TFG Blanco Pérez Alicia

0
TRABAJO FIN DE GRADO
GRADO EN DERECHO
Departamento de Economía Aplicada
Área de Economía Aplicada
Curso 2016/2017
CORPORATE COMPLIANCE:
ESPECIAL REFERENCIA AL
COMPLIANCE TRIBUTARIO.
ALICIA BLANCO PÉREZ
Tutor:
JOSÉ IGNACIO SÁNCHEZ MACÍAS
Junio de 2017
1
2
TRABAJO FIN DE GRADO
GRADO EN DERECHO
Economía Aplicada
Área de Economía Aplicada
ESPECIAL REFERENCIA AL
COMPLIANCE TRIBUTARIO
PARTICULAR REFERENCE TO TAX
COMPLIANCE
Nombre del/la estudiante: ALICIA BLANCO PÉREZ

e-mail del/a estudiante: aliciablape@usal.es
Tutor/a: JOSÉ IGNACIO SÁNCHEZ MACÍAS
3
4
RESUMEN
El corporate compliance constituye un novedoso tópico de innegable actualidad. Su

evolución desde el denominado bussiness ethics anglosajón y su reciente incorporación
al derecho penal español promovida por la LO 1/2015, de 30 de marzo, de reforma del
Código Penal, no son sino prueba de su relevancia.
Por ello, el presente trabajo estará enfocado hacia un análisis práctico de lo que esta
cultura de cumplimiento ético-normativo supone, destacando su aplicabilidad, sus
beneficios y su importancia en el sector empresarial. El objetivo principal será aportar al
lector una perspectiva transversal de su incidencia en los distintos ámbitos del Derecho
y la Economía tanto a nivel nacional como internacional, haciendo especial hincapié en
la materia tributaria.
Palabras clave: Blanqueo de capitales, cultura de cumplimiento, cumplimiento

normativo, ética societaria, fraude fiscal, mapa de riesgos, programa de cumplimiento,
responsable de cumplimiento.
ABSTRACT
Nowadays, corporate compliance is a brand new topic of undeniable presence. Its

evolution from the anglo-saxon “business ethics” to its recent incorporation into the
Spanish criminal Law promoted by the LO 1/2015, 30th of March, of Criminal Code
reform, is good proof of its relevance.
Therefore, this study is focused on a practical analysis of what ethic and normative
compliance involves, pointing out its applicability, advantages and importance in the
business world. Its main purpose is to bring the reader a transversal perspective of its
incidence in the different branches of Law and Economy, both nationally and
internationally, giving particular emphasis to Tax Law.
Key Words: Business ethic, chief compliance officer, compliance program, culture of
compliance, money laundering, regulatory compliance, risk map, tax evasion.
5
ÍNDICE DE CONTENIDOS
Índice de abreviaturas ................................................................................................8
Introducción ............................................................................................................. 10
1. El compliance o cumplimiento ético-normativo .............................................. 11
1.1. Orígenes del corporate compliance. Evolución en el Derecho comparado ..... 12
1.2. El art. 31 bis CP: La responsabilidad penal de las personas jurídicas y la

incidencia del compliance en España. ...............................................................15
1.2.1. Breve comentario del art. 31 bis CP: La Circular 1/2016 de la Fiscalía
General del Estado y la STS 154/2016 de 22 de enero ...................................16
1.3. ¿Cuál es, en definitiva, la función del compliance? ¿Hasta qué punto es útil? 17
1.4. ¿Es el papel del compliance el mismo que el de una asesoría? ........................19
2. El corporate compliance program como herramienta de gestión y control

empresarial .........................................................................................................20
2.1. ¿Qué es un compliance program? La implantación de un Plan de Prevención de

Riesgos Penales. ................................................................................................20
2.2. ¿Qué elementos han de conformar un Programa de prevención de riesgos

penales? .............................................................................................................22
2.2.1. Estructura de detección y neutralización de delitos: el mapa de riesgos

........................................................................................................................23
2.2.2. Elaboración de un código ético de conducta............................................26
2.2.3. Sistema de información continuada ........................................................27
2.2.4. Formación de la plantilla: los programas de sensibilización ..................28
2.2.5. Canal de denuncias. Sistema disciplinario de infracciones y sanciones .29
2.2.6. Creación de un organismo de control autónomo. La gestión empresarial

ante la comisión de un hecho delictivo ..........................................................30
3. El compliance officer ...........................................................................................32
3.1. Requisitos académicos y formativos ................................................................32
6
3.2. ¿Cuáles son las funciones externalizables? Responsabilidad del Chief
compliance officer .............................................................................................33
4. Problemática en su implantación: el compliance tributario ..........................34
4.1. El compliance tributario: especial mención al delito de blanqueo de capitales

............................................................................................................................39
5. Conclusiones ........................................................................................................41
6. Bibliografía ..........................................................................................................45
7
ÍNDICE DE ABREVIATURAS
AEAT Agencia Estatal de la Administración Tributaria
ART Artículo
BEPS Base Erosion and Profit Shifting
CCO Chief Compliance Officer
CE Constitución Española
CP Código Penal
D. Leg Decreto Legislativo
EEUU Estados Unidos de América
EPA United States Environmental Protection Agency
FACTA Foreign Account Tax Compliance Act
FGE Fiscalía General del Estado
ISO International Organization for Standardization
LO Ley Orgánica
LPBC-FT Ley de Prevención del Blanqueo de Capitales y de la Financiación

del terrorismo
MiFID Markets in Financial Instruments Directive
OCDE Organización para la Cooperación y el Desarrollo Económicos
SEC US Securities and Exchange Comission
SEPBLAC Servicio Ejecutivo de la Comisión de Blanqueo de Capitales e

Infracciones Monetarias
SLAs Service Level Agreements
STC Sentencia del Tribunal Constitucional
TC Tribunal Constitucional
8
UE Unión Europea
UNE Una Norma Española
9
INTRODUCCIÓN
Permítaseme una disculpa inicial. Muy a mi pesar y siendo consciente de la gran

variedad y riqueza de nuestra lengua española, objetivamente he optado por hacer uso
del término anglosajón compliance para hacer referencia al sistema de cumplimiento
ético-normativo que en este trabajo será desarrollado. Entiendo y asumo su utilización
simplificará y mejorará la comprensión para el lector.
En una sociedad cada vez más compleja donde el cumplimiento normativo ha

dejado de ser patrimonio único y exclusivo del sector regulado, el viejo aforismo
societas delinquere non potest ha perdido su vigencia, abriendo paso a su vez a unos
modelos que aportan una posible atenuación y/o exoneración de responsabilidad penal
que, como veremos, recientemente ha sido implantado en España.
Con el objetivo de profundizar en la materia, entiendo necesario estructurar el presente

trabajo en cuatro bloques que, sin embargo, se encuentran íntimamente
interrelacionados, acompañando toda la obra de unas conclusiones finales fruto de la
reflexión personal. En definitiva, se expondrán varias cuestiones interesantes: qué es el
compliance, cómo se implanta, quién se ocupa de ello y cuáles son los retos que plantea
su aplicabilidad en el ámbito tributario.
En el primer apartado realizaremos una aproximación de los orígenes y evolución de la

materia de cumplimiento normativo, incidiendo en la reciente implantación en el
Derecho español. A mayores y teniendo en cuenta las reiteradas dudas e interés entre los
administradores y altos cargos empresariales, trataremos de dar una aproximación de las
diferencias entre el compliance y la asesoría jurídica, instruyendo a su vez en la utilidad
que éste puede aportar a una organización empresarial.
En un segundo apartado trataremos su contenido: cómo ha de estar conformado un plan

de contingencias penales, qué exige actualmente tanto la normativa como los sectores
doctrinales y tribunales, cómo ha de implantarse y supervisarse, y la incidencia actual
de la denominada “ética societaria”.
En tercer lugar introduciremos la esencial figura del responsable de cumplimiento, su

perfil de competencias, y las numerosas funciones que de él se esperan dentro de este
esqueleto ético-normativo implantado, formado por normas y conductas.
10
Finalmente, nos detendremos en un ámbito especialmente relevante: ¿cómo puede
afectar el corporate compliance al sector tributario? Y más concretamente, ¿es posible
una atenuación o exoneración de responsabilidades de la persona jurídica por delitos
cometidos contra la Hacienda Pública, como es el caso del blanqueo de capitales?
¿Quién se ocupa de elaborar, implantar y controlar esta cultura de cumplimiento
normativo tributario en una empresa?
Con el objetivo de poder responder a todas estas preguntas y siendo conscientes

de la transversalidad de materias que este Trabajo de Fin de Grado podría acotar, tanto
desde la perspectiva penal, empresarial, económica, internacional como jurídica,
conviene aclarar que el contenido de esta obra se centrará en el Derecho económico,
siendo sin embargo inevitable aportar ciertas pinceladas y referencias a las
anteriormente mencionadas ramas de conocimiento.
1. EL COMPLIANCE O CUMPLIMIENTO ÉTICO-NORMATIVO
En un entorno cada vez más voluble y competitivo donde “el pez grande se
come al pequeño”, las organizaciones empresariales precisan buscar mejoras en
innovación de procesos, productos y servicios; nuevos modelos de organización que les
permitan jugar un papel en la carrera competitiva que es el mercado. La mera
inadaptación al cambio podría suponer enormes desajustes en su estructura y beneficios,
pudiendo dar lugar incluso a la quiebra societaria.
Es por ello que, consecuencia de un marco regulatorio cada vez más transversal y un
agravamiento en la situación financiera a nivel internacional, las organizaciones
empresariales han venido adoptando aquello que a lo largo de esta obra denominaremos
en términos generales como “cultura de cumplimiento normativo proactivo”. La
tendencia societaria actual se decanta ya no sólo por la rentabilidad de las operaciones,
sino también por la sostenibilidad, la fidelización y la creación de un impacto positivo
en el marco en el que opera, tanto material como personal. La efectiva puesta en marcha
de estas medidas permitirá promover una imagen sana y sostenible1 y, por ende, una
1
En este mismo sentido se pronunciaba en 2001 la Comisión Europea en su Libro Verde “Fomentar
un marco europeo para la responsabilidad social de las empresas”, indicando textualmente que “cada vez
es mayor el número de empresas europeas que fomentan sus estrategias de responsabilidad en respuesta
a diversas presiones sociales, medioambientales y económicas (…). Al obrar así, las empresas invierten
en su futuro, y esperan que el compromiso que han adoptado voluntariamente contribuya a incrementar
su rentabilidad”.
11
maximización del valor de la empresa en el mercado frente a aquellas que no las hayan
adoptado: “el pez grande, se come al más lento”.
En el marco de esta “cultura de cumplimiento”, el compromiso de transparencia

corporativa juega un rol imprescindible: las normas, prácticas, y cultura ética defendida
por la entidad han de ser visibles pero, sobre todo, controladas. Y aquí es precisamente
donde entra en juego el compliance.
1.1. Orígenes del corporate compliance. Evolución en el derecho comparado.
Para poder bucear en la materia, es necesario ahondar previamente en sus

orígenes. Algunos de los grandes escándalos ocasionados a principios del siglo XXI
(Parmalat, Enron, Tyco International y WorldCom entre otros2) conllevaron una
incipiente preocupación social respecto del modo en que se gestionan las empresas. La
institución del compliance nace de la necesidad de controlar los riesgos generados por
las actividades empresariales, que incluso pudieran conllevar una puesta en peligro de
los intereses colectivos. Es precisamente ésta la razón por la cual el Estado, como
garante del bien común, ha establecido mecanismos de control que reduzcan hasta un
punto tolerable las posibles consecuencias socialmente dañosas de las empresas en
ejercicio de su actividad empresarial3.
Tanto el Foreign Corrupt Practices Act de 1977 en EEUU como el UK Bribery

Act4 de 2010 en Reino Unido, son los considerados cimientos de la política
anticorrupción empresarial5.
A partir de los años 40 del siglo pasado, algunas empresas dedicadas a la fabricación de
componentes eléctricos tales como Siemens comienzan a dotarse de programas de
cumplimiento para la prevención de conductas contrarias a la competencia6. Junto al
florecimiento del compliance en este sector, en el mercado de valores también se
2
Escándalos deshonestos perpetrados por grandes empresas estadounidenses tales como Enron, Tyco
International y WorldCom, que operaban mediante contabilidad falseada y extorsión hacia Gobiernos
extranjeros, provocaron pérdidas millonarias, despidos y una caída en picado de la reputación tanto
empresarial como de la economía de mercado estadounidense. En este sentido se pronuncia SÁIZ PEÑA,
C.A., Compliance: Cómo gestionar los riesgos normativos en la empresa, “Compliance en la normativa
sectorial”, Thomson Reuters Aranzadi, Pamplona 2015, p.481.
3
GARCÍA CAVERO, P., Criminal Compliance, Palestra, Lima 2014, p.14 y ss.
4
Traducción literal del inglés: “Ley de Prácticas Corruptas en el Extranjero” y “Ley Antisoborno
2010”.
5
SÁIZ PEÑA, C.A., “Compliance: cómo gestionar…”, op., cit., p.155 y ss.
6
NIETO MARTÍN, A., “Origen y evolución del cumplimiento normativo”, Manual de cumplimiento
penal en la empresa, Tirant Lo Blanch, Valencia, 2015, p.30.
12
observa un impulso: la SEC7 de los años 30 exige a las empresas el establecimiento de
controles internos (self policing) que supervisen las funciones de los brokers; exigencia
que finalmente se hace latente con las medidas específicas introducidas por la Insider
Trading and Securities Enforcement Act de 1988, promovida por numerosos escándalos
en Wall Street 8.
No será hasta pasados diez años cuando comiencen a popularizarse estas medidas
preventivas entre los países de la UE inspirándose en las regulaciones de la SEC, con la
intervención de la OCDE y las Naciones Unidas. Concretamente, la Directiva de
contratos públicos de la UE (2014) incluye incentivos para aquellas empresas que
cuenten con programas de cumplimiento (art. 57.6).
Así pues, desde los años noventa del siglo pasado, esta denominada
“autorregulación regulada” ha venido abriéndose camino como mecanismo de control
de riesgos empresariales, de manera que es la propia empresa la que decide
autosometerse a ciertos parámetros de actuación en consonancia con la legalidad
vigente9.
Así, en EEUU históricamente el desarrollo del cumplimiento normativo se ha llevado a

cabo por parte de la Administración con las funciones de controlar la actividad
empresarial, pero también de asesorar, publicar estándares de cumplimiento, y en
definitiva, participar en su formación10.
Por el contrario, esta faceta está mucho menos desarrollada en la UE, donde se ha
venido desarrollando en mayor medida un proceso de descentralización: el sector
privado, el compliance, está comenzando a ocuparse en cierta medida de las
obligaciones de control estatales, apareciendo así este instrumento de gobernanza global
o global law; fenómeno al que indudablemente le sigue un control ex post por parte del
Estado, que es cada vez menos asistencial pero no por ello menos regulador.
7
The US Securities and Exchange Comission, Comisión de Bolsa y Valores de los Estados Unidos.
8
NIETO MARTÍN, A., “Origen y evolución… op., cit., p.30.
9
GARCÍA CAVERO, P., Criminal Compliance, Palestra, Lima 2014, p.14 y ss.
10
El ejemplo más llamativo es la Audity Policy de la EPA: aquellas empresas que descubren
vulneraciones en la normativa medioambiental podrán comunicarlo a la EPA, corregir sus efectos y
conseguir una reducción en las sanciones administrativas, así como una “recomendación” dirigida a los
fiscales para evitar así una acción penal. (NIETO MARTÍN, P., Manual de cumplimiento penal en la
empresa, Tirant Lo Blanch, Valencia 2015, p.30.)
13
La autorregulación empresarial o compliance convive con la intervención
estatal: sus orígenes anglosajones cada vez se están extendiendo más en la legislación
de la UE y sus Estados miembros. Si bien es cierto que en el derecho comparado y
especialmente en los Estados Unidos existe una amplia experiencia en este campo, no
acabe olvidar que nos encontramos en un marco jurídico diferente.
En el caso de EEUU o Reino Unido, las normas de cumplimiento normativo (Foreing

Corrupt Practices Act y Brivery Act, respectivamente) han sido introducidas por
órganos estatales tales como la Sentencing Comission y la Secretaría de Estado de la
Justicia. En otros ordenamientos europeos, este papel ha sido asumido por el legislador:
es el caso de Italia, (art. 6 D.Leg. 231/2001)11, estableciendo un sistema híbrido en el
que se permite ventilar la responsabilidad penal de las personas físicas y la aplicación de
posibles sanciones por responsabilidad administrativa a la persona jurídica en
cuestión12; sistema que, en definitiva, ha sido importado por el legislador español.
En líneas generales, los países del continente europeo han venido adoptando el modelo
de responsabilidad penal de las personas jurídicas implantado en EEUU, que gira en
torno al cumplimiento de los programas organizativos13 y la proyección de una ética de
“buen gobierno corporativo”: los códigos de gestión y organización.
Encontramos, por otro lado, el desarrollo llevado a cabo por la Convención Anti-
corrupción de la OCDE –a la que se encuentran suscritos los 34 países de la propia
OCDE, más otros 7 Estados no miembros-, que ha supuesto un impulso para la
implantación y desarrollo del compliance en empresas no anglosajonas. Especial
relevancia cobra el documento Good Practice Guidance on Internal Controls, Ethics,
and Compliance, publicado en 201014, así como las periódicas revisiones del Grupo de
Trabajo sobre corrupción de la OCDE al que se han suscrito numerosos países15.
11
NIETO MARTÍN, P., Manual de cumplimiento… op., cit., p.30 y ss.
12
FOUREY GONZÁLEZ, M., “Compliance penal: fundamento, eficacia y supervisión. Análisis
crítico de la Circular 1/2016 de la Fiscalía General del Estado”, Actualidad Jurídica Uría Menéndez,
2016, p. 60.
13
MARTÍNEZ PUERTAS, L., PUJOL CAPILLA, P., Guía para prevenir la responsabilidad penal de
la empresa, Thomson Aranzadi Reuters, Pamplona 2015, p.58 y ss.
14
OECD Council, Febrero 2010, «Good Practice Guidance on Internal Controls, Ethics and
Compliance», www.oecd.org
15
ENSEÑAT DE CARLOS, S., Manual del Compliance Officer, Thomson Reuters Aranzadi,
Pamplona, 2016.
14
1.2. El art. 31 bis CP: La responsabilidad penal de las personas jurídicas y la
incidencia del compliance en España.
En España, la reforma llevada a cabo en el Código Penal mediante LO 5/2010

introdujo un importante cambio al desterrar lo que en Derecho de responsabilidad penal
se conoce como societas delinquere non potest16. Posteriormente y de acuerdo con
diversas Directivas y Decisiones Marco provenientes de la Unión Europea, la LO
1/2015 de reforma del CP añadiría en su art. 31.2 bis como atenuante o incluso
eximente a dicha responsabilidad el haber establecido, antes del comienzo del juicio
oral, medidas eficaces para prevenir y descubrir los delitos que en el futuro pudieran
cometerse con los medios o bajo la cobertura de la persona jurídica, sin precisar
realmente a qué medidas se refería el legislador, ni tampoco desarrollar tales conceptos
mediante un Reglamento clarificador17.
En relación con la mencionada responsabilidad penal de la persona jurídica

(donde también quedan incluidas las sociedades mercantiles públicas o que presten
servicios de interés económico general)18, el actual art. 31 bis CP nos indica un numerus
clausus19 de conductas delictivas; actos que, según el precepto, han de haberse realizado
“en ejercicio de sus actividades sociales”, entendiéndose como tales aquellas a las que
se dedique la empresa.
A mayores, tales actuaciones empresariales han de haberse producido “por cuenta y en

beneficio directo o indirecto de las mismas”20, de tal manera que existiría la posibilidad
de que el delito en cuestión pudiera haberse cometido tanto por un representante legal o
administrador actuando en nombre o por cuenta de la empresa, como por un empleado
subordinado, consecuencia de un control poco diligente y resultando ésta ser
16
Locución latina de “las sociedades no pueden delinquir”.
17
CARRAU CRIADO, R., Compliance para pymes, Tirant Lo Blanch, Valencia 2015, p.25 y ss.
18
MARTINEZ PUERTAS, L., PUJOL CAPILLA, P., Guía para prevenir…op., cit., p. 29-
19
Art. 31.1 bis CP: “En los supuestos previstos en este código (…)”.
20
Extracto del art. 31 bis CP: “(…) las personas jurídicas serán penalmente responsables de los
delitos cometidos, en el ejercicio de actividades sociales y por cuenta y en beneficio directo o indirecto
de las mismas, por quienes, estando sometidos a la autoridad de las personas físicas mencionadas en el
párrafo anterior, han podido realizar los hechos por haberse incumplido gravemente por aquéllos los
deberes de supervisión, vigilancia y control de su actividad atendidas las concretas circunstancias del
caso”. También conocida como la “actuación en nombre de otro”.
15
beneficiaria21. Es decir, siguiendo la opinión de PASCUAL CADENA22 entiendo que
en este precepto se incluye la criminalidad en la empresa, de la empresa y a la empresa.
No obstante, dicha responsabilidad societaria solo existirá ante la comisión de

determinados delitos, de forma que la propia empresa deberá tomar medidas sólo
respecto de potenciales prácticas, y no respecto de todo posible delito recogido en el
CP23.
1.2.1. Breve comentario del art. 31 bis CP: La Circular 1/2016 de la Fiscalía
General del Estado y la STS 154/2016 de 22 de enero
Precisamente esa necesidad de concreción unánimemente reclamada por

doctrina, tribunales y las innumerables empresas interesadas es la que ha provocado que
muy recientemente tanto la Fiscalía General del Estado como el Tribunal Supremo se
hayan pronunciado interpretando el contenido del art. 31 bis CP.
Del análisis de la Circular 1/2016 emitida por la FGE a fecha de 22 de enero se extrae
una postura mucho más subjetivista, en tanto que a la hora de valorar el procesamiento
de una persona jurídica, la Fiscalía parece dar mayor relevancia a la existencia de una
“cultura ética” que a la existencia propiamente dicha de un programa de prevención de
delitos24.
Por su parte, la opinión mayoritaria del TS en STS n. º 154/2016, de 29 de febrero, nos

indica que “el núcleo de la responsabilidad de la persona jurídica” es precisamente la
ausencia de medidas de control que eviten o minimicen la comisión de infracciones
delictivas, y ello “más allá de la eventual existencia de modelos de organización y
gestión”25 -es decir, de corporate compliance programs-, y de un seguimiento en la
ética societaria.
De esta manera, el Alto Tribunal deja entrever que la mera existencia de unos
estándares éticos y de un programa de cumplimiento formalista, fungible y “en papel”
21
Podría resultar que las prácticas del trabajador provocasen no un beneficio, sino un perjuicio para la
empresa.
Noticia: http://www.interior.gob.es/prensa/noticias/-/asset_publisher/GHU8Ap6ztgsg/content/id/2329169
22
PASCUAL CADENA, A., El plan de prevención de riesgos penales y responsabilidad corporativa,
Wolters Kluver, Madrid 2016, p.30.
23
SÁIZ PEÑA, C.A., “Cinco grandes confusiones sobre compliance”, Compliance: cómo gestionar
24
2016, p. 61
25
STS 154/2016, de 29 de febrero, FJ 8º.
16
que no se encuentren reflejados en medidas reales y eficaces de control y minimización
de riesgos no serán tenidos en cuenta como mecanismo de exención de responsabilidad
penal societaria. Así la luz de lo indicado y en palabras de las ya mencionadas US
Sentencing Guidelines, se exige que el modelo sea “generalmente eficaz” (generally
effective).
En definitiva y como veremos más adelante, el objetivo de las sucesivas reformas del
CP en esta materia no ha sido introducir el principio societas delinquere potest, sino
más bien sujetar los bienes de las personas jurídicas al pago de las responsabilidades
pecuniarias derivadas de la actuación delictiva de sus órganos de representación26.
1.3. ¿Cuál es, en definitiva, la función del compliance? ¿Hasta qué punto es
útil?
Previo el análisis del contenido con el que ha de contar todo código de

cumplimiento, abordaremos una de las cuestiones más reiteradas: ¿Hasta qué punto es
útil o necesario?
El compliance en el campo jurídico y empresarial consiste en la implantación de

medidas internas y modelos organizativos en el seno de una sociedad que permitan
controlar y prevenir incumplimientos normativos, así como a la observancia de
parámetros de tipo ético. Como podremos deducir a lo largo de esta obra, se trata de una
materia que cuenta con gran transversalidad,27 dada su repercusión en los distintos
sectores del sistema jurídico.
Si bien es cierto que la prevención y control de delitos es la piedra angular entre las
funciones del compliance, no podemos reducir hasta tal punto sus competencias. De
hecho, suele venir asociada a materias de Gobierno Corporativo, Ética y
Responsabilidad Societaria, y Gestión de Riesgos, entre otras28.
26
MARTÍNEZ PUERTAS, L. PUJOL CAPILLA, P., “Guía para prevenir…” op., cit., p.23.
27
Similarmente, BOCK, Criminal Compliance, Nomos, Baden-Baden 2010, p.278; ROTSCH, FS-
Samsom, p.141; EL MISMO, InDret 1/2012, p.3; ROXIN, I., StV 2/2012, p.116.
28
SÁIZ PEÑA, C.A., “Cinco grandes confusiones sobre compliance”, Compliance: cómo gestionar
los riesgos normativos en la empresa, Tirant Lo Blanch, Pamplona 2015, p.39 y ss.
17
Según defiende SÁIZ PEÑA29, contar con una estructura sólida de compliance
genera ventajas tanto financieras como estratégicas.
La más visible, sin duda, es el ahorro económico30. Las cuantías monetarias

provenientes del régimen sancionador de los delitos considerados graves y muy graves
en que podría incurrir una empresa son especialmente altas; sanciones que, en caso de
afectar al ámbito de la comunidad internacional son incluso mayores. En este sentido, la
reducción o incluso exención de responsabilidades penales que ofrece una estructura de
cumplimiento eficaz podría suponer evitar la pérdida de grandes sumas de dinero 31, la
retirada de licencias, o incluso el cese de la actividad económica y cierre de la sociedad.
A la hora de juzgar la diligencia de la persona jurídica en cuestión, los tribunales

realizarán un análisis ex ante, y no post hoc propter hoc –según el resultado
producido32-, pues “la producción del ilícito penal no significa necesariamente que el
programa no sea efectivo en la prevención y detección de la conducta criminal”, según
la sección 8B 2.1 de las US Sentencing Guidelines.
No se trata, por lo tanto, de buscar la infalibilidad ni la perfección de las medidas

adoptadas, sino de reducir hasta un punto razonable las posibilidades de que alguno de
los miembros que conforma la red empresarial (empleado, administrador, directivo),
cometa un delito en su seno y beneficio.
Por otro lado, para todo tipo de entidad –pública o privada-, el cumplimiento
normativo juega un papel fundamental en el desarrollo del valor empresarial
reputacional, permitiendo preservar una buena imagen de marca, credibilidad y
renombre, hechos relevantes valorados tanto en la contratación pública como entre los
potenciales clientes (accionistas, inversores, proveedores, entre otros). Como el lector
podrá advertir, esta ventaja estratégica deriva de forma directa de la “actitud proactiva”
29
SÁIZ PEÑA, C.A., “Ventajas y beneficios del compliance en las organizaciones”, Compliance:
Cómo gestionar los riesgos normativos en la empresa, Thomson Reuters Aranzadi, Pamplona 2015, p.60
y ss.
30
A menudo las sanciones dependen del volumen anual de los negocios, llegando a alcanzar cifras de
millones de euros. SÁIZ PEÑA, C.A, “Ventajas…, op., cit., p.61.
31
En el mundo anglosajón existe el lema “si piensas que el compliance es caro, prueba sin ello”, como
respuesta a aquellos que defienden que el coste de un Programa de Cumplimiento no se amortiza, bloquea
los recursos internos e incluso aumenta la burocracia de la empresa. En este sentido se pronuncia
ALARCÓN GARRIDO, A., Manual teórico-práctico del compliance officer, Sepin, Madrid 2016, p.6.
32
CLEMENTE CASAS, I., ÁLVAREZ FEIJOO, M., “¿Sirve de algo un programa de Compliance
Penal? ¿y qué forma le doy? (Responsabilidad penal de la persona jurídica en la LO 5/2010:
incertidumbres y llamado por la seguridad jurídica)”, Actualidad Jurídica Uría Menéndez, 2011, p.43 y
ss.
18
de aquella empresa que, por motu proprio, ha decidido no solo cumplir con la normativa
propiamente dicha, sino añadir unas pautas éticas de conducta33 en su actividad
empresarial diaria.
Queda por tanto claro que, en suma, la función de compliance es beneficiosa, es

rentable y promueve el mantenimiento de una cultura empresarial sana y estable.
1.4. ¿Es el papel del compliance el mismo que el de una asesoría?
La irrupción de esta nueva política de cumplimiento normativo o prevención de

contingencias penales nos lleva a cuestionarnos si, en definitiva, sus funciones podrían
ser incluidas dentro del cometido del que pudiera ocuparse una asesoría o auditoría
interna que, en su caso, ya se encuentran normalmente implantadas en las sociedades
actualmente.
Pues bien, nada más lejos de la realidad, lo cierto es que la aparición de la figura del
chief compliance officer ha supuesto un respiro a la pesada carga de trabajo que suele
soportar la asesoría jurídica de cualquier empresa, siendo posible una convivencia y
actuación como aliados para el buen funcionamiento de la sociedad.
Ambos compartirán el rol de cumplir y hacer cumplir la normativa vigente, implantar

controles internos en los procesos negociales, de producción y/o de prestación de
servicios de la compañía, y sus labores se verán sometidas normalmente al control de
una auditoría, ya sea porque así lo indique una ley (por ejemplo, la Ley de Protección de
datos o de Blanqueo de Capitales34), porque en su cumplimiento se incluyan estándares
internacionales (por ejemplo, la ISO 27000 sobre Seguridad de la Información o la ISO
19600 sobre sistemas de gestión de compliance), o por el hecho de que la revisión de su
cumplimiento normalmente se englobe dentro del alcance de otras auditorías (por
ejemplo, en materia de Buen Gobierno Corporativo)35
De esta forma, ambas figuras desarrollarán una labor preventiva, si bien con
distintos matices: mientras que la asesoría se dedicará en términos generales a indicar
“qué se puede hacer” legalmente, el CCO aportará el “qué se debe hacer” en la empresa.
En este sentido, el responsable de cumplimiento estaría actuando en una suerte de
33
Vid. apartado “Elaboración de un código ético de conducta” del presente trabajo, p.26.
34
LO 15/1999 de 13 de diciembre, de Protección de Datos de Carácter Personal, y Ley 10/2010, de 28
de abril, de Prevención del blanqueo de capitales y de la financiación del terrorismo, respectivamente.
35
SÁIZ PENA, C.A., “Compliance: cómo gestionar…” op., cit., p.43.
19
“predicador”, encargado de que las premisas implantadas tanto en el marco ético como
normativo diseñado en líneas generales por los conocimientos técnicos del asesor
jurídico se lleven materialmente a la práctica.
Así pues, en este equilibrio de roles, entiendo que el asesor defenderá los intereses de la
empresa, pero el CCO se dedicará en mayor medida a un objetivo que rebosa tales
intereses societarios y que incluso en algunas ocasiones será contrario.
2. EL CORPORATE COMPLIANCE PROGRAM COMO HERRAMIENTA DE

GESTIÓN Y CONTROL EMPRESARIAL
Aunque el cumplimiento normativo pueda parecer una evidencia, es una meta

difícil de conseguir. En las empresas existen multitud de factores que pueden llegar a
provocar la aparición de infracciones tanto a nivel interno como externo: el
desconocimiento de la normativa36, la aparición de una cultura corporativa en la que la
obtención de beneficios prima sobre el respeto a la legalidad, la dilución de
responsabilidades en una empresa, etc.
Por todo ello, dicho cumplimiento normativo como objetivo de la dirección de una
empresa precisa de un instrumento de gestión: los programas de cumplimiento37.
2.1. ¿Qué es un compliance program? La implantación de un Plan de

Prevención de Riesgos Penales.
Los compliance program se presentan no solo como el trivial deber de

observancia y cumplimiento de los mandatos jurídicos, sino como una carta de
intenciones societaria supervisada por un departamento especial de control y vigilancia.
Asimismo, se habla de un código de “cultura organizacional”38, que permite a la

empresa incluir valores éticos y patrones que definan la práctica de la empresa en
cuestión, que se verán reflejados en la forma por la que sus directores o administradores
36
Del latín ignorantia jurit non excusat, también recogido en el artículo 6 del Código Civil español:
“La ignorancia de las leyes no excusa de su cumplimiento (…)”.
37
NIETO MARTÍN, A, “El cumplimiento normativo”, Manual de cumplimiento penal en la empresa,
Tirant Lo Blanch, Valencia 2015, pp.25 y ss.
38
PUYOL, J., Criterios prácticos para la elaboración de un código de compliance, Tirant Lo Blanch,
Valencia 2016, p.11 y ss.
20
la conduzcan, así como en el desempeño de los propios empleados y su relación con los
clientes y la sociedad, en términos generales.
Según indican tanto la Fiscalía General del Estado como el Tribunal Supremo, la
persona jurídica ha de estar en condiciones de poder acreditar documentalmente la
efectiva ejecución del programa de prevención, si bien tal acreditación solo constituirá
una prueba más de su existencia39: deberá demostrarse el compromiso empresarial de
unas políticas ad hoc de cumplimiento en todos los ámbitos y niveles, estando dirigidas
a todo su personal, independientemente de su posición dentro de la sociedad40.
Esta rendición de cuentas o accountability se traduce en la tarea y responsabilidad de la

persona jurídica de establecer los necesarios mecanismos que garanticen la definición,
adopción y ejecución de controles para la prevención, detección y reacción de conductas
ilícitas que puedan repercutir contra los intereses de la empresa. De esta forma no
solamente se consigue una acreditación de la diligencia requerida conllevando una
posible exención de responsabilidades penales-, sino también la existencia de normas
internas41, que permitirán aplicar consecuencias disciplinares o laborales en caso de
comisión de una infracción.
Todo modelo de organización y gestión para la prevención de delitos ha de nacer

con apoyo y respaldo de las altas autoridades de la empresa, esto es, del Consejo de
Administración o la Junta General de socios42. Además, el programa ha de haber sido
implantado antes de la comisión de cualquier tipo delictivo para que pueda ser tenido en
cuenta jurídicamente; requisito no obligatorio aunque sí aconsejable.
Asimismo, debe estar desarrollado con el objetivo de identificar riesgos, definir medidas
de prevención, y una vez puesto en marcha, se deberá informar e incentivar a los
39
CLEMENTE CASAS, I., ÁLVAREZ FEIJOO, M., “¿Sirve de algo un programa de compliance
penal? ¿Y qué forma le doy? (Responsabilidad penal de la persona jurídica en la LO 5/2010:
Incertidumbres y llamado por la seguridad jurídica) Actualidad Jurídica Uría Menéndez, 2011, p.43 y ss.
40
Ejemplo de ello lo encontramos en Gas Natural Fenosa. “Código de Compliance”.
http://www.gasnaturalfenosa.com/servlet/ficheros/1297147538083/DOC9IAC_2014_cast.pdf
41
SÁIZ PENA, C.A., Compliance: cómo gestionar los riesgos normativos en la empresa, Thomson
Aranzadi Reuters, Pamplona 2015, p.566.
42
ALARCÓN GARRIDO, A., “Elementos del modelo de organización y gestión de riesgos penales”,
Manual teórico-práctico del compliance officer, Sepín, Madrid 2016, p.71
21
miembros para promover su cumplimiento, y en su caso, la investigación y represión de
conductas contrarias a la legalidad y a la ética empresarial43.
En resumidas cuentas y como veremos, un efectivo programa de compliance ha

de estar formado por políticas, normas y procedimientos.
2.2. ¿Qué elementos han de conformar un Programa de prevención de riesgos

penales?
Lejos de lo que parece dar a entender la Fiscalía General del Estado en su última
Circular 1/2016, no existen parámetros ni modelos en cadena a la hora de diseñar un
sistema de compliance44. El motivo de esta indeterminación no es otro que la ausencia y
vaguedad de especificaciones por parte del legislador en momento de redactar el art. 31
bis CP, objeto de reforma mediante LO 1/2015, provocando una indudable inseguridad
jurídica respecto a la posibilidad de exención de responsabilidad penal corporativa. ¿Es
suficiente con elaborar un modelo de conducta, un código de intenciones? ¿Ha de
contener un whistleblowing? ¿Y un compliance officer?45
El propio art. 31.2 bis CP no esclarece estas dudas. Su redacción se enfoca en los
efectos y control del plan, pero no profundiza cómo ha de elaborarse un modelo de
prevención de riesgos penales ni cuál ha de ser su contenido; tan solo se menciona la
previsión de delitos, el control y la sanción aplicable.
Así pues, con el objetivo de ofrecer a las personas jurídicas una guía en el diseño
e implementación de su propio modelo, cabe tomar en consideración las diferentes
opiniones doctrinales, jurisprudenciales del Alto Tribunal y de la ya mencionada
Circular recientemente emitida por la Fiscalía General del Estado.
43
BALCARCE – BARRUEZO, Criminal Compliance y personas jurídicas, “El Criminal Compliance
en Derecho Penal. El anglicismo que llegó para quedarse”, B de F, Montevideo - Buenos Aires, 2016, p.
135 y ss.
44
2016, p. 68 y ss.
45
Del inglés, “sistema interno de denuncias anónimas” y “responsable de cumplimiento y prevención
penal”, respectivamente. Así lo indican MARTÍNEZ PUERTAS, L., PUJOL CAPILLA, P., “Los
modelos y su contenido”, Guía para prevenir la responsabilidad penal de la empresa, Thomson Reuters
Aranzadi 2015, p.95.
22
En términos generales, entiendo que la estructura del programa habrá de estar
conformada una ecuación binomial de prevención-detección y de evaluación-reacción46,
todo ello presidido por un omnipresente y autónomo mecanismo de gestión-supervisión
(protagonizado por el Comité de compliance officer), como analizaremos más adelante.
Con todo ello, mencionaré una serie de pilares sobre los que, a mi juicio,
deberán asentarse las bases de un eficaz programa de cumplimiento.
PREVENCIÓN Y GESTIÓN E EVALUACIÓN Y

DETECCIÓN IMPLANTACIÓN REACCIÓN
Información continuada:
Revisión Modelo de respuesta ante
Diagnóstico de delitos y
diseño del mapa de riesgos Formación de la plantilla: una comisión delictiva
impartición de programas
Elaboración del Código de sensibilización Sistema disciplinario:
ético de conducta imposición de sanciones
Canal de denuncias o
whistleblowing
COMPLIANCE OFFICER: Organismo supervisor autónomo.
Fuente: elaboración propia
2.2.1. Estructura de detección y neutralización de delitos: el mapa de riesgos.
Antes de aventurarse en la elaboración, adopción e implantación del plan de

47
acción , conviene conocer de primera mano cuáles son los riesgos a los que la entidad
societaria se enfrenta. Y la mejor manera de conseguirlo es mediante un risk
assessment, esto es, una evaluación de riesgos tanto en el plano objetivo, subjetivo
como circunstancial48:
46
Por su parte, la fiscalía fundamentalmente parece defender un modelo reactivo y sancionador ante el
descubrimiento de canales delictivos, en su Circular 1/2016.
47
SÁIZ PEÑA, C.A., “Diagnóstico y mapa de riesgos de Compliance”, Compliance: Cómo gestionar
los riesgos normativos en la empresa, Thomson Reuters Aranzadi, Pamplona 2015, p.533 y ss.
48
PASCUAL CADENA, A., “Evaluación y validez del plan de prevención de riesgos penales”, El
plan de prevención de riesgos penales y responsabilidad corporativa, Wolters Kluver, Baecelona 2016,
p.121
23
Plano objetivo. Para elaborar nuestro “mapa de riesgos ad hoc” es recomendable
llevar a cabo un evaluación (interna o externa) que ahonde concretamente en las
actividades llevadas a cabo por la empresa y sus previsibles focos de riesgo49 teniendo
en cuenta las dimensiones de la sociedad y de su plantilla (gran empresa o pymes;
nacional o internacional), el impacto y gravedad de las conductas, así como la
probabilidad de su comisión. En definitiva, se trata de estudiar y dimensionar en una
checklist50 “quién hace qué, qué responsabilidades derivarían, y en qué medida podrían
éstas llegar a responsabilizar a la empresa”.
Cabe tener en cuenta que contenido del programa no tiene por qué afectar
exclusivamente a aquellas normas de obligado cumplimiento para la empresa51, sino que
a mayores podría extender su alcance bien por decisión interna, bien por exigencias
legales. En numerosas ocasiones la especialidad del sector o la materia a la que se
dedique la organización societaria implicará que no sea suficiente con acudir a la
normativa penal, sino que se deberá estudiar la normativa administrativa –denominadas
normas penales en blanco-, así como la europea52.
Así las cosas y a modo de ejemplo, si nos encontrásemos ante una organización
dedicada al sector tributario, sus objetivos tendrían que estar principalmente vinculados
a la prevención del fraude y blanqueo de capitales53.
Por otro lado, en su plano subjetivo habrá que analizar las mismas condiciones
de riesgo, esta vez dirigidas a las personas involucradas en la sociedad y la vinculación
que éstas mantienen con la misma. En la medida de lo posible,54 se analizará la relación
de los trabajadores y los directivos con la comisión de algún tipo de delito o
imprudencia previa que pudiera tener repercusión en su actividad productiva, y lo
mismo en relación con otras personas jurídicas relacionadas con la corporación (por
49
En palabras de GALLEGO SOLER, J.I. “Criminal Compliance y proceso penal: reflexiones
iniciales”, Responsabilidad de la Empresa y Compliance, Edisofer, S.L, Madrid, 2014, p.195., “no es
posible la creación de un control que garantice “riesgo 0”: lo que se pretende es atenuar o incluso
exonerar de responsabilidad a la empresa”.
50
MARTÍNEZ PUERTAS, L., PUJOL CAPILLA, P., “Los riesgos de las empresas”, Guía para
prevenir la responsabilidad penal de la empresa, Thomson Aranzadi Reuters, Pamplona 2015, p.81y ss.
51
SAIZ PEÑA, C.A, Compliance: cómo gestionar los riesgos normativos en la empresa, Thomson
Aranzadi Reuters, Pamplona 2015, p.564.
52
MARTÍNEZ PUERTAS, L., PUJOL CAPILLA, P., “Los riesgos…op., cit., p.81 y ss.
53
Vid. el correspondiente apartado a “Problemática en su implantación: el compliance tributario” del
presente trabajo, p.34.
54
Necesario tener cuenta la privacidad y el tratamiento de datos personales de la plantilla.
24
ejemplo, examinar si la conducta y funcionamiento de los proveedores concuerdan con
el código ético de la empresa en cuestión).
Finalmente, en su plano circunstancial, el CCO55 deberá encargarse de elaborar,

en concretas situaciones empresariales (por ejemplo, grandes contratos), un informe
preceptivo indicando si la corporación dispone de un plan de prevención de riesgos
laborales, un informe de buen gobierno corporativo, un plan de prevención de blanqueo
de capitales, de protección de datos, e informes de auditoría fiscal e informática, en su
caso56.
Pues bien, todo este certificado ad hoc habrá de venir acompañado de una
valoración y un reflejo de los costes en los que ha incurrido la empresa, firmado por un
tercero no interviniente y depositado en cualquier medio que deje constancia fehaciente
de su existencia y fecha (por ejemplo, acta notarial).
A mayores, existen al respecto acuerdos de nivel de servicios, conocidas como las

Service Level Agreements (SLAs), que en términos generales aportan unas pautas sobre
“cómo hacer las cosas” entre proveedores de servicios y clientes, con el objetivo de fijar
unas líneas de calidad, eficiencia y organización que, si bien su adhesión es totalmente
voluntaria para las empresas y proveedores, permiten obtener grandes beneficios. En
este contexto destacan los estándares57 internacionales sobre gestión de riesgos58 tales
como la UNE-ISO59 31000:2009, que provee unas pautas para la identificación, análisis
55
Vid. apartado correspondiente a “El compliance Officer” del presente trabajo, p.31.
56
PASCUAL CADENA, A., “Evaluación y validez…, op., cit., p.125.
57
Según la Guía 2 ISO/IEC (ISO 2004 – 1), un estándar es “un documento establecido por consenso y
aprobado por un organismo reconocido, que prevé para el uso repetido y común de reglas, directrices o
características para actividades o sus resultados encaminadas al logro del grado óptimo de orden en un
determinado contexto”. Así las cosas, entiendo que su objetivo es simplificar la diversidad de las
operaciones entre empresas y proveedores, aportando un mínimo nivel de calidad y seguridad jurídica
armónico.
58
Definido el riesgo por la Guía ISO 73:2009 como “el efecto de la incertidumbre en los objetivos”
(impacto x probabilidad), siendo el efecto “una desviación de lo esperado”, y la incertidumbre “el estado
de carencia de información relacionada con la comprensión o el conocimiento de un evento, su
consecuencia o su probabilidad”.
59
Las normas ISO recogen pautas sobre calidad y gestión emitidas por la Organización Internacional
de Normalización. En cierta medida, la función que cumple esta “auditoría formal” es la de orientar a las
personas jurídicas y sobre todo acreditar que ésta ha implantado una estructura de producción de
bienes/servicios que cumple con el contenido mínimo estandarizado y de calidad respecto a unas
directrices e instrumentos de implantación. En este sentido se pronuncia PASCUAL CADENA, A.
“Evaluación y validez… op., cit., p.126.
25
y evaluación del riesgo; o la ya mencionada UNE-ISO 19600 sobre los sistemas de
gestión de compliance.60
En suma estas certificaciones constituyen para la empresa elemento importante de

acreditación ante los tribunales, así como un esencial mecanismo de diagnóstico y
vigilancia para su buen funcionamiento diario.
2.2.2. Elaboración de un Código ético de conducta.
Más allá de la prevención de la criminalidad intra y extra societaria, los modelos

de cumplimiento aspiran a hacer de la empresa un “ciudadano” respetuoso y cumplidor
de la legislación.
El Código ético encuentra su origen en el concepto de “Buen Gobierno”, de donde

derivan los Códigos internos de conducta61. Considerado como la “carta de
presentación” de la empresa en el mercado, este documento es uno de los ingredientes
externamente más visibles del sistema de prevención delictiva. Tanto el Tribunal
Supremo como la Fiscalía62 han indicado que “el esfuerzo por incorporar en el seno de
su organización una auténtica cultura del cumplimiento normativo penal” es
instrumento sustancial para la atenuación o exoneración de responsabilidad empresarial
derivada de la comisión de un hecho delictivo63. Así pues, implantar un Modelo de
Prevención de Delitos conlleva elaborar un código ético o de conducta y hacerlo
cumplir.
Las claves para un buen Código de buen gobierno corporativo subyacen en la

simpleza, claridad y accesibilidad de su contenido. Su objetivo no es otro que fijar los
valores, pautas de conducta y riesgos normativos previamente detectados en la ya
analizada fase de diagnóstico, abarcando ámbitos tanto éticos como normativos; crear
una cultura de legalidad basada en los fundamentos de la transparencia y la integridad,
60
MARTÍNEZ PUERTAS, L., PUJOL CAPILLA, P., “Los riesgos… op., cit., p.534.
61
Su evolución regulatoria se produjo a través del Código Olivencia, el Informe Aldama y el Código
Conthe, según indica SÁIZ PEÑA. C.A., Compliance: Cómo gestionar los riesgos normativos en la
empresa, Thomson Aranzadi Reuters, Pamplona 2015, p.567.
62
Concretamente, STS de 29 de febrero de 2016 y Circular de la Fiscalía General del Estado 1/2016.
63
ALARCÓN GARRIDO, A., Manual teórico-práctico del compliance officer, Sepin, Madrid 2016,
p.74.
26
previniendo las conductas irregulares y a su vez, respetando la normativa y los derechos
de los propios trabajadores64.
Para que sea efectivo, habrá que analizar el ámbito de aplicación: empleados (evitar
discriminaciones laborales, promover la conciliación familiar), otras empresas (evitar la
competencia desleal), medio ambiente, clientes, proveedores… Las medidas adoptadas
serán de obligatorio cumplimiento para los trabajadores, mientras que a los demás
grupos mencionados se les deberá solicitar su aceptación.
Todo este engranaje de medidas conductuales serán supervisadas por el Comité Ético,
cuya función será esencialmente enjuiciadora de las denuncias recibidas: propondrá al
área de recursos humanos y a la Dirección las sanciones que considere oportunas, e
investigará los incumplimientos producidos. Sus funciones podrían ser atribuidas en la
Administración o delegadas en el compliance officer. Sea como fuere, contará con un
miembro del Consejo de Administración, un responsable de recursos humanos, el
abogado de la empresa y un directivo.
2.2.3. Sistema de información continuada
La necesidad de que exista una detección y prevención de los focos de riesgo es

precisamente lo que motiva la necesidad de periódicas valoraciones, que inviten a un
programa de supervisión dinámico.
Tanto la revisión rutinaria de la evolución de las actividades empresariales (nuevas

circunstancias en el mercado, cambios en los procedimientos o en la plantilla, demanda
del consumidor, evaluación de proveedores y terceros relacionados con la empresa,
entre otras65), como el seguimiento de las novedades legislativas se convierten, en este
sentido, en puntos clave a la hora de elaborar un correcto programa de control de
riesgos.
Así pues, al igual que fue necesario en su momento redactar un certificado66 revisado
por expertos externos, es conveniente llevar a cabo un informe periódico (mensual,
trimestral o anual) haciendo hincapié en las medidas incluidas en el plan de prevención
64
LASCURÁIN SÁNCHEZ, J.A., Compliance, debido control y unos refrescos, Tirant Lo Blanch,
Valencia 2013, p.113 y ss.
65
MARTÍNEZ PUERTAS, L., PUJOL CAPILLA, P., “Los riesgos…, op., cit., p.88.
66
Vid. apartado correspondiente a “Estructura de detección y neutralización de delitos” del presente
trabajo, p. 23.
27
de riesgos penales; medidas que llevará a cabo el compliance officer mediante controles
rutinarios67 y por sorpresa.
2.2.4. Formación de la plantilla: los programas de sensibilización.
Los códigos de cumplimiento y conducta han de dar respuesta a los problemas

diarios que se les plantean tanto a trabajadores como a directivos, de tal manera que si la
normativa no cumpliese con esta misión, cualquier empleado podría incumplir la ley por
desconocimiento68, creando un consecuente riesgo para la empresa.
Es por ello que los planes formativos, tanto genéricos como especializados en un
concreto sector del objeto empresarial, cumplen un papel muy relevante dentro de la
concienciación y la sensibilización del personal integrante en relación con las conductas
establecidas en su programa de cumplimiento69. Tal formación ha de ser comprensible y
adecuada al personal al que le es impartida70, si bien es cierto que, a mi juicio y
siguiendo la opinión de FOUREY GONZÁLEZ, existe un mínimo común denominador
del cual ningún trabajador debería ser excusado: el código ético o de conducta.
La publicación de un Código, como venimos reiterando, no es suficiente. La

interiorización, la implicación personal y en definitiva, la existencia de una “cultura de
cumplimiento” son vitales; motivo por el cual se aconseja que sea la figura autónoma
del compliance officer la encargada de elaborar dichos programas de formación para
cada una de las áreas de riesgo.
Ahora bien, cabe tener en cuenta que una buena formación no es sinónimo de
erradicación de posibles delitos: el empleado en cuestión (sea cual sea su “nivel” dentro
67
PASCUAL CADENA, A., “Evaluación y validez… op., cit., p.121
68
HORTAL IBARRA, J.C., VALIENTE IVAÑEZ, V., “Responsabilidad de la empresa…, op., cit.,
p.287.
69
Así lo indican las US Sentencing Guidelines, 8B2.1. B) 4 a), traducido del inglés: “La organización
ha de tomar las medidas razonables para comunicar periódicamente y de manera práctica sus estándares y
procedimientos, y otros aspectos del programa de cumplimiento y ética societaria (…) mediante efectivos
programas de aprendizaje y, en su caso, otorgando la apropiada información para los individuos en sus
respectivas tareas y responsabilidades”
70
A modo de ejemplo, no será necesario que el personal operario de fábrica conozca al detalle las
normas de trato en el sector público, hecho que sí será exigencia para el administrador de una empresa
farmacéutica. Así lo indica FOUREY GONZÁLEZ, M., “Compliance penal: fundamento, eficacia y
supervisión. Análisis crítico de la Circular 1/2016 de la Fiscalía General del Estado”, Actualidad Jurídica
Uría Menéndez 2016, p.70 y ss.
28
de la empresa) podría conocer lo societariamente intolerable y aún así desoír la
prohibición71.
2.2.5. Canal de denuncias. Sistema disciplinario de infracciones y sanciones.
La transparencia, como contenido de la remarcada “cultura de cumplimiento”,

ha de ser el fundamento de un programa de compliance. La antigua tradición de
mantener silencio en los “trapos sucios” y el mal funcionamiento de la empresa ha de
ser sustituida por el fomento de la delación, en tanto que permitirán a la alta dirección
manejar una valiosa información a efectos de eludir una probable responsabilidad penal.
Desde el punto de vista interno, surge la obligación de que todo integrante de la

sociedad informe de los riesgos e incumplimientos al organismo encargado de la
supervisión: el Comité Ético, el compliance officer o el Comité, según las dimensiones
de la empresa.
En este sentido, los denominados whistleblowers72 permiten obtener datos respecto de la

eficacia (o no) del programa implantado73, realizar una evaluación y asimismo
comprobar que las anteriores fases de detección de riesgos e implantación del Código
Ético de Conducta llevadas a cabo han tenido sus frutos. En suma, permite a la empresa
conocer sus ya latentes riesgos y reaccionar previa incoación de un proceso penal.
Ahora bien, el problema que subyace en esta práctica es el riesgo de caer en un

“ambiente policial” entre los propios trabajadores74; conducta que no deja de ser
contraria a lo deseable según la cultura ética que debe preponderar en la empresa.
Algunas legislaciones como la estadounidense, según muestra la Sarbanes-Oaxley

Act75, han optado por un canal de whistleblowing anónimo, ofreciendo garantías de
protección al “chivato” y asegurándose a su vez la efectividad del canal.76 En este
71
CLEMENTE CASAS, I., ÁLVAREZ FEIJOO, M., “¿Sirve de algo…, op., cit., p.46 yss.
72
Traducción del inglés “persona que hace sonar un pito, un silbato”, en referencia a una llamada de
atención o denuncia de irregularidades por parte de los trabajadores.
73
HORTAL IBARRA, J.C., VALIENTE IVAÑEZ, V., “Responsabilidad de la empresa… op., cit.,
p.289.
74
p.289.
75
Ley estadounidense conocida en español como el Acta de Reforma de la Contabilidad Pública de
Empresas y Protección al Inversor, nacida como respuesta a los escándalos de Enron y Worldcom durante
2001, modificando la normativa del mercado de valores.
76
p.291.
29
mismo sentido se ha pronunciado el Grupo de Trabajo de la UE creado por el art. 29 de
la Directiva 95/46/CE, si bien la normativa española mediante la LO 15/1999 de 13 de
diciembre, de protección de datos de carácter personal, siguiendo el Informe Jurídico
0128/2007 promovido por la Agencia Española de Protección de Datos, afirma que tales
denuncias solo deberían ser aceptadas si aparece identificado el denunciante, con la
exigencia de que sea tratado confidencialmente, en cumplimiento de los principios de
integridad y exactitud.
A este “canal ético” o de denuncias deberá acompañarle un canal de atención a clientes

y proveedores donde sea posible depositar las irregularidades observadas por parte de
estos sectores.
¿Cuáles han de ser las consecuencias de un reiterado incumplimiento de las

normas empresariales? La creación de un código ético-normativo sería papel mojado si
éste no viniera aparejado a un sistema sancionador; sanciones que serán proporcionales
a la gravedad del incumplimiento. Sin embargo, cabe tomar en consideración las
posibles fricciones entre el derecho penal y el derecho laboral frente a los posibles
despidos provocados por un incumplimiento muy grave, motivo por el que es más que
aconsejable que tal sistema disciplinario intra-societario sea compatible con el convenio
colectivo de aplicación al sector de que se trate77.
2.2.6. Creación de un organismo de control autónomo78. La gestión

empresarial ante la comisión de un hecho delictivo.
Aunque la iniciativa para adoptar un plan de cumplimiento venga de la mano del

Consejo de Administración, lo habitual es que la gestión del programa se delegue en
miembros de departamentos clave79 (asesoría jurídica, recursos humanos,
comunicación...), que aportarán la experiencia y conocimientos necesarios sobre la
empresa y su funcionamiento.
Los esquemas de un programa de cumplimiento no estarán normalmente encuadrados

por los límites de los tipos penales analizados en el “plan de riesgos”, sino que serán
77
ALARCÓN GARRIDO, A., “Manual teórico-práctico… op., cit., p.83.
78
2016, p.69 y ss.
79
HORTAL IBARRA, J.C., VALIENTE IVÁÑEZ, V., Responsabilidad de la empresa y Compliance:
programas de prevención, detección y reacción penal, EDISOFER, S.L, Madrid 2014, p.280 y ss.
30
más amplios. Para que un sistema de control interno ético-normativo como ya descrito
funcione, ha de estar configurado en tres puntos o líneas clave de defensa y vigilancia,
los cuales, en esencia, permitirán evitar solapamientos y a su vez definir con precisión el
ámbito de responsabilidades80.
El primer mecanismo de defensa ha de estar constituido por el propio negocio, es decir,

las unidades operativas y sus trabajadores: sus obligaciones profesionales son
prioritarias, pero se considera que la propia empresa ha de incentivar que éstos se
involucren en la tarea del control interno, conociendo y gestionando los riesgos que
asumen. En el segundo escalón entra en juego el compliance, en tanto que unidad
especializada en el control de riesgos que se encargará de verificar el buen
funcionamiento de la anteriormente mencionada línea de defensa y aplicar las pautas
marcadas por la alta organización. Ambas líneas serán supervisadas por la Auditoría; y a
su vez, todo este organigrama podrá ser controlado por vías externas: auditores
externos, supervisores81 y en última instancia, los tribunales82.
No es baladí indicar, sin embargo, que la responsabilidad última sobre el control de

riesgos recaerá siempre sobre los miembros de la alta dirección de la organización
(órgano de Administración y dirección ejecutiva). Por todo ello, es más que aconsejable
que ésta cuente con un programa donde se recoja una adecuada política de control de
riesgos, áreas, actividades y trabajadores que las desarrollan; control de riesgos que,
adelantamos, es uno de los objetivos del compliance officer.
Una vez se ha producido el hecho delictivo, la empresa deberá poder afrontar la

situación tanto desde el punto de vista legal, reputacional como económico y
productivo. La previa creación de un Comité de Gestión de Crisis ayudará a mitigar sus
efectos.
Este organismo, junto con el órgano de Administración de la empresa y el abogado,

tendrá que valorar las posibles respuestas frente al delito, eligiendo aquella que mitigue
lo máximo posible los efectos dañinos tanto colaterales como directos. Entre ellas, la
confesión a las autoridades, la colaboración con la investigación, la reparación del daño
80
ENSEÑAT DE CARLOS, S., Manual del Compliance Officer, Thomson Reuters Aranzadi,
Pamplona 2016, p.27 y ss.
81
En el supuesto de que nos encontremos ante empresas que operen en sectores regulados.
82
ENSEÑAT DE CARLOS, S., “Manual…, op., cit., p.27 y ss.
31
y el establecimiento de medidas posteriores a la comisión del delito son las cuatro
posibles atenuantes recogidas por el art. 31 quáter CP.
3. EL COMPLIANCE OFFICER.
Antes de la reforma del CP operada recientemente en 2015, los administradores

de las empresas, con motivo del cargo que ostentaban, eran quienes respondían
penalmente por los hechos u omisiones delictivas a nivel individual83.
Actualmente, sin embargo, resulta de indudable necesidad el nombramiento de

una persona que se encargue, en términos generales, de la dirección de este nuevo área
instaurada: el Chief ethics & Compliance officer. La Directiva 2004/39/CE del
Parlamento y del Consejo, también conocida como normativa MiFID84, fue la primera
en introducir la obligación de contar con este cargo.
Según nos indica el inciso segundo del art. 31.2 bis CP, la empresa ha de haber creado
“un órgano (…) con poderes autónomos de iniciativa y de control o que tenga
encomendada legalmente la función de supervisar la eficacia de los controles internos
de la persona jurídica”; condición de la que se encuentran exentas las pequeñas y
medianas empresas85, al indicarse en el apartado tercero del mismo precepto que dichas
funciones “podrán ser asumidas directamente por el órgano de administración”.
3.1. Requisitos académicos y formativos.
El perfil de un compliance officer ha de ser multidisciplinar, independiente,

neutral, comunicativo, preventivo y, sobre todo, reactivo ante la toma de decisiones.
La profesión de compliance no está, por el momento, regulada en España. En su lugar,

el ejercicio de este cargo estará regido por los términos contractuales entre el sujeto en
cuestión y la persona jurídica que precise de sus servicios. Ahora bien, tal como indica
83
Recordamos la ya mencionada traditio, societas delinquere non potest.
84
Directiva 2004/39/CE del Parlamento y del Consejo, de 21 de abril de 2004, relativa a los mercados
de instrumentos financieros; Directiva 2006/31/CE de 5 de abril de 2006 del Parlamento Europeo y del
Consejo y posteriores modificaciones.
85
Textualmente indica el precepto 31.3 bis CP que “son personas jurídicas de pequeñas dimensiones
aquéllas que, según la legislación aplicable, estén autorizadas a presentar cuenta de pérdidas y ganancias
abreviada”.
32
ALARCÓN GARRIDO86, han de valorarse como requisitos para desempeñar esta tarea
la correspondiente titulación universitaria (Licenciatura o Grado en Derecho,
Administración y Dirección de Empresas o análogos) y disponer de un currículum
profesional teórico-práctico acreditativo sobre materias de compliance87.
Cabe tomar en consideración, además, la confidencialidad de sus servicios88 y la

incompatibilidad de esta profesión con las relaciones personales/profesionales que
pudiere mantener con la empresa: la independencia ha de ser, sin duda, uno de sus
rasgos más destacados.
3.2. ¿Cuáles son las funciones externalizables? La responsabilidad del Chief

compliance officer.
Nombrado por la Administración empresarial, el papel de compliance officer

puede ejercerse como consultor externo o en régimen laboral, bien individualmente,
bien mediante sociedades profesionales89. Cabe resaltar las amplísimas funciones que
este órgano abarca90, si bien habrá de tenerse en cuenta las dimensiones y actividad de
la empresa para poderlas definir con exactitud:
 En el marco de la gestión: implementación y control del cumplimiento del

Modelo de Prevención de Delitos, asistencia al órgano de Administración para la
actualización de la normativa vigente y la formación de la plantilla en relación
con las medidas adoptadas.
 En el ámbito de la supervisión: la gestión del canal de denuncias y cumplimiento
de la “ética societaria” (caso de que no exista un Comité Ético).
 Y también en el plano reactivo: investigación de incumplimientos,
establecimiento de objetivos y propuestas de cambio y elaboración de informes
86
ALARCÓN GARRIDO, A., “Manual teórico-práctico… op., cit., p.34
87
A modo de ejemplo, las Directrices de la ESMA (European Securities and Markets Authority)
indican, en relación con el sector financiero de la MiFID, que “el responsable del cumplimiento debería
poseer conocimientos específicos de las actividades empresariales desarrolladas por la empresa de
inversión (…) según el modelo de negocio de la empresa”.
88
En este sentido se pronuncia la Fiscalía General del Estado en la Circular 1/2016, indicando que
“deberá asumir la estricta confidencialidad y protección de datos, pues dicha actividad supone el acceso a
datos personales e información sensible de la empresa, debiendo cumplir escrupulosamente con las
obligaciones impuestas para la subcontratación por el art. 12 de la LO 15/1999, de 13 de diciembre, de
Protección de Datos de Carácter Personal.
89
ALARCÓN GARRIDO, A., “Manual teórico-práctico… op., cit., p.32
90
FOUREY GONZÁLEZ, M., “Compliance Penal: fundamento… op., cit., p. 73.
33
anuales respecto a la efectividad del instaurado Programa de cumplimiento, que
será remitido al Consejo de Administración.
Dada la gran carga de trabajo que todo esto supone, a menudo se suelen compartir las
funciones con la Comisión de Auditoría, cuya relación habrá de ser de interacción y
coordinación. Ahora bien, en palabras de la Fiscalía General del Estado91, existe una
función indelegable: “crear la organización adecuada para verificar el cumplimiento
normativo y controlar su eficacia, siendo responsable de dicha función de manera
exclusiva la alta dirección de la empresa; sin que por tanto, se pueda externalizar dicha
función, pues en caso de externalizarse no serviría para exonerar de responsabilidad
penal al órgano de administración o dirección”.
En este sentido y en relación con las tareas asumidas por el responsable de

cumplimiento, podría éste en incurrir en responsabilidad (penal, civil, administrativa),
por falta de diligencia, tolerancia o complicidad, siempre que su reacción no hubiera
sido suficiente y/o efectiva92. Concretamente la Fiscalía señala que en caso de que el
compliance officer hubiera omitido gravemente el control del autor del delito, también
se transferiría la responsabilidad penal de la persona jurídica.
Pero no por ello ha de ser obviada la posición de garante de la persona jurídica: el CCO
actúa por delegación, de manera que si tuviera lugar un delito, ésta en última instancia
incurriría en responsabilidad (art. 31 ter CP).
4. PROBLEMÁTICA EN SU IMPLANTACIÓN: EL COMPLIANCE

TRIBUTARIO.
Iniciábamos este trabajo haciendo hincapié en la gran relevancia e influencia que

la transversalidad, la alta exigencia normativa y la globalización han venido teniendo en
el sector del compliance.
Dada su naturaleza y el interés que supone para el público general y el mercado

económico, los operadores jurídicos se han venido planteando la aplicabilidad de las ya
mencionadas pautas marcadas por el compliance penal a otras ramas que exigen una
91
Circular 1/2016 de la Fiscalía General del Estado, interpretando el art. 31 bis CP.
92
Motivo por el cual se aconseja que los CCO dispongan de un seguro que respalde su actividad
profesional.
34
mayor especialidad y concreción. Su relevancia es tal que he considerado apropiado
dedicar un último apartado a tratar la importancia que supone la implantación de un
modelo de prevención de contingencias en un concreto sector de actividad que nos
concierne: el ámbito tributario.
El legislador se ha venido ocupando de regular ciertas obligaciones aplicables a esta

materia. La aprobación de la FACTA93 estadounidense así como de la Directiva
Europea relativa a los Mercados de Instrumentos Financieros (MiFID) y su reciente
sucesora (MiFID II)94 son buen ejemplo de ello, si bien el ámbito legislativo no será
objeto a tratar en las próximas líneas.
Hablar de cumplimiento tributario supone hablar de cumplimiento ético-

normativo y, por ende, de las numerosísimas maniobras existentes que a menudo son
utilizadas por personas físicas y jurídicas con la finalidad de evitar el pago de los
impuestos correspondientes.
Falsear ingresos, simular negocios jurídicos, emitir facturas falsas, la obtención de

bonificaciones y exenciones indebidas, la corrupción o la tan conocida planificación
fiscal agresiva no son sino ejemplos desgraciadamente bastante corrientes de lo que, en
definitiva, supone la comisión de un acto ilícito con la finalidad de enriquecerse a costa
del impago a las arcas del Estado español. Todo ello contribuirá a acentuar la dificultad
de control de cumplimiento ético-normativo si tenemos en cuenta la posibilidad de que,
en el mundo globalizado actual, las empresas no solo actúan internamente y a nivel
nacional, sino también mediante relaciones matriz-filial, operando en el mercado intra y
extracomunitario.
93
Foreign Account Tax Compliance Act, traducido del inglés “Ley de Cumplimiento Fiscal de
Cuentas Extranjeras”.
94
Respectivamente, Directiva 2004/39 CE, del Parlamento Europeo y del Consejo, de 21 de abril de
2004, relativa a los mercados de instrumentos financieros y su reforma, la Directiva 2014/65/UE. Este
tipo de Directivas reflejan la necesidad de protección de los clientes, estableciendo la obligatoriedad de
controles internos de cara a los inversores y de la entidad matriz, reguladas por el Estado.
Como podemos observar, sus rasgos son precisamente los que inspiran todo sistema de Compliance,
salvando las distancias: el objetivo perseguido por parte del Estado no es otro que el control, la necesidad
de supervisión, mientras que por parte de las empresas, lo es evitar las consecuencias de un
incumplimiento (sanciones astronómicas y responsabilidades penales, pérdida de reputación y buena
imagen, entre otras).
35
Como podremos observar, también aquí tendrá una enorme incidencia el papel del Chief
compliance officer en una labor que podremos denominar “control y prevención de
contingencias fiscales”.
¿Cómo puede tener certeza la empresa de que todos sus miembros cumplen
normativa y éticamente con las pautas establecidas? Pues bien, como venimos
indicando a lo largo de esta obra, el objetivo del compliance será siempre prevenir,
evitar y reparar la posible comisión de hechos delictivos, yendo un paso por delante a la
intervención de la justicia.
Así las cosas, la inmediata cuestión que nos surge al respecto es cómo ha de adaptar el
CCO este organigrama al ámbito sectorial tributario. Nos encontramos de nuevo con el
doble esquema inicial: prevención-detección y evaluación-reacción ante delitos fiscales,
todo ello presidido por un autónomo mecanismo de gestión-supervisión del
organigrama en que opere la sociedad en cuestión.
El primer paso, por tanto, será elaborar el mapa de riesgos tributarios, es decir, conocer
cuáles de esas conductas delictivas podrán ser potencialmente cometidos por la empresa
en su sector de actividad.
Por su transversalidad, considero que los delitos perpetrados contra la Hacienda

Pública95 serán los principales objetivos a tratar: la defraudación tributaria, el fraude
comunitario96, el fraude de subvenciones o ayudas públicas y el delito contable97 (arts.
305, 306, 308 y 310 CP, respectivamente), incluyéndose a mayores la receptación, el
cohecho y el tan reseñable delito de blanqueo de capitales (arts. 298, 422 y ss. y 301
CP), sobre el que ahondaremos más adelante.
El incumplimiento de cualesquiera de las anteriormente mencionadas obligaciones

fiscales inherentes a la actividad empresarial, supondrá en todo caso infracción
95
Teniendo en cuenta el art. 31.1 CE: “Todos contribuirán al sostenimiento de los gastos públicos de
acuerdo con su capacidad económica mediante un sistema tributario justo inspirado en los principios de
igualdad y progresividad que, en ningún caso tendrá alcance confiscatorio”, la legislación referente a esta
materia tiene como objetivo la protección del erario público, la política económica y social, el ahorro, la
inversión y la distribución de la renta nacional. Por ende, y siendo interés del Estado la protección de los
mencionados bienes jurídicos, se permite la aplicación del art. 31 bis CP también esta materia.
En estos términos se pronuncia ALARCÓN GARRIDO, A., “Manual teórico-práctico… op., cit., p.147.
96
Delito introducido en España con motivo de la reforma del CP de 2015.
97
Incluimos en este ámbito la ausencia, alteración y doble contabilidad (conocida por la opinión
pública como “contabilidad en B”).
36
administrativa, y solo será considerado delito en caso de que las cuantías superen el
límite establecido de 120.000 euros, según nos señala la normativa vigente.
Una vez concretado este mapa de riesgos ad hoc, será necesario aprender a prevenir y
detectar riesgos, esto es, informar y formar a cada uno de los trabajadores y miembros
de la sociedad de los posibles delitos específicamente relacionados con sus labores, así
como del marco ético implantado en la organización.
A mayores, en caso de que la empresa opere en los denominados paraísos fiscales,

jurisdicciones de escasa o nula cooperación tributaria o con diversas filiales, habrá que
prestar especial atención a sus operaciones, revisando en todo caso su legalidad. Por
ejemplo, la revisión de los pagos y precios convenidos entre la empresa matriz y el resto
del grupo, la transparencia en los libros de registro y cuentas, y la regularización de las
relaciones para con sus proveedores o clientes y en relación con las facturas y los
trámites utilizados, entre otras cuestiones.
Una sociedad cualquiera podría tratar de obtener provecho de los tecnicismos o

inconsistencias de uno o varios sistemas fiscales con el objetivo de reducir su
cumplimiento normativo; de igual forma, también podría legítimamente estar haciendo
uso preferencial de un régimen fiscal buscando de igual forma el ahorro tributario pero
respetando la norma jurídica. En el primer caso nos encontramos ante una planificación
fiscal agresiva, mientras que en el segundo se plantea el totalmente legítimo uso de la
economía de opción. La reseñable diferencia entre ambas prácticas radicará
precisamente en la licitud de las medidas y el cumplimiento de la legalidad, y en este
sentido, será tarea del CCO vigilar los escenarios, maniobras y medidas de modo que no
se oculte, finja, altere ni simule ningún negocio jurídico. Que se lleve a cabo la opción
pero no la defraudación fiscal.
Por otro lado, la fuga de divisas y capitales se ha convertido en las últimas

décadas en uno de los mecanismos más utilizados entre las empresas para reducir el
impacto que la cotización en determinados sistemas tributarios puede llegar a tener en
sus rendimientos, expectativas y beneficios. Su afección al Estado provocará, como
podemos advertir, una repercusión negativa en la inversión y recaudación interna, y
como consecuencia una reducción en los efectivos disponibles para la prestación de
servicios a los ciudadanos que sí cumplen con sus obligaciones tributarias.
37
Estas prácticas en las que se transfiere capital al exterior con el objetivo de no cotizar a
las arcas públicas nacionales son especialmente potenciadas por la existencia de los
conocidos “mercados offshore”, que facilitan enormemente la tarea proporcionando
regímenes de escasa o nula tributación.
En este sentido, podemos entender que detrás de toda esta sofisticada industria
necesariamente se han de encontrar abogados, economistas, asesores98 y contables
especializados en planificación agresiva, cuyo papel como enablers será clave.
La atribución de responsabilidades y detección de riesgos y conductas poco acordes a la

legalidad será, por tanto, un cometido atribuido al responsable de cumplimiento (CCO)
de la propia sociedad, que, adoptando las oportunas medidas, podría lograr una
atenuación o incluso exención de responsabilidades penales empresariales en los
términos ya indicados.
¿Cómo acreditar este cumplimiento? La labor del compliance officer se habrá de

centrar en el muestreo de información, facturas y datos cualesquiera que le permitan
llegar a la convicción de que las prácticas societarias son conformes a la legalidad.
Sin embargo, esta tarea puede llegar a ser especialmente laboriosa. Es por ello que
algunos de los mecanismos más prácticos a utilizar serán los informes de asesorías
jurídicas que acrediten la autorización para realizar transacciones en efectivo, de
auditorías que garanticen la veracidad contable y los pagos debidamente realizados a la
Hacienda Pública, o certificados emitidos por la Agencia Estatal de la Administración
Tributaria que recoja el efectivo cumplimiento con las obligaciones fiscales por parte de
la empresa99.
Así pues, de lo que se trata es de observar el objeto para el cual fue creada la empresa en
cuestión, los efectivos económicos y materiales de los de dispone, los servicios que
presta, las relaciones con terceros, los flujos de ganancias-pérdidas y, en definitiva, el
conjunto de caracteres que conforman y definen la actividad de la sociedad en el
mercado nacional e internacional. Sólo así será posible llevar a cabo un eficaz mapa de
98
Destacando las operaciones de las “Cuatro Grandes” firmas internacionales de consultoría y
auditoría: KPMG International Cooperative, EY (Ernst & Young), Deloitte y PricewaterhouseCoopers
(PwC).
99
ALARCÓN GARRIDO, A., “Manual teórico-práctico… op., cit., p.153 y ss.
38
riesgos que permita identificar, prever y, por tanto, adelantarse a la comisión delictiva
por parte del compliance.
Ahora bien, en esta tarea de detección de conductas delictivas fiscales no solo se

ha volcado el compliance, sino también las propias autoridades estatales preocupadas
por responsabilizarse y tomar medidas resolutivas en materia de elusión fiscal. Buen
ejemplo de ello lo encontramos en los trabajos realizados por la OCDE100: en materia de
planificación fiscal agresiva BEPS101 o la conocida “Convención Anticohecho” de
1997102.
4.1. El compliance tributario: especial mención al delito de blanqueo de

capitales
A menudo, sociedades empeñadas en eludir el cumplimiento de la ley hacen uso

de otras prácticas ilícitas cuyo conocimiento supone un trabajo más dificultoso para las
autoridades, debido normalmente a la procedencia del capital no ingresado.
El tráfico ilegal de armas, el narcotráfico, la inmigración ilegal y la financiación del

terrorismo son delitos que internacionalmente mueven masas, aportan grandes
beneficios materiales al delincuente (que normalmente suele estar integrado en una
organización criminal) y con ello, grandes sumas de dinero que busca ser blanqueado
con el objetivo de ser posteriormente disfrutado103. La utilización de nuevas tecnologías
y la existencia tanto de paraísos fiscales como de gran diversidad de regulaciones
fiscales aplicables entre Estados dificultan aún más, si cabe, la tarea de identificación de
responsabilidades en los delitos cometidos.
Pues bien, en este marco de complejidades, el denominado money laundering o

lavado de dinero es sin duda una de las materias que mayor implicación ha tenido en el
corporate compliance.
100
Organización para la Cooperación y Desarrollo Económico.
101
Base Erosion and Profit Shifting, del inglés “Erosión de la base imponible y traslado de
beneficios”. https://www.oecd.org/ctp/10-preguntas-sobre-beps.pdf, consultado el 12 de junio de 2017.
102
https://www.oecd.org/daf/anti-bribery/anti-briberyconvention/Anti-
Bribery_Convention_and_Working_Group_Brief_ESPA%C3%91OL.pdf, consultado el 12 de junio de
2017.
103
El gran auge delictivo experimentado durante los ochenta abrió los ojos a la comunidad internacional,
dejando constancia de la necesidad de establecer medidas. Así nació el Grupo de Acción Financiera
Internacional (GAFI)
39
En el orden normativo cabe destacar el Grupo de Acción Financiera Internacional104,
mientras que en el caso de España el legislador ha decidido intervenir creando la ley
10/2010, de 28 de abril, de Prevención del Blanqueo de Capitales y de la Financiación
del Terrorismo (LPBC-FT) y el Servicio Ejecutivo de la Comisión de Prevención de
Blanqueo de Capitales e Infracciones Monetarias (SEPBLAC). En conjunto, podemos
extraer unas pautas bastante detalladas que nos pueden servir de orientación a la hora de
aplicar el compliance a esta materia.
Ciertamente, la normativa española sobre blanqueo de capitales se dedica a un gran

número de sujetos obligados (entidades crediticias, aseguradoras, promotores…), si bien
sólo será de nuestro interés la mención al ámbito privado.
Los mencionados sujetos estarán obligados a tomar las denominadas “medidas de

diligencia debida” a la hora de tratar con clientes o proveedores. Su propósito será
identificar formalmente a las personas con las que operen y a su titular real, determinar
el objeto de la relación de negocios y realizar un seguimiento que garantice que las
actividades desarrolladas son las indicadas en el objeto de sus relaciones105.
Una vez analizadas tales medidas, el sujeto obligado –que normalmente será el
mismo CCO al que se le extenderán las funciones de cumplimiento tributario- podrá
implantar medidas específicamente reforzadas o simplificadas de diligencias debidas,
teniendo en cuenta la alta o baja posibilidad de que se produzca un delito de blanqueo
de capitales, respectivamente.
Para configurar tal mapa de riesgos, estos sujetos deberán tomar en consideración los
países en los que opera la sociedad, la tipología de sus clientes y proveedores, los
productos, operaciones y servicios que prestan y los canales de distribución
utilizados106, así como el nivel de activos del cliente, volumen de operaciones y la
duración y propósitos de la relación negocial de que se trate.
Por ejemplo, no responderá a la misma problemática una multinacional offshore, con

pluralidad de proveedores en países en vías de desarrollo donde exista un mayor índice
de corrupción y por tanto mayores posibilidades de llevar a cabo un lavado de activos,
104
GAFI-TATF, del inglés Financial Action Task Force.
105
SÁIZ PEÑA, C.A., Compliance: cómo gestionar los riesgos normativos en la empresa, Thomson
Aranzadi Reuters, Pamplona 2015, p.201 y ss.
106
SÁIZ PEÑA, C.A., “Compliance: cómo gestionar…” op., cit., p.203.
40
que una empresa que actúe a nivel nacional o local donde el control no escapa tan
fácilmente de las autoridades. En el primero de los casos, el CCO deberá tomar medidas
mucho más reforzadas, y por supuesto, en cualquiera de los casos éstas deberán ser
periódicamente revisadas.
Dentro de este organigrama de medidas internas de control, la prevención y la

existencia de órganos de control interno son vitales. Concretamente, será necesario que
la empresa tenga en su plantilla a un representante ante el SEPLAC que dé cuenta e
informe sobre las obligaciones indicadas en el Reglamento107, un órgano de control
interno que se ocupe de la aplicación de las medidas de prevención de blanqueo y, en el
caso de las sociedades que excedan de 50 millones de euros en su cifra anual de
negocio, una unidad técnica de tratamiento y análisis de la información.
Junto a ello, cabe mencionar de nuevo el papel de los estándares éticos en la

contratación, el desarrollo de operaciones y las buenas prácticas en el concreto sector de
actividad de que se trate.
En definitiva, los conflictos de interés, la colaboración en el lavado de dinero, el

uso de información privilegiada, los falseamientos de precios, el fraude, la obtención de
bonificaciones indebidas… Todo ello son riesgos que han de ser tenidos en cuenta a la
hora de desarrollar unas políticas de comportamiento ético y normativo empresarial, y
en los que, por tanto, jugará un importante papel tanto la implantación de un compliance
program como en las labores desempeñadas por el CCO, con el propósito de obtener
una reducción o una exención de las responsabilidades penales y financieras.
5. CONCLUSIONES
PRIMERO. El aumento de la complejidad y ausencia de armonización

normativa, la globalización e internacionalización de las actividades empresariales y los
numerosos escándalos perpetrados por importantes compañías evidenciaron que el mero
control en el seno de las sociedades no es garantía suficiente para el desarrollo saludable
107
Art. 33 del Reglamento de desarrollo de la LPBC-FT. Necesario dar cuenta de la política de
admisión de clientes, de los procedimientos de diligencia debida, de las operaciones que pudieran verse
involucradas en el blanqueo de capitales, de los flujos de información entre directivos, empleados y
agentes, y de los procedimientos de detección de hechos sujetos a examen especial. En estos términos se
pronuncia SÁIZ PEÑA, C.A., “Compliance: cómo gestionar…” op., cit., p.204.
41
del sector empresarial. En España, las recientes reformas del CP promovidas por LO
5/2010 y LO 2/2015 introdujeron la responsabilidad penal de las personas jurídicas, y
con ello un margen de maniobra que permitiría una posible atenuación o exención de
tales responsabilidades, siempre que se cumplieran una serie de condiciones por parte
de los sujetos obligados.
SEGUNDO. Parece interesante destacar que, de entre tales requisitos

condicionantes recogidos en el art.31 bis CP, la mera existencia en la estructura
societaria de un mapa de riesgos y de un código de conducta no es suficiente para
conseguir tal atenuación o exoneración de responsabilidades penales.
Ante una indeterminación en el contenido de la normativa, la Fiscalía General del

Estado, la doctrina y la jurisprudencia del Alto Tribunal coinciden en la necesidad de un
compromiso demostrado de acatamiento, implantación, supervisión y continua
renovación de los planes de prevención de riesgos penales, de manera que el compliance
no se convierta en simple palabrería y papel mojado. En este sentido, tanto la existencia
de un canal de denuncias como de un sistema disciplinario de sanciones juegan aquí un
rol importante.
TERCERO. No existe un modelo universal de compliance program. La

estructura societaria, con ayuda del departamento de Recursos Humanos, la auditoría, la
asesoría jurídica y sobre todo del responsable de cumplimiento, deberá ser capaz de
crear un denominado “mapa de riesgos” adaptado a sus estructuras y necesidades, así
como un código ético de conducta, que habrán de ser conocidos por todos los miembros
que compongan la empresa, atendiendo a sus concretos focos de riesgo.
CUARTO. La línea de defensa y prevención de actos delictivos perpetrados por,

para y contra la empresa está conformada por varios pilares. Primeramente, los propios
asalariados o unidades operativas, en relación con las actividades que desempeñen. En
segundo lugar, el compliance, encabezado por el compliance officer, en tanto que
unidad especializada en el control de riesgos. Ambas líneas serán supervisadas por la
Auditoría y otras vías externas y, en última instancia, los tribunales.
A pesar de lo indicado y dado que la responsabilidad última sobre el control de riesgos

recaerá siempre sobre los miembros de la alta dirección, se considera aconsejable que la
42
empresa cuente con un programa donde se recoja una adecuada política de control de
riesgos.
QUINTO. De los profesionales dedicados a la implementación y vigilancia del

cumplimiento de los programas se esperan no sólo unos conocimientos jurídicos, sino
que también habrá de poseer un manejo en las técnicas de control interno y de gestión
de políticas empresariales. He aquí las razones por las que considero que el jurista-
economista experimentado o con dominio en materia de contabilidad, en general, será el
candidato idóneo para tomar el protagonismo en esta nueva tendencia profesional en
auge.
SEXTO. En gran parte, el cumplimiento normativo ha dejado de ser visto como

una lacra para la empresa, un mero mecanismo para evitar las sanciones penales.
Actualmente, las sociedades parecen ser más conscientes de que son buenas las
consecuencias de plantear una integración de la ya definida como “cultura de
cumplimiento normativo proactivo” entre los pilares de su estructura diaria de
funcionamiento.
Ha quedado demostrado que son muchos y muy positivos los beneficios que aporta el
corporate compliance, tanto cualitativa como cuantitativamente; tanto interna como
externamente. A mayores, no hemos de olvidar la importancia que la buena imagen de
marca y la transparencia pueden llegar a suponer para el buen funcionamiento y
reputación de una empresa. Es por ello que la tendencia actual se decanta ya no sólo por
la rentabilidad de las operaciones empresariales, sino también por la sostenibilidad y la
creación de un impacto ético positivo para con sus proveedores y potenciales clientes.
SÉPTIMO. Parece interesante puntualizar la transversalidad que alcanza la

materia de corporate compliance. Sus inicios en el sector bursátil, corporativo, penal y
su extensión hacia otras materias tales como la rama laboral, financiera,
medioambiental, protección de datos y seguridad de la información son buen ejemplo de
ello. Sin embargo, entiendo que el cumplimiento normativo cobrará y de hecho está
cobrando actualmente una mayor relevancia en el sector tributario.
OCTAVO. Delitos como la prevaricación o el cohecho pueden afectar

seriamente a la recaudación de las arcas públicas del Estado. Sin embargo, por su
especialidad, considero que no todo sujeto tiene acceso a su comisión, en tanto que para
43
ello es necesario un procedimiento de contratación pública, un contacto con un miembro
corrupto funcionariado, etc. Por su parte, los delitos de fraude fiscal son fácilmente
accesibles, e incluso me aventuraría a indicar, bastante habituales. Esta problemática
unida a la existencia de tráfico de estupefacientes, blanqueo de capitales y la tan popular
planificación fiscal agresiva, conforman el hábitat perfecto para la comisión de actos y
hechos delictivos mucho más difícilmente detectables por las autoridades estatales, pero
conllevando graves repercusiones y sanciones penales para las empresas.
A la vista de la importancia aplicativa del art. 31 bis CP, las personas jurídicas podrían
introducir mecanismos de prevención, modelos de gestión de riesgo en la comisión de
delitos contra la Hacienda Pública y, de esta manera, aplicar todo el organigrama del
plan de prevención de contingencias al ámbito fiscal, consiguiendo una atenuación o
exoneración de las responsabilidades penales societarias.
Por todo ello, indudablemente nos encontramos ante un escenario de grandes retos y
oportunidades para todos aquellos dedicados profesionales al servicio y dirección de
una empresa en España.
44
BIBLIOGRAFÍA
ALARCÓN GARRIDO, A., Manual teórico-práctico del compliance officer,

Sepín, Madrid 2016.
BALCARCE – BARRUEZO, Criminal Compliance y personas jurídicas, B de

F, Montevideo - Buenos Aires, 2016.
BOCK, D., Criminal Compliance, Nomos, Baden-Baden, 2011, en ROTSCH,

T., FS-Samson, 2010; EL MISMO, InDret 1/2012; ROXIN, I., StV 2/2012.
CARRAU CRIADO, R., Compliance para pymes, Tirant Lo Blanch, Valencia

2015.
CLEMENTE CASAS, I., ÁLVAREZ FEIJOO, M., “¿Sirve de algo un programa

de Compliance Penal? ¿Y qué forma le doy? (Responsabilidad penal de la persona
jurídica en la LO 5/2010: incertidumbres y llamado por la seguridad jurídica)”,
Actualidad Jurídica Uría Menéndez, 2011.
ENSEÑAT DE CARLOS, S., Manual del Compliance Officer, Thomson Reuters

Aranzadi, Pamplona, 2016.
FOUREY GONZÁLEZ, M., “Compliance penal: fundamento, eficacia y

supervisión. Análisis crítico de la Circular 1/2016 de la Fiscalía General del Estado”,
Actualidad Jurídica Uría Menéndez, 2016.
GARCÍA CAVERO, P., Criminal Compliance, Palestra, Lima 2014.
GALLEGO SOLER, J.I., Responsabilidad de la Empresa y Compliance,

Edisofer, S.L, Madrid, 2014.
HORTAL IBARRA, J.C., VALIENTE IVÁÑEZ, V., Responsabilidad de la

empresa y Compliance: programas de prevención, detección y reacción penal,
EDISOFER, S.L, Madrid 2014.
LASCURÁIN SÁNCHEZ, J.A., Compliance, debido control y unos refrescos,

Tirant Lo Blanch, Valencia 2013.
MARTÍNEZ PUERTAS, L., PUJOL CAPILLA, P., Guía para prevenir la

responsabilidad penal de la empresa, Thomson Aranzadi Reuters, Pamplona 2015.
45
NIETO MARTÍN, A., Manual de cumplimiento penal en la empresa, Tirant Lo
Blanch, Valencia, 2015.
PASCUAL CADENA, A., El plan de prevención de riesgos penales y

responsabilidad corporativa, Wolters Kluver, Madrid 2016.
PUYOL, J., Criterios prácticos para la elaboración de un código de compliance,

Tirant Lo Blanch, Valencia 2016.
SÁIZ PEÑA, C.A., Compliance: Cómo gestionar los riesgos normativos en la

empresa, Thomson Reuters Aranzadi, Pamplona 2015.
JURISPRUDENCIA Y LEGISLACIÓN:
Circular de la Fiscalía General del Estado, 1/2016.
Directiva 2004/39/CE del Parlamento y del Consejo, de 21 de abril de 2004,

relativa a los mercados de instrumentos financieros.
Directiva 2006/31/CE de 5 de abril de 2006 del Parlamento Europeo y del

Consejo y posteriores modificaciones.
Ley 10/2010, de 28 de abril, de Prevención del blanqueo de capitales y de la

financiación del terrorismo.
Libro Verde de la Comisión Europea, “Fomentar un marco europeo para la

responsabilidad social de las empresas”, 2001.
LO 15/1999 de 13 de diciembre, de Protección de Datos de Carácter Personal.
LO 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
STS 154/2016, de 29 de febrero.
US Sentencing Guidelines.
46
PÁGINAS WEB:
Base Erosion and Profit Shifting, del inglés “Erosión de la base imponible y
traslado de beneficios”, disponible en https://www.oecd.org/ctp/10-preguntas-sobre-
beps.pdf, consultado el 12 de junio de 2017.
Convencion Anticohecho de la OCDE y el Grupo de Trabajo sobre el Cohecho,

disponible en
https://www.oecd.org/daf/anti-bribery/anti-briberyconvention/Anti-
Bribery_Convention_and_Working_Group_Brief_ESPA%C3%91OL.pdf, consultado el
12 de junio de 2017.
Directrices de la ESMA (European Securities and Markets Authority),

https://www.esma.europa.eu/
Good Practice Guidance on Internal Controls, Ethics and Compliance, OECD

Council, Febrero 2010, disponible en www.oecd.org
NOTICIAS:
http://www.interior.gob.es/prensa/noticias/-
/asset_publisher/GHU8Ap6ztgsg/content/id/2329169, consultado el 12 de junio de
2017.
47

TFG Blanco Pérez Alicia

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

TFG Blanco Pérez Alicia

Diunggah oleh

Hak Cipta:

Format Tersedia

0

TRABAJO FIN DE GRADO

Departamento de Economía Aplicada

Área de Economía Aplicada

ALICIA BLANCO PÉREZ

Área de Economía Aplicada

Nombre del/la estudiante: ALICIA BLANCO PÉREZ

Tutor/a: JOSÉ IGNACIO SÁNCHEZ MACÍAS

El corporate compliance constituye un novedoso tópico de innegable actualidad. Su

Palabras clave: Blanqueo de capitales, cultura de cumplimiento, cumplimiento

Nowadays, corporate compliance is a brand new topic of undeniable presence. Its

Índice de abreviaturas ................................................................................................8

1. El compliance o cumplimiento ético-normativo .............................................. 11

1.1. Orígenes del corporate compliance. Evolución en el Derecho comparado ..... 12

1.2. El art. 31 bis CP: La responsabilidad penal de las personas jurídicas y la

2. El corporate compliance program como herramienta de gestión y control

2.1. ¿Qué es un compliance program? La implantación de un Plan de Prevención de

2.2. ¿Qué elementos han de conformar un Programa de prevención de riesgos

2.2.1. Estructura de detección y neutralización de delitos: el mapa de riesgos

2.2.2. Elaboración de un código ético de conducta............................................26

2.2.3. Sistema de información continuada ........................................................27

2.2.4. Formación de la plantilla: los programas de sensibilización ..................28

2.2.5. Canal de denuncias. Sistema disciplinario de infracciones y sanciones .29

2.2.6. Creación de un organismo de control autónomo. La gestión empresarial

3. El compliance officer ...........................................................................................32

3.1. Requisitos académicos y formativos ................................................................32

4. Problemática en su implantación: el compliance tributario ..........................34

4.1. El compliance tributario: especial mención al delito de blanqueo de capitales

AEAT Agencia Estatal de la Administración Tributaria

BEPS Base Erosion and Profit Shifting

CCO Chief Compliance Officer

D. Leg Decreto Legislativo

EEUU Estados Unidos de América

EPA United States Environmental Protection Agency

FACTA Foreign Account Tax Compliance Act

FGE Fiscalía General del Estado

ISO International Organization for Standardization

LPBC-FT Ley de Prevención del Blanqueo de Capitales y de la Financiación

MiFID Markets in Financial Instruments Directive

OCDE Organización para la Cooperación y el Desarrollo Económicos

SEC US Securities and Exchange Comission

SEPBLAC Servicio Ejecutivo de la Comisión de Blanqueo de Capitales e

SLAs Service Level Agreements

STC Sentencia del Tribunal Constitucional

UNE Una Norma Española

Permítaseme una disculpa inicial. Muy a mi pesar y siendo consciente de la gran

En una sociedad cada vez más compleja donde el cumplimiento normativo ha

Con el objetivo de profundizar en la materia, entiendo necesario estructurar el presente

En el primer apartado realizaremos una aproximación de los orígenes y evolución de la

En un segundo apartado trataremos su contenido: cómo ha de estar conformado un plan

En tercer lugar introduciremos la esencial figura del responsable de cumplimiento, su

Con el objetivo de poder responder a todas estas preguntas y siendo conscientes

1. EL COMPLIANCE O CUMPLIMIENTO ÉTICO-NORMATIVO

En el marco de esta “cultura de cumplimiento”, el compromiso de transparencia

1.1. Orígenes del corporate compliance. Evolución en el derecho comparado.

Para poder bucear en la materia, es necesario ahondar previamente en sus

Tanto el Foreign Corrupt Practices Act de 1977 en EEUU como el UK Bribery

Así, en EEUU históricamente el desarrollo del cumplimiento normativo se ha llevado a

En el caso de EEUU o Reino Unido, las normas de cumplimiento normativo (Foreing

En España, la reforma llevada a cabo en el Código Penal mediante LO 5/2010

En relación con la mencionada responsabilidad penal de la persona jurídica

A mayores, tales actuaciones empresariales han de haberse producido “por cuenta y en

No obstante, dicha responsabilidad societaria solo existirá ante la comisión de