Derecho de Compliance en Colombia: matriz de riesgos, debida diligencia de terceros y evidencia para auditorías

mayo 16, 2026Compliance

Introducción

En Colombia, el derecho de compliance es mucho más que “tener políticas”. En la práctica, lo que termina marcando la diferencia es si la compañía puede demostrar que diseñó un sistema proporcional al riesgo, ejecutó controles reales y construyó evidencia útil para auditorías, requerimientos o investigaciones.

En este post te compartimos una metodología accionable para implementar compliance con foco en: (i) matriz de riesgos, (ii) debida diligencia de terceros y (iii) expediente probatorio.

1. Compliance “defendible”: lo que debe poder probarse

Un programa de compliance suele fallar cuando queda desconectado de decisiones y operaciones. Para que sea defendible, el sistema debe poder responder tres preguntas:

  • ¿Qué riesgos priorizamos? (no todos los riesgos tienen el mismo control).
  • ¿Qué hicimos para mitigarlos? (controles ejecutados y no solo documentos).
  • ¿Qué evidencia queda? (trazabilidad auditable).

En otras palabras: compliance debe dejar huella y coherencia entre riesgo – control – evidencia – decisión.

2. Paso 1: matriz de riesgos (la columna vertebral del programa)

La matriz de riesgos organiza el universo de riesgos legales, de integridad y de terceros en un orden de prioridad. Para Colombia, una estructura práctica incluye:

2.1 Rangos mínimos de la matriz

  • Riesgo (ej.: corrupción de terceros, conflicto de interés, manejo de datos personales, incumplimiento contractual, competencia desleal, consumo, ambiental, laboral, etc., según sector).
  • Proceso/actividad donde ocurre (compras, ventas, contratación, logística, mercadeo, atención al cliente, etc.).
  • Fuente del riesgo (persona, incentivo, tercero, canal, sistema).
  • Probabilidad e impacto (con criterios claros para evitar decisiones subjetivas).
  • Control existente y su efectividad (si existe).
  • Brecha (qué falta o qué no funciona).
  • Acción correctiva/preventiva con responsable y fecha.
  • Evidencia requerida (qué documento/registro demuestra la ejecución).

2.2 Cómo usar la matriz para priorizar (regla práctica)

Una regla útil es construir tres carriles:

  • Riesgo alto: controles intensivos + debida diligencia reforzada + auditoría.
  • Riesgo medio: controles estándar + monitoreo.
  • Riesgo bajo: controles ligeros pero con evidencia básica.

3. Paso 2: debida diligencia de terceros (antes, durante y después)

Los terceros suelen multiplicar el riesgo. Un enfoque efectivo combina debida diligencia, cláusulas contractuales y monitoreo.

3.1 Antes de contratar: clasifica al tercero

  • Identificación y verificación básica (existencia, estructura, beneficiarios cuando aplique).
  • Entendimiento del rol: agente, distribuidor, intermediario, proveedor crítico, consultor, aliado comercial, etc.
  • Red flags típicos: intermediación injustificada, pagos atípicos, falta de entregables, urgencia sin soporte, opacidad en el origen de la base de clientes (si aplica), etc.
  • Clasificación de riesgo: bajo/medio/alto para definir el nivel de revisión y documentación.

Entregable mínimo: un “dossier” del tercero con resultado de la evaluación y decisión de contratación.

3.2 Durante la relación: controles y trazabilidad operativa

  • Cláusulas de cumplimiento (políticas, anticorrupción/integridad si aplica, protección de datos si aplica, auditoría/verificación, confidencialidad, terminación por incumplimiento, cooperación en investigaciones).
  • Reglas sobre subcontratación y cesión.
  • Verificación de entregables: qué se paga y contra qué evidencia (por ejemplo, órdenes, actas, reportes, KPIs o soportes).
  • Control de interacciones: autorizaciones internas para actividades sensibles.

3.3 Después: monitoreo, re-evaluación y gestión de incidentes

  • Monitoreo periódico según criticidad (re-evaluaciones del tercero).
  • Gestión de incidentes: cómo se reporta, investiga y cierra.
  • Evidencia del “antes-durante-después”: no solo el contrato, también la ejecución y las decisiones del órgano competente.

4. Paso 3: evidencia para auditorías (expediente probatorio)

La pregunta que casi siempre aparece en auditorías es: “¿Qué hizo la empresa y cómo lo probó?”. Por eso, el programa debe definir qué evidencia se guarda por cada control.

4.1 Evidencia mínima recomendada

  • Actas y decisiones del órgano competente (aprobación de políticas, reportes de hallazgos y correctivos).
  • Mapa/matriz de riesgos con fechas de actualización y plan de acciones.
  • Políticas controladas (versiones, aprobaciones y vigencia).
  • Debida diligencia de terceros (formatos, resultados, clasificación y decisiones).
  • Contratos con cláusulas de cumplimiento y soportes de verificación.
  • Capacitaciones (asistencia, contenido, evaluación si aplica).
  • Reportes de monitoreo y métricas (efectividad de controles, hallazgos y cierres).
  • Canal de denuncias y trazabilidad del proceso de investigación y decisiones.

4.2 Organización del expediente: por riesgo/caso (no solo por documento)

Una práctica útil es organizar la carpeta así:

  • por riesgo o proceso (compras, contratación, mercadeo, datos, etc.).
  • por tercero crítico (con su dossier y evidencia de monitoreo).
  • por incidente (hechos, análisis, decisiones, correctivos, cierre).

Esto acelera respuestas y evita inconsistencias entre lo documentado y lo ejecutado.

5. Checklist de implementación (30-60 días)

  • Conformar roles: órgano competente, responsable de compliance, dueños de proceso y canal de reporte.
  • Construir matriz de riesgos (priorización + brechas + acciones + evidencia requerida).
  • Diseñar debida diligencia de terceros (clasificación, dossier, red flags, nivel de revisión).
  • Estandarizar cláusulas contractuales de cumplimiento y reglas de monitoreo.
  • Crear proceso de incidentes y gestión del canal de denuncias (etapas y trazabilidad).
  • Definir repositorio y estructura de evidencia (versionado y acceso por rol).
  • Capacitar por roles críticos y conservar soportes.
  • Piloto: ejecutar el esquema con 1 riesgo alto y 1 tercero crítico; documentar aprendizajes.
  • Reportar a la dirección resultados del piloto y plan de mejora continua.

Conclusión

Un programa de derecho de compliance efectivo en Colombia se mide por su capacidad de priorizar riesgos, controlar terceros y, sobre todo, probar decisiones y controles. La matriz de riesgos, la debida diligencia de terceros y un expediente auditable convierten el compliance en una herramienta real de gobierno corporativo.

Si el sistema se diseña y ejecuta con trazabilidad, la organización mejora su capacidad de respuesta ante auditorías, requerimientos o investigaciones.

¿Quieres que revisemos tu caso?

Podemos ayudarte a:

  • diseñar o ajustar tu matriz de riesgos con evidencia requerida y responsables;
  • implementar debida diligencia de terceros y formatos de dossier;
  • estandarizar cláusulas contractuales de cumplimiento y verificación;
  • organizar un expediente probatorio por riesgo/caso;
  • fortalecer el canal de denuncias y el procedimiento de investigación;
  • programar capacitaciones y métricas para mejora continua.

Leave a Comment

Your email address will not be published. Required fields are marked *