El Compliance Officer: guardián ético de la empresa

autor artículo club cámaraJuan Ramón Pérez Campos
Director Financiero de Rapinformes

El Compliance Officer: guardián ético de la empresa

El cumplimiento normativo, o compliance, es un concepto que ha cobrado relevancia creciente en el ámbito empresarial y jurídico debido a la necesidad de alinear las actividades corporativas con la legislación vigente y los estándares éticos.

Dentro de este contexto, el Compliance Officer (CO) se erige como una figura clave para garantizar la integridad, transparencia y sostenibilidad de las organizaciones. Este artículo ofrece un análisis detallado y ampliado de los aspectos fundamentales del compliance, el rol del Compliance Officer, y su interacción con la normativa aplicable, incluyendo aspectos como la responsabilidad penal de la persona jurídica, el canal de denuncias interno y la protección a los informantes.

1. El Compliance Officer: Naturaleza y Funciones

El Compliance Officer es el profesional encargado de supervisar la implementación, gestión y vigilancia de los programas de cumplimiento normativo en las organizaciones. Más allá de ser un simple gestor de riesgos legales, su función tiene una dimensión ética, al fomentar una cultura corporativa que privilegia el respeto a la legalidad y los principios éticos sobre la mera obtención de beneficios. La Circular 1/2016 de la Fiscalía General del Estado destaca su papel como garante en la prevención de infracciones penales en el seno de las empresas.

Entre las principales funciones del Compliance Officer se encuentran:

  • Identificación de riesgos: El CO debe evaluar los riesgos inherentes a las actividades de la organización y desarrollar mapas de riesgos que faciliten la identificación de posibles incumplimientos.
  • Desarrollo de medidas de control: Diseña y supervisa los controles necesarios para mitigar los riesgos identificados, asegurándose de que sean adecuados y proporcionales a la actividad de la organización.
  • Gestión del canal de denuncias interno: Este mecanismo permite a los empleados informar de manera confidencial y segura sobre posibles irregularidades, fortaleciendo la transparencia interna.
  • Formación y comunicación: El CO se encarga de promover la concienciación sobre compliance mediante programas de formación adaptados a los diferentes niveles de la organización, como se detalla en los estándares UNE-ISO 19601 , que destacan la importancia de la formación como herramienta para prevenir delitos y extender la cultura ética en todos los niveles jerárquicos.
  • Reporte a la alta dirección: Comunica periódicamente el estado del programa de cumplimiento, asegurándose de que la alta dirección y el órgano de administración adopten medidas adecuadas.

Adicionalmente, la eficacia de un Compliance Officer también depende de sus competencias personales, como la capacidad analítica, la empatía, la independencia y un profundo conocimiento del negocio.

2. Responsabilidad Penal de la Persona Jurídica y del Compliance Officer

La reforma del Código Penal español mediante la Ley Orgánica 1/2015 introdujo la responsabilidad penal de las personas jurídicas, que puede ser atenuada o exonerada si la empresa ha implementado eficazmente un modelo de prevención de delitos. En este contexto, el Compliance Officer desempeña un papel crucial.

2.1. Exoneración y Atenuación de la Responsabilidad Penal

Según el artículo 31 bis del Código Penal, para que una persona jurídica pueda quedar exenta de responsabilidad penal, debe cumplir con los siguientes requisitos:

  1. Haber adoptado y ejecutado con eficacia, antes de la comisión del delito, modelos de organización y gestión que incluyan medidas de vigilancia y control idóneas para prevenir delitos o reducir significativamente su riesgo.
  2. Delegar la supervisión del modelo de prevención a un órgano con poderes autónomos de iniciativa y control, como el Compliance Officer.
  3. Asegurar que el delito ha sido cometido eludiendo fraudulentamente los modelos de prevención implementados.
  4. Garantizar que no ha existido omisión o insuficiencia en la supervisión.

Además, en sentencias como la STS 154/2016 y STS 316/2018, se insiste en la relevancia de contar con una cultura corporativa de respeto al derecho, lo que incluye medidas concretas de vigilancia y control para evitar la comisión de delitos por parte de empleados y directivos.

2.2. Responsabilidad del Compliance Officer

El Compliance Officer no puede ser considerado responsable penalmente por el simple ejercicio de sus funciones, pero podría incurrir en responsabilidad si omite gravemente sus deberes de supervisión o participa activamente en un delito. La figura de la comisión por omisión es relevante en este contexto, como se ejemplifica en el caso del Tribunal Federal Alemán, que en 2009 condenó a un director de cumplimiento por no corregir irregularidades detectadas en su ámbito de competencia.

Esta responsabilidad también se aplica en delitos específicos como el blanqueo de capitales, donde el Compliance Officer debe identificar riesgos financieros y establecer controles efectivos, según lo estipulado en el artículo 302 del Código Penal. En este tipo de delito, el CO desempeña un papel vital en la implementación de medidas de control interno, que aborden aspectos como la trazabilidad de las transacciones financieras y la identificación de operaciones sospechosas. La falta de estas medidas no solo puede facilitar la comisión del delito, sino también trasladar responsabilidad penal, a la persona jurídica y al propio oficial de cumplimiento, si se demuestra negligencia en la implementación de las mismas.

2.3. El compliance officer y el mapa de riesgos

El mapa de riesgos es fundamental, ya que plasma los riesgos de manera gráfica y entendible, con el fin de disponer de toda la información necesaria para el diseño de medidas de vigilancia y control, idóneas y eficaces, que permitan reducir el riesgo de comisión de delitos. La base de la función de compliance, es el control de estos riesgos, por lo que es esencial conocer el mapa de riesgos de la organización.

Los ámbitos que estarán bajo la responsabilidad del compliance officer, serán aquellos relacionados con normas de conducta que deben aplicarse a las distintas actividades desarrolladas por la entidad, siendo aquellos en los que reside una mayor probabilidad de riesgo.

El compliance officer debe ser necesariamente un órgano de la persona jurídica, lo que facilita el contacto diario con el funcionamiento de la corporación. Esto no implica que este órgano deba desempeñar todas las tareas relacionadas con el cumplimiento normativo, ya que otras unidades de la organización pueden ser responsables de funciones específicas, como la prevención del blanqueo de capitales, la protección de datos o el cumplimiento en los planes de igualdad.

Compliance Officer

3. La Importancia del Canal de Denuncias Interno

El canal de denuncias es un pilar fundamental del compliance efectivo. Su correcta implementación permite identificar irregularidades de manera temprana, evitando así consecuencias legales y reputacionales para la organización.

3.1. Características del Canal de Denuncias

Según la Ley 2/2023, reguladora de la protección de los informantes, el canal debe garantizar:

  • Confidencialidad: Protegiendo la identidad del denunciante.
  • Accesibilidad: Disponible para empleados y terceros relacionados con la organización.
  • Anonimato: Opcional para el denunciante, aunque recomendable en muchos casos.
  • Gestión independiente: Idealmente administrado por un tercero para evitar conflictos de interés.

3.2. Protección de los Informantes

El término anglosajón whistleblowing se identifica con el denominado canal de denuncias interno.

En términos de la STS 35/2020, de 6 de febrero, “los canales de denuncia deben permitir que las personas denuncien por escrito y que lo puedan hacer por correo, a través de un buzón físico destinado a recoger denuncias o a través de una plataforma en línea, ya sea en la intranet o en internet, o que denuncien verbalmente, por línea de atención telefónica o a través de otro sistema de mensajería vocal, o ambos… Los procedimientos de denuncia interna, deben permitir a entidades jurídicas del sector privado, recibir e investigar con total confidencialidad denuncias de los trabajadores de la entidad y de sus filiales (en lo sucesivo, «grupo»), pero también, en la medida de lo posible, de cualquiera de los agentes y proveedores del grupo y de cualquier persona que acceda a la información a través de sus actividades laborales, relacionadas con la entidad y el grupo.”

El whistleblowing se identifica con el canal de denuncias interno de una entidad jurídica, mediante el cual los trabajadores tienen la posibilidad de denunciar de manera anónima ciertas irregularidades cometidas por sus superiores o compañeros. Los trabajadores que participan en la denuncia de irregularidades cometidas por la empresa y que utilizan para ello los canales de denuncia internos previstos son denominados whistleblowers. Estos whistleblowers (quienes “tocan el silbato”) son aquellos trabajadores que, creyendo que el interés público debe prevalecer sobre el interés de la organización, revelan a través del canal de denuncias interno que la entidad está llevando a cabo una actividad corrupta, ilegal, fraudulenta o perjudicial.

Los canales de denuncia o whistleblowing constituyen los medios idóneos para el encauzamiento de la notitia criminis, ya que los informantes o denunciantes (whistleblowers) son el cauce más importante para descubrir delitos de fraude cometidos en el seno de organizaciones.

La principal razón por la que los trabajadores, que tienen conocimiento de prácticas delictivas en su empresa o entidad pública, no proceden a denunciar, es que no se sienten suficientemente protegidos contra posibles represalias, provenientes del ente cuyas infracciones denuncian.

En fecha 13 de marzo de 2023 entró en vigor la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, que transpuso al ordenamiento jurídico español la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión, también conocida como la Directiva Whistleblowing.

El objetivo de la Ley 2/2023 es ampliar la protección reforzada de los informantes (whistleblowers) establecida por la Directiva europea Whistleblowing. Esta ley es de aplicación a todos los informantes que trabajen en el sector privado o público y que hayan obtenido información sobre irregularidades en un contexto laboral o profesional.

La Ley 2/2023 refuerza un sistema compuesto por diferentes mecanismos que están al alcance del informante para la denuncia de las infracciones cometidas en el seno de una institución pública o entidad privada. Los tres mecanismos son: el sistema interno de información, el canal externo de información y la revelación pública.

El artículo 2 de la citada Ley prevé como ámbito material de aplicación “La presente ley protege a las personas físicas que informen, a través de alguno de los procedimientos previstos en ella, de: a) Cualesquiera acciones u omisiones que puedan constituir infracciones del Derecho de la Unión Europea; b) Acciones u omisiones que puedan ser constitutivas de infracción penal o administrativa grave o muy grave. En todo caso, se entenderán comprendidas todas aquellas infracciones penales o administrativas graves o muy graves que impliquen quebranto económico para la Hacienda Pública y para la Seguridad Social.”

4. Formación y Comunicación en el Ámbito del Compliance

La formación y la comunicación son herramientas esenciales para consolidar una cultura de cumplimiento. La UNE-ISO 37301 enfatiza que la eficacia del compliance depende de la integración de sus principios en todos los niveles de la organización.

4.1. Diseño de Planes de Formación

Un programa de formación debe ser adaptativo y accesible, contemplando:

  • Contenidos actualizados: Riesgos penales, medidas de prevención y canales de denuncia.
  • Metodologías participativas: Gamificación, debates y simulaciones.
  • Evaluación continua: Controles de asistencia y pruebas de aprovechamiento.

Además, los planes deben incluir aspectos prácticos como la aplicación del código ético y los procedimientos ante incidencias específicas, asegurándose de que los empleados entiendan cómo actuar. Esto resulta crucial en sectores con alto riesgo de delitos económicos como el blanqueo de capitales o el financiamiento al terrorismo, donde las organizaciones deben asegurar que su personal sea capaz de detectar y actuar frente a operaciones irregulares.

4.2. Estrategias de Comunicación

La comunicación eficaz refuerza el compromiso de la organización con el compliance. Debe ser:

  • Clara y concisa: Evitando ambigüedades.
  • Multicanal: Aprovechando herramientas digitales y eventos presenciales.
  • Periódica: Con revisiones y recordatorios frecuentes.

La participación activa de la alta dirección en la comunicación del cumplimiento, conocido como “tone from the top”, también es un factor clave para consolidar la credibilidad y la eficacia de los programas. Este enfoque debe complementarse con “tone at the middle”, asegurando que los mandos intermedios transmitan los valores éticos y de cumplimiento a sus equipos de manera efectiva.

 

El cumplimiento normativo, o compliance, se ha convertido en una pieza clave para las empresas que buscan operar de manera ética, transparente y conforme a la ley. 

Contribuye a crear una cultura organizacional que no solo cumple con las normativas vigentes, sino que también promueve prácticas empresariales éticas y responsables, posicionando a la empresa, como un actor comprometido con la legalidad, la transparencia y el respeto a los derechos de todos los stakeholders involucrados.

Compartir este contenido:

Artículo publicado el 30/04/2025