SISTEMAS DE GESTIÓN DE COMPLIANCE PENAL

BDO Risk & Advisory Services | BDO Abogados

Guía práctica para el establecimiento de un sistema

de gestión de riesgos penales de acuerdo con la
UNE 19601

People who know, know BDO

Auditoría & Assurance | Advisory | Abogados | Outsourcing

 UNE 19601: Sistemas de gestión del compliance penal

1
REQUISITOS DEL MODELO DE COMPLIANCE
PENAL ESTABLECIDOS EN EL ARTÍCULO 31BIS
DEL CÓDIGO PENAL
A partir de la aprobación de la reforma del Código Penal que incorporó la responsabilidad penal
de las personas jurídicas, las organizaciones deben tomar en consideración una serie de requisitos
a la hora de establecer su modelo de compliance penal personalizado. Esta Guía práctica de
BDO pretende relacionar las actividades a llevar a cabo en el proceso de elaboración y puesta
en marcha de todo modelo de Compliance Penal, tomando como referencia la Norma Española
2 UNE 19601 de Sistemas de gestión de compliance penal publicada en mayo de 2017.

Mapa Protocolos Recursos Canal de Sistema Revisión y

de riesgos de actuación financieros denuncias disciplinario Seguimiento
penales

Identificar las Procedimientos Establecimiento Obligación de Establecimiento Verificación

actividades en que concreten el de modelos de informar de de un sistema periódica del
cuyo ámbito proceso de gestión de los de posibles riesgos disciplinario que modelo y
puedan ser formación de la recursos e incumplimien- sancione eventual
cometidos voluntad de la financieros que tos al organismo adecuadamente modificación en
delitos que empresa, de permitan poner encargado de los incumpli- caso de
deban ser adopción de en marcha y vigilar el mientos a las infracciones o
prevenidos. decisiones y de cumplir el funcionamiento medidas cambios en la
ejecución de las modelo. y observancia establecidas en organización, su
mismas con del modelo de el modelo. estructura de
relación a prevención. control o
aquellos. actividad
desarrollada.
 UNE 19601: Sistemas de gestión del compliance penal

2
IMPLEMENTACIÓN DEL MODELO DE
COMPLIANCE PENAL CON UN ENFOQUE
UNE 19601 (I/IV)
Actividades a llevar a cabo por las personas jurídicas para la puesta en marcha de los sistemas de
gestión de compliance penal de acuerdo con la UNE 19601.

3
Mapa de riesgos penales

ANÁLISIS PRELIMINAR ANÁLISIS DE LOS MECANISMOS DE CONTROL

1. Entendimiento del contexto de la organización, con identificación
de las actividades desarrolladas por al organización.
2. Establecimiento de las expectativas del modelo de gestión de
compliance penal.
3. Determinación del alcance del modelo.
4. Establecimiento de una política de compliance, aprobada por el
órgano de gobierno.
PARA LA PREVENCIÓN
1. Adecuación del diseño y eficacia de los controles existentes en la
organización.
2. Generación de evidencias de cumplimiento de los controles.
3. Desarrollo de planes de acción que mitiguen los riesgos penales,
en caso de deficiencias.

IDENTIFICACIÓN, ANÁLISIS Y VALORACIÓN

DE LOS RIESGOS PENALES
1. Identificación de los ilícitos penales que la organización pueda APARTADOS RELACIONADOS
razonablemente anticipar, atendiendo a su actividad y contexto. DE LA UNE 19601
2. Análisis de riesgos: causas y gravedad de las consecuencias, y 4. Contexto de la organización
probabilidad de que ocurran (probabilidad + impacto).
4.3 Determinación del alcance del sistema
3. Valoración de riesgos: considerar los objetivos de compliance de gestión de compliance penal
penal (compromisos asumidos a través de la política y demás
instrucciones internas). 5. Liderazgo
4. Evaluación del riesgo: de manera regular, ante cambios 5.2 Política de compliance penal
significativos de estructura o actividades, ante incumplimientos, 6. Planificación
y en caso de nueva jurisprudencia y/o cambios legislativos.
6.2 Evaluación de los riesgos penales
5. Documentación del análisis realizado (metodología, criterios y
resultados). 8. Operación
6. Procedimientos de diligencia debida en aquellos riesgos 8.2 Diligencia debida
superiores a bajo.
 UNE 19601: Sistemas de gestión del compliance penal

2
IMPLEMENTACIÓN DEL MODELO DE
COMPLIANCE PENAL CON UN ENFOQUE
UNE 19601 (II/IV)
Actividades a llevar a cabo por las personas jurídicas para la puesta en marcha de los sistemas de
gestión de compliance penal de acuerdo con la UNE 19601.

4
Protocolos de actuación
APARTADOS RELACIONADOS
DE LA UNE 19601
Establecer procedimientos que concreten el proceso de formación de 5. Liderazgo
la voluntad de la organización, de toma de decisiones y de ejecución 5.1 Liderazgo y compromiso
de las mismas, promoviendo una cultura de compliance que garantice
altos estándares éticos de comportamiento. 5.1.1 Órgano de gobierno

Recursos financieros
APARTADOS RELACIONADOS
DE LA UNE 19601
1. Dotar y garantizar la disponibilidad de los recursos financieros, 5. Liderazgo
materiales y humanos adecuados y suficientes al sistema de 5.1 Liderazgo y compromiso
gestión de compliance penal y al órgano de compliance penal
designado. 5.1.1 Órgano de gobierno
2. Desarrollar modelos de gestión de los recursos financieros. 5.1.3 Alta dirección
3. Establecer controles financieros adecuados, tales como segregación 6. Planificación
de funciones, circuitos adecuados de autorizaciones y
aprobaciones, auditorías financieras, etc. 6.3 Objetivos de compliance penal y
planificación para lograrlos
4. Establecer controles no financieros adecuados, tales como
controles sobre los procesos de compras, operaciones, 8. Operación
comercialización, etc. 8.3 Controles financieros
 UNE 19601: Sistemas de gestión del compliance penal

2
IMPLEMENTACIÓN DEL MODELO DE
COMPLIANCE PENAL CON UN ENFOQUE
UNE 19601 (III/IV)
Actividades a llevar a cabo por las personas jurídicas para la puesta en marcha de los sistemas de
gestión de compliance penal de acuerdo con la UNE 19601.

5
Canal de denuncias
APARTADOS RELACIONADOS
DE LA UNE 19601
5. Liderazgo
ALTA DIRECCIÓN
5.1 Liderazgo y compromiso
1. Fomentar el uso de procedimientos para la puesta en conocimiento de
conductas potencialmente delictivas. Facilitar canales de comunicación para 5.1.3 Alta dirección
empleados y terceros, y desarrollar su procedimiento. 5.2 Política de compliance Penal
2. Dirigir y apoyar al personal a fin de lograr la observancia de los requisitos y la
8. Operación
eficacia del sistema de gestión de compliance penal de acuerdo con su rol en
la organización. 8.7 Comunicación de
3. Garantizar la confidencialidad o anonimato del denunciante. incumplimientos e
4. Garantizar que ningún miembro de la organización es objeto de represalia, irregularidades
discriminación o sanción disciplinaria por comunicar de buena fe violaciones,
o sospechas fundadas de violaciones de la política de compliance penal.
5. Facilitar asesoramiento en caso de dudas o inquietudes a través de los canales
de comunicación de la organización.

Sistema disciplinario
APARTADOS RELACIONADOS
DE LA UNE 19601
5. Liderazgo
1. Cumplir y hacer cumplir la política de compliance penal.
2. Entregar a los empleados una copia de la política de compliance, o facilitar
5.1 Liderazgo y compromiso
el acceso a la misma. 5.1.3 Alta dirección
3. Exponer las consecuencias de no cumplir los requisitos de la política y 5.2 Política de compliance Penal
sistema de gestión de compliance penal.
7. Elementos de apoyo
4. Adoptar acciones disciplinarias proporcionales al incumplimiento
producido. 7.3 Competencia
7.3.2 Diligencia debida con los
miembros de la organización
 UNE 19601: Sistemas de gestión del compliance penal

2
IMPLEMENTACIÓN DEL MODELO DE
COMPLIANCE PENAL CON UN ENFOQUE
UNE 19601 (IV/IV)
Actividades a llevar a cabo por las personas jurídicas para la puesta en marcha de los sistemas de
gestión de compliance penal de acuerdo con la UNE 19601.

6
Seguimiento y revisión

AUDITORÍA INTERNA ÓRGANO DE GOBIERNO

1. Planificar auditorías con un enfoque basado en el riesgo, y valor la
adecuación y eficacia de los controles.
2. Desarrollar planes de acción sobre los controles deficientes.
3. Garantizar la objetividad e imparcialidad de las auditorías.
ÓRGANO DE COMPLIANCE PENAL
1. Evaluar periódicamente el sistema. Análisis de su adecuación y
eficacia.
2. Deber de información al órgano de gobierno y alta dirección, con
los resultados de las auditorías e investigaciones.
Examinar periódicamente el sistema con la información obtenida del
órgano de compliance penal, la alta dirección y cualquier otra que
pueda requerir.
MEJORA CONTINUA
1. Adopción de acciones oportunas y correctivas.
2. Gestión de las consecuencias minimizando los efectos.
3. Seguimiento de las acciones adoptadas.
4. Cambios en la política o sistema de gestión de compliance penal,
en caso de ser necesario.

ALTA DIRECCIÓN
Revisar el sistema considerando diversas cuestiones:
• El estado de las acciones de las revisiones previas. APARTADOS RELACIONADOS
• Cambios internos y externos que afecten al sistema.
DE LA UNE 19601
• Información sobre el desempeño del compliance penal. 5. Liderazgo
• Oportunidades de mejora continua. 5.1 Liderazgo y compromiso
• Adecuación de los protocolos o procedimientos de compliance 5.1.1 Órgano de gobierno
penal.
6. Planificación
• Grado de cumplimiento de los objetivos de compliance penal.
• Adecuación de los recursos asignados al compliance. 6.2 Evaluación de los riesgos penales
• Eficacia de las acciones adoptadas. 9. Evaluación del desempeño
9.2 Auditoría interna
9.3 Revisión por el órgano de compliance penal
9.4 Revisión por la alta dirección
9.5 Revisión por el órgano de gobierno
10. Mejora
 UNE 19601: Sistemas de gestión del compliance penal

OTROS ASPECTOS A TENER EN CUENTA EN LA ELABORACIÓN

3 DEL MODELO DE COMPLIANCE PENAL EN BASE A LAS MEJORES

PRÁCTICAS Y LOS PRINCIPIOS DE LA UNE 19601 (I/II)
A continuación exponemos una serie de aspectos adicionales a tener en cuenta para el establecimiento de
los modelos de compliance penal, que se incluyen en la UNE 19601, al objeto de disponer de un modelo de
compliance penal alineado con lo dispuesto por la normativa de referencia.

Apartado 7.1 UNE 19601

Cumplir con los requisitos derivados
de la política y sistema de gestión de
compliance penal por parte del
órgano de gobierno y la alta
dirección.

Apartado 7.5 UNE 19601 Apartado 7.2 UNE 19601

Determinar la necesidad de realizar De forma adicional a los requisitos
comunicaciones internas y financieros, la organización debe
externas relevantes en materia de contar con recursos tecnológicos
compliance penal. y humanos, así como acceder a
7
asesoramiento externo.

Cultura de compliance

Recursos
tecnológicos y
Comunicación humanos y
asesoramiento
externo
Requisitos
UNE 19601
adicionales
Formación y Competencia del
concienciación en personal de
compliance compliance
Debida diligencia
relativa a personas
que ocupan
posiciones
especialmente
expuestas
Apartado 7.4 UNE 19601 Apartado 7.3.1 UNE 19601
Concienciar y formar adecuada, • Determinar la competencia
eficaz y proporcionalmente respecto necesaria de las personas que
los riesgos penales a los miembros ejerzan funciones de compliance.
de la organización, al objeto de
• Asegurar esa competencia
evitarlos, detectarlos, gestionarlos.
mediante educación, formación
Apartado 7.3.2 UNE 19601 y experiencia.
• Verificar que la posición es
• Desarrollar acciones para adquirir
adecuada para el candidato y éste
la competencia deseada.
lo comprende y cumple con la
política y sistema de gestión de
compliance.
• Revisar periódicamente los
objetivos de rendimiento y
remuneración.
 UNE 19601: Sistemas de gestión del compliance penal

OTROS ASPECTOS A TENER EN CUENTA EN LA ELABORACIÓN

3 DEL MODELO DE COMPLIANCE PENAL EN BASE A LAS MEJORES

PRÁCTICAS Y LOS PRINCIPIOS DE LA UNE 19601 (II/II)

Apartado 9.1 UNE 19601
• Determinar quién es el
responsable del seguimiento y
medición del sistema, así como
los métodos aplicados.
• Desarrollar un conjunto de
indicadores medibles que
permitan medir el logro de sus
objetivos de compliance y
cuantifiquen el desempeño del
sistema de gestión.
• Realizar informes de
compliance con el resultado del
8 seguimiento y medición anterior.
Apartado 7.6 y anexo c Apartado 8.2 y anexo b
UNE 19601 UNE 19601
El sistema de gestión de compliance Desarrollar procedimientos de
debe contener información diligencia debida en aquellos casos
documentada, disponible e donde el análisis de riesgo arroje un
idónea para su uso y revision, así riesgo penal superior a bajo, en
como protegida adecuadamente. relación con transacciones,
proyectos o actividades específicas,
relaciones de negocio con
determinados socios de negocio, y
categorías de personal en
posiciones específicas.

Información
documentada

Seguimiento,
medición, análisis y Diligencia debida
evaluación

Requisitos
UNE 19601
adicionales
Investigación de Controles en
incumplimientos e filiales y socios
irregularidades de negocio

Condiciones
contractuales

Apartado 8.8 UNE 19601 Apartado 8.5 y anexo d

• Implementar procedimientos que
aseguren la investigación de las
comunicaciones recibidas,
garantizando la capacidad,
autonomía e independencia para
realizar dichas investigaciones.
• Garantizar que el órgano de
compliance penal es informado
del estado y resultado de las
investigaciones.
UNE 19601
• Entidades bajo control:
implantar procedimientos para
que adopten el sistema de
gestión de compliance de la
matriz o adopten unos propios
Apartado 8.6 y anexo e adecuados a su actividad.
UNE 19601 • Entidades no controladas:
evaluar si sus controles son
Requerir cláusulas específicamente
suficientes para evitar, detectar
orientadas a reducir el riesgo
penal en sus relaciones o gestionar el riesgo penal.
contractuales con sus socios de
negocio.
 UNE 19601: Sistemas de gestión del compliance penal

ALICANTE
BARCELONA
BILBAO
GRAN CANARIA
9 MÁLAGA
MADRID
SEVILLA
PAMPLONA Exceptional client service worldwide
VALENCIA 67.700 profesionales | 1.400 oficinas | 158 países

VALLADOLID
ENRIC DOMÉNECH IGNACIO LEGIDO
VIGO
Socio | Risk & Advisory Services Socio legal
ZARAGOZA enric.domenech@bdo.es ignacio.legido@bdo.es

www.bdo.es/servicios/advisory/risk-advisory
www.bdo.global
www.bdo.es/blogs/blog-coordenadas-bdo

BDO Auditores, S.L.P. y BDO Abogados y Asesores Tributarios, S.L.P., sociedades limitadas españolas, son miembros de BDO International Limited, una compañía limitada
por garantía del Reino Unido y forman parte de la red internacional BDO de empresas independientes asociadas.

BDO es la marca comercial utilizada por toda la red BDO y por cada una de sus firmas miembro.