{"id":6085,"date":"2026-05-09T11:00:40","date_gmt":"2026-05-09T11:00:40","guid":{"rendered":"https:\/\/contextolegal.com\/derecho-de-compliance-en-sociedades-colombianas-gobierno-corporativo-riesgos-de-terceros-y-evidencia-para-auditorias\/"},"modified":"2026-05-09T11:00:40","modified_gmt":"2026-05-09T11:00:40","slug":"derecho-de-compliance-en-sociedades-colombianas-gobierno-corporativo-riesgos-de-terceros-y-evidencia-para-auditorias","status":"publish","type":"post","link":"https:\/\/contextolegal.com\/en\/derecho-de-compliance-en-sociedades-colombianas-gobierno-corporativo-riesgos-de-terceros-y-evidencia-para-auditorias\/","title":{"rendered":"Derecho de Compliance en sociedades colombianas: gobierno corporativo, riesgos de terceros y evidencia para auditor\u00edas"},"content":{"rendered":"<h2>Introducci\u00f3n<\/h2>\n<p>En Colombia, el <strong>derecho de compliance<\/strong> en sociedades no se limita a \u201ctener pol\u00edticas\u201d. En la pr\u00e1ctica, lo que marca la diferencia entre un programa efectivo y uno meramente formal es: (i) c\u00f3mo el <strong>gobierno corporativo<\/strong> distribuye responsabilidades, (ii) c\u00f3mo se gestionan los <strong>riesgos de terceros<\/strong> y (iii) qu\u00e9 <strong>evidencia auditable<\/strong> deja la organizaci\u00f3n sobre sus decisiones y controles.<\/p>\n<p>Este art\u00edculo explica, con un enfoque pr\u00e1ctico, c\u00f3mo dise\u00f1ar un sistema de cumplimiento que sea defendible frente a auditor\u00edas internas, requerimientos, investigaciones o controversias.<\/p>\n<h2>1. Compliance y gobierno corporativo: responsabilidades que no pueden quedar difusas<\/h2>\n<p>Un error com\u00fan es tratar compliance como una funci\u00f3n aislada. Jur\u00eddicamente, compliance debe estar integrado al <strong>modelo de decisiones<\/strong> de la sociedad:<\/p>\n<ul>\n<li><strong>\u00d3rgano de direcci\u00f3n (Junta\/Asamblea o equivalente):<\/strong> aprueba el marco de cumplimiento, supervisa indicadores y responde a reportes de hallazgos.<\/li>\n<li><strong>Alta gerencia:<\/strong> asigna recursos, ordena implementaci\u00f3n y toma decisiones correctivas.<\/li>\n<li><strong>Oficial \/ Responsable de cumplimiento (si aplica por tama\u00f1o):<\/strong> dise\u00f1a, monitorea y eleva alertas.<\/li>\n<li><strong>Due\u00f1os de proceso (\u00e1reas operativas):<\/strong> ejecutan controles (p. ej., compras, ventas, contrataci\u00f3n, relacionamiento con clientes\/aliados).<\/li>\n<\/ul>\n<p>La regla pr\u00e1ctica es simple: si el control no est\u00e1 conectado a un <strong>rol con facultades y un canal de reporte<\/strong>, el programa pierde tracci\u00f3n y evidencia.<\/p>\n<h2>2. Mapa de riesgos: la base legal para un compliance proporcional<\/h2>\n<p>Antes de escribir documentos, necesitas un <strong>diagn\u00f3stico<\/strong> que priorice riesgos reales. En sociedades colombianas, suele incluir al menos:<\/p>\n<ul>\n<li><strong>Riesgos legales por operaci\u00f3n:<\/strong> contratos, protecci\u00f3n de datos, competencia\/deslealidad (cuando aplique), consumo, tributario (en la medida que impacte decisiones), laboral y otros seg\u00fan el sector.<\/li>\n<li><strong>Riesgos de integridad:<\/strong> conflictos de inter\u00e9s, regalos\/hospitalidad, sobornos, fraude, abuso de posici\u00f3n, manejo de alertas.<\/li>\n<li><strong>Riesgos de terceros:<\/strong> agentes, distribuidores, intermediarios, proveedores cr\u00edticos, aliados comerciales.<\/li>\n<\/ul>\n<p>Resultado esperado: un <strong>mapa<\/strong> con probabilidad\/impacto y una hoja de ruta para cerrar brechas (controles faltantes o inefectivos).<\/p>\n<h2>3. Controles para terceros: debida diligencia, contratos y monitoreo<\/h2>\n<p>En compliance societario, los terceros son un multiplicador de riesgo. Un esquema efectivo combina tres capas:<\/p>\n<h3>3.1 Debida diligencia de terceros (antes de contratar)<\/h3>\n<ul>\n<li>Validar identidad, antecedentes relevantes y estructura del tercero.<\/li>\n<li>Evaluar reputaci\u00f3n, integridad y consistencia entre lo que ofrece y lo que realmente ejecutar\u00e1.<\/li>\n<li>Revisar v\u00ednculos con personal interno (conflictos de inter\u00e9s).<\/li>\n<li>Clasificar el riesgo del tercero (bajo\/medio\/alto) y definir el nivel de control aplicable.<\/li>\n<\/ul>\n<h3>3.2 Cl\u00e1usulas contractuales (durante la relaci\u00f3n)<\/h3>\n<p>El contrato es el \u201cpuente\u201d entre el riesgo y el control. Normalmente debe incluir:<\/p>\n<ul>\n<li>deber de cumplir pol\u00edticas del programa (integridad, anticorrupci\u00f3n, tratamiento de datos si aplica);<\/li>\n<li>derecho de auditor\u00eda o verificaci\u00f3n y entrega de soportes;<\/li>\n<li>reglas sobre subcontrataci\u00f3n y cesi\u00f3n;<\/li>\n<li>mecanismos de terminaci\u00f3n por incumplimiento;<\/li>\n<li>procedimientos de manejo de alertas y cooperaci\u00f3n en investigaciones.<\/li>\n<\/ul>\n<h3>3.3 Monitoreo y re-evaluaci\u00f3n (despu\u00e9s)<\/h3>\n<ul>\n<li>seguimiento de desempe\u00f1o y trazabilidad de pagos\/servicios;<\/li>\n<li>re-evaluaciones peri\u00f3dicas seg\u00fan criticidad;<\/li>\n<li>gesti\u00f3n de \u201cred flags\u201d (pagos at\u00edpicos, intermediaci\u00f3n injustificada, falta de entregables, demoras sin explicaci\u00f3n).<\/li>\n<\/ul>\n<p><strong>Clave auditable:<\/strong> que exista evidencia del \u201cantes-durante-despu\u00e9s\u201d (no solo el contrato firmado).<\/p>\n<h2>4. Canal de denuncias y gesti\u00f3n de incidentes: del reporte a la decisi\u00f3n<\/h2>\n<p>Un canal de denuncias es efectivo si se ejecuta como proceso. Para que sea defendible:<\/p>\n<ul>\n<li>definir reglas de confidencialidad, no represalias y trazabilidad del caso;<\/li>\n<li>establecer etapas (recepci\u00f3n \u2192 clasificaci\u00f3n \u2192 investigaci\u00f3n \u2192 conclusiones \u2192 acciones correctivas);<\/li>\n<li>guardar evidencias del an\u00e1lisis (aunque sea con niveles de acceso);<\/li>\n<li>documentar la decisi\u00f3n del \u00f3rgano competente y los correctivos aplicados.<\/li>\n<\/ul>\n<p>El punto cr\u00edtico no es \u201ctener un formato\u201d, sino poder mostrar que la sociedad <strong>gestion\u00f3 el riesgo<\/strong> y no ignor\u00f3 alertas.<\/p>\n<h2>5. Evidencia auditable: qu\u00e9 debe poder demostrar tu compliance<\/h2>\n<p>En controversias o auditor\u00edas, la pregunta suele ser: <strong>\u00bfqu\u00e9 hizo la sociedad y c\u00f3mo lo prob\u00f3?<\/strong> Por eso, el compliance debe dejar huella documental.<\/p>\n<p>Un set m\u00ednimo recomendable incluye:<\/p>\n<ul>\n<li><strong>Actas<\/strong> del \u00f3rgano de direcci\u00f3n (aprobaci\u00f3n del marco, reportes, decisiones correctivas).<\/li>\n<li><strong>Mapa de riesgos<\/strong> y revisiones peri\u00f3dicas.<\/li>\n<li><strong>Pol\u00edticas<\/strong> y versiones controladas (con fechas de adopci\u00f3n y actualizaci\u00f3n).<\/li>\n<li><strong>Debida diligencia de terceros<\/strong> (formatos, soportes, resultados, nivel de riesgo).<\/li>\n<li><strong>Contratos<\/strong> con cl\u00e1usulas de cumplimiento y evidencias de monitoreo.<\/li>\n<li><strong>Capacitaciones<\/strong> por rol (asistencia, evaluaci\u00f3n, registros).<\/li>\n<li><strong>Reportes<\/strong> de monitoreo y m\u00e9tricas (indicadores, hallazgos y cierres).<\/li>\n<li><strong>Gesti\u00f3n de incidentes<\/strong> y canal de denuncias (trazabilidad y acciones).<\/li>\n<\/ul>\n<p><strong>Recomendaci\u00f3n pr\u00e1ctica:<\/strong> organiza el expediente por \u201ccaso\u201d o \u201criesgo\u201d (p. ej., por tercero, por proceso, por incidente), no solo por tipo de documento.<\/p>\n<h2>6. M\u00e9tricas y mejora continua: compliance que se sostiene<\/h2>\n<p>Para que compliance no se detenga en la implementaci\u00f3n, debes monitorear:<\/p>\n<ul>\n<li>cobertura de capacitaci\u00f3n por rol;<\/li>\n<li>tiempos de atenci\u00f3n de incidentes\/denuncias;<\/li>\n<li>hallazgos de auditor\u00eda y porcentaje de cierre;<\/li>\n<li>efectividad de controles (pruebas y verificaciones);<\/li>\n<li>evoluci\u00f3n de riesgos por proceso o por terceros cr\u00edticos.<\/li>\n<\/ul>\n<p>La mejora continua debe terminar en decisiones documentadas por las instancias competentes.<\/p>\n<h2>7. Checklist r\u00e1pido para implementar (en 30-60 d\u00edas)<\/h2>\n<ul>\n<li><strong>Conformar<\/strong> roles y canales de reporte (qui\u00e9n aprueba, qui\u00e9n ejecuta, qui\u00e9n monitorea).<\/li>\n<li><strong>Construir<\/strong> un mapa de riesgos priorizado (incluyendo terceros).<\/li>\n<li><strong>Definir<\/strong> el esquema de debida diligencia de terceros (riesgo bajo\/medio\/alto).<\/li>\n<li><strong>Estandarizar<\/strong> cl\u00e1usulas contractuales de compliance y requerimientos probatorios.<\/li>\n<li><strong>Implementar<\/strong> un proceso de canal de denuncias e investigaci\u00f3n con trazabilidad.<\/li>\n<li><strong>Crear<\/strong> matriz de controles con evidencia requerida (qu\u00e9 se hace y qu\u00e9 se guarda).<\/li>\n<li><strong>Programar<\/strong> capacitaciones por rol y mantener registros.<\/li>\n<li><strong>Definir<\/strong> m\u00e9tricas y periodicidad de reportes al \u00f3rgano de direcci\u00f3n.<\/li>\n<li><strong>Realizar<\/strong> una auditor\u00eda interna piloto de un proceso y un tercero cr\u00edtico.<\/li>\n<\/ul>\n<h2>Conclusi\u00f3n<\/h2>\n<p>El <strong>derecho de compliance<\/strong> en sociedades colombianas funciona cuando est\u00e1 integrado al <strong>gobierno corporativo<\/strong>, cuando controla riesgos de <strong>terceros<\/strong> con debida diligencia y contrato, y cuando produce <strong>evidencia auditable<\/strong> de decisiones y controles.<\/p>\n<p>Si tu programa deja trazabilidad y demuestra diligencia, fortaleces la posici\u00f3n de la compa\u00f1\u00eda frente a auditor\u00edas, requerimientos y eventuales investigaciones o controversias.<\/p>\n<h2>\u00bfQuieres que revisemos tu caso?<\/h2>\n<p>Podemos ayudarte a:<\/p>\n<ul>\n<li>diagnosticar riesgos legales, integridad y de terceros;<\/li>\n<li>dise\u00f1ar un programa de compliance proporcional con gobernanza y matriz de controles;<\/li>\n<li>estructurar debida diligencia, contratos y monitoreo para terceros;<\/li>\n<li>fortalecer el canal de denuncias y la gesti\u00f3n de incidentes;<\/li>\n<li>armar un esquema de evidencia auditable (expedientes y trazabilidad);<\/li>\n<li>preparar reportes y soporte para auditor\u00edas internas o externas.<\/li>\n<\/ul>","protected":false},"excerpt":{"rendered":"<p>Introducci\u00f3n En Colombia, el derecho de compliance en sociedades no se limita a \u201ctener pol\u00edticas\u201d. En la pr\u00e1ctica, lo que marca la diferencia entre un programa efectivo y uno meramente formal es: (i) c\u00f3mo el gobierno corporativo distribuye responsabilidades, (ii) c\u00f3mo se gestionan los riesgos de terceros y (iii) qu\u00e9 evidencia auditable deja la organizaci\u00f3n&#8230;<\/p>","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[59],"tags":[],"class_list":["post-6085","post","type-post","status-publish","format-standard","hentry","category-compliance","th-blog blog-single has-post-thumbnail"],"acf":[],"_links":{"self":[{"href":"https:\/\/contextolegal.com\/en\/wp-json\/wp\/v2\/posts\/6085","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/contextolegal.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/contextolegal.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/contextolegal.com\/en\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/contextolegal.com\/en\/wp-json\/wp\/v2\/comments?post=6085"}],"version-history":[{"count":0,"href":"https:\/\/contextolegal.com\/en\/wp-json\/wp\/v2\/posts\/6085\/revisions"}],"wp:attachment":[{"href":"https:\/\/contextolegal.com\/en\/wp-json\/wp\/v2\/media?parent=6085"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/contextolegal.com\/en\/wp-json\/wp\/v2\/categories?post=6085"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/contextolegal.com\/en\/wp-json\/wp\/v2\/tags?post=6085"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}