proporcionar “información sobre sospechas de irregularidades o
irregularidades reales aportada por un denunciante”.
• Los canales de denuncia se configuran como una herramienta esencial para recibir la
información de los denunciantes (personas que informan sobre sospechas de irregularidades
o irregularidades reales y tiene una creencia razonable de que la información es verdadera en
el momento de informar).
• La Directiva UE 2019/1937 regula en detalle todos los aspectos relacionados con las obligaciones
y requisitos de implantación de los canales, las vías de contacto y acceso, su publicidad, los
asuntos denunciables, la protección del denunciante, la gestión de las denuncias, etc.
• La ISO 37002 es totalmente compatible con la Directiva UE 2019/1937. Eso sí, contiene
recomendaciones, por lo que no es certificable. La norma se basa en tres principios: confianza,
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 366
MÓDULO 9 • CANALES DE DENUNCIA E INVESTIGACIONES
• La protección del denunciante (y de aquellos relacionados con las denuncias que puedan
ser objeto de represalias) es un elemento clave tanto de la ISO 37002 como de la Directiva
2019/1937. La primera lo establece como uno de los principios que debe gobernar el sistema. La
segunda establece medidas de protección que van desde la confidencialidad, a la prohibición
de represalias (las cuales disfrutan de una amplia interpretación) y medidas de apoyo de
varios tipos (protección jurídica por sus revelación y ausencia de responsabilidad derivada, así
como presunción de constituir represalia cualquier perjuicio posterior que se le cause).
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 367
Módulo 10
Comunicación, formación
y sensibilización
MÓDULO 10 • COMUNICACIÓN, FORMACIÓN Y SENSIBILIZACIÓN
asegurar que el flujo de información llega a una materia tan cambiante como la de
todos los niveles, contribuyendo así a una Compliance. En este módulo se realiza un
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 369
MÓDULO 10 • COMUNICACIÓN, FORMACIÓN Y SENSIBILIZACIÓN
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 370
MÓDULO 10 • COMUNICACIÓN, FORMACIÓN Y SENSIBILIZACIÓN
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 371
MÓDULO 10 • COMUNICACIÓN, FORMACIÓN Y SENSIBILIZACIÓN
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 372
MÓDULO 10 • COMUNICACIÓN, FORMACIÓN Y SENSIBILIZACIÓN
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 373
MÓDULO 10 • COMUNICACIÓN, FORMACIÓN Y SENSIBILIZACIÓN
Sin embargo, las aplicaciones tecnológicas potenciales, otras partes interesadas, etc.),
pueden resultar un arma de doble filo, ya que tiene como objetivo último beneficiar a la
se tiende a abusar de las mismas. Un ejemplo propia organización.
común es el elevado número de correos
Generalmente, la comunicación externa se
electrónicos que se envían a diario, y que
realiza principalmente por tres motivos:
pueden acabar dificultando la comunicación
-por saturación- en lugar de favorecerla. • Proyectar una imagen favorable. En esta
categoría se encuadran una gran variedad
Así, a pesar del boom de la mensajería en
de comunicaciones, entre las que cabe
tiempo real, el correo electrónico sigue
destacar la publicidad, los eventos
consumiendo gran parte de nuestro tiempo.
corporativos o las promociones.
A partir de aquí, hay que plantearse si este
sistema de comunicación es el más efectivo o • Desarrollar aspectos operativos. Esta
si por el contrario termina siendo una carga. categoría, aunque es obligatoria por
De ahí la importancia de saber elegir el canal normativa, también contribuye a la
adecuado para enviar las comunicaciones mejora de la imagen de una organización.
internas en el seno de una empresa, así como Las comunicaciones más habituales que
las personas a las que van dirigidas. pertenecen a este grupo son aquellas
relacionadas con las transacciones, los
En lo que respecta a las comunicaciones
recibos, la posición, etc. que agrupan
externas, se podría afirmar que existen tres
el grueso de la actividad del cliente o
vías principales de informar:
proveedor con la entidad en cuestión.
• Comunicación personalizada: Se envía
• Mantener la relación con el cliente.
a los clientes por medio de correo
Es evidente que las organizaciones
electrónico u otros canales similares, o
empresariales deben atender a sus
correspondencia en su domicilio.
clientes. Un ejemplo típico de esta
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 374
MÓDULO 10 • COMUNICACIÓN, FORMACIÓN Y SENSIBILIZACIÓN
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 375
MÓDULO 10 • COMUNICACIÓN, FORMACIÓN Y SENSIBILIZACIÓN
a los miembros de la organización. Sin y cada uno de los miembros de una organización,
a través del trabajo en equipo y el intercambio de
embargo, cuando se piensa en insertar
experiencias y conocimientos, así como fomentar
este procedimiento, las organizaciones se
el apoyo recíproco. Todo ello, para el estudio y
enfrentan a dos cuestiones fundamentales:
resolución de problemas que afecten al adecuado
• Si los directivos sabrán decidir desempeño y la calidad de un sector de trabajo,
proponiendo ideas y alternativas con un enfoque
correctamente qué tipo de información
orientado al progreso continuado.
comunicarán a sus trabajadores.
ascendente es la gran olvidada por muchas generalmente del flujo de información entre
decisiones. Si bien este flujo se produce para comunicación. Un ejemplo típico de este
tipo de comunicación son las reuniones
comunicar los resultados de un trabajo, para
periódicas directas con las distintas unidades
notificar incidencias o realizar consultas,
de negocio o sectores, dedicadas a comentar
sería recomendable que sirviera como un
novedades o resolver dudas. Sin embargo,
mecanismo de mejora continua.
este medio requiere mayores esfuerzos para
En este sentido, resultan eficaces estructuras poder mantenerse en el tiempo.
de que facilitan la comunicación como
pueden ser los círculos de calidad197.
10.2.3. La comunicación en materia
de Compliance según la norma ISO
37301
Definición UNE-ISO37002 - Círculo de calidad
Como se ha puesto de manifiesto a lo largo
Es la denominación de un pequeño grupo de
de este Módulo, la comunicación fluida de
personas que se reúnen, voluntariamente y de
forma periódica, para localizar, examinar y obtener aspectos relacionados con el Compliance
soluciones a los problemas que se ocasionan en su es una de las bases para la correcta
área de trabajo. implementación de la cultura de Compliance.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 376
MÓDULO 10 • COMUNICACIÓN, FORMACIÓN Y SENSIBILIZACIÓN
d. Canal, medio, formato, lenguaje: Cómo Dentro de esta herramienta, debe existir
comunicar. a su vez un apartado específico para los
diferentes aspectos de Compliance. Esta
En este sentido, la norma indica que, entre exigencia deriva de la necesidad de que el
otras cuestiones, la organización debe: departamento de Compliance sea una fuente
• Tener en cuenta las opiniones de las interna de información relevante de forma
partes interesadas. directa, siendo el comunicador o, de forma
indirecta, siendo identificado como principal
• Asegurar que la información de
responsable de la comunicación en el caso de
Compliance objeto de la comunicación es
que existan otros departamentos destinados
consistente con la información generada a tal efecto.
en el sistema de gestión del Compliance.
En este último caso, el departamento de
• Conservar la información documentada
Compliance debería ser el que controlase
como evidencia de sus comunicaciones.
en todo momento que la comunicación (en
• Comunicar internamente la información materia de Compliance o con trascendencia
relevante para el sistema de gestión en Compliance) se encuentre dentro de
del Compliance a los distintos niveles y parámetros aceptables.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 377
MÓDULO 10 • COMUNICACIÓN, FORMACIÓN Y SENSIBILIZACIÓN
• Reforzar la comunicación por otros canales Partes Interesadas en la Comunicación Externa. Elaboración propia.
Fuente: ISO 37301
de los que disponga la organización,
exponiendo los procedimientos y las • Organismos reguladores
instrucciones necesarias.
• Clientes
• Contratistas
Métodos de Comunicación según norma ISO
37301- Sistemas de Gestión de Compliance • Proveedores
“Los métodos de comunicación pueden incluir:
• Inversores
• Páginas web y correos electrónicos,
• Servicios de emergencia
• Comunicados de prensa,
• Discusiones informales,
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 378
MÓDULO 10 • COMUNICACIÓN, FORMACIÓN Y SENSIBILIZACIÓN
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 379
MÓDULO 10 • COMUNICACIÓN, FORMACIÓN Y SENSIBILIZACIÓN
necesidad puntual o pasajera, pues eso le Compliance que, además, gana importancia
sus destinatarios. Puesto que los colectivos ya que entonces no se aprovechan las
sujetos a formación pueden ser variados, posibilidades que puede brindar esta
a causa de sus diferentes exposiciones al herramienta para enviar un mensaje claro de
riesgo, procederá establecer niveles de la importancia y el compromiso que tiene la
recurrencia apropiados a cada colectivo entidad con su modelo de Compliance.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 380
MÓDULO 10 • COMUNICACIÓN, FORMACIÓN Y SENSIBILIZACIÓN
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 381
MÓDULO 10 • COMUNICACIÓN, FORMACIÓN Y SENSIBILIZACIÓN
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 382
MÓDULO 10 • COMUNICACIÓN, FORMACIÓN Y SENSIBILIZACIÓN
- Contenido
10.3.3. El plan de formación
- Metodología
Para diseñar un plan de formación adecuado,
- Programa de la formación
se debe partir de la premisa de que este
- Cronograma
deberá estar en absoluta concordancia con el
plan de formación general diseñado por áreas - Evaluación
como la de recursos humanos, de gestión de
• Mecanismos de evaluación de aquellas
personas, formación o cualquier otro similar,
personas que realizan el curso
destinado a tal efecto.
• Encuesta, recogida de opiniones y
El punto de partida es determinar la comentarios y lecciones aprendidas
competencia de cada puesto de control (propuestas de mejora).
dentro del ámbito del Compliance. Una vez
determinada, se debe garantizar que las 10.3.4. Formación programada y
personas que llevan a cabo este puesto son formación sobrevenida
competentes para desarrollar los cometidos
Los ciclos formativos estructurados y
relacionados con Compliance. Si no se
recurrentes constituyen una aproximación
tiene el nivel de competencia esperado, se
adecuada frente a un colectivo de
recomienda tomar medidas, entre las
destinatarios fijo o estable. Ahora bien, en
que figura la de realizar las formaciones
la práctica existen dos factores que impiden
pertinentes, dejando constancia documental
este equilibrio: la rotación del personal y la
de las actuaciones realizadas.
variabilidad de sus cometidos en el seno de
A rasgos generales, un Plan de formación la empresa.
debería contener, como mínimo, las
En previsión de ambos fenómenos, deben
siguientes especificaciones:
considerarse ciclos formativos sumarios
• Objetivos concretos; que permitan acceder rápidamente a los
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 383
MÓDULO 10 • COMUNICACIÓN, FORMACIÓN Y SENSIBILIZACIÓN
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 384
MÓDULO 10 • COMUNICACIÓN, FORMACIÓN Y SENSIBILIZACIÓN
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 385
MÓDULO 10 • COMUNICACIÓN, FORMACIÓN Y SENSIBILIZACIÓN
• Registro de datos y seguimiento Todo ciclo formativo que siga una aproximación
automatizado. basada en el riesgo se proyectará sobre los
colectivos más expuestos. Sin embargo, este
• Tiene un coste económico más reducido.
objetivo aparentemente sencillo constituye
• Muy útil para formaciones de carácter un gran reto para las grandes organizaciones,
general, con mensajes globales de que aglutinan a personas con perfiles muy
Compliance. variados, localizadas en emplazamientos
• Es flexible. Puede servir para cursos tanto distantes y, en ocasiones, con recursos
breves como extensos. No existe un trato insuficientes para recibir formación en
directo con el experto, aunque existen condiciones mínimamente aceptables.
canales de comunicación con el mismo
Es el caso de aquellas empresas que operan
disponibles para los alumnos.
en jurisdicciones lejanas y parajes difícilmente
accesibles. Si a tales condiciones sumamos
Formación presencial
hábitos locales no alineados con las buenas
prácticas internacionales, obtenemos un
• Permite una mejor interiorización de los
cóctel de riesgo de alta graduación.
participantes del mensaje que se quiere
transmitir. No obstante, hay que ser consciente de que
• Las dudas se tratan con más facilidad y En la actualidad, la generalización del uso
de manera instantánea. Plantea debates de las tecnologías de la información y las
útiles para personas menos proclives a facilidades de acceso telemático, permiten
participar. organizar sesiones formativas digitales
(emisiones web, seminarios web, etc.) a
• Generalmente, la formación presencial
través de medios técnicos propios o servicios
suele ser más costosa.
externos contratados al efecto. Existen
• Se recomienda su utilización para cursos proveedores externos que no solo facilitan
orientados a la alta dirección o al consejo su plataforma de teleaprendizaje, sino que
de administración. pueden adaptar el contenido de los ciclos
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 386
MÓDULO 10 • COMUNICACIÓN, FORMACIÓN Y SENSIBILIZACIÓN
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 387
MÓDULO 10 • COMUNICACIÓN, FORMACIÓN Y SENSIBILIZACIÓN
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 388
MÓDULO 10 • COMUNICACIÓN, FORMACIÓN Y SENSIBILIZACIÓN
• Ser adecuada a los roles del personal y a cualificado e impartirse en la lengua local
los riesgos de Compliance a los que está cuando sea necesario.
expuesto el personal.
• Deberán ser valoradas y evaluadas
• Evaluarse en términos de eficacia. periódicamente para valorar su eficacia.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 389
MÓDULO 10 • COMUNICACIÓN, FORMACIÓN Y SENSIBILIZACIÓN
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 390
MÓDULO 10 • COMUNICACIÓN, FORMACIÓN Y SENSIBILIZACIÓN
• Una organización comunica tanto al exterior como al interior. Teniendo en cuenta la audiencia
a la que va dirigida, una comunicación adecuada y eficiente debe contar, además, con
ciertas características: ser fácilmente accesible (por el conjunto de la organización), que
cuente con información identificable (tanto respecto del núcleo de la comunicación como
de sus características clave, en particular, si la información contenida está clasificada o tiene
alguna limitación de difusión), y, además, concisa, registrable y medible.
• Hay diferentes tipos de formaciones, como la programada (de carácter periódico, recurrente),
la sobrevenida (no programada o recurrente) y los ciclos formativos especiales (por
cambios en circunstancias internas o externas de la organización, como nuevos productos o
la adopción de sanciones inmediatas contra un país y/o grupo de personas).
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 391
MÓDULO 10 • COMUNICACIÓN, FORMACIÓN Y SENSIBILIZACIÓN
formativa debe carecer de calidad, objetivos o estar pobremente planificada. Las herramientas
de formación actuales facilitan varias opciones en función de la audiencia, adecuación de
contenidos, seguimiento del aprovechamiento, etc. No hay que olvidar que la formación
consiste precisamente en asegurar que el personal es competente para la realización de sus
quehaceres profesionales.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 392
Módulo 11
Monitorización
de Compliance
MÓDULO 11 • MONITORIZACIÓN DE COMPLIANCE
• Distinguir los conceptos de monitorización MICS, los controles internos pueden fallar por
continua y revisión específica. una o varias de estas tres razones:
• Valorar la importancia del Plan de • Debido a que, aun contando con un diseño
monitorización, su estructura, objetivo, adecuado y estar bien implementados, no
aprobación y modificación.
se han ajustado a los cambios producidos
• Identificar las fases de la ejecución de la en el entorno en el que operan (por
monitorización. ejemplo, por cambios en los riesgos,
en las personas, en los procesos o en la
11.1. Introducción tecnología) y no se ha adaptado el diseño
del control a esos cambios.
La monitorización constituye un elemento
• Porque están bien diseñados e
esencial en cualquier programa de
implementados, pero su ejecución
Compliance y este nunca estará completo
cambia en algún aspecto, volviéndolos
si no se realiza adecuadamente. Esta tarea
inefectivos para gestionar o mitigar los
consiste, en esencia, en la supervisión
riesgos vinculados.
continua para verificar la adecuación de los
controles existentes. Así pues, por un lado, los riesgos evolucionan
con el tiempo y, por otro, la eficacia de los
Para profundizar en los conceptos
controles puede verse comprometida por
relacionados con la monitorización podemos
múltiples factores.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 394
MÓDULO 11 • MONITORIZACIÓN DE COMPLIANCE
segunda línea de defensa, lo cual quiere decir Aquellas que “evalúan los controles en un momento
que tiene como parte de sus funciones la concreto o a lo largo de un periodo de tiempo
supervisión y monitorización de los controles específico” y que “pueden utilizar todas las técnicas
que se llevan a cabo por la primera línea de usadas en la monitorización continua, pero se
realizan de forma menos frecuente y a menudo se
defensa.
basan en una muestra de casos en los que operan
El objetivo de la monitorización de los controles.”
Compliance es que una estructura con la Guidance on Monitoring Internal Control System
necesaria independencia pueda comprobar COSO (2009)
y asegurar que los controles implementados
para mitigar o suprimir los riesgos ligados La monitorización continua, por tanto,
a Compliance están funcionando de forma forma parte de la rutina de las personas
efectiva o si, en caso contrario, es necesario que la ejecutan y generalmente se lleva a
implementar controles adicionales u otras cabo en tiempo real. Por ello, los potenciales
medidas correctoras. problemas se identifican en un estado muy
incipiente y pueden ser resueltos con mayor
La supervisión se configura, por tanto,
antelación (detección temprana).
como un pilar fundamental de las funciones
del Compliance Officer, junto con el Las revisiones específicas, por el contrario, se
asesoramiento y la formación a todos los diseñan para evaluar los controles de forma
miembros de la organización y la información periódica y no están embebidas en la rutina
a la alta dirección. de la organización. Las revisiones específicas
se ejecutan con posterioridad al posible
El hecho de que la función de Compliance
hecho producido, por lo que la capacidad
realice ambas tareas, asesoramiento y
de corregir las deficiencias en los controles
supervisión, es uno de los aspectos que la
identificadas se dilata más en el tiempo.
distingue de la tercera línea de defensa que,
como hemos visto anteriormente, debe ser
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 395
MÓDULO 11 • MONITORIZACIÓN DE COMPLIANCE
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 396
MÓDULO 11 • MONITORIZACIÓN DE COMPLIANCE
y que se respeten las atribuciones de las tres • Transacciones realizadas (por ejemplo, de
líneas de defensa definidas anteriormente. gastos de viajes o en tarjetas de crédito).
• Selección de proveedores.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 397
MÓDULO 11 • MONITORIZACIÓN DE COMPLIANCE
todos aquellos que se considere que pueden Orientaciones MICS (volumen I, página 10),
• Riesgos que cuenten con controles más débiles • Su ejecución puede prevenir el fallo de
o menos efectivos. otros controles o detectar dichos fallos
• Factores externos, tales como prioridades de antes de que tengan efectos importantes
los reguladores o supervisores. para la consecución de los objetivos.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 398
MÓDULO 11 • MONITORIZACIÓN DE COMPLIANCE
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 399
MÓDULO 11 • MONITORIZACIÓN DE COMPLIANCE
Ambos indicadores (KRI y KPI), si están bien que previamente se haya definido, se deberá
diseñados y existe una adecuada recogida de vigilar más de cerca. Si la desviación persiste
datos, son herramientas útiles para evaluar en las siguientes mediciones, constituirá una
el estado de un riesgo determinado que, señal de alarma que indicará la necesidad de
por cualquier razón, interese seguir más de realizar una investigación más profunda, para
cerca. Sirven para medir la “temperatura” de identificar y corregir posibles deficiencias de
un riesgo de forma periódica y su evolución controles en un estadio muy temprano.
a lo largo de un periodo de tiempo, o en un
Los procedimientos internos deberán
momento concreto.
establecer el sistema de medición de los
indicadores y las acciones a adoptar durante
Selección de KPI y KRI. Factores
su seguimiento.
A continuación, se listan como ejemplo una serie
de factores que pueden afectar a la selección de los
Medición de indicadores y medidas a
indicadores de riesgo y de desempeño.
adoptar
• El tipo de negocio que se trate. (ejemplo)
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 400
MÓDULO 11 • MONITORIZACIÓN DE COMPLIANCE
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 401
MÓDULO 11 • MONITORIZACIÓN DE COMPLIANCE
los sistemas de control interno para gestionar por lo que se eleva la severidad de las
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 402
MÓDULO 11 • MONITORIZACIÓN DE COMPLIANCE
archivar los documentos para asegurar del plan previsto, así como de sus
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 403
MÓDULO 11 • MONITORIZACIÓN DE COMPLIANCE
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 404
MÓDULO 11 • MONITORIZACIÓN DE COMPLIANCE
En todo caso, las posibles modificaciones del controles que van a ser objeto de la
plan de monitorización que se produzcan monitorización. También se definirán los
deben seguir el mismo proceso de aprobación términos en los que se va a llevar a cabo la
que el plan inicial, debiendo ser aprobados revisión (alcance, objetivos y metodología).
por las mismas personas u órganos que lo Por último, se deberá comunicar formalmente
hicieron inicialmente. a la estructura, unidad o departamento la
revisión a realizar. En resumen, se llevarán a
El proceso de aprobación de las
cabo las siguientes actividades:
modificaciones del plan de monitorización
debe ser adecuadamente documentado. • Análisis del área a supervisar
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 405
MÓDULO 11 • MONITORIZACIÓN DE COMPLIANCE
• Controles que existen en el área y responsables En cada uno de estos tres supuestos, los objetivos,
de su ejecución. y por tanto el alcance y el enfoque de las revisiones,
serán distintos.
• Principales partes interesadas (proveedores,
clientes internos y externos, socios, etc.) con los
que se relacionan. Elección del tipo de revisión
• Acuerdos de externalización existentes.
A continuación se debe decidir cuál va a ser la
• Auditorías internas o externas realizadas. metodología y el enfoque que se va a utilizar
en la revisión, incluyendo la elección sobre la
herramienta de monitorización, los detalles
Definición del alcance y de los
de las pruebas a realizar y la selección y el
objetivos de la revisión
tamaño de las muestras.
Los objetivos que perseguimos con cada
revisión en concreto nos permitirán definir su Herramientas para realizar la
alcance, el enfoque que vamos a utilizar y los monitorización
resultados que esperamos obtener. (ejemplo)
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 406
MÓDULO 11 • MONITORIZACIÓN DE COMPLIANCE
de los clientes a los que se les ha vendido el fase se realizarán todas las tareas de testeo
producto y revisar sus expedientes de venta, que han sido previamente definidas en la
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 407
MÓDULO 11 • MONITORIZACIÓN DE COMPLIANCE
deben analizar para extraer las conclusiones situaciones que son incorrectas y que
y establecer las medidas correctoras, en su implican una incidencia y se determinará si
caso. las excepciones y las incidencias identificadas
corresponden a un hecho aislado o a un error
En esta labor de análisis se deberán tener
puntual o, por el contrario, si responden a un
en cuenta los objetivos que se perseguían
fallo más profundo en los controles.
con la revisión y, a la vista de las excepciones
identificadas, estas se tendrán que poner Todas las incidencias deben ser
en contexto con el conocimiento que se adecuadamente documentadas y archivadas
tiene sobre los procesos existentes en el y deben estar apoyadas por evidencias
área supervisada y sobre los demás factores contrastables.
conocidos.
En esta fase se estará también en contacto
Un aspecto sumamente importante en con el área supervisada, informándoles de
esta fase es el análisis de la causa raíz de las deficiencias de control identificadas, en su
las excepciones identificadas, ya que una caso. Estos contactos servirán también para
excepción identificada en una revisión de confirmar la exactitud de las excepciones
Compliance solo es el síntoma de que puede y deficiencias detectadas, o para ajustarlas
existir un fallo de control que, a la larga, en caso de que no se hubieran considerado
puede dar lugar a que el riesgo aflore. factores relevantes.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 408
MÓDULO 11 • MONITORIZACIÓN DE COMPLIANCE
ÁMBAR: existen algunas debilidades Siempre que se decida adoptar una medida
de control que pueden derivar en correctora, se deberá definir con detalle en
sanciones regulatorias y/o daños qué va a consistir. Además, siempre se le debe
reputacionales menos graves.
asignar una fecha límite para su terminación
VERDE: no se han identificado y decidir quién será la persona, o personas,
debilidades o las que se han responsables de su ejecución.
identificado son menores y no revisten
un riesgo relevante. La fecha límite para la finalización de
las medidas correctoras dependerá de
El resultado global de la revisión determinará, a varios factores, incluyendo la gravedad
su vez, las acciones a acometer posteriormente de la incidencia detectada, y por tanto la
y que estarán alineadas con la gravedad de las urgencia en la implantación de la medida de
deficiencias identificadas. remediación, los medios necesarios para la
implantación de la medida o las restricciones
Decisión y acuerdo sobre las técnicas que puedan existir, entre otros.
medidas a adoptar
Las personas que se asignen como
Siempre que se detecte una incidencia que no responsables de cada medida de remediación
sea fruto simplemente de un hecho aislado deberán informar periódicamente sobre su
o de un fallo puntual, sino que suponga una evolución y alertar en caso de que existan
deficiencia de control, es necesario definir y problemas o impedimentos para su total
acordar medidas correctoras que aumenten implantación en el plazo previsto.
o mejoren los controles y que prevengan el
riesgo identificado. Información al área supervisada
El análisis de la causa raíz de las deficiencias Una vez finalizada esta fase de conclusiones,
identificadas será la base sobre la que se puede ser oportuno celebrar una reunión
fundamente el diseño de las medidas a de cierre con los responsables del área
adoptar. Cada incidencia tendrá asociada una supervisada.
o varias medidas correctoras que, a juicio del
Esta reunión servirá para informar a los
responsable de Compliance y del responsable
responsables del área sobre las conclusiones
del área supervisada, sean suficientes para
de la revisión y para confirmar la exactitud
prevenir el riesgo.
de las incidencias detectadas, así como las
Las medidas correctoras deberán ser medidas de remediación acordadas, antes de
acordadas y compartidas con el área la elaboración y remisión del informe final de
supervisada y con las personas que van a la revisión.
ser responsables de su ejecución. En caso de
11.4.4. Informe de la revisión
discrepancia sobre las medidas a adoptar,
se deberá escalar la decisión a los órganos Los trabajos realizados durante la revisión
superiores de la organización. y las conclusiones extraídas de la misma
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 409
MÓDULO 11 • MONITORIZACIÓN DE COMPLIANCE
se deben recoger en un informe que será Una vez elaborado, el informe se remitirá a
posteriormente remitido a la alta dirección. las personas relevantes de la organización y a
los responsables del área supervisada.
Los informes de las revisiones de
monitorización podrán tener un formato La alta dirección debe recibir los informes de
estándar en la empresa, aunque se deberán monitorización de Compliance, incluyendo el
adaptar al tipo de revisión concreto de que plan de acción y las medidas de remediación
se trate. acordadas, bien de forma completa, o bien de
forma resumida.
Dependiendo de la extensión del informe,
puede ser oportuno incluir un resumen 11.4.5. Seguimiento
ejecutivo al comienzo, con la referencia de
Tras una revisión de monitorización, el
los aspectos más relevantes, añadiendo a
Compliance Officer debe hacer seguimiento,
continuación una descripción más detallada
tanto de las deficiencias identificadas, como
de todos los puntos tratados, así como anexos
de las medidas de remediación que se han
con los detalles de las deficiencias detectadas
acordado. El seguimiento de las medidas
y de las medidas de remediación acordadas.
de remediación es esencial para garantizar
la resolución de las deficiencias de control
Contenidos del informe de revisión
detectadas.
(ejemplos)
• Lista de distribución: personas a las que se va a Una vez que se han completado
remitir el informe. satisfactoriamente todas las medidas de
remediación acordadas, el Compliance
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 410
MÓDULO 11 • MONITORIZACIÓN DE COMPLIANCE
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 411
MÓDULO 11 • MONITORIZACIÓN DE COMPLIANCE
• Su necesidad se basa en la posibilidad de que los controles fallen o dejen de ser efectivos, ya
sea debido a un deficiente diseño o ejecución, o por cambios en las circunstancias del riesgo
u otros factores del entorno. Por tanto, el objetivo de la monitorización es que una función
independiente compruebe y asegure el funcionamiento efectivo de los controles y, si fuera
necesario, adoptar las medidas correctoras para lograr este fin.
• Cabe señalar el documento Guidance on Monitoring Internal Control Systems (COSO, 2009)
como referencia para la monitorización de los controles. Dichas orientaciones surgen a
consecuencia de las deficiencias detectadas en la ejecución de esta actividad por parte de las
organizaciones que utilizaban en el marco COSO de control interno.
• La monitorización se lleva a cabo bien mediante supervisión continua durante el curso ordinario
de las operaciones (monitorización continua, normalmente a cargo de la primera línea de
defensa) o bien a través de revisiones periódicas que verifican la efectividad de un control a lo
largo de un periodo más o menos prolongado (revisiones específicas, responsabilidad habitual
de la segunda línea). La monitorización continua permite una detección más temprana de
potenciales problemas, pero no siempre es posible.
• Las fases de las que consta la ejecución de la monitorización siguen una secuencia lógica,
siendo las siguientes:
- planificación, incluyendo el análisis del área a supervisar, alcance, objetivos, metodología, etc
- trabajo de campo, para la obtención de los datos necesarios.
- conclusiones de la revisión, derivadas del análisis de los datos y sus resultados.
- informe de revisión, remitido a la alta dirección, con toda la información y medidas adoptadas.
- seguimiento, de las medidas de remediación adoptadas.
- cierre y archivo, una vez corregida y remediada la deficiencia.
- comunicación e informe, fase final donde se comunica a los órganos de gobierno y alta
dirección los resultados globales del ejercicio de supervisión.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 412
Módulo 12
Prevención del
riesgo penal de las
personas jurídicas
MÓDULO 12 • PREVENCIÓN DEL RIESGO PENAL DE LAS PERSONAS JURÍDICAS
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 414
MÓDULO 12 • PREVENCIÓN DEL RIESGO PENAL DE LAS PERSONAS JURÍDICAS
los conceptos clave, como el de eficacia del momento en el cual comienza la hegemonía
modelo, y qué elementos se tienen en cuanta empresarial mediante la acometida de
para evaluarla. los grandes proyectos empresariales. Las
sociedades emergentes aparecen de forma
También se proporcionará un listado de convulsa, pero carentes sin embargo de
delitos exhaustivo de los delitos que pueden regularización y control jurídico alguno,
susceptibles de imputarse a personas jurídicas. contrariamente a lo que hoy se entiende
respecto de la legislación estadounidense,
Asimismo, se exponen los elementos
una de las más reguladas y congruentes a
necesarios para el establecimiento de un
nivel mundial. Así, ni la denominada Unión,
modelo de prevención efectivo, incluyendo
ni los estados que la conformaban, tenían
los aspectos relacionados con el compromiso
atribuidos una clara competencia para
de los órganos superiores de gobierno y
legislar el modo de organización empresarial,
administración, el órgano de vigilancia y
creando un escenario social profundamente
control, identificación de riesgos, etc.
desregulado y propicio para la aparición de
detalla la norma española UNE: 19601:2017 Es en 1890 cuando, ante esta situación, sed
de Sistemas de Gestión de Compliance Penal. introduce la Sherman Antitrust Act, primera
Esta norma, certificable, se configura como un medida adoptada por el Congreso en
referente de primer orden para orientar en materia de monopolios comerciales. Con ello
la implantación de un modelo de prevención comienzan a sentarse las bases de lo que
penal efectivo y alineado con el resto de los décadas más tarde se entenderá como la
estándares de Compliance y resto de buenas función de Compliance. Asimismo, en lo que
prácticas internacionales. respecta a la responsabilidad de las empresas,
se produce un hito relevante en 1909, cuando
12.1.1. Ley de Prácticas Corruptas
el Tribunal Supremo de EE.UU se pronunció
en el Extranjero (FCPA) y Directrices
en el Caso New York Central & Hudson River
[para la formulación] de Sentencias
vs. U.S, respecto de la responsabilidad penal
de EE.UU de una sociedad por un delito cometido
por uno de sus empleados, al reconocer la
Ya vimos en el módulo 1 de este material
responsabilidad penal de una empresa.
que el concepto del Compliance no surge
en nuestra legislación europea de forma
“El Congreso puede imputar a una empresa la
azarosa, sino como respuesta a una
comisión de determinados delitos y someterla a un
necesidad que previamente ya había sido proceso penal por ello”.
objeto de desarrollo en el mundo corporativo
(“Congress can impute to a corporation the commission
anglosajón.
of certain criminal offenses and subject it to criminal
prosecution therefor”).
Históricamente, el siglo XIX marca el antes
y el después en la economía de EE.UU, New York Central & Hudson River Railroad Co. v.
United States, 212 U.S. 481 (1909)
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 415
MÓDULO 12 • PREVENCIÓN DEL RIESGO PENAL DE LAS PERSONAS JURÍDICAS
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 416
MÓDULO 12 • PREVENCIÓN DEL RIESGO PENAL DE LAS PERSONAS JURÍDICAS
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 417
MÓDULO 12 • PREVENCIÓN DEL RIESGO PENAL DE LAS PERSONAS JURÍDICAS
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 418
MÓDULO 12 • PREVENCIÓN DEL RIESGO PENAL DE LAS PERSONAS JURÍDICAS
nacionales. En pleno siglo XX, la corrupción es permita aplicar responsabilidad penal sobre
significativo rol que ostentan los estados por primera vez a la cooperación mutua
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 419
MÓDULO 12 • PREVENCIÓN DEL RIESGO PENAL DE LAS PERSONAS JURÍDICAS
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 420
MÓDULO 12 • PREVENCIÓN DEL RIESGO PENAL DE LAS PERSONAS JURÍDICAS
Sin perjuicio de ello, el “Dlgs. 231” Ahora bien, como anteriormente ha sido
contempla como posible eximente de dicha mencionado, no basta con que la organización
responsabilidad administrativa la adopción cuente con un programa de Compliance, sino
por parte de la persona jurídica de un “Modelo que además el mismo deberá ser considerado
de Organización y Gestión” eficaz. eficaz respecto de la prevención, detección,
mitigación y sanción de los riesgos delictivos.
Así el legislador italiano, mediante esta
obligación de desarrollo de dicho modelo, Para determinar la eficacia, el legislador
pretende promover entre los distintos entes italiano entendió en el “Dlgs. 231” que un
programas de cumplimiento vinculantes que modelo resultaría eficaz de contar con los
ayuden a detectar, prevenir y condenar la siguientes elementos o características:
comisión de hechos delictivos en el seno de
a. Identificar las actividades en las que
su organización.
se pueden cometer delitos y actos
En relación a ello, el artículo 6.1 del Dlgs.231 ilícitos;
señala que:
b. Contemplar protocolos específicos
para programar la formación y la
“Si el delito fue cometido por alguna de las
actuación de las decisiones de la
personas indicadas en el artículo 5, apartado
Entidad con relación a los delitos y a
1, letra a), la entidad no será considerada
los actos ilícitos;
responsable si prueba que:
c. Identificar modalidades de gestión de
a. el órgano directivo de la Entidad ha
los recursos financieros idóneas para
adoptado y actuado en modo eficaz,
impedir que se cometan dichos delitos
antes de cometer el hecho, modelos de
y actos ilícitos;
organización y de gestión idóneos para
prevenir delitos y actos ilícitos del tipo d. Contemplar obligaciones de
del que se ha cometido; información hacia el organismo
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 421
MÓDULO 12 • PREVENCIÓN DEL RIESGO PENAL DE LAS PERSONAS JURÍDICAS
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 422
MÓDULO 12 • PREVENCIÓN DEL RIESGO PENAL DE LAS PERSONAS JURÍDICAS
199 GUTIERREZ PÉREZ, Elena: “Los compliance programs como eximen- Asimismo, dicho artículo expresamente
te o atenuante de la responsabilidad penal de las personas jurídicas.
La “eficacia e idoneidad” como principios rectores tras la reforma de dispone que la persona jurídica quedará
2015”, Revista General de Derecho Penal, nº24, 2015, págs. 1-24
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 423
MÓDULO 12 • PREVENCIÓN DEL RIESGO PENAL DE LAS PERSONAS JURÍDICAS
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 424
MÓDULO 12 • PREVENCIÓN DEL RIESGO PENAL DE LAS PERSONAS JURÍDICAS
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 425
MÓDULO 12 • PREVENCIÓN DEL RIESGO PENAL DE LAS PERSONAS JURÍDICAS
Por otra parte, es importante señalar que para responsabilidad penal con respecto a los
que nazca la responsabilidad penal de las ámbitos delictivos en los que se reconozca
personas jurídicas son exigencias legalmente dicha personalidad jurídica”. En este sentido,
previstas: refieren a título de ejemplo que, si una entidad
posee personalidad jurídica exclusivamente
• Que aquellas tengan reconocida
en el ámbito tributario, por tener obligaciones
personalidad jurídica. No toda persona
tributarias, responderán penalmente por
jurídica con personalidad jurídica
dichos riesgos.
responde penalmente, ya que únicamente
se incluyen las personas jurídico-privadas
No obstante lo referido en el párrafo anterior,
de Derecho civil y mercantil, y quedan
el artículo 129 del CP regula aquellos
exentas por imperativo legal el Estado,
casos en los que se cometen delitos en el
las administraciones públicas territoriales
seno de organizaciones sin personalidad
e institucionales, los Organismos
jurídica, indicando que “el juez o tribunal
reguladores, las agencias y entidades
podrá imponer motivadamente a dichas
públicas empresariales, las organizaciones
empresas, organizaciones, grupos, entidades
internacionales de derecho público, y
o agrupaciones una o varias consecuencias
aquellas otras que ejerzan potestades
accesorias a la pena que corresponda al autor
públicas de soberanía o administrativas.
del delito, con el contenido previsto en las
• En el caso de las sociedades mercantiles letras c) a g) del apartado 7 del artículo 33” y
públicas que ejecuten políticas públicas que también podrá “acordar la prohibición
o presten servicios de interés económico definitiva de llevar a cabo cualquier actividad,
general, solamente les podrán ser aunque sea lícita”. Lo veremos más adelante.
impuestas las penas previstas en las
letras a) y g) del apartado 7 del art. 33. En los siguientes epígrafes se analizará lo
Esta limitación no será aplicable cuando el que sucede con la responsabilidad penal
juez o tribunal aprecie que se trata de una de las personas jurídicas en los “grupos de
forma jurídica creada por sus promotores, empresas” y en las “operaciones societarias”.
fundadores, administradores o
12.2.2. Los “grupos de empresas” y
representantes con el propósito de eludir
la responsabilidad penal
una eventual responsabilidad penal.
Concepto de “grupo de empresas” a
Asimismo, una de las cuestiones que suscitan
efectos de la responsabilidad penal
bastantes dudas hoy en día es la posible
responsabilidad penal de aquellas entidades
de las personas jurídicas
que, sin tener personalidad jurídica, operan La Circular 1/2011 de la Fiscalía General del
en el tráfico mercantil, por ejemplo, las
Estado, relativa a la responsabilidad de las
sucursales.
personas jurídicas (en relación a la reforma
A este respecto, diversos autores entienden del CP de 2010), acoge el concepto de “grupo
que “en estos casos solo será posible la de empresas” recogido en el artículo 18 LSC,
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 426
MÓDULO 12 • PREVENCIÓN DEL RIESGO PENAL DE LAS PERSONAS JURÍDICAS
entendiendo que existe tal grupo “cuando Puesto que el grupo de empresas como tal
concurra alguno de los casos establecidos en no tiene personalidad jurídica, en caso de
el artículo 42 del Código de Comercio, y será que se cometa un delito en su seno, habrá
sociedad dominante la que ostente o pueda que determinar cuál de las sociedades que lo
ostentar, directa o indirectamente, el control componen ha cometido el delito y, en su caso,
de otra u otras”. si su responsabilidad penal puede extenderse
a otras sociedades del Grupo.
En este sentido, el Código de Comercio
entiende que existe un grupo cuando una La transferencia de
sociedad ostente o pueda ostentar, directa responsabilidad penal entre
o indirectamente, el control de otra u otras. empresas de un mismo grupo
Se presume que existe control cuando
una sociedad (dominante) se encuentre en El art. 31 bis CP establece la responsabilidad
relación con otra sociedad (dependiente) en penal de las personas jurídicas por los delitos
alguna de las siguientes situaciones: cometidos por sus administradores de hecho
o de derecho o por sus representantes
• Posea la mayoría de los derechos de voto.
legales. También por aquellos sometidos a la
• Tenga la facultad de nombrar o destituir a autoridad de los anteriores, si los primeros
la mayoría de los miembros del órgano de hubieran incumplido gravemente sus deberes
administración. de supervisión, vigilancia y control.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 427
MÓDULO 12 • PREVENCIÓN DEL RIESGO PENAL DE LAS PERSONAS JURÍDICAS
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 428
MÓDULO 12 • PREVENCIÓN DEL RIESGO PENAL DE LAS PERSONAS JURÍDICAS
sucesión de empresas (para cuya detección el b. Que tenga lugar por parte de un
propio precepto facilita una serie de criterios empleado de la misma, en el ejercicio
económicos y organizativos). de sus funciones;
Sin embargo, este artículo no menciona la c. Que sea realizada con la intención
disolución liquidación y extinción real de la de obtener algún tipo de ventaja
persona jurídica, de modo que en este caso o beneficio para la empresa, o
sí que se extinguirá su responsabilidad penal infringiendo una obligación social de
(una vez haya quedado liquidada ya que aquella.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 429
MÓDULO 12 • PREVENCIÓN DEL RIESGO PENAL DE LAS PERSONAS JURÍDICAS
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 430
MÓDULO 12 • PREVENCIÓN DEL RIESGO PENAL DE LAS PERSONAS JURÍDICAS
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 431
MÓDULO 12 • PREVENCIÓN DEL RIESGO PENAL DE LAS PERSONAS JURÍDICAS
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 432
MÓDULO 12 • PREVENCIÓN DEL RIESGO PENAL DE LAS PERSONAS JURÍDICAS
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 433
MÓDULO 12 • PREVENCIÓN DEL RIESGO PENAL DE LAS PERSONAS JURÍDICAS
d) Cualquier persona a la que se haya asignado y que esté ejerciendo una función de
servicio público que consista en la gestión, en los Estados miembros o en terceros
países, de intereses financieros de la Unión Europea o en tomar decisiones sobre
esos intereses.
Estafas y fraudes Con ánimo de lucro, utilizar engaño bastante para producir error en otro, induciéndolo
(Art. 251 bis CP) a realizar un acto de disposición en perjuicio propio o ajeno.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 434
MÓDULO 12 • PREVENCIÓN DEL RIESGO PENAL DE LAS PERSONAS JURÍDICAS
Delitos contra
la intimidad y Apoderarse/ utilizar/ modificar/ revelar datos personales de otros contenidos en
allanamiento documentos en papel, electrónicos, o cualquier otro documento o efecto personal;
informático (Art. acceso no consentido a datos contenidos en sistemas informáticos.
197 quinquies CP)
Contra el secreto Para descubrir un secreto de empresa o cualesquiera otras informaciones de carácter
de empresa confidencial, apoderarse por cualquier medio de datos, documentos escritos o
(Art. 278 CP) electrónicos, soportes informáticos u otros objetos que se refieran al mismo.
Alteración de
precios en materias Detraer del mercado materias primas o productos de primera necesidad con la
primas o bienes de intención de desabastecer un sector del mismo, de forzar una alteración de precios,
primera necesidad o de perjudicar gravemente a los consumidores.
(Art. 281 CP)
Emplear violencia, amenaza o engaño o cualquier otro artificio con el fin de alterar los
Manipulación de precios que hubieren de resultar de la libre concurrencia de productos, mercancías,
precios instrumentos financieros, contratos de contado sobre materias primas relacionadas
(Art. 284.1 CP) con ellos, índices de referencia, servicios o cualesquiera otras cosas muebles o
inmuebles que sean objeto de contratación.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 435
MÓDULO 12 • PREVENCIÓN DEL RIESGO PENAL DE LAS PERSONAS JURÍDICAS
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 436
MÓDULO 12 • PREVENCIÓN DEL RIESGO PENAL DE LAS PERSONAS JURÍDICAS
Acceder o facilitar el acceso (sin el permiso del prestador de servicios) con fines
comerciales a un servicio de radiodifusión sonora o televisiva o a servicios interactivos
Piratería de prestados a distancia por vía electrónica. Alterar o duplicar con ánimo de lucro el
servicios de número identificativo de equipos de telecomunicaciones, o comercializar equipos
radiodifusión o que hayan sufrido una alteración fraudulenta. Sin ánimo de lucro, facilitar a terceros,
interactivos por medio de una comunicación pública, comercial o no, el acceso a servicio de
(Art. 286 CP) radiodifusión sonora o televisiva o a servicios interactivos prestados a distancia por
vía electrónica Utilizar equipos o programas que permitan el acceso no autorizado a
servicios de acceso condicional o equipos de telecomunicación.
Fraude contra la
Defraudar a la Seguridad Social en un importe superior a 50.000 euros en un período
Seguridad Social
de 4 años.
(Art. 307 CP)
Incumplimiento
Incumplir de manera grave la obligación de llevar la contabilidad mercantil y libros
y falsedad de
y/o registros contables. Representa un tipo delictivo que suele ir aparejado con otras
obligaciones
conductas defraudadoras en el ámbito fiscal, pues estas suelen llevarse a cabo por
contables
medio de doble contabilidad y falsas anotaciones.
(Art. 310 CP)
Receptación y
Adquirir, poseer, utilizar, convertir o transmitir bienes a sabiendas que estos tienen
blanqueo de
su origen en una actividad delictiva, o bien realizar cualquier otro acto que pretenda
capitales
cubrir su origen ilícito.
(Art. 301 CP)
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 437
MÓDULO 12 • PREVENCIÓN DEL RIESGO PENAL DE LAS PERSONAS JURÍDICAS
Delitos contra
los derechos de De manera intencionada ayudar a una persona que no sea nacional de un Estado
los ciudadanos miembro de la Unión Europea a entrar en territorio español o transitar a través del
extranjeros mismo de manera ilegal e incumpliendo la legislación establecida a tal efecto.
(Art. 318 bis CP)
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 438
MÓDULO 12 • PREVENCIÓN DEL RIESGO PENAL DE LAS PERSONAS JURÍDICAS
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 439
MÓDULO 12 • PREVENCIÓN DEL RIESGO PENAL DE LAS PERSONAS JURÍDICAS
Ofrecer en el mercado productos que sean nocivos para la salud, y/o que no
cumplan con los requisitos de caducidad o composición establecidos por las leyes
Delitos contra la o reglamentos.
salud pública en
De igual modo, elaborar sustancias nocivas para la salud, despacharlas, suministrarlas
la modalidad de
o comerciar con ellas. Fabricar y comercializar medicamentos sin cumplir con la
práctica ilícita con
legislación vigente en la materia, que estén caducados, engañar en cuanto a su
medicamentos,
origen, dosis, fecha de caducidad, etc.
productos
sanitarios y Ofrecer en el mercado productos alimentarios con omisión o alteración de los
adulteración de requisitos establecidos en las leyes o reglamentos sobre caducidad o composición,
alimentos o de fabricar o vender bebidas o comestibles destinados al consumo público y nocivos
aguas potables para la salud; Traficar con géneros corrompidos; Elaborar productos cuyo uso no
(Arts. 359 a 365 CP) se halle autorizado y sea perjudicial para la salud, o comerciar con ellos; ocultar o
sustraer efectos destinados a ser inutilizados o desinfectados, para comerciar con
ellos.
Delitos contra la
salud pública en Llevar a cabo actos de cultivo, elaboración o tráfico, o que de otro modo promuevan,
la modalidad de favorezcan o faciliten el consumo ilegal de drogas tóxicas, estupefacientes o
tráfico de drogas sustancias psicotrópicas, o las posean con aquellos fines.
(Art. 368 CP)
Falsedad en
medios de pago Alterar, copiar, reproducir o falsificar tarjetas de crédito o débito o cheques de viaje.
(Art. 399 bis CP)
• Los que se hallen encargados por cualquier concepto de fondos, rentas o efectos
de las Administraciones públicas.
Las personas jurídicas que de acuerdo con lo establecido en el artículo 31 bis sean
responsables de los delitos recogidos en capítulo VII, título XIX libro II CP.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 440
MÓDULO 12 • PREVENCIÓN DEL RIESGO PENAL DE LAS PERSONAS JURÍDICAS
Alteración de Solicitar algún beneficio para no tomar parte en un concurso o subasta pública,
precios en intentar alejar de ella a los postores por medio de amenazas, dádivas, promesas
concursos y o cualquier otro artificio, concertar con otro postor con el fin de alterar el precio
subastas públicas del remate, o abandonar fraudulentamente una subasta habiendo obtenido la
(Art. 262 CP) adjudicación.
Contra los
derechos de los Imponer condiciones de trabajo inadecuadas o contrarias a la seguridad y salud
trabajadores laboral; tratar a los trabajadores en condiciones de desigualdad y discriminación.
(Art. 311 a 318 CP)
Obstrucción
a la actividad
Negativa a la colaboración con las autoridades inspectoras sobre aquellas sociedades
inspectora o
sujetas o que actúen en mercados sometidos a supervisión administrativa.
supervisora
(Art. 294 CP)
Organizaciones y
grupos criminales Promover, constituir, organizar, coordinar, financiar, integrar o dirigir una
(Art. 570 bis y 571 organización criminal.
CP)
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 441
MÓDULO 12 • PREVENCIÓN DEL RIESGO PENAL DE LAS PERSONAS JURÍDICAS
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 442
MÓDULO 12 • PREVENCIÓN DEL RIESGO PENAL DE LAS PERSONAS JURÍDICAS
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 443
MÓDULO 12 • PREVENCIÓN DEL RIESGO PENAL DE LAS PERSONAS JURÍDICAS
El respeto a la ley constituye uno de los De un lado, el art. 31 bis 2. 2ª establece que
principios fundamentales de cualquier la supervisión del funcionamiento y del
organización, y es por ello por lo que cada vez cumplimiento del modelo de prevención
más las empresas se esfuerzan en alcanzar implantado deberá ser confiada a un
los máximos niveles de cumplimiento e órgano de la persona jurídica con poderes
integridad en el ejercicio de su actividad autónomos de iniciativa y de control o que
social. tenga encomendada legalmente la función de
supervisar la eficacia de los controles internos
A estos efectos, dentro de una verdadera
de la persona jurídica. Por tanto, el CP establece
cultura ética y de cumplimiento- tal y como
dos posibilidades para la constitución de este
exige la Fiscalía General del Estado- se
órgano de control de la persona jurídica:
ha de destacar la implicación de la alta
dirección de la compañía en todos aquellos a. Órgano con poderes autónomos de
aspectos derivados del Compliance. Véase iniciativa y control.
que el propio artículo 31 bis, apartado 5,
b. Órgano que tenga legalmente encargada
2º del CP determina que “Establecerán los
la función de supervisar la eficacia de los
modelos de organización y gestión, protocolos
controles internos.
o procedimientos que concreten el proceso de
formación de la voluntad de la persona jurídica, De otro, y como sucede con cualquier modelo
de adopción de decisiones y de ejecución de las de Compliance, uno de los rasgos principales
mismas con relación a aquellos”. es la asignación de recursos suficientes.
De hecho, la Circular 1/2016 declara que
Por consiguiente, se torna fundamental que
el órgano de supervisión y control o el
la voluntad de la persona jurídica emanada de
Compliance Officer ha de tener plena
quienes ostentan las facultades de dirección
suficiencia de recursos, así como la formación
quede plasmada en una política que refrende
necesaria para el desempeño de las tareas de
la cultura ética de cumplimiento en la misma.
supervisión y control del modelo.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 444
MÓDULO 12 • PREVENCIÓN DEL RIESGO PENAL DE LAS PERSONAS JURÍDICAS
• 1977 Ley 10/2010, de 28 de abril, de Por otro lado, la Circular 1/2016 subraya la
prevención del blanqueo de capitales
necesidad de que los órganos de gestión y
y de la financiación del terrorismo y su
reglamento de desarrollo, el Real Decreto cumplimiento disfruten de la independencia
304/2014, de 5 de mayo necesaria, debiéndose garantizar una
separación operacional entre el órgano de
• 1991 Circular de la CNMV1/2014, de 26
de febrero, sobre los requisitos de administración y los integrantes del órgano
organización interna y de las funciones de control.
de control de las entidades que prestan
servicios de inversión. Resulta lógico deducir que los órganos
• 1997 Código de Buen Gobierno de las de gestión y Compliance, dada su función
Sociedades Cotizadas publicado por la de supervisión y vigilancia, deban ser
CNMV el 24 de febrero de 2015
independientes de la propia actividad sujeta
Ley 20/2015, de 14 de julio, de ordenación,
supervisión y solvencia de las entidades a fiscalización. Ello les otorgará una visión
aseguradoras y reaseguradoras objetiva de la normativa y funcionamiento de
la entidad, permitiéndoles de este modo una
Actualmente, nuestro ordenamiento jurídico
correcta supervisión de los controles internos
no regula de forma expresa la composición
de la persona jurídica.
del órgano de control. No obstante, el CP, al
regular los requisitos aplicables a dicho órgano Asimismo, es necesario que los miembros
indica que “la supervisión del funcionamiento del órgano de control tengan otorgada la
y del cumplimiento del modelo de prevención capacidad necesaria para el desarrollo de
implantado ha sido confiada a un órgano de sus funciones de fiscalización y control, sin
la persona jurídica con poderes autónomos de recabar para ello ningún tipo de autorización
iniciativa y de control o que tenga encomendada previa. De ahí que, tanto el CP refiera la nota
legalmente la función de supervisar la eficacia de “poderes autónomos de iniciativa y de
de los controles internos de la persona jurídica”.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 445
MÓDULO 12 • PREVENCIÓN DEL RIESGO PENAL DE LAS PERSONAS JURÍDICAS
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 446
MÓDULO 12 • PREVENCIÓN DEL RIESGO PENAL DE LAS PERSONAS JURÍDICAS
cumplimiento deben prever los mecanismos dicho órgano en las más altas posiciones
el desarrollo de las funciones del órgano de Asimismo, determinan que, para garantizar
supervisión y control, garantizando que haya la citada autonomía e independencia,
una separación operacional entre el órgano resulta necesario que el órgano no tenga
de administración, la actividad de negocio y atribuidas competencias operativas, que
los integrantes del órgano de control. impliquen decisiones ejecutivas puesto
que se socavaría la objetividad a la hora de
De forma lógica, y en relación con otros
evaluar los controles y el comportamiento
requisitos del artículo 31 bis del Código
del modelo.
Penal, la autonomía conlleva la capacidad
para el establecimiento de los mecanismos 2. EE.UU: La jurisprudencia tampoco describe
de gestión y supervisión de los riesgos; para los elementos que han de considerarse en
lo cual, se torna necesario la inclusión de una un sistema de prevención. No obstante,
partida presupuestaria para el desarrollo se proporciona una buena referencia si
de esta función en los presupuestos de la se acude a los DPA (Deferred prosecutions
persona jurídica. agreements) o NPA (Non-prosecution
agreements)– acuerdos preprocesales
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 447
MÓDULO 12 • PREVENCIÓN DEL RIESGO PENAL DE LAS PERSONAS JURÍDICAS
corporativa, etc).
• Otras organizaciones sin estructuras
específicas de Compliance: Esta
A partir de lo anterior, podemos decir que nos
segunda opción en cuanto a modelo de
encontramos con dos modelos de órganos
Compliance que encontramos en nuestro
de Compliance:
CP nos lleva directamente a la Comisión
• Organizaciones complejas y desarrolladas: de Auditoría que tiene atribuidas las
Considerando como tales aquellas funciones de “supervisar la eficacia del
que cuentan directamente con áreas o control interno de la sociedad (según el
secciones de Compliance, en donde la artículo 529 quaterdecies 4.b de la Ley
independencia se asegura situando a de Sociedades de Capital). Debido a ello,
este área bajo la dependencia directa del las entidades cotizadas podrán optar por
Consejo o de una de sus comisiones, y confiar a esta comisión el funcionamiento
adicionalmente dentro de la alta dirección y cumplimiento del modelo de prevención
de la compañía. En estos casos, por tanto, implantado. Ahora bien, en cualquier
las entidades cuentan con departamentos caso siempre han de concurrir las
u oficinas de Compliance a cargo del características anteriormente dichas
máximo responsable de la organización (integridad, neutralidad, independencia
en dicha materia (CCO). y autonomía) para que dicho órgano se
adecue a la normativa jurídico-penal.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 448
MÓDULO 12 • PREVENCIÓN DEL RIESGO PENAL DE LAS PERSONAS JURÍDICAS
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 449
MÓDULO 12 • PREVENCIÓN DEL RIESGO PENAL DE LAS PERSONAS JURÍDICAS
• Menor capacidad de
Funciones y responsabilidades del
reacción ante incidentes órgano de supervisión y control
de urgencia.
• Mayor complejidad para La Circular 1/2016 dispone que el órgano de
formación continua supervisión y control deberá:
a varios miembros
(por limitaciones • Participar en la elaboración de los modelos
económicas, de agenda, de organización y gestión de riesgos;
etc)
• Asegurar su buen funcionamiento;
• Falta de acuerdo en la
toma de decisiones. • Llevar a cabo el control de la formación a
• Conflictos de interés
empleados y directivos de la entidad.
si el órgano colegiado
está compuesto por
Atendiendo a lo anterior, las funciones
miembros de las
áreas de negocio de la básicas de un órgano de supervisión y control
compañía. implican (i) participar en la elaboración de los
modelos de organización y gestión de riesgos
Por consiguiente, tal y como ya hemos y asegurar su buen funcionamiento y (ii)
señalado, este órgano podrá ser unipersonal establecer sistemas apropiados de vigilancia y
o colegiado, si bien sus componentes deberán control para verificar, al menos, los requisitos
gozar de la independencia que les es exigida. estipulados en el art. 31bis 5 del CP.
Esta es la razón por la que la redacción de la
Así, la principal función del órgano de control
reforma del CP del año 2015 exige que aquel
es la supervisión continua de la eficacia del
deba tener poderes autónomos de iniciativa
modelo de prevención y gestión implantado
y control.
en la sociedad.
Adicionalmente, y para las entidades o
Por consiguiente, para un adecuado
sociedades de menor tamaño (en concreto,
funcionamiento es imprescindible la creación
aquellas autorizadas a presentar cuenta
de un órgano supervisor que deberá asumir,
de pérdidas y ganancias abreviada), el CP
entre otras, las siguientes responsabilidades:
prevé la posibilidad de que la supervisión
sea asumida directamente por el órgano de
administración.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 450
MÓDULO 12 • PREVENCIÓN DEL RIESGO PENAL DE LAS PERSONAS JURÍDICAS
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 451
MÓDULO 12 • PREVENCIÓN DEL RIESGO PENAL DE LAS PERSONAS JURÍDICAS
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 452
MÓDULO 12 • PREVENCIÓN DEL RIESGO PENAL DE LAS PERSONAS JURÍDICAS
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 453
MÓDULO 12 • PREVENCIÓN DEL RIESGO PENAL DE LAS PERSONAS JURÍDICAS
riesgos penales (Chief Compliance Officer) responsables de los controles. Los objetivos
depende jerárquicamente del consejo de que deben regir la actuación de los órganos
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 454
MÓDULO 12 • PREVENCIÓN DEL RIESGO PENAL DE LAS PERSONAS JURÍDICAS
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 455
MÓDULO 12 • PREVENCIÓN DEL RIESGO PENAL DE LAS PERSONAS JURÍDICAS
Como no podía ser de otro modo, dicho entre la cultura de cumplimiento y la cultura
perfecta consonancia tanto con los convenios jurisdicciones, el derecho laboral dificulta
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 456
MÓDULO 12 • PREVENCIÓN DEL RIESGO PENAL DE LAS PERSONAS JURÍDICAS
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 457
MÓDULO 12 • PREVENCIÓN DEL RIESGO PENAL DE LAS PERSONAS JURÍDICAS
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 458
MÓDULO 12 • PREVENCIÓN DEL RIESGO PENAL DE LAS PERSONAS JURÍDICAS
La UNE 19601, por tanto, viene determinada de sistemas de gestión y control aplicados
en gran medida por el CP2015 y da respuesta al ámbito de la prevención y detección
a los requisitos necesarios de los modelos penal, esta regulación constituye un
de gestión y prevención de delitos derivados marco de interpretación susceptible de ser
de éste, pero no se limita meramente a un desarrollado para disponer de sistemas
enfoque local, sino que además incorpora eficaces y alineados con las buenas prácticas
buenas prácticas, ampliamente aceptadas que vienen acordándose a nivel internacional.
en todo el mundo, en el ámbito de la
En este sentido, esta norma UNE 19601 viene
responsabilidad social, Compliance y gestión
a establecer un marco de referencia completo
de riesgos.
que no solo permite disponer de sistemas de
Los requisitos fundamentales de esta norma gestión de Compliance penal alineados con las
son: exigencias del CP español, sino completarlos
con los estándares internacionales en materia
Prevenir la comisión de delitos
de Compliance que contribuyen a cincelar sus
que puedan llevar aparejada
contenidos e incrementar su eficacia.
responsabilidad penal para la
organización. Bajo tal premisa, esta norma UNE 19601
Difundir la cultura de prevención y facilita diseñar o evaluar sistemas de gestión
cumplimiento en la organización. de Compliance penal, que permitan generar
o mejorar una adecuada cultura organizativa
Establecer medidas de vigilancia
sensible a la prevención y detección penal
y control idóneas para prevenir
y opuesta a las malas praxis que toleran o
delitos y para reducir de forma
amparan conductas ilícitas en el seno de las
significativa el riesgo de cometerlos.
personas jurídicas.
Mejorar la gestión, ayudar a reducir
La UNE 19601 facilita la implementación de
el riesgo penal y dar una mayor
sistemas de gestión de Compliance penal,
garantía de seguridad y confianza
no solo respetuosos con las exigencias
ante órganos de gobierno,
legales españolas, sino también dirigidos a
accionistas e inversores, entre otros
cumplir las expectativas que normalmente se
grupos de interés.
depositan en las organizaciones que operan
Como hemos visto, el CP considera los en los mercados internacionales (mediante
modelos de prevención de delitos como la ya comentada incorporación de las buenas
posibles elementos de exoneración y prácticas de amplia aceptación global).
atenuación de la responsabilidad penal de la
En este sentido, su contenido recoge las
persona jurídica, siempre y cuando cumplan
exigencias de nuestro Código Penal bajo
una serie de requisitos.
la “estructura de alto nivel” desarrollada
Aunque el contenido de la nueva regulación por ISO para mejorar el alineamiento entre
ha consolidado la necesidad de disponer sus normas internacionales para sistemas
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 459
MÓDULO 12 • PREVENCIÓN DEL RIESGO PENAL DE LAS PERSONAS JURÍDICAS
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 460
MÓDULO 12 • PREVENCIÓN DEL RIESGO PENAL DE LAS PERSONAS JURÍDICAS
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 461
MÓDULO 12 • PREVENCIÓN DEL RIESGO PENAL DE LAS PERSONAS JURÍDICAS
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 462
MÓDULO 12 • PREVENCIÓN DEL RIESGO PENAL DE LAS PERSONAS JURÍDICAS
Comprensión de la organización y
su contexto Ejemplo de mapa de relaciones en forma de tabla. Elaboración propia.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 463
MÓDULO 12 • PREVENCIÓN DEL RIESGO PENAL DE LAS PERSONAS JURÍDICAS
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 464
MÓDULO 12 • PREVENCIÓN DEL RIESGO PENAL DE LAS PERSONAS JURÍDICAS
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 465
MÓDULO 12 • PREVENCIÓN DEL RIESGO PENAL DE LAS PERSONAS JURÍDICAS
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 466
MÓDULO 12 • PREVENCIÓN DEL RIESGO PENAL DE LAS PERSONAS JURÍDICAS
Cada integrante de un nivel tiene sus • Asegurar que se logren los objetivos de
funciones definidas en la descripción del Compliance penal.
puesto de trabajo.
• Prevenir/reducir efectos no deseados
Los responsables de cada nivel deben
• Lograr la mejora continua.
asegurar el cumplimiento y observancia del
sistema de gestión de Compliance penal por Asimismo, la organización debe determinar la
los miembros de la organización adscritos a manera de:
sus departamentos, funciones o proyectos.
• Integrar dentro de sus procesos de
negocio, los procesos, procedimientos
y acciones del sistema de gestión de
Compliance penal.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 467
MÓDULO 12 • PREVENCIÓN DEL RIESGO PENAL DE LAS PERSONAS JURÍDICAS
b. Congruencia en el tratamiento de
acciones similares, con independencia de
la posición.
c. Sanciones.
g. Formación.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 468
MÓDULO 12 • PREVENCIÓN DEL RIESGO PENAL DE LAS PERSONAS JURÍDICAS
e. Motivación para el uso del canal de Diligencia debida común a todos los
denuncias o canal ético. miembros de la organización
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 469
MÓDULO 12 • PREVENCIÓN DEL RIESGO PENAL DE LAS PERSONAS JURÍDICAS
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 470
MÓDULO 12 • PREVENCIÓN DEL RIESGO PENAL DE LAS PERSONAS JURÍDICAS
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 471
MÓDULO 12 • PREVENCIÓN DEL RIESGO PENAL DE LAS PERSONAS JURÍDICAS
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 472
MÓDULO 12 • PREVENCIÓN DEL RIESGO PENAL DE LAS PERSONAS JURÍDICAS
- Requerir la implantación de
La organización debe implementar aquellos
controles que mitiguen los riesgos
controles no financieros que resulten
adecuados para impedir la comisión de penales
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 473
MÓDULO 12 • PREVENCIÓN DEL RIESGO PENAL DE LAS PERSONAS JURÍDICAS
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 474
MÓDULO 12 • PREVENCIÓN DEL RIESGO PENAL DE LAS PERSONAS JURÍDICAS
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 475
MÓDULO 12 • PREVENCIÓN DEL RIESGO PENAL DE LAS PERSONAS JURÍDICAS
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 476
MÓDULO 12 • PREVENCIÓN DEL RIESGO PENAL DE LAS PERSONAS JURÍDICAS
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 477
MÓDULO 12 • PREVENCIÓN DEL RIESGO PENAL DE LAS PERSONAS JURÍDICAS
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 478
MÓDULO 12 • PREVENCIÓN DEL RIESGO PENAL DE LAS PERSONAS JURÍDICAS
Los principales controles que aplicar en caso Asimismo, la organización deberá mantener
de transformaciones, fusiones, absorciones o información documentada que evidencie
escisiones por parte de la organización serán: todo el proceso referido en el presente
apartado.
a. Diligencia debida previa a la operación
destinada a determinar el nivel de riesgos Mejora continua
de la operación a realizar.
La información recogida, analizada y evaluada
b. Implantar tras la operación los controles consecuentemente, e incluida en los informes
necesarios. de Compliance penal, debería usarse como
c. Llevar a la práctica los controles en el base para identificar las oportunidades de
momento en que resulte legalmente mejora del desempeño de Compliance en la
posible. organización.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 479
MÓDULO 12 • PREVENCIÓN DEL RIESGO PENAL DE LAS PERSONAS JURÍDICAS
• Hablar del riesgo penal de las personas jurídicas implica remontarse a los propios orígenes de
la función de Compliance, es decir, volver a dirigirnos al ámbito anglosajón y a la década de los
70 del siglo XX, con la aprobación de la Ley de Prácticas Corruptas en el Extranjero (FCPA). La
revelación a la opinión pública estadounidense de las prácticas habituales de grandes empresas
corporaciones estadounidenses provoca una reacción política y legislativa que asienta los
cimientos de la función.
• Así, el Compliance penal se desarrolla como respuesta defensiva impulsada por la nueva
normativa, a la que en el ámbito estadounidense se incorpora, ya en el siglo XXI, la Ley Sarbanes-
Oxley (SOX), con la vista puesta en la lucha contra el fraude y la corrupción. Unos años antes,
en 1997, la Convención OCDE ya buscaba esos mismos objetivos y recomendaba a los estados
firmantes adoptar su normativa para perseguir la corrupción promovida por las personas
jurídicas.
• En la UE, el Decreto Legislativo 231 italiano de 2001 es una normativa pionera y de referencia,
a pesar de no ser estrictamente una norma penal, pero que ha inspirado normas en todo el
continente europeo (entre ellas la regulación española sobre la materia, que es casi idéntico a lo
dispuesto por el legislador italiano). Esta norma italiana establece asimismo las características
de un modelo de control eficaz (identificación de riesgos, la toma de decisiones, formación de
empleados, gestión financiera, denuncia, revisión periódica y aplicación del régimen disciplinario).
• En España, la reforma del Código Penal en 2010, constituyó la primera ocasión en la que se
responsabilizaba penalmente a las personas jurídicas en España, aunque de forma un tanto
criticada por ambigua e ineficaz. Posteriormente se produjo una mejora y ampliación de la
regulación de este aspecto, mediante la reforma del CP de 2015, notablemente más ambiciosa.
Se ha de señalar, por su importancia y utilidad, la Circular 1/2016 de la Fiscalía General del
Estado, que establece los criterios interpretativos sobre los que edificar los programas de
Compliance penal, para dotarlos de la adecuada eficacia operativa y jurídica.
• Un modelo de prevención de responsabilidad penal debe perseguir una característica clave: ser
eficaz. La eficacia (incluyendo la jurídica, en su caso) deviene un concepto clave, pues el regulador
pretende evitar que las personas jurídicas eludan su responsabilidad mediante la adopción de
programas de prevención cosméticos y, en esencia, defectuosos o simplemente inservibles.
Tampoco se dejará maniatar por certificaciones, que no tienen per se valor acreditativo de
eficacia alguno. Por ello, en diversas jurisdicciones -y España no es un excepción- se ha advertido
y orientado acerca de los elementos y características que se considerarán para determinar la
eficacia de un modelo de prevención. De la valoración que la autoridad judicial haga finalmente
de dicha eficacia, dependerá la responsabilidad penal de la persona jurídica, en tanto que ésta
podrá ser eximida total o parcialmente de la misma, o bien quedar atenuada la sanción.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 480
MÓDULO 12 • PREVENCIÓN DEL RIESGO PENAL DE LAS PERSONAS JURÍDICAS
• No hay que olvidar la necesaria y adecuada formación de los empleados y cuadros directivos, e
igualmente la reacción ante incumplimientos, ya que la efectividad requiere de un historial de
firmeza con casos previos de incumplimientos, mediante el uso de herramientas disciplinarias.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 481
Módulo 13
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 483
MÓDULO 13 • PREVENCIÓN DEL SOBORNO Y DE LA CORRUPCIÓN
Del mismo modo, el papel que han Ya hemos mencionado en el capítulo anterior
venido desempeñando las organizaciones que la FCPA se centraba en dos áreas de la
empresariales de un mismo sector, como corrupción: los sobornos y la falsedad de
el farmacéutico o el energético, a la hora de los libros y registro contables. También se
establecer criterios de prevención comunes 204
recuerda su carácter pionero en la regulación
ha favorecido notablemente la extensión respecto de la política de regalos o los
de las buenas prácticas y disminución de la códigos éticos o de conducta, pero es que la
corrupción. prevención del soborno y la corrupción era la
razón de ser originaria de la norma.
Sin duda, los grandes escándalos de corrupción
originados en grandes corporaciones, la crisis Teniendo como precedente la FCPA, el 1
económica, los agujeros legislativos y la falta de noviembre de 1991 entran en vigor las
de regulación global en muchas áreas del también referidas USFSG (United States Federal
comercio y de la economía internacional han Sentencing Guidelines), las cuales constituyen
ayudado a incrementar la consciencia de la un conjunto de guías y directrices a seguir
por los jueces y tribunales estadounidenses
en el enjuiciamiento de personas jurídicas.
202 Convención de las Naciones Unidas contra la Corrupción
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 484
MÓDULO 13 • PREVENCIÓN DEL SOBORNO Y DE LA CORRUPCIÓN
natural persons, promulgadas en 1987 por la Desde la década de los años setenta la
SEC y que fueron, sin embargo, declaradas no cuestión sobre el alcance de las disposiciones
vinculantes al entender el Tribunal Supremo penales de los estados miembros (EEMM) en
de EE.UU que dichas guías vulneraban relación con los intereses financieros ha sido
la sexta enmienda constitucional. Por su objeto de minuciosos debates.
parte, las USFSG permanecieron vigentes
En este contexto comenzó a detectarse un alto
hasta la actualidad, siendo sin embargo
número de fraudes (fraudes de subvenciones
progresivamente modificadas tras la
por obtención irregular y/o malversación
aprobación en 2002 de la Sarbanes-Oxley Act.
de la subvención) y, sin embargo, los EEMM
13.1.2. Convención anticorrupción no tenían la posibilidad de sancionar tales
de la OCDE infracciones y la UE no tenía competencia
legislativa para dictar normas de carácter
Tal y como se ha explicado en otros módulos penal.
de estos materiales, la Organización para
la Cooperación y el Desarrollo Económico Con la sentencia del Tribunal de Justicia de las
Comunidades Europeas pronunciada en el
(OCDE) adoptó el 21 de noviembre de 1997
Asunto 68/88, de 21 de septiembre de 1989,
la Convención para combatir el cohecho
conocida como la sentencia del maíz griego, se
de servidores públicos extranjeros en
logró una solución por aplicación del artículo
transacciones comerciales internaciones, por
5 del Tratado Constitutivo de la Comunidad
(en adelante, “Convención de la OCDE”).
Económica Europea cuyo fundamento pasó a
La Convención de la OCDE surge como consagrarse como principio de asimilación.
consecuencia de lo dictaminado por el
Artículo 5: “Los Estados miembros adoptarán
Consejo de la OCDE en su “Recomendación
todas las medidas generales o particulares
Revisada para combatir el cohecho en las
apropiadas para asegurar el cumplimiento de
transacciones comerciales internacionales”,
las obligaciones derivadas del presente Tratado
de 23 de mayo de 1997, donde se reivindica
o resultantes de los actos de las instituciones
la adopción de medidas eficaces para
de la comunidad. Facilitarán a esta última el
disuadir, prevenir y combatir la corrupción de
cumplimiento de su misión (…)”
autoridades públicas extranjeras.
El principio jurisprudencial del caso encontró
13.1.3. La repuesta de la Unión finalmente su expresión directa en el Título VI
Europea (el llamado “Tercer Pilar”) del Tratado de la UE
(Maastricht, 1992), relativo a la cooperación en
En el caso europeo, conviene hacer una
los ámbitos de Justicia y Asuntos de interior.
breve recapitulación de los antecedentes
más relevantes en materia de corrupción y la Posteriormente, con el Tratado de Ámsterdam,
necesidad de instituir la responsabilidad penal de de 2 de octubre de 1997, se impone tanto a la
las personas jurídicas, vinculada a la normativa Comunidad como a los Estados miembros ”la
supranacional de la Unión Europea (“UE”). función de combatir el fraude y toda actividad
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 485
MÓDULO 13 • PREVENCIÓN DEL SOBORNO Y DE LA CORRUPCIÓN
• Convenio penal sobre la corrupción del partir de ella, las exigencias en esta materia
Consejo de Europa (1999), (nº 173 del se hicieron más estrictas y extensas, tanto en
enero de 1999.
Entre otros avances, SOX supone la
• Convenio civil sobre la corrupción del Consejo prohibición de préstamos personales
de Europa (1999), (nº 174 del Consejo de a directores y ejecutivos, exige la
Europa), Estrasburgo 24 de noviembre independencia de la firma auditora,
de 1999. Las características esenciales requiere que los informes financieros estén
merecen ser destacadas brevemente: certificados por personas competentes
para ello, otorga una mayor protección a los
- Cooperación internacional en la lucha
empleados en caso de fraude empresarial,
contra la corrupción a través del
endurece la responsabilidad civil y penal de
establecimiento de acciones civiles
las empresas y crea una comisión especial
para la reparación del daño (daños
encargada de supervisar las auditorías de
patrimoniales, lucro cesante y daños
las compañías que cotizan en bolsa, la Public
no patrimoniales) de personas que
Company Accounting Oversight Board.
hayan sufrido daños resultantes de
actos de corrupción. 13.1.5. Ley Antisoborno de 2010
- Posible declaración de invalidez o (Reino Unido)
nulidad de contratos o cláusulas
La ley antisoborno del Reino Unido (Bribery
contractuales que tengan origen en
Act) publicada en 2010 comparte con la FCPA
un acto de corrupción.
su vocación extraterritorial. Asimismo, es
205 BACIAGALUPO, E., en Curso de Derecho penal económico, pág. 434. una de las leyes más restrictivas en relación
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 486
MÓDULO 13 • PREVENCIÓN DEL SOBORNO Y DE LA CORRUPCIÓN
con las conductas ilegales realizadas por las El Ministerio de Justicia del Reino Unido
organizaciones. emitió una Guía (Guidance to the UK Brivery
Act) que establece las reglas de prevención
Sus líneas directrices arrojan luz sobre los
para empresas de cualquier tamaño y sector.
procedimientos adecuados que cualquier
“relevant organisation”, es decir, toda empresa 13.2. Principales aspectos de
u organización que desarrolle actividades un programa de Compliance
de cualquier tipo en el Reino Unido deberá
anticorrupción
cumplir: en el caso de que una empresa
no pueda probar el cumplimiento de los En octubre de 2016 fue publicada la Norma
mencionados procedimientos y en el caso de ISO 37001 Sistemas de Gestión Antisoborno
que se produzcan casos de corrupción en su (en adelante ISO 37001), que cuenta también
seno, esta incurrirá en responsabilidad penal con su versión española, UNE-ISO 37001:2017.
y se expondrá a la imposición de multas
La norma ISO 37001 ofrece a la comunidad
elevadas.
internacional el primer estándar global que
Haciéndose eco de las tendencias actuales, recoge buenas prácticas para la prevención,
reduce notablemente el nivel de tolerancia detección y respuesta ante el soborno, tanto
respecto de la comisión de ilícitos. Esto se en el sector público como en el privado en los
traduce, por ejemplo, en el tratamiento más que, sin duda, se convertirá en un referente
restrictivo de los “pagos de facilitación”, o en interpretativo obligado.
la insistencia en que los ilícitos de corrupción,
Basándonos en lo establecido en el
tanto pueden cometerse por empleados de
mencionado estándar certificable, vamos
la organización como a través de terceros.
a continuación a desarrollar los principales
En general, esta norma es una vuelta más de
aspectos de un programa de prevención de
tuerca en la lucha contra el soborno.
la corrupción en la organización, siguiendo
un esquema similar al que hemos estado
utilizando al exponer otras normas de este
ámbito.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 487
MÓDULO 13 • PREVENCIÓN DEL SOBORNO Y DE LA CORRUPCIÓN
otro ilícito, viene dada por comprender la Del código ético se desprenden, a su vez,
propia organización y su entorno. Es decir, los criterios de Compliance, es decir, a qué
quién es, dónde está, con qué medios cuenta normas obligatorias o voluntarias se adhiere
y dónde quiere ir. O, dicho de otro modo, la la organización. La praxis demuestra que, en
organización debe determinar los problemas gran medida, el comportamiento empresarial
externos e internos que son relevantes para (y personal) está regido por normas de
su propósito y que afectan su capacidad para adhesión voluntaria, las denominadas
lograr los resultados deseados. “buenas prácticas” o “ética empresarial”. La
confianza, la motivación, la cooperación, la
El objetivo principal de este análisis preliminar
negociación, la conquista de nuevas áreas
es diseñar un sistema eficaz en el seno de
comerciales y, especialmente, la reputación
la organización, por tanto, un sistema de
comercial y personal dependen en no pocas
Compliance adecuado y realizable, evitando
ocasiones de modos de hacer no reglados
la simulación, la mera formalidad o los
oficialmente.
denominados Compliance cosmético206,
ya que las medidas de prevención de la La cultura organizativa debe asentarse, por
corrupción se enmarcan, finalmente, en tanto, en un sólido modelo de valores y
este tipo de sistemas de prevención y principios que guíe la actuación corporativa,
cumplimiento207. resultando mucho más eficaz que la simple
imposición normativa, de conformidad con la
En este sentido, partiendo de la “visión” y de
tendencia internacional y nacional. Este tipo
la “misión” de la organización, esta podrá
de políticas de Compliance se encuentran
obtener un “modo de hacer” acorde con su
vinculadas, de hecho, con la evolución de la
estilo y cultura que le permitirá, a su vez,
responsabilidad social corporativa (RSC).
trazar un plan de acción apropiado.
Así, uno de los informes publicados por Global
Este tipo de planes de acción se materializan
Reporting Initiative (GRI) denominado “The
en procedimientos que siguen el esquema
Transparent Economy”, con la mirada puesta
clásico de las normas en materia de calidad.
en el año 2020, diagnosticaba la necesidad
Parte del resultado de esta fase inicial se verá
de avanzar en la generación de una ética
plasmado, con posterioridad, en el código
empresarial sólida y en la lucha contra la
ético o de conducta, que se constituye como la
economía sumergida. Además, subraya
norma base de la organización y supone una
la importancia de una buena política de
recopilación de los principios de actuación.
responsabilidad corporativa haciendo a las
empresas más competitivas al minimizar sus
206 NIETO MARTÍN, ADÁN. “Cosmetic Use and Lack of Precision in Com- riesgos y mejorar su imagen y credibilidad
pliance Programs: Any Solution?” Revista EUCRIM, 2013; Fiscalía
General del Estado en su Circular 1/2016, para referirse a los ante los grupos de interés, que se analizan en
programas de cumplimiento ineficaces jurídicamente, utiliza el
término “maquillaje”. el próximo apartado.
207 La ISO 37001 es integrable y compatible con otras normas y es-
tándares (ISO 37301:2021 Sistemas de Gestión de Compliance,
que reemplazó a la ISO19600). Esto indica que la prevención del
soborno es parte de la prevención delictiva.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 488
MÓDULO 13 • PREVENCIÓN DEL SOBORNO Y DE LA CORRUPCIÓN
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 489
MÓDULO 13 • PREVENCIÓN DEL SOBORNO Y DE LA CORRUPCIÓN
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 490
MÓDULO 13 • PREVENCIÓN DEL SOBORNO Y DE LA CORRUPCIÓN
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 491
MÓDULO 13 • PREVENCIÓN DEL SOBORNO Y DE LA CORRUPCIÓN
cómo se producen los riesgos. Estas incluyen: empleados, terceras partes, etc.;
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 492
MÓDULO 13 • PREVENCIÓN DEL SOBORNO Y DE LA CORRUPCIÓN
lógico con base en una combinación de las La información sobre los controles
posibilidades que tiene el riesgo en sí mismo relevantes se puede obtener a través de
de producirse y su impacto potencial en caso diferentes medios. Aunque la revisión de la
de materialización. documentación de controles y procesos es
generalmente un paso clave, los controles
Lógicamente, se trata de una clasificación
relevantes también pueden ser identificados
con algún tinte de subjetividad, ya que
mediante entrevistas y encuestas
se verá influenciada por la experiencia y
específicas realizadas a los miembros clave
antecedentes de las personas involucradas
de la compañía, quienes pueden ayudar a
en el proceso de evaluación.
identificar apropiadamente los controles.
Esto es importante porque los controles para clasificar cada riesgo en relación con
y a los resultados potenciales de una mala sea como: efectivo/bajo riesgo, parcialmente
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 493
MÓDULO 13 • PREVENCIÓN DEL SOBORNO Y DE LA CORRUPCIÓN
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 494
MÓDULO 13 • PREVENCIÓN DEL SOBORNO Y DE LA CORRUPCIÓN
alta dirección y de los órganos de gobierno aplicación del programa. Estas personas
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 495
MÓDULO 13 • PREVENCIÓN DEL SOBORNO Y DE LA CORRUPCIÓN
ISO 37001 dedica un extenso capítulo al de incentivos y de castigo que sea aplicable
liderazgo con expresión de una serie de también, en primer lugar, a los altos cargos,
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 496
MÓDULO 13 • PREVENCIÓN DEL SOBORNO Y DE LA CORRUPCIÓN
En el año 2007, cuando Siemens cumplía 160 El personal directivo debe poner en práctica las
años de historia y tenía operaciones en más de “pautas de ejemplaridad”, garantizando que la
190 países, la compañía sufrió un daño mediático tolerancia cero a la corrupción y las políticas y
al ser motivo de titulares con mensajes muy los procedimientos detallados de apoyo sean
negativos sobre su imagen (ver caso de estudio comprendidos por todos los empleados y socios
VIII, módulo 6). Además del daño a su imagen y comerciales relevantes. El personal directivo ha de:
negocio, el importe de las multas que debió pagar
Garantizar el compromiso en toda la empresa: Es
a las autoridades estadounidenses y europeas
responsabilidad del personal directivo garantizar
superó los 1600M de euros, lo que constituyó todo
que todos los empleados y socios comerciales
un récord, aunque proporcional a la dimensión del
relevantes estén al tanto de los valores y las normas
escándalo y su extensión.
de la empresa, incluyendo las consecuencias de
Una de las principales conclusiones de las no adherirse a la política de tolerancia cero a la
investigaciones realizadas fue que la cultura corrupción de la empresa. En las empresas grandes,
corporativa había fallado en lo que a Compliance el personal directivo no puede establecer contacto
se refiere. Esta conclusión derivó en nuevos regular con todos los empleados. Por lo tanto,
nombramientos de puestos clave a lo largo del es importante que el personal directivo superior
año 2007, como el del presidente del Consejo garantice que las “pautas de ejemplaridad” sean bien
de Vigilancia y el del presidente y CEO. Además, comprendidas y expresadas en todos los niveles
el Consejo de Administración se cambió jerárquicos de la empresa (por ejemplo, los niveles
prácticamente en su totalidad. de dirección medios). Los niveles medios, inspirados
y motivados por las “pautas de ejemplaridad”, deben
El nuevo presidente y CEO, Peter Loescher, el demostrar una adhesión tangible al programa
primero externo a Siemens en toda su historia, dejó anticorrupción de ética y cumplimiento.
bien clara su opinión en un discurso que en el que
se refirió a este cambio radical: “Solo los negocios Establecer responsabilidades: El personal directivo
limpios son negocios Siemens: Compliance, como tiene la responsabilidad general de aplicar y mejorar
parte de la responsabilidad corporativa, es nuestra continuamente el programa anticorrupción de
máxima prioridad”. A todas las jefaturas de ética y Compliance. Como ya se ha expresado,
Siemens se les encomendó desplegar este mensaje en las empresas grandes el personal directivo
a lo largo de la organización y se mantuvieron no puede participar en las actividades operativas
reuniones con los empleados y las jefaturas cotidianas. Por consiguiente, puede asignar esas
locales sobre la importancia del Compliance. Estas responsabilidades a personal clave dentro de la
actividades continúan en marcha desde entonces. empresa (v. gr., el director de Compliance). Ello
debe incluir no solamente las responsabilidades
Fuentes: operativas de la aplicación y el mantenimiento
• Peter Löscher: Siemens Needed a New Corporate continuo del programa anticorrupción de ética y
Ethic, Graduate School of Standford Business. cumplimiento, sino también las responsabilidades
• Siemens and the battle against bribery and corruption. de supervisión del programa.
www.corruptie.org Proveer suficientes recursos: Para reafirmar la
importancia del programa y la sinceridad del
personal directivo, resulta clave que la empresa
asigne recursos suficientes para la aplicación y la
mejora continua del programa.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 497
MÓDULO 13 • PREVENCIÓN DEL SOBORNO Y DE LA CORRUPCIÓN
contratación en virtud del cual, para poder ser agentes, vendedores, consultores u otros
siquiera una entidad capaz de contratar con la representantes, así como socios de join
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 498
MÓDULO 13 • PREVENCIÓN DEL SOBORNO Y DE LA CORRUPCIÓN
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 499
MÓDULO 13 • PREVENCIÓN DEL SOBORNO Y DE LA CORRUPCIÓN
Al otro lado del tablero, podemos situar a las en esta materia, los empleados y, en su caso,
organizaciones cuyo ambiente o cultura sea los agentes y representantes. Esta tarea se
proclive a la comisión de ilícitos. realizará por medio de programas efectivos
de formación y, asimismo, proveyendo a
La ciencia de la criminología destaca como la cada individuo de la información apropiada
cultura empresarial basada en justificar ante teniendo en cuenta sus respectivos roles y
los empleados las prácticas fraudulentas o responsabilidades.
corruptas implican una rebaja de los costes
morales a que se enfrenta el individuo a la La ISO 37001, por su parte, dedica un
hora de delinquir. Si esta barrera disminuye, apartado a la formación y concienciación que
automáticamente, se incrementa el riesgo. Si se constituye especialmente importante para
el empleado considera “que todos lo hacen y el correcto funcionamiento del sistema.
no hay más remedio” adoptará la comisión
La ISO 37001 asevera que, si las personas
de ilícitos como la forma habitual de actuar
que trabajan en la organización no son
en el seno de la compañía. Por esa razón, la
conscientes de la política de Compliance,
estrategia básica de la prevención del fraude
de su importancia en el sistema de gestión
y de la corrupción pasa por aumentar esos
costes morales. de Compliance y de las implicaciones de no
cumplir los requisitos, el sistema jamás podrá
En este sentido, y de forma complementaria funcionar correctamente.
con el compromiso de la alta dirección,
un aspecto decisivo de los modelos de Además, en línea con lo expuesto, especifica
cumplimiento es la formación de los que la alta dirección tiene una responsabilidad
empleados. crucial a la hora de que todos tomen
conciencia de la importancia de la cultura
Así, la formación es necesaria para asegurar de Compliance dentro de la organización. Se
que el Compliance es realmente efectivo, detallan numerosas acciones específicas que
para conseguir la cultura corporativa de deben ser llevadas a cabo por la alta dirección
pleno cumplimiento que el mismo ha de y, destacable, el aspecto formativo.
perseguir. En EE.UU, la obligación de formar
a los empleados fue uno de los novedosos Cualquier código o política de aplicación
requisitos incluidos en SOX, mencionada transversal que se pretenda sea eficaz debe
anteriormente. Por su parte, las USFSG, en su venir acompañado de un adecuado sistema de
apartado 8 B2.1 (v) establecen que: comunicación y formación dirigido a todas las
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 500
MÓDULO 13 • PREVENCIÓN DEL SOBORNO Y DE LA CORRUPCIÓN
personas que forman parte de la organización del empleado, así como los mecanismos
(empleados, directores, administradores, internos que permiten detectar y alertar de
etc.). Asimismo, y de conformidad con lo comportamientos ilícitos.
dispuesto en el CP, también será relevante
De otro lado, tratándose de personal
la concienciación y formación respecto de
directivo o puestos con personal a su
aquellos terceros sujetos, personas físicas
cargo, la diferenciación en la formación
o jurídicas, que actúen en nombre y por
permite realizar un discurso que provoque
cuenta de la organización (comerciales,
la expansión exponencial de la cultura de
contratistas…).
cumplimiento. Por ello, deberá fomentarse
Para conseguir que los empleados conozcan el impulso del programa de Compliance por
debidamente el modelo de Compliance es parte de estos sujetos.
necesario otorgarle la debida publicidad.
Por último, tratándose de personal cuya
Una posibilidad viene dada por el empleo
competencia o función tenga una relación
de la intranet de la compañía e, incluso, en
más estrecha con la gestión de riesgos o
el caso de los documentos más importantes,
con la asunción de responsabilidad como
en la web corporativa, con plena publicidad
representantes, esta diferenciación de la
como hemos mencionado. Puede ser útil
formación facilita que se pueda ser más
también realizar campañas informativas
incisivo en aquellos aspectos considerados
enviando correos electrónicos al personal
clave para la buena marcha del modelo.
de la empresa, especialmente cuando se
produzcan modificaciones significativas en el En cualquier caso, la formación exige la
modelo. realización de cursos, que pueden ser
tanto presenciales como virtuales. Es muy
En lo que respecta a los planes formativos,
importante que la empresa mantenga
es aconsejable que se contemplen distintas
un registro de acciones formativas que
tipologías de contenido y enfoque, en función
permita comprobar que se cumplen los
del público al que se dirige.
objetivos de formación fijados internamente
Para facilitar la comprensión de los por el órgano de prevención o por la dirección
documentos que componen el Compliance en de Compliance.
materia de fraude y corrupción, lo deseable es
Asimismo, se puede acompañar a la formación
elaborar materiales didácticos que expliquen
con una serie de preguntas y respuestas
de forma clara los principios y normas que
sobre situaciones prácticas a las que puedan
guían la actividad de la compañía.
enfrentarse los empleados de la empresa.
El material podría contener un resumen de Incluso es recomendable que se conserve
la normativa mediante ejemplos aplicados evidencia de la asimilación y aprendizaje de
a la compañía en concreto, basado en su los contenidos, de los cuestionarios/test y/o
actividad ordinaria, las normas de conducta de los casos prácticos.
o el comportamiento esperable por parte
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 501
MÓDULO 13 • PREVENCIÓN DEL SOBORNO Y DE LA CORRUPCIÓN
de las personas, sino logrando que interioricen debe disponer de una serie de políticas,
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 502
MÓDULO 13 • PREVENCIÓN DEL SOBORNO Y DE LA CORRUPCIÓN
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 503
MÓDULO 13 • PREVENCIÓN DEL SOBORNO Y DE LA CORRUPCIÓN
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 504
MÓDULO 13 • PREVENCIÓN DEL SOBORNO Y DE LA CORRUPCIÓN
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 505
MÓDULO 13 • PREVENCIÓN DEL SOBORNO Y DE LA CORRUPCIÓN
compartir con esos terceros en los que de favor, o cualquier otro tipo de compensación,
ni invitaciones cuyo valor económico exceda
quiere influir, dando así pie, igualmente, a
de lo que pueda ser considerado razonable y
posibles situaciones de fraude y sobre todo
moderado, atendidas las circunstancias del
corrupción. asunto y del país que se trate, a cualquier
persona o entidad que pueda afectar su
Por otro lado, pueden darse situaciones
objetividad o influir ilícitamente en una relación
inversas en las que la empresa no es la que comercial, profesional o administrativa; al
lleva a cabo ese regalo o invitación, sino que mismo tiempo, establecer reglas definidas
es uno de sus empleados quien lo recibe o sobre aquellos regalos o atenciones que
se beneficia directamente de él. En ellas, se consideran aceptables (valor simbólico
se da la particularidad de que la compañía o económicamente aceptable, práctica
comercial o social de cortesía generalmente
-como tal organización- puede no conocer
aceptada, etc.). Establecer un valor equivalente
esa circunstancia, por recibir el empleado ese
aproximado puede ser de ayuda, en tanto los
regalo o invitación a título particular, para sí,
límites de lo “razonable”, “moderado”, “habitual”
no beneficiándose así de él. o “cortés” pueden variar.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 506
MÓDULO 13 • PREVENCIÓN DEL SOBORNO Y DE LA CORRUPCIÓN
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 507
MÓDULO 13 • PREVENCIÓN DEL SOBORNO Y DE LA CORRUPCIÓN
relación con la prevención del blanqueo de Por tal motivo, todo modelo de control de
capitales y la financiación del terrorismo. Estas riesgos necesariamente deberá contemplar,
normas pueden utilizarse como referencia en lo que a supuestos de fraude y corrupción
para el control de los intermediarios, así como se refiere, mecanismos que permitan definir
los procedimientos de debida diligencia antes qué procedimientos y principios de actuación
citados. ha de seguir cada uno de los empleados de
la compañía en el ámbito de (a) los procesos
13.2.11. Cuestiones relacionadas
en los que interviene, y de (b) las funciones y
con los empleados y sistemas de
obligaciones que tiene asignadas.
remuneración
De hecho, para que la empresa pueda
El fraude y la corrupción son dos
conseguir que tales mecanismos resulten
comportamientos que se producen en el
plenamente efectivos y exigibles, deberían
ámbito interno de las empresas, como
serles expuestos y trasladados a los
tales organizaciones colectivas, pero
trabajadores desde el momento mismo de su
que en numerosas ocasiones dependen
incorporación a la compañía; o, incluso, en la
directamente del comportamiento, la actitud
fase previa de selección y contratación.
y la actuación individual de cada uno de sus
empleados. Así, para prevenir situaciones de fraude
o corrupción es conveniente que los
En el proceso delictivo (desde la planificación
empleados sepan que su actuación en los
y preparación de su comisión, hasta su
procedimientos en los que participen deberá
ejecución y posterior ocultación), el papel que
estar necesariamente presidida por los
individualmente pueden desempeñar sus
siguientes principios de actuación:
empleados –cada uno de ellos en el marco
de los diferentes procesos internos de la • Estará prohibido influir en un funcionario
compañía, y de sus respectivas funciones y público o autoridad, aprovechándose de
competencias- es de gran importancia, hasta una relación personal, para conseguir
el punto de que una actuación correcta por una resolución que pueda generar un
su parte (no necesariamente de la todos los beneficio para la compañía o suponer
que intervienen en cada proceso : podría cualquier tipo de trato de favor.
ser suficiente con la de alguno de los que
• Deberán abstenerse de ofrecer regalos,
intervienen en el) puede servir para prevenir
comisiones o retribuciones a autoridades,
y evitar posibles situaciones de fraude y
organismos y administraciones públicas,
corrupción.
partidos políticos e instituciones en
Al fin y al cabo, no podemos pasar por alto general.
que el fraude y la corrupción son dos clases
• Deberán cumplir con los principios de
de comportamientos delictivos en los que
honestidad, imparcialidad, respeto,
resulta necesaria la presencia (por regla
confianza e integridad, y están obligados
general) de un comportamiento doloso.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 508
MÓDULO 13 • PREVENCIÓN DEL SOBORNO Y DE LA CORRUPCIÓN
a velar por que ninguna actuación suya Con el cumplimiento de estos principios
pueda ser susceptible de interpretarse básicos de actuación por parte de los
como engaño en perjuicio de clientes, empleados de la compañía, cada uno como
proveedores o terceros. decimos en el marco de las funciones que
tiene asignadas en los diferentes procesos
• Siempre que se celebre un contrato,
en los que participe, se habrá reducido al
se deberá hacer con la voluntad y el
máximo las posibilidades de que concurran,
compromiso de que el contrato entre
en ella, situaciones de fraude y corrupción.
en vigor y de cumplir todo lo pactado en
él. Para ello los empleados no podrán Hay un punto que puede llegar a afectar
impedir ni obstaculizar el cumplimiento en gran medida a la prevención o
de los contratos de la compañía y de las materialización de riesgos, y que por ello
obligaciones asumidas en ellos. requiere una atención especial. Se trata de
las características de determinados sistemas
• Los empleados no estarán autorizados
de remuneración e incentivos (ver Caso de
para suscribir, negociar o aceptar
Estudio X, módulo 8). Por ejemplo, aquellos
contratos, o realizar operaciones en
vinculados a la consecución de determinados
nombre de la compañía (o a través
objetivos comerciales (algo normal por
de modelos o clausulados diferentes
otra parte), si no tienen un diseño realista y
a los autorizados), sin contar con la
ajustado, pueden ser demasiado exigentes y
correspondiente autorización.
presionar en exceso al empleado, que para
• Los empleados, cuando negocien en cumplir con dichos objetivos puede relajar sus
nombre de la compañía, deberán compromiso ético o respecto por las normas,
proporcionar la información de manera o directamente abrirse a cometer ciertas
completa, transparente, comprensible, irregularidades si la recompensa es juzgada
exacta y precisa. como suficiente y los controles lo facilitan.
Dichos sistemas de incentivos deberían
• Los empleados deberán poner especial hacerse depender, en alguna medida, de la
cuidado en ofrecer a los clientes ausencia de infracciones, para estimular un
productos y servicios que se adecúen proceder recto y honrado.
a sus características, de forma que su
contratación se realice una vez que el Este riesgo se acentúa de manera especial en
cliente conozca y entienda su contenido, departamentos comerciales y de compras, en
beneficios, riesgos y costes. los que la obtención de un pedido o encargo
en determinadas condiciones económicas (o
• Las incidencias y reclamaciones de
incluso la propia obtención de ese pedido)
clientes, caso de existir, deberán
pueden llevar al trabajador a incurrir en
canalizarse a través de los servicios de
determinadas corruptelas.
atención al cliente establecidos por la
compañía. Por ello resulta aconsejable que, sobre todo
en determinadas posiciones dentro de la
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 509
MÓDULO 13 • PREVENCIÓN DEL SOBORNO Y DE LA CORRUPCIÓN
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 510
MÓDULO 13 • PREVENCIÓN DEL SOBORNO Y DE LA CORRUPCIÓN
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 511
MÓDULO 13 • PREVENCIÓN DEL SOBORNO Y DE LA CORRUPCIÓN
• La lucha contra el soborno y la corrupción están en el mismo origen del nacimiento de la función
de Compliance, teniendo en la Ley de Prácticas Corruptas en el Extranjero de los EEUU (1977)
su primer referente normativo. A pesar de tener su nacimiento en el siglo XX y tratarse sin
duda de un hito relevante, fue una iniciativa más bien aislada, que no tuvo seguimiento hasta
bastante más tarde.
• Así pues, la lucha contra la corrupción en el ámbito corporativo es una actividad y tendencia
que se configura a finales del siglo XX, pero se materializa y extiende casi exclusivamente en el
siglo XXI, cuando surgieron normas e iniciativas, tanto internacionales como de algunos países
de referencia, como pueden ser:
• También las normas ISO nos indican que la lucha contra la corrupción es relativamente
reciente: si ir más lejos, la ISO 37001 Sistemas de Gestión Antisoborno data de 2016. Esta
norma centra su análisis en el conocimiento y valoración de los aspectos internos y externos
(sus vulnerabilidades) que pueden favorecer la corrupción y el soborno.
• Para realizar los análisis requeridos por la ISO 37001, es necesario recabar la información
precisa, por lo que se deben identificar las fuentes relevantes de la misma. Algunas de las más
importantes son los informes de auditoría interna; los antecedentes internos; los antecedentes
y casos conocidos en el sector; el análisis de las áreas y actividades más expuestas; entrevistas
a personal relevante; encuestas, autoevaluaciones y tormenta de ideas, entre otros.
• Así pues, los riesgos asociados a las prácticas corruptas deben identificarse y valorarse (en
función de su naturaleza y gravedad, probabilidad e historial) adecuadamente, para de esta
manera ser capaces de establecer los controles (específicos, generales, preventivos, de
detección, financieros, no financieros) necesarios. Los riesgos de corrupción y su gestión
no se diferencian esencialmente del resto de riesgos y los conceptos asociados a estos (riesgo
inherente, residual, controles, apetito de riesgo, etc).
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 512
MÓDULO 13 • PREVENCIÓN DEL SOBORNO Y DE LA CORRUPCIÓN
• Como parte de una Política o Programa Anticorrupción, podemos citar como elementos
esenciales lo siguientes: compromiso de la alta dirección; identificación de un responsable;
establecimiento de un catálogo de prohibiciones y obligaciones básicas; existencia de un
canal de denuncias y un adecuado programa de formación y concienciación. Asimismo, los
mencionados controles y su revisión, así como las cuestiones relativas a regalos, patrocinios
y un adecuado y consecuente sistema de retribución, remuneración e incentivos, debe formar
parte integrante de dicho programa.
• Por último, el programa debe ser adecuadamente documentado y revisado para identificar
posibles carencias o adaptar los cambios que se produzcan en la organización o su entorno y
que puedan afectar a los riesgos.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 513
Módulo 14
• Comprender las similitudes y diferencias entre Aunque los dos anteriores (BC y FT) suelen
las fases de BC, FT y FP. ser los ámbitos más conocidos y frecuentes,
• Conocer las tipologías de sujetos obligados, no hay que olvidar un tercero que se ha
las actividades de diligencia debida, análisis de añadido a los mencionados: la financiación de
riesgos y obligaciones del órgano de control la proliferación (FP) de armas de destrucción
interno. masiva (ADM).
• Familiarizarse con los aspectos relevantes del
No hay que confundir, aunque existan
procedimiento sancionador y la actividad del
supervisor en este ámbito. elementos de solapamiento, las actividades y
medidas contra la proliferación de ADM con
las sanciones (en general). Si bien existe un
14.1. Introducción número significativo de sanciones en este
prevención del blanqueo de capitales (PBC o, a éste, ni la mera aplicación de las dichas
en inglés, AML) son de las más íntimamente sanciones supone cumplir la totalidad de las
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 515
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 516
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
Hoy en día es casi imposible desconocer Es entonces, en los años 80, cuando el
la expresión, cada vez es más frecuente al blanqueo de capitales pasa a adquirir
tratar informaciones o noticias relacionas con creciente importancia en las investigaciones
la corrupción, tráfico de drogas, de armas, contra la delincuencia organizada, hasta
personas o cualquier otra actividad ilícita entonces ignorado a pesar de que el
vinculada a la delincuencia organizada. beneficio económico era la razón de ser de
esta delincuencia y único elemento común
El blanqueo de capitales tiene un propósito
y transversal a cualquier actividad en ese
muy claro: pretende desvincular los fondos
ámbito.
procedentes de actividades delictivas de su
origen, distanciándolos mediante operaciones El 27 de octubre de 1986, como parte de los
financieras reales o simuladas y, posteriormente, renovados esfuerzos de la Administración
recuperarlos con apariencia de licitud. Reagan la conocida como Guerra contra
las Drogas (War on Drugs), se aprobó la Ley
El FMI calculó en 1998 que blanqueo de Control de Blanqueo de Capitales (US
suponía entre el 2 y el 5% del PIB Money Laundering Control Act), por la que se
mundial. En 2011, un estudio de la criminalizó a nivel federal, por primera vez, el
UNODC215 lo situó en el 2,7% (1,6 blanqueo de capitales.
billones de dólares)
El impulso de EE.UU tuvo su reflejo en la
Como se ha dicho, el primer uso judicial del comunidad internacional, como veremos
término data de principios de los 80 del s.XX, más adelante: apenas dos años después, en
y no es hasta la lucha contra los cárteles de diciembre de 1988, se aprobó la Convención
droga en esa década, tanto en EE.UU como en de las Naciones Unidas contra el tráfico ilícito
Europa, cuando se empieza a prestar atención de estupefacientes y sustancias psicotrópicas
al beneficio del tráfico de drogas, que se había (que acordaba la declaración de ilegalidad
incrementado de forma descomunal. del blanqueo de capitales procedentes
del tráfico de drogas). Poco después, en
Más allá del evidente problema de salud
julio de 1989, durante la XV reunión del
pública y violencia que acompaña a estas
G7, se estableció el GAFI (Grupo de Acción
actividades, el tráfico de drogas se convirtió
Financiera internacional, también conocido
entonces en una amenaza a la propia
como Financial Action Task Force o FAFT, por
sociedad y a sus instituciones, teniendo un
sus siglas en inglés).
poder desestabilizador que llegaba a influir
en las relaciones comerciales y exteriores de Esta importancia del BC se ha ido
los países, incluso controlando organismos incrementando a lo largo de los años, pasando
públicos, gobiernos, tribunales, fuerzas de de formar parte de las investigaciones sobre
seguridad, etc. delincuencia organizada a ser un elemento
central de las mismas. Asimismo, la evolución
215 Estimating illicit financial flows resulting from drug trafficking and
other transnational organized crimes. Research report. Oficina de y tendencia normativa a escala mundial
Naciones Unidas contra la droga y la delincuencia (UNODC). Oc-
tubre 2011. ha transferido parte de la responsabilidad
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 517
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 518
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
Poco después, se promulgaba la Ley 19/1993 castigado con la pena de prisión de seis
sobre determinadas medidas de prevención meses a seis años y multa del tanto al triplo
del blanqueo de capitales (en lo sucesivo Ley del valor de los bienes.”
bienes que proceden de alguna de las que también, en su artículo 1.2 recoge la
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 519
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
“A los efectos de esta Ley se entenderá por penal de 1995 ya se castigaba a quienes
posesión tenga su origen en un delito, tanto una forma general y poco concreta.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 520
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
o valores de cualquier clase con la intención a) Multa de dos a cinco años si el delito
de que se utilicen, o a sabiendas de que serán cometido por la persona física tiene
utilizados, en todo o en parte, para cometer prevista una pena de prisión de más de
cualquiera de los delitos comprendidos en cinco años.
este Capítulo.
b) Multa de uno a tres años si el delito
2. Si los bienes o valores se pusieran cometido por la persona física tiene
efectivamente a disposición del responsable prevista una pena de más de dos años
del delito de terrorismo, se podrá imponer de privación de libertad no incluida en
la pena superior en grado. Si llegaran a la letra anterior.
ser empleados para la ejecución de actos
terroristas concretos, el hecho se castigará Atendidas las reglas establecidas en el
como coautoría o complicidad, según los artículo 66 bis, los jueces y tribunales podrán
casos. asimismo imponer las penas previstas en las
letras b) a g) del apartado 7 del artículo 33.
3. En el caso de que la conducta a que se
refiere el apartado 1 se hubiera llevado a cabo Tras la entrada en vigor de la Ley 10/2010,
atentando contra el patrimonio, cometiendo los conceptos blanqueo de capitales y
extorsión, falsedad documental o mediante financiación del terrorismo se unificaron
la comisión de cualquier otro delito, éstos en la misma normativa, en el artículo 1. En
se castigarán con la pena superior en grado el apartado 3 de dicho artículo 1, se define
a la que les corresponda, sin perjuicio de lo que se considera como financiación del
imponer además la que proceda conforme terrorismo:
a los apartados anteriores.
“Se entenderá por financiación del terrorismo
4. El que estando específicamente sujeto el suministro, el depósito, la distribución o la
por la ley a colaborar con la autoridad recogida de fondos o bienes, por cualquier
en la prevención de las actividades de medio, de forma directa o indirecta, con la
financiación del terrorismo dé lugar, por intención de utilizarlos o con el conocimiento
imprudencia grave en el cumplimiento de de que serán utilizados, íntegramente o en
dichas obligaciones, a que no sea detectada parte, para la comisión de cualquiera de los
o impedida cualquiera de las conductas delitos de terrorismo tipificados en el Código
descritas en el apartado 1 será castigado Penal.”
con la pena inferior en uno o dos grados a la
prevista en él. Tanto el blanqueo de capitales como la
financiación del terrorismo tienen en
5. Cuando, de acuerdo con lo establecido común algunas técnicas que utilizan para la
en el artículo 31 bis, una persona jurídica movilización de los fondos, siendo su objetivo
sea responsable de los delitos tipificados en el ocultarlos de las autoridades y dificultar el
este artículo se le impondrán las siguientes rastro hasta su origen.
penas:
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 521
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
Sin embargo, una gran diferencia entre comandos yihadistas en Europa entre 1994 y
ambos radica en que los fondos que se 2013, reveló datos de gran interés respecto
utilizan para la financiación del terrorismo de la financiación de atentados terroristas:
pueden proceder tanto de actividades ilegales
• Cantidades necesarias: 3 de cada 4 (75%)
(robo, extorsión, tráfico de drogas y/o armas,
ataques costaron menos del equivalente
fraude, secuestros) como de actividades
a 10.000 dólares.
completamente licitas (a través de créditos
o préstamos personales, donaciones, • Casi todos los comandos (un 90%)
organizaciones caritativas, etc). se involucraron en actividades de
financiación, de una u otra forma.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 522
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
de muy bajo coste relativo. Sin embargo, A pesar de ello, se trata de un ámbito que
las organizaciones terroristas requieren tiene visos de continuidad, pues ya ha
de muchos medios para su supervivencia, cumplido al menos una década desde que
puesto que los ataques son sólo una parte pasó a formar parte integrante de las 40
de sus gastos. Los fondos necesarios Recomendaciones del GAFI, que en 2012
para financiar su infraestructura, recluta, pasaron a denominarse “Recomendaciones del
propaganda, formación y entrenamiento, GAFI. Normas internacionales de lucha contra
adquisición de armas, explosivos o equipo, el blanqueo de capitales y la financiación del
etc son muy superiores a los de un único terrorismo y la proliferación”.
ataque. Por tanto, la financiación que
requieren puede acabar presentando rasgos
• 2004 Resolución 1540 (2004) del Consejo de
Seguridad de la Organización de las
complejos, haciendo uso de operativas más Naciones Unidas.
sofisticadas y continuadas en el tiempo,
notablemente similares a las del blanqueo
• 2008 Informe sobre tipologías de financiación
de la proliferación.
de capitales.
• 2010 Lucha contra la financiación de la
Abundando en esta idea, y con datos más proliferación: Un informe de situación
sobre el desarrollo de políticas y
recientes, el propio Director del FinCEN219
consultas.
(Unidad de Inteligencia Financiera de EE.UU)
reconocía en 2019 que “aproximadamente, • 2012 Documento de buenas prácticas sobre
la Recomendación 2: Intercambio
el 20% de las investigaciones del FBI sobre
de información relacionada con la
terrorismo internacional, utiliza datos BSA”, financiación de la proliferación entre
es decir, datos proporcionados por las autoridades nacionales competentes.
entidades financieras sobre transacciones
• 2013 Guía GAFI-FATF - Aplicación de las
sospechosas o de información obligatoria disposiciones financieras de las
(datos BSA o datos proporcionados en resoluciones del Consejo de Seguridad
de las Naciones Unidas para combatir
cumplimiento de la Ley de Secreto Bancario
la proliferación de armas de destrucción
de EE.UU, Bank Secrecy Act). masiva.
219 Discurso del Director del FinCEN, Kenneth A. BLANCO, pronun- Relación cronológica de textos de referencia contra la financiación
ciado en la XII Conferencia Anual contra el Blanqueo de Capitales de la proliferación. Elaboración propia.
de Las Vegas.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 523
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
Acto de proporcionar fondos o servicios financieros El 20 de marzo de 1995, durante la hora punta en
utilizados, en todo o en parte, para la fabricación el metro de Tokio (uno de los más transitados y
adquisición, posesión, desarrollo, exportación, concurridos del mundo), se llevó a cabo un ataque
transbordo, intermediación, transporte, coordinado en el que se liberó un agente nervioso
transferencia, almacenamiento o uso de armas líquido contenido en cinco bolsas colocadas en
nucleares, químicas o biológicas y sus sistemas varios vagones y líneas de metro.
vectores y materiales conexos (incluidos tanto
La toxina atacó a las víctimas en cuestión de
tecnologías y productos de doble uso utilizados con
segundos, y las que cegó, paralizó y asfixió. Trece
fines no legítimos), en contravención de las leyes
personas murieron y al menos 5.800 resultaron
nacionales o, cuando obligaciones internacionales.
heridas en el peor atentado terrorista jamás
Lucha contra la financiación de la proliferación: Un perpetrado en ese país.
informe de situación sobre el desarrollo de políticas y
consultas, GAFI (2008) Los autores identificados formaban parte de la
secta apocalíptica Aum Shinrikyo (Verdad Suprema).
Doce de los responsables de la secta fueron
La financiación de la proliferación es una sentenciados a muerte, entre ellos su líder, Shoko
figura propia que presenta rasgos comunes Ashara, ejecutado junto a otros 6 condenados en
tanto con el blanqueo de capitales, como con julio de 2018.
la financiación del terrorismo, si bien no es ni Sin embargo, no fue el primer ataque de este
lo uno ni lo otro: el objetivo de la proliferación grupo. Desde principios de los 90 comenzaron a
no es el beneficio, sino la adquisición de planear atentados masivos. Al estar fuertemente
tecnología, materiales y precursores NRBQ. regulado el acceso a las armas en Japón, intentaron
ejecutar ataques con agentes químicos (sarín,
Tampoco es exclusivo de organizaciones
agente VX, toxina botulínica) y bacteriológicos
terroristas, puesto que la actividad también
(ántrax), con las que llevaron a cabo varios ataques
puede afectar a actores estatales (Corea del
sin éxito. No obstante, meses antes del ataque
Norte, Irán, Siria, etc). del metro, consiguieron asesinar a 8 personas y
causar síntomas en unas 500 más al liberar sarín en
En cualquier caso, constituye una
Matsumoto, el 27 de junio de 1994. Sin embargo,
preocupación de seguridad de primer este ataque pasó desapercibido (no se consideró
orden, en tanto que el riesgo de uso de las como tal) hasta la investigación del atentado del
denominadas armas de destrucción masiva metro de Tokio.
(AMD o WMD en sus siglas en inglés) tiene
Aún con recursos limitados, fueron capaces de
un potencial disruptor difícilmente calculable,
desarrollar agentes y llevar a cabo con cierto
y no se trata de un desafío tecnológico o éxito estos ataques. Sin embargo, lo realmente
científico inalcanzable para actores estatales preocupante es qué podría ser capaz de desarrollar
o no estatales. un actor estatal con todos los medios y recursos
de los que podría disponer. Por ello, la lucha
contra la proliferación trata de evitar el acceso a
los materiales, tecnología y precursores necesarios
para ejecutar este tipo de ataques.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 524
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 525
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 526
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 527
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 528
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 529
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
• 1980 Recomendación (80) Nº R10 del Consejo financiero en la medida de que las
de Europa. instituciones financieras sirven para
ocultar el origen ilícito de los capitales
• 1988 Declaración de Principios de Basilea
sobre prevención de la utilización del y se elabora una serie de reglas, tales
sistema bancario para el blanqueo de
como la identificación de clientes, el
fondos de origen criminal.
establecimiento de procedimientos
Convención de las Naciones Unidas
contra el tráfico ilícito de estupefacientes operativos y la colaboración con las
y sustancias psicotrópicas. Autoridades nacionales.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 530
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 531
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 532
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 533
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 534
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 535
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 536
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
iii. Un propuesta de Sexta Directiva, para miembros para luchar contra la corrupción
reemplazar a la Cuarta Directiva; y contra el blanqueo de capitales.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 537
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
El GAFI es conocido principalmente por sus 221 Normas internacionales para la Lucha Contra el Blanqueo de Capi-
tales y la Financiación del Terrorismo y su Proliferación – las Reco-
40 Recomendaciones, que surgieron por mendaciones del GAFI (Febrero de 2012).
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 538
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
Inteligencia Financiera de distintos países, con a conocer el Grupo Egmont en los cinco
Comunicación, que tiene como misión miembros (los menos) también lo son del
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 539
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
Es de los más antiguos, ya que se estableció El BCBS está compuesto por representantes
en a mediados de la década de los 70 del siglo de 28 jurisdicciones, entre los que se
pasado. Fue creado por los gobernadores encuentran bancos centrales y autoridades
de los bancos centrales de los países que con responsabilidad en la supervisión
formaban el denominado G-10 en ese bancaria. El banco de España es miembro
momento. desde 2001.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 540
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 541
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
La Comisión actúa en pleno o a través Las principales funciones del SEPBLAC son,
del Comité Permanente, o del Comité de entre otras, las siguientes:
Inteligencia Financiera. Para el cumplimiento
de sus funciones, dispone del apoyo del • Prestar el necesario auxilio a los órganos
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 542
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
Las fases que a continuación se describen El GAFI propuso en su informe “Tipología del
son modelos teóricos para una mejor Blanqueo de Capitales” de 1990 un modelo de
comprensión de estas operativas, si bien en blanqueo de capitales basado en tres etapas:
casos reales no tienen por qué darse todas Colocación, Encubrimiento (estructuración)
las fases ni seguir el orden descrito. e Integración. Cada fase tiene su propio
objetivo y metodologías típicas.
14.5.1. Fases en el blanqueo de
capitales Fase 1: Colocación
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 543
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
sistema financiero. Estos bienes pueden ser de Es la fase más complicada, ya que en ella el
cualquier tipo, incluso bienes patrimoniales, blanqueador trata de hacer desaparecer
pero lo más habitual es que sean grandes y desligar de su origen ilícito los fondos
cantidades de dinero en efectivo. generados en el delito y generalmente estos
fondos son grandes cantidades de dinero
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 544
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
Con estas técnicas se pretende complicada El objetivo de esta última fase consiste en
un posible seguimiento del rastro del dinero. lograr la aceptación e introducción legal de
Si, además de operaciones, se involucra forma definitiva de los capitales delictivos,
sociedades y personas en dos o más más quedando constancia de ello a través de
países, no sólo se dificulta el seguimiento, sino registros contables y tributarios, dándoles así́
que se ralentiza la posible investigación en forma y apariencia legal.
una maraña de movimientos, transacciones,
sociedades, personas y países. Así pues, el dinero “blanqueado” regresa
con la apariencia de legalidad mediante
transacciones de importación y exportación,
Estrategias usuales de encubrimiento
(Ejemplos)
pagos por servicios simulados o ficticios o
por el aporte de intereses sobre préstamos
Como ejemplo de actividades realizadas para fingidos.
desarrollar esta fase de blanqueo de capitales,
podemos mencionar las siguientes: Este dinero, que ahora tiene apariencia
de legalidad, se suele invertir en negocios
• Realización de transferencias internas entre
“fantasma”, propiedades inmobiliarias, etc. (ya
sociedades de un mismo grupo y entre distintas
sucursales de una misma entidad financiera. que el valor real de dichos bienes no siempre
es fácil de calcular, de forma que no resulta
• Compraventa de productos de inversión para fácil a las autoridades fiscales determinar si el
su posterior venta.
precio declarado en la compraventa coincide
• Realización de transacciones comerciales con lo pagado por el comprador). También se
ficticias valiéndose de facturas falsas o suelen utilizar empresas “pantalla”, facturas
empresas situadas en paraísos fiscales, sin falsas, etc.
actividad alguna, constituidas para tal fin.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 545
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 546
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 547
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
Por todo ello, es comprensible que las fases Los donantes pueden ser conscientes o
difieran, aunque ciertas metodologías y sospechar del fin último de destino de sus
herramientas puedan coincidir puntualmente, fondos o no.
o permitir la detección de operativas de
• Uso de organizaciones benéficas y
ambos procesos.
sin ánimo de lucro: Las organizaciones
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 548
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
afiliadas a grupos terroristas (sin formar valor o activos, que puede hacerse a través
parte formal de su estructura), o lobos de cualquier medio que lo permita, aunque
solitarios, pueden dedicarse al tráfico de normalmente se emplean los siguientes:
drogas a pequeña escala, fraude, robos
• Cuentas bancarias y de otro tipo;
o hurtos, etc. Otras vías de financiación
pueden ser la estafa a los programas • Tarjetas de prepago;
sociales.
• Almacenamiento o custodia de efectivo
Cuando una organización terrorista en grandes cantidades;
controla una gran área, puede apoderarse
de los activos financieros (divisas, arte, • A través de productos de gran valor, como
antigüedades, oro o recursos naturales, petróleo, obras de arte o antigüedades,
como petróleo, diamantes o minerales). En productos agrícolas, metales preciosos,
el caso del EIIL o DAESH, la venta de petróleo gemas y vehículos;
en el mercado negro constituyó una fuente
• Criptoactivos.
de financiación estimada entre 785 y 1250M
de dólares entre 2014 y 2016225. Transferencia
Por último, también se dan colaboraciones Entre los mecanismos conocidos para la
entre organizaciones criminales con transferencia se incluyen los siguientes, que
intereses muy diferentes, por ejemplo, en ocasiones depende de la forma en que los
la colaboración entre narcotraficantes fondos o el valor haya sido depositado:
americanos y grupos yihadistas de Mali,
Níger y otros territorios para introducir • Sector bancario y financiero;
drogas en Europa a través de la conocida
• Sector de las remesas, como, por ejemplo,
como Ruta del Sahel226 (parte de esa ruta
una empresa de servicios monetarios
pasa por Campo de Gibraltar y el sur de
autorizados;
España), o las colaboraciones de Hizbulá
con las organizaciones criminales de la • Sistemas informales de transferencia de
Triple Frontera para financiar y blanquear valor (por ejemplo, Hawala) y agencias de
el tráfico de drogas entre Sudamérica y cambio;
Europa.
• Contrabando de dinero en efectivo;
Depósito
• Contrabando de productos básicos de
Una vez obtenidos los fondos, se pasa a gran valor, como petróleo, obras de arte
la fase de depósito o almacenamiento del o antigüedades, productos agrícolas,
metales preciosos, gemas y vehículos
usados;
225 Heißner S, Neumann Peter R, Holland-McCowan, J, Basra R, Cali-
phate in Decline: An Estimate of Islamic State’s Financial Fortune, The
International Centre for the Study of Radicalisation (ICSR), 2017. • Criptoactivos.
226 Droga y terrorismo van de la mano en el Sahel. El País, 27 de
marzo de 2019.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 549
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 550
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
Los actores que están detrás de estos A lo largo de este epígrafe hemos explicados
intentos suelen ser estados sancionados las características y conceptos relacionados
internacionalmente por contar con con las actividades de blanqueo de
programas de ADM, como pueden ser Irán, capitales, financiación del terrorismo y de la
Corea del Norte, Rusia, Siria, etc, pero no proliferación.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 551
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 552
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
jurídicas a las que se refieren los artículos de otras personas relacionadas, ayuda
14 y 15 del Real Decreto Ley 19/2018, de material, asistencia o asesoramiento
23 de noviembre, de servicios de pago en cuestiones fiscales como actividad
y otras medidas urgentes en materia empresarial o profesional principal.
financiera.
b. Los notarios y los registradores de la
i. Las personas que ejerzan propiedad, mercantiles y de bienes
profesionalmente actividades de cambio muebles.
de moneda.
c. Los abogados, procuradores u otros
j. Los servicios postales respecto de las profesionales independientes cuando
actividades de giro o transferencia. participen en la concepción, realización o
asesoramiento de operaciones por cuenta
k. Las personas dedicadas profesionalmente
de clientes relativas a la compraventa
a la intermediación en la concesión de
de bienes inmuebles o entidades
préstamos o créditos, así como aquellas
comerciales, la gestión de fondos, valores
que, sin haber obtenido la autorización
u otros activos, la apertura o gestión de
como establecimientos financieros de
cuentas corrientes, cuentas de ahorros o
crédito, desarrollen profesionalmente
cuentas de valores, la organización de las
alguna actividad prevista en el artículo
aportaciones necesarias para la creación,
6.1 de la Ley 5/2015, de 27 de abril, de
el funcionamiento o la gestión de
fomento de la financiación empresarial, o
empresas o la creación, el funcionamiento
desarrollen actividades de concesión de
o la gestión de fideicomisos (“trusts”),
préstamos previstas en la Ley 5/2019, de
sociedades o estructuras análogas, o
15 de marzo, reguladora de los contratos
cuando actúen por cuenta de clientes
de crédito inmobiliario, así como las
en cualquier operación financiera o
personas dedicadas profesionalmente
inmobiliaria.
a la intermediación en la concesión de
préstamos o créditos. d. Las personas que, con carácter profesional
y con arreglo a la normativa específica
Profesionales necesarios o que que en cada caso sea aplicable, presten
prestan servicios a las empresas los siguientes servicios por cuenta de
o a la realización de una actividad terceros:
empresarial.
i. Constituir sociedades u otras personas
En este grupo se incluyen los siguientes jurídicas;
sujetos obligados:
ii. Ejercer funciones de dirección o de
a. Los auditores de cuentas, contables secretarios no consejeros de consejo
externos, asesores fiscales y cualquier de administración o de asesoría
otra persona que se comprometa a externa de una sociedad, socio de una
prestar de manera directa o a través asociación o funciones similares en
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 553
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 554
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 555
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 556
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 557
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
por trimestre natural supere los 3.000 ser personas menores de 18 años o
mayores de 70 años, pensionistas,
euros.
rentistas, estudiantes o amas de casa,
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 558
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
Los potenciales clientes que no pertenezcan cuando estén sometidas por la matriz
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 559
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 560
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 561
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
a los que no se les hayan podido aplicar las El artículo mencionado también establece
medidas de diligencia debida que hayamos especificidades para la identificación de
definido tanto en el momento de comenzar representantes, partícipes de entidades sin
nuestra relación como posteriormente. personalidad jurídica, fondos de inversión
y fideicomisos anglosajones (trust) u otros
El Real Decreto 304/2014, de 5 de mayo, por
instrumentos jurídicos análogos.
el que se aprueba el Reglamento de la Ley
10/2010, de 28 de abril, de prevención del Los documentos de identificación deberán
blanqueo de capitales y de la financiación del estar en vigor en el momento de establecer
terrorismo, en su artículo 6, establece los que relaciones de negocio o ejecutar operaciones
se considerarán documentos fehacientes, a ocasionales. Para las personas jurídicas, la
efectos de identificación formal: vigencia de los datos de la documentación
aportada la acreditarán mediante
Extranjeros
Españoles declaración responsable.
No EU-EEE EU/EEE
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 562
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
a. La persona o personas físicas por cuya de titulares reales todas las personas
cuenta se pretenda establecer una siguientes:
relación de negocios o intervenir en
e. El fideicomitente o fideicomitentes;
cualesquiera operaciones.
f. El fiduciario o fiduciaries;
b. La persona o personas físicas que en
g. El protector o protectores, si los
último término posean o controlen, directa
hubiera;
o indirectamente, un porcentaje superior
al 25% del capital o de los derechos de h. Los beneficiarios o, cuando aún estén
voto de una persona jurídica, o que por por designar, la categoría de personas
otros medios ejerzan el control, directo o en beneficio de la cual se ha creado o
indirecto, de una persona jurídica. actúa la estructura jurídica;
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 563
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
tener presente el artículo 9.1 del Reglamento, “Cuando establezcan relaciones de negocio
en el que se establece la obligación de o realicen operaciones ocasionales, las
identificación del titular real y la adopción de entidades previstas en el apartado 1 tendrán
medidas adecuadas en función del riesgo a a disposición de los sujetos obligados la
fin de comprobar su identidad con carácter información a la que se refiere este artículo,
previo al establecimiento de relaciones a fin de que se pueda dar cumplimiento a las
de negocio, la ejecución de transferencias obligaciones en materia de prevención del
electrónicas por importe superior a 1.000 blanqueo de capitales y de la financiación
euros o a la ejecución de otras operaciones del terrorismo.”
ocasionales por importe superior a 15.000
euros. De acuerdo con la Ley 10/2010 las personas
responsables de mantener la información
Además, el Reglamento establece que será actualizada sobre la titularidad real serán:
necesaria la acreditación de la titularidad
real mediante la obtención por parte de • El administrador único o los
• Fecha de nacimiento.
En este sentido, la Ley 10/2010 establece,
respecto a las obligaciones de las personas • Tipo y número de documento
jurídicas, lo siguiente: identificativo (en el caso de nacionales
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 564
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
• Criterio que cualifica a esa persona La regla general establece que los sujetos
como titular real. obligados recabarán previamente al
establecimiento de la relación de negocio,
• En caso de titularidades reales por
información del cliente, lo que en la práctica
propiedad directa o indirecta de
se traduce en cuestionarios bastante
acciones o derechos de voto, porcentaje
detallados o entrevistas personalizadas con
de participación, con inclusión, en
un responsable, exigiéndose la comprobación
el caso de propiedad indirecta, de la
de la actividad declarada en los siguientes
información sobre las personas jurídicas
supuestos:
interpuestas y su participación en cada
una de ellas. • Clientes con riesgo superior al promedio
por disposición o por análisis de riesgos
• Aquellos otros que, mediante norma
del sujeto.
reglamentaria, puedan determinarse.”
• Ausencia de correlación entre la actividad
La misma obligación se extiende a las
declarada por el cliente y la operativa
personas físicas o jurídicas residentes o con
desarrollada por el mismo.
establecimiento en España que actúen como
fiduciarios, gestionando o administrando • Supuestos de examen especial de
fideicomisos como el trust anglosajón y otros operaciones y/o comunicación por indicio.
tipos de instrumentos jurídicos análogos con
La comprobación de la actividad profesional
actividades en España.
o empresarial de los clientes se podrá realizar
Establecimiento del propósito e índole mediante visitas presenciales a las oficinas,
de la relación del negocio del cliente almacenes o locales declarados por el cliente
como lugares donde ejerce su actividad
Los sujetos obligados obtendrán información
mercantil, dejando constancia por escrito del
sobre el propósito e índole prevista de la
resultado de dicha visita.
relación de negocio, recabando para ello
información de sus clientes a fin de conocer El artículo 10.4 del Reglamento establece
la naturaleza de su actividad profesional o que se comprobará en todo caso la actividad
empresarial. declarada cuando concurran circunstancias
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 565
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 566
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 567
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
mismos ya que a priori tienen un perfil de cada vez nos encontramos con una mayor
riesgo superior al promedio. operativa en la que no existe un contacto
físico con el cliente.
• Analizar en profundidad las operaciones
que realizan y realizar un seguimiento El Reglamento establece en su artículo 21
especial de cuentas y transacciones. los requisitos para establecer relaciones
de negocios y realizar operaciones no
Asimismo, los sujetos obligados también
presenciales:
deberán prestar especial atención a
todo riesgo de blanqueo de capitales o • La identidad del cliente quede acreditada
de financiación del terrorismo que pueda de conformidad con lo dispuesto en
derivarse de productos u operaciones la normativa aplicable sobre firma
propicias al anonimato, o de nuevos electrónica.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 568
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
• La identidad del cliente quede acreditada documentación del proceso y los testeos de
mediante copia del documento de su eficacia que se hayan realizado por una
identidad, que corresponda, siempre persona con experiencia previa.
que dicha copia esté expedida por un
fedatario público. Durante el proceso de identificación, se
realizará la grabación con constancia
• El primer ingreso proceda de una cuenta de fecha y hora, siempre se tendrá que
a nombre del mismo cliente abierta en asegurar que la privacidad de la información.
una entidad domiciliada en España, en Sera necesario acreditar el documento
la Unión Europea o en países terceros identificativo y aportar una fotografía de
equivalentes. calidad.
• La identidad del cliente quede
El Informe de Experto Externo deberá revisar
acreditada mediante el empleo de
e incluir en su informe el funcionamiento de
otros procedimientos seguros de
este apartado.
identificación de clientes en operaciones
no presenciales, siempre que tales Corresponsalía bancaria
procedimientos hayan sido previamente transfronteriza
autorizados por el SEPBLAC.
Uno de los factores de mayor riesgo desde
En todo caso, en el plazo de un mes desde la perspectiva del blanqueo de capitales son
el establecimiento de la relación de negocios las operaciones que realizan las entidades
no presencial, los sujetos obligados deberán como corresponsales de otras entidades
obtener de estos clientes una copia de los bancarias. El hecho de que el cliente sea
documentos necesarios para practicar otra entidad financiera puede provocar que
la diligencia debida. Si no se aporta el
se relajen los controles o que consideremos
documento se debe bloquear o suspender la
que el riesgo es menor, pero, sin embargo,
relación de negocios en tanto no sea recibido.
al perder el contacto con el cliente final, el
El SEPBLAC publicó en 2016 y 2017 una guía riesgo que asumimos es mayor y deben
procesos de identificación de los clientes exigen una valoración adecuada del riego de
mediante videoconferencia y en general blanqueo de capitales.
medios telemáticos. Para poder llevarlos
En estos casos, es necesario establecer
a cabo se exigen una serie de requisitos
procedimientos internos que posibiliten
técnicos y procedimentales para asegurar
que el sujeto obligado realice las siguientes
que se realiza de forma segura, los indicamos
actuaciones:
de forma muy resumida.
• Conocer a la entidad con la que vamos a
Previamente, se debe realizar un análisis de
trabajar: sus actividades, su reputación y
los riesgos del nuevo canal y la tecnología
calidad de supervisión;
en la que se va a basar, aportando la
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 569
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 570
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 571
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
sospechosas;
Generación de alertas por un proceso
• Declaración regular de operaciones centralizado
(comunicación sistemática, como la DMO
Los sujetos obligados deben dotarse de un
o Declaración Mensual de Operaciones).
proceso que les permita detectar aquellas
La obligación genérica que tienen los operaciones de sus clientes que deben ser
sujetos obligados es examinar con especial analizadas por el riesgo de estar relacionadas
atención cualquier hecho u operación, con con operaciones de blanqueo de capitales o
independencia de su cuantía, que, por su aquellas operaciones que por su complejidad
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 572
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 573
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 574
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
Dos particularidades respecto a este deber: 228 Para ello, el notario recabará del cliente los datos precisos para
valorar la concurrencia de tales indicadores o circunstancias en
la operación.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 575
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
Algunas que pueden llevarse a cabo son: la decisión final sobre si comunicar o no
al SEPBLAC corresponderá al Órgano de
• Consultar y revisar todas las operaciones
Control Interno, como máximo responsable
realizadas por el cliente como titular o
en materia de prevención del blanqueo de
interviniente;
capitales y financiación del terrorismo y la
• Solicitar información sobre la operación: proliferación.
facturas, certificados de exportación, etc;
El procedimiento de control interno deberá
• Consultar bases de datos de información
económica; prever la forma en que se debe tomar esta
decisión, que en todo caso siempre se
• Búsqueda a través de fuentes públicas: Internet,
deberá tomar por mayoría de sus miembros,
registros públicos, prensa, RRSS, etc.
debiendo constar de forma expresa en el
acta de la reunión el sentido y la motivación
Las conclusiones del examen especial
del voto de cada uno de ellos.
deben quedar recogidas en un informe que
determine la razonabilidad de las operaciones En el caso de que la decisión sea la de realizar
la comunicación al SEPBLAC, ésta debe
realizarse sin demora y debe ir acompañada
229 Regulado en el artículo 17 de la Ley 10/2010 y en el artículo 25 del
Real Decreto 304/2014. de medidas que mitiguen el riesgo, tales como
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 576
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
Los sujetos obligados comunicarán, por que tengan relación con el BC, o con sus
iniciativa propia, cualquier hecho u operación, delitos precedentes o con la FT, incluyendo
incluso la mera tentativa, respecto al que, tras aquellos casos que muestren una falta
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 577
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 578
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 579
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 580
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
En todo caso, los registros donde se encuentre de riesgo, y así ́ luchar contra el blanqueo de
la documentación recogida deberán permitir capitales y la financiación del terrorismo.
la reconstrucción de las operaciones
Los sujetos obligados deberán aprobar
realizadas y asegurar su adecuada gestión
por escrito y aplicar dichas políticas y
y disponibilidad, tanto a efectos de control
procedimientos. Con carácter general,
interno como de atención en tiempo y forma
deberán ser aprobados por su órgano
a los requerimientos de las autoridades.
de gobierno (para sujetos obligados cuyo
14.6.4. Medidas de control interno volumen de negocios anual supere los 50M
€ o cuyo balance general anual supere los
La normativa sobre prevención del blanqueo
43M € existe la posibilidad de que sea el
de capitales incluye la obligación de que los
propio OCI de PBCyFT el que apruebe estos
sujetos obligados tengan una estructura
procedimientos).
interna adecuada, que deberá contar como
mínimo con los siguientes elementos: Los procedimientos de control interno
deberán permitir al sujeto obligado:
Manual de Prevención del Blanqueo
de Capitales y de la Financiación a. Centralizar, gestionar, controlar
del Terrorismo. y almacenar de modo eficaz la
documentación e información de los
Estructura de organización interna.
clientes y de las operaciones que se
Examen del experto externo. realicen.
dotado para cumplir con sus obligaciones e. Determinar, con carácter previo, si
en materia de prevención del blanqueo de procede el conocimiento y verificación de
capitales. la actividad profesional o empresarial del
cliente.
Este elemento tiene un carácter preventivo y
debe poner en conocimiento de los miembros f. Detectar cambios en el comportamiento
de una organización, con la finalidad de que operativo de los clientes o inconsistencias
todos sepan cómo actuar ante operaciones con su perfil de riesgo.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 581
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
g. Impedir la ejecución de operaciones financiación del terrorismo, que: (i) deberá ser
cuando no consten completos los datos actualizado periódicamente y siempre que
obligatorios del cliente o de la operación. sea necesario, (ii) deberá ser comunicado y
conocido por todos sus empleados o agentes
h. Impedir la ejecución de operaciones por
del sujeto obligado y (iii) deberá estar, en todo
parte de personas o entidades sujetas a
caso, a disposición del SEPBLAC.
prohibición de operar.
Dichas medidas de control podrán
i. Seleccionar para su análisis operaciones
establecerse a nivel de grupo, siempre que
en función de alertas predeterminadas y
dicha decisión se comunique al SEPBLAC,
adecuadas a su actividad.
especificando los sujetos obligados
j. Mantener una comunicación directa del comprendidos dentro de la estructura del
OCI con la red comercial. grupo y teniendo en cuenta que el Manual
k. Atender de forma rápida, segura y eficaz interno deberá hacer mención a los diferentes
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 582
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 583
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 584
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 585
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
todos los temas tratados, así como de las obligados comprendidos en el apartado i) y
decisiones adoptadas. En particular, por siguientes del artículo 2.1 de la Ley 10/2010,
cada reunión se deberá levantar un acta y en los corredores de seguros cuando, con
de los acuerdos adoptados. inclusión de los agentes, ocupen a menos
de 50 personas y cuyo volumen de negocios
• Elaboración de una relación de
anual o cuyo balance general anual no supere
documentos, informes, presentaciones,
los 10M de euros.
etc. que, en materia de prevención,
hayan sido remitidos a los órganos de En el caso de que el sujeto obligado
administración o alta dirección del sujeto pertenezca a una de las categorías incluidas
obligado. en el mencionado artículo y que, al mismo
tiempo, no cumpla con los umbrales previstos,
• Elaboración periódica, al menos
las funciones del OCI serán ejercidas por el
anualmente, de un informe o memoria
Representante ante el SEPBLAC.
explicativa que contenga las actuaciones
e información estadística más relevantes
No obstante, la mencionada excepción no
que, en materia de prevención,
resultará de aplicación a aquellos sujetos
se hayan producido en el periodo
obligados que integren un grupo empresarial
considerado (ej. cambios significativos
que supere dichos umbrales. De esta forma
en los procedimientos; implantación de
quedan exceptuadas de tal obligación aquellas
nuevas aplicaciones informáticas; datos
entidades que, conforme a los criterios
estadísticos sobre el número de alertas,
establecidos en la Recomendación 2003/361
de operaciones objeto de un análisis
de la Comisión de la Unión Europea sobre
especial, de comunicaciones realizadas al
la definición de microempresas, pequeñas
SEPBLAC, de solicitudes o requerimientos
y medianas empresa, se consideren como
de información recibidos; proceso de
Microempresas y Pequeñas empresas.
implantación de las mejoras indicadas
por los revisores externos al sistema de Por último, se subraya que,
prevención; etc.) independientemente del número de
personas ocupadas y del volumen de
No obstante, existen excepciones: no todos
negocios anual o del balance general anual,
los sujetos obligados han de establecer
no tendrán la obligación de establecer un
un OCI; de hecho, el apartado 7 del art. 26
OCI los notarios y los registradores de la
ter de la Ley 10/2010 prevé que quedarán
propiedad, mercantiles y de bienes muebles,
exceptuados de dicha obligación aquellas
contando tales profesiones colegiadas con
categorías de sujetos obligados que se
sus respectivos OCP.
determinen reglamentariamente.
La Unidad Técnica de Prevención
En concreto, el art. 35, apartado 2 del Real
Decreto 304/2014 prevé que la constitución Reglamentariamente se ha establecido
del OCI no es preceptiva para aquellos sujetos que los sujetos obligados cuyo volumen de
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 586
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 587
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
que con inclusión de los agentes ocupen a clientes, política de admisión de clientes,
menos de 10 personas y cuyo volumen de medidas adicionales y procedimientos de
negocio anual o cuyo balance genera anual verificación de transacciones;
no supere los 2M de euros, salvo que estén
• Conservación de la documentación;
integrados en un grupo empresarial que
superen dichas cifras. • Detección, análisis y comunicación
de operaciones susceptibles de estar
Los resultados del examen deben ser
vinculadas con el BC-FT;
consignados en un informe escrito que
detallará las medidas de control existente, • Declaración mensual obligatoria de
valorando su operativa y propondrá operaciones, en el caso de que resulte de
modificaciones o mejoras. aplicación;
dentro de los dos meses siguientes a la fecha • Formación de empleados y directivos del
de referencia. Es obligatorio que el órgano de sujeto obligado;
administración sea informado del informe y
• Filiales, sucursales, agentes u otros
de las recomendaciones recogidas.
mediadores;
El informe debe incluir:
• Procesos de auditoría y verificación
• Datos generales de la entidad y del interna.
experto externo;
La normativa permite que como máximo
• Información sobre el sujeto obligado y la durante los dos años posteriores a la revisión
normativa interna del mismo (descripción, del experto, este pueda ser sustituido por
valoración de la eficacia operativa, un informe de seguimiento. Este informe de
deficiencias detectadas, rectificaciones y seguimiento debe ser emitido por el mismo
mejoras propuestas); experto y se limita a revisar las medidas
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 588
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
de comenzar la actividad, pero sin que Los sujetos obligados aprobarán un plan
esta comunicación suponga la autorización anual de formación en materia de prevención
previa por este o cualquier otro organismo. de blanqueo de capitales y de la financiación
Los órganos de administración del sujeto del terrorismo. El plan de formación se
obligado adoptarán sin dilación las medidas fundamentará en los riesgos identificados
necesarias para solventar las deficiencias en el informe de análisis del riesgo y preverá
identificadas en los informes de experto acciones formativas específicas para los
externo. En el caso de deficiencias que no directivos, empleados y agentes del sujeto
sean susceptibles de resolución inmediata, obligado. Tales acciones formativas deberán
los órganos de administración del sujeto ser acreditadas y los sujetos obligados
obligado adoptarán, expresamente, un plan documentarán el grado de cumplimiento del
de acción/remediación que establecerá un plan de formación.
calendario preciso para la implantación de
las medidas correctoras. Dicho calendario no El examen de experto externo mencionado
que los sujetos obligados disponen de las representante ante el SEPBLAC ha recibido
políticas adecuadas para que sus filiales formación externa adecuada para el ejercicio
Tal y como establece la Ley 10/2010, los Si bien las infracciones graves y muy graves se
sujetos obligados adoptarán las medidas encuentran establecidas de manera expresa
oportunas para que sus empleados tengan en la norma, las infracciones leves no lo
conocimiento de las exigencias derivadas de están. Así pues, serán leves todos aquellos
la normativa de prevención de blanqueo de incumplimientos que no se consideren graves
capitales y financiación del terrorismo. o muy graves.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 589
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 590
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 591
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
Amonestación privada.
Amonestación pública.
Multa entre un mínimo de 60.000 Existe la posibilidad de que a pesar de
euros y un máximo hasta la mayor haberse impuesto la sanción no se realice
de las siguientes cifras:
la amonestación pública cuando puede
- 10% del volumen de negocio
perjudicar a una investigación en marcha
Grave - El tanto del contenido económico
o poner en peligro la estabilidad de los
de la operación, más un 50%
- Triple de los beneficios mercados financieros, pudiendo retrasarse
- 5.000.000 euros. o no hacerse pública de forma definitivo.
Tratándose de entidades sujetas
a autorización administrativa para
operar, suspensión temporal.
Amonestación privada.
Leve Multa por importe de hasta 60.000
euros.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 592
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 593
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
• El origen del concepto y expresión de “blanqueo de capitales” se puede rastrear, como una gran
parte de los conceptos en el ámbito de Compliance, al escándalo Watergate y a las consecuencias del
mismo. Es en ese momento en el que esta expresión y concepto comienza a ganar popularidad en los
medios y a ser habitual.
• No obstante lo anterior, no es hasta la década de los 80, y centrados en la lucha contra el tráfico de
drogas, cuando este concepto pasa a dominar los debates y la actividad preventiva y represiva de los
estados y centra la actividad de los organismos internacionales (creación del GAFI, incorporación a los
códigos penales, creación de las Unidades de Inteligencia Financiera, etc).
• El objetivo principal de la lucha contra el blanqueo de capitales es convertirse en una herramienta clave
para combatir la delincuencia organizada, dificultando el acceso al sistema financiero -y, por tanto,
al disfrute- de los beneficios obtenidos ilícitamente. No obstante, se han incorporado también otros
ámbitos, como la lucha contra el terrorismo (dificultando su financiación) y contra la proliferación de
Armas de Destrucción Masiva.
• A pesar de combatirse en las empresas y sujetos obligados por los mismos actores (esencialmente,
Compliance), cabe señalar que existen múltiples diferencias entre estos tres ámbitos: blanqueo de
capitales (BC), financiación del terrorismo (FT), financiación de la proliferación (FP); notablemente en su
origen, objetivo, actores implicados, fases, estrategias, cantidades y tipo de proceso, por nombrar los
más significativos.
• Respecto de las fases, hay que conocer que las tradicionales del BC (que son tres: colocación,
encubrimiento e integración) no se corresponden con las cuatro fases de la FT (recaudación/
obtención, depósito, trasferencia y uso) o las tres de la FP (recaudación/obtención, ocultación,
adquisición y envío). Asimismo, mientras en el BC el proceso es de tipo circular (el dinero sale y regresa
al mismo actor), en el FT y FP es más bien linear y no necesariamente iterativo sino puntual.
• En relación a los hitos normativos internacionales, podemos remitirnos a alguna normativa de principios
de los 80 como la Recomendación 10 del Consejo de Europa (1980) o a la Declaración de Principios de
Basilea (1988), pero las más importantes, por su impacto, fueron sin duda la Convención de las Naciones
Unidas contra el tráfico ilícito de estupefacientes y sustancias psicotrópicas (1988) y, sobre todo, las
denominadas 40 Recomendaciones del GAF (1989).
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 594
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
Transnacional en 2000 o Contra la Corrupción en 2003) han constituido también avances reseñables.
• Respecto a la Unión Europea, es preciso señalar que la evolución de la normativa ha sido similar y ha ido
en paralelo, habiéndose aprobado hasta 6 directivas en este ámbito: 1991, 2001, 2005, 2015 y dos en
2018, lo que da una idea de cómo ha evolucionado y cómo se han acelerado las medidas.
• Respecto de los actores internacionales que realizan un papel relevante en estos ámbitos, podemos
destacar al Comité de Supervisión Bancaria de Basilea (1974); el Grupo de Acción Financiera
Internacional, GAFI (1989); Grupo Egmont de Unidades de Inteligencia Financiera (1995); el Comité
de Expertos en Evaluación de Medidas contra el Blanqueo de Capitales el Financiación del Terrorismo -
Moneyval (1997) y el Grupo Wolfsberg (1999). De todos ellos, el de mayor relevancia y que constituye una
referencia internacional es el GAFI.
• En España, los organismos más relevantes son la Comisión de Prevención del Blanqueo de Capitales e
Infracciones Monetarias y su Servicio Ejecutivo (la Unidad de Inteligencia Financiera española, SEPBLAC),
encargadas de supervisar la ejecución de las normas relativas al BC, FT y FP, y particularmente la Ley
10/2010 de Prevención de Blanqueo de Capitales y su reglamento de desarrollo (RD 304/2014)
• Los sujetos obligados en materia de BC, FT y FP se pueden agrupar en cuatro tipos, que son: entidades
financieras; profesionales que prestan ciertos servicios; actividades susceptibles de emplearse en el BC y
personas y entidades extranjeras que presten en España servicios análogos a los de los sujetos obligados
anteriores.
• La Ley 10/2010 establece que los sujetos obligados aprobarán por escrito y aplicarán una política expresa
de aceptación de clientes. Dependiendo del perfil de riesgo del cliente, se aplicarán unas u otras medidas:
desde la no aceptación del cliente a la aplicación de medidas reforzadas, normales o simplificadas.
• Asimismo, la normativa sobre prevención del BC incluye la obligación de que los sujetos obligados tengan
una estructura interna adecuada, que tendrá los siguientes elementos mínimos: Manual de Prevención
del BC/FT; estructura de organización interna; examen del experto externo y formación de empleados.
• Las sanciones contarán con tres elementos: Publicidad, importe económico y restricciones o limitaciones
de actividad.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 595
Módulo 15
Defensa de la
competencia
MÓDULO 15 • DEFENSA DE LA COMPETENCIA
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 597
MÓDULO 15 • DEFENSA DE LA COMPETENCIA
• El control estructural de
concentraciones de empresas o activos.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 598
MÓDULO 15 • DEFENSA DE LA COMPETENCIA
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 599
MÓDULO 15 • DEFENSA DE LA COMPETENCIA
Acuerdos o prácticas
Precisamente la doctrina de los efectos
concertadas (TFUE y LDC) implica que el derecho de la competencia
Jueces de lo Abuso de posición de se pueda aplicar de forma extraterritorial,
Nacional mercantil y dominio (TFUE y LDC)
por ejemplo, a los acuerdos celebrados en
de lo civil Conductas desleales (LDC)
terceros estados si estos afectan al comercio
Demanda de daños (LDC y
LEC) dentro de la Unión Europea234. Ahora bien,
Autoridad
concertadas (LDC) nacional y el europeo, siempre prevalece la
Regional regional de Abuso de posición de normativa comunitaria, tal y como establece
competencia dominio (LDC)
el art. 3.2 del R 1/2003.
Conductas desleales (LDC)
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 600
MÓDULO 15 • DEFENSA DE LA COMPETENCIA
Las autoridades pueden entre otros acceder Esta fue la leyenda que advirtieron los inspectores
a ordenadores, dispositivos móviles, al regresar la mañana del 30 de mayo de 2006.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 601
MÓDULO 15 • DEFENSA DE LA COMPETENCIA
SANCIONES
que podrá ascender hasta el 10% del a cinco grandes fabricantes de camiones (Iveco,
DAF, Volvo-Renault, Daimler y MAN). No obstante,
volumen de negocios total de la empresa
las sanciones más elevadas impuestas jamás a una
infractora en el ejercicio inmediatamente
sola compañía corresponden a Google, que fue
anterior. Además. estas multas se pueden
sancionada en 2017 con 2,7 y a 4.340M en 2018.
llegar a imponer incluso en aquellos
Fuentes: Resolución CNMC (Expte. S/DC/0504/14 AIO);
casos en que una determinada conducta
Resumen de la Decisión de la Comisión de 19 de julio de
anticompetitiva no haya llegado a producir
2016 relativa a un procedimiento en virtud del artículo
efectos en el mercado. 101 del Tratado de Funcionamiento de la Unión Europea
y del artículo 53 del Acuerdo EEE (Asunto AT.39824 —
• Multas a título individual a directivos
Camiones) (2017/C 108/05); Antimonopolio: La Comisión
y representantes legales de empresas impone a Google una multa de cerca de 4,34 miles de
infractoras: Los propios directivos millones EUR por prácticas ilegales en relación con los
responsables de empresas que han dispositivos móviles Android para reforzar la posición
gran daño para la reputación del directivo parte en esa relación contractual, podrá
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 602
MÓDULO 15 • DEFENSA DE LA COMPETENCIA
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 603
MÓDULO 15 • DEFENSA DE LA COMPETENCIA
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 604
MÓDULO 15 • DEFENSA DE LA COMPETENCIA
238 Sobre este concepto, véase A. Calvo Caravaca, Derecho Antitrust En la práctica, la determinación del mercado
Europeo, Tom I Parte General, La Competencia, 2009, p. 180 y ss.
relevante implica trabajar con un experto
239 Véase la sentencia Prysmian y Goldmann Sachs (GS), donde el
tribunal confirma la responsabilidad de la sociedad de inversión
GS por la conducta llevada a cabo por un fabricante de cables en
240 Diario Oficial n° C 372 de 09/12/1997 p. 0005 – 0013
el que GS ostenta una participación cercana al 100% del capital
social: STGUE, 12/07/2018, Prysmian vs Comisión, T 475/14. 241 Idem anterior.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 605
MÓDULO 15 • DEFENSA DE LA COMPETENCIA
La conducta de un solo empleado que se Todas las empresas deben actuar de forma
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 606
MÓDULO 15 • DEFENSA DE LA COMPETENCIA
Dentro del concepto de restricción a la libre Por ejemplo, ciertas restricciones verticales
competencia se incluyen: pueden ayudar al fabricante a introducirse
en un nuevo mercado o evitar la situación
• Las conductas que restringen la
por la que un distribuidor se aprovecha
competencia, tanto entre las partes de un
gratuitamente de los esfuerzos promocionales
acuerdo colusorio (competencia interna,
de otro distribuidor (free riding).
es decir, acuerdos de especialización y,
por tanto, reparto de mercado entre Igualmente, los acuerdos de cooperación
dos empresas), como los que producen horizontal pueden conllevar eficiencias
efectos frente a terceros (competencia y por ejemplo a mejorar la producción o
externa, es decir, fijación de precios de la distribución de los productos cuando
reventa o boicot frente a un tercero). las partes tienen conocimientos, activos
• Acuerdos entre empresas que se o actividades que se complementan, ya
encuentran en un mismo nivel del proceso que pueden concentrarse en la fabricación
productivo (acuerdos horizontales o de determinados productos y trabajar así
cárteles, es decir, reparto de mercado o de forma más eficiente, ofreciendo los
clientes) o los que se hallan en distintos productos a precios más ventajosos para los
niveles del proceso productivo (acuerdos consumidores.
verticales, es decir, fijación de precio de
Por todo lo anterior, un acuerdo que tenga
reventa).
efectos restrictivos de la competencia puede
• Restricciones a la competencia actual y estar permitido si cumple con determinados
potencial. requisitos y el TFUE y la LDC ofrecen una
salida a aquellos acuerdos que compensen
• Restricciones a la competencia, tanto
cualquier efecto anticompetitivo que se
intermarca (entre marcas distintas), como
derive de los mismos. Esta excepción se
intramarca244 (en una misma marca).
puede aplicar de dos formas distintas:
• Restricciones tanto a la producción
y distribución de bienes como de la a. Exenciones por categorías o
prestación de servicios. autorizaciones en bloque: Esta opción,
muy común con respecto a la normativa
15.3.5. Excepción legal y exención europea, supone la existencia de un
por categorías determinado reglamento que autoriza
ciertas categorías de acuerdos a pesar
Las restricciones horizontales o verticales no
de que los mismos pueden generar
tienen por qué tener sólo efectos negativos,
restricciones a la competencia horizontal
sino que también pueden generar efectos
o vertical, siempre y cuando se cumplan
positivos para el mercado que contrarresten
las condiciones establecidas en los
los efectos negativos.
mismos. Precisamente estos reglamentos
244 Veáse Dec. Com, 29/06/2001, Volkswagen, DO L 262, de 2 de oc- autorizan ciertos acuerdos porque
tubre de 2001
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 607
MÓDULO 15 • DEFENSA DE LA COMPETENCIA
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 608
MÓDULO 15 • DEFENSA DE LA COMPETENCIA
Caso de estudio XVI: Cártel de coches de que se han recibido correos electrónicos
alquiler sin haber manifestado oposición expresa
La CNMC sancionó a AVIS por participar en un cártel a su contenido, simples apuntes a mano
de vehículos de alquiler, decisión que recurrió y en una agenda sobre lo discutido en una
cuestionó la empresa. llamada telefónica, la existencia de actas
de reuniones sin firmar, etc (como en el
AVIS alegaba que no podía sustentarse la sanción
Caso de estudio de AVIS247).
sobre un solo documento, de un tercero (presentado
por GOLDCAR, competidora) y referido a una única ii. Los acuerdos tácitos se pueden
reunión del cártel, no siendo prueba suficiente para
manifestar también en el ámbito de los
imputarle una infracción del art. 1 de la LDC (…).
contratos de distribución, por ejemplo,
Pero la CNMC opinaba de forma diferente, ya que cuando el fabricante da instrucciones
si bien sólo se acreditó la presencia de AVIS en la relativas a la política comercial a
reunión del cártel celebrada en la sede malagueña
su red, constituyendo una práctica
de AESVA el 30/03/201, y esa era la única reunión
anticompetitiva la mera pertenencia a
en la que está acreditada la participación de AVIS,
dicha red comercial.
también se trataba de la última de las reuniones
documentadas del cártel. En este sentido, se puede mencionar la
Además, AVIS estaba representada en esa reunión sentencia del TJUE Volkswagen/Comisión,
por el directivo que ella consideró adecuado (por C-338/00 P,EU:C:2003:473, que en su
lo que no cabe admitir falta de representatividad). apartado 58 indica:
Asimismo, en ningún momento este directivo,
durante o con posterioridad a la reunión, manifestó “(…) sólo muestra que un acto aparentemente
su oposición al acuerdo de precios mínimos (objeto unilateral (como una exhortación dirigida
de la reunión), así como a las medidas de presión por un constructor de automóviles a sus
que se acordaron contra las empresas que lo concesionarios o el abastecimiento unilateral
estaban incumpliendo. Por tanto, cabe inferir que de éstos por el fabricante) constituye en
AVIS participaba también en el referido acuerdo
realidad un acuerdo cuando forma parte
(…)”.
de un conjunto de relaciones comerciales
Fuente: Historial del expediente VS/0380/11 y continuadas reguladas por un acuerdo
relacionados S/0380/11
general adoptado anteriormente (véanse
las sentencias antes citadas Ford/Comisión
A continuación, se indican distintas formas y Bayerische Motorenwerke, mencionadas
que pueden adoptar concierto de voluntades: en el apartado 236 de la sentencia
recurrida) o cuando los concesionarios
i. Las autoridades de competencia
han dado su acuerdo al adoptar un cierto
consideran como indicios de la comisión
comportamiento como reacción al acto
de una conducta anticompetitiva cuando
de que se trate (véase la sentencia BMW
haya constancia de que se ha asistido a
Belgium y otros, antes citada).”
reuniones, aún sin haber participado, de
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 609
MÓDULO 15 • DEFENSA DE LA COMPETENCIA
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 610
MÓDULO 15 • DEFENSA DE LA COMPETENCIA
una conducta como infracción por objeto puede tener una influencia, directa
hace innecesario el examen de los efectos o indirecta, real o potencial en las
reales o potenciales del mismo por las corrientes comerciales entre EEMM.
autoridades de competencia, y su simple
- Apreciabilidad: la prohibición no
existencia sirve para que la conducta sea
se aplicará a los acuerdos que no
sancionable.
puedan en principio afectar de forma
• Efecto: Este elemento se refiere a aquellos apreciable al comercio entre EEMM
supuestos en los que la finalidad del cuando:
acuerdo, decisión o práctica concertada
» la cuota de mercado conjunta de
no es una lesión a la competencia,
las partes en cualquier mercado
pero pese a ello, como consecuencia
de referencia en la UE afectado
de la concertación y en atención al
por el acuerdo no es superior al 5
contexto y a las diversas circunstancias
%; y
concurrentes, se origina dicho perjuicio
de la competencia. » en el caso de acuerdos
horizontales, el volumen de
• Impedir, restringir o falsear la competencia:
negocios total anual en la
la adopción de acuerdos, decisiones o
Unión Europea de las empresas
la realización de prácticas concertadas
interesadas correspondiente a
supone generalmente una limitación
los productos cubiertos por el
a la libertad de actuación de los
acuerdo no es superior a 40M de
empresarios en el mercado, que altera
euros251.
el funcionamiento de éste, distorsionado
las condiciones en que se desarrollaría la Además, hay que tener en consideración
competencia. el carácter significativo de la restricción de
competencia, que se aplica a los acuerdos,
• Afectación del comercio entre Estados
decisiones o prácticas concertadas que
miembros / afectación de todo o de parte
produzcan importantes efectos lesivos
del mercado nacional:
para la competencia. Quedan fuera de este
Este elemento determina si la conducta concepto los acuerdos de menor importancia
anticompetitiva se encuentra cubierta por y cuyos efectos sobre la competencia no son
la normativa europea o por la normativa sensibles. Para ello, la regla de minimis252
nacional250. define, con la ayuda de umbrales de cuota
- Comercio: el comercio abarca toda de mercado, lo que no se considera una
actividad económica transfronteriza. restricción sensible de la competencia.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 611
MÓDULO 15 • DEFENSA DE LA COMPETENCIA
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 612
MÓDULO 15 • DEFENSA DE LA COMPETENCIA
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 613
MÓDULO 15 • DEFENSA DE LA COMPETENCIA
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 614
MÓDULO 15 • DEFENSA DE LA COMPETENCIA
El falseamiento de la competencia en
licitaciones públicas no sólo es una de las
principales prioridades de la CNMC, sino que
puede constituir un ilícito penal.
- Posturas encubiertas: los miembros del
acuerdo designados previamente para no
Caso de estudio XIX: Halcón Viajes y Barceló
ganar la licitación presentan ofertas que
Viajes
no tienen ninguna posibilidad de ganar.
La CNMC multó en dos ocasiones a las empresas
Estas ofertas, conocidas bajo distintas Halcón Viajes y Barceló Viajes (S/476/99 y
denominaciones “de resguardo”, SNC/007/16 Agencias de Viajes) por incurrir
“complementarias”, “simbólicas”, entre en prácticas anticompetitivas al participar en
otras, pueden adoptar diversas formas, concursos públicos relativos a los viajes del Instituto
pueden aceptar presentar una oferta Dichas prácticas sancionadas consistieron en:
demasiado elevada para ser tenida en
• Acordar con otras dos agencias de viajes
cuenta, o lo suficientemente alta para
la presentación de ofertas idénticas con la
superar a la acordada como ganadora, o
finalidad de repartirse la ejecución de los
incluir en su oferta términos especiales contratos con independencia del resultado de
difícilmente aceptables por el órgano la licitación;
contratante. De esta manera consiguen
• Concurrir en UTE a varias licitaciones sin que
señalar la oferta ganadora y dar apariencia
exista una justificación objetiva, pues ambas
de legitimidad al proceso.
empresas estaban en condiciones y disponían
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 615
MÓDULO 15 • DEFENSA DE LA COMPETENCIA
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 616
MÓDULO 15 • DEFENSA DE LA COMPETENCIA
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 617
MÓDULO 15 • DEFENSA DE LA COMPETENCIA
• Entrevistar a los participantes después de las en I+D entre competidores puede servir
reuniones. para restringir la competencia, por
ejemplo, si tiene como efecto el reducir
• Dar publicidad y transparencia de las reuniones
o retrasar la innovación, haciendo
en la medida de lo posible.
que llegue al mercado un número de
260 Directrices sobre la aplicabilidad del artículo 101 del TFUE a los
acuerdos de cooperación horizontal (2011/C 11/01).
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 618
MÓDULO 15 • DEFENSA DE LA COMPETENCIA
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 619
MÓDULO 15 • DEFENSA DE LA COMPETENCIA
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 620
MÓDULO 15 • DEFENSA DE LA COMPETENCIA
prohibidas que pueden conllevar la nulidad Caso de estudio XX: Imposición de precios
con efectos retroactivos de las cláusulas artículos electrónicos
contractuales que las establezcan: En julio de 2018, la Comisión Europea impuso
sanciones por un importe total de 111M de euros
• Fijación de precios de reventa: El objeto
a ASUS, Denon&Marantz, Philips y Pioneer por
directo o indirecto de este tipo de
imponer los precios de reventa de sus productos
restricciones es el establecimiento de
electrónicos a diversos distribuidores que vendían
un precio o nivel de precio de reventa sus productos a través de internet.
fijo o mínimo al que debe ajustarse el
Las cuatro compañías realizaron actividades
distribuidor, limitando su libertad de
conocidas como “mantenimiento de precios de
decisión sobre sus propios precios. La
reventa fijos o mínimos (RPM)” restringiendo la
prohibición no incluye, en principio, capacidad de los minoristas para fijar sus propios
las recomendaciones de precio ni el precios de venta al por menor en Internet de
establecimiento de precios máximos, electrónica de consumo.
siempre y cuando no sirvan de referencia
Si los minoristas no se plegaban a la política
para minoristas y distribuidores y por de precios de los fabricantes, se enfrentaban a
tanto desemboquen en una pura práctica amenazas o sanciones, como el bloqueo de los
de fijación de los precios. suministros. Muchos de los minoristas utilizaban
algoritmos de fijación de precios que adaptan
A continuación se presentan los
automáticamente los precios de venta al público
principales ejemplos: la fijación por parte al de sus competidores. Limitando los precios
del proveedor de un límite máximo al mínimos, el impacto obtenido por los fabricantes
descuento que el distribuidor puede se ampliaba (por el efecto sobre estos algoritmos).
ofrecer partiendo de un determinado nivel
Además, los fabricantes usaban un sofisticado
de precios establecidos, los acuerdos por sistema de vigilancia de precios, que les permitía
los que se fija el margen de distribución, hacer un seguimiento eficaz de precios e intervenir
las amenazas, boicots, intimidaciones, rápidamente.
advertencias, suspensión de entregas
Todas las empresas sancionadas reconocieron su
o resolución de contratos en relación
participación y aceptaron las sanciones impuestas,
con la observancia de un determinado lo que supuso una reducción del importe final de
nivel del precios (por ejemplo, listas de las multas.
precios recomendados) o la concesión de
Fuente: Antitrust: Commission fines four consumer
descuentos y bonificaciones a cambio de electronics manufacturers for fixing online resale prices.
respetar “precios recomendados”.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 621
MÓDULO 15 • DEFENSA DE LA COMPETENCIA
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 622
MÓDULO 15 • DEFENSA DE LA COMPETENCIA
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 623
MÓDULO 15 • DEFENSA DE LA COMPETENCIA
Una empresa dominante también puede después subir sus precios aprovechándose
justificar una conducta que da lugar a una de su situación monopolística, dado que
exclusión de competidor del mercado alegando cada venta le ocasiona una pérdida (…)”.
eficiencias suficientes para garantizar que es
• Acuerdos de marca única o compra
probable que los consumidores no sufran
exclusiva: Obligación de compra
ningún perjuicio neto.
exclusiva que se impone a un cliente de
A continuación, se indican las características un determinado mercado a comprar
de los principales tipos de abuso de posición exclusivamente, o en gran parte, a la
dominante, si bien se trata de un listado empresa dominante.
no exhaustivo y tanto la Comisión Europea
• Descuentos condicionales: Los
como la CNMC han aplicado estas normas a
descuentos condicionales se conceden
conductas no mencionadas entre los casos
a los clientes para recompensarlos por
indicados:
una determinada pauta de conducta de
compra. Se puede tratar de descuentos
retroactivos o sobre aquellas compras
que superen un determinado umbral.
En este sentido, cabe mencionar la Android era y es utilizado por casi todos los
jurisprudencia existente, como la del TJUE en fabricantes de teléfonos, excepto Apple. La Comisión
el asunto Akzo Chemie vs Comisión, donde el estudió durante tres años si Google había utilizado
su posición privilegiada para promocionar sus
tribunal indica que:
propias aplicaciones y superar a sus competidores.
“(…) una empresa dominante no tiene ningún En 2016, la Comisión acusó a Google de abusar
interés en aplicar tales precios, de no ser el de su posición en el mercado y le sancionó con la
de eliminar a sus competidores para poder mayor multa impuesta hasta la fecha.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 624
MÓDULO 15 • DEFENSA DE LA COMPETENCIA
Fuente: Antitrust: Commission fines Google €4.34 billion - Ejemplo 2: El propietario de una
for illegal practices regarding Android mobile devices to
infraestructura se niega a compartirla
strengthen dominance of Google’s search engine
con terceros. Alguna infraestructuras,
como los puertos, aeropuertos, redes
Existen conductas similares a la
ferroviarias y de telecomunicaciones,
“vinculación” denominadas “bundling” que
que requieren inversiones masivas y
en ocasiones podrán estar permitidas si su de duplicación es económicamente
suponen un beneficio para el consumidor inviable (“monopolios naturales”). Si
y no provocan el cierre del mercado. En se dan estas circunstancias, el único
cualquier caso, y debido a la complejidad modo de crear competencia a través
del análisis a realizar, se recomienda la de estas infraestructuras es abriendo
revisión ex ante si la empresa cuenta con el acceso a las mismas terceras
una posición fuerte o de dominio en el empresas (véase al respecto doctrina
mercado. de las essential facilities).
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 625
MÓDULO 15 • DEFENSA DE LA COMPETENCIA
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 626
MÓDULO 15 • DEFENSA DE LA COMPETENCIA
Caso de estudio XXIV: Fabricantes de precios más elevados, una menor calidad
ascensores de los productos, un nivel de producción
La CNMC multó con cerca de 5M de euros a cuatro reducido, un esfuerzo menor de innovación,
empresas fabricantes e instaladores de ascensores posibilidades realistas de exclusión o, en
(Zardoya Otis, Schindler, Eninter, e Imem, si bien definitiva, un reducción en el bienestar de los
las dos primeras eran multadas con casi el total -el consumidores y de la eficiencia económica.
97%- del importe global de la sanción) por enviar
una carta a las comunidades de propietarios en Al tratarse de un régimen de control ex
la que se “advertía” de los riesgos de contratar el ante, las empresas tienen la obligación de
mantenimiento de los ascensores con empresas no notificación previa de una potencial operación
fabricantes. de concentración para que la misma sea
A juicio de la CNMC, las comunicaciones autorizada por la autoridad de competencia
desacreditaban, menospreciaban o denigraban a correspondiente.
los competidores en el mercado de mantenimiento
y reparación de ascensores, apelando a los riesgos La obligación de notificación existe cuando se
inherentes en la contratación de sus servicios de cumplen los dos requisitos siguientes:
mantenimiento haciendo referencia a la supuesta
i. La operación de concentración supera
falta de medios, de formación adecuada y de
medidas de seguridad.
determinados umbrales expresados en
términos económicos y prestablecidos
Los actos desleales falsean la libre competencia
en el Reglamento de Concentraciones
cuando afectan a la capacidad de competir de
139/2004 (dimensión europea) o en la
otras empresas o alteran el funcionamiento del
LDC (dimensión nacional).
mercado limitando dicha capacidad. En este caso,
se entorpecía la consolidación de las pequeñas ii. La operación de concentración debe
empresas dedicadas al mantenimiento y reparación
suponer una modificación duradera de la
de ascensores, afectando con ello al interés público”.
estructura de control de una empresa o
Fuente: CNC multa con 5 millones a fabricantes de de parte de ella.
ascensores por competencia desleal.
www.lainformación.com Una vez que se cumple con la obligación
de notificar ante la CNMC (u otra Autoridad
15.3.11. El régimen de control de Nacional de Competencia) o a la Comisión
concentraciones Europea, ésta llevará a cabo un análisis
sustantivo de la operación evaluando cual es
El régimen de control de concentraciones,
la incidencia o el efecto en el mercado y las
tanto el existente a nivel europeo como el
consecuencias sobre la competencia que se
existente a nivel nacional, es un sistema
podría esperar si tal operación es autorizada.
de control ex ante que tiene como finalidad
evitar que una concentración de lugar a la Con carácter general, en el caso de
creación de estructuras de mercado que concentraciones horizontales, uno de los
supongan una menor presión competitiva principales aspectos que se valora es la
y de las que se deriven, en consecuencia, posible pérdida de presión competitiva como
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 627
MÓDULO 15 • DEFENSA DE LA COMPETENCIA
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 628
MÓDULO 15 • DEFENSA DE LA COMPETENCIA
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 629
MÓDULO 15 • DEFENSA DE LA COMPETENCIA
no ha podido ser evitado. realiza una reducción muy limitada del tipo
sancionador. Sin embargo, en otros casos,
Respecto de la Unión Europea, hay que tener rechaza las alegaciones de la empresa
presente que las normas de competencia (Servicios de informática)266.
de la ésta afectan a todo aquel que tiene
negocios en la UE, dado que son directamente 266 CNMC, 26/07/2018, s/dc/0565/15, Licitaciones aplicaciones infor-
máticas, 06/09/2016, s/DC/0544/14, mudanzas internacionales.
aplicables a toda empresa con actividad en la La AGCM ha redactado un borrador de directrices para la valora-
ción de los programas de Compliance antitrust. Sobre la consulta
UE. pública de abril de 2018 véase: www.agcm.it/component/joom-
doc/bollettini/15-18_all.pdf/download.html
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 630
MÓDULO 15 • DEFENSA DE LA COMPETENCIA
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 631
MÓDULO 15 • DEFENSA DE LA COMPETENCIA
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 632
MÓDULO 15 • DEFENSA DE LA COMPETENCIA
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 633
MÓDULO 15 • DEFENSA DE LA COMPETENCIA
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 634
MÓDULO 15 • DEFENSA DE LA COMPETENCIA
• Es necesario asimismo conocer y estar familiarizado con una serie de conceptos básicos en el
ámbito de la Competencia, como son los siguientes:
- Mercado relevante: Aquel que incluye todos los productos y firmas entre los cuales existe
una competencia cercana (intercambiables entre sí por el consumidor).
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 635
MÓDULO 15 • DEFENSA DE LA COMPETENCIA
- Prácticas colusorias: Son acuerdos o prácticas concertadas que pretenden impedir, restringir
o falsear la competencia.
- Abuso de una posición de dominio: Explotación abusiva, por una o más empresas, de una
posición dominante en el mercado o en una parte sustancial del mismo.
- Falseamiento de la libre competencia por actos desleales: Conducta desleal (conforme a los
criterios establecido en la Ley de Competencia Desleal) que falsea la competencia y afecta al
interés público. Se trata de una especificidad normativa española incluida en la LDC.
• Para prevenir todo tipo de prácticas anticompetitivas, por acción u omisión, y de forma
consciente o inconsciente, es aconsejable implantar un programa de Compliance de Defensa de
la Competencia que puede ser valorado en su eficacia por el supervisor, aunque su existencia no
garantiza la reducción automática de una posible sanción. Un adecuado programa de Defensa
de la Competencia debe:
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 636
Módulo 16
Prevención del
abuso de mercado
MÓDULO 16 • PREVENCIÓN DEL ABUSO DE MERCADO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 638
MÓDULO 16 • PREVENCIÓN DEL ABUSO DE MERCADO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 639
MÓDULO 16 • PREVENCIÓN DEL ABUSO DE MERCADO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 640
MÓDULO 16 • PREVENCIÓN DEL ABUSO DE MERCADO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 641
MÓDULO 16 • PREVENCIÓN DEL ABUSO DE MERCADO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 642
MÓDULO 16 • PREVENCIÓN DEL ABUSO DE MERCADO
Para prevenir el mal uso de la información Así, según lo indicado por la CNMV en
privilegiada, es necesario implementar el documento “Comunicado dirigido a los
medidas de control en las entidades. emisores de valores cotizados sobre el nuevo
marco normativo europeo de abuso de
El documento “Guía de actuación para la
mercado” de enero de 2019, considera una
transmisión de información privilegiada a
buena práctica que los emisores mantengan
terceros”, publicado en 2009 por la CNMV,
normas internas y adopten medidas y
contiene una serie de medidas orientativas
procedimientos orientados a propiciar un
para preservar información privilegiada que
se resumen a continuación. mejor cumplimiento, también por parte
de su personal y sus administradores, de
Como señala la CNMV, con la aplicación de las obligaciones y prohibiciones legales en
las medidas y recomendaciones que vamos a materia de abuso de mercado.
ver a continuación, se persigue salvaguardar
la confidencialidad de la información A estos efectos, pueden utilizar (o no) la
privilegiada y evitar posibles filtraciones, con técnica de un reglamento o código interno
el consiguiente uso indebido de la misma. único, ya que contar con este tipo de
normas y procedimientos, y aplicarlos en
general de modo efectivo, reduce el riesgo
de incumplimientos.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 643
MÓDULO 16 • PREVENCIÓN DEL ABUSO DE MERCADO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 644
MÓDULO 16 • PREVENCIÓN DEL ABUSO DE MERCADO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 645
MÓDULO 16 • PREVENCIÓN DEL ABUSO DE MERCADO
etc) deberán determinar las medidas de confidenciales y auditar los accesos y actividad
de aquellos autorizados.
protección, los accesos, etc. Veremos, en
este material y más adelante, algunas de • Prohibición de compartir las contraseñas de
estas medidas y prevenciones. los dispositivos utilizados.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 646
MÓDULO 16 • PREVENCIÓN DEL ABUSO DE MERCADO
sala, se conservarán los soportes materiales para asegurar la recepción directa de los
lugar diferenciado con medidas de protección. correcto (evitar remitir información sin
protección, o a dispositivos, aplicaciones o
• Archivar en armarios de seguridad, o al menos buzones compartidos).
bajo llave, toda la documentación que no esté
en uso. 4.Establecer un procedimiento o protocolo de
actuación en caso de detectarse una filtración
3. Establecer medidas que aseguren la correcta o un uso ilícito de información privilegiada,
y exclusiva entrega a los iniciados. Mediante incluyendo los siguientes puntos:
medidas como las siguientes:
• Comunicación inmediata a las personas
• Marcado individualizado y discreto de los
designadas, a través de canales seguros, de la
documentos (número de referencia, código de
filtración de detectada.
barras o una marca específicos para cada uno
de los receptores de la información privilegiada) • Máxima protección respecto a la identidad del
denunciante, incluyendo garantía absoluta de
• Requerir autorización previa para cualquier
anonimato.
copia de los documentos confidenciales, así
como mantener control de las mismas. • Traslado, lo antes posible, de la filtración que
haya tenido conocimiento el responsable de
• Prohibir realizar copias no autorizadas de
Compliance del receptor al responsable de
documentos confidenciales recibidos.
Compliance del emisor, para que valore si
• Abstenerse de comentar, aun utilizando resulta de aplicación el artículo 226 del TRLMV
lenguaje convenido y con otros iniciados, (comunicación al supervisor) y/o proceder con
información privilegiada, o manejar material una denuncia a las autoridades.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 647
MÓDULO 16 • PREVENCIÓN DEL ABUSO DE MERCADO
Estas medidas tienen como objetivo explicar toda su extensión o cuando así lo determinen
los responsables de cumplimiento.
y recordar las implicaciones que conlleva el
conocimiento de información privilegiada, • Exigir, asimismo, la obligación de
así como extremar la prudencia en su confidencialidad a las siguientes personas y
tratamiento con terceros. entidades:
• Incorporar o informar a terceras entidades de a las que se presentan las líneas generales
la operación tan tarde como sea posible. de la Operación para solicitar ofertas de
financiación o asesoramiento pero que
• Suscribir con los receptores externos (salvo finalmente no participarán en la misma. En
que estos estén sometidos a un régimen estos casos, se considera una buena práctica
legal o estatutario que recoja el deber de reiterar expresamente las advertencias sobre
confidencialidad) un compromiso o acuerdo el carácter privilegiado de la Operación en
de confidencialidad (que podrá basarse en un el momento de comunicar que la entidad
acuerdo marco previo) en el que el receptor no es adjudicataria de la financiación o el
manifieste al transmisor que conoce el carácter asesoramiento.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 648
MÓDULO 16 • PREVENCIÓN DEL ABUSO DE MERCADO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 649
MÓDULO 16 • PREVENCIÓN DEL ABUSO DE MERCADO
esa información y que trabajen para ellos una acción realizada por una persona
o grupo de personas que, de manera
en virtud de un contrato de trabajo, o que
deliberada, interfieren en el libre y justo
desempeñen funciones a través de las
funcionamiento del mercado para crear
cuales tengan acceso a dicha información,
apariencias engañosas, falsas o artificiales
como asesores, contables o agencias de
respecto del precio, oferta o demanda de un
calificación crediticia, etc.
valor
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 650
MÓDULO 16 • PREVENCIÓN DEL ABUSO DE MERCADO
b. Ejecutar una operación, dar una orden Conductas de manipulación del mercado
de negociación o cualquier otra actividad
Se considerarán manipulación de mercado, entre
o conducta que afecte o pueda afectar, otras, las siguientes conductas:
mediante mecanismos ficticios o
• La intervención de una persona, o de varias
cualquier otra forma de engaño o artificio,
en concierto, para asegurarse una posición
al precio de uno o varios instrumentos
dominante sobre la oferta o demanda de un
financieros, de un contrato de contado instrumento financiero, de un contrato de
sobre materias primas relacionado o contado sobre materia primas relacionado o
de un producto subastado basado en de un producto subastado basado en derechos
derechos de emisión. de emisión, que afecte o pueda afectar a la
fijación, de forma directa o indirecta, de precios
c. Difundir información a través de los de compra o de venta o que cree o pueda
medios de comunicación, incluido crear otras condiciones de negociación no
internet, o por cualquier otro medio, equitativas.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 651
MÓDULO 16 • PREVENCIÓN DEL ABUSO DE MERCADO
particular, emitiendo órdenes para iniciar o señales falsas o engañosas y con la fijación de los
• Aprovechar el acceso, ocasional o regular, a • En qué medida las órdenes de negociar dadas
los MCS, tradicionales o electrónicos, para o las operaciones realizadas representan una
exponer una opinión sobre un instrumento proporción significativa del volumen diario de
financiero, contrato de contado sobre operaciones del correspondiente instrumento
materias primas relacionado o producto financiero, el contrato de contado sobre
subastado basado en derechos de emisión materias primas relacionado o el producto
(o, de modo indirecto, sobre el emisor de los subastado basado en derechos de emisión, en
mismos) después de haber tomado posiciones especial cuando estas actividades produzcan
sobre ese instrumento, contrato o producto un cambio significativo en los precios.
subastado basado en derechos de emisión, y,
• En qué medida las órdenes de negociar dadas
a continuación, aprovechar los efectos que las
o las operaciones realizadas por personas con
opiniones expresadas tengan sobre el precio
una posición significativa de compra o venta
de dicho instrumento, contrato o producto
en un instrumento financiero, un contrato de
subastado basado en derechos de emisión, sin
contado sobre materias primas relacionado o
haber revelado al público simultáneamente el
un producto subastado basado en derechos de
conflicto de intereses de una manera adecuada
emisión producen cambios significativos en el
y efectiva.
precio de ese instrumento financiero, contrato
• La compra o venta en el mercado secundario, de contado sobre materias primas relacionado
antes de la subasta prevista en el Reglamento o producto subastado basado en derechos de
(UE) 2031/2010, de derechos de emisión o de emisión.
instrumentos derivados relacionados con ellos,
• Si las operaciones realizadas no producen
con el resultado de fijar el precio de adjudicación
ningún cambio en la titularidad final de
de los productos subastados en un nivel
un instrumento financiero, un contrato de
anormal o artificial o de inducir a confusión o
contado sobre materias primas relacionado o
engaño a los oferentes en las subastas.
un producto subastado basado en derechos de
emisión.
En el Anexo I del RAM se definen, sin perjuicio
• En qué medida las órdenes de negociar dadas
de las conductas consideradas como
o las operaciones realizadas o las órdenes
manipulación de mercado anteriormente
canceladas incluyen revocaciones de posición en
indicadas y de modo no exhaustivo, algunos un período corto y representan una proporción
indicadores de manipulaciones relativas a significativa del volumen diario de operaciones
señales falsas o engañosas y con la fijación del correspondiente instrumento financiero,
de los precios y algunos indicadores de el contrato de contado sobre materias primas
manipulaciones relacionadas con el uso de relacionado o el producto subastado basado
en derechos de emisión, y pueden estar
un mecanismo ficticio o cualquier otra forma
vinculadas a cambios significativos en el precio
de engaño o artificio.
de un instrumento financiero, un contrato de
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 652
MÓDULO 16 • PREVENCIÓN DEL ABUSO DE MERCADO
contado sobre materias primas relacionado o Se ha de tener en cuenta que los citados
un producto subastado basado en derechos de indicadores, como hemos dicho, no son
emisión.
exhaustivos y que no podrán considerarse
• En qué medida las órdenes de negociar dadas por sí mismos como constitutivos de
o las operaciones realizadas se concentran en manipulación de mercado, cuando las
un período de tiempo corto en la sesión de operaciones u órdenes de negociar sean
negociación y producen un cambio de precios examinadas por los participantes del
que se invierte posteriormente. mercado y por las autoridades competentes.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 653
MÓDULO 16 • PREVENCIÓN DEL ABUSO DE MERCADO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 654
MÓDULO 16 • PREVENCIÓN DEL ABUSO DE MERCADO
• La principal normativa europea principal norma en este ámbito es el RAM (Reglamento (UE) nº
596/2014 sobre el abuso del mercado). En España, la normativa principal es la Ley 24/1988, o
Ley del Mercado de Valores, y sus modificaciones de 2017 y 2018, aunque está en tramitación
la aprobación de una nueva ley que se denominará previsiblemente Ley de los Mercados de
Valores y Servicios de Inversión.
• El objetivo de toda normativa en este ámbito es impedir y perseguir las prácticas del mercado
que impiden una asignación “justa” y una correcta formación de precios, previniendo
distorsiones en el funcionamiento del mercado y evitar resultados injustos. De esta manera,
se garantiza integridad de los mercados y se refuerza la confianza de los inversores.
- Información privilegiada, ya sea por comunicarla ilícitamente como por utilizarla en operaciones.
- Carácter concreto;
- No pública;
• Existe una amplia lista de actividades que constituyen manipulación del mercado, entre las
que podemos destacar las siguientes: Transacciones aparentes, Colocación de órdenes sin
intención de ejecutarlas, Ordenes ilícitas previamente pactadas, Marcaje al cierre, Reactivación
y dumping, trash and cash.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 655
Módulo 17
Protección de
datos y privacidad
MÓDULO 17 • PROTECCIÓN DE DATOS Y PRIVACIDAD
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 657
MÓDULO 17 • PROTECCIÓN DE DATOS Y PRIVACIDAD
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 658
MÓDULO 17 • PROTECCIÓN DE DATOS Y PRIVACIDAD
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 659
MÓDULO 17 • PROTECCIÓN DE DATOS Y PRIVACIDAD
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 660
MÓDULO 17 • PROTECCIÓN DE DATOS Y PRIVACIDAD
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 661
MÓDULO 17 • PROTECCIÓN DE DATOS Y PRIVACIDAD
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 662
MÓDULO 17 • PROTECCIÓN DE DATOS Y PRIVACIDAD
salvo que las decisiones sobre los • Grupo empresarial: Grupo constituido
fines y los medios del tratamiento se por una empresa que ejerce el control y
tomen en otro establecimiento del sus empresas controladas.
responsable en la UE y este último
• Normas corporativas vinculantes o
establecimiento tenga el poder de
binding corporate rules (BCRs): Las
hacer aplicar tales decisiones, en
políticas de protección de datos
cuyo caso el establecimiento que
personales asumidas por un responsable
haya adoptado tales decisiones
o encargado del tratamiento establecido
se considerará establecimiento
en el territorio de un Estado miembro
principal;
para transferencias o un conjunto de
b. En lo que se refiere a un encargado transferencias de datos personales a
del tratamiento con establecimientos un responsable o encargado en uno o
en más de un Estado miembro, más países terceros, dentro de un grupo
hace referencia al lugar de su empresarial o una unión de empresas
administración central en la UE o, si dedicadas a una actividad económica
careciera de esta, al establecimiento conjunta.
del encargado en la UE en el que se
• Autoridad de control: La autoridad
realicen las principales actividades
pública independiente establecida por
de tratamiento en el contexto de las
un Estado miembro para supervisar la
actividades de un establecimiento
aplicación del RGPD.
del encargado en la medida en que el
encargado esté sujeto a obligaciones • Autoridad de control interesada: La
específicas con arreglo al RGPD. autoridad de control a la que afecta el
tratamiento de datos personales debido
• Representante: Persona física o
a que:
jurídica establecida en la Unión que,
habiendo sido designada por escrito a. el responsable o el encargado del
por el responsable o el encargado del tratamiento está establecido en el
tratamiento, represente al responsable territorio del Estado miembro de esa
o al encargado en lo que respecta a sus autoridad de control;
respectivas obligaciones en virtud del b. los interesados que residen en el
RGPD. Estado miembro de esa autoridad
de control se ven sustancialmente
• Empresa: Persona física o jurídica
afectados o es probable que se vean
dedicada a una actividad económica,
sustancialmente afectados por el
independientemente de su forma jurídica,
tratamiento, o
incluidas las sociedades o asociaciones
que desempeñen regularmente una c. se ha presentado una reclamación
actividad económica. ante esa autoridad de control.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 663
MÓDULO 17 • PROTECCIÓN DE DATOS Y PRIVACIDAD
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 664
MÓDULO 17 • PROTECCIÓN DE DATOS Y PRIVACIDAD
constar por escrito y contener, como mínimo, • Todos los que empleen a 250 o más
la siguiente información: empleados.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 665
MÓDULO 17 • PROTECCIÓN DE DATOS Y PRIVACIDAD
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 666
MÓDULO 17 • PROTECCIÓN DE DATOS Y PRIVACIDAD
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 667
MÓDULO 17 • PROTECCIÓN DE DATOS Y PRIVACIDAD
Por otro lado, es preciso tener en cuenta que Si el sistema de información no permite
la LOPD impone a las organizaciones, cuando aplicar el bloqueo, debe hacerse un copiado
actúa como Responsable del tratamiento, seguro de la información de modo que
la obligación general de bloquear los datos conste evidencia digital, o de otra naturaleza,
personales cuando procede a su rectificación que permita acreditar su autenticidad, la
o supresión. fecha del bloqueo y la no manipulación de
los datos durante el mismo.
Esto supone identificar y reservar los datos,
adoptando medidas técnicas y organizativas En vista de todo lo anterior, es necesario
para impedir su tratamiento, incluyendo que las organizaciones adopten plazos
su visualización, excepto para su puesta de conservación de los datos personales
a disposición de jueces y tribunales, el específicos para cada actividad de
Ministerio Fiscal o las Administraciones tratamiento, teniendo en cuenta que el
Públicas competentes, para la exigencia interesado deberá ser informado al respecto
de posibles responsabilidades derivadas por medio del correspondiente “aviso o política
del tratamiento y sólo por su plazo de de protección de datos”. En este sentido, a
prescripción. Transcurrido ese plazo debe modo de ejemplo, se exponen los siguientes
procederse a la destrucción de los datos. plazos de conservación en las actividades de
tratamiento anteriormente mencionadas:
Los datos deberán conservarse durante toda la relación de negocio. Una vez finalizada ésta, se debe
tener en cuenta lo siguiente:
Los empresarios deben conservar los libros, correspondencia, documentación y justificantes
concernientes a su negocio, debidamente ordenados, durante 6 años, a partir del último asiento
realizado en los libros, salvo lo que se establezca por disposiciones generales o especiales (art. 30.1
Código de Comercio).
Las acciones personales que no tengan plazo especial prescriben a los 5 años desde que pueda
exigirse el cumplimiento de la obligación (art. 1964.2 Código Civil).
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 668
MÓDULO 17 • PROTECCIÓN DE DATOS Y PRIVACIDAD
A los cuatro años prescribe lo siguiente: a) El derecho de la Administración para determinar la deuda
tributaria mediante la oportuna liquidación; b) el derecho de la Administración para exigir el pago de
las deudas tributarias liquidadas y autoliquidadas; c) el derecho a solicitar y obtener las devoluciones
derivadas de la normativa de cada tributo, las devoluciones de ingresos indebidos y el reembolso del
coste de las garantías (art. 66 Ley General Tributaria).
La prescripción de los delitos atribuidos a las personas jurídicas puede llegar a producirse a los 15
años (art. 131 Código Penal).
Con relación a la mercadotecnia directa, deberían suprimirse los datos en el momento en que el
interesado manifieste su deseo de no seguir recibiendo este tipo de comunicaciones.
No obstante, deberá aplicarse a los datos la obligación de bloqueo prevista en el artículo 32 de la LOPD,
durante el plazo máximo de prescripción de las infracciones en materia de protección de datos, es decir,
3 años (art. 72 LOPD).
Solicitantes de Gestión de las personas que solicitan a la organización algún tipo de
información información puntual.
Plazos de conservación de los datos
Deberían suprimirse los datos una vez atendida por completo la solicitud.
No obstante, deberá aplicarse a los datos la obligación de bloqueo prevista en el artículo 32 de la LOPD,
durante el plazo máximo de prescripción de las infracciones en materia de protección de datos, es decir,
3 años (art. 72 LOPD).
Suscriptores para la Gestión de las personas que se suscriben a la revista y/o boletines
recepción de información informativos de la organización.
Plazos de conservación de los datos
Deberían suprimirse los datos en el momento en que el interesado cancele su suscripción.
No obstante, deberá aplicarse a los datos la obligación de bloqueo prevista en el artículo 32 de la LOPD,
durante el plazo máximo de prescripción de las infracciones en materia de protección de datos, es decir,
3 años (art. 72 LOPD).
Mantenimiento, desarrollo y gestión de la relación negocial con los
Proveedores
proveedores de la organización.
Plazos de conservación de los datos
Los datos deberán conservarse durante toda la relación de negocio. Una vez finalizada ésta, se debe
tener en cuenta lo siguiente:
Los empresarios deben conservar los libros, correspondencia, documentación y justificantes
concernientes a su negocio, debidamente ordenados, durante 6 años, a partir del último asiento
realizado en los libros, salvo lo que se establezca por disposiciones generales o especiales (art. 30.1
Código de Comercio).
Las acciones personales que no tengan plazo especial prescriben a los 5 años desde que pueda
exigirse el cumplimiento de la obligación (art. 1964.2 Código Civil).
A los 4 años prescribe lo siguiente: a) El derecho de la Administración para determinar la deuda
tributaria mediante la oportuna liquidación; b) el derecho de la Administración para exigir el pago de
las deudas tributarias liquidadas y autoliquidadas; c) el derecho a solicitar y obtener las devoluciones
derivadas de la normativa de cada tributo, las devoluciones de ingresos indebidos y el reembolso del
coste de las garantías (art. 66 Ley General Tributaria).
La prescripción de los delitos atribuidos a las personas jurídicas puede llegar a producirse a los 15
años (art. 131 Código Penal).
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 669
MÓDULO 17 • PROTECCIÓN DE DATOS Y PRIVACIDAD
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 670
MÓDULO 17 • PROTECCIÓN DE DATOS Y PRIVACIDAD
Control de acceso Gestión del control de acceso físico a las instalaciones de la organización.
Plazos de conservación de los datos
Se recomienda suprimir los datos en el plazo máximo de un mes desde su obtención.
No obstante, deberá aplicarse a los datos la obligación de bloqueo prevista en el artículo 32 de la
LOPD, durante el plazo máximo de prescripción de las infracciones en materia de protección de
datos, es decir, 3 años (art. 72 LOPD).
Canal interno de denuncias Gestión del canal interno de denuncias existente en la organización.
Plazos de conservación de los datos
Los datos de denunciantes y denunciados deben conservarse en el sistema de denuncias
únicamente durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una
investigación sobre los hechos denunciados.
En todo caso, transcurridos tres meses desde la introducción de los datos, debe procederse a su
supresión del sistema de denuncias, salvo que se quiera dejar evidencia del funcionamiento del
modelo de prevención de la comisión de delitos por la organización.
Las denuncias a las que no se haya dado curso sólo pueden constar de forma anonimizada, sin que
sea de aplicación la obligación de bloqueo prevista en el artículo 32 de la LOPD.
Transcurrido el plazo anterior, los datos pueden seguir siendo tratados para la investigación de
los hechos denunciados, no conservándolos en el propio sistema de información de denuncias
internas.
La prescripción de los delitos atribuidos a las personas jurídicas puede llegar a producirse a los 15
años (art. 131 CP).
Videovigilancia y
Gestión de las imágenes y sonidos captados por la organización para sus
grabación de sonidos
funciones de control laboral.
(fines de control laboral)
Plazos de conservación de los datos
Las imágenes y sonidos deben suprimirse en el plazo máximo de un mes desde su captación, salvo
cuando deban conservarse para acreditar la comisión de infracciones laborales.
No se aplica la obligación de bloqueo prevista en el artículo 32 de la LOPD.
Geolocalización (fines de Gestión de la geolocalización efectuada por la organización para sus
control laboral) funciones de control laboral.
Plazos de conservación de los datos
Se recomienda suprimir los datos en el plazo máximo de un mes desde su captación, salvo cuando
deban conservarse para acreditar la comisión de infracciones laborales.
No obstante, deberá aplicarse a los datos la obligación de bloqueo prevista en el artículo 32 de la
LOPD, durante el plazo máximo de prescripción de las infracciones en materia de protección de
datos, es decir, 3 años (art. 72 LOPD).
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 671
MÓDULO 17 • PROTECCIÓN DE DATOS Y PRIVACIDAD
En todo caso, pueden utilizarse fórmulas más Si los datos obtenidos se van a utilizar
genéricas a la hora de informar a los interesados para comunicarse con el interesado, esta
por medio de los correspondientes avisos o información se le deberá facilitar no más allá
políticas de protección de datos. del momento de la primera comunicación.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 672
MÓDULO 17 • PROTECCIÓN DE DATOS Y PRIVACIDAD
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 673
MÓDULO 17 • PROTECCIÓN DE DATOS Y PRIVACIDAD
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 674
MÓDULO 17 • PROTECCIÓN DE DATOS Y PRIVACIDAD
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 675
MÓDULO 17 • PROTECCIÓN DE DATOS Y PRIVACIDAD
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 676
MÓDULO 17 • PROTECCIÓN DE DATOS Y PRIVACIDAD
con la finalidad de preservar la seguridad Así pues, se deberá cumplir con el citado
de personas y bienes, así como de deber de información acumulativamente,
sus instalaciones, deberán realizarlo mediante las siguientes dos vías:
cumpliendo los siguientes requisitos:
En tal caso, las imágenes deberán ser señalización se haga por zonas vigiladas.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 677
MÓDULO 17 • PROTECCIÓN DE DATOS Y PRIVACIDAD
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 678
MÓDULO 17 • PROTECCIÓN DE DATOS Y PRIVACIDAD
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 679
MÓDULO 17 • PROTECCIÓN DE DATOS Y PRIVACIDAD
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 680
MÓDULO 17 • PROTECCIÓN DE DATOS Y PRIVACIDAD
y, en su caso, los apellidos del titular (o sus el régimen establecido en la Ley Orgánica
iniciales), correspondiéndose el dominio de 15/1999, de 13 de diciembre, de Protección
primer nivel con el propio del estado en que de datos de Carácter Personal.
se lleva a cabo la actividad y el dominio
Junto con estos dos supuestos, debe
de segundo nivel con la empresa en que
añadirse, evidentemente, que si en un
se prestan los servicios (pudiendo incluso
fichero junto con la dirección de correo
delimitarse el centro de trabajo en que se
electrónico aparecieran otros datos que
realiza la prestación).
permitieran la identificación del sujeto
Un segundo supuesto sería aquel en que, en (tales como su nombre y apellidos, su
principio, la dirección de correo electrónico número de teléfono o su domicilio, conjunta
no parece mostrar datos relacionados con o separadamente), la identificación sería
la persona titular de la cuenta (por referirse, absoluta y no se plantearía duda de que
por ejemplo, el código de la cuenta de nos encontramos ante datos de carácter
correo a una denominación abstracta o a personal.”
una simple combinación alfanumérica sin
Por otro lado, con relación a la consideración
significado alguno). En este caso, un primer
del número de teléfono como dato de
examen de este dato podría hacernos
carácter personal la AEPD emitió la siguiente
concluir que no nos encontramos ante un
opinión contenida en su Informe 285/2006:
dato de carácter personal.
“[…] desde el punto de vista de la protección
Sin embargo, incluso en este supuesto, la
de datos personales, el número de teléfono
dirección de correo electrónico aparecerá
constituirá un dato de carácter personal
necesariamente referenciada a un
cuanto resulte adscrito al concreto titular
dominio concreto, de tal forma que podrá
del mismo, o se asocie a datos identificativos
procederse a la identificación del titular
adicionales como pueden ser la dirección y
mediante la consulta del servidor en que
esta se almacene con el número llamante,
se gestione dicho dominio, sin que ello
de acuerdo con la definición de datos
pueda considerarse que lleve aparejado
personales incluida en el artículo 3.a) de
un esfuerzo desproporcionado por parte
la Ley Orgánica, que comprende “cualquier
de quien procede a la identificación. Por
información concerniente a personas
todo ello se considera que también en este
físicas identificadas o identificables.
caso, y en aras de asegurar, en los términos
establecidos por la Jurisprudencia de Este criterio ha sido ratificado por la
nuestro Tribunal Constitucional, la máxima Audiencia Nacional en sentencia de 8 de
garantía de los Derechos Fundamentales marzo de 2002. Según se cita en la misma,
de las personas, entre los que se encuentra “para que exista un dato de carácter
el derecho a la “privacidad”, consagrado personal (en contraposición con dato
por el artículo 18.4 de la Constitución, disociado) no es imprescindible una plena
será necesario que la dirección de correo coincidencia entre el dato y una persona
electrónico se encuentre amparada por concreta, sino que es suficiente con que
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 681
MÓDULO 17 • PROTECCIÓN DE DATOS Y PRIVACIDAD
tal identificación pueda efectuarse sin • Los colegios profesionales y sus consejos
esfuerzos desproporcionados” y “para generales; los centros docentes que
determinar si una persona es identificable, ofrezcan enseñanzas en cualquiera de
hay que considerar el conjunto de los medios los niveles establecidos en la legislación
que puedan ser razonablemente utilizados reguladora del derecho a la educación,
por el responsable del tratamiento o por así como las Universidades públicas y
cualquier otra persona, para identificar a privadas;
dicha persona.”
• Las entidades que exploten redes y
presten servicios de comunicaciones
17.9. El Delegado de Protección
electrónicas conforme a lo dispuesto en
de Datos
su legislación específica, cuando traten
17.9.1.Sujetos obligados a designar habitual y sistemáticamente datos
un Delegado de Protección de personales a gran escala;
Datos
• Los prestadores de servicios de la
(también conocido como DPO por sus siglas • Las entidades incluidas en el artículo
en inglés): 1 de la Ley 10/2014, de 26 de junio, de
ordenación, supervisión y solvencia de
entidades de crédito;
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 682
MÓDULO 17 • PROTECCIÓN DE DATOS Y PRIVACIDAD
prevención del fraude, incluyendo a los obligados a designar un DPD los siguientes
responsables de los ficheros regulados Responsables del tratamiento y Encargados
por la legislación de prevención del del tratamiento:
blanqueo de capitales y de la financiación
Las autoridades u organismos
del terrorismo;
públicos, excepto los tribunales
• Las entidades que desarrollen que actúen en el ejercicio de su
actividades de publicidad y prospección función judicial.
comercial, incluyendo las de investigación
comercial y de mercados, cuando lleven Aquellos cuyas actividades
a cabo tratamientos basados en las principales consistan en
preferencias de los afectados o realicen operaciones de tratamiento
actividades que impliquen la elaboración que, en razón de su naturaleza,
de perfiles de estos; alcance y/o fines, requieran una
observación habitual y sistemática
• Los centros sanitarios legalmente
de interesados a gran escala.
obligados al mantenimiento de las
historias clínicas de los pacientes. Se Aquellos cuyas actividades
exceptúan los profesionales de la salud principales consistan en el
que, aun estando legalmente obligados tratamiento a gran escala de
al mantenimiento de las historias clínicas categorías especiales de datos
de los pacientes, ejerzan su actividad a personales o de datos relativos a
título individual; condenas e infracciones penales.
• Las empresas de seguridad privada; Con este fin, el Grupo de Trabajo del Artículo
29 adoptó, el 13 de diciembre de 2016
• Las federaciones deportivas cuando
(revisadas en abril de 2017), sus “Directrices
traten datos de menores de edad.
sobre los delegados de protección de datos
En caso de no encontrarse en el listado (DPD)”, por medio de las cuales ha tratado
anterior, aún debe verse si resulta aplicable de aclarar los siguientes conceptos:
el artículo 37 del RGPD, según el cual están
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 683
MÓDULO 17 • PROTECCIÓN DE DATOS Y PRIVACIDAD
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 684
MÓDULO 17 • PROTECCIÓN DE DATOS Y PRIVACIDAD
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 685
MÓDULO 17 • PROTECCIÓN DE DATOS Y PRIVACIDAD
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 686
MÓDULO 17 • PROTECCIÓN DE DATOS Y PRIVACIDAD
• Nivel de conocimiento del DPD: Debe • Debe garantizarse que el DPD no recibe
ser acorde con el carácter sensible, ninguna instrucción en lo que respecta
la complejidad y la cantidad de datos al desempeño de sus funciones, debiendo
que procesa la organización que le ha realizarlas de manera independiente.
designado.
• El DPD no puede ser destituido ni
• Cualificación profesional: Aunque no está sancionado por desempeñar sus
legalmente definida y no es obligatorio funciones.
que el DPD cuente con una certificación
específica para poder desempeñar su • El DPD debe rendir cuentas directamente
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 687
MÓDULO 17 • PROTECCIÓN DE DATOS Y PRIVACIDAD
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 688
MÓDULO 17 • PROTECCIÓN DE DATOS Y PRIVACIDAD
tratamiento sea conforme con los requisitos momento a las instrucciones dadas por
del RGPD y garantice la protección de los el Responsable del tratamiento.
derechos de los interesados.
17.11. Seguridad del
Por otro lado, según lo previsto en el RGPD, tratamiento
el encargado del tratamiento puede también
subcontratar con un tercero la realización de El RGPD establece en su artículo 32 que
un tratamiento que le hubiera encomendado “(…) teniendo en cuenta la tecnología de
el Responsable del tratamiento, siempre vanguardia, los costes de aplicación, la
que cumpla lo siguiente: naturaleza, el alcance, el contexto y los fines
del tratamiento, así como los riesgos de
El encargado del tratamiento deberá probabilidad y gravedad variables para los
obtener la previa autorización escrita derechos y libertades de las personas físicas, el
del Responsable del tratamiento. Dicha responsable del tratamiento y el encargado del
autorización puede ser específica o general. tratamiento deben aplicar medidas técnicas y
organizativas apropiadas para garantizar un
• El encargado del tratamiento debe
nivel de seguridad adecuado al riesgo (…)”.
informar al Responsable del tratamiento
de cualquier cambio previsto en la Al evaluar la adecuación del nivel de
incorporación o sustitución de los seguridad, deben tenerse especialmente
subencargados, dándole la oportunidad en cuenta los riesgos que presenta el
de oponerse a dichos cambios. tratamiento de datos (entre otros, las
consecuencias de la destrucción, pérdida
• El encargado del tratamiento y el
o alteración accidental o ilícita de datos
subencargado deberán formalizar
personales transmitidos, conservados o
un contrato, por medio del cual se
tratados de otra forma, o la comunicación o
impongan a éste las mismas obligaciones
acceso no autorizados a dichos datos).
de protección de datos estipuladas
en el contrato formalizado entre el Dichas medidas técnicas y organizativas
Responsable del tratamiento y el deben contemplar, entre otras cuestiones:
encargado del tratamiento.
• Seudonimización y el cifrado de datos
• Si el subencargado incumple sus personales;
obligaciones de protección de datos, el
• Capacidad de garantizar la
encargado del tratamiento inicial seguirá
confidencialidad, integridad,
siendo plenamente responsable ante
disponibilidad y resiliencia permanentes
el Responsable del tratamiento por lo
de los sistemas y servicios de tratamiento;
que respecta al cumplimiento de las
obligaciones del subencargado. • Capacidad de restaurar la disponibilidad
y el acceso a los datos personales de
• Tanto el encargado del tratamiento como forma rápida en caso de incidente físico
el subencargado deberán estar en todo o técnico;
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 689
MÓDULO 17 • PROTECCIÓN DE DATOS Y PRIVACIDAD
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 690
MÓDULO 17 • PROTECCIÓN DE DATOS Y PRIVACIDAD
• Tratamiento a gran escala de categorías • Los que impliquen el uso de datos genéticos.
especiales de datos, o de datos
• Aquellos que impliquen el uso de datos a gran
personales relativos a condenas e escala.
infracciones penales;
• Los que impliquen la asociación, combinación o
• Observación sistemática a gran escala enlace de registros de bases de datos de dos o
de una zona de acceso público. más tratamientos con finalidades diferentes o
por responsables distintos.
Dicha enumeración no tiene carácter de
• Tratamientos de datos de sujetos vulnerables o
numerus clausus. Además, el RGPD prevé
en riesgo de exclusión social.
que las autoridades de control puedan
publicar listados de tratamientos específicos • Aquellos que impliquen la utilización de nuevas
tecnologías o un uso innovador de tecnologías
que requieran la realización de una previa
consolidadas.
evaluación de impacto.
• Los tratamientos de datos que impidan a los
interesados ejercer sus derechos, utilizar un
Lista de la AEPD, orientativa y no
servicio o ejecutar un contrato.
exhaustiva, de tratamientos que requieren
una evaluación de impacto
17.12.1. Tratamiento “a gran escala”
La AEPD precisa que la EVIMP se deberá realizar si
el tratamiento cumple dos o más criterios de esta Como puede observarse, es necesario
lista:
precisar cuándo un tratamiento se hace a
• Los que impliquen perfilado o valoración de “gran escala”. En este sentido, recordamos
sujetos. que el Considerando nº91 del RGPD se
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 691
MÓDULO 17 • PROTECCIÓN DE DATOS Y PRIVACIDAD
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 692
MÓDULO 17 • PROTECCIÓN DE DATOS Y PRIVACIDAD
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 693
MÓDULO 17 • PROTECCIÓN DE DATOS Y PRIVACIDAD
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 694
MÓDULO 17 • PROTECCIÓN DE DATOS Y PRIVACIDAD
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 695
MÓDULO 17 • PROTECCIÓN DE DATOS Y PRIVACIDAD
global del ejercicio financiero anterior, a los tres años las infracciones que
optándose por la de mayor cuantía, a la supongan una vulneración sustancial de
infracción de las disposiciones siguientes los artículos mencionados en el artículo
contenidas en el artículo 83.5 del RGPD: 83.5 del RGPD y, en particular, las
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 696
MÓDULO 17 • PROTECCIÓN DE DATOS Y PRIVACIDAD
• En la sociedad actual, los datos (definidos como el nuevo petróleo) han devenido en un activo
crítico para todo tipo de organizaciones, pero también para las personas y, consecuentemente,
para el legislador.
• El RAT deberá contener necesariamente una información mínima (datos identificativos del
responsable, representante, DPD, fines del tratamiento, categorías de interesados y de datos
personales; transferencias de datos, plazos de supresión, medidas de seguridad, y otros).
• Respecto de las posibilidades de obtención de los datos, resulta esencial fijarse en los métodos
recogida (del interesado o a través de un tercero), fijándose especialmente en los aspectos
relacionados con el consentimiento (a partir de los 14 años) y la información al interesado
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 697
MÓDULO 17 • PROTECCIÓN DE DATOS Y PRIVACIDAD
• La designación del DPD debe ser pública y comunicarse a la autoridad supervisora competente
los nombramientos y ceses de los DPD, dentro del plazo legal contemplado. Aunque no existen
requisitos específicos para el DPD, quien se ocupe de esta tarea debe tener los conocimientos
necesarios, contar con la cualificación profesional -si bien o se exige ninguna titulación o
certificación específica, de momento- y capacidad de desempeñar sus tareas, que son las de:
(i) Informar y asesorar a la organización de las obligaciones derivadas de la normativa (RGPD y
demás normativa); (ii) Supervisar el cumplimiento de lo dispuesto en el RGPD y otra legislación
en este ámbito; (iii) Ofrecer el asesoramiento que se le solicite acerca de la Evaluación de Impacto
(EVIMP) y supervisar su aplicación; (iv) Cooperar con la autoridad de control y (v) Actuar como
punto de contacto de la autoridad de control.
• El RGPD establece que, antes de llevar a cabo determinados tratamientos de datos, puede ser
necesario realizar una evaluación del impacto de las operaciones de tratamiento si éste puede
entrañar alto riesgo para los derechos y libertades de las personas físicas, como puede ser
en los casos en los casos de elaboración de perfiles que sobre sean base de decisiones con
efectos jurídicos o afectación significativa; el tratamiento a gran escala de categorías especiales
de datos, o de datos personales relativos a condenas e infracciones penales; o la observación
sistemática a gran escala de una zona de acceso público.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 698
Módulo 18
Protección
al consumidor
MÓDULO 18 • PROTECCIÓN AL CONSUMIDOR
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 700
MÓDULO 18 • PROTECCIÓN AL CONSUMIDOR
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 701
MÓDULO 18 • PROTECCIÓN AL CONSUMIDOR
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 702
MÓDULO 18 • PROTECCIÓN AL CONSUMIDOR
y 2015 (ver también Caso de Estudio V). actúen sin ánimo de lucro en un ámbito ajeno
a una actividad comercial o empresarial”.
Como resultado de este fraude, sus motores habían
superado con éxito las limitaciones establecidas
Por lo aquí expuesto, el primer elemento que
por la Agencia de Protección Ambiental de EE.UU
nos permitirá identificar un contrato en el
(EPA). Los vehículos implicados emitían hasta 40
veces más del límite legal de óxidos de nitrógeno que intervenga un consumidor, no será otro
en condiciones reales. que la voluntad subjetiva de uso del bien
adquirido o el servicio recibido. Esta noción
El 23 de septiembre de 2015, Martin Winterkorn,
abstracta resulta esencial a la hora de evaluar
director ejecutivo de Volkswagen, después de
los contratos y servicios que están sujetos a
ofrecer una disculpa a los clientes de Volkswagen,
presentó su renuncia tras 8 años de estar al frente la normativa aplicable en la relación con los
de la empresa, debido al escándalo derivado y la consumidores y en ella destaca la concepción
afectación a la reputación del fabricante alemán. de consumidor como cliente y, paralelamente,
como consumidor final.
En octubre de 2016 Volkswagen pactó con las
autoridades de EE.UU pagar 17.500M de dólares
Por otro lado, el RDL 1/2021 de 19 de
como compensación a los propietarios de los
enero, de protección de los consumidores
vehículos afectados y a los concesionarios. En
y usuarios frente a situaciones de
EE.UU fue condenado al pago de una multa de
4.300M dólares. vulnerabilidad social y económica, define
a las personas consumidoras vulnerables
respecto de relaciones concretas de
18.2.2. Conceptos básicos en el
consumo, como “aquellas personas físicas
ámbito del consumo
que, de forma individual o colectiva, por sus
A continuación, se definen e identifican características, necesidades o circunstancias
algunos conceptos básicos recogidos en el personales, económicas, educativas o sociales,
TRLGDCU: se encuentran, aunque sea territorial, sectorial
o temporalmente, en una especial situación de
Consumidor o usuario y persona
subordinación, indefensión o desprotección
consumidora vulnerable
que les impide el ejercicio de sus derechos
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 703
MÓDULO 18 • PROTECCIÓN AL CONSUMIDOR
Productor Proveedor
Es el “fabricante del bien o al prestador del Definido como “el empresario que suministra o
servicio o su intermediario, o al importador distribuye productos en el mercado, cualquiera
del bien o servicio en el territorio de la Unión que sea el título o contrato en virtud del cual
Europea, así como a cualquier persona que se realice dicha distribución”.
presente como tal al indicar en el bien, ya sea en
En definitiva, no se distingue entre pequeños
el envase, el envoltorio o cualquier otro elemento
y grandes empresarios, ni tampoco se
de protección o presentación, o servicio su
observan requisitos distintos para el
nombre, marca u otro signo distintivo”.
comerciante individual o cualquier tipo de
En ambos casos nos encontramos un figura jurídica que realice actos de comercio,
concepto de empresario y productor que no con independencia de su condición,
se limita a la condición de mero fabricante del aglutinándose en esta categoría todo tipo
bien, ampliando este concepto a cualquier de empresarios mercantiles.
agente u operador que ofrezca el bien como
un producto o servicio final en el mercado.
18.2.3. Derechos básicos de los
consumidores y usuarios
Producto
Los derechos básicos de los consumidores
Según el artículo 136 del TRLGDCU, se y usuarios establecidos en el TRLGDCU son
considera producto “cualquier bien mueble, los siguientes:
aun cuando esté unido o incorporado a
• La protección contra los riesgos que
otro bien mueble o inmueble, así como el
puedan afectar su salud o seguridad.
gas y la electricidad”, definición que ha de
completarse con la contenida en el artículo • La protección de sus legítimos intereses
6 que establece que “sin perjuicio de lo económicos y sociales; en particular
establecido en el artículo 136, es producto frente a las prácticas comerciales
todo bien mueble conforme a lo previsto en el desleales y la inclusión de cláusulas
artículo 335 del Código Civil.” abusivas en los contratos.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 704
MÓDULO 18 • PROTECCIÓN AL CONSUMIDOR
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 705
MÓDULO 18 • PROTECCIÓN AL CONSUMIDOR
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 706
MÓDULO 18 • PROTECCIÓN AL CONSUMIDOR
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 707
MÓDULO 18 • PROTECCIÓN AL CONSUMIDOR
todos los puntos exigidos por la ley. del consumidor. Siempre que el empresario
haya cumplido con el deber de información y
El derecho de desistimiento documentación de este derecho, dicho plazo
se computará desde la recepción del bien
Uno de los aspectos más importantes que
objeto del contrato o desde la celebración
deben constar en la fase de información
de este si el objeto del contrato fuera la
precontractual es la posibilidad del
prestación de servicios.
consumidor de desistir del contrato
una vez celebrado. La supervisión del Resulta importante tener en cuenta que,
cumplimiento de esta obligación es crítica si el empresario no hubiera cumplido con
para el Compliance Officer. el deber de información y documentación
sobre el derecho de desistimiento, el plazo
El TRLGDCU define este derecho como “la
para su ejercicio finalizará doce meses
facultad del consumidor y usuario de dejar sin
después de la fecha de expiración del
efecto el contrato celebrado, notificándoselo
así a la otra parte contratante en el plazo periodo de desistimiento inicial, a contar
establecido para el ejercicio de ese derecho, desde que se entregó el bien contratado o
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 708
MÓDULO 18 • PROTECCIÓN AL CONSUMIDOR
este derecho no tendrá obligación ni tan que es consciente de que, una vez que
siquiera de indemnizar al empresario por el contrato haya sido completamente
el posible desgaste o deterioro producido ejecutado por el empresario, habrá
debido a la prueba realizada para tomar una perdido su derecho de desistimiento.
decisión sobre la adquisición definitiva del
b. El suministro de bienes o la prestación
producto.
de servicios cuyo precio dependa de
Sin embargo, el derecho de desistimiento fluctuaciones del mercado financiero
no será aplicable en todos los contratos con que el empresario no pueda controlar
los consumidores, estableciéndose en el y que puedan producirse durante el
TRLGDCU las siguientes excepciones: periodo de desistimiento.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 709
MÓDULO 18 • PROTECCIÓN AL CONSUMIDOR
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 710
MÓDULO 18 • PROTECCIÓN AL CONSUMIDOR
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 711
MÓDULO 18 • PROTECCIÓN AL CONSUMIDOR
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 712
MÓDULO 18 • PROTECCIÓN AL CONSUMIDOR
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 713
MÓDULO 18 • PROTECCIÓN AL CONSUMIDOR
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 714
MÓDULO 18 • PROTECCIÓN AL CONSUMIDOR
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 715
MÓDULO 18 • PROTECCIÓN AL CONSUMIDOR
Las cláusulas abusivas serán nulas de pleno Aparte de la regulación específica para el
derecho y se tendrán por no puestas. sector financiero para la protección del
consumidor (que se tratará más adelante),
Caso de estudio XXVIII: Ryanair la UE ha dispuesto varias normas de ámbito
general.
La compañía aérea irlandesa Ryanair, que supone
el 20,8% del tráfico de pasajeros en España (2021) Así, el 28 de mayo de 2022 entraron en vigor
y el 10,1% del de la UE (2022), es conocida no sólo las modificaciones legislativas operadas por
por sus competitivos precios, sino también por las
la transposición de la Directiva 2019/2161 de
innumerables polémicas acerca de sus políticas
mejora y modernización de las normas de
de personal, equipaje, identificación de pasajeros,
protección de los consumidores de la Unión.
asignación de asientos, etc.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 716
MÓDULO 18 • PROTECCIÓN AL CONSUMIDOR
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 717
MÓDULO 18 • PROTECCIÓN AL CONSUMIDOR
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 718
MÓDULO 18 • PROTECCIÓN AL CONSUMIDOR
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 719
MÓDULO 18 • PROTECCIÓN AL CONSUMIDOR
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 720
MÓDULO 18 • PROTECCIÓN AL CONSUMIDOR
Por otra parte, las entidades podrán optar en tres momentos clave: antes, durante y
por prestar de forma simultánea los servicios después de la contratación de un producto
de asesoramiento independiente y no o servicio financiero.
independiente, siempre y cuando se informe
a los clientes de forma clara del alcance de Información precontractual
ambos servicios para que se les permita
Los principales requisitos que se establecen
entender las diferencias. En este caso
en cuanto a la información precontractual
deberán contar con requisitos organizativos
son los siguientes:
y controles adecuados que aseguren
que ambos servicios, y los asesores que
prestan cada uno de ellos, están totalmente
separados y que hay controles para que los
clientes no se confundan sobre el tipo de
asesoramiento que están recibiendo.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 721
MÓDULO 18 • PROTECCIÓN AL CONSUMIDOR
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 722
MÓDULO 18 • PROTECCIÓN AL CONSUMIDOR
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 723
MÓDULO 18 • PROTECCIÓN AL CONSUMIDOR
• Una indicación clara de cuáles son los MiFID II establece la diferenciación entre las
activos o fondos que están sujetos a la obligaciones para el fabricante y obligaciones
protección MiFID y cuáles no. para el distribuidor de productos financieros.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 724
MÓDULO 18 • PROTECCIÓN AL CONSUMIDOR
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 725
MÓDULO 18 • PROTECCIÓN AL CONSUMIDOR
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 726
MÓDULO 18 • PROTECCIÓN AL CONSUMIDOR
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 727
MÓDULO 18 • PROTECCIÓN AL CONSUMIDOR
convierte en una herramienta que propicia los que cabe destacar los siguientes:
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 728
MÓDULO 18 • PROTECCIÓN AL CONSUMIDOR
persona física o jurídica que, a cambio comisión, honorario o cualquier otro pago,
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 729
MÓDULO 18 • PROTECCIÓN AL CONSUMIDOR
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 730
MÓDULO 18 • PROTECCIÓN AL CONSUMIDOR
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 731
MÓDULO 18 • PROTECCIÓN AL CONSUMIDOR
sus empleados de un modo que entre en distribuidor tiene que ofrecer al cliente una
Venta cruzada:
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 732
MÓDULO 18 • PROTECCIÓN AL CONSUMIDOR
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 733
MÓDULO 18 • PROTECCIÓN AL CONSUMIDOR
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 734
MÓDULO 18 • PROTECCIÓN AL CONSUMIDOR
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 735
MÓDULO 18 • PROTECCIÓN AL CONSUMIDOR
b. Dar un periodo de reflexión de siete (7) La confianza de los inversores es una de las
días a fin de que el consumidor pueda piezas fundamentales del engranaje de los
desistir de firmar la hipoteca y pueda mercados financieros. La aplicación de las
valorarla y estudiarla. nuevas tecnologías de la información está
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 736
MÓDULO 18 • PROTECCIÓN AL CONSUMIDOR
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 737
MÓDULO 18 • PROTECCIÓN AL CONSUMIDOR
específicas de las entidades sobre aportar los documentos que obren en su poder
para sustentar su queja o reclamación.
comunicación de las condiciones básicas
de las operaciones, determinados
Las quejas y reclamaciones podrán
aspectos de su publicidad y normas de
presentarse por el interesado
actuación e información.
personalmente o mediante representación y
• Las buenas prácticas aquellas que, a en soporte papel o por medios informáticos,
diferencia de las anteriores, no vienen electrónicos o telemáticos, siempre que
impuestas por la normativa contractual éstos permitan la lectura, impresión y
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 738
MÓDULO 18 • PROTECCIÓN AL CONSUMIDOR
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 739
MÓDULO 18 • PROTECCIÓN AL CONSUMIDOR
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 740
MÓDULO 18 • PROTECCIÓN AL CONSUMIDOR
jubilación o prejubilación, por algunos reclamación, sin que pueda ser inferior
de los supuestos de ilegibilidad o por a dos años.
cualquier otra causa debidamente
f. Concreción de los trámites internos en la
justificada.
entidad o grupo para la presentación de
c. Asuntos de relevancia: Relación clara y reclamaciones.
precisa de asuntos cuyo conocimiento,
Información pública a los clientes
por razón del fondo, la cuantía o
en oficinas y páginas web.
cualquier otro criterio, se atribuye al
defensor del cliente, en su caso, con La normativa establece la necesidad de
indicación expresa de que aquellos que que el Reglamento esté a disposición de los
no le correspondan serán competencia clientes en todas y cada una de las oficinas
del departamento o servicio de atención abiertas al público y en la página web de la
al cliente. Si ambas instancias tuvieran entidad en los casos de contratos celebrados
atribuido el conocimiento del mismo tipo de forma telemática. En la práctica y con
de reclamación se deberá especificar independencia de que el contrato se haya
si tras la decisión del departamento celebrado por este medio, las entidades
o servicio de atención al cliente el suelen incorporar el citado Reglamento en
reclamante puede acudir al defensor sus páginas web.
del cliente como segunda instancia, sin
perjuicio del plazo de dos meses para Además del Reglamento, la entidad deberá
poner a disposición de los clientes por los
dictar una decisión definitiva para el
canales señalados la siguiente información:
reclamante.
• La existencia de un DAC/SAC y, en su
d. Deberes: Deber de todos los
caso, de un Defensor del Cliente, con
departamentos y servicios de la entidad
indicación de su dirección postal y
de facilitar al departamento o servicio
electrónica.
de atención al cliente y al defensor del
cliente, cuantas informaciones éstos • La obligación por parte de la entidad
soliciten en relación con el ejercicio de de atender y resolver las quejas y
sus funciones. Muchos reglamentos reclamaciones presentadas por sus
recogen que la solicitud de cooperación clientes, en el plazo de dos meses desde
se realice por correo electrónico o su presentación en el DAC/SAC o, en su
cualquier otro medio que garantice los caso, Defensor del Cliente.
principios de rapidez, seguridad, eficacia
• Referencia al servicio de reclamaciones
y coordinación.
de las tres instituciones supervisoras
e. Plazos: Plazo para la presentación de las españolas que corresponda, con
reclamaciones, a contar desde la fecha especificación de su dirección postal y
en que el cliente tuviera conocimiento electrónica, y de la necesidad de agotar
de los hechos causantes de la queja o la vía del departamento o servicio de
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 741
MÓDULO 18 • PROTECCIÓN AL CONSUMIDOR
atención al cliente o del defensor del Contenido mínimo del Informe Anual
cliente para poder formular las quejas y DAS/SAC
reclamaciones ante ellos.
Resumen estadístico de las quejas
• Referencias a las normas vigentes de y reclamaciones atendidas, con
transparencia y protección del cliente de información sobre su número, admisión a
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 742
MÓDULO 18 • PROTECCIÓN AL CONSUMIDOR
• La normativa reguladora de los derechos del consumidor es posiblemente una de las que mayor
volumen de trabajo puede suponer a las Compliance Officer en determinados sectores.
• Asimismo, no podemos obviar en este ámbito el corpus normativo de la UE, con la reciente entrada
en vigor de la Directiva 2019/2161 de mejora y modernización de las normas de protección de
los consumidores de la Unión (traspuesta mediante el RDL 24/2021), que actualiza y fortalece los
derechos de los consumidores de la Unión con la modificación de varias directivas.
• La normativa establece una serie de derechos básicos del consumidor, como son: los que protegen
contra riesgos a la salud o seguridad; los que defienden sus legítimos intereses económicos
y sociales (frente a prácticas comerciales desleales y cláusulas abusivas); los que garantizan la
indemnizaciones por daños y perjuicios; los que aseguran que recibirán información correcta
sobre los diferentes bienes o servicios; los que aseguran la participación en la elaboración de las
disposiciones generales que les afectan y la protección efectiva de sus derechos con especial
atención a los consumidores vulnerables.
• Para la protección de esos derechos, uno de los ámbitos más importantes sobre los que actúa
la normativa lo constituyen los contratos que regulan la relación comercial, siendo los aspectos
más importantes los relativos a la información precontractual, el derecho de desistimiento, el
consentimiento y constancia del contrato, las garantías en la contratación y las relacionadas con
las características específicas de los contratos a distancia, en un contexto en el que esta modalidad
va desplazando a las tradicionales.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 743
MÓDULO 18 • PROTECCIÓN AL CONSUMIDOR
• Cobra especial relevancia para la protección de los consumidores la regulación del creciente
comercio a distancia y de sus contratos. Para prevenir abusos, la normativa regula la información
recibida por el consumidor mediante los requisitos de lengua utilizada en la contratación. También
establece la información a trasladar al consumidor cuando conlleva obligaciones de pago, regula
las condiciones para la aceptación, las de las restricciones de entrega y modalidades de pago
y otras condiciones a cumplir si la contratación se realiza telefónicamente o por otros medios
análogos. Por último, establece algunos supuestos especiales (suministros durante el plazo de
desistimiento), los requisitos para la confirmación efectiva del contrato y generación de efectos,
y traslada la carga de la prueba del cumplimiento de las obligaciones normativas al comerciante.
• Ante los escándalos y abusos acaecidos en el sector financiero y para la mejora de la protección
de los clientes del mismo, se ha desarrollado una normativa sectorial específica. El objetivo
primordial es que los clientes reciban información precisa y correcta antes de recibir los
productos o servicios, evitando situaciones de indefensión.
• Juzgada como insuficiente, se trabajó en la reforma de la misma, que dio paso a la Directiva
2014/65/UE (conocida como MiFID II) y del Reglamento (UE) 600/2014 (conocido como MiFIR),
cuya acción se centra en la mejora de la transparencia y eficiencia de los mercados europeos, así
como la protección al inversor.
• Para profesionalizar la distribución de estos productos, la IDD establece unos requisitos que
han de cumplir los distribuidores: estar registrados, suscribir un seguro de responsabilidad
civil profesional, mantener una formación continua de los profesionales, disponer de suficiente
capacidad financiera, así como de una buena reputación y nivel de cumplimiento de normas
generales de conducta.
• La IDD también regula las modalidades de venta de seguros, que clasifica en “venta informada” (que,
como mínimo, son todas), “venta asesorada” (a la que se añade una recomendación personalizada)
y “venta cruzada” (en la que entran otros productos como principales o accesorios).
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 744
MÓDULO 18 • PROTECCIÓN AL CONSUMIDOR
• Respecto de la regulación sobre quejas y reclamaciones, la normativa distingue entre unas y otras:
mientras que la queja es presentada por los usuarios de servicios por la demora, desatención
o cualquier otro tipo de actuación deficiente, la reclamación denuncia hechos sobre los que se
pretende obtener restitución de su interés o derecho o compensación. Tanto para una como para
otra, se requiere la identificación del interesado, descripción del objeto o motivo concreto, el
lugar de los hechos, declaración del interesado de que la materia no está siendo tratada por otro
procedimiento, evidencias/documentos y otras formalidades (lugar, fecha, firma).
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 745
Módulo 19
Compliance en
el sector público
MÓDULO 19 • COMPLIANCE EN EL SECTOR PÚBLICO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 747
MÓDULO 19 • COMPLIANCE EN EL SECTOR PÚBLICO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 748
MÓDULO 19 • COMPLIANCE EN EL SECTOR PÚBLICO
OCDE, 2017
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 749
MÓDULO 19 • COMPLIANCE EN EL SECTOR PÚBLICO
las leyes, regulaciones y a los códigos éticos conductas, entendiendo como tales
no solo aquellas contrarias a la ley
y de conducta adoptados voluntariamente.
sino también aquellas contrarias a
En definitiva, es el marco a través del que se los códigos éticos y de conducta que
planifica y desarrollan las responsabilidades desarrollan las propias organizaciones.
de Compliance. Sin embargo, para que Debe ser una función proactiva, no
reactiva.
dichos mecanismos sean eficaces, dicho
programa debe estar enmarcado en un Ser capaz de contribuir al desarrollo
modelo de gestión y buena gobernanza que y mantenimiento de una cultura
permita identificar y evaluar correctamente organizativa ética, donde las leyes
los riesgos y asegurar que la información representan un requisito mínimo y no
fluye de forma que llegue adecuadamente el máximo al que aspirar, y donde los
a quienes deben adoptar decisiones. Y procesos de decisión estén guiados por
para que este modelo de organización y principios y valores que contribuyan a
gestión sea eficaz, el propio programa debe generar un impacto positivo, no solo
para las propias entidades, sino también
contemplar, entre sus objetivos, no solo el
para otras partes interesadas como
cumplimiento de las normas, sino también el
funcionarios, empleados públicos,
desarrollo y mantenimiento de una cultura
contratistas y ciudadanía, en general.
corporativa ética (tal y como se indica en
Ello implica la adopción de un enfoque,
varios de los documentos de referencia
no solo legal, sino también ético.
mencionados a lo largo de estos materiales,
como el de la Fiscalía General del Estado; Ser un modelo de organización
la STS 154/2016, las US Federal Sentencing y gestión. Esto implica que deben
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 750
MÓDULO 19 • COMPLIANCE EN EL SECTOR PÚBLICO
Sin embargo, nada de lo anterior será Por todo ello, para abordar el diseño e
posible sin un compromiso de quienes implantación de un modelo de Compliance
toman las decisiones en el sector público, ya en el sector público, tomando como
sean cargos electos, miembros de órganos referencia los mecanismos que ya se han
de administración y dirección de la entidad venido implementando y desarrollando en
pública de que se trate. el sector privado, no deberíamos centrarnos
en el ámbito estrictamente normativo
(promulgación de nuevas normas), sino en la
implantación de mecanismos que permitan
aplicar adecuadamente el marco normativo
que ya existe y, sobre todo, desarrollar
un modelo de integridad, transparencia y
buena gobernanza.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 751
MÓDULO 19 • COMPLIANCE EN EL SECTOR PÚBLICO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 752
MÓDULO 19 • COMPLIANCE EN EL SECTOR PÚBLICO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 753
MÓDULO 19 • COMPLIANCE EN EL SECTOR PÚBLICO
que mide “percepción” de la corrupción por tanto, una clara voluntad y compromiso
si bien pueden existir notables diferencias públicos deben liderar con el ejemplo
de la obligación de contar con sistemas de normas que faciliten que en el sector público
Compliance en el sector público debemos se prioricen los intereses generales, por
tener en cuenta las recomendaciones y encima de los intereses privados. Y para que
acuerdos que a nivel internacional se han estas medidas sean efectivas es necesaria
venido publicando, desde ONU, pasando una cultura ética, ejercer el liderazgo
por la OCDE, el G20 y la UE. necesario, demostrar una rendición de
cuentas efectiva y una responsabilidad
19.4.3. Justificación basada en el proactiva (accountability).
principio de integridad
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 754
MÓDULO 19 • COMPLIANCE EN EL SECTOR PÚBLICO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 755
MÓDULO 19 • COMPLIANCE EN EL SECTOR PÚBLICO
A la hora de valorar los riesgos, deberá atenderse a las siguientes tipologías de impacto:
- Responsabilidad legal. Además de penal hay responsabilidades civiles y administrativas.
- Impacto negativo en la reputación.
- Falta de confianza de los ciudadanos y otras partes interesadas.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 756
MÓDULO 19 • COMPLIANCE EN EL SECTOR PÚBLICO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 757
MÓDULO 19 • COMPLIANCE EN EL SECTOR PÚBLICO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 758
MÓDULO 19 • COMPLIANCE EN EL SECTOR PÚBLICO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 759
MÓDULO 19 • COMPLIANCE EN EL SECTOR PÚBLICO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 760
MÓDULO 19 • COMPLIANCE EN EL SECTOR PÚBLICO
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 761
MÓDULO 19 • COMPLIANCE EN EL SECTOR PÚBLICO
• Además, la función de Compliance puede ayudar a que el funcionariado actúe de acuerdo a los más altos
estándares de integridad, priorizando el interés público y evitando conflicto de intereses.
• La delimitación del sector público no siempre es una tarea sencilla, como ya en su momento se vio con
la consideración de funcionario o servidor público (para los casos de corrupción y cohecho mencionados
en otros módulos). En España la delimitación del sector pública la establece la Ley 40/2015, de Régimen
Jurídico del Sector Público, aunque también otra normativa permite solventar dudas (Ley 47/2003,
General Presupuestaria, o la Ley 9/2017, de Contratos del Sector Público). En definitiva, se incluye a
las AAPP (AGE, CCAA, Corporaciones Locales), el Sector Público Empresarial (Empresas y Sociedades
mercantiles públicas) y otras entidades o instituciones que gestionen fondos públicos.
• Una adecuada función de Compliance debe contribuir a mejorar la eficacia en la gestión de riesgos, al
desarrollo de una cultura organizativa ética y ser un modelo de organización y gestión que garantice un
adecuado proceso de adopción de decisiones. Estos aspectos positivos de la función son trasladables al
sector público.
• Desde la perspectiva de Compliance, se pueden identificar una serie de propuestas que ayudarían a
mejorar al sector público, que incluirían esfuerzos y mejoras en:
- Promoción del cumplimiento de las normas por parte de los ciudadanos y las personas jurídicas;
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 762
Módulo 20
Compliance en
la era digital
MÓDULO 20 • COMPLIANCE EN LA ERA DIGITAL
y de igual forma progresan los riesgos. Así en las organizaciones como especialista en la
recomendable definir estrategias para tal que establecer una estructura modelo es
minimizar los riesgos y posibles daños que complicado, y con ello ser capaces de definir
puedan surgir como consecuencia del uso el papel que la función de Compliance
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 764
MÓDULO 20 • COMPLIANCE EN LA ERA DIGITAL
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 765
MÓDULO 20 • COMPLIANCE EN LA ERA DIGITAL
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 766
MÓDULO 20 • COMPLIANCE EN LA ERA DIGITAL
Modelos organizativos
los últimos años ha emergido la figura del el Ministerio del Interior, en cumplimiento de
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 767
MÓDULO 20 • COMPLIANCE EN LA ERA DIGITAL
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 768
MÓDULO 20 • COMPLIANCE EN LA ERA DIGITAL
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 769
MÓDULO 20 • COMPLIANCE EN LA ERA DIGITAL
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 770
MÓDULO 20 • COMPLIANCE EN LA ERA DIGITAL
SPAM: Recepción de correo electrónico masivo no solicitado. El receptor del contenido no ha otorgado
Contenido autorización válida para recibir un mensaje colectivo.
abusivo Delito de odio: contenido difamatorio o discriminatorio (ciberacoso, racismo, amenazas…).
Pornografía infantil, contenido sexual o violento inadecuado: material visual con ese contenido.
Sistema infectado: sistema infectado con malware (programa malicioso)
Servidor Mando y Control (C+C): conexión con servidor de C+C mediante malware o sistemas
infectados.
Contenido
Distribución de malware: Recurso usado para distribución de malware.
dañino
Configuración de malware: Recurso que aloje ficheros de configuración de malware.
Malware dominio DGA: nombre de dominio generado mediante DGA (Algoritmo de Generación de
Dominio), empleado por malware para contactar con un servidor de Mando y Control.
Escaneo de redes (scanning): envío de peticiones a un sistema para descubrir posibles debilidades,
incluyendo procesos de comprobación o prueba para recopilar información de alojamientos, servicios
Obtención de y cuentas (p.e, escaneo de puertos)
información Análisis de paquetes (sniffing): observación y grabación del tráfico de redes.
Ingeniería social: Obtención de información utilizando debilidades de procesos, procedimiento o de
comportamiento social humano.
Explotación de vulnerabilidades conocidas: intento de compromiso de un sistema o de interrupción
de un servicio mediante la explotación de vulnerabilidades con un identificador estandarizado (CVE).
Intento de
Intento de acceso con vulneración de credenciales: múltiples intentos de vulnerar credenciales.
intrusión
Ataque desconocido: ataque empleando un exploit (programa que aprovecha una vulnerabilidad)
desconocido.
Compromiso de cuenta con privilegios: compromiso de un sistema en el que el atacante ha
adquirido privilegios.
Compromiso de cuenta sin privilegios: compromiso de un sistema empleando cuentas sin
privilegios.
Intrusión
Compromiso de aplicaciones: compromiso de una aplicación mediante la explotación de
vulnerabilidades de software.
Robo: intrusión física. Ejemplo: acceso no autorizado a Centro de Proceso de Datos y sustracción de
equipo.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 771
MÓDULO 20 • COMPLIANCE EN LA ERA DIGITAL
Taxonomía de Referencia para la Clasificación de Incidentes de Seguridad. Fuente: TF-CSIRT Reference Security Incident Taxonomy Working Group
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 772
MÓDULO 20 • COMPLIANCE EN LA ERA DIGITAL
Así pues, los cinco incidentes de mensajes SMS o en RRSS son un medio
ciberseguridad más comunes, o “principales masivo muy utilizado, junto con el anterior
retos de seguridad” a los que se enfrentan o por separado. Por último, entre los
las empresas -según INCIBE- son los habituales también destacan las llamadas
siguientes 282
: que simulando notificaciones de bancos,
servicios de telefonía, administración, etc.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 773
MÓDULO 20 • COMPLIANCE EN LA ERA DIGITAL
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 774
MÓDULO 20 • COMPLIANCE EN LA ERA DIGITAL
Si vienen del exterior, pueden ser El phishing es una “técnica que consiste en el
iniciadas por todo tipo de agentes, desde envío de un correo electrónico por parte de
organizaciones delictivas a activistas. un ciberdelincuente a un usuario simulando
ser una entidad legítima (red social, banco,
Sus motivaciones pueden variar desde la
institución pública, etc.) con el objetivo de
mera obtención de un beneficio económico
robarle información privada, realizarle un
con la venta de la información sustraída, a
cargo económico o infectar el dispositivo. Para
simplemente dañar la imagen de la empresa,
ello, adjuntan archivos infectados o enlaces a
amplificar el efecto de una reivindicación o
páginas fraudulentas en el correo electrónico”.
dar a conocer una causa.
Ransomware
Smishing Mensajes de texto o SMS
Es un tipo de malware que infecta los
equipos de las empresas o incluso a sus
servidores web, etc. Vishing Llamada de voz
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 775
MÓDULO 20 • COMPLIANCE EN LA ERA DIGITAL
283 SAP Logroño, Secc. 1º, 77/2014 de 16 de abril, MP: María del Puy
Aramendia Ojer
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 776
MÓDULO 20 • COMPLIANCE EN LA ERA DIGITAL
Formar parte de una Botnet que En 2019, ABANCA sufrió un ataque en el que sus
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 777
MÓDULO 20 • COMPLIANCE EN LA ERA DIGITAL
Para poder llevar a cabo estas tareas, se para mitigar sus efectos. El término CSIRT
es el usado comúnmente en Europa en
crea la Autoridad Nacional Competente
lugar del término protegido CERT (Computer
en materia de seguridad de las redes y
Emergency Response Team), registrado en
sistemas de información (en adelante,
EE.UU. Estos CSIRT desempeñarán como
“Autoridad Competente”) que cubrirá, al
mínimo, las siguientes funciones:
menos, los sectores que figuran en el anexo
II (sectores esenciales) y los servicios que i. Supervisar incidentes a escala nacional;
figuran en el anexo III (mercado en línea,
ii. Difundir alertas tempranas, alertas,
motor de búsqueda en línea y servicios de
avisos e información sobre riesgos e
computación en la nube), ambos contenidos
incidentes entre los interesados;
en la Directiva SRI.
iii. Responder a incidentes;
Además, la Autoridad Competente ejercerá,
entre otras, las siguientes funciones: iv. Efectuar un análisis dinámico de riesgos
e incidentes y de conocimiento de la
i. Supervisar el cumplimiento por parte de situación;
los operadores de servicios esenciales y
v. Participar en la red de CSIRT.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 778
MÓDULO 20 • COMPLIANCE EN LA ERA DIGITAL
Por último, como cualquier otra disposición generen los automatismos que permitan
de rango normativo europeo, cabe destacar ganar tiempo y acelerar la respuesta (y, con
el afán cooperativo. El artículo 11 de la ello, posiblemente minimizar los daños,
Directiva de SRI establece el denominado extensión y coste del incidente).
Grupo de Cooperación, a fin de apoyar
Los incidentes son situaciones que causan
y facilitar la cooperación estratégica y
el intercambio de información entre los gran trastorno y tienen el potencial de
para alcanzar un elevado nivel común Por ello, caben actuaciones de prevención
Por todo ello, los planes, guías y De acuerdo con el INCIBE, este plan de acción
procedimientos de actuación ante incidentes deberá estar estructurado en varias fases:
de ciberseguridad deben formar parte de la preparación, identificación, contención,
gestión de las organizaciones, sobre todo mitigación, recuperación y actuaciones post
en incidentes donde las decisiones deben incidente.
tomarse de forma rápida para confirmar
adecuadamente la amenaza y evitar, por
ejemplo, su extensión.
284 El 94% de las empresas españolas ha sufrido, al menos, un inci- Procedimiento de gestión de ciberincidentes para el sector privado
dente grave de ciberseguridad en 2021, artículo en el que se cita y la ciudadanía. Elaboración propia.
un estudio llevado a cabo por Deloitte. Fuente: Instituto Nacional de Ciberseguridad (INCIBE)
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 779
MÓDULO 20 • COMPLIANCE EN LA ERA DIGITAL
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 780
MÓDULO 20 • COMPLIANCE EN LA ERA DIGITAL
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 781
MÓDULO 20 • COMPLIANCE EN LA ERA DIGITAL
disrupción de un incidente en este ámbito, Directiva SRI2, que tiene por objetivo mejorar
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 782
MÓDULO 20 • COMPLIANCE EN LA ERA DIGITAL
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 783
MÓDULO 20 • COMPLIANCE EN LA ERA DIGITAL
Se trata, en definitiva, de regular cómo las Por otro lado, la Directiva SRI regulaba en
entidades financieras (un concepto que su artículo 7 la obligación de los EEMM de
comprende una amplia categoría de sujetos adoptar una estrategia nacional de seguridad
obligados) gestionan el riesgo digital. de las redes y sistemas de información que
Respecto del plazo, los sujetos a DORA establezca objetivos estratégicos, medidas
dispondrán de 2 años para dar cumplimiento políticas y normativas adecuadas, con objeto
a lo establecido en el reglamento (es decir, de alcanzar y mantener un elevado nivel de
hasta enero de 2025). seguridad de éstas.
que les presten servicios relacionados con amenazas provenientes del ciberespacio.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 784
MÓDULO 20 • COMPLIANCE EN LA ERA DIGITAL
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 785
MÓDULO 20 • COMPLIANCE EN LA ERA DIGITAL
Infraestructuras críticas
Normativa de seguridad
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 786
MÓDULO 20 • COMPLIANCE EN LA ERA DIGITAL
la libre circulación de estos datos y por de la vida diaria de los ciudadanos, tanto en
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 787
MÓDULO 20 • COMPLIANCE EN LA ERA DIGITAL
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 788
MÓDULO 20 • COMPLIANCE EN LA ERA DIGITAL
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 789
MÓDULO 20 • COMPLIANCE EN LA ERA DIGITAL
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 790
MÓDULO 20 • COMPLIANCE EN LA ERA DIGITAL
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 791
MÓDULO 20 • COMPLIANCE EN LA ERA DIGITAL
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 792
MÓDULO 20 • COMPLIANCE EN LA ERA DIGITAL
servicios, que facilitan que la organización activo, casi siempre crítico, que cualquier
continuidad de negocio.
El tratamiento de datos y el manejo de
ciberseguridad en las empresas. Algunas de acceder a ella y, por ende, darle un mal uso.
Dispositivos móviles personales para fines distintos de aquellos para la cual fue
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 793
MÓDULO 20 • COMPLIANCE EN LA ERA DIGITAL
y canales por los que puede producirse. (menores, personas vulnerables, etc.).
debe incluir la documentación del hecho plazo máximo de 72 horas desde que se
En caso de que la fuga de información incluya hay una gran variedad de herramientas
datos personales, se deberá cumplir con lo que permiten monitorizar los sistemas
tiempo y forma a la Autoridad de control. los usuarios: por ejemplo, qué empleado
la seguridad constituya un riesgo para los o documentación, y qué hicieron con ella
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 794
MÓDULO 20 • COMPLIANCE EN LA ERA DIGITAL
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 795
MÓDULO 20 • COMPLIANCE EN LA ERA DIGITAL
per se, la obligación de adoptar las medidas • Tomará todas las medidas de seguridad
técnicas y organizativas que la normativa de de conformidad al artículo 32 del propio
protección de datos dispone para el caso. RGPD.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 796
MÓDULO 20 • COMPLIANCE EN LA ERA DIGITAL
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 797
MÓDULO 20 • COMPLIANCE EN LA ERA DIGITAL
otro que el acceso a los sistemas y redes hecho o actividad detectada es, en efecto,
de organizaciones para apoderarse de un incidente de seguridad.
información privada, sensible o confidencial.
Las organizaciones implementan medidas
Teniendo en cuenta todo lo anterior, el para evitar que su información acabe en
primer paso para gestionar un incidente manos no deseadas. Entre esas medidas
de seguridad es asegurarse de que todo destacarían las siguientes:
el personal que conforma la organización
i. Uso frecuente de aplicaciones parches
posee la información para solventar estos y actualizaciones de software tan
incidentes y, en consecuencia, tratar estos pronto como las actualizaciones estén
contratiempos en función de su mayor o disponibles.
menor impacto.
ii. Cifrado para datos sensibles.
El grado de preparación de la organización
iii. Actualización del software cuando ya no
será clave para gestionar una respuesta
sea compatible con el fabricante.
rápida, ordenada y eficiente, minimizando
las consecuencias tanto para la propia iv. Implementar y hacer cumplir políticas de
organización como para terceras partes seguridad de BYOD (Bring your own device)
involucradas. Independientemente del
v. Implementar el uso de credenciales
volumen y complejidad de la organización, sólidas y la autenticación de múltiples
debe existir un procedimiento interno que factores.
permita la detección e identificación de las
violaciones de seguridad de la información vi. Formar a los empleados acerca de las
mejores prácticas de seguridad y las
(que podrá tener características específicas,
formas de evitar ataques de ingeniería
más allá de las de cualquier otro tipo de
social.
incidente de seguridad).
En suma, las organizaciones deben tener
muy claras las líneas de actuación que se
deben adoptar cuando se da una pérdida
de información, primero aplicando medidas
de prevención y detección y, si pese a ello
éstas no funcionasen, se deberían tomar las
Procedimiento de notificación de incidentes. Elaboración propia. mismas medidas que se explicaron para los
Fuente: Procedimiento de gestión de ciberincidentes para el sector
privado y la ciudadanía, Instituto Nacional de Ciberseguridad (INCIBE)
supuestos de fuga de información.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 798
MÓDULO 20 • COMPLIANCE EN LA ERA DIGITAL
Las copias de seguridad hacen referencia a Las copias de seguridad deben permitir
la salvaguarda de una copia de los archivos recuperar datos perdidos, accidental o
físicos, virtuales o BBDD en una localización intencionadamente, con una antigüedad
distinta a la que se encuentran con el objetivo determinada.
de preservarlos en caso de que el software
Estas copias poseerán el mismo nivel de
en el cual se hayan sufra daños. El proceso
seguridad que los datos originales en lo que
de realizar copias de seguridad es la piedra
se refiere a integridad, confidencialidad,
angular para que un plan de recuperación
autenticidad y trazabilidad. En particular,
de información (o un BCP) tenga éxito.
se considerará la conveniencia o necesidad,
Podemos hablar de hasta 3 tipos de copias según proceda, de que las copias de
de seguridad: seguridad estén cifradas para garantizar la
confidencialidad.
i. Completa: Cuando afecta a toda la
información y BBDD. Su ventaja es que se Si bien en la definición hacíamos referencia
tiene la seguridad de tener una imagen a que se copiaban archivos físicos o virtuales
integral de los datos en el momento de o bases de datos, podemos acotar la
la salvaguarda. información que, en general, debe ser objeto
de copia de seguridad, a saber:
ii. Incremental: Cuando sólo se copian
únicamente los datos modificados desde i. Información de trabajo de la organización.
la anterior copia incremental. Siempre
debe partirse de una salvaguarda ii. Aplicaciones en explotación, incluyendo
completa inicial. Si se realiza con los sistemas operativos.
frecuencia, el proceso no consumirá un
iii. Datos de configuración, servicios,
tiempo excesivo, debido al bajo volumen
aplicaciones, equipos, u otros de
de datos a copiar. Por el contrario, la
naturaleza análoga.
restauración es lenta, toda vez que
requiere restaurar una copia completa y iv. Claves utilizadas para preservar la
todas las copias incrementales realizadas confidencialidad de la información.
hasta el momento al que se quiera
restaurar el sistema. En cuanto al soporte en el cual podemos
llevar a cabo la copia de seguridad puede ser
iii. Diferencial: Se copian los datos cualquiera, ahora bien, en todo caso deberá
modificados desde la última copia ser en un soporte diferente al que almacena
completa. Se ejecutará con mayor o los datos de forma principal. En este sentido
menor rapidez en función de la frecuencia podrían usarse discos duros externos, un
con que se realice. La restauración suele servidor propio de la organización ubicado
ser más rápida que la incremental, ya que en otra localización, memorias USB, o en la
basta con recuperar una copia completa nube.
y una copia diferencial.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 799
MÓDULO 20 • COMPLIANCE EN LA ERA DIGITAL
Para que esto quede plasmado de forma incluyen otras de carácter complementario
efectiva las organizaciones firman lo que se como determinar los fines para los cuales se
conoce como acuerdos de confidencialidad traspasa la información o las limitaciones que
(Non-Disclosure Agreement, NDA), tanto con se imponen a la información, estableciendo
sus propios empleados como con otras mecanismos de control previo como lo
organizaciones con las cuales mantengan serían autorizaciones o solitudes de claves
relaciones comerciales. Se trata del de acceso.
documento firmado entre la organización
Por último, en caso de incumplimiento,
y el empleado/otra empresa cuyo objetivo
las consecuencias se gradúan desde
es mantener en secreto cierta información
apercibimientos y sanciones pecuniarias
considerada reservada durante la relación
contractual o negocial y una vez finalizada la hasta la solicitud de resarcimiento de daños
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 800
MÓDULO 20 • COMPLIANCE EN LA ERA DIGITAL
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 801
MÓDULO 20 • COMPLIANCE EN LA ERA DIGITAL
291 Documento de Trabajo del Grupo del Artículo 29, relativo a • El trabajador debe ser informado de
la vigilancia y el control de las comunicaciones electrónicas
en el lugar de trabajo. la posibilidad de que el empresario
adopte las medidas de vigilancia de su
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 802
MÓDULO 20 • COMPLIANCE EN LA ERA DIGITAL
correspondencia y comunicaciones, así Por último se debe velar para que los
como de la puesta en marcha de tales empleados, cuyas comunicaciones hayan
medidas. El TEDH argumenta que dicha sido objeto de seguimiento, puedan
información debe ser proporcionada presentar un recurso ante un órgano judicial
el trabajador de forma previa y versar que tenga competencia para pronunciarse,
sobre la naturaleza de la vigilancia. al menos en esencia, sobre el cumplimiento
de los criterios antes expuestos y la legalidad
• Distinguir el alcance de la vigilancia a
de las medidas impugnadas292.
realizar y el grado de intrusión en la
vida privada del trabajador. Al efecto, Como ya se advertía en el primer principio
el TEDH diferencia entre el flujo de presentado, la implementación de la Política
las comunicaciones y el contenido de TIC deber ser informada al trabajador. La
las mismas. Además, debe tenerse en información previa a la implementación de
cuenta si la vigilancia alcanza al conjunto medidas de control o vigilancia debe ser de
de las comunicaciones o a una parte de carácter expreso y claro, dejando constancia
ellas, así como su duración en el tiempo de la finalidad de la instalación.
y el espacio.
Los medios que pueden emplearse para
• Asegurarse que el empresario ha informar al trabajador son los siguientes:
alegado motivos legítimos para justificar
la vigilancia de las comunicaciones y su Contrato de trabajo o documento
contenido. anexo al contrato de trabajo293;
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 803
MÓDULO 20 • COMPLIANCE EN LA ERA DIGITAL
294 Guía INCIBE: Uso de dispositivos móviles no corporativos – Políti- Con todo, el Instituto Nacional de
cas de seguridad para la pyme.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 804
MÓDULO 20 • COMPLIANCE EN LA ERA DIGITAL
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 805
MÓDULO 20 • COMPLIANCE EN LA ERA DIGITAL
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 806
MÓDULO 20 • COMPLIANCE EN LA ERA DIGITAL
El ámbito TIC han sufrido una evolución etc, son escenarios que las organizaciones
herramientas y sistemas que mejoran el por lo que se debe contar con un plan
modo de realizar el trabajo requiere que los de respuesta a incidentes, que describa
trabajadores reciban la debida formación cómo actuar ante esta situación y permita
informacionales.
No se debe caer en el error de pensar que
forma adecuada de acuerdo con el problema sus trabajadores al ser menos productivos
que se les plantea. En consecuencia, las TIC y ofrecer prestaciones de menor calidad),
facilitan el acceso, emisión y tratamiento de sino que, además, puede evitar los costes
El factor humano suele ser uno de los puntos una PYME296, ya que el 22% de los incidentes
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 807
MÓDULO 20 • COMPLIANCE EN LA ERA DIGITAL
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 808
MÓDULO 20 • COMPLIANCE EN LA ERA DIGITAL
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 809
MÓDULO 20 • COMPLIANCE EN LA ERA DIGITAL
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 810
MÓDULO 20 • COMPLIANCE EN LA ERA DIGITAL
Para establecer roles y diferenciar un puesto tratamiento debe estar sujeto a las mismas
de otro, habrá que tener presente que condiciones (instrucciones, obligaciones,
será el Responsable del Tratamiento quien medidas de seguridad…) y en la misma
decida sobre la finalidad y usos que dará a la forma (acuerdo por escrito o acto jurídico
información, mientras que el Encargado del vinculante) que el Encargado del Tratamiento
Tratamiento se someterá a las directrices en lo referente al adecuado tratamiento de
del primero. los datos personales y a la garantía de los
derechos de las personas afectadas.
Para facilitar esta tarea y delimitar
obligaciones y responsabilidades de cada una En caso de incumplimiento por el
de las partes, la relación se instrumentará subencargado, el encargado inicial seguirá
mediante un contrato de tratamiento de siendo plenamente responsable ante el
datos por cuenta de tercero. Responsable del Tratamiento en lo referente
al cumplimiento de las obligaciones del
Como ya se expuso, dicho contrato deberá
subencargado299.
contener, como mínimo, las siguientes
cláusulas: el objeto, la duración, la naturaleza Visto ya el régimen aplicable a la protección
y la finalidad del tratamiento, el tipo de datos de datos, es necesario continuar con la
personales y categorías de interesados, y las distribución de derechos de propiedad
obligaciones y derechos del responsable298. intelectual en la creación de software por
parte de la empresa subcontratada en favor
Además de las cláusulas mencionadas,
de la contratante.
conviene traer a colación el régimen
de subcontratación en los contratos de La contratación de servicios informáticos
tratamiento de datos. El RGPD exige supone per se la constitución de una relación
la autorización previa por escrito del jurídica. Es por este motivo que, el contratista
Responsable del Tratamiento para que el sigue siendo plenamente responsable frente
Encargado del Tratamiento pueda recurrir a al cliente por su actuación.
otro encargado (en puridad, subencargado)
El hecho de concentrar responsabilidades
para desarrollar el servicio encomendado,
en el contratista que asume el encargo
cuando esto conlleve el tratamiento de
tiene notorias consecuencias que deben ser
datos personales por parte de un tercero.
consideradas en el momento de elaborar el
Esta autorización puede ser específica acuerdo o contrato.
(identificación de la entidad concreta) o
En primer lugar, se hace necesario delimitar el
general (sólo autorizando la subcontratación,
alcance de los trabajos que estarán a cuenta
pero sin concretar la entidad).
del contratista y analizar las dependencias
En todo caso, el subencargado del respeto del cliente final todo con el objetivo
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 811
MÓDULO 20 • COMPLIANCE EN LA ERA DIGITAL
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 812
MÓDULO 20 • COMPLIANCE EN LA ERA DIGITAL
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 813
MÓDULO 20 • COMPLIANCE EN LA ERA DIGITAL
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 814
MÓDULO 20 • COMPLIANCE EN LA ERA DIGITAL
puerta real de acceso para los empleados que se le hubiera asignado (tarjetas de
a los sistemas de información de la acceso, dispositivos de almacenamiento de
organización (piénsese en cuentas de correo empresa, etc.).
electrónico, acceso a CRM, programas de
20.6.3. Planes de continuidad de
imputación horaria…). Se trata de entregar
negocio
las credenciales de acceso de la cuenta de
forma confidencial al empleado, así como Recogido en la Norma ISO 22301: Protección
informarle de la Política de usuarios y y seguridad de los ciudadanos, Sistema
contraseña. Por el contrario, las cuentas de de Gestión de la Continuidad del Negocio
administrador son aquellas que permiten (SGCN), el plan de continuidad de negocio
realizar todas las acciones posibles sobre los o Business Continuity Planning (BCP), es el
sistemas de información, por lo que el grado de proceso consistente en crear un sistema de
precaución debe extremarse. Estas cuentas prevención y recuperación de potenciales
suelen ser ostentadas por altos cargos de daños que puedan sufrir las organizaciones.
dirección en tanto que son los titulares de
la información strictu sensu. Resulta de gran Estos daños abarcan desde incidentes locales
valor aplicar medidas de seguridad como las (p. ej. incendios, terremotos, inundaciones)
siguientes: usar estas cuentas únicamente hasta incidentes de carácter regional o
para labores de administración, adoptar internacional, aunque a los efectos que aquí
medidas más estrictas de autenticación, atañe es de aplicación para supuestos de
registrar fehacientemente los logs, evitar ciberataques y violaciones de seguridad.
que los privilegios de estas cuentas puedan
El plan asegura que tanto el personal
ser heredados por otras cuentas y llevar
como los bienes están protegidos y
controles periódicos de auditoría.
tienen capacidad de reacción para seguir
Como no podía ser de otro modo, se deben funcionando en caso de desastre. El BCP
definir e implantar aquellos mecanismos de está pensado para situaciones ex ante,
autenticación más adecuados para permitir es decir, antes de que suceda el daño que
el acceso a la información de la organización. se pretende salvaguardar, e involucra a
partes interesadas y personal clave de la
Otra buena forma de mantener a salvo la organización.
información consiste en registrar los eventos,
es decir, establecer mecanismos para La Norma ISO 22301 es una norma
registrar todos los eventos destacados en el internacional, por lo que puede ser
manejo de la información de la organización. adoptada por todo tipo de organizaciones,
Por último, cuando un empleado finalice la públicas o privadas, independientemente
relación contractual con la organización se de su tipo, tamaño o servicio a prestar.
deben revocar todos los permisos que hasta Evidentemente, esta norma cobra especial
la fecha ostentaba y éste, por su parte, sentido e importancia en organizaciones
deberá devolver el activo de información que trabajan en entornos de alto riesgo, ya
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 815
MÓDULO 20 • COMPLIANCE EN LA ERA DIGITAL
que su capacidad de resiliencia para seguir • Órgano de control: un BCP contiene una
trabajando es vital para el negocio, los estructura de gobierno a menudo en
clientes, así como para terceras personas la forma de un comité, que asegurará
interesadas. los compromisos de la alta gerencia y
definirá los roles y responsabilidades de
La correcta implantación de un BCP permite
la misma. Este comité es responsable de
a las organizaciones obtener los siguientes
la supervisión, iniciación, planificación,
beneficios:
aprobación, prueba y auditoría del BCP.
i. Establecer, implementar, mantener También es el encargado de coordinar
y mejorar los sistemas de gestión de actividades, aprueba el Análisis de
continuidad de negocio; Impacto de Negocio (BIA), supervisa la
creación de BCPs y revisa los resultados
ii. Proporcionar a las partes interesadas
de las actividades de garantía de calidad.
confianza en su conformidad y
compromiso con las buenas prácticas • Análisis de Impacto de Negocio (BIA):
reconocidas internacionalmente; el objetivo del BIA es identificar el
mandato de la organización y los
iii. Proporcionar un lenguaje común a
servicios o productos críticos; clasificar
organizaciones globales, especialmente
el orden de prioridad de los servicios
a aquellas con una cadena de suministro
o productos para la entrega continua
larga y compleja;
o la recuperación rápida; e identificar
iv. Proteger a los empleados y a la reputación los impactos internos y externos de las
de la marca; interrupciones.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 816
MÓDULO 20 • COMPLIANCE EN LA ERA DIGITAL
aspectos deben ser mejorados ya por supuesto, tener conocimientos sobre los
que la evaluación continua de éste es procesos de recuperación y verificación de
esencial para mantener su efectividad. la información.
La evaluación puede realizarse mediante
A continuación se presentan algunas de las
una auditoría interna o externa.
medidas de seguridad que pueden ayudar a
20.6.4. Prevención y detección de una organización a la prevención y detección
virus de virus:
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 817
MÓDULO 20 • COMPLIANCE EN LA ERA DIGITAL
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 818
MÓDULO 20 • COMPLIANCE EN LA ERA DIGITAL
hecho implica que será la organización y digital bajo los siguientes términos:
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 819
MÓDULO 20 • COMPLIANCE EN LA ERA DIGITAL
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 820
MÓDULO 20 • COMPLIANCE EN LA ERA DIGITAL
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 821
MÓDULO 20 • COMPLIANCE EN LA ERA DIGITAL
• En el ámbito digital, hay unos términos o conceptos que destacan por encima de los demás: los
datos y/o la información. Hoy en día, gran parte de nuestra actividad y la de las organizaciones
gira en torno a ellos.
• La actividad en las organizaciones, por tanto, queda condicionada por estos, y es a raíz de la
necesidad de gestionarlos y protegerlos donde aparecen nuevas regulaciones (inicialmente
en el ámbito de la protección de datos personales y posteriormente ampliándose a la resiliencia
de los sistemas e infraestructuras) y roles, como puede ser el del Director de Seguridad de la
Información o CISO (Chief Information Security Officer). Este puesto juega un papel fundamental,
destacado y de liderazgo en este ámbito, y es con quien el responsable de Compliance deberá
relacionarse y coordinarse (al igual que con el DPD, por ejemplo).
• No obstante, una cuestión es identificar los incidentes y otra su gestión. Los incidentes de
seguridad, sean más o menos habituales (como phishing, ransomware, fugas de información,
etc) requieren de la existencia de planes de acción (o reacción) ante incidentes. Siguiendo las
recomendaciones de INCIBE, una adecuada gestión supone la aplicación de varias fases que
han de estar descritas en estos planes: preparación, identificación, contención, mitigación,
recuperación y actuaciones post incidente.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 822
MÓDULO 20 • COMPLIANCE EN LA ERA DIGITAL
interna de los EEMM antes de septiembre de 2024, así como el Reglamento 2022/2554 sobre la
resiliencia operativa digital del sector financiero (Reglamento DORA) en vigor desde enero de
2023, aunque con un plazo de 2 años para su aplicación completa.
• Por otro lado, en España existe una extensa normativa afectada por la ciberseguridad, si bien la
más relevante y específica se centra en la trasposición de la normativa europea, como sucede
con el Real Decreto-ley 12/2018, de seguridad de las redes y sistemas de información. España
cuenta asimismo con una Estrategia de Seguridad Nacional (2021) y una Estrategia Nacional
de Ciberseguridad (2019).
• Para la gestión operativa diaria, cabe señalar las guías específicas desarrolladas por el Instituto
Nacional de Ciberseguridad (INCIBE) respecto a la seguridad de redes y sistemas, así como
para la gestión, resolución y notificación de una amplia gama de incidentes de seguridad de la
información.
• Cabe recordar, asimismo, la importancia de las prevenciones en materia del descanso regulado
y las vacaciones de los trabajadores, en relación al artículo 88 de la LOPDGDD, que regula la
desconexión digital. Por ello se hace necesario contar con una política que recoja todos los
aspectos relevantes para salvaguardar los derechos de los trabajadores a la desconexión.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 823
BIBLIOGRAFÍA
Bibliografía
• Autoridad Bancaria Europea (ABE, 2015), Directrices de la ABE sobre la evaluación de
solvencia, disponible en https://www.eba.europa.eu/sites/default/documents/files/
documents/10180/1162894/b74068f2-7a6d-4b4d-976b-130bdce777e5/EBA-GL-2015-11_ES_
GL%20on%20creditworthiness.pdf?retry=1.
• AEPD (2017), Directrices para la elaboración de contratos entre los responsable sy encargados
del tratamiento. Disponible en https://www.aepd.es/sites/default/files/2019-10/guia-directrices-
contratos.pdf.
• AEPD (2021). “Gestión del riesgo y evaluación de impacto en tratamientos de datos personales”.
Disponible en https://www.aepd.es/es/documento/gestion-riesgo-y-evaluacion-impacto-en-
tratamientos-datos-personales.pdf.
• AEPD (2017). “Guía para el cumplimiento del deber de informar”. Disponible en https://www.
aepd.es/media/guias/guia-modelo-clausula-informativa.pdf.
• AEPD (2018). Guía sobre el uso de videocámaras para seguridad y otras finalidades. Disponible
en https://www.aepd.es/sites/default/files/2019-09/guia-videovigilancia.pdf.
• AEPD (2011), “Número de teléfono y concepto de dato personal. Informe 285/2006”, accesible
en https://www.aepd.es/es/documento/2006-0285.pdf
• Aldo Olcese Santonja (2005), Teoría y práctica del buen gobierno corporativo. Marcial Pons,
Ediciones Jurídicas y Sociales, 2005.
• Altamonte Springs, FL, The Institute of Internal Auditors Inc (2013), The Three Lines of Defense
in Effective Risk Management and Control. Disponible en: https://na.theiia.org/standards-
guidance/Public%20Documents/2015-Leveraging-COSO-3LOD.pdf
• Altamonte Springs, FL, The Institute of Internal Auditors Inc (2020), The IIA’s Three Lines Model,
An update of the Three Lines of Defense. Institute of Internal Auditors (IIA). https://www.theiia.
org/globalassets/documents/resources/the-iias-three-lines-model-an-update-of-the-three-
lines-of-defense-july-2020/three-lines-model-updated-spanish.pdf
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 824
BIBLIOGRAFÍA
• Argandoña, A. (2004), Conflicto de intereses: el punto de vista ético, IESE Business School,
Universidad de Navarra, presentado la XII Conferencia anual de Ética, Economía y Dirección.
Documento de investigación publicado por la Cátedra de Economía y Ética Accesible en https://
www.iese.edu/research/pdfs/DI-0552.pdf
• Argandoña, A. (2008), La ética en los negocios, Occasional Paper OP nº 8/10, Cátedra “la Caixa”
de Responsabilidad Social de la Empresa y Gobierno Corporativo, IESE.
• Asch, S. (1956), Studies of independence and conformity: a minority of one against a unanimous
majority, Psychological Monographs volume 70, 1-70
• Asociación Española de Compliance – ASCOM (2017). Libro Blanco sobre la Función de Compliance.
Recuperado de https://www.asociacioncompliance.com/wp-content/uploads/2017/08/Libro-
Blanco-Compliance-ASCOM.pdf
• Aznar, E., & Vaccaro, A. (2015). Make Way for the Chief Integrity Officer. IESE Insight Fourth
Quarter, 27, 23-30.
• Bacigalupo Zapater, E (2005), Curso de Derecho Penal Económico, Marcial Pons, Madrid.
• Basel Committee on Banking Supervision (2005), Compliance and the Compliance function in
Banks. Disponible en: http://www.bis.org/
• Blyth, BT and Machold, RJ. (2011). The human side of GRC. The Essence of Governance, Risk and
Compliance. Crisis Management International. Recuperado de https://docplayer.net/3808534-
The-human-side-of-grc-the-essence-of-governance-risk-and-compliance.html
• Boehme, D.C., (2014) The CCO as Ethical Culture Leader publicado en Ethiko
• Bowen, Howard R (1953). Social responsibilities of the businessman. University of Iowa Press.
• Buffet, W (2010). Memo to Berkshire Hathaway Managers (“The All-Stars”), accessible en https://
www.berkshirehathaway.com/letters/2010ltr.pdf
• Bulgarella, C. (2018). Why values and purpose create ethical debt. The FCPA Blog. Recuperado
de http://www.fcpablog.com/blog/2018/2/22/caterina-bulgarella-on-oxfam-why-values-and-
purpose-create-e.html
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 825
BIBLIOGRAFÍA
• Cain, D.M. y Detsky, A.S. (2008), Everyone's a Little Bit Biased (even Physicians), JAMA, 299 (24).
• Calvo Caravaca, A.L. (2009). Derecho antitrust europeo. Tomo I , parte general, la competencia.
• Carrol, A. (1991), The Pyramid of Corporate Social Responsibility: Toward the Moral Management
of Organizational Stakeholders, Business Horizons (publicación julio - agosto).
• Chroust, A-H. y Osborn, D. (1942), Aristotle's Conception of Justice, 17 Notre Dame L. Rev. 129
(1942), accesible en: http://scholarship.law.nd.edu/ndlr/vol17/iss2/
• CNMV (2015), Código de Buen Gobierno de las sociedades cotizadas.Disponible en: https://
www.cnmv.es/docportal/publicaciones/codigogov/codigo_buen_gobierno.pdf.
• CNMV (2019), Comunicado dirigido a los emisores de valores cotizados sobre el nuevo marco
normativo europeo de abuso de mercado, https://www.cnmv.es/loultimo/ISMAR_ok.pdf.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 826
BIBLIOGRAFÍA
• Cortina, A. (2000), Las tres edades de la ética empresarial, artículo de opinión, El País, accesible
en https://elpais.com/diario/2000/11/29/opinion/975452411_850215.html.
• COSO (2017). Gestión del Riesgo Empresarial - Integrando Estrategia y Desempeño. Resumen
ejecutivo. Traducido al castellano por el Instituto de Auditores Internos. Recuperado de https://
auditoresinternos.es/uploads/media_items/coso-2018-esp.original.pdf
• Darcy, K. (2013), Ethics and compliance: Birth of a profession, Business Compliance 03-04/2013,
Baltzer Science Publishers
• David, H., Mc Whorter, R.S. y Fort, T.L. (2006), The 2004 Amendments to the Federal Sentencing
Guidelines and their Implicit Call for a Symbiotic Integration of Business Ethics, Fordham Journal
of Corporate & Financial Law, Volume 11, No 4, article 2.
• Deloitte (2015). Building world-class ethics and compliance programs: Making a good program
great Five ingredients for your program. Recuperado de: https://www2.deloitte.com/content/
dam/Deloitte/no/Documents/risk/Building-world-class-ethics-and-compliance-programs.pdf
• Denmark, F.L. (1993), Women, leadership and empowerment, Psychology of Women Quarterly,
Vol. 17 pp.343-56.
• Departamento del Tesoro de EEUU (2022), National Proliferation Financing Risk Assessment,
accesible en https://home.treasury.gov/system/files/136/2022-National-Proliferation-
Financing-Risk-Assessment.pdf
• Driscoll y Hoffman (1999), Ethics matters: How to implement values-driven management, Center
for Business Ethics (Bentley College)
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 827
BIBLIOGRAFÍA
• English, S. y Hammond, Ss. (2019) Cost of Compliance 2019: 10 years of regulatory change.
Thomson Reuters Regulatory Intelligence.
• ENISA (EU Agency for Cybersecurity, 2016). Definition of Cybersecurity - Gaps and overlaps
in standardization. Disponible en https://www.enisa.europa.eu/publications/definition-of-
cybersecurity
• Enseñat de Carlos, S. (2016). Manual del Compliance Officer: guía práctica para los responsables
de Compliance de habla hispana. España: Thomson Reuters Aranzadi.
• Ethics & Compliance Initiative (2016), pp 13-16, Report of ECI’s conflicts of interest benchmarking
group, patrocinado por Kaplan & Walker LLP.
• Ethics & Compliance Initiative (2017) Ethical leadership around de world and why it matters’-
Research Report from ECI’s Global Busines Survey, Executive Summary Recuperado de https://
www.ethics.org/knowledge-center/ethical-leadership-around-the-world-and-why-it-matters/
• Ethics & Compliance Initiative (2018). Critical elements of an effective Ethics & Compliance
program. Recuperado de https://www.ethics.org/.
• European Data Protection Board (EDPB, 2020), Directrices 3/2019 sobre el tratamiento de datos
personales mediante dispositivos de vídeo, disponible en https://edpb.europa.eu/sites/default/
files/files/file1/edpb_guidelines_201903_video_devices_es.pdf
• European Securities and Markets Authority (2012). (ESMA). Guidelines on certain aspects of the
MiFID compliance function requirements. Recuperado de https://www.esma.europa.eu/sites/
default/files/library/2015/11/2012-388.pdf
• European Securities and Markets Authority (2019) Draft of revised guidelines on certain aspects
of the MiFID Compliance function requirements.
• Fabri, David. (2012). The Price of Whistle blowing : the flawed ECJ Decision in Stanley Adams vs
Commission of the European Communities. University of Malta.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 828
BIBLIOGRAFÍA
• Filabi, A. y Bulgarella, C. (2018), Organizational Culture Drives Ethical Behaviour: Evidence From
Pilot Studies, OCDE Global Anticorruption & Integrity Forum,. Accesible en https://www.oecd.
org/corruption/integrity-forum/academic-papers/Filabi.pdf
• Financial Action Task Force (2014), Risk-based approach guidance for the banking sector,
disponible en http://www.fatf-gafi.org/media/fatf/documents/reports/Risk-Based-Approach-
Banking-Sector.pdf
• Financial Conduct Authority (FCA UK). (2017) The Compliance function in wholesale banks.
Recuperado de: https://www.fca.org.uk/publications/multi-firm-reviews/Compliance-function-
wholesale-banks
• Fiscalía General del Estado ((2016). Circular 1/2016, sobre la responsabilidad penal de las
personas jurídicas conforme a la reforma del Código Penal efectuada por la Ley Orgánica
1/2015. Madrid, España.
• Friedman, M. (1970), The Social Responsibility of Business is to Increase its Profits, The New York
Times Magazine.
• GAFI-FAFT (2021), Guidance on proliferation financing risk assessment and mitigation. Accesible
en https://www.fatf-gafi.org/en/publications/Financingofproliferation/Proliferation-financing-
risk-assessment-mitigation.html
• Gibson, R., Tanner, C. y Wagner, A.F. (2015), Do situational social norms crowd-out
intrinsiCPreferences? an experiment regarding the choice of honesty
• Gilmore, W.C. (1993), Money Laundering: The International Aspect. Money Laundering: Hume
Papers on Public Policy 1.2, Edinburgh University Press.
• Grupo de Trabajo del Artículo 29 (2017), Directrices sobre la evaluación de impacto relativa a la
protección de datos (EIPD) y para determinar si el tratamiento «entraña probablemente un alto
riesgo» a efectos del Reglamento (UE) 2016/679. Accesible en https://ec.europa.eu/newsroom/
article29/items/611236
• Grupo Wolfsberg (2012), Wolfsberg Anti-Money Laundering Principles for Private Banking,
accesible en https://www.wolfsberg-principles.com/sites/default/files/wb/pdfs/wolfsberg-
standards/10.%20Wolfsberg-Private-Banking-Prinicples-May-2012.pdf
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 829
BIBLIOGRAFÍA
• Hannan, S., Comment, (2019) Effective Corporate Compliance: A Holistic Approach for
• Helin, S., Jensen, T., Sandstrom, J., & Clegg, S. (2011). On the dark side of codes: Domination not
enlightenment. Scandinavian Journal of Management, 27(1), 24-33.
• Hoffman, W.M. y Moore, J.M. (1990), Business Ethics: Readings and Cases in Corporate Morality,
MacGraw-Hill.
• House, R., Hanges, P., Javidan, M., Dorfman, P., Gupta, V. (2004), Culture, Leadership, and
Organizations. The GLOBE study of 62 Societies, Sage Publications Inc., Beverly Hills, CA.
• HM Treasury, Reino Unido (2021). National risk assessment of proliferation financing. Accesible
en https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_
data/file/1020695/National_risk_assessment_of_proliferation_financing.pdf
• International Organization for Standarization (2014). ISO 19600: 2014 Compliance Management
Systems Guidelines.
• Iscenko, Z., Pickard, C., Smart, L. y Vasas. Z. (2016), Behaviour and compliance in organisations,
Financial Conduct Authority (FCA), ocassional paper n. 24, accesible en https://www.fca.org.uk/
publication/occasional-papers/op16-24.pdf
• Jogulu, U. D. and Wood, G. J. (2006).The role of leadership theory in raising the profile of women
in management, Equal opportunities international, vol. 25, no. 4, pp. 236-250.
• Joy, P.A. y McMunigal, K.C., Corporate “Miranda” Warnings (2010). Criminal Justice, Vol. 25, No.
2, Summer 2010, Washington University in St. Louis Legal Studies Research Paper No. 10-07-02,
disponible en SSRN: https://ssrn.com/abstract=1736716
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 830
BIBLIOGRAFÍA
• Kaptein, M. (2009). Ethics programs and ethical culture: A next step in unraveling their multi-
faceted relationship. Journal of Business Ethics, 89(2), 261-281.
• Kaptein, M. (2010). The ethics of organizations: A longitudinal study of the US working population.
Journal of Business Ethics, 92(4), 601-618.
• KPMG, The time has come. The KPMG Survey of Sustainability Reporting 2020, KPMG IMPACT
(2020), https://assets.kpmg.com/content/dam/kpmg/xx/pdf/2020/11/the-time-has-come.pdf
• Lagarde, C. (2015) “Ethics and Finance: Aligning Financial Incentives with Social Objectives”
• Laufer, W. S. (1999). Corporate liability, risk shifting, and the paradox of compliance. Vand.L.Rev.,
52, 1341.
• Layne, N. (4 de mayo de 2017). Former MoneyGram executive settles closely watched U.S.
money laundering case. Reuters.
• Ley Orgánica 1/2015, de 30 de marzo, por la que se modifica la Ley Orgánica 10/1995, de 23 de
noviembre, del Código Penal [Internet], artículo 31 bis. Boletín Oficial del Estado, núm 77, 31 de
marzo de 2015. Disponible en https://www.boe.es/diario_boe/txt.php?id=BOE-A-2015-3439
• MAB (mercado alternativo bursátil): Guía de buenas prácticas de las entidades emisoras en el
mercado alternativo bursátil. Mayo 2015.
• Martin, S L, (2015) Compliance Officers: more Jobs, more responsibility, mode liability, 29 Notre
Dame J.L. Ethics &Pub Ploy 169
• Melé, D. (2009), Business ethics in action: seeking human excellence in organizations, Palgrave
Macmillan
• Melé, Domènec (2015), Ética en dirección de empresas. Calidad humana para una buena
gestión. Pearson Educación.
• Michael, M. L. (2006). Business ethics: The law of rules. Business Ethics Quarterly, 16(4), 475-504.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 831
BIBLIOGRAFÍA
• Ministerio de Justicia del Reino Unido, (2011) Guidance about procedures which relevant
commercial organisations can put into place to prevent persons associated with them from
bribing (section 9 of the Bribery Act 2010). Accesible en https://www.justice.gov.uk/downloads/
legislation/bribery-act-2010-guidance.pdf
• Mont, J., (2015), Parsing the difference between GRC & ERM, Compliance Week.
• Montero, D (2018), Extracto adaptado de su obra Kickback: Exposing the Global Corporate
Bribery Network Recuperado de: https://longreads.com/2018/11/20/the-second-half-of-
watergate-was-bigger-worse-and-forgotten-by-the-public/
• Nash, L. (1990), Good Intentions Aside: A Manager’s Guide to Resolving Ethical Problems,
Harvard Business School Press.
• Neiger, B. (2015), Succesfull Compliance for efficient organisations with ISO 19600:2014.
• Niebuhr, R. (1966). El hombre moral y la sociedad inmoral: un estudio sobre ética y política.
Ediciones Siglo Veinte.
• Nieto Martín, A. (2013) “Cosmetic Use and Lack of Precision in Compliance Programs: Any
Solution?” Revista EUCRIM. Accesible en https://biblioteca.corteidh.or.cr/tablas/r16761.pdf
• Obra colectiva dirigida por Alfonso Martínez-Echevarría y García de Dueñas (2015), Gobierno
Corporativo: la estructura del órgano de gobierno y la responsabilidad de los administradores.
Editorial Thomson Reuters Aranzadi.
• Obra colectiva dirigida por Santiago Hierro Anibarro (2014), Gobierno corporativo en sociedades
no cotizadas. Marcial Pons, Ediciones Jurídicas y Sociales.
• OCDE (2010). Global forum on competition. Roundtable on collusion and corruption in public
procurement. Accesible en https://www.oecd.org/competition/cartels/46235884.pdf
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 832
BIBLIOGRAFÍA
• OCDE (2010), Guía de Buenas Prácticas sobre Controles Internos, Ética y Cumplimiento
de Normas. Accesible en http://www.cca.org.mx/ps/funcionarios/cursos/inemp/archivos/
AnexoBHerramientasGuiaBuenasPracticasOCDE.pdf
• OCDE (2015), Informe de la OCDE sobre Cohecho Internacional. Análisis del delito de cohecho
de servidores públicos extranjeros. Disponible en http://www.oecd.org/publications/informe-
de-la-ocde-sobre-el-soborno-internacional-9789264226654-es.htm
• OCDE (2018), La integridad pública desde una perspectiva conductual: El factor humano como
herramienta anticorrupción, Estudios de la OCDE sobre Gobernanza Pública, OECD Publishing,
Paris. Disponible en https://www.oecd.org/gov/la-integridad-publica-desde-una-perspectiva-
conductual-9789264306745-es.htm
• OCDE (2019), Lavado de activos y financiación del terrorismo – Manual para inspectores
y auditores fiscales, accesible en https://www.oecd.org/ctp/crime/lavado-de-activos-y-
financiacion-del-terrorismo-manual-para-inspectores-y-auditores-fiscales.pdf
• OCDE (2017), Recomendación del consejo de la OCDE sobre integridad pública, disponible en
https://www.oecd.org/gov/ethics/recomendacion-sobre-integridad-es.pdf
• OCDE (2000), Reducing the Risk of political failure: challengues for regulatory compliance.
Accesible en https://www.oecd.org/gov/regulatory-policy/46466287.pdf
• OCDE (2014), Regulatory Enforcement and Inspections, OECD Best Practice Principles for
Regulatory Policy, OECD Publishing, Paris, disponible en https://www.oecd.org/gov/regulatory-
enforcement-and-inspections-9789264208117-en.htm
• Oftedal, E (2015), The financing of jihadi terrorist cells in Europe, FFI-rapport 2014/02234,
Norwegian Defence Research Establishment (FFI), accessible en https://ffi-publikasjoner.
archive.knowledgearc.net/bitstream/handle/20.500.12242/1103/14-02234.pdf
• OICU-IOSCO (2003) The function of Compliance Officer. Study on What the Regulations of
the Member’s Jurisdictions Provide for the Function of Compliance Officer. SRO Consultative
committee of the International Organization of Securities Commissions.
• Paine, L. S. (1994). Managing for organizational integrity. Harvard Business Review, 72(2), 106-
117. Recuperado de https://hbr.org/1994/03/managing-for-organizational-integrity
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 833
BIBLIOGRAFÍA
• R. H. Girgenti, T.P. Hedley. (2013), Gestión del riesgo de fraude e irregularidades empresariales.
KPMG. Ed. McGraw-Hill.
• Red flag group (2019). The first 90 days in Compliance. (2019). Recuperado de: https://insights.
redflaggroup.com/articles/the-first-90-days-in-Compliance
• Reglamento delegado (UE) 2017/65/UE del Parlamento Europeo y del Consejo en lo relativo a
los requisitos organizativos y las condiciones de funcionamiento de las empresas de servicios
de inversión y términos definidos a efectos de dicha directiva.
• Reuters (4 de abril de 2017). Former MoneyGram executive settles closely watched U.S.
money laundering case. Recuperado de https://www.reuters.com/article/us-moneygram-intl-
moneylaundering-idUSKBN1802P3
• Rho, H-K. (2018) The Compliance Role: A Proposal for Improved Understanding, IACA Research
paper series No.3.
• Robinson, A.A (2008), Corporate culture as a basis for the criminal liability of coporations. United
Nations Special Representative of the Secretary – General on Human Rights and Business.
• Rooke & Torbert (2005:3), Seven Transformations of Leadership, Harvard Business Review
• Schein, E. H. (2004). Organizational culture and leadership (3ª edición). Estados Unidos: Jossey-
Bass
• Schwartz, M. (2001). The nature of the relationship between corporate codes of ethics and
behaviour. Journal of Business Ethics, 32(3), 247-262.
• Schwartz, M. S. (2002). A code of ethics for corporate code of ethics. Journal of Business Ethics,
41(1-2), 27-43.
• Shepardson, D. (11 de mayo de 2017). Volkswagen U.S. unit names Compliance Officer
after diesel scandal. Reuters. Recuperado de: https://www.reuters.com/article/volkswagen-
emissions/volkswagen-u-s-unit-names-Compliance-officer-after-diesel-scandal-idUSL1N1ID1SJ
• Stevens, B. (2008). Corporate ethical codes: Effective instruments for influencing behavior.
Journal of Business Ethics, 78(4), 601-609.
• Suárez Barcia, L. (2018). Curso de ciberseguridad y el rol del Compliance Officer. ICEMD-ESIC.
Recuperado de: https://www.icemd.com/digital-knowledge/articulos/curso-de-ciberseguridad-
y-el-rol-del-Compliance-officer/
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 834
BIBLIOGRAFÍA
• The Institute of Risk Management (2012), p.7, Risk culture: Under the microscope. Disponible en
https://www.theirm.org/media/885907/Risk_Culture_A5_WEB15_Oct_2012.pdf.
• The Institute of Risk Management (2018), From the cube to the rainbow double helix: a risk
practitioner’s guide to the COSO ERM Frameworks, pp 4-5, disponible en www.theirm.org
• Thomson, P.C. (1984) Círculos de Calidad. Cómo hacer que funcionen. Editorial Norma.
• Treviño, L. K., & Brown, M. E. (2007). Ethical leadership: A developing construct. Positive
organizational behavior, 101-116.
• Treviño, L. K., Weaver, G. R., Gibson, D. G., & Toffler, B. L. (1999). Managing ethics and legal
compliance: What works and what hurts. California Management Review, 41(2), 131-151.
• Treviño, L.K. y Brown, M.E. (2004), Managing to be Ethical: Debunking five business ethics myths,
Academy of Management Executive, vol. 18, no. 2.
• UNE 19601:2017, Sistemas de Gestión de Compliance penal Requisitos con orientación para su
uso. Disponible en www.aenor.es.
• ISO 14001:2015. Sistema de Gestión Ambiental. Requisitos y con orientación para su uso.
Disponible en https://www.iso.org/standard/60857.html
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 835
BIBLIOGRAFÍA
• ISO 37301:2021. Sistemas de gestión de Compliance. Requisitos con orientación para su uso.
Disponible en https://www.iso.org/standard/75080.html
• US Bureau of Labor Statistics (2018). Occupational Employment and Wages, May 2018 https://
www.bls.gov/oes/current/oes131041.htm#top
• Voss, A (2021), Fixing the GDPR: Towards Version 2.0. Position Paper. Disponible en https://
www.axel-voss-europa.de/wp-content/uploads/2021/05/GDPR-2.0-ENG.pdf
• Walsh, J. H. (2002), Speech by SEC Staff: What makes Compliance a profession?. (NRS Symposium
on the Compliance Profession, Miami Beach)
• Weaver, G. R. (2001). Ethics programs in global businesses: Culture's role in managing ethics.
Journal of Business Ethics, 30(1), 3-15.
• Weaver, G. R., Treviño, L. K., & Cochran, P. L. (1999). Integrated and decoupled corporate social
performance: Management commitments, external pressures, and corporate ethics practices.
Academy of Management Journal, 42(5), 539-552.
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 836