La olvidada mejora continua:
qué es y cómo aplicarla en los programas
de compliance

Tatiana Helguero*

Universidad de Lima, Perú

Recibido: 20 de marzo del 2025 / Aceptado: 20 de marzo del 2025

doi: https://doi.org/10.26439/iusetpraxis2025.n060.7837

RESUMEN. La mejora continua constituye uno de los elementos mínimos que todo modelo de prevención debe incluir, conforme a la Ley 30424, también conocida como “Ley que regula la responsabilidad de las personas jurídicas en el proceso penal”. Por este motivo, a través del presente artículo, se pretende ofrecer al lector información que le permita diseñar e implementar de forma efectiva dicho componente, con el fin de evitar el compliance de papel, es decir, que sea implementado de manera superficial y sin eficacia real.

PALABRAS CLAVE: compliance / modelo de prevención de delitos / responsabilidad
de las personas jurídicas / mejora continua

THE FORGOTTEN CONTINUOUS IMPROVEMENT:
WHAT IS IT AND HOW TO APPLY IT IN COMPLIANCE SYSTEMS

ABSTRACT. Continuous improvement is one of the minimum elements that any compliance system must include in accordance with Act N° 30424, Act that regulates the responsibility of companies in criminal proceedings. This article seeks to provide the reader with valuable information that allows them to effectively design and implement said component, preventing the implemented Compliance from being paper-based.

KEYWORDS: compliance / crime prevention system / responsibility of companies / continuous improvement

* Abogada por la Universidad de Lima (Perú). Cuenta con estudios de especialización en Control Interno y Gestión del Riesgo por la misma universidad y en Ética y Compliance LATAM por la Escuela de Negocios de la Universidad Católica Argentina, además de formación como auditora líder por Aenor Perú en la norma ISO 37001:2016, Sistemas de gestión antisoborno, entre otras normas. Es asociada senior del Área de Compliance de CMS Grau, miembro del Comité de Cumplimiento de la misma firma y principal responsable de la gestión y desempeño del sistema de cumplimiento.

1. INTRODUCCIÓN

El presente artículo aborda el requisito de mejora continua desde un enfoque exclusivamente de compliance. En los últimos años, hemos sido testigos de la relevancia que ha adquirido esta práctica en la jurisdicción peruana. Incluso, por momentos, parecería ser que existe una apología excesiva al compliance en el mercado, en tanto existe una gran cantidad de información —y, con ello, de especialistas— disponible y al alcance de un clic.

En mi opinión, resulta innegable que el uso constante del término compliance en el Perú se remonta a la Ley 30424 (en adelante, la Ley), conocida también como “Ley que regula la responsabilidad de las personas jurídicas en el proceso penal” —que inicialmente fue denominada como la “Ley que regula la responsabilidad administrativa de las personas jurídicas por el delito de cohecho activo transnacional”—, mucho antes de que entrara en vigencia el 1 de enero del 2018. Por eso, cuando se hablaba de compliance, se sobreentendía que se estaba haciendo referencia a la responsabilidad de las personas jurídicas derivada de la comisión de un delito.

Con el paso del tiempo, debido a su relevancia y presencia en los medios de comunicación por los escándalos de corrupción ocurridos en los últimos años, el término compliance comenzó a utilizarse no solo para referirse a la responsabilidad de las personas jurídicas, sino también para aludir a la diligencia que asumen las organizaciones para cumplir la ley en su acepción más amplia. Así se empezó a leer y a escuchar cómo las personas se referían al compliance laboral, compliance tributario, compliance ambiental, abarcando todas —o casi todas— las ramas del derecho.

En general, se abrió paso al uso indiscriminado del término compliance, lo que atenuó la relevancia que había cobrado la Ley en sus años de apogeo y orientó la acepción inicialmente concebida hacia una de corte regulatorio. También se comenzó a concebir al compliance como si fuese la práctica a través de la cual las empresas garantizan el cumplimiento de sus obligaciones legales, lo que a la fecha ha pasado a denominarse —de manera acertada diría yo— como cumplimiento normativo, que se distancia así del término originalmente acuñado con la entrada en vigencia de la Ley.

Si bien no es materia del presente artículo debatir sobre qué debe entenderse por compliance, si por este término se alude a la responsabilidad penal atribuible a las personas jurídicas por la comisión de delitos, conviene recordar que, en el 2002, se creó la Unidad de Inteligencia Financiera (en adelante, UIF), adscrita a la Superintendencia de Banca, Seguros y AFP, cuya función es recibir, analizar y procesar información para la detección del lavado de activos y el financiamiento del terrorismo. Por ende, es la entidad encargada de prevenir y alertar a los organismos nacionales e internacionales, según su competencia, sobre las operaciones sospechosas mencionadas.

Considerando dichas atribuciones, la UIF obliga a cierto grupo de empresas, a quienes denomina como sujetos obligados, a proporcionarle información sobre sus operaciones y controles implementados para prevenir la comisión de dichos delitos, por lo que el incumplimiento de dichas obligaciones deriva en responsabilidad para la persona jurídica y, por tanto, en la aplicación de sanciones. Si bien esta responsabilidad es de carácter administrativo, no se puede desconocer que la UIF viene imputando responsabilidad a los sujetos obligados desde mucho tiempo antes del origen de la Ley. Entonces, si entendemos por compliance a aquella materia que busca prevenir la comisión de delitos a través de programas o sistemas de cumplimiento para gestionar la eventual responsabilidad, entonces sería lógico aseverar que el compliance se encuentra integrado a nuestro sistema jurídico, cuando menos, desde hace una década.

Contextualizado el concepto de compliance para efectos del presente trabajo, desarrollaremos esta materia bajo los alcances de la Ley que, en su artículo 12, señala:

Artículo 12.- Eximente y circunstancias atenuantes

La persona jurídica está exenta de responsabilidad [énfasis añadido] por la comisión de los delitos comprendidos en el artículo 1 si adopta e implementa [énfasis añadido] en su organización, con anterioridad a la comisión del delito, un modelo de prevención [énfasis añadido] adecuado a su naturaleza, riesgos, necesidades y características, consistente en medidas de vigilancia y control idóneas para prevenir los delitos antes mencionados o para reducir significativamente el riesgo de su comisión.

De la lectura del citado artículo, se colige que la persona jurídica puede quedar exenta de responsabilidad —en el mejor de lo casos— o apelar a circunstancias atenuantes —en el peor— para mitigar la responsabilidad que le sería atribuible por permitir que la organización funcione como un vehículo para cometer ciertos delitos y así obtener beneficios indebidos. La forma de acceder a este salvavidas es señalando a la Superintendencia del Mercado de Valores, como autoridad competente para emitir un juicio de valor, que la organización cuenta con un modelo de prevención de delitos1. El artículo 17, sobre la implementación del modelo de prevención, de la Ley, incluye lo siguiente:

17.2. El modelo de prevención debe contar con los siguientes elementos mínimos [énfasis añadido]:

17.2.1. Un encargado de prevención, designado por el máximo órgano de administración de la persona jurídica o quien haga sus veces, según corresponda, que debe ejercer su función con autonomía. Tratándose de las micro, pequeña y mediana empresas, el rol de encargado de prevención puede ser asumido directamente por el órgano de administración.

17.2.2. Acciones de mitigación de riesgos identificados.

17.2.3. Implementación de procedimientos de denuncia.

17.2.4. Difusión y capacitación periódica del modelo de prevención.

17.2.5. Evaluación y monitoreo continuo del modelo de prevención [énfasis añadido].

17.3. La persona jurídica, en el ejercicio de su autorregulación, puede implementar o incorporar [énfasis añadido] a su modelo de prevención, cualquier otro elemento conforme a su perfil de riesgos y diseñar los mecanismos que resulten necesarios. En el caso de la micro, pequeña y mediana empresa, el modelo de prevención será acotado a su naturaleza y características.

Nos centraremos sobre este último elemento (17.2.5) y mostraremos su trascendencia en lo que respecta al compliance.

2. ¿QUÉ ENTENDER POR MEJORA CONTINUA?

2.1. Elementos mínimos de un modelo de prevención

En este punto, resulta importante presentar al lector algunos conceptos que servirán para lograr un entendimiento más preciso de los elementos del modelo de prevención. En primer lugar, debemos entender que, a partir de la lectura literal del artículo 17 de la Ley, no puede denominarse modelo de prevención a aquel sistema que adolece de uno de los elementos antes citados (17.2.1-17.2.5). Entonces, no existe modelo de prevención que permita, eventualmente, eximir de responsabilidad a una persona jurídica si la organización no logra acreditar, por ejemplo, la realización de capacitaciones periódicas2. Esto quiere decir que estos elementos no son excluyentes entre sí y, por ende, deben coexistir para afirmar que se ha implementado un modelo de prevención.

En segundo lugar, el inciso 17.3 permite a la organización, en ejercicio de su facultad de autorregulación, implementar otros componentes de compliance que coadyuven al objetivo de prevenir riesgos y fomentar una cultura ética y de transparencia en las relaciones comerciales. Por lo tanto, del análisis conjunto de ambos artículos, se desprende que un modelo de prevención existe a partir de la implementación de los elementos mínimos establecidos por el inciso 17.2 del artículo 17 de la Ley, así como de los elementos adicionales que la organización incorpore —inciso 17.3 del artículo 17—, atendiendo a factores internos y externos propios de la forma y del sector donde desarrolla operaciones. Entonce, se desprende que, mientras los elementos mínimos son obligatorios (debe), los elementos complementarios son facultativos (puede).

A modo de ejemplo, creemos que resulta cuestionable señalar que existe un modelo de prevención implementado por una organización que no ha designado a su oficial de cumplimiento. Como mucho, podría decirse que la organización cuenta con un compliance de papel, mas no con un sistema conforme a los términos y espíritu de la Ley. Es distinto el caso de un sistema que, además de contar con lo mínimamente exigido, implementa, por ejemplo, acciones de debida diligencia reforzada para el análisis de los socios de negocios extranjeros con quienes mantiene vínculos comerciales. Si bien no es obligatorio, la organización entiende de que estas son acciones necesarias que contribuyen con el objetivo de compliance, es decir, mitigar posibles riesgos.

2.2 Mejora continua como elemento del modelo

Ahora bien, de la lectura del artículo 17 de la Ley, no se ha observado que el legislador haya previsto que la mejora continua sea un elemento mínimo que todo modelo debe tener para configurarse como tal. Sin embargo, el numeral 17.2.5 de la Ley, bajo el título de “Evaluación y monitoreo continuo”, ha sido desarrollado con mejor precisión por el Reglamento de la Ley 30424 (en adelante, el Reglamento), que fue aprobado mediante el Decreto Supremo 002-2019-JUS, cuya última y reciente modificación fue aprobada por el Decreto Supremo 002-2025-JUS. En su artículo 42, el Reglamento establece lo siguiente:

Artículo 42.- La evaluación y monitoreo continuo del modelo de prevención

1. La persona jurídica debe establecer mecanismos para retroalimentación y otros procesos internos que apoyen al mejoramiento continuo del modelo de prevención [énfasis añadido].

2. El órgano de gobierno o administración de la persona jurídica debe monitorear y revisar su adecuación e implementar las mejoras que sean necesarias [énfasis añadido] al modelo de prevención, acciones que deben reflejarse documentalmente. Este proceso debe referirse como mínimo a los siguientes aspectos:

a) Funcionamiento del modelo de prevención

b) Fallas o debilidades encontradas

c) Detalle de las acciones correctivas realizadas

d) Eficacia de las medidas adoptadas para hacer frente a los riesgos identificados

e) Oportunidades de mejora del modelo de prevención [énfasis añadido]

De la lectura del título del artículo 42, podría pensarse que el legislador se limitó a establecer que las personas jurídicas evalúen y monitoreen el modelo, es decir, que revisen su sistema constantemente. Sin embargo, al analizar su contenido, el numeral 1 expresa la finalidad por la cual se exige a la persona jurídica realizar dicha revisión: “Mejoramiento continuo del modelo de prevención” (Decreto Supremo 002-2019-JUS). Por su parte, el numeral 2 señala que “la persona jurídica debe monitorear y revisar su adecuación e implementar las mejoras que sean necesarias al modelo de prevención” (Decreto Supremo 002-2019-JUS).

Frente a lo expuesto, creemos que el legislador cometió un error en el empleo de los términos que utilizó para denominar a ciertos procesos como elementos mínimos y, además, omitió en este listado al proceso de mejora continua. Sin embargo, de la lectura del artículo 42, no queda duda de que la evaluación y el monitoreo no se limitan a —y ni siquiera tienen como objetivo— obligar a la persona jurídica a evaluar su sistema, sino que esta tarea se establece para lograr un fin ulterior que es la de mejorar el compliance implementado.

En consecuencia, la revisión del modelo constituye uno de los tantos procesos destinados para recopilar información y, con ello, dar paso a la mejora continua a través de su tratamiento. Por ende, esta última representa, a todas luces, un elemento mínimo de cualquier modelo de prevención de delitos. Hay que ponderar, además, que el propio artículo señala que la evaluación debe efectuarse en pro de mejorar el sistema. Al ser este su objetivo, podemos concluir que, aunque no se desprende literalmente de la lectura de los elementos mínimos del artículo 17 de la Ley, sí lo hace naturalmente, en el sentido de que la mejora de los procesos implementados es inherente al compliance —y , podríamos decir, a cualquier sistema—.

Ahora bien, al adentrarnos en la comprensión de lo que entendemos por mejora, es cierto que el Reglamento reservó el artículo 43 bajo el título de “Mejora continua del modelo de prevención”, el cual dispone lo siguiente:

La organización mejora continuamente la idoneidad, adecuación a la realidad y eficacia [énfasis añadido] del modelo de prevención.

El proceso de mejora incluye la adopción de acciones correctivas, o cambios al modelo ante la ocurrencia de violaciones al mismo, cambios en la estructura de la organización, en el desarrollo de sus actividades o ante factores internos o externos que impliquen cambios en el perfil de riesgos identificados que sirvió para la elaboración del modelo de prevención.

Una vez establecido que la mejora continua es un elemento mínimo e indispensable, nos corresponde analizar qué significa, en términos de la norma, mejorar el modelo de prevención. Para esto, resultan clave los tres términos empleados por el legislador en el primer párrafo del artículo 43 en donde pareciera dar a entender de que la mejora significa 'tratar la idoneidad', 'adecuación' y 'eficacia de un modelo'. Nuevamente, se evidencia cómo el legislador eludió su obligación de tropicalizar estas cuestiones al plano local, al replicar de forma literal el desarrollo de mejora continua acuñado por los estándares internaciones ISO, tales como la ISO 9000:2015 Sistemas de gestión de calidad, la ISO 37001:2025 Sistemas de gestión antisoborno o la ISO 37301:2021 Sistemas de gestión de cumplimiento3. Debemos ser conscientes de que esto obedece, simple y llanamente, a la falta de conocimiento técnico del legislador al momento de esbozar lo que sería nuestro primer reglamento de compliance, destinado a regular cómo una persona jurídica debe estructurar su modelo de prevención. Lo cierto es que, ante la falta de competencias técnicas, resulta favorable y preferible, para el contexto peruano, que se haya tomado como referencia estándares y normas internacionales para la elaboración del Reglamento.

Finalmente, esto no es una novedad. La promulgación del Reglamento vino acompañada de una exposición de motivos en la que el legislador indicó expresamente lo siguiente:

Asimismo, se ha trabajado sobre la base de la norma internacional ISO 37001:2017 Sistemas de gestión antisoborno; la norma técnica peruana NTP-ISO 37001:2017 Sistemas de gestión antisoborno; requisitos con orientación para su uso; la norma internacional ISO 19600 Gestión de compliance. (Resolución 0061-2018-JUS, 2018)

Aunado a lo anterior, no debemos soslayar que los estándares internacionales citados líneas arriba incluyen, bajo el nombre de mejora, a todas las acciones que el legislador ha regulado bajo el artículo 42, titulado “Evaluación y monitoreo continuo del modelo de prevención”, y listadas en los incisos a) al d) del numeral 2. Por lo tanto, esta constituye una prueba adicional, pues, de que la mejora continua incluye, mas no se limita, a la evaluación y revisión de un sistema.

Pienso que legislativamente, en la búsqueda de inspiración para redactar el Reglamento, se cometió un error al titular como evaluación del modelo de prevención a aquellas acciones que abren camino a mejorar el modelo de prevención. Dicho esto, y como adelanté líneas arriba, considero que la evaluación (o monitoreo) es uno de los tantos procesos que permite mejorar el modelo de prevención y, por lo tanto, antecede al proceso mismo de mejora continua. Entonces revisar, evaluar, monitorear o auditar el modelo no son otra cosa que elementos de entrada que permiten abordar la mejora de una organización de forma sostenida en el tiempo, a fin de evitar el denominado compliance de papel.

En este orden de ideas, se propone definir a la mejora continua del modelo de prevención como aquel proceso en donde se busca verificar y tratar la idoneidad, adecuación y eficacia del modelo, y que parte de la difícil tarea de definir qué objetivos persigue la organización a través de este proceso de mejora de su compliance, de manera tal que se pueden contrastar estos factores contra los resultados obtenidos.

Así, debemos dejar en el olvido aquellos textos genéricos que se presentan como evidencia de este requisito, incluidos en políticas, procedimientos y manuales que resumen que la organización se compromete a mejorar continuamente. Estos textos no hacen sino revelar la ignorancia que se tiene sobre la aplicación de este elemento de la norma; hay que apuntar a mejorar cuestiones concretas que, al menos, sean medibles y alcanzables. Por último, hay que recordar que la mejora de cada organización es directamente proporcional a su contexto interno y externo, y, con ello, a la capacidad que se tiene de asumir retos más elevados, por lo que los objetivos de mejora de compliance no deberían ser nunca idénticos (Casanovas, 2015).

Continuando con este análisis, corresponde dar algún significado a los términos de idoneidad, adecuación y eficacia. Sobre este último, no existe mayor incertidumbre al respecto, en tanto los estándares internacionales señalan que es “el grado en el que se realizan las actividades planificadas y se logran los resultados esperados” (Organización Internacional de Normalización, 2015, requisito 3.7 "Términos relativos al resultado", numeral 3.7.11). En otras palabras, obtener un resultado eficaz está directamente vinculado a cumplir una meta u objetivo previamente establecido. Entonces, si por eficacia debemos entender el logro del resultado esperado, corresponde cuestionarnos si estamos planificando las acciones necesarias para procurar alcanzar dichos resultados (qué quiero lograr, cómo hacerlo, para qué, etcétera), a fin de verificar solo así si estamos siendo eficaces en compliance.

En la práctica, la mayoría de las empresas ni siquiera han establecido objetivos de compliance medibles o verificables; o, en el mejor de los casos, el objetivo se limita a que no se cometan actos de soborno. Resulta absurdo establecer como un objetivo aquello que la Ley mínimamente exige, pues no alcanzarlo podría, incluso, bordear la ilegalidad. Corresponderá a dichas organizaciones reflexionar cómo podrían mejorar si ni siquiera se cuentan con una meta contemplada.

No sucede lo mismo, sin embargo, con los restantes términos, por lo que urge poner sobre la mesa de discusión cuál debiera ser su naturaleza. Según el Diccionario de la lengua española (Real Academia Española, s. f.-a, s. f.-b), se debe entender por adecuado a aquel adjetivo que denota que algo o alguien es apropiado, y por idóneo a aquello que es apto o conveniente. Bajo este escenario, pareciera que existe una delgada línea entre ambos términos; sin embargo, propongo aclarar esta situación a través de un ejemplo muy sencillo.

Ya he indicado líneas arriba, a través del numeral 17.2.2 de la Ley, que contar con un canal de denuncias o un medio para reportar violaciones es un elemento mínimo de todo modelo de prevención. En la actualidad, se conocen numerosas formas de implementar este requisito. Solo por mencionar algunos: existen números telefónicos, canales de WhatsApp, buzones en web, buzones físicos, aplicaciones, correos electrónicos, entre otros. Estos canales se constituyen como medios aceptados por el mercado y, por ende, resultan adecuados para cumplir con el propósito para el cual se implementan.

No obstante, para identificar cuál de ellos es más idóneo para la compañía, se deben ponderar sus factores internos y externos. Por ejemplo, si bien puede resultar una opción adecuada, cabe cuestionarse si implementar un número telefónico para recibir las denuncias de una compañía que cuenta con más de cinco mil trabajadores, desplegados geográficamente por todo el territorio peruano, y cuyo objeto es dedicarse a la extracción de minerales, resulta el medio más idóneo para cumplir el propósito. Entonces, atendiendo a las complejidades inherentes del sector, esta compañía recibe un volumen importante de denuncias, por lo que su admisión vía telefónica dificulta el proceso de recepción, dado que solo pueden recibir un llamado a la vez. En este ejemplo, el medio implementado podría ser adecuado, mas no idóneo.

Distinto es el escenario de una empresa familiar que cuenta con no más de quince trabajadores en planilla y que se dedica a la compraventa de telas al por mayor. En este caso, el medio de recepción de denuncias no es solo adecuado, sino también idóneo, en tanto no es necesario disponer de mayores recursos para la implementación del canal de denuncias. En línea con lo señalado, se puede concluir que toda medida de compliance puede ser adecuada, mas no idónea, puesto que, a través de una medida adecuada, podemos lograr un cumplimiento abstracto a cierto proceso, mientras que una medida idónea estará directa y proporcionalmente vinculada al logro del objetivo del proceso.

En vista de lo anterior, resulta lógico que la mejora continua signifique abordar tanto la eficacia como la adecuación e idoneidad de los elementos implementados, en tanto se espera que, ante el dinamismo del contexto interno y externo de las organizaciones, se mejoren los procesos de la compañía y, con ello, los controles ejecutados.

Para complementar el entendimiento sobre la figura de mejora continua, no podemos dejar de citar al ciclo de Deming o también conocido como el ciclo PHVA (acrónimo que responde a las etapas de planificar, hacer, verificar y actuar). Esta es una metodología comúnmente aplicada para asegurar la gestión de un proceso. Partiendo de la premisa de que un proceso es una secuencia ordenada de actividades de cuyo producto se obtiene un valor intrínseco, se confirma la necesidad de actuar sobre la base de resultados obtenidos a partir de la gestión de un proceso. Trasladado a lo que se viene comentando y zanjada la discusión de que la mejora es un proceso indispensable, este implicará la actuación (outputs) sobre la información que se obtiene a partir de la verificación de un elemento (inputs). Análogamente, el proceso de evaluación y monitoreo continuo corresponderá a la etapa de verificación, mientras que el proceso de mejora pertenecerá a la etapa de actuación (Pérez Fernández de Velasco, 2017).

3. INPUTS Y OUTPUTS DE LA MEJORA CONTINUA

En los siguientes apartados, brindamos una idea general sobre cómo ejecutar la mejora, teniendo en cuenta que ya se estableció que el punto de partida es sin duda el establecimiento de objetivos.

3.1 Establecimiento de objetivos

Si bien no se desprende de manera literal de la Ley o del Reglamento, el establecimiento de objetivos resulta inherente a cualquier sistema de compliance. Como se indicó anteriormente, dichos objetivos no pueden limitarse al cumplimiento de la ley. Aunque esto resulta una obviedad, es importante que los responsables de cumplimiento revisen que sus objetivos no caigan en el absurdo de lo que el Reglamento per se requiere a las compañías. Dicho esto, los objetivos deben estar alineados con la necesidad primaria por la cual la organización ha implementado un compliance.

Partiendo de esta base, se recomienda que los objetivos sean medibles, alcanzables, comunicados y objeto de seguimiento (Organización Internacional de Normalización, ISO 37001:2016). Solo así es que resulta posible la recopilación de data suficiente que permita, llegado el plazo para el cumplimiento y medición de los objetivos, identificar si el modelo de prevención ha logrado los resultados esperados o, en otras palabras, determinar si las medidas adoptadas del modelo han sido eficaces.

Por el contrario, cuando luego de la medición se evidencia que no se han alcanzado las metas trazadas, corresponderá a la organización determinar por qué las medidas adoptadas han sido ineficaces y, con ello, dar paso a las acciones correctivas. Este proceso de análisis —para lo cual existen diversas metodologías—, decisión y ejecución se refiere directamente a obtener los elementos de salida (outputs) del proceso de mejora.

3.2 Evaluación interna

En virtud de lo ya comentado, una de las fuentes por excelencia —y exigida por la Ley— para recabar información sobre el rendimiento del modelo es a través del ejercicio de evaluación o monitoreo interno. Estimamos que el legislador prefirió no comprometer a las personas jurídicas utilizando el término auditoría para tratar de eludir las formalidades que esta figura denota. Claro que esto es un intento fallido, en tanto que la auditoría interna es el ejercicio por excelencia para recopilar elementos de entrada (inputs) que permitan conocer el funcionamiento del modelo de prevención.

A continuación, se señalan algunas buenas prácticas que toda organización debería tener en cuenta al momento de desarrollar la evaluación del modelo de prevención:

3.2.1 Planificación de la actividad

Todas las organizaciones planifican proyectos, transacciones y otras actividades que se realizarán a lo largo del año calendario. La revisión del modelo de prevención no debe ser una excepción a esta regla. Sin ánimo de entrar en un excesivo detalle sobre qué información debiera contener un plan de auditoría, los siguientes son aspectos indispensables para considerar:

• Alcance. Si la organización señala que el modelo de prevención se encuentra desplegado en toda la estructura empresarial, entonces deberían revisarse todos los procesos. Pero esto no significa que, en un solo momento, deban revisarse todos los procesos. Esto puede hacerse así o, caso contrario, agrupando procesos para que sean revisados en diferentes momentos del periodo calendario. Se recomienda a aquellas empresas que, por su tamaño o diversificación geográfica, opten por segmentar la revisión del modelo, ya que hacerlo de forma global puede entorpecer las actividades del personal que no se encuentra abocado a atender auditores.
• Criterio. Claramente deberá establecerse frente a qué parámetros se efectuará la revisión del modelo de prevención, y es indiscutible que primará la norma local (Ley y Reglamento). Sin embargo, aquellas organizaciones que hayan optado por alinearse a estándares o normas internacionales también deberán incluir dentro del criterio de auditoría a dicho universo de normativas. Recordemos que mínimamente existirán tres categorías en cuanto a criterios se refiere: las normas del marco jurídico e internacional, los estándares internacionales, como las normas ISO, y los requisitos autoimpuestos. Estos últimos están directamente vinculados a lo que el legislador determina como la autorregulación de las personas jurídicas.
• Recursos. Ya sean recursos humanos, económicos —en caso se necesite contratar a un proveedor para que lleve a cabo la auditoría o se necesite llevar a cabo un desplazamiento a diferentes sedes— o tecnológicos, resulta indispensable que la organización planifique con anterioridad cuáles son los recursos necesarios para llevar a cabo el proceso de evaluación con eficiencia.
• Competencias del equipo auditor. En nuestra opinión, este es el aspecto más importante que debe considerarse y, sin duda, es el más ignorado. Con frecuencia —y, a decir verdad, más veces de las que nos gustaría admitir— solemos encontrarnos con organizaciones que emplean a sus auditores in house para revisar el modelo de prevención. De más está decir que esto no significa contravención alguna de la normativa local. Sin embargo, la presente crítica pretende invitar a las empresas a que reflexionen sobre la idoneidad de que una persona, ausente de competencias en compliance, pueda lograr el cometido de determinar la eficacia o, en su defecto, identificar las fallas del modelo de prevención. Esto no quiere decir que los auditores in house no deban auditar nunca el modelo de prevención, sino que, por el contrario, es un llamado a que las organizaciones destinen los recursos necesarios para que dicho personal obtenga y mantenga las competencias necesarias para poder auditar compliance.

A modo de ejemplo, imaginemos que la organización contrata a un abogado especialista en derecho ambiental para llevar los procesos judiciales y laborales de la compañía. Queda claro que el abogado tiene formación jurídica, pero ¿son estas competencias suficientes para gestionar con eficacia —en este caso, lograr el mejor resultado posible— los procesos laborales? Creo que la respuesta resulta evidente, y es esta misma lógica la que deben aplicar las organizaciones al momento de designar al auditor o al equipo de auditores para revisar el modelo de prevención. En estos casos, los oficiales de cumplimiento deberían mostrarse más atentos cuando los resultados de dichas evaluaciones no arrojan observaciones.

Culmino este comentario haciendo un llamado a los oficiales de cumplimiento que nunca han gestionado —ya sea requerido, presupuestado o planificado— la realización de una auditoría de su modelo de prevención, incumpliendo directamente con un deber exigido por la Ley.

3.2.2 Gestión de hallazgos

Producto de la evaluación, revisión o proceso de auditoría, debe elaborarse un informe detallado con los hallazgos identificados. En muchos casos, este término suele asociarse a una connotación negativa, percepción que debemos dejar de lado para entender que los hallazgos son precisamente elementos de entrada que nos permiten mejorar el modelo de prevención. Si bien estos hallazgos reflejan, en su mayoría, fallas que deben ser corregidas, lo cierto es que solo a través de esta identificación es posible poner en marcha la mejora continua.

Superada la difícil tarea de redactar los hallazgos encontrados, estos deben presentarse junto con el análisis sobre la eficacia o ineficacia del modelo, a fin de determinar de manera clara si las acciones adoptadas en compliance son eficaces, adecuadas e idóneas. Claro que existen hallazgos que son inherentemente positivos —los que comúnmente se conocen como oportunidades de mejora—, pero para los efectos del presente estudio solo abordaremos aquellos hallazgos que están vinculados al incumplimiento de un proceso de la organización. Bajo esta premisa, resulta evidente que las acciones adoptadas han sido ineficaces y, como ya se adelantó, resulta necesario identificar la causa raíz de dicha falla, con el fin de abordar la brecha no solo desde su inmediatez, sino también desde su origen. En ese sentido, el análisis realizado, junto con la planificación y toma de decisión sobre las acciones necesarias para corregir los hallazgos —tanto de manera inmediata como desde su causa raíz—, forman parte de la mejora continua y específicamente de la etapa de actuación del ciclo de Deming.

3.3 Canal de denuncias

El canal de denuncias es otro de los medios por excelencia para recopilar información, sobre todo en lo que a fallas o violaciones del modelo de prevención respecta. Está claro que, además de ser su propósito principal, contribuye con la mejora en tanto se recopila información valiosa que permite a la organización tomar decisiones sobre sospechas o violaciones puestas en evidencia por los propios trabajadores o sus partes interesadas. Para efectos de este artículo, prescindiremos de las otras características que deberían reunir cualquier canal de denuncias, y nos centraremos únicamente en aquella referida a que el canal o medio empleado sea seguro y permita la recopilación de datos de manera fluida. Por último, para que este medio funcione como receptor de información para mejorar, este debe ser difundido interna y externamente, y ser presentado como un control que no avalará represalias por su uso.

Sobre el particular, hay que entender que la mejora, vista desde la atención del canal de denuncias, no radica, como podría pensarse, en la investigación y eventual sanción por los casos revisados. Por el contrario, aquí la mejora consiste en las acciones tomadas para prevenir que las mismas brechas no vuelvan a producirse.

4. CONCLUSIONES

A esta altura, hemos trascendido del entendimiento básico de lo que implica contar con un sistema de compliance. Por ello, sobra decir que designar a un oficial de cumplimiento, contar con una política anticorrupción y una matriz de riesgos, impartir capacitaciones e implementar un canal de denuncias no equivale a tener un compliance implementado. No es posible, conforme a las ideas vertidas en el presente trabajo, afirmar la existencia de compliance sin tener implementados procesos que permitan la mejora continua del sistema.

A través de la promulgación del nuevo Reglamento, hay sin duda un deseo de promover que las personas jurídicas se autorregulen; sin embargo, estas no se encuentran exentas de los mandatos exigidos por dicha norma y establecidos bajo el “deber” de implementación.

El Reglamento introdujo mejoras, aunque no sustanciales, en el establecimiento de un modelo de prevención. Destaca positivamente la incorporación de un inciso sobre mejora continua dentro de las evidencias que se deben presentar para acreditar el liderazgo y apoyo visible e inequívoco del órgano de gobierno y alta dirección (Decreto Supremo 002-2019-JUS, artículo 32). Esto confirma, pues, que la mejora continua es un componente de relevancia que requiere de la participación visible de los altos mandos.

No obstante, el legislador —en un acto fallido— quitó la periodicidad con la que debe conducirse el proceso de evaluación y monitoreo. Desde su promulgación, el Reglamento ha señalado en el artículo 42 que “este proceso debe realizarse, como mínimo [énfasis añadido], una vez al año y deben referirse, como mínimo a los siguientes aspectos” (Decreto Supremo 002-2019-JUS). No obstante, con el nuevo Reglamento, esta periodicidad fue eliminada, seguramente, en aras de no obligar a la organización a llevar a cabo una actividad que, según la persona jurídica (factores internos y externos), podría conllevar un coste elevado. Como ya comentamos, existe una clara intención de que las compañías se autorregulen en lo que a compliance respecta, intuimos que dicha modificación obedece a este principio. Ante esto, a nuestro parecer, las organizaciones no deben relajarse frente a este cambio normativo, sobre todo cuando su modelo de prevención no ha llegado a un nivel de madurez aceptable ni hablar de aquellas que nunca han realizado una revisión de su modelo.

Finalmente, concluimos que la mejora continua es el elemento que marca la diferencia entre un compliance de papel y un compliance en constante dinamismo. La mejora continua es un proceso que requiere de elementos de entrada y de salida para poder evidenciar cómo, a partir de cierta información, la organización adopta acciones en pro de mejorar hacia estrategias u objetivos previamente definidos. Entonces, si queremos mejorar, debemos preguntarnos qué buscamos a través de este proceso, por lo que invitamos al lector a cuestionarse en una primera instancia: ¿para qué implementamos compliance? Sin duda, las respuestas pueden ser infinitas.

REFERENCIAS

Casanovas, A. (2015). Cinco cuestiones clave sobre: las revisiones del modelo de compliance. KPMG. https://assets.kpmg.com/content/dam/kpmg/es/pdf/2016/12/Test_Compliance_11.pdf

Decreto Supremo 002-2019-JUS. Reglamento de la Ley 30424, Ley que regula la Responsabilidad Administrativa de las Personas Jurídicas. 9 de enero del 2019. Diario Oficial El Peruano. https://spij.minjus.gob.pe/spij-ext-web/#/detallenorma/H1225712

Ley 30424 del 2016. Ley que regula la responsabilidad administrativa de las personas jurídicas por el delito de cohecho activo transnacional. 21 de abril del 2016. Diario Oficial El Peruano. https://spij.minjus.gob.pe/spij-ext-web/#/detallenorma/H1151488

Organización Internacional de Normalización. (2015). Sistemas de gestión de la calidad (ISO 9000:2015). https://www.iso.org/obp/ui/es/#iso:std:iso:9000:ed-4:v1:es

Organización Internacional de Normalización. (2016). Sistemas de gestión antisoborno (ISO 37001:2016). https://www.iso.org/obp/ui#iso:std:iso:37001:ed-1:v1:es

Pérez Fernández de Velasco, J. A. (2017). Gestión por procesos (5.a ed.). ESIC.

Real Academia Española. (s. f.-a). Adecuado. En Diccionario de la lengua española (23.ª ed.).
Recuperado el 6 de marzo del 2025, de https://dle.rae.es/adecuado

Real Academia Española. (s. f.-b). Idóneo. En Diccionario de la lengua española (23.ª ed.). Recuperado el 6 de marzo del 2025, de https://dle.rae.es/idóneo

Resolución 0061-2018-JUS [Ministerio de Justicia y Derechos Humanos]. Por la cual se dispone la publicación en el portal institucional del Ministerio del proyecto “Reglamento de la Ley 30424, Ley que regula la responsabilidad administrativa de las personas jurídicas por el delito de cohecho activo transnacional”. 28 de febrero del 2018. https://spij.minjus.gob.pe/spij-ext-web/#/detallenorma/H1201469

1. 1 De forma indistinta y para efectos del presente estudio, se deberá entender por modelo, programa o sistema a aquel conjunto de actividades implementadas por una organización para prevenir delitos.

2. 2 Sobra decir que la acreditación efectiva de los cinco elementos mínimos no derivaría per se en la posibilidad de atenuar o eximir la responsabilidad de la persona jurídica. Entonces, para efectos de la presente lectura, se descarta la posibilidad de salvaguardar a la compañía de responsabilidad cuando ni siquiera cuenta con lo mínimamente exigido por la Ley. Otra historia será la valoración de dichos elementos en términos de eficacia, idoneidad y adecuación del compliance implementado.

3. 3 Existen, en realidad, diversas similitudes en la redacción de los artículos del Reglamento que no se abordan en el presente artículo a fin de no desviar el análisis específico de la mejora continua.