Plan de compliance para PYMEs en 9 decisiones
Enfoque PYMEs, administradores, empresas familiares y negocios en crecimiento.
Riesgo principal Copiar un modelo genérico sin controles, formación ni prueba de aplicación.
Decisión útil Empezar por riesgos reales, responsables claros y evidencias proporcionadas.
Estas son las 9 decisiones para crear un plan de compliance para PYMEs que recomendamos revisar:
- 01 Definir el alcance real del plan
- 02 Hacer un mapa de riesgos proporcionado
- 03 Nombrar un responsable de cumplimiento
- 04 Crear un código ético entendible
- 05 Implantar controles internos concretos
- 06 Regular el canal interno de información
- 07 Formar al equipo de forma realista
- 08 Documentar evidencias de cumplimiento
- 09 Revisar el plan cuando cambia la empresa
Un plan de compliance para PYMEs sirve para prevenir riesgos legales, ordenar controles internos y demostrar que la empresa actúa con diligencia. No es un documento decorativo: debe ayudar a detectar incumplimientos, corregirlos a tiempo y proteger a administradores, empleados y negocio.
Aunque en España no existe una obligación general para todas las pequeñas y medianas empresas, el compliance se ha convertido en una herramienta práctica. Puede ser decisivo si aparece un delito en la empresa, si un cliente exige controles, si se participa en una licitación o si el negocio opera en sectores regulados.
La clave es que el modelo sea proporcional. Una PYME no necesita copiar el sistema de una multinacional, pero sí debe identificar riesgos reales, asignar responsables, formar al equipo, activar canales de información y revisar periódicamente sus controles.
En esta guía verás qué decisiones conviene tomar antes de implantar el plan, qué documentos preparar, qué errores evitar y cómo conectar compliance penal, canal interno, fiscalidad, laboral, datos y responsabilidad de administradores.
9 decisiones para crear un plan de compliance
1. Definir el alcance real del plan
El primer paso es decidir qué cubre el plan. En una PYME puede incluir compliance penal, protección de datos, prevención de blanqueo, riesgos laborales, fiscalidad, contratación con proveedores y controles financieros.
El marco penal es relevante porque el artículo 31 bis del Código Penal permite valorar modelos de organización y gestión eficaces para eximir o atenuar responsabilidad. La Circular 1/2016 de la Fiscalía General del Estado también ayuda a entender qué elementos suelen analizarse al valorar la eficacia del modelo. El alcance debe conectarse con delitos y riesgos que realmente pueden aparecer en la actividad.
2. Hacer un mapa de riesgos proporcionado
El mapa de riesgos identifica dónde puede fallar la empresa: pagos, contratación, proveedores, regalos, datos, fiscalidad, subvenciones, relaciones laborales o seguridad. Debe ordenar riesgos por probabilidad e impacto, sin tratar todos los riesgos como si tuvieran la misma urgencia.
Una empresa industrial, una consultora tecnológica y una inmobiliaria no tienen el mismo mapa de riesgos ni el mismo nivel de exposición. Lo importante es saber dónde puede producirse un incumplimiento serio y qué control evita que ocurra.
3. Nombrar un responsable de cumplimiento
Toda empresa necesita alguien que vigile el funcionamiento del modelo. En PYMEs puede asumirlo el propio órgano de administración, pero debe quedar claro quién coordina, quién informa y quién conserva evidencias.
Si el responsable no tiene tiempo, independencia mínima o formación suficiente, el plan pierde eficacia. También puede externalizarse parte de la función para ganar criterio técnico. La responsabilidad última no desaparece: los administradores deben poder demostrar que impulsaron y supervisaron el sistema.
4. Crear un código ético entendible
El código ético debe explicar cómo actúa la empresa ante conflictos de interés, regalos, pagos, proveedores, datos, competencia, acoso, igualdad y uso de recursos. Debe estar escrito en lenguaje claro: si nadie lo entiende, nadie lo aplica.
Un código breve, firmado y comunicado suele ser más eficaz que un manual largo que nadie consulta. La utilidad está en convertir principios generales en reglas que el equipo pueda usar en decisiones diarias.
5. Implantar controles internos concretos
Los controles son la parte operativa del plan. Pueden incluir doble aprobación de pagos, validación de proveedores, límites de gastos, revisiones fiscales, archivo de contratos y trazabilidad documental.
El objetivo no es frenar el negocio, sino evitar que una decisión sensible dependa de una sola persona sin evidencia. En PYMEs, los controles deben ser simples, repetibles y proporcionales.
6. Regular el canal interno de información
La Ley 2/2023 exige sistemas internos de información para determinados sujetos y fija garantías de confidencialidad, protección del informante y gestión segura. Aunque no todas las PYMEs estén obligadas, el canal puede ser muy recomendable.
Un canal mal gestionado puede crear más riesgo que solución. Debe definir recepción, investigación, plazos, confidencialidad, protección de datos y ausencia de represalias. No debe ser un buzón olvidado.
7. Formar al equipo de forma realista
El plan solo funciona si las personas conocen las reglas. La formación debe adaptarse a cada perfil: administración, ventas, compras, directivos, finanzas, recursos humanos o tecnología.
No basta con enviar un PDF. Conviene explicar escenarios concretos: regalos de proveedores, facturas dudosas, datos personales, conflictos de interés o uso de información confidencial. La formación debe dejar evidencia de fecha, asistentes, contenido y comprensión mínima.
8. Documentar evidencias de cumplimiento
En compliance, lo que no se documenta cuesta mucho probarlo. Actas, políticas, formaciones, revisiones, comunicaciones, investigaciones y controles deben conservarse ordenadamente.
La evidencia es clave si aparece una inspección, una denuncia, un procedimiento penal o una reclamación de un cliente. No se trata de acumular papeles, sino de poder reconstruir decisiones.
9. Revisar el plan cuando cambia la empresa
El compliance no es estático. Cambia si la PYME abre un nuevo mercado, incorpora socios, contrata más empleados, empieza a licitar o entra en un sector regulado.
También debe revisarse si se detecta una infracción, si cambia la normativa o si el mapa de riesgos queda desfasado. La revisión periódica demuestra que el modelo está vivo.
Riesgos y controles que debe priorizar una PYME
Quien busca un plan de compliance para PYMEs normalmente no quiere teoría penal: quiere saber si lo necesita, cuánto riesgo tiene y cómo implantarlo sin paralizar el negocio. La intención suele estar vinculada a una licitación, un cliente exigente, crecimiento interno o una decisión del órgano de administración.
| Riesgo | Señal en una PYME | Control proporcionado |
|---|---|---|
| Pagos y gastos sensibles | Una sola persona aprueba proveedores, pagos, regalos o gastos de representación. | Doble validación por importe, política de regalos y registro de autorizaciones. |
| Contratación de terceros | Agentes, comerciales, proveedores críticos o colaboradores actúan en nombre de la empresa. | Alta de proveedor, contrato, cláusulas de cumplimiento y revisión de conflictos. |
| Datos y canal interno | Se reciben comunicaciones internas sin procedimiento ni protección del informante. | Canal regulado, plazos, confidencialidad, responsable y registro seguro. |
| Riesgo fiscal o contable | Facturación, cobros, subvenciones o gastos sin trazabilidad suficiente. | Archivo de soporte, revisión periódica y responsables de aprobación. |
| Responsabilidad de administradores | El órgano de administración no aprueba ni revisa el modelo. | Acta de aprobación, informe anual y seguimiento de medidas correctoras. |
Criterio práctico: una PYME no debe empezar por el documento más largo, sino por el riesgo más real. Primero se decide qué puede pasar, quién lo controla y qué prueba queda si alguien pregunta dentro de seis meses.
Documentos y evidencias mínimas
El compliance no se demuestra con un documento bonito. Se demuestra con evidencias: formaciones realizadas, controles ejecutados, revisiones periódicas, canal interno operativo, investigaciones documentadas, medidas correctoras y decisiones trazables.
| Documento | Para qué sirve | Evidencia que conviene conservar |
|---|---|---|
| Acta de aprobación | Acredita impulso del órgano de administración y alcance del plan. | Fecha, asistentes, acuerdo, responsable y calendario de implantación. |
| Mapa de riesgos | Prioriza riesgos penales, corporativos, fiscales, laborales o de datos. | Metodología, valoración, controles existentes y acciones pendientes. |
| Código ético y políticas | Convierte principios en reglas aplicables por el equipo. | Versión aprobada, comunicación al equipo y aceptación o acuse. |
| Registro de formación | Demuestra que las reglas se explicaron y no quedaron archivadas. | Fecha, asistentes, contenido, evaluaciones y materiales. |
| Revisión periódica | Comprueba si el modelo sigue vivo y adaptado al negocio. | Informe, incidencias, controles revisados y medidas correctoras. |
Checklist mínimo para empezar
- Organigrama: quién decide, quién ejecuta controles y quién reporta incidencias.
- Procesos sensibles: pagos, compras, ventas, proveedores, regalos, contratación y datos.
- Contratos principales: clientes, proveedores, colaboradores, agentes y socios estratégicos.
- Incidencias previas: reclamaciones, inspecciones, conflictos internos o alertas de auditoría.
- Canales actuales: cómo se reciben dudas, denuncias, quejas o comunicaciones sensibles.
Revisión preventiva
¿Tu PYME necesita compliance por riesgo, cliente o licitación?
Antes de implantar un modelo completo, conviene revisar alcance, riesgos, canal interno y evidencias mínimas.
Errores frecuentes al implantar compliance
Copiar un modelo de gran empresa
Un plan demasiado complejo no se aplica. La PYME necesita controles claros, responsables identificables y documentación proporcionada. Si el sistema exige más de lo que la estructura puede sostener, acabará desconectado del negocio.
Crear políticas sin seguimiento
Un documento sin formación, controles y revisión periódica no demuestra una cultura real de cumplimiento. El plan debe dejar rastro de aplicación: decisiones, registros, comunicaciones y medidas correctoras.
Olvidar al órgano de administración
Los administradores deben impulsar, aprobar y supervisar el modelo. Delegar tareas no elimina su deber de diligencia. Sin actas, seguimiento y revisión, será difícil demostrar que el sistema tenía respaldo real.
Abrir un canal interno sin procedimiento
Un canal de denuncias o información no puede ser solo una dirección de correo. Debe regular recepción, confidencialidad, plazos, protección del informante, investigación, medidas correctoras y tratamiento de datos.
Cómo puede ayudarte GraciaCalbet
En GraciaCalbet ayudamos a PYMEs, administradores y empresas familiares a implantar modelos de compliance proporcionados, conectando derecho penal, mercantil, laboral, fiscal y gestión interna. La clave es que el sistema sea útil para la empresa y defendible si aparece un problema.
Podemos diseñar el mapa de riesgos penal y corporativo, preparar código ético, políticas y controles internos, implantar el canal interno de información, formar a administradores y equipos, y revisar periódicamente el modelo y sus evidencias.
Preguntas Frecuentes (FAQs)
¿Es obligatorio un plan de compliance para una PYME?
No existe una obligación general para todas las PYMEs, pero puede ser obligatorio por normativa sectorial o exigencias contractuales. Además, un modelo eficaz puede ser clave para eximir o atenuar responsabilidad penal de la persona jurídica si se comete un delito en la empresa.
¿Qué debe incluir un plan de compliance para PYMEs?
Debe incluir mapa de riesgos, código ético, políticas internas, controles, canal de información cuando proceda, formación, responsable de cumplimiento, sistema disciplinario y revisión periódica. La clave es que todo esté adaptado al tamaño, actividad y riesgos de la empresa.
¿Puede el administrador responder si no hay compliance?
Puede existir responsabilidad del administrador si no adopta medidas diligentes de control, especialmente cuando hay incumplimientos graves, delitos, deudas o falta de supervisión. El compliance no elimina todos los riesgos, pero ayuda a demostrar que el órgano de administración actuó con diligencia.
¿Cada cuánto debe revisarse el plan de compliance?
Debe revisarse periódicamente y siempre que cambie la actividad, estructura, normativa, riesgos o modelo de negocio. También conviene revisarlo después de una incidencia, denuncia interna o inspección. Un plan no actualizado puede perder eficacia.
¿Un canal de denuncias forma parte del compliance?
Sí. El canal interno de información suele integrarse dentro del sistema de compliance porque permite detectar irregularidades, proteger informantes y gestionar investigaciones internas. En algunos casos es obligatorio por la Ley 2/2023; en otros, aunque no lo sea, puede ser una herramienta recomendable.
