El coste del incumplimiento: lo que revelan los antecedentes federales en materia de aplicación de la ley sobre la defensa de los programas

La estrategia de «esperar y ver qué pasa» en materia de cumplimiento normativo parece prudente hasta que se analiza el historial de aplicación de la normativa. A continuación se muestra cuál es, en la práctica, el coste real de esperar.

Imagen decorativa

Las organizaciones que interpretaron la menor presión reguladora como una señal de menor riesgo acaban pagando mucho más cuando se les somete a un escrutinio, en algunos casos varias veces más de lo que habría costado una rectificación temprana. El historial de medidas coercitivas de los últimos años lo confirma.

  1. Seis años de conducta: el caso Cadence
  2. Requisitos del Marco del Departamento de Justicia de marzo de 2026
  3. Los empleados como fuente de información sobre riesgos
  4. El plazo de 120 días y qué lo activa
  5. Qué establecen los programas de cumplimiento proactivo
  6. Preguntas frecuentes

La responsabilidad se acumula durante el periodo en el que el programa no está diseñado para detectarla. Para cualquier responsable de cumplimiento normativo, la pregunta clave es cuánta responsabilidad se ha acumulado mientras el programa no estaba diseñado para detectarla.

Seis años de conducta: el caso Cadence

El acuerdo con Cadence Design Systems, cerrado en julio de 2025, pone de manifiesto la magnitud del asunto. La empresa pagó unas sanciones netas combinadas de más de 140 millones de dólares: una sanción civil de 95 millones de dólares a la Oficina de Industria y Seguridad, y sanciones penales al Departamento de Justicia de casi 118 millones de dólares (que incluyen una multa penal y el decomiso de bienes), coordinadas entre ambos organismos de tal forma que los pagos compensados entre sí elevaron la cifra neta total por encima de los 140 millones de dólares.

Durante gran parte de ese periodo, los controles a la exportación habían sido objeto de menos atención por parte de las autoridades que las infracciones de la FCPA o el fraude financiero, y la responsabilidad se fue acumulando a lo largo de ese tiempo. Los plazos de prescripción son lo suficientemente largos como para que las conductas cometidas en un periodo de menor actividad reguladora sigan siendo plenamente perseguibles cuando se recupere la atención sobre ellas. El riesgo de una empresa se va acumulando en los años previos a que las autoridades reguladoras investiguen.

Requisitos del Marco del Departamento de Justicia de marzo de 2026

En marzo de 2026, el Ministerio de Justicia publicó su primera «Política de aplicación de la normativa empresarial y de autodenuncia voluntaria», de ámbito ministerial. Las organizaciones que den a conocer voluntariamente los hechos y cooperen mediante la adopción de medidas correctoras completas podrán optar a una reducción sustancial de las sanciones y, en algunos casos, a la exención total de las mismas.

La resolución sobre Balt SAS, de ese mismo mes, ofrece un término de comparación. La empresa francesa de productos sanitarios reveló las infracciones de la FCPA mientras aún se estaba llevando a cabo su investigación interna, cooperó plenamente y adoptó medidas correctoras; el Departamento de Justicia decidió no iniciar acciones penales, y Balt SAS devolvió aproximadamente 1,2 millones de dólares en beneficios obtenidos gracias a la conducta subyacente.

Las diferencias económicas entre la resolución del caso Balt SAS y el caso Cadence ponen de manifiesto que, cuando una empresa saca a la luz sus propios problemas, se le imponen sanciones diferentes: la devolución de 1,2 millones de dólares es de una magnitud totalmente distinta a los 140 millones de dólares a los que se enfrentaba Cadence. La diferencia entre ambos resultados refleja el objetivo para el que se diseñó el programa de cada organización.

El marco del Departamento de Justicia (DOJ) establece de forma explícita los criterios de evaluación: los fiscales valoran si un programa de cumplimiento se diseñó adecuadamente y se aplicó de buena fe. Esa valoración influye directamente en la forma en que se calculan los resultados.

El mismo principio se aplica al artículo 16 de la Directiva de la UE contra la corrupción. Cuando una persona jurídica ha implantado controles internos eficaces, así como programas de sensibilización ética y de cumplimiento normativo, ello se considera una circunstancia atenuante a la hora de dictar sentencia. La madurez demostrable de los programas, desarrollada y documentada antes de que se produzca cualquier incidente, influye en los resultados en todos los regímenes de aplicación de la ley.

Los empleados como fuente de información sobre riesgos

El coste del incumplimiento está aumentando. 27 000 denuncias presentadas ante la SECEl historial de medidas coercitivas cuantifica las multas y los acuerdos extrajudiciales, pero no refleja si los empleados de la propia organización tienen un canal interno fiable que deben utilizar cuando detecten un problema. Los responsables de cumplimiento normativo tienden a sobreestimar la credibilidad real de sus canales internos.

Se han ampliado los incentivos económicos para las denuncias externas. El Departamento de Justicia (DOJ) puso en marcha su Programa Piloto de Recompensas a Denunciantes Corporativos en agosto de 2024 y amplió su alcance en mayo de 2025 para incluir infracciones de sanciones, fraude comercial y arancelario, fraude en la contratación pública y actividades de cárteles. La Comisión de Valores y Bolsa (SEC) recibió aproximadamente 27 000 denuncias en el ejercicio fiscal de 2025, lo que supone un aumento del 8 % con respecto al año anterior, y ha pagado más de 2 200 millones de dólares en recompensas a 444 personas desde que se puso en marcha su programa en 2011.

Mary Inman, socia de Whistleblower Partners, lleva tres décadas representando a denunciantes en procedimientos de aplicación de la ley en EE. UU. Esta es su reflexión sobre las consecuencias que esto tiene para las organizaciones: «Cada día parece surgir un nuevo programa gubernamental que incentiva a los denunciantes». Si se adopta un enfoque reactivo, de esperar a ver qué pasa, a la espera de que actúen la SEC y el Departamento de Justicia, quizá no se haya tenido en cuenta el hecho de que existe una incógnita llamada «denunciantes incentivados», que pueden encontrarse dentro de la propia organización y estar dispuestos a denunciar externamente si no se tienen en cuenta sus preocupaciones».

Sin embargo, las organizaciones deben saber que un aumento de las denuncias internas no conlleva necesariamente un aumento de las sanciones. De hecho, a menudo ocurre lo contrario. Una investigación de Stubben y Welch, publicada en el Journal of Accounting Research y basada en casi dos millones de denuncias internas de más de 1.000 empresas que cotizan en bolsa, reveló que un aumento del 10 % en el volumen de denuncias internas se asociaba con una disminución del 2 % en las multas gubernamentales y del 1 % en los costes de los acuerdos extrajudiciales en los años siguientes. Los empleados rara vez optan primero por la denuncia externa; los canales externos se convierten en la opción por defecto cuando los internos no son lo suficientemente fiables como para utilizarlos.

Mary Inman aborda la dimensión cultural. Según ella, las empresas que obtienen mejores resultados son aquellas que han permitido a sus empleados plantear sus inquietudes antes de que busquen otra vía para expresarlas. «Dejad que los denunciantes sean una herramienta de gestión de riesgos para vosotros», afirmó. «A menudo son los empleados más leales de una empresa: aquellos que tienen la audacia de alzar la voz cuando los demás se dejan llevar por la corriente».

Lo cuenta un abogado especializado en denuncias de irregularidades:

La supervisión antes que la orientación: la SEC, el Departamento de Justicia y el coste de la espera

Ver el seminario web

Las organizaciones que hacen un buen uso de sus canales internos detectan las inquietudes antes de que los empleados busquen otras vías de comunicación. La observación de Inman es válida en todas las jurisdicciones: un empleado que plantea una inquietud a nivel interno suele ser la señal de riesgo más útil para la organización. Que esa señal llegue al programa depende de si merece la pena utilizar ese canal.

El plazo de 120 días y qué lo activa

Según la política del Departamento de Justicia (DOJ) de marzo de 2026, una empresa puede acogerse a una exención total incluso si un denunciante ya ha presentado una denuncia tanto a nivel interno como ante el DOJ, siempre que la empresa revele los hechos por iniciativa propia en un plazo de 120 días desde la recepción de la denuncia interna.

Ese plazo de 120 días significa que el Departamento de Justicia (DOJ) prevé y respalda la denuncia interna. Cuando las empresas consideran a sus denunciantes como parte de su programa interno de cumplimiento normativo, pueden colaborar con el DOJ. Sin una estructura para la denuncia interna, el plazo vence antes de que la organización se dé cuenta de que tiene un problema.

Qué establecen los programas de cumplimiento proactivo

La mayoría de las organizaciones que abordan esta cuestión se preguntan: ¿cumplimos con la normativa? La pregunta más útil, y la que los fiscales y los organismos de supervisión plantean cada vez más junto con ellas, es si hoy en día se puede demostrar ante un inspector que el programa funciona. La documentación normativa indica a los responsables de cumplimiento qué se supone que debe hacer el programa. Los inspectores quieren pruebas de lo que realmente hace.

El coste del incumplimiento va más allá de la multa anunciada. La resolución del caso Cadence, por valor de 140 millones de dólares, ya superó con creces los beneficios generados por la conducta subyacente; las resoluciones de las autoridades reguladoras suelen incluir requisitos de reparación y obligaciones de supervisión del cumplimiento que hacen que esa cifra se vaya incrementando con el paso de los años.

Desarrollar el programa antes de que surja la presión es la única forma de mantener todas las opciones de resultados disponibles. Los casos de Cadence y Balt SAS constituyen una comparación directa: una organización detectó su propio problema; la otra, no. La diferencia en el resultado es lo que realmente vale la madurez del programa.

Las ventajas económicas de una cultura de cumplimiento normativo son evidentes

Programe una demostración

Preguntas frecuentes

¿Cuál es el coste económico que supone el incumplimiento normativo para las organizaciones?
Los costes derivados del incumplimiento normativo superan sistemáticamente el valor de la conducta subyacente. Cadence Design Systems pagó 140 millones de dólares en sanciones penales y civiles combinadas por infracciones de control de exportaciones cometidas entre 2015 y 2021. Más allá de la sanción principal, las resoluciones de las autoridades reguladoras suelen conllevar obligaciones de rectificación y supervisión del cumplimiento que aumentan el coste total en los años posteriores.

¿Reduce un programa de cumplimiento proactivo el riesgo legal y financiero?
Una investigación de Stubben y Welch, publicada en el Journal of Accounting Research y basada en casi dos millones de denuncias internas de más de 1.100 empresas que cotizan en bolsa, reveló que un aumento del 10 % en el volumen de denuncias internas se asociaba con una disminución del 2 % en las multas gubernamentales y del 1 % en los costes de los acuerdos extrajudiciales en los años siguientes. La relación es direccional, más que causal, pero es consistente: las organizaciones con un sistema de denuncias internas más activo obtienen mejores resultados jurídicos que aquellas cuyos sistemas están infrautilizados.

¿Puede una organización seguir optando a una exención de enjuiciamiento si un empleado ya ha presentado una denuncia ante el Departamento de Justicia (DOJ)?
Sí, bajo determinadas condiciones. El marco normativo actual del DOJ permite que una organización pueda optar a una exención de enjuiciamiento total incluso si un denunciante ha presentado una denuncia tanto a nivel interno como ante el DOJ, siempre que la organización revele los hechos por iniciativa propia en un plazo de 120 días desde la recepción de la denuncia interna. Contar con un sistema de denuncia interna que funcione correctamente es el requisito operativo previo para que exista ese plazo.

¿Qué deben hacer los responsables de cumplimiento normativo cuando no se han publicado directrices reglamentarias formales para un área de riesgo específica?
La ausencia de directrices formales no reduce el riesgo legal. Las conductas que infrinjan la legislación vigente pueden ser objeto de acciones judiciales bajo futuros gobiernos con prioridades de aplicación diferentes, y los plazos de prescripción son lo suficientemente largos como para que las infracciones cometidas años atrás sigan siendo objeto de acciones legales. La estrategia de cumplimiento normativo más defendible es aquella que se basa en la capacidad de detección interna: sacar a la luz los problemas antes de que lleguen a los organismos reguladores, independientemente de las prioridades de aplicación actuales.