Cómo evitar consecuencias legales con un sistema eficaz

Dos noticias recientes nos sirven como ejemplo revelador del impacto que puede tener una inadecuada gestión de riesgos de compliance. Por un lado, la Fiscalía ha solicitado la disolución de Cepsa por un presunto fraude fiscal de 7,7 millones de euros, acusando a la compañía de aplicar deducciones sin justificación legal. Por otro, el Real Madrid se enfrenta a juicio por supuestos delitos medioambientales, tras los conciertos celebrados en el estadio Santiago Bernabéu que habrían superado los límites legales de ruido. Ambos casos exponen cómo fallos en el cumplimiento normativo, si no se previenen con un sistema de gestión adecuado, pueden desembocar en sanciones económicas, procesos penales y un daño significativo a la reputación corporativa.

Estas situaciones evidencian la necesidad urgente de que las organizaciones, con independencia de su tamaño o sector, no solo definan con claridad las actividades que realizan, sino que realicen un análisis sistemático de los riesgos de incumplimiento que pueden derivarse de esas actividades. La normativa fiscal, medioambiental, laboral o sectorial impone obligaciones que deben ser integradas dentro del funcionamiento ordinario del negocio. Esto requiere un enfoque proactivo, preventivo y alineado con la realidad operativa de cada entidad.

Identificación y evaluación de riesgos: adaptar el compliance a la realidad de cada organización

La primera etapa crítica en cualquier programa de compliance es la identificación y evaluación de los riesgos normativos. Esto implica entender cómo las actividades específicas de la empresa pueden entrar en conflicto con normativas aplicables. En el caso de Cepsa, el riesgo estaba vinculado a la interpretación y aplicación de beneficios fiscales; en el del Real Madrid, a la afectación medioambiental de eventos multitudinarios. En ambos ejemplos, parece haber habido una falta de anticipación y análisis riguroso de los riesgos inherentes a sus operaciones.

Este análisis debe basarse en criterios objetivos, incluir a todas las áreas clave del negocio y estar documentado. Debe actualizarse de forma periódica, teniendo en cuenta cambios regulatorios, estratégicos y operativos. Identificar los riesgos no es una formalidad: es un proceso que permite enfocar los esfuerzos de compliance en aquello que realmente puede poner en riesgo a la organización.

Implementación y supervisión de controles: herramientas para reducir la exposición al riesgo

Detectar un riesgo no basta: es imprescindible implementar controles eficaces que eviten que dichos riesgos se materialicen. Esto puede incluir controles financieros, operativos, tecnológicos o de gestión documental. En el caso de Cepsa, controles fiscales más estrictos y revisiones internas podrían haber evitado el uso inadecuado de deducciones. En el caso del Real Madrid, evaluaciones acústicas previas y límites automáticos de sonido podrían haber reducido la posibilidad de superar los límites legales.

La eficacia del sistema de compliance depende en gran medida de que estos controles sean adecuados, estén bien documentados y se supervisen regularmente. Una auditoría interna bien diseñada y procesos de revisión continua permiten detectar desviaciones y corregirlas a tiempo. No se trata solo de diseñar controles, sino de asegurarse de que funcionen en la práctica

Asignación de responsabilidades: saber quién hace qué

Otra clave fundamental es definir claramente quién es responsable de aplicar, supervisar y mejorar los controles. La gestión de compliance no puede quedar difusa o relegada únicamente a un departamento. Cada persona dentro de la organización debe conocer su papel en el cumplimiento normativo. Además, debe haber responsables designados que velen por la correcta implementación de políticas y controles, y que respondan ante la alta dirección.

Esta asignación de roles y responsabilidades debe quedar reflejada en los documentos de gobierno interno: organigramas, descripciones de puestos, manuales de procedimientos. De esta manera, se promueve una cultura de cumplimiento transversal, en la que todos los niveles entienden la importancia de operar dentro del marco legal.

Canales de comunicación: detectar irregularidades antes de que escalen

Los canales de comunicación internos son un elemento imprescindible para garantizar que los riesgos no pasen desapercibidos. Las organizaciones deben habilitar canales eficaces, seguros y confidenciales que permitan alertar sobre conductas potencialmente irregulares. Esto no solo permite actuar antes de que se materialicen consecuencias, sino que también refuerza la confianza de los empleados en el sistema de integridad de la empresa.

Estos canales —como buzones de denuncias, líneas éticas o plataformas digitales— deben cumplir con los requisitos legales (con leyes claves como la Ley 2/2023), estar bien comunicados y ser accesibles a todos los miembros de la organización. La clave es que la información fluya y llegue a quienes pueden actuar para evitar daños mayores.

Integración en un modelo de compliance

Los casos de Cepsa y el Real Madrid no son solo advertencias aisladas, sino recordatorios contundentes de que la gestión del cumplimiento normativo no puede abordarse de forma fragmentada ni reactiva. Identificar y evaluar riesgos, implementar controles adecuados, asignar responsabilidades claras y habilitar canales de comunicación son piezas que solo generan verdadero valor cuando se integran de forma coherente en un modelo de compliance estructurado, transversal y adaptado a la realidad de cada organización. Este modelo debe estar respaldado por el compromiso de la alta dirección, incorporarse en la estrategia empresarial y someterse a mejora continua. Solo así se puede proteger de forma eficaz a la organización frente a riesgos legales, sanciones económicas y daños reputacionales, asegurando un entorno de integridad y sostenibilidad a largo plazo.

• Cepsa y Real Madrid: dos casos que evidencian la necesidad de una gestión eficaz de riesgos de compliance
• La CNMC multa a I.C.O.N. y evidencia la falta de programas de compliance en competencia
• AI Act y reconocimiento facial: cómo afecta a las cámaras con IA en tu empresa
• Nueva ley de la UE contra la corrupción: Acuerdo para reforzar la transparencia
• Dimensión práctica de la gestión del control del fraude en la ISO 37003
• Señales de alerta temprana: KPI´s clave de actividad anómala