corporate compliance: especial referencia al …

1

TRABAJO FIN DE GRADO

GRADO EN DERECHO

Departamento de Economía Aplicada

Área de Economía Aplicada

Curso 2016/2017

0

CORPORATE COMPLIANCE: ESPECIAL REFERENCIA AL COMPLIANCE TRIBUTARIO.

ALICIA BLANCO PÉREZ

Tutor:

JOSÉ IGNACIO SÁNCHEZ MACÍAS

Junio de 2017

3

TRABAJO FIN DE GRADO

GRADO EN DERECHO

Economía Aplicada

Área de Economía Aplicada

CORPORATE COMPLIANCE:

ESPECIAL REFERENCIA AL

COMPLIANCE TRIBUTARIO

CORPORATE COMPLIANCE:

PARTICULAR REFERENCE TO TAX

COMPLIANCE

Nombre del/la estudiante: ALICIA BLANCO PÉREZ e-mail del/a estudiante: [email protected] Tutor/a: JOSÉ IGNACIO SÁNCHEZ MACÍAS

5

RESUMEN

El corporate compliance constituye un novedoso tópico de innegable actualidad. Su

evolución desde el denominado bussiness ethics anglosajón y su reciente incorporación

al derecho penal español promovida por la LO 1/2015, de 30 de marzo, de reforma del

Código Penal, no son sino prueba de su relevancia.

Por ello, el presente trabajo estará enfocado hacia un análisis práctico de lo que esta

cultura de cumplimiento ético-normativo supone, destacando su aplicabilidad, sus

beneficios y su importancia en el sector empresarial. El objetivo principal será aportar al

lector una perspectiva transversal de su incidencia en los distintos ámbitos del Derecho

y la Economía tanto a nivel nacional como internacional, haciendo especial hincapié en

la materia tributaria.

Palabras clave: Blanqueo de capitales, cultura de cumplimiento, cumplimiento

normativo, ética societaria, fraude fiscal, mapa de riesgos, programa de cumplimiento,

responsable de cumplimiento.

ABSTRACT

Nowadays, corporate compliance is a brand new topic of undeniable presence. Its

evolution from the anglo-saxon “business ethics” to its recent incorporation into the

Spanish criminal Law promoted by the LO 1/2015, 30th

of March, of Criminal Code

reform, is good proof of its relevance.

Therefore, this study is focused on a practical analysis of what ethic and normative

compliance involves, pointing out its applicability, advantages and importance in the

business world. Its main purpose is to bring the reader a transversal perspective of its

incidence in the different branches of Law and Economy, both nationally and

internationally, giving particular emphasis to Tax Law.

Key Words: Business ethic, chief compliance officer, compliance program, culture of

compliance, money laundering, regulatory compliance, risk map, tax evasion.

6

ÍNDICE DE CONTENIDOS

Índice de abreviaturas ................................................................................................ 8

Introducción ............................................................................................................. 10

1. El compliance o cumplimiento ético-normativo .............................................. 11

1.1. Orígenes del corporate compliance. Evolución en el Derecho comparado ..... 12

1.2. El art. 31 bis CP: La responsabilidad penal de las personas jurídicas y la

incidencia del compliance en España. ............................................................... 15

1.2.1. Breve comentario del art. 31 bis CP: La Circular 1/2016 de la Fiscalía

General del Estado y la STS 154/2016 de 22 de enero ................................... 16

1.3. ¿Cuál es, en definitiva, la función del compliance? ¿Hasta qué punto es útil? 17

1.4. ¿Es el papel del compliance el mismo que el de una asesoría? ........................ 19

2. El corporate compliance program como herramienta de gestión y control

empresarial ......................................................................................................... 20

2.1. ¿Qué es un compliance program? La implantación de un Plan de Prevención de

Riesgos Penales. ................................................................................................ 20

2.2. ¿Qué elementos han de conformar un Programa de prevención de riesgos

penales? ............................................................................................................. 22

2.2.1. Estructura de detección y neutralización de delitos: el mapa de riesgos

........................................................................................................................ 23

2.2.2. Elaboración de un código ético de conducta ............................................ 26

2.2.3. Sistema de información continuada ........................................................ 27

2.2.4. Formación de la plantilla: los programas de sensibilización .................. 28

2.2.5. Canal de denuncias. Sistema disciplinario de infracciones y sanciones . 29

2.2.6. Creación de un organismo de control autónomo. La gestión empresarial

ante la comisión de un hecho delictivo .......................................................... 30

3. El compliance officer ........................................................................................... 32

3.1. Requisitos académicos y formativos ................................................................ 32

7

3.2. ¿Cuáles son las funciones externalizables? Responsabilidad del Chief

compliance officer ............................................................................................. 33

4. Problemática en su implantación: el compliance tributario .......................... 34

4.1. El compliance tributario: especial mención al delito de blanqueo de capitales

............................................................................................................................ 39

5. Conclusiones ........................................................................................................ 41

6. Bibliografía .......................................................................................................... 45

8

ÍNDICE DE ABREVIATURAS

AEAT Agencia Estatal de la Administración Tributaria

ART Artículo

BEPS Base Erosion and Profit Shifting

CCO Chief Compliance Officer

CE Constitución Española

CP Código Penal

D. Leg Decreto Legislativo

EEUU Estados Unidos de América

EPA United States Environmental Protection Agency

FACTA Foreign Account Tax Compliance Act

FGE Fiscalía General del Estado

ISO International Organization for Standardization

LO Ley Orgánica

LPBC-FT Ley de Prevención del Blanqueo de Capitales y de la Financiación

del terrorismo

MiFID Markets in Financial Instruments Directive

OCDE Organización para la Cooperación y el Desarrollo Económicos

SEC US Securities and Exchange Comission

SEPBLAC Servicio Ejecutivo de la Comisión de Blanqueo de Capitales e

Infracciones Monetarias

SLAs Service Level Agreements

STC Sentencia del Tribunal Constitucional

TC Tribunal Constitucional

9

UE Unión Europea

UNE Una Norma Española

10

INTRODUCCIÓN

Permítaseme una disculpa inicial. Muy a mi pesar y siendo consciente de la gran

variedad y riqueza de nuestra lengua española, objetivamente he optado por hacer uso

del término anglosajón compliance para hacer referencia al sistema de cumplimiento

ético-normativo que en este trabajo será desarrollado. Entiendo y asumo su utilización

simplificará y mejorará la comprensión para el lector.

En una sociedad cada vez más compleja donde el cumplimiento normativo ha

dejado de ser patrimonio único y exclusivo del sector regulado, el viejo aforismo

societas delinquere non potest ha perdido su vigencia, abriendo paso a su vez a unos

modelos que aportan una posible atenuación y/o exoneración de responsabilidad penal

que, como veremos, recientemente ha sido implantado en España.

Con el objetivo de profundizar en la materia, entiendo necesario estructurar el presente

trabajo en cuatro bloques que, sin embargo, se encuentran íntimamente

interrelacionados, acompañando toda la obra de unas conclusiones finales fruto de la

reflexión personal. En definitiva, se expondrán varias cuestiones interesantes: qué es el

compliance, cómo se implanta, quién se ocupa de ello y cuáles son los retos que plantea

su aplicabilidad en el ámbito tributario.

En el primer apartado realizaremos una aproximación de los orígenes y evolución de la

materia de cumplimiento normativo, incidiendo en la reciente implantación en el

Derecho español. A mayores y teniendo en cuenta las reiteradas dudas e interés entre los

administradores y altos cargos empresariales, trataremos de dar una aproximación de las

diferencias entre el compliance y la asesoría jurídica, instruyendo a su vez en la utilidad

que éste puede aportar a una organización empresarial.

En un segundo apartado trataremos su contenido: cómo ha de estar conformado un plan

de contingencias penales, qué exige actualmente tanto la normativa como los sectores

doctrinales y tribunales, cómo ha de implantarse y supervisarse, y la incidencia actual

de la denominada “ética societaria”.

En tercer lugar introduciremos la esencial figura del responsable de cumplimiento, su

perfil de competencias, y las numerosas funciones que de él se esperan dentro de este

esqueleto ético-normativo implantado, formado por normas y conductas.

11

Finalmente, nos detendremos en un ámbito especialmente relevante: ¿cómo puede

afectar el corporate compliance al sector tributario? Y más concretamente, ¿es posible

una atenuación o exoneración de responsabilidades de la persona jurídica por delitos

cometidos contra la Hacienda Pública, como es el caso del blanqueo de capitales?

¿Quién se ocupa de elaborar, implantar y controlar esta cultura de cumplimiento

normativo tributario en una empresa?

Con el objetivo de poder responder a todas estas preguntas y siendo conscientes

de la transversalidad de materias que este Trabajo de Fin de Grado podría acotar, tanto

desde la perspectiva penal, empresarial, económica, internacional como jurídica,

conviene aclarar que el contenido de esta obra se centrará en el Derecho económico,

siendo sin embargo inevitable aportar ciertas pinceladas y referencias a las

anteriormente mencionadas ramas de conocimiento.

1. EL COMPLIANCE O CUMPLIMIENTO ÉTICO-NORMATIVO

En un entorno cada vez más voluble y competitivo donde “el pez grande se

come al pequeño”, las organizaciones empresariales precisan buscar mejoras en

innovación de procesos, productos y servicios; nuevos modelos de organización que les

permitan jugar un papel en la carrera competitiva que es el mercado. La mera

inadaptación al cambio podría suponer enormes desajustes en su estructura y beneficios,

pudiendo dar lugar incluso a la quiebra societaria.

Es por ello que, consecuencia de un marco regulatorio cada vez más transversal y un

agravamiento en la situación financiera a nivel internacional, las organizaciones

empresariales han venido adoptando aquello que a lo largo de esta obra denominaremos

en términos generales como “cultura de cumplimiento normativo proactivo”. La

tendencia societaria actual se decanta ya no sólo por la rentabilidad de las operaciones,

sino también por la sostenibilidad, la fidelización y la creación de un impacto positivo

en el marco en el que opera, tanto material como personal. La efectiva puesta en marcha

de estas medidas permitirá promover una imagen sana y sostenible1 y, por ende, una

1 En este mismo sentido se pronunciaba en 2001 la Comisión Europea en su Libro Verde “Fomentar

un marco europeo para la responsabilidad social de las empresas”, indicando textualmente que “cada vez

es mayor el número de empresas europeas que fomentan sus estrategias de responsabilidad en respuesta

a diversas presiones sociales, medioambientales y económicas (…). Al obrar así, las empresas invierten

en su futuro, y esperan que el compromiso que han adoptado voluntariamente contribuya a incrementar

su rentabilidad”.

12

maximización del valor de la empresa en el mercado frente a aquellas que no las hayan

adoptado: “el pez grande, se come al más lento”.

En el marco de esta “cultura de cumplimiento”, el compromiso de transparencia

corporativa juega un rol imprescindible: las normas, prácticas, y cultura ética defendida

por la entidad han de ser visibles pero, sobre todo, controladas. Y aquí es precisamente

donde entra en juego el compliance.

1.1. Orígenes del corporate compliance. Evolución en el derecho comparado.

Para poder bucear en la materia, es necesario ahondar previamente en sus

orígenes. Algunos de los grandes escándalos ocasionados a principios del siglo XXI

(Parmalat, Enron, Tyco International y WorldCom entre otros2) conllevaron una

incipiente preocupación social respecto del modo en que se gestionan las empresas. La

institución del compliance nace de la necesidad de controlar los riesgos generados por

las actividades empresariales, que incluso pudieran conllevar una puesta en peligro de

los intereses colectivos. Es precisamente ésta la razón por la cual el Estado, como

garante del bien común, ha establecido mecanismos de control que reduzcan hasta un

punto tolerable las posibles consecuencias socialmente dañosas de las empresas en

ejercicio de su actividad empresarial3.

Tanto el Foreign Corrupt Practices Act de 1977 en EEUU como el UK Bribery

Act4 de 2010 en Reino Unido, son los considerados cimientos de la política

anticorrupción empresarial5.

A partir de los años 40 del siglo pasado, algunas empresas dedicadas a la fabricación de

componentes eléctricos tales como Siemens comienzan a dotarse de programas de

cumplimiento para la prevención de conductas contrarias a la competencia6. Junto al

florecimiento del compliance en este sector, en el mercado de valores también se

2 Escándalos deshonestos perpetrados por grandes empresas estadounidenses tales como Enron, Tyco

International y WorldCom, que operaban mediante contabilidad falseada y extorsión hacia Gobiernos

extranjeros, provocaron pérdidas millonarias, despidos y una caída en picado de la reputación tanto

empresarial como de la economía de mercado estadounidense. En este sentido se pronuncia SÁIZ PEÑA,

C.A., Compliance: Cómo gestionar los riesgos normativos en la empresa, “Compliance en la normativa

sectorial”, Thomson Reuters Aranzadi, Pamplona 2015, p.481. 3 GARCÍA CAVERO, P., Criminal Compliance, Palestra, Lima 2014, p.14 y ss.

4 Traducción literal del inglés: “Ley de Prácticas Corruptas en el Extranjero” y “Ley Antisoborno

2010”. 5 SÁIZ PEÑA, C.A., “Compliance: cómo gestionar…”, op., cit., p.155 y ss.

6 NIETO MARTÍN, A., “Origen y evolución del cumplimiento normativo”, Manual de cumplimiento

penal en la empresa, Tirant Lo Blanch, Valencia, 2015, p.30.

13

observa un impulso: la SEC7 de los años 30 exige a las empresas el establecimiento de

controles internos (self policing) que supervisen las funciones de los brokers; exigencia

que finalmente se hace latente con las medidas específicas introducidas por la Insider

Trading and Securities Enforcement Act de 1988, promovida por numerosos escándalos

en Wall Street 8.

No será hasta pasados diez años cuando comiencen a popularizarse estas medidas

preventivas entre los países de la UE inspirándose en las regulaciones de la SEC, con la

intervención de la OCDE y las Naciones Unidas. Concretamente, la Directiva de

contratos públicos de la UE (2014) incluye incentivos para aquellas empresas que

cuenten con programas de cumplimiento (art. 57.6).

Así pues, desde los años noventa del siglo pasado, esta denominada

“autorregulación regulada” ha venido abriéndose camino como mecanismo de control

de riesgos empresariales, de manera que es la propia empresa la que decide

autosometerse a ciertos parámetros de actuación en consonancia con la legalidad

vigente9.

Así, en EEUU históricamente el desarrollo del cumplimiento normativo se ha llevado a

cabo por parte de la Administración con las funciones de controlar la actividad

empresarial, pero también de asesorar, publicar estándares de cumplimiento, y en

definitiva, participar en su formación10

.

Por el contrario, esta faceta está mucho menos desarrollada en la UE, donde se ha

venido desarrollando en mayor medida un proceso de descentralización: el sector

privado, el compliance, está comenzando a ocuparse en cierta medida de las

obligaciones de control estatales, apareciendo así este instrumento de gobernanza global

o global law; fenómeno al que indudablemente le sigue un control ex post por parte del

Estado, que es cada vez menos asistencial pero no por ello menos regulador.

7 The US Securities and Exchange Comission, Comisión de Bolsa y Valores de los Estados Unidos.

8 NIETO MARTÍN, A., “Origen y evolución… op., cit., p.30.

9 GARCÍA CAVERO, P., Criminal Compliance, Palestra, Lima 2014, p.14 y ss.

10 El ejemplo más llamativo es la Audity Policy de la EPA: aquellas empresas que descubren

vulneraciones en la normativa medioambiental podrán comunicarlo a la EPA, corregir sus efectos y

conseguir una reducción en las sanciones administrativas, así como una “recomendación” dirigida a los

fiscales para evitar así una acción penal. (NIETO MARTÍN, P., Manual de cumplimiento penal en la

empresa, Tirant Lo Blanch, Valencia 2015, p.30.)

14

La autorregulación empresarial o compliance convive con la intervención

estatal: sus orígenes anglosajones cada vez se están extendiendo más en la legislación

de la UE y sus Estados miembros. Si bien es cierto que en el derecho comparado y

especialmente en los Estados Unidos existe una amplia experiencia en este campo, no

acabe olvidar que nos encontramos en un marco jurídico diferente.

En el caso de EEUU o Reino Unido, las normas de cumplimiento normativo (Foreing

Corrupt Practices Act y Brivery Act, respectivamente) han sido introducidas por

órganos estatales tales como la Sentencing Comission y la Secretaría de Estado de la

Justicia. En otros ordenamientos europeos, este papel ha sido asumido por el legislador:

es el caso de Italia, (art. 6 D.Leg. 231/2001)11

, estableciendo un sistema híbrido en el

que se permite ventilar la responsabilidad penal de las personas físicas y la aplicación de

posibles sanciones por responsabilidad administrativa a la persona jurídica en

cuestión12

; sistema que, en definitiva, ha sido importado por el legislador español.

En líneas generales, los países del continente europeo han venido adoptando el modelo

de responsabilidad penal de las personas jurídicas implantado en EEUU, que gira en

torno al cumplimiento de los programas organizativos13

y la proyección de una ética de

“buen gobierno corporativo”: los códigos de gestión y organización.

Encontramos, por otro lado, el desarrollo llevado a cabo por la Convención Anti-

corrupción de la OCDE –a la que se encuentran suscritos los 34 países de la propia

OCDE, más otros 7 Estados no miembros-, que ha supuesto un impulso para la

implantación y desarrollo del compliance en empresas no anglosajonas. Especial

relevancia cobra el documento Good Practice Guidance on Internal Controls, Ethics,

and Compliance, publicado en 201014

, así como las periódicas revisiones del Grupo de

Trabajo sobre corrupción de la OCDE al que se han suscrito numerosos países15

.

11

NIETO MARTÍN, P., Manual de cumplimiento… op., cit., p.30 y ss. 12

FOUREY GONZÁLEZ, M., “Compliance penal: fundamento, eficacia y supervisión. Análisis

crítico de la Circular 1/2016 de la Fiscalía General del Estado”, Actualidad Jurídica Uría Menéndez,

2016, p. 60. 13

MARTÍNEZ PUERTAS, L., PUJOL CAPILLA, P., Guía para prevenir la responsabilidad penal de

la empresa, Thomson Aranzadi Reuters, Pamplona 2015, p.58 y ss. 14

OECD Council, Febrero 2010, «Good Practice Guidance on Internal Controls, Ethics and

Compliance», www.oecd.org 15

ENSEÑAT DE CARLOS, S., Manual del Compliance Officer, Thomson Reuters Aranzadi,

Pamplona, 2016.

http://www.oecd.org/

15

1.2. El art. 31 bis CP: La responsabilidad penal de las personas jurídicas y la

incidencia del compliance en España.

En España, la reforma llevada a cabo en el Código Penal mediante LO 5/2010

introdujo un importante cambio al desterrar lo que en Derecho de responsabilidad penal

se conoce como societas delinquere non potest16

. Posteriormente y de acuerdo con

diversas Directivas y Decisiones Marco provenientes de la Unión Europea, la LO

1/2015 de reforma del CP añadiría en su art. 31.2 bis como atenuante o incluso

eximente a dicha responsabilidad el haber establecido, antes del comienzo del juicio

oral, medidas eficaces para prevenir y descubrir los delitos que en el futuro pudieran

cometerse con los medios o bajo la cobertura de la persona jurídica, sin precisar

realmente a qué medidas se refería el legislador, ni tampoco desarrollar tales conceptos

mediante un Reglamento clarificador17

.

En relación con la mencionada responsabilidad penal de la persona jurídica

(donde también quedan incluidas las sociedades mercantiles públicas o que presten

servicios de interés económico general)18

, el actual art. 31 bis CP nos indica un numerus

clausus19

de conductas delictivas; actos que, según el precepto, han de haberse realizado

“en ejercicio de sus actividades sociales”, entendiéndose como tales aquellas a las que

se dedique la empresa.

A mayores, tales actuaciones empresariales han de haberse producido “por cuenta y en

beneficio directo o indirecto de las mismas”20

, de tal manera que existiría la posibilidad

de que el delito en cuestión pudiera haberse cometido tanto por un representante legal o

administrador actuando en nombre o por cuenta de la empresa, como por un empleado

subordinado, consecuencia de un control poco diligente y resultando ésta ser

16

Locución latina de “las sociedades no pueden delinquir”. 17

CARRAU CRIADO, R., Compliance para pymes, Tirant Lo Blanch, Valencia 2015, p.25 y ss. 18

MARTINEZ PUERTAS, L., PUJOL CAPILLA, P., Guía para prevenir…op., cit., p. 29- 19

Art. 31.1 bis CP: “En los supuestos previstos en este código (…)”. 20

Extracto del art. 31 bis CP: “(…) las personas jurídicas serán penalmente responsables de los

delitos cometidos, en el ejercicio de actividades sociales y por cuenta y en beneficio directo o indirecto

de las mismas, por quienes, estando sometidos a la autoridad de las personas físicas mencionadas en el

párrafo anterior, han podido realizar los hechos por haberse incumplido gravemente por aquéllos los

deberes de supervisión, vigilancia y control de su actividad atendidas las concretas circunstancias del

caso”. También conocida como la “actuación en nombre de otro”.

16

beneficiaria21

. Es decir, siguiendo la opinión de PASCUAL CADENA22

entiendo que

en este precepto se incluye la criminalidad en la empresa, de la empresa y a la empresa.

No obstante, dicha responsabilidad societaria solo existirá ante la comisión de

determinados delitos, de forma que la propia empresa deberá tomar medidas sólo

respecto de potenciales prácticas, y no respecto de todo posible delito recogido en el

CP23

.

1.2.1. Breve comentario del art. 31 bis CP: La Circular 1/2016 de la Fiscalía

General del Estado y la STS 154/2016 de 22 de enero

Precisamente esa necesidad de concreción unánimemente reclamada por

doctrina, tribunales y las innumerables empresas interesadas es la que ha provocado que

muy recientemente tanto la Fiscalía General del Estado como el Tribunal Supremo se

hayan pronunciado interpretando el contenido del art. 31 bis CP.

Del análisis de la Circular 1/2016 emitida por la FGE a fecha de 22 de enero se extrae

una postura mucho más subjetivista, en tanto que a la hora de valorar el procesamiento

de una persona jurídica, la Fiscalía parece dar mayor relevancia a la existencia de una

“cultura ética” que a la existencia propiamente dicha de un programa de prevención de

delitos24

.

Por su parte, la opinión mayoritaria del TS en STS n. º 154/2016, de 29 de febrero, nos

indica que “el núcleo de la responsabilidad de la persona jurídica” es precisamente la

ausencia de medidas de control que eviten o minimicen la comisión de infracciones

delictivas, y ello “más allá de la eventual existencia de modelos de organización y

gestión”25

-es decir, de corporate compliance programs-, y de un seguimiento en la

ética societaria.

De esta manera, el Alto Tribunal deja entrever que la mera existencia de unos

estándares éticos y de un programa de cumplimiento formalista, fungible y “en papel”

21

Podría resultar que las prácticas del trabajador provocasen no un beneficio, sino un perjuicio para la

empresa.

Noticia: http://www.interior.gob.es/prensa/noticias/-/asset_publisher/GHU8Ap6ztgsg/content/id/2329169 22

PASCUAL CADENA, A., El plan de prevención de riesgos penales y responsabilidad corporativa,

Wolters Kluver, Madrid 2016, p.30. 23

SÁIZ PEÑA, C.A., “Cinco grandes confusiones sobre compliance”, Compliance: cómo gestionar 24



2016, p. 61 25

STS 154/2016, de 29 de febrero, FJ 8º.

http://www.interior.gob.es/prensa/noticias/-/asset_publisher/GHU8Ap6ztgsg/content/id/2329169

17

que no se encuentren reflejados en medidas reales y eficaces de control y minimización

de riesgos no serán tenidos en cuenta como mecanismo de exención de responsabilidad

penal societaria. Así la luz de lo indicado y en palabras de las ya mencionadas US

Sentencing Guidelines, se exige que el modelo sea “generalmente eficaz” (generally

effective).

En definitiva y como veremos más adelante, el objetivo de las sucesivas reformas del

CP en esta materia no ha sido introducir el principio societas delinquere potest, sino

más bien sujetar los bienes de las personas jurídicas al pago de las responsabilidades

pecuniarias derivadas de la actuación delictiva de sus órganos de representación26

.

1.3. ¿Cuál es, en definitiva, la función del compliance? ¿Hasta qué punto es

útil?

Previo el análisis del contenido con el que ha de contar todo código de

cumplimiento, abordaremos una de las cuestiones más reiteradas: ¿Hasta qué punto es

útil o necesario?

El compliance en el campo jurídico y empresarial consiste en la implantación de

medidas internas y modelos organizativos en el seno de una sociedad que permitan

controlar y prevenir incumplimientos normativos, así como a la observancia de

parámetros de tipo ético. Como podremos deducir a lo largo de esta obra, se trata de una

materia que cuenta con gran transversalidad,27

dada su repercusión en los distintos

sectores del sistema jurídico.

Si bien es cierto que la prevención y control de delitos es la piedra angular entre las

funciones del compliance, no podemos reducir hasta tal punto sus competencias. De

hecho, suele venir asociada a materias de Gobierno Corporativo, Ética y

Responsabilidad Societaria, y Gestión de Riesgos, entre otras28

.

26

MARTÍNEZ PUERTAS, L. PUJOL CAPILLA, P., “Guía para prevenir…” op., cit., p.23. 27

Similarmente, BOCK, Criminal Compliance, Nomos, Baden-Baden 2010, p.278; ROTSCH, FS-

Samsom, p.141; EL MISMO, InDret 1/2012, p.3; ROXIN, I., StV 2/2012, p.116. 28

SÁIZ PEÑA, C.A., “Cinco grandes confusiones sobre compliance”, Compliance: cómo gestionar

los riesgos normativos en la empresa, Tirant Lo Blanch, Pamplona 2015, p.39 y ss.

18

Según defiende SÁIZ PEÑA29

, contar con una estructura sólida de compliance

genera ventajas tanto financieras como estratégicas.

La más visible, sin duda, es el ahorro económico30

. Las cuantías monetarias

provenientes del régimen sancionador de los delitos considerados graves y muy graves

en que podría incurrir una empresa son especialmente altas; sanciones que, en caso de

afectar al ámbito de la comunidad internacional son incluso mayores. En este sentido, la

reducción o incluso exención de responsabilidades penales que ofrece una estructura de

cumplimiento eficaz podría suponer evitar la pérdida de grandes sumas de dinero31

, la

retirada de licencias, o incluso el cese de la actividad económica y cierre de la sociedad.

A la hora de juzgar la diligencia de la persona jurídica en cuestión, los tribunales

realizarán un análisis ex ante, y no post hoc propter hoc –según el resultado

producido32

-, pues “la producción del ilícito penal no significa necesariamente que el

programa no sea efectivo en la prevención y detección de la conducta criminal”, según

la sección 8B 2.1 de las US Sentencing Guidelines.

No se trata, por lo tanto, de buscar la infalibilidad ni la perfección de las medidas

adoptadas, sino de reducir hasta un punto razonable las posibilidades de que alguno de

los miembros que conforma la red empresarial (empleado, administrador, directivo),

cometa un delito en su seno y beneficio.

Por otro lado, para todo tipo de entidad –pública o privada-, el cumplimiento

normativo juega un papel fundamental en el desarrollo del valor empresarial

reputacional, permitiendo preservar una buena imagen de marca, credibilidad y

renombre, hechos relevantes valorados tanto en la contratación pública como entre los

potenciales clientes (accionistas, inversores, proveedores, entre otros). Como el lector

podrá advertir, esta ventaja estratégica deriva de forma directa de la “actitud proactiva”

29

SÁIZ PEÑA, C.A., “Ventajas y beneficios del compliance en las organizaciones”, Compliance:

Cómo gestionar los riesgos normativos en la empresa, Thomson Reuters Aranzadi, Pamplona 2015, p.60

y ss. 30

A menudo las sanciones dependen del volumen anual de los negocios, llegando a alcanzar cifras de

millones de euros. SÁIZ PEÑA, C.A, “Ventajas…, op., cit., p.61. 31

En el mundo anglosajón existe el lema “si piensas que el compliance es caro, prueba sin ello”, como

respuesta a aquellos que defienden que el coste de un Programa de Cumplimiento no se amortiza, bloquea

los recursos internos e incluso aumenta la burocracia de la empresa. En este sentido se pronuncia

ALARCÓN GARRIDO, A., Manual teórico-práctico del compliance officer, Sepin, Madrid 2016, p.6. 32

CLEMENTE CASAS, I., ÁLVAREZ FEIJOO, M., “¿Sirve de algo un programa de Compliance

Penal? ¿y qué forma le doy? (Responsabilidad penal de la persona jurídica en la LO 5/2010:

incertidumbres y llamado por la seguridad jurídica)”, Actualidad Jurídica Uría Menéndez, 2011, p.43 y

ss.

19

de aquella empresa que, por motu proprio, ha decidido no solo cumplir con la normativa

propiamente dicha, sino añadir unas pautas éticas de conducta33

en su actividad

empresarial diaria.

Queda por tanto claro que, en suma, la función de compliance es beneficiosa, es

rentable y promueve el mantenimiento de una cultura empresarial sana y estable.

1.4. ¿Es el papel del compliance el mismo que el de una asesoría?

La irrupción de esta nueva política de cumplimiento normativo o prevención de

contingencias penales nos lleva a cuestionarnos si, en definitiva, sus funciones podrían

ser incluidas dentro del cometido del que pudiera ocuparse una asesoría o auditoría

interna que, en su caso, ya se encuentran normalmente implantadas en las sociedades

actualmente.

Pues bien, nada más lejos de la realidad, lo cierto es que la aparición de la figura del

chief compliance officer ha supuesto un respiro a la pesada carga de trabajo que suele

soportar la asesoría jurídica de cualquier empresa, siendo posible una convivencia y

actuación como aliados para el buen funcionamiento de la sociedad.

Ambos compartirán el rol de cumplir y hacer cumplir la normativa vigente, implantar

controles internos en los procesos negociales, de producción y/o de prestación de

servicios de la compañía, y sus labores se verán sometidas normalmente al control de

una auditoría, ya sea porque así lo indique una ley (por ejemplo, la Ley de Protección de

datos o de Blanqueo de Capitales34

), porque en su cumplimiento se incluyan estándares

internacionales (por ejemplo, la ISO 27000 sobre Seguridad de la Información o la ISO

19600 sobre sistemas de gestión de compliance), o por el hecho de que la revisión de su

cumplimiento normalmente se englobe dentro del alcance de otras auditorías (por

ejemplo, en materia de Buen Gobierno Corporativo)35

De esta forma, ambas figuras desarrollarán una labor preventiva, si bien con

distintos matices: mientras que la asesoría se dedicará en términos generales a indicar

“qué se puede hacer” legalmente, el CCO aportará el “qué se debe hacer” en la empresa.

En este sentido, el responsable de cumplimiento estaría actuando en una suerte de

33

Vid. apartado “Elaboración de un código ético de conducta” del presente trabajo, p.26. 34

LO 15/1999 de 13 de diciembre, de Protección de Datos de Carácter Personal, y Ley 10/2010, de 28

de abril, de Prevención del blanqueo de capitales y de la financiación del terrorismo, respectivamente. 35

SÁIZ PENA, C.A., “Compliance: cómo gestionar…” op., cit., p.43.

20

“predicador”, encargado de que las premisas implantadas tanto en el marco ético como

normativo diseñado en líneas generales por los conocimientos técnicos del asesor

jurídico se lleven materialmente a la práctica.

Así pues, en este equilibrio de roles, entiendo que el asesor defenderá los intereses de la

empresa, pero el CCO se dedicará en mayor medida a un objetivo que rebosa tales

intereses societarios y que incluso en algunas ocasiones será contrario.

2. EL CORPORATE COMPLIANCE PROGRAM COMO HERRAMIENTA DE

GESTIÓN Y CONTROL EMPRESARIAL

Aunque el cumplimiento normativo pueda parecer una evidencia, es una meta

difícil de conseguir. En las empresas existen multitud de factores que pueden llegar a

provocar la aparición de infracciones tanto a nivel interno como externo: el

desconocimiento de la normativa36

, la aparición de una cultura corporativa en la que la

obtención de beneficios prima sobre el respeto a la legalidad, la dilución de

responsabilidades en una empresa, etc.

Por todo ello, dicho cumplimiento normativo como objetivo de la dirección de una

empresa precisa de un instrumento de gestión: los programas de cumplimiento37

.

2.1. ¿Qué es un compliance program? La implantación de un Plan de

Prevención de Riesgos Penales.

Los compliance program se presentan no solo como el trivial deber de

observancia y cumplimiento de los mandatos jurídicos, sino como una carta de

intenciones societaria supervisada por un departamento especial de control y vigilancia.

Asimismo, se habla de un código de “cultura organizacional”38

, que permite a la

empresa incluir valores éticos y patrones que definan la práctica de la empresa en

cuestión, que se verán reflejados en la forma por la que sus directores o administradores

36

Del latín ignorantia jurit non excusat, también recogido en el artículo 6 del Código Civil español:

“La ignorancia de las leyes no excusa de su cumplimiento (…)”. 37

NIETO MARTÍN, A, “El cumplimiento normativo”, Manual de cumplimiento penal en la empresa,

Tirant Lo Blanch, Valencia 2015, pp.25 y ss. 38

PUYOL, J., Criterios prácticos para la elaboración de un código de compliance, Tirant Lo Blanch,

Valencia 2016, p.11 y ss.

21

la conduzcan, así como en el desempeño de los propios empleados y su relación con los

clientes y la sociedad, en términos generales.

Según indican tanto la Fiscalía General del Estado como el Tribunal Supremo, la

persona jurídica ha de estar en condiciones de poder acreditar documentalmente la

efectiva ejecución del programa de prevención, si bien tal acreditación solo constituirá

una prueba más de su existencia39

: deberá demostrarse el compromiso empresarial de

unas políticas ad hoc de cumplimiento en todos los ámbitos y niveles, estando dirigidas

a todo su personal, independientemente de su posición dentro de la sociedad40

.

Esta rendición de cuentas o accountability se traduce en la tarea y responsabilidad de la

persona jurídica de establecer los necesarios mecanismos que garanticen la definición,

adopción y ejecución de controles para la prevención, detección y reacción de conductas

ilícitas que puedan repercutir contra los intereses de la empresa. De esta forma no

solamente se consigue una acreditación de la diligencia requerida conllevando una

posible exención de responsabilidades penales-, sino también la existencia de normas

internas41

, que permitirán aplicar consecuencias disciplinares o laborales en caso de

comisión de una infracción.

Todo modelo de organización y gestión para la prevención de delitos ha de nacer

con apoyo y respaldo de las altas autoridades de la empresa, esto es, del Consejo de

Administración o la Junta General de socios42

. Además, el programa ha de haber sido

implantado antes de la comisión de cualquier tipo delictivo para que pueda ser tenido en

cuenta jurídicamente; requisito no obligatorio aunque sí aconsejable.

Asimismo, debe estar desarrollado con el objetivo de identificar riesgos, definir medidas

de prevención, y una vez puesto en marcha, se deberá informar e incentivar a los

39

CLEMENTE CASAS, I., ÁLVAREZ FEIJOO, M., “¿Sirve de algo un programa de compliance

penal? ¿Y qué forma le doy? (Responsabilidad penal de la persona jurídica en la LO 5/2010:

Incertidumbres y llamado por la seguridad jurídica) Actualidad Jurídica Uría Menéndez, 2011, p.43 y ss. 40

Ejemplo de ello lo encontramos en Gas Natural Fenosa. “Código de Compliance”.

http://www.gasnaturalfenosa.com/servlet/ficheros/1297147538083/DOC9IAC_2014_cast.pdf 41

SÁIZ PENA, C.A., Compliance: cómo gestionar los riesgos normativos en la empresa, Thomson

Aranzadi Reuters, Pamplona 2015, p.566. 42

ALARCÓN GARRIDO, A., “Elementos del modelo de organización y gestión de riesgos penales”,

Manual teórico-práctico del compliance officer, Sepín, Madrid 2016, p.71

http://www.gasnaturalfenosa.com/servlet/ficheros/1297147538083/DOC9IAC_2014_cast.pdf

22

miembros para promover su cumplimiento, y en su caso, la investigación y represión de

conductas contrarias a la legalidad y a la ética empresarial43

.

En resumidas cuentas y como veremos, un efectivo programa de compliance ha

de estar formado por políticas, normas y procedimientos.

2.2. ¿Qué elementos han de conformar un Programa de prevención de riesgos

penales?

Lejos de lo que parece dar a entender la Fiscalía General del Estado en su última

Circular 1/2016, no existen parámetros ni modelos en cadena a la hora de diseñar un

sistema de compliance44

. El motivo de esta indeterminación no es otro que la ausencia y

vaguedad de especificaciones por parte del legislador en momento de redactar el art. 31

bis CP, objeto de reforma mediante LO 1/2015, provocando una indudable inseguridad

jurídica respecto a la posibilidad de exención de responsabilidad penal corporativa. ¿Es

suficiente con elaborar un modelo de conducta, un código de intenciones? ¿Ha de

contener un whistleblowing? ¿Y un compliance officer?45

El propio art. 31.2 bis CP no esclarece estas dudas. Su redacción se enfoca en los

efectos y control del plan, pero no profundiza cómo ha de elaborarse un modelo de

prevención de riesgos penales ni cuál ha de ser su contenido; tan solo se menciona la

previsión de delitos, el control y la sanción aplicable.

Así pues, con el objetivo de ofrecer a las personas jurídicas una guía en el diseño

e implementación de su propio modelo, cabe tomar en consideración las diferentes

opiniones doctrinales, jurisprudenciales del Alto Tribunal y de la ya mencionada

Circular recientemente emitida por la Fiscalía General del Estado.

43

BALCARCE – BARRUEZO, Criminal Compliance y personas jurídicas, “El Criminal Compliance

en Derecho Penal. El anglicismo que llegó para quedarse”, B de F, Montevideo - Buenos Aires, 2016, p.

135 y ss. 44



2016, p. 68 y ss. 45

Del inglés, “sistema interno de denuncias anónimas” y “responsable de cumplimiento y prevención

penal”, respectivamente. Así lo indican MARTÍNEZ PUERTAS, L., PUJOL CAPILLA, P., “Los

modelos y su contenido”, Guía para prevenir la responsabilidad penal de la empresa, Thomson Reuters

Aranzadi 2015, p.95.

23

En términos generales, entiendo que la estructura del programa habrá de estar

conformada una ecuación binomial de prevención-detección y de evaluación-reacción46

,

todo ello presidido por un omnipresente y autónomo mecanismo de gestión-supervisión

(protagonizado por el Comité de compliance officer), como analizaremos más adelante.

Con todo ello, mencionaré una serie de pilares sobre los que, a mi juicio,

deberán asentarse las bases de un eficaz programa de cumplimiento.

PREVENCIÓN Y

DETECCIÓN

GESTIÓN E

IMPLANTACIÓN

EVALUACIÓN Y

REACCIÓN

Diagnóstico de delitos y

diseño del mapa de riesgos

Elaboración del Código

ético de conducta

Información continuada:

Revisión

Formación de la plantilla:

impartición de programas

de sensibilización

Canal de denuncias o

whistleblowing

Modelo de respuesta ante

una comisión delictiva

Sistema disciplinario:

imposición de sanciones

COMPLIANCE OFFICER: Organismo supervisor autónomo.

Fuente: elaboración propia

2.2.1. Estructura de detección y neutralización de delitos: el mapa de riesgos.

Antes de aventurarse en la elaboración, adopción e implantación del plan de

acción47

, conviene conocer de primera mano cuáles son los riesgos a los que la entidad

societaria se enfrenta. Y la mejor manera de conseguirlo es mediante un risk

assessment, esto es, una evaluación de riesgos tanto en el plano objetivo, subjetivo

como circunstancial48

:

46

Por su parte, la fiscalía fundamentalmente parece defender un modelo reactivo y sancionador ante el

descubrimiento de canales delictivos, en su Circular 1/2016. 47

SÁIZ PEÑA, C.A., “Diagnóstico y mapa de riesgos de Compliance”, Compliance: Cómo gestionar

los riesgos normativos en la empresa, Thomson Reuters Aranzadi, Pamplona 2015, p.533 y ss. 48

PASCUAL CADENA, A., “Evaluación y validez del plan de prevención de riesgos penales”, El

plan de prevención de riesgos penales y responsabilidad corporativa, Wolters Kluver, Baecelona 2016,

p.121

24

Plano objetivo. Para elaborar nuestro “mapa de riesgos ad hoc” es recomendable

llevar a cabo un evaluación (interna o externa) que ahonde concretamente en las

actividades llevadas a cabo por la empresa y sus previsibles focos de riesgo49

teniendo

en cuenta las dimensiones de la sociedad y de su plantilla (gran empresa o pymes;

nacional o internacional), el impacto y gravedad de las conductas, así como la

probabilidad de su comisión. En definitiva, se trata de estudiar y dimensionar en una

checklist50

“quién hace qué, qué responsabilidades derivarían, y en qué medida podrían

éstas llegar a responsabilizar a la empresa”.

Cabe tener en cuenta que contenido del programa no tiene por qué afectar

exclusivamente a aquellas normas de obligado cumplimiento para la empresa51

, sino que

a mayores podría extender su alcance bien por decisión interna, bien por exigencias

legales. En numerosas ocasiones la especialidad del sector o la materia a la que se

dedique la organización societaria implicará que no sea suficiente con acudir a la

normativa penal, sino que se deberá estudiar la normativa administrativa –denominadas

normas penales en blanco-, así como la europea52

.

Así las cosas y a modo de ejemplo, si nos encontrásemos ante una organización

dedicada al sector tributario, sus objetivos tendrían que estar principalmente vinculados

a la prevención del fraude y blanqueo de capitales53

.

Por otro lado, en su plano subjetivo habrá que analizar las mismas condiciones

de riesgo, esta vez dirigidas a las personas involucradas en la sociedad y la vinculación

que éstas mantienen con la misma. En la medida de lo posible,54

se analizará la relación

de los trabajadores y los directivos con la comisión de algún tipo de delito o

imprudencia previa que pudiera tener repercusión en su actividad productiva, y lo

mismo en relación con otras personas jurídicas relacionadas con la corporación (por

49

En palabras de GALLEGO SOLER, J.I. “Criminal Compliance y proceso penal: reflexiones

iniciales”, Responsabilidad de la Empresa y Compliance, Edisofer, S.L, Madrid, 2014, p.195., “no es

posible la creación de un control que garantice “riesgo 0”: lo que se pretende es atenuar o incluso

exonerar de responsabilidad a la empresa”. 50

MARTÍNEZ PUERTAS, L., PUJOL CAPILLA, P., “Los riesgos de las empresas”, Guía para

prevenir la responsabilidad penal de la empresa, Thomson Aranzadi Reuters, Pamplona 2015, p.81y ss. 51

SAIZ PEÑA, C.A, Compliance: cómo gestionar los riesgos normativos en la empresa, Thomson

Aranzadi Reuters, Pamplona 2015, p.564. 52

MARTÍNEZ PUERTAS, L., PUJOL CAPILLA, P., “Los riesgos…op., cit., p.81 y ss. 53

Vid. el correspondiente apartado a “Problemática en su implantación: el compliance tributario” del

presente trabajo, p.34. 54

Necesario tener cuenta la privacidad y el tratamiento de datos personales de la plantilla.

25

ejemplo, examinar si la conducta y funcionamiento de los proveedores concuerdan con

el código ético de la empresa en cuestión).

Finalmente, en su plano circunstancial, el CCO55

deberá encargarse de elaborar,

en concretas situaciones empresariales (por ejemplo, grandes contratos), un informe

preceptivo indicando si la corporación dispone de un plan de prevención de riesgos

laborales, un informe de buen gobierno corporativo, un plan de prevención de blanqueo

de capitales, de protección de datos, e informes de auditoría fiscal e informática, en su

caso56

.

Pues bien, todo este certificado ad hoc habrá de venir acompañado de una

valoración y un reflejo de los costes en los que ha incurrido la empresa, firmado por un

tercero no interviniente y depositado en cualquier medio que deje constancia fehaciente

de su existencia y fecha (por ejemplo, acta notarial).

A mayores, existen al respecto acuerdos de nivel de servicios, conocidas como las

Service Level Agreements (SLAs), que en términos generales aportan unas pautas sobre

“cómo hacer las cosas” entre proveedores de servicios y clientes, con el objetivo de fijar

unas líneas de calidad, eficiencia y organización que, si bien su adhesión es totalmente

voluntaria para las empresas y proveedores, permiten obtener grandes beneficios. En

este contexto destacan los estándares57

internacionales sobre gestión de riesgos58

tales

como la UNE-ISO59

31000:2009, que provee unas pautas para la identificación, análisis

55

Vid. apartado correspondiente a “El compliance Officer” del presente trabajo, p.31. 56

PASCUAL CADENA, A., “Evaluación y validez…, op., cit., p.125. 57

Según la Guía 2 ISO/IEC (ISO 2004 – 1), un estándar es “un documento establecido por consenso y

aprobado por un organismo reconocido, que prevé para el uso repetido y común de reglas, directrices o

características para actividades o sus resultados encaminadas al logro del grado óptimo de orden en un

determinado contexto”. Así las cosas, entiendo que su objetivo es simplificar la diversidad de las

operaciones entre empresas y proveedores, aportando un mínimo nivel de calidad y seguridad jurídica

armónico. 58

Definido el riesgo por la Guía ISO 73:2009 como “el efecto de la incertidumbre en los objetivos”

(impacto x probabilidad), siendo el efecto “una desviación de lo esperado”, y la incertidumbre “el estado

de carencia de información relacionada con la comprensión o el conocimiento de un evento, su

consecuencia o su probabilidad”. 59

Las normas ISO recogen pautas sobre calidad y gestión emitidas por la Organización Internacional

de Normalización. En cierta medida, la función que cumple esta “auditoría formal” es la de orientar a las

personas jurídicas y sobre todo acreditar que ésta ha implantado una estructura de producción de

bienes/servicios que cumple con el contenido mínimo estandarizado y de calidad respecto a unas

directrices e instrumentos de implantación. En este sentido se pronuncia PASCUAL CADENA, A.

“Evaluación y validez… op., cit., p.126.

26

y evaluación del riesgo; o la ya mencionada UNE-ISO 19600 sobre los sistemas de

gestión de compliance.60

En suma estas certificaciones constituyen para la empresa elemento importante de

acreditación ante los tribunales, así como un esencial mecanismo de diagnóstico y

vigilancia para su buen funcionamiento diario.

2.2.2. Elaboración de un Código ético de conducta.

Más allá de la prevención de la criminalidad intra y extra societaria, los modelos

de cumplimiento aspiran a hacer de la empresa un “ciudadano” respetuoso y cumplidor

de la legislación.

El Código ético encuentra su origen en el concepto de “Buen Gobierno”, de donde

derivan los Códigos internos de conducta61

. Considerado como la “carta de

presentación” de la empresa en el mercado, este documento es uno de los ingredientes

externamente más visibles del sistema de prevención delictiva. Tanto el Tribunal

Supremo como la Fiscalía62

han indicado que “el esfuerzo por incorporar en el seno de

su organización una auténtica cultura del cumplimiento normativo penal” es

instrumento sustancial para la atenuación o exoneración de responsabilidad empresarial

derivada de la comisión de un hecho delictivo63

. Así pues, implantar un Modelo de

Prevención de Delitos conlleva elaborar un código ético o de conducta y hacerlo

cumplir.

Las claves para un buen Código de buen gobierno corporativo subyacen en la

simpleza, claridad y accesibilidad de su contenido. Su objetivo no es otro que fijar los

valores, pautas de conducta y riesgos normativos previamente detectados en la ya

analizada fase de diagnóstico, abarcando ámbitos tanto éticos como normativos; crear

una cultura de legalidad basada en los fundamentos de la transparencia y la integridad,

60

MARTÍNEZ PUERTAS, L., PUJOL CAPILLA, P., “Los riesgos… op., cit., p.534. 61

Su evolución regulatoria se produjo a través del Código Olivencia, el Informe Aldama y el Código

Conthe, según indica SÁIZ PEÑA. C.A., Compliance: Cómo gestionar los riesgos normativos en la

empresa, Thomson Aranzadi Reuters, Pamplona 2015, p.567. 62

Concretamente, STS de 29 de febrero de 2016 y Circular de la Fiscalía General del Estado 1/2016. 63

ALARCÓN GARRIDO, A., Manual teórico-práctico del compliance officer, Sepin, Madrid 2016,

p.74.

27

previniendo las conductas irregulares y a su vez, respetando la normativa y los derechos

de los propios trabajadores64

.

Para que sea efectivo, habrá que analizar el ámbito de aplicación: empleados (evitar

discriminaciones laborales, promover la conciliación familiar), otras empresas (evitar la

competencia desleal), medio ambiente, clientes, proveedores… Las medidas adoptadas

serán de obligatorio cumplimiento para los trabajadores, mientras que a los demás

grupos mencionados se les deberá solicitar su aceptación.

Todo este engranaje de medidas conductuales serán supervisadas por el Comité Ético,

cuya función será esencialmente enjuiciadora de las denuncias recibidas: propondrá al

área de recursos humanos y a la Dirección las sanciones que considere oportunas, e

investigará los incumplimientos producidos. Sus funciones podrían ser atribuidas en la

Administración o delegadas en el compliance officer. Sea como fuere, contará con un

miembro del Consejo de Administración, un responsable de recursos humanos, el

abogado de la empresa y un directivo.

2.2.3. Sistema de información continuada

La necesidad de que exista una detección y prevención de los focos de riesgo es

precisamente lo que motiva la necesidad de periódicas valoraciones, que inviten a un

programa de supervisión dinámico.

Tanto la revisión rutinaria de la evolución de las actividades empresariales (nuevas

circunstancias en el mercado, cambios en los procedimientos o en la plantilla, demanda

del consumidor, evaluación de proveedores y terceros relacionados con la empresa,

entre otras65

), como el seguimiento de las novedades legislativas se convierten, en este

sentido, en puntos clave a la hora de elaborar un correcto programa de control de

riesgos.

Así pues, al igual que fue necesario en su momento redactar un certificado66

revisado

por expertos externos, es conveniente llevar a cabo un informe periódico (mensual,

trimestral o anual) haciendo hincapié en las medidas incluidas en el plan de prevención

64

LASCURÁIN SÁNCHEZ, J.A., Compliance, debido control y unos refrescos, Tirant Lo Blanch,

Valencia 2013, p.113 y ss. 65

MARTÍNEZ PUERTAS, L., PUJOL CAPILLA, P., “Los riesgos…, op., cit., p.88. 66

Vid. apartado correspondiente a “Estructura de detección y neutralización de delitos” del presente

trabajo, p. 23.

28

de riesgos penales; medidas que llevará a cabo el compliance officer mediante controles

rutinarios67

y por sorpresa.

2.2.4. Formación de la plantilla: los programas de sensibilización.

Los códigos de cumplimiento y conducta han de dar respuesta a los problemas

diarios que se les plantean tanto a trabajadores como a directivos, de tal manera que si la

normativa no cumpliese con esta misión, cualquier empleado podría incumplir la ley por

desconocimiento68

, creando un consecuente riesgo para la empresa.

Es por ello que los planes formativos, tanto genéricos como especializados en un

concreto sector del objeto empresarial, cumplen un papel muy relevante dentro de la

concienciación y la sensibilización del personal integrante en relación con las conductas

establecidas en su programa de cumplimiento69

. Tal formación ha de ser comprensible y

adecuada al personal al que le es impartida70

, si bien es cierto que, a mi juicio y

siguiendo la opinión de FOUREY GONZÁLEZ, existe un mínimo común denominador

del cual ningún trabajador debería ser excusado: el código ético o de conducta.

La publicación de un Código, como venimos reiterando, no es suficiente. La

interiorización, la implicación personal y en definitiva, la existencia de una “cultura de

cumplimiento” son vitales; motivo por el cual se aconseja que sea la figura autónoma

del compliance officer la encargada de elaborar dichos programas de formación para

cada una de las áreas de riesgo.

Ahora bien, cabe tener en cuenta que una buena formación no es sinónimo de

erradicación de posibles delitos: el empleado en cuestión (sea cual sea su “nivel” dentro

67

PASCUAL CADENA, A., “Evaluación y validez… op., cit., p.121 68

HORTAL IBARRA, J.C., VALIENTE IVAÑEZ, V., “Responsabilidad de la empresa…, op., cit.,

p.287. 69

Así lo indican las US Sentencing Guidelines, 8B2.1. B) 4 a), traducido del inglés: “La organización

ha de tomar las medidas razonables para comunicar periódicamente y de manera práctica sus estándares y

procedimientos, y otros aspectos del programa de cumplimiento y ética societaria (…) mediante efectivos

programas de aprendizaje y, en su caso, otorgando la apropiada información para los individuos en sus

respectivas tareas y responsabilidades” 70

A modo de ejemplo, no será necesario que el personal operario de fábrica conozca al detalle las

normas de trato en el sector público, hecho que sí será exigencia para el administrador de una empresa

farmacéutica. Así lo indica FOUREY GONZÁLEZ, M., “Compliance penal: fundamento, eficacia y

supervisión. Análisis crítico de la Circular 1/2016 de la Fiscalía General del Estado”, Actualidad Jurídica

Uría Menéndez 2016, p.70 y ss.

29

de la empresa) podría conocer lo societariamente intolerable y aún así desoír la

prohibición71

.

2.2.5. Canal de denuncias. Sistema disciplinario de infracciones y sanciones.

La transparencia, como contenido de la remarcada “cultura de cumplimiento”,

ha de ser el fundamento de un programa de compliance. La antigua tradición de

mantener silencio en los “trapos sucios” y el mal funcionamiento de la empresa ha de

ser sustituida por el fomento de la delación, en tanto que permitirán a la alta dirección

manejar una valiosa información a efectos de eludir una probable responsabilidad penal.

Desde el punto de vista interno, surge la obligación de que todo integrante de la

sociedad informe de los riesgos e incumplimientos al organismo encargado de la

supervisión: el Comité Ético, el compliance officer o el Comité, según las dimensiones

de la empresa.

En este sentido, los denominados whistleblowers72

permiten obtener datos respecto de la

eficacia (o no) del programa implantado73

, realizar una evaluación y asimismo

comprobar que las anteriores fases de detección de riesgos e implantación del Código

Ético de Conducta llevadas a cabo han tenido sus frutos. En suma, permite a la empresa

conocer sus ya latentes riesgos y reaccionar previa incoación de un proceso penal.

Ahora bien, el problema que subyace en esta práctica es el riesgo de caer en un

“ambiente policial” entre los propios trabajadores74

; conducta que no deja de ser

contraria a lo deseable según la cultura ética que debe preponderar en la empresa.

Algunas legislaciones como la estadounidense, según muestra la Sarbanes-Oaxley

Act75

, han optado por un canal de whistleblowing anónimo, ofreciendo garantías de

protección al “chivato” y asegurándose a su vez la efectividad del canal.76

En este

71

CLEMENTE CASAS, I., ÁLVAREZ FEIJOO, M., “¿Sirve de algo…, op., cit., p.46 yss. 72

Traducción del inglés “persona que hace sonar un pito, un silbato”, en referencia a una llamada de

atención o denuncia de irregularidades por parte de los trabajadores. 73

HORTAL IBARRA, J.C., VALIENTE IVAÑEZ, V., “Responsabilidad de la empresa… op., cit.,

p.289. 74


p.289. 75

Ley estadounidense conocida en español como el Acta de Reforma de la Contabilidad Pública de

Empresas y Protección al Inversor, nacida como respuesta a los escándalos de Enron y Worldcom durante

2001, modificando la normativa del mercado de valores. 76


p.291.

30

mismo sentido se ha pronunciado el Grupo de Trabajo de la UE creado por el art. 29 de

la Directiva 95/46/CE, si bien la normativa española mediante la LO 15/1999 de 13 de

diciembre, de protección de datos de carácter personal, siguiendo el Informe Jurídico

0128/2007 promovido por la Agencia Española de Protección de Datos, afirma que tales

denuncias solo deberían ser aceptadas si aparece identificado el denunciante, con la

exigencia de que sea tratado confidencialmente, en cumplimiento de los principios de

integridad y exactitud.

A este “canal ético” o de denuncias deberá acompañarle un canal de atención a clientes

y proveedores donde sea posible depositar las irregularidades observadas por parte de

estos sectores.

¿Cuáles han de ser las consecuencias de un reiterado incumplimiento de las

normas empresariales? La creación de un código ético-normativo sería papel mojado si

éste no viniera aparejado a un sistema sancionador; sanciones que serán proporcionales

a la gravedad del incumplimiento. Sin embargo, cabe tomar en consideración las

posibles fricciones entre el derecho penal y el derecho laboral frente a los posibles

despidos provocados por un incumplimiento muy grave, motivo por el que es más que

aconsejable que tal sistema disciplinario intra-societario sea compatible con el convenio

colectivo de aplicación al sector de que se trate77

.

2.2.6. Creación de un organismo de control autónomo78

. La gestión

empresarial ante la comisión de un hecho delictivo.

Aunque la iniciativa para adoptar un plan de cumplimiento venga de la mano del

Consejo de Administración, lo habitual es que la gestión del programa se delegue en

miembros de departamentos clave79

(asesoría jurídica, recursos humanos,

comunicación...), que aportarán la experiencia y conocimientos necesarios sobre la

empresa y su funcionamiento.

Los esquemas de un programa de cumplimiento no estarán normalmente encuadrados

por los límites de los tipos penales analizados en el “plan de riesgos”, sino que serán

77

ALARCÓN GARRIDO, A., “Manual teórico-práctico… op., cit., p.83. 78



2016, p.69 y ss. 79

HORTAL IBARRA, J.C., VALIENTE IVÁÑEZ, V., Responsabilidad de la empresa y Compliance:

programas de prevención, detección y reacción penal, EDISOFER, S.L, Madrid 2014, p.280 y ss.

31

más amplios. Para que un sistema de control interno ético-normativo como ya descrito

funcione, ha de estar configurado en tres puntos o líneas clave de defensa y vigilancia,

los cuales, en esencia, permitirán evitar solapamientos y a su vez definir con precisión el

ámbito de responsabilidades80

.

El primer mecanismo de defensa ha de estar constituido por el propio negocio, es decir,

las unidades operativas y sus trabajadores: sus obligaciones profesionales son

prioritarias, pero se considera que la propia empresa ha de incentivar que éstos se

involucren en la tarea del control interno, conociendo y gestionando los riesgos que

asumen. En el segundo escalón entra en juego el compliance, en tanto que unidad

especializada en el control de riesgos que se encargará de verificar el buen

funcionamiento de la anteriormente mencionada línea de defensa y aplicar las pautas

marcadas por la alta organización. Ambas líneas serán supervisadas por la Auditoría; y a

su vez, todo este organigrama podrá ser controlado por vías externas: auditores

externos, supervisores81

y en última instancia, los tribunales82

.

No es baladí indicar, sin embargo, que la responsabilidad última sobre el control de

riesgos recaerá siempre sobre los miembros de la alta dirección de la organización

(órgano de Administración y dirección ejecutiva). Por todo ello, es más que aconsejable

que ésta cuente con un programa donde se recoja una adecuada política de control de

riesgos, áreas, actividades y trabajadores que las desarrollan; control de riesgos que,

adelantamos, es uno de los objetivos del compliance officer.

Una vez se ha producido el hecho delictivo, la empresa deberá poder afrontar la

situación tanto desde el punto de vista legal, reputacional como económico y

productivo. La previa creación de un Comité de Gestión de Crisis ayudará a mitigar sus

efectos.

Este organismo, junto con el órgano de Administración de la empresa y el abogado,

tendrá que valorar las posibles respuestas frente al delito, eligiendo aquella que mitigue

lo máximo posible los efectos dañinos tanto colaterales como directos. Entre ellas, la

confesión a las autoridades, la colaboración con la investigación, la reparación del daño

80

ENSEÑAT DE CARLOS, S., Manual del Compliance Officer, Thomson Reuters Aranzadi,

Pamplona 2016, p.27 y ss. 81

En el supuesto de que nos encontremos ante empresas que operen en sectores regulados. 82

ENSEÑAT DE CARLOS, S., “Manual…, op., cit., p.27 y ss.

32

y el establecimiento de medidas posteriores a la comisión del delito son las cuatro

posibles atenuantes recogidas por el art. 31 quáter CP.

3. EL COMPLIANCE OFFICER.

Antes de la reforma del CP operada recientemente en 2015, los administradores

de las empresas, con motivo del cargo que ostentaban, eran quienes respondían

penalmente por los hechos u omisiones delictivas a nivel individual83.

Actualmente, sin embargo, resulta de indudable necesidad el nombramiento de

una persona que se encargue, en términos generales, de la dirección de este nuevo área

instaurada: el Chief ethics & Compliance officer. La Directiva 2004/39/CE del

Parlamento y del Consejo, también conocida como normativa MiFID84

, fue la primera

en introducir la obligación de contar con este cargo.

Según nos indica el inciso segundo del art. 31.2 bis CP, la empresa ha de haber creado

“un órgano (…) con poderes autónomos de iniciativa y de control o que tenga

encomendada legalmente la función de supervisar la eficacia de los controles internos

de la persona jurídica”; condición de la que se encuentran exentas las pequeñas y

medianas empresas85

, al indicarse en el apartado tercero del mismo precepto que dichas

funciones “podrán ser asumidas directamente por el órgano de administración”.

3.1. Requisitos académicos y formativos.

El perfil de un compliance officer ha de ser multidisciplinar, independiente,

neutral, comunicativo, preventivo y, sobre todo, reactivo ante la toma de decisiones.

La profesión de compliance no está, por el momento, regulada en España. En su lugar,

el ejercicio de este cargo estará regido por los términos contractuales entre el sujeto en

cuestión y la persona jurídica que precise de sus servicios. Ahora bien, tal como indica

83

Recordamos la ya mencionada traditio, societas delinquere non potest. 84

Directiva 2004/39/CE del Parlamento y del Consejo, de 21 de abril de 2004, relativa a los mercados

de instrumentos financieros; Directiva 2006/31/CE de 5 de abril de 2006 del Parlamento Europeo y del

Consejo y posteriores modificaciones. 85

Textualmente indica el precepto 31.3 bis CP que “son personas jurídicas de pequeñas dimensiones

aquéllas que, según la legislación aplicable, estén autorizadas a presentar cuenta de pérdidas y ganancias

abreviada”.

33

ALARCÓN GARRIDO86

, han de valorarse como requisitos para desempeñar esta tarea

la correspondiente titulación universitaria (Licenciatura o Grado en Derecho,

Administración y Dirección de Empresas o análogos) y disponer de un currículum

profesional teórico-práctico acreditativo sobre materias de compliance87

.

Cabe tomar en consideración, además, la confidencialidad de sus servicios88

y la

incompatibilidad de esta profesión con las relaciones personales/profesionales que

pudiere mantener con la empresa: la independencia ha de ser, sin duda, uno de sus

rasgos más destacados.

3.2. ¿Cuáles son las funciones externalizables? La responsabilidad del Chief

compliance officer.

Nombrado por la Administración empresarial, el papel de compliance officer

puede ejercerse como consultor externo o en régimen laboral, bien individualmente,

bien mediante sociedades profesionales89

. Cabe resaltar las amplísimas funciones que

este órgano abarca90

, si bien habrá de tenerse en cuenta las dimensiones y actividad de

la empresa para poderlas definir con exactitud:

En el marco de la gestión: implementación y control del cumplimiento del

Modelo de Prevención de Delitos, asistencia al órgano de Administración para la

actualización de la normativa vigente y la formación de la plantilla en relación

con las medidas adoptadas.

En el ámbito de la supervisión: la gestión del canal de denuncias y cumplimiento

de la “ética societaria” (caso de que no exista un Comité Ético).

Y también en el plano reactivo: investigación de incumplimientos,

establecimiento de objetivos y propuestas de cambio y elaboración de informes

86

ALARCÓN GARRIDO, A., “Manual teórico-práctico… op., cit., p.34 87

A modo de ejemplo, las Directrices de la ESMA (European Securities and Markets Authority)

indican, en relación con el sector financiero de la MiFID, que “el responsable del cumplimiento debería

poseer conocimientos específicos de las actividades empresariales desarrolladas por la empresa de

inversión (…) según el modelo de negocio de la empresa”. 88

En este sentido se pronuncia la Fiscalía General del Estado en la Circular 1/2016, indicando que

“deberá asumir la estricta confidencialidad y protección de datos, pues dicha actividad supone el acceso a

datos personales e información sensible de la empresa, debiendo cumplir escrupulosamente con las

obligaciones impuestas para la subcontratación por el art. 12 de la LO 15/1999, de 13 de diciembre, de

Protección de Datos de Carácter Personal. 89

ALARCÓN GARRIDO, A., “Manual teórico-práctico… op., cit., p.32 90

FOUREY GONZÁLEZ, M., “Compliance Penal: fundamento… op., cit., p. 73.

34

anuales respecto a la efectividad del instaurado Programa de cumplimiento, que

será remitido al Consejo de Administración.

Dada la gran carga de trabajo que todo esto supone, a menudo se suelen compartir las

funciones con la Comisión de Auditoría, cuya relación habrá de ser de interacción y

coordinación. Ahora bien, en palabras de la Fiscalía General del Estado91

, existe una

función indelegable: “crear la organización adecuada para verificar el cumplimiento

normativo y controlar su eficacia, siendo responsable de dicha función de manera

exclusiva la alta dirección de la empresa; sin que por tanto, se pueda externalizar dicha

función, pues en caso de externalizarse no serviría para exonerar de responsabilidad

penal al órgano de administración o dirección”.

En este sentido y en relación con las tareas asumidas por el responsable de

cumplimiento, podría éste en incurrir en responsabilidad (penal, civil, administrativa),

por falta de diligencia, tolerancia o complicidad, siempre que su reacción no hubiera

sido suficiente y/o efectiva92

. Concretamente la Fiscalía señala que en caso de que el

compliance officer hubiera omitido gravemente el control del autor del delito, también

se transferiría la responsabilidad penal de la persona jurídica.

Pero no por ello ha de ser obviada la posición de garante de la persona jurídica: el CCO

actúa por delegación, de manera que si tuviera lugar un delito, ésta en última instancia

incurriría en responsabilidad (art. 31 ter CP).

4. PROBLEMÁTICA EN SU IMPLANTACIÓN: EL COMPLIANCE

TRIBUTARIO.

Iniciábamos este trabajo haciendo hincapié en la gran relevancia e influencia que

la transversalidad, la alta exigencia normativa y la globalización han venido teniendo en

el sector del compliance.

Dada su naturaleza y el interés que supone para el público general y el mercado

económico, los operadores jurídicos se han venido planteando la aplicabilidad de las ya

mencionadas pautas marcadas por el compliance penal a otras ramas que exigen una

91

Circular 1/2016 de la Fiscalía General del Estado, interpretando el art. 31 bis CP. 92

Motivo por el cual se aconseja que los CCO dispongan de un seguro que respalde su actividad

profesional.

35

mayor especialidad y concreción. Su relevancia es tal que he considerado apropiado

dedicar un último apartado a tratar la importancia que supone la implantación de un

modelo de prevención de contingencias en un concreto sector de actividad que nos

concierne: el ámbito tributario.

El legislador se ha venido ocupando de regular ciertas obligaciones aplicables a esta

materia. La aprobación de la FACTA93

estadounidense así como de la Directiva

Europea relativa a los Mercados de Instrumentos Financieros (MiFID) y su reciente

sucesora (MiFID II)94

son buen ejemplo de ello, si bien el ámbito legislativo no será

objeto a tratar en las próximas líneas.

Hablar de cumplimiento tributario supone hablar de cumplimiento ético-

normativo y, por ende, de las numerosísimas maniobras existentes que a menudo son

utilizadas por personas físicas y jurídicas con la finalidad de evitar el pago de los

impuestos correspondientes.

Falsear ingresos, simular negocios jurídicos, emitir facturas falsas, la obtención de

bonificaciones y exenciones indebidas, la corrupción o la tan conocida planificación

fiscal agresiva no son sino ejemplos desgraciadamente bastante corrientes de lo que, en

definitiva, supone la comisión de un acto ilícito con la finalidad de enriquecerse a costa

del impago a las arcas del Estado español. Todo ello contribuirá a acentuar la dificultad

de control de cumplimiento ético-normativo si tenemos en cuenta la posibilidad de que,

en el mundo globalizado actual, las empresas no solo actúan internamente y a nivel

nacional, sino también mediante relaciones matriz-filial, operando en el mercado intra y

extracomunitario.

93

Foreign Account Tax Compliance Act, traducido del inglés “Ley de Cumplimiento Fiscal de

Cuentas Extranjeras”. 94

Respectivamente, Directiva 2004/39 CE, del Parlamento Europeo y del Consejo, de 21 de abril de

2004, relativa a los mercados de instrumentos financieros y su reforma, la Directiva 2014/65/UE. Este

tipo de Directivas reflejan la necesidad de protección de los clientes, estableciendo la obligatoriedad de

controles internos de cara a los inversores y de la entidad matriz, reguladas por el Estado.

Como podemos observar, sus rasgos son precisamente los que inspiran todo sistema de Compliance,

salvando las distancias: el objetivo perseguido por parte del Estado no es otro que el control, la necesidad

de supervisión, mientras que por parte de las empresas, lo es evitar las consecuencias de un

incumplimiento (sanciones astronómicas y responsabilidades penales, pérdida de reputación y buena

imagen, entre otras).

36

Como podremos observar, también aquí tendrá una enorme incidencia el papel del Chief

compliance officer en una labor que podremos denominar “control y prevención de

contingencias fiscales”.

¿Cómo puede tener certeza la empresa de que todos sus miembros cumplen

normativa y éticamente con las pautas establecidas? Pues bien, como venimos

indicando a lo largo de esta obra, el objetivo del compliance será siempre prevenir,

evitar y reparar la posible comisión de hechos delictivos, yendo un paso por delante a la

intervención de la justicia.

Así las cosas, la inmediata cuestión que nos surge al respecto es cómo ha de adaptar el

CCO este organigrama al ámbito sectorial tributario. Nos encontramos de nuevo con el

doble esquema inicial: prevención-detección y evaluación-reacción ante delitos fiscales,

todo ello presidido por un autónomo mecanismo de gestión-supervisión del

organigrama en que opere la sociedad en cuestión.

El primer paso, por tanto, será elaborar el mapa de riesgos tributarios, es decir, conocer

cuáles de esas conductas delictivas podrán ser potencialmente cometidos por la empresa

en su sector de actividad.

Por su transversalidad, considero que los delitos perpetrados contra la Hacienda

Pública95

serán los principales objetivos a tratar: la defraudación tributaria, el fraude

comunitario96

, el fraude de subvenciones o ayudas públicas y el delito contable97

(arts.

305, 306, 308 y 310 CP, respectivamente), incluyéndose a mayores la receptación, el

cohecho y el tan reseñable delito de blanqueo de capitales (arts. 298, 422 y ss. y 301

CP), sobre el que ahondaremos más adelante.

El incumplimiento de cualesquiera de las anteriormente mencionadas obligaciones

fiscales inherentes a la actividad empresarial, supondrá en todo caso infracción

95

Teniendo en cuenta el art. 31.1 CE: “Todos contribuirán al sostenimiento de los gastos públicos de

acuerdo con su capacidad económica mediante un sistema tributario justo inspirado en los principios de

igualdad y progresividad que, en ningún caso tendrá alcance confiscatorio”, la legislación referente a esta

materia tiene como objetivo la protección del erario público, la política económica y social, el ahorro, la

inversión y la distribución de la renta nacional. Por ende, y siendo interés del Estado la protección de los

mencionados bienes jurídicos, se permite la aplicación del art. 31 bis CP también esta materia.

En estos términos se pronuncia ALARCÓN GARRIDO, A., “Manual teórico-práctico… op., cit., p.147. 96

Delito introducido en España con motivo de la reforma del CP de 2015. 97

Incluimos en este ámbito la ausencia, alteración y doble contabilidad (conocida por la opinión

pública como “contabilidad en B”).

37

administrativa, y solo será considerado delito en caso de que las cuantías superen el

límite establecido de 120.000 euros, según nos señala la normativa vigente.

Una vez concretado este mapa de riesgos ad hoc, será necesario aprender a prevenir y

detectar riesgos, esto es, informar y formar a cada uno de los trabajadores y miembros

de la sociedad de los posibles delitos específicamente relacionados con sus labores, así

como del marco ético implantado en la organización.

A mayores, en caso de que la empresa opere en los denominados paraísos fiscales,

jurisdicciones de escasa o nula cooperación tributaria o con diversas filiales, habrá que

prestar especial atención a sus operaciones, revisando en todo caso su legalidad. Por

ejemplo, la revisión de los pagos y precios convenidos entre la empresa matriz y el resto

del grupo, la transparencia en los libros de registro y cuentas, y la regularización de las

relaciones para con sus proveedores o clientes y en relación con las facturas y los

trámites utilizados, entre otras cuestiones.

Una sociedad cualquiera podría tratar de obtener provecho de los tecnicismos o

inconsistencias de uno o varios sistemas fiscales con el objetivo de reducir su

cumplimiento normativo; de igual forma, también podría legítimamente estar haciendo

uso preferencial de un régimen fiscal buscando de igual forma el ahorro tributario pero

respetando la norma jurídica. En el primer caso nos encontramos ante una planificación

fiscal agresiva, mientras que en el segundo se plantea el totalmente legítimo uso de la

economía de opción. La reseñable diferencia entre ambas prácticas radicará

precisamente en la licitud de las medidas y el cumplimiento de la legalidad, y en este

sentido, será tarea del CCO vigilar los escenarios, maniobras y medidas de modo que no

se oculte, finja, altere ni simule ningún negocio jurídico. Que se lleve a cabo la opción

pero no la defraudación fiscal.

Por otro lado, la fuga de divisas y capitales se ha convertido en las últimas

décadas en uno de los mecanismos más utilizados entre las empresas para reducir el

impacto que la cotización en determinados sistemas tributarios puede llegar a tener en

sus rendimientos, expectativas y beneficios. Su afección al Estado provocará, como

podemos advertir, una repercusión negativa en la inversión y recaudación interna, y

como consecuencia una reducción en los efectivos disponibles para la prestación de

servicios a los ciudadanos que sí cumplen con sus obligaciones tributarias.

38

Estas prácticas en las que se transfiere capital al exterior con el objetivo de no cotizar a

las arcas públicas nacionales son especialmente potenciadas por la existencia de los

conocidos “mercados offshore”, que facilitan enormemente la tarea proporcionando

regímenes de escasa o nula tributación.

En este sentido, podemos entender que detrás de toda esta sofisticada industria

necesariamente se han de encontrar abogados, economistas, asesores98

y contables

especializados en planificación agresiva, cuyo papel como enablers será clave.

La atribución de responsabilidades y detección de riesgos y conductas poco acordes a la

legalidad será, por tanto, un cometido atribuido al responsable de cumplimiento (CCO)

de la propia sociedad, que, adoptando las oportunas medidas, podría lograr una

atenuación o incluso exención de responsabilidades penales empresariales en los

términos ya indicados.

¿Cómo acreditar este cumplimiento? La labor del compliance officer se habrá de

centrar en el muestreo de información, facturas y datos cualesquiera que le permitan

llegar a la convicción de que las prácticas societarias son conformes a la legalidad.

Sin embargo, esta tarea puede llegar a ser especialmente laboriosa. Es por ello que

algunos de los mecanismos más prácticos a utilizar serán los informes de asesorías

jurídicas que acrediten la autorización para realizar transacciones en efectivo, de

auditorías que garanticen la veracidad contable y los pagos debidamente realizados a la

Hacienda Pública, o certificados emitidos por la Agencia Estatal de la Administración

Tributaria que recoja el efectivo cumplimiento con las obligaciones fiscales por parte de

la empresa99

.

Así pues, de lo que se trata es de observar el objeto para el cual fue creada la empresa en

cuestión, los efectivos económicos y materiales de los de dispone, los servicios que

presta, las relaciones con terceros, los flujos de ganancias-pérdidas y, en definitiva, el

conjunto de caracteres que conforman y definen la actividad de la sociedad en el

mercado nacional e internacional. Sólo así será posible llevar a cabo un eficaz mapa de

98

Destacando las operaciones de las “Cuatro Grandes” firmas internacionales de consultoría y

auditoría: KPMG International Cooperative, EY (Ernst & Young), Deloitte y PricewaterhouseCoopers

(PwC). 99

ALARCÓN GARRIDO, A., “Manual teórico-práctico… op., cit., p.153 y ss.

39

riesgos que permita identificar, prever y, por tanto, adelantarse a la comisión delictiva

por parte del compliance.

Ahora bien, en esta tarea de detección de conductas delictivas fiscales no solo se

ha volcado el compliance, sino también las propias autoridades estatales preocupadas

por responsabilizarse y tomar medidas resolutivas en materia de elusión fiscal. Buen

ejemplo de ello lo encontramos en los trabajos realizados por la OCDE100

: en materia de

planificación fiscal agresiva BEPS101

o la conocida “Convención Anticohecho” de

1997102

.

4.1. El compliance tributario: especial mención al delito de blanqueo de

capitales

A menudo, sociedades empeñadas en eludir el cumplimiento de la ley hacen uso

de otras prácticas ilícitas cuyo conocimiento supone un trabajo más dificultoso para las

autoridades, debido normalmente a la procedencia del capital no ingresado.

El tráfico ilegal de armas, el narcotráfico, la inmigración ilegal y la financiación del

terrorismo son delitos que internacionalmente mueven masas, aportan grandes

beneficios materiales al delincuente (que normalmente suele estar integrado en una

organización criminal) y con ello, grandes sumas de dinero que busca ser blanqueado

con el objetivo de ser posteriormente disfrutado103

. La utilización de nuevas tecnologías

y la existencia tanto de paraísos fiscales como de gran diversidad de regulaciones

fiscales aplicables entre Estados dificultan aún más, si cabe, la tarea de identificación de

responsabilidades en los delitos cometidos.

Pues bien, en este marco de complejidades, el denominado money laundering o

lavado de dinero es sin duda una de las materias que mayor implicación ha tenido en el

corporate compliance.

100

Organización para la Cooperación y Desarrollo Económico. 101

Base Erosion and Profit Shifting, del inglés “Erosión de la base imponible y traslado de

beneficios”. https://www.oecd.org/ctp/10-preguntas-sobre-beps.pdf, consultado el 12 de junio de 2017. 102

https://www.oecd.org/daf/anti-bribery/anti-briberyconvention/Anti-

Bribery_Convention_and_Working_Group_Brief_ESPA%C3%91OL.pdf, consultado el 12 de junio de

2017. 103

El gran auge delictivo experimentado durante los ochenta abrió los ojos a la comunidad internacional,

dejando constancia de la necesidad de establecer medidas. Así nació el Grupo de Acción Financiera

Internacional (GAFI)

https://www.oecd.org/ctp/10-preguntas-sobre-beps.pdf

https://www.oecd.org/daf/anti-bribery/anti-briberyconvention/Anti-Bribery_Convention_and_Working_Group_Brief_ESPA%C3%91OL.pdf


40

En el orden normativo cabe destacar el Grupo de Acción Financiera Internacional104

,

mientras que en el caso de España el legislador ha decidido intervenir creando la ley

10/2010, de 28 de abril, de Prevención del Blanqueo de Capitales y de la Financiación

del Terrorismo (LPBC-FT) y el Servicio Ejecutivo de la Comisión de Prevención de

Blanqueo de Capitales e Infracciones Monetarias (SEPBLAC). En conjunto, podemos

extraer unas pautas bastante detalladas que nos pueden servir de orientación a la hora de

aplicar el compliance a esta materia.

Ciertamente, la normativa española sobre blanqueo de capitales se dedica a un gran

número de sujetos obligados (entidades crediticias, aseguradoras, promotores…), si bien

sólo será de nuestro interés la mención al ámbito privado.

Los mencionados sujetos estarán obligados a tomar las denominadas “medidas de

diligencia debida” a la hora de tratar con clientes o proveedores. Su propósito será

identificar formalmente a las personas con las que operen y a su titular real, determinar

el objeto de la relación de negocios y realizar un seguimiento que garantice que las

actividades desarrolladas son las indicadas en el objeto de sus relaciones105

.

Una vez analizadas tales medidas, el sujeto obligado –que normalmente será el

mismo CCO al que se le extenderán las funciones de cumplimiento tributario- podrá

implantar medidas específicamente reforzadas o simplificadas de diligencias debidas,

teniendo en cuenta la alta o baja posibilidad de que se produzca un delito de blanqueo

de capitales, respectivamente.

Para configurar tal mapa de riesgos, estos sujetos deberán tomar en consideración los

países en los que opera la sociedad, la tipología de sus clientes y proveedores, los

productos, operaciones y servicios que prestan y los canales de distribución

utilizados106

, así como el nivel de activos del cliente, volumen de operaciones y la

duración y propósitos de la relación negocial de que se trate.

Por ejemplo, no responderá a la misma problemática una multinacional offshore, con

pluralidad de proveedores en países en vías de desarrollo donde exista un mayor índice

de corrupción y por tanto mayores posibilidades de llevar a cabo un lavado de activos,

104

GAFI-TATF, del inglés Financial Action Task Force. 105

SÁIZ PEÑA, C.A., Compliance: cómo gestionar los riesgos normativos en la empresa, Thomson

Aranzadi Reuters, Pamplona 2015, p.201 y ss. 106

SÁIZ PEÑA, C.A., “Compliance: cómo gestionar…” op., cit., p.203.

41

que una empresa que actúe a nivel nacional o local donde el control no escapa tan

fácilmente de las autoridades. En el primero de los casos, el CCO deberá tomar medidas

mucho más reforzadas, y por supuesto, en cualquiera de los casos éstas deberán ser

periódicamente revisadas.

Dentro de este organigrama de medidas internas de control, la prevención y la

existencia de órganos de control interno son vitales. Concretamente, será necesario que

la empresa tenga en su plantilla a un representante ante el SEPLAC que dé cuenta e

informe sobre las obligaciones indicadas en el Reglamento107

, un órgano de control

interno que se ocupe de la aplicación de las medidas de prevención de blanqueo y, en el

caso de las sociedades que excedan de 50 millones de euros en su cifra anual de

negocio, una unidad técnica de tratamiento y análisis de la información.

Junto a ello, cabe mencionar de nuevo el papel de los estándares éticos en la

contratación, el desarrollo de operaciones y las buenas prácticas en el concreto sector de

actividad de que se trate.

En definitiva, los conflictos de interés, la colaboración en el lavado de dinero, el

uso de información privilegiada, los falseamientos de precios, el fraude, la obtención de

bonificaciones indebidas… Todo ello son riesgos que han de ser tenidos en cuenta a la

hora de desarrollar unas políticas de comportamiento ético y normativo empresarial, y

en los que, por tanto, jugará un importante papel tanto la implantación de un compliance

program como en las labores desempeñadas por el CCO, con el propósito de obtener

una reducción o una exención de las responsabilidades penales y financieras.

5. CONCLUSIONES

PRIMERO. El aumento de la complejidad y ausencia de armonización

normativa, la globalización e internacionalización de las actividades empresariales y los

numerosos escándalos perpetrados por importantes compañías evidenciaron que el mero

control en el seno de las sociedades no es garantía suficiente para el desarrollo saludable

107

Art. 33 del Reglamento de desarrollo de la LPBC-FT. Necesario dar cuenta de la política de

admisión de clientes, de los procedimientos de diligencia debida, de las operaciones que pudieran verse

involucradas en el blanqueo de capitales, de los flujos de información entre directivos, empleados y

agentes, y de los procedimientos de detección de hechos sujetos a examen especial. En estos términos se

pronuncia SÁIZ PEÑA, C.A., “Compliance: cómo gestionar…” op., cit., p.204.

42

del sector empresarial. En España, las recientes reformas del CP promovidas por LO

5/2010 y LO 2/2015 introdujeron la responsabilidad penal de las personas jurídicas, y

con ello un margen de maniobra que permitiría una posible atenuación o exención de

tales responsabilidades, siempre que se cumplieran una serie de condiciones por parte

de los sujetos obligados.

SEGUNDO. Parece interesante destacar que, de entre tales requisitos

condicionantes recogidos en el art.31 bis CP, la mera existencia en la estructura

societaria de un mapa de riesgos y de un código de conducta no es suficiente para

conseguir tal atenuación o exoneración de responsabilidades penales.

Ante una indeterminación en el contenido de la normativa, la Fiscalía General del

Estado, la doctrina y la jurisprudencia del Alto Tribunal coinciden en la necesidad de un

compromiso demostrado de acatamiento, implantación, supervisión y continua

renovación de los planes de prevención de riesgos penales, de manera que el compliance

no se convierta en simple palabrería y papel mojado. En este sentido, tanto la existencia

de un canal de denuncias como de un sistema disciplinario de sanciones juegan aquí un

rol importante.

TERCERO. No existe un modelo universal de compliance program. La

estructura societaria, con ayuda del departamento de Recursos Humanos, la auditoría, la

asesoría jurídica y sobre todo del responsable de cumplimiento, deberá ser capaz de

crear un denominado “mapa de riesgos” adaptado a sus estructuras y necesidades, así

como un código ético de conducta, que habrán de ser conocidos por todos los miembros

que compongan la empresa, atendiendo a sus concretos focos de riesgo.

CUARTO. La línea de defensa y prevención de actos delictivos perpetrados por,

para y contra la empresa está conformada por varios pilares. Primeramente, los propios

asalariados o unidades operativas, en relación con las actividades que desempeñen. En

segundo lugar, el compliance, encabezado por el compliance officer, en tanto que

unidad especializada en el control de riesgos. Ambas líneas serán supervisadas por la

Auditoría y otras vías externas y, en última instancia, los tribunales.

A pesar de lo indicado y dado que la responsabilidad última sobre el control de riesgos

recaerá siempre sobre los miembros de la alta dirección, se considera aconsejable que la

43

empresa cuente con un programa donde se recoja una adecuada política de control de

riesgos.

QUINTO. De los profesionales dedicados a la implementación y vigilancia del

cumplimiento de los programas se esperan no sólo unos conocimientos jurídicos, sino

que también habrá de poseer un manejo en las técnicas de control interno y de gestión

de políticas empresariales. He aquí las razones por las que considero que el jurista-

economista experimentado o con dominio en materia de contabilidad, en general, será el

candidato idóneo para tomar el protagonismo en esta nueva tendencia profesional en

auge.

SEXTO. En gran parte, el cumplimiento normativo ha dejado de ser visto como

una lacra para la empresa, un mero mecanismo para evitar las sanciones penales.

Actualmente, las sociedades parecen ser más conscientes de que son buenas las

consecuencias de plantear una integración de la ya definida como “cultura de

cumplimiento normativo proactivo” entre los pilares de su estructura diaria de

funcionamiento.

Ha quedado demostrado que son muchos y muy positivos los beneficios que aporta el

corporate compliance, tanto cualitativa como cuantitativamente; tanto interna como

externamente. A mayores, no hemos de olvidar la importancia que la buena imagen de

marca y la transparencia pueden llegar a suponer para el buen funcionamiento y

reputación de una empresa. Es por ello que la tendencia actual se decanta ya no sólo por

la rentabilidad de las operaciones empresariales, sino también por la sostenibilidad y la

creación de un impacto ético positivo para con sus proveedores y potenciales clientes.

SÉPTIMO. Parece interesante puntualizar la transversalidad que alcanza la

materia de corporate compliance. Sus inicios en el sector bursátil, corporativo, penal y

su extensión hacia otras materias tales como la rama laboral, financiera,

medioambiental, protección de datos y seguridad de la información son buen ejemplo de

ello. Sin embargo, entiendo que el cumplimiento normativo cobrará y de hecho está

cobrando actualmente una mayor relevancia en el sector tributario.

OCTAVO. Delitos como la prevaricación o el cohecho pueden afectar

seriamente a la recaudación de las arcas públicas del Estado. Sin embargo, por su

especialidad, considero que no todo sujeto tiene acceso a su comisión, en tanto que para

44

ello es necesario un procedimiento de contratación pública, un contacto con un miembro

corrupto funcionariado, etc. Por su parte, los delitos de fraude fiscal son fácilmente

accesibles, e incluso me aventuraría a indicar, bastante habituales. Esta problemática

unida a la existencia de tráfico de estupefacientes, blanqueo de capitales y la tan popular

planificación fiscal agresiva, conforman el hábitat perfecto para la comisión de actos y

hechos delictivos mucho más difícilmente detectables por las autoridades estatales, pero

conllevando graves repercusiones y sanciones penales para las empresas.

A la vista de la importancia aplicativa del art. 31 bis CP, las personas jurídicas podrían

introducir mecanismos de prevención, modelos de gestión de riesgo en la comisión de

delitos contra la Hacienda Pública y, de esta manera, aplicar todo el organigrama del

plan de prevención de contingencias al ámbito fiscal, consiguiendo una atenuación o

exoneración de las responsabilidades penales societarias.

Por todo ello, indudablemente nos encontramos ante un escenario de grandes retos y

oportunidades para todos aquellos dedicados profesionales al servicio y dirección de

una empresa en España.

45

BIBLIOGRAFÍA

ALARCÓN GARRIDO, A., Manual teórico-práctico del compliance officer,

Sepín, Madrid 2016.

BALCARCE – BARRUEZO, Criminal Compliance y personas jurídicas, B de

F, Montevideo - Buenos Aires, 2016.

BOCK, D., Criminal Compliance, Nomos, Baden-Baden, 2011, en ROTSCH,

T., FS-Samson, 2010; EL MISMO, InDret 1/2012; ROXIN, I., StV 2/2012.

CARRAU CRIADO, R., Compliance para pymes, Tirant Lo Blanch, Valencia

2015.

CLEMENTE CASAS, I., ÁLVAREZ FEIJOO, M., “¿Sirve de algo un programa

de Compliance Penal? ¿Y qué forma le doy? (Responsabilidad penal de la persona

jurídica en la LO 5/2010: incertidumbres y llamado por la seguridad jurídica)”,

Actualidad Jurídica Uría Menéndez, 2011.

ENSEÑAT DE CARLOS, S., Manual del Compliance Officer, Thomson Reuters

Aranzadi, Pamplona, 2016.

FOUREY GONZÁLEZ, M., “Compliance penal: fundamento, eficacia y

supervisión. Análisis crítico de la Circular 1/2016 de la Fiscalía General del Estado”,

Actualidad Jurídica Uría Menéndez, 2016.

GARCÍA CAVERO, P., Criminal Compliance, Palestra, Lima 2014.

GALLEGO SOLER, J.I., Responsabilidad de la Empresa y Compliance,

Edisofer, S.L, Madrid, 2014.

HORTAL IBARRA, J.C., VALIENTE IVÁÑEZ, V., Responsabilidad de la

empresa y Compliance: programas de prevención, detección y reacción penal,

EDISOFER, S.L, Madrid 2014.

LASCURÁIN SÁNCHEZ, J.A., Compliance, debido control y unos refrescos,

Tirant Lo Blanch, Valencia 2013.

MARTÍNEZ PUERTAS, L., PUJOL CAPILLA, P., Guía para prevenir la

responsabilidad penal de la empresa, Thomson Aranzadi Reuters, Pamplona 2015.

46

NIETO MARTÍN, A., Manual de cumplimiento penal en la empresa, Tirant Lo

Blanch, Valencia, 2015.

PASCUAL CADENA, A., El plan de prevención de riesgos penales y

responsabilidad corporativa, Wolters Kluver, Madrid 2016.

PUYOL, J., Criterios prácticos para la elaboración de un código de compliance,

Tirant Lo Blanch, Valencia 2016.

SÁIZ PEÑA, C.A., Compliance: Cómo gestionar los riesgos normativos en la

empresa, Thomson Reuters Aranzadi, Pamplona 2015.

JURISPRUDENCIA Y LEGISLACIÓN:

Circular de la Fiscalía General del Estado, 1/2016.

Directiva 2004/39/CE del Parlamento y del Consejo, de 21 de abril de 2004,

relativa a los mercados de instrumentos financieros.

Directiva 2006/31/CE de 5 de abril de 2006 del Parlamento Europeo y del

Consejo y posteriores modificaciones.

Ley 10/2010, de 28 de abril, de Prevención del blanqueo de capitales y de la

financiación del terrorismo.

Libro Verde de la Comisión Europea, “Fomentar un marco europeo para la

responsabilidad social de las empresas”, 2001.

LO 15/1999 de 13 de diciembre, de Protección de Datos de Carácter Personal.

LO 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

STS 154/2016, de 29 de febrero.

US Sentencing Guidelines.

47

PÁGINAS WEB:

Base Erosion and Profit Shifting, del inglés “Erosión de la base imponible y

traslado de beneficios”, disponible en https://www.oecd.org/ctp/10-preguntas-sobre-

beps.pdf, consultado el 12 de junio de 2017.

Convencion Anticohecho de la OCDE y el Grupo de Trabajo sobre el Cohecho,

disponible en

https://www.oecd.org/daf/anti-bribery/anti-briberyconvention/Anti-

Bribery_Convention_and_Working_Group_Brief_ESPA%C3%91OL.pdf, consultado el

12 de junio de 2017.

Directrices de la ESMA (European Securities and Markets Authority),

https://www.esma.europa.eu/

Good Practice Guidance on Internal Controls, Ethics and Compliance, OECD

Council, Febrero 2010, disponible en www.oecd.org

NOTICIAS:

http://www.interior.gob.es/prensa/noticias/-

/asset_publisher/GHU8Ap6ztgsg/content/id/2329169, consultado el 12 de junio de

2017.





http://www.oecd.org/



corporate compliance: especial referencia al …

Documents