MODELOS DE COMPLIANCE

EALDE Business
School
 Compliance: Modelos de Compliance

Índice

Contenido
EALDE Business School .......................................................................................................... 1
1. Modelos de Compliance. Objetivos e Introducción ................................................................... 2
Objeto de la Clase ....................................................................................................................... 2
Introducción a la clase ................................................................................................................. 2
2. Modelos de Compliance ........................................................................................................... 5
Tipos de Compliance ................................................................................................................... 6
Importancia de un Modelo de Prevención y Control ..................................................................... 8
Implementar un SGC ................................................................................................................. 10
3. Normas y estandares internacionales....................................................................................... 6
ISO 37301 Sistema de Gestión de Compliance .................................................................... 6
ISO 31000 Sistema de Gestión de Riesgos ......................................................................... 7
ISO 37302 Sistemas de gestión de la denuncia de irregularidades.............................................. 8
4. Conclusiones .......................................................................................................................... 11
5. Material de ampliación y consulta ........................................................................................... 13
 Compliance: Modelos de Compliance

1. Modelos de Compliance. Objetivos e Introducción

Objeto de la Clase
En el transcurso de esta fascinante lección, nos sumergiremos en la comprensión
profunda de los diversos modelos de Compliance, explorando desde aquellos de
naturaleza más general y transversal, aplicables a cualquier tipo de organización,
hasta los más especializados, diseñados meticulosamente para adaptarse a las
particularidades inherentes a distintos sectores y actividades empresariales. A
medida que desentrañamos la complejidad de estos modelos, también
destacaremos la importancia crítica de la conformidad normativa en el actual
panorama empresarial, evidenciando su papel fundamental en la gestión eficiente
y ética de las organizaciones.

Introducción a la clase
Ya sabemos que el Compliance no es una defensa jurídica en sí, pero debemos
saber que hay modelos de Compliance Genéricos o llamados de Superestructuras
de Compliance representados por la Norma ISO 19600 sobre Compliance
Management System del año 2014 que tiene su origen en el estándar australiano
AS 3806 y los modelos de Compliance Específicos como la norma ISO 37001 Anti-
Bribary Management System, del año 2016 y que tiene su origen en el estándar
Británico BS 10500, en la comunidad internacional existen muchos textos de
Compliance Específicos, en el ámbito de la prevención de delitos penales destaca
la “US Sentencing Comission Guidelines”, en el ámbito anti soborno tenemos la
“Resource Guide To US Corrupt Practices Act”, de la FCPA emitida por el órgano
de Justicia Norteamericano y Órgano Regulador de manera conjunta, también
tenemos “The Bribary Act Guidance” emitida por el sistema judicial Británico, estas
últimas normas se actualizan cada año.

También hay que decir que la gestión fragmentada de los modelos de Compliance
causan un grave problema de coordinación, pero a su vez representan una gran
 Compliance: Modelos de Compliance

fortaleza si las empresas saben gestionar su sistema de Compliance a través del

Compliance Officer o del Comité de Compliance.

De allí la necesidad que en una empresa con varios sistemas de Compliance exista
a su vez un sistema transversal de Compliance para optimizar todo el proceso y así
poder trabajar en conjunto, de esta manera no se multiplicarían los problemas sino
las soluciones.

En esta nota técnica encontrarás conceptos generales y específicos para la

resolución del caso práctico.

En el entramado empresarial contemporáneo, el Compliance se destaca como un

componente esencial que trasciende su mera función como defensa jurídica. En
nuestro viaje exploratorio, nos sumergiremos en la comprensión de modelos de
Compliance que se manifiestan en dos vertientes fundamentales: aquellos de
índole genérica, personificados por la Norma ISO 37301, y los específicos, como el
ISO 37001 Anti-Bribery Management System. Estos marcos normativos, anclados
en estándares predecesores como el AS 38061 y el BS 105002, delinean pautas
rigurosas para la gestión eficaz y ética en las estructuras organizativas.

Dentro de la galaxia de estándares, la Norma ISO 37301 y su complemento, la ISO

37302, destacan como pilares fundamentales en la construcción de modelos de
Compliance robustos. La ISO 37301, en particular, sucede a la ISO 19600, y se
erige como una herramienta esencial para el establecimiento, implementación y
mantenimiento de sistemas de gestión de Compliance efectivos. Por otro lado, la
ISO 37302 aborda la gobernanza del Compliance, proporcionando orientación

1
El Australian Standard 3806 (AS 3806) marcó un hito significativo en la evolución del Compliance
empresarial. Este estándar australiano, establecido como guía para la implementación de sistemas de
gestión de Compliance, sentó las bases para posteriores desarrollos internacionales. Adoptado como punto
de referencia, el AS 3806 influyó en la posterior creación de la Norma ISO 19600 antecesora de la ISO
37301, proporcionando un marco conceptual esencial que abarca desde la identificación de riesgos hasta la
instauración de controles efectivos.
2
El British Standard 10500 (BS 10500) emerge como una respuesta crucial al desafío global del soborno.
Este estándar británico, enfocado en la prevención de prácticas corruptas, establece principios claros para la
implementación de sistemas de gestión antisoborno. Inspirando la creación de la ISO 37001 Anti-Bribery
Management System, el BS 10500 se erige como un pionero en la lucha contra la corrupción empresarial,
proporcionando directrices que trascienden fronteras y culturas.
 Compliance: Modelos de Compliance

sobre la estructura y el papel de las partes interesadas clave en este proceso para
implementar un sistema de gestión de la denuncia de irregularidades.

En nuestro viaje hacia la comprensión integral del Compliance, no podemos pasar

por alto el papel crucial del Committee of Sponsoring Organizations of the Treadway
Commission (COSO). Este organismo, reconocido mundialmente, proporciona un
marco integral, conocido como el COSO ERM Framework, que va más allá del
ámbito financiero para abarcar el Compliance en su totalidad. Este enfoque
holístico, respaldado por los principios fundamentales de COSO, facilita la
alineación de objetivos, la gestión de riesgos y el logro de la misión de la
organización.

La diversidad de modelos de Compliance puede ser tanto un desafío como una

fortaleza para las organizaciones. La gestión fragmentada puede conducir a
problemas de coordinación, pero cuando se aborda adecuadamente a través de
figuras clave como el Compliance Officer o el Comité de Compliance, se convierte
en un activo estratégico. La necesidad imperante de un sistema transversal de
Compliance se revela como una solución para optimizar procesos y garantizar una
gestión coherente.

En esta inmersión profunda, no solo exploraremos estos modelos y enfoques, sino

que también nos sumergiremos en un caso práctico, aplicando los conceptos
generales y específicos que han sido elogiados como la clave para la resolución
efectiva de desafíos empresariales en el contexto del Compliance. ¡Prepárense
para descubrir la armonía dentro del complejo mundo del cumplimiento normativo
empresarial!
 Compliance: Modelos de
Compliance

2. Modelos de Compliance

Adentrémonos ahora en la distinción entre los sistemas de Compliance genéricos,

conocidos como Superestructuras, y aquellos específicos, más enfocados en áreas
particulares.

El entramado legal en la actual sociedad globalizada requiere un enfoque preciso y

estructurado, y es aquí donde los sistemas de Compliance se destacan como
herramientas esenciales. La interconexión entre agentes internacionales exige un
abordaje especializado para sortear desafíos legales. La norma ISO 37301, en este
contexto, se erige como un faro guía, proporcionando estándares reconocidos a
nivel mundial que no solo mitigarán riesgos, sino que también establecerán bases
sólidas para la gestión ética y eficaz.

La implementación de un sistema de cumplimiento normativo no solo es una

defensa frente a posibles sanciones legales, sino que se revela como un impulsor
fundamental para el éxito empresarial. Al establecer las bases de Compliance, los
líderes empresariales ganan la invaluable ventaja de contar con más tiempo y
recursos para concentrarse en la consecución de los objetivos de la empresa.

La cultura de integridad instaurada por el Compliance repercute en todas las esferas

de la empresa, permeando el Gobierno Corporativo, la gestión de riesgos, las
finanzas, el área legal y el departamento comercial. Este enfoque holístico no solo
protege contra amenazas legales, sino que también fortalece la reputación de la
empresa y contribuye a la construcción de relaciones sólidas con stakeholders y
clientes.

La mejora continua en los modelos de Compliance puede someterse a

evaluaciones tanto internas como externas. Internamente, una plantilla bien
capacitada en las bases de Compliance asegura un desempeño óptimo. A nivel
externo, la implementación de un Sistema de Gestión de Compliance no solo
 Compliance: Modelos de
Compliance
optimiza las prácticas internas, sino que también eleva el prestigio de la empresa.
La demostración de la implementación de normativas como la ISO 37301 no solo
es un distintivo de buenas prácticas, sino que también actúa como un salvaguarda
frente a posibles consecuencias negativas ante tribunales de justicia.

Tipos de Compliance

En el intrincado mundo del Compliance, se despliegan diversos enfoques

diseñados para satisfacer las necesidades específicas de las organizaciones. Estos
distintos tipos de Compliance se adaptan a las complejidades y particularidades de
distintas áreas empresariales. Un ejemplo palpable es el Compliance Corporativo,
cuyo propósito fundamental es asegurar que la empresa cumpla con las leyes y
regulaciones internas, promoviendo la transparencia y la ética en todas las facetas
de su funcionamiento.

Otro enfoque es el Compliance Medioambiental, que se dedica a mitigar el impacto

de las operaciones empresariales en el entorno, asegurando el cumplimiento de
normativas ambientales y fomentando prácticas sostenibles. Este tipo de
Compliance refleja el creciente compromiso de las organizaciones con la
responsabilidad social y la preservación del medio ambiente.

Además, nos encontramos con el Compliance Financiero, cuyo objetivo es

salvaguardar la integridad y la transparencia en las transacciones económicas. Este
enfoque se centra en garantizar el cumplimiento de regulaciones financieras y
normativas antilavado de dinero, proporcionando una estructura sólida para la
gestión ética de los recursos financieros de la empresa.

Estos son solo ejemplos ilustrativos, ya que la amplitud de los tipos de Compliance
se extiende para abordar diversos aspectos cruciales en el ámbito empresarial.
Desde la protección de datos hasta la gestión de riesgos laborales, cada enfoque
especializado responde a la necesidad de asegurar la conformidad normativa en
todos los rincones de la organización. Esta diversidad refleja la complejidad
inherente al entorno empresarial actual y subraya la importancia de adoptar
 Compliance: Modelos de
Compliance
enfoques específicos para garantizar la integridad y la ética en todas las
operaciones empresariales.

.
 Compliance: Modelos de
Compliance

Importancia de un Modelo de Prevención y Control

La implementación del Modelo de Prevención y Control en el ámbito del Compliance

no solo constituye un escudo ante posibles sanciones legales, sino que también se
erige como un pilar fundamental para el éxito empresarial en un entorno cada vez
más complejo y regulado.

● Gestión Proactiva de Riesgos y Cumplimiento: La adopción de un enfoque

proactivo en la gestión de riesgos y cumplimiento es esencial para prevenir y
mitigar amenazas potenciales. El Modelo de Prevención y Control
proporciona las herramientas necesarias para identificar, evaluar y abordar
los riesgos de manera anticipada, permitiendo a las empresas anticiparse a
posibles desafíos legales y operativos.

● Eficiencia Operativa y Recursos Optimizados: Al establecer sólidas bases de

Compliance, los líderes empresariales obtienen una eficiencia operativa
significativa. La asignación efectiva de recursos, tanto financieros como
humanos, se ve facilitada, permitiendo una mayor concentración en las
estrategias y metas empresariales. La inversión en un Modelo de Prevención
y Control se traduce directamente en la optimización de procesos y la
minimización de pérdidas potenciales.

● Cultura Organizacional y Ética Empresarial: El Modelo de Prevención y

Control contribuye a la construcción de una cultura organizacional arraigada
en la ética empresarial. Al promover valores de integridad y responsabilidad,
no solo se cumplen con las normativas legales, sino que también se fomenta
un ambiente de confianza y transparencia. Esta cultura se traduce en
relaciones más sólidas con empleados, clientes y socios comerciales.

● Evaluación Continua y Mejora: La mejora continua es un principio

fundamental del Modelo de Prevención y Control. A través de evaluaciones
internas regulares y la adaptación a cambios normativos y operativos, las
 Compliance: Modelos de
Compliance
empresas pueden perfeccionar sus prácticas de Compliance. Esta capacidad
de adaptación asegura que el modelo no solo cumpla con los estándares
actuales, sino que esté preparado para enfrentar los desafíos emergentes.

● Reconocimiento Externo y Respaldo Jurídico: La implementación de un

Sistema de Gestión de Compliance, respaldado por normativas como la ISO
37301, no solo mejora la reputación interna, sino que también proyecta una
imagen positiva externa. Además, la demostración de la conformidad con
estándares reconocidos puede actuar como una defensa legal sólida ante
tribunales de justicia, ofreciendo a la empresa una posición más segura frente
a posibles disputas legales.

Este enfoque integral del Modelo de Prevención y Control no solo responde a los
desafíos actuales de Compliance, sino que también prepara a las organizaciones
para un futuro empresarial marcado por la ética, la transparencia y el cumplimiento
normativo.

Actividades: definir el ámbito de las actividades en las cuales pueden ser

cometidos, se pueden cometer delitos que nuestro modelo pretende prever

Protocolos y/o Procedimientos: resulta imprescindible que la empresa adopte

sistemas que concreten procesos para la toma y ejecución de
decisiones.

Sistema Disciplinario: establecer un sistema para determinar sanciones

adecuadas a aquellas acciones que supongan incumplimientos en el
MODELO DE sistema de prevención y control.
PREVENCIÓN Y
CONTROL

Obligación de Informar: cualquier actividad que suponga un riesgo o

incumplimiento deben ser notificadas al organismo de control de prevención.

Modelos de Gestión de los Recursos Financieros: se tienen que establecer

partidas, en un presupuesto detallado y un programa de gasto adecuado que
contribuya con la sostenibilidad del sistema de Compliance.
 Compliance: Modelos de
Compliance
Verificación Periódica: Para garantizar que disponemos de un modelo de
prevención y control moderno, debe hacerse revisión periódica del mismo, además
dicha verificación debe realizarse cada vez que se produzca un cambio en la
organización.

Implementar un SGC

Antes debemos saber que por eficaz que sea un programa de cumplimiento
siempre existirá en mayor o menor medida cierto riesgo residual de comisión de
delitos o conductas irregulares en la empresa u organización, y la capacidad de
detección de los incumplimientos es un elemento sustancial para determinar la
validez del programa.

Para asegurar el éxito de esta estructura interna, es imperativo que la estrategia de

Compliance se alinee de manera coherente con los valores y la estrategia global
del grupo. Este diseño conlleva una hoja de ruta esencial, aunque sus hitos deben
adaptarse continuamente para mantenerse alineados con la idiosincrasia en
constante cambio del objetivo principal: lograr la máxima eficiencia y eficacia de la
estructura de control.

Para llevar a cabo la definición de la estructura de control de Compliance, es crucial

abordar una serie de aspectos clave. Preguntas fundamentales como el "porqué"
detrás del Compliance, quién llevará a cabo el control, qué áreas específicas se
deben supervisar, a quiénes se someterá al control y qué tipos de mecanismos de
control se implementarán, son esenciales para el desarrollo de un sistema robusto
y adaptado a las necesidades específicas de la organización.

La implementación de un sistema de Compliance en las organizaciones va más allá

de la introducción de medidas técnicas; implica la instauración de una cultura
arraigada en el estricto cumplimiento de la legalidad. Esta cultura se refleja de
manera destacada en el compromiso de la dirección de la empresa,
independientemente de su tamaño. Es este compromiso el que establece las bases
para la cohesión de la organización en torno a prácticas éticas y la construcción de
una reputación fundada en la integridad.
 Compliance: Modelos de Compliance

Las organizaciones deberían considerar la posibilidad de establecer un sistema de

identificación y de gestión de riesgos legales, más allá de los procesos habituales
de revisión y este sistema debería funcionar siempre de forma previa a cualquier tipo
de inversión.

Los procesos de tomas de decisiones de delegaciones en dichas decisiones, de

autorizaciones etc. han cobrado especial importancia en la introducción del sistema
de Compliance. Todos los procesos relacionados con los puestos de trabajo que
deben existir en todas las organizaciones devienen cruciales en un sistema de
Compliance, porque el poder sustentar la responsabilidad penal de una persona
física u otra se determinará, fundamentalmente, en la conducta realizada y,
también, en la capacidad de decisión sobre la realización de esta. Nos encontramos
con un marco normativo donde se insta a las organizaciones a mantener, cada vez
más sistemas transversales de gestión, lejos de los sistemas departamentales que
hasta la fecha vienen siendo los habituales.

La importancia de la figura del Compliance Officer se eleva como un pilar esencial

en cualquier organización, ya sea desempeñando su papel como colaborador
interno o externo. Este profesional desempeña un papel clave en la implementación
y mantenimiento efectivos de la estrategia de Compliance, trabajando en estrecha
colaboración con la dirección para alinearla con los valores y la estrategia globales
de la entidad. En el marco de la estructura de control, el Compliance Officer asume
la responsabilidad de cuestionamientos cruciales, abordando aspectos
fundamentales como el propósito detrás del Compliance, quién será objeto de
control, las áreas específicas a supervisar, y la implementación de mecanismos de
control adecuados. Su presencia y compromiso contribuyen de manera significativa
a la creación de una cultura arraigada en el estricto cumplimiento de la legalidad,
crucial para el éxito del sistema de Compliance, independientemente del tamaño
de la organización.
 Compliance: Modelos de Compliance

Tomando como ejemplo un sistema específico de Compliance, asegurar el

cumplimiento de toda la normativa medioambiental aplicable a las presas implica
realizar un análisis exhaustivo de los riesgos inherentes a la actividad. La ausencia
de este análisis de riesgos puede llevar a la empresa a incurrir en incumplimientos
involuntarios debido a la falta de conocimiento.

La evolución de las políticas públicas en materia de protección del medio ambiente

posiciona a las empresas como actores clave en este ámbito, tanto en el presente
como en el futuro. En este contexto, las colaboraciones con las administraciones
públicas y sus departamentos técnicos se vuelven cada vez más evidentes y
necesarias para garantizar la alineación con los objetivos ambientales establecidos.

El principio de "quien contamina paga", arraigado en la legislación medioambiental,

ha experimentado cambios significativos en los últimos años. Las empresas,
además de enfrentarse a sanciones pecuniarias elevadas, se ven sometidas a
diversas medidas sancionadoras, subrayando la importancia de una gestión
ambiental proactiva y conforme a la normativa.

En el ámbito medioambiental aplicado a la empresa, destaca el compromiso de la

Dirección, especialmente en relación con las asignaciones presupuestarias
destinadas a la adaptación de la actividad industrial a los nuevos requisitos de
cumplimiento medioambiental. Este compromiso financiero no solo demuestra la
seriedad de la organización frente a sus responsabilidades ambientales, sino que
también respalda la efectiva implementación de medidas correctivas y preventivas
que promueven una gestión ambiental responsable y sostenible.

Por lo que no existe una única definición de la composición de un órgano de

Compliance, aunque el concepto si es el mismo para cualquier tipo de organización
empresarial. Lo importante es aplicar el concepto y ver la forma más adecuada de
su implementación a tenor de las características: recursos, organización,
proporcionalidad, volumen, actividad, etc.

Las políticas relacionadas con la prevención de riesgos laborales constituyen otro

 Compliance: Modelos de Compliance

ejemplo evidente que debe integrarse de manera coherente con un sistema de

aplicación de análisis de riesgos. En ausencia de dicho análisis, nuestras
legislaciones, tanto en España como en Latinoamérica, suelen aplicar sanciones
rigurosas en casos de eventos considerados como infortunios laborales, sin
importar el grado de culpabilidad del entorno empresarial.

En este contexto, la norma ISO 37301 surge como un referente clave al definir la
función de Compliance. Esta norma conceptualiza al Compliance Officer como la
persona con responsabilidad para la gestión de Compliance, donde el cumplimiento
abarca todas las obligaciones que una organización elige y debe cumplir. La
integración de este enfoque en las políticas de prevención de riesgos laborales no
solo fortalece la conformidad legal, sino que también promueve una cultura
proactiva de seguridad laboral. La aplicación de análisis de riesgos se convierte así
en un componente fundamental para abordar de manera eficaz los desafíos en
materia de seguridad y prevenir potenciales sanciones, reforzando el compromiso
de la empresa con la salud y el bienestar de sus trabajadores.

La función de Compliance deberá ser responsable, junto con la dirección, de

Identificar las obligaciones de Compliance, bien por medios propios o con apoyo
del resto de la organización o medios externos. Las obligaciones normativas de una
organización implican un gran número de disciplinas y actividades, por ejemplo, las
obligaciones laborales, de seguridad y salud, fiscales, de producto, instalaciones,
etc. prácticamente imposible que sea capaz de analizar y conocer todos los
requisitos normativos. Por ello, deberá contar con los expertos internos o externos
de la organización para identificarlas. Si bien, es el Compliance Officer el garantizar
que el proceso de identificación realizado por terceros es garantista en cuanto a la
identificación de los requisitos.

Integrar la función de Compliance en las políticas, procedimientos y procesos. En

función de la evaluación de riesgos, el Compliance Officer debe establecer los
requisitos de cumplimiento y control aplicables a cada proceso de trabajo,
identificarlos en los procedimientos y establecer los requisitos de control por parte
de las diferentes unidades de la organización.
 Compliance: Modelos de Compliance

En el ámbito de la prevención de riesgos laborales, resulta imperativo proporcionar

y organizar un apoyo formativo continuo para la plantilla, asegurando que todos los
empleados relevantes reciban formación de manera regular. El Compliance Officer,
en colaboración con las diversas unidades de la organización, debe identificar y
definir las necesidades formativas específicas para cada puesto de trabajo, con el
objetivo de garantizar el pleno cumplimiento de las normativas y prácticas en
materia de seguridad laboral.

Adicionalmente, es esencial promover la inclusión de las responsabilidades de

Compliance en las descripciones de puestos de trabajo y en los procesos de gestión
del desempeño de los empleados. Integrar estas responsabilidades en las
funciones diarias de los trabajadores no solo fortalece la cultura de Compliance,
sino que también facilita la evaluación y reconocimiento del desempeño en términos
de cumplimiento normativo.

Para respaldar estas iniciativas, se debe implementar un sistema eficaz de

información y documentación de Compliance. Este sistema no solo centralizará la
información relacionada con las prácticas de prevención de riesgos laborales, sino
que también facilitará la accesibilidad y la actualización constante de los recursos
informativos. La transparencia y la accesibilidad de la información contribuyen
significativamente a la eficacia del sistema de Compliance, permitiendo a los
empleados acceder fácilmente a las políticas, procedimientos y recursos formativos
relevantes.
 Compliance: Modelos de Compliance

3. Normas y estándares internacionales

ISO 37301 Sistema de Gestión de Compliance

La ISO 37301 marca un hito significativo en la evolución de los Sistemas de Gestión de

Compliance (SGC), al sustituir a su predecesora, la ISO 19600. Esta nueva norma no solo
representa un avance en términos de directrices, sino que ahora se distingue por ser
certificable, otorgando a las organizaciones ventajas palpables al buscar la conformidad
con los más altos estándares internacionales de Compliance.

Una de las ventajas clave de la ISO 37301 radica en su capacidad para conceder
certificaciones, lo cual, no solo valida las prácticas y procesos de una organización, sino
que también fortalece su reputación al demostrar un compromiso serio con la integridad y
la ética empresarial. La posibilidad de obtener una certificación ofrece a las empresas un
respaldo formal y reconocido internacionalmente de sus esfuerzos en la gestión eficaz de
Compliance.

La ISO 37301 se destaca por su enfoque integral, poniendo un énfasis especial en el

contexto específico de cada organización. Al integrar el análisis de riesgos directamente en
el tejido del SGC, la norma permite una adaptación más precisa de las prácticas de
Compliance a los entornos particulares, maximizando la pertinencia y la efectividad de las
medidas preventivas.

Un aspecto notable de la ISO 37301 es su dedicación a la implementación efectiva de

canales de denuncia. Al proporcionar directrices claras y específicas sobre cómo establecer
canales de denuncia eficaces, la norma aborda directamente la necesidad de fomentar un
entorno donde los individuos se sientan seguros para reportar irregularidades de manera
confidencial. Este enfoque proactivo contribuye no solo a la identificación temprana de
posibles problemas, sino también a cultivar una cultura organizacional de transparencia y
responsabilidad.

En resumen, la implementación de la ISO 37301 no solo posiciona a las organizaciones en

línea con los estándares internacionales de Compliance, sino que también les brinda una
ventaja competitiva al obtener una certificación reconocida globalmente. Su enfoque
contextualizado y la priorización de canales de denuncia efectivos subrayan su relevancia
en un mundo empresarial que valora cada vez más la ética y la integridad.

.
 Compliance: Modelos de Compliance

ISO 31000 Sistema de Gestión de Riesgos

La norma UNE-ISO 31000 (2018:7) define riesgo como “Efecto de la incertidumbre

sobre los objetivos”, así las cosas, cuando manejamos este concepto y lo
entrelazamos con la norma ISO 37301 sobre Compliance o sistema normativo de
la empresa, realmente estamos ante la presencia de un modelo integral entre
Gestión de Riesgos y Compliance. Estos sistemas, lejos de ser antagónicos, se
consolidan y complementan mutuamente, siendo el análisis de riesgos uno de los
pilares fundamentales del modelo de prevención y control de delitos.

Esta base no solo establece los cimientos para la posterior articulación del modelo
de control, sino que también busca transmitir con la máxima precisión el estado real
de la empresa en términos de riesgos.. La función del análisis de riesgos es
identificar las actividades que pueden entrañar un riesgo de comisión de un delito,
mientras que la del mapa de riesgos es transmitir dicha información de forma gráfica
y comprensible. La información obtenida tras el análisis será el punto de partida
para el diseño de medidas de vigilancia y control idóneas y eficaces que permitan
reducir el riesgo de comisión de delitos.

Existen diversas metodologías para el análisis de riesgos, cada una enfocándose

en factores específicos en la toma de datos y el cálculo del riesgo final. La elección
de la metodología debe considerar aspectos como la estructura normativa que rige
el modelo y el nivel de experiencia de los analistas, garantizando resultados
comprensibles para una toma de decisiones eficaz y aplicable en el modelo
implementado.

Como consecuencia de la gran cantidad de datos obtenidos durante el análisis

realizado y la necesidad de representar los resultados en un soporte que permita
su comprensión para una posterior toma de decisiones, es recomendable el uso de
herramientas informáticas que asistan al analista durante el proceso.

La oferta de herramientas para la gestión de riesgos es amplia y variada. Las

 Compliance: Modelos de Compliance

principales diferencias radican en la complejidad del análisis que puede realizarse

y en el resultado que se obtendrá y que permitirá representar los riesgos en el mapa
de riesgos. A pesar de la diversidad de herramientas existentes, existen dos grupos
principales. El primer grupo corresponde a las herramientas elaboradas sobre hojas
de cálculo, mientras que el segundo corresponde a aplicaciones informáticas
diseñadas ad-hoc donde, en la mayoría de los casos, la herramienta de gestión de
los mapas de riesgos es un módulo más entre los disponibles para gestionar el
modelo de Compliance.

ISO 37302 Sistemas de gestión de la denuncia de irregularidades

En la actualidad, los canales de denuncia han evolucionado para convertirse en una

herramienta esencial en la prevención de delitos y la lucha contra la corrupción
dentro de las empresas y organizaciones. Sin embargo, hasta hace poco tiempo,
estos canales internos no eran ampliamente conocidos ni frecuentes en muchos
países, siendo objeto de controversia debido a razones históricas, culturales y a la
falta de legislación específica en la materia.

El origen de las líneas de whistleblowing se remonta al derecho anglosajón,

especialmente a la legislación de Estados Unidos, como la "False Claims Act" de
1863, también conocida como "Lincoln Law". Esta ley, inicialmente promulgada
durante la Guerra de Secesión para combatir el fraude en los suministros al ejército
de la Unión, sigue vigente tras diversas modificaciones y fomenta la denuncia de
presuntos fraudes contra el Gobierno Federal de los Estados Unidos.

Además, la norma ISO 37301 "Sistemas de gestión de Compliance - Directrices",

hace referencia explícita a los canales de denuncia en sus cláusulas destacando la
importancia de establecer mecanismos que permitan a los individuos denunciar de
buena fe y con motivos:

"La organización deberá establecer, implantar, evaluar y mantener procedimientos

para buscar y recibir opiniones de una serie de fuentes, incluyendo empleados, a
través de canales de denuncias".
 Compliance: Modelos de Compliance

"Un sistema de gestión de Compliance eficaz debería incluir un mecanismo para

que los empleados de la organización y/u otras personas informen sobre malas
prácticas reales o sospechosas, o sobre violaciones de las obligaciones de
Compliance de la organización, de forma confidencial y sin temor a represalias".

Con la constante evolución de las prácticas empresariales y el creciente

compromiso hacia la transparencia y la integridad, la norma ISO ha dado un paso
adelante al introducir la ISO 37302 en el ámbito de la gestión de Compliance. Esta
nueva norma se centra específicamente en la implementación y gestión de
sistemas de denuncia eficaces, proporcionando directrices esenciales para
aquellas organizaciones que buscan fortalecer sus canales de denuncia y fomentar
una cultura de responsabilidad.

La ISO 37302 aborda de manera precisa los desafíos contemporáneos asociados

con la identificación y gestión de riesgos éticos. Al establecer principios claros, la
norma se enfoca en garantizar la confidencialidad, la no represalia y la efectividad
de los canales de denuncia. Su integración dentro del panorama normativo refleja
la creciente importancia de promover mecanismos sólidos que permitan a los
individuos denunciar irregularidades de manera segura.

La normativa proporciona así una guía esencial para las organizaciones que buscan
avanzar en la construcción de entornos empresariales éticos y responsables. En un
contexto donde la rendición de cuentas y la gestión proactiva de riesgos éticos son
fundamentales, la ISO 37302 se posiciona como una herramienta valiosa para
aquellos que aspiran a alcanzar los más altos estándares en la gestión de
Compliance y la promoción de una conducta ética en todos los niveles de la
organización.

La incorporación de estas directrices en la normativa destaca la importancia de

fomentar un entorno en el que la denuncia de prácticas irregulares sea facilitada,
protegiendo a los informantes y promoviendo la integridad y la ética en el ámbito
empresarial.

En el Real Decreto-ley 11/2018, de 31 de agosto, por el que se transpone, entre

otras, la Cuarta Directiva en materia de Prevención de Blanqueo de Capitales,
 Compliance: Modelos de Compliance

introdujo un nuevo artículo 26 bis en la Ley 10/2010, de 28 de abril, de prevención

del blanqueo de capitales y de la financiación del terrorismo, que exige
expresamente que los sujetos obligados establezcan procedimientos internos para
que sus empleados, directivos o agentes puedan comunicar, incluso
anónimamente, información relevante sobre posibles incumplimientos en relación a
lo dispuesto por la Ley 10/2010, de 28 de abril, de prevención del blanqueo de
capitales y de la financiación del terrorismo, su normativa de desarrollo o las
políticas internas implementadas para su cumplimiento a nivel corporativo.

Otro ejemplo que muestra la importancia de la figura del informante, es que el

regulador de los mercados de valores de [Link]., la SEC (Securities and Exchange
Commission), puso en marcha un programa para incentivar que los whisteblovers
denunciasen malas prácticas en sus empresas. Para ello, en caso de ser una
denuncia legítima y que llegase a buen puerto, el denunciante obtiene una
recompensa económica (entre un 10% y un 30% del valor de la multa que la SEC
imponga a la empresa). Desde entonces han recibido más de 18.000 denuncias,
destacando que en el último año los agentes reciben más de una docena de
denuncias diarias. En este aspecto, destaca que a la recompensa se le denomina
premio, existiendo programas como The Dodd-Frank whistleblower awards. Las
recompensas más relevantes se reflejan en los medios de comunicación,
mostrando un ranking en el que sobresale un récord alcanzado recientemente, en
marzo de 2018, cuyos galardonados compartieron un premio de casi 50 millones
de dólares, mientras que un tercero recibió más de 33 millones de dólares. El récord
anterior fue en 2014 con 30 millones de dólares.

En América Latina aún la figura del informante o whistleblower se encuentra en

etapa de estudio y aunque existen páginas web de apoyo a los denunciantes no
hay políticas de Estado ni legislación que permitan robustecer esta figura.
4. Conclusiones
En el diseño y la implementación de modelos de Compliance, se destaca la
importancia de integrar las responsabilidades de cumplimiento normativo en las
descripciones de puestos de trabajo y en los procesos de gestión del desempeño
de los empleados. Además, la puesta en marcha de un sistema de información y
documentación de Compliance se presenta como un componente esencial para el
éxito de estas estrategias.

La función Compliance juega un papel crucial en la definición de las necesidades

de información documentada, abarcando su generación, aprobación, distribución y
control, así como la especificación de los registros del sistema que deben
mantenerse. Se distinguen dos tipos de Compliance: los Genéricos o de
Superestructuras y los Específicos, cada uno con sus particularidades y
aplicaciones específicas.

Entre las responsabilidades de la función Compliance se incluye el desarrollo e

implementación de procesos para la gestión de la información, como la recepción y
gestión de reclamaciones, comentarios recibidos a través de líneas directas o
canales de denuncias anónimas, entre otros mecanismos. La función también debe
establecer indicadores de gestión y analizar el desempeño, identificando la
necesidad de acciones correctivas y proponiéndolas para mejorar la eficacia del
sistema.

Asimismo, la revisión periódica del sistema de gestión es esencial para adaptarse

a posibles cambios y mejorar su desempeño. El acceso a un asesoramiento
profesional adecuado para el establecimiento, implementación y mantenimiento del
sistema de gestión de Compliance es un aspecto clave que debe ser definido por
el Compliance Officer.

En cuanto al modelo de prevención y control de delitos, su alcance debe abarcar

cualquier actividad realizada por la empresa, sobre la cual tenga control directo o
indirecto, o llevada a cabo por terceros colaboradores. La extensión del perímetro
de control se justifica por la necesidad de supervisar, vigilar y controlar a los agentes
que pueden generar beneficios para la empresa, con el objetivo de prevenir la
comisión de delitos.

En este contexto, la norma ISO 31000 emerge como una herramienta fundamental
para la implementación de un Sistema de Gestión de Riesgos en las empresas.
Aplicable a organizaciones de cualquier tamaño, sector o estructura, esta norma
establece principios que son compatibles con la norma ISO 37301 y con
legislaciones específicas en ámbitos como la prevención de riesgos laborales,
protección de datos, blanqueo de capitales, abuso de mercado y el mercado de
valores. Estas normativas imponen la obligación a las empresas de adoptar
controles internos para prevenir ciertas infracciones normativas.

En resumen, la efectividad de los modelos de Compliance radica en su capacidad

para integrar responsabilidades de cumplimiento normativo, implementar sistemas
de información y documentación robustos, y contar con una función Compliance
proactiva. La coordinación de procesos, la revisión continua, la adaptabilidad a los
cambios y la consideración de un enfoque integral en la gestión de riesgos y el
cumplimiento normativo son esenciales para construir un entorno empresarial ético
y sostenible. La interconexión entre normativas internacionales, como la ISO 37301,
y normativas específicas refuerza la necesidad de una gestión integral que aborde
tanto los aspectos generales como los particulares de cada organización,
contribuyendo así a la prevención de delitos y al cumplimiento normativo.
Compliance: Modelos de
Compliance
5. Material de ampliación y consulta

● Compliance un modelo a seguir, World Compliance Association,

[Link]
[Link]
● El Compliance por que implantar un modelo de prevención en mi empresa,
Thinkuplks, [Link]
modelo-de-prevencion-en-mi-empresa/
● Compliance Conducta, Rcpolo, [Link]
conducta
● Responsabilidad Penal de las Empresas y el Modelo de Compliance para
su Prevención, Santiago Mediano,
[Link]
modelo-de-compliance-para-su-prevencion/