La Audiencia Nacional lanza un mensaje claro: el compliance debe funcionar de verdad. Lecciones del Auto AAN 730/2026

Por Iván Martínez, CEO de Intedya

La reciente resolución de la Audiencia Nacional (Auto 114/2026) introduce uno de los pronunciamientos más relevantes en materia de responsabilidad penal de la persona jurídica en España. Más allá del caso concreto, el auto establece un criterio claro: no basta con tener un sistema de compliance; es imprescindible que este funcione, especialmente allí donde más riesgo existe: la alta dirección. La Sala confirma la continuación del procedimiento penal frente a la entidad, al considerar que existen indicios suficientes de que el modelo de prevención de delitos no era eficaz, pese a la existencia formal de políticas, controles y certificaciones.

Del compliance formal al compliance efectivo

Uno de los elementos más relevantes del auto es la distinción, implícita pero contundente, entre compliance formal y compliance efectivo. El tribunal no cuestiona la existencia de normas internas, códigos éticos o incluso modelos estructurados de prevención. Lo que cuestiona es su capacidad real de prevenir, detectar y reaccionar ante conductas ilícitas. En este sentido, la resolución desmonta una creencia aún extendida en muchas organizaciones: que la implantación documental de un sistema (incluyendo certificaciones como UNE 19601) es suficiente para mitigar riesgos penales. La Audiencia Nacional afirma lo contrario: el análisis es material, no formal.

El punto crítico: la alta dirección fuera del sistema

El núcleo del razonamiento judicial es especialmente relevante para cualquier profesional de compliance: El sistema de control dejaba fuera, en la práctica, a la Presidencia Ejecutiva y a la Alta Dirección, este elemento resulta determinante. Desde la perspectiva del artículo 31 bis del Código Penal, la responsabilidad de la persona jurídica no deriva únicamente de la comisión de delitos por personas físicas, sino del fracaso organizativo en su prevención. Cuando el propio sistema excluye, explícita o implícitamente, a quienes concentran mayor capacidad de decisión, el modelo deja de ser un mecanismo de control para convertirse en un instrumento meramente decorativo.

La “cultura de la obediencia” frente a la “cultura de cumplimiento”

El auto introduce un concepto de gran valor doctrinal: la transición de una cultura de cumplimiento a una cultura de obediencia. Este hallazgo refleja una patología organizativa bien conocida en entornos de riesgo:

• Las normas existen

• Los empleados las conocen

• Pero no se aplican cuando entran en conflicto con decisiones de la alta dirección

El resultado es una organización donde el cumplimiento es selectivo y jerárquicamente condicionado. Desde una perspectiva de compliance, esto implica un fallo sistémico en:

• el “tone at the top”

• la independencia de funciones de control

• la capacidad de escalado y denuncia

Controles diseñados para ser eludidos

Otro aspecto crítico del caso es la identificación de mecanismos que permitían sortear los controles internos sin necesidad de sofisticación fraudulenta. El auto describe prácticas como:

• clasificación de proveedores como acreedores para evitar controles de compras

• contratación sin procedimientos formales

• ausencia de homologación de terceros

• circuitos de pago fuera de trazabilidad estándar

Estas prácticas no responden a fallos puntuales, sino a debilidades estructurales del sistema de control. Desde la óptica de compliance, esto plantea una conclusión clara, un sistema es ineficaz no solo cuando falla, sino cuando puede ser fácilmente eludido por diseño.

El fracaso del canal de denuncias

El auto también aborda un elemento habitual en los modelos de compliance: el canal de denuncias. Aunque formalmente existía, el tribunal señala:

• falta de evidencia sobre su funcionamiento en periodos críticos

• ausencia de alertas pese a la existencia de múltiples indicios internos

• conocimiento de irregularidades por parte de empleados sin activación del canal

Esto revela un problema recurrente, los canales de denuncia existen, pero no generan confianza ni protección efectiva. En términos de sistemas de gestión, esto supone un fallo tanto en diseño como en cultura organizativa.

La irrelevancia de la certificación si no hay eficacia

Uno de los mensajes más contundentes del auto es la relativización del valor de certificaciones externas. El hecho de que la entidad contara con certificación en compliance penal no impide que el tribunal cuestione la eficacia real del sistema.

Esto introduce una advertencia clara para el mercado:

• La certificación es un punto de partida

• No es un elemento exonerador por sí mismo

Lo determinante es si el modelo previene, detecta y responde.

Detectabilidad vs. ocultación: un criterio clave

El tribunal insiste en que las conductas investigadas eran:

• prolongadas en el tiempo

• visibles para múltiples áreas

• detectables con controles básicos

Esto es especialmente relevante, porque desplaza el foco desde la sofisticación del fraude hacia la capacidad de la organización para detectarlo. En otras palabras, no se exige que el sistema sea infalible, pero sí que sea razonablemente eficaz.

Conclusión: el nuevo estándar de compliance penal

El Auto AAN 730/2026 consolida un estándar exigente y realista del compliance penal en España.

Las principales conclusiones son claras:

• Un sistema que no controla a la alta dirección es, por definición, ineficaz

• La cultura organizativa es tan relevante como el diseño técnico del modelo

• La trazabilidad y los controles operativos son determinantes

• La certificación no sustituye a la eficacia, pues ser una buena base de partida, pero si su aplicación no es completa y efectiva es insuficiente.

• La detectabilidad de las conductas es un criterio clave de evaluación

En definitiva, el tribunal no evalúa si existe compliance, sino si el compliance funciona allí donde más se necesita. Y ese es, probablemente, el mayor desafío para las organizaciones actuales.