Derecho de Compliance en sociedades colombianas: gobierno corporativo, riesgos de terceros y evidencia para auditorías

mayo 9, 2026Compliance

Introducción

En Colombia, el derecho de compliance en sociedades no se limita a “tener políticas”. En la práctica, lo que marca la diferencia entre un programa efectivo y uno meramente formal es: (i) cómo el gobierno corporativo distribuye responsabilidades, (ii) cómo se gestionan los riesgos de terceros y (iii) qué evidencia auditable deja la organización sobre sus decisiones y controles.

Este artículo explica, con un enfoque práctico, cómo diseñar un sistema de cumplimiento que sea defendible frente a auditorías internas, requerimientos, investigaciones o controversias.

1. Compliance y gobierno corporativo: responsabilidades que no pueden quedar difusas

Un error común es tratar compliance como una función aislada. Jurídicamente, compliance debe estar integrado al modelo de decisiones de la sociedad:

  • Órgano de dirección (Junta/Asamblea o equivalente): aprueba el marco de cumplimiento, supervisa indicadores y responde a reportes de hallazgos.
  • Alta gerencia: asigna recursos, ordena implementación y toma decisiones correctivas.
  • Oficial / Responsable de cumplimiento (si aplica por tamaño): diseña, monitorea y eleva alertas.
  • Dueños de proceso (áreas operativas): ejecutan controles (p. ej., compras, ventas, contratación, relacionamiento con clientes/aliados).

La regla práctica es simple: si el control no está conectado a un rol con facultades y un canal de reporte, el programa pierde tracción y evidencia.

2. Mapa de riesgos: la base legal para un compliance proporcional

Antes de escribir documentos, necesitas un diagnóstico que priorice riesgos reales. En sociedades colombianas, suele incluir al menos:

  • Riesgos legales por operación: contratos, protección de datos, competencia/deslealidad (cuando aplique), consumo, tributario (en la medida que impacte decisiones), laboral y otros según el sector.
  • Riesgos de integridad: conflictos de interés, regalos/hospitalidad, sobornos, fraude, abuso de posición, manejo de alertas.
  • Riesgos de terceros: agentes, distribuidores, intermediarios, proveedores críticos, aliados comerciales.

Resultado esperado: un mapa con probabilidad/impacto y una hoja de ruta para cerrar brechas (controles faltantes o inefectivos).

3. Controles para terceros: debida diligencia, contratos y monitoreo

En compliance societario, los terceros son un multiplicador de riesgo. Un esquema efectivo combina tres capas:

3.1 Debida diligencia de terceros (antes de contratar)

  • Validar identidad, antecedentes relevantes y estructura del tercero.
  • Evaluar reputación, integridad y consistencia entre lo que ofrece y lo que realmente ejecutará.
  • Revisar vínculos con personal interno (conflictos de interés).
  • Clasificar el riesgo del tercero (bajo/medio/alto) y definir el nivel de control aplicable.

3.2 Cláusulas contractuales (durante la relación)

El contrato es el “puente” entre el riesgo y el control. Normalmente debe incluir:

  • deber de cumplir políticas del programa (integridad, anticorrupción, tratamiento de datos si aplica);
  • derecho de auditoría o verificación y entrega de soportes;
  • reglas sobre subcontratación y cesión;
  • mecanismos de terminación por incumplimiento;
  • procedimientos de manejo de alertas y cooperación en investigaciones.

3.3 Monitoreo y re-evaluación (después)

  • seguimiento de desempeño y trazabilidad de pagos/servicios;
  • re-evaluaciones periódicas según criticidad;
  • gestión de “red flags” (pagos atípicos, intermediación injustificada, falta de entregables, demoras sin explicación).

Clave auditable: que exista evidencia del “antes-durante-después” (no solo el contrato firmado).

4. Canal de denuncias y gestión de incidentes: del reporte a la decisión

Un canal de denuncias es efectivo si se ejecuta como proceso. Para que sea defendible:

  • definir reglas de confidencialidad, no represalias y trazabilidad del caso;
  • establecer etapas (recepción → clasificación → investigación → conclusiones → acciones correctivas);
  • guardar evidencias del análisis (aunque sea con niveles de acceso);
  • documentar la decisión del órgano competente y los correctivos aplicados.

El punto crítico no es “tener un formato”, sino poder mostrar que la sociedad gestionó el riesgo y no ignoró alertas.

5. Evidencia auditable: qué debe poder demostrar tu compliance

En controversias o auditorías, la pregunta suele ser: ¿qué hizo la sociedad y cómo lo probó? Por eso, el compliance debe dejar huella documental.

Un set mínimo recomendable incluye:

  • Actas del órgano de dirección (aprobación del marco, reportes, decisiones correctivas).
  • Mapa de riesgos y revisiones periódicas.
  • Políticas y versiones controladas (con fechas de adopción y actualización).
  • Debida diligencia de terceros (formatos, soportes, resultados, nivel de riesgo).
  • Contratos con cláusulas de cumplimiento y evidencias de monitoreo.
  • Capacitaciones por rol (asistencia, evaluación, registros).
  • Reportes de monitoreo y métricas (indicadores, hallazgos y cierres).
  • Gestión de incidentes y canal de denuncias (trazabilidad y acciones).

Recomendación práctica: organiza el expediente por “caso” o “riesgo” (p. ej., por tercero, por proceso, por incidente), no solo por tipo de documento.

6. Métricas y mejora continua: compliance que se sostiene

Para que compliance no se detenga en la implementación, debes monitorear:

  • cobertura de capacitación por rol;
  • tiempos de atención de incidentes/denuncias;
  • hallazgos de auditoría y porcentaje de cierre;
  • efectividad de controles (pruebas y verificaciones);
  • evolución de riesgos por proceso o por terceros críticos.

La mejora continua debe terminar en decisiones documentadas por las instancias competentes.

7. Checklist rápido para implementar (en 30-60 días)

  • Conformar roles y canales de reporte (quién aprueba, quién ejecuta, quién monitorea).
  • Construir un mapa de riesgos priorizado (incluyendo terceros).
  • Definir el esquema de debida diligencia de terceros (riesgo bajo/medio/alto).
  • Estandarizar cláusulas contractuales de compliance y requerimientos probatorios.
  • Implementar un proceso de canal de denuncias e investigación con trazabilidad.
  • Crear matriz de controles con evidencia requerida (qué se hace y qué se guarda).
  • Programar capacitaciones por rol y mantener registros.
  • Definir métricas y periodicidad de reportes al órgano de dirección.
  • Realizar una auditoría interna piloto de un proceso y un tercero crítico.

Conclusión

El derecho de compliance en sociedades colombianas funciona cuando está integrado al gobierno corporativo, cuando controla riesgos de terceros con debida diligencia y contrato, y cuando produce evidencia auditable de decisiones y controles.

Si tu programa deja trazabilidad y demuestra diligencia, fortaleces la posición de la compañía frente a auditorías, requerimientos y eventuales investigaciones o controversias.

¿Quieres que revisemos tu caso?

Podemos ayudarte a:

  • diagnosticar riesgos legales, integridad y de terceros;
  • diseñar un programa de compliance proporcional con gobernanza y matriz de controles;
  • estructurar debida diligencia, contratos y monitoreo para terceros;
  • fortalecer el canal de denuncias y la gestión de incidentes;
  • armar un esquema de evidencia auditable (expedientes y trazabilidad);
  • preparar reportes y soporte para auditorías internas o externas.

Leave a Comment

Your email address will not be published. Required fields are marked *