Derecho de Compliance y gobierno corporativo en Colombia: cómo diseñar un programa desde la junta hasta el canal de incidentes

mayo 30, 2026Compliance

Introducción

En Colombia, el derecho de compliance deja de ser una “política corporativa” cuando se convierte en un sistema: define responsabilidades dentro del gobierno corporativo, traduce riesgos en controles ejecutables y genera evidencia auditable para auditorías, requerimientos de autoridades y eventuales controversias.

La pregunta que realmente importa no es “¿tenemos compliance?”, sino: ¿podemos demostrar qué decisión tomó la junta, qué control se ejecutó, qué resultado produjo y cómo se gestionó un incidente?

1. El punto de partida: compliance y gobierno corporativo no son lo mismo

Para diseñar un programa defendible, conviene separar funciones:

  • Gobierno corporativo: decide, supervisa y recibe reportes (quién aprueba, quién vigila, quién responde).
  • Compliance: implementa controles, monitorea, detecta alertas y coordina correctivos (cómo se ejecuta el deber).
  • Evidencia: deja trazabilidad (qué se hizo, cuándo, por quién y con qué soporte).

Regla práctica: si un control no tiene “dueño”, frecuencia y evidencia mínima, el programa queda débil en revisiones y auditorías.

2. Diseña el programa de compliance con estructura “de arriba hacia abajo”

2.1 Junta/Asamblea (órgano competente)

Define un rol activo de la instancia de dirección con decisiones documentadas:

  • Aprobación del marco de cumplimiento y su enfoque por riesgos.
  • Recepción de reportes periódicos (mínimo semestral; ideal trimestral en riesgos altos).
  • Activación de decisiones correctivas cuando aparezcan hallazgos relevantes.

Entregable recomendado: actas o registros de aprobación y seguimiento con criterios (no solo “tomado nota”).

2.2 Alta gerencia

  • Autoriza presupuesto y recursos para implementar controles.
  • Ordena cambios cuando el monitoreo muestre fallas.
  • Refuerza cultura mediante mensajes y apoyo operativo.

2.3 Oficial/Responsable de cumplimiento (si aplica)

  • Construye y actualiza la matriz de riesgos.
  • Monitorea ejecución de controles y consolida evidencia.
  • Gestiona incidentes: investigación, clasificación y reporte al órgano competente.

2.4 Dueños de procesos

En compliance, “todo el mundo” no puede ser responsable. Se asigna a quienes ejecutan controles en la operación:

  • compras/contratación;
  • ventas y relacionamiento con terceros;
  • gestión de datos;
  • atención al cliente (si aplica a consumo/protección de datos);
  • gestión de pagos y canales.

3. Matriz de riesgos: conviértela en un mapa de controles con evidencia

La matriz no debe ser un listado: debe conectar riesgo → proceso → control → evidencia → decisión.

3.1 Qué riesgos incluir (ejemplos frecuentes)

  • integridad e investigaciones (conflictos de interés, corrupción de terceros, fraude);
  • protección de datos personales;
  • cumplimiento contractual y deberes sectoriales;
  • riesgos reputacionales asociados a prácticas engañosas (según industria);
  • competencia/desleal cuando la comunicación comercial depende de información;
  • riesgos ambientales o laborales cuando el modelo de operación lo requiere.

3.2 Qué debe incluir cada control

  • Frecuencia (mensual, trimestral o por evento).
  • Responsable (rol, no nombre).
  • Evidencia mínima (documento/registro verificable).
  • Escalamiento (a quién se reporta y en qué caso).
  • Resultado esperado (qué demuestra que el control funcionó).

4. Debida diligencia de terceros: el multiplicador del riesgo

En Colombia, muchos incidentes provienen de terceros (agentes, distribuidores, proveedores críticos, intermediarios). Un programa robusto debe:

  • clasificar el tercero por nivel de riesgo;
  • exigir cláusulas de cumplimiento y derecho de auditoría/verificación;
  • definir entregables para evidenciar la ejecución;
  • monitorear durante la relación y re-evaluar periódicamente.

5. Canal de incidentes (denuncias): diseñarlo como proceso, no como buzón

El canal solo sirve si tiene trazabilidad y reglas de manejo. Un procedimiento defendible incluye:

5.1 Etapas mínimas

  1. Recepción: registro del caso e identificación del asunto.
  2. Clasificación: tipo de riesgo, criticidad y posibles implicados.
  3. Investigación: recolección de evidencia y análisis.
  4. Decisión: conclusiones y responsables, con reporte al órgano competente.
  5. Acciones correctivas: correctivos, preventivos y cambios de control.
  6. Cierre: evidencia de implementación y actualización de la matriz.

5.2 Evidencia que debe poder mostrar la compañía

  • registro de tratamiento del caso (acceso controlado);
  • documentación de investigación (qué evidencia se usó y por qué);
  • medidas adoptadas y responsables;
  • seguimiento y cierre con actualización de controles.

6. Expediente de compliance: la “carpeta” que responde auditorías y requerimientos

La defensa probatoria suele fallar cuando el compliance es “documental” pero no “operativo”. Para evitarlo:

  • crea expedientes por riesgo, por tercero crítico o por incidente;
  • aplica control de versiones a políticas y procedimientos;
  • asegura que cada control tenga evidencia mínima accesible para auditoría;
  • mantén una cronología cuando el incidente afecte decisiones.

7. Implementación sugerida (30-60 días)

  • Semana 1-2: roles, alcance y gobernanza (junta, gerencia, cumplimiento, dueños de proceso).
  • Semana 2-4: matriz de riesgos con controles y evidencia mínima.
  • Semana 3-5: debida diligencia de terceros (formatos, clasificación y cláusulas).
  • Semana 4-6: canal de incidentes con procedimiento por etapas y trazabilidad.
  • Semana 6-8: estandarizar políticas/procedimientos y armar el repositorio de evidencia.
  • Semana 8-10: piloto con 1 riesgo alto y 1 tercero crítico; ajustar controles y evidencias.
  • Semana 10-12: reportar a la junta y formalizar la operación del programa.

Conclusión

Un programa de derecho de compliance con gobierno corporativo efectivo en Colombia se diseña de “arriba hacia abajo”: define decisiones y reportes desde la junta, traduce riesgos en controles ejecutables por dueños de proceso, gestiona terceros con debida diligencia y opera un canal de incidentes con trazabilidad.

La diferencia entre compliance decorativo y compliance defendible está en la evidencia auditable: qué se decidió, qué se controló, qué resultado produjo y cómo se corrigieron brechas.

¿Quieres que revisemos tu caso?

  • diagnosticamos brechas de cumplimiento y gobernanza (quién decide, quién ejecuta y quién reporta);
  • construimos o ajustamos la matriz de riesgos con controles + evidencia mínima;
  • diseñamos debida diligencia de terceros (clasificación, dossier y monitoreo);
  • implementamos un canal de incidentes con procedimiento por etapas y trazabilidad;
  • armamos el expediente de compliance para auditorías y requerimientos.

Leave a Comment

Your email address will not be published. Required fields are marked *