Bienvenida al Congreso
El pasado jueves 26 de febrero, el Instituto de Ingeniería de España fue el escenario de una cita pionera: la primera edición del Congreso de Compliance en Pequeñas Organizaciones, organizado por el grupo ASCOM del mismo nombre. La jornada convocó a más de un centenar de profesionales del ámbito jurídico, del Compliance y del mundo empresarial para analizar uno de los grandes retos del sector: cómo adaptar los modelos de Compliance a la realidad de las pequeñas y medianas organizaciones.
El evento partía de un diagnóstico claro: aunque las pymes representan el 99,9% del tejido empresarial español, los modelos de Compliance actuales suelen estar diseñados para grandes corporaciones, con estructuras complejas, equipos especializados y recursos abundantes, dejando un claro vacío que este congreso se propuso llenar.
Lucía Sánchez-Ocaña Leyun, vicepresidenta de ASCOM, fue la encargada de inaugurar la jornada invocando la necesidad de adaptar el Compliance a la realidad de las pequeñas organizaciones. «Si el Compliance pretende ser un instrumento auténtico de integridad, de competitividad y de confianza, no puede limitarse a las grandes corporaciones», afirmó, subrayando que este encuentro es fruto del trabajo técnico del Grupo de Compliance en Pequeñas Organizaciones de la asociación. «El Grupo de Compliance en Pequeñas Organizaciones es un ejemplo valioso de nuestros valores como asociación: compromiso, rigor y excelencia técnica», señaló, antes de agradecer expresamente la dirección técnica de Francisco Bonatti Bonet, secretario de ASCOM y responsable del grupo.
Tras la bienvenida institucional, Francisco Bonatti Bonet, tomó la palabra para contextualizar el valor de la jornada destacando el esfuerzo de la Asociación por “aterrizar” la normativa a la operatividad diaria de la pequeña empresa, huyendo de modelos burocráticos que no aportan valor real. Su intervención sirvió de puente que nos llevó hasta la ponencia inaugural del Excmo. Sr. D. Julián Sánchez Melgar, Magistrado de la Sala Segunda del Tribunal Supremo.
Excmo. Sr. D. Julián Sánchez Melgar, Magistrado de la Sala Segunda del Tribunal Supremo, durante su ponencia inaugural.
La responsabilidad penal de las personas jurídicas en pequeñas organizaciones
La ponencia inaugural del Congreso abordó uno de los pilares conceptuales sobre los que se construye el Compliance moderno: la responsabilidad penal de las personas jurídicas y su aplicación en organizaciones de pequeña dimensión.
El magistrado comenzó recordando que la introducción de esta figura en el Código Penal en 2010 supuso un hito histórico en el derecho penal español. Hasta entonces, el sistema se apoyaba en una concepción antropocéntrica, centrada exclusivamente en la responsabilidad penal de las personas físicas. La reforma abrió la puerta a que las personas jurídicas pudieran responder penalmente por determinados delitos cometidos en su seno.
Desde entonces, el debate ya no gira en torno a si las personas jurídicas pueden ser responsables penalmente —una cuestión plenamente asentada en la doctrina y la jurisprudencia—, sino sobre cómo debe aplicarse esta responsabilidad en la práctica y cuáles son los criterios para delimitarla. La responsabilidad penal corporativa constituye hoy una realidad consolidada que afecta potencialmente a todo tipo de entidades con personalidad jurídica.
En este contexto, el magistrado subrayó que el sistema español se articula sobre un modelo dualista y acumulativo, en el que pueden concurrir simultáneamente la responsabilidad penal de la persona física que comete el delito y la de la persona jurídica que no ha sabido prevenirlo. Ambas responsabilidades son autónomas y no se sustituyen entre sí. La persona física responde por su conducta delictiva, mientras que la persona jurídica responde por un defecto estructural de organización o de control que ha permitido la comisión del delito.
Este planteamiento conecta directamente con el fundamento del delito corporativo. La responsabilidad de la organización no deriva simplemente del comportamiento individual de uno de sus miembros, sino de la ausencia o insuficiencia de mecanismos de prevención dentro de la empresa. En otras palabras, el sistema jurídico exige que las organizaciones dispongan de estructuras razonables de control destinadas a evitar la comisión de delitos en su ámbito de actuación.
En este contexto, el magistrado destacó el papel central que desempeñan los sistemas de Compliance. Su finalidad no es meramente formal, sino preventiva: establecer mecanismos organizativos que permitan detectar riesgos, reforzar la cultura de legalidad dentro de la empresa y acreditar, en caso necesario, que la organización contaba con controles eficaces para evitar la comisión de delitos.
Durante su intervención, Sánchez Melgar también reflexionó sobre la aplicación práctica de este modelo en pequeñas organizaciones, donde la estructura de gobierno suele ser más reducida y las funciones de gestión se concentran en un número limitado de personas. En estos casos, el propio Código Penal admite una cierta flexibilidad organizativa, permitiendo que el órgano de administración pueda asumir directamente la supervisión del sistema de cumplimiento. No obstante, el magistrado advirtió que esta simplificación estructural no reduce las exigencias del sistema.
La ponencia también abordó algunas cuestiones doctrinales aún abiertas, como el concepto de beneficio empresarial en el delito corporativo —donde la jurisprudencia ha ido consolidando la idea de que basta con que la conducta se realice “en beneficio” de la empresa, incluso aunque finalmente ese beneficio no llegue a materializarse— o la evolución futura del catálogo de delitos aplicables a las personas jurídicas. Asimismo, se recordó que esta responsabilidad no se limita exclusivamente a las sociedades mercantiles, sino que afecta a otras entidades con personalidad jurídica.
Sánchez Melgar concluyó su intervención con una reflexión que sintetizó el sentido del debate: la responsabilidad penal de las personas jurídicas es una figura relativamente reciente en el ordenamiento jurídico español y su desarrollo doctrinal y jurisprudencial seguirá evolucionando en los próximos años. En este contexto, el Compliance se consolida como una herramienta esencial para prevenir riesgos penales y reforzar la cultura de legalidad dentro de las organizaciones.
(Izq. a Der.) Francisco Bonatti Bonet, María Pardo de Vera, Teresa Barrenechea Arriola y Arnau Sardà de Miguel.
El caso Zapatos Flulinos: gobernanza y riesgos en una empresa mediana
Bajo el título “Claves técnicas para realizar una implantación eficaz del Sistema de Compliance Penal en una empresa mediana”, María Pardo de Vera, Arnau Sardà de Miguel, Francisco Bonatti Bonet y Teresa Barrenechea Arriola, aprovecharon el caso práctico de la empresa ficticia Zapatos Flulinos para realizar un análisis práctico sobre cómo diseñar un sistema de Compliance penal en organizaciones de tamaño intermedio y con una capacidad razonable de inversión de recursos que cuenta con un consejo de administración, alta dirección y una operativa empresarial suficientemente madura para tener que implementar sistemas de Compliance con un grado de complejidad y madurez notable, aunque sin llegar a ser una gran organización.
El panel arrancó analizando el diseño de la gobernanza del Sistema Interno de Información y los conflictos de intereses que genera la designación del responsable en Zapatos Flulinos. La mesa analizó distintas alternativas organizativas, desde la designación de un responsable interno con dependencia directa del consejo de administración, hasta la posibilidad de integrar esta función en la figura del Compliance Officer o incluso articular un modelo colegiado.
Más allá de la opción concreta escogida, los ponentes coincidieron en que la cuestión clave no reside en el encaje formal del modelo, sino en alcanzar su eficacia. Para ello, el sistema debe ser sistema creíble, con independencia funcional, capacidad de escalado de los asuntos sensibles, trazabilidad en la toma de decisiones y mecanismos claros para gestionar los posibles conflictos de interés que puedan surgir en el funcionamiento del canal.
El debate evolucionó hacia la estructura de la función de Compliance y el órgano encargado de supervisar el funcionamiento del modelo de prevención. Los ponentes propusieron diversas arquitecturas posibles: desde la designación de un Compliance Officer interno con apoyo externo puntual en cuestiones técnicas, hasta modelos mixtos en los que el responsable interno cuenta con apoyo especializado permanente o estructuras colegiadas de supervisión dependientes del órgano de gobierno.
El panel identificó criterios de decisión útiles para organizaciones de las características de Zapatos Flulinos: la independencia de la función, la capacidad técnica disponible dentro de la empresa, la continuidad del sistema en el tiempo y el papel que pueden desempeñar los expertos externos como apoyo especializado sin vaciar de contenido la responsabilidad interna de la organización.
La mesa se cerró con un bloque dedicado al alcance del sistema de Compliance y la lógica de priorización de riesgos. En este punto, los ponentes señalaron que el diseño del modelo debe encontrar un equilibrio entre dos errores frecuentes: sobredimensionar el sistema con un volumen de controles imposible de ejecutar en la práctica o, por el contrario, utilizar el principio de proporcionalidad para reducir injustificadamente el alcance del sistema.
El reto consiste en definir un alcance de riesgos técnicamente defendible y justificar documentalmente por qué determinados riesgos reciben un tratamiento más intenso que otros. Esta lógica de priorización debe integrarse además con el funcionamiento del sistema interno de información y con los mecanismos de investigación, seguimiento y reporte dentro de la organización.
De esta forma, el caso de Zapatos Flulinos permitió ilustrar cómo una empresa mediana dispone de cierto margen técnico para estructurar su sistema de Compliance, pero también exige un mayor rigor en la definición de roles, en la independencia de las funciones y en la trazabilidad de las decisiones adoptadas.
(Izq. a Der.) Estrella Sánchez Bernal, Miguel Ángel Regalado Guerra, Ángela Bayo Urraca y Asier de Linaza Prado.
El Caso Termas Zenit acerca el Compliance a la realidad de la pequeña empresa:
El caso práctico de Hotel Balneario Termas Zenit nos aproximó a la realidad de muchas organizaciones que conformen: una empresa familiar de tamaño reducido, con estructura operativa sencilla, decisiones concentradas en pocas personas y una fuerte dependencia de apoyos externos.
La mesa, dedicada a analizar cómo implantar un sistema de Compliance eficaz en este tipo de organizaciones, contó con la participación de Estrella Sánchez Bernal, Miguel Ángel Regalado Guerra, Asier de Linaza Prado y Ángela Bayo Urraca.
El supuesto planteaba la situación de un hotel-balneario gestionado por una administradora única, con sus hermanos como apoderados y un equipo operativo limitado para sostener funciones especializadas que los ponentes utilizaron para explicar cómo construir un programa proporcionado y eficaz.
Abordaron en primer lugar el reto de diseñar una gobernanza mínima eficaz. En empresas de este tamaño, la responsabilidad del sistema recae inevitablemente en el órgano de administración, obligándonos a diseñar mecanismos que refuercen la trazabilidad de las decisiones y protejan su imparcialidad, especialmente cuando pueden existir conflictos de interés con el entorno familiar que en el ejemplo utilizado en la ponencia se concretaba en los hermanos, también directivos y accionistas minoritarios.
Como nunca hay una sola alternativa, los ponentes propusieron distintos diseños de gobierno del Compliance: desde la supervisión directa por la administradora con un asesoramiento externo, hasta la creación de comités de Compliance que incorporen a los responsables de área junto a asesores externos especializados. La mesa subrayó que cualquiera de las opciones resultaba vital documentar adecuadamente las decisiones, mediante actas periódicas, registros de seguimiento o herramientas que permitan acreditar la diligencia debida en la gestión.
La mesa aprovecho para tratar a continuación algunos aspectos clave del sistema interno de información al que está obligada Termas Zenit por el contar con más de 50 trabajadores.
En empresas donde las relaciones personales son estrechas y los equipos reducidos, la arquitectura formal del SII resulta menos determinante que la percepción real de independencia e imparcialidad. Si los empleados no confían en que su comunicación será tratada con objetividad, tenderán a recurrir directamente a los canales externos previstos por la normativa y esto puede resultar muy grave para empresas tan pequeñas y para sus administradores, que responden en muchos casos personalmente. Por ello, es fundamental un liderazgo claro que haga creíble nuestro Sistema Interno.
A continuación, los panelistas debatieron sobre el alcance que debería dar Termas Zenit a su análisis de riesgos, una cuestión muy sensible en organizaciones con recursos tan limitados.
Frente a la posibilidad de centrarse exclusivamente en los riesgos penales, cabe también la opción de abordar a la vez las materias normativas más críticas para la actividad (protección de datos, prevención de riesgos laborales o seguridad sanitaria) y como tercera opción integrar distintos planos de riesgo en un único mapa: penal, normativo sectorial y el derivado de la propia gobernanza de la empresa.
La mesa terminó analizando uno de los riesgos más sensibles para organizaciones pequeñas que dependen en gran medida de determinados proveedores o colaboradores: la gestión de terceros críticos. Los panelistas destacaron que el principio de proporcionalidad no puede convertirse en una simple rebaja de los estándares, sino que debe traducirse en soluciones de equilibrio basadas en seguridad razonable, controles compensatorios y una adecuada documentación del razonamiento seguido por la empresa, siendo conscientes de las limitaciones que el mercado y la propia pervivencia de la empresa suponen en este tipo de riesgos.
El panel permitió extraer una conclusión compartida por los participantes: en las pequeñas empresas, la calidad de la gobernanza y la gestión de los conflictos de interés pesan más que la sofisticación documental del modelo. Un sistema de Compliance eficaz no es necesariamente el más complejo, sino el que resulta comprensible, aplicable y capaz de generar confianza dentro de la organización.
(Izq. a Der.) Gustavo Uribe Hernández, Marta Lázaro y Patricia Martínez-Ortiz.
La formación como herramienta clave para la eficacia del Compliance
La tercera mesa del Congreso se centró en uno de los elementos más decisivos para la eficacia real de los sistemas de cumplimiento: la formación y concienciación dentro de la organización. Bajo el título “Planificación y ejecución de programas de formación y concienciación en pequeñas y medianas organizaciones: supuestos prácticos”, intervinieron Gustavo Uribe Hernández, desde Mexico, y Marta Lázaro y Patricia Martínez-Ortiz en la sala.
La formación no es un elemento accesorio dentro del sistema de Compliance, sino una condición necesaria para que los modelos de prevención puedan desplegar efectos reales. Si el personal de la organización desconoce los riesgos, los controles o el funcionamiento de los canales internos de información, el sistema pierde gran parte de su capacidad preventiva.
En este sentido, la formación cumple una función esencial al traducir el mapa de riesgos de la empresa en comportamientos concretos dentro de la actividad diaria de los trabajadores. El objetivo último no es únicamente transmitir información normativa, sino promover un cambio de conducta que refuerce la cultura de cumplimiento dentro de la organización.
Durante la mesa se subrayó además la importancia de adaptar los programas de formación al tamaño y a las características de cada empresa, aplicando el principio de proporcionalidad. En pequeñas organizaciones, donde los recursos suelen ser limitados, la formación puede adoptar formatos más sencillos pero igualmente eficaces, como sesiones breves de concienciación dirigidas por la propia dirección o por el responsable de cumplimiento.
Los ponentes utilizaron como referencia los casos prácticos analizados durante el Congreso, como el del hotel-balneario Termas Zenit o la empresa Zapatos Flulinos, para ilustrar cómo pueden diseñarse programas de formación ajustados a la realidad de cada organización. En estos contextos, la clave no reside en el volumen de horas formativas, sino en identificar los riesgos más relevantes para la actividad de la empresa y abordarlos con ejemplos prácticos que conecten con la experiencia cotidiana de los trabajadores.
Entre las recomendaciones compartidas por los participantes destacó la conveniencia de diferenciar entre formación y concienciación. Mientras que la formación puede dirigirse de forma más específica a determinados perfiles o áreas de riesgo dentro de la empresa, las acciones de concienciación permiten reforzar mensajes clave en toda la organización y fomentar una cultura preventiva más amplia.
Asimismo, se planteó la utilidad de metodologías dinámicas que faciliten la participación de los empleados y eviten la denominada “fatiga del Compliance”. Formatos breves, sesiones por áreas de negocio o ejemplos basados en situaciones reales pueden contribuir a captar la atención de los trabajadores y a trasladar los riesgos jurídicos al terreno de las decisiones cotidianas.
La mesa concluyó recordando que la eficacia del sistema de Compliance depende en gran medida de la capacidad de la empresa para acreditar que estas acciones formativas no son meramente formales, sino que forman parte de una estrategia real de prevención y concienciación dentro de la organización.
(Izq. a Der.) Guadalupe Cabrera, Mariana Sucre, Inés Vázquez Igual y Denise Pamela Rial Delgado.
Expertos externos y pequeñas organizaciones: cómo elegir bien al consultor de Compliance.
La cuarta y última mesa del Congreso, titulada “La relación profesional entre expertos externos y pequeñas organizaciones: cuestiones éticas y operativas”, cerró el encuentro tratando de forma muy práctica uno de los desafíos más importantes para las pequeñas organizaciones: cómo seleccionar y trabajar con expertos independientes en Compliance. En la mesa participaron Denise Pamela Rial Delgado, Inés Vázquez Igual, Mariana Sucre y Guadalupe Cabrera.
Las ponentes partieron de una idea compartida: en organizaciones de pequeño tamaño, los expertos externos suelen ser un recurso imprescindible para diseñar e implementar sistemas de Compliance. Sin embargo, elegir mal al consultor puede perjudicar la mejor de las intenciones, desembocando en programas meramente formales, sobredimensionados o desconectados de la realidad de la empresa, generando una falsa sensación de seguridad y debilitando la capacidad de prevención y defensa ante posibles responsabilidades legales.
Por ello, las panelistas demostraron que la contratación de un consultor debe abordarse como un proceso de gestión de riesgos.
Antes de iniciar la búsqueda, la organización debe identificar y evaluar sus necesidades: comprender los riesgos que pretende afrontar, los recursos que dispone, los que necesita y por fin definir con claridad qué tipo de soporte externo debe buscar.
Este ejercicio previo sólo es posible desde el compromiso de la dirección, única responsable de definir qué necesita la empresa y por qué lo necesita, siendo un error de trágicas consecuencias dejar esta decisión en manos de terceras personas, especialmente externas. En este sentido, durante el debate destacó que el único punto de partida posible para diseñar un sistema de Compliance eficaz es que la definición del proyecto provenga de la alta dirección de la empresa.
Una vez definidas las necesidades, las panelistas ofrecieron diversos elementos a considerar durante el proceso de selección de los expertos externos: experiencia demostrable en proyectos similares, conocimiento del sector, formación específica en Compliance e independencia respecto de otros asesores de la empresa. También se subrayó la importancia de verificar referencias, analizar su propuesta técnica para valorar si se adecua a la definición inicial hecha por la dirección de la compañía, y mantener entrevistas con los candidatos para valorar no solo su competencia técnica, sino también su capacidad de comunicación y adaptación a la cultura de la organización.
La mesa abordó igualmente la dimensión ética de esta relación profesional, alertando sobre prácticas problemáticas que existen en el sector, como la oferta de programas de Compliance basados en plantillas genéricas o la promesa de resultados irreales.
Desde la perspectiva de un consultor responsable, no puede presentar el Compliance como un seguro frente a sanciones ni construir la relación con el cliente a partir del miedo. La transparencia, la honestidad profesional y la claridad sobre el alcance del servicio son condiciones básicas para una colaboración eficaz.
En cuanto a la formalización de la relación, se destacó la importancia que tiene el contrato que se formaliza con los expertos externos, que debe definir con precisión el objeto del servicio, los entregables, los plazos y las responsabilidades de cada parte. El consultor puede diseñar el sistema y aportar metodología, pero la implantación real, la asignación de recursos y la supervisión corresponden siempre a la organización y la relación entre ambos debe quedar definida en el contrato.
Finalmente, las ponentes subrayaron la importancia del seguimiento del proyecto. La empresa debe designar un responsable interno, establecer reuniones periódicas y validar los resultados obtenidos, evitando así que el programa se convierta en “Compliance de papel”: documentos correctos desde el punto de vista formal, pero sin impacto real en la operativa de la organización.
La mesa concluyó con una idea que resumió el sentido del debate: “Un buen consultor de Compliance puede marcar la diferencia entre un programa que tan solo existe y uno que realmente funciona”.
La relación entre consultores externos y pequeñas organizaciones debe entenderse como una alianza basada en la confianza, la independencia y la corresponsabilidad. Solo así el Compliance puede convertirse en una herramienta efectiva de gestión de riesgos y de fortalecimiento de la cultura ética empresarial.
Síguenos en nuestras RRSS o visita nuestra sección de ‘Actividades’ en esta página web para conocer más sobre ASCOM.
