nº 1.018 - 30 de mayo de 2025

Últimas novedades y tendencias en materia de Compliance

Ana Ramos Pérez. Abogada Sénior del área de Compliance de ECIJA. aramos@ecija.com

El éxito de la implantación de un sistema de gestión de cumplimiento depende principalmente del liderazgo y compromiso ejercidos por el órgano de gobierno y la alta dirección de la organización en el marco de su sistema de gobernanza

La disrupción digital, nuevas tecnologías e IA se han posicionado como el área de riesgo que ha crecido más rápidamente

Finalizado ya el segundo trimestre de 2025, se pueden observar con claridad cuáles son las principales tendencias de Compliance y Gobernanza, conceptos que hoy en día no pueden entenderse separadamente, para este año.

Además, como cada año, se ha publicado el Informe Risk in Focus 2025, que nos ofrece una panorámica global sobre los principales riesgos empresariales desde la mirada del Auditor Interno. Entre estos riesgos, todos los años encontramos un importante elenco relacionado con Compliance y, este año, no es menos.

De entre los riesgos reflejados en este Informe, es interesante destacar los relacionados con Diligencia Debida Externa, Gobernanza, Corrupción e Inteligencia Artificial. Muchos de estos, de hecho, ya han ido dando sus primeros pasos e iniciando su desarrollo en el último año.

Cadena de suministro, subcontratación y riesgos de terceros

El anterior es el caso de la diligencia debida, que ha sido uno de los aspectos más relevantes en 2024, tanto en materia de sostenibilidad como de sanciones.

Por ello, durante este año ésta se prevé como una de las principales tendencias de Compliance y Gobernanza, especialmente en materia de sanciones, pues la Directiva (UE) 2024/1226 relativa a la definición de los delitos y las sanciones por la vulneración de las medidas restrictivas de la Unión, debe ser transpuesta al ordenamiento jurídico español a más tardar, el 20 de mayo de 2025. De hecho, el pasado 25 de marzo el Gobierno aprobó ya el anteproyecto de ley para su transposición, que introduce sanciones penales para quienes eludan las medidas impuestas por la Unión Europea (a través de acciones como facilitar fondos o realizar operaciones con países o personas sancionadas), como nuevo delito por el que responde la persona jurídica.

De ahí la importancia de que las organizaciones implanten procedimientos de diligencia debida externa robustos, con el objetivo de prevenir la comisión de los nuevos riesgos penales en las relaciones con terceros. Cabe destacar, además, la necesidad de dotarse de herramientas informáticas que faciliten la verificación frente a listas de sanciones.

Por su parte, tendremos que esperar hasta el 26 de julio de 2026 (plazo máximo para la trasposición de la Directiva [UE] 2024/1760, sobre diligencia debida de las empresas) para conocer las medidas nacionales concretas de diligencia debida en materia de sostenibilidad que se exigirán a las compañías.

Gobernanza empresarial y reporting

El éxito de la implantación de un sistema de gestión de cumplimiento depende principalmente del liderazgo y compromiso ejercidos por el órgano de gobierno y la alta dirección de la organización en el marco de su sistema de gobernanza.

La evolución tanto legislativa como de las normas y estándares en materia de Compliance así lo demuestran, reflejando esta tendencia cada vez más evidente.

En general, las normas y estándares relevantes en materia de Compliance, especialmente los estándares ISO/UNE, adjudican responsabilidades importantes tanto a la alta dirección como al órgano de gobierno, así como, por supuesto, al órgano de Compliance. Y, a su vez, cada vez es más común que las leyes en la materia, como la Ley 2/2023, de 20 de febrero, impongan obligaciones a los órganos de administración.

Podemos afirmar que el órgano de Compliance ha dejado de ser el único órgano en la compañía con responsabilidades en materia de cumplimiento, y que la vinculación entre Gobernanza y Compliance tiende a ser cada día más evidente, lo que genera la necesidad para los consejos de administración, que ya venían asumiendo, pero que cada vez es más exigente, de estar formados y preparados para los nuevos retos en materia de Compliance.

Fraude, corrupción y explotación criminal

El fraude, la corrupción y la comisión de delitos en las organizaciones se trata de un riesgo comúnmente conocido para la función de Compliance y los órganos de gobierno.

Por ello, es tendencia en las organizaciones dotarse de planes antifraude y sistemas de gestión de Compliance penal y antisoborno, alineados con los estándares UNE 19601:2017, sobre sistemas de gestión de Compliance penal e ISO 37001:2016, sobre sistemas de gestión antisoborno. Precisamente, estas dos normas han sido objeto de actualización en este primer trimestre de 2025, ambas con el fin de adaptarse a la actualización de la Estructura Armonizada ISO, así como de adaptarse a las nuevas necesidades de las organizaciones y mejorar su contenido con la información obtenida durante los años de su implementación.

Con el fin de robustecer esta normativa, en 2025 se prevé también la aprobación del estándar ISO 37003, sobre sistemas de gestión para el control del fraude, que proporcionará directrices sobre cómo las organizaciones pueden gestionar los riesgos de fraude de manera efectiva y eficiente, ofreciéndonos, así, a las empresas y asesores, una guía más sobre el modo de gestionar incumplimientos en las organizaciones.

Nuevas tecnologías e Inteligencia Artificial

La disrupción digital, nuevas tecnologías e IA se han posicionado como el área de riesgo que ha crecido más rápidamente. De hecho, estas materias han adquirido ya especial relevancia en el 2024, con la aprobación del Reglamento de Inteligencia Artificial.

En el contexto empresarial, el empleo de la IA en las actividades de negocio supone claramente nuevos retos y riesgos, derivados de las eventuales responsabilidades a asumir por incumplimientos o infracciones que pudieran producir sus algoritmos o usos.

En consecuencia, resultará esencial que las empresas, previa evaluación de los eventuales riesgos que el uso de la IA pudiera conllevar, establezcan controles sobre su uso, tales como el análisis de los algoritmos, políticas y procedimientos de uso ético y responsable, asignación de responsabilidades, auditorías periódicas, formación y concienciación, etc.

Los anteriores son algunos de los principales aspectos sobre los que las organizaciones deberán poner el foco para el año en curso, que conllevan, en síntesis, reevaluaciones de los riesgos de aplicación y actualización de las políticas y procedimientos corporativos. ■