9 decisions per al pla de compliance per a pimes en 2026
Compliance per a empreses
9 decisions per al pla de compliance per a pimes en 2026
Una guia per implantar un pla de compliance per a pimes útil, proporcional i defensable, sense convertir el compliment en burocràcia que ningú aplica.
Àrea mercantil, penal i corporativa
Enfocament Pimes, administradors, empreses familiars i negocis en creixement.
Risc principal Copiar un model genèric sense controls, formació ni prova d’aplicació.
Decisió útil Començar per riscos reals, responsables clars i evidències proporcionades.
Aquestes són les 9 decisions del pla de compliance per a pimes que recomanem revisar:
- 01 Definir l’abast real del pla
- 02 Fer un mapa de riscos proporcionat
- 03 Nomenar un responsable de compliment
- 04 Crear un codi ètic entenedor
- 05 Implantar controls interns concrets
- 06 Regular el canal intern d’informació
- 07 Formar l’equip de manera realista
- 08 Documentar evidències de compliment
- 09 Revisar el pla quan canvia l’empresa
Un pla de compliance per a pimes serveix per prevenir riscos legals, ordenar controls interns i demostrar que l’empresa actua amb diligència. No és un document decoratiu: ha d’ajudar a detectar incompliments, corregir-los a temps i protegir administradors, empleats i negoci.
A Espanya no existeix una obligació general per a totes les petites i mitjanes empreses, però el compliance s’ha convertit en una eina pràctica. Pot ser decisiu si apareix un delicte a l’empresa, si un client exigeix controls, si es participa en una licitació o si el negoci opera en sectors regulats.
La clau és que el model sigui proporcional. Una pime no necessita copiar el sistema d’una multinacional, però sí identificar riscos reals, assignar responsables, formar l’equip, activar canals d’informació i revisar periòdicament els controls.
Aquesta guia explica quines decisions convé prendre abans d’implantar el pla, quins documents preparar, quins errors evitar i com poden interactuar compliance penal, canal intern, fiscalitat, laboral, dades i responsabilitat d’administradors.
9 decisions per crear un pla de compliance
1. Definir l’abast real del pla
El primer pas és decidir què cobreix el pla. En una pime pot incloure compliance penal, protecció de dades, prevenció de blanqueig, riscos laborals, fiscalitat, contractació amb proveïdors i controls financers.
El marc penal és rellevant perquè l’article 31 bis del Codi Penal permet valorar models d’organització i gestió eficaços en relació amb la responsabilitat penal de la persona jurídica. La Circular 1/2016 de la Fiscalia General de l’Estat també ajuda a entendre quins elements solen revisar-se en valorar l’eficàcia del model.
2. Fer un mapa de riscos proporcionat
El mapa de riscos identifica on pot fallar l’empresa: pagaments, contractació, proveïdors, regals, dades, fiscalitat, subvencions, relacions laborals o seguretat. Ha d’ordenar riscos per probabilitat i impacte, sense tractar-los tots com si tinguessin la mateixa urgència.
Una empresa industrial, una consultora tecnològica i una immobiliària no tenen el mateix mapa de riscos. L’important és saber on pot produir-se un incompliment seriós i quin control pot evitar-lo.
3. Nomenar un responsable de compliment
Tota empresa necessita algú que vigili el funcionament del model. En pimes pot assumir-ho el propi òrgan d’administració, però ha de quedar clar qui coordina, qui informa i qui conserva evidències.
Si el responsable no té temps, independència mínima o formació suficient, el pla perd eficàcia. També es pot externalitzar part de la funció per obtenir criteri tècnic, però la responsabilitat última dels administradors no desapareix.
4. Crear un codi ètic entenedor
El codi ètic ha d’explicar com actua l’empresa davant conflictes d’interès, regals, pagaments, proveïdors, dades, competència, assetjament, igualtat i ús de recursos. Ha d’estar escrit en llenguatge clar: si ningú l’entén, ningú l’aplica.
Un codi breu, signat i comunicat acostuma a ser més eficaç que un manual llarg que ningú consulta. La utilitat és convertir principis generals en regles aplicables a decisions diàries.
5. Implantar controls interns concrets
Els controls són la part operativa del pla. Poden incloure doble aprovació de pagaments, validació de proveïdors, límits de despeses, revisions fiscals, arxiu de contractes i traçabilitat documental.
L’objectiu no és frenar el negoci, sinó evitar que una decisió sensible depengui d’una sola persona sense evidència. En pimes, els controls han de ser simples, repetibles i proporcionals.
6. Regular el canal intern d’informació
La Llei 2/2023 exigeix sistemes interns d’informació per a determinats subjectes i fixa garanties de confidencialitat, protecció de l’informant i gestió segura. Encara que una pime no sempre estigui obligada, el canal pot ser recomanable si hi ha riscos sensibles.
Un canal mal gestionat pot crear més risc que solució. Ha de regular recepció, investigació, terminis, confidencialitat, protecció de dades i absència de represàlies. No ha de ser una bústia oblidada.
7. Formar l’equip de manera realista
El pla només funciona si les persones coneixen les regles. La formació s’ha d’adaptar a cada perfil: administració, vendes, compres, direcció, finances, recursos humans o tecnologia.
No n’hi ha prou amb enviar un PDF. Convé explicar escenaris concrets: regals de proveïdors, factures dubtoses, dades personals, conflictes d’interès o ús d’informació confidencial. La formació ha de deixar evidència de data, assistents, contingut i comprensió mínima.
8. Documentar evidències de compliment
En compliance, allò que no es documenta costa molt provar-ho. Actes, polítiques, formacions, revisions, comunicacions, investigacions i controls s’han de conservar de manera ordenada.
L’evidència és clau si apareix una inspecció, denúncia, procediment penal o reclamació d’un client. No es tracta d’acumular papers, sinó de poder reconstruir decisions.
9. Revisar el pla quan canvia l’empresa
El compliance no és estàtic. Canvia si la pime obre un nou mercat, incorpora socis, contracta més empleats, comença a licitar o entra en un sector regulat.
També s’ha de revisar si es detecta una infracció, si canvia la normativa o si el mapa de riscos queda desfasat. La revisió periòdica demostra que el model està viu.
Riscos i controls que ha de prioritzar una pime
Qui busca un pla de compliance per a pimes normalment no vol teoria penal abstracta: vol saber si el necessita, on té risc i com implantar-lo sense paralitzar el negoci. La intenció acostuma a estar vinculada a una licitació, un client exigent, creixement intern o decisió de l’òrgan d’administració.
| Risc | Senyal en una pime | Control proporcionat |
|---|---|---|
| Pagaments i despeses sensibles | Una sola persona aprova proveïdors, pagaments, regals o despeses de representació. | Doble validació per import, política de regals i registre d’autoritzacions. |
| Contractació de tercers | Agents, comercials, proveïdors crítics o col·laboradors actuen en nom de l’empresa. | Alta de proveïdor, contracte, clàusules de compliment i revisió de conflictes. |
| Dades i canal intern | Es reben comunicacions internes sense procediment ni protecció de l’informant. | Canal regulat, terminis, confidencialitat, responsable i registre segur. |
| Risc fiscal o comptable | Facturació, cobraments, subvencions o despeses sense traçabilitat suficient. | Arxiu de suport, revisió periòdica i responsables d’aprovació. |
| Responsabilitat d’administradors | L’òrgan d’administració no aprova ni revisa el model. | Acta d’aprovació, informe anual i seguiment de mesures correctores. |
Criteri pràctic: una pime no ha de començar pel document més llarg, sinó pel risc més real. Primer es decideix què pot passar, qui ho controla i quina prova quedarà si algú pregunta d’aquí a sis mesos.
Documents i evidències mínimes
El compliance no es demostra amb un document bonic. Es demostra amb evidències: formacions realitzades, controls executats, revisions periòdiques, canal intern operatiu, investigacions documentades, mesures correctores i decisions traçables.
| Document | Per a què serveix | Evidència que convé conservar |
|---|---|---|
| Acta d’aprovació | Acredita impuls de l’òrgan d’administració i abast del pla. | Data, assistents, acord, responsable i calendari d’implantació. |
| Mapa de riscos | Prioritza riscos penals, corporatius, fiscals, laborals o de dades. | Metodologia, valoració, controls existents i accions pendents. |
| Codi ètic i polítiques | Converteix principis en regles aplicables per l’equip. | Versió aprovada, comunicació a l’equip i acceptació o acusament. |
| Registre de formació | Demostra que les regles es van explicar i no van quedar arxivades. | Data, assistents, contingut, avaluacions i materials. |
| Revisió periòdica | Comprova si el model continua viu i adaptat al negoci. | Informe, incidències, controls revisats i mesures correctores. |
Checklist mínim per començar
- Organigrama: qui decideix, qui executa controls i qui reporta incidències.
- Processos sensibles: pagaments, compres, vendes, proveïdors, regals, contractació i dades.
- Contractes principals: clients, proveïdors, col·laboradors, agents i socis estratègics.
- Incidències prèvies: reclamacions, inspeccions, conflictes interns o alertes d’auditoria.
- Canals actuals: com es reben dubtes, denúncies, queixes o comunicacions sensibles.
Errors freqüents en implantar compliance
Copiar un model de gran empresa
Un pla massa complex no s’aplica. La pime necessita controls clars, responsables identificables i documentació proporcionada. Si el sistema exigeix més del que l’estructura pot sostenir, acabarà desconnectat del negoci.
Crear polítiques sense seguiment
Un document sense formació, controls i revisió periòdica no demostra una cultura real de compliment. El pla ha de deixar rastre d’aplicació: decisions, registres, comunicacions i mesures correctores.
Oblidar l’òrgan d’administració
Els administradors han d’impulsar, aprovar i supervisar el model. Delegar tasques no elimina el deure de diligència. Sense actes, seguiment i revisió, serà difícil demostrar que el sistema tenia suport real.
Obrir un canal intern sense procediment
Un canal de denúncies o informació no pot ser només una adreça de correu. Ha de regular recepció, confidencialitat, terminis, protecció de l’informant, investigació, mesures correctores i tractament de dades.
Com pot ajudar-te GraciaCalbet
A GraciaCalbet ajudem pimes, administradors i empreses familiars a implantar models de compliance proporcionats, connectant dret penal, mercantil, laboral, fiscal i gestió interna. La clau és que el sistema sigui útil per a l’empresa i defensable si apareix un problema.
Podem dissenyar el mapa de riscos penal i corporatiu, preparar codi ètic, polítiques i controls interns, implantar el canal intern d’informació, formar administradors i equips, i revisar periòdicament el model i les seves evidències.
Aquest treball pot connectar amb la nostra àrea de compliance penal, amb l’àrea mercantil i societària i amb l’àrea fiscal quan el model té implicacions més àmplies.
GRACIACALBET
Compliance proporcionat per a pimes
Si la teva empresa necessita controls per creixement, licitació, client estratègic o risc penal, convé dissenyar un sistema aplicable i documentat.
Preguntes Freqüents (FAQs)
És obligatori un pla de compliance per a una pime?+
No existeix una obligació general per a totes les pimes, però pot ser obligatori per normativa sectorial o exigències contractuals. A més, un model eficaç pot ser clau per eximir o atenuar responsabilitat penal de la persona jurídica si es comet un delicte a l’empresa.
Què ha d’incloure un pla de compliance per a pimes?+
Ha d’incloure mapa de riscos, codi ètic, polítiques internes, controls, canal d’informació quan procedeixi, formació, responsable de compliment, sistema disciplinari i revisió periòdica. La clau és adaptar-ho a la mida, activitat i riscos de l’empresa.
Pot respondre l’administrador si no hi ha compliance?+
Pot existir responsabilitat de l’administrador si no adopta mesures diligents de control, especialment quan hi ha incompliments greus, delictes, deutes o falta de supervisió. El compliance no elimina tots els riscos, però ajuda a demostrar diligència.
Cada quant s’ha de revisar el pla de compliance?+
S’ha de revisar periòdicament i sempre que canviï l’activitat, estructura, normativa, riscos o model de negoci. També convé revisar-lo després d’una incidència, denúncia interna o inspecció. Un pla no actualitzat pot perdre eficàcia.
Un canal de denúncies forma part del compliance?+
Sí. El canal intern d’informació acostuma a integrar-se dins del sistema de compliance perquè permet detectar irregularitats, protegir informants i gestionar investigacions internes. En alguns casos és obligatori per la Llei 2/2023; en altres pot ser recomanable.