ComplianceKeys#33: Errores más frecuentes al implantar un Sistema de Compliance
La implantación de un Sistema de Compliance constituye hoy un pilar estructural de la gobernanza corporativa. La consolidación de estos Sistemas en el ámbito empresarial encuentra su origen en la reforma operada por la Ley Orgánica 1/2015, de 30 de marzo, que introdujo en nuestro ordenamiento jurídico la posibilidad de exoneración de responsabilidad penal si se demostraba haber implantado un modelo de organización y gestión adecuado para prevenir o reducir el riesgo de comisión delictiva derivado de su actividad. Desde entonces, la exigencia de modelos de organización y gestión eficaces ha dejado de ser una mera buena práctica para convertirse en un instrumento esencial de prevención, detección y mitigación de riesgos penales.
A pesar de la indiscutible relevancia jurídica y reputacional de un Sistema de Compliance, muchas empresas incurren en errores frecuentes durante su diseño e implementación, hecho que puede privar al modelo de su eventual eficacia eximente o atenuante en el ámbito penal, al evidenciar un déficit estructural de organización incompatible con las exigencias del artículo 31 bis 2 del Código Penal.
El presente ComplianceKeys#33 analiza los errores más frecuentes que se producen en la implantación de un Sistema de Compliance, con el objetivo de identificar aquellas prácticas que, lejos de fortalecer la cultura de cumplimiento, erosionan la efectividad del modelo y comprometen su validez.
El primer error, y quizá el más recurrente, consiste en copiar un modelo estándar sin adaptación a la actividad real. Puede parecer una solución rápida, pero un modelo genérico raramente resiste un análisis pericial, ni supera el escrutinio que acompaña a una investigación penal. El Compliance penal debe diseñarse atendiendo a la actividad concreta, el sector, el tamaño, la estructura, las ubicaciones geográficas en los que opera la organización, la tipología de terceros y, sobre todo, los riesgos reales derivados de procesos y decisiones internas. La ausencia de esa adecuación material convierte el Sistema en un mero expediente documental, desconectado de la operativa diaria. En este sentido, la Circular 1/2016 de la Fiscalía General del Estado, de 22 de enero, al interpretar el alcance del artículo 31 bis del CP tras la reforma operada por la LO 1/2015, advierte expresamente que la adopción de modelos de organización y gestión meramente formales o estandarizados genera fundadas dudas sobre su eficacia real y sobre la autenticidad del compromiso de la persona jurídica con la prevención de delitos. Esta advertencia resulta coherente con la crítica doctrinal a los denominados Paper Compliance, entendidos como sistemas diseñados exclusivamente para proyectar una apariencia de cumplimiento normativo, pero carentes de integración efectiva en la estructura organizativa, en los procesos decisorios y en la cultura corporativa.
De forma estrechamente vinculada a lo anterior, destaca la falta de un informe de riesgos penales detallado. Con frecuencia se confunde el análisis de riesgos con la mera enumeración de tipos penales en un documento, o incluso con la reproducción acrítica de grupos de delitos conforme a su sistemática en el CP, por ejemplo, la referencia genérica a los delitos contra el mercado y los consumidores. Sin embargo, un informe de riesgos penalmente relevante exige identificar escenarios de exposición concretos, asociarlos a los procesos y/o actividades que desarrolla la compañía, valorar su probabilidad e impacto, así como contar con una metodología de valoración de riesgos coherente y con criterios sólidos.
En tercer lugar, se considera un error grave delegar íntegramente el Sistema en el departamento jurídico o en un responsable formal, sin contar con la implicación efectiva del órgano de administración y la alta dirección. El tone from the top no debe entenderse únicamente como un mecanismo de comunicación corporativa, sino como un auténtico elemento probatorio de la diligencia debida ejercida por la alta dirección y el órgano de administración. Por el contrario, cualquier ambigüedad, tolerancia o falta de reacción frente a prácticas dudosas por parte de quienes ostentan la máxima responsabilidad organizativa puede ser interpretada como una aceptación implícita del riesgo, evidenciando un déficit de control incompatible con las exigencias del artículo 31 bis 2 del Código Penal.
Resulta igualmente problemático subestimar la importancia de una cultura de organizacional como elemento esencial del Compliance, que implique a todos los miembros de una organización. Un modelo puede estar técnicamente bien configurado, pero será ineficaz si no existe un compromiso real y transversal con el cumplimiento normativo. La cultura ética es el soporte que transforma los procedimientos en prácticas asumidas por los integrantes de una organización. Sin cultura, el Compliance se reduce a una arquitectura formal carente de efectividad sustantiva.
Ahora bien, esa cultura no surge de manera espontánea ni puede darse por supuesta: exige, necesariamente, un esfuerzo estructurado y continuado de formación y sensibilización. Por ello, la falta de formación específica y periódica no es solo un déficit operativo autónomo, sino también una causa directa de debilitamiento de la cultura ética. Un Sistema será ineficaz si quienes gestionan procesos críticos desconocen qué conductas generan riesgo penal para la organización o cómo deben actuar ante situaciones de conflicto o dilemas prácticos. La formación no puede limitarse a una sesión aislada en el tiempo ni a la repetición mecánica anual de contenidos estandarizados; debe ser periódica, actualizada, segmentada en función de responsabilidades y riesgos específicos, y adecuadamente documentada. Asimismo, conviene distinguir formación (transmisión de conocimientos y procedimientos aplicables) de sensibilización (consolidación cultural y refuerzo de mensajes éticos), porque ambas cumplen funciones diferentes y complementarias.
En sexto lugar, es frecuente nombrar de forma meramente formal un órgano de control, que puede ser tan unipersonal como colegiado. Un Compliance Officer “de nombre” o un comité que no se reúne, no analiza, no propone mejoras y no deja evidencias, equivale, a efectos jurídicos, a la inexistencia real del órgano de supervisión exigido por el artículo 31 bis 2 2º del Código Penal. Las funciones y responsabilidades del Compliance Officer pueden consultarse en el ComplianceKeys#18 o ComplianceKeys#32.
A ello se le suma un error operativo clásico: manuales extensos, excesivamente técnicos y sin uso real. La sobreproducción documental puede generar una apariencia de robustez, pero resulta contraproducente si los textos son ininteligibles o inaplicables. Las políticas y procedimientos deben ser claros y operativos, con instrucciones concretas, criterios de decisión y roles definidos. El lenguaje jurídico puede y debe estar presente, pero sin sacrificar la comprensión práctica de quienes deben cumplirlo.
También es particularmente lesivo no revisar y actualizar el Sistema tras cambios internos o legales. Un Sistema obsoleto es, en la práctica, un sistema inútil. Variaciones en la estructura organizativa, rotación de personal, entrada en nuevos mercados, cambios en la gama de productos o servicios o reformas normativas deben reflejarse en el mapa de riesgos, los controles y los procedimientos. La actualización no debe concebirse como una tarea excepcional, sino como un ciclo periódico de revisión, con indicadores, auditorías internas, evaluaciones de efectividad y planes de acción.
En cuanto a los mecanismos de detección, otra equivocación común (que incluso puede dar lugar a una sanción en caso de estar obligado a implantarlo) es la ausencia de un canal interno de información, que en todo caso debe respetar la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción. Sin canal, sin garantías frente a represalias y sin un procedimiento de actuaciones, el Sistema pierde uno de sus pilares de prevención y detección temprana ante posibles ilícitos penales.
Otro de los errores más grave consiste en concebir el Compliance como un mero requisito formal o documental. El denominado Make-Up Compliance o Paper Compliance -modelos diseñados únicamente para aparentar cumplimiento- no solo resultan ineficaces desde la perspectiva preventiva, sino que difícilmente podrán desplegar eficacia eximente o atenuante en el marco del artículo 31 bis del Código Penal.
En esta línea, otro error frecuente es la ausencia de consecuencias internas ante el incumplimiento de políticas y procedimientos. Esta falta de sanciones no solamente debilita estructuralmente el modelo, sino que evidencia una carencia de cultura ética real, al transmitir la percepción de que las normas internas carecen de seriedad, fuerza vinculante y respaldo efectivo por parte de la dirección. Cuando el incumplimiento no genera respuesta, el mensaje organizativo implícito es que el cumplimiento es opcional, erosionando así la credibilidad del Sistema y su capacidad preventiva.
En definitiva, un Sistema de Compliance solo despliega eficacia real cuando se concibe como un instrumento vivo, integrado en la estructura y cultura de la organización. La mera formalización documental no satisface las exigencias del artículo 31 bis del Código Penal ni garantiza su potencial eficacia eximente o atenuante. La clave reside en la adecuación al riesgo, la implicación efectiva del órgano de administración y dirección y la actualización constante del Sistema.
Solo desde una implementación auténtica y materialmente efectiva puede el Compliance convertirse en el verdadero motor de integridad corporativa y en la garantía que sostiene el cumplimiento normativo de la organización.