Auditoría, Compliance, Divulgación jurídica, En el sector, Sin categoría

SENTENCIA COFELY ESPAÑA: UNA LECCIÓN PRÁCTICA SOBRE LA PRUEBA PERICIAL DEL PROGRAMA DE COMPLIANCE

Periciales en Compliance
  1. ANTECEDENTES DE LA SENTENCIA

El pasado 19 de diciembre de 2025 la Sección 1 de la Sala Penal de la Audiencia Nacional ha dictado la Sentencia 5625/2025 (Ponente Excma. Sra. Maria Fernanda García Pérez) en la que se condena, entre otras personas, a la compañía mercantil COFELY ESPAÑA, S.A..

Uno de los aspectos que despierta mayor interés es la intensa prueba practicada sobre el sistema de Compliance que disponía la compañía y su grado de eficacia, incluyendo una prueba pericial del programa de Compliance.

1) Acusación

En la sentencia  se atribuyen a la persona jurídica COFELY ESPAÑA ESPAÑA S.A. los siguientes delitos principales:

  1. Delito continuado de cohecho(art. 427.2 CP en relación con art. 424, 74 y 31 bis CP):
  • COFELY ESPAÑA es acusada de pagar comisiones a autoridades y funcionarios públicos de varios Ayuntamientos (Moraleja de Enmedio, Parla, Alcalá, Collado Villalba, Móstoles y Serranillos del Valle) para obtener la adjudicación de contratos públicos de eficiencia energética.
  • Se describe que COFELY ESPAÑA, a través de sus directivos y empleados, bajo la dirección del Director General, permitió y facilitó el pago de dichas comisiones, que se camuflaron mediante facturas ficticias emitidas por empresas instrumentales vinculadas a un asesor comercial externo.
  • La empresa no ejerció un control efectivo para prevenir o detectar estas prácticas corruptas, a pesar de contar con un modelo de cumplimiento normativo y políticas anticorrupción.

2) Conductas atribuidas a COFELY ESPAÑA:

  • Contratación de un asesor comercial (Valeriano) que utilizó su red de contactos para conseguir contratos públicos.
  • Participación activa de directivos y empleados en la elaboración de planes de negocio (business plan) que incluían partidas denominadas «success fee» o «project management», que encubrían las comisiones ilegales.
  • Intervención en la elaboración de los pliegos técnicos y administrativos de los contratos públicos, incluyendo la fijación del precio, criterios de adjudicación y fórmulas de valoración que favorecían a COFELY ESPAÑA.
  • Emisión y pago de facturas ficticias a través de empresas instrumentales para canalizar el pago de las comisiones a autoridades y funcionarios.
  • Falta de implementación efectiva de medidas de cumplimiento normativo y control interno para prevenir y detectar las prácticas corruptas.
  • Influencia en la valoración de ofertas y manipulación de procedimientos de contratación para asegurar la adjudicación de contratos.
  • Participación en la elaboración de informes y auditorías ficticias para justificar modificaciones contractuales y sobrecostes.

En resumen, COFELY ESPAÑA es acusada de formar parte de una organización criminal dedicada a la corrupción en la contratación pública, con delitos de cohecho, tráfico de influencias y blanqueo de capitales, mediante la utilización de mecanismos fraudulentos para obtener y mantener contratos públicos de eficiencia energética en varios Ayuntamientos.

3) Hechos probados sobre el Sistema de Compliance

En los hechos probados, la sentencia señala que COFELY ESPAÑA contaba con varios comités y departamentos relevantes en su organización, con un sistema de autorizaciones que aseguraba que todas las decisiones importantes, especialmente las relacionadas con ofertas y gestión de contratos, fueran aprobadas por los órganos competentes. El control se desarrollaba de forma piramidal desde la Dirección General.

Se detallan las siguientes áreas y funciones:

  • COMEX (Comité Ejecutivo): Máximo órgano de dirección y gestión formado por responsables de diferentes departamentos.
  • Dirección General: Máximo órgano de dirección y gestión, responsable de las decisiones estratégicas y operativas más relevantes.
  • Dirección Comercial: Responsable de la búsqueda de nuevos clientes, sin capacidad para autorizar pagos de facturas directamente.
  • Dirección de Servicios e Instalaciones: Gestionaba las facturas relacionadas con servicios e instalaciones, con responsabilidad para organizar trabajos y aprobar facturas y pagos.
  • Dirección Financiera: Decidía sobre pagos a proveedores en situaciones de tensión de tesorería y revisaba y aprobaba los business plan antes de su presentación al COMEX.
  • Dirección Jurídica: Revisaba borradores de pliegos y otros documentos legales, encargándose de la elaboración de «legal memos» y revisión de contratos, además de la aprobación de consultores externos.

COFELY ESPAÑA disponía de un sistema integrado de gestión de procedimientos productivos, incluyendo protección del medio ambiente, eficiencia energética, seguridad laboral y responsabilidad social corporativa. Se había dotado de un código ético que promovía valores de integridad, lealtad y honradez.

No obstante, la sentencia indica que, a pesar de estas medidas formales, los protocolos de actuación ética y de medidas anticorrupción no fueron eficaces para prevenir y evitar las prácticas de corrupción diseñadas y puestas en práctica desde el núcleo de la compañía.

En concreto, respecto a la contratación como asesor comercial de Valeriano, se facilitó un cuestionario y se verificó que no aparecía nada anómalo en redes sociales, pero no consta que se realizara seguimiento posterior ni durante la negociación de incrementos de retribuciones variables.

Las partidas de «success fee» y «project management» diseñadas por los acusados de COFELY ESPAÑA como mecanismo para dar acogida a las comisiones solicitadas por los responsables públicos se incluían en los planes de negocio que debían revisar los distintos departamentos antes de ser elevados al COMEX para su autorización, y tales partidas una vez aprobadas pasaban a formar parte de la oferta y, si era aceptada, al precio del contrato.

Varios departamentos estuvieron involucrados directamente, especialmente Comercial, Producción y Compras, y otros de forma puntual cuando se requería su actuación.

En resumen, la sentencia reconoce que COFELY ESPAÑA tenía un sistema formal de control y supervisión, pero que dicho sistema no fue efectivo para impedir la comisión de las prácticas corruptas que se investigan, evidenciando fallos en la implementación y vigilancia de las medidas anticorrupción.

4) Pruebas practicadas en relación con COFELY ESPAÑA

La sentencia detalla las siguientes pruebas practicadas cuyas conclusiones resumimos:

4.1.- Declaración de la representante legal de COFELY ESPAÑA:

  • Explicó que en el periodo 2012-2014 existía un plan de cumplimiento normativo, con políticas éticas, canal de denuncias, formación y supervisión.
  • Reconoció que no se realizó un seguimiento efectivo específico del cumplimiento en la contratación de asesores comerciales y auditorías, especialmente en relación con las sociedades instrumentales vinculadas a Valeriano.

4.2.- Declaración de los coacusados implicados:

  • Reconocieron su participación en la trama corrupta, incluyendo la elaboración de business plan con partidas que encubrían dádivas, la manipulación de pliegos y la emisión de facturas ficticias a través de sociedades instrumentales (DIRECCION397, RUTA ENERGÉTICA, ARUBA).
  • Admitieron que el Director General tenía conocimiento y autorizó estas prácticas.

4.3.- Declaración del Deontólogo (Compliance Officer):

  • Indicó que supervisaba el cumplimiento normativo, pero reconoce que no ejerció control efectivo sobre los contratos de asesoría comercial.
  • Confirmó la existencia de un modelo de cumplimiento normativo, pero reconoce limitaciones en la supervisión continua.

4.4.- Declaración del auditor interno:

  • Realizó auditorías limitadas al control formal de la organización, sin profundizar en la verificación de facturas o trabajos reales.
  • No detectó la simulación de presupuestos y facturas ficticias.

4.5.- Pericial sobre cumplimiento normativo, que analizaremos a continuación de forma detallada.

4.6.- Pericial de costes (KPMG e IGAE):

  • KPMG analizó costes incurridos, facturación y cobros, concluyendo que COFELY ESPAÑA realizó inversiones y servicios reales, aunque con facturas no justificadas en algunos casos.
  • IGAE detectó irregularidades en la elaboración de pliegos, la fórmula de valoración y la inclusión de cláusulas ilegales (como la del 2% para auditorías realizadas por la propia adjudicataria).
  • Ambas periciales concluyeron que no hubo perjuicio económico efectivo a los ayuntamientos, debido a la morosidad y a que muchas facturas no fueron pagadas.
  1. ANALISIS DE LA PRUEBA PERICIAL PRACTICADA Y SU VALORACION POR EL TRIBUNAL

La prueba pericial de la defensa sobre el modelo de control de COFELY ESPAÑA: contenido, conclusiones y valoración judicial en contraste con el resto de la prueba

1) Objeto y enfoque de la pericial de la defensa

Dentro del conjunto probatorio, la defensa de COFELY ESPAÑA impulsó una línea pericial centrada en acreditar la existencia y suficiencia del “modelo de control” corporativo (compliance) vigente en los años 2012–2014, con la pretensión de quebrar la imputación del art. 31 bis CP o, al menos, de atenuarla.

La pericia de descargo pivota sobre varios pilares:

  1. Arquitectura organizativa (COMEX y direcciones funcionales);
  2. Protocolos internos de autorización de gastos, compras y pagos;
  3. Órganos y políticas de ética y cumplimiento (código ético, responsable de ética, canal de denuncias);
  4. Medidas de due diligence y formación de empleados y consultores.

La tesis de fondo es que la empresa sí disponía de controles y que las infracciones investigadas no obedecían a deficiencias estructurales del sistema, sino a conductas desviadas de determinadas personas.

Los peritos sostienen que la compañía en 2012 estaba más adelantada que otras empresas en España. Pertenecía a un grupo extranjero que cotizaba en Estados Unidos, y tenía una política de desarrollo normativo más avanzada.

Los peritos también inciden en que COFELY ESPAÑA tiene implementada la norma ISO 37301 que es un estándar global de mitigación de prácticas corruptas y también la norma española UNE-19601.

Tal y como recoge la sentencia el informe pericial recoge en un cuadro los requisitos introducidos por la reforma del Código Penal de 2015 para concluir que COFELY ESPAÑA los cumplía:

  1. La función de órgano de supervisión y control, el deontólogo fue nombrado en 2007,
  2. La identificación de riesgos por actividad se llevó a cabo en 2010,
  3. Las políticas y procedimientos comienzan con la carta de compromiso ético en 2006 y luego se van desarrollando en 2008 y 2009, también en 2007-2012 política de calidad con diversas versiones.
  4. La ética en relación con proveedores, en relación comerciales, en compras, que se desarrolla entre 2008 y 2012.
  5. También gestión de recursos financieros, canal de denuncias en 2009, sistema disciplinario de COFELY ESPAÑA, prácticas éticas donde se establecía con claridad la prohibición de cometer actos corruptos y que habría tolerancia 0.
  6. La monitorización periódica del modelo desde 2009.

En cuanto a las políticas y procedimientos en relación a los contratos con asesores comerciales, se emiten en 2007 y actualizan en 2012, exigen la inclusión de cláusulas anticorrupción en los contratos, además COFELY ESPAÑA realizaba un análisis de los consultores, con documentación y contrastes en fuentes de público acceso.

2) Qué control afirma la defensa que existía

  1. a) Gobernanza y procesos. La pericia describe un sistema de autorizaciones escalonado (Dirección General, Dirección Comercial, Dirección de Servicios e Instalaciones, Dirección Financiera y Dirección Jurídica), con límites de firma y revisión previa de business plans y ofertas por los comités internos (en especial, el COMEX, máximo órgano de dirección). Esto se invoca como malla de control preventivo, destinada a someter a escrutinio técnico‑económico y jurídico los expedientes antes de su elevación a decisión.
  2. b) Compras y pagos. El protocolo exigía pedidos formales, tres ofertas comparables y aprobaciones sucesivas según cuantía; la Dirección Financiera decidía sobre pagos en contextos de tensión de tesorería, lo que —según la defensa— introducía un filtro adicional para evitar desviaciones.
  3. c) Compliance “formal”. COFELY ESPAÑA contaba con código ético, Dirección de Ética y Cumplimiento, responsable de Ética —compatibilizado con la Asesoría Jurídica— y canal de denuncias. Además, se exigían tests iniciales de ética y formación on‑line en anticorrupción a empleados y asesores externos, y se realizaba cierta verificación reputacional de consultores (por ejemplo, los cuestionarios y comprobaciones externas básicas sobre Valeriano/ARUBA). En su conjunto, la pericia de la defensa presenta estos elementos como un modelo razonable y alineado con buenas prácticas.

3) Limitaciones de la prueba pericial: falta de análisis de los hechos concretos ocurridos.

Sin embargo, los peritos reconocieron que el encargo profesional recibido no incluía analizar hechos concretos y por esta razón su informe no hace una análisis de los controles y procedimientos aplicados específicamente sobre las operaciones objeto de enjuiciamiento penal.

Con esta decisión, la defensa renuncia a demostrar la eficacia del  modelo en relación con el incidente objeto de enjuiciamiento, uno de los pilares esenciales para la eficacia plena de la prueba pericial de Compliance, y a la postre la razón por la que la prueba no sirvió a la defensa para obtener la absolución de su defendida.

 

4) El contraste con la prueba de cargo: qué observó el tribunal

La Sala valoró esa pericia en contexto y la confrontó con abundante prueba documental, electrónica, testifical y pericial (pública y privada), bajándola al contraste con los hechos concretos enjuiciados y alcanzando tres ideas cardinales:

4.1. Compliance “de papel”

El tribunal reconoce la existencia del armazón formal, pero lo califica de ineficaz: el código ético y la función de ética estaban infra‑dotados, el canal no se muestra operativo, y la formación on‑line aparece desvinculada de seguimiento o métricas de efectividad.

Se subraya que el responsable de Ética era a la vez jefe jurídico, compartiendo roles que no garantizaban independencia; y que las verificaciones de integridad (p. ej. sobre Valeriano/ARUBA) no fueron continuadas, pese a que las adendas económicas crecían de forma muy significativa. La Sala, por tanto, considera que las pautas existían, pero no funcionaron como barrera frente a la corrupción pactada desde el núcleo directivo.

4.2. Auditoría y control interno sin autonomía material

El tribunal destaca que la auditoría interna se limitó a controles formales (“calidad de la organización”), sin verificar la realidad de comparativos ni de facturas —justo el punto donde se articuló la simulación para canalizar pagos a las sociedades de Valeriano—. Se califica su actuación de no autónoma y reactiva, insuficiente para detectar “success fee / project management” camuflados en los business plans o cláusulas del 2% de “auditoría” usadas como vía estable de extracción de fondos. La falta de prueba de auditorías sustantivas sobre contenido, precios y trabajos ejecutados refuerza el juicio de ineficacia.

4.3. Desbordamiento de controles por la propia cúpula

La documental y la testifical acreditan que órdenes excepcionales del Director General aceleraban pagos fuera del estándar (transferencias inmediatas a instrumentales), y que desde Producción/Service se confeccionaban comparativos ficticios para “cumplir” el protocolo de compras a la vez que se garantizaba que la empresa instrumental del comisionista resultara adjudicataria siempre. Si los propios órganos decisores ideaban y ejecutaban la simulación, ningún diseño formal podía servir de eximente o atenuante: el modelo no solo no prevenía, sino que era instrumentalizado para dar cobertura a la trama.

5) El estándar del art. 31 bis/31 quater y la razón de la desestimación

A juicio de la Sala, para que un modelo de prevención despliegue efectos eximentes o atenuantes (art. 31 bis y 31 quater CP), no basta la existencia nominal de políticas, sino su eficacia real ex ante y su actuación diligente ex post. En el caso, el conjunto probatorio muestra que:

  • Los epígrafes “Success Fee / Project Management” y “Auditorías (2%)” fueron concebidos en el propio Business Plan por el Departamento Comercial y asumidos por dirección como mecanismo de financiación de dádivas —es decir, el riesgo de corrupción no se mitigó, sino que se integró en la estructura económica de los contratos.
  • La auditoría interna no examinó la realidad de ofertas, pedidos y facturación (ni los “comparativos”), limitándose al chequeo formal del procedimiento; ello no cumple con un estándar de control efectivo en materias de compras y terceros.
  • La función de compliance careció de recursos, independencia y monitorización continua (particularmente en el seguimiento del intermediario clave para la trama corrupta), y no previno la captura de la contratación pública a través de pliegos a medida y fórmulas que neutralizaban la competencia por precio.

Con esos criterios, la pericial de la defensa —que subraya la existencia de comités y protocolos— no logra probar que el modelo formal es un modelo eficaz, ni acredita “controles que funcionaron” frente a los riesgos realmente materializados.

6) La Sala y el principio de valoración conjunta: por qué la pericia no prevalece

La sentencia insiste en la valoración conjunta de la prueba: las confesiones (parciales) de directivos y colaboradores, los correos que documentan remisión de pliegos y modificación de ofertas, la documentación corporativa (business plans, pedidos, comparativos, facturas), y la pericial económico‑contable (trazado de flujos y retiradas de efectivo tras refacturación) componen un mosaico consistente que debilita la pericia de descargo.

La sentencia es tan contundente e ilustrativa que no necesita mayor comentario que reproducirla literalmente:

“En definitiva, lo que resulta de la valoración conjunta de la prueba practicada es que los empleados de COFELY ESPAÑA implicados en estos hechos desarrollaron la mecánica delictiva involucrando a varios departamentos de la compañía durante tres años, sin que encontraran ninguna traba, al revelarse como ineficaces las medidas anticorrupción proclamadas formalmente pero que no se desarrollaron en orden a prevenir y detectar estas prácticas corruptas.

La pericial de cumplimiento normativo propuesta por COFELY ESPAÑA informó sobre un marco normativo teórico aprobado por la compañía pero a la hora de verificar si era un plan que potencialmente podía ser eficaz, si podía servir, los propios peritos no pudieron emitir ninguna opinión sobre este extremo, porque ellos mismos desconocían los hechos, desconocían los numerosos empleados y directivos que participaron en los mismos, el prolongado periodo de tiempo en los que se mantuvieron los comportamientos ilícitos. Desconocían los poderes de los que estaba dotado el Director General y si había contrapesos a sus facultades, sobre todo en sus poderes de dirección exclusiva del trabajo del auditor, que mantuvo al margen y con una influencia nula en la detección de los hechos. Tampoco examinaron si se había realizado el seguimiento de los asesores comerciales contratados, ni accedieron a facturas, control de proveedores, auditorías internas.

La prueba practicada ha puesto de manifiesto que se trató de un plan ineficaz (papel mojado, lo calificó la Fiscalía), pues el conjunto de ilícitos que se perpetraron por los acusados de COFELY ESPAÑA no fueron episódicos sino una actividad continuada durante tres años, en las que los actos de corrupción, las negociaciones, los pagos de dádivas, las facturas mendaces como coberturas simuladas de servicios se sucedieron de continuo.”

III. SOBRE LA DOGMATICA DE LA RESPONSABILIDAD PENAL DE LA PERSONA JURIDICA

No podemos terminar esta artículo sin añadir un comentario adicional sobre la construcción dogmática de la responsabilidad penal de COFELY ESPAÑA que se recoge en el FUNDAMENTO DECIMOTERCERO y que es una síntesis práctica y eficaz de la evolución con matices en la jurisprudencia de nuestro Tribunal Supremo.

La Sala de la Audiencia Nacional hace un repaso histórico, breve y práctico destacando como hitos:

  1. Cambio de modelo (2010/2015). Se abandona la “transferencia automática” de responsabilidad por actos del representante y se pasa a un sistema de autorresponsabilidad basado en el defecto de supervisión y control. La reforma de 2015 introduce los programas de compliance como vía de exoneración o atenuación si son eficaces.
  2. Delito corporativo vs. delito individual (STS 221/2016 y 154/2016). Se configura un delito corporativo propio de la persona jurídica, distinto del delito individual del art. 31 bis. El fundamento de esa responsabilidad es un defecto estructural en los mecanismos de prevención, y solo hay condena si se prueba un incumplimiento grave de los deberes de supervisión, vigilancia y control.
  3. Presupuesto y fundamento (STS 123/2019).
    1. Presupuesto: existencia de un delito antecedente de la parte especial del CP cometido por persona física con funciones del art. 31 bis.
    2. Fundamento: el incumplimiento de la obligación de adoptar medidas o sistemas orientados a controlar y evitar la comisión de determinados delitos que pudieran cometerse en su ámbito de organización.
  4. Imputabilidad y “actor corporativo” (STS 11112022). Exige una estructura mínimamente compleja para considerar imputable penalmente a la persona jurídica; ello ha llevado a excluir de responsabilidad a ciertas sociedades instrumentales.
  5. Elementos actuales (STS 298/2024). La responsabilidad de la persona jurídica requiere:
    1. Elemento positivo: comisión de un delito por directivo o empleado.
    2. Elemento normativo: que sea un delito incluido entre los que admiten responsabilidad de PJ.
    3. Elemento negativo: inexistencia de un plan de cumplimiento eficaz (o que no haya sido burlado).
    4. Elemento accesorio: que es pieza imprescindible: el delito, objetivamente considerado y con independencia del móvil del agente, ha de redundar en beneficio directo o indirecto de la persona jurídica.
    5. Además, sobre el elemento negativo, la carga de la prueba recae en la defensa, que debe acreditar la existencia e implantación efectiva del programa y una cultura de cumplimiento.

Aplicados al supuesto analizado, la conclusión del Tribunal es que COFELY ESPAÑA ha de ser declarada como responsable penal corporativo de un delito continuado de cohecho cometido por varios de sus directivos y empleados al pagar comisiones a autoridades y funcionarios públicos de los Ayuntamientos para conseguir que se adjudicasen contratos de eficiencia energética en beneficio de dicha compañía.

Como presupuesto indispensable, han sido considerados autores responsables penales de un delito continuado de cohecho los directivos y empleados de COFELY ESPAÑA, se ha declarado que COFELY ESPAÑA reúne la condición de actor corporativo al contar con una estructura organizativa compleja y que ha estado presente y participado en el procedimiento como investigada/acusada.

La prueba practicada ha acreditado que dicha compañía incumplió los deberes de control y vigilancia sobre la actividad de sus directivos y sus empleados, por lo que no previno, ni detectó ni evitó el desarrollo dentro del ámbito de la organización de una trama corrupta dirigida a obtener contratos públicos a cambio de pago de comisiones a diversos responsables municipales, lo que hubiera podido evitarse si los mecanismos de los que estaba dotada la empresa para detectar prácticas corruptas hubieran sido eficaces.

  1. CONCLUSIÓN: ASPECTOS PRÁCTICOS A CONSIDERAR EN RELACION CON LA PERICIA

La importancia del doble enfoque de la prueba pericial.

La Sentencia confirma la importancia de que la evaluación pericial aborde un doble enfoque que permita ofrecer una visión completa al tribunal: analizar la eficacia general del diseño e implementación del sistema de compliance en su conjunto, y valorar su eficacia específica en la prevención del incidente concreto que se está investigando.

La ausencia de un enfoque bidireccional en la pericial COFELY ESPAÑA, SA ha afectado gravemente a su validación judicial como  prueba de descargo. El reconocimiento por los peritos de no haber incluido en su encargo pericial el análisis de los hechos objeto de investigación penal ha impedido a la defensa contraponer la pericia y las posibles conclusiones sobre el incidente a las pruebas que el Tribunal finalmente ha valorado

El doble enfoque es esencial para construir una defensa sólida. Este doble enfoque se desglosa en los siguientes objetivos específicos para cada área de análisis:

Evaluación del SISTEMA / PROGRAMA Evaluación del INCIDENTE
Eficacia general: Analizar si el diseño del marco de compliance y sus componentes transversales (políticas, canales, formación) es adecuado. Eficacia específica: Determinar si el programa era eficaz para prevenir el incidente investigado.
Nivel de implantación: Verificar el grado de desarrollo, implementación y mejora de los componentes transversales. Diligencia/negligencia: Aportar información técnica para valorar si hubo negligencia en la aplicación del sistema respecto al hecho investigado.
Evidencias documentadas: Constatar la existencia de evidencias que permitan medir el grado de eficacia general alcanzado. Elusión del sistema: Analizar si los sujetos investigados «engañaron» o burlaron deliberadamente los controles del programa.
Mejora del programa: Evaluar la mejora del programa o sistema a raíz del hecho investigado.

 

 

 

Deja una respuesta