Derecho de Compliance y gobierno corporativo en Colombia: cómo diseñar un programa “evidenciable” (matriz, debida diligencia y canal de incidentes)

mayo 23, 2026Compliance

Introducción

En Colombia, un programa de derecho de compliance solo funciona de verdad cuando es proporcional al riesgo y, sobre todo, cuando puede demostrarse. En auditorías internas, requerimientos de autoridades o investigaciones, la pregunta que termina importando es: ¿qué hizo la compañía, cómo lo hizo y con qué evidencia?

En este artículo te compartimos una ruta práctica para diseñar un esquema de compliance con gobierno corporativo que deje trazabilidad: matriz de riesgos, debida diligencia de terceros, controles y un canal de incidentes con procedimiento.

1. Gobierno corporativo: el compliance necesita un “dueño” y un tablero de control

Compliance no puede quedar como un documento aislado. Para que sea defendible, el gobierno corporativo debe asignar quién decide, quién supervisa y quién responde por hallazgos.

  • Órgano de dirección (Junta/Asamblea o equivalente): aprueba el marco, recibe reportes y toma decisiones ante hallazgos.
  • Alta gerencia: asigna recursos, ordena implementación y aprueba correctivos.
  • Oficial/Responsable de cumplimiento (si aplica por tamaño): diseña monitoreo, consolida evidencia y eleva alertas.
  • Dueños de proceso (compras, ventas, contratación, mercadeo, operaciones, datos): ejecutan controles y alimentan evidencia.

Resultado mínimo: un calendario de reportes al órgano competente (mensual/trimestral) y un mecanismo de decisiones documentadas.

2. La matriz de riesgos: el punto de partida (y el mapa de evidencia)

La matriz de riesgos convierte el “universo de riesgos” en prioridades. Para que sea auditable, debe relacionar riesgo → proceso → control → evidencia → brecha → acción.

2.1 Qué debe incluir la matriz

  • Riesgo (p. ej., integridad/corrupción, protección de datos, competencia desleal, conflictos de interés, incumplimiento contractual, laboral, tributario relevante para decisiones, ambiental si aplica, etc.).
  • Proceso/actividad donde ocurre (compras, contratación, comercial, marketing, atención al cliente, relacionamiento con terceros, uso de datos).
  • Probabilidad e impacto con criterios claros.
  • Control existente y su efectividad (no solo si existe).
  • Brecha: qué falta o qué no funciona.
  • Acción correctiva/preventiva con responsable y fecha.
  • Evidencia requerida: qué documento/registro se guardará cuando el control opere.

2.2 Tres niveles para priorizar

  • Riesgo alto: controles intensivos, debida diligencia reforzada, auditoría y monitoreo cercano.
  • Riesgo medio: controles estándar, monitoreo periódico y plan de cierre de brechas.
  • Riesgo bajo: controles ligeros pero con evidencia mínima.

3. Debida diligencia de terceros: el “multiplicador” de riesgo

En compliance societario, los terceros suelen amplificar el riesgo. Por eso, la debida diligencia debe hacerse antes, durante y después de contratar.

3.1 Antes de contratar: dossier y clasificación

  • Identificación del tercero y su rol (agente, distribuidor, proveedor crítico, intermediario, asesor, aliado comercial).
  • Verificación básica (existencia/estructura) y red flags según el tipo de riesgo.
  • Clasificación (bajo/medio/alto) para definir nivel de revisión.
  • Dossier del tercero: resultado de la evaluación y decisión documentada.

3.2 Durante la relación: cláusulas y “cumplimiento operacional”

  • Cláusulas de cumplimiento (integridad, anticorrupción cuando aplique, protección de datos si aplica, confidencialidad, reporte de incidentes).
  • Derecho de auditoría o verificación y obligación de entregar soportes.
  • Reglas de subcontratación y cesión.
  • Terminación por incumplimiento material del programa.

Regla de evidencia: lo que se paga debe conectarse con entregables verificables (y con registros para demostrar que el control operó).

3.3 Después: monitoreo, re-evaluación y cierre

  • Monitoreo periódico según criticidad (incluye re-evaluaciones del tercero).
  • Gestión de incidentes: cómo se reporta, investiga y cierra.
  • Tr trazabilidad del “antes-durante-después”: el contrato no basta; se conserva evidencia de ejecución y decisiones.

4. Canal de denuncias y gestión de incidentes: del reporte a la decisión

Un canal de denuncias solo es útil si funciona como proceso, con etapas, confidencialidad y trazabilidad.

4.1 Etapas recomendadas

  1. Recepción: radicación con identificador del caso.
  2. Clasificación: tipo de riesgo, criticidad, posibles implicados, urgencia.
  3. Investigación: recolección de evidencia, entrevistas, análisis y registro de hallazgos.
  4. Decisión: conclusiones del órgano competente y responsabilidades.
  5. Acciones correctivas: correctivos, preventivos, cambios de controles y seguimiento.
  6. Cierre: evidencia de que se ejecutaron las acciones y actualización de la matriz.

4.2 Evidencia que el comité debe poder mostrar

  • acta o registro del tratamiento del caso (con acceso controlado);
  • documentación de la investigación (qué evidencia se usó y cómo);
  • medidas adoptadas y su responsable;
  • resultados del seguimiento (cierres de acciones correctivas).

5. Controles “auditable-ready”: cómo diseñar políticas que realmente se ejecutan

Para que el compliance sea defendible, cada política debe tener:

  • Un control (quién hace qué, cuándo y con qué criterio).
  • Una frecuencia (mensual, por evento, antes de contratar, etc.).
  • Una evidencia mínima que se guarda (documento o registro).
  • Un responsable (dueño del proceso).
  • Un mecanismo de escalamiento (qué pasa si hay brecha o hallazgo).

En la práctica, la debilidad típica es confundir “tener políticas” con “probar ejecución”.

6. Expediente de cumplimiento: cómo organizar la evidencia para auditorías

La pregunta central en auditorías suele ser: “¿qué hizo la empresa y cómo lo probó?” Para responder, define un esquema de expediente por:

  • riesgo (matriz + controles + evidencias de operación),
  • tercero crítico (dossier + monitoreo + incidentes),
  • incidente (caso → evidencia → investigación → decisión → correctivos → cierre).

Buenas prácticas: control de versiones, nombres de archivo consistentes, control de acceso por rol y registro de fechas/actas.

7. Implementación en 30-60 días (plan sugerido)

  • Semana 1-2: conformar roles y canales; definir el alcance del programa.
  • Semana 2-4: construir matriz de riesgos priorizada con evidencia requerida.
  • Semana 3-5: diseñar debida diligencia de terceros (formatos y niveles por riesgo).
  • Semana 4-6: estructurar canal de denuncias y procedimiento de incidentes con etapas y trazabilidad.
  • Semana 6-8: estandarizar cláusulas contractuales y controles operativos con evidencia mínima.
  • Semana 8-10: organizar repositorio de evidencia y realizar un piloto con 1 riesgo alto y 1 tercero crítico.
  • Semana 10-12: reportar resultados al órgano de dirección y cerrar brechas con cronograma.

Conclusión

En Colombia, el derecho de compliance y el gobierno corporativo se fortalecen cuando el sistema es proporcional, ejecutable y, sobre todo, evidenciable. La matriz de riesgos te prioriza; la debida diligencia de terceros controla multiplicadores; el canal de incidentes gestiona alertas; y el expediente convierte decisiones en trazabilidad para auditorías y requerimientos.

Si el compliance puede demostrarse, no solo reduce riesgos: también mejora la capacidad de respuesta ante investigaciones y controversias.

¿Quieres que revisemos tu caso?

Podemos ayudarte a:

  • diagnosticar riesgos y construir/actualizar tu matriz de riesgos con evidencia requerida;
  • diseñar debida diligencia de terceros (dossier, red flags, niveles de revisión y cláusulas);
  • estructurar un canal de denuncias con procedimiento de incidentes y trazabilidad;
  • definir un esquema de expediente de cumplimiento listo para auditorías;
  • alinear compliance con el gobierno corporativo (roles, reportes y decisiones documentadas).

Leave a Comment

Your email address will not be published. Required fields are marked *