{"id":6135,"date":"2026-05-23T11:00:54","date_gmt":"2026-05-23T11:00:54","guid":{"rendered":"https:\/\/contextolegal.com\/derecho-compliance-gobierno-corporativo-colombia-programa-evidenciable\/"},"modified":"2026-05-23T11:00:54","modified_gmt":"2026-05-23T11:00:54","slug":"derecho-compliance-gobierno-corporativo-colombia-programa-evidenciable","status":"publish","type":"post","link":"https:\/\/contextolegal.com\/en\/derecho-compliance-gobierno-corporativo-colombia-programa-evidenciable\/","title":{"rendered":"Derecho de Compliance y gobierno corporativo en Colombia: c\u00f3mo dise\u00f1ar un programa \u201cevidenciable\u201d (matriz, debida diligencia y canal de incidentes)"},"content":{"rendered":"<h2>Introducci\u00f3n<\/h2>\n<p>En Colombia, un programa de <strong>derecho de compliance<\/strong> solo funciona de verdad cuando es <strong>proporcional al riesgo<\/strong> y, sobre todo, cuando puede <strong>demostrarse<\/strong>. En auditor\u00edas internas, requerimientos de autoridades o investigaciones, la pregunta que termina importando es: <em>\u00bfqu\u00e9 hizo la compa\u00f1\u00eda, c\u00f3mo lo hizo y con qu\u00e9 evidencia?<\/em><\/p>\n<p>En este art\u00edculo te compartimos una ruta pr\u00e1ctica para dise\u00f1ar un esquema de compliance con <strong>gobierno corporativo<\/strong> que deje trazabilidad: <strong>matriz de riesgos<\/strong>, <strong>debida diligencia de terceros<\/strong>, <strong>controles<\/strong> y un <strong>canal de incidentes<\/strong> con procedimiento.<\/p>\n<h2>1. Gobierno corporativo: el compliance necesita un \u201cdue\u00f1o\u201d y un tablero de control<\/h2>\n<p>Compliance no puede quedar como un documento aislado. Para que sea defendible, el <strong>gobierno corporativo<\/strong> debe asignar qui\u00e9n decide, qui\u00e9n supervisa y qui\u00e9n responde por hallazgos.<\/p>\n<ul>\n<li><strong>\u00d3rgano de direcci\u00f3n<\/strong> (Junta\/Asamblea o equivalente): aprueba el marco, recibe reportes y toma decisiones ante hallazgos.<\/li>\n<li><strong>Alta gerencia<\/strong>: asigna recursos, ordena implementaci\u00f3n y aprueba correctivos.<\/li>\n<li><strong>Oficial\/Responsable de cumplimiento<\/strong> (si aplica por tama\u00f1o): dise\u00f1a monitoreo, consolida evidencia y eleva alertas.<\/li>\n<li><strong>Due\u00f1os de proceso<\/strong> (compras, ventas, contrataci\u00f3n, mercadeo, operaciones, datos): ejecutan controles y alimentan evidencia.<\/li>\n<\/ul>\n<p><strong>Resultado m\u00ednimo:<\/strong> un calendario de reportes al \u00f3rgano competente (mensual\/trimestral) y un mecanismo de decisiones documentadas.<\/p>\n<h2>2. La matriz de riesgos: el punto de partida (y el mapa de evidencia)<\/h2>\n<p>La matriz de riesgos convierte el \u201cuniverso de riesgos\u201d en prioridades. Para que sea auditable, debe relacionar <strong>riesgo \u2192 proceso \u2192 control \u2192 evidencia \u2192 brecha \u2192 acci\u00f3n<\/strong>.<\/p>\n<h3>2.1 Qu\u00e9 debe incluir la matriz<\/h3>\n<ul>\n<li><strong>Riesgo<\/strong> (p. ej., integridad\/corrupci\u00f3n, protecci\u00f3n de datos, competencia desleal, conflictos de inter\u00e9s, incumplimiento contractual, laboral, tributario relevante para decisiones, ambiental si aplica, etc.).<\/li>\n<li><strong>Proceso\/actividad<\/strong> donde ocurre (compras, contrataci\u00f3n, comercial, marketing, atenci\u00f3n al cliente, relacionamiento con terceros, uso de datos).<\/li>\n<li><strong>Probabilidad e impacto<\/strong> con criterios claros.<\/li>\n<li><strong>Control existente<\/strong> y su efectividad (no solo si existe).<\/li>\n<li><strong>Brecha<\/strong>: qu\u00e9 falta o qu\u00e9 no funciona.<\/li>\n<li><strong>Acci\u00f3n correctiva\/preventiva<\/strong> con responsable y fecha.<\/li>\n<li><strong>Evidencia requerida<\/strong>: qu\u00e9 documento\/registro se guardar\u00e1 cuando el control opere.<\/li>\n<\/ul>\n<h3>2.2 Tres niveles para priorizar<\/h3>\n<ul>\n<li><strong>Riesgo alto<\/strong>: controles intensivos, debida diligencia reforzada, auditor\u00eda y monitoreo cercano.<\/li>\n<li><strong>Riesgo medio<\/strong>: controles est\u00e1ndar, monitoreo peri\u00f3dico y plan de cierre de brechas.<\/li>\n<li><strong>Riesgo bajo<\/strong>: controles ligeros pero con evidencia m\u00ednima.<\/li>\n<\/ul>\n<h2>3. Debida diligencia de terceros: el \u201cmultiplicador\u201d de riesgo<\/h2>\n<p>En compliance societario, los terceros suelen amplificar el riesgo. Por eso, la debida diligencia debe hacerse <strong>antes, durante y despu\u00e9s<\/strong> de contratar.<\/p>\n<h3>3.1 Antes de contratar: dossier y clasificaci\u00f3n<\/h3>\n<ul>\n<li><strong>Identificaci\u00f3n<\/strong> del tercero y su rol (agente, distribuidor, proveedor cr\u00edtico, intermediario, asesor, aliado comercial).<\/li>\n<li><strong>Verificaci\u00f3n<\/strong> b\u00e1sica (existencia\/estructura) y red flags seg\u00fan el tipo de riesgo.<\/li>\n<li><strong>Clasificaci\u00f3n<\/strong> (bajo\/medio\/alto) para definir nivel de revisi\u00f3n.<\/li>\n<li><strong>Dossier<\/strong> del tercero: resultado de la evaluaci\u00f3n y decisi\u00f3n documentada.<\/li>\n<\/ul>\n<h3>3.2 Durante la relaci\u00f3n: cl\u00e1usulas y \u201ccumplimiento operacional\u201d<\/h3>\n<ul>\n<li><strong>Cl\u00e1usulas de cumplimiento<\/strong> (integridad, anticorrupci\u00f3n cuando aplique, protecci\u00f3n de datos si aplica, confidencialidad, reporte de incidentes).<\/li>\n<li><strong>Derecho de auditor\u00eda<\/strong> o verificaci\u00f3n y obligaci\u00f3n de entregar soportes.<\/li>\n<li><strong>Reglas de subcontrataci\u00f3n<\/strong> y cesi\u00f3n.<\/li>\n<li><strong>Terminaci\u00f3n<\/strong> por incumplimiento material del programa.<\/li>\n<\/ul>\n<p><strong>Regla de evidencia:<\/strong> lo que se paga debe conectarse con entregables verificables (y con registros para demostrar que el control oper\u00f3).<\/p>\n<h3>3.3 Despu\u00e9s: monitoreo, re-evaluaci\u00f3n y cierre<\/h3>\n<ul>\n<li><strong>Monitoreo<\/strong> peri\u00f3dico seg\u00fan criticidad (incluye re-evaluaciones del tercero).<\/li>\n<li><strong>Gesti\u00f3n de incidentes<\/strong>: c\u00f3mo se reporta, investiga y cierra.<\/li>\n<li><strong>Tr trazabilidad del \u201cantes-durante-despu\u00e9s\u201d<\/strong>: el contrato no basta; se conserva evidencia de ejecuci\u00f3n y decisiones.<\/li>\n<\/ul>\n<h2>4. Canal de denuncias y gesti\u00f3n de incidentes: del reporte a la decisi\u00f3n<\/h2>\n<p>Un canal de denuncias solo es \u00fatil si funciona como <strong>proceso<\/strong>, con etapas, confidencialidad y trazabilidad.<\/p>\n<h3>4.1 Etapas recomendadas<\/h3>\n<ol>\n<li><strong>Recepci\u00f3n<\/strong>: radicaci\u00f3n con identificador del caso.<\/li>\n<li><strong>Clasificaci\u00f3n<\/strong>: tipo de riesgo, criticidad, posibles implicados, urgencia.<\/li>\n<li><strong>Investigaci\u00f3n<\/strong>: recolecci\u00f3n de evidencia, entrevistas, an\u00e1lisis y registro de hallazgos.<\/li>\n<li><strong>Decisi\u00f3n<\/strong>: conclusiones del \u00f3rgano competente y responsabilidades.<\/li>\n<li><strong>Acciones correctivas<\/strong>: correctivos, preventivos, cambios de controles y seguimiento.<\/li>\n<li><strong>Cierre<\/strong>: evidencia de que se ejecutaron las acciones y actualizaci\u00f3n de la matriz.<\/li>\n<\/ol>\n<h3>4.2 Evidencia que el comit\u00e9 debe poder mostrar<\/h3>\n<ul>\n<li>acta o registro del tratamiento del caso (con acceso controlado);<\/li>\n<li>documentaci\u00f3n de la investigaci\u00f3n (qu\u00e9 evidencia se us\u00f3 y c\u00f3mo);<\/li>\n<li>medidas adoptadas y su responsable;<\/li>\n<li>resultados del seguimiento (cierres de acciones correctivas).<\/li>\n<\/ul>\n<h2>5. Controles \u201cauditable-ready\u201d: c\u00f3mo dise\u00f1ar pol\u00edticas que realmente se ejecutan<\/h2>\n<p>Para que el compliance sea defendible, cada pol\u00edtica debe tener:<\/p>\n<ul>\n<li><strong>Un control<\/strong> (qui\u00e9n hace qu\u00e9, cu\u00e1ndo y con qu\u00e9 criterio).<\/li>\n<li><strong>Una frecuencia<\/strong> (mensual, por evento, antes de contratar, etc.).<\/li>\n<li><strong>Una evidencia<\/strong> m\u00ednima que se guarda (documento o registro).<\/li>\n<li><strong>Un responsable<\/strong> (due\u00f1o del proceso).<\/li>\n<li><strong>Un mecanismo de escalamiento<\/strong> (qu\u00e9 pasa si hay brecha o hallazgo).<\/li>\n<\/ul>\n<p>En la pr\u00e1ctica, la debilidad t\u00edpica es confundir \u201ctener pol\u00edticas\u201d con \u201cprobar ejecuci\u00f3n\u201d.<\/p>\n<h2>6. Expediente de cumplimiento: c\u00f3mo organizar la evidencia para auditor\u00edas<\/h2>\n<p>La pregunta central en auditor\u00edas suele ser: <em>\u201c\u00bfqu\u00e9 hizo la empresa y c\u00f3mo lo prob\u00f3?\u201d<\/em> Para responder, define un esquema de expediente por:<\/p>\n<ul>\n<li><strong>riesgo<\/strong> (matriz + controles + evidencias de operaci\u00f3n),<\/li>\n<li><strong>tercero cr\u00edtico<\/strong> (dossier + monitoreo + incidentes),<\/li>\n<li><strong>incidente<\/strong> (caso \u2192 evidencia \u2192 investigaci\u00f3n \u2192 decisi\u00f3n \u2192 correctivos \u2192 cierre).<\/li>\n<\/ul>\n<p><strong>Buenas pr\u00e1cticas:<\/strong> control de versiones, nombres de archivo consistentes, control de acceso por rol y registro de fechas\/actas.<\/p>\n<h2>7. Implementaci\u00f3n en 30-60 d\u00edas (plan sugerido)<\/h2>\n<ul>\n<li><strong>Semana 1-2:<\/strong> conformar roles y canales; definir el alcance del programa.<\/li>\n<li><strong>Semana 2-4:<\/strong> construir matriz de riesgos priorizada con evidencia requerida.<\/li>\n<li><strong>Semana 3-5:<\/strong> dise\u00f1ar debida diligencia de terceros (formatos y niveles por riesgo).<\/li>\n<li><strong>Semana 4-6:<\/strong> estructurar canal de denuncias y procedimiento de incidentes con etapas y trazabilidad.<\/li>\n<li><strong>Semana 6-8:<\/strong> estandarizar cl\u00e1usulas contractuales y controles operativos con evidencia m\u00ednima.<\/li>\n<li><strong>Semana 8-10:<\/strong> organizar repositorio de evidencia y realizar un piloto con 1 riesgo alto y 1 tercero cr\u00edtico.<\/li>\n<li><strong>Semana 10-12:<\/strong> reportar resultados al \u00f3rgano de direcci\u00f3n y cerrar brechas con cronograma.<\/li>\n<\/ul>\n<h2>Conclusi\u00f3n<\/h2>\n<p>En Colombia, el <strong>derecho de compliance<\/strong> y el <strong>gobierno corporativo<\/strong> se fortalecen cuando el sistema es <strong>proporcional<\/strong>, <strong>ejecutable<\/strong> y, sobre todo, <strong>evidenciable<\/strong>. La matriz de riesgos te prioriza; la debida diligencia de terceros controla multiplicadores; el canal de incidentes gestiona alertas; y el expediente convierte decisiones en trazabilidad para auditor\u00edas y requerimientos.<\/p>\n<p>Si el compliance puede demostrarse, no solo reduce riesgos: tambi\u00e9n mejora la capacidad de respuesta ante investigaciones y controversias.<\/p>\n<h2>\u00bfQuieres que revisemos tu caso?<\/h2>\n<p>Podemos ayudarte a:<\/p>\n<ul>\n<li>diagnosticar riesgos y construir\/actualizar tu <strong>matriz de riesgos<\/strong> con evidencia requerida;<\/li>\n<li>dise\u00f1ar <strong>debida diligencia de terceros<\/strong> (dossier, red flags, niveles de revisi\u00f3n y cl\u00e1usulas);<\/li>\n<li>estructurar un <strong>canal de denuncias<\/strong> con procedimiento de incidentes y trazabilidad;<\/li>\n<li>definir un esquema de <strong>expediente de cumplimiento<\/strong> listo para auditor\u00edas;<\/li>\n<li>alinear compliance con el <strong>gobierno corporativo<\/strong> (roles, reportes y decisiones documentadas).<\/li>\n<\/ul>","protected":false},"excerpt":{"rendered":"<p>Introducci\u00f3n En Colombia, un programa de derecho de compliance solo funciona de verdad cuando es proporcional al riesgo y, sobre todo, cuando puede demostrarse. En auditor\u00edas internas, requerimientos de autoridades o investigaciones, la pregunta que termina importando es: \u00bfqu\u00e9 hizo la compa\u00f1\u00eda, c\u00f3mo lo hizo y con qu\u00e9 evidencia? En este art\u00edculo te compartimos una&#8230;<\/p>","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[59],"tags":[],"class_list":["post-6135","post","type-post","status-publish","format-standard","hentry","category-compliance","th-blog blog-single has-post-thumbnail"],"acf":[],"_links":{"self":[{"href":"https:\/\/contextolegal.com\/en\/wp-json\/wp\/v2\/posts\/6135","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/contextolegal.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/contextolegal.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/contextolegal.com\/en\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/contextolegal.com\/en\/wp-json\/wp\/v2\/comments?post=6135"}],"version-history":[{"count":0,"href":"https:\/\/contextolegal.com\/en\/wp-json\/wp\/v2\/posts\/6135\/revisions"}],"wp:attachment":[{"href":"https:\/\/contextolegal.com\/en\/wp-json\/wp\/v2\/media?parent=6135"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/contextolegal.com\/en\/wp-json\/wp\/v2\/categories?post=6135"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/contextolegal.com\/en\/wp-json\/wp\/v2\/tags?post=6135"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}