En un entorno empresarial cada vez más regulado y globalizado, contar con un modelo de compliance sólido, adaptable y eficaz es esencial para garantizar el cumplimiento normativo, proteger la reputación corporativa y fomentar una cultura ética.

¿Sería nuestro modelo de compliance capaz de adaptarse a los requisitos del 31 bis del Código Penal español, la FCPA, la UK Bribery Act o la Ley Sapin II?

La verdad es que, aunque el alcance y el objeto de los distintos marcos regulatorios de compliance pueda ser distinto, tienen muchos elementos comunes. Por lo que, teniendo en cuenta los posibles requisitos específicos del marco concreto, el alma del modelo podría ser común.

La clave va a estar en tener un modelo bien estructurado, en el que se puedan identificar claramente estos elementos básicos:

1. Evaluación de Riesgos
2. Políticas, Procedimientos y otros Controles
3. Formación, Comunicación y Cultura
4. Canales de Denuncia y Consulta
5. Diligencia Debida con Terceros
6. Función de Compliance Independiente
7. Cultura de Compliance y Liderazgo Ético
8. Gestión Documental y Evidencia del Cumplimiento

1. Evaluación de Riesgos

Todo modelo de compliance debe partir de una evaluación de riesgos específica. Esto implica identificar, analizar y priorizar los riesgos legales, éticos y operativos a los que está expuesta la organización, teniendo en cuenta su sector, ubicación geográfica, entorno regulatorio, naturaleza de sus actividades, tamaño, etc. No se trata de aplicar un análisis genérico, sino de construir un mapa de riesgos adaptado a la realidad concreta de la empresa. Esta evaluación debe actualizarse periódicamente para reflejar cambios en la actividad, el entorno o las relaciones con terceros, y debe contar con la participación de los mandos intermedios, quienes aportan una visión operativa clave para detectar riesgos reales.

La metodología que empleemos o los riesgos objeto de nuestro análisis podrán ser diferentes, pero este punto de partida es común.

2. Políticas, Procedimientos y otros Controles

Una vez identificados los riesgos, es esencial desarrollar políticas y procedimientos claros que establezcan las normas de conducta esperadas y los mecanismos de control necesarios. Estas políticas deben estar alineadas con los riesgos detectados y redactadas en un lenguaje accesible, evitando tecnicismos innecesarios para asegurar su comprensión en todos los niveles de la organización. Además, deben ir acompañadas de procedimientos operativos que permitan su aplicación práctica y de una matriz de responsabilidades que defina claramente quién es responsable de qué.

Los controles internos deben ser proporcionales al riesgo y diseñados para prevenir, detectar y corregir posibles incumplimientos. No se trata de generar “papeles”.

3. Formación, Comunicación y Cultura

La formación y la comunicación son pilares fundamentales para construir una cultura de cumplimiento sólida. Es necesario ofrecer programas de formación continuos, adaptados a los distintos roles y niveles jerárquicos, que no solo transmitan conocimientos normativos, sino que fomenten la reflexión ética. Estas formaciones deben reforzarse con campañas de comunicación periódicas que mantengan vivo el mensaje del compliance. Además, es clave promover una cultura organizacional basada en la integridad, donde el cumplimiento no se perciba como una carga, sino como un valor compartido.

Nos podemos encontrar con diferencias respecto a la obligatoriedad de la formación, pero incluso en el caso de que no entendiéramos la formación como algo exigible ¿de qué manera plantearías crear una cultura ética en la organización o dar a conocer de manera efectiva la normativa interna?

4. Canales de Denuncia y Consulta

Los canales de denuncia son una herramienta esencial dentro del sistema de compliance, no solo como mecanismo de detección de irregularidades, sino también como expresión de una cultura organizacional basada en la transparencia y la confianza. Para que sean efectivos, deben formar parte de un sistema de comunicación más amplio, abierto y bidireccional, que permita tanto la consulta como la denuncia de posibles incumplimientos. Es fundamental que estos canales sean accesibles, seguros, confidenciales y adaptados a las características de la organización, y que se comuniquen de forma clara a todos los empleados, explicando su propósito y funcionamiento. Además, es clave fomentar un entorno en el que los trabajadores se sientan protegidos frente a represalias y motivados a utilizar estos canales de forma responsable, reforzando la idea de la confidencialidad o el anonimato si así se prefiere, pero sin olvidar la presunción de inocencia y la persecución de las denuncias falsas.

En el entorno europeo, la Directiva Whistleblowing establece unas directrices claras sobre como deben ser estos canales, que además se puede complementar con los requisitos de la ISO 37002:2021, relativa a sistemas de gestión de canales de denuncias (whistleblowing management systems).

5. Diligencia Debida con Terceros

La gestión de relaciones con terceros —proveedores, socios comerciales, agentes o distribuidores— representa un componente crítico del modelo de compliance, ya que muchas veces los riesgos más significativos provienen de fuera de la organización. Por ello, es imprescindible implementar procedimientos de diligencia debida que permitan evaluar la integridad y el historial de cumplimiento de cualquier tercero antes de formalizar una relación. Esta evaluación debe considerar factores como la ubicación, el tipo de servicio, la exposición a corrupción o sanciones, y debe documentarse adecuadamente. Además, los contratos deben incluir cláusulas específicas de cumplimiento que establezcan obligaciones claras, derechos de auditoría y consecuencias ante incumplimientos. Una vez establecida la relación, es fundamental mantener una supervisión activa mediante revisiones periódicas, análisis de comportamiento y actualización de la información, asegurando así que los terceros sigan alineados con los estándares éticos y legales de la organización.

La diligencia debida con terceros es un componente clave en muchos modelos y las normativas de sostenibilidad (pese a los cambios) han impulsado su desarrollo.

6. Función de Compliance

Es fundamental garantizar la independencia funcional del área de compliance, asegurando que opere con autonomía respecto a las unidades operativas y que tenga acceso directo al órgano de gobierno. Además, debe contar con recursos suficientes, tanto humanos como tecnológicos y financieros, que le permitan desarrollar sus funciones con eficacia y responder a los desafíos del entorno regulatorio. Igual de importante es el acceso a datos relevantes y herramientas de análisis, que permitan al equipo de compliance identificar patrones, anticipar riesgos y evaluar la efectividad del modelo. Este respaldo institucional no solo fortalece la función, sino que envía un mensaje claro a toda la organización sobre la importancia estratégica del cumplimiento.

Sin una función de compliance independiente y capacitado, ningún modelo va a ser capaz de ser eficaz.

7. Cultura de Compliance y Liderazgo Ético

Construir una cultura de compliance va más allá de establecer normas: implica integrar los valores éticos en el día a día de la organización. Para lograrlo, es fundamental mostrar el compromiso de la alta dirección y promover un liderazgo ético que actúe como referente, incorporando el cumplimiento como parte natural del proceso de toma de decisiones. Esto requiere formar a los líderes en principios éticos, medir periódicamente la cultura organizacional y valorar la percepción que los empleados tienen del modelo, con el fin de identificar áreas de mejora.

Sin el compromiso de la alta dirección no es posible tener una cultura ética coherente.

8. Gestión Documental y Evidencia del Cumplimiento

Un modelo de compliance eficaz debe estar respaldado por una gestión documental rigurosa que permita evidenciar todas las actividades realizadas. Esto incluye mantener registros detallados y actualizados de las evaluaciones de riesgos, sesiones de formación, investigaciones internas, medidas disciplinarias, revisiones de políticas y cualquier otra acción relacionada con el cumplimiento. Esta trazabilidad no solo facilita la supervisión y auditoría del modelo, sino que también refuerza su credibilidad.

Las evidencias son la mejor manera de demostrar que tenemos un modelo de compliance vivo.