Programa de compliance en 9 pasos
Enfoque Empresas, administradores, compliance officers y equipos directivos.
Riesgo principal Aprobar políticas sin aplicación, control, canal interno ni evidencias.
Decisión útil Convertir el programa en un sistema de prevención, detección y reacción.
Estos son los 9 pasos para implementar un programa de compliance que recomendamos revisar:
- 01 Aprobar el compromiso del órgano de administración
- 02 Identificar delitos y riesgos que deben prevenirse
- 03 Diseñar protocolos de decisión y ejecución
- 04 Dotar recursos financieros y humanos
- 05 Implantar canal interno de información
- 06 Crear sistema disciplinario proporcionado
- 07 Formar y comunicar el modelo
- 08 Supervisar, auditar y corregir
- 09 Actualizar el programa ante cambios
Un programa de compliance no es un archivador de políticas internas. Es un sistema de prevención, detección y reacción que permite a una empresa reducir riesgos legales, demostrar diligencia y ordenar su forma de tomar decisiones.
La responsabilidad penal de las personas jurídicas obliga a las empresas a mirar sus controles con más rigor. Un modelo eficaz puede ayudar a eximir o atenuar responsabilidad, pero solo si existe antes del problema, está adaptado al negocio y se aplica de verdad.
El error habitual es implantar un programa formal, pero no operativo: código ético sin formación, canal interno sin procedimiento, mapa de riesgos sin controles o responsable de cumplimiento sin funciones reales.
En esta guía verás cómo implementar un programa paso a paso, qué exige la normativa, qué documentos preparar, qué errores evitar y cómo verificar que el modelo funciona.
También conviene distinguir entre aprobar un programa y poder demostrarlo. Si la empresa no conserva actas, versiones, registros de formación, evidencias de controles y decisiones de seguimiento, el modelo pierde fuerza cuando debe explicarse ante un socio, auditor, administración, fiscalía o juzgado.
9 pasos para implementar un programa
1. Aprobar el compromiso del órgano de administración
El programa debe nacer del órgano de administración. Si la dirección no lo aprueba, comunica y respalda, el modelo queda como una iniciativa aislada.
El Código Penal exige modelos de organización y gestión eficaces, no documentos cosméticos. La Circular 1/2016 de la Fiscalía General del Estado refuerza la importancia de analizar si el modelo está adaptado al negocio y funciona de forma real. La aprobación debe constar en acta, con alcance, responsables y calendario.
2. Identificar delitos y riesgos que deben prevenirse
El mapa de riesgos debe analizar actividad, sector, procesos y personas. No todos los delitos son igual de probables en todas las empresas. Una empresa inmobiliaria, tecnológica o de servicios tiene riesgos distintos: blanqueo, corrupción, delitos fiscales, datos, propiedad intelectual, trabajadores o insolvencia.
El mapa debe priorizar riesgos por impacto y probabilidad, y conectar cada riesgo con un control concreto. Si un riesgo no tiene responsable ni medida de control, el programa queda incompleto.
3. Diseñar protocolos de decisión y ejecución
El programa debe explicar cómo se aprueban pagos, contratos, regalos, proveedores, subvenciones, operaciones vinculadas o decisiones sensibles. Un protocolo eficaz evita que todo dependa de una persona sin control.
La trazabilidad de decisiones es uno de los mejores mecanismos de defensa: quién autorizó, con qué información, qué control se aplicó y qué prueba quedó conservada.
4. Dotar recursos financieros y humanos
No basta con nombrar un compliance officer si no tiene medios. Debe tener acceso a información, independencia razonable y capacidad de seguimiento.
El programa también necesita presupuesto para formación, revisiones, investigaciones internas y soporte externo cuando sea necesario. En PYMEs, la función puede adaptarse al tamaño, pero no desaparecer.
5. Implantar canal interno de información
La Ley 2/2023 regula sistemas internos de información y exige garantías de confidencialidad y protección del informante para sujetos obligados.
El canal debe tener procedimiento, responsable, plazos, registro y tratamiento de datos. Si no se gestiona bien, puede generar riesgos laborales, penales y de privacidad. Debe conectarse con investigaciones internas y medidas correctoras.
6. Crear sistema disciplinario proporcionado
El programa debe prever consecuencias por incumplimiento de las políticas internas. Si no hay reacción, el sistema pierde credibilidad.
El régimen disciplinario debe coordinarse con derecho laboral, convenio aplicable, proporcionalidad y prueba. La empresa debe evitar sanciones improvisadas o discriminatorias.
7. Formar y comunicar el modelo
La formación debe ser periódica y adaptada al puesto. Ventas, finanzas, compras, dirección y recursos humanos no tienen los mismos riesgos. La comunicación debe explicar qué hacer ante regalos, pagos dudosos, conflicto de interés, datos, proveedores o sospechas internas.
Debe quedar evidencia de asistencia, contenido y comprensión. Si nadie conoce el programa, difícilmente podrá decirse que se aplica.
8. Supervisar, auditar y corregir
Un programa de compliance se prueba en su seguimiento. Revisiones, auditorías, indicadores, investigaciones y correcciones demuestran que el modelo está vivo.
Si aparece una infracción, debe analizarse si falló el control, si faltaba formación o si el riesgo no estaba identificado. La corrección posterior es parte del sistema.
9. Actualizar el programa ante cambios
Cambios de actividad, crecimiento, nuevas filiales, internacionalización, licitaciones o normativa obligan a actualizar el modelo. Un programa aprobado hace años y nunca revisado pierde fuerza defensiva.
La actualización debe documentarse con versión, fecha, cambios, responsable y aprobación. Así se demuestra que el sistema se adapta al negocio.
Cómo pasar del documento al funcionamiento real
Un programa de compliance empieza a ser útil cuando se integra en procesos cotidianos: compras, ventas, contratación, pagos, selección de proveedores, gestión de personas, aprobación de gastos, regalos, patrocinios, licitaciones y decisiones de administración.
La implementación real exige tres niveles: políticas claras que cualquier persona pueda entender, controles concretos dentro de procesos existentes y evidencias que permitan demostrar que el control se aplica.
| Proceso | Control que lo vuelve operativo | Evidencia esperable |
|---|---|---|
| Contratación de proveedores | Alta con revisión de identidad, conflicto de interés, contrato y cláusulas de cumplimiento. | Ficha de proveedor, aprobación, contrato y revisión documentada. |
| Pagos y gastos | Doble autorización por importe o naturaleza sensible, con soporte documental. | Factura, aprobación, justificante, criterio de revisión y registro contable. |
| Canal interno | Procedimiento de recepción, investigación, confidencialidad, plazos y medidas correctoras. | Registro seguro, acuses, investigación, informe y decisión final. |
| Formación | Sesiones adaptadas a riesgo y puesto, con casos reales del negocio. | Asistentes, fecha, materiales, evaluación y recordatorios. |
| Supervisión anual | Revisión de controles, incidencias, riesgos nuevos y medidas pendientes. | Informe anual, actualización del mapa y acta de seguimiento. |
Por ejemplo, no basta con prohibir pagos indebidos. Hay que definir quién aprueba proveedores, qué documentación se exige, qué importes requieren doble validación, cómo se revisan conflictos de interés y qué ocurre si alguien detecta una irregularidad.
Roles, indicadores y documentos clave
Un programa de compliance necesita responsables, pero no debería depender de una sola persona. El órgano de administración debe aprobar y apoyar el modelo; la dirección debe integrarlo en la operativa; mandos intermedios deben aplicarlo; y el responsable de cumplimiento debe supervisar, impulsar y reportar.
La clave está en que cada rol tenga una función concreta y verificable. Si todos son responsables en abstracto, nadie responde en la práctica. Por eso conviene documentar quién aprueba políticas, quién valida proveedores, quién revisa pagos sensibles, quién gestiona el canal interno, quién custodia evidencias y quién informa periódicamente al órgano de administración. Esta trazabilidad evita improvisaciones y facilita auditorías internas posteriores, incluso urgentes.
| Rol | Función principal | Documento o prueba |
|---|---|---|
| Órgano de administración | Aprobar, dotar recursos y revisar periódicamente el programa. | Actas, acuerdos, informes de seguimiento y medidas aprobadas. |
| Dirección | Integrar controles en operaciones, equipos y objetivos de negocio. | Comunicaciones internas, instrucciones y reportes de aplicación. |
| Compliance officer | Supervisar el modelo, recibir consultas, impulsar formación y reportar alertas. | Nombramiento, funciones, reportes, consultas y plan anual. |
| Mandos intermedios | Aplicar controles en compras, ventas, personas, finanzas o tecnología. | Registros de control, aprobaciones, incidencias y escalados. |
| Equipo externo | Aportar criterio jurídico, revisar riesgos y apoyar investigaciones o actualizaciones. | Informes, recomendaciones, versiones del modelo y evidencias revisadas. |
Indicadores para revisar cada año
- Consultas recibidas: dudas elevadas al responsable de compliance y tiempos de respuesta.
- Uso del canal interno: comunicaciones, estado, medidas y protección del informante.
- Formación: porcentaje de personas formadas por área y contenidos pendientes.
- Proveedores revisados: altas, renovaciones, riesgos y documentación incompleta.
- Riesgos nuevos: productos, países, clientes, licitaciones, filiales o cambios normativos.
Revisión preventiva
¿Tu programa existe en documentos o en decisiones?
Conviene revisar si hay controles reales, formación, canal interno, evidencias y seguimiento del órgano de administración.
Errores que vuelven cosmético el programa
Tener un manual sin aplicarlo
El mayor error es creer que el compliance existe porque hay documentos firmados. La eficacia se demuestra con controles, formación, seguimiento y medidas correctoras.
No conectar compliance con negocio
Si el modelo no entiende cómo vende, compra, factura y contrata la empresa, no previene los riesgos relevantes. Un programa genérico puede parecer correcto, pero fallar justo donde la empresa decide.
Olvidar investigaciones internas
Cuando aparece una denuncia o sospecha, debe haber procedimiento, confidencialidad, prueba y decisión documentada. Si una irregularidad se detecta y no se investiga, el mensaje interno es que el programa no importa.
No actualizar el mapa de riesgos
Un programa aprobado hace años puede quedar desconectado de la realidad si la empresa crece, cambia de mercado, incorpora proveedores críticos, empieza a licitar o entra en un sector regulado.
Cómo puede ayudarte GraciaCalbet
En GraciaCalbet ayudamos a empresas y administradores a diseñar programas de compliance eficaces y proporcionados, coordinando derecho penal, mercantil, laboral, fiscal y protección de datos cuando procede.
Podemos diseñar el mapa de riesgos y protocolos, preparar código ético y canal interno, formar equipos y administradores, revisar evidencias y controles, y actualizar el modelo ante cambios normativos o de negocio.
Preguntas Frecuentes (FAQs)
¿Qué es un programa de compliance?
Un programa de compliance es un sistema de normas, controles, responsables y procedimientos que ayuda a prevenir, detectar y gestionar riesgos legales o penales dentro de una empresa. No es solo un documento; debe aplicarse, comunicarse, supervisarse y actualizarse.
¿Para qué sirve el compliance penal?
Sirve para reducir el riesgo de delitos en la empresa y, si se produce un hecho delictivo, demostrar que la organización había adoptado medidas razonables de prevención y control. Puede ayudar a eximir o atenuar responsabilidad penal de la persona jurídica si el modelo es previo, eficaz y realmente aplicado.
¿Quién debe ser compliance officer?
Puede ser una persona interna, un órgano colegiado o un apoyo externo, según tamaño y riesgos de la empresa. Debe tener independencia razonable, acceso a información y capacidad de seguimiento. En PYMEs, ciertas funciones pueden recaer en el órgano de administración, pero deben estar documentadas.
¿Un programa de compliance evita sanciones?
No garantiza que nunca haya sanciones, pero reduce riesgos y mejora la defensa de la empresa. Si el modelo identifica riesgos, forma al equipo, aplica controles y corrige incidencias, demuestra diligencia. Sin aplicación real, el programa puede no servir para eximir o atenuar responsabilidad.
¿Cada cuánto se revisa un programa de compliance?
Debe revisarse periódicamente y siempre que cambien actividad, estructura, normativa, riesgos o se detecte una infracción. La revisión permite comprobar si los controles funcionan y si el mapa de riesgos sigue siendo válido.
