Hablemos del gran tabú del compliance: supervisar al Consejo (de verdad)

Recientemente, hemos tenido conocimiento del Auto de la Sección Tercera de la Audiencia Nacional de fecha 20 de febrero de 2026. Esta resolución se encuadra en un caso que ha acaparado la atención de los medios y que fue públicamente conocido como el caso “Tándem”. Sin embargo, lejos de las cuestiones mediáticas, en dicho procedimiento ha tenido lugar una de las resoluciones más elaboradas sobre cómo opera la responsabilidad de la persona jurídica y cómo deben ser valorados los programas de prevención de riesgos penales, comúnmente conocidos como “compliance penal”.

En concreto, la Sala viene a confirmar el auto de fecha 20 de junio de 2024 dictado por el Juzgado Central de Instrucción núm. 6 de la Audiencia Nacional por el que fue acordada la continuación de las diligencias como procedimiento abreviado respecto de la entidad financiera BBVA, desestimando, así, la solicitud de sobreseimiento.

A modo de resumen, la Sala comparte las conclusiones del órgano instructor por las cuales el modelo de gestión de riesgo penal y control interno de la entidad recurrente no puede ser considerado idóneo por cuanto “se trata de un sistema que deja al margen de cualquier normativa a la Presidencia Ejecutiva y a la Alta Dirección”. Es decir, el sistema de cumplimiento se proyecta sobre el resto de los directivos y empleados, pero no opera respecto de ámbitos superiores cuyas decisiones son directamente ejecutivas por el principio de jerarquía laboral. Esta circunstancia motivó que el órgano instructor estimara una “cultura de obediencia” en lo que se refiere a las indicaciones provenientes de los altos cargos que dista, sobremanera, de la cultura de cumplimiento normativo que el recurrente pretendía hacer valer.

Esta situación vendría refrendada no sólo por la realidad de los hechos acontecidos, a saber, contrataciones y pagos ejecutadas sin observar la normativa propia de la entidad, sino también en la medida en que los mapas de riesgos manejados por la entidad no contemplaban la hipótesis de que la Alta Dirección pudiera cometer los delitos identificados. Igualmente, las certificaciones emitidas por entidades certificadoras independientes devienen completamente ineficaces por cuanto no colman la laguna identificada.  Todo lo anterior, impide que acuerde el sobreseimiento de las diligencias previas mediante la exoneración de la responsabilidad penal de la persona jurídica toda vez que los hechos concretos identificados en la resolución permiten inferir un defecto estructural en el modelo de gestión, vigilancia y supervisión el cual deberá ser objeto de enjuiciamiento en la correspondiente vista oral.

Esta resolución destaca no sólo por el análisis jurídico que realiza sobre los modelos de prevención de riesgos penales sino que además plantea una cuestión que, en ocasiones, constituye un tabú: ¿quién controla al controlador? A la hora de diseñar los modelos de prevención de riesgos penales los expertos podemos incurrir en una presunción de “bonhomía”  del órgano de administración y orientar los controles respecto de los empleados y directores que podrían tener intereses espurios que podrían conducir a la responsabilidad penal de la persona jurídica. Dicho de otro modo, el órgano de administración es “puro” por definición, ex. art. 227 de la Ley de Sociedades de Capital, y cualquier riesgo sólo puede provenir de la estructura que depende del órgano de administración y que materializa la actividad de la persona jurídica. Nada más lejos de la realidad. El primer “sospechoso habitual” debe ser el órgano de administración, ya que es quien encarna la voluntad social. Cuestión distinta es que los órganos de administración de entidades con un cierto grado de complejidad y sofisticación deleguen la ejecución de la actividad social en otros órganos, responsables o empleados. Pero esta circunstancia no debe servir parar centrar el foco en el escalón inferior del orden jerárquico y ser benevolente con el órgano de administración.

Este planteamiento supone la prueba definitiva para testar la independencia del Compliance Officer (CO). Debemos recordar que el CO no es simplemente un asesor, sino un órgano con funciones ejecutivas y de supervisión claramente delimitadas por la normativa y la jurisprudencia reciente (como las sentencias del Tribunal Supremo 768/2025, de 25 de septiembre, y 836/2025, de 14 de octubre) y que no está sometido al dictado del órgano de administración. Muchos tacharán esta afirmación como una quimera toda vez que es el órgano de administración quien puede nombrar y deponer al CO de su cargo. Por tanto, mientras exista una relación de poder desigual, no cabe plantear un auténtico estatus de independencia

Aquí opera la profesionalidad del CO. La labor de este cargo no puede orillar al órgano de administración y este debe formar parte no sólo de las tradicionales sesiones de formación en el Código de Conducta sino de un control efectivo. La pregunta no se hace esperar ¿qué debe hacer el CO cuando detecta una quiebra en el sistema de control y gestión directamente atribuible al órgano de administración?  

A nuestro criterio, el CO debe informar al órgano de administración de la quiebra detectada y del riesgo que dicha conducta puede someter a la entidad jurídica para que tome conocimiento fundado de la situación y adopte las medidas correctoras que remedien el riesgo detectado. Ante la pregunta si el CO debe denunciar ante las autoridades, debemos recordar que el CO es un órgano de la propia entidad y no un ente externo que hace las funciones de monitorización y control. Como órgano de la entidad, la denuncia directa podría propiciar la infracción del derecho constitucional a no incriminarse a sí mismo y a no declararse culpable. La decisión última debe quedar en manos del órgano de administración quien deberá optar por la decisión que le resulte óptima… incluida el despido del CO.

En conclusión, un programa de gestión y cumplimiento normativo, que no despliega una labor real y efectiva de control y supervisión sobre el órgano de administración, nace con un “pecado original”: parte de una premisa de inmunidad del máximo centro de decisión que desnaturaliza el propio sentido del modelo preventivo. Esa exclusión no es un matiz organizativo, sino un defecto estructural que compromete la eficacia del sistema, resta credibilidad a la cultura de cumplimiento y convierte al programa en un instrumento incompleto, incapaz de detectar y mitigar precisamente los riesgos que emanan de quien encarna la voluntad social.