Guía para La Implantación Del Compliance en La Emp... - (Capítulo 7) PDF

capÍtulo 7
Diseño de un sistema de Compliance
Iñigo Gómez Berruezo

Abogado.
Director de GOBERCOM ABOGADOS
IntroduCCIón
En el presente capítulo se abordan de forma práctica y en base a

los estándares establecidos y la experiencia personal como consultor, las
prácticas, actividades, enfoque y metodología para la determinación de la
salud delictual de una organización, su mapa de riesgos y, en definitiva, la
foto fija o punto de partida desde el cual se implementaran las medidas,
controles y todas las actividades de monitorización, mejora continua y
generación de la «cultura de cumplimento» de la persona jurídica.
Se enfoca este estudio desde el punto de vista práctico si bien no per-
Copyright © 2017. Wolters Kluwer España. All rights reserved.
deremos de vista las alusiones a datos y conceptos teóricos que fundamen-

tan el sustrato de la identificación de los riesgos penales de una empresa.
El motivo de abordar este estudio desde una perspectiva eminentemente
práctica persigue ayudar a los profesionales e iniciados en materia de Com-
pliance penal en las labores consultoras para determinar el mapa de riesgos
penales y lo que es más importante, su identificación en las actividades
que se desempeña una organización.
Las conclusiones, consejos e indicaciones recogidas en este estudio no
son, indiscutibles, inmejorables ni por supuesto constituyen dogma de fe.
Tampoco se puede predicar lo contrario de muchos otros enfoques. Qui-
zás la reciente norma UNE 19601 y su prima hermana (ISO 37001) van
a ayudar, dada su naturaleza y finalidad estandarizadora, a determinar me-
todología y procesos comúnmente aceptados para llevar a cabo esta labor.
Si al final de este breve estudio hubiera podido arrojar algo de luz en
este proceloso y no siempre bien iluminado camino, daré por bien em-
pleado el tiempo y esfuerzo.
Puyol, Javier. <i>Guía para la implantación del compliance en la empresa</i>, Wolters Kluwer España, 2017. ProQuest
Ebook Central, http://ebookcentral.proquest.com/lib/elibrorafaellandivarsp/detail.action?docID=5350368.
Created from elibrorafaellandivarsp on 2019-05-16 08:54:44.
210 Guía para la implantación del Compliance en la empresa
La reforma del Código Penal operada en marzo de 2015 propuso una

breve e inusitada «vacatio legis» de apenas 3 meses y así, con fecha 1 de julio
de 2015 entraba en vigor el texto que incluía una profunda reforma –o
más bien extenso desarrollo– del art. 31 bis del Código Penal.
Según el preámbulo de la reforma, la modificación del 31 bis obedecía,
entre otras razones, a la necesidad de arrojar luz sobre las dudas que la redac-
ción inicial del citado artículo había suscitado en un amplio sector doctrinal
y jurídico y que, según palabras del legislador, necesitaba aclarar algunos pun-
tos entre los que se encontraba la incidencia de los programas de prevención
de delitos (modelos de gestión y control) y la novedosa posibilidad de cons-
tituir una eximente de la responsabilidad penal de la persona jurídica.
En lo que atañe a este capítulo, el art. 31 bis establece literalmente:
31. bis.5 identificarán las actividades en cuyo ámbito puedan ser cometidos los
delitos que deben ser prevenidos.
Y este es el punto de partida de la determinación del riesgo y de todas

las labores que se desgranan a continuación. Debemos tener en cuenta que
el modelo de gestión y control para prevenir delitos debe establecerse «ex
ante» para poder optar a la eximente, siendo así que, las medidas, controles
y fijación de riesgos establecido con posterioridad a la comisión de delitos
en el seno de la empresa, supondrá en el mejor de los casos una atenuación
de su responsabilidad penal. Así por ejemplo a ocurrido con la imputación
de responsabilidad penal a GLOBALIA por parte del Juzgado central de

instrucción núm. 6 de la Audiencia Nacional (Procedimiento 29/2014 Po-
nente: Sr. D Eloy Velasco Núñez) rebajando la pena en dos grados por la
implantación de un modelo de gestión y control.
Es la labor de identificación de las actividades donde se presentan ries-
gos de comisión de delito que «deben» ser prevenidos donde se centra este
capítulo y su cometido se inicia aterrizando en la organización en cuyo
seno y actividades afloran riesgos asociados a las mismas y cuyo se debe
conocer, calibrar y posteriormente controlar.
1. aproxImaCIón al rIesGo delICtual de la empresa
1.1. Qué hace
Para determinar los riesgos es IMPRESCINDIBLE conocer qué

hace la empresa. El conocimiento cabal y con una razonable profundidad
Diseño de un sistema de Compliance 211
de todas las líneas de negocio de la empresa, el «core» de su actividad, el

sector, dimensión, proyección internacional y modelo de gestión (consejo
de administración, forma mercantil, accionariado, intereses en otros secto-
res y nivel de gobierno sobre terceros…) orilla de entrada algunos de los
delitos tipificados y resalta otros. Así, una empresa dedicada a la gestión de
residuos hará resaltar de entrada los delitos relativos al medioambiente y
reducirá la proximidad a delitos de manipulación de mercado (284.2 y 3
del Código Penal), por ejemplo.
Saber qué hace la empresa facilita información no solo crucial para
encarar las entrevistas y búsqueda de controles y evidencias sino que hará
de forma automática una selección natural y lógica de delitos, una criba
inicial que, sin descartar la remota comisión e algunos de los tipificados en
el CP., nos hará poner el foco inicial en aquéllos consustanciales a la propia
actividad principal de la empresa examinada.
1.1.1. Trabajo previo de campo. Documentación
El trabajo inicial que debe acometerse en esta fase de la determina-

ción de los riesgos suponen la recopilación de información relativa a la
empresa entre la que cabe destacar sin ser exclusiva ni excluyente:
– Organigrama de la empresa.
– Página web.
– Información pública (notas de prensa, memoria anual, documen-
tos comerciales…).
– Sector de su actividad y carácter público, privado.
– Datos mercantiles (constitución, órgano de administración, accio-
nariado).
Cuando nos sentemos con la cúpula de la empresa, su departamento

de cumplimiento normativo o el órgano de supervisión y control (sic.
CP) debemos tener conocimientos– al menos básicos– sobre los aspectos
relacionados antes y poder establecer las líneas generales del estudio de
los riesgos penales que están con más o menos relevancia, presentes en las
actividades de la organización.
Llegados a este punto y para arrancar las labores de determinación del
mapa de riesgos es importante concertar una jornada de comunicación
con los máximos responsables donde se explica y detalla la necesidad de
implementar un programa de prevención de delitos y los hitos de su de-

sarrollo.
1.1.2. Tone at the top. Implicación de la alta dirección
Una de las claves para el éxito o el fracaso en la correcta implementa-

ción de un sistema de control y prevención de delitos está, sin duda algu-
na, en la implicación de la alta dirección en todas las acciones encaminadas
a la generación y mantenimiento de una «cultura de cumplimiento» en el
seno de la empresa.
La Norma ISO 19600 y la certificable UNE 19601 (norma espejo de
la anterior) recalca a lo largo de la regulación del estándar la absoluta ne-
cesidad de que el órgano de administración y los directivos y responsables
de las distintas áreas formen parte activa de las decisiones y acciones rela-
tivas a la implementación de un sistema de control (Compliance program).
Sin su implicación y sin que el resto de la organización así lo vea y perciba,
cualquier sistema de gestión de estos riesgos está abocado al fracaso y re-
sidualmente quedará convertido en un documento «cosmético» e inservi-
ble que, lejos de poder eximir o atenuar las consecuencias penales, puede
provocar en los órganos judiciales una valoración altamente negativa.
En lo concerniente a las labores de consultoría, comunicación de las
entrevistas y trabajos iniciales debe procurarse que la alta dirección y la
cúpula directiva de la empresa esté presente y certifique su presencia. Para

ello es importante presentar a la firma las actas de presencia de la comuni-
cación inicial de las labores consultoras y procurar la presencia de aquéllas
personas que en el organigrama de la empresa figuren como responsables
de área de negocio o departamentos y bajo cuyo paraguas cuelgan equi-
pos de trabajo determinados.
Esta implicación de la alta dirección es conocida en el argot de las
normas internacionales de estandarización de Compliance como «Tone at/
from the Top» y calibra el grado de implicación y predicamento que los
programas de Compliance están destinados a alcanzar a lo largo de su vida.
Así, si los empleados de segundo y tercer nivel, perciben la ausencia
física de sus dirigentes en las reuniones de comunicación, entrevistas y ac-
tividades de formación, alcanzaran la razonable conclusión de que los pro-
gramas de Compliance son solo un baldón más en la organización, ideados
para eximir responsabilidades de la alta dirección a modo de cortafuegos y
desincentivará automáticamente al conjunto de la organización.
Por el contrario, la presencia e implicación de la alta dirección generará

un sentimiento grupal de unión y compromiso de todos los estamentos que
dará al programa el impulso necesario para poder ponerse en marcha y cre-
cer. Es habitual que en la jornada inicial de comunicación los responsables
del alcance y cronograma de las actividades de implementación del pro-
grama, el presidente, Administradores y máximos responsables, dirijan unas
palabras que publiciten el mensaje de compromiso, importancia y prioridad
de este tema (…caminemos todos y yo el primero, por la senda del Compliance…).
1.2. ¿Cómo lo hace?
Uno de los aspectos más importantes de la determinación de los ries-

gos delictuales reside en conocer cómo son los procesos de trabajo que en
cada una de las actividades de la empresa se llevan a cabo.
Una vez que se por parte del consultor se conoce el sector u la activi-
dad de la empresa, es el momento de profundizar en la forma y manera en
que esta organización realiza las diferentes tareas y cometidos que la llevan
a la consecución de los diferentes objetivos.
En algunas organizaciones existen documentados los «planes norma-
lizados de trabajos» (PNT) que detallan con más o menos grado los dife-
rentes protocolos e hitos que cada departamento o línea de actividad lleva
a cabo en el desempeño de sus funciones. Estos documentos son de suma
utilidad para poder establecer el grado de control que sobre las diferentes
actividades, subactividades y tareas tienen los departamentos y personas
que se encargan de supervisarlas.
En otros supuestos, no existen documentados los procesos o al menos
no con tanto grado de detalle. Serán los propios miembros de la organi-
zación los que deberán facilitar o completar esa información. Uno de los
cometidos de las entrevistas personales con los diferentes responsables es
el de conocer y determinar con el mayor grado de detalle cómo se llevan
a cabo las tareas de ventas, compras, almacenamiento de la información,
gestión de los currículo que recibe el departamento de RR.HH.
Si por ejemplo el departamento de compras tiene establecido un sis-
tema de segregación de funciones por el cual la decisión sobre la adqui-
sición de equipos se reparte entre dos o más personas o el pago efectivo
precisa de dos firmas distintas, dicho proceso debe explicarse de forma
detallada no solo a través de las entrevistas con los afectados sino acredita-
do a través de evidencias de las que se hablará más adelante.
Solo conociendo cómo desempeña sus actividades la organización

podemos alcanzar conclusiones acerca de los riesgos delictuales que ace-
chan y por tanto la probabilidad de que en su seno se pueda cometer
un delito; en qué momento de los procesos se presenta debilidades o se
incrementan las probabilidades de ocurrencia de ilícitos o irregularidades
con relevancia penal. En este apartado de la parte de consultoría es cuando
además se determina la persona o personas que se ven afectadas por dichos
riesgos y sobre las cuales se deberán ponerse el foco de atención, estable-
cer o mejorar los controles y aplicar las medidas que con posterioridad se
presenten como adecuadas.
1.2.1. Selección de entrevistados
Para poder saber cómo hacen las cosas la mejor forma es que nos las
cuenten los miembros de la empresa que mejor lo conocen, bien por ser
quienes las organizan o tratarse de las que de forma directa o indirecta
llevan a cado todo o parte de las mismas. Un documento clave para la
selección de los entrevistados es el organigrama funcional de la empresa
que debe ser facilitado por la misma en la primera toma de contacto.
Es importante asegurarse de que el mismo está actualizado dado que en
muchas ocasiones no se revisa y la rotación de personal hace que esté
desfasado, figurando personas que ya no forman parte de la organización
o no reflejan incorporaciones estratégicas que deberían ser entrevistadas.

También puede suceder que el organigrama facilitado no refleje de forma
clara y detallada todas las ramas, departamentos o líneas de actividad.
Hay en definitiva organigramas sencillos y muy comprensibles y otros
que por su redacción y diseño resultan indescifrables. Esta es una señal
inequívoca del espíritu de la propia organización y del esfuerzo por ser
comprensibles y transparentes. Puede parecer simple esta última afirma-
ción pero en ocasiones denota el esfuerzo de la alta dirección por dotar
de claridad y orden en las diferentes ramas de la empresa. Por tanto, una
empresa que presenta un organigrama detallado, actualizado y de fácil
manejo denota inquietud a la par que facilita mucho el trabajo de locali-
zación de responsables y puestos estratégicos de cara a nuestra labor.
Por el contrario, encontraremos organizaciones que carecen de un or-
ganigrama o que el mismo se encuentra desfasado, no figuran en el mismo
las identidades de aquéllos que ostentan cargos de responsabilidad o no ha
sido revisado y puesto al día.
Si bien el organigrama es un documento útil para poder determinar

quiénes deben ser entrevistados para profundizar en las labores de determi-
nación de los riesgos, no es esencial; sí lo es que conozcamos quiénes son los
responsables de las distintas áreas que componen la empresa ya que es a ellos
a los que se va a preguntar de forma más concreta y detalla el qué y el cómo.
Además conviene hacerlo desde una perspectiva, cercana, abierta y alejada
de cualquier tono inquisitorio por cuanto que conviene tener en cuenta
que no se trata de una auditoria de sistemas sino de una labor de consultoría
para determinar, a través de las entrevistas y de las evidencias, cuál es la pro-
babilidad de que en el seno de la organización pueda cometerse un delito.
Hablar de delitos puede ser en ocasiones un tema sensible que predisponga
las personas entrevistada en un sentido poco adecuado para los fines antes
señalados. Por ello las entrevistas deben preparase y enfocarlas en su tono y
entorno para predisponer a los miembros de la organización.
1.2.2. Enfoque de las entrevistas
Se trata de conocer el qué y el cómo y la mejor forma de aproximarse

a ellos es a través de las entrevistas personales. Conviene empezar concer-
tándolas con aquéllas personas que ostenten responsabilidades. Muchas
de ellas han podido acudir a la presentación inicial que se indica por lo
que ya conocerían el fin del encuentro y quedaría solo fijar el alcance.
Este último aspecto se suele concretar con el anuncio y fijación de las

entrevistas para lo que se remite a cada uno de ellos una comunicación
(se recomienda correo electrónico) que, previa presentación, debe incluir:
– Fijación del día y hora de la entrevistas con una breve introduc-

ción del motivo dela misma y el sentido que se le pretende dar,
contenido, duración…
– Solicitud por parte del entrevistado de una breve descripción de
sus responsabilidades y tareas donde detalle las actividades que
componen su día a día y especialmente aquellas que son de una
exclusiva competencia.
Esta descripción aporta mucha información previa que facilita la

comprensión de las posteriores aclaraciones que se hacen por parte del
responsable y que debe centrarse en aquéllas actividades que puedan pre-
sentar una mayor proximidad con riesgos delictuales.
En el transcurso de las entrevistas deberá quedar acotado en relación

con el entrevistado:
– Sus competencias y responsabilidades.

– Persona o personas que operan bajo su responsabilidad y a las que
por tanto supervisa.
Conviene recordar que el actual art. 31 bis del código penal establece
dos grupos de autores delictuales cuya actividad arrastraría la responsabili-
dad penal de la empresa– (i) los responsables y (ii) los trabajadores a cargo
de aquéllos. Los entrevistados –al menos inicialmente– serían los primeros
y los que operan bajo su responsabilidad se refiere al segundo grupo se-
ñalado por el legislador.
Es importante conocer cuáles son las personas que operan bajo el
paraguas del entrevistado por cuanto que las medidas y controles que
puedan establecerse para mitigar los riesgos una vez determinados, afec-
taran a todos ellos y es importante poder identificarlos en esta fase de las
entrevistas.
En el transcurso de las entrevistas conviene centrar el contenido en
la averiguación de los riesgos de comisión de irregularidades (no solo
delitos) que en el desarrollo de las actividades descritas por el entrevistado
puedan ocurrir. Por ello conviene seguir algunas pautas para el correcto
desarrollo de la misma:
Hacer que el entrevistado se sienta cómodo. La entrevista tiene

que ser percibida como una suerte de charla informal que busca, con la
colaboración de ambos interlocutores, detectar aquéllas zonas grises en el
control y correcta ejecución de las actividades de la empresa.
No debe transmitirse al entrevistado una sensación inquisitorial dado
que no se busca descubrir delitos cometidos sino evitar los que en el fu-
turo pudieran cometerse, tanto de forma dolosa como imprudente. Por
ello no se busca descubrir o revelar prácticas irregulares imputables al
entrevistado sino determinar de la forma más clara y precisa cuáles son
sus responsabilidades y cómo las desempeña y/o delega. Si fuera necesa-
rio –que siempre lo es a lo largo de las entrevistas– es preciso aclarar el
trasfondo o la intención que encierra una pregunta, esto es aclarar que si
nos interesamos por los mensajes publicitarios que encierran las campañas
comerciales de la empresa, estamos detectando la posibilidad de que se
produzca una investigación por estafa o la imputación de un delito de
publicidad engañosa, según fuera el caso.
Centrar en sus actividades las preguntas. A menudo las con-

versaciones e intercambio de pareceres derivan hacia derroteros que lo
alejan de su objetivo. Conviene mantener el equilibrio entre la nueva o
inesperada información que nos aportan observaciones periféricas que
puedan aportarse pero conviene no divagar y centrar la conversación en
las actividades que desempeña o atañen al entrevistado.
No hay en este sentido un decálogo sobre la dirección de una entre-
vista y será el sentido común y el objetivo perseguido por el consultor el
único y verdadero timón que centrará la misma en aras a extraer la infor-
mación útil para la posterior determinación de los riesgos penales.
Conviene tener en cuenta que las entrevistas que sobrepasan los 45
minutos suelen entrar en un estado de futilidad que merman mucho el
resultado de la misma por cuanto que tanto el esfuerzo al que someten al
entrevistador como la entrevistado, se hacen visibles a partir de los 30 o 40
minutos desde su inicio.
Escuchar y tomar las notas necesarias. Escuchar, o mejor dicho,
saber escuchar, es una de las virtudes del consultor y también una de las
claves para poder «afinar» el resultado final de este trabajo. Es importante
dejar hablar, centrar bien las preguntas y cribar bien la información que se
nos facilita por parte del interlocutor. No hay que olvidar que se pregunta
sobre actividades pero con la mente puesta en el delito que pudiera apli-
carse como riesgo delictual a la misma.
Así, si el responsable del departamento comercial o de ventas nos
relata cómo es la contratación de bienes y servicios con la administra-

ción central, autonómica o local, estaremos tratando de detectar cómo
se producen las ofertas y demandas con los funcionarios públicos y
como se cierran las operaciones, se presentan las ofertas o se activan
las labores de promoción y presentación de dichos bienes y servicios.
Detrás del relato que se brinde estaría el eventual riesgo de cometer un
delito de cohecho, corrupción de funcionario extranjero o el tráfico
de influencias.
Para centrar mejor estas entrevistas y la información que debemos
recoger al respecto, un buen apoyo es la confección de un listado de pre-
guntas que, partiendo de lo genérico (existencia de un código ético, po-
líticas de regalos y atenciones, uso de herramientas informáticas, forma-
ción, existencia de un canal de denuncias…) despliegue preguntas muy
concretas acerca de la actividad del entrevistado y relacionada de forma
directa y concreta sobre las actividades de su departamento, su actividad y
responsabilidad y respecto de las cuales ya nos ha informado con carácter
previo a la entrevista. Estos checklist255 pueden ser estandarizados o bien

personalizarse partiendo en todo o en parte sobre los estándares genéricos
del sector o el área de negocio de una empresa.
1.2.3. Evidencias
Cuando determinemos un riesgo, partiremos de un nivel o gradua-

ción del mismo en toda su extensión (riesgo bruto) y a partir del mismo
podremos modular su probabilidad de ocurrencia dependiendo de la exis-
tencia de controles o medidas ya implementados por la empresa para pa-
liar, evitar o minimizar su materialización. En el transcurso de las labores
consultivas que implican entrevistas y recogida de información, juegan un
papel importante la recopilación de evidencias256 que verifican la certeza
de lo que el responsable sostiene.
La solicitud y la facilitación de evidencias sobre la existencia de contro-
les, aplicación de políticas y protocolos y sobretodo la eficiencia y eficacia
de los mismos, pasa por aportar «pruebas» sobre su existencia y operatividad.
Ejemplo: Si la empresa sostiene que se necesita autorización para la
adquisición de bienes y servicios cuyo importe supere una determinada
cantidad, conviene solicitar las últimas autorizaciones que se han concedi-
do al respecto con el fin de evidenciar que dicha medida no solo existe a
nivel documental sino que es operativa y dicho extremo se acredita.
El art. 31 bis del Código Penal apela a la eficacia y eficiencia de un mo-

delo de gestión y control de los riesgos delictuales y la Fiscalía General del
Estado (Circular 1/2016) ya se ha pronunciado acerca de la acreditación
de la operatividad de los controles que la empresa haya establecido.
Si bien la eficacia y eficiencia exigida por el legislador no se acredita
sólo a través de la evidencia, la existencia de éstas y en relación con nuestro
modelo de prevención de delitos, es el punto imprescindible de partida
para poder acceder a la eventual exención de responsabilidad penal.
255. En el mercado existen en la actualidad herramientas informáticas que incluyen

listados de preguntas concretados por departamentos y áreas de negocio y expresamente
diseñados para la determinación del mapa de riesgos delictuales de una organización.
256. Todas las normas de estandarización de los sistemas de Compliance (ISO 19600,
ISO 37001) ponen el foco de su acreditación en poder evidenciar la eficiencia y eficacia
de los controles, extremo que se acredita mediante las evidencias.
2. fIjaCIón del rIesGo
2.1. Conciliación de los tipos penales. Cómo, quién y cuándo se

puede cometer el delito
Una vez que los responsables orgánicos y operativos hayan facilitado

información, documentos y evidencias, llega el momento de fijar el riesgo
penal que la organización presenta en todas y cada una de las actividades
estudiadas.
En este apartado de las labores de confección del mapa de riesgos es
necesario no sólo conocer bien los delitos tipificados en el Código Penal
y que expresamente llevan aparejada la responsabilidad penal de la persona
jurídica. Tanto o más es conocer cómo se han determinado a través de la
doctrina y la jurisprudencia por cuanto que es aquí donde reside el valor
cualitativo del consultor de Corporate Compliance y que lo diferencia de
cualquier otro consultor.
Muchos delitos aparecen definidos en el artículo en cuestión pero
ha sido la jurisprudencia que aplicó dicho tipo penal quien deter-
minó a la postre cuándo nos encontramos ante un ilícito penal y
cuando las infracciones pueden quedar en el ámbito civil, laboral o
administrativo.
A tal efecto y como ejemplo ilustrativo, no todo engaño suponen la
comisión de una estafa ni el impago de un tributo es un delito fiscal. To-
dos los matices sobre la entidad del engaño, su necesaria situación previa
o coetánea con la disposición patrimonial, la entidad del engaño o el dolo
específico en la elusión del pago de un impuesto y la consciente oculta-
ción de información con relevancia fiscal son los elementos que tienen
que tenerse en cuenta para determinar cuándo nos encontramos ante un
riesgo de comisión de un delito o cuando quedarían los hechos «extra-
muros» de la acción penal.
Esta observación requiere una matización a la hora de determinar el
impacto del riesgo. El hecho de que una actividad analizada no sea cons-
titutiva de un delito no debe eliminar la consideración del mismo y su
eventual inclusión en el mapa, pero restringimos o resaltamos su impacto
en el ámbito reputacional, económico, social.
Los delitos que nuestros socios comerciales o proveedores pudieran
cometer pueden en ocasiones no afectarnos en el plano penal pero supo-
nen un impacto económico para la empresa que no puede en ningún caso
obviarse. De ahí que cada vez son más las empresas que incluyen en mapa
de riesgos los actos ilícitos que pueden cometer terceros cuya vinculación
con la empresa es más o menos próxima.
Para la determinación del riesgo, partiendo de las reflexiones an-
teriores, debe por tanto determinarse quién, cómo, cuándo y en el
transcurso de qué actividad o labores, pueden cometerse el delito. Esto
es esencial por cuanto que transforma un manual de prevención de
delitos genérico en el auténtico, personal y único manual de la empresa
en cuestión. Se elude así la etiqueta de «cosmetic Compliance program» que
la propia Fiscalía denuncia en su circular 1/2016 y se adecua de forma
concreta a todo el trabajo de información desarrollado en los puntos
anteriores.
Una empresa que aborda la elaboración de un manual de preven-
ción de delitos huirá de un documento estandarizado y deberá aspirar
a saber y conocer «sus riesgos específicos», los que atañen de forma
directa y concreta a sus actividades y que se diferencian de cualquier
otra empresa de su sector. De ahí que sea tan importante saber qué hace
y cómo lo hace dado que partiendo de dicho conocimiento podemos
saber cuándo y en qué circunstancias concretas puede materializarse
«su riesgo».
Las consideraciones y valoraciones de un manual de prevención tiene
que ser capaz de determinar con el mayor grado de detalle posible quié-
nes, cuándo y cómo se puede cometer un delito en el seno de la organi-
zación, y ello por dos motivos importantes:
i. Poder establecer medidas concretas sobre personas y actividades

señaladas como de riesgo concreto y en relación con delitos de-
terminados e identificables.
ii. Permite optimizar los posteriores recursos que se van a emplear
en el establecimiento de dichas medidas tales como la forma-
ción, determinación de los colectivos afectados por las medidas
o la mensurabilidad de los protocolos y medidas que se deter-
minen.
Todas las medidas, controles y actividades dirigidas a la minimización

del riesgo han de poder ser mensurables y aquí radica la eficiencia y efica-
cia de las mismas. Por ello, sin la determinación de los focos concretos de
peligro y los colectivos afectados es imposible poder determinar un nivel
de eficacia tan siquiera razonable.
3. determInaCIón del rIesGo penal de la empresa (mapa de rIesGos)
3.1. El riesgo penal
El riesgo es, a las actividades de la empresa, la confluencia entre la

probabilidad de que un evento ocurra y el impacto que en tal caso puede
tener para la organización en términos económicos o reputacionales (los
legales serían un compendio de estos dos…). Obviamente el riesgo viene
referido a un evento cuyas consecuencias son potencialmente negativas
para la empresa y la revelación de un delito con la posterior investigación
judicial del mismo es el que se estudia y analiza en este capítulo.
El riesgo delictual vendría determinado por la probabilidad y el im-
pacto que la comisión de un delito tendría para la empresa y una vez
efectuados los análisis anteriormente descritos se estaría en condiciones
de establecer, como mínimo y como punto de partida, el riesgo bruto o
inherente de cualquiera de las actividades y/o procesos analizados.
3.1.1. Riesgo inherente
El riesgo inherente257 sería aquél que presenta en sí misma cualquier

actividad que esté relacionada con alguno de los tipos penales que llevan
aparejada la responsabilidad penal de la persona jurídica.
Una empresa que se dedique al tratamiento de residuos tiene un

riesgo inherente de cometer delitos contra la flora y la fauna o delitos
medioambientales que es inherente a su actividad. Su foco de riesgo es
más próximo (probabilidad) y es mayor el impacto ya que el respeto al
medioambiente es un control nuclear de su objeto mercantil, justo lo
contrario que por ejemplo podría predicarse de una agencia de viajes o
de una empresa dedicada al asesoramiento en productos financieros o un
fondo de inversión. De igual forma las empresas de transporte marítimo,
aéreo o terrestre enfrentan riesgos relacionados con delitos de tráfico de
drogas, órganos e incluso trata de seres humanos.
El riesgo inherente o bruto no ha sido todavía filtrado por los con-
troles que la labor de consultoría ha podido detectar en las entrevistas y
recopilación de documentos y evidencias por lo que presentará sobre el
257. ENSEÑAT, SYLVIA, Manual del Compliance Officer, Thomson–Reuters, 2016.
mapa de riesgos unos valores altos, medios o bajos en función de la acti-

vidad de la empresa, organización, proyección internacional, volumen de
negocio, perfil de las personas que ostentan responsabilidades o capacidad
de decisión y otras variables que con carácter previo a la evaluación de las
medidas y controles existentes puedan haberse puesto de manifiesto.
3.1.2. Riesgo neto
Cuando se aludía a las medidas y controles que para la prevención de

irregularidades, fraudes o actos delictivos presentaba la organización analizada
se estaba abonando el camino a la labor de determinar el riesgo neto, este
será el que, una vez analizadas dichas medidas, sitúe el riesgo en el mapa en
el nivel que «prudencialmente» corresponda, tarea no exenta de valoración
subjetiva pero sustentada en al menos las siguientes consideraciones:
i. Existencia de políticas reales y documentadas sobre procesos que

presenten en sí un riesgo. Por ejemplo, la política de compras que
disgregue funciones de demanda, selección y adquisición que li-
miten la posibilidad de encubrir sobornos, sobreprecios o fraudes
para la propia empresa.
ii. Verificación (evidencia) de la operatividad de dichas políticas, a
través de medidas concretas que puedan ser mensurables y que
denoten una eficacia y eficiencia en las actividades para las que

han sido diseñadas e implementadas. Así, si existe una política so-
bre las compras de la empresa pero no hay evidencias de su im-
plementación o ésta es deficitaria por su escasa aplicación o el
desconocimiento que el personal afectado tiene de ella y de las
medidas que la aplican, el riesgo inherente no bajará del nivel y no
alcanzará un riesgo neto cierto, siendo que a la postre dicho riesgo
coincide con el bruto, dicho en otras palabras.
Los controles serían las acciones que la empresa tiene dispuestas para
verificar que las medidas (que generalmente desarrollan políticas–las cuales
a su vez desarrollan el código Ético o de conducta) son operativas. Para fijar
el riesgo neto se deberá atender al grado de fortaleza de dichos controles:
Débil. Inexistente o muy poco evidenciada su práctica. Bien por no
estar implementado o estar desenfocado en su diseño respecto del riesgo
que trata de mitigar.
Deficitario. Estaría implementado y parcialmente enfocado al riesgo

pero por diversas razones no alcanza un grado de eficacia razonable res-
pecto al fin para el que fue diseñado e implementado.
Robusto. Presenta un grado óptimo de implementación, desarrollo
y operatividad que se deduce no solo de su diseño sino de su uso prácti-
co, evidenciado por los ejemplos, casuística documentada y pruebas que
respecto del mismo la empresa puede acreditar. Por ejemplo que las auto-
rizaciones escritas para otorgar descuentos o para efectuar regalos o grati-
ficaciones estén registradas, tengan las firmas de las personas encargadas de
dar luz verde y que las mismas sean accesibles al consultor o a cualquier
organismo que eventualmente las pudiera requerir.
En ocasiones los controles se llevan a cabo por el personal de la or-
ganización con un protocolo de chequeo periódico que a su vez debe
estar documentado. Lo más usual en la actualidad es que muchos de estos
controles estén automatizados a través de programas informáticos cuya
evidencia es inmediata y que, evidenciada su existencia, otorgan al control
una eficacia alta. Así, las empresas cuyos procesos relacionados con los
recursos económicos están insertas en programas que incluyen alarmas,
autorizaciones de acceso o carga de datos y que establecen de forma au-
tomática las medidas determinadas por la empresa, suelen presentar en
dichos controles una robustez que reduce el riesgo inherente hasta niveles
adecuados.
En PYMES o empresas de dimensiones y volumen más reducido es
más habitual que los controles sean monitorizados de forma manual por
los responsables de cada área o línea de negocio o por el responsable de
cumplimiento normativo o auditoría interna lo que no excluye que su
correcta ejecución lleve aparejada la minimización del riesgo en niveles
proporcionales a los que serían exigibles a una gran corporación.
Una vez verificado el nivel de eficacia de las medidas establecidas y
de los controles para verificar su cumplimento, podemos fijar en nuestro
mapa de riesgos las probabilidad y el impacto de los mismos en la empresa
y concretados en las distintas actividades que desarrolla la misma.
3.1.3. Riesgo residual
Tanto el art. 31.bis del Código Penal como las normas UNE–ISO
19601 y 37001 parten de una realidad incontestable: el riesgo a nivel cero
no existe.
Esto debe ser tranquilizador para la empresa pero no actuar como una
suerte de bálsamo que relaje su cultura de cumplimiento.Todavía se puede
hacer más y esto se consigue a partir del riesgo residual que sería el nivel
que éste alcanza cuando, evaluadas las medidas y controles, fijamos en el
mapa la probabilidad y el impacto.
Así, sobre el riesgo residual y especialmente sobre la hipotética pro-
babilidad de que, a pesar de los controles existentes, pueda materializarse
del delito, quedan nuevas medidas y controles o mejoras sobre las exis-
tentes que rebajan el riesgo hasta niveles negligibles o razonablemente
bajos.
¿Cuál es el nivel de riesgo que la organización está dispuesta a sopor-
tar? En el argot de Compliance esta variable se denomina «apetito por el
riesgo» y define la propia estrategia empresarial de cada organización dado
que alude a la determinación de ésta para operar con mayor o menor
proximidad a las líneas rojas que delimitan actuaciones éticas, irregulari-
dad, incumplimientos o actuaciones delictivas.
Incumplir como variable de la forma de hacer negocios no debe ser
una opción. Esto forma parte del ADN de la cultura de cumplimien-
to de una empresa y la tolerancia y permisividad con incumplir debería
ser inexistente. Dicho esto, muchas empresas que conocen su mapa de
riesgos, asumen algunos de ellos atendiendo al impacto que los incum-
plimientos puedan tener para sus cuentas de resultados. Es frecuente en la
estrategia fiscal que se adopta ponderar, por ejemplo, que la denuncia de
una irregularidad en este ámbito pueda «solo» tener impacto en el plano

administrativo y solventarse con multas cuyo importe es significativamen-
te inferior al beneficio obtenido.
Otros riesgos asumidos pueden tener que ver con los llamados «pagos
de facilitación» que a modo de peaje se han de abonar en jurisdicciones
internacionales para poder cumplimentar con éxito trámites burocráticos
o conseguir permisos o accesos a los que, teniendo derecho, se ve la em-
presa obligada a pagar para su agilización.
El mapa de riegos que resulta de efectuar el análisis de las medidas y
controles y determinar el riesgos residual de una organización, confronta
a ésta con el dilema de tener que decidir respecto del mismo y, en rela-
ción con su impacto en los negocios, asumirlos, compartirlos con terceros,
modificar o eliminar la fuente del mismo (abandonar por ejemplo un
negocio donde hay un riesgo de tener que efectuar pagos y/o sobornos)
y supone el punto de partida de la generación de una verdadera cultura
de cumplimiento.
Es sobre la base de la misma, por encima de la eficacia y eficiencia de

las medidas controles, donde la Sala Segunda del Tribunal Supremo y la
propia Fiscalía han puesto el acento a la hora de valorar la exención de
responsabilidad penal de la empresa.
La archifamosa sentencia de la Sala 2.ª del T. Supremo (Rec. 154/2016
de 29 de febrero) apuntaba a la existencia de una cultura de cumplimiento
como elemento revelador de la existencia eficiente y real de mecanismos
y controles para prevenir delitos. De esta forma y estableciendo las bases
de la responsabilidad penal de la persona jurídica, el máximo Tribunal in-
dica que la responsabilidad penal de la empresa debe partir del delito que
previamente ha cometido una persona física en beneficio directo o indi-
recto de la organización pero se configura en virtud de un hecho propio, de
una autorresponsabilidad de la persona jurídica cuyo reproche penal vendría
determinado por la inexistencia de una cultura de cumplimento, de una
voluntad determinada de cumplir con la legalidad que hubiera favorecido
la comisión del delito.
Si partiendo de la admisión de nuestro riesgo residual y la verdadera
intención de cumplir con la ley, se cometen delitos cuya responsabilidad
alcanza a la empresa, sería nuestra cultura de cumplimiento la que, verifi-
cada su operatividad a través de evidencias, demostraría que la comisión
del delito es un accidente (riesgo cero no existe) y no una consecuencia
de la inexistencia de cultura de cumplimiento reflejada en sistemas de
control y prevención de delitos.
3.2. Los parámetros del mapa: Probabilidad e impacto
Nuestro mapa de riesgos parte de dos vectores: La probabilidad y el

impacto. Cada uno de los riesgos delictuales se situará en un nivel gráfico
que reflejará la probabilidad de que se materialice el riesgo debido a la
ausencia de medias y controles o a pesar de los mismos y por ser insufi-
cientes o poco eficaces.
3.2.1. La probabilidad
Será más probable que un riesgo delictual se materialice por dos ra-
zones básicas:
– La regularidad con la que la actividad donde el riesgo se ha detecta-

do se lleve a cabo. A mayor proximidad del riesgo delictual con la
o las actividades donde se ha detectado el riesgo, mayor es la pro-
babilidad de que en la ejecución de las mismas pueda cometerse
una irregularidad con consecuencias delictivas. Por el contrario, si
son actividades muy residuales o infrecuentes, la probabilidad será
obviamente menor. Generalmente las empresas que se dedican a
las transacciones de dinero tienen una alta probabilidad de que se
produzcan actos de blanqueo de capitales en las numerosas ope-
raciones que efectúan a lo largo del día. Si operamos en mercados
internacionales y tenemos contacto permanente con funcionarios
de aduanas en países fuera de la UE, hay mayor probabilidad de
que en el despacho de aduanas se cometa un delito de soborno de
funcionario público extranjero (art. 286. bis, ter del Código penal).
– El número y eficacia de las controles que en relación con dichas ac-
tividades tiene implementada la empresa. Utilizando el ejemplo
anterior y coincidiendo con la práctica de muchas empresas y

organizaciones, en actividades de mucha frecuencia y alto riesgo,
suele haber más medidas y controles. Para calcular por tanto la
eventual probabilidad acudiremos a la verificación de dichos pro-
cesos y controles dado que su uso y eficacia reducen la probabi-
lidad de ocurrencia de irregularidades detectando y permitiendo
una rápida actuación. En este campo, el control correctivo que
supone el canal de denuncias juega a menudo un papel clave.
3.2.2. El impacto
Muchas organizaciones ponen el foco de los riesgos no tanto en la

probabilidad de que ocurran los hechos como en el impacto que estos tie-
nen en el seno de la misma. No les falta razón a las empresas que priorizan
sus controles y medidas en base a este último factor dado que determina-
dos eventos con riesgo o impacto negativo no son reducibles o evitables
pero sus consecuencias pueden ser mitigadas por otras vías. Así, los seguros
de responsabilidad civil o patronal en relación con actividades de riesgo
(alimentación, construcción, medioambiente) son una forma de mitigar el
riesgo «ex post» y por tanto minimiza el impacto admitiendo que la pro-
babilidad es más difícil de controlar y que en términos finalistas, son las
consecuencias las que deben ser objeto de medidas. En la ponderación de
esta variable juega un papel importante el llamado «apetito por el riesgo»

al que nos hemos referido anteriormente.
El riesgo penal –su responsabilidad– no se asegura ni se comparte de
forma solidaria por lo que en términos de impacto penal no cabe atenerse
a seguros o cláusulas de exención sino que debe medirse cuáles son los
delitos que por su pena (arts. 33.7 y 66 bis del Código Penal) conllevan
consecuencias más gravosas para la empresa.
Pero dicho lo anterior y dado que muchos de los delitos que «arras-
tran» a la empresa conllevan largas instrucciones en sede penal, conviene
tener en cuenta para determinar el impacto otros factores a menudo más
importantes que la imputación de un delito. A nuestro juicio serían:
Reputacional. Dada la larga y complicada instrucción de algunos deli-
tos en nuestro sistema judicial, la llamada pena de banquillo para una empre-
sa comienza desde que es llamada a un procedimiento como investigada
y la prensa se hace eco de estos hechos. En ocasiones, la ejecución de una
sentencia penal se encuentra con un solar devastado, un erial, donde antes
existía una empresa. Dicho de otra manera, en muchas ocasiones lo que

«mata» a una empresa no es la clausura, la intervención judicial o el cierre
de sucursales sino la pérdida de credibilidad que para su mercado supone
la publicidad de una investigación por un delito de blanqueo de capitales
o de corrupción en los negocios. El extremo más devastador sería a nues-
tro juicio la imputación de delitos contra la salud pública (en su vertiente
de tráfico de drogas…) o la corrupción de menores, tráfico de órganos…
por poner algunos ejemplos.
Por lo anterior, para determinar el impacto habrá de tenerse en cuen-
ta el riesgo reputacional que conlleva la investigación o la acusación de
determinados tipos de delitos y la relación de la empresa con sectores más
o menos sensibles a determinadas prácticas. La investigación por un su-
puesto delito de abuso de mercado en la vertiente de uso de información
privilegiada, siendo grave en sí, puede tener menor riesgo reputacional
en el sector que la acusación de uso de mano de obra infantil o trata de
personas, máxime si la empresa cuenta con accionistas o grupos de inte-
rés contrarios a dichas prácticas y cuyas represalias ante una investigación
pueden castigar más que la eventual multa que les imponga una sentencia
condenatoria en sede penal.
Económico. Aquéllos delitos cuyas penas previstas incluyan multas del tan-
to al triplo o al quíntuplo del beneficio obtenido pueden alcanzar cifras
millonarias que hipotecan a una empresa hasta dictar su sentencia de muerte.
En otras ocasiones y sin llegar a la condena penal, determinados de-
litos medioambientales activan sistemas punitivos en sede administrativa

que retiran licencias, permisos, concesiones sin cuya vigencia la actividad
comercial de la empresa se paraliza. El cierre –aún cautelar– de una planta
potabilizadora de agua que se estratégica para una empresa del sector pue-
de significar una auténtica catástrofe. Por ello, al analizar el impacto y con
independencia de que la probabilidad sea baja, deberemos ponderar cuáles
serían las consecuencias económicas de que se materializase el riesgo.
Es un ejemplo de lo anterior la caída del gigante mundial de la con-
sultoría Arthur Andersen que en el año 2002 y pese a ser posteriormente
absuelto, no pudo recuperarse del gran daño que supuso la pérdida de
licencia para ejercer su actividad en EEUU y la exposición mediática de
su papel en el escándalo ENRON.258
258. La responsabilidad penal de la Persona Jurídica: La experiencia de EEUU. VI-

LLEGAS GARCÍA, M.ª ÁNGELES. Thomson–Reuters, 2016, pág. 212.
Corolario de todo lo anterior, en ocasiones la intervención penal re-

cupera en este ámbito su condición de ultima ratio por cuanto que cuan-
do se activa el ius puniendi del estado, el impacto ya ha alcanzado toda la
dimensión posible en relación con la viabilidad de la empresa por lo que,
en términos de determinación del riesgo penal, tendremos en cuenta la
pena prevista para la persona jurídica en el art. 33.7 del Código Penal pero
sin perder de vista que no todos los delitos tienen la misma repercusión
mediática, reputacional o administrativa.
4. fIjaCIón de medIdas y Controles
Sin pretender ser exhaustivos conviene hacer una breve lectura de la

fijación de medidas como cierre final del apartado del diseño de un mapa
de riesgos.
Las medidas (también denominadas procesos) podrían definirse como
aquellas acciones directamente diseñadas e implementadas para evitar una
irregularidad. Se caracteriza por ser concreta y sobre una actividad precisa
en la cual se ha detectado la existencia de un riesgo más que bajo259. Por
ejemplo, si se ha detectado que un riesgo de comisión de un delito contra
la propiedad intelectual se presenta alto ante la inexistencia de una política
de uso de herramientas informáticas, la medida sería la redacción de un
documento que entre otras cosas, prohíba instalar programas no oficiales o
sin licencia en ningún servidor o terminal de la empresa y las acciones de

divulgación y concienciación de dicho documento (política) y formación
en materia delictual sobre vulneración de la propiedad intelectual.
Los controles serían aquellas acciones llevadas a cabo para verificar
que las medidas implementadas funcionan, es decir son eficaces para el fin
perseguido y eficientes por cuanto que están correctamente implementadas
(se ha dado formación a todos los colectivos afectados, se ha divulgado la
política a todos…).
Hay mucha medidas prediseñadas para minimizar riesgos que son in-
herentes a determinadas actividades. Sin ánimo de ser exhaustivo, la tónica
general en cuanto los controles se suele dividir, por el ámbito en el que se
aplican, en los grupos:
259. “más que un riesgo bajo…”. Terminología que utiliza la norma UNE–ISO 37001
referida al soborno
– Controles Orgánicos:
Son aquellos que se establecen para verificar que determinados pro-
cesos dentro de la organización de la empresa, reducen el riesgo de que se
cometan, por sus responsables y desde su función orgánica, irregularidades:
i. Poderes mancomunados en determinadas áreas estratégicas.

Dificultan que una sola persona aglutine poder suficiente para
comprometer recursos financieros y patrimoniales de la empresa
(reduce por ejemplo el riesgo de incurrir en insolvencias punibles
o delitos de alzamiento de bienes…)
ii. Segregación de funciones. En el proceso de compra de bienes
y servicios, recae sobre distintas personas las labores de elevación de
la necesidad, selección del proveedor y autorización y pago. De esta
forma y para incurrir en irregularidades en la contratación hay que
poner de acuerdo tres o más voluntades lo que dificulta el fraude.
iii. Autorizaciones previas documentadas. Para reunirse con la
administración pública o en foros y reuniones con empresas del
sector, solicitar y obtener por escrito el permiso y conformidad
del superior jerárquico informando del contenido y finalidad de
dicha reunión y la necesidad, si procede, de que acudan más de
una persona. Estos controles evidencian por una parte la trans-
parencia y aumento del perímetro de conocimiento de las acti-
vidades con riesgo (cohecho, pacto de precios…) y dificultan la
clandestinidad de algunas de estas actividades.

iv. Controles sobre la custodia de documentos confidencia-
les. Obligación de no imprimir documentación salvo que sea
necesario y de alojarla en los archivos y carpetas dentro de los
directorios asignados a cada perfil…
– Controles sobre procesos260:
i. Doble firma. Establecimiento de la necesidad de que sobre au-

torizaciones determinadas o a partir de determinadas cantidades
de dinero o de descuentos en los servicios prestados, exista en el
260. Ver ENSEÑAT DE CARLOS, SYLVIA. «Manual del Compliance Officer», Guía
Práctica para los responsables de Compliance de habla hispana, Thomson–Reuters Aranzadi,
2016.
sistema o evidencia del conocimiento y autorización de los res-

ponsables de la organización.
ii. Secreto y mantenimiento de las claves de acceso a siste-
mas y archivos. Y sus periódicos cambios y obligación de no ser
revelados ni cedidos para mantener el nivel de seguridad sobre la
información confidencial.
iii. Doble chequeo de pagos. En todas las remesas de pagos que
efectúa la empresa, establecer dos controles sucesivos sobre el mis-
mo proceso para verificar que se cumplen los procesos (medidas)
de conformidad con la política de pagos que a su vez está diseñada
para evitar fraudes.
iv. Autorización en materia de donaciones y esponsoriza-
ciones. Estableciendo un protocolo de permita acreditar quién
autoriza y quién propone y argumenta una donación o la espon-
sorización con el fin que estas disposiciones dinerarias a favor de
ONG, asociaciones o iniciativas privadas no tengan relación con
la financiación ilegal de partidos políticos o con los delitos de
cohecho o corrupción en los negocios.
Estos son solo algunos ejemplos ilustrativos de controles que se imple-

mentasen para reducir el riesgo neto y determinar la distancia entre éste y
aquél que la propia empresa y en virtud de su «apetito por el riesgo», está
dispuesto a asumir (riesgo residual).
Si las labores de fijación de los riesgos delictuales y el establecimien-

to de un sistema de gestión de los mismos a través de políticas, medidas
y controles se ejecutan con minuciosidad y a conciencia, el resultado es
sumamente útil para que la propia empresa ponga en valor todas sus estra-
tegias y conozca de antemano el terreno que pisa.
5. ConClusIón de CIerre
La metodología y elaboración de una estructura de políticas y sistemas

para la prevención de delitos en el seno de la empresa es una tarea que
tarde o temprano toda organización deberá acometer.
No es una obligación legal pero es un requisito necesario para aquéllas
empresas que quieran competir en el mercado actual y cumplir con los
estándares de transparencia y legalidad que sus clientes y socios comercia-
les van a exigirles.
La reciente publicación de normas certificadoras en materia de Com-

pliance ha venido a refrendar esta tendencia y sin duda marcan el marco
que en el futuro próximo va a presidir las relaciones interempresariales y
la forma de hacer negocios.
Se ha enfocado el análisis de estas labores desde un punto muy prác-
tico, centrado en los hitos más importantes que entraña la labor de de-
terminar los riesgos delictuales, clasificarlos y medirlos en términos de
probabilidad e impacto. Muchas de las conclusiones que se han recogido
en el presente trabajo nacen de la experiencia en todas las actividades des-
granadas. Ninguna clasificación de las que se han recogido es exclusiva o
excluyente. Lo contrario sería una temeridad en un ámbito tan novedoso
y carente de límites definidos.
Precisamente por lo anterior y dado que la responsabilidad penal de
las personas jurídicas y los programas de Compliance son «recién nacidos» o
están dando sus primeros pasos, mi humilde experiencia personal me lleva
a hacer dos reflexiones a modo de cierre del trabajo:
i. A pesar de los detractores que la introducción de la responsabili-

dad penal de la persona jurídica ha tenido y tiene en nuestro país,
el art. 31 bis, tras su reforma y la realidad judicial y económica de
España nos indica que el Compliance penal ha venido para quedar-
se y que no es ni una quimera ni un mero experimento condena-
do a morir. Desde el año 2010, fecha de entrada en vigor del 31
bis y hasta nuestros días son cada vez más las empresas investigadas
por delitos cometidos en su beneficio directo e indirecto y la re-
forma sufrida por el Código Penal en el 2015 ha dado un auténti-
co espaldarazo a los modelos de control y prevención e delitos en
la extensa reforma del 31 bis.
Prueba de lo anterior es que la sala 2.ª del Tribunal Supremo no
ha dudado en tomar partida y salir al paso de las discusiones y po-
lémicas doctrinales resolviendo recursos en los que ha sentado las
bases sobre las cuales va a transitar el enjuiciamiento de esta nueva
responsabilidad penal. La propia fiscalía no ha dudado en redactar
y publicar su circular (1/2016) para aclarar cuanto antes los cri-
terios que tendrá en cuenta para ejercer el principio acusatorio
contra las empresas y, como broche final, en el escaso plazo de dos
años, el estándar internacional ISO ha publicado sendas normas
(ISO 19600 e ISO 37001) destinadas a uniformar los criterios
que debe reunir un modelo de gestión y control que asegure el
cumplimento y dote de garantías a los programas de prevención

de riesgo delictuales en la empresa.
ii. Por encima de todas las recomendaciones, esquemas, normas y
directrices que bombardean la labor de Compliance, hay una que
debe estar siempre presente cuando se aborde la implementación
de un programa o modelo de prevención de delitos: el sentido
común.
Una Organización pequeña adecuará sus recursos y sus medios a su

entidad y circunstancias. Una gran empresa o un grupo empresarial hará
el mismo ejercicio y destinará los recursos humanos y financieros que sean
pertinentes y razonables.
Y ambas utilizaran el sentido común para adecuar su modelo de ges-
tión y control a la idiosincrasia de la organización, su apetito por el riesgo,
la consecución de los fines comerciales y la diligencia debida en la llevanza
de sus actividades. La implementación de un programa de gestión que
reduzca o evite los delitos debe ser proporcional a la forma y manera de
operar y hacer negocios y no puede convertirse siempre en una palanca
que ralentice o impida las distintas velocidades a las que determinados
procesos y actos deben llevarse a cabo. No puede anegar de políticas y
procesos a una organización y debe crecer y moverse con cierta soltura
y sincronía con las áreas de negocio en las que está presente. Tan nefasto
puede ser no contar con un modelo como sepultar a la empresa con pro-
tocolos que hagan imposible la normal llevanza de los asuntos o la opera-

tividad. Aquí es donde brilla por su presencia o ausencia el sentido común,
un intangible de las labores de Compliance infravalorado.

Guía para La Implantación Del Compliance en La Emp... - (Capítulo 7) PDF

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Guía para La Implantación Del Compliance en La Emp... - (Capítulo 7) PDF

Caricato da

Copyright:

Formati disponibili

capÍtulo 7

Diseño de un sistema de Compliance

Iñigo Gómez Berruezo

En el presente capítulo se abordan de forma práctica y en base a

deremos de vista las alusiones a datos y conceptos teóricos que fundamen-

La reforma del Código Penal operada en marzo de 2015 propuso una

Y este es el punto de partida de la determinación del riesgo y de todas

de responsabilidad penal a GLOBALIA por parte del Juzgado central de

1. aproxImaCIón al rIesGo delICtual de la empresa

1.1. Qué hace

Para determinar los riesgos es IMPRESCINDIBLE conocer qué

de todas las líneas de negocio de la empresa, el «core» de su actividad, el

1.1.1. Trabajo previo de campo. Documentación

El trabajo inicial que debe acometerse en esta fase de la determina-

Cuando nos sentemos con la cúpula de la empresa, su departamento

implementar un programa de prevención de delitos y los hitos de su de-

1.1.2. Tone at the top. Implicación de la alta dirección

Una de las claves para el éxito o el fracaso en la correcta implementa-

cúpula directiva de la empresa esté presente y certifique su presencia. Para

Por el contrario, la presencia e implicación de la alta dirección generará

1.2. ¿Cómo lo hace?

Uno de los aspectos más importantes de la determinación de los ries-

Solo conociendo cómo desempeña sus actividades la organización

1.2.1. Selección de entrevistados

o no reflejan incorporaciones estratégicas que deberían ser entrevistadas.

Si bien el organigrama es un documento útil para poder determinar

1.2.2. Enfoque de las entrevistas

Se trata de conocer el qué y el cómo y la mejor forma de aproximarse

Este último aspecto se suele concretar con el anuncio y fijación de las

– Fijación del día y hora de la entrevistas con una breve introduc-

Esta descripción aporta mucha información previa que facilita la

En el transcurso de las entrevistas deberá quedar acotado en relación

– Sus competencias y responsabilidades.

Hacer que el entrevistado se sienta cómodo. La entrevista tiene

Centrar en sus actividades las preguntas. A menudo las con-

relata cómo es la contratación de bienes y servicios con la administra-

previo a la entrevista. Estos checklist255 pueden ser estandarizados o bien

Cuando determinemos un riesgo, partiremos de un nivel o gradua-

El art. 31 bis del Código Penal apela a la eficacia y eficiencia de un mo-

255. En el mercado existen en la actualidad herramientas informáticas que incluyen

2. fIjaCIón del rIesGo

2.1. Conciliación de los tipos penales. Cómo, quién y cuándo se

Una vez que los responsables orgánicos y operativos hayan facilitado

i. Poder establecer medidas concretas sobre personas y actividades

Todas las medidas, controles y actividades dirigidas a la minimización

3. determInaCIón del rIesGo penal de la empresa (mapa de rIesGos)

3.1. El riesgo penal

El riesgo es, a las actividades de la empresa, la confluencia entre la

3.1.1. Riesgo inherente

El riesgo inherente257 sería aquél que presenta en sí misma cualquier

Una empresa que se dedique al tratamiento de residuos tiene un

257. ENSEÑAT, SYLVIA, Manual del Compliance Officer, Thomson–Reuters, 2016.

mapa de riesgos unos valores altos, medios o bajos en función de la acti-

3.1.2. Riesgo neto

Cuando se aludía a las medidas y controles que para la prevención de

i. Existencia de políticas reales y documentadas sobre procesos que

denoten una eficacia y eficiencia en las actividades para las que

Deficitario. Estaría implementado y parcialmente enfocado al riesgo

3.1.3. Riesgo residual

una irregularidad en este ámbito pueda «solo» tener impacto en el plano

Es sobre la base de la misma, por encima de la eficacia y eficiencia de

3.2. Los parámetros del mapa: Probabilidad e impacto

Nuestro mapa de riesgos parte de dos vectores: La probabilidad y el