Materiales para la Certificación CESCOM Junio 2024 PDF

Summary

Estos materiales incluyen módulos sobre Compliance en las organizaciones, la relación con la ética, la norma ISO 37301, buenas prácticas y más. Están dirigidos a la preparación de la Certificación CESCOM de Junio 2024.

Full Transcript

Materiales para
la preparación
de la Certificación CESCOM
Junio 2024

© ASCOM. Prohibida la distribución o reproducción total o
parcial de estos materiales sin el consentimiento de ASCOM.

9 788409 628520
 ÍNDICE DE CONTENIDOS

Presentación 9

Módulo 1 Introducción a la función de Compliance en las organizaciones 11
1. Introducción 12
2. Origen y evolución de la función de Compliance 14
3. Definición de “Compliance” 20
4. El propósito de la función de Compliance 23
5. Responsabilidades de la función de Compliance 24
6. Requisitos para establecer una función de Compliance 27
7. Principales elementos de un programa de Compliance eficaz 30
8. Estándares o marcos de referencia para sistemas de Compliance 34
9. Resumen del módulo 44

Módulo 2 La relación entre ética y Compliance 46
1. Introducción 47
2. Origen y evolución de la ética empresarial 48
3. Orígenes y desarrollo de la ética empresarial 52
4. Principales teorías que se aplican a la ética empresarial 63
5. El valor añadido que aporta una gestión ética de las organizaciones 68
6. Ética Empresarial y Compliance 70
7. Resumen del módulo 75

Módulo 3 Norma ISO 37301. Sistemas de gestión de Compliance. Requisitos 76
con orientación para su uso
1. Introducción 77
2. Estructura 79
3. Objeto y campo de aplicación 81
4. Definiciones 81
5. Contexto de la organización 82
6. Liderazgo 86

CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 2
 ÍNDICE DE CONTENIDOS

7. Planificación 92
8. Apoyo 93
9. Operación 95
10. Evaluación del desempeño 97
11. Mejora 100
12. Resumen del módulo 101

Módulo 4 Buenas prácticas de la función de Compliance 102
1. Introducción 103
2. Liderazgo y cultura de Compliance 104
3. Las tres líneas de defensa 127
4. Plan anual de Compliance 131
5. Información y reporte 137
6. Resumen de módulo 145

Módulo 5 Responsabilidad social y buen gobierno corporativo 147
1. Introducción 148
2. Responsabilidad social corporativa 149
3. Buen Gobierno Corporativo 169
4. Resumen de módulo 209

Módulo 6 El Compliance Officer 211
1. Introducción 212
2. Puestos y estructuras relacionadas con la función de Compliance 213
3. Roles y responsabilidades del CO 219
4. Competencias y habilidades del CO 223
5. Características y requisitos de la función de Compliance 227
6. Relación de Compliance con otros departamentos 236
7. Resumen de módulo 240

CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 3
 ÍNDICE DE CONTENIDOS

Módulo 7 Gestión de riesgo de Compliance 242
1. Introducción 243
2. El papel estratégico de la gestión de riesgos y cómo abordarla 244
3. Definición de riesgos de Compliance 248
4. Gestión de riesgo de Compliance según la norma ISO 31000 251
5. Diligencia debida y prevención de conflictos de intereses 269
6. Resumen del módulo 293

Módulo 8 Normativa interna de las organizaciones 295
1. Introducción 296
2. Código de conducta, políticas y procedimientos 297
3. Autorregulación y Compliance 314
4. Resumen del módulo 325

Módulo 9 Canales de denuncia e investigaciones 326
1. Introducción 327
2. Denuncia de irregularidades: antecedentes y definiciones 328
3. Regulación de los canales de denuncias en España y en la UE 333
4. Derechos del denunciante y denunciado 346
5. ISO 37002 - Sistemas de gestión de la denuncia de irregularidades. Directrices. 355
6. Proceso de gestión del canal de denuncias 365
7. Medidas disciplinarias e incentivos 374
8. Resumen del módulo 376

Módulo 10 Comunicación, formación y sensibilización 377
1. Introducción 378
2. Comunicación 379
3. Formación 388
4. Sensibilización 400
5. Resumen del módulo 402

CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 4
 ÍNDICE DE CONTENIDOS

Módulo 11 Monitorización de Compliance 403
1. Introducción 404
2. Procedimientos internos de monitorización 406
3. Plan de monitorización de Compliance 413
4. Ejecución de la monitorización 415
5. Resumen del módulo 422

Módulo 12 Prevención del riesgo penal de las personas jurídicas 423
1. Introducción y antecedentes relevantes 424
2. La responsabilidad penal de la persona jurídica en el Código Penal español 432
3. Diseño e implantación de un modelo de organización y gestión eficaz para la 453
prevención de delitos de las personas jurídicas

4. Norma UNE 19601:2017 sobre Sistemas de Gestión de Compliance penal 468
5. Resumen del módulo 489

Módulo 13 Prevención del soborno y de la corrupción 491
1. Introducción y antecedentes relevantes 492
2. Principales aspectos de un programa de Compliance anticorrupción 497
3. Resumen del módulo 521

Módulo 14 Prevención del blanqueo de capitales y financiación del terrorismo 523
1. Introducción 524
2. Antecedentes y conceptos 525
3. La regulación sobre la prevención del blanqueo de capitales 538
4. Organismos relacionados con la prevención del blanqueo de capitales, la 546
financiación del terrorismo y de la proliferación

5. Fases del blanqueo de capitales, financiación del terrorismo y de la proliferación 551
6. Normativa española en materia de prevención del blanqueo de capitales y 561
financiación del terrorismo

7. Procedimiento sancionador 598
8. Resumen del módulo 602

CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 5
 ÍNDICE DE CONTENIDOS

Módulo 15 Defensa de la competencia 604
1. Introducción 605
2. Contexto normativo 606
3. Conceptos básicos en materia de defensa de la competencia 613
4. Diseño e implantación de un programa de Compliance de defensa de la 638
competencia

5. Resumen del módulo 644

Módulo 16 Prevención del abuso de mercado 646
1. Introducción 647
2. Información privilegiada 649
3. Manipulación de mercado 659
4. Comunicación de operaciones sospechosas de abuso de mercado 662
5. Resumen del módulo 665

Módulo 17 Protección de datos y privacidad 666
1. Introducción 667
2. Principios y normativa de referencia 668
3. Conceptos básicos en materia de protección de datos 670
4. Registro de las actividades del tratamiento (R.A.T) 674
5. Plazos de conservación de los datos personales 677
6. Procedimientos de obtención de datos personales 683
7. Procedimientos especiales de obtención de datos 687
8. Comunicaciones comerciales electrónicas 690
9. El Delegado de Protección de Datos 693
10. Tratamiento de datos por cuenta de terceros 699
11. Seguridad del tratamiento 700
12. Evaluaciones de impacto relativas a la protección de datos 701
13. Infracciones y sanciones 704

CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 6
 ÍNDICE DE CONTENIDOS

14. Resumen del módulo 707

Módulo 18 Protección al consumidor 709
1. Introducción 710
2. Defensa de consumidores y usuarios 712
3. Protección del cliente en el ámbito de los servicios financieros 727
4. Resumen del módulo 753

Módulo 19 Compliance en el sector público 755
1. Introducción 756
2. Definición y alcance de sector público 757
3. La función de Compliance en el sector público 759
4. Justificación de modelos de integridad en el sector público 762
5. Principales riesgos que hay que gestionar en el sector público 764
6. Principales retos y dificultades 766
7. Recomendaciones 769
8. Resumen del módulo 773

Módulo 20 Compliance en la era digital 774
1. Introducción 775
2. Antecedentes y conceptos 776
3. Normativa de referencias 795
4. Riesgos, amenazas y medidas de control 808
5. Políticas internas en este ámbito 815
6. Mecanismos de prevención 827
7. Desconexión digital 833
8. Resumen del módulo 834

CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 7
 PRESENTACIÓN

Presentación en cualquier tipo de organización. De esta
manera, las organizaciones que contraten a
Es para mí un placer presentar la novena personas que hayan obtenido la certificación
edición de nuestros materiales para la CESCOM® tendrán la garantía de que dichas
preparación de la Certificación de Compliance personas tienen suficientes conocimientos
CESCOM®, emitida por la Asociación Española para ejercer la función de Compliance.
de Compliance (ASCOM).
Las personas que superen con éxito el examen
ASCOM es una asociación profesional sin recibirán por correo electrónico el diploma
ánimo de lucro, constituida en mayo de de la certificación CESCOM® y su nombre y
2014, que nació de la iniciativa de un grupo apellidos serán publicados en la página web de
de personas con amplia experiencia en el ASCOM en un listado en el que figuran todas
ejercicio de la función de Compliance con las personas que han obtenido la certificación.
el objetivo de profesionalizar dicha función Adicionalmente, la certificación CESCOM® está
en España. Persiguiendo este objetivo, la homologada con las certificaciones emitidas
Junta Directiva de ASCOM fijó como uno de por las asociaciones miembro de la International
los objetivos prioritarios de la asociación Federation of Compliance Associations (IFCA),
la creación de una certificación profesional de la cual es miembro ASCOM. Por ello, las
de Compliance, objetivo que fructificó en la personas que superen el examen de CESCOM®
Certificación de Compliance CESCOM®, cuya obtendrán también la acreditación de
primera convocatoria tuvo lugar en el mes de Internationally Certified Compliance Professional,
julio de 2016. Desde entonces se han celebrado reconocida por las asociaciones miembro de
un total de dieciséis convocatorias para los IFCA.
exámenes, en las que se han inscrito más de
cuatro mil quinientas personas. El buen funcionamiento del proceso de la
certificación se garantiza por parte del Comité
La Certificación de Compliance CESCOM®, Académico de las Certificaciones de ASCOM,
emitida por la Asociación Española de del que forman parte personas cuya misión
Compliance ASCOM, es una certificación es aportar rigor, transparencia, objetividad e
profesional que acredita que las personas imparcialidad en todas las fases del proceso.
que la obtienen cuentan con suficientes
Estos materiales han sido elaborados con el
conocimientos profesionales en el ámbito
objetivo de ayudar a los profesionales que
de Compliance en el momento en el que se
estén interesados en obtener la certificación
adquiere la certificación.
CESCOM®, para que puedan adquirir o reforzar
La certificación CESCOM® constituye un conocimientos sobre las materias más
estándar profesional que permite conocer, relevantes que debe conocer un Compliance
ampliar y actualizar permanentemente los Officer.
conocimientos necesarios para desarrollar con
El examen para la obtención de la certificación
solvencia y eficacia la función de Compliance
CESCOM® se basa íntegramente en el

CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 8
 PRESENTACIÓN

contenido de estos materiales, que han sido En nombre de toda la Junta Directiva de
elaborados por profesionales especialistas en ASCOM, quiero desear mucha suerte y los
cada uno de los ámbitos de los veinte módulos mejores éxitos a todos los profesionales que
en los que están divididos. En su elaboración se presenten al examen de la certificación
hemos intentado, en la medida de lo posible, CESCOM® y decirles que todos nosotros
evitar duplicidades o reiteraciones, si bien nos ponemos a su disposición para
cada módulo debe entenderse de forma cualquier consulta o sugerencia que quieran
individual por lo que, dada la interrelación de plantearnos.
las materias tratadas en los distintos módulos,
es posible que determinados aspectos se
traten en varios capítulos. José F. Zamarriego
Presidente de la Junta Directiva de ASCOM
En nuestro ánimo de mejora continua, cada
año procedemos a realizar una actualización
de los materiales en los que se basa la
certificación CESCOM®, corrigiendo posibles
erratas, actualizando los contenidos con las
novedades que se hayan podido producir
y revisando en profundidad los contenidos
de determinados módulos. Todo ello con el
objetivo de que la Certificación de Compliance
CESCOM® continúe siendo el principal
referente en el ámbito de Compliance para los
profesionales y los empleadores en España.

En esta novena edición se ha realizado una
revisión integral de los contenidos y de los
materiales. Manteniendo el formato y el
contenido de los materiales, con una parte
inicial de objetivos y una final de resumen
en cada módulo, incorporando elementos
visuales que hacen más atractiva y entendible
su lectura, aumentando el número de casos
de estudio y otras mejoras que creemos que
añaden valor al documento. Quiero agradecer
muy especialmente a Moisés Medina su
participación en la elaboración de esta novena
edición y los materiales en preparación de la
Certificación de Compliance CESCOM®, que ha
realizado con gran rigor y profesionalidad.

CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 9
Módulo 1

Introducción a la
función de Compliance
en las organizaciones
 MÓDULO 1 INTRODUCCIÓN A LA FUNCIÓN DE COMPLIANCE EN LAS ORGANIZACIONES

Módulo 1 a las normas básicas de la sociedad, tanto las
consagradas en la ley como en la costumbre
Introducción a la función ética”.
de Compliance en las Ambas afirmaciones parecen naturales y
organizaciones lógicas: el objetivo de los negocios es obtener
un beneficio y maximizarlo. Sin embargo, este
Objetivos no constituye un objetivo absoluto, sino que
tiene algunos límites. En su artículo, Friedman
Tras completar este módulo, el alumno deberá
circunscribía dichos límites a los señalados por
ser capaz de:
las leyes y las costumbres.

Conocer los antecedentes históricos de la La realidad es que la persecución del beneficio
función de Compliance y su contexto, así como en el mundo corporativo ha significado, a lo
algunas de las referencias normativas clave
largo de la historia, la ejecución de actividades
de su origen y evolución.
poco éticas, cuando no abiertamente
Definir la función de Compliance y sus reprobables e ilegales.
características principales.

Conocer el propósito de la función y los La proliferación de escándalos corporativos y
elementos principales de un programa de su impacto en la economía, en la confianza de
Compliance eficaz. los inversores y en la opinión pública, llevó a los

Identificar algunos de los marcos de gobiernos a tratar de remediar esta situación
referencia más conocidos para los sistemas mediante la adopción de leyes y diferentes
de Compliance. regulaciones. Así, trataban de proteger sus
propios intereses (los de la administración), a
los mercados financieros, a los consumidores y
1. Introducción
a otros actores o partes interesadas (empleados,
El economista Milton proveedores, accionistas, etc.).
FRIEDMAN, ganador
Desde los años 70 del siglo pasado, cada
del Nobel de Economía1
escándalo financiero de importancia
de 1976, afirmó en
o crisis económica ha dado como
septiembre de 1970, en
resultado la adopción de nuevas
un artículo en el New
Milton Friedman
medidas de control para luchar contra
York Times2, que la (1912-2006)
la corrupción, el fraude, el blanqueo de
responsabilidad de los ejecutivos respecto de
capitales o la evasión fiscal.
sus accionistas y empresas era la de “ganar la
mayor cantidad de dinero posible ajustándose En este contexto surge la función de
Compliance y sus sistemas de gestión: es
1 En realidad, se trata del Premio de Ciencias Económicas del Ban- la respuesta a la necesidad identificada
co de Suecia en memoria de Alfred Nobel.

2 “The Social Responsibility of Business Is To Increase Its Profits”
por los gobiernos y estados de asegurar

CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 12
 MÓDULO 1 INTRODUCCIÓN A LA FUNCIÓN DE COMPLIANCE EN LAS ORGANIZACIONES

un adecuado cumplimiento normativo que uso de herramientas legales de coerción (las
evitara situaciones indeseables o que minaran ya mencionadas sanciones y multas).
la confianza en el sistema.
Llegados a esta situación, un buen número de
A través de las nuevas exigencias normativas organizaciones han visto no solo la necesidad,
también se trataba de dirigir y normalizar la sino también se han convencido de la utilidad
conducta de las empresas, penalizando de de establecer programas de Compliance que
forma significativa las consecuencias de un formen parte integrante de su estrategia,
incumplimiento mediante la imposición de apoyados e impulsados desde los propios
importantes sanciones y multas. consejos de administración y comités de
dirección.
Sin embargo, el establecimiento de esta
función no fue instantáneo ni lineal, sino fruto Este impulso de los estamentos de gobierno
de una evolución prolongada en el tiempo, con superiores de las empresas es imprescindible
altibajos, no exenta de problemas y polémicas, para el éxito del programa de Compliance,
hasta alcanzar el desarrollo e implantación pero también constituirá un aspecto clave en
actual. la valoración y ponderación de los reguladores
y supervisores, si llegara el caso de tener que
En un principio, las actividades relacionadas
evaluar al mismo.
con Compliance se orientaron por parte de
las empresas al aseguramiento de un mero En el sector financiero, uno de los pioneros
cumplimiento estricto de la normativa, lo que en el ámbito de Compliance, la regulación
constituía un enfoque de mínimos. ya hace de esa función un requisito

Esto pronto se evidenció como insuficiente imprescindible. Además, el relativamente

por el legislador, que consideró que, de reciente reconocimiento de la responsabilidad

acuerdo asimismo con la evidencia de las penal de la persona jurídica en el ámbito

investigaciones académicas3, la verdadera jurídico-penal en numerosos países ha

eficacia de un sistema de Compliance requería motivado que las empresas hayan comenzado

de su integración en el día a día de las a establecer estos modelos de organización

organizaciones. y gestión de Compliance. La existencia de
un programa adecuado y eficiente puede
Este nuevo paradigma necesitaba asimismo permitir la exoneración o atenuación de la
de un cambio de mentalidad, siendo solo responsabilidad penal, de la que se hablará
posible mediante el compromiso sincero y más en detalle en módulos posteriores.
real de quienes dirigen las organizaciones.
Lamentablemente, esto no se ha dado en Al realizar su actividad, las empresas adoptan
las organizaciones motu proprio, sino que se decisiones con el propósito de lograr los
ha ido imponiendo como consecuencia de la objetivos que han establecido. Y cada decisión
voluntad del legislador y los reguladores, y el entraña riesgos. Podemos decir que gestionar
los riesgos forma parte consustancial de los
3 Weaver, Treviño y Cochran (1999). procesos de toma de decisiones empresariales.

CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 13
 MÓDULO 1 INTRODUCCIÓN A LA FUNCIÓN DE COMPLIANCE EN LAS ORGANIZACIONES

En este contexto, las estructuras de Para que este marco o estructura funcione,
Gobernanza, Gestión de Riesgos y las empresas deben alinear su estrategia,
Compliance (GRC) surgen como el marco en el sus procesos, su tecnología y su personal.
que las empresas son dirigidas y controladas, Las empresas tienden a crear programas o
asegurando que actúan de forma ética, de modelos de GRC centrados en la estrategia4,
acuerdo con su apetito de riesgo, y cumpliendo los procesos y la tecnología, subestimando
con todas las normas, externas e internas, en ocasiones la dimensión humana. Sin
que les resultan de aplicación. Por tanto, las embargo, son las características personales,
estructuras de GRC están necesariamente las competencias y las acciones llevadas a
conectadas con la estrategia, la cultura y los cabo por las personas lo que determina en
valores de la organización. mayor medida un modelo GRC exitoso.

Gobernanza Un reto actual de las organizaciones es lograr
una comunicación fluida entre las áreas de
Conjunto de mecanismos para asegurar que la GRC. Para ello, se precisa una adecuada
información que llega a los órganos de decisión definición de funciones y establecer canales
es suficiente, completa, correcta y puntual, con el
de comunicación eficaces. Además, los
fin de que se adopten decisiones bien informadas
responsables de funciones de control deben
y para garantizar que se establecen los controles
situarse próximos a los núcleos de decisión
necesarios para confirmar que las instrucciones
y la estrategia de la empresa, se llevan a cabo de en la estructura de la organización, tanto para
forma efectiva y ética. reforzar su legitimación interna como para
facilitar la transmisión de información a dichos
centros de decisión.
Gestión de riesgos
2. Origen y evolución de la
Actividad de identificación, análisis y tratamiento
de aquellos riesgos que puedan afectar de forma
función de Compliance
adversa a la estrategia de la organización y a su
Algunos autores sugieren que los orígenes
capacidad para operar.
de la función se remontan al siglo XIX (1830),
Incluirá o combinará estrategias de mitigación
cuando se adoptaron leyes que pretendían
(reducir impacto o probabilidad), prevención
proteger a los trabajadores y mejorar sus
(evitar el riesgo), aceptación o transferencia (a
terceros, mediante seguros o acciones similares).
condiciones, combatiendo el uso de mano
de obra infantil y las condiciones de trabajo
insalubres.
Compliance
A estas normas, cuyo objetivo era regular y
Función que se ocupa de asegurar que la estandarizar ciertos ámbitos de actuación de
organización cumple con las regulaciones y leyes
las empresas, les siguieron varias décadas
que les resultan de aplicación, así como con las
políticas, compromisos y valores internos.
4 Blyth y MacHold (2011)

CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 14
 MÓDULO 1 INTRODUCCIÓN A LA FUNCIÓN DE COMPLIANCE EN LAS ORGANIZACIONES

más tarde otras medidas: promulgación de la de la responsabilidad de las empresas y
Pure Food and Drug Act (1906); establecimiento organizaciones más allá de la creación de
en 1914 de la Federal Trade Commission (para riqueza y generación del máximo beneficio.
la prevención de prácticas comerciales Estos debates llevaban tiempo produciéndose
desleales) o la creación, en 1933, de la y constituyeron un caldo de cultivo que
Comisión del Mercado de Valores (Securities permitiría el nacimiento de la función de
and Exchange Commission, SEC), para proteger Compliance.
a las inversiones frente a las manipulaciones
No obstante, estos debates no constituyeron
de mercado.
causa suficiente para propiciar el surgimiento
Durante varias décadas, se fue desarrollando del Compliance, sino que precisó de un
en EE. UU. y el resto del mundo este modelo, catalizador que adoptó la forma de una de
basado en el desarrollo de normativa sectorial las mayores crisis políticas que se hayan
y específica en cada uno de los ámbitos vivido en los EE. UU: en 1972, apenas unos
económicos y el control gubernamental del meses después de la publicación del artículo
cumplimiento de esa normativa. de FRIEDMAN, ese país se vio inmerso en el
escándalo del Watergate (que ocasionó la
Sin embargo, los recurrentes escándalos de
dimisión del presidente Richard NIXON en
corrupción, fraudes financieros y sobornos
1974).
que se conocieron en los 70, evidenciaron los
límites del modelo y la necesidad de un nuevo La dimisión de NIXON, acontecimiento sin
enfoque. Este nuevo paradigma suponía que precedentes en el país norteamericano, si bien
el control del cumplimiento de la normativa constituyó la consecuencia del Watergate más
dejara de ser una responsabilidad exclusiva recordada, no fue la única: la investigación del
de la Administración, para que las propias caso destapó donaciones y contribuciones
empresas pasasen a tener un papel relevante ilegales a campañas políticas, tanto en EE. UU.
en dicho control. como en otros países, por parte de varias
corporaciones. También acabarían saliendo
Por tanto, pese a la natural tendencia a
a la luz prácticas generalizadas de soborno a
buscar precedentes cada vez más remotos,
funcionarios en el extranjero.
el origen de la función de Compliance es, en
realidad, mucho más reciente, al menos en Estas contribuciones a campañas políticas, así
su concepción moderna. Así, existe cierto como los pagos a los funcionarios públicos
consenso en ubicar los esfuerzos pioneros en extranjeros, se hicieron de manera oculta
este ámbito en la década de 1970, cuando tuvo respecto de la contabilidad de las empresas, lo
lugar una combinación de varias circunstancias que tuvo otra inesperada derivada: llevó a los
sociales, políticas y económicas. inversores, supervisores y a la administración
a cuestionar la veracidad y exactitud de las
El artículo ya mencionado de Milton
cuentas que dichas corporaciones enviaban a
FRIEDMAN de 1970 viene a demostrar la
la SEC.
existencia, en los EE. UU, de un debate acerca

CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 15
 MÓDULO 1 INTRODUCCIÓN A LA FUNCIÓN DE COMPLIANCE EN LAS ORGANIZACIONES

Todos estos sucesos evidenciaron la ambición, Identificación de la necesidad de acciones
falta de escrúpulos y creciente codicia de gran de regeneración ética en el ámbito político
parte de la denominada América Corporativa , 5
y corporativo;
su incapacidad de autorregularse y de
Estos factores, junto con algunos debates
prevenir, detectar y poner en conocimiento
previos ya señalados, fueron el caldo de cultivo
de las autoridades los incumplimientos de
ideal para el desarrollo y aprobación, a finales
las normas impuestas por los estados y los
de 1977 (Administración CARTER), de la Ley de
distintos organismos supervisores. También
Prácticas Corruptas en el Extranjero (Foreign
demostraron las limitaciones de la legislación
Corruption Practices Act, FCPA), que exigía a
existente, y los recursos disponibles para
las empresas el establecimiento de controles
hacer cumplir las normas. Estas cuestiones
internos para evitar dichas prácticas.
acabaron sumándose al debate en torno a la
ética corporativa. La FCPA se convirtió en la primera norma
Así pues, en esos meses se dio una combinación que criminalizaba el soborno de funcionarios
de los siguientes factores: públicos, por parte de estadounidenses, en
cualquier lugar del mundo donde se produjera.
Impacto en la opinión pública del
Watergate y la percepción de corrupción Por más que ahora se valore a la FCPA como
del sistema; una herramienta clave y punto de partida de
Enorme efecto negativo que los casos de la función de Compliance, la promulgación de
soborno en el extranjero tuvieron en la esta ley no supuso, ni mucho menos, un éxito
imagen de los EE. UU. y, específicamente, inmediato.
cómo afectaron a su política exterior, en
Por el contrario, su aprobación generó una
un momento clave de la Guerra Fría.
considerable controversia en su momento.
Falta de recursos normativos para Contó con numerosos detractores, que
la persecución de estos reprobables argumentaban que perjudicaría a las empresas
comportamientos (por parte de la SEC y estadounidenses al ponerlas en una situación
el DOJ): Como se explicó en su momento, de desventaja frente a otros competidores.
“podíamos probar el soborno, pero no
procesar[los] por soborno”6. Aun así, y quizá por constituir una nueva
herramienta, o por la gran oposición que
Dudas de los inversores sobre la veracidad
ejercieron los grupos de presión, o incluso por
de las cuentas remitidas a la SEC por
la llegada al poder de la administración Reagan
parte de las grandes corporaciones (los
(1981-1989), una revisión de los resultados
sobornos detectados alcanzaban cifras
mostraría que la FCPA fue infrautilizada en
muy elevadas para la época);
sus primeras décadas, por lo que su eficacia e
impacto fueron cuando menos cuestionables.
5 Casi un 25% de las mayores empresas americanas (117 del
listado Fortune 500). De hecho, no es hasta la mediada primera
6 MONTERO, David, Extracto adaptado de su obra Kickback:
Exposing the Global Corporate Bribery Network (2018) década del siglo XXI cuando las autoridades

CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 16
 MÓDULO 1 INTRODUCCIÓN A LA FUNCIÓN DE COMPLIANCE EN LAS ORGANIZACIONES

estadounidenses (Departamento de Justicia, En resumen, los efectos de la FCPA se han
DOJ y la SEC) comenzaron a utilizar de acelerado notablemente (unas 150 veces) en
forma más decidida este instrumento, y su el periodo 2008-2023, en comparación con las
popularidad se disparó. tres décadas anteriores.

La aprobación de la FCPA, aun sin lograr
avances significativos durante sus primeros
años, como hemos señalado, tuvo efectos
en las corporaciones estadounidenses. En el
siguiente gran escándalo, acaecido en 1986
en el ámbito de los contratistas de defensa
Investigaciones relacionadas con FCPA (1977-2023). (la poderosa industria militar de EE. UU.), las
Elaboración propia
Fuente: Stanford Law School – FCPA Clearinghouse
corporaciones se adelantaron en su reacción
a la Administración, creando un órgano de
Como puede observarse en el gráfico anterior, autorregulación denominado The Defense
en sus 30 primeros años la FCPA apenas Industry Initiative (DII) on Business Ethics
fue utilizada para abrir 160 investigaciones/ and Conduct.
expedientes (y la mitad de ellos, entre 2004 y
2007), con una media apenas superior a las 5
acciones/año. Desde 2008 hasta la actualidad,
esa media se septuplica, hasta alcanzar casi
De esta forma, el sector pretendía evitar
las 36.
regulación adicional al asumir y adherirse
Respecto de las sanciones, la tendencia es más a una serie de principios éticos básicos
acentuada: en el mismo periodo de referencia, (Principios DII) e, igualmente, a desarrollar,
de 1977 a 2007 (33 años), se impusieron en colaboración con el Gobierno, un modelo
sanciones por valor de unos 366M de dólares. de programas de ética y Compliance para
Entre 2008 y 2023 (apenas 16 años, algo menos detectar casos de fraude, mala gestión y
de la mitad de tiempo), la cifra se multiplicó otras conductas similares en el seno de las
casi 80 veces, alcanzando los 28.825 M. empresas de este sector.

La función de Compliance es producto
de una evolución reactiva: cada crisis
o escándalo generó cambios que
reforzaron las medidas de control
interno, y acabaron por moldear esta
función.

Sanciones impuestas por FCPA (1977-2023) (en miles de millones de
Otro hito que sin duda contribuyó al
dólares EE. UU). Elaboración propia desarrollo de Compliance en las empresas,
Fuente: Stanford Law School – FCPA Clearinghouse
fue la publicación, en 1991, de las Directrices

CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 17
 MÓDULO 1 INTRODUCCIÓN A LA FUNCIÓN DE COMPLIANCE EN LAS ORGANIZACIONES

Federales de EE. UU. para el dictado de y adaptación de las 40 recomendaciones del
sentencias sobre organizaciones (US Federal GAFI/FATF). Tanto de las UIF como del GAFI/
Sentencing Guidelines for Organisations, en FATF hablaremos más extensamente y en
adelante USFSG). Este documento, dirigido a detalle en el módulo específico.
las personas jurídicas, estableció directrices
Asimismo, tuvieron su importancia casos
para que, al momento de dictar sentencia
como el de ENRON, en 2001, que dieron una
contra las empresas acusadas de un delito
excusa para impulsar la aprobación de la Ley
federal, los jueces puedan atenuar las penas a
Sarbanes-Oxley (Sarbanes-Oxley Act, abreviada
aquellas que hubieran demostrado contar con
como SOX).
un programa eficaz para prevenir delitos.
Algo más tarde, filtraciones como la de la lista
Estas Directrices quizá constituyeron
Falciani (2009) o los papeles de Panamá (2015)
la publicación más importante hasta el
impulsaron investigaciones y modificaciones
momento, no tanto por establecer la función
legislativas (como la 5ª Directiva contra el
de Compliance en sí como por poner a los
blanqueo de capitales y la financiación del
profesionales de Compliance en la vanguardia
terrorismo, Directiva UE 2018/843, conocida
del diseño, creación e implementación de
como AML5 o AMLD5).
programas de Compliance corporativos. Las
Directrices establecieron, por primera vez y También las crisis han permitido a los gobiernos
de forma práctica, qué se entendía como un poner en práctica lecciones aprendidas e
programa de cumplimiento bien diseñado. identificar carencias. Por ejemplo, la crisis
de 2008 empujó a los estados a un mayor
Es importante señalar que, en estos primeros
esfuerzo recaudatorio, lo que supuso medidas
momentos (principios de los 90), la función
y recursos adicionales para evitar la evasión
de Compliance se orientaba principalmente a
fiscal y luchar de forma más efectiva contra el
evitar prácticas ilegales, como la corrupción,
blanqueo de capitales y aquellas jurisdicciones
estando asimismo en los albores de la lucha
que amparaban —cuando no fomentaban—
contra el fraude y el blanqueo de capitales.
estas actividades.

También en la década de 1990, a mediados, Así pues, como se ha mencionada al inicio
se incrementaron notablemente a nivel del epígrafe, en los últimos años se ha
internacional las acciones contra el blanqueo materializado el cambio de paradigma de
de capitales, con la creación de Unidades de control de las organizaciones que ha supuesto
Inteligencia Financiera (UIF, como el FinCEN, la evolución y generalización de la función de
el SEPBLAC, TRACFIN francés), agrupadas en Compliance. De esta forma, los estados, en vez
torno al Grupo EGMONT. de ejercer las funciones de control e inspección
a todos los niveles por sí mismos, han
Otros impulsos significativos a las funciones
descargado parte de estas responsabilidades
de Compliance se derivaron de los atentados
en las organizaciones, que deben asumir las
del 11-S de 2001 en EE.UU., como medidas para
consecuencias de los incumplimientos.
evitar la financiación del terrorismo (ampliación

CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 18
 MÓDULO 1 INTRODUCCIÓN A LA FUNCIÓN DE COMPLIANCE EN LAS ORGANIZACIONES

Estas medidas, en combinación con la Propuestas para impedir y combatir la
tendencia mundial de responsabilidad penal corrupción;
de las personas jurídicas (en España, con
Esfuerzos contra el blanqueo de capitales y
la modificación del Código Penal de 2010 y
la evasión de impuestos;
posterior de 2015) han propiciado el auge
de mecanismos de control interno donde la Medidas contra la delincuencia organizada

función de Compliance ha tenido un desarrollo y lucha antiterrorista;
preponderante. Respuesta a los escándalos financieros y
corporativos, así como a la crisis de 2008.
Estas necesidades mencionadas (recaudación,
respuesta a crisis y escándalos, cambio de Cambios normativos respecto a la
modelo de control, etc.) empujaron a los responsabilidad penal de las personas
estados —en un esfuerzo si no coordinado, jurídicas.
si al menos contemporáneo— a crear nueva
normativa y regulaciones, que en un principio A continuación se detallan, como mera

afectaron casi exclusivamente al sector referencia y sin carácter exhaustivo, un listado

financiero. Posteriormente, esta normativa de normas y recomendaciones y directrices de

se ha ido extendiendo a otros sectores carácter general (soft law) a nivel internacional,
vinculados y está alcanzando una dimensión que deberían tomarse como referencia en
en la que casi todos los ámbitos y empresas se el desarrollo de programas y sistemas de
ven afectados en mayor o menor medida. Compliance en el ámbito empresarial:

Estos cambios de los últimos años (desde la 1976 Líneas directrices de la OCDE para
empresas multinacionales sobre la
década de 2010) han ayudado a desarrollar,
conducta empresarial responsable
ampliar y configurar la función de Compliance (OECD Guidelines for multinational Enterprises,
como la entendemos en la actualidad, versión actual de 2023)
frecuentemente liderada por la experiencia
1977 Ley de Prácticas Corruptas en el
de los sectores más regulados (como el Extranjero (Foreign Corruption Practices Act,
financiero o el farmacéutico) por sus más FCPA)

rigurosas exigencias normativas de control y 1991 Directrices Federales de EE.UU
de supervisión. para el dictado de sentencias sobre
organizaciones (US Federal Sentencing
Esta expansión a nivel internacional se Guidelines for Organizations, versión actual
ha producido en paralelo a un desarrollo de 2018).

legal y regulatorio, así como de los diversos 1997 Convención OCDE para combatir
estándares, directrices y recomendaciones el cohecho de servidores públicos
extranjeros en transacciones
emitidas a nivel internacional (normas ISO,
comerciales internacionales
recomendaciones de la ONU, OCDE, G20, etc.).
1999 Principios de Gobierno Corporativo de
Por tanto, se puede afirmar que los ámbitos la OCDE (versión actual de 2023)
actuales de actividad de la función de
2002 Ley Sarbanes-Oxley (Sarbanes-Oxley
Compliance tienen su origen en: Act)

CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 19
 MÓDULO 1 INTRODUCCIÓN A LA FUNCIÓN DE COMPLIANCE EN LAS ORGANIZACIONES

2005 Directrices de la OCDE sobre el Gobierno Habitualmente conocido en el mundo
Corporativo de las Empresas Públicas empresarial como cumplimiento o
(revisadas en 2015) cumplimiento normativo, esta traducción
2009 Recomendación OCDE para combatir podría erróneamente inducir a pensar que
el cohecho de servidores públicos consiste únicamente en dar cumplimiento a
extranjeros en transacciones
las obligaciones legales y regulatorias que
comerciales internacionales (revisada
en 2021) tienen las empresas u organizaciones de otro
tipo, o en evitar una multa o sanción.
2010 Ley de Reforma de Wall Street y
Protección al Consumidor Dodd-Frank
Sin embargo, un sistema de Compliance
(Dodd Frank Wall Street Reform and Consumer
Protection Act) implica mucho más. Velar por el cumplimiento
Ley de Cumplimiento Tributario de no solo de la letra, sino también de su espíritu.
Cuentas Extranjeras (Foreign Account Tax Además, se asegura de la puesta en práctica de
Compliance Act, FATCA)
los principios y valores que una organización ha
Ley Anti-soborno de Reino Unido 2010
decidido adoptar voluntariamente, así como
(UK Bribery Act 2010)
las normas de conducta que los desarrollan.
Guía OCDE de buenas prácticas en
controles internos, ética y cumplimiento Compliance es una función que excede
(revisada en 2022)
el mero cumplimiento de las normas
2017 Evaluación de programas de Compliance externas. Además, debe asegurar el
corporativos del Departamento de Justicia de
cumplimiento de los valores y normas
EE. UU – (US Department of Justice- Evaluation
of Corporate Compliance Programs, versión adoptados interna y voluntariamente.
actual de marzo de 2023)
En este sentido, en línea con lo que indica el
Recomendación del consejo de la
OCDE sobre integridad pública (OECD Libro Blanco sobre la Función de Compliance8 ,
Recommendations on public integrity) una función de Compliance asume las
tareas de prevención, detección y gestión de
2020 Manual de la OCDE sobre Integridad
Pública (OECD Public Integrity Handbook, riesgos de Compliance. Así, son riesgos de
2020) Compliance los riesgos de que se incumplan
Cronograma de referencias internacionales en Compliance.
Elaboración propia
las obligaciones derivadas del marco legal
y regulatorio (p. ej., no cometer delitos, no
3. Definición de Compliance vulnerar el derecho de la competencia, cumplir
con las obligaciones derivadas de la protección
La palabra “Compliance” es un término de los derechos de los consumidores, etc.),
en idioma inglés. Según el diccionario , 7
pero también el incumplimiento de otras
constituye “el acto de obedecer una orden, obligaciones autoimpuestas voluntariamente,
norma o petición”. Normalmente es traducida como son las pautas de conducta que
al español con el término “conformidad”, e desarrollan los principios y valores éticos que
incluso “obediencia”. las organizaciones comunican y hacen público
a través de sus códigos éticos y/o de conducta.
7 Compliance: the act of obeying an order, rule, or request
(Cambridge Dictionary). 8 Asociación Española de Compliance (ASCOM), 2017:9

CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 20
 MÓDULO 1 INTRODUCCIÓN A LA FUNCIÓN DE COMPLIANCE EN LAS ORGANIZACIONES

Riesgo de Compliance En el contexto de las entidades que prestan
Riesgo de sanciones legales o regulatorias, servicios financieros, el concepto función de
pérdidas financieras o pérdida de su reputación Compliance9 hace referencia al personal y
que una organización puede sufrir como resultado los recursos que dichas entidades establecen
del incumplimiento de las leyes, regulaciones, para identificar, evaluar, asesorar, monitorizar
normas de autorregulación y códigos de conducta e informar sobre el riesgo de Compliance. En
que se aplican a sus actividades.
definitiva, implica establecer una función que
Comité de Supervisión Bancaria de Basilea, (2005) asista a la alta dirección en la gestión efectiva
Riesgos de Compliance de los riesgos de Compliance.

Aquellos “relacionados con el incumplimiento de
Con carácter general, el máximo representante
las obligaciones de Compliance, esto es, aquellas
de la función de Compliance suele ser una
que una organización debe cumplir, y también las
que elige voluntariamente cumplir”.
figura conocida como Director de Compliance o
sus homólogos en inglés, Head of Compliance /
Libro Blanco sobre la Función de Compliance (2017)
Chief Compliance Officer (CCO).

Algunos ejemplos de obligaciones internas Sin embargo, en algunos casos las

adoptadas discrecionalmente por las responsabilidades de la función son llevadas a

empresas y que debemos considerar también cabo por diferentes departamentos (en cuyo

obligaciones de Compliance serían, por caso la asignación de responsabilidades de

ejemplo: cada departamento en este ámbito deben ser
claras y existir mecanismos de cooperación e
Prohibición a empleados de aceptar intercambio de información).
regalos o atenciones de un tercero,
En este sentido, hablaremos de departamento,
u obligación de declararlos y recabar
equipo o unidad de Compliance cuando la
autorización previa para recibirlos o
organización haya creado un departamento
realizarlos.
específico para llevar a cabo estas
Adoptar medidas para fomentar y responsabilidades. Contar con una unidad
promover el uso, por parte de los dedicada exclusivamente a este ámbito bajo
empleados o incluso de terceros el liderazgo de un Director de Compliance
(clientes, proveedores, etc.), de los o Chief Compliance Officer contribuirá a dotar
canales de denuncia habilitados de relevancia y visibilidad a esta función,
para la comunicación interna de contribuyendo así a evidenciar el compromiso
sospechas sobre conductas ilegales, de la empresa. No debemos olvidar que las
deshonestas o infracciones de responsabilidades de Compliance exceden las
políticas y procedimientos de la de los departamentos o equipos de personas
empresa. que realicen alguna de las actividades propias
Regular el uso de recursos de la de la función.
empresa para fines particulares.
9 Basel Committee on Banking Supervision, 2005; ESMA, 2012

CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 21
 MÓDULO 1 INTRODUCCIÓN A LA FUNCIÓN DE COMPLIANCE EN LAS ORGANIZACIONES

Compliance es responsabilidad de todos y por la adecuada operación de los programas
cada uno de los individuos que integran una específicos existentes corresponderá a sus
organización y debe existir una concienc