Derecho de Compliance y gobierno corporativo en Colombia: cómo construir un expediente por riesgo (no por documentos)

junio 13, 2026Compliance

Introducción: compliance defendible = riesgo + controles + evidencia

En Colombia, el derecho de compliance y el gobierno corporativo dejan de ser “buenas intenciones” cuando la organización puede demostrar, de forma trazable, tres cosas: (i) qué riesgos priorizó, (ii) qué controles implementó y cómo operaron, y (iii) qué evidencia conserva para auditorías, requerimientos o investigaciones.

La clave práctica es el enfoque del expediente: no organizar por documentos (políticas sueltas, actas sueltas, capacitaciones sueltas), sino por riesgo y por líneas de decisión. Así el expediente “habla” directamente con la pregunta de auditoría: “¿qué hiciste y cómo lo probaste?”

1. Punto de partida: define el alcance del riesgo (y el “dueño” del riesgo)

Antes de abrir carpetas, el gobierno corporativo debe responder: qué riesgos cubre el programa y quién responde por cada riesgo. Esto evita el error típico de tener compliance “centralizado en un documento”, pero sin ejecución real.

  • Riesgos de integridad: conflictos de interés, regalos/hospitalidad, corrupción (si aplica), fraude, manejo de alertas.
  • Riesgos de datos: deberes del tratamiento, seguridad, accesos, conservación, proveedores/encargados.
  • Riesgos contractuales/operativos: cumplimiento con estándares y obligaciones con terceros.
  • Riesgos reputacionales y de cumplimiento sectorial (según industria).

Resultado mínimo: una matriz de riesgos con “dueño” del riesgo y un identificador para poder indexar evidencia.

2. Estructura del expediente por riesgo (seis secciones que nunca faltan)

Un expediente por riesgo puede organizarse siempre igual, aunque cambie el tipo de riesgo. Te proponemos este modelo en seis secciones:

2.1 Sección A — Gobierno y decisiones (quién supervisa y cuándo)

  • Actas o soportes de aprobación del marco de compliance.
  • Calendario de reportes del área de compliance hacia Junta/Comités/instancia competente.
  • Rutas de escalamiento (qué se reporta, a quién y en qué condiciones).

2.2 Sección B — Riesgo y razonamiento de priorización

  • Descripción del riesgo (cómo se manifiesta).
  • Probabilidad e impacto con criterios.
  • Decisiones sobre por qué se controla con ese nivel de intensidad.
  • Versión y fecha de actualización de la matriz.

2.3 Sección C — Controles (diseño) y evidencia mínima esperada

  • Mapa riesgo → control.
  • Para cada control: frecuencia, responsable, indicador de efectividad y evidencia mínima que se conserva.

Regla práctica: si no existe evidencia mínima definida, el control “no existe” para auditoría.

2.4 Sección D — Evidencia de ejecución (prueba de operación)

  • Registros de monitoreo/verificación (controles ejecutados).
  • Hallazgos detectados → gestión → resultados.
  • Capacitaciones con listas de asistencia, contenido y evaluación (si existe).
  • Debida diligencia de terceros cuando el riesgo depende de multiplicadores.

2.5 Sección E — Incidentes y canal de denuncias (de reporte a decisión)

  • Procedimiento del canal: confidencialidad, no represalias y etapas.
  • Registro de casos por incidente (identificador, clasificación, investigación y decisión).
  • Evidencia de acciones correctivas/preventivas y su cierre.

2.6 Sección F — Mejoras, control de cambios y “no repetición”

  • Bitácora de cambios: qué se ajustó, por qué, desde cuándo.
  • Acciones preventivas derivadas de hallazgos o incidentes.
  • Actualizaciones de políticas/procedimientos con control documental.

3. Evita el error del “expediente documental”: evidencia por riesgo

La práctica muestra que muchas compañías fallan por un motivo: organizan por “tipo de documento”. Eso genera dos problemas:

  • Desconexión entre riesgo y evidencia (el auditor no encuentra la prueba que explica la decisión).
  • Inconsistencias de versión (“política casi vigente”, registros de periodos distintos, anexos desactualizados).

Al organizar por riesgo, obligas a que la evidencia se conecte con la historia del control. El auditor deja de buscar “carpetas”; ejecuta una ruta.

4. Control de versiones y “vigencia”: la evidencia debe ser del periodo

En compliance, el problema silencioso suele ser probatorio, no ético: evidencia de un periodo mezclada con decisiones de otro. Para evitarlo:

  • Congela la base probatoria por ejercicio/período.
  • Usa nombres estandarizados: vX_YYYY-MM-DD_nombre_riesgo.
  • Registra cambios: qué cambió, quién aprobó, por qué y desde cuándo.
  • Mapea coherencia: política ↔ procedimiento ↔ control ↔ registro de ejecución ↔ incidente (si aplica).

5. Matriz “pregunta de auditoría → evidencia” dentro de cada riesgo

Para acelerar auditorías, construye una tabla operable por riesgo. Ejemplos:

Pregunta típica de auditoría Control del programa Evidencia mínima Sección del expediente Versión vigente
¿Quién supervisó y cómo se reporta a la Junta? Reporte periódico al órgano competente Actas / informes / anexos A vX
¿Cómo se gestiona a un tercero de alto riesgo? Debida diligencia + cláusulas + monitoreo Dossier tercero + evaluación + monitoreo D vX
¿Qué evidencia existe de que el canal de incidentes funcionó? Investigación y cierre por etapas Registro caso → análisis → decisión → correctivos E vX

6. Checklist final: el expediente por riesgo “aguanta”

  • Existe un identificador por riesgo y un “dueño” asignado.
  • La matriz de riesgos tiene versiones y fechas de actualización.
  • Para cada control hay frecuencia, responsable e evidencia mínima definida.
  • La evidencia de ejecución corresponde al periodo (sin mezclas de vigencias).
  • Gobierno y decisiones están soportados en actas/soportes de aprobación.
  • Debida diligencia de terceros está conectada con el riesgo específico.
  • Canal de incidentes tiene procedimiento y casos con trazabilidad (recepción → clasificación → investigación → decisión → cierre).
  • Hay control documental (nombres, versiones, congelamiento y control de cambios).
  • Existe matriz “pregunta de auditoría → evidencia” por cada riesgo.
  • Se documentan acciones correctivas y preventivas (no repetición).

Conclusión

En Colombia, el derecho de compliance y el gobierno corporativo son defendibles cuando se vuelven un sistema de decisiones y evidencia. El cambio más importante es metodológico: pasar de un expediente por documentos a un expediente por riesgo (riesgo → controles → ejecución → evidencia → incidentes → mejoras), con control de versiones y trazabilidad por periodo.

Cuando el auditor o la autoridad entra a tu data room, no “navega carpetas”: ejecuta una ruta. Y eso es lo que vuelve el compliance sólido.

¿Quieres que lo aterricemos a tu empresa?

  • Si me dices tus riesgos prioritarios (integridad, datos, terceros, contractual, sectoriales), te propongo el índice del expediente por riesgo y la matriz de controles con evidencia mínima.
  • Te ayudo a construir la tabla pregunta de auditoría → evidencia por cada riesgo.
  • Revisamos tu control de versiones y proponemos reglas de congelamiento/vigencia.
  • Si tienes incidentes previos, los conectamos al control (investigación → correctivo/preventivo → cierre).

Leave a Comment

Your email address will not be published. Required fields are marked *