Compliance

Tema 1
Compliance
Tema 1. Entorno genérico de

cumplimiento
Índice
Esquema
Ideas clave
1.1. ¿Cómo estudiar este tema?
1.2. Principios y directrices de la OCDE
1.3. Las normas de estandarización nacionales e

internacionales
1.4. Referencias bibliográficas
A fondo
Superestructuras de Compliance: el estándar global
Norma UNE 19601
UNE 19 601 Compliance Penal
Modelo COSO 2013
Entornos de control
OCDE (2004) Principios de gobierno Corporativo
Test
Esquema
Compliance 3
Tema 1. Esquema
© Universidad Internacional de La Rioja (UNIR)
Esquema
Compliance 4
Tema 1. Esquema
Ideas clave
Para estudiar este tema, además de leer y comprender las ideas clave, deberás
complementar los contenidos con las siguientes lecturas: Casanovas, A. (2012).
Legal Compliance. Principios de cumplimiento generalmente aceptados (pp. 61-92).
Madrid: Difusión jurídica. Disponible aquí en virtud del artículo 32.4 de la Ley de
Propiedad Intelectual.
Casanovas, A. (2018). El estándar nacional sobre compliance penal: UNE 19601,
Serie.
Compliance avanzado – 8. KPMG. Disponible en:
https://www.tendencias.kpmg.es/wp-
content/uploads/2018/08/8_Estandares_Nacionaless_270718.pdf
En el tema 1 analizaremos el origen de los principios relativos a modelos de gestión
basados en gobernanza corporativa y entornos de cumplimiento. Repasaremos los
aspectos esenciales de dichos entornos y las metodologías que se aplican para su
desarrollo en el seno de la organización o empresa.
También veremos el papel que las normas de estandarización tanto nacionales como
internacionales juegan al respecto. Conoceremos cuáles son las más significativas,
los aspectos esenciales de su contenido y su utilidad en la materia.
Compliance 5
Tema 1. Ideas clave
Ideas clave
1.2. Principios y directrices de la OCDE
El convenio fundacional de la Organización para la Cooperación y el Desarrollo
Económico (OCDE), firmado en París el 14 de diciembre de 1960, y que entró en
vigor el 30 de septiembre de 1961 contempla como uno de sus objetivos primordiales
la contribución a la «sana expansión económica» de los Estados. Para la
consecución de dicho objetivo la OCDE recomienda una serie de principios que con
el paso del tiempo se han convertido en auténticos modelos de funcionamiento para
empresas y organizaciones en el ámbito internacional.
Principios de Gobierno Corporativo
En 1999 emitió los denominados Principios de Gobierno Corporativo. Concebidos
inicialmente como recomendaciones generales sobre gobernanza, constituyen el
entorno genérico mayoritariamente aceptado para la gestión del cumplimiento al
abordar cuestiones tales como los procesos decisorios en materias

medioambientales, cuestiones de índole ética y aspectos relativos a la lucha contra la
corrupción.
Si bien no reconocen la existencia de un único modelo de gobierno corporativo,
establecen principios de gran valor para la adopción de prácticas de buen gobierno
que han constituido históricamente la base de referencia para la legislación de los
Estados.
No se trata de un texto específicamente centrado en Compliance, pero aborda
aspectos relativos, por ejemplo, al compromiso con los valores éticos, la integridad
de la información financiera y el cumplimiento normativo.
Líneas directrices para empresas multinacionales
En 1976 la OCDE aborda medidas para facilitar los procesos de inversión entre sus
estados miembros. La cuestión se plasma en la Declaration on International
Compliance 6
Tema 1. Ideas clave
Ideas clave
Investment and Multinational Enterprises. Como parte de dicha declaración vieron la
luz las Guidelines for Multinational Enterprises. Las «Guidelines» son una serie de
recomendaciones para llevar a cabo negocios de forma responsable con el fin de
generar un entorno de confianza que dé seguridad a los inversores. Hoy por hoy
constituyen referencia obligada para las multinacionales, y su contenido determina
los elementos clave del entorno genérico para la gestión del cumplimiento.
Se estructuran en torno a una serie de bloques de cumplimiento normativo muy
esenciales, lo que hace difícil que las empresas multinacionales puedan obviar
cualquiera de ellos.
Resulta interesante destacar que uno de los principios señalados en las «Guidelines»
hace referencia no solo al comportamiento de la propia multinacional, sino también a
la necesidad de vigilar el comportamiento de sus proveedores.
También se señala la necesidad de que las empresas y organizaciones dispongan de
sistemas de cumplimiento, y a que den a conocer información sobre el mismo.
Entornos de cumplimiento
Una parte esencial de cualquier sistema de cumplimiento la constituyen los
denominados entornos de control. Surgen en los años 90, centrados en la
definición de procedimientos de control interno. Su importancia crece en el siglo XXI,
fruto de los grandes escándalos de corrupción como el de la americana ENRON.
De entre todos los existentes es mayoritariamente aceptada la metodología
desarrollada por el Committee of Sponsoring Organizations (COSO). COSO se
centra en el control interno en el ámbito de la información financiera. No obstante, si
bien el modelo solo es aplicable en aquellos ámbitos directamente relacionados con
los reportes financieros, sus principios son aplicables de modo genérico en el ámbito
del cumplimiento.
Compliance 7
Tema 1. Ideas clave
Ideas clave
▸ COSO. Aspectos esenciales
El entorno definido por COSO ha devenido con el tiempo en el estándar por
excelencia en cuanto a control interno. Define un marco integrado de control
genérico que se basa en la existencia de información fiable. Se estructura en torno a
una matriz de tres dimensiones:
▸
• Objetivos: estrategia, operaciones, información y cumplimiento.
• Componentes: elementos sobre los que hay que actuar, en relación a cada
uno de los objetivos anteriores, y que determinarán el nivel de efectividad con
el que una organización controla sus riesgos y oportunidades.
• Aplicación/evaluación: las dos dimensiones anteriores deben aplicarse tanto

a nivel de entidad como de actividad.
▸ OCEG. Aspectos esenciales
El modelo Open Compliance and Ethics Group (OCEG) también constituye un
estándar con reconocimiento internacional. Surge de un grupo de discusión diverso
que integra también a la comunidad jurídica. OCEG se centra en el estudio e
interrelación de tres elementos esenciales: gobernanza, gestión del riesgo
y cumplimiento, para definir la gestión integrada de todos ellos en un modelo de
«Gobernance, Risk and Compliance».
OCEG declara expresamente que su modelo permite a las organizaciones operar
dentro de los condicionantes legales y contractuales.
▸ Recomendaciones comunes en los distintos entornos de cumplimiento
• Respaldo cultural.
• Estructuras.
Compliance 8
Tema 1. Ideas clave
Ideas clave
• Identificación de riesgos.
• Políticas y procesos.
• Comunicación y corrección.
• Monitoreo.
Compliance 9
Tema 1. Ideas clave
Ideas clave
1.3. Las normas de estandarización nacionales e

internacionales
▸ ISO
ISO es el acrónimo de International Organization of Standarization. En griego
significa «equivalente». Es una ONG de carácter privado nacida en 1.947. Está
integrada por organizaciones nacionales que emiten normas a nivel local. Carece de
capacidad para legislar o imponer sus criterios, pero estos acaban imponiéndose a
nivel práctico como normas de cumplimiento casi obligado.
El 13 de octubre de 2016 se publicó un estándar de indudable relevancia en el

ámbito de Compliance: la norma ISO 37001 sobre sistemas de gestión antisoborno.
Consciente de los riesgos e importantes consecuencias del soborno, ISO ha
desarrollado la primera norma internacional que establece los requisitos que debe
cumplir un sistema de gestión para reducir la probabilidad de que en una
organización se cometan este tipo de delitos. La ISO 37001 establece por tanto los
requerimientos y las directrices a seguir para:
▸ El establecimiento, la implementación, el mantenimiento y la mejora de los sistemas
de gestión anticorrupción.
▸ Configura una serie de medidas para ayudar a las organizaciones a prevenir,
detectar y abordar el riesgo de soborno, unas medidas entre las que se encuentran
el nombramiento de una persona para supervisar el cumplimiento de las normas
adoptadas para evitar el soborno.
▸ La formación como aspecto relevante para evitar riesgo.
▸ La evaluación de riesgos.
▸ La aplicación de controles financieros y comerciales.
Compliance 10
Tema 1. Ideas clave
Ideas clave
▸ El establecimiento de procedimientos de diligencia debida, ya sean en relación con
las personas de la organización como en relación con los terceros con los que se
mantengan relaciones.
▸ La configuración de procedimientos de información y de investigación, todo ello
pasando por un previo e indispensable apoyo de alto nivel en la organización.
La norma ISO 37001 está dirigida a cualquier tipo de organización, al margen de su
tamaño o de su naturaleza privada o pública, incluyendo también a organizaciones
sin ánimo de lucro, dado que el estándar se ha concebido como una herramienta
flexible que pueda adaptarse tanto a la naturaleza y tamaño de la organización como
al riesgo del soborno al que se enfrenta. El término «organización» se configura
también en un sentido amplio y por consiguiente será posible implantar los sistemas
antisoborno en la totalidad de la empresa, en un parte de la misma o en un grupo de

empresas.
Finalmente, mencionar que la ISO 37001 establece un sistema de gestión
«certificable», manteniendo la estructura de alto nivel de los modelos de gestión ISO
más recientes.
▸ Australian standards
Integrada en ISO y reconocida por el Gobierno australiano. Elaboró en 2006 un
estándar sobre programas de cumplimiento que ha adquirido aceptación
internacional. Busca detectar deficiencias en el ámbito del cumplimiento de las leyes,
regulaciones y códigos.
▸ IDW
E l Institut der Wirtschaftsprüfer in Deutschland aprobó en marzo de 2011 la
Assurance Standard, que no constituye un entorno de cumplimiento sino una norma
d e assurance, dirigida a auditores, para verificar sistemas para la gestión del
Compliance 11
Tema 1. Ideas clave
Ideas clave
cumplimiento. Su finalidad no es establecer directrices en materia de cumplimiento,
pero identifica los aspectos clave que deben analizarse en un procedimiento de
revisión, señalando así indirectamente los principales elementos que han de tenerse
en cuenta. Constituye, por tanto, una imprescindible norma de conocimiento en la
materia.
La Assurance Standard es utilizada como herramienta para el desarrollo de encargos
de seguridad razonable sobre sistemas de gestión de cumplimiento. El mencionado
concepto parte de la base de que todo mecanismo de control tiene limitaciones
inherentes que no pueden impedir que algunas vulneraciones no se prevengan o
detecten, normalmente a causa de errores humanos, negligencia o dolo. Se trataría
por tanto de reducir el riesgo a un nivel aceptablemente bajo.
▸ AENOR
La Asociación Española de Normalización y Certificación (AENOR) se constituye en
1.986. En 2017, tras un proceso de reorganización interno ha depositado en la
entidad UNE su tarea de normalización y cooperación. UNE constituye el
organismo legalmente responsable del desarrollo y difusión de las normas técnicas
en España.
Recientemente acaba de publicar la UNE 19 601, sobre sistemas de gestión del
cumplimiento y sistemas de gestión anticorrupción. Esta norma establece los
requisitos para implantar un sistema de gestión de Compliance penal con el objetivo
de prevenir la comisión de delitos y reducir el riesgo penal en las organizaciones y
así favorecer una cultura ética y de cumplimiento.
En esta lección magistral, Entornos genéricos de cumplimiento, se profundiza en lo
relativo a las normas de estandarización. Se trata de herramientas fundamentales
que proporcionan aseguramiento en relación con la correcta implementación de
procesos internos y actividades con respecto al entorno de cumplimiento. Destaca,
por su proximidad y utilidad, la UNE 19601, recientemente aprobada y publicada, que
Compliance 12
Tema 1. Ideas clave
Ideas clave
se centra en la gestión del compliance penal.
Accede al vídeo:
https://unir.cloud.panopto.eu/Panopto/Pages/Embed.aspx?id=009c3d8c-547e-
43e5-a815-aecb00b6b29c
Compliance 13
Tema 1. Ideas clave
Ideas clave
Ayala de la Torre, J. M. (2018). Compliance. Claves Prácticas. Madrid: Editorial
Francis Lefebvre.
Bajo Albarracín, J. C. (2017). Sistemas de gestión compliance. Guía práctica para el
compliance officers. Madrid: Editorial CEF.
Barquero, M. (2013). Manual práctico de control interno. Teoría y aplicación práctica.
Barcelona: Profit Editorial.
Bonatti, F. UNE 19601. Implementación y certificación de Sistemas de compliance
penal conforme a la norma UNE 19601: 2017. Madrid: Lefebvre El Derecho.
Dossier Compliance y Norma UNE 19601. (2017). Pamplona: Editorial Aranzadi
Thomson Reuters.
Mantilla, S.A. (2016). Auditoría de control interno. Bogotá. Ecoe Ediciones.
Román, S. (2018). Compliance: ISO 37001. AENOR en II Foro de Compliance del
Instituto Español de Ética y Compliance.
Compliance 14
Tema 1. Ideas clave
A fondo
Superestructuras de Compliance: el estándar

global
Casanovas Ysla, Alain (10 de octubre de 2014). Superestructuras de Compliance: el
estándar Global. Blog KPMG Cumplimiento Legal.

http://www.kpmgcumplimientolegal.es/superestructuras-de-compliance-el-estandar-
global/
El autor hace referencia a las denominadas superestructuras de Compliance,
sistemas orientados a gestionar el cumplimiento de obligaciones de distintos ámbitos
y naturaleza.
Compliance 15
Tema 1. A fondo
A fondo
Norma UNE 19601
Costa, H y Richarte, F (23 de mayo de 2017). LaUNE 19601, un referente para los
profesionales del compliance penal. Confilegal. https://confilegal.com/20170523-la-
une-19601-un-referente-para-los-profesionales-del-compliance-penal/
Repaso, en clave práctica, de la mencionada e importante norma UNE.
Compliance 16
Tema 1. A fondo
A fondo
UNE 19 601 Compliance Penal
Accede al vídeo a través de la siguiente dirección web:

https://www.youtube.com/watch?v=1WMQApH7HvM
Autor: AENOR-UNE.
Año: 2017.
Se trata de un vídeo muy breve que, de forma resumida, hace una aproximación a
los elementos fundamentales de la norma ISO 19 601.
Compliance 17
Tema 1. A fondo
A fondo
Modelo COSO 2013

https://www.youtube.com/watch?v=r-Ya5FKKbJE
Autor: ICADEFIS-ASF. Auditoría Superior de la Federación (Órgano fiscalizador
oficial del Estado Mexicano).
Año: 2016.
Muestra una visión global de la historia, elementos y conceptos básicos del modelo
COSO.
Compliance 18
Tema 1. A fondo
A fondo
Entornos de control
Baquero, M. (2013). Entornos de control. En Manual práctico de control interno.
Teoría y aplicación práctica. Barcelona: Profit Editorial.
En este capítulo se abordan los principales aspectos que integran un entorno de
control.
Compliance 19
Tema 1. A fondo
A fondo
OCDE (2004) Principios de gobierno Corporativo
Accede al artículo a través de la siguiente dirección web:

https://www.oecd.org/daf/ca/corporategovernanceprinciples/37191543.pdf
Relación de principios aprobados por los ministros de la OCDE en 1999 y revisados
en 2002. Constituyen la base legislativa y de funcionamiento en la materia en el
ámbito internacional.
Compliance 20
Tema 1. A fondo
Test
1. Los principios de gobierno corporativo de la OCDE:
A. Se centran en recomendaciones específicas sobre gobernanza.
B. Constituyen una serie de normas fundamentales para garantizar sistemas
financieros sanos.
C. Carecen de reconocimiento internacional.
D. Vinculan jurídicamente al conjunto de los estados miembros.
2. Los principios de Gobierno corporativo de la OCDE:
A. Tienen la intención de incorporar disposiciones detalladas en legislaciones
nacionales.
B. Constituyen un texto centrado en compliance.
C. Reconocen que no existe un modelo único de gobierno corporativo y
apuntan principios de utilidad para establecer prácticas de buen gobierno.
D. Centran su atención sobre sociedades cotizadas y por tanto no son de
utilidad para mejorar el gobierno corporativo en el resto de las empresas.
3. Las líneas directrices de la OCDE para empresas multinacionales:
A. Señalan que la primera obligación de las empresas es cumplir con las
leyes locales.
B. Al igual que los Principios de Gobierno Corporativo, son de obligado
cumplimiento en términos legales.
C. Cuentan con un bloque específico dedicado al soborno y extorsión y al
cohecho.
D. Constituyen una pauta de cumplimiento normativo que las organizaciones

multinacionales pueden ignorar fácilmente.
Compliance 21
Tema 1. Test
Test
4. El control interno:
A. Es considerado un elemento clave para la correcta evolución de las
organizaciones.
B. Guarda sinergias con otras materias.
C. Su falta de implementación ha sido uno de los desencadenantes de los
grandes escándalos financieros.
D. Todas las respuestas anteriores son correctas.
5. Respecto al modelo COSO:
A. Sus principios nacen con una vocación extensa que supera el ámbito del
control financiero.
B. Su origen parte de una iniciativa del sector público.
C. El entorno que define constituye el estándar por excelencia en cuanto a
control interno.
D. Las respuestas A y C son verdaderas.
6. Señala cuáles son los cuatro objetivos que constituyen la primera matriz del
modelo COSO:
A. Estrategia, decisiones, información y cumplimiento.
B. Táctica operacional, decisiones, información y cumplimiento.
C. Estrategia, operaciones, publicidad y cumplimiento.
D. Estrategia, operaciones, información y cumplimiento.
Compliance 22
Tema 1. Test
Test
7. El modelo OCEG:
A. Concede especial importancia a los procesos de gobernanza, riesgo y
control.
B. Permite a las organizaciones operar dentro de los condicionantes legales y
contractuales.
C. No ha contado para su definición con expertos de la comunidad jurídica.
D. Todas las anteriores son falsas.
8. La organización ISO:
A. Es una entidad privada que cuenta con capacidad para legislar e imponer
sus criterios.
B. Lleva a cabo trabajos de certificación en cuanto al cumplimiento de sus
estándares.
C. Trabaja de forma independiente con respecto a otras entidades que
también producen estándares.
D. Todas las anteriores son falsas.
9. La IDW Assurance Standard AssS 980:
A. Es una norma técnica orientada a auditores.
B. No puede considerarse un entorno de cumplimiento, ya que no es ese su
cometido.
C. Tiene como objeto brindar una seguridad razonable acerca del sistema
para la gestión del cumplimiento evaluado.
D. Todas las anteriores son verdaderas.
Compliance 23
Tema 1. Test
Test
10. La norma UNE 19 601:
A. Se encuentra en fase de definición.
B. No es certificable.
C. Establece los requisitos para implantar un sistema de gestión de
compliance penal.
D. Su implantación es obligatoria en empresas de más de 250 trabajadores.
Compliance 24
Tema 1. Test
Tema 2
Compliance
Tema 2. Los problemas

jurídicos del cumplimiento
normativo
Índice
Esquema
Ideas clave
2.2. Compliance y responsabilidad penal de las personas
2.3. Programas de cumplimiento eficaz y exigencias de

debido control
2.4. Entorno legal internacional en materia de

responsabilidad penal de personas jurídicas
A fondo
Cumplimiento normativo, criminología y responsabilidad

penal de las personas jurídicas
Claves de la responsabilidad penal corporativa:

Corporate Compliance
Los programas de compliance penal, un nuevo campo

para la abogacía
Ejemplos de Códigos Éticos Internos o Sectoriales en

materia de Compliance
Ejemplos de Políticas y Procedimientos en materia de

Compliance
Sumario de Jurisprudencia relevante en materia de

Compliance
Fiscalía General del Estado. Circular 1/2016
Test
Esquema
Compliance 3
Tema 2. Esquema
Ideas clave
Para estudiar este tema complementa las ideas clave con el siguiente artículo: Nieto,
A. y Zapatero, L. (2013). El derecho penal económico era la compliance (pp. 11-26).
Valencia: Tirant lo Blanch. Disponible aquí en virtud del artículo 32.4 de la Ley de
Fiscalía General del Estado. Circular de la Fiscalía General del Estado sobre la
responsabilidad penal de las personas jurídicas conforme a la reforma del Código
Penal efectuada por Ley Orgánica 1/2015. Disponible en:

https://www.fiscal.es/fiscal/PA_WebApp_SGNTJ_NFIS/descarga/Circular_1-
2016.pdf?idFile=81b3c940-9b4c-4edf-afe0-c56ce911c7af
«Requisitos de los Programas de Prevención de Delitos. Circular 1/2016 de la
Fiscalía General del Estado», World Compliance Association. Disponible
en:https://www.worldcomplianceassociation.com/componentes/editor/ckfinder/userfile
s/files/analisis%20circular%20de%20la%20fiscalia%201.pdf
Martín Boado, A. M. (2016). Checklist Programa de Compliance Eficaz. Revista
Alerta 1/2016 del Instituto de Ética y Compliance. Disponible para su descarga
En el tema 2 veremos la evolución de los preceptos del derecho que han
desembocado en el actual concepto de responsabilidad penal de la persona jurídica.
Analizaremos el importante papel del Compliance en el asunto, estudiando las
distintas interpretaciones que en derecho penal se otorga a la responsabilidad penal

de las empresas. Analizaremos la importancia clave del proceso penal a la hora de
determinar la responsabilidad penal de la empresa y definiremos los aspectos clave
que un programa de cumplimiento ha de tener para ser eficaz.
Compliance 4
Tema 2. Ideas clave
Ideas clave
2.2. Compliance y responsabilidad penal de las

personas
Introducción
La evolución del derecho penal económico ha hecho que este se haya ido adaptando
a los retos que los distintos modelos económicos han ido planteando a lo largo de la
historia.
Surgen a lo largo de la historia europea normas penales para proteger bienes
jurídicos concretos según el momento histórico: los delitos de quiebra en la baja
Edad Media, las maquinaciones para alterar el precio de las cosas en la era
napoleónica, los delitos societarios a finales del siglo XIX y finalmente el derecho
penal tributario en el seno del Estado social y democrático de derecho, con el fin de
proteger las funciones recaudatorias de la Hacienda Pública.
Por su parte, en los Estados Unidos de América se desarrollan tres estrategias
jurídico penales diferentes: las sanciones anti trust, el insider training y la
determinación de la responsabilidad penal de las personas jurídicas, cuya finalidad
es motivar a sus gestores para que adopten medidas de organización interna que
garanticen el respeto a la legalidad, es decir, Compliance.
El siglo XX supuso el tránsito desde la visión del Estado interventor y protector hacia
lo que algunos autores han denominado como regulatory capitalism. Es en este
contexto en el que la función de Compliance adquiere una especial relevancia como
mecanismo híbrido entre lo público y lo privado. Así, la imposición de sanciones
penales o administrativas a las personas jurídicas es la forma de motivar a sus
directivos para que establezcan mecanismos de debido control eficaces.
Compliance 5
Tema 2. Ideas clave
Ideas clave
Compliance en los distintos sistemas de responsabilidad penal de las

personas jurídicas
L a función de los programas de cumplimiento en el sistema de responsabilidad
penal de las personas jurídicas dependerá del modelo de responsabilidad que se
siga.
En el sistema vicarial o de heterorresponsabilidad es la de evitar que se realicen
delitos en el seno de la persona jurídica que pueden dar lugar a responsabilidad
penal.
Por su parte, en el modelo de responsabilidad propia de la empresa, el hecho de
contar con una buena organización preventiva es la clave para decidir el sí y el
cuándo de la responsabilidad de la persona jurídica.
No obstante lo anterior, existe una posición intermedia, propuesta hace años por el
autor alemán Tiedeman, y que guarda encaje con el artículo 31. bis de nuestro
Código Penal. Consiste en un modelo combinado. De esta forma, a la persona
jurídica se le imputaría el hecho realizado por los administradores de la entidad, tal y
como propone el modelo vicarial, fundamentando su responsabilidad en un defecto
de organización.
Por su parte, en el caso de que el delito haya sido cometido por un empelado, como
consecuencia de la falta del debido control del administrador, resulta más discutible
dónde reside la diferencia práctica entre el modelo combinado y las propuestas de
culpabilidad empresarial en sentido estricto.
De esta forma, y más allá de sesudos debates teóricos que podrían incluso devenir
en estériles a la hora de la aplicación práctica de los preceptos penales, es claro que
la clave del asunto se halla en el papel relevante que el sistema de Compliance juega
de cara al ejercicio del debido control por parte de la empresa. Debido control que no
ha de limitarse a los empleados sino también, y especialmente, a la actividad de los
administradores.
Compliance 6
Tema 2. Ideas clave
Ideas clave
Responsabilidad penal de las personas jurídicas y proceso penal
En España, con la entrada en vigor el 23 de diciembre de 2010 de la LO 5/2010, de
22 de junio, se produjo una modificación de la Ley Orgánica 10/1995, de 23 de
noviembre, del Código Penal, introduciendo por primera vez la responsabilidad de las
personas jurídicas. Dicha modificación fue seguida de otra que concretó aún más las
medidas que las personas jurídicas han de tomar para evitar su responsabilidad
penal y que se concretó en la Ley Orgánica 1/2015, de 30 de marzo.
Pues bien, hemos de destacar que la regulación española, tras la citada introducción
de la responsabilidad penal de las personas jurídicas de 2010, exigía que:
▸ El delito se cometa en nombre o por cuenta de la misma y en su provecho por sus
representantes legales o administradores de hecho o de derecho.
▸ El delito se cometa en el ejercicio de sus actividades sociales y por cuenta y en
provecho de las mismas, por quienes, estando sometidos a la autoridad de las

personas señaladas anteriormente, hayan podido realizar los hechos por no haberse
ejercido sobre los mismos el debido control, atendidas las concretas circunstancias
del caso.
Dicho régimen de responsabilidad penal de la persona jurídica fue criticado, ya desde
su entrada en vigor, por un amplio sector doctrinal, que lo consideró incompleto y
confuso en muchos de sus aspectos esenciales. Quizá por ello, cinco años después,
con un escaso número de procedimientos dirigidos contra personas jurídicas y sin
apenas tiempo para haber evaluado la eficacia de tan novedosa normativa, la Ley
Orgánica 1/2015, de 30 de marzo, acomete una importante modificación del art. 31
bis y extiende el régimen de responsabilidad a las sociedades mercantiles públicas.
Así pues, dicha introducción de la responsabilidad penal de la persona jurídica, ajena
a nuestra tradición jurídica, se estableció sobre la casi totalidad de las formas
societarias.
Compliance 7
Tema 2. Ideas clave
Ideas clave
Ante la ausencia de un marco normativo suficiente que ofreciese seguridad jurídica a
jueces y empresas para conocer cómo se puede ejercer el «debido control», que
evitase la imputación y la condena penal, con fecha 1 de julio de 2015, entró en vigor
la Ley Orgánica 1/2015, de 30 de marzo, que, a grandes rasgos, corrigió esta
situación, introduciendo dos novedades:
▸ El reconocimiento de que: «la persona jurídica podrá quedar exenta de
responsabilidad penal» si prueba ante el Juzgado: a) que cuenta con un modelo de

organización y gestión que incluye las medidas de vigilancia para prevenir
eficazmente el delito; b) que cuenta con un órgano independiente, con poderes
autónomos de iniciativa y control; c) que ejerce adecuadamente sus funciones; y d)
que el delito ha podido cometerse porque su autor eludió fraudulentamente los
modelos de organización y de prevención. Y ello, no solo en los delitos cometidos

por los empleados, sino también en los delitos cometidos por algún administrador.
▸ Para ello, el Proyecto indica qué debe tener un modelo de organización y gestión: a)
un mapa de riesgos («identificarán las actividades en cuyo ámbito puedan ser

cometidos los delitos que deben ser prevenidos»); b) unos protocolos de actuación,
preventiva y reactiva frente a la comisión de delitos; c) modelos de gestión de los
recursos financieros; d) un canal de denuncias de cuyo resultado se reporte al
órgano de administración; e) un sistema disciplinario «que sancione adecuadamente

el incumplimiento de las medidas que establezca el modelo; y f) una verificación
periódica del modelo y de su eventual modificación».
Además, para garantizar el funcionamiento eficaz del modelo de prevención de
delitos, este debe prever las medidas que, de acuerdo con la naturaleza y el tamaño,
así como el tipo de actividades que se llevan a cabo, garanticen el desarrollo de su
actividad conforme a la Ley y permitan la detección rápida y la prevención de las
situaciones de riesgo, así como una verificación periódica del mismo y su eventual
modificación para adaptarse a las circunstancias cambiantes en la sociedad.
El impacto sobre el proceso penal de la introducción de la responsabilidad penal de
Compliance 8
Tema 2. Ideas clave
Ideas clave
la persona jurídica es un aspecto de capital importancia.
Desde el punto de vista del proceso, la responsabilidad penal de la persona jurídica
debe leerse como un intento del Estado de buscar cooperación en las empresas para
investigar determinadas formas de delincuencia empresarial. De ahí la importancia
de la colaboración de la persona jurídica en el proceso. El artículo 31.bis del
Código Penal español recoge: la confesión y la cooperación como circunstancias
«atenuantes» y el hecho de tener implantado en la organización antes de la comisión
del delito de un programa de cumplimiento (con el correspondiente plan de
prevención de delitos) como circunstancia «eximente» de la responsabilidad penal de

la persona jurídica.
Para completar este epígrafe debes consultar el artículo 31 bis del Código Penal
español.
Accede al artículo a través del aula virtual o desde la siguiente dirección web:
https://www.boe.es/buscar/act.php?id=BOE-A-1995-25444
No obstante, se plantean importantes problemas para los derechos fundamentales
de la persona física investigada. El primero surge en cuanto a la obligación, o no, de
aportar en el proceso documentación, que sería utilizada en su contra, y que si se
entrega se hace bajo coerción y con fines puramente de control administrativo.
El segundo está en relación con la elección del abogado de la persona jurídica, en
cuanto que lo más normal será la existencia de un conflicto de intereses, dentro del
proceso penal, entre persona jurídica y física. Por ello todo se aconseja que existan
abogados distintos.
Para profundizar, puedes consultar la sección A fondo donde encontrarás una
relación y resumen de las Sentencias y Resoluciones de mayor interés en materia de
Responsabilidad Penal de la Persona Jurídica.
Compliance 9
Tema 2. Ideas clave
Ideas clave
2.3. Programas de cumplimiento eficaz y

exigencias de debido control
Sobre la «eficacia» de los Programas de cumplimiento previsto, como se ha visto en
las líneas anteriores, en el art. 31 bis del Código Penal Español, se ha pronunciado la
Circular 1/2016 de la Fiscalía General del Estado, la cual establece los «criterios»
que los Fiscales del Estado español deberán seguir para poder afirmar que una
organización cuenta con un programa de cumplimiento «eficaz» que permita por
tanto a la persona jurídica «eximirse» de la correspondiente responsabilidad penal en
el caso de cometerse delitos en el seno de la misma.
La referida Circular 1/2016 constituye, por tanto, un texto de máxima importancia que
todo abogado debe conocer.
Sobre el contenido de la Circular 1/2016 y la novedad e importancia que ha tenido
esta en la práctica debe verse la publicación Alerta 1/2016 del Instituto Español de
Etica y Compliance, titulada Circular 1/2016, de 22 de enero, de la Fiscalía General
del Estado como marco de referencia en la evaluación de los programas de
compliance de las empresas españolas, de febrero 2016, la cual incluye como
documento adjunto un checklist con una relación sumaria de los «criterios» que
deberán tener en cuenta los Fiscales en España para considerar la «eficacia»
de un Programa de Cumplimiento. A tenor de la larga extensión de dicha Circular,
dicho checklist puede resultar de gran utilidad práctica para Abogados y Compliance
Officers que deseen valorar el grado de eficacia del Programa de Cumplimiento de
determinada organización.
Algunos de los elementos clave de esos Programas de Cumplimiento van a ser los
siguientes documentos internos de las empresas.
Compliance 10
Tema 2. Ideas clave
Ideas clave
Código Ético Interno
Documento que vendrá a sintetizar los principios generales éticos que la compañía
desea que rijan en las actividades de esta y, por tanto, de obligado cumplimiento
para sus empleados y para algunos terceros con los que estos se relacionen (ej.
proveedores, agentes, distribuidores, etc.). En la práctica es frecuente que recojan de
forma muy resumida las cuestiones más importantes de cada Política interna. Es
bastante frecuente además que las entidades (normalmente entidades de grandes
dimensiones) además de disponer de un Código Ético Interno dispongan de una
versión resumida del mismo con un formato visual más ameno y que suelen
compartir con terceros con los que estas se relacionan (proveedores, agentes,
distribuidores, etc.) para facilitar el cumplimiento del mismo también por parte de
estos -y no solo por los empleados de tales entidades y que suelen colgar también
en sus páginas webs para que estén accesibles a cualquier persona o entidad que
visite su página, con la finalidad de que sea públicamente conocidos los principios
éticos que rigen dichas entidades y sus actividades. Vease al respecto el
«Compliance System Brochure de SIEMENS» disponible en la página web de esta
compañía.
Políticas internas
Documentos que vendrán a regular de forma «detallada» los principios éticos
recogidos en el Código Ético de la compañía, y que la compañía desea que sean
cumplidos por los empleados y terceros con los que se relacionan (ej. agentes,
distribuidores, proveedores, etc.). Por regla general habrá una Política interna en
cada materia de relevancia para la empresa (ej. en materia Anticorrupción,
Prevención del Blanqueo de Capitales y Financiación del Terrorismo, en materia de
Publicidad y Actividades promocionales, en materia de Tratamiento de Datos
Personales, etc.) Las Políticas facilitan por tanto el cumplimiento a nivel interno del
Código Ético de la organización.
Compliance 11
Tema 2. Ideas clave
Ideas clave
Procedimientos
Documentos que vienen a regular el «proceso» que se seguirá internamente en la
empresa para la toma de decisiones en relación con materias de cierto riesgo
recogidas en cada correspondiente Política, identificando los Departamentos y roles
que intervendrán en cada fase del proceso, así como las distintas funciones y
responsabilidades que asumirán cada uno de ellos en dicho proceso. Los
Procedimientos facilitan por tanto el cumplimiento a nivel interno de cada Política
existente en la organización.
Una vez vistos estos Programas de Cumplimiento, es importante conocer la tipología
y contenido que pueden tener dichos Códigos Éticos internos, así como dichas
Política y Procedimientos internos. Se recoge a continuación una relación básica de
los Códigos Éticos, Políticas y Procedimientos de Compliance con las que suelen
contar las compañías, relación que no tiene carácter exhaustivo, sino únicamente
ilustrativo, puesto que las grandes corporaciones suelen tener un volumen
considerable de Políticas (pudiendo alcanzar 30 políticas o incluso un número
superior).
A continuación, encontrarás una lista de estas políticas:
▸ Código Ético.
▸ Política de Regalos y Atenciones.
▸ Política Anticorrupción y relaciones con funcionarios públicos y/o con organismos
públicos.
▸ Política de Prevención del Blanqueo de Capitales y Financiación del Terrorismo.
▸ Procedimiento de Funcionamiento del Comité de Ética y de Compliance.
▸ Política de Control de terceros (agentes, distribuidores, proveedores, etc.)
Compliance 12
Tema 2. Ideas clave
Ideas clave
▸ Política de Tratamiento de datos personales.
▸ Política de Comercio Exterior.
▸ Política de revisión y aprobación de materiales promocionales (publicidad).
▸ Política de interacciones comerciales.
▸ Política de donaciones y subvenciones a ONG, fundaciones, asociaciones y
entidades de interés público.
▸ Política de uso de ordenadores y correo electrónico de la empresa por parte de los
empleados.
En empresas pertenecientes a sectores muy regulados (ej. farmacéutico, de
productos sanitarios, productos cosméticos o para el cuidado de la salud, etc.) en
aras de protección de los pacientes, consumidores y sociedad en general, dichos
Códigos, Políticas y Procedimientos se basan a su vez en los Códigos Éticos o de
Buenas Prácticas Sectoriales (Autorregulación Sectorial), redactados de común
acuerdo por representantes de las empresas asociadas a las Asociaciones

Nacionales del correspondiente sector (ej. Código de Buenas Prácticas de
FARMAINDUSTRIA, vinculante para empresas farmacéuticas asociadas o adheridas
a la Asociación Nacional que aglutina y representa los intereses de las empresas de
la industria farmacéutica). Para ampliar esta información, puedes acudir al apartado
A fono donde encontrarás un ejemplo de estos Código de Buenas Prácticas
Sectoriales.
Una vez asumida la importancia de los programas de cumplimiento previstos en el
art. 31 bis del Código Penal español como elementos de prevención de la
criminalidad en el seno de la empresa, cabe señalar la existencia de tres problemas
fundamentales.
El primero puede denominarse el problema de la cosmética. Radica en la
Compliance 13
Tema 2. Ideas clave
Ideas clave
elaboración de un programa de Compliance no con el fin de implantar una verdadera
cultura de respeto a la legalidad, sino para evitar posibles multas o sanciones, a
modo de un seguro al uso. Se daría pues un problema de falta de credibilidad.
El segundo, este del lado de las empresas, es la falta de seguridad jurídica. Las
empresas se lamentan de que si bien el legislador exige ejercer el debido control, no
da pista alguna de cuál es su nivel de exigencia.
El tercero radica en que el cumplimiento penal supone en algún modo la
privatización de una función pública tan importante como es el control de la
criminalidad.
En cuanto a las soluciones, para el primero de los problemas, el autor Ulrich Sieber
defiende que se han de reforzar aquellos controles cuyo eficaz funcionamiento no
dependa de la dirección de la empresa, como por ejemplo el canal de denuncias. La
mejor manera de conseguir un plan de cumplimiento efectivo es que terceros
independientes intervengan en su diseño, implantación y supervisión.
Las certificaciones, según defiende Matus Acuña, pueden aportar soluciones en el
ámbito de la seguridad jurídica de los programas de cumplimiento. No obstante, si
la cuestión en torno a la certificación se banaliza puede agravar el problema
cosmético, pues puede crearse artificialmente todo un mercado certificador a modo
de simple «quita multas».
Con respecto a las investigaciones internas, se ha de decir que constituyen una
parte esencial de los programas de cumplimiento. La aportación de pruebas, o la
confesión de los hechos solo podrán hacerse normalmente de forma eficaz tras las
conclusiones de la investigación.
No obstante, es imprescindible tener en cuenta que han de respetarse en todo
momento los derechos de los empleados sospechosos, de forma similar a como se
haría en el proceso penal, ya que, si no se respetan estas garantías, el juez no podrá
Compliance 14
Tema 2. Ideas clave
Ideas clave
tener en cuenta los elementos de prueba o las informaciones recabadas.
Lo mismo ocurre con las sanciones disciplinarias, cuya política debe estar fijada de
antemano para así otorgar mayor legitimidad al conjunto del plan de Compliance.
Compliance 15
Tema 2. Ideas clave
Ideas clave
2.4. Entorno legal internacional en materia de

responsabilidad penal de personas jurídicas
Como España, muchas otras jurisdicciones regulan supuestos donde una persona
jurídica puede ser responsable de la comisión de delitos, razón por la que el llamado
corporate defense ostenta una relevancia importante desde un marco jurídico
internacional. Veamos algunos ejemplos de este marco internacional en materia de
responsabilidad penal de personas jurídicas y en materia anticorrupción:
Estados Unidos contempla la responsabilidad penal de la persona jurídica
La US Foreign Corrupt Practices Act (FCPA) resulta una de las normas más
relevantes en materia de responsabilidad penal de la persona jurídica en Estados
Unidos. Sin embargo, también existen otras normas penales que también regulan
importantes consecuencias penales para la persona jurídica, como son, entre otras,
las leyes reguladoras de propiedad intelectual, las de fiscalidad, antitrust,
inmigración, delitos cibernéticos, tráfico humano, blanqueo de capitales, terrorismo,
pornografía infantil, insolvencias punibles, etc.
Con arreglo a lo dispuesto en la legislación federal estadounidense, se considera que
una compañía es una «persona» y, por tanto, puede ser condenada por la comisión
de los delitos previstos en las leyes penales estadounidenses. La mayoría de los
casos investigados y perseguidos contra una compañía son sobre la base de la
teoría del respondeat superior, según la cual, una compañía es responsable por los
delitos cometidos por un empleado de esta que actúe dentro del ámbito de su
trabajo.
En los últimos años, el Departamento de Justicia estadounidense (DOJ) ha
procesado a docenas de multinacionales por violaciones de la legislación federal en

materia de soborno, fraude, evasión fiscal, antimonopolio, etc. Todas estas condenas
conllevaron la imposición de multas económicas elevadas y, en todos estos casos, la
Compliance 16
Tema 2. Ideas clave
Ideas clave
compañía o corporación fue declarada responsable por los actos ilegales cometidos
por sus empleados.
La legislación estadounidense, con el fin de determinar la responsabilidad penal ha
establecido una serie de teorías, que exponemos brevemente:
▸ La teoría de respondeat superior: la compañía será penalmente responsable siempre
que el empleado, en la esfera de su trabajo y aunque inicialmente pretenda

conseguir un beneficio para sí mismo, consiga también para esta un beneficio,
aunque sea indirectamente;
▸ La teoría de la intencionalidad por medio de la cual el gobierno ha de ser capaz de
probar que el individuo tiene algún nivel de conciencia que le permite realizar el acto
prohibido o que actúa a sabiendas de que el acto prohibido tendrá lugar como
resultado de su acción;
▸ La teoría de la combinación, en la que para probar el conocimiento e intencionalidad,
basta con probar el conocimiento de una pluralidad de empleados;
▸ La teoría de la simple instrumentalidad: la matriz puede ser declarada responsable
por la conducta de su filial, cuando la matriz ha utilizado a esta como medio para
cometer el delito en un intento de eludir su responsabilidad;
▸ La teoría de la involucración, por la cual, y aunque la filial sea una compañía distinta
e independiente de la matriz, si esta última ha estado involucrada en la comisión del

delito por parte de la filial, también será responsable.
Especial mención merece la US Foreign Corrupt Practices Act (en lo sucesivo

FCPA) por la relevancia que esta tiene en materia de responsabilidad penal de la
persona jurídica. Dicha ley está diseñada para castigar el soborno a funcionarios de
gobiernos extranjeros. El DOJ es el que se encarga de que esta ley se cumpla. La
FCPA prohíbe los pagos corruptos a funcionarios, oficiales o empleados de
gobiernos extranjeros, organismos del estado y entidades públicas,
Compliance 17
Tema 2. Ideas clave
Ideas clave
persiguiendo a sus autores, aunque estos hayan actuado por medio de
intermediarios.
A la hora de comprender mejor la FCPA conviene tener presente una serie de
términos que resultan de especial importancia para poder determinar si una
compañía está sujeta o no dicha normativa. Brevemente analizamos dichos
conceptos:
▸ Domestic concern: incluye cualquier compañía perteneciente al grupo constituida en
los Estados Unidos, sus territorios o Puerto Rico, o que tenga su principal centro de
actividad en Estados Unidos. También se entienden comprendidos los ciudadanos,

nacionales o residentes;
▸ Dentro del territorio de Estados Unidos: incluso los ciudadanos que no se
encuentren comprendidos dentro del término domestic concern pueden verse

incluidos dentro del ámbito de la FCPA si realizan cualquier acto encaminado a un
pago corrupto en Estados Unidos;
▸ Cualquier cosa de valor: puede ser cualquier cosa que pudiera beneficiar al receptor;
▸ Funcionario extranjero: Se entienden incluidos los funcionarios, empleados
gubernamentales, agencias del gobierno, gobernantes electos o candidatos,

funcionarios y empleados de organizaciones internacionales;
▸ Corrupta e intencionadamente: significa que se ha de realizar con deseo de provocar
un comportamiento inadecuado en el receptor y de forma consciente y voluntaria, a

propósito;
▸ Conocimiento e invalidación: el empleo de intermediarios para la realización de
dichos pagos no elude el conocimiento;
▸ Obtención o retención de un negocio: Interpretación amplia por parte del DOJ sobre
lo que se entiende por obtener o retener un negocio (conservar o renovar un

contrato).
Compliance 18
Tema 2. Ideas clave
Ideas clave
La mayor parte de la legislación penal de Estados Unidos únicamente aplica a
conductas que hayan tenido lugar dentro del territorio estadounidense. Sin embargo,
hay ciertas leyes que contienen previsiones que permiten al DOJ perseguir las
violaciones o incumplimientos de dichas leyes fuera de Estados Unidos, como por
ejemplo, la ley federal de blanqueo de capitales, pero únicamente en determinados
supuestos (la conducta se hubiera realizado por un ciudadano estadounidense o, en
caso de ser un ciudadano no estadounidense, que la conducta hubiera ocurrido en
parte de Estados Unidos).
Sin embargo, por encima de todas ellas destaca la FCPA la cual expresamente
aplica tanto a compañías como a ciudadanos estadounidenses y no

estadounidenses. De tal forma que dicha norma contiene tres previsiones respecto a
su jurisdicción extraterritorial:
▸ Las compañías y personas físicas estadounidenses tienen prohibido incumplir las
disposiciones de la FCPA en cualquier parte del mundo;
▸ Cualquier emisor de valores o títulos en el mercado de valores estadounidense (sea
persona física estadounidense o no) tiene prohibido usar el mail estadounidense o

cualquier otro instrumento de comercio interestatal para violar la FCPA en cualquier
parte del mundo;
▸ Los ciudadanos y compañías no estadounidenses tienen prohibido incumplir las
disposiciones de la FCPA en el territorio estadounidense. En este último supuesto, el

DOJ tiene la teoría de que el tráfico de correo electrónico puede ser suficiente para
constituir un acto realizado dentro del territorio estadounidense. Igualmente lo
entienden respecto del empleo de cuentas bancarias estadounidenses.
Consecuencias penales
Conforme a la FCPA la consecuencia penal es una multa que puede alcanzar hasta
los 2 000 000 de dólares para las compañías y 100.000 dólares y prisión de hasta
Compliance 19
Tema 2. Ideas clave
Ideas clave
cinco años para los empleados. Sin embargo, la Ley de Multas Alternativas establece
multas de hasta el doble del beneficio que el acusado pudiera haber conseguido
realizando el pago corrupto, por lo que dichas multas pueden ser significativamente
superiores. Los incumplimientos de la FCPA también pueden llevar aparejados como

pena la confiscación por el gobierno de cualquier propiedad de la compañía
resultante de dicha violación legal.
El DOJ ha establecido un sistema de pautas (Federal Sentencing Guidelines) para
dictar sentencias en relación con el cálculo de las penas que se han de imponer a las
personas físicas y jurídicas por las violaciones de las leyes federales. Estas pautas
contienen un nivel básico de los delitos con un rango de pena asociado a cada delito,
así como una serie de factores agravantes y atenuantes.
Circunstancias atenuantes
Entre las medidas o factores para atenuar el nivel del delito o su pena establecidas
en las pautas dictadas por el DOJ, destacan que: (i) las compañías tengan
implantado un efectivo programa ético y de cumplimiento; (ii) hayan informado de la
comisión de delito; (iii) cooperen en la investigación del delito; y (iv) hayan admitido
su responsabilidad derivada de la comisión del delito.
El DOJ asimismo valora: la naturaleza y gravedad del delito, el riesgo de daño para
el público, si la compañía ha tenido un comportamiento anterior similar, la existencia
de un eficaz programa de cumplimiento y de planes para ponerle remedio, la
adecuada persecución del infractor y la colaboración en la investigación con las
autoridades, etc.
Programas de cumplimiento (Compliance Programs)
Tal y como hemos apuntado, a través de las Federal Sentencing Guidelines, Estados
Unidos, ha desarrollado qué se entiende por contar con un sistema eficaz ético y de
cumplimiento. Las claves fundamentales serían las siguientes:
Compliance 20
Tema 2. Ideas clave
Ideas clave
▸ Para desarrollar un sistema efectivo de cumplimiento, una compañía debe ejercer la
debida diligencia para prevenir y detectar la comisión de un ilícito penal, así como
promover una cultura empresarial que fomente las conductas éticas y el compromiso
con el cumplimiento de la ley.
▸ La debida diligencia y la promoción de una cultura empresarial requiere:
• Que la compañía establezca procedimientos para prevenir y detectar cualquier

conducta penal.
• Los directivos de la empresa deben tener conocimiento del contenido y

operatividad de los programas de cumplimiento y de ética, así como supervisar
la implementación y efectividad de tales programas.
• Los altos cargos de la compañía deben garantizar que la compañía tenga un
efectivo programa de cumplimiento y de ética, tal y como se describe en las

Federal Sentencing Guidelines.
• Delegar en empleados concretos la operatividad del día a día y la

responsabilidad de los programas de cumplimiento y ética, los cuales deberán
informar periódicamente a los altos cargos y, en su caso, a las autoridades
sobre la efectividad de tales programas. Para llevar a cabo dichas tareas, las
citadas personas deben estar provistas de los adecuados recursos, de la
suficiente autoridad y tener acceso directo a las autoridades.
• La compañía debe emplear todos sus esfuerzos en evitar incluir dentro de ese
grupo a personas que la organización sepa o haya tenido conocimiento de que
hayan podido estar involucradas en actividades ilegales o en cualquier otra
conducta incompatible con un efectivo programa ético y de cumplimiento.
• La compañía debe comunicar periódicamente a sus empleados de forma

práctica sus estándares y procedimientos, así como cualesquiera otros
aspectos de los programas de ética y cumplimiento, bien mediante programas
Compliance 21
Tema 2. Ideas clave
Ideas clave
de formación o bien difundiendo la información de cualquier otra forma que

permita a dichas personas conocer cuáles son sus roles y responsabilidades.
• La compañía debe garantizar que los programas de ética y cumplimiento se

sigan, lo cual incluye la monitorización y auditoría para detectar las
irregularidades, que se evalúe periódicamente su efectividad, y se tenga y se
dé a conocer un sistema de comunicación, el cual garantice el anonimato y la
confidencialidad a los trabajadores y agentes que quieran acudir al mismo para

informar sobre potenciales o reales conductas penales sin miedo a represalias.
• Los programas de ética y cumplimiento han de ser promovidos y garantizados

por la compañía mediante los apropiados incentivos a los empleados para que
actúen conforme a los mismos, así como mediante la implementación de
medidas disciplinarias para los empleados que incurran en conductas penales
o se nieguen a adoptar las medidas necesarias para prevenir o detectar tales
conductas.
• Cuando la conducta criminal haya sido detectada, la compañía debe actuar en
consecuencia para responder apropiadamente ante tal conducta y prevenir

futuras conductas similares, lo cual incluye hacer cualquier modificación
necesaria en los programas de ética y cumplimiento.
• La compañía periódicamente evaluará el riesgo de comisión de delitos y

tomará las medidas necesarias para diseñar, implementar o modificar
cualquiera de las anteriores cuestiones para reducir el riesgo de comisión de
delitos.
Veamos, a continuación, algunos ejemplos de países en los que se prevé la
responsabilidad penal de la persona jurídica:
▸ Brasil: en Brasil, su legislación, y más concretamente su Código Penal, no contiene
ninguna estipulación relativa a la responsabilidad penal de la persona jurídica y ello

porque su sistema penal está basado en el supuesto de que solo las actividades
Compliance 22
Tema 2. Ideas clave
Ideas clave
realizadas por las personas físicas pueden ser penalmente sancionadas. No

obstante, su Constitución de 1988 recoge la posibilidad de sancionar penalmente a
las personas jurídicas por las conductas y actividades consideradas como
atentatorias contra el medio ambiente. Dicha previsión legal fue posteriormente
desarrollada en mayor profundidad por la Ley Federal nº 9605 de 12 de febrero de
1998 relativa a las cuestiones medioambientales, en cuyas disposiciones se recoge

una clasificación de todos los delitos medioambientales.
▸ India: la Ley India establece tanto la responsabilidad civil como la penal para las
personas jurídicas en el Código Penal Indio de 1860 y la Ley de Enjuiciamiento

Criminal.
▸ Sudáfrica: la normativa penal prevé la responsabilidad penal de la persona jurídica
con pocas excepciones. Para determinar si una entidad es culpable, Sudáfrica utiliza
el estándar de responsabilidad vicarial: si cualquier empleado o agente de la
empresa cometió el delito dentro del ámbito de su autorización y para el beneficio de
la empresa, la responsabilidad será imputada a la entidad.
▸ China: el Código Penal es el único elemento normativo de la República Popular de
China que regula la responsabilidad penal de la persona jurídica. Dicho Código

dispone que la compañía que cometa un acto dañino a la sociedad o a otra persona
será responsable penalmente si el Código Penal considera ese acto como un delito.
Por tanto, las compañías solo podrán ser penalmente responsables por aquellos
delitos que el Código Penal establezca claramente que pueden ser cometidos por
personas jurídicas.
▸ República Checa: la República Checa prevé la responsabilidad penal de la persona
jurídica desde la aprobación de la Ley No. 418/2011 Coll., sobre responsabilidad

penal de las personas jurídicas, aunque a ella se han sumado muchos otros
elementos normativos que desarrollan dicha responsabilidad en casi todos los
ámbitos.
▸ Portugal: en la versión original del Código Penal portugués de 1982 (Decreto Ley no.
Compliance 23
Tema 2. Ideas clave
Ideas clave
400/82 de 23 de Septiembre) y, de acuerdo con la versión previa de la normativa
penal en la materia, la responsabilidad penal de la persona jurídica existía solo en

supuestos muy concretos. Esto significa que cuando los delitos se cometían a través
de la persona jurídica, con muy pocas excepciones, solo era condenada la persona
física que actuaba en representación y nombre de la compañía. Poco a poco, el
rango de delitos por los que la persona jurídica podía ser declarada responsable
creció aprobándose numerosos elementos normativos que preveían dicha
responsabilidad.
A continuación, veamos también ejemplos de países en los que no se prevé la
responsabilidad penal de la persona jurídica:
▸ México: no existe responsabilidad penal de la persona jurídica. Si bien es cierto que
las consecuencias bajo algunas disposiciones administrativas, de carácter estatal y
de carácter federal, pueden tener los mismos efectos que dicha responsabilidad tiene
en países como España, esto es que puede llegar incluso a la suspensión o
disolución de la sociedad.
▸ Argentina: aunque la legislación penal Argentina ha seguido en términos generales el
principio latino societas delinquere non potest, en numerosos elementos normativos

se prevé la sanción de la compañía por los delitos cometidos en su organización. De
hecho, en los últimos meses el Gobierno ha presentado proyecto en el que se prevé
que las compañías puedan ser sancionadas por delitos de corrupción.
▸ Alemania: conforme a la legislación penal alemana una persona jurídica no puede
ser directamente responsable por la comisión de un delito, sino solo la persona física
por aplicación del principio nulla poena sine culpa, lo que significa que para que
exista responsabilidad penal se requiere una conducta culpable y dicha conducta
solo puede predicarse de una persona física. Por su parte, el código alemán
establece que si bien no se deriva responsabilidad para la persona jurídica, en
determinadas circunstancias, sí que se le puede imponer una multa por los

comportamientos ilícitos de la persona física dependiente de ella.
Compliance 24
Tema 2. Ideas clave
Ideas clave
▸ Turquía: de acuerdo al artículo 20 del Código Penal Turco, las penas solo pueden
imponerse sobre personas físicas que cometen un delito o están implicadas en el

mismo. Está expresamente prohibido bajo el mencionado artículo que las personas
jurídicas sean condenadas a ninguna pena. A pesar de que el Código Penal Turco
no permite aplicar las penas sobre las personas jurídicas, estas entidades están
sujetas a determinadas medidas de seguridad. Además, está fuera de toda discusión

que las entidades puedan ser objeto de sanciones administrativas bajo el Código de
delitos leves No. 5326 y cualquier otra normativa secundaria.
▸ Rusia: conforme a lo dispuesto en el Código Penal ruso, las personas jurídicas no
están sujetas a responsabilidad penal puesto que solo la contempla respecto de las
personas físicas. Sin embargo, la legislación rusa, y más concretamente el Código
de Infracciones Administrativas, prevé la responsabilidad administrativa para una
amplia variedad de infracciones (entre otros, corrupción, quiebras/insolvencias, etc.)

cuyas sanciones, en algunos casos, pueden llegar a ser similares o equivalentes a
las consecuencias penales que en otras jurisdicciones se aplican a la persona
jurídica. Asimismo, contempla la responsabilidad civil de la persona jurídica en
aquellos supuestos de daños causados por la compañía a terceras partes como
consecuencia de la comisión de un delito o infracción por un directivo de esta.
En esta lección magistral, Los problemas jurídicos del cumplimiento normativo,
vamos a desarrollar brevemente la relación entre la responsabilidad penal de la
persona jurídica y el compliance. Explicando qué es el cumplimiento normativo penal
y la responsabilidad penal de la persona jurídica.
Compliance 25
Tema 2. Ideas clave
Ideas clave
Accede al vídeo:
https://unir.cloud.panopto.eu/Panopto/Pages/Embed.aspx?id=68f55c50-a4bd-
4a0b-a994-aecb00b7d4df
Compliance 26
Tema 2. Ideas clave
Ideas clave
Bonatti, F. (2018). Memento Experto Sistema de Gestión de Compliance: estándares
ISO y UNE 19601. Madrid: Editorial Francis Lefebvre
Casanovas, A. (2017). Compliance Penal normalizado, El estándar UNE 19601.
Pamplona: Editorial Aranzadi Thomson Reuters.
Gómez-Jara, C. (2016). Tomarse la responsabilidad penal de las personas jurídicas
en serio: la culpabilidad de las personas jurídicas. En Estudios de Derecho Penal
(homenaje al Profesor Miguel Bajo). Madrid: Editorial Universitaria Ramón Areces.
Gómez-Jara, C. (2017). El Tribunal Supremo ante la responsabilidad penal de las
Personas Jurídicas. El inicio de una larga andadura. Pamplona: Aranzadi Thomson
Reuters.
Gómez, M. (2016). Compliance penal y política legislativa. El deber personal y
empresarial de evitar la comisión de ilícitos en el seno de las personas jurídicas.
Valencia: Tirant lo Blanch
Martin Boado, A. M. (2016). Circular 1/2016 de la Fiscalía. En Desayuno de Trabajo .
Instituto Español de Ética y Compliance.
Nieto, A., Lascuraín, J.A., Blanco, I. (2015). Manual de cumplimiento penal en la

empresa. Valencia. Tirant lo Blanch.
Nieto, A. y Zapatero, L. (2013). El derecho penal económico en la era compliance
(pp. 11-26). Valencia: Tirant lo Blanch.
Sanchez, I. (2018). Corporate Compliance en la industria farmacéutica:
Responsabilidad penal de la persona jurídica y de Consejeros, Directivos, Managers,
y otros empleados. II Foro de Compliance. Instituto Español de Ética y Compliance.
Compliance 27
Tema 2. Ideas clave
A fondo
Cumplimiento normativo, criminología y

responsabilidad penal de las personas jurídicas
Nieto, A., Lascuraín, J.A., Blanco, I. (2015). Cumplimiento normativo, criminología y
responsabilidad penal de las personas jurídicas. En Manual de cumplimiento penal
en la empresa (pp. 50-104). Valencia: Tirant lo Blanch.
El autor analiza diversos aspectos en relación al cumplimiento normativo y su
vinculación con cuestiones tales como como el delito estructural, la responsabilidad
penal individual en relación a diversas figuras delictivas. También ilustra sobre la
eficacia de los programas de cumplimiento en relación a cuestiones como el deber
de control y la diligencia debida (Due dilligence).
Compliance 28
Tema 2. A fondo
A fondo
Claves de la responsabilidad penal corporativa:

Corporate Compliance
https://youtu.be/mXvUNvoq2c0
Autor: Asociación de Jóvenes Abogados de Madrid
Año: 2015
Breve vídeo en el que Javier Muñoz Cuesta, Ex – Fiscal Jefe de Navarra habla sobre
protocolos de prevención de delito en empresas, incumplimiento del deber de control,
y requisitos del plan de Compliance en los términos establecidos en el artículo 31.

Bis del Código Penal Español.
Compliance 29
Tema 2. A fondo
A fondo
Los programas de compliance penal, un nuevo

campo para la abogacía
https://www.youtube.com/watch?v=umMquSPzNg8
Autor: Ilustre Colegio de Abogados de Alicante.
Año: 2015.
El conferenciante, Bernardo del Rosal Blasco, Catedrático de Derecho Penal de la
Universidad de Alicante, habla sobre la correcta implementación de los planes de
Compliance en el ámbito de las empresas, desde un punto de vista práctico y

didáctico.
Compliance 30
Tema 2. A fondo
A fondo
Ejemplos de Códigos Éticos Internos o Sectoriales

en materia de Compliance
Accede al documento a través de este enlace .
El siguiente documento recoge algunos ejemplos de Códigos Éticos, tanto sectoriales
como internos. El objetivo es poder conocer la tipología y el contenido de los distintos
Códigos, a los que muchas organizaciones deciden obligarse por voluntad propia en
sus actuaciones empresariales, para contribuir a un mayor cumplimiento por parte de
sus empresas y empleados de la normativa global o sectorial.
Compliance 31
Tema 2. A fondo
A fondo
Ejemplos de Políticas y Procedimientos en materia

de Compliance
El siguiente documento recoge las distintas material sobre las cuales las
organizaciones suelen tener políticas y/o procedimientos. El objetivo es que puedas
conocer la tipología de las distintas políticas y procedimientos, que las
organizaciones suelen tener en materia de compliance.
Compliance 32
Tema 2. A fondo
A fondo

Compliance
El siguiente documento recoge algunas de las Sentencias o Resoluciones dictadas
por autoridades judiciales y administrativas (así, tribunales, autoridades judiciales o
autoridades anticorrupción) de interés en materia de Compliance, que se han ido
dictando en España y en otros países.
Compliance 33
Tema 2. A fondo
A fondo
Fiscalía General del Estado. Circular 1/2016

https://www.boe.es/buscar/abrir_fiscalia.php?id=FIS-C-2016-00001.pdf
Circular de la Fiscalía General del Estado sobre la responsabilidad penal de las
personas jurídicas conforme a la reforma del Código Penal efectuada por Ley
Orgánica 1/2015.
Compliance 34
Tema 2. A fondo
Test
1. El derecho penal tributario:
A. Supone un factor de intervención del Estado en la economía.
B. Se desarrolla en la mayoría de Europa tras la segunda guerra mundial.
C. Brinda protección a las funciones recaudatorias de la Hacienda Pública.
D. A y C son correctas.
2. Relaciona los siguientes preceptos delictivos con su referente histórico.

Delito de quiebra 1 A Código penal napoleónico
Maquinaciones para alterar 2 B Siglo XIX el precio de las cosas
Delitos societarios 3 C Baja Edad Media
Feedback: 1-C; 2-A; 3-B.
3. En relación con la evolución del derecho penal económico, la era del denominado
capitalismo regulatorio:
A. Se basa en una mayor prestación de servicios por parte del Estado.

B. Carece de afán regulatorio, por lo que disminuye el número de normas
elaboradas.
C. Contempla los programas de cumplimiento como una especie de
hibridación entre lo público y lo privado.
D Solo contempla la existencia de mecanismos públicos de presión, como la
Due Dilligence.
Compliance 35
Tema 2. Test
Test
4. Indica las tres estrategias jurídico-penales acuñadas en los Estados Unidos de
América como parte del proceso evolutivo de su derecho penal en relación al
cumplimiento normativo:
A. Sanciones anti trust, derecho penal privado y compliance.
B. Sanciones anti alcohol, derecho penal privado y compliance.
C. Sanciones anti alcohol, derecho administrativo de sociedades y
compliance.
D. Sanciones anti trust, derecho penal del mercado de valores y compliance.
5. En relación con el modelo de cooperación público-privada que determina la era
del denominado capitalismo regulatorio:
A. La imposición de sanciones penales o administrativas a las personas
jurídicas es la forma de motivar a sus directivos a que establezcan medidas
de debido control eficaces.
B. Los administradores que no impulsen la adopción de programas de
cumplimiento son gestores negligentes.
C. Existen mecanismos privados de presión como la Due Dilligence.
D. Todas las respuestas anteriores son verdaderas.
Compliance 36
Tema 2. Test
Test
6. Indica cuál de las siguientes afirmaciones es cierta:
A. En el sistema de responsabilidad vicarial, los sistemas de compliance
tienen la función de evitar que se realicen delitos en el seno de la persona
jurídica que puedan dar lugar a responsabilidad penal.
B. La persona jurídica solo puede ser responsable por el hecho cometido por
persona individual, y no por el hecho propio, consistente en la falta de
organización.
C. Al operar sobre un ente indeterminado que carece de personalidad
individual, la presunción de inocencia no es un principio aplicable en el
proceso penal de la persona jurídica.
D. El sistema de cumplimiento no debe controlar en ningún caso la actividad
de los administradores, al señalarse en estos la responsabilidad individual del
delito.
7. Respecto del proceso penal de la persona jurídica puede afirmarse que:
A. La colaboración de la persona jurídica, aportando prueba o confesando
culpabilidad es irrelevante.
B. La búsqueda de colaboración por parte del fiscal no plantea problemas
para los derechos fundamentales de la persona física investigada.
C. El artículo 31.bis del Código Penal español recoge la cooperación y la
confesión como circunstancias atenuantes.
D. Es aconsejable que el mismo abogado defienda a la persona jurídica y a la
persona física inculpada en el delito.
Compliance 37
Tema 2. Test
Test
8. Los tres grandes problemas de los sistemas de Compliance son, según Ulrich
Sieber:
A. Cosmética, seguridad jurídica y privatización de la función pública del
control de la criminalidad.
B. Estadarización, seguridad jurídica y privatización de la función pública del
control de la criminalidad.
C. Cosmética, seguridad jurídica y afán privatizador de la criminalidad.
9. Indica cuál de las siguientes afirmaciones sería adecuada para aportar solución a
los problemas de los sistemas de compliance:
A. En el diseño e implantación de los programas de cumplimiento deben
reforzarse controles cuyo eficaz funcionamiento dependa de la dirección de la
empresa.
B. La manera más idónea de conseguir un programa de cumplimiento efectivo
es que terceros independientes intervengan en su diseño, implantación y
supervisión.
C. Es aconsejable que el sistema de compliance implantado esté dotado de
los requisitos necesarios para que pueda ser certificado.
D. B y C son correctas.
Compliance 38
Tema 2. Test
Test
10. Respecto de las investigaciones internas
A. No son esenciales para el programa de cumplimiento, especialmente en
relación a lo estipulado en el artículo 31.bis del Código penal Español.
B. Los empleados sospechosos deben tener derechos similares a los que
gozan en el proceso penal.
C. Dado que no se conoce a priori el resultado de la investigación, no es

relevante fijar con claridad los derechos y deberes de los empleados en una
investigación interna.
D. Moosmayer señala que el marco jurídico de las investigaciones internas
proviene principalmente del derecho del trabajo, del derecho a la protección
de datos y de los derechos adquiridos.
Compliance 39
Tema 2. Test
Tema 3
Compliance
Tema 3. Conceptos generales

de Compliance
Índice
Esquema
Ideas clave
3.2. Introducción
3.3. Las líneas de defensa
3.4. Compliance como función de gestión de riesgos
3.5. Diferencias entre Compliance, asesoría jurídica y

auditoría interna
A fondo
Una guía de aproximación al Compliance para la

Abogacía
Compliance en el ámbito penal: la necesidad para la

empresa
Declaración de Posición: Las tres líneas de defensa para

una efectiva gestión de riesgos y control (2013)
Asociación Española de Compliance (ASCOM)
Test
Esquema
Compliance 3
Tema 3. Esquema
Ideas clave
Para estudiar este tema deberás complementar las ideas clave con la siguiente
lectura: Enseñat, S. (2016). Manual del Compliance Officer (pp. 21-33; 35-43). Cizur
Menor: Aranzadi. Disponible aquí en virtud del artículo 32.4 de la Ley de Propiedad
Intelectual.
En el presente tema veremos de forma sencilla los antecedentes históricos y el
desarrollo en el tiempo de la función de Compliance. Repasaremos definiciones y
modelos mayoritariamente aceptados para el conjunto de la materia, contextualizado
el asunto en la gestión de riesgos, y analizaremos las diferencias entre la función de
Compliance y otras que aparentemente podrían solaparse con esta.
Compliance 4
Tema 3. Ideas clave
Ideas clave
3.2. Introducción
L o s orígenes de la función de Compliance se sitúan en Estados Unidos, a
comienzos del siglo XX y como respuesta a la necesidad de luchar contra la
corrupción, la mafia y el blanqueo de capitales obtenido de actividades delictivas.
Surgen así normas orientadas a atajar fenómenos delictivos concretos en el ámbito
de los negocios y que poco a poco van constituyendo un entorno legal de
funcionamiento que obliga a las empresas a preocuparse del cumplimiento
(Compliance) de dichas normas en el seno de sus actividades.
E l riesgo de Compliance se define, según el Comité de supervisión bancaria de
Basilea (2005), de la siguiente forma: «El riesgo de Compliance es el riesgo de que
una organización pueda sufrir sanciones, multas, pérdidas financieras o pérdida de
su reputación como resultado del incumplimiento de las leyes, regulaciones, normas
de autorregulación o códigos de conducta que se apliquen a su actividad».
Compliance 5
Tema 3. Ideas clave
Ideas clave
3.3. Las líneas de defensa
La clave de un adecuado sistema de Compliance penal está en la existencia de unos
procedimientos claros y unas responsabilidades claramente definidas. El sistema de
control interno basado en las tres líneas de defensa se configura como un modelo
sencillo y comúnmente aceptado.
▸ La primera línea de defensa la constituye el «negocio» o actividad propia de la
empresa. Los empleados que día a día desarrollan esta actividad deben ser
conocedores de los riesgos a los que se enfrentan en su día a día y saber
gestionarlo.
▸ La segunda línea está compuesta por la función de Compliance y por otras unidades
de control que existan en la organización. Deben supervisar el correcto

funcionamiento de los controles y su aplicación efectiva por parte de la primera línea.
▸ La tercera línea de defensa está constituida por la función de auditoría interna, que
ha de supervisar a todas las unidades de la organización.
Compliance 6
Tema 3. Ideas clave
Ideas clave
3.4. Compliance como función de gestión de

riesgos
Efectivamente, la función de Compliance consiste principalmente en gestionar unos
riesgos específicos dentro de la organización. Para ello será necesario implementar
un esquema de funcionamiento basado en las siguientes fases:
▸ Análisis de actividades: mediante un ejercicio detallado de comprensión de todas
las líneas de actividad que se llevan a cabo en la compañía con el objeto de

posteriormente determinar los riesgos. Obviamente, el tipo de actividad tendrá unos
riesgos asociados específicos.
▸ Determinación de los riesgos: mediante un mapa de riesgos donde se
identificarán las actividades en cuyo ámbito puedan existir mayores riesgos de

distinta naturaleza (operacionales, penales…).
▸ Establecimiento de controles: mediante un mapa de controles: en particular,
identificar y evaluar los controles existentes en la misma, que sirven de mitigantes de

la exposición al riesgo anteriormente determinado.
▸ Supervisión. Resulta fundamental llevar a cabo una supervisión de las actuaciones
de compliance por parte del órgano responsable cuyas funciones deben estar fijadas
con claridad con el objeto de que pueda llevar a cabo su función.
▸ Trazabilidad de las actuaciones. Resulta fundamental que todas las labores de
supervisión llevadas a cabo en el marco del compliance queden recogidas a través

de las formas adecuadas (informes, análisis, actas y otros documentos) y mediante
el uso de las aplicaciones informáticas que correspondan.
▸ Aplicación de medidas correctoras.
Compliance 7
Tema 3. Ideas clave
Ideas clave
3.5. Diferencias entre Compliance, asesoría

jurídica y auditoría interna
Diferencias con Asesoría jurídica
¿Es verdaderamente necesario dotarse de una función de Compliance si ya se
cuenta con un departamento bien consolidado de asesoría jurídica? Siguiendo el
esquema mayoritariamente aceptado de las tres líneas de defensa, estas dos
funciones no tienen los mismos objetivos. Mientras que el asesor jurídico o legal
tiene como misión la defensa de la propia organización, la función de Compliance
vela por los intereses de las terceras partes dentro de la empresa (clientes,
accionistas, proveedores, sociedad en general).
Diferencias con Auditoría interna
Siguiendo con el modelo de las tres líneas de defensa, hemos visto ya que
Compliance y Auditoría constituyen líneas diferenciadas. Por su parte, existen
diferencias importantes entre la monitorización que realiza el Compliance y las
revisiones de la Auditoría interna:
▸ Compliance monitoriza solo los controles de su ámbito mientras que Auditoría
supervisa todos los controles, incluida la propia función de Compliance.
▸ Compliance monitoriza de forma más continua, ágil e inmediata mientras que las
revisiones de Auditoría suelen ser tiempo después de que hayan transcurrido los
hechos.
▸ Compliance, manteniendo su independencia, puede y debe participar en el diseño
de las políticas, procedimientos y controles, mientras que Auditoría actúa de forma

independiente con respecto al negocio.
En esta lección magistral, Conceptos generales del compliance, se comentará la
importancia de efectuar una buena evaluación de los riesgos penales, partiendo de la
Compliance 8
Tema 3. Ideas clave
Ideas clave
base del análisis de actividades, como factor clave para el desarrollo de una correcta
política de Compliance.
Accede al vídeo:
https://unir.cloud.panopto.eu/Panopto/Pages/Embed.aspx?id=63d4ad1f-0b7e-
4214-851c-aecb00b94af8
Compliance 9
Tema 3. Ideas clave
Ideas clave
Bajo Albarracín, J. C. (2017). Sistemas de gestión compliance. Guía práctica para el
compliance officers. Madrid: Ed. CEF.
Carrau, R. (2016). Compliance para PYMES (Abogacía Práctica). Pamplona: Editorial
Aranzadi Thomson Reuters.
Complianza Consultoria. (22 de febrero de 2018). Responsabilidad penal de la
persona jurídica: resoluciones del tribunal supremo y audiencias. El blog de
Complianza. Recuperado de: http://www.complianza.net/actualidad/responsabilidad-
penal/
Estupiñán, R. (2016). Administración de riesgos ERM y la auditoría interna. Bogotá:
ECOE Ediciones.
Laurence, Y.M. (2008) Primeros pasos en la gestión de riesgos. Madrid: AENOR.
Ribas, X. (2018). Practicum Compliance. Pamplona: Editorial Thomson Reuters.
Saiz, C.A. (2015). Compliance. Pamplona: Aranzadi.
Saiz Peña, C.A. (Coord.). (2015). Compliance. Cómo gestionar los riesgos
normativos en la empresa (Gran Tratado). Pamplona: Ed. Aranzadi Thomson
Reuters.
Thomson Reuters. (2017). Compliance. Guía Práctica de identificación, análisis y
evaluación de riesgos. Pamplona: Ed. Thomson Reuters.
Compliance 10
Tema 3. Ideas clave
A fondo
Una guía de aproximación al Compliance para la

Abogacía
http://www.abogacia.es/wp-content/uploads/2016/03/ABOGACIA-riesgos-ebook-
ok.pdf
Guía práctica que desde un punto de vista eminentemente didáctico analiza los
conceptos clave en el ámbito de la gestión de riesgos. La guía se concibe como
herramienta de aplicación práctica en el ámbito de la abogacía, pero define un
esquema de funcionamiento muy útil y aplicable de forma general. En los apartados

1 a 3 encontrarás información relacionada con el tema que estamos viendo.
Compliance 11
Tema 3. A fondo
A fondo
Compliance en el ámbito penal: la necesidad para

la empresa
https://www.youtube.com/watch?v=9RiS_fa7FKg
Autor: Bureau Veritas.
Año: 2016.
Intervención de Guillermo Ruiz-Blay, profesor universitario y experto en Compliance,
que repasa de forma didáctica nociones generales sobre Compliance.
Compliance 12
Tema 3. A fondo
A fondo
Declaración de Posición: Las tres líneas de defensa

para una efectiva gestión de riesgos y control
(2013)

https://www.funcionpublica.gov.co/eva/admon/files/empresas/ZW1wcmVzYV83Ng==/
imagenes/93/PP%20The%20Three%20Lines%20of%20Defense%20in%20Effective
%20Risk%20Management%20and%20Control%20Spanish.pdf
Artículo del IIA en el que se explican de forma esquemática los conceptos básicos
sobre el modelo de las tres líneas de defensa y su aplicación en el ámbito de la
gestión de riesgos y su utilidad en los entornos de control.
Compliance 13
Tema 3. A fondo
A fondo
Asociación Española de Compliance (ASCOM)
Casanovas, A. (2017). Libro blanco sobre la función del compliance. Madrid:
A S C O M . https://www.asociacioncompliance.com/wp-content/uploads/2017/08/Libro-
Blanco-Compliance-ASCOM.pdf
En el siguiente enlace encontrarás el libro blanco sobre la función Compliance,
publicado en 2017.
Compliance 14
Tema 3. A fondo
Test
1. Los orígenes de la función de Compliance se sitúan en:
A. Europa después de la segunda guerra mundial.
B. Europa a comienzos del siglo XX.
C. Gran Bretaña después de la segunda guerra mundial.
D. Estados Unidos a comienzos del siglo XX.
2. Indica cuál de las siguientes afirmaciones es verdadera:
A. Los ataques del 11 de septiembre de 2001 condujeron a la publicación de
normas para combatir el delito fiscal.
B. La Sarbanes Oxley Act se publica como respuesta a escándalos como la
caída de Enron.
C. En los sectores regulados como el financiero la función de Compliance se
impuso de forma voluntaria en las empresas.
D. La convención anticorrupción de la OCDE no ha sido revisada desde su
promulagación.
3. Señala cuáles de los siguientes elementos forman parte del riesgo de
Compliance según la definición del Comité de Supervisión Bancaria de Basilea:
A. Sufrir sanciones y multas.
B. Sufrir pérdidas financieras y pérdida de reputación.
C. Sufrir robos de información sensible.
D. A y B son correctas.
Compliance 15
Tema 3. Test
Test
4. Indica cuál de los siguientes principios no está relacionado con la función de
Compliance:
A. Compliance comienza en la cúpula de las organizaciones.
B. Una organización debería observar exclusivamente el tenor literal de las
leyes, y no su espíritu.
C. Compliance debería ser parte de la cultura de una organización.
D. Compliance afecta a todos los miembros de la organización.
5. Indica el orden correcto de las tres líneas de defensa, partiendo desde la primera
hasta la tercera:
A. Compliance, negocio, auditoría interna.
B. Auditoría interna, compliance, negocio.
C. Compliance, auditoría interna, negocio.
D. Negocio, compliance, auditoría interna.
6. La responsabilidad última del control de riesgos recae sobre:
A. El comité de auditoría.
B. El órgano de Compliance.
C. Los miembros de la alta dirección.
D. La primera línea de defensa.
7. Al respecto de la gestión de riesgos, puede decirse que:
A. Compliance es una función de gestión de riesgos.
B. La aplicación de medidas correctoras no forma parte de la gestión de

riesgos.
C. El Compliance Officer gestiona unos riesgos específicos dentro de la
organización.
D. A y C son verdaderas.
Compliance 16
Tema 3. Test
Test
8. En cuanto a las diferencias y/o similitudes entre Asesoría jurídica y Compliance,
podemos afirmar que:
A. Son dos elementos con el mismo objetivo pero con funciones diferentes.
B. Son dos elementos que forman parte de la tercera línea de defensa.
C. Sus intereses nunca entran en conflicto.
D. Asesoría tiene como misión principal defender a la organización y sus
empleados mientras que Compliance vela por los intereses de terceras
partes.
9. En cuanto a las diferencias y/o similitudes entre Auditoría interna y Compliance,
pude decirse que:
A. Sus tareas de supervisión no son complementarias.
B. Compliance forma parte de la segunda línea de defensa y Auditoría
constituye la tercera.
C. No existen diferencias sustanciales entre la monitorización que realiza
Compliance y la revisión que lleva a cabo Auditoría.
D. Las revisiones de Auditoría interna generalmente ocurren antes de que se
haya producido el incumplimiento.
10. La monitorización de Compliance:
A. Supervisa únicamente los controles y riesgos de Compliance.
B. Se lleva a cabo con mayor inmediatez al posible riesgo o incumplimiento.

C. Se realiza de forma frecuente y continua.
Compliance 17
Tema 3. Test
Tema 4
Compliance
Tema 4. Las consecuencias

jurídicas del non compliance
Índice
Esquema
Ideas clave
4.2. Introducción
4.3. La responsabilidad penal de la empresa
4.4. La imputación de los miembros de la empresa
A fondo
Delimitación conceptual y atribución de responsabilidad

penal al administrador de derecho

Compliance
Responsabilidad penal de la empresa y del directivo
Responsabilidad penal de directivos y administradores
Responsabilidad penal de los administradores de una

sociedad
Test
Esquema
Compliance 3
Tema 4. Esquema
Ideas clave
Para estudiar este tema deberás complementar las ideas clave expuestas a
continuación con la siguiente lectura: García, P. (2014). Criminal Compliance (pp. 89-
114). Pueblo Libre (Perú): Palestra Editores. Disponible aquí en virtud del artículo
32.4 de la Ley de Propiedad Intelectual.
Martin Boado, A. M. (2015). El nuevo Código Penal no perdona los delitos cometidos
por los directivos de una organización. Revista PM Farma , septiembre-octubre.
Disponible en:
https://www.pmfarma.es/articulos/1898-el-nuevo-codigo-penal-no-perdona-los-
delitos-cometidos-por-los-directivos-de-una-organizacion.html
Martin Boado, A. M. (2016). Casos reales 1/2016. Instituto Español de Ética y
Compliance. Disponible para su descarga
En el presente tema analizaremos las consecuencias que tiene para el conjunto de la
organización el hecho de no implementar programas de Compliance, o hacerlo de
forma no idónea o poco diligente. Partiendo de los distintos sistemas teóricos al
respecto de la delimitación de la responsabilidad penal de la persona jurídica,
veremos los supuestos de imputabilidad tanto de la empresa como de sus directivos.
Compliance 4
Tema 4. Ideas clave
Ideas clave
4.2. Introducción
El non-compliance se produce de forma clara cuando la organización no cuenta con
un programa de cumplimiento normativo. Pero también de forma secundaria si el
programa no es adecuado o no se observa su contenido de manera suficiente
¿Puede ello dar lugar, llegado el caso, a la responsabilidad penal de los encargados
de formular, implementar y llevar a cabo el plan de Compliance?
Compliance 5
Tema 4. Ideas clave
Ideas clave
4.3. La responsabilidad penal de la empresa
En el marco de la empresa, la situación de non-compliance puede repercutir en la
imputación penal de la empresa misma, por lo que se hace necesario discutir cómo
la lógica del Compliance puede incidir en esta cuestión.
El injusto empresarial
El fundamento mayoritariamente aceptado, más allá de matices doctrinales, basa la
imputación de la empresa en el hecho propio, o modelo de autorresponsabilidad,
por lo que se hace necesario delimitar cuál sería ese hecho propio y el consenso al
respecto parece darse en entender que el hecho por el cual se responsabiliza a la
empresa es un defecto de organización. De esta forma, la ausencia de Compliance o
el Compliance inapropiado podrían ser elementos que fundamentasen, llegado el
caso, la imputación de la empresa.
A partir de aquí pueden tomarse distintas decisiones sobre cómo castigar la

conducta punible. Una de ellas sería criminalizar en sí misma la organización
defectuosa de la empresa que haga posible la comisión de un delito por alguno de
sus miembros, siendo en este caso que la infracción atribuida a la persona jurídica
consistiría en una situación de non-compliance.
La otra alternativa sería tratar la situación de non-compliance como la causa de la
responsabilidad penal de la empresa por el delito cometido por su órgano o
representante. El defecto organizativo, que atañe de pleno a la empresa, la hace
penalmente competente por el delito realizado en su seno. Si bien en el derecho
español no existe obligación de tener un plan de Compliance, compete a la empresa
el tenerlo o no tenerlo, de modo que resultará responsable de los delitos que se
cometan debido a la situación de non-compliance y que podrían haberse evitado con
un adecuado plan de cumplimiento. Al respecto, recordemos aquí que el artículo 31
bis del Código Penal español prevé el hecho de tener implantado en la organización
Compliance 6
Tema 4. Ideas clave
Ideas clave
antes de la comisión del delito un programa de cumplimiento (con el correspondiente
plan de prevención de delitos) puede constituir una circunstancia «eximente» de la
responsabilidad penal de la persona jurídica.
A tenor de la importancia del art. 31 bis del Código Penal español deberás consultar
para completar el estudio de este epígrafe.

https://www.boe.es/buscar/act.php?id=BOE-A-1995-25444
Es importante no obstante también señalar que el non-compliance no siempre deriva
en una imputación por los delitos producidos, ya que esta no solo se produce como
por la creación del riesgo sino, además, por la materialización de este en un
resultado.
El criterio de imputación de la pena
La situación de non-compliance como circunstancia que agrava la pena solo puede
ser tenida en cuenta dentro de un modelo de heterorresponsabilidad, ya que si no
se estaría valorando doblemente una misma circunstancia.
No obstante, sí puede afirmarse que la corrección del defecto de organización a
través de la puesta en marcha de un plan de Compliance sí será tenida en cuenta a
la hora de determinar la pena a imponer, a través de la consideración de un
atenuante.
Compliance 7
Tema 4. Ideas clave
Ideas clave
4.4. La imputación de los miembros de la empresa
La situación de non-compliance puede derivar también en responsabilidad penal
individual de los miembros de la empresa debido a delitos cometidos en el marco de
sus actividades.
La responsabilidad penal de los directivos
La decisión de poner en marcha un plan de Compliance corresponde a los directivos
de la empresa, de ahí que si la situación de non-compliance puede ser fácilmente
atribuible a estos, será sobre ellos sobre quienes se individualizará la
responsabilidad penal.
Cabe señalar en este punto que si bien, y como ya se ha dicho, la legislación
española no impone de forma obligatoria la puesta en marcha de planes de
cumplimiento en las empresas, está ya abierto el debate jurídico sobre si la decisión
de no llevar a cabo medidas de cumplimiento penal supondría por parte de los

directivos cometer delito de administración desleal, al no haber tomado las
medidas adecuadas para salvaguardar los intereses de la empresa.
Es importante señalar que el concepto de administrador en los delitos comunes debe
de entenderse en un sentido amplio, como las personas que integran el órgano de
administración de la empresa, pudiendo adquirir estas distintas formas como son
administrador único, administradores solidarios o mancomunados, y consejo de
administración.
Así, desde la perspectiva de la gestión de la empresa, el administrador tiene
encomendadas las principales funciones como las de planificación, organización,
coordinación y vigilancia general de la actividad empresarial encaminadas al
desarrollo y consecución del que sea el objeto social.
No obstante, las funciones de gestión general de la empresa no solamente pueden
Compliance 8
Tema 4. Ideas clave
Ideas clave
estar en manos de los administradores, sino que también pueden encargarse los
directores gerentes o directores generales. Por tanto, la consideración de
administrador en el ámbito de los delitos comunes se extendería también a esos
otros altos directivos de la empresa con competencias sobre la gestión al máximo
nivel.
Sin ser excluyentes, los tipos delictivos más frecuentes de los que los
administradores o asimilados pueden ser responsables son los siguientes:
▸ Defraudaciones: Estafas y apropiaciones indebidas. (Artículos 248 a 254 CP). Hay
que señalar que desde la reforma efectuada por la LO 1/2015, la administración

desleal –artículo 295– se ha sacado de los delitos societarios y situado entre los
delitos patrimoniales –artículo 252–, pues puede ser sujeto pasivo del mismo tanto
una persona individual como una sociedad.
▸ Delitos contra la propiedad intelectual e industrial, al mercado y a los consumidores.
(Artículos 270 a 288 CP).
▸ Delitos contra la Hacienda Pública y la Seguridad Social. (Artículos 305 a 310 CP).
▸ Delitos contra los Derechos de los trabajadores. (Art. 311 a 318 CP).
Obviamente la situación no admite discusión alguna cuando se habla de sectores
regulados y que, esta vez, sí, imponen la obligatoriedad de llevar a cabo medidas
concretas de control con respecto a la comisión de actos ilícitos.
En cuanto a la comisión de actos ilícitos por parte de trabajadores «no directivos»,
debe decirse que si existe en la empresa un programa de cumplimiento idóneo y
adecuado, el hecho señalado no debe derivar en la responsabilidad penal del
directivo.
Para ampliar esta información, puedes leer una relación y resumen de las
Compliance 9
Tema 4. Ideas clave
Ideas clave
Sentencias y Resolución de mayor interés en el apartado A fondo.
En esta lección magistral, Las consecuencias penales del non compliance,
analizaremos a través de un caso práctico las concretas consecuencias del «non
compliance» ante las diferentes situaciones posibles: a-delictiva, predelictiva y
posdelictiva.
Accede al vídeo:
https://unir.cloud.panopto.eu/Panopto/Pages/Embed.aspx?id=3c1e2a42-5bef-
4f20-b36d-aecb00b99e35
Compliance 10
Tema 4. Ideas clave
Ideas clave
Benítez, D. (2017). El cumplimiento y el órgano de administración social. Dossier
Compliance y Norma UNE 19601. Madrid: Thomson Reuters.
Complianza Consultoría (22 de febrero de 2018). Responsabilidad penal de la
persona jurídica: resoluciones del tribunal supremo y audiencias. El blog de
Complianza. Disponible en: http://www.complianza.net/actualidad/responsabilidad-

penal/
Consejo General de la Abogacía Española. (2017). Informe 5/2017. Comisión jurídica
sobre la intervención del abogado como responsable de cumplimiento normativo
(compliance officer).
Del Moral, A. (21 de noviembre de 2017). A vueltas con los programas de
cumplimiento y su trascendencia penal. Elderecho.com. Disponible en:

https://www.elderecho.com/tribuna/penal/Programas-cumplimiento-compliance-
penal_11_1160680001.html
García, P. (2014). Criminal Compliance. Perú: Palestra Editores.
Kuhlen, M., Ortiz de Urbina, J.P., Gimeno, Í. (2013). Compliance y teoría del Derecho
penal. Madrid: Marcial Pons, Ediciones Jurídicas y Sociales.
Luceño, J. L. y Herrera, R. (2017). El Compliance como Responsabilidad del Consejo
de Administración. Dossier Compliance y Norma UNE 19601. Madrid: Thomson
Reuters.
Moya, A. (2010). Responsabilidad penal de los administradores: delitos societarios y
otras formas delictivas adaptada a la ley 5/2010 de reforma del código penal.
Barcelona: Editorial Bosch, S.A.
Compliance 11
Tema 4. Ideas clave
Ideas clave
Silva., J.M. (2013). Criminalidad de empresa y compliance. Barcelona: S.A. Atelier
libros.
Compliance 12
Tema 4. Ideas clave
A fondo
Delimitación conceptual y atribución de

responsabilidad penal al administrador de derecho
Gil, M.S. (julio, 2013). Delimitación conceptual y atribución de responsabilidad penal
al administrador de derecho: una revisión de doctrina desde la jurisprudencia.
Revista de Derecho penal y Criminología, 3 (10), 115-154. http://e-

spacio.uned.es/fez/eserv/bibliuned:revistaDerechoPenalyCriminologia-2013-10-
4015/Documento.pdf
El artículo se centra en analizar la figura del administrador de derecho y analiza
situaciones de atribución a este de la responsabilidad penal y ofrece un completo
listado de jurisprudencia relacionada con la materia.
Compliance 13
Tema 4. A fondo
A fondo

Compliance
El siguiente documento recoge algunas de las Sentencias o Resoluciones dictadas
por autoridades judiciales y administrativas (así, tribunales, autoridades judiciales o
autoridades anticorrupción) de interés en materia de Compliance, que se han ido
dictando en España y en otros países.
Compliance 14
Tema 4. A fondo
A fondo
Responsabilidad penal de la empresa y del

directivo
https://www.youtube.com/watch?v=UzQf_q-g95U&t=649s
Autor: Fundación Industrial Navarra.
Año: 2015.
Conferencia de D. Jorge Arellano, responsable de Corporate Compliance, que ofrece
una serie de interesantes reflexiones sobre la responsabilidad penal de personas
jurídicas en el marco legislativo actual.
Compliance 15
Tema 4. A fondo
A fondo
Responsabilidad penal de directivos y

administradores
Montoya, M. La responsabilidad penal de los directivos. Cuadernos de defensa penal
corporativa. Attrio Abogados. Accede al artículo a través del aula virtual o desde la
siguiente dirección web:

https://miguelangelmontoya.com/wp-content/uploads/2020/05/cuadernos-
responsabilidad-penal-directivos-1.pdf
Interesante artículo en el que el autor analiza supuestos y condiciones para
establecer la responsabilidad criminal de quienes intervienen en la comisión de un
delito en el seno de organizaciones jerarquizadas y en las que las funciones
directivas están claramente determinadas.
Compliance 16
Tema 4. A fondo
A fondo
Responsabilidad penal de los administradores de

una sociedad
Bufete Escura (4 de abril de 2017). Responsabilidad penal de los administradores de
una sociedad. Blog de nuevas tecnologías- Escura.
http://www.escura.com/archivos/pdf/responsabilidad-penal-administradores-sociedad-
65-2017.pdf
Breve análisis del tema con referencias al artículo 31.bis del Código Penal y
jurisprudencia del Tribunal Supremo.
Compliance 17
Tema 4. A fondo
Test
1. Una situación de non-compliance se produce de manera clara cuando:
A. El órgano de administración no está claramente constituido.
B. La empresa no cuenta con normas internas acordes a sus procesos
operacionales.
C. El administrador ejerce su responsabilidad de manera mancomunada.
D. La empresa no cuenta con un programa de cumplimiento normativo.
2. En el ámbito de la responsabilidad penal de la empresa, la situación de non-
compliance:
A. No tiene relevancia ninguna.
B. Tiene una doble relevancia.
C. No es tenida en cuenta en ningún caso a la hora de decidir la pena.
D. No es importante para decidir la imputación penal contra la empresa.
3. Indica cuál es el modelo de responsabilidad penal de la empresa que mejor se
ajusta a los estándares actuales de imputación penal:
A. Heterorresponsabilidad por hecho impropio.
B. Autorresponsabilidad.
C. Heterorresponsabilidad por hecho propio.
D. Ninguna de las anteriores.
4. En el sistema de imputación penal por hecho propio, ese hecho que genera la
imputación es:
A. Un defecto de organización.
B. Un defecto de estructura directiva.
C. Una inadecuada estructura societaria.
D. La ausencia de estructuras jerarquizadas.
Compliance 18
Tema 4. Test
Test
5. Indica cuál de las siguientes afirmaciones es correcta:
A. A la hora de castigar el defecto de organización una opción legislativa es
criminalizar en sí misma al conjunto de actividades de la empresa.
B. La obligatoriedad del Compliance en España anula cualquier posibilidad de
imputación penal.
C. Si bien no pesa sobre la empresa un deber jurídico de incorporar un
programa de cumplimiento, se considera una incumbencia suya hacerlo.
D. El hecho de que exista programa de cumplimiento en la empresa inidóneo
e inapropiado no genera una situación de non-compliance, ya que el plan
existe.
6. La Ley de contravenciones alemana (OWIG):
A. Castiga a la empresa cuando sus órganos cometen un delito.
B. El delito atribuido a la persona jurídica consistiría en una situación de non-
compliance.
C. No castiga a la empresa en ningún caso.
D. A y B son verdaderas.
7. Respecto del incumplimiento del deber de implementar un plan de Compliance
idóneo, puede afirmarse que:
A. Siempre conlleva una imputación penal de los delitos producidos.
B. La imputación objetiva se reduce a la creación del riesgo penalmente
prohibido.
C. El riesgo debe realizarse en resultado para para que haya posible
imputación.
D. Ninguna de las anteriores es verdadera.
Compliance 19
Tema 4. Test
Test
8. La llamada culpabilidad reactiva:
A. Supone que la empresa corrige su defecto organizativo con la adopción de
un plan de compliance una vez se ha cometido el delito.
B. En ningún caso supone un aspecto valorable positivamente a efectos de
imposición de pena.
C. Puede llegar a suponer la atenuación de la pena, pero no su sustitución.
D. Ese concepto no existe, pero sí, a los mismos efectos, el de
responsabilidad procesal ex – post.
9. Puede ser consecuencia de la situación de non-compliance:
A. La imputación de responsabilidad penal a los miembros individuales de la
empresa por un delito cometido en el marco de las actividades empresariales.
B. La imputación de responsabilidad penal individual a los directivos por no
haber salvaguardado adecuadamente el interés de la empresa.
C. La imputación de responsabilidad penal individual a los directivos si el non-
compliance deriva claramente de su ámbito de decisión.
10. En cuanto al carácter defectuoso de un sistema de cumplimiento normativo:
A. Se prueba con la sola realización de un delito en el marco de la actividad
empresarial.
B. Queda probado por el hecho de que un trabajador haya sido capaz de

eludirlo.
C. Para probar dicho carácter es necesario realizar un análisis concreto de las
medidas que incluye el sistema.
D. Quedará probado si las medidas implantadas no reducen a cero el riesgo
de comisión de delitos.
Compliance 20
Tema 4. Test
Tema 5
Compliance
Tema 5. Public Compliance

Índice
Esquema
Ideas clave
5.2. Ética pública y cumplimiento normativo
5.3. Asimetrías en la prevención de la corrupción
A fondo
Ética pública y buen gobierno
Legge Anticorrupzione 190-2012- Gobiernos de la

República de Italia
Estatuto del Empleado público, deberes y código de

conducta
La ética y la corrupción en la política y la administración

pública
Test
Esquema
Compliance 3
Tema 5. Esquema
Ideas clave
Para estudiar este tema deberás complementar las ideas clave con la siguiente
lectura: Nieto, A. y Maroto, M. (2014). Public compliance. Prevención de la corrupción
en administraciones públicas y partidos políticos (pp. 17-42). Ciudad Real:
Universidad de Castilla la Mancha. Disponible aquí en virtud del artículo 32.4 de la

Ley de Propiedad Intelectual.
En el presente tema abordaremos la cuestión del public compliance o cumplimiento
normativo en el sector público, aspecto también relevante de cara a completar la
visión global del ámbito del cumplimiento normativo y los modelos de prevención
penal. De esta forma y partiendo de la evolución histórica del concepto, analizaremos

las diferencias, y los motivos de estas, entre la implantación de los modelos de
Compliance en el sector privado frente a su escasa presencia, más allá de la
observancia de una serie de normas de tipo general, en el sector y las
administraciones públicas.
Compliance 4
Tema 5. Ideas clave
Ideas clave
5.2. Ética pública y cumplimiento normativo
El concepto de ética pública surge a finales de los años 70 en el mundo anglosajón
ante la necesidad de controlar la corrupción en las administraciones públicas. Se
llega al convencimiento de que el conjunto de normas y reglas no es suficiente para
controlar la actividad de la administración y de que se hace necesario establecer
mecanismos de autorregulación mediante el establecimiento de controles internos en
las organizaciones.
En este contexto de autorregulación el código ético supone la pieza fundamental
sobre la que basar el conjunto del cumplimiento normativo. La clave de un buen
código ético está, más allá de su contenido, en que haya sido elaborado contando
con la participación de aquellos a quienes va a afectar su estricto cumplimiento.
Otro aspecto primordial en el engranaje del respeto a la ética está, también en
relación con la importancia del código ético, en la política formativa. La formación
constituye el elemento más importante para garantizar la eficacia de la política de
cumplimiento, y por supuesto, esto también es así en el ámbito de las organizaciones
públicas.
El siguiente elemento importante para el cumplimiento normativo es la evaluación
de riesgos. Quizá este aspecto sea el principal problema en relación con la ética
pública, en el sentido de que se trata de un concepto que no ha sido realmente

interiorizado por las administraciones públicas hasta fechas bien recientes y sin que,
hasta ahora, se hayan desarrollado tampoco mecanismos de control interno al estilo
de los implementados en las empresas privadas. No en vano nuestra actual
regulación en la materia excluye directamente a las administraciones públicas de la
aplicación del concepto de responsabilidad penal de persona jurídica.
Compliance 5
Tema 5. Ideas clave
Ideas clave
De ahí la importancia de que las administraciones públicas aborden de forma
profesional el public compliance centrándose en la importancia de valorar sus
riesgos y siendo conscientes de que las simples normas de carácter general no son
suficientes como mecanismo de control eficaz para la prevenir la comisión de delitos.
Compliance 6
Tema 5. Ideas clave
Ideas clave
5.3. Asimetrías en la prevención de la corrupción
Ante este panorama, no es difícil extraer la conclusión de que el desarrollo del
Compliance en la empresa privada ha sido mucho más profundo, profesional y
universal que las medidas llevadas a cabo en el caso de las administraciones
públicas. Así, si el nacimiento y consolidación del Compliance ha supuesto una
suerte de privatización de la lucha contra el delito y la corrupción, no es comprensible
que la administración no se aplique a sí misma las mismas normas cuya aplicación
solicita para el sector privado.
Se da, de esta forma, una clara situación de asimetría cuya justificación ha de
buscarse precisamente en una presión regulatoria a su vez asimétrica en la medida
en que, si bien distintas normas procedentes de distintos ámbitos del derecho han
establecido estímulos e incentivos para la universalización del Compliance en el
sector privado, esto no ha sido así para con las organizaciones públicas.
En esta lección magistral, Análisis de riesgos, veremos algunas de las conductas
más usuales que son susceptibles de ser consideradas delito, en relación con el tipo
penal en el que encajan. A la par, se expondrán ejemplos de control para minimizar
el riesgo de materialización del tipo.
Compliance 7
Tema 5. Ideas clave
Ideas clave
Accede al vídeo:
https://unir.cloud.panopto.eu/Panopto/Pages/Embed.aspx?id=e2b9be3a-b78d-
45c4-983b-aecb00afd6e1
Compliance 8
Tema 5. Ideas clave
Ideas clave
Enseñat, S. (2016). Manual del Compliance Officer. Guía práctica para los
responsables de Compliance de habla hispana. Pamplona: Editorial Thomson
Reuters.
Escura (22 de febrero de 2017). Jurisprudencia sobre la representación de una
persona jurídica en un proceso penal. Escura.com. Disponible en:

https://www.escura.com/es/blog-escura/jurisprudencia-la-representacion-procesal-
una-persona-juridica-proceso-penal/
Marleny, L. (2008). Manual de ética pública. Cómo incorporar la ética pública en la
cultura institucional de los organismos y entidades del Estado. Asunción: programa
umbral Paraguay.
Villoria, M., Izquierdo, A. (2015). Ética pública y buen gobierno: regenerando la
democracia y luchando contra la corrupción desde el servicio público. Instituto
Nacional de Administración Pública INAP.
Compliance 9
Tema 5. Ideas clave
A fondo
Ética pública y buen gobierno
Bautista, O.D. (2009). Los códigos de ética en asuntos de Estado. En Ética pública y
buen gobierno. Fundamentos, estado de la cuestión y valores para el servicio público
(pp. 93-117). Toluca: Instituto de Administración pública del Estado de México.

http://eprints.ucm.es/9829/1/eticapublica.pdf
El documento que se propone, que resultó galardonado con mención honorífica en el
Premio Bienal IAPEM 2008, muestra, entre otros aspectos, un estudio comparativo al
respecto de principios éticos de gestión pública en distintos países de nuestro
entorno.
Compliance 10
Tema 5. A fondo
A fondo
Legge Anticorrupzione 190-2012- Gobiernos de la

República de Italia
Accede a la Ley a través de la siguiente dirección web:
http://www.marche.istruzione.it/news/2013/112013/allegati/legge_anticorruzione_n._1
90-2012_0.pdf
Ley anticorrupción de la República Italiana. Constituye uno de los textos más
modernos y elaborados sobre lucha contra el delito, perfeccionando instrumentos
básicos para la prevención de la corrupción.
Compliance 11
Tema 5. A fondo
A fondo
Estatuto del Empleado público, deberes y código

de conducta
https://www.youtube.com/watch?v=6oZrslXUr4I
Autor: García, C.S.
Año: 2016.
La autora del vídeo ofrece unas pinceladas muy interesantes sobre el Real Decreto
Legislativo 5/2015 de 30 de octubre, sobre Texto Refundido de la Ley del Estatuto
Básico del Empelado público, centrándose en los principios éticos que deben presidir
la actuación de los empleados públicos.
Compliance 12
Tema 5. A fondo
A fondo
La ética y la corrupción en la política y la

administración pública
Bautista, O.D. (2005). La ética y la corrupción en la política y la administración
pública. Universidad Internacional de Andalucía, Sevilla.

http://dspace.unia.es/bitstream/handle/10334/45/0007_Diego.pdf?sequence=1
Tesis doctoral que versa sobre ética pública. En los capítulos 4 y 5 se incluye
información sobre diversos organismos anticorrupción y también se habla sobre el
Estatuto Básico de la Función Pública y se identifican los valores éticos para los
servidores públicos en España.
Compliance 13
Tema 5. A fondo
Test
1. La idea de ética pública aparece:
A. A principios de la década del 2000 como consecuencia de la caída de
ENRON.
B. A finales de los 70, en Francia, como mecanismo de control de la
corrupción en las administraciones públicas.
C. A finales del siglo XIX, en EE. UU. como consecuencia de la corrupción
derivada de la expansión del ferrocarril.
D. A finales de los 70, en el mundo anglosajón, como mecanismo de control
de la corrupción en las administraciones públicas.
2. El informe Nolan, punto de partida del concepto de public compliance, pone de
manifiesto que:
A. El incremento y la mejora de la regulación constituyen per se un antídoto
suficiente para la prevención de prácticas corruptas.
B. Las medidas de autorregulación suplen la necesidad de contar con
controles externos como la existencia de un poder judicial independiente.
C. Se hace necesario potenciar medidas de autorregulación que incrementen
los controles internos de cada organización.
D. Las administraciones públicas gozan de un elevado grado de implantación
de mecanismos de control interno.
3. Respecto del papel del código de conducta como medida de autorregulación de
las administraciones públicas, se puede afirmar que:
A. Se le considera un eje central de las medidas internas.

B. Contrarresta el contexto de justificación que propicia la comisión de delitos.
C. Es importante que en su proceso de elaboración participen las personas
afectadas por sus disposiciones.
D. Todas las anteriores son ciertas.
Compliance 14
Tema 5. Test
Test
4. Indica cuál de las siguientes afirmaciones no es cierta con respecto al Estatuto
Básico del Empleado Público (EBEP):
A. Se limita a poner de manifiesto una serie de valores, principios y normas
básicas de conducta.
B. Obliga a cada administración pública a contar con su propio catálogo de
normas de conducta.
C. Determina que las reglas y principios que contiene «informarán la
interpretación y aplicación del régimen disciplinario de los funcionarios
públicos».
D. No tiene validez jurídica directa como norma de derecho penal.
5. Al respecto del análisis de riesgos en el seno de las administraciones públicas se
puede afirmar que:
A. Se ha puesto un énfasis suficiente en su implementación.
B. No tiene mucho sentido, dado el carácter público de la administración.
C. No tiene el mismo grado de desarrollo con el que cuenta en la empresa
privada.
D. Está contemplado en el Plan Nacional de Riesgos de las Administraciones
Públicas que se elabora anualmente.
Compliance 15
Tema 5. Test
Test
6. Al respecto de la asimetría entre «Compliance público» y «Compliance privado»,
se puede decir que:
A. El grado de implantación de medidas anticorrupción en la empresa privada
y la administración pública es similar.
B. La adopción de programas de cumplimiento en las empresas supone en
cierta medida una privatización de la lucha contra la corrupción.
C. La razón de la asimetría está en la falta de presión regulatoria que
incentive la aplicación del Compliance en la administración pública.
D. B y C son ciertas.
7. Una buena estrategia para el desarrollo del public compliance está en:
A. Aplicar al sector público las medidas del Compliance privado.
B. La privatización de los servicios de Compliance en las administraciones
públicas.
C. La privatización de los servicios públicos.
D. La reducción del sector público.
8. Al respecto del EBEP en el contexto del public compliance, sería recomendable
que:
A. Se transformase en una norma penal.
B. Incluyese un código ético único para el conjunto de las administraciones
públicas.
C. Estableciera la obligación de que cada administración pública contase con
su propio programa anticorrupción.
D. Ampliase su ámbito de aplicación a cargos municipales electos.
Compliance 16
Tema 5. Test
Test
9. Indica cuál de los siguientes grupos de actividades incluye las más proclives a la
corrupción en el marco de actuación de las administraciones públicas:
A. Urbanismo, sanidad, educación, contratos.
B. Urbanismo, contratos, contratación de personal, subvenciones.
C. Urbanismo, contratos, sanidad, subvenciones.
D. Urbanismo, contratos, educación, subvenciones.
10. La alternativa que más minimiza los daños colaterales de la multa y que puede
a su vez actuar como medida incentivadora para el public compliance es:

A. El cese de prestación de servicios por parte de la administración pública.
B. La publicación de listas nominativas de infractores en el BOE.
C. La intervención judicial de la administración afectada.
D. La intervención policial de la administración afectada.
Compliance 17
Tema 5. Test
Tema 6
Compliance
Tema 6. Análisis de riesgos

Índice
Esquema
Ideas clave
6.2. Introducción
6.3. Identificación, gestión y control
6.4. El método Mosler
A fondo
Buenas prácticas para la gestión y supervisión del riego

operativo
Gestión del riesgo de fraude: prevención, detección e

investigación
ISO 31 000 Gestión de riesgos
Caso práctico sobre apetito de riesgo
Test
Esquema
Compliance 3
Tema 6. Esquema
Ideas clave
continuación con la lectura del siguiente artículo:
Jiménez, V. (5 de mayo de 2017). La valoración de los delitos de los delitos en un
programa de compliance. El método de mosler como método de análisis y evaluación
de los riesgos penales (1). Diario la Ley, núm. 8973
Accede al artículo a través del aula virtual o desde la siguiente dirección web:
http://escura.com/archivos/pdf/LALEY_Valoracion-delitos-programa-compliance-
victor-jimenez-2017.pdf
En el presente tema analizaremos la utilidad y necesidad de un adecuado proceso de
identificación de los riesgos penales como base para implementar de forma acertada
y eficaz un programa de cumplimiento.
Veremos aspectos generales sobre gestión de riesgos y nos detendremos en
estudiar una propuesta concreta de actuación en la materia: el método de Mosler.
Compliance 4
Tema 6. Ideas clave
Ideas clave
6.2. Introducción
El primero de los requisitos que el artículo 31.bis del Código Penal español establece
para los modelos de Compliance es el que indica que se han de identificar las
posibles actividades en las que podría materializarse la comisión de un delito, lo que
lleva aparejado la realización de una evaluación de riesgos penales.
Por su parte, la Fiscalía General del Estado señala también este aspecto en su
circular 1/2016, estableciendo que los programas de Compliance deben ser aptos
para identificar, gestionar, controlar y comunicar los riesgos reales y potenciales
derivados de las actividades de la empresa.
Todo lo cual lleva a la necesidad de proponer un método de evaluación y medición
de riesgos penales.
Compliance 5
Tema 6. Ideas clave
Ideas clave
6.3. Identificación, gestión y control
Cualquier método de gestión de riesgos penales debe basarse en un precepto
básico: evaluar la exposición de la empresa al riesgo de ser declarada responsable
de la comisión de delitos. Por ello, resulta fundamentar cimentar la construcción de
cualquier programa de compliance penal en una evaluación de riesgos sólida.
Determinar la exposición al riesgo penal de una compañía exige no solo
conocer los tipos penales que pueden afectar a una persona jurídica, sino
identificar de la forma más precisa posible cuales de esos delitos tienen un mayor
grado de probabilidad de comisión en función de la actividad empresarial que se lleva
a cabo en la empresa.
De esta forma, será básico examinar, por un lado, la exposición al riesgo en cada
una de las áreas de negocio y departamentos y, por otro lado, las actividades que
se desarrollan en su seno. Este proceso analítico debe culminar en un entendimiento
pleno de las actividades que se llevan a cabo en la compañía en el contexto de su
organización interna. Es por ello, por lo que el organigrama de la compañía, los
departamentos que la estructuran, funciones y muchos otros aspectos organizativos
resultarán esenciales para poder terminar la exposición al riesgo con precisión.
El siguiente aspecto relevante en el proceso será el establecimiento de controles
preventivos de modo que finalmente seamos capaces de haber definido para cada
uno de los delitos comisibles:
▸ El nivel de riesgo en términos, como mínimo de impacto y probabilidad.
▸ Los controles y actuaciones clave para minimizar su comisión.
▸ La fortaleza de los mencionados controles.
▸ Las acciones de mejora que se consideren adecuadas.
Compliance 6
Tema 6. Ideas clave
Ideas clave
Por lo general, cuando se realiza una evaluación de riesgos de naturaleza penal se
diseña una serie de controles asociados a cada delito en particular. Controles que,
por otra parte, deberán ser testeados de cara a acreditar su solidez y buen
funcionamiento.
En relación con esta materia no podemos dejar de mencionar que en diciembre de
2014 se ha aprobado la Norma Iso 19600:2014, Compliance Management-
Guidelines, que contiene directrices y metodologías específicas para diseñar e
implantar un modelo de compliance en una empresa. Meses antes, se publicó en
2014 por AENOR un Modelo de gestión del riesgo para la prevención de delitos que
establece que requisitos para: (i) prevenir la comisión de delitos; (ii) detectar, reparar
y disminuir los efectos del delito cometido y (iii) mejorar continuadamente reduciendo
el riesgo penal de las organizaciones.
Es también fundamental la norma ISO 31000 para la Gestión de Riesgos al
proporcionar principios y guías exhaustivas para la gestión del riesgo, de hecho, esta
norma ayuda a las organizaciones en sus análisis y evaluaciones de riesgos.
Algunas premisas fundamentales de la gestión del riesgo serían:
▸ Establecer el contexto estratégico: consiste en la definición de parámetros básicos
para la gestión del riesgo, así como el alcance y los criterios para el resto de
procesos, algo que se debe hacer de manera ineludible desde el conocimiento de
todos los aspectos que se engloban en la actividad llevada a cabo por la empresa.
▸ Identificar los riesgos: la empresa tiene que identificar de forma sistémica los riesgos
a los que se encuentra sometida, las causas de los mismos y los posibles efectos
que tendría su materialización. Se encuentran recogidas las acciones que se
relacionan con la clasificación del riesgo, dependiendo de su tipología.
▸ Analizar el riesgo: en esta fase se establece la probabilidad de que suceda un riesgo
y el impacto que generan sus consecuencias, mediante su calificación y su

evaluación, con el fin de que se establezca, de la manera más eficiente posible, el
Compliance 7
Tema 6. Ideas clave
Ideas clave
nivel de riesgo y por lo tanto las acciones correctoras que se deben llevar a cabo. El
éxito de este proceso depende en gran medida de la calidad de la información que

se haya obtenido en la fase de identificación y el tipo de método que se haya
escogido para realizar el análisis.
▸ Valoración de los riesgos: se deberán confrontar los resultados obtenidos a raíz del
análisis del riesgo, con las medidas de control que han sido identificadas, para
establecer prioridades en el tratamiento de los riesgos y poder fijar las políticas de
gestión que sean más adecuadas.
▸ Políticas de administración de riesgos: constituye la fase final. Una vez identificados,
clasificados y valorados los riesgos es el momento de establecer las políticas de

gestión de riesgo, que se encuentran articuladas en cuatro ejes diferentes:
transferencia del riesgos, retención del riesgo, reducción del riesgo o evitar dicho
riesgo.
▸ Monitorización y revisión: teniendo en cuanta de que es muy difícil que los riesgos
detectados dejen de suponer una amenaza para la empresa, es imprescindible

establecer los indicadores de seguimiento sobre las medidas que se establecen para
la gestión de riesgos.
Compliance 8
Tema 6. Ideas clave
Ideas clave
6.4. El método Mosler
Un método eficaz debe permitir identificar, analizar y evaluar los riesgos penales. A
nivel genérico, el método de Mosler se suele utilizar para evaluar los riesgos que se
producen en determinadas actividades, así como aquellos que vienen dados por
factores externos a las mismas, pero siempre en el ámbito de los riesgos físicos. Su
aplicación es trasladable al ámbito que nos ocupa con un simple cambio de enfoque
en el que el punto de vista ha de ser el de la organización en su conjunto.
El primer paso es determinar qué delitos, del total de los comisibles, podrían llegar a
afectar en la práctica a la organización. El segundo es el análisis de riesgos y por
último habrá que contemplar qué elementos debería tener la organización para
prevenir cada delito.
De esta forma, el análisis del riesgo de comisión de un delito se determina en
función de los siguientes parámetros:
▸ Función: afectación del delito al funcionamiento del día a día de la empresa.
▸ Sustitución: mide la facilidad de sustituir a las personas/cosas afectadas.
▸ Profundidad: mide el efecto psicológico sobre los trabajadores y sus
consecuencias.
▸ Externalización: se calcula si los efectos negativos serían de carácter individual,
local, regional, estatal o internacional.
▸ Agresión: valora la sanción que el Código Penal impone a cada delito.
▸ Vulnerabilidad: se valora la posibilidad real de que se llegue a materializar el riesgo.
Compliance 9
Tema 6. Ideas clave
Ideas clave
Cada uno de estos parámetros se puntúa en una escala del uno al cinco y en el que
la puntuación otorgada viene definida por una serie de criterios individualizados que
el propio modelo define.
A partir de ahí, establece tres campos para la valoración del riesgo:
▸ Importancia del riesgo = función x sustitución.
▸ Daño ocasionado = profundidad x externalización.
▸ Peligro = agresión x vulnerabilidad.
El método de Mosler también define que el llamado Carácter del Riesgo es igual a
importancia x daño, para finalmente sintetizar la descripción final del riesgo en torno
a dos criterios definitivos: PELIGRO y CARÁCTER.
La multiplicación de estos dos valores es la que ofrece el dato que sirve para
analizar el riesgo:
▸ De 2 a 250, riesgo muy bajo.
▸ De 251 a 500, riesgo bajo.
▸ De 5001 a 700, riesgo medio.
▸ De 701 a 1.000, riesgo alto.
▸ De 1.001 a 1.250, riesgo muy alto.
En esta lección magistral, Sujetos competentes para la adopción de medidas de
vigilancia y control, se analizan las condiciones objetivas y las diferencias en el
compliance que deben hacer entidades con y sin personalidad jurídica, así como las
entidades públicas.
Compliance 10
Tema 6. Ideas clave
Ideas clave
Accede al vídeo:
https://unir.cloud.panopto.eu/Panopto/Pages/Embed.aspx?id=83cf180a-cadb-
421c-9b9d-aecb00afd726
Compliance 11
Tema 6. Ideas clave
Ideas clave
AENOR (2010). UNE - ISO 31000. Gestión del riesgo. Principios y directrices.
Gómez-Jara, C. (2016). Tomarse la responsabilidad penal de las personas jurídicas
en serio: la culpabilidad de las personas jurídicas. En Estudios de Derecho Penal
(homenaje al Profesor Miguel Bajo). Madrid: Editorial Universitaria Ramón Areces.
Gómez-Jara, Díez, C. (2017). El Tribunal Supremo ante la responsabilidad penal de
las Personas Jurídicas. El inicio de una larga andadura. Pamplona: Aranzadi
Thomson Reuters.
Laurence, Y.M. (2008). Primeros pasos en la gestión de riesgos. Madrid: AENOR
Pascual, A. (2016). El plan de prevención de riesgos penales y responsabilidad
corporativa. Barcelona: Editorial Bosch S.A.
Ribas, X. (2018). Practicum Compliance 2018. Pamplona: Editorial Aranzadi
Thomson Reuters.
Saiz Peña, C. A. (coord.). (2015). Compliance. Cómo gestionar los riesgos
normativos en la empresa (Gran Tratado) . Pamplona: Editorial Aranzadi Thomson
Reuters.
Thomson Reuters. (2017). Compliance. Guía Práctica de identificación, análisis y

evaluación de riesgos. Pamplona: Editorial Aranzadi Thomson Reuters.
Compliance 12
Tema 6. Ideas clave
A fondo
Buenas prácticas para la gestión y supervisión del

riego operativo
http://www.bis.org/publ/bcbs96esp.pdf
Elaborado por el comité de supervisión bancaria de Basilea en 2003, puede
considerarse un documento «clásico» sobre riesgo y mecanismos de control. Se
centra en el sector bancario pero su esquema y contenido ofrecen pautas de
actuación de las que se extraen conclusiones aplicables en la práctica con carácter
general.
Compliance 13
Tema 6. A fondo
A fondo
Gestión del riesgo de fraude: prevención,

detección e investigación
López, J. (coord.) (2015). Gestión del riesgo de fraude: prevención, detección e
investigación. La fábrica del pensamiento. Instituto de Auditores internos de España.

https://auditoresinternos.es/uploads/media_items/f%C3%A1brica-fraude.original.pdf
Guía práctica en la que se nos muestra la importancia de la evaluación de riesgos
como parte del proceso de minimización en la comisión de un clásico
comportamiento delictivo: el fraude.
Compliance 14
Tema 6. A fondo
A fondo
ISO 31 000 Gestión de riesgos

https://www.youtube.com/watch?v=t57g5u2eFjk&t=19s
Autor: Universidad Nacional José Mª Arguedas- Perú.
Año: 2014.
Repaso en clave didáctica a los aspectos fundamentales de la norma ISO 31000,
que constituye una herramienta muy útil en el ámbito de la gestión de riesgos en
empresas y organizaciones.
Compliance 15
Tema 6. A fondo
A fondo
Caso práctico sobre apetito de riesgo
Muñoz, C., Gil, T. (2015). Caso práctico sobre apetito de riesgo. La fábrica del
pensamiento. Instituto de Auditores internos de España.
https://auditoresinternos.es/uploads/media_items/150629-caso-pr%C3%A1ctico-
sobre-apetito-de-riesgo.original.pdf
El apetito de riesgo es un elemento esencial en el proceso global de identificación,
gestión y control de riesgos. El presente documento ofrece información interesante,
desde un planteamiento eminentemente práctico, sobre cómo afrontar tan importante
cuestión.
Compliance 16
Tema 6. A fondo
Test
1. El artículo 31.bis del Código Penal español establece en su apartado 5, con
respecto a los modelos de cumplimiento, que:
A. Identificarán a los posibles responsables de los delitos que puedan ser
cometidos y que deben ser prevenidos.
B. Identificarán los riesgos en cuyo ámbito puede producirse la comisión de
un delito.
C. Identificarán al órgano supervisor de la prevención del delito.
D. Identificarán las actividades en cuyo ámbito puedan ser cometidos los
delitos que deben ser prevenidos.
2. La circular 1/2016 de la Fiscalía General del Estado indica que los programas de
Compliance deben ser aptos para:
A. Controlar y comunicar los riesgos reales y potenciales derivados de la
actividad de la empresa.
B. Identificar, gestionar, controlar y comunicar los riesgos reales y potenciales
derivados de la actividad de la empresa.
C. Identificar, gestionar, controlar y comunicar los riesgos reales y potenciales
derivados de la actividad de los directivos.
D. Identificar y suprimir los riesgos reales y potenciales derivados de la
actividad de la empresa.
Compliance 17
Tema 6. Test
Test
3. Cualquier método de gestión de riesgos penales debe basarse en un precepto
básico:
A. Evaluar la exposición de la empresa al riesgo de ser declarada responsable
de la comisión de delitos.
B. Evaluar la exposición de la empresa al riesgo de ser sancionada en
cualquier ámbito administrativo.
C. Evaluar la exposición de la empresa al riesgo de ser declarada
responsable de la comisión de delitos por parte de los directivos.
D. Evaluar la exposición de la empresa al riesgo de no contar con un órgano
de administración adecuado.
4. La aplicación de un método de identificación y gestión de riesgos tiene sentido
para:
A. Medir y evaluar el impacto de los riesgos.
B. Fundamentar las decisiones que se adopten para afrontar los riesgos.
C. Eliminar en la medida de lo posible la subjetividad en la valoración del
riesgo.
D. Todas las anteriores son correctas.
A. Es objeto del análisis de riesgos facilitar el establecimiento de protocolos
de control.
B. En el análisis de riesgos no tiene sentido evaluar parámetros externos a la

empresa tales como clientes y proveedores.
C. La correcta identificación de los riesgos es esencial para poderlos prevenir
y reducir.
D. A y C son correctas.
Compliance 18
Tema 6. Test
Test
6. El método de Mosler:
A. Se utiliza para evaluar los riesgos que se provocan en determinadas
actividades, así como aquellos que vienen dados por factores internos a las
mismas.
B. Su aplicación al Compliance se basa en analizar exclusivamente los
riesgos que afectan a las personas que integran la organización.
C. En ningún caso, cuando se aplica a la gestión de riesgos a nivel general,
evalúa el riesgo de daños a personas o cosas.
D. Se utiliza para evaluar los riesgos que se provocan en determinadas
actividades, así como aquellos que vienen dados por factores externos a las
mismas.
7. Los parámetros que evalúa el método de Mosler se puntúan según la siguiente
escala:
A. De uno a diez puntos.
B. De uno a cinco puntos.
C. De uno a cien puntos.
D. De uno a cincuenta puntos.
8. Los parámetros que evalúa el método de Mosler son:
A. Función, sustitución, profundidad y vulnerabilidad.
B. Función, sustitución, profundidad, externalización, agresión, vulnerabilidad

y flexibilidad.
C. Disfunción, sustitución, profundidad, externalización, agresión y
vulnerabilidad.
D. Función, sustitución, profundidad, externalización, agresión y
vulnerabilidad.
Compliance 19
Tema 6. Test
Test
9. Según el método de Mosler, el factor denominado «Importancia del riesgo penal»
es fruto de multiplicar la puntuación otorgada a los siguientes parámetros:
A. Profundidad por externalización.
B. Agresión por vulnerabilidad.
C. Función por sustitución.
D. Función por externalización.
10. Según el método de Mosler, el factor denominado «Carácter del riesgo» es fruto
de multiplicar la puntuación otorgada a los siguientes parámetros:

A. Profundidad por externalización.
B. Importancia del riesgo por daño ocasionado.
C. Importancia del riesgo por peligro.
D. Daño ocasionado por peligro.
Compliance 20
Tema 6. Test
Tema 7
Compliance
Tema 7. Sujetos
competentes para la
adopción de medidas de
vigilancia y control
Índice
Esquema
Ideas clave
7.2. El órgano de administración
7.3. Casos especiales
7.4. Entidades sin personalidad jurídica
7.5. Sociedades mercantiles públicas y entidades de

derecho público
A fondo
La responsabilidad penal de los miembros de los órganos

de administración de la empresa
Responsabilidad penal del administrador en delitos

comunes desde o dentro de la empresa
La omisión
El concepto de personas jurídicas penalmente

responsables
Test
Esquema
Compliance 3
Tema 7. Esquema
Ideas clave
continuación con la siguiente lectura: Gómez, M. (2016). Compliance penal y política
legislativa (pp. 49-68). Valencia: Tirant lo Blanch. Disponible aquí en virtud del
artículo 32.4 de la Ley de Propiedad Intelectual.
En el presente tema analizaremos cuestiones relativas a la posible responsabilidad
penal de los miembros del órgano de administración de la empresa, centrándonos en
qué condiciones deben darse para que dicha responsabilidad acabe
materializándose de forma efectiva.
Veremos también qué ocurre en situaciones especiales relativas a grupos concretos

como son los testaferros, los mandos intermedios y el propio compliance officer, así
como el asunto relativo a la responsabilidad penal en entes sin personalidad jurídica
y también en los que, en mayor o menor medida, forman parte de la estructura de la
Administración del Estado.
Compliance 4
Tema 7. Ideas clave
Ideas clave
7.2. El órgano de administración
L a responsabilidad del órgano de administración ante los ilícitos cometidos en el
seno de la empresa deviene en cuestión primordial de estudio.
Objeto especial de atención lo constituye todo lo relacionado con la omisión de
medidas y sus consecuencias en la consumación del delito. De esta forma, la
cuestión que se plantea es la de quién debe estimarse como competente para
adoptar las medidas omitidas.
Es necesario poner de manifiesto que el hecho de que se tenga competencia para
disponer medidas de Compliance no equivale automáticamente a adoptar posición
de garantía y, por lo tanto, a la posibilidad de fundamentar una imputación penal por
ese hecho de forma simple y aislada.
La actual redacción del artículo 31.bis concluye que es sobre el órgano de
administración sobre quien recae el deber jurídico de adoptar medidas de prevención
de delitos en el ámbito de la empresa, pero dado que este órgano por sí mismo no es
un sujeto idóneo de responsabilidad penal, habrá de individualizarse a qué personas
físicas en concreto se puede imputar tal omisión, las cuales son los administradores
de derecho. Lo mismo ocurre con los administradores de hecho, ya que en la medida
en que tienen capacidad para comprometer a la empresa, son competentes también
para la adopción de medidas de Compliance.
Pero ¿qué pasa con el resto de los miembros de la organización o empresa?
Compliance 5
Tema 7. Ideas clave
Ideas clave
7.3. Casos especiales
Los testaferros
García Cavero diferencia tres grupos de supuestos:
▸ Personas pantalla, testaferro en sentido estricto.
▸ Persona de atrás.
▸ Administrador de derecho sometido a voluntad de persona de atrás.
Los mandos intermedios
Los mandos intermedios carecen de competencia originaria para la adopción de
medidas de Compliance ya que la decisión última, como hemos visto ya, recae en el
órgano de administración. No obstante, sí es posible que adquieran dicha
competencia por delegación, lo cual no implicará que el delegante pueda
desentenderse totalmente de la adopción de medidas de Compliance.
Los compliance officers
La determinación sobre la autoría del compliance officer podrá darse si, una vez
nombrado, no adopta medida alguna o estas son insuficientes, y habrá que valorar
también si se ha dado una efectiva delegación y qué poderes en concreto le han sido
delegados para ejercer su función, de modo que su responsabilidad penal debería
depender de la acreditación de su capacidad efectiva para tomar decisiones en
relación con la actividad de la empresa.
Compliance 6
Tema 7. Ideas clave
Ideas clave
7.4. Entidades sin personalidad jurídica
Ejemplos como uniones temporales de empresas o comunidades de bienes
constituyen supuestos de entes sin personalidad jurídica reconocida como tal en el
ordenamiento jurídico. No obstante, en la medida en que operan en el mercado y
desarrollan las actividades propias que les son inherentes, se comportan en
determinados aspectos del mismo modo que las entidades mercantiles: celebración
de contratos, obligaciones fiscales, etc.
Es por ello por lo que su actuación no debe quedar ajena a la protección del bien
jurídico del que es objeto el Derecho Penal ni a su carácter preventivo, lo que debe
hacer posible la imputación de un delito a una entidad de estas características si
concurren tres situaciones:
▸ Si a la entidad en concreto le son imputables derechos y deberes.
▸ Si pueden afectar a un bien jurídico protegido.
▸ Si se les puede imponer multas o sanciones, lo que da muestra de la existencia de
un patrimonio inherente a la entidad.
Compliance 7
Tema 7. Ideas clave
Ideas clave
7.5. Sociedades mercantiles públicas y entidades

de derecho público
L a sociedades mercantiles públicas que ejecutan políticas públicas o prestan
servicios de interés económico general responden penalmente por los delitos
cometidos en su seno, por el deber de prevenir tales comportamientos alcanza a su
órgano de administración.
No ocurre lo mismo, por el contrario, en lo que respecta a entidades de derecho
público, ya que la actual redacción del artículo 31.bis del Código Penal
salvaguarda a toda una suerte de entidades que de modo genérico podríamos

calificar como «adscritas a la estructura del Estado en sus más diversos niveles»
(Administraciones territoriales, organismos reguladores, agencias públicas…).
Dado el posible conflicto de encaje de sanciones a trabajadores derivadas de materia
penal en materia laboral, en el vídeo El órgano de compliance se aborda la cuestión
de la fundamentación legal del sistema disciplinario que nuestro Código Penal
impone como condición obligatoria para los modelos de compliance.
Compliance 8
Tema 7. Ideas clave
Ideas clave
Accede al vídeo:
https://unir.cloud.panopto.eu/Panopto/Pages/Embed.aspx?id=b34c0fcb-5639-
468d-8eeb-aecb00afd683
Compliance 9
Tema 7. Ideas clave
Ideas clave
García, P. (1999). Responsabilidad penal del administrador de hecho dela empresa:
criterios de imputación. Barcelona: J.M. Bosch.
Juanes Peces, A. (coord.) (2017). Vicepresidente del Tribunal Supremo. Memento
Experto Compliance Penal. Madrid: Editorial Francis Lefebvre.
Martin Boado, A. M. (2015). El nuevo Código Penal no perdona los delitos cometidos
por los directivos de una organización. Revista PM Farma, septiembre-octubre.
Ríos, J.M. (2005). El administrador de hecho en los delitos societarios. Cádiz:
Servicio de publicaciones de la Universidad de Cádiz.
Silva, J.M. (2003). El delito de omisión: concepto y sistema. Montevideo: BDEF.
Zugaldía, J.M. (2012). La responsabilidad criminal de las personas jurídicas, de los
entes sin personalidad y de sus directivos. Valencia: Tirant lo Blanch.
Compliance 10
Tema 7. Ideas clave
A fondo
La responsabilidad penal de los miembros de los

órganos de administración de la empresa
Roig, M. La responsabilidad penal de los miembros de los órganos de administración
de la empresa: prevención y defensa. Disponible en

http://www.economistjurist.es/articulos-juridicos-destacados/la-responsabilidad-penal-
de-los-miembros-de-los-organos-de-administracion-de-la-empresa-prevencion-y-
defensa/#
El artículo analiza el asunto desde la perspectiva de lo dispuesto en el artículo 31.bis
del Código Penal y muestra algunas interesantes sentencias al respecto.
Compliance 11
Tema 7. A fondo
A fondo
Responsabilidad penal del administrador en

delitos comunes desde o dentro de la empresa
Redacción Espacio Asesoría. (6 de junio de 2016). Responsabilidad penal del
administrador en delitos comunes desde o dentro de la empresa. Disponible en

http://www.espacioasesoria.com/Noticias/responsabilidad-penal-del-administrador-
en-delitos-comunes-desde-dentro-de-la-empresa
En el siguiente artículo se analizan las condiciones que deben darse para que el
administrador responda penalmente.
Compliance 12
Tema 7. A fondo
A fondo
La omisión

https://www.youtube.com/watch?v=jA6trqedQdo
Autor: Universitas Miguel Hernández.
Año: 2014.
Dadas las implicaciones que el asunto tiene en cuanto al deber de vigilancia y
diligencia debida del órgano de administración, Fernando Miró Linares analiza en
este vídeo las condiciones, implicaciones e importancia del tipo omisivo en el
contexto del derecho penal con el fin de extrapolar el concepto al ámbito del
Compliance.
Compliance 13
Tema 7. A fondo
A fondo
El concepto de personas jurídicas penalmente

responsables
Miras, N. (2010). El concepto de personas jurídicas penalmente responsables.
Revista Anales de Derecho, vol. 28.
https://revistas.um.es/analesderecho/article/view/125781/136891
El autor analiza el concepto de persona jurídica y discute la idoneidad de la
utilización de la persona jurídica por parte del legislador como entidad colectiva
penalmente responsable.
Compliance 14
Tema 7. A fondo
Test
A. El artículo 286 del Código Penal establece la responsabilidad penal directa
del administrador por la no implementación de medidas de Compliance.
B. La delimitación de la responsabilidad penal del administrador puede
exigirse a título de autoría o a título de participación.
C. El hecho de tener competencia para implementar medidas de Compliance
equivale automáticamente a posición de garantía.
2. El artículo 31.bis y subsiguientes del Código Penal:
A. Exime de pena a la persona jurídica si ha implementado medidas de
Compliance antes de la comisión del delito.
B. Exime de pena a la persona jurídica si ha implementado medidas de
Compliance después de la comisión del delito.
C. Exime de pena a la persona jurídica si el administrador procede a disminuir
el daño causado por el delito.
D. Exime de pena a la persona jurídica si el administrador aporta pruebas de
la comisión del delito.
3. El deber jurídico de adoptar medidas de prevención de delitos en el ámbito
societario a que se refiere el artículo 31.bis recae sobre:
A. El comité de auditoría.
B. El comité de dirección.
C. El órgano de administración.
D. La asesoría jurídica.
Compliance 15
Tema 7. Test
Test
4. Respecto de la responsabilidad derivada de la omisión de adoptar medidas de
prevención de riesgos penales, puede decirse que:
A. El órgano de administración por sí mismo es un sujeto idóneo de
B. El artículo 31.bis determina per se que los administradores se encuentran
en posición de garantía.
C. No correspondería en ningún caso al administrador de hecho.
D. Debe individualizarse a qué personas físicas en concreto se puede imputar
dicha responsabilidad.
5. En cuanto a la disyuntiva entre administrador de hecho y de derecho puede
decirse que:
A. El administrador de derecho es competente para la adopción de medidas
de prevención de delitos.
B. Desde el punto de vista del derecho penal, el concepto de administrador de
hecho debe abordarse desde una perspectiva no sometida al criterio del
derecho mercantil o civil.
C. Administrador de derecho es aquel que determine la legislación.
Compliance 16
Tema 7. Test
Test
6. Al respecto de la competencia de los mandos intermedios para la adopción de
medidas de vigilancia y control puede afirmarse que:
A. Los mandos intermedios no suelen contar con autonomía a la hora de
tomar decisiones.
B. Los mandos intermedios carecen de competencia originaria para la
adopción de medidas de Compliance.
C. Los mandos intermedios nunca pueden ser competentes, ni siquiera por
delegación del órgano de administración.
D. Si los mandos intermedios reciben competencia por delegación, ello
implica que el órgano de administración puede desentenderse totalmente de
su responsabilidad.
7. Al respecto de la responsabilidad del compliance officer puede afirmarse que:
A. Puede ser responsable si, una vez nombrado, no adopta ninguna medida.
B. Nunca será responsable, pues actúa por delegación del órgano de
administración.
C. Su responsabilidad dependerá, en todo caso, de la acreditación de su
capacidad efectiva de tomar decisiones.
Compliance 17
Tema 7. Test
Test
8. En lo que se refiere a la determinación de la responsabilidad pernal de las
entidades sin personalidad jurídica:
A. No debe existir relación directa entre responsabilidad penal de la persona
jurídica y el deber jurídico de adoptar medidas de prevención de riesgos
penales.
B. El derecho penal ha de quedar forzosamente limitado por los criterios
característicos de otras ramas del ordenamiento jurídico.

C. En ningún caso s e podrá imputar responsabilidad penal a este tipo de
entidades.
D. Todas son falsas.
9. Indica cuál de los siguientes no es un dato central característico de las entidades
sin personalidad jurídica que influye de cara a la posible imputación de estas por la
comisión de un delito:
A. Que sea posible que se le imputen derechos y obligaciones.
B. Que tenga materialmente potencialidad para afectar al bien jurídico
protegido.
C. Que disponga de un órgano de administración jerarquizado.
D. Que posea la capacidad abstracta de hacer frente a la pena de multa.
Compliance 18
Tema 7. Test
Test
10. Indica cuál de las siguientes afirmaciones es falsa:
A. En el caso de las sociedades mercantiles públicas que ejecuten políticas
públicas o presten servicios de interés económico general solamente les
podrán ser impuestas las penas previstas en las letras a) y g) del número 7
del artículo 33.
B. Las Sociedades mercantiles públicas incurren en responsabilidad penal de

persona jurídica por las actividades delictivas que se den en su seno.
C. Las entidades de derecho público incurren en responsabilidad penal de
persona jurídica por las actividades delictivas que se den en su seno.
D. Alcanza al órgano de administración de las sociedades mercantiles
públicas el deber de prevenir en su seno la comisión de infracciones
delictivas.
Compliance 19
Tema 7. Test
Tema 8
Compliance
Tema 8. El canal de
denuncias
Índice
Esquema
Ideas clave
8.2. Función y evolución del canal de denuncias
8.3. Whistleblowing en el derecho internacional y

comparado
8.4. La protección del denunciante frente a represalias
A fondo
Los canales internos de denuncia: compliance y

protección de datos
Programa de recompensas a los whistleblowers
Canal de denuncias
Análisis jurídico de los whistleblowers y los canales de

denuncia habilitados en la empresa
Test
Esquema
Compliance 3
Tema 8. Esquema
Ideas clave
Para estudiar este tema deberás complementar el estudio de las ideas clave con la
siguiente lectura: García, B. (2015). Whistleblowing y canales institucionales de
denuncia. En Nieto, A. Manual de cumplimiento penal en la empresa (pp. 207-233).
Valencia: Tirant lo Blanch. Disponible aquí en virtud del artículo 32.4 de la Ley de
Agencia Española de Protección de Datos Personales. (2007). Informe Creación de
un sistema de denuncias internas de las empresas (mecanismos de whistleblowing).
Disponible en:
http://www.complianza.net/actualidad/wp-content/uploads/2017/07/informe-aepd.pdf
Agencia Española de Protección de Datos. Dictamen de la Agencia Española de
Protección de 2017 en relación al Anteproyecto de LOPD. Disponible en:
https://www.boe.es/buscar/doc.php?id=CE-D-2017-757
En el presente tema abordaremos aspectos significativos en relación al canal de
denuncias, que constituye un elemento imprescindible, no solo en términos de
requisito legal, para el correcto funcionamiento del modelo de prevención penal.
Veremos la evolución histórica de la función de whistleblowing y nos centraremos
especialmente en la situación al respecto de la protección del denunciante ante
posibles represalias.
Compliance 4
Tema 8. Ideas clave
Ideas clave
8.2. Función y evolución del canal de denuncias
El canal de denuncias representa uno de los elementos esenciales de todo sistema
de cumplimiento. El objeto del canal de denuncias está en hacer posible que
cualquier miembro de la organización pueda poner en conocimiento de esta la
información que tenga sobre conductas ilícitas, negligentes o poco éticas. Su
utilidad, si está bien gestionado y constituye realmente una muestra clara del
compromiso de la organización con el respeto a la legalidad, es indudable por la
información de la que será depositario, de gran valor como medida de prevención,
como estrategia de defensa y también como test general del funcionamiento del
sistema de compliance.
La evolución del concepto de delator o whistleblower arranca en la antigua Roma,
en la que existían delatores profesionales cuya actividad estaba regulada legalmente
y que proporcionaban información para facilitar el cobro de impuestos.
No obstante, y como ocurre en la mayoría de los aspectos relacionados con el
Compliance, hemos de viajar hasta los Estados de Unidos de América en el siglo XIX
para encontrar el origen de la regulación y el papel actual de los whistleblowers. Así,
nos encontramos con la False Claims Act de 1.863, que estipuló el establecimiento
de recompensas para aquellos ciudadanos que proporcionasen información útil para
luchar contra el fraude generalizado que practicaban los contratistas privados del
ejército durante la guerra de secesión.
El paradigma cambia en los años 60 del siglo XX, momento en el que al gran poder e
influencia de las grandes empresas se contrapone un potente movimiento social de
denuncia frente a sus comportamientos abusivos e irrespetuosos con la legalidad. Es
significativa la Civil Service Act de 1.978, que protege a los funcionarios que
denuncien comportamientos indebidos en la Administración.
Compliance 5
Tema 8. Ideas clave
Ideas clave
Actualmente, el papel del delator ha trascendido la esfera pública para convertirse en
u n elemento esencial al servicio de las empresas privadas. Así se reconoce en
2004 en las Sentences Guidelines de los EE. UU. y en la legislación de otros países,
también en Europa. Por su parte, la importante Sarbanes-Oxley Act de 2002 también
contempla medidas relativas a la función y protección de los whistleblowers.
Es fundamental que el canal de denuncias, como elemento esencial en las
empresas, sea operativo y eficaz, razón por la que se deberán recoger en un
reglamento (estatuto o documento corporativo interno similar) de funcionamiento las
siguientes cuestiones básicas que regulan el canal de denuncias:
Procedimiento de Comunicación de Actuaciones Irregulares
▸ Identificación de una irregularidad
La persona sujeta que conozca la existencia de una conducta irregular, ilegal,
contraria a las políticas y procedimientos de la compañía, así como el incumplimiento
o vulneración de las normas establecidas en el Código Ético, deberá reportarlo
inmediatamente al Órgano Responsable de Cumplimiento Penal, tanto si le
afecta personalmente como si afecta a terceros. Esta comunicación puede
realizarse a través de correo físico, de correo electrónico o a través de la intranet de
la Sociedad, debiendo ésta habilitar al menos una de esas tres vías para recibir las
denuncias.
▸ Comunicación y recepción de la denuncia
La persona que tuviese conocimiento de alguna de las irregularidades citadas en el
punto anterior deberá comunicarlo a través del formulario facilitado por la empresa,
no admitiéndose las denuncias que no se formulen a través del mismo.
▸ Requisitos mínimos de la denuncia
La denuncia deberá contener la siguiente información, para poder ser tramitada:
Compliance 6
Tema 8. Ideas clave
Ideas clave
▸ • Identificación del denunciante (se trata de una exigencia de acuerdo con el

Informe 2007-0128 de la Agencia Española de Protección de Datos).
• Descripción del evento denunciado detallando, en la medida de lo posible, al

menos, los siguientes extremos: en qué consisten las conductas irregulares,
contrarias a la legalidad, a las políticas y procedimientos de la sociedad o a lo
establecido en el Código Ético; posibles personas implicadas; fechas

aproximadas de comisión de los hechos; medios a través de los cuales se han
realizado las conductas irregulares o contrarias al Código Ético; áreas de
negocio afectadas; y procesos relevantes afectados (p.ej. contratación,
contabilidad, tesorería...).
En cualquier caso, se recomienda que la comunicación sea lo más descriptiva y
detallada posible, facilitando de esta forma al receptor la identificación de la o las
personas o departamentos implicados.
Las denuncias deberán atender siempre a los criterios de veracidad y
proporcionalidad. Las personas que efectúen una denuncia deberán garantizar que
los datos proporcionados son veraces, exactos y completos.
Procedimiento de actuación e investigación
▸ Recepción y calificación de la denuncia
Una vez recibida la denuncia, el Órgano Responsable de Cumplimiento Penal la
calificará considerando si reúne los requisitos mínimos para su tramitación,
declarando su improcedencia en el supuesto de que sea anónima o manifiestamente
infundada.
▸ Registro de las denuncias
Una vez recibida la denuncia, se le asignará un código de identificación correlativo y
se incorporará a una base de datos en la que se informará de la calificación dada a
dicha denuncia y de su estado de tramitación. La base de datos se actualizará a lo
Compliance 7
Tema 8. Ideas clave
Ideas clave
largo de las distintas fases del procedimiento.
Los datos que se proporcionen a través del canal de denuncias serán incluidos en un
fichero de datos de carácter personal, titularidad de la Sociedad, para la gestión de la
comunicación recibida en el Canal de Denuncias, así como para la realización de
cuantas actuaciones de investigación sean necesarias para determinar la comisión
de la infracción. Esta base de datos será tratada conforme a lo que establece la Ley
Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal
(LOPD).
Respecto a los plazos de conservación de los datos de carácter personal, se actuará
conforme a lo establecido en la Ley Orgánica 15/1999, de 13 de diciembre, de
Protección de Datos de Carácter Personal (LOPD).
Tramitación
Una vez admitida a trámite la denuncia, se iniciará su investigación y estudio. Si se
considera por el órgano responsable de cumplimiento penal que los hechos
denunciados no quedan suficientemente acreditados o no suponen una infracción de

ninguna índole, se procederá a desestimar la denuncia, archivándola y
comunicándolo al denunciante. Si, por el contrario, se considera que concurren
indicios razonables de la existencia de una acción u omisión contraria a la legalidad,
a las políticas y procedimientos de la sociedad o a lo establecido en el código ético,
se procederá conforme a lo establecido en el punto siguiente «Conclusión del
procedimiento».
El órgano responsable de cumplimiento penal podrá recabar toda la información y
documentación que considere oportuna y necesaria en cada momento de parte del
denunciante, el denunciado, cualquier empleado o dirección de la entidad. Para la
gestión de la correspondiente denuncia, se designará a las personas y se emplearán
los medios adecuados a la actuación investigada.
Compliance 8
Tema 8. Ideas clave
Ideas clave
Con carácter general, el denunciado será informado de la existencia de una denuncia
en el momento en que se proceda al inicio de las actuaciones de investigación. No
obstante, en aquellos supuestos en los que exista un riesgo importante de que dicha
notificación ponga en peligro la capacidad de investigar de manera eficaz la
denuncia, la notificación al denunciado podrá retrasarse mientras exista dicho riesgo.
Conclusión del procedimiento
Una vez tramitada la denuncia y obtenidas las conclusiones pertinentes se dará
traslado de las mismas al órgano competente para la adopción de las decisiones o
acciones oportunas, con arreglo a lo previsto a la normativa aplicable, sin perjuicio de
otras responsabilidades penales o administrativas que pudiesen concurrir.
La totalidad de la documentación e información recibida o generada en las distintas
fases del proceso deberá ser custodiada conforme a lo establecido en la legislación
vigente y podrá ser objeto de auditoría.
La base de datos de las denuncias recibidas se actualizará en todas las fases de la
tramitación o conclusión del procedimiento, incorporando a la misma un resumen del
estado de la denuncia y de la información relativa a la misma.
Asimismo, se notificará al denunciante el fin de la investigación, informándole de las
principales medidas adoptadas.
Compliance 9
Tema 8. Ideas clave
Ideas clave
8.3. Whistleblowing en el derecho internacional y

comparado
Si bien como hemos visto la figura del whistleblower viene de antaño, su función no
ha sido objeto de gran regulación sobre todo por parte de legislaciones nacionales,
habiéndose concentrado sobre todo en lo relativo a la protección del denunciante.
Sobre la protección por derecho laboral y los requisitos que deben cumplirse para
que mediante los canales de denuncia puedan denunciarse conforme al Derecho
español actos cometidos por otros empleados que finalicen en medidas
disciplinarias, debe leerse la publicación «Los canales de denuncia interna

(whistleblowing) en el ámbito laboral», de Raúl Rojas Rosco, que te ayudará a
ampliar el estudio de este punto.
https://www.elderecho.com/tribuna/laboral/Canales-denuncia-interna-whistleblowing-
compliance-laboral_11_1055680001.html
Compliance 10
Tema 8. Ideas clave
Ideas clave
8.4. La protección del denunciante frente a

represalias
Como sabemos, la reforma del Código Penal Español del año 2010 introdujo la
responsabilidad penal de las personas jurídicas y posteriormente, la reforma de 2015
incluyó la conveniencia de adoptar un Modelo de Prevención de Riesgos Penales,
previamente a la comisión del hecho, como medida para eximir de la citada
responsabilidad (artículo 31 bis del Código Penal español).
Entre las medidas de vigilancia y control que propone la norma se encuentran los
canales de denuncia.
Por su parte, la Circular 1/2016 de la Fiscalía General del Estado (FGE) se refiere a
los canales del modo siguiente: «la existencia de unos canales de denuncia de
incumplimientos internos o de actividades ilícitas de la empresa es uno de los
elementos clave de los modelos de prevención».
Por tanto, los canales de denuncia son fundamentales en el momento de implantar
un modelo efectivo de cumplimiento normativo (o compliance) en una organización
para prevenir la comisión de delitos.
El aspecto primordial, que garantiza la eficacia de un canal de denuncias, es que
inspire confianza a sus potenciales usuarios y esa confianza debe basarse en
garantizar la protección del denunciante frente a efectos negativos y represalias de
índole diversa. El problema está en que materializar tal protección no es fácil debido
a la ya mencionada falta de regulación al respecto de la materia en nuestro
ordenamiento jurídico, materia sobre la que los poderes públicos no han decidido
intervenir hasta la fecha, y dándose como consecuencia la mera existencia de pocas
normas, dispersas, heterogéneas y que resultan a todas luces insuficientes.
Compliance 11
Tema 8. Ideas clave
Ideas clave
Como resultado de esa inexistencia de normas, la Agencia Española de Protección
de Datos se ha tenido que pronunciar en diversas ocasiones sobre la admisión, o no,
a su juicio, en el Derecho español, de la posibilidad de aceptar las empresas
denuncias «anónimas», en relación a lo cual debe tenerse en cuenta la evolución
que se produce en el criterio de la AEPD incluido en el Informe AEPD 2007-0128 (en
el que declinaba dicha posibilidad) frente al Informe AEPD 0194/2017 sobre el
Anteproyecto de LOPD en el que viene a aceptar las denuncias anónimas si bien
dentro del marco de canales de denuncias externalizados en terceras empresas.
No obstante lo anterior, debe mencionarse aquí que en abril de 2018, la Comisión
Europea anunció la iniciativa política sobre protección a denunciantes de la
legislación europea y su plasmación jurídica en un proyecto de Directiva que
presumiblemente entrará en vigor dentro de 2 años.
Entiende la Comisión que los denunciantes tienen un rol fundamental en la
investigación y sanción de quienes incumplen las leyes. Pretende la UE que los
ciudadanos se sientan legalmente protegidos (ausencia de represalias), para
denunciar aquellos casos de corrupción y actividades delictivas o fraudulentas que
puedan conocer, garantizando seguridad jurídica tanto para denunciante, como para
denunciado y penalizando las posibles denuncias falsas que pudieran producirse de
manera malintencionada.
Se considerará un proceso en tres niveles; primero en las vías internas de cada
organización. Si este no resultara efectivo o pudiera poner en peligro el interés
general, se podrá recurrir a las autoridades competentes y finalmente a los medios
de comunicación en caso de que estas no tomaran medidas.
Se impondrá la obligatoriedad de establecer canales éticos tanto en el sector privado
(personas jurídicas con más de 50 empleados o 10 M. de euros de facturación anual)
como en instituciones públicas y ayuntamientos con más de 10 000 habitantes.
Compliance 12
Tema 8. Ideas clave
Ideas clave
La persona jurídica tendrá la obligación de garantizar la confidencialidad del
denunciante (salvo que se acredite falsedad en la denuncia) y responder en un plazo
máximo de 3 meses.
En España, sin normativa aun de protección al delator, ya funcionan canales éticos,
algunos de dudosa eficacia y sin suficiente generación de evidencias. Su
implantación se potencia sobre todo con la reforma del Código Penal de 2015,
imponiéndose la obligación de informar de posibles riesgos e incumplimientos al
organismo encargado de vigilar el modelo de prevención.
Así mismo lo recomienda tanto la norma ISO 19600 como la Fiscalía General del
Estado, dando esta mayor relevancia a la implantación por parte de un tercero
independiente, ajeno a la organización (Circular 1/2016 FGE). Y diferentes estudios
lo reconocen como la más eficaz medida de control de actos delictivos y
anticorrupción.
Si bien en nuestro país, a día de hoy, la normativa de protección de datos permite la
implantación de canales internos de denuncia confidenciales pero no «anónimos»
(según la Agencia Española de Protección de Datos), previsiblemente su
funcionamiento, modo y plazos de tratamiento de datos e investigación serán
modificados con la futura Ley Orgánica de Protección de Datos, como ya parece

inferirse del art. 24 del Proyecto de Ley Orgánica de Protección de Datos de 24
de Noviembre de 2017, de inminente aprobación y entrada en vigor para adaptarse
al Reglamento Europeo, el cual parece aceptar ya las denuncias «anónimas» como
puede verse al leer dicho artículo, lo que te ayudará a completar el estudio de este
punto.
Así, se potenciará la protección del informador, permitiendo la denuncia anónima y
estableciendo el menor tiempo posible (máximo tres meses) para dar respuesta y
suprimir del sistema los datos de carácter personal, pudiéndolos llevar a un entorno
distinto si la investigación lo requiere.
Compliance 13
Tema 8. Ideas clave
Ideas clave
Protección por derecho constitucional y laboral
En la medida en que la denuncia del delator se produce en el ámbito laboral, será
en ese espacio en el que este sufra principalmente las consecuencias de su
denuncia, generalmente en forma de despido o sanción si su contenido atañe a algún
superior.
La cuestión aquí es dilucidar si el empleador puede argumentar su represalia
basándose en un incumplimiento de la buena fe por parte del trabajador que
denuncia. Pues bien, el Tribunal Constitucional ha señalado al respecto que los
hechos ilícitos y la falta de ética no forman parte del ámbito de normalidad laboral al
que queda obliga la buena fe contractual.
Protección por derecho penal
El derecho penal se ha acercado tan solo mínimamente al fenómeno del
whistleblowing. Sí es más clara la regulación en cuanto a la protección del criminal
arrepentido que decide contar los delitos de los que ha sido autor o partícipe, pero
nada se dice de forma taxativa en materia penal sobre quien es tan solo un mero
observador externo que denuncia unos hechos y es posteriormente represaliado por
ello. Habría que buscar la protección en todo caso en ámbitos muy etéreos como la
coacción o los delitos contra la integridad moral y también, este quizá un tanto más
potente para proteger la identidad del denunciante pero también muy matizable, el de
revelación de secreto.
Programas de amnistía y otros incentivos
La experiencia demuestra que los sistemas de denuncia que mejor han funcionado
son los que ofrecen incentivos económicos a modo de recompensa.
Al respecto de los planes de amnistía internos en las empresas, debemos decir
que son de gran importancia si lo que se busca es la complicidad delatora de quienes
han participado en la comisión del delito, garantizándoles que por parte de la propia
Compliance 14
Tema 8. Ideas clave
Ideas clave
empresa no se actuará contra ellos en cuestiones como imposición de sanción
disciplinaria o reclamación subsidiaria de daños.
La presente lección magistral, La responsabilidad del compliance officer, versa sobre
el importante asunto de la adquisición de posición de garante, aspecto que constituye

el elemento básico sobre el que sustentar la responsabilidad penal del compliance
officer.
Accede al vídeo:
https://unir.cloud.panopto.eu/Panopto/Pages/Embed.aspx?id=d9df3185-963f-
411e-a3a9-aecb00afd6af
Compliance 15
Tema 8. Ideas clave
Ideas clave
Martin Boado, A. M. (2016). Circular 1/2016, de 22 de enero, de la Fiscalía General
compliance de las empresas españolas. Revista Alerta 1/2016 del Instituto Español
de Ética y Compliance, febrero.
Martin Boado, An. M. (2016) Ponencia Circular 1/2016 de la Fiscalía. Desayuno de
Trabajo organizado. Instituto Español de ética y Compliance.
Suárez Mariño, L. (2019) Del canal de denuncias como instrumento imprescindible
de un programa eficaz de prevención de delitos y de la obligación de denunciar en
las sociedades de capital, European Compliance & News. Disponible en:

http://aeaecompliance.com/images/documentos/revista5/j7suarez.pdf
Ragués i Vallés, R. (2006). ¿Héroes o traidores? La protección de los informantes
internos (whistleblowers) como estrategia político – criminal. InDret. Revista para el
análisis del Derecho.
Ragués i Vallés, R. (2013) Whistleblowing: una aproximación al Derecho penal.
Madrid: Marcial Pons.
Silva, J.M. (2013). Criminalidad de empresa y compliance: prevención y reacciones
corporativas. Barcelona: Atelier libros jurídicos.
Compliance 16
Tema 8. Ideas clave
A fondo
Los canales internos de denuncia: compliance y

http://www.escura.com/archivos/pdf/compliance-y-proteccion-de-datos-77-2016.pdf
Breve pero interesante documento, elaborado por el Bufete Escura, en el que se nos
habla sobre canales internos de denuncia desde el punto de vista de la protección de
datos.
Compliance 17
Tema 8. A fondo
A fondo
Programa de recompensas a los whistleblowers
Martin Boado, A. M. (2016). La Securities and Exchange Commission
estadounidense (U.S. SEC) publica el informe anula de 2015 sobre su programa de
recompensas a los «whistleblowers». Revista Compliance Journal, 1.
En la siguiente reseña podrás leer acerca de los planes de recompensa existentes en
otros países (así, en EE. UU.) titulada La Securities and Exchange Commission
estadounidense (U.S. SEC) publica el informe anula de 2015 sobre su programa de
recompensas a los «whistleblowers».
Compliance 18
Tema 8. A fondo
A fondo
Canal de denuncias

https://www.youtube.com/watch?v=P9jXgMfOQo4
Ejemplo práctico de funcionamiento de un canal de denuncias.
Compliance 19
Tema 8. A fondo
A fondo
Análisis jurídico de los whistleblowers y los canales

de denuncia habilitados en la empresa
http://www.aspectosprofesionales.info/2014/10/analisis-juridico-de-los-
whistleblowers.html
Interesante y completo artículo, elaborado por José Luis Colom (2014) en el que el
autor aborda de forma muy práctica y en clave jurídica numerosos aspectos
relacionados con los canales de denuncia.
Compliance 20
Tema 8. A fondo
Test
1. El canal de denuncias o whistleblowing:
A. Es el instrumento interno utilizado para sancionar en el marco de la
empresa la participación en un delito.
B. Se fundamenta en el silencio como deber de lealtad a la empresa.
C. Es un elemento esencial en todo programa de cumplimiento.
D. Sirve para transmitir todo tipo de información relevante.
2. El procedimiento más correcto a seguir por cualquier integrante de la empresa u
organización que tenga sospecha fundada de la comisión en su seno de un ilícito es:
A. Acudir a las autoridades.
B. Acudir a la prensa.
C. No hacer nada.
D. Utilizar el canal de denuncias.
3. Una de las principales preocupaciones al respecto de los sistemas de
whistleblowing es:
A. La repercusión mediática del asunto denunciado.
B. La protección del delator frente a posibles represalias.
C. La salvaguarda de los intereses de la empresa u organización.
D. Las consecuencias frente al accionariado en caso de sociedades de capital
reguladas.
Compliance 21
Tema 8. Test
Test
4. Indica cuál de las siguientes afirmaciones no es cierta:
A. La falta de actividad o mal uso del canal de denuncia será un aspecto
indicativo de la escasa vigencia del programa de cumplimiento.
B. Si el trabajador sospecha que su denuncia no va a ser tomada en serio no
se expondrá a los riesgos que implica utilizar el canal.
C. La falta de cultura efectiva de cumplimiento en la empresa redundará
negativamente en la efectividad del canal.
D. El canal de denuncias es relevante como mecanismo de información, pero
no como medida de control.
5. Indica cuál de las siguientes normas no guarda relación con la evolución histórica
del canal de denuncias:
A. False Claims Act (FCA) de 1863.
B. Whistleblowing Commission Sentences (WCS) de 1918.
C. Civil Service Act de 1978.
D. Sentencing Guidelines a partir de 2004.
6. El mayor obstáculo que ha encontrado el fenómeno del whistleblowing, en
general, es probablemente:
A. Las dificultades tecnológicas para su puesta en marcha en el seno de las
empresas.
B. La oposición a su implantación por parte de los miembros del órgano de
administración.
C. La poca atención que ha recibido por parte de los legisladores sobre todo
nacionales.
D. Su encaje funcional en el conjunto de la política de Compliance.
Compliance 22
Tema 8. Test
Test
7. Señala cuál de los siguientes elementos normativos ha suplido la ausencia de
legislación clara al respecto del whistleblowing:
A. La normativa procedente de organizaciones internacionales.
B. La normativa sobre protección de datos.
C. En menor medida, algunas regulaciones nacionales.
8. El principal factor de efectividad de un canal de denuncias está en:
A. El medio a través del cual comunicar la denuncia.
B. La confianza que su uso inspire en sus usuarios potenciales.
C. El hecho de que esté abierto a grupos de interés externos.
D. La adecuada codificación de la información de la que es depositario.
9. Indica cuál de los siguientes elementos constituye un factor de protección del
denunciante frente a posibles represalias:
A. El derecho constitucional.
B. El derecho laboral.
C. El derecho administrativo.
10. Señala cuál de los siguientes aspectos supone un factor de protección del
denunciante frente a posibles represalias que forma parte del derecho penal:
A. Los programas de amnistía.

B. El delito de revelación de secreto.
C. El delito de infracción de la buena fe contractual.
D. El delito de falta de protección del trabajador.
Compliance 23
Tema 8. Test
Tema 9
Compliance
Tema 9. El órgano de
Compliance
Índice
Esquema
Ideas clave
9.2. Introducción
9.3. El órgano de cumplimiento penal
9.4. Los elementos del modelo de organización y gestión

de riesgos penales
A fondo
Las revisiones del modelo de Compliance
La función de Compliance - Compliance Basics 3
Ejemplo de Políticas y Procedimientos en materia de

Compliance
Impacto de la Ley Orgánica 1/2015 por la que se

modifica el Código Penal e los sistemas de corporate
compliance de las personas jurídicas
El tratamiento del régimen disciplinario en la negociación

colectiva
Test
Esquema
Compliance 3
Tema 9. Esquema
Ideas clave
continuación con la siguiente lectura: Bajo, M., Feijoó, B.J. y Gómez-Jara, C. (2016).
Tratado de responsabilidad penal de las personas jurídicas (pp. 186-216). Pamplona:
Aranzadi. Disponible aquí en virtud del artículo 32.4 de la Ley de Propiedad

Intelectual.
Fiscalía General del Estado. Circular 1/2016. Disponible en:
https://www.boe.es/buscar/abrir_fiscalia.php?id=FIS-C-2016-00001.pdf
En el presente tema analizamos aspectos formales relativos a modelos de
cumplimiento cuyo contenido resulta esencial e imprescindible para que la eficacia de
dicho modelo quede garantizada en el contexto jurídico de la eximente, y atenuante
en su caso, de la responsabilidad penal de la persona jurídica.
Veremos en concreto todo lo relativo, desde la óptica de la regulación sobre la
materia del Código penal español de 2015, al órgano de cumplimiento penal y sus
requisitos y también a lo que tiene que ver con los elementos del modelo de
organización y gestión de riesgos penales.
Compliance 4
Tema 9. Ideas clave
Ideas clave
9.2. Introducción
El Código Penal de 2015 determina en su artículo 31.bis las características que
deben cumplir los denominados modelos de organización y gestión de delitos con el
fin de que su puesta en marcha puede ser considerada como eximente de la
responsabilidad penal de la persona jurídica.
De esta forma, la vigencia efectiva en el seno de la empresa de un plan de
prevención de delito adecuado y eficaz en el momento en que dicho delito se
comete, supone mostrar el compromiso de la organización con el cumplimiento de la
legalidad y la prevención de la actividad delictiva, lo que hará que nada en el
comportamiento de la persona jurídica sea reprochable en términos de exigencia de
Debido a la importancia del art. 31 bis del Código Penal español, deberás consultarlo
a través del siguiente enlace: https://www.boe.es/buscar/act.php?id=BOE-A-1995-

25444
La primera de las características de estos modelos de organización y gestión de
riesgos penales atañe a lo que comúnmente puede denominarse como órgano de
cumplimiento penal. Veámoslo.
Compliance 5
Tema 9. Ideas clave
Ideas clave
9.3. El órgano de cumplimiento penal
En efecto, el Código Penal establece en el artículo 31 bis, apartado 2 la necesidad,
como requisito para la exención de responsabilidad penal de la persona jurídica, que
esta cuente con un órgano que supervise, vigile y controle el modelo de organización
y gestión de delitos, al decir así:
«[…] 2.ª la supervisión del funcionamiento y del cumplimiento del modelo de prevención
implantado ha sido confiada a un órgano de la persona jurídica con poderes autónomos
de iniciativa y de control o que tenga encomendada legalmente la función de supervisar la
eficacia de los controles internos de la persona jurídica».
Dicho órgano podrá:
▸ Crearse específicamente a tal efecto.
▸ Otorgar las funciones un empleado o departamento ya existente en la empresa (ej. al
órgano de la empresa que ya tenga legalmente atribuidas las funciones de

supervisión de control interno).
▸ Podrá ser el propio órgano el que asuma sus funciones.
Ahora bien, el órgano de cumplimiento penal deber ser preferentemente un órgano
interno, en opinión de la Circular 1/2016 de la Fiscalía General del Estado, al estar
aquel más próximo al negocio de la organización y, por consiguiente, con mayor
capacidad de identificar los correspondientes riesgos.
El órgano de cumplimiento penal puede ser unipersonal (Compliance Officer) o
colegiado (Comité de Compliance), e incluso ambas figuras en cuyo caso el
Compliance Officer formará parte del Comité de Compliance asumiendo en el mismo
el liderazgo de dicho Comité. En ambos casos se recomienda que se redacte
internamente los deberes y responsabilidades de la persona, comité o departamento
que asuma el rol del órgano de cumplimiento penal.
Compliance 6
Tema 9. Ideas clave
Ideas clave
De gran actualidad es el debate sobre si los Compliance Officer deben ser perfiles
juristas (abogados) o si puede o deber ser otro tipo de perfiles no juristas. Sobre ello
debe leerse la Circular del Consejo General de la Abogacía Español de 2017, que se
pronuncia por el perfil jurista de dichos profesionales (Consejo General de la
Abogacía Española. Informe 5/2017 informe que emite la comisión jurídica sobre la
intervención del abogado como responsable de cumplimiento normativo (compliance
officer). Madrid 2017).
▸ Poderes autónomos de iniciativa y control
El órgano de cumplimiento penal debe ostentar «poderes autónomos de iniciativa y
control», lo que resulta fundamental para poder ejercer las funciones de supervisión,
vigilancia y control que le corresponden de forma inherente. Se concretan en:
▸
• Tener autoridad y responsabilidad en todos los niveles del plan de Compliance.
• Tener acceso, entre otros factores, al proceso de toma de decisiones de la

empresa.
• Tener la suficiente autoridad e independencia.
▸ Ejercicio diligente de las funciones de supervisión, vigilancia y control
Como consecuencia de los poderes de iniciativa y control, el Código Penal exige de
cara a la eximente, que no se haya incurrido en una falta de diligencia con respecto a
las labores de supervisión, vigilancia y control, por lo que será necesario llevar a
cabo una serie de medidas, acordes a la estructura y modo de funcionamiento de la
empresa que sean capaces de impregnar de forma efectiva la cultura de
cumplimiento en la totalidad de sus áreas y actividades.
Competencias del órgano responsable de cumplimiento penal
El órgano de cumplimiento penal tendrá como función básica la de controlar,
Compliance 7
Tema 9. Ideas clave
Ideas clave
supervisar, evaluar y mejorar el Modelo de Prevención y Detección de Delitos. Para
este fin, será investido de poderes autónomos de iniciativa y control, y reportará
directamente al Consejo de Administración de la Compañía.
En concreto, esta función de supervisión y control del funcionamiento del modelo de
prevención y detección de delitos supone asumir las responsabilidades que
detallamos a continuación:
▸ Definir y actualizar anualmente un Mapa de Riesgos Penales, donde se identifiquen
las actividades de la sociedad en cuyo ámbito puedan ser cometidos los delitos que
deben ser prevenidos.
▸ Supervisar, controlar y evaluar el funcionamiento del modelo de prevención y
detección de delitos, en coordinación con los responsables directos de los controles

establecidos en la Sociedad para prevenir delitos.
▸ Identificar debilidades de control o aspectos de mejora, promover planes de
actuación para su subsanación, y actualizar/modificar las medidas y controles que

forman parte del modelo de prevención y detección de delitos de la sociedad.
▸ Comunicar o promover la efectiva comunicación a todo el personal de la sociedad de
los controles previstos en el modelo de prevención y detección de delitos que les
resulten aplicables, así como sus eventuales modificaciones o actualizaciones.
▸ Promover planes de formación sobre el modelo de prevención y detección de delitos
implantado en la sociedad.
▸ Asesorar a la dirección de la sociedad en tomas de decisión que puedan implicar
una posible responsabilidad penal de la persona jurídica.
▸ Gestionar un repositorio de evidencias documentales donde se acredite el efectivo
ejercicio de control y supervisión continuo del modelo de prevención y detección de

delitos, manteniendo un registro actualizado de los controles que forman parte de
dicho modelo, de los informes elaborados por auditores internos o externos que
Compliance 8
Tema 9. Ideas clave
Ideas clave
puedan tener relación con el funcionamiento del modelo, de expedientes sobre

incumplimientos del mismo producidos en la sociedad, así como las medidas
tomadas para su corrección, etc.
▸ Analizar y registrar de forma adecuada aquellos riesgos y controles que puedan
afectar a varios departamentos de la empresa.
▸ Todo lo anterior debe incluirse en un plan anual de control, supervisión, evaluación y
actualización del modelo de prevención de delitos.
▸ Informar periódicamente al órgano de administración de la sociedad sobre los
resultados de las evaluaciones del modelo de prevención y detección de delitos.
▸ Certificar anualmente el cumplimiento del modelo (esta certificación podría realizarla
el propio órgano responsable de cumplimiento penal o un experto independiente).
Autonomía e independencia del Órgano Responsable de Cumplimiento Penal
La Ley Orgánica 1/2015, de 30 de marzo de Reforma del Código Penal establece,
claramente, que el órgano al que la compañía atribuya las funciones supervisión y
control del Modelo de Prevención y Detección de Delitos debe contar con poderes
autónomos de iniciativa y control.
Esta exigencia de Ley Orgánica 1/2015, de 30 de marzo de Reforma del Código
Penal implica que el órgano al que le sea atribuida la función de Cumplimiento Penal:
i. Debe ser un órgano autónomo para tomar sus propias decisiones en materia de
cumplimiento penal, sin sujeción ni dependencia jerárquica respecto de ningún otro
órgano de la Compañía.
ii. Debe ser un órgano al que por parte del Consejo de Administración de la
Compañía se le hayan atribuido los poderes necesarios para llevar a cabo las
funciones de control del Modelo de Cumplimiento Penal.
Estos requisitos implican que en la configuración del Órgano Responsable de
Compliance 9
Tema 9. Ideas clave
Ideas clave
Cumplimiento Penal deben tenerse presentes los siguientes principios:
i. El Órgano de Cumplimiento Penal no puede depender de ningún otro órgano de la
Compañía reportando sus conclusiones y resultados al Consejo de Administración.
ii. En el momento de su constitución el Consejo de Administración debe aprobar sus
Estatutos de Funcionamiento.
iii. Dichos Estatutos deben garantizar que el órgano Responsable de Cumplimiento
Penal quede facultado para: (i) poder requerir la documentación/información que
considere necesaria para el desempeño de sus competencias, tanto a cualquier
órgano, oficina, centro de trabajo o departamento de la Compañía, como empleado,
cualquiera que sea su categoría dentro de la organización; (ii) poder solicitar que se
sancione a cualquier miembro de la organización que se niegue a facilitar la
documentación/información requerida; (iii) emitir recomendaciones vinculantes para
el Órgano de Administración de la Compañía en materia de Cumplimiento Penal.
Asimismo, entendemos que los miembros del Órgano de Cumplimiento Penal deben
contar con garantías suficientes como para poder desarrollar su trabajo en esta
materia sin miedo a represalias.
Por último, tanto la implantación de dicho órgano, como sus funciones y
competencias deberán ser debidamente comunicadas a toda la compañía, haciendo
saber que deberán atender a cualquier requerimiento de documentación que desde
el mismo se les pueda realizar.
Alternativas de configuración del órgano responsable de cumplimiento penal
En cuanto a la implantación de un órgano responsable de cumplimiento penal existen
distintas alternativas que entendemos pueden resultar de interés:
i. Crear un órgano de cumplimiento penal únicamente: crear un órgano con poderes
de iniciativa y control que reportara al consejo de administración y cuya única función
fuera la de controlar, supervisar, evaluar y mejorar el modelo de prevención y
Compliance 10
Tema 9. Ideas clave
Ideas clave
detección de delitos.
ii. Crear un órgano de cumplimiento en sentido amplio, que incluya entre sus
funciones:
a. Cumplimiento normativo: dicha función tendría por objeto realizar el seguimiento
del proceso de actualización permanente del inventario de obligaciones legales que
afectan a la sociedad y la autoevaluación periódica del cumplimiento de las mismas.
b. Cumplimiento penal: dicha función tendría por objeto el seguimiento, revisión,
actualización y control del modelo de prevención y detección de delitos.
c. Cualquier otra función de monitorización y seguimiento de los procesos de control
y revisión internos que la Sociedad quiera asignar a la función de cumplimiento.
Una vez escogido entre las opciones anteriores, se deberá decidir el modo en el que
se organizará dicho órgano de cumplimiento:
i. Órgano unipersonal compuesto por un único responsable.
ii. Órgano colegiado compuesto por una pluralidad de representantes de varios
departamentos de la Sociedad, entre los cuales, por lo general y con base en nuestra
experiencia, debería estar ineludiblemente representado el departamento de

asesoría jurídica de la compañía.
Dentro de esta opción existe asimismo la posibilidad de configurar el órgano con
todos sus miembros internos, es decir, con personal propio de la compañía, o bien
con la participación de un asesor externo especializado, por la garantía de
independencia e imparcialidad que a priori puede ofrecer esta opción.
Compliance 11
Tema 9. Ideas clave
Ideas clave
9.4. Los elementos del modelo de organización y

gestión de riesgos penales
Tal y como hemos expresado ya, el Código Penal establece cuáles son los
elementos primordiales con los que el modelo de organización y gestión de riesgos
penales debe contar al objeto de conseguir la eximente de pena o, en su caso,
atenuarla. Son los siguientes:
Dice así el art. 31 bis, apartado 5 del Código Penal:
«5. Los modelos de organización y gestión a que se refieren la condición 1.ª del apartado
2 y el apartado anterior deberán cumplir los siguientes requisitos:
»1.º Identificarán las actividades en cuyo ámbito puedan ser cometidos los delitos que
deben ser prevenidos.
»2.º Establecerán los protocolos o procedimientos que concreten el proceso de formación
de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las
mismas con relación a aquéllos.
»3.º Dispondrán de modelos de gestión de los recursos financieros adecuados para
impedir la comisión de los delitos que deben ser prevenidos.
»4.º Impondrán la obligación de informar de posibles riesgos e incumplimientos al
organismo encargado de vigilar el funcionamiento y observancia del modelo de
prevención.
Compliance 12
Tema 9. Ideas clave
Ideas clave
»5.º Establecerán un sistema disciplinario que sancione adecuadamente el
incumplimiento de las medidas que establezca el modelo.
»6.º Realizarán una verificación periódica del modelo y de su eventual modificación
cuando se pongan de manifiesto infracciones relevantes de sus disposiciones, o cuando
se produzcan cambios en la organización, en la estructura de control o en la actividad
desarrollada que los hagan necesarios».
Es decir, dichos requisitos son los siguientes:
Identificación de las actividades en cuyo ámbito puedan ser cometidos los delitos
que deben ser prevenidos. El primer paso necesario para valorar adecuadamente el
riesgo es señalar qué actividades son «susceptibles» de que se cometa un delito
como consecuencia de su ejercicio.
Establecimiento de protocolos o procedimientos que concreten el proceso de
formación de la voluntad de la persona jurídica, de adopción de decisiones y de
ejecución de las mismas con relación a aquellos. Se trata aquí de determinar de
forma clara cuál es la estructura de toma de decisiones y de señalar de forma
individual a los responsables de dichas decisiones.
En la práctica de las empresas multinacionales este tipo de procedimientos son
comúnmente conocidos con las siglas en inglés SOP (Standard Operation
Procedure) y en Español PNT (Procedimientos Normalizados de Trabajo) y es
frecuentemente que exista un SOP por cada materia de relevancia para la empresa,
con la finalidad de regular internamente las funciones y responsabilidades que
asumirá cada departamento o rol dentro de la empresa para tomar una determinada
decisión, relevante para la empresa, o para controlar, o reducir determinado riesgo.
Compliance 13
Tema 9. Ideas clave
Ideas clave
Así en organizaciones de tamaño grande o medio es muy frecuente que existan SOP
en las materias siguientes:
▸ Publicidad y Actividades Promocionales (habitual en sectores muy regulados. Ej.
sector salud, sector alimentario, sector cosmético y de productos naturales, etc.)
▸ Control de proveedores.
▸ Anticorrupción y relaciones con la Administración Pública y funcionarios públicos.
▸ Prevención del Blanqueo de Capitales y Financiación del Terrorismo.
▸ Tratamiento de Datos Personales.
▸ Regalos y atenciones a realizar por la compañía o recibir por lo empleados.
▸ Funcionamiento del canal de denuncias.
Estos procedimientos pueden tener o no la forma de «diagramas de flujo» y suelen
tener un documento asociado en el que se recogen los principios éticos generales
aplicables a dicha compañía en dicha material, comúnmente conocidos como
«políticas» (Policy en inglés). De esta forma puede afirmarse que:
▸ La política vendría a recoger los principios generales éticos que la compañía a nivel
interno y por voluntad propia ha decidido imponer a sus empleados e incluso a

terceros que colaboren con la empresa, basados la mayoría de las veces en
normativa y regulaciones propias del sector en el que dicha opera.
▸ Y el procedimiento vendría a recoger el concreto proceso que deberá regir en dicha
compañía para hacer posible el cumplimiento de la correspondiente política,

concretando qué departamento o rol de la empresa actuará en cada momento y las
diferentes funciones y responsabilidades de cada uno de estos para contribuir al
cumplimiento de la correspondiente política.
Compliance 14
Tema 9. Ideas clave
Ideas clave
Podrás consultar un ejemplo de esta tipología y contenido de este tipo de Políticas y
Procedimientos en el apartado A fondo.
Disposición de modelos de gestión de los recursos financieros adecuados para
impedir la comisión de los delitos que deben ser prevenidos. Este aspecto tiene una
doble vertiente. Por un lado se ha de dotar al modelo de los recursos económicos y
humanos necesarios para garantizar su correcto funcionamiento, por otro, el
adecuado control de los recursos financieros resulta vital para impedir la comisión de
delitos, en especial los relacionados con la corrupción.
Imposición de obligación de informar de posibles riesgos e incumplimientos al
organismo encargado de vigilar el funcionamiento y observancia del modelo de
prevención. Hace referencia a los canales de denuncia.
Establecimiento de un sistema disciplinario que sancione adecuadamente el
incumplimiento de las medidas que establezca el modelo. Se trata aquí de dotar al
modelo de un componente de «enforcement» que beneficie su eficacia y
aplicabilidad.
Realización de una verificación periódica del modelo y de su eventual
modificación cuando se pongan de manifiesto infracciones relevantes de sus
disposiciones, o cuando se produzcan cambios en la organización, en la estructura
de control o en la actividad desarrollada que los hagan necesarios. Este aspecto
constituye un elemento clave a la hora de demostrar su eficacia a lo largo del tiempo.
En esta lección magistral, Canales de control, se abordan, desde un planteamiento
eminentemente jurídico, la justificación y razones legales que según la normativa
española actual objetivan la responsabilidad penal de la persona jurídica en relación
con el deber de control interno en el seno de la empresa.
Compliance 15
Tema 9. Ideas clave
Ideas clave
Accede al vídeo:
https://unir.cloud.panopto.eu/Panopto/Pages/Embed.aspx?id=c235cb08-a3c6-
4fa0-88cf-aecb00b0f4f6
Compliance 16
Tema 9. Ideas clave
Ideas clave
Consejo General de la Abogacía. (2017). Informe 5/2017 del Consejo General de la
Abogacía Español. Informe que emite la comisión jurídica sobre la intervención del
abogado como responsable de cumplimiento normativo (compliacne officer).
Enseñat, S. (2016). Manual del Compliance Officer. Guía práctica para los
responsables de Compliance de habla hispana. Pamplona: Editorial Aranzadi
Thomson Reuters.
Martin Boado, A. M. (2016). Circular 1/2016, de 22 de enero, de la Fiscalía General
compliance de las empresas españolas. Alerta 1/2016 del Instituto Español de ética y
Compliance.
Nieto, A. y otros. (2015). Manual de cumplimiento penal en la empresa. Valencia:
Tirant lo Blanch.
Puyol Montero, J. (2016). Criterios prácticos para la elaboración de un Código de
Compliance (Abogacía Práctica). Madrid: Editorial Tirant lo Blanch.
Ribas, X. (2018). Practicum Compliance 2018. Pamplona: Aranzadi Editorial
Thomson Reuters.
Zamorano, S. y Polo, A. (2016). La dificultad de construir un órgano de supervisión y
cumplimiento del modelo de Compliance. Pamplona: Aranzadi Actualidad jurídica.
Volumen 25. Número 921.
Compliance 17
Tema 9. Ideas clave
A fondo
Las revisiones del modelo de Compliance
Casanovas, A. (noviembre, 2015). Las revisiones del modelo de Compliance. KPMG-
Serie de test de compliance. Blog KPMG Cumplimiento Legal.
https://assets.kpmg.com/content/dam/kpmg/es/pdf/2016/12/Test_Compliance_11.pdf
Documento en el que el autor reflexiona sobre la verificación del modelo de
prevención penal desde un punto de vista didáctico y con objeto de poner de
manifiesto los elementos clave que dicho proceso debe contemplar.
Compliance 18
Tema 9. A fondo
A fondo
La función de Compliance - Compliance Basics 3

https://www.youtube.com/watch?
v=Q6g1JqWgl9M&list=PL0U1g2QyI9ayxcM_81qPLonmB5iN3n_t6&index=3
Autor: KPMG.
Año: 2017.
Interesante vídeo en el que el autor, Alain Casanovas, hace un repaso de los
principales aspectos que integran la función de Compliance y se detiene en
cuestiones relativas al órgano de supervisión y control.
Compliance 19
Tema 9. A fondo
A fondo
Ejemplo de Políticas y Procedimientos en materia

de Compliance
El siguiente documento recoge las distintas materias sobre las cuales las
organizaciones suelen tener políticas y/o procedimientos. El objetivo es que puedas
conocer la tipología de las distintas políticas y procedimientos, que las
organizaciones suelen tener en materia de Compliance.
Compliance 20
Tema 9. A fondo
A fondo
Impacto de la Ley Orgánica 1/2015 por la que se

modifica el Código Penal e los sistemas de
corporate compliance de las personas jurídicas
Camacho, A. y Uría, A. (19 de mayo de 2015). El impacto de la Ley Orgánica 1/2015
por la que se modifica el Código Penal en los sistemas de corporate compliance de
las personas jurídicas. Diario La Ley, 3328/2015. https://www.perezllorca.com/wp-

content/uploads/es/actualidadPublicaciones/ArticuloJuridico/Documents/acv-y-aup-
diario-la-ley.pdf
El artículo analiza los aspectos novedosos del Código Penal que atañen a los
elementos y puesta en marcha de modelos de Compliance, deteniéndose en lo
relativo al órgano de supervisión y control.
Compliance 21
Tema 9. A fondo
A fondo
El tratamiento del régimen disciplinario en la

negociación colectiva
González-Posadas, E. (2008). El tratamiento del régimen disciplinario en la
negociación colectiva. Madrid: Ministerio de Trabajo y Asuntos Sociales.

https://www.mites.gob.es/ficheros/ministerio/sec_trabajo/ccncc/B_Actuaciones/Estudi
os/TratamientoRegimenDisciplinario_NegociacionColectiva.pdf
Interesantes cuestiones sobre el poder disciplinario del empresario, codificación y
graduación de faltas y aplicación del régimen disciplinario.
Compliance 22
Tema 9. A fondo
Test
A. Es en el apartado de la culpabilidad donde debe analizarse la eficacia del
modelo o sistema de gestión de Compliance.
B. La vigencia plena de un programa de cumplimiento eficaz en el momento
de la comisión del delito simboliza una cultura de cumplimiento de la
legalidad.
C. Si se cumplen de forma eficaz las obligaciones de Compliance pero aun
así se comete un delito, el Estado debe mantener la pretensión de la pena.
2. Con relación a la cultura de Compliance, el derecho penal exige a las empresas:
A. Un cumplimiento meramente «formal» de la legalidad.
B. Un compromiso «material» de cumplir con la norma.
C. Un compromiso meramente «formal» de la norma.
D. Un cumplimiento meramente «formal» de la norma.
3. La normativa penal española sobre modelos de organización y gestión de delitos
tiene una profunda influencia de:
A. El derecho alemán.
B. El derecho anglosajón.
C. La Sarbanes Oxley Act.
D. El derecho italiano.
Compliance 23
Tema 9. Test
Test
4. El órgano de cumplimiento penal:
A. Puede ser objeto de creación específica.
B. Sus funciones de supervisión, vigilancia y control pueden ser asignadas a
un órgano que ya tenga legalmente atribuidas las funciones de supervisar la
eficacia los controles internos.
C. En personas jurídicas de pequeñas dimensiones sus funciones pueden ser
asumidas por el propio órgano de administración.
5. Indica cuál de las siguientes facultades no forma parte de las que concretan la
existencia efectiva de poderes autónomos del órgano de cumplimiento penal:
A. Tener autoridad y responsabilidad para el diseño, consistencia e integridad
del sistema de gestión de Compliance penal.
B. Tener autoridad para actuar de forma independiente.
C. Tener capacidad para designar cargos directivos.
D. Tener acceso a todos los niveles de la organización.
6. La posibilidad de que las funciones del órgano de cumplimiento penal sean
asumidas por el propio órgano de administración:
A. Puede darse en cualquier empresa que tenga más de 250 trabajadores y
su cifra anual de negocio sea superior a 12 millones de euros.
B. Puede darse en empresas que estén autorizadas a presentar cuenta de
pérdidas y ganancias abreviada.

C. No puede darse en ningún caso porque ello conllevaría falta de
independencia.
D. Puede darse solo cuando el consejero delegado asume las labores de
representación legal de la persona jurídica.
Compliance 24
Tema 9. Test
Test
7. Respecto de la identificación de las actividades en cuyo ámbito puedan ser
cometidos los delitos que deben ser prevenidos, se puede afirmar que:
A. No es necesario hacer tal identificación, ya que lo pertinente es la
elaboración del mapa de riesgos.
B. El sector de la empresa o actividad no es relevante, basta con una
aproximación global.
C. Es el primer paso relevante para la conformación del mapa de riesgos.
D. Ha de hacerse por el comité de auditoría en un proceso ex – post.
8. En cuanto al elemento del modelo de Compliance relativo a la disposición de
modelos de gestión de los recursos financieros adecuados para impedir la comisión
de los delitos que deben ser prevenidos:
A. Se refiere solo a que el órgano de Compliance cuente con los recursos
financieros adecuados.
B. Se refiere solo a que la empresa controle sus recursos financieros para
impedir la comisión de delitos.
C. El modelo de Compliance no requiere de financiación específica, ya que su
competencia es transversal.
D. Tiene una doble vertiente que contempla lo indicado en las respuestas A y
B.
9. Los sistemas de whistleblowing:

A. Potencian la delación de potenciales incumplimientos.
B. Se establecen únicamente para la detección de conductas que provocan
un perjuicio a terceros.
C. Deben exigir, según la Agencia Española de Protección de Datos, la
identificación del denunciante.
Compliance 25
Tema 9. Test
Test
10. En cuanto al establecimiento de un sistema disciplinario que sancione
adecuadamente el incumplimiento de las medidas que establezca el modelo de
organización y gestión de delitos, podemos afirmar que:
A. Su encaje es incompatible en el marco de las normas laborales.
B. Para resultar éticamente aceptable, no debe incluir en ningún caso el
despido.
C. Supone un elemento que refuerza al modelo de Compliance, pues la

sanción reafirma la vigencia de las normas relativas al cumplimiento penal.
D. Es un tema incluido de manera generalizada en la práctica totalidad de los
convenios colectivos.
Compliance 26
Tema 9. Test
Tema 10
Compliance
Tema 10. La responsabilidad

penal del Compliance officer
Índice
Esquema
Ideas clave
10.2. Posición de garante
10.3. Complicidad omisiva
10.4. Conclusiones
A fondo
La posición de garante en el Derecho español
La comisión por omisión
¿Tiene el Compliance Officer responsabilidad penal?
¿Cuándo una omisión se puede equiparar a una acción?

Fernando Miró
La responsabilidad penal del compliance officer
Test
Esquema
Compliance 3
Tema 10. Esquema
Ideas clave
Para estudiar este tema deberás complementar el estudio de las ideas clave
expuestas a continuación con la siguiente lectura:Mercedes, V. (2015) La
responsabilidad penal de los administradores y del Compliance Officer en la última
reforma del Código Penal. Actualidad Jurídica Aranzadi, núm. 910/2015.El artículo
está disponible en el aula virtual en virtud del artículo 32.4 de la Ley de Propiedad
Intelectual.Casanovas, A. (21 de septiembre 2017). Responsabilidad del Compliance
Officer en UNE 19601. ElDerecho.com. Disponible
en:https://www.elderecho.com/contenido_juridico/jurisprudencia/responsable-
compliance-officer-une-19601_11_1137805001.htmlMartin Boado, A. M. (2016).
Circular 1/2016 de la Fiscalía General del Estado. Alerta 1/2016 del Instituto Español
de Ética y Compliance. Disponible
en:http://www.ieecompliance.org/app/download/5812980984/Alerta+1_2016_IEEC_C
OMPLIANCE_Circular+1_2016+Fiscalia+General+del+Estado_ALL+INDUSTRIES_V
PS_vf.pdf
En el presente tema estudiaremos de una forma resumida y práctica los principales
aspectos que, tras la reforma de nuestro Código Penal en el año 2015, definen y
fundamentan la posible responsabilidad penal del órgano de administración y muy en
concreto del compliance officer: posición de garante, deber de control y delegación.
Compliance 4
Tema 10. Ideas clave
Ideas clave
10.2. Posición de garante
La reforma del Código Penal de 2015 introduce la figura del compliance officer u
oficial de cumplimiento. Tanto esta reforma como la llevada a cabo por la Ley
31/2014 de modificación de la Ley de Sociedades de Capital, lleva a la posible
responsabilidad penal de los administradores, como garantes, por los delitos de los
empleados, en comisión por omisión.
No obstante, el compliance officer no asume de forma directa esa posición de
garante a no ser que en la delegación de funciones que recibe haya un deber
contractual específico de evitación de delitos que supere a las funciones de
supervisión y control del modelo.
Volviendo a lo anterior, la mencionada Ley 31/2014 introduce para los
administradores el deber de control de las compañías, lo que les lleva sin género de
dudas a ocupar la posición de garantes en términos de legislación penal. Esto
supone que podrán ser responsables penalmente a título de autores, autores
mediatos o partícipes por delitos comunes o especiales.
Compliance 5
Ideas clave
10.3. Complicidad omisiva
Mención especial merece también la comisión por omisión. En este supuesto la
responsabilidad penal se sustanciaría, dada la mencionada posición de garante, y si
concurren las condiciones de equivalencia de la omisión a la acción, por no haber
adoptado las medidas adecuadas para la evitación de los delitos en el ámbito de la
empresa.
Esto es así hasta el punto de que la delegación de funciones hacia terceros como el
compliance officer no determina una exoneración completa del delegante, ni por la
misma razón traslada la responsabilidad de forma automática al delegado. Antes al
contrario, existe ya cierta jurisprudencia alemana que condena por asunción de
posición de garante por complicidad omisiva en supuestos de acumulación de
posiciones de garantía.
Compliance 6
Ideas clave
10.4. Conclusiones
La normativa actual derivada de la reforma del Código Penal del año 2015 basa la
posible responsabilidad penal de la persona jurídica en el defecto de organización,
que queda configurado como tipo penal autónomo.
Corresponde al órgano de administración la adopción de medidas de vigilancia y
control que prevengan la comisión de delitos, antes de que estos se materialicen, o
que disminuyan de forma significativa el riesgo de su comisión.
Los administradores adquieren la posición de garantes en el contexto penal y esta
posición guarda relación también con el deber mercantil específico de control sobre
la empresa y sus riesgos.
Al compliance officer le corresponde supervisar el funcionamiento y cumplimiento
del modelo de prevención de delitos. Para ello cuenta con poderes de iniciativa y
control, pero no de decisión (que corresponden al órgano de administración). Por
ende, no le corresponde ni la adopción ni la modificación de los programas de
cumplimiento, ni tampoco la decisión final en relación con los mismos. Es por esto
por lo que el compliance officer no asume de forma automática la posición de
garante.
L a delegación no exonera por completo de responsabilidad al órgano de

administración.
En la ponencia de Ana M. Martin Boado, titulada «Circular 1/2016 de la Fiscalía»,
impartida durante Desayuno de Trabajo organizado por el Instituto Español de Ética y
Compliance en Febrero de 2016, disponible en la biblioteca virtual de la UNIR
pueden verse casos reales de otros países en los que se ha llegado a imputar o
incluso a condenar a un Compliance Officer por actos delictivos cometidos en el seno
de sus organizaciones. Casos que resultan de enorme interés por la influencia que
Compliance 7
Ideas clave
pueden llegar a tener para las Autoridades Judiciales o de Anticorrupción de otros
países como España.
Compliance 8
Ideas clave
Gómez, J.L., Arroyo, L., Nieto, A. (2013). El Derecho Penal Económico en la Era
Compliance. Valencia: Tirant lo Blanch
Kuhlen, L., Montiel, J. P., Ortiz de Urbina, Í. (2013). Compliance y teoría del Derecho
penal. Madrid: Marcial Pons.
Ley 31/2014, de 3 de diciembre, por la que se modifica la Ley de Sociedades de
Capital para la mejora del gobierno corporativo.
Montoya, M. A. (2015). Sobre la condena a administradores y Compliance Officers
por falta de medidas de prevención. Disponible
en:https://miguelangelmontoya.com/2015/07/08/sobre-la-condena-a-administradores-
y-compliance-officers-por-falta-de-medidas-de-prevencion/
Rodríguez, M.J. (2005). Atribución de responsabilidad en comisión por omisión.
Pamplona: Aranzadi.
Velasco, E. (2016). Cuestiones prácticas sobre responsabilidad penal de la persona
jurídica y Compliance. Pamplona: Editorial Aranzadi Thomson Reuters.
Compliance 9
A fondo
La posición de garante en el Derecho español
Maciá, R. (enero, 2009). La posición de garante en el Derecho español: concepto y
estructura. Pórtico Legal. https://porticolegal.expansion.com/pa_articulo.php?ref=326
Interesante artículo teórico en clave jurídica sobre los aspectos primordiales de la
posición de garante.
Compliance 10
Tema 10. A fondo
A fondo
La comisión por omisión
Meini, I. (2003) La comisión por omisión: una interpretación alternativa del artículo 13
de Código Penal. Universidad de Friburgo.
http://perso.unifr.ch/derechopenal/assets/files/anuario/an_2003_17.pdf
El autor reflexiona sobre aspectos interesantes relativos al delito de comisión por
omisión y también sobre el significado e importancia de la posición de garante.
Compliance 11
Tema 10. A fondo
A fondo
¿Tiene el Compliance Officer responsabilidad

penal?
Anllo, L. y Alguacil, J. (s. f.). ¿Tiene el Compliance Officer responsabilidad penal?
[entrada en línea]. World Compliance Assoiation.
http://www.worldcomplianceassociation.com/1408/articulo-tiene-el-compliance-officer-
responsabilidad-penal.html
Los autores, en una aproximación de derecho comparado entre Argentina y España,
comentan distintos aspectos de una hipotética responsabilidad penal del Compliance
Officer.
Compliance 12
Tema 10. A fondo
A fondo
¿Cuándo una omisión se puede equiparar a una

acción? Fernando Miró
Accede al vídeo a través del aula virtual o desde la siguiente dirección
web:https://www.youtube.com/watch?v=IKWWgxEQDuU
Autor: Universitas Miguel Hernández.Año: 2015.
Vídeo de contenido jurídico con aspectos técnicos en relación a la Comisión por
omisión.
Compliance 13
Tema 10. A fondo
A fondo
La responsabilidad penal del compliance officer
De Urbano, E. (2016). La responsabilidad penal del compliance officer. Revista
Aranzadi Doctrinal, núm. 4/2016. BIB 2016\2014. El artículo está disponible en el
aula virtual en virtud del artículo 32.4 de la Ley de Propiedad Intelectual
El artículo repasa aspectos interesantes sobre la responsabilidad penal de las
personas jurídicas y el papel del compliance officer.
Compliance 14
Tema 10. A fondo
Test
1. La reciente reforma del Código Penal exonera la responsabilidad penal de la
empresa si:
A. El órgano de administración se configura adecuadamente.
B. Dispone de un programa de cumplimiento cuyos requisitos no están
definidos.
C. Dispone de un seguro de riesgo penal.
D. Dispone de un programa de cumplimiento con determinados requisitos y
contenidos.
2. La Ley 31/2014 de modificación de la Ley de Sociedades de Capital:
A. No aborda ningún aspecto relativo a la responsabilidad de los
administradores.
B. Tiene como objeto primordial la mejora de la responsabilidad social de las
empresas.
C. Impone a los administradores un específico deber de control de riesgos en
la empresa.
D. Supone un tránsito del derecho imperativo a un predomino del soft law en
el gobierno corporativo.
3. Con respecto a la responsabilidad del compliance officer, puede afirmarse que:
A. No asume directamente la posición de garante.
B. La evitación de los delitos es una de las funciones inherentes a su
desempeño, sin necesidad de que esta le sea encomendada como un deber
contractual específico.
C. Sus funciones «clásicas» son la supervisión del funcionamiento y
cumplimiento del modelo de prevención.
Compliance 15
Tema 10. Test
Test
A. Parte de los problemas que encara el derecho mercantil cuando regula la
responsabilidad de los administradores se comparten por el derecho penal
económico.
B. El desplazamiento del riesgo en las organizaciones es uno de los
fenómenos que puede desembocar en la denominada irresponsabilidad
organizada de las corporaciones.
C. La ley 31/2014 menciona que los fallos de gobierno corporativo son una de
las causas de la crisis económica y financiera.
5. Indica cuál de los siguientes grupos de fenómenos guarda relación con la
denominada irresponsabilidad organizada de las corporaciones:
A. Difusión y fragmentación de la información, aplazamiento del riesgo y
delegación de funciones.
B. Vinculación de la información, aplazamiento del riesgo y delegación de
funciones.
C. Difusión de la información, fragmentación del riesgo y delegación de
funciones.
D. Difusión y fragmentación de la información, desplazamiento del riesgo y
delegación de funciones.
Compliance 16
Tema 10. Test
Test
A. A nivel internacional se advierte una creciente trascendencia de la
regulación del gobierno corporativo en las sociedades de capital.
B. La imposición a los administradores de un específico deber de control de
riesgos de la empresa permite sostener su responsabilidad, como garantes,
por los delitos de los empleados.
C. El oficial de cumplimiento (compliance officer) asume directamente la
posición de garante, al igual que los administradores.
D. Los administradores deberán tener la dedicación adecuada y aportarán las
medidas precisas para la buena dirección y el control de la sociedad.
7. La facultad indelegable de determinar las políticas de control y gestión de riesgos
y la supervisión de los sistemas de información y control establecida en la legislación
de sociedades se atribuye a:
A. La Comisión de Auditoría.
B. El Consejo de Administración.
C. El Departamento jurídico.
D. La Comisión delegada.
8. La posición de garante de los administradores:
A. Queda diluida en el trámite de delegación de funciones a un tercero.
B. Deriva de su deber de control de la compañía.

C. Queda diluida por el mero encargo de ejecución de un determinado
cometido.
D. Se traslada al compliance officer en todos los casos.
Compliance 17
Tema 10. Test
Test
9. Con respecto a la posición de garante del compliance officer, puede afirmarse
que:
A. Puede asumir dicha posición contractualmente en atención a la delegación
de funciones que le opere el órgano de administración mediante contrato o
acuerdo societario.
B. Se sustanciará finalmente por los tribunales en atención a la delimitación
concreta de sus funciones.
C. No la ocupará si carece de poderes ejecutivos y solo tiene capacidad de
iniciativa y de control.
10. La nueva redacción del artículo 31.bis del Código Penal:
A. Aclara que el modelo de responsabilidad penal de la empresa se basa en
el defecto de organización.
B. Configura un tipo penal autónomo para el delito de empresa.
C. Se mantiene anclada en el esquema de responsabilidad vicarial.
Compliance 18
Tema 10. Test
Tema 11
Compliance
Tema 11. Canales de control

Índice
Esquema
Ideas clave
11.2. Introducción
11.3. Procesos internos de control
11.4. Procesos de control externos
11.5. Certificación de control
A fondo
Entorno de control
Sistemas de control interno
¿Qué es el control interno?
Claves para la implantación de sistemas de control

interno
Test
Esquema
Compliance 3
Tema 11. Esquema
Esquema
Compliance 4
Tema 11. Esquema
Ideas clave
Para estudiar este tema deberás leer y comprender las ideas clave expuestas a
continuación y complementarlas con la siguiente lectura:Pascual, A. (2016). El plan
de prevención de riesgos penales y responsabilidad corporativa (pp. 365-380).
Madrid: Editorial Bosch, S.A.Disponible en el aula virtual en virtud del artículo 32.4 de
la Ley de Propiedad Intelectual.
En el presente tema estudiaremos las ventajas y elementos básicos para la
implantación de medidas de control en el seno de la empresa u organización,
aspecto que resulta clave para que el órgano de administración cumpla con su
obligación, derivada de la actual legislación al respecto de la responsabilidad penal
de la persona jurídica, relativa al deber de control y a la actuación en materia de

prevención de delitos.
Compliance 5
Ideas clave
11.2. Introducción
Las reformas del Código Penal del año 2010 y la posterior de 2015 han venido a
despejar todo tipo de posibles dudas al respecto de la responsabilidad penal de la
persona jurídica. La empresa u organización puede ser responsable de la comisión
de un delito por lo que cobra especial importancia el establecimiento de control sobre
la actividad de la empresa.
De esta forma los administradores adquieren el deber de vigilancia, ya sea de forma
directa según determinadas características de la empresa, o indirecta mediante un
proceso de delegación, que ha de materializarse necesariamente en el
establecimiento de un programa de prevención de riesgos penales cuya
responsabilidad recae en un órgano de cumplimiento. Parte importante del programa
de cumplimiento vendrá determinada por la implantación de medidas de control que
prevean y minimicen el riesgo de comisión de delitos.
Compliance 6
Ideas clave
11.3. Procesos internos de control
El Código Penal establece la responsabilidad penal de la persona jurídica por no
establecer el debido control. Las causas que llevan al incumplimiento del
mencionado deber pueden ser tres: negligencia, imprudencia e impericia.
Así pues, los procesos de control deberán orientarse a neutralizar estas tres
causas.
Control estructural
▸ A nivel estratégico. Establece la política de control con sus fines y objetivos.
▸ A nivel organizativo. Define el organigrama y asigna responsabilidades y recursos.
▸ A nivel de gestión y operativo. Define protocolos y actividades concretas y las
atribuye al personal de cada departamento.
Documentación de control
Si bien la actividad de Compliance tiene un eminente carácter preventivo, también es
necesario dotarla de eficacia reactiva como herramienta de defensa y justificación de
la acción de la empresa. De ahí que sea imprescindible documentar el proceso de
control para que quede trazabilidad de sus actuaciones.
Control de la actividad formativa
La formación es uno de los elementos primordiales de todo plan de prevención de
delitos. En línea con lo que se acaba de expresar, la acción formativa de la empresa

con respecto al Compliance debe quedar convenientemente registrada y
documentada.
Control de canal de denuncias
El canal de denuncias, además de ser uno de los elementos obligatorios de todo plan
Compliance 7
Ideas clave
de prevención de delitos, supone una de sus herramientas más eficaces. Por lo
tanto, una adecuada gestión del canal, que incorpore protocolos de actuación y
respuesta eficaces deviene en materia prioritaria. En línea con lo ya expuesto, la
actividad registrada por el canal de denuncias deberá quedar correspondientemente
documentada.
Investigación interna
Las investigaciones internas van a constituir una pieza clave de los Programas de
Compliance. En ocasiones la iniciación de una investigación interna puede ser
consecuencia de una denuncia interpuesta ante el canal de denuncias de dicha
organización bien por un empleado o por terceros y en otras ocasiones la iniciación

de una investigación interna será consecuencia de otros factores. Así, por ejemplo,
fruto de alguna revisión o auditoría, puntual o periódica, realizada en la compañía por
e l Compliance Officer o Departamento de Compliance y en la que este haya
detectado indicios de un posible incumplimiento de determinada normativa,
regulaciones éticas sectoriales o regulaciones éticas internas de dicha compañía
(así, Código Ético interno, una Política corporativa, algún Procedimiento interno en
materia de Compliance,etc.).
Con tal finalidad, el art. 31 bis, 5, 4º del Código Penal establece la obligatoriedad de
que los empleados reporten al Dpto. de Compliance cualquier situación de
incumplimiento, al decir expresamente así:
«4.º Impondrán la obligación de informar de posibles riesgos e
incumplimientos al organismo encargado de vigilar el funcionamiento
y observancia del modelo de prevención.»
Para poder hacerse correctamente y sin riesgo de eliminar el valor probatorio de los
medios probatorios obtenidos durante la investigación interna, fundamentalmente en
vistas a iniciar posteriormente un proceso judicial de despido del empleado infractor,
se aconseja realizar conjuntamente con asesores laboralistas externos.
Compliance 8
Ideas clave
De especial sensibilidad será también el correcto tratamiento de los datos personales
del denunciante y del denunciado, resultado de una denuncia, para lo cual habrá que
estar a lo establecido en la normativa vigente en materia de tratamiento de datos
personales y en el caso español a las Circulares emitidas hasta la fecha por la
Agencia Española de Protección de Datos.
Compliance 9
Ideas clave
11.4. Procesos de control externos
El control externo hace referencia a que el plan de prevención de delitos sea
sometido a una mirada externa y ajena a la empresa u organización. De esta forma,
la mirada de un experto totalmente alejado de la dinámica interna de la empresa y
ajeno a sus conflictos cotidianos, será muy útil para detectar deficiencias y recibir
propuestas de mejora que afianzarán la eficacia del modelo de control implantado.
Control de adaptación
Se lleva a cabo para determinar si el plan responde de forma idónea a los objetivos
planteados.
Control de responsabilidad
Se establecen unos responsables de control en cada departamento de la entidad.
Control de actuación
Supervisión de las actuaciones de cada departamento y traslado de la información
oportuna.
Presupuestos y recursos
La concreta asignación de recursos al plan de prevención de delitos supone un claro
elemento que indica el compromiso con su efectividad por parte del órgano de
administración.
Control de seguimiento
Se aplica sobre los elementos básicos del plan.
Compliance 10
Ideas clave
Consultoría externa
Aporta múltiples elementos positivos, todos ellos basados en el valor añadido que
supone la exhaustiva revisión de los procedimientos por parte de un ente
especializado externo.
Compliance 11
Ideas clave
11.5. Certificación de control
Si bien no se trata de un requisito legal en la normativa española al respecto del
Compliance, sí es práctica habitual en otros países la existencia de oficinas de
registro de planes de prevención de delitos. El valor añadido que aporta una
certificación es clave a la hora de demostrar el compromiso con la cultura de
cumplimiento y respeto a la legalidad y constituye un elemento más de la política de
control externo.
Ahora bien, es importante señalar que la mera existencia de una certificación, ya
sea «extraoficial», esto es, expedida de parte de una entidad experta en Compliance
(despacho de abogados, consultora…) u «oficial», que proceda de un proceso de
acreditación tipo ISO, en ningún caso sirve, pos sí sola y como elemento aislado,
para acreditar que se ha cumplido con la obligación de debido control que exonera
de la responsabilidad penal a la persona jurídica. Compliance es un todo mucho más
complejo que un simple certificado.
Compliance 12
Ideas clave
Amat, O., Campa, F. (2013). Manual del controller. Barcelona: Profit editorial.
Barquero, M. (2013). Manual práctico de control interno. Barcelona: Profit editorial.
Usenas, R. Ó. (1999). Manual de control interno. Buenos Aires: Ediciones Macchi.
Compliance 13
A fondo
Entorno de control
Armendáriz, J. (coord.) (2014). Entorno de control: siete preguntas que cualquier
Consejero debe plantearse. La fábrica del pensamiento. Instituto de auditores
internos de España.
https://auditoresinternos.es/uploads/media_items/f%C3%A1bricacontrol-
web.original.pdf
Visión general sobre entornos de control en grandes compañías que ofrece pautas
de análisis interesantes para favorecer una estrategia de control adecuada y su
implementación en el seno de la organización.
Compliance 14
Tema 11. A fondo
A fondo
Sistemas de control interno
Ruíz, R.E. (2012). Sistemas de control interno (pp. 12-48). Universidad Nacional
Autónoma de
México.http://fcasua.contad.unam.mx/apuntes/interiores/docs/2012/contaduria/4/1461
.pdf
Material didáctico de Licenciatura en Contaduría de la mencionada universidad sobre
sistemas de control interno. Ofrece información interesante sobre aspectos generales
de control interno y sobre modelos de control.
Compliance 15
Tema 11. A fondo
A fondo
¿Qué es el control interno?
Accede al vídeo a través del aula virtual o desde la siguiente dirección
web:https://www.youtube.com/watch?v=Rp_N22_b8uA
Autor: Universidad Simón Bolívar de Barranquilla.Año: 2017.
Leonardo Pacheco Trujillo nos ofrece un resumen muy didáctico e interesante sobre
los elementos esenciales de cualquier sistema integrado de control interno.
Compliance 16
Tema 11. A fondo
A fondo
Claves para la implantación de sistemas de control

interno
Blanco, J. (abril, 2008). Claves para la implantación de control interno. Estrategia
financiera, 249-2008, 22-29. Accede al artículo a través del aula virtual en virtud del
El autor reflexiona sobre los beneficios en clave estratégica de la implantación de un
sistema de control interno y de sus implicaciones en términos de ventaja competitiva,
tanto en el seno de la empresa como hacia el exterior.
Compliance 17
Tema 11. A fondo
Test
1. La antijuricidad del delito de persona jurídica viene dada por:
A. Acción u omisión que por imprudencia leve no evita el resultado.
B. Acción u omisión que por imprudencia grave no evita el resultado.
C. Acción u omisión que por negligencia no evita el resultado.
D. B y C son ciertas.
2. Indica qué clasificación de las siguientes es correcta al respecto del análisis de la
gravedad de los delitos:
A. Por su naturaleza, comunes y específicos.
B. Por su manifestación de acción y de reacción.
C. Por su perseguibilidad, púbicos, privatizados y semiprivados.
D. Por el sujeto que los realiza, comunes y especiales.
3. Señala cuál de las siguientes actividades puede considerarse como atenuante
según lo dispuesto en el artículo 31. Bis.4 del Código Penal:
A. Haber establecido durante el juicio oral medidas eficaces para prevenir y
descubrir delitos que en el futuro pudieran cometerse.
B. Haber establecido con posterioridad al juicio oral medidas eficaces para
prevenir y descubrir delitos que en el futuro pudieran cometerse.
C. Haber establecido, antes del comienzo del juicio oral, medidas eficaces
para prevenir y descubrir delitos que en el futuro pudieran cometerse.
D. Ninguna de las anteriores es cierta.
Compliance 18
Tema 11. Test
Test
4. Indica cuál de las siguientes afirmaciones no es cierta con respecto al deber de
vigilancia de los administradores:
A. La simple delegación no es válida si no se tienen los poderes suficientes.
B. La delegación no apta produce un efecto rebote en el delegante.
C. No es posible delegar la función de vigilancia bajo ninguna circunstancia.
D. Para ser válido, el domino sobre la vigilancia y control ha de ser real y
efectivo.
5. Al respecto del compliance officer, es correcto afirmar que:
A. Debe velar por el cumplimiento de lo dispuesto en el programa de
auditoría.
B. No puede ser un órgano colegiado.
C. Es responsable de la propuesta de actualización del plan de prevención de
riesgos penales.
D. Recibe sus funciones por delegación de la asesoría jurídica.
6. El certificado de cumplimiento:
A. Es exigible por ley.
B. Constituye un elemento más para acreditar la eficacia del plan de
prevención penal.
C. Constituye por sí solo un elemento eximente de la responsabilidad penal
de la persona jurídica.
D. Sólo puede ser emitido por el órgano de administración de la empresa.
Compliance 19
Tema 11. Test
Test
7. Los tres niveles del control estructural son:
A. Estratégico, organizativo y de gestión y operativo.
B. Táctico, analítico y operacional.
C. Estratégico, analítico y de procedimiento.
D. Estratégico, analítico y operacional.
8. Señala cuál de los siguientes no forma parte de los procesos de control internos:
A. Control de formación.
B. Control de denuncias.
C. Control de investigación.
D. Control de seguimiento.
9. Indica cuál de los siguientes no forma parte de los procesos de control externos:
A. Control de responsabilidad.
B. Control de denuncias.
C. Control de actuación.
D. Consultoría externa.
10. La consultoría externa como mecanismo de control externo:
A. Objetiviza el plan de prevención de delitos.
B. Complementa el plan de prevención de delitos.
C. Aporta seguridad al plan de prevención de delitos.
Compliance 20
Tema 11. Test
Tema 12
Compliance
Tema 12. Los documentos de

trabajo
Índice
Esquema
Ideas clave
12.2. La lista de comprobación
12.3. Los diagramas de flujo
12.4. Matriz de elementos, hojas de registro y archivo
A fondo
Las revisiones de Compliance
Marco de relaciones de auditoría interna con otras

funciones de aseguramiento
Documentando el modelo
Manual de procedimientos de auditoría interna
Test
Esquema
Compliance 3
Tema 12. Esquema
Ideas clave
continuación con la siguiente lectura: Bajo, J.C. (2017). Auditoría de sistemas de
gestión. Compliance (pp. 69-77). Pamplona: Aranzadi. Disponible aquí en virtud del
En el presente tema abordamos la cuestión relativa a la auditoría del modelo de
prevención de delitos, no tanto desde el planteamiento de preparar a la empresa u
organización para acometer un proceso de certificación, sino con el fin de ofrecer una
serie de nociones básicas sobre la utilidad y metodología de los procesos de análisis
interno como herramienta de gran utilidad para el control interno y para la trazabilidad
de la acción de Compliance.
Compliance 4
Ideas clave
12.2. La lista de comprobación
La lista de comprobación es el documento de trabajo base para el auditor, en ella
se fijan los requisitos que han de ser comprobados de acuerdo con el estándar en
concreto. En muchos casos el ítem de la lista será el propio requisito transformado
en pregunta pero además, una lista de comprobación bien diseñada deberá incluir
otras preguntas que van más allá de lo meramente indicado en el requisito.
Las preguntas deben ser formuladas de tal manera que la respuesta «Sí» indique
cumplimiento y la respuesta «No» muestre incumplimiento, pero se debe añadir
además una calificación con relación al grado de cumplimiento con adjetivos del tipo:
parcial, total, satisfactorio…
Tipos de listas de comprobación
Si bien el formato y orden de las preguntas de la lista de comprobación son factores
que corresponden al autor de la misma, existen tres sistemas habituales:
▸ Listas de comprobación por riesgos. Las preguntas se ordenan por grupos que
corresponden a los diferentes riesgos inherentes.
▸ Listas de comprobación departamentales. Las preguntas se ordenan con relación
a las distintas áreas en las que se organiza la empresa.
▸ Listas de comprobación por aspectos. Se agrupan las preguntas en función de los
distintos aspectos que debe cumplir el sistema.
Compliance 5
Ideas clave
Beneficios del uso de las listas de comprobación
▸ Beneficios para el auditor:
• Sirve como guía para la tarea de auditoría.
• Sirve como registro de los aspectos auditados.
• Sirve para procesos posteriores de auditoría.
▸ Beneficios para el auditado:
• Supone un factor de objetividad.
• Le informa de los aspectos que son o van a ser supervisados.
• Sirve como herramienta interna de control para la empresa.
Compliance 6
Ideas clave
12.3. Los diagramas de flujo
El diagrama de flujo es una potente herramienta de auditoría pero que requiere un
conocimiento muy profundo del sistema a auditar. Sirve para presentar una
secuencia cronológica de las distintas actividades desarrolladas. Tiene como
principal ventaja que ofrece una información muy gráfica y descriptiva pero también
el gran inconveniente de lo costoso de su elaboración.
Compliance 7
Ideas clave
12.4. Matriz de elementos, hojas de registro y

archivo
La matriz de elementos
Sirve para auditar el grado de implantación del sistema en cada una de sus áreas.
Las hojas de registro
Se utilizan para que el auditor tome nota de aspectos subjetivos pero que entiende
son de transcendencia para el proceso.
El archivo
Se utiliza para guardar todos los documentos generados durante el proceso de
auditoría. Más allá de la obvia necesidad de acometer esta tarea, el archivo resultará
de utilidad en caso de requerimiento judicial al respecto del modelo de Compliance y
también como herramienta de control interno y base de partida para auditorías
posteriores.
En esta lección magistral, Public compliance, profundizaremos en la brecha existente
entre la implementación de modelos de cumplimiento penal en el sector público y en
el privado, intentando analizar las razones y consecuencias.
Compliance 8
Ideas clave
Accede al vídeo:
https://unir.cloud.panopto.eu/Panopto/Pages/Embed.aspx?id=bc42246c-235c-
4fb7-9ec3-aecb00b3d763
Compliance 9
Ideas clave
Sandoval, H. (2012). Introducción a la Auditoría. México D.F.: Biblioteca Digital Red
Tercer Milenio.
Santillana, J.R. (2004). Fundamentos de auditoría. Madrid: Thomson.
Compliance 10
A fondo
Las revisiones de Compliance
Casanovas, A. (2015). Las revisiones de Compliance. Blog KPMG Cumplimiento
Legal.
https://home.kpmg.com/content/dam/kpmg/pdf/2015/11/Test_Compliance_11_revisio
nes_modelo_Compliance.pdf
El autor habla sobre la necesidad y utilidad de revisar el modelo de cumplimiento
penal y propone una serie de interesantes calves sobre el asunto.
Compliance 11
Tema 12. A fondo
A fondo
Marco de relaciones de auditoría interna con otras

funciones de aseguramiento
Del Olmo, O. (2013). Marco de relaciones de Auditoría interna con otras funciones de
aseguramiento. Guía práctica. Madrid: La fábrica de pensamiento. Instituto de
Auditores Internos de España.

https://auditoresinternos.es/uploads/media_items/fdp_aseguramiento-
dic2013.original.pdf
Práctico manual sobre la función de aseguramiento, función cuyo objetivo a nivel
global es la obtención de evidencias sobre el funcionamiento de los procesos

internos en relación con la gestión de riesgos y los sistemas de control, que aporta
una visión genérica muy interesante y que resulta de aplicación a los modelos de
Compliance.
Compliance 12
Tema 12. A fondo
A fondo
Documentando el modelo

https://www.youtube.com/watch?v=DpQp9_Tm-HE
Autor: KPMG.
Año: 2017.
El video trata el tema de la importancia de documentar el modelo de Compliance y
ofrece pautas sobre cómo estructurar adecuadamente tan importante función.
Compliance 13
Tema 12. A fondo
A fondo
Manual de procedimientos de auditoría interna

https://www.uba.ar/download/institucional/auditoria/manualAGUBA.PDF
Completo manual sobre la función y práctica de auditoría elaborado por la
Universidad de Buenos Aires. Aporta información de interés, en las páginas
señaladas, sobre técnicas de obtención de evidencias en auditoría y también sobre
herramientas de análisis de información.
Compliance 14
Tema 12. A fondo
Test
1. Cuando al auditor se le solicita la realización de una auditoría lo primero que
debe conocer es:
A. La estructura del Consejo de administración.
B. Los parámetros de valoración.
C. El estándar utilizado en el diseño del sistema a auditar.
D. La guía de implementación de controles.
2. Indica cuál de las siguientes afirmaciones no es cierta con respecto al proceso de
auditoría:
A. El auditor necesita un documento de trabajo que le permita realizar su
actividad de forma sistemática.
B. Es razonable que el auditor realice la auditoría utilizando como documento
de trabajo el propio estándar.
C. El auditor debe seleccionar, en cada caso, el documento de trabajo que
considere más adecuado.
D. Existen diversos tipos de documentos de trabajo que permiten realizar la
auditoría correctamente.
3. En cuanto a la lista de comprobación, diremos que:
A. Como documento de trabajo del compliance officer, fija los requisitos del
estándar que serán auditados.
B. Con el fin de extraer las conclusiones adecuadas, las cuestiones que
incluye deben dar respuesta a aspectos generales y poco concretos.
C. No debe incluir preguntas sobre criterios que no estén claramente

establecidos en la norma.
D. En muchos casos las cuestiones incluidas en la lista son los propios
requisitos transformados en pregunta.
Compliance 15
Tema 12. Test
Test
4. Indica cuáles de los siguientes son los distintos tipos de listas de comprobación:
A. Por riesgos, departamentales y por aspectos.
B. Por riesgos, departamentales y por intensidad.
C. Por riesgos, estructurales y por aspectos.
D. Por riesgos, por flujograma y departamentales.
5. Las listas de comprobación por riesgos:
A. Analizan los riesgos como un todo.
B. Se centran exclusivamente en los riesgos inherentes al órgano de
administración.
C. Ordenan las preguntas en grupos que responden a los diferentes riesgos.
D. Ordenan los riesgos para evitar que se materialicen.
6. Indica cuál de los siguientes aspectos no es un beneficio para el auditado
derivado del uso de listas de comprobación:
A. Garantía de objetividad.
B. Información sobre las líneas básicas de auditoría.
C. Sirve al auditado para sus propias auditorías.
D. Constituye una guía básica para la auditoría.
7. Indica cuál de los siguientes aspectos no es un beneficio para el auditor derivado
del uso de listas de comprobación:
A. Garantía de objetividad.
B. Guía básica para la auditoría.
C. Sirve para posteriores auditorías.
D. Registro de la auditoría.
Compliance 16
Tema 12. Test
Test
8. No es una ventaja de los diagramas de flujo el hecho de que:
A. Son muy gráficos y descriptivos.
B. Requieren un gran esfuerzo para su preparación.
C. Reflejan de forma rápida los incumplimientos del sistema.
D. Obligan a una búsqueda de evidencias lógica y sistemática.
9. La matriz de elementos por departamento:
A. Utiliza como inputs las hojas de registro.
B. Permite analizar el grado de implantación del sistema en cada uno de los
departamentos.
C. Se utiliza cuando se estructura el desarrollo de la auditoría interna de
forma departamental.
D. B y C son verdaderas.
10. Con respecto a las hojas de registro, se puede afirmar que:
A. Se usan para recoger información de tipo más subjetivo y que debe ser
tenida en cuenta en el proceso de auditoría.
B. No existe un formato estándar para confeccionarlas.
C. Deben ser guardadas con el resto de documentos de la auditoría.
D. Todas son ciertas.
Compliance 17
Tema 12. Test
Tema 13
Compliance
Tema 13. Compliance en

materia de prevención de
blanqueo de capitales y
Índice
Esquema
Ideas clave
13.2. El compliance en materia de prevención de

blanqueo de capitales y financiación de terrorismo
13.3. Entorno legal nacional e internacional
13.4. El compliance en materia de protección de datos
A fondo
Recomendaciones sobre las medidas de control interno

para la prevención del blanqueo de capitales y de la
financiación del terrorismo
Buenas prácticas: aplicación de listas de personas y

entidades sujetas a sanciones y contramedidas
financieras internacionales
Corrupción en las actividades económicas

internacionales. Indicadores de riesgo
Guía sobre el uso de videocámaras para seguridad y otras

finalidades
Conferencia sobre las claves del reglamento general de

protección de datos para abogados
Las 40 Recomendaciones del GAFI
Test
Esquema
Compliance 3
Tema 13. Esquema
Ideas clave
Para estudiar este deberás estudiar las Ideas clave que se proponen a continuación.
En el presente tema veremos de forma sencilla las cuestiones más esenciales que
afectan a las empresas en el cumplimiento legal o compliance de las obligaciones
dimanantes en materia de prevención de blanqueo de capitales y financiación del
terrorismo, así como en materia de protección de datos de carácter personal.
Compliance 4
Ideas clave
13.2. El compliance en materia de prevención de

blanqueo de capitales y financiación de terrorismo
Introducción
El cumplimiento legal en materia de prevención de blanqueo de capitales es una
cuestión esencial que afecta a las competencias de cualquier unidad de compliance
de una compañía que por su actividad se encuentra sujeta a las obligaciones que
impone el entorno legal sobre esta cuestión. Es imprescindible que una unidad de
compliance conozca las medidas de control que deben ejecutarse en la compañía en
materia de prevención de blanqueo.
El blanqueo de capitales puede definirse como aquella actividad que tienen como
objetivo la incorporación al tráfico económico legal de bienes que proceden de
conductas constitutivas de delito. En particular, la Ley 17/2010, de 28 de abril, de
Prevención del Blanqueo de Capitales y Financiación del Terrorismo, en su art. 1.2
considera blanqueo las siguientes actividades:
▸ La conversión o la transferencia de bienes, a sabiendas de que dichos bienes
proceden de una actividad delictiva o de la participación en una actividad delictiva,

con el propósito de ocultar o encubrir el origen ilícito de los bienes o de ayudar a
personas que estén implicadas a eludir las consecuencias jurídicas de sus actos.
▸ La ocultación o el encubrimiento de la naturaleza, el origen, la localización, la
disposición, el movimiento o la propiedad real de bienes o derechos sobre bienes, a

sabiendas de que dichos bienes proceden de una actividad delictiva o de la
participación en una actividad delictiva.
▸ La adquisición, posesión o utilización de bienes, a sabiendas, en el momento de la
recepción de los mismos, de que proceden de una actividad delictiva o de la

participación en una actividad delictiva.
Compliance 5
Ideas clave
▸ La participación en alguna de las actividades mencionadas en las letras anteriores,
la asociación para cometer este tipo de actos, las tentativas de perpetrarlas y el

hecho de ayudar, instigar o aconsejar a alguien para realizarlas o facilitar su
ejecución.
Se utilizan distintas expresiones para referirse al blanqueo de capitales tales como
«lavado» y su traducción a otros idiomas como al inglés money laundering tiene un
significado similar. De hecho, el término anglosajón money laundering tiene su origen
en Estados Unidos debido al modelo que usaba Al Capone a principios del siglo XX
para otorgar de apariencia legal a sus actividades delictivas de extorsión, tráfico de
armas y prostitución mediante una red de lavanderías donde se mezclaba dinero
legal con dinero procedente de estas actividades criminales.
Sujetos obligados en materia de prevención de blanqueo de capitales
Tienen la consideración de sujeto obligado las personas o entidades a las que se
refieren los artículos 2.1 y 2.5 de la Ley 10/2010, de 28 de abril, de prevención del
blanqueo de capitales y de la financiación del terrorismo.
Asimismo, se entienden sujetas a las obligaciones establecidas en la Ley 10/2010,
de 28 de abril, las personas o entidades no residentes que, a través de sucursales o
agentes o mediante prestación de servicios sin establecimiento permanente,
desarrollen en España actividades de igual naturaleza a las de las personas o
entidades mencionadas en los citados artículos.
Cuando las personas físicas actúen en calidad de empleados de una persona jurídica
o cuando le presten servicios permanentes o esporádicos, las obligaciones
impuestas por la ley recaerán sobre la persona jurídica respecto de los servicios
prestados.
Los sujetos obligados quedan sometidos, además, a las obligaciones establecidas en
la Ley 10/2010, de 28 de abril, respecto de las operaciones realizadas a través de
Compliance 6
Ideas clave
agentes u otras personas que actúen como mediadores o intermediarios de aquellos.
Son sujetos obligados los estipulados por la Ley (art. 2) 10/2010. Destacamos, entre
otros, los siguientes ejemplos: asesores fiscales y contables; Promotores y Agencias
Inmobiliarias; auditores de cuentas; notarios y registradores de la propiedad,
mercantiles y de bienes muebles, los casinos de juego, las fundaciones y las
asociaciones, las personas dedicas profesionalmente a la intermediación en la
concesión de préstamos o créditos.
Los sujetos obligados en materia de prevención de blanqueo de capitales deben
cumplir con una serie de obligaciones legales entre las que destacan: la diligencia
debida, las obligaciones de información y la adopción de medidas de control
interno.
La diligencia debida: medidas normales, simplificadas y reforzadas
Las obligaciones en materia de diligencia debida tienen por objeto la identificación y
conocimiento de aquellas personas físicas o jurídicas que pretendan establecer
relaciones de negocio con los sujetos obligados. Así, La Ley de Prevención del
Blanqueo de Capitales y de la Financiación del Terrorismo y su Reglamento,
aprobado por Real Decreto 304/2014, de 5 de mayo, prevén, en función del riesgo,
distintos niveles de aplicación de las medidas de diligencia debida.
En primer término, nos encontramos las medidas normales de diligencia debida
que exigen la identificación, por parte de los sujetos obligados, de quienes pretendan
establecer relaciones de negocio o intervenir en cualquier operación. Se deberá
exigir la presentación de documentos acreditativos de la identidad de los clientes,
habituales o no, en el momento de entablar relaciones de negocio o de efectuar
operaciones.
Tratándose de personas físicas, estas deberán presentar documento nacional de
identidad, permiso de residencia expedido por el Ministerio de Justicia e Interior,
Compliance 7
Ideas clave
pasaporte o documento de identificación válido en el país de procedencia que
incorpore fotografía de su titular, todo ello sin perjuicio de la obligación que proceda
de comunicar el número de identificación fiscal (NIF) o el número de identificación de
extranjeros (NIE), según los casos, de acuerdo con las disposiciones vigentes.
Asimismo, se deberán acreditar los poderes de las personas que actúen en su

nombre.
Tratándose de personas jurídicas, presentarán documento fehaciente acreditativo
de su denominación, forma jurídica, domicilio y objeto social, sin perjuicio de la
obligación que proceda de comunicar el número de identificación fiscal (NIF).
Asimismo, se deberán acreditar los poderes de las personas que actúen en su
nombre.
Cuando existan indicios o certeza de que los clientes o personas, cuya identificación
fuera preceptiva, no actúan por cuenta propia, el sujeto obligado recabará la
información precisa a fin de conocer tanto la identidad de los representantes,
apoderados y autorizados, como de las personas por cuenta de las que actúan.
Asimismo, los sujetos obligados deben identificar al titular real (entendiendo por tal
a la persona o personas físicas que, en último término, posean o controlen, directa o
indirectamente, un porcentaje superior al 25 % del capital o de los derechos de voto
de la sociedad o entidad o que a través de otros medios ejerzan el control, directo o
indirecto, de la gestión de una persona jurídica).
Los sujetos obligados deben, además, obtener información y realizar un seguimiento
continuo del propósito e índole prevista de la relación de negocios con sus clientes,
incluyendo el escrutinio de las operaciones efectuadas a lo largo de dicha relación.
En segundo término, nos encontramos las medidas simplificadas de diligencia
debida. Así pues, los sujetos obligados podrán aplicar, en los términos establecidos
en los artículos 9 y 10 de la Ley 10/2010, de 28 de abril, y en su normativa de
desarrollo, medidas simplificadas de diligencia debida respecto de aquellos clientes,
Compliance 8
Ideas clave
productos u operaciones que comporten un riesgo reducido de blanqueo de capitales
o de financiación del terrorismo.
En esta línea, los sujetos obligados podrán decidir si aplican una o varias de las
medidas de diligencia debida establecidas en el art. 17 del Reglamento: (i)
Comprobar la identidad del cliente o del titular real únicamente cuando se supere un
umbral cuantitativo con posterioridad al establecimiento de la relación de negocios;
(ii) reducir la periodicidad del proceso de revisión documental; (iii) reducir el
seguimiento de la relación de negocios y el escrutinio de las operaciones que no
superen un umbral cuantitativo; y (iv) no recabar información sobre la actividad
profesional o empresarial del cliente, infiriendo el propósito y naturaleza por el tipo de
operaciones o relación de negocios establecida.
En tercer y último término, las medidas de diligencia reforzada que esencialmente
exige a los sujetos obligados aplicar medidas de refuerzo en situaciones donde el
análisis de riesgo previo conduzca a casos de un mayor riesgo.
Son supuestos de aplicación de medidas reforzadas de diligencia debida: (i) servicios
de banca privada; (ii) operaciones de envío de dinero cuyo importe, bien singular,
bien acumulado por trimestre natural supere los 3.000 euros; (iii) operaciones de
cambio de moneda extranjera cuyo importe, bien singular, bien acumulado por
trimestre natural supere los 6.000 euros; (iv) relaciones de negocios y operaciones
con sociedades con acciones al portador, que estén permitidas conforme a lo
dispuesto en el artículo 4.4 de la Ley 10/2010, de 28 de abril; y, entre otras;
relaciones de negocio y operaciones con clientes de países, territorios o
jurisdicciones de riesgo, o que supongan transferencia de fondos de o hacia tales
países, territorios o jurisdicciones, incluyendo en todo caso, aquellos países para los
que el Grupo de Acción Financiera (GAFI) exija la aplicación de medidas de
diligencia reforzada.
Compliance 9
Ideas clave
Obligaciones de información: examen especial, comunicación por indicio y

sistemática
Los sujetos obligados examinarán con especial atención cualquier hecho u
operación, con independencia de su cuantía, que, por su naturaleza, pueda estar
relacionado con el blanqueo de capitales o la financiación del terrorismo reseñando
por escrito los resultados del examen. Asimismo, los sujetos obligados comunicarán
(comunicación por indicio), por iniciativa propia, al Sepblac cualquier operación,
incluso la mera tentativa, respecto al que exista indicio o certeza de que está
relacionado con el blanqueo de capitales o la financiación del terrorismo.
Sin perjuicio de lo establecido para aquellas operaciones sujetas a comunicación por
indicio, determinadas categorías de sujetos obligados deben comunicar
mensualmente al Sepblac ciertas operaciones (comunicación sistemática).
Medidas de control interno
Los sujetos obligados han de aprobar por escrito y aplicar políticas y procedimientos
adecuados en materia de diligencia debida, información, conservación de
documentos, control interno, evaluación y gestión de riesgos, garantía del
cumplimiento de las disposiciones pertinentes, comunicación y admisión de clientes,
con objeto de prevenir e impedir operaciones relacionadas con el blanqueo de
capitales o la financiación del terrorismo.
Los sujetos obligados deben designar como representante ante el Sepblac a una
persona residente en España que ejerza cargo de administración o dirección de la
sociedad y que será responsable del cumplimiento de las obligaciones de
información establecidas en la Ley 10/2010, de 28 de abril.
Podemos destacar, entre otras, las siguientes medidas de control interno:
▸ Análisis de riesgos por tipología de clientes, países…
▸ Políticas y procedimientos de control tales como un plan de compliance (aquí
Compliance 10
Ideas clave
englobaríamos políticas de conocimiento de clientes, sistemas de alerta y otros

protocolos).
▸ Un manual de prevención de blanqueo: los sujetos obligados deben aprobar un
manual de prevención del blanqueo que se mantendrá actualizado, con información

completa sobre las medidas de control interno adoptadas.
▸ El manual estará a disposición del Sepblac para el ejercicio de sus funciones de
supervisión e inspección.
▸ Nombramiento de órganos de control interno o compliance officer encargado de
verificar el cumplimiento del plan de compliance.
▸ Los sujetos obligados, cuyo volumen de negocios anual exceda de 50 millones de
euros o cuyo balance general anual exceda de 43 millones de euros contarán,

además, con una unidad técnica para el tratamiento y análisis de la información. La
unidad técnica deberá contar con personal especializado, en dedicación exclusiva y
con formación adecuada en materia de análisis
▸ Conservación de documentación: los sujetos obligados conservarán los
documentos y mantendrán registros adecuados de todas las relaciones de negocio y

operaciones, nacionales e internacionales, durante un período de diez años desde la
terminación de la relación de negocio o la ejecución de la operación ocasional. Los

registros deberán permitir la reconstrucción de operaciones individuales para que
puedan surtir, si fuera necesario, efecto probatorio.
▸ Examen Externo: Las medidas de control interno adoptadas por los sujetos
obligados serán objeto de examen anual por un experto externo. Los resultados del
examen se consignarán en un informe escrito que describirá las medidas de control
interno existentes, valorará su eficacia operativa y propondrá, en su caso,
eventuales rectificaciones o mejoras. No obstante, en los dos años sucesivos a la

emisión del informe, podrá ser sustituido por un informe de seguimiento, referido a la
adecuación de las medidas adoptadas para solventar las deficiencias identificadas.
Compliance 11
Ideas clave
▸ Plan de Formación: Los sujetos obligados deben adoptar medidas para que sus
empleados tengan conocimiento de las exigencias derivadas de la Ley 10/2010, de

28 de abril. A tal efecto, aprobarán un plan anual de formación en materia de
prevención del blanqueo de capitales y de la financiación del terrorismo.
Compliance 12
Ideas clave
Referencia internacional y comunitaria
El referente internacional de la normativa sobre prevención de blanqueo de capitales
son las 40 recomendaciones del GAFI. En 1990, el GAFI (Grupo de Acción
Financiera Internacional), un organismo intergubernamental, elaboró las llamadas 40

recomendaciones cuyo objetivo era determinar presupuestos básicos a aplicar por
los estados de cara a mejorar sus sistemas de prevención de blanqueo de capitales.
Las recomendaciones se han ido revisando posteriormente por el GAFI en distintas
ocasiones. Durante 1991 y 1992 el GAFI amplió sus miembros de los 16 países
originales a 20 y posteriormente este número ha ido creciendo.
Otros grupos de carácter internacional que velan por el cumplimiento en materia de
prevención de blanqueo de capitales, entre otros, son los siguientes:
▸ Grupo de Acción Financiera del Caribe (Gafic).
▸ Grupo de Acción Financiera de Latinoamérica (Gafilat).
▸ Grupo Eurasia (EAG, por sus siglas en inglés).
▸ Grupo Asia-Pacífico sobre el Blanqueo de Capitales (APG, por sus siglas en inglés).
▸ Grupo de Acción Financiera del Medio Oriente y África del Norte (Gafimoan).
▸ Grupo Intergubernamental de Acción contra el Blanqueo de Capitales de África
Occidental (Giaba, por sus siglas en francés).
▸ Grupo de Acción contra el Blanqueo de Capitales de África Central (Gabac, por sus
siglas en francés).
▸ Grupo Antiblanqueo de África Oriental y Austral (ESAAMLG, por sus siglas en
inglés).
Compliance 13
Ideas clave
A nivel comunitario, existen varias directivas en materia de prevención de blanqueo
de capitales. Destacamos, entre otras, la Directiva 91/308/CEE (ya derogada), la
Directiva 2005/60/CE, la Directiva 2006/70/CE, el Reglamento 1889/2005, la
Directiva 2015/849 (cuarta directiva) y la Directiva 2018/843 (quinta directiva) del
Parlamento y del Consejo de 30 de mayo por la que se modifica la cuarta directiva
relativa a la prevención de la utilización del sistema financiero para el blanqueo de
capitales o la financiación del terrorismo. Resultan principales novedades de la 5ª
Directiva:
▸ Nuevos sujetos obligados a la normativa
▸ Criterios para la elaboración de listas de países de riesgo por la UE.
▸ Refuerzo y armonización a nivel de la UE de las medidas reforzadas de diligencia
debida a aplicar a relaciones de negocio y operaciones vinculadas con países de
riesgo.
▸ Endurecimiento de las medidas a aplicar a instrumentos de prepago.
▸ Registros centrales de titularidades reales.
▸ Refuerzo de la protección de los empleados o representantes que comuniquen
operaciones sospechosa.
Referencia nacional
A nivel español, es de obligado cumplimiento señalar la Ley 10/2010, de 28 de abril
de prevención del blanqueo de capitales y de la financiación del terrorismo.
Además, destaca el Real Decreto 304/2014, de 5 de mayo, por el que se aprueba el
Reglamento de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de
capitales. Aunque existen otras normas administrativas centradas en la prevención
en esta materia, es también crucial el sistema represivo de estas conductas
establecido en el Código Penal que en el art. 301 tipifica como delito el blanqueo
Compliance 14
Ideas clave
de capitales.
Son actores esenciales en el panorama español en materia de prevención de
blanqueo de capitales: la Comisión de Prevención del Blanqueo de Capitales e
Infracciones Monetarias (la Comisión), que es, dependiendo de la Secretaria de
Estado de Economía, considerado el máximo responsable del desarrollo de la
política preventiva y de la lucha contra el blanqueo de capitales en España.
Es fundamental también el Servicio Ejecutivo de la Comisión (SEPBLAC) que es
un órgano independiente de la Comisión que actúa en función de la directrices
elaboradas y aprobadas por el Comité Permanente de la Comisión y del Plan Anual
de Inspección. Por último, también destaca la Secretaria de la Comisión y el
Comité de Inteligencia Financiera.
Compliance 15
Ideas clave
13.4. El compliance en materia de protección de

datos
Introducción
Como la prevención del blanqueo de capitales y financiación del terrorismo, el
cumplimiento en materia de protección de datos es una de las mayores
preocupaciones de cualquier unidad de compliance legal de una empresa.
La protección de las personas físicas en relación con el tratamiento de datos
personales es un derecho fundamental protegido por el artículo 18.4 de la
Constitución española. A modo introductorio, debemos sentar como base inicial que
por dato de carácter personal se entiende cualquier información referida a
personas físicas (no jurídicas) identificadas o identificables: nombre y apellidos,
dirección, teléfono, DNI, número de la seguridad social, fotografías, firmas, correos
electrónicos, datos bancarios, edad y fecha de nacimiento, sexo, nacionalidad, etc.
Es decir, datos personales son todos aquellos que permiten identificar a una
determinada persona. El nuevo Reglamento ha incluido como dato de carácter
personal los datos de contacto de las personas físicas que prestan servicios en las
personas jurídicas, cargo, mail corporativo, teléfono corporativo…
Normalmente, a la hora de mencionar estos datos se habla de ficheros, ya sean
automatizados (en soporte informático) o no automatizados (en soporte físico o
papel). Los ficheros son todo conjunto organizado de datos de carácter
personal (por ejemplo, fichero de clientes, fichero de proveedores donde figuran los
datos personales de los proveedores o fichero de currículums, etc.). El tratamiento
de los datos son operaciones y procedimientos que permitan, entre otras, la
recogida, grabación y conservación de los datos. Existe la figura de un
responsable del fichero o tratamiento de los datos. Es decir, existe la figura de un
responsable del fichero o del tratamiento (borrar de los datos) y de un encargado
Compliance 16
Ideas clave
del fichero o del tratamiento. Estas figuras pueden coincidir en la misma persona.
Obligaciones
Todas aquellas personas físicas o jurídicas que tengan alguno de estos datos de
carácter personal, ya sea de clientes, usuarios o visitantes, empleados, proveedores,
etc. ya sea en soporte informático o en papel, deben cumplir las obligaciones que
resumimos brevemente a continuación:
Calidad de los datos
Los datos de carácter personal solo se podrán recoger cuando sean adecuados y no
excesivos en relación con el ámbito y las finalidades determinadas, explícitas y
legítimas para las que se hayan obtenido. Obviamente, los datos no podrán usarse
para finalidades incompatibles con aquellas para las que fueron recogidos. Los datos
tienen que ser exactos, por tanto, si fuera necesario, habrá que actualizarlos. Se
recoge el deber de confidencialidad, tanto para el responsable del tratamiento de los
datos como para todo aquel que intervenga en el proceso.
Derecho de información en la recogida de datos
En los formularios, cuestionarios u otros impresos utilizados para la recogida de
datos figurarán en los mismos, en forma claramente legible, la siguiente información:
▸ De la existencia de un fichero o tratamiento de datos de carácter personal, de la
finalidad de la recogida de estos y de los destinatarios de la información.
▸ Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean
planteadas.
▸ De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
▸ De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y
oposición. Limitación al tratamiento.
▸ De la identidad y dirección del responsable del tratamiento o, en su caso, de su
Compliance 17
Ideas clave
representante.
Consentimiento del afectado
El tratamiento de los datos de carácter personal requerirá el consentimiento
inequívoco del afectado, salvo que la ley disponga otra cosa. El consentimiento
podrá ser revocado cuando exista causa justificada para ello. En definitiva, es
necesario el consentimiento expreso del titular de los datos para poder recabarlos y
usarlos.
Deber de secreto
El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de
los datos de carácter personal están obligados al secreto profesional respecto de los
mismos y al deber de guardarlos, obligaciones que subsistirán incluso después de
finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del
mismo.
Comunicación o cesión de datos
Los datos de carácter personal solo podrán ser comunicados o cedidos a un tercero
para el cumplimiento de fines directamente relacionados con las funciones legítimas
del cedente y del cesionario con el previo consentimiento del interesado. Por lo tanto,
para ceder los datos personales, es necesario que se den los dos requisitos
anteriores, incluido el consentimiento del interesado.
Acceso a los datos por cuenta de terceros (Encargo de tratamiento)
Como indicábamos anteriormente en el ejemplo de la asesoría, es posible que un
tercero, diferente del responsable del fichero, sea el que realice el tratamiento de los
datos. En estos casos se exige que exista un contrato de encargo de tratamiento
entre el responsable (Empresa X) y el encargado del tratamiento (asesoría), en el
que se indique la forma de tratar los datos y las medidas de seguridad a adoptar.
Derechos de las personas
Compliance 18
Ideas clave
Los derechos de la persona sobre sus datos personales la legislación española
remite a la normativa europea. Se establecen los siguientes derechos: (i) derecho a
rectificar tus datos inexactos o incompletos; (ii) derecho de oposición al tratamiento
de los datos; (iii) derecho a suprimir tus datos si se usan para fines ilícitos o llega a
término la finalidad para la que fueron recabados; (iv) derecho a conocer para qué
van a ser usados y el plazo de uso de los mismos; (v) derecho a solicitar la
suspensión del tratamiento de tus datos, la conservación y la portabilidad de los

mismos.
Seguridad de los datos
El responsable del fichero y, en su caso, el encargado del tratamiento deberán
adoptar las medidas de índole técnica y organizativas necesarias que garanticen la
seguridad de los datos de carácter personal y eviten su alteración, pérdida,
tratamiento o acceso no autorizado.
Notificación de ficheros
La inscripción de ficheros de datos de carácter personal ante la Agencia Española de
Protección de Datos (AEPD) dejó de ser obligatoria a partir del 25 de mayo de 2018,
fecha en la que el nuevo Reglamento General de Protección de Datos pasó a ser de
cumplimiento obligado. Ahora es necesario realizar un registro de actividad bajo la
responsabilidad de cada responsable de tratamiento.
En este registro se deberán recoger la naturaleza de los datos que recoge, el
propósito con el que los trata, si los transfiere o no a terceros países, con quién los
comparte y las medidas de seguridad que emplea.
Compliance 19
Ideas clave
Nivel nacional y europeo
El marco legal español lo configuraba, como punto de partida, la Ley orgánica
15/1999 de 13 de diciembre, de Protección de Datos de Carácter Personal. No
obstante, tras la entrada en vigor del Reglamento General en materia de Protección

de Datos, el pasado 25 de mayo de 2018, Reglamento (UE) 2016/679 del
Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la
protección de las personas físicas en lo que respecta al tratamiento de sus datos
personales y a la libre circulación de estos datos y por el que se deroga la Directiva
95/46/CE), muchos aspectos quedaban sin concretar y debían ser objeto de
regulación por parte de cada uno de los Estados miembros.
A tal fin, se aprobó en España el Real Decreto 5/2018, de 27 de julio, de medidas
urgentes para la adaptación del Derecho español a la normativa de la Unión Europea
en materia de protección de datos. Recientemente, dicho real decreto ha quedado
derogado mediante la aprobación de Ley Orgánica 3/2018, de 5 de diciembre, de
Protección de Datos Personales y garantía de los derechos digitales.
Esencialmente, los cambios introducidos por el Reglamento General de la UE de
Protección de Datos (RGPD) y adaptados a ley española en virtud de la Ley
Orgánica 3/2018 consisten, entre otros, en exigir al responsable del tratamiento que
aplique las medidas técnicas y organizativas apropiadas para garantizar y poder
demostrar que el tratamiento es conforme con el Reglamento. Y el segundo, el
enfoque de riesgo recoge expresamente que las medidas dirigidas a garantizar su
cumplimiento deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines
del tratamiento, así como el riesgo para los derechos y libertades de las personas.
Compliance 20
Ideas clave
Derechos
En cuanto a los derechos, en la LOPD se reconocen derechos de acceso,
rectificación, cancelación y oposición (ARCO). Con el RGPD se mantienen los
derechos reconocidos como ARCO, si bien se modifica el procedimiento de los
mismos para ejercerlos estableciéndose condiciones concretas y además se regulan
nuevos derechos. Partiendo del principio de transparencia, en el RGPD se recalca

que el procedimiento debe ser visible, accesible y sencillo. Los responsables tienen
la obligación de facilitar y garantizar a las personas interesadas el ejercicio de sus
derechos, permitiendo que se puedan presentar solicitudes mediante medios
electrónicos.
El ejercicio de los derechos será gratuito salvo excepciones de solicitudes infundadas
o excesivas. El responsable deberá informar al interesado sobre las actuaciones
derivadas de su petición en el plazo de un mes que podría ampliarse hasta dos, si el
responsable decidiera no atender una solicitud deberá informar de la negativa en un
plazo de un mes. En el derecho de acceso se ha introducido una modificación que
valoramos positivamente. Se reconoce el derecho a obtener una copia de los datos
personales objeto del tratamiento, antes se facilitaban los datos de base del
afectado, pero no copias o documentos (excepto en el caso de la historia clínica).
Por otra parte, en el RGPD se regulan nuevos derechos: el derecho al olvido, el
derecho a la portabilidad de los datos y el derecho a la limitación de tratamiento.
El primero de ellos, derecho al olvido, permite al interesado, en determinados casos,
obtener sin dilación indebida del responsable del tratamiento de datos (RTD) la
supresión de los datos personales que le conciernan, lo que vendría a ser como los
derechos de oposición y cancelación reforzados y garantizados en el entorno de
Internet. Es la consecuencia de la aplicación del derecho al borrado.
Compliance 21
Ideas clave
Otro derecho, es el derecho a la portabilidad de los datos, que permite al interesado
recibir los datos personales que le incumban. Además, tendrá derecho a que los
datos personales se transmitan directamente de responsable a responsable cuando
sea técnicamente posible. Este derecho facilita la contratación electrónica y el
cambio de proveedor de servicios, simplificando el traslado de los datos y garantiza
que el proveedor anterior no retenga los datos del interesado.
El derecho a la limitación de tratamiento es un nuevo derecho donde aún existen
cuestiones inconclusas que se irán perfilando. Este derecho supone que, a petición
del interesado, este último tiene la potestad de solicitar y obtener del responsable de
tratamiento de datos una limitación del tratamiento de sus datos personales cuando
concurran en inexactitud, ilicitud, oposición o reclamación. El responsable de datos
informará al interesado cuando deje de aplicar la limitación de datos. No debe
confundirse con el bloqueo de datos que existe en la legislación española.
Cambios y obligaciones de control en el seno de las empresas. El Delegado

de Protección de Datos
Con el RGPD, son distintos los cambios y las obligaciones de control que tendrán
lugar en el seno de la empresa. Entre ellas, deberán incorporar la figura del
Delegado de Protección de Datos, llevar un registro de actividades de tratamiento y
realizar una evaluación de impacto de tratamiento de datos.
El delegado de protección de datos (DPD) será el encargado de asesorar sobre
todos los asuntos en materia de protección de datos. Asimismo, supervisará el
cumplimiento de la normativa aplicable y, si se diese el caso, cooperar con las
autoridades y actuar como punto de contacto en caso de que se plantee alguna
cuestión relacionada con la privacidad.
Este punto del Reglamento europeo había creado mucha confusión ya que no
quedada claro cuándo no era obligatorio tener un DPD. La nueva Ley española
3/2018 establece hasta 16 casos concretos en los que, de manera taxativa, se exige
Compliance 22
Ideas clave
su existencia. Entre otros: colegios profesionales, centros de enseñanza,
establecimientos financieros de créditos, aseguradoras, empresas de servicios de
inversión…
Los Delegados tienen que ser conocidos por la Agencia de Protección de Datos
española y/ o, en su caso, las autoridades autonómicas de protección de datos.

Ambos organismos están obligados a tener una lista actualizada de esos delegados.
Que, a su vez, están obligados a poseer una titulación universitaria que acredite los
conocimientos especializados en el derecho y la práctica en materia de protección de
datos. El delegado de protección de datos actuará como interlocutor del responsable
o encargado del tratamiento ante la Agencia Española de Protección de Datos y las
autoridades autonómicas de protección de datos.
Los registros de actividades serán realizados tanto por los responsables como por
los encargados de tratamiento, se hará por escrito y con información detallada
acerca de cada operación de tratamiento de datos que realicen; y, por último, las
evaluaciones de impacto se llevarán a cabo en los supuestos en los que un
tratamiento entrañe un alto riesgo para los derechos y libertades de las personas
físicas, en especial, por el uso de nuevas tecnologías.
El ámbito de aplicación del Reglamento, como hasta ahora, se aplicará a
responsables o encargados de tratamiento de datos establecidos en la UE y se
amplía a responsables y encargados de datos no establecidos en la UE, siempre que
estos realicen tratamientos derivados de una oferta de bienes o servicios destinados
a ciudadanos de la Unión Europea.
Sanciones
Una de las cuestiones que está generando más debate y controversia es la
diferencia exponencial de la cuantía de las sanciones en el Reglamento. No se
establecen cuantías mínimas, las máximas son mucho más elevadas, pudiendo
Compliance 23
Ideas clave
alcanzar los 20 millones de euros, en función del artículo que haya sido vulnerado.
Las sanciones impuestas sobre infracciones tendrán en cuenta para la aplicación de
las mismas el volumen de negocio total anual de la empresa sancionada.
No obstante, el régimen legal español (Ley de 3/2018) en relación con las

infracciones realiza la siguiente distinción:
▸ Muy graves: las que supongan una vulneración sustancial del tratamiento y tengan
que ver con el uso de los datos para una finalidad diferente de la anunciada, la
omisión del deber de informar al afectado, la exigencia de un pago para poder
acceder a los datos propios almacenados, transferencia internacional de información
sin garantías… Este tipo de infracción prescribe a los 3 años.
▸ Graves: las que supongan una vulneración sustancial del tratamiento y tengan que
ver con datos de un menor recabados sin consentimiento, falta de adopción de

medidas técnicas y organizativas necesarias para la efectiva protección de datos o,
por ejemplo, el incumplimiento de la obligación de nombrar responsable o encargado
de tratamiento de datos. Este tipo de infracción prescribe a los 2 años.
▸ Leves: las restantes que no queden contempladas en los grupos anteriores.
Prescribirán al año y se refieren a casos como la no transparencia de la información,

el incumplimiento de no informar al afectado cuando lo haya solicitado o, por
ejemplo, el incumplimiento por parte del encargado de sus obligaciones.
Además, para aplicar una u otra sanción también se tendrán en cuenta
circunstancias como el carácter continuado de la infracción, la vinculación de la
actividad del infractor con el tratamiento, la afectación a los derechos de los
menores, etc.
En esta lección magistral, Cómo crear un Departamento de Compliance de PBC,
veremos cómo crear un Departamento de Compliance de prevención de blanqueo de
capitales.
Compliance 24
Ideas clave
Accede al vídeo:
https://unir.cloud.panopto.eu/Panopto/Pages/Embed.aspx?id=c841cbc3-8cb6-
4612-a5e2-aecb00b596f9
Compliance 25
Ideas clave
Aliaga, J. A. (2010). Normativa Comentada de Prevención del Blanqueo de Capitales,
La Ley. Revista de Derecho Universidad Católica del Norte, 18(2), 435-439.
Galvez-Bravo, R. (2014). Los modus operandi en las operaciones de blanqueo de
capitales. Bosch.
Juanes, Á. (2017). Compliance Penal, Normas sobre prevención de blanqueo de
capitales. Madrid: Lefebvre.
Martínez-Carande, J. L. (2014). La conservación de documentos en el nuevo
reglamento de prevención del blanqueo de capitales. El artículo 29 del Real Decreto
304/2014, una puerta al caos documental. Diario La Ley, 8354.
Morales, A. (2017). El sistema de prevención de blanqueo de capitales y financiación
del terrorismo. Diario La Ley, 8908.
Recio, M. (2017). Directrices del GT29 sobre el delegado de protección de datos:
figura clave para la responsabilidad («accountability»). Diario La Ley, 2.
Saiz-Peña, C. (2015). Compliance, Como Gestionar los riesgos normativos de la
empresa. Prevención de Blanqueo de Capitales. Aranzadi.
Compliance 26
A fondo
Recomendaciones sobre las medidas de control

interno para la prevención del blanqueo de
capitales y de la financiación del terrorismo
Accede al documento a través de la siguiente dirección web:

https://www.sepblac.es/wp-
content/uploads/2018/03/recomendaciones_sobre_medidas_de_control_interno_pbcf
t.pdf
El objetivo de estas recomendaciones es precisamente facilitar a los sujetos
obligados el cumplimiento de la obligación de disponer de políticas, procedimientos y
manuales adecuados en materia de prevención del blanqueo de capitales y de la
financiación del terrorismo. Las recomendaciones han sido elaboradas por el
SEPBLAC.
Compliance 27
Tema 13. A fondo
A fondo
Buenas prácticas: aplicación de listas de personas

y entidades sujetas a sanciones y contramedidas
financieras internacionales

content/uploads/2018/03/aplicacion_de_listas_de_personas_y_entidades_sujetas_a_
sanciones_y_contramedidas_financieras_internacionales.pdf
Se trata de un documento elaborado por el SEPBLAC que contiene una serie de
buenas prácticas y recomendaciones para la aplicación práctica de listas de
sanciones y contramedidas financieras internacionales, aplicables, tanto a los
clientes, como a las personas con las que se realizan operaciones
Compliance 28
Tema 13. A fondo
A fondo
Corrupción en las actividades económicas

internacionales. Indicadores de riesgo
content/uploads/2018/03/corrupcion_en_las_actividades_economicas_internacionale
s_indicadores_de_riesgo.pdf
Se trata de un documento elaborado por el SEPBLAC que incluye indicadores de
riesgo con objeto de facilitar a los sujetos obligados el cumplimiento de las
obligaciones que, en relación con la corrupción en las actividades económicas

internacionales, se derivan de la Ley 10/2010, de 28 de abril.
Compliance 29
Tema 13. A fondo
A fondo
Guía sobre el uso de videocámaras para seguridad

y otras finalidades
https://www.aepd.es/media/guias/guia-videovigilancia.pdf
Se trata de un documento publicado por la Agencia Española de Protección de Datos
que aclara las obligaciones en materia de protección de datos que supone el uso de
videocámaras para seguridad.
Compliance 30
Tema 13. A fondo
A fondo
Conferencia sobre las claves del reglamento

general de protección de datos para abogados
https://www.youtube.com/watch?v=8Avm84y9gOk
El conferenciante, Pedro Rodríguez López de Lemus., habla sobre las cuestiones
prácticas más esenciales del nuevo reglamento en materia de protección de datos de
carácter personal.
Compliance 31
Tema 13. A fondo
A fondo
Las 40 Recomendaciones del GAFI

https://www.cfatf-gafic.org/index.php/es/documentos/gafi40-recomendaciones
Es fundamental conocer las 40 recomendaciones que ha elaborado en materia de
prevención de blanqueo de capitales.
Compliance 32
Tema 13. A fondo
Test
1. ¿Cuál de las siguientes afirmaciones es correcta?
A. Los sujetos obligados deben conservar durante 15 años la documentación
acreditativa del cumplimiento de las medidas de prevención de blanqueo de
capitales.
B. Los sujetos obligados deben conservar durante 5 años la documentación
capitales.
C. Los sujetos obligados deben conservar durante 10 años la documentación
capitales.
A. Las medidas de control interno adoptadas por los sujetos obligados serán
objeto de examen anual por un experto externo.
B. Las medidas de control interno adoptadas por los sujetos obligados serán
objeto de examen anual por un experto externo, pero en los dos años
sucesivos el informe podrá ser sustituido por un informe de seguimiento sobre
deficiencias detectadas.
C. Las medidas de control interno adoptadas por los sujetos obligados serán
objeto de un examen cada dos años, sin perjuicio de la potestad discrecional
de realizarlo cada año.
Compliance 33
Tema 13. Test
Test
A. Los sujetos obligados, cuyo volumen de negocios anual exceda de 50
millones de euros o cuyo balance general anual exceda de 43 millones de
euros, contarán, además, con una unidad técnica para el tratamiento y
análisis de la información.
B. No todos los sujetos obligados deben contar con una unidad técnica.
C. Los sujetos obligados, cuyo volumen de negocios anual exceda de 20
millones de euros o cuyo balance general anual exceda de 43 millones de
euros, contarán, además, con una unidad técnica para el tratamiento y
análisis de la información.
A. El titular real es la persona o personas físicas que, en último término,
posean o controlen, directa o indirectamente, un porcentaje superior al 25 %
del capital o de los derechos de voto de la sociedad o entidad o que a través
de otros medios ejerzan el control, directo o indirecto, de la gestión de una
persona jurídica.
B. El titular real es la persona o personas físicas que, en último término,
persona jurídica.
C. El titular real es la persona o personas físicas que, en último término,
persona jurídica.
Compliance 34
Tema 13. Test
Test
A. Los sujetos obligados comunicarán (comunicación por indicio) por iniciativa
propia al Sepblac cualquier operación, solo las consumadas, respecto al que
exista indicio o certeza de que está relacionada con el blanqueo de capitales
o la financiación del terrorismo.
B. Los sujetos obligados comunicarán (comunicación por indicio) por iniciativa
propia al Sepblac cualquier operación, incluso la mera tentativa, respecto a la
que exista indicio o certeza de que está relacionada con el blanqueo de
capitales o la financiación del terrorismo.
C. Los sujetos obligados comunicarán (comunicación por indicio) por iniciativa
propia a la Policía cualquier operación respecto a la que exista indicio o
certeza de que está relacionada con el blanqueo de capitales o la financiación
del terrorismo.
A. Son sujetos obligados en materia de prevención de blanqueo de capitales,
entre otros, los asesores fiscales y contables, promotores y agencias
inmobiliarias y auditores de cuentas.
B. Solo son sujetos obligados en materia de prevención de blanqueo de
capitales las entidades financieras y las aseguradoras.
C. Son sujetos obligados en materia de prevención de blanqueo de capitales,

entre otros, los asesores fiscales y contables, promotores y agencias
inmobiliarias y hoteles.
Compliance 35
Tema 13. Test
Test
A. El delegado de protección de datos no interactúa con la Agencia Española
de Protección de Datos.
B. El delegado de protección de datos actuará como interlocutor del
responsable o encargado del tratamiento ante la Agencia Española de
Protección de Datos y las autoridades autonómicas de protección de datos.
C. El delegado de protección de datos solo interactúa con las autoridades

autonómicas de protección de datos, pero no con la Agencia Española de
Protección de Datos.
A. Las infracciones graves en materia de protección de datos prescribe a los 2
años.
B. Las infracciones leves en materia de protección de datos prescribe a los 3
años.
C. Las infracciones leves en materia de protección de datos prescriben al año.
A. En el RGPD se regulan nuevos derechos: el derecho al olvido, el derecho a
la portabilidad de los datos y el derecho a la limitación de tratamiento.
B. En el RGPD se regulan nuevos derechos: el derecho al olvido y el derecho
a la portabilidad de los datos.
C. A y B son incorrectas.
Compliance 36
Tema 13. Test
Test
10. Por dato de carácter personal se entiende cualquier información referida a
personas físicas y personas jurídicas identificadas o identificables: nombre y
apellidos, dirección, teléfono, DNI, número de la seguridad social, fotografías, firmas,
edad y fecha de nacimiento, sexo, nacionalidad, etc.
A. Verdadero.
B. Falso.
Compliance 37
Tema 13. Test

Compliance

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Compliance

Cargado por

Copyright:

Formatos disponibles

Tema 1

Tema 1. Entorno genérico de

1.1. ¿Cómo estudiar este tema?

1.2. Principios y directrices de la OCDE

1.3. Las normas de estandarización nacionales e

1.4. Referencias bibliográficas

Superestructuras de Compliance: el estándar global

Norma UNE 19601

UNE 19 601 Compliance Penal

Modelo COSO 2013

OCDE (2004) Principios de gobierno Corporativo

1.1. ¿Cómo estudiar este tema?

complementar los contenidos con las siguientes lecturas: Casanovas, A. (2012).

Legal Compliance. Principios de cumplimiento generalmente aceptados (pp. 61-92).

Casanovas, A. (2018). El estándar nacional sobre compliance penal: UNE 19601,

Compliance avanzado – 8. KPMG. Disponible en:

En el tema 1 analizaremos el origen de los principios relativos a modelos de gestión

basados en gobernanza corporativa y entornos de cumplimiento. Repasaremos los

aspectos esenciales de dichos entornos y las metodologías que se aplican para su

desarrollo en el seno de la organización o empresa.

internacionales juegan al respecto. Conoceremos cuáles son las más signiﬁcativas,

los aspectos esenciales de su contenido y su utilidad en la materia.

1.2. Principios y directrices de la OCDE

El convenio fundacional de la Organización para la Cooperación y el Desarrollo

Económico (OCDE), ﬁrmado en París el 14 de diciembre de 1960, y que entró en

vigor el 30 de septiembre de 1961 contempla como uno de sus objetivos primordiales

la contribución a la «sana expansión económica» de los Estados. Para la

el paso del tiempo se han convertido en auténticos modelos de funcionamiento para

empresas y organizaciones en el ámbito internacional.

Principios de Gobierno Corporativo

En 1999 emitió los denominados Principios de Gobierno Corporativo. Concebidos

inicialmente como recomendaciones generales sobre gobernanza, constituyen el

entorno genérico mayoritariamente aceptado para la gestión del cumplimiento al

abordar cuestiones tales como los procesos decisorios en materias

Si bien no reconocen la existencia de un único modelo de gobierno corporativo,

establecen principios de gran valor para la adopción de prácticas de buen gobierno

que han constituido históricamente la base de referencia para la legislación de los

No se trata de un texto especíﬁcamente centrado en Compliance, pero aborda

de la información financiera y el cumplimiento normativo.

Líneas directrices para empresas multinacionales

estados miembros. La cuestión se plasma en la Declaration on International

Investment and Multinational Enterprises. Como parte de dicha declaración vieron la

recomendaciones para llevar a cabo negocios de forma responsable con el ﬁn de

constituyen referencia obligada para las multinacionales, y su contenido determina

Se estructuran en torno a una serie de bloques de cumplimiento normativo muy

hace referencia no solo al comportamiento de la propia multinacional, sino también a

la necesidad de vigilar el comportamiento de sus proveedores.

También se señala la necesidad de que las empresas y organizaciones dispongan de

sistemas de cumplimiento, y a que den a conocer información sobre el mismo.

Una parte esencial de cualquier sistema de cumplimiento la constituyen los

denominados entornos de control. Surgen en los años 90, centrados en la

deﬁnición de procedimientos de control interno. Su importancia crece en el siglo XXI,

fruto de los grandes escándalos de corrupción como el de la americana ENRON.

De entre todos los existentes es mayoritariamente aceptada la metodología

desarrollada por el Committee of Sponsoring Organizations (COSO). COSO se

centra en el control interno en el ámbito de la información ﬁnanciera. No obstante, si

bien el modelo solo es aplicable en aquellos ámbitos directamente relacionados con

▸ COSO. Aspectos esenciales

El entorno deﬁnido por COSO ha devenido con el tiempo en el estándar por

excelencia en cuanto a control interno. Deﬁne un marco integrado de control

genérico que se basa en la existencia de información ﬁable. Se estructura en torno a

una matriz de tres dimensiones:

el que una organización controla sus riesgos y oportunidades.

• Aplicación/evaluación: las dos dimensiones anteriores deben aplicarse tanto