Doble Grado en Derecho y Administración y Dirección de Empresas

TRABAJO DE FIN DE GRADO DE ADE (21973)

Curso académico 2019-2020

DISEÑO DE UN PLAN DE “COMPLIANCE” PARA

MICROEMPRESAS:

MUCHO MÁS QUE UN PROGRAMA DE PREVENCIÓN DE LA

RESPONSABILIDAD PENAL DE LA PERSONA JURÍDICA.

RICARDO LÓPEZ HERNÁNDEZ

(ricardo.lopez1997@gmail.com)

Tutor externo:

Ilmo. Sr. Josep M. Torras Coll

Magistrado de la Audiencia Provincial de

Barcelona y Profesor Asociado de

Derecho Procesal Penal.

Supervisor interno:

Dr. Oriol Amat Salas

Catedrático de Economía Financiera y

Contabilidad.

2

RESUMEN

Los planes de compliance se configuran como una estrategia de defensa preventiva ante una eventual

imputación penal de la persona jurídica, la cual desde el año 2010 puede ser responsable en España

por ciertos delitos cometidos en su seno o en el marco del desarrollo de su actividad. Generalmente,

los programas de compliance se implementan en medianas y grandes empresas y se articulan alrededor

de la aportación e instauración de herramientas de detección de riesgos. Pero realmente estos planes

deberían ser mucho más que eso: deberían tender a instaurar una cultura empresarial ética y sostenible,

asimilada, compartida y practicada por cada uno de los directivos, cuadros intermedios y trabajadores.

Y, en este sentido, resultan ser igualmente necesarios y útiles para las microempresas; si bien, estos

deberán adaptarse a sus características. Además, su instauración puede entenderse como la punta de

lanza mediante la cual introducir la Responsabilidad Social Corporativa en estas organizaciones.

Palabras clave: compliance, responsabilidad penal de la persona jurídica, microempresa, guía de

implementación, behavioral compliance, responsabilidad social corporativa, ética empresarial.

ABSTRACT

Compliance plans are designed as a preventive defense strategy in the event of criminal charges

against the legal person, which since 2010 may be liable in Spain for certain crimes committed within

the company or in the course of its business. Generally, compliance programs are implemented in

medium and large companies and are structured around the provision and implementation of risk

detection tools. But actually, these plans should be much more than that: they should tend to establish

an ethical and sustainable business culture, assimilated, shared, and practiced by each of the

directors, middle managers, and workers. In this sense, they are equally necessary and useful for

micro-enterprises, although they should be adapted to their characteristics. Furthermore, their

implementation can be understood as the spearhead through which to introduce Corporate Social

Responsibility in these organizations.

Keywords: compliance, criminal liability of the legal person, micro-enterprise, implementation guide,

behavioral compliance, corporate social responsibility, business ethics.

3

ÍNDICE

Página

INTRODUCCIÓN. 4

CAPÍTULO I: ENTENDER PARA CONVENCER. 5

1. ¿Por qué cumplir? 5

1.1. Compliance: una visión global. 5

1.2. La responsabilidad penal de la persona jurídica. 7

1.3. El cumplimiento por convicción. 10

2. Un entorno cambiante. 12

2.1. Microempresas: presente y futuro del tejido empresarial español. 12

2.2. Hacia un nuevo paradigma empresarial. 13

CAPÍTULO II: GUÍA DE IMPLEMENTACIÓN. 16

1. Descripción y funcionamiento de la organización. 16

2. La evaluación de riesgos. 17

3. Pre (potencial) incumplimiento: el plan integral de prevención. 18

3.1. Prevención específica. 18

3.2. Prevención general. 19

4. La detección. 21

5. Post-incumplimiento: el plan de mitigación. 22

6. Los canales de comunicación. 23

7. La verificación del plan. 23

CONCLUSIONES. 24

REFERENCIAS BIBLIOGRÁFICAS. 26

ANEXOS: MODELOS PARA IMPLEMENTAR EL PLAN DE COMPLIANCE. 27

I. ANEXO 1: modelo de descripción y funcionamiento de la organización. 28

II. ANEXO 2: modelo de evaluación de riesgos, prevención específica, detección y

plan de mitigación.

31

III. ANEXO 3: modelo de revisión periódica y de revisión eventual. 33

IV. ANEXO 4: modelo para el código ético y los canales de comunicación. 35

V. ANEXO 5: modelo para el régimen de incentivos y el régimen sancionador. 36

4

INTRODUCCIÓN.

Con la reforma del Código Penal de 2010 se introdujo, por primera vez en España, la

responsabilidad penal de la persona jurídica. Este hecho ha reforzado la necesidad de que las empresas

españolas de cualquier tamaño cuenten con planes de compliance. Sin duda, las empresas de mayor

tamaño ─y, en consecuencia, con más recursos─ han sido las primeras en implementarlos. Pero los

planes de compliance son igualmente necesarios en pequeñas y medianas empresas ─PyMEs─ y, sin

embargo, a diferencia de lo que ocurre en otros países, sigue habiendo un excesivo desconocimiento

de su necesidad; y, por ello, su observancia en empresas pequeñas sigue siendo insuficiente.

Este trabajo pretende, en primer lugar, concienciar acerca de la necesidad de contar con un

programa de compliance y, en segundo lugar, ser una guía para todas aquellas microempresas que

deseen implementar un plan de este tipo en el seno de su organización. Así pues, la intención es

analizar de qué modo pueden empezar a aplicar principios de cumplimiento normativo en su día a día

a través de un programa de compliance adaptado a su tamaño, a sus necesidades y, por supuesto, a su

actividad. La implantación, sin embargo, requiere mucho más que la aportación e instauración de

meras herramientas de detección y gestión de riesgos, o de un comportamiento basado en el

cumplimiento legal aislado: se necesita el establecimiento de una cultura empresarial ética y

sostenible, asimilada, compartida y practicada por cada uno de los directivos, cuadros intermedios y

trabajadores. Este es uno de los principales aspectos en los que se enfoca el Behavioral Compliance

─o “cumplimiento conductual”─. Y, en su instauración, el hecho de que la empresa sea de pequeño

tamaño debe entenderse como una fortaleza.

La hipótesis de este trabajo es que incluso una microempresa necesita un programa de

compliance. Si bien, este debe adaptarse a sus características. Su diseño, el modo de personalizarlo, así

como la manera de incidir en un cumplimiento normativo empresarial basado en el convencimiento y

no en la imposición en este tipo de empresas es el principal objetivo de este trabajo.

Finalmente, quisiera agradecer sinceramente al Dr. Oriol Amat Salas la ayuda prestada para la

realización de este trabajo, y, por supuesto, al Ilmo. Sr. Josep Maria Torras Coll, por las importantes

enseñanzas teóricas y técnicas, pero sobre todo humanas, que me ha transmitido con su palabra y con

su ejemplo en todo momento.

Espero que resulte interesante… Y útil.

5

CAPÍTULO I

ENTENDER PARA CONVENCER.

«No son nuestras habilidades las que muestran cómo somos, sino nuestras elecciones.»

J. K. Rowling.

1. ¿POR QUÉ CUMPLIR?

1.1. Compliance: una visión global.

La World Compliance Association (2020) define el concepto compliance ─en castellano,

cumplimiento normativo─ como “un conjunto de procedimientos y buenas prácticas adoptados por las

organizaciones para identificar y clasificar los riesgos operativos y legales a los que se enfrentan y

establecer mecanismos internos de prevención, gestión, control y reacción frente a los mismos”.

A menudo se entiende que el término compliance engloba en la práctica conceptos como el de

“gobierno empresarial” o el de “gestión de riesgos”, puesto que, si bien son diferentes, existe una

relación estrecha entre ellos. En efecto, estos tres conceptos tienen como propósito común asegurar

que la organización está bien gestionada, bajo los principios de eficacia, eficiencia y diligencia debida.

En primer lugar, el concepto de “gobierno” tiene que ver con la estructura de dirección y control

dentro de una organización, debido a la complejidad generada por la multiplicidad de acciones y

procesos que se llevan a cabo, así como con la toma de decisiones en el marco de su actividad ─que

incluye, por supuesto, decisiones sobre la gestión de riesgos y sobre el cumplimiento normativo─.

En segundo lugar, el concepto de “gestión de riesgos” hace referencia a los incidentes que

pueden resultar de exponer la actividad empresarial ante un mercado caracterizado por la

incertidumbre singular de la competencia imperfecta. Y lo cierto es que no siempre es posible mitigar

por completo el riesgo existente en cualquier operación, entre otras cosas porque muchos de los

factores que inciden en el desarrollo de la actividad empresarial son exógenos. Es por ello por lo que

el objetivo realístico de la gestión de riesgos no es tanto eliminar el riesgo asociado a una actividad

concreta, sino gestionarlo de forma que incida del modo menos perjudicial posible sobre la empresa.

Y, en tercer lugar, el concepto de “compliance” responde al esfuerzo de las organizaciones

para cumplir corporativamente con las leyes y otras normas que conforman el sistema regulatorio de

nuestro ordenamiento jurídico, pero también para cumplir con la normativa interna de buenas prácticas

que tenga la empresa en cuestión. Y ello precisa conocer qué normas resultan de aplicación a las tareas

que se realizan en el campo de actividad concreto, así como implementar los mecanismos necesarios

para prevenir infracciones, detectar incidentes ─si llegan a producirse─ y, en ese caso, establecer las

medidas necesarias para subsanarlos y para evitar que vuelvan a suceder (Miller, 2016, pp.2-3).

6

Los tres conceptos, tomados en consideración de manera conjunta, deben tratar de impedir que

se pierda la esencia de la relación contractual fáctica o expresa que marca la razón de ser de la

organización, y por eso se dice que su propósito es asegurar que la empresa actúe debidamente.

Asimismo, se pretende, actuar y responder de la manera más adecuada para con los propietarios e

inversores. Si se analiza esta relación desde un punto de vista económico se puede apreciar que los

accionistas se comprometen a ceder parte de sus intereses y motivaciones a los directivos, para que

puedan dirigir la empresa por ellos. Por lo tanto, se basa en el concepto de separación de la propiedad

y de la gestión en una empresa. El problema surge cuando los gestores toman decisiones que están

muy alejadas de los intereses de los socios; o, dicho de otro modo, cuando emerge un problema de

alineación de intereses. Y esto resulta en una pérdida de valor para la empresa y una pérdida

irrecuperable de eficiencia cuya carga es repercutida directamente sobre los propietarios.

Este alejamiento fruto de la divergencia entre los intereses mencionados y las acciones que se

llevan a cabo genera unos costes de agencia, precisamente debido a las desviaciones en que el agente

incurre con respecto al objetivo de maximizar el bienestar del principal. Y el problema es que el

principal no siempre puede ser consciente de que el agente está actuando de un modo parcial debido a

la posible existencia de información asimétrica entre las partes. Y esto provoca que el principal no

siempre pueda ejercer una función decisiva de control sobre el agente, como debería, precisamente por

su desconocimiento de lo que está sucediendo. La búsqueda por parte del principal de la información

necesaria para tomar las decisiones que maximicen su bienestar y el de la empresa constituye una

imperfección del sistema corporativo que, como se ha indicado, genera un coste que conlleva una

pérdida de eficiencia ─debido a la necesidad de conocer las intenciones del agente cuando este toma

determinadas decisiones, y que conlleva dos costes adicionales asociados: (1) el de corrección o

alineación de intereses, también con una pérdida irrecuperable de eficiencia asociada, y (2), muy

relevante, el coste reputacional─. Pero esta situación puede ser corregida a través de un plan de

compliance, que consolide un interés mínimo común al que ambas partes deban ajustarse, basado en la

adecuación de las actuaciones empresariales al cumplimiento de la Ley.

Cada evento histórico relevante ha traído asociado un cambio en la manera de hacer las cosas,

por tal de adelantarse a los acontecimientos y evitar que vuelvan a suceder. Así, no es extraño que la

primera empresa de la historia que hizo públicas sus cuentas a sus accionistas, que fue la Compañía

Holandesa de las Indias Orientales, lo hiciese para informarles de que había quebrado. A partir de ese

momento, se estableció normativa por tal de que las empresas publicaran periódicamente sus cuentas

financieras. Y esto funcionó así durante casi 130 años, hasta que estalló el Crack de 1929. Tras esta

severa crisis, las empresas y los legisladores se dieron cuenta de que las corporaciones habían estado

publicando sus cuentas, pero que no necesariamente se había verificado que estas fueran ciertas y

precisas. Así que, nuevamente, se estableció normativa por tal de que los estados financieros de las

empresas fueran revisados por entidades externas, como son los auditores de cuentas.

7

Pues bien, del mismo modo en que todos estos cambios en la normativa empresarial fueron

una respuesta a estos hechos históricos, se podría decir que el compliance, tal y como lo entendemos

hoy en día, a pesar de que ya existía antes, tuvo su golpe de gracia a principios del siglo XXI, cuando

escándalos corporativos como los de Enron, WorldCom o Parmalat pusieron en evidencia la necesidad

de fortalecer la regulación empresarial. Este hecho evidenció la indiscutible necesidad de contar con

police-patrols ─que debería entenderse como “patrullas de vigilancia o de control público”─, pero

esto era difícil de implementar. Primero, por la mera carencia de los recursos necesarios por parte de

las Administraciones Públicas para inspeccionar debidamente a todas las empresas cotizadas, debido a

su tamaño, y a todas las PyMEs, debido a su número; juntamente con una ausencia de determinación

real de llevarlo a cabo por parte de los gobiernos. Segundo, por la imposibilidad de mantener una

confianza sincera hacia la honestidad profesional de quien controla, y de quien controla al que controla

─y, así, sucesivamente─. Y tercero, por las consideraciones ideológicas que supondría el hecho de

admitir la necesidad de que el gobierno incida en el desarrollo del mercado.

Con todo ello, se acabó optando por diseñar un sistema de control interno que, aunque de

manera diferente, ya venía existiendo, y se trató de mejorar y de respaldar por una legislación que

forzara a las empresas a llevarlo a cabo ante la posibilidad de incurrir en responsabilidad penal.

1.2. La responsabilidad penal de la persona jurídica.

La responsabilidad penal de las personas jurídicas se introdujo en el ordenamiento jurídico

español a través del artículo 31 bis del Código Penal ─en adelante, CP─, con la Reforma del CP de

2010 ─LO 5/2010─. Anteriormente, si se cometía un presunto delito en el seno de la organización, el

responsable penal, en caso de haberlo, debía ser necesariamente la persona física que lo había

cometido. Sin embargo, tras la reforma, la comisión de este mismo delito por parte de un miembro de

la organización puede convertir a la empresa en sujeto inmediato de derecho penal y, en consecuencia,

puede ser sancionada. Por ello se dice que se ha transitado del clásico axioma «societas delinquere

non potest» ─una sociedad no puede delinquir─, hacia el nuevo aforismo «societas delinquere et

puniri potest» ─una sociedad puede delinquir y puede ser penada─ (Torras Coll, 2018, p.3).

Siguiendo la línea de lo expuesto en el apartado anterior, y en vista a las tres dificultades

identificadas para ejercer un control exhaustivo por parte del Estado sobre la adecuación normativa de

toda actividad empresarial, el legislador decidió trasladar a las empresas el deber de controlar

internamente la prevención de delitos que puedan cometerse tanto en su seno como en el marco de su

actividad, “a fin de que esta asuma una autorresponsabilidad a cambio de articular un conjunto de

circunstancias eximentes y atenuantes de la responsabilidad penal” (Torras Coll, 2018, p.42). Así lo

corrobora el Tribunal Supremo ─en adelante, TS─ en su Sentencia 516/2016, de 13 de junio.

El nacimiento de la responsabilidad penal de la persona jurídica exige tres requisitos positivos,

y un cuarto requisito negativo: (I) que se incurra en uno de los delitos expresamente previstos; (II) que

8

sea cometido por un directivo o empleado no adecuadamente controlado; (III) que reporte beneficios a

la entidad; y (IV) que no exista un plan de compliance que pueda considerarse adecuado o eficaz en un

juicio ex ante ─en un juicio ex post, siempre será ineficaz─ (del Moral García, 2017, p.12).

I. El primer requisito positivo es, como se ha indicado, que se le atribuya a la persona

jurídica uno de los siguientes delitos: tráfico ilegal de órganos humanos (156 bis.3 CP); trata de seres

humanos (177 bis.7 CP); prostitución, explotación sexual o corrupción de menores (189 bis CP);

descubrimiento y revelación de secretos y allanamiento informático (197 quinquies CP); estafas (251

bis CP); frustración de la ejecución (258 ter CP); insolvencias punibles (261 bis CP); alteración de

precios en concursos y subastas públicas (262 CP); daños informáticos (264 quater CP); contra la

propiedad intelectual e industrial, el mercado y los consumidores (288 CP); negativa a actuaciones

inspectoras (294 CP); blanqueo de capitales (302.2 CP); financiación ilegal de los partidos políticos

(304 bis.5 CP); contra la Hacienda Pública y contra la Seguridad Social (310 bis CP); contra los

derechos de los trabajadores y de los ciudadanos extranjeros (318 CP); urbanización, construcción o

edificación no autorizables (319.4 CP); contra los recursos naturales y el medio ambiente (328 CP);

relativos a la energía nuclear (343.3 CP); riesgos provocados por explosivos (348.3 CP); contra la

salud pública (366 CP), incluido el tráfico de drogas (369 bis CP); falsificación de moneda (386.5

CP); falsificación de tarjetas de crédito y débito y cheques de viaje (399 bis CP); cohecho (427 bis

CP); tráfico de influencias (430 CP); malversación (435.5 CP); delitos de odio y enaltecimiento (510

bis CP); financiación del terrorismo (576 CP), y contrabando (2.6 Ley Orgánica 12/1995).

II. El segundo requisito positivo, que hace referencia a criterios personales, contiene dos

supuestos subjetivos distintos. El primero (i), que se contempla en el art. 31 bis.1(a), consiste en que el

delito haya sido perpetrado por uno de los representantes legales o por aquellos que actuando

individualmente o como integrantes de un órgano de la persona jurídica, están autorizados para

tomar decisiones en nombre de la persona jurídica u ostentan facultades de organización y control

dentro de la misma (LO 10/1995, p.17). Se refiere a los directivos y administradores de la sociedad;

pero también a mandos intermedio, e incluso al mismo Chief Compliance Officer.

El segundo supuesto subjetivo (ii), que se contempla en el art. 31 bis.1(b), consiste en que el

delito haya sido perpetrado por quienes, estando sometidos a la autoridad de las personas físicas

mencionadas en el párrafo anterior, han podido realizar los hechos por haberse incumplido

gravemente por aquéllos los deberes de supervisión, vigilancia y control de su actividad atendidas las

concretas circunstancias del caso (LO 10/1995, p.17). Se refiere a que también los empleados pueden

provocar que la sociedad incurra en uno de los delitos tipificados a tales efectos. Pero, en este caso, tal

y como se ha indicado, se requiere, para poder atribuirle la responsabilidad penal, que se constate que

efectivamente hubo “un déficit de control sobre tal subordinado” por parte de los responsables de la

sociedad; y, además, se especifica que este ha de ser “grave”. La gravedad particular deberá apreciarla

el juez atendiendo a las circunstancias del caso concreto (del Moral García, 2017, p.12).

9

III. El tercer requisito positivo hace referencia a que la conducta delictiva observada debe

redundar en beneficio de la sociedad, ya sea de forma directa o indirecta. Debe entenderse que este

requisito se cumple incluso cuando no haya logrado conseguirse el beneficio mencionado, siempre que

la acción ilícita perpetrada fuese tendente a conseguirlo; así como en aquellos casos en los que la

persona física haya actuado individualmente para su propio beneficio, si se puede desprender que este

beneficio personal afecta positivamente a la entidad (Circular 1/2016, pp.9-11).

IV. El cuarto requisito para el nacimiento de la responsabilidad penal de la persona

jurídica es, como se ha indicado, de ámbito negativo, y se corresponde con el hecho de no tener

implementado un plan de cumplimiento normativo, que cumpla, en virtud del art. 31 bis.5 CP, con los

siguientes requisitos: (1) identificación de las actividades en cuyo ámbito puedan ser cometidos los

delitos que deben ser prevenidos; esto incluye el efectivo diseño de medidas concretas de prevención

de la comisión de ilícitos penales; (2) establecimiento de protocolos o procedimientos que concreten el

proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución

de las mismas con relación a tales ilícitos; esto implica instaurar un modelo de organización que

concrete la cadena de mando; (3) fijación de modelos de gestión de recursos financieros adecuados

para impedir la comisión de los delitos que deben ser prevenidos; y esto incluye también la previsión

de una línea económica concreta para sufragar los costes asociados a la subsanación de los potenciales

ilícitos; (4) imposición de la obligación de informar de posibles riesgos e incumplimientos al

organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención; lo cual

supone que se deberá contar con un canal de denuncias efectivo; (5) establecimiento de un sistema

disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el

modelo; y (6) verificación periódica del modelo de cumplimiento, así como su eventual modificación

cuando se pongan de manifiesto infracciones relevantes que hagan necesaria su revisión por tal de

seguir velando efectivamente por el adecuado cumplimiento normativo (LO 10/1995, pp.17-18).

Respecto a los derechos procesales, cabe destacar que la persona jurídica goza de los mismos

que se dispensan a la persona física, que son aquellos contemplados en el art. 118.1 de la Ley de

Enjuiciamiento Criminal ─en adelante, LECrim─. Asimismo, la persona jurídica dispone de los

siguientes mecanismos de defensa: (a) la conformidad, establecida en el art. 779.1.5 LECrim, en

relación con el art. 801 de la misma Ley; (b) la eximente específica del art. 31 bis. 2-5 del CP ─punto

IV─, y (c) las atenuantes genéricas previstas en el art. 31 quater del CP (Torras Coll, 2018, p.12).

En relación con estas últimas, las circunstancias atenuantes que se prevén en el art. 31 quater

son: (i) la confesión; (ii) la colaboración en cualquier momento del proceso; (iii) la reparación o

disminución del daño causado por el delito antes del juicio oral; y, por supuesto, (iv) haber establecido

antes del juicio oral medidas eficaces para prevenir y detectar delitos que podrían cometerse en el

futuro bajo la cobertura de la persona jurídica. Sin duda, la razón de ser de esta última es conseguir

que se aplique una cultura de cumplimiento en la entidad (Torras Coll, 2018, pp.20-21).

10

En cuanto a la cuestión acerca de quién ostenta la carga procesal de probar que se cumplen las

condiciones del art. 31 bis del CP, lo lógico es que quien alegue la eximente sea quien aporte el

programa de compliance para acreditar que concurren los presupuestos para hacerse merecedor de la

exención o atenuación de la responsabilidad penal (Torras Coll, 2018, p.33). Pero, en todo caso, tal y

como establece el TS en STS 221/2016, de 16 marzo, la carga de la prueba del delito investigado

corresponderá a la acusación. Y en caso de duda sobre la concurrencia de alguno de los cuatro

requisitos expuestos, no procede la condena a la persona jurídica (del Moral García, 2017, pp.16-19).

Por su parte, el Chief Compliance Officer, conocido por sus siglas CCO, es el encargado de

dirigir y supervisar con independencia el desarrollo del plan de compliance en la entidad. Así, su tarea

no se limita únicamente a asesorar normativamente en materia penal. Desde el punto de vista jurídico

se entiende que no alcanza la condición ni la posición de garante y, en consecuencia, no debería

responder por los delitos de la persona jurídica a la que asesora, “a excepción de connivencia activa en

la acción delictiva, ya lo fuere como inductor, cooperador necesario o como cómplice” (Torras Coll,

2018, p.23). En cualquier caso, cabe mencionar que, según el art. 31 bis.3 en las personas jurídicas de

pequeñas dimensiones, las funciones de supervisión ─del CCO─ a que se refiere la condición 2.ª del

apartado 2 podrán ser asumidas directamente por el órgano de administración. Y a estos efectos debe

entenderse que son “personas jurídicas de pequeñas dimensiones” aquéllas autorizadas a presentar la

cuenta de pérdidas y ganancias abreviada; esto es, a efectos de este trabajo, todas las microempresas.

Finalmente, deben señalarse las consecuencias penales que se prevén para la persona jurídica.

Están comprendidas en el art. 33.7 CP y son las siguientes: (1) la multa, ex art. 50 CP; (2) la

disolución de la sociedad, regulada en el art. 33.7.b) CP; (3) la suspensión de actividades, en los

términos del art. 33.7.c) CP; (4) la clausura de locales y establecimientos, según se establece en el art.

33.7.d) CP; (5) la prohibición de realizar en el futuro las actividades en cuyo ejercicio se haya

cometido, favorecido o encubierto el delito, ex art. 33.7.e) CP; (6) la inhabilitación para obtener

subvenciones y ayudas públicas para contratar con el sector público y para gozar de beneficios e

incentivos fiscales o de la Seguridad Social, en virtud del art. 33.7.f) CP; o (7) la intervención judicial

(Torras Coll, 2018, pp.24-28). Las sanciones que se dirigen contra las personas jurídicas nunca

conllevan penas privativas de libertad por razones evidentes (del Moral García, 2017, p.20).

En vistas a todo lo expuesto, sin duda, tal y como indica Bacigalupo (2019), “el

reconocimiento de la responsabilidad penal de la persona jurídica ha supuesto el mayor cambio de

paradigma experimentado por el derecho penal en las últimas décadas”.

1.3. El cumplimiento por convicción.

Del Moral García (2017, p.10) afirma que si para motivar conductas se introduce el Derecho

Penal, y de este modo se alienta la política de prevención en las empresas, “se obtendrán globalmente

muchos mejores resultados en la tarea de reducir la delincuencia en el mundo empresarial”. Y es

11

cierto, pero es insuficiente. Se ha demostrado que contar con documentos, códigos o manuales escritos

no basta, sino que se necesita incrementar los esfuerzos por integrar el cumplimiento normativo en la

cultura de la empresa y por monitorizar su desempeño. En este sentido, incluso se podría afirmar que

los programas de compliance “no tienen por objeto evitar la sanción penal de la empresa sino

promover una verdadera cultura ética empresarial” (Ministerio Fiscal, 2016, p.20). Por ello, en

palabras de este mismo Magistrado, “los planes de compliance no pueden convertirse en un mero

salvoconducto o un simple artificio exculpatorio. Es necesario demostrar que efectivamente su

aplicación conduce a generar esa cultura de cumplimiento empresarial” (del Moral García, 2017, p.21).

Y todo ello, como es obvio, ganó fuerza tras la crisis financiera que estalló a mediados del año

2008. Los riesgos asociados al incumplimiento normativo han llevado a que muchas de las grandes

empresas apliquen programas de compliance a todos los niveles, a diferencia de la mayoría de PyMEs.

El objetivo, sin duda, no ha sido otro que el de intentar «humanizar» a la persona jurídica (Torras Coll,

2018, p.5). Pero esto sólo puede lograrse creando una cultura de cumplimiento en la organización; una

cultura que demanda promover la ética, la integridad y las buenas prácticas en toda la entidad,

extendiéndose el esfuerzo de buena fe para cumplir; lo que sitúa a la función del compliance en

sintonía con la Responsabilidad Social Corporativa ─en adelante, RSC─ (Engler, 2016).

Con toda seguridad, el planteamiento de la instauración de una regulación que sancionase la

falta de ajuste del comportamiento observado a la normativa existente fue un gran paso en un primer

momento. Pero lo cierto es que, aun así, continúa siendo realmente difícil tratar de manera efectiva y

ex ante que no haya lugar para la picaresca del engaño o la maquinación, ante la imposibilidad de que

las normas existentes prevean o abarquen todo tipo, no sólo de conductas, sino también de actitudes

individuales posibles en un ámbito tan amplio y complejo como es el corporativo.

Por ello, siguiendo el enfoque del Behavoral Compliance en su vertiente más cercana a la

RSC, lo que resulta verdaderamente eficaz desde un punto de vista estratégico es implementar una

cultura de cumplimiento en las organizaciones con bases éticas sólidas, donde los directivos prediquen

con un ejemplo honesto que se propague en cascada y se proyecte sobre el resto de trabajadores de la

empresa ─Tone of the Top─; con una comunicación efectiva dentro de la entidad y con un sistema de

incentivos que favorezcan unos objetivos propuestos ─que, a su vez, deberán ser específicos,

medibles, alcanzables, relevantes y limitados en el tiempo─. O, dicho de otro modo, resulta coherente

considerar que hay que conseguir que en el ámbito empresarial las personas no actúen de modo parcial

o autointeresado, sino que, por el contrario, su comportamiento se ajuste a unas buenas prácticas; pero,

a su vez, esto debe lograrse por una convicción que se proyecte tanto a nivel personal como a nivel

corporativo, evitando tener que recurrir a la amenaza sancionadora del Derecho Penal como único

estímulo para actuar correcta, adecuada y responsablemente. Y esto no quiere decir que la normativa

en materia de cumplimiento deba desaparecer; al contrario: el hecho de implementar una cultura

empresarial basada en una ética consolidada lo que haría sería volver aún más efectiva a la normativa.

12

2. UN ENTORNO CAMBIANTE.

2.1. Microempresas: presente y futuro del tejido empresarial español.

El término “microempresa” es fundamentalmente un concepto legal. Por ello, no es de

extrañar que aquello que se entiende por “microempresa” pueda variar de un país a otro. La definición

que se inserta en el ordenamiento jurídico español se halla en el artículo 2.3, Título I, del Anexo a la

Recomendación de la Comisión, de 6 de mayo de 2003, “sobre la definición de microempresas,

pequeñas y medianas empresas” (2003/361/CE), y se configura del siguiente modo:

En la categoría de las PYME, se define microempresa como una empresa que ocupa a menos

de 10 personas y cuyo volumen de negocios anual o cuyo balance general anual no supera los

2 millones de euros.

Por su parte, el artículo 4.1 del Real Decreto 1515/2007, de 16 de noviembre, “por el que se

aprueba el Plan General de Contabilidad de Pequeñas y Medianas Empresas y los criterios contables

específicos para microempresas” recoge las circunstancias que han de cumplir las empresas para que

puedan optar por la aplicación de los criterios contables específicos de las microempresas. Estos son:

Que […] durante dos ejercicios consecutivos reúnan, a la fecha de cierre de cada uno de

ellos, al menos dos de las siguientes circunstancias:

a) Que el total de las partidas del activo no supere el millón de euros.

b) Que el importe neto de su cifra anual de negocios no supere los dos millones de euros.

c) Que el número medio de trabajadores empleados durante el ejercicio no sea superior

a diez.

En enero de 2020 había en España 1.133.528 microempresas, lo que supone el 39,25% de la

actividad económica española ─Nº microempresas / (Nº empresas + Nº de autónomos)─ y un 86,3%

del tejido empresarial español ─Nº microempresas / Nº empresas─ (Dirección General de Industria y

de la PyME, 2020, p.1). Así, se pueden encontrar numerosas microempresas en sectores agrícolas y

ganaderos, o en pequeños talleres industriales y artesanos, entre otros, pero, sin duda, predominan en

las distintas actividades del sector terciario y, muy mayoritariamente, entre las start-ups.

Por su parte, las “microempresas” no deben confundirse con los “autónomos” ─que suponen

el 54,36% de la actividad económica española en la misma fecha─. Las tres principales diferencias

entre ambos grupos son que mientras que los autónomos tienen una personalidad física, tienen una

responsabilidad ilimitada y tributan por el Impuesto sobre la Renta de las Personas Físicas; las

microempresas tienen una personalidad jurídica, suelen tener una responsabilidad limitada ─puesto

que generalmente se constituyen mediante SL─ y tributan por el Impuesto de Sociedades.

Lo cierto es que la legislación vigente no especifica prácticamente los requisitos que deben

cumplir los planes de compliance de las microempresas, más allá de la posibilidad de asumir la

13

función de supervisión por parte del órgano de administración en aquellas empresas que pueden

formular una cuenta de pérdidas y ganancias abreviada, en virtud del art. 31 bis.3 del CP. No obstante,

las microempresas tienen personalidad jurídica y, en consecuencia, pueden ─y deberían─ desarrollar

una motivación de prevenir el ilícito penal. Y la cuestión es que ciertas microempresas pueden tener la

sensación de no disponer de los medios o recursos necesarios para afrontar la inversión que comporta

el diseño de un plan de compliance pero, en realidad, la elaboración de un programa de cumplimiento

no sólo es del todo deseable para ellas, sino que, sin duda, es totalmente viable si se está bien

asesorado. Simplemente, habrá que adaptar dicho plan a la actividad y a las necesidades concretas de

la entidad, con especial atención a sus particularidades, como ser verá en el Capítulo II.

En efecto, resulta imprescindible que se establezcan planes de compliance en microempresas

para lograr una adecuada implementación de una cultura de cumplimiento ─en los términos descritos

en el apartado 1.3─ en el tejido empresarial español ─del que, como se ha visto, las microempresas

representan un elevado porcentaje─. Y, en este proceso, debe tenerse muy en cuenta que su reducido

tamaño constituye una fortaleza a explotar para este fin por cuanto este influye de manera positiva en

la instauración de dichos planes, puesto que suelen ser entidades caracterizadas por su flexibilidad y

por una notoria capacidad de adaptación a los cambios que las convierte en organizaciones realmente

versátiles y en las que estos programas de cumplimiento adivinan una enorme proyección.

2.2. Hacia un nuevo paradigma empresarial.

El entorno empresarial se enfrenta actualmente a un cambio de paradigma, dirigido a colocar a

la persona en el centro de la actividad corporativa. Y en una sociedad del conocimiento, este nuevo

paradigma debe permitir generar valor a largo plazo (López Pérez, 2014). Para ello, se precisan tres

requisitos: (1) que el vínculo del trabajador con la empresa se desarrolle en un entorno de seguridad y

de buenas condiciones laborales; (2) que prime la libertad y la autonomía en la ejecución del trabajo

por parte de los empleados y (3) que se alineen los propósitos de los trabajadores con los de la

empresa y se reconozca el progreso y la contribución de cada cual (Pink, 2010).

Durante buena parte del siglo XX, uno de los principales objetivos que guiaban la actividad de

los directivos de Recursos Humanos era que los trabajadores obedecieran las reglas. Sin embargo, en

el siglo XXI, “el reto para estos directivos es conseguir trabajadores comprometidos con la empresa y

que aporten a esta toda su creatividad” (López Pérez, 2014). Sin duda, cada vez más empresas

comienzan a mostrar sensibilidad y responsabilidad ante el impacto que originan sus actuaciones en el

entorno social y medioambiental. Y, para ello, la obtención de beneficios deviene una condición

necesaria para el desarrollo empresarial, pero no suficiente para su adecuado y sostenible desempeño.

En efecto, este nuevo paradigma presenta un nuevo orden de prevalencia de los criterios

empleados en el proceso de toma de decisiones, y de este modo entran en juego apreciaciones tales

como el modo en el que la empresa consigue sus resultados, el impacto empresarial que se proyecta

14

sobre el entorno, o incluso nuevas concepciones del concepto de “éxito” (López Pérez, 2014). Y en el

núcleo del nuevo modelo de relaciones se encuentra no sólo la dignidad del ser humano, sino la

sostenibilidad del entorno en el que la empresa opera.

Esto conduce a la necesidad de abrir un debate social acerca de la ética de las organizaciones,

por tal de ajustar su comportamiento a los principios de honestidad y de responsabilidad. La ética de la

empresa constituye una reflexión sobre las prácticas corporativas, los valores que las inspiran y los

resultados estas que producen en el conjunto de la sociedad. Y, en este sentido, existen tres niveles que

conviene diferenciar y afrontar: (1) la ética imperante en el sistema económico; (2) la ética en las

empresas y (3) la ética de las personas que integran las empresas. Sin duda, la instauración de planes

de compliance que incorporan mecanismos de RSC y que se sigan por convicción se centra en el

segundo nivel, pero sus efectos indudablemente se proyectan también sobre el primero, por

agregación, y sobre el tercero, por concienciación y educación.

Resulta indiscutiblemente necesario el establecimiento real de una política de RSC honesta, y

esto no es sino una manera de responder para con el entorno. No cabe duda de que la concepción

actual de stakeholder ─parte interesada o grupo de interés─ no involucra únicamente a los accionistas,

como propietarios, o a proveedores, clientes, acreedores y deudores, por estar directamente afectados

en términos de interacción empresarial, sino también a todos aquellos colectivos de ámbitos que se ven

afectados por la actividad de la empresa de manera indirecta, como puede ser el conjunto de la

sociedad. En este sentido, la RSC ─que no debe confundirse con “filantropía”─ deriva del desarrollo

de la ética en las empresas, que las impulsa a compartir voluntariamente con la sociedad parte de las

ganancias obtenidas, a minimizar los impactos de su actividad y a trabajar para avanzar en la

implementación de los Derechos Humanos. Lo que caracteriza a la RSC, por lo tanto, es la intención

intrínseca que origina el desarrollo de estas prácticas, que no sólo inciden en el proceso de producción

y de gestión de la empresa, sino que, a su vez, se proyectan sobre el entorno.

Generalmente las empresas instauran una política de RSC por dos motivos: (1) para cambiar

su imagen pública después de un hecho negativo o (2) para mejorar su imagen para ganar en

competitividad. Pero debería haber una tercera, que fuese ex ante, y que se correspondiese con el

convencimiento íntimo, por parte de la dirección y la propiedad de la empresa, de guiarse por unos

principios y unos valores asimilados y compartidos en todos los niveles organizacionales, tales como

la integridad, la confianza, la justicia, el diálogo, la transparencia, la dignidad, la legalidad, el

compromiso cívico, la ecología y la responsabilidad empresarial (Fundación ÉTNOR, 2020).

Se debería, en definitiva, transitar hacia una dirección por valores, cuyos objetivos se

concretasen en (1) conseguir un equilibrio entre la salud económica, la salud emocional de los

integrantes de la empresa y la salud ética de la misma, consiguiendo así tanto una mayor felicidad

interna como una mayor contribución a la sociedad; (2) construir participativamente una idea de

15

proyecto empresarial ilusionante; (3) humanizar la organización y (4) potenciar la legitimación,

cohesión y credibilidad de los propietarios y de la dirección ante sí mismos, ante sus colaboradores y

ante el conjunto de la sociedad. Esto es, debería transitarse de la “persona jurídica” a la “persona

jurídica moral”. Y ello requiere algo más que el mero cumplimiento de la legalidad: se necesita que la

empresa sea responsable, que contemple ampliamente las consecuencias de cada decisión y que, en

consecuencia, las ajuste al respeto de los Derechos Humanos.

Y para ello se necesita proceder a la instauración de una ética en las empresas. El modo de

realizarlo debería ser, en primer lugar, la definición de un conjunto de valores y criterios de actuación,

así como su compromiso de aceptación por parte de todos los integrantes de la empresa, en aras de

detallar su responsabilidad social. Y, en segundo lugar, la creación de instrumentos que sirviesen de

referencia para evaluar y supervisar su instauración, tales como códigos éticos o de buena conducta,

que pueden perfectamente formar parte del plan de compliance, pero que, sin duda, se pueden

complementar con auditorias éticas, con formación ética para trabajadores, o con otros mecanismos

que contribuyan a favorecer su observancia, como, por ejemplo, mediante el establecimiento de

canales internos de denuncias ante el potencial incumplimiento de las buenas prácticas. Y es crucial

que las empresas apliquen estos códigos éticos con carácter universal; esto es, allá donde operen. La

instauración de una ética consolidad en la empresa aumentará la motivación por el trabajo y, en

consecuencia, la satisfacción de los trabajadores; generará cohesión por participar en una misma

cultura de empresa asumida como propia; supondrá una ventaja competitiva, y evitará todos aquellos

comportamientos considerados indeseables. Pero estos efectos positivos sólo serán alcanzables si sus

instauradores creen de verdad en esta cultura empresarial y velan por su propagación con su ejemplo.

Sin duda, la trascendencia social que tiene toda actividad empresarial en el entorno requiere,

bajos estos términos, una combinación de (a) competencia y cooperación; (b) beneficio y justicia, y (c)

crecimiento económico y crecimiento sostenible. Y, en este sentido, las microempresas, junto al resto

de PyMEs, por la flexibilidad que ofrece su relativa sencillez organizativa, por su tamaño, por la

importancia de su presencia en la actividad económica y por su cercanía a los consumidores deben ser

pequeñas pioneras en la gran transición hacia este nuevo paradigma empresarial.

En el siguiente capítulo se presenta, en forma de guía, el método de elaboración de un programa de

cumplimiento. Las indicaciones contenidas en los siguientes apartados conforman pautas y

herramientas para desarrollar una implementación adaptada a las características de las

microempresas. Y la realización de todas ellas puede llevarse a cabo con la ayuda de los formularios

previstos en el Anexo a tales efectos, puesto que constituyen, conjuntamente, una plantilla de plan de

compliance para microempresas.

16

CAPÍTULO II:

GUÍA DE IMPLEMENTACIÓN.

«Me lo contaron y lo olvidé. Lo vi y lo entendí. Lo hice y lo aprendí.»

Confucio.

1. DESCRIPCIÓN Y FUNCIONAMIENTO DE LA ORGANIZACIÓN.

En primer lugar, es necesario detallar la configuración de la microempresa, prestando especial

atención a su estructura. Debe definirse el sector. Además, conviene especificar las áreas de actividad

existentes, así como los procesos de toma de decisiones actuales. Paralelamente a ello, se deben definir

las tareas que realizan cada uno de los integrantes. Un organigrama sería realmente útil para ilustrarlo.

Se trata, al fin y al cabo, de “conocerse a sí mismo” en el presente mediante la realización de un

examen cualitativo y global del modo de funcionar de la entidad. VÉASE ANEXO 1

En segundo lugar, debe definirse cuál es la misión, la visión y los valores de la microempresa.

Estos parámetros guiarán el proceso de elaboración de este plan de compliance, y deberán ser tenidos

en cuenta a la hora de establecer cuál es el objetivo de implementar dicho plan ─qué se pretende

conseguir─ y cómo va a llevarse esto a cabo. Habrá que analizar si los valores de la entidad que han

sido definidos son compartidos por todos los integrantes. El objetivo es que sean aceptados por todos,

con lo cual, si no han sido definidos previamente, resultaría interesante implicar tanto a trabajadores

como a propietarios ─socios─ en su proceso de determinación. En caso de divergencia, deberán

tomarse en consideración las medidas oportunas que permitan incentivar y favorecer el encaje de

aquellos discrepantes con los valores que han sido detallados para llevar adelante el proyecto. Y habrá

que ponderar si el grado de disconformidad, en caso de que exista, es parcial o totalmente contrario a

los valores, puesto que, ante todo, si se pretende instaurar una cultura ética duradera debe evitarse que

una discordancia incida negativamente en el desarrollo ordinario deseado de la propia actividad.

En tercer lugar, deberá señalarse a la persona que supervisará el funcionamiento y el

cumplimiento del modelo de compliance. Este deberá tener iniciativa en este sentido, y autonomía en

su funcionamiento en aras de controlar y comprobar la eficacia del plan, tal y como requiere el art. 31

bis.2.2.ª del CP. Y, en virtud del art. 31 bis.3, al tratarse de una microempresa, estas tareas “podrán ser

asumidas directamente por el órgano de administración”. Con lo cual, tanto el propietario como el

director por designación expresa o de facto podrán ostentar las funciones de CCO, sin perjuicio de que

se decida, en función de las circunstancias específicas del caso concreto, basándose en criterios de

necesidad y adecuación, que sea otro integrante de la empresa quien deba asumir dicha labor.

Finalmente, se debería incluir un análisis del entorno en el que opera la entidad, valorando las

debilidades y fortalezas, a nivel interno, así como las amenazas y oportunidades, a nivel externo.

17

2. LA EVALUACIÓN DE RIESGOS.

Este punto consiste en analizar cada tarea ─o proceso─ llevado a cabo en el seno de la

microempresa desde un punto de vista crítico: se trata de realizar un mapa de riesgos; esto es, de

identificar exhaustivamente los potenciales riesgos asociados a cada una de ellas. Es tarea del Chief

Compliance Officer llevar a cabo este proceso con el objetivo de diseñar aquellos mecanismos de

control que resulten necesarios para prevenir a la organización de la comisión inintencionada de ellos,

asignando los recursos que se precisen a aquellas actividades que conlleven un mayor riesgo. Por

supuesto, el supervisor de este plan de compliance puede, al igual que sucede con empresas de mayor

tamaño, buscar ayuda externa para ello. VÉASE ANEXO 2

En primer lugar, debe describirse, para cada riesgo identificado, en qué consiste éste, y cuál

sería su consecuencia, en caso de que éste tuviera lugar. Y debe asignarse (a) una probabilidad al

hecho de que ocurra o no. O, dicho de otro modo, debe considerarse ¿qué probabilidad hay de que

suceda este riesgo? Debería escogerse una de entre las siguientes probabilidades cualitativas, siendo

ciertamente importante ser realista y prudente en la elección: (1) improbable; (2) poco probable; (3)

probable, y (4) muy probable. Y, paralelamente, habrá que identificar (b) cuán elevada es la gravedad

de dicho riesgo en caso de cometerse. Para ello, deberían contemplarse los siguientes parámetros

cualitativos: (1) leve; (2) medio; (3) grave, y (4) muy grave. En la tercera leyenda del Anexo 2 puede

consultarse el “riesgo actual estimado” hallando la casilla que corresponda a la intersección de ambos

parámetros identificados ─en (a) y (b)─. Además, deberá identificarse y hacerse constar en qué delito

puede incurrir la microempresa en caso de que se manifieste este riesgo contemplado.

Sin duda, resulta imprescindible contar para ello con la colaboración del trabajador/a a cargo

de quien normalmente está dicha tarea o proceso, puesto que al realizarlas habitualmente, no sólo se

ven directamente implicados/as en ellos, sino que además son quienes mejor conocen la realidad

asociada a su práctica diaria. Con lo cual, su conocimiento resulta de gran interés y valor.

Y, en segundo lugar, se debe considerar qué mecanismos de control existen actualmente para

evitar los riesgos potenciales que han sido identificados ─si es que se han previsto anteriormente tales

mecanismos─, así como con qué frecuencia se ejercen. Habiendo tomado esto en consideración, se

debe establecer un “objetivo de riesgo que alcanzar”; esto es, indicar una categoría de riesgo de entre

las previstas en la tercera leyenda del Anexo 2, tomando en consideración que la gravedad del riesgo

en caso de cometerse difícilmente podrá reducirse, puesto que es algo intrínseco; pero que, por el

contrario, la empresa sí que puede incidir activamente en el grado de probabilidad de que este riesgo

ocurra, diseñando nuevos controles específicos, como se verá en el apartado 3 de esta guía. El nivel de

riesgo que se asume como objetivo se determinará mediante la intersección de los parámetros

considerados, tal y como se ha indicado anteriormente para encontrar el “riesgo actual estimado”. Una

correcta efectuación del mapa de riesgos resulta imprescindible para garantizar la eficacia del plan.

18

3. PRE (POTENCIAL) INCUMPLIMIENTO: EL PLAN INTEGRAL DE PREVENCIÓN.

Un plan integral de prevención debe abarcar mucho más que los meros riesgos asociados a

tareas o procesos, como los que han sido identificados previamente. Como se ha indicado en el

Capítulo I, la implementación de un programa de compliance requiere no solamente la aportación e

instauración de herramientas de detección y gestión de riesgos, sino que, sin duda, se necesita el

establecimiento de una cultura empresarial ética. En este sentido, la “prevención específica” hace

referencia al adecuado tratamiento que debe darse a los riesgos que se han contemplado en el apartado

anterior, y la “prevención general” hace referencia a todas aquellas medidas que previenen riesgos

indirectamente y que, por su esencia, contribuyen a la creación de un compromiso ético y sostenible de

cumplimiento corporativo.

3.1. Prevención específica.

A mayor “riesgo actual estimado” de una tarea o proceso, o a mayor diferencia entre el “riesgo

actual estimado” y el “objetivo de riesgo” en el mapa de riesgos, mayor relevancia deberá tener en el

momento de instaurar procesos de control, puesto que su potencial impacto en la empresa será más

perjudicial, ya sea por su mayor probabilidad de que ocurra o por su mayor gravedad intrínseca.

Por ello, habiendo detectado los riesgos, en los términos indicados en el apartado anterior,

procede prestar especial atención al tipo de control que requiere el riesgo en cuestión, entendido esto

como un plan de acción. En primer lugar, conviene considerar cuáles son los mecanismos que mejor se

ajustan a los riesgos identificados en términos de idoneidad en aras de alcanzar la eficacia de su

gestión. Para ello, deberá realizarse una valoración crítica y honesta del rendimiento de aquellos

mecanismos que se han venido observando con anterioridad, si es que han existido. Deberán valorarse

sus puntos débiles y sus puntos fuertes. La intención debe ser el establecimiento, en segundo lugar, de

unos controles que mejoren los puntos débiles y, a su vez, refuercen los puntos fuertes. Y esto puede

llevarse a cabo (1) mediante la mejora de los ya existentes, (2) mediante su sustitución por otros

mecanismos nuevos, o (3) combinando los anteriores con otros nuevamente previstos. Además, deberá

concretarse en qué van a consistir, cómo se van a llevar a cabo, así como con qué frecuencia. Los

controles y sistemas de vigilancia para gestionar dichos riesgos deberán detallarse en un lenguaje claro

y preciso, y deberán ser conocidos por todos los integrantes de la empresa. VÉASE ANEXO 2

Y habiendo concretado cómo reducir el “riesgo actual estimado” y el nuevo modo de proceder

para evitar que estos tengan lugar, debe volver a definirse el riesgo asociado a dicha tarea o proceso.

En este caso, se denominará “riesgo esperado”. El modo de determinarlo se hará mediante la

intersección de los parámetros “probabilidad del riesgo” y “gravedad en caso de cometerse”, previstos

en la tercera leyenda del Anexo 2, usados anteriormente. La metodología operativa de este sistema de

detección y gestión del riesgo ha sido inspirada en la prevista en World Compliance Association, 2019;

si bien, esta ha sido simplificada y adaptada a las necesidades que puede tener una microempresa.

19

3.2. Prevención general.

El enfoque de la prevención general es eminentemente conductual. Por ello, conviene

puntualizar unas recomendaciones actitudinales que deben seguir los trabajadores, pero que, sin duda,

deben incentivarse y motivarse por parte de la dirección de la microempresa. En primer lugar, se

deben examinar los efectos que se derivan de la aversión a perder que objetivamente toda persona, en

mayor o menor medida, experimenta en situaciones de riesgo. Atendiendo a la Teoría Prospectiva

desarrollada por Kahneman y Tversky en el año 1979, las personas se vuelven más arriesgadas cuando

se enfrentan a la amenaza de pérdida de lo que tienen, en comparación con cuando se enfrentan a la

oportunidad de ganar algo de igual valor (Kahneman & Tversky, 1979). Así pues, no alcanzar las

expectativas suele ser procesado como un riesgo de pérdida; y, ante esta situación, psicológicamente

existe la posibilidad de que la persona tienda a realizar actos que en otra situación no hubiera llevado a

cabo, en aras de conseguir los objetivos en cuestión. Por ello, conviene ser conocedor del hecho de que

los comportamientos no deseados son más propensos a observarse cuando a las personas se les

plantean objetivos que están fuera de su alcance, o que realmente son muy difíciles de lograr.

En consecuencia, es necesario que todos los que toman decisiones en la práctica diaria

conozcan este hecho y que, por tanto, se cercioren de que los objetivos planteados ─en forma de tareas

a realizar o actividades a encomendar─ se ajusten a las características SMART ─específicos,

medibles, alcanzables, relevantes y limitados en el tiempo, por sus siglas en inglés─ por tal de que se

cree una dinámica de funcionamiento realista y evitar así incentivar indirecta e incluso

involuntariamente situaciones que provocan actitudes no deseadas. Esto es, en palabras de Rick y

Loewenstein (2008), “hay que evitar que los trabajadores se encuentren en un agujero del que

perciban que el comportamiento deshonesto proporciona el único medio aparente de escape”.

Siguiendo esta línea de análisis conductual en el ámbito empresarial, Langevoort (2015)

identificó una serie de elementos que favorecen la aparición de conductas deshonestas que, del mismo

modo, conviene que sean conocidas por la dirección de la microempresa a fin de crear un clima

empresarial que las impida o que, como mínimo, dificulte activamente su aparición, tales como,

primero, los conflictos de intereses. Debe ponerse especial énfasis en la alineación de los intereses de

los trabajadores con los de la microempresa a fin de evitar comportamientos oportunistas. Segundo, las

condiciones laborales. Uno de los puntos que trata Langevoort es el hallazgo de que “cognitivamente,

ser ético es un trabajo duro”, y que es más probable que aparezcan comportamientos indeseados en

situaciones de agotamiento o de debilidad. En consecuencia, la dirección, en aras de proteger una

cultura ética de comportamiento en el seno de la organización, debe velar por el bienestar de sus

trabajadores, evitando situaciones que les provoquen estrés o cansancio, o bien compensándoles tras

estas, en caso de que realmente sean difíciles de salvar. Tercero, “la sobreponderación de los

beneficios presentes sobre los costos futuros”. Debería establecerse un sistema de incentivos que

contrapesara a las motivaciones intrínsecas de actuar oportunistamente en el presente. Cuarto, lo que

20

denomina “Pendientes Resbaladizas” ─en inglés, “Slippery Slopes”─; y quinto, muy relacionado, el

comportamiento por imitación. En relación con el primer concepto, Langevoort establece que, desde

un punto de vista psicológico, una persona es más propensa a actuar deshonestamente cuando ya ha

actuado deshonestamente en el pasado. Y, respecto del segundo, indica que “el engaño es contagioso”,

especialmente si de ello se derivan una serie de beneficios evidentes para el resto de trabajadores, y si

no se tiene una ética personal sólida. Con lo cual, la dirección debería ser contundente ante el primer

indicio de observación de un comportamiento indeseado, y tratar de evitar actitudes de cierta pasividad

o en las que se manifieste directa o indirectamente una apariencia de ausencia de desaceptación que,

sin duda, no impedirían concluyentemente que volviesen a observarse en el futuro. Y sexto, la

competencia y la competitividad. Se ha demostrado que los comportamientos deshonestos son más

frecuentes en situaciones de intensa competencia. Con lo cual, debería tender a crearse un ambiente

empresarial que primarse e incentivase activa y conscientemente la cooperación. VÉASE ANEXO 4

Por otro lado, la dirección de la microempresa deberá conocer la Teoría Bifactorial de

Herzberg, que establece que existen dos tipos de factores en relación con la motivación del trabajador:

los factores higiénicos ─o extrínsecos─ y los factores motivacionales ─o intrínsecos─. Los primeros

son aquellos que cuando están no motivan especialmente ─o cuya motivación es meramente

temporal─, pero que, sin duda, su ausencia desmotiva; como, por ejemplo, el sueldo, la relación

cordial con los compañeros, el entorno físico del trabajo, la higiene del espacio en el que se trabaja,

etc. Y, por su parte, los segundos son aquellos que, cuando están, motivan realmente, tales como la

autonomía en el trabajo, el propósito personal, el reconocimiento, la responsabilidad, etc (Herzberg

et al., 1959). La dirección de la microempresa debería potenciar los factores motivacionales en el

desarrollo diario de su actividad empresarial y, a la vez, asegurar que los factores higiénicos se

estabilicen y consoliden en un mínimo prudente y sostenido en el tiempo que no desmotive a los

trabajadores. Un trabajador motivado es más difícil que cometa actos deshonestos, indeseados por la

empresa, puesto que aumenta su nivel de implicación en el proyecto empresarial, en todos los sentidos,

incluido el de adecuación ética de su comportamiento. VÉASE ANEXO 5

Por ello, resulta necesario que se establezca una cultura de empresa basada en unas prácticas

éticas que deben ser conocidas, asimiladas, interiorizadas y compartidas por todos y cada uno de los

integrantes. Y para lograr esto se debe establecer, primero, un código ético de la microempresa, que

debe ser sintético y fácil de entender. Segundo, se debe definir cuál será la política de empresa; esto

es, cómo se ajustarán las tareas y actividades diarias al código ético, en relación con el cumplimiento.

Tercero, se deberá diseñar un régimen de incentivos y un régimen sancionador alineados con la

política de empresa y con el código ético instaurado, a fin de motivar que las conductas de los

integrantes de la microempresa se ajusten a las buenas prácticas esperadas y que permitan, en primer

lugar, prevenir riesgos e incumplimientos ─internos y externos─; pero también, en segundo lugar,

premiar a los que adecúan su comportamiento a dichas prácticas ─como el aumento del días de

21

vacaciones al año, el establecimiento de una prima salarial puntual, el reconocimiento público y en la

organización, mejoras en el espacio, entre otros─ y sancionar toda actividad o modo de trabajo que se

desvíe de los estándares éticos previstos. Y en este sentido sería realmente efectivo que se planificase

algún tipo de formación o asesoramiento a los trabajadores ─e incluso a la dirección, si es necesario─

que les permita conocer en detalle de qué trata la nueva política de empresa, cómo se estructura el

código ético y cómo adecuar sus respectivas tareas y actividades a este nuevo enfoque empresarial.

Es imprescindible que en una microempresa haya cohesión ética para que el plan de

compliance sea realmente eficaz. Se dice que “la gente hace trampas menos de lo que podría, pero

más de lo que debería” (Engler, 2016). Sin duda, la prevención general consiste en identificar qué

provoca estos comportamientos indeseados, por tal de adelantarse y evitar que puedan desembocar en

situaciones indeseadas, por un lado, y, por otro, conseguir que la adecuación ética se haga por

convicción y no por imposición; lo cual resulta imprescindible en un plan integral de prevención.

4. LA DETECCIÓN.

La detección se basa en la operatividad de los nuevos controles previstos en la fase de

“evaluación de riesgos” y de “prevención específica”, que pueden hallarse en el Anexo 2. En este

sentido, la principal función que le corresponde a esta fase es la de identificar tanto un riesgo en

concreto como el surgimiento de una situación que conlleve un riesgo asociado, por tal de que el

personal de la microempresa tenga conocimiento de ello y pueda actuar debidamente en consecuencia.

Para ello es imprescindible que la microempresa se plantee: ¿cómo se va a poder saber si ha

habido un incumplimiento? Está claro que los controles son necesarios para prevenir la aparición de

situaciones de riesgo, pero también sirven para detectar cuándo un proceso, tarea o actividad no se ha

ejecutado correctamente. Con lo cual, la principal característica de la “detección” respecto de la fase

de “prevención específica” es que no se trata tanto de instaurar mecanismos de control, sino de

verificar que estos son realmente efectivos en la práctica diaria. Y para ello es necesaria la

monitorización de los controles en aras de conocer si estos están siendo eficaces. VÉASE ANEXO 2

Los controles pueden ser preventivos y correctivos, pero también detectivos. Es importante

incidir también en estos últimos, puesto que serán los que, en última instancia, proporcionarán aviso a

la microempresa de que ha surgido un riesgo. Por ello, se requiere también que se establezca con qué

frecuencia se van a desarrollar estos controles preventivos: ocasional, aleatoria, periódica, permanente,

etc. Sin duda, interesa detectar todo riesgo tan pronto como sea posible, a fin de reducir el impacto que

pueda tener y prevenir peores consecuencias futuras. El trabajador encargado del control de la

actividad en la que surge el riesgo, que puede ─o no─ coincidir con el trabajador encargado de realizar

dicha tarea, deberá comunicar al CCO y a la dirección de la microempresa ─en caso de que estos no

coincidan─ el surgimiento del problema. Y, a su vez, aquél que haya asumido la función de CCO, con

la asistencia del trabajador en cuestión, deberá emprender el plan de mitigación para resolverlo.

22

5. POST-INCUMPLIMIENTO: EL PLAN DE MITIGACIÓN.

El plan de mitigación tiene como objetivo resolver el problema que ha sido detectado,

iniciando un plan de acción encaminado tanto a subsanarlo lo más rápida y efectivamente posible

como a establecer los medios y mecanismos suficientes para evitar su repetición; y, a su vez, impedir

que este influya negativamente en otros sectores o que repercuta directamente sobre los clientes.

El modo en que la empresa tenga previsto actuar cuando surja una situación de riesgo debe

plasmarse en un documento escrito, que constituirá, en sí, el “plan de mitigación” del programa de

compliance asociado a un riesgo previamente detectado. Para ello, deberían haberse detallado las

distintas medidas a adoptar según el riesgo y la tarea o proceso de que se trate, que debería incluir, en

cualquier caso (a) qué se va a hacer (b) quién lo va a hacer y (c) cómo lo va a hacer. En cierto modo, el

plan de mitigación funciona como un cortafuegos a los riesgos que puedan surgir. VÉASE ANEXO 2

Por otro lado, es importante que la microempresa sea consciente de que no siempre es posible

eliminar o minimizar el impacto del riesgo que ha tenido lugar o del incumplimiento observado. Para

esos casos, convendría valorar con anterioridad la utilidad de contratar seguros que, a pesar de que no

acaben con el daño, permitan suavizar el impacto con el que el daño repercuta en la empresa

─generalmente, a nivel económico─. Sin duda, también debe contemplarse la posibilidad de que (a) el

riesgo surgido no hubiese sido contemplado previamente en el plan específico de prevención; (b) el

mecanismo de control previsto no haya funcionado; (c) que los sistemas de detección no hayan sido

eficaces, o (d) que se haya resuelto el problema a través de unos mecanismos no previstos inicialmente

en el plan. Se debe tener en cuenta que el plan de compliance no es algo estático, sino dinámico y, en

consecuencia, algo que está sujeto a constante modificación y mejora. Por ello, es realmente

importante realizar una revisión del protocolo de respuesta tras cada problema detectado. Se deberían

identificar cuáles han sido los puntos fuertes y débiles ─qué ha funcionado y qué no─ y modificar el

Anexo 2. Para su revisión, puede usarse el formulario previsto en el Anexo 3. VÉASE ANEXO 3

En suma, el proceso de respuesta ante la detección de un riesgo o un incumplimiento debería

ser: (1) comunicarlo a los responsables de la microempresa; (2) iniciar el plan de mitigación previsto,

aunque hay margen de improvisación para adaptarlo a las circunstancias concretas, y adoptar toda

medida necesaria para reparar, subsanar o disminuir el daño causado; (3) analizar las causas por las

que no se ha podido prevenir o evitar el problema y realizar una revisión del plan de compliance,

incorporando lo sucedido en el plan de control, si este no se había previsto; (4) reforzar las medidas de

prevención en el ámbito de que se trate, y (5) emprender medidas disciplinarias, si fuera necesario. La

Fiscalía General indica que tanto la evitación en el pasado de otros delitos como la reacción de la

empresa frente a la aparición de la conducta delictiva son pautas para la evaluación de la exención o

atenuación de la responsabilidad penal de la persona jurídica; con lo cual, conviene seguir este proceso

(del Moral García, 2017, p.21).

23

6. LOS CANALES DE COMUNICACIÓN.

Se entiende por canal de comunicación o de denuncias todo medio físico o informático

previsto por la microempresa, a disposición de todo aquél que tenga relación con la entidad ─que

generalmente serán trabajadores, pero que, sin duda, no excluye a directivos, clientes, proveedores,

colaboradores o subcontratados─, para que pueda tanto realizar consultas o sugerencias sobre el plan

de cumplimiento instaurado, como también canalizar información que pueda tener acerca de la

existencia de prácticas contrarias al código ético o a la cultura o política de empresa, a fin de ponerlas

en conocimiento de aquél que ostente la función de CCO, o incluso de la justicia, si fuera necesario.

Se trata de uno de los requisitos que establece el art. 31 bis.5 CP para poder optar a la

exención de responsabilidad; y, en este sentido, se requiere que el hecho de informar, en caso de tener

conocimiento de prácticas deshonestas, se presente como una obligación. Aquél que ejerza las

funciones de CCO deberá recibir información sobre riesgos e incumplimientos a través de estos

canales; y, a su vez, deberá contrastar lo recibido mediante una investigación conducente a la adopción

de medidas preventivas, correctivas o sancionadoras (Torras Coll, 2018, p.22). VÉASE ANEXO 4

Por ello, como se puede apreciar, la figura del whistleblower ─que debe entenderse como un

“delator” o un “alertador”─ adquiere un papel activo y ciertamente relevante en la lucha contra las

prácticas irregulares y de sesgo delictivo que pueden tener lugar tanto en el seno de la organización

como en el desarrollo de su propia actividad. En consecuencia, esta figura debe ser incentivada y

protegida por el propio plan de compliance, “proporcionándole cierto halo de confidencialidad que le

dé un confort suficiente para denunciar la irregularidad detectada” (Torras Coll, 2018, p.8).

7. LA VERIFICACIÓN DEL PLAN.

Finalmente, resulta necesario llevar a cabo revisiones periódicas, de distinta índole, para

analizar si el plan de compliance está funcionando correctamente. Como se ha indicado en el apartado

5, el programa requiere de una continua monitorización y revisión, a fin de mantener a lo largo del

tiempo su eficacia, en relación con su propósito; y estas pueden darse no sólo como reacción ante un

determinado problema que haya surgido, sino también de manera regular. VÉASE ANEXO 3

En este sentido, deberá prestarse especial atención a: (1) la determinación de las medidas para

evaluar la eficacia del plan ─que incluye las herramientas e indicadores para valorar nuevos

potenciales riesgos y nuevos posibles aspectos de mejora─; (2) la posibilidad de realizar auditorías

externas, por tal de someter el plan a verificación por parte de especialistas, y (3) la revisión

permanente, propiamente dicha, que incluiría tanto el examen pormenorizado del funcionamiento

habitual del plan en el marco de la tarea o proceso en el que se desarrolla, como su actualización ante

posibles modificaciones legislativas o ante cambios en la estructura de la empresa, por tal de asegurar

que se mantiene operativo, que se ajusta a la normativa aplicable vigente y que sigue siendo eficaz.

24

CONCLUSIONES.

Los sistemas normativos se caracterizan por contener técnicas de motivación de conductas

cuya observación permite o facilita alcanzar un objetivo social previsto y deseado por el legislador. En

este sentido, la inclusión del art. 31 bis en el CP responde a la necesidad de velar activamente por la

honestidad empresarial y las buenas prácticas corporativas de aquellas personas jurídicas que operan

en España. Y lo incentiva introduciendo la posibilidad de eximir o, en menor medida, atenuar la

responsabilidad penal de la persona jurídica llegado el caso. Con lo cual, este atractivo, consecuencia

de adecuar las prácticas diarias a una serie de normas, constituiría un primer argumento que de hecho

motiva la decisión de cumplir con ellas. Pero es un motivo que se sitúa en un estadio primitivo. El

verdadero fundamento que debería promover la decisión de adecuar el comportamiento empresarial a

unas pautas conductuales íntegras y honestas debería ser la consciencia personal y empresarial de estar

haciendo lo correcto. Esta debería ser la razón genuina acerca de por qué que cumplir.

Por su parte, el compliance se configura, en primer lugar, como una estrategia de defensa

preventiva ante una eventual imputación penal y que, a su vez, trata de evitar los costes reputacionales

asociados a un hipotético riesgo de incumplimiento, que generalmente son de muy difícil ─o incluso

de irreversible─ reparación. Sin duda, pone en valor el compromiso ético de la empresa, fomentando

la credibilidad y fiabilidad ante posibles clientes e inversores, y contribuye a mejorar el control que los

administradores y directivos tienen sobre la organización de la empresa. En segundo lugar, y en

esencia, resulta una herramienta realmente eficaz para prevenir a la empresa de los delitos que puedan

cometer sus empleados y su instauración dota a la entidad de una serie de beneficios en sus relaciones

tanto con la Administración Pública como con otras empresas o entidades de crédito, tales como la

obtención de puntuación adicional para acceder a concursos y licitaciones, o para obtener

subvenciones y ayudas públicas; para acceder más fácilmente a determinadas líneas de financiación;

para acceder al mercado internacional y para contratar con grandes empresas y multinacionales que

exigen a sus proveedores tener implantado un programa de compliance; para favorecer la viabilidad de

operaciones de reestructuración empresarial, e incluso para lograr primas de seguros de

responsabilidad más bajas, entre otros (Torras Coll, 2018, pp.44-45).

Para ello, se han identificado como aspectos primordiales de la implantación de un programa

de compliance ─esto es, como aquellas características con las que todo plan de cumplimiento debería

contar─ lo siguiente: (1) la identificación de las actividades sensibles a la comisión de delitos a

prevenir en el seno de la empresa, que puede llevarse exitosamente a cabo mediante un mapeo

adecuado de riesgos penales y conductuales; (2) la obligación de informar de los posibles riesgos e

incumplimientos al CCO; (3) el establecimiento de canales de denuncia y procedimientos de

investigación interna; (4) la correcta y adecuada asignación y gestión de recursos financieros; (5) el

hecho de disponer de un sistema disciplinario que sancione adecuadamente en caso de

25

incumplimiento; y que, atendiendo a las últimas tendencias del behavioral compliance, puede

complementarse eficazmente con un sistema de incentivos inteligentemente diseñado en aras de

motivar conductas ex ante; (6) la verificación periódica del modelo y su constante actualización y

adaptabilidad a los cambios que puedan surgir tanto en la empresa como en el entorno y que puedan

afectar tanto directamente como indirectamente al correcto, adecuado y legal desarrollo de su

actividad, y (7) la concienciación de la política de cumplimiento mediante planes de formación a

empleados y directivos.

Además, es importante tener en cuenta que un plan de compliance sencillo, adaptado a las

necesidades de las microempresas y relativamente fácil de implementar puede ser la punta de lanza

mediante la cual introducir la Responsabilidad Social Corporativa en estas entidades. Y, en este

sentido, debe ponerse de relieve que, ante la reticencia de algunos empresarios a implementar planes

de compliance, estos no deben ser entendidos como gastos innecesarios, sino como inversiones

trascendentales que aportan un valor añadido a la empresa, que la proyecta hacia una posición

privilegiada en el mercado competitivo y que, sin duda, la sitúa en un primer plano en valor

reputacional.

Se da la paradoja de que la mayoría de empresas que operan en países democráticos no suelen

tener estructuras democráticas. Y esto puede dificultar la instauración de un sistema de valores que

propicie la RSC mediante conductas éticas. Por su parte, aún hoy, el 97% de las PyMEs consideran

que los obstáculos a los que deben hacer frente en la implementación de programas de RSC son las

dificultades económicas asociadas, la desmotivación y el desconocimiento acerca de cómo llevarlo a

cabo (LEITAT, 2010, p.22). Pero, sin embargo, el 82% de sus empleados valora positivamente el

establecimiento y la existencia de códigos éticos y de planes de RSC en sus organizaciones (REPM &

ICADE, 2016, p.11). Con lo cual, habiéndose determinado que la voluntad ya existe, debe primarse la

difusión de que instaurar mecanismos de RSC no es ni algo complejo ni algo que sólo las grandes

empresas puedan llevar a cabo. En efecto, debe transmitirse que empezar con un plan de compliance,

como el que se ha propuesto, supone dar el primer paso en el desarrollo de este proyecto ético y social

que puede mejorar el funcionamiento del entorno económico y corporativo, haciéndolo más justo y

responsable.

26

REFERENCIAS BIBLIOGRÁFICAS.

Bacigalupo, S. (2019). Una cultura empresarial irrenunciable. El País.

https://elpais.com/elpais/2019/08/12/opinion/1565625358_224362.html

Boletín Oficial del Estado. (1995). Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal. Boletin Oficial del

Estado. https://www.boe.es/buscar/pdf/1995/BOE-A-1995-25444-consolidado.pdf

Boletín Oficial del Estado. (2007). Real Decreto 1515/2007, de 16 de noviembre, por el que se aprueba el Plan

General de Contabilidad de Pequeñas y Medianas Empresas y los criterios contables específicos para

microempresas. 1-166.

Centro Tecnológico LEITAT. (2010). Estudio sobre las necesidades y las herramientas que dispone la Pyme para

poder realizar acciones. https://leitat.org/descargas/noticias/ON0008.pdf

Comisión Europea. (2003). Recomendación de la Comisión, de 6 de mayo de 2003, sobre la definición de

microempresas, pequeñas y medianas empresas. Diario Oficial de la Unión Europea, L 124(2003/361/CE), 36-41.

http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2003:124:0036:0041:es:PDF

del Moral García, A. (2017). A vueltas con los programas de cumplimiento y su trascendencia penal. Tribuna, Penal,

Revista de Jurisprudencia. https://elderecho.com/vueltas-los-programas-cumplimiento-trascendencia-penal

Dirección General de Industria y de la PyME. (2020). Cifras PYME. Portal PYME, 1-3. http://www.ipyme.org/es-

ES/publicaciones/Paginas/estadisticaspyme.aspx

Engler, H. (2016). Behavioral compliance : how to stop «good people» from doing bad things. Financial Regulatory

Forum - Reuters. http://blogs.reuters.com/financial-regulatory-forum/2016/08/16/behavioral-compliance-how-to-

stop-good-people-from-doing-bad-things/

Fundación ÉTNOR. (2020). Aplicando la Ética. https://www.etnor.org/aplicando-la-etica/

Herzberg, F., Mausner, B., & Snyderman, B. B. (1959). The Motivation to Work. En New York: John Wiley.

Kahneman, D., & Tversky, A. (1979). Prospect Theory: An Analysis Of Decision Under Risk. Econometrica, 263-291.

Langevoort, D. C. (2015). Behavioral Ethics, Behavioral Compliance. Research Handbook on Corporate Crime and

Financial Misdealing, Jennifer Arlen, ed., Edward Elgar Publishing, Forthcoming. Georgetown University Law

Center. https://ssrn.com/abstract=2651101

López Pérez, R. (2014). El Nuevo Paradigma Empresarial. Cámara Internacional de Empresarios Barcelona - Blog.

http://ciebarcelona.blogspot.com/2014/10/el-nuevo-paradigma-empresarial.html

Miller, G. P. (2016). The Law of Governance, Risk Management, and Compliance (Second Edition). Wolters Kluwer in

New York - Aspen casebook series.

Ministerio Fiscal. (2016). Circular 1/2016, de 22 de enero, sobre la responsabilidad penal de las personas jurídicas

conforme a la reforma del Código Penal efectuada por Ley Orgánica 1/2015. Boletin Oficial del Estado,

Memoria de la Fiscalía General del Estado. https://www.boe.es/buscar/abrir_fiscalia.php?id=FIS-C-2016-

00001.pdf

Pink, D. (2010). Si pagaran por dar sangre, habría menos donantes. La Vanguardia, "La Contra" (07/09/2010).

http://hemeroteca.lavanguardia.com/preview/2010/09/07/pagina-64/82890952/pdf.html?search

Red Española del Pacto Mundial & Cátedra de Ética Económica y Empresarial de ICADE. (2016). Estudio sobre

la percepción de la ética y la RSE en PYMES. https://www.pactomundial.org/wp-

content/uploads/2016/10/Estudio-sobre-la-Percepción-de-la-Ética-y-la-RSE-en-PYMES-2016.pdf

Rick, S., & Loewenstein, G. (2008). The role of emotion in economic behavior. Handbook of Emotions - The Guilford

Press, M. Lewis, J. M. Haviland-Jones, L. F. Barrett (Eds.), 138-156. https://doi.org/10.2139/ssrn.954862

Torras Coll, J. M. (2018). Aspectos procesales de la responsabilidad penal de la persona jurídica. Valoración del

programa compliance.

https://diariolaley.laleynext.es/Content/DocumentoRelacionado.aspx?params=H4sIAAAAAAAEAC2NQWvDM

AyFf818GYw4tOtJlyzHMcoWelds4Rhcq7XlrPn3U9cKHtJDn_Sujco20U3AsY-BXy-

UMZm6Zc7bGabSyAjOFbqXg7Oq3qCThmlkB73t7i6uNOEMneHiqQybTsKC6ZsqWLvfm7rw7xeuMaBEzgO

Wx9_oPYxTp9W_7

World Compliance Association. (2019). Guía de implementación de compliance para pymes.

www.worldcomplianceassociation.com

World Compliance Association.(2020).¿Qué es Corporate Compliance?http://www.worldcomplianceassociation.com

26

27

ANEXOS

MODELOS PARA IMPLEMENTAR EL PLAN DE COMPLIANCE.

I. ANEXO 1: MODELO DE DESCRIPCIÓN Y FUNCIONAMIENTO DE LA ORGANIZACIÓN.

28

DETALLES DE LA MICROEMPRESA ORGANIGRAMA

Nombre

(Insertar aquí)

NIF

Sede social

Otras direcciones

Teléfono(s)

Email(s)

Sector

Actividad(es) 1.

2.

3.

…

Socio(s)/a(s) 1.

2.

3.

…

Estructura

(jerárquica,

horizontal, por

tareas, por

procesos…)

(Descripción)

Toma de

decisiones

(Descripción)

I. ANEXO 1: MODELO DE DESCRIPCIÓN Y FUNCIONAMIENTO DE LA ORGANIZACIÓN.

29

MISIÓN

ANÁLISIS DEL ENTORNO

Origen Interno Origen Externo

DEBILIDADES

AMENAZAS

VISIÓN

VALORES

FORTALEZAS

OPORTUNIDADES

ENCARGADO/A DE LA SUPERVISIÓN DEL PLAN

(asume la función de Chief Compliance Officer)

(Nombre y DNI)

(Firma)

I. ANEXO 1: MODELO DE DESCRIPCIÓN Y FUNCIONAMIENTO DE LA ORGANIZACIÓN.

30

PERSONAL

Nombre Tarea(s)

1. (Conviene otorgar un número a cada tarea. Estos números se usarán como “código de tarea” en el Formulario del Anexo 2)

2.

3.

4.

5.

6.

7.

8.

9.

II. ANEXO 2: MODELO DE EVALUACIÓN DE RIESGOS, PREVENCIÓN ESPECÍFICA, DETECCIÓN Y PLAN DE MITIGACIÓN.

31

Código de

tarea

RIESGO DELITO

ASOCIADO

OBJETIVO DE

RIESGO Descripción Probabilidad Consecuencia Gravedad

(1) (2) (3)

Trabajador/a

encargado/a

CONTROL ACTUAL RIESGO ACTUAL

ESTIMADO Tipo (descripción) Frecuencia

(3)

Trabajador/a

encargado/a

MEJORA O NUEVO CONTROL PREVENTIVO RIESGO

ESPERADO Tipo (descripción) Frecuencia

(Detallar específicamente qué medidas se van a adoptar para prevenir el riesgo)

(3)

CONTROL DETECTIVO

Tipo (descripción) Frecuencia (Detallar específicamente qué medidas se van a adoptar para detectar el riesgo)

PLAN DE MITIGACIÓN OBJETIVOS ESPECÍFICOS

(Detallar específicamente cuál va a ser el protocolo de actuación ante la detección del riesgo)

II. ANEXO 2: MODELO DE EVALUACIÓN DE RIESGOS, PREVENCIÓN ESPECÍFICA, DETECCIÓN Y PLAN DE MITIGACIÓN.

32

(1) Leyenda: TIPOLOGÍA DE PROBABILIDAD DE RIESGO.

PROBABILIDAD DEL RIESGO 1 2 3 4

Improbable Poco probable Probable Muy probable

(2) Leyenda: TIPOLOGÍA SEGÚN NIVEL DE GRAVEDAD.

GRAVEDAD EN CASO DE COMETERSE 1 2 3 4

Leve Medio Grave Muy grave

(3) Leyenda: TIPOLOGÍA DE RIESGOS E ÍNDICE PARAMÉTRICO DE RIESGO ASOCIADO.

PR

OB

AB

ILID

AD

DE

L R

IES

GO

4 Muy probable

ALTO

ALTO MUY

ALTO

MUY

ALTO

3 Probable

MEDIO

MEDIO MUY

ALTO

MUY

ALTO

2 Poco probable

BAJO

MEDIO MEDIO ALTO

1 Improbable

MUY

BAJO

BAJO MEDIO ALTO

Leve Medio Grave Muy

grave

1 2 3 4

GRAVEDAD EN CASO DE COMETERSE

La metodología operativa de este sistema de detección

y gestión del riesgo ha sido inspirada en la prevista en

World Compliance Association, 2019.

III. ANEXO 3: MODELO DE REVISIÓN PERIÓDICA Y DE REVISIÓN EVENTUAL.

33

- REVISIÓN EVENTUAL -

Código de tarea PLAN DE CONTROL PREVENTIVO (evaluación del proceso de prevención).

Trabajador Análisis descriptivo de lo ocurrido Consecuencias

Puntos fuertes Puntos débiles Propuestas de reforma

(¿Qué ha funcionado bien?)

(¿Qué no ha funcionado?) (Corrección/reformulación: deberá revisarse el Anexo 2)

Código de tarea PLAN DE CONTROL DETECTIVO (evaluación del proceso de detección).

Trabajador Análisis descriptivo de lo ocurrido Consecuencias

Puntos fuertes Puntos débiles Propuestas de reforma (¿Qué ha funcionado bien?)

(¿Qué no ha funcionado?) (Corrección/reformulación: deberá revisarse el Anexo 2)

Código de tarea PLAN DE MITIGACIÓN (evaluación del proceso de resolución).

Trabajador Análisis descriptivo de lo ocurrido Consecuencias

Puntos fuertes Puntos débiles Propuestas de reforma (¿Qué ha funcionado bien?)

(¿Qué no ha funcionado?)

(Corrección/reformulación: deberá revisarse el Anexo 2)

III. ANEXO 3: MODELO DE REVISIÓN PERIÓDICA Y DE REVISIÓN EVENTUAL.

34

- REVISIÓN PERIÓDICA –

Código de

tarea REVISIÓN

Código de

tarea REVISIÓN

Trabajador/a encargado/a Riesgo esperado de la tarea Trabajador/a encargado/a Riesgo esperado de la tarea

Valoración del funcionamiento Valoración del funcionamiento

Estado control preventivo Estado control detectivo Estado control preventivo Estado control detectivo

Propuestas de mejora Propuestas de mejora

Fecha de la revisión Riesgo actual estimado Fecha de la revisión Riesgo actual estimado

Fecha anterior revisión Fecha anterior revisión

IV. ANEXO 4: MODELO PARA INSTAURAR EL CÓDIGO ÉTICO Y LOS CANALES DE COMUNICACIÓN.

35

CÓDIGO ÉTICO CANALES DE COMUNICACIÓN

V. ANEXO 5: MODELO PARA EL RÉGIMEN DE INCENTIVOS Y RÉGIMEN SANCIONADOR.

36

COMPORTAMIENTO / CONDUCTA INCENTIVO

ACCIÓN / OMISIÓN / COMPORTAMIENTO / CONDUCTA SANCIÓN