Derecho de Compliance y gobierno corporativo en Colombia: cómo armar un expediente “evidence-ready” para auditorías y autoridades

junio 6, 2026Compliance

Introducción: compliance no se prueba con buenas intenciones

En Colombia, un programa de derecho de compliance (compliance) y gobierno corporativo solo se considera sólido cuando se puede demostrar: qué riesgos se priorizaron, qué controles se ejecutaron, cómo se investigaron incidentes y qué evidencia conserva la compañía para auditorías, requerimientos y eventuales controversias.

Este post te comparte una ruta práctica para construir un expediente “evidence-ready”: una carpeta (o data room) que responde preguntas típicas de auditoría con trazabilidad, versiones y soportes.

1. Define el objetivo del expediente (qué debe responder)

Antes de organizar documentos, responde: ¿qué quieres que un tercero entienda en 30 minutos?

Un expediente evidence-ready debe permitir responder, como mínimo:

  • Gobierno: ¿quién decide y quién supervisa? (Junta, alta gerencia, comité, responsable de compliance).
  • Riesgo: ¿por qué se priorizaron ciertos riesgos y no otros?
  • Control: ¿qué controles existían y con qué frecuencia operan?
  • Ejecución: ¿qué se hizo realmente? (monitoreos, verificaciones, due diligence, capacitaciones).
  • Incidentes: ¿cómo se reportó, investigó, decidió y cerró un caso?
  • Evidencia: ¿qué documentos/records soportan cada afirmación?

2. Estructura base: 6 secciones que organizan la prueba

Una forma efectiva de ordenar el expediente es por “secciones de evidencia”, no por área o por tipo de documento.

2.1 Sección A — Gobierno corporativo y decisiones

  • Actas o soportes de aprobación del marco de compliance.
  • Rutas de reporte: calendario de reportes a junta/comité.
  • Reglas de escalamiento: qué se eleva y cuándo.
  • Estructura de roles: asignación de responsabilidades (dueños de proceso y compliance).

2.2 Sección B — Matriz de riesgos y mapa de controles

  • Matriz de riesgos (por tipo y criticidad).
  • Mapa riesgo → proceso → control → frecuencia → evidencia mínima.
  • Registro de actualización de la matriz (versiones, fechas, motivación).

2.3 Sección C — Políticas y procedimientos con control de versiones

  • Código de conducta, políticas de integridad y manejo de conflictos.
  • Procedimientos: due diligence de terceros, contratación, gestión de incidentes, canal de denuncias, capacitaciones.
  • Control documental: nombres de versión, fecha de vigencia, aprobaciones internas.

2.4 Sección D — Debida diligencia de terceros (multiplicadores de riesgo)

  • Clasificación de terceros (bajo/medio/alto según criticidad).
  • Dossier o resultado de la evaluación: due diligence y red flags.
  • Cláusulas contractuales de cumplimiento y derecho de auditoría.
  • Monitoreo y re-evaluación durante la relación (con registros).

2.5 Sección E — Monitoreo y pruebas de efectividad de controles

  • Planes de monitoreo (trimestral/mensual/por evento) alineados con la matriz.
  • Registros de ejecución de controles (verificaciones, revisiones, conciliaciones, aprobaciones).
  • Hallazgos y cierres: acciones correctivas/preventivas con responsable y fecha.

2.6 Sección F — Canal de incidentes y cierre de casos

  • Procedimiento del canal (confidencialidad, no represalias, etapas de investigación).
  • Registro de incidentes/casos: recepción → clasificación → investigación → decisión → correctivos → cierre.
  • Evidencia de investigación: qué soportes se usaron y cómo se documentó el análisis.
  • Decisiones documentadas y trazabilidad de medidas adoptadas.

3. Evidencia mínima por control: “lo que no se guarda, no existe”

Una brecha común es tener controles descritos en políticas, pero sin la evidencia mínima para probar ejecución.

Para evitarlo, en la matriz de controles define para cada control:

  • Frecuencia (cuándo opera).
  • Dueño del proceso (quién lo ejecuta).
  • Evidencia mínima (qué registro/documento se conserva).
  • Indicador de efectividad (qué demuestra que funcionó).
  • Escalamiento (qué pasa si hay hallazgos).

4. Control de versiones y “vigencia”: elimina el problema silencioso

Muchas auditorías observan inconsistencias por versiones no alineadas: se responde con políticas “casi vigentes” o se adjuntan documentos de una etapa distinta.

Buenas prácticas:

  • Congelamiento de evidencia para cada periodo o ejercicio.
  • Nombres estandarizados: v1_YYYY-MM-DD_nombre.
  • Registro de cambios: qué cambió, por qué y desde cuándo aplica.
  • Mapeo de coherencia: política ↔ procedimiento ↔ evidencia ↔ control ejecutado.

5. Matriz “pregunta de auditoría → evidencia” (tu atajo probatorio)

Un mecanismo simple y potente es construir una tabla que conecte lo que el auditor pregunta con el documento que lo soporta.

Ejemplo (adaptable):

Pregunta típica Qué control prueba Evidencia mínima Sección del expediente Versión vigente
¿La junta recibió reportes de hallazgos? Reporte a órgano competente Actas / informes / anexos A vX
¿Cómo gestionan terceros de alto riesgo? Due diligence y monitoreo Dossier, clasificación, cláusulas, logs D vX
¿Cómo investigan incidentes? Canal de incidentes Registro del caso y soportes de investigación F vX

6. Checklist final (para que el expediente “aguante”)

  • Gobierno: roles, calendario de reportes y decisiones documentadas.
  • Riesgos: matriz priorizada con fechas de actualización.
  • Controles: frecuencia, dueños y evidencia mínima por control.
  • Documentos: políticas/procedimientos con versiones y vigencias.
  • Terceros: clasificación, due diligence, cláusulas, monitoreo y re-evaluación.
  • Monitoreo: registros de ejecución, hallazgos y cierres.
  • Incidentes: canal, etapas de investigación y evidencia de cierre.
  • Trazabilidad: cada afirmación tiene un soporte verificable.
  • Coherencia: lo que se dice en el expediente coincide con lo ejecutado en la operación.

Conclusión

El derecho de compliance y el gobierno corporativo dejan de ser “documentos” cuando se vuelven un sistema evidence-ready: se sabe quién decide, qué riesgos se priorizan, qué controles se ejecutan, cómo se investigan incidentes y qué evidencia auditable queda.

Con una estructura de expediente en 6 secciones, evidencia mínima por control y control de versiones, tu compañía puede responder con coherencia y trazabilidad ante auditorías y autoridades en Colombia.

¿Quieres que lo adaptemos a tu empresa?

  • Revisamos tu estructura actual de compliance y proponemos la arquitectura del expediente.
  • Armamos (o ajustamos) la matriz de riesgos → controles → evidencia mínima.
  • Diseñamos el control de versiones y el repositorio “vigente”.
  • Construimos una matriz “pregunta de auditoría → evidencia”.
  • Organizamos ejemplos de expediente por riesgo/tercero/incidente (con anonimización cuando aplique).

Leave a Comment

Your email address will not be published. Required fields are marked *