{"id":6143,"date":"2026-05-30T11:00:51","date_gmt":"2026-05-30T11:00:51","guid":{"rendered":"https:\/\/contextolegal.com\/derecho-de-compliance-y-gobierno-corporativo-en-colombia-programa-evidenciable-junta-incidentes\/"},"modified":"2026-05-30T11:00:51","modified_gmt":"2026-05-30T11:00:51","slug":"derecho-de-compliance-y-gobierno-corporativo-en-colombia-programa-evidenciable-junta-incidentes","status":"publish","type":"post","link":"https:\/\/contextolegal.com\/en\/derecho-de-compliance-y-gobierno-corporativo-en-colombia-programa-evidenciable-junta-incidentes\/","title":{"rendered":"Derecho de Compliance y gobierno corporativo en Colombia: c\u00f3mo dise\u00f1ar un programa desde la junta hasta el canal de incidentes"},"content":{"rendered":"<h2>Introducci\u00f3n<\/h2>\n<p>En Colombia, el <strong>derecho de compliance<\/strong> deja de ser una \u201cpol\u00edtica corporativa\u201d cuando se convierte en un <strong>sistema<\/strong>: define responsabilidades dentro del <strong>gobierno corporativo<\/strong>, traduce riesgos en controles ejecutables y genera <strong>evidencia auditable<\/strong> para auditor\u00edas, requerimientos de autoridades y eventuales controversias.<\/p>\n<p>La pregunta que realmente importa no es \u201c\u00bftenemos compliance?\u201d, sino: <em>\u00bfpodemos demostrar qu\u00e9 decisi\u00f3n tom\u00f3 la junta, qu\u00e9 control se ejecut\u00f3, qu\u00e9 resultado produjo y c\u00f3mo se gestion\u00f3 un incidente?<\/em><\/p>\n<h2>1. El punto de partida: compliance y gobierno corporativo no son lo mismo<\/h2>\n<p>Para dise\u00f1ar un programa defendible, conviene separar funciones:<\/p>\n<ul>\n<li><strong>Gobierno corporativo<\/strong>: decide, supervisa y recibe reportes (qui\u00e9n aprueba, qui\u00e9n vigila, qui\u00e9n responde).<\/li>\n<li><strong>Compliance<\/strong>: implementa controles, monitorea, detecta alertas y coordina correctivos (c\u00f3mo se ejecuta el deber).<\/li>\n<li><strong>Evidencia<\/strong>: deja trazabilidad (qu\u00e9 se hizo, cu\u00e1ndo, por qui\u00e9n y con qu\u00e9 soporte).<\/li>\n<\/ul>\n<p><strong>Regla pr\u00e1ctica:<\/strong> si un control no tiene \u201cdue\u00f1o\u201d, frecuencia y evidencia m\u00ednima, el programa queda d\u00e9bil en revisiones y auditor\u00edas.<\/p>\n<h2>2. Dise\u00f1a el programa de compliance con estructura \u201cde arriba hacia abajo\u201d<\/h2>\n<h3>2.1 Junta\/Asamblea (\u00f3rgano competente)<\/h3>\n<p>Define un rol activo de la instancia de direcci\u00f3n con decisiones documentadas:<\/p>\n<ul>\n<li>Aprobaci\u00f3n del marco de cumplimiento y su enfoque por riesgos.<\/li>\n<li>Recepci\u00f3n de reportes peri\u00f3dicos (m\u00ednimo semestral; ideal trimestral en riesgos altos).<\/li>\n<li>Activaci\u00f3n de decisiones correctivas cuando aparezcan hallazgos relevantes.<\/li>\n<\/ul>\n<p><strong>Entregable recomendado:<\/strong> actas o registros de aprobaci\u00f3n y seguimiento con criterios (no solo \u201ctomado nota\u201d).<\/p>\n<h3>2.2 Alta gerencia<\/h3>\n<ul>\n<li>Autoriza presupuesto y recursos para implementar controles.<\/li>\n<li>Ordena cambios cuando el monitoreo muestre fallas.<\/li>\n<li>Refuerza cultura mediante mensajes y apoyo operativo.<\/li>\n<\/ul>\n<h3>2.3 Oficial\/Responsable de cumplimiento (si aplica)<\/h3>\n<ul>\n<li>Construye y actualiza la <strong>matriz de riesgos<\/strong>.<\/li>\n<li>Monitorea ejecuci\u00f3n de controles y consolida evidencia.<\/li>\n<li>Gestiona incidentes: investigaci\u00f3n, clasificaci\u00f3n y reporte al \u00f3rgano competente.<\/li>\n<\/ul>\n<h3>2.4 Due\u00f1os de procesos<\/h3>\n<p>En compliance, \u201ctodo el mundo\u201d no puede ser responsable. Se asigna a quienes ejecutan controles en la operaci\u00f3n:<\/p>\n<ul>\n<li>compras\/contrataci\u00f3n;<\/li>\n<li>ventas y relacionamiento con terceros;<\/li>\n<li>gesti\u00f3n de datos;<\/li>\n<li>atenci\u00f3n al cliente (si aplica a consumo\/protecci\u00f3n de datos);<\/li>\n<li>gesti\u00f3n de pagos y canales.<\/li>\n<\/ul>\n<h2>3. Matriz de riesgos: convi\u00e9rtela en un mapa de controles con evidencia<\/h2>\n<p>La matriz no debe ser un listado: debe conectar <strong>riesgo \u2192 proceso \u2192 control \u2192 evidencia \u2192 decisi\u00f3n<\/strong>.<\/p>\n<h3>3.1 Qu\u00e9 riesgos incluir (ejemplos frecuentes)<\/h3>\n<ul>\n<li>integridad e investigaciones (conflictos de inter\u00e9s, corrupci\u00f3n de terceros, fraude);<\/li>\n<li>protecci\u00f3n de datos personales;<\/li>\n<li>cumplimiento contractual y deberes sectoriales;<\/li>\n<li>riesgos reputacionales asociados a pr\u00e1cticas enga\u00f1osas (seg\u00fan industria);<\/li>\n<li>competencia\/desleal cuando la comunicaci\u00f3n comercial depende de informaci\u00f3n;<\/li>\n<li>riesgos ambientales o laborales cuando el modelo de operaci\u00f3n lo requiere.<\/li>\n<\/ul>\n<h3>3.2 Qu\u00e9 debe incluir cada control<\/h3>\n<ul>\n<li><strong>Frecuencia<\/strong> (mensual, trimestral o por evento).<\/li>\n<li><strong>Responsable<\/strong> (rol, no nombre).<\/li>\n<li><strong>Evidencia m\u00ednima<\/strong> (documento\/registro verificable).<\/li>\n<li><strong>Escalamiento<\/strong> (a qui\u00e9n se reporta y en qu\u00e9 caso).<\/li>\n<li><strong>Resultado esperado<\/strong> (qu\u00e9 demuestra que el control funcion\u00f3).<\/li>\n<\/ul>\n<h2>4. Debida diligencia de terceros: el multiplicador del riesgo<\/h2>\n<p>En Colombia, muchos incidentes provienen de terceros (agentes, distribuidores, proveedores cr\u00edticos, intermediarios). Un programa robusto debe:<\/p>\n<ul>\n<li>clasificar el tercero por nivel de riesgo;<\/li>\n<li>exigir <strong>cl\u00e1usulas de cumplimiento<\/strong> y derecho de auditor\u00eda\/verificaci\u00f3n;<\/li>\n<li>definir entregables para evidenciar la ejecuci\u00f3n;<\/li>\n<li>monitorear durante la relaci\u00f3n y re-evaluar peri\u00f3dicamente.<\/li>\n<\/ul>\n<h2>5. Canal de incidentes (denuncias): dise\u00f1arlo como proceso, no como buz\u00f3n<\/h2>\n<p>El canal solo sirve si tiene trazabilidad y reglas de manejo. Un procedimiento defendible incluye:<\/p>\n<h3>5.1 Etapas m\u00ednimas<\/h3>\n<ol>\n<li><strong>Recepci\u00f3n<\/strong>: registro del caso e identificaci\u00f3n del asunto.<\/li>\n<li><strong>Clasificaci\u00f3n<\/strong>: tipo de riesgo, criticidad y posibles implicados.<\/li>\n<li><strong>Investigaci\u00f3n<\/strong>: recolecci\u00f3n de evidencia y an\u00e1lisis.<\/li>\n<li><strong>Decisi\u00f3n<\/strong>: conclusiones y responsables, con reporte al \u00f3rgano competente.<\/li>\n<li><strong>Acciones correctivas<\/strong>: correctivos, preventivos y cambios de control.<\/li>\n<li><strong>Cierre<\/strong>: evidencia de implementaci\u00f3n y actualizaci\u00f3n de la matriz.<\/li>\n<\/ol>\n<h3>5.2 Evidencia que debe poder mostrar la compa\u00f1\u00eda<\/h3>\n<ul>\n<li>registro de tratamiento del caso (acceso controlado);<\/li>\n<li>documentaci\u00f3n de investigaci\u00f3n (qu\u00e9 evidencia se us\u00f3 y por qu\u00e9);<\/li>\n<li>medidas adoptadas y responsables;<\/li>\n<li>seguimiento y cierre con actualizaci\u00f3n de controles.<\/li>\n<\/ul>\n<h2>6. Expediente de compliance: la \u201ccarpeta\u201d que responde auditor\u00edas y requerimientos<\/h2>\n<p>La defensa probatoria suele fallar cuando el compliance es \u201cdocumental\u201d pero no \u201coperativo\u201d. Para evitarlo:<\/p>\n<ul>\n<li>crea expedientes por <strong>riesgo<\/strong>, por <strong>tercero cr\u00edtico<\/strong> o por <strong>incidente<\/strong>;<\/li>\n<li>aplica control de versiones a pol\u00edticas y procedimientos;<\/li>\n<li>asegura que cada control tenga evidencia m\u00ednima accesible para auditor\u00eda;<\/li>\n<li>mant\u00e9n una <strong>cronolog\u00eda<\/strong> cuando el incidente afecte decisiones.<\/li>\n<\/ul>\n<h2>7. Implementaci\u00f3n sugerida (30-60 d\u00edas)<\/h2>\n<ul>\n<li><strong>Semana 1-2:<\/strong> roles, alcance y gobernanza (junta, gerencia, cumplimiento, due\u00f1os de proceso).<\/li>\n<li><strong>Semana 2-4:<\/strong> matriz de riesgos con controles y evidencia m\u00ednima.<\/li>\n<li><strong>Semana 3-5:<\/strong> debida diligencia de terceros (formatos, clasificaci\u00f3n y cl\u00e1usulas).<\/li>\n<li><strong>Semana 4-6:<\/strong> canal de incidentes con procedimiento por etapas y trazabilidad.<\/li>\n<li><strong>Semana 6-8:<\/strong> estandarizar pol\u00edticas\/procedimientos y armar el repositorio de evidencia.<\/li>\n<li><strong>Semana 8-10:<\/strong> piloto con 1 riesgo alto y 1 tercero cr\u00edtico; ajustar controles y evidencias.<\/li>\n<li><strong>Semana 10-12:<\/strong> reportar a la junta y formalizar la operaci\u00f3n del programa.<\/li>\n<\/ul>\n<h2>Conclusi\u00f3n<\/h2>\n<p>Un <strong>programa de derecho de compliance<\/strong> con <strong>gobierno corporativo<\/strong> efectivo en Colombia se dise\u00f1a de \u201carriba hacia abajo\u201d: define decisiones y reportes desde la junta, traduce riesgos en controles ejecutables por due\u00f1os de proceso, gestiona terceros con debida diligencia y opera un canal de incidentes con trazabilidad.<\/p>\n<p>La diferencia entre compliance decorativo y compliance defendible est\u00e1 en la <strong>evidencia auditable<\/strong>: qu\u00e9 se decidi\u00f3, qu\u00e9 se control\u00f3, qu\u00e9 resultado produjo y c\u00f3mo se corrigieron brechas.<\/p>\n<h2>\u00bfQuieres que revisemos tu caso?<\/h2>\n<ul>\n<li>diagnosticamos brechas de cumplimiento y gobernanza (qui\u00e9n decide, qui\u00e9n ejecuta y qui\u00e9n reporta);<\/li>\n<li>construimos o ajustamos la matriz de riesgos con <strong>controles + evidencia m\u00ednima<\/strong>;<\/li>\n<li>dise\u00f1amos debida diligencia de terceros (clasificaci\u00f3n, dossier y monitoreo);<\/li>\n<li>implementamos un canal de incidentes con procedimiento por etapas y trazabilidad;<\/li>\n<li>armamos el expediente de compliance para auditor\u00edas y requerimientos.<\/li>\n<\/ul>","protected":false},"excerpt":{"rendered":"<p>Introducci\u00f3n En Colombia, el derecho de compliance deja de ser una \u201cpol\u00edtica corporativa\u201d cuando se convierte en un sistema: define responsabilidades dentro del gobierno corporativo, traduce riesgos en controles ejecutables y genera evidencia auditable para auditor\u00edas, requerimientos de autoridades y eventuales controversias. La pregunta que realmente importa no es \u201c\u00bftenemos compliance?\u201d, sino: \u00bfpodemos demostrar qu\u00e9&#8230;<\/p>","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[59],"tags":[],"class_list":["post-6143","post","type-post","status-publish","format-standard","hentry","category-compliance","th-blog blog-single has-post-thumbnail"],"acf":[],"_links":{"self":[{"href":"https:\/\/contextolegal.com\/en\/wp-json\/wp\/v2\/posts\/6143","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/contextolegal.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/contextolegal.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/contextolegal.com\/en\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/contextolegal.com\/en\/wp-json\/wp\/v2\/comments?post=6143"}],"version-history":[{"count":0,"href":"https:\/\/contextolegal.com\/en\/wp-json\/wp\/v2\/posts\/6143\/revisions"}],"wp:attachment":[{"href":"https:\/\/contextolegal.com\/en\/wp-json\/wp\/v2\/media?parent=6143"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/contextolegal.com\/en\/wp-json\/wp\/v2\/categories?post=6143"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/contextolegal.com\/en\/wp-json\/wp\/v2\/tags?post=6143"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}