{"id":6150,"date":"2026-06-06T11:01:13","date_gmt":"2026-06-06T11:01:13","guid":{"rendered":"https:\/\/contextolegal.com\/derecho-compliance-gobierno-corporativo-expediente-evidence-ready-auditorias-colombia\/"},"modified":"2026-06-06T11:01:13","modified_gmt":"2026-06-06T11:01:13","slug":"derecho-compliance-gobierno-corporativo-expediente-evidence-ready-auditorias-colombia","status":"publish","type":"post","link":"https:\/\/contextolegal.com\/en\/derecho-compliance-gobierno-corporativo-expediente-evidence-ready-auditorias-colombia\/","title":{"rendered":"Derecho de Compliance y gobierno corporativo en Colombia: c\u00f3mo armar un expediente \u201cevidence-ready\u201d para auditor\u00edas y autoridades"},"content":{"rendered":"<h2>Introducci\u00f3n: compliance no se prueba con buenas intenciones<\/h2>\n<p>En Colombia, un programa de <strong>derecho de compliance<\/strong> (compliance) y <strong>gobierno corporativo<\/strong> solo se considera s\u00f3lido cuando se puede <em>demostrar<\/em>: qu\u00e9 riesgos se priorizaron, qu\u00e9 controles se ejecutaron, c\u00f3mo se investigaron incidentes y qu\u00e9 evidencia conserva la compa\u00f1\u00eda para auditor\u00edas, requerimientos y eventuales controversias.<\/p>\n<p>Este post te comparte una ruta pr\u00e1ctica para construir un <strong>expediente \u201cevidence-ready\u201d<\/strong>: una carpeta (o data room) que responde preguntas t\u00edpicas de auditor\u00eda con trazabilidad, versiones y soportes.<\/p>\n<h2>1. Define el objetivo del expediente (qu\u00e9 debe responder)<\/h2>\n<p>Antes de organizar documentos, responde: \u00bfqu\u00e9 quieres que un tercero entienda en 30 minutos?<\/p>\n<p>Un expediente evidence-ready debe permitir responder, como m\u00ednimo:<\/p>\n<ul>\n<li><strong>Gobierno<\/strong>: \u00bfqui\u00e9n decide y qui\u00e9n supervisa? (Junta, alta gerencia, comit\u00e9, responsable de compliance).<\/li>\n<li><strong>Riesgo<\/strong>: \u00bfpor qu\u00e9 se priorizaron ciertos riesgos y no otros?<\/li>\n<li><strong>Control<\/strong>: \u00bfqu\u00e9 controles exist\u00edan y con qu\u00e9 frecuencia operan?<\/li>\n<li><strong>Ejecuci\u00f3n<\/strong>: \u00bfqu\u00e9 se hizo realmente? (monitoreos, verificaciones, due diligence, capacitaciones).<\/li>\n<li><strong>Incidentes<\/strong>: \u00bfc\u00f3mo se report\u00f3, investig\u00f3, decidi\u00f3 y cerr\u00f3 un caso?<\/li>\n<li><strong>Evidencia<\/strong>: \u00bfqu\u00e9 documentos\/records soportan cada afirmaci\u00f3n?<\/li>\n<\/ul>\n<h2>2. Estructura base: 6 secciones que organizan la prueba<\/h2>\n<p>Una forma efectiva de ordenar el expediente es por \u201csecciones de evidencia\u201d, no por \u00e1rea o por tipo de documento.<\/p>\n<h3>2.1 Secci\u00f3n A \u2014 Gobierno corporativo y decisiones<\/h3>\n<ul>\n<li>Actas o soportes de aprobaci\u00f3n del marco de compliance.<\/li>\n<li>Rutas de reporte: calendario de reportes a junta\/comit\u00e9.<\/li>\n<li>Reglas de escalamiento: qu\u00e9 se eleva y cu\u00e1ndo.<\/li>\n<li>Estructura de roles: asignaci\u00f3n de responsabilidades (due\u00f1os de proceso y compliance).<\/li>\n<\/ul>\n<h3>2.2 Secci\u00f3n B \u2014 Matriz de riesgos y mapa de controles<\/h3>\n<ul>\n<li>Matriz de riesgos (por tipo y criticidad).<\/li>\n<li>Mapa riesgo \u2192 proceso \u2192 control \u2192 frecuencia \u2192 evidencia m\u00ednima.<\/li>\n<li>Registro de actualizaci\u00f3n de la matriz (versiones, fechas, motivaci\u00f3n).<\/li>\n<\/ul>\n<h3>2.3 Secci\u00f3n C \u2014 Pol\u00edticas y procedimientos con control de versiones<\/h3>\n<ul>\n<li>C\u00f3digo de conducta, pol\u00edticas de integridad y manejo de conflictos.<\/li>\n<li>Procedimientos: due diligence de terceros, contrataci\u00f3n, gesti\u00f3n de incidentes, canal de denuncias, capacitaciones.<\/li>\n<li>Control documental: nombres de versi\u00f3n, fecha de vigencia, aprobaciones internas.<\/li>\n<\/ul>\n<h3>2.4 Secci\u00f3n D \u2014 Debida diligencia de terceros (multiplicadores de riesgo)<\/h3>\n<ul>\n<li>Clasificaci\u00f3n de terceros (bajo\/medio\/alto seg\u00fan criticidad).<\/li>\n<li>Dossier o resultado de la evaluaci\u00f3n: due diligence y red flags.<\/li>\n<li>Cl\u00e1usulas contractuales de cumplimiento y derecho de auditor\u00eda.<\/li>\n<li>Monitoreo y re-evaluaci\u00f3n durante la relaci\u00f3n (con registros).<\/li>\n<\/ul>\n<h3>2.5 Secci\u00f3n E \u2014 Monitoreo y pruebas de efectividad de controles<\/h3>\n<ul>\n<li>Planes de monitoreo (trimestral\/mensual\/por evento) alineados con la matriz.<\/li>\n<li>Registros de ejecuci\u00f3n de controles (verificaciones, revisiones, conciliaciones, aprobaciones).<\/li>\n<li>Hallazgos y cierres: acciones correctivas\/preventivas con responsable y fecha.<\/li>\n<\/ul>\n<h3>2.6 Secci\u00f3n F \u2014 Canal de incidentes y cierre de casos<\/h3>\n<ul>\n<li>Procedimiento del canal (confidencialidad, no represalias, etapas de investigaci\u00f3n).<\/li>\n<li>Registro de incidentes\/casos: recepci\u00f3n \u2192 clasificaci\u00f3n \u2192 investigaci\u00f3n \u2192 decisi\u00f3n \u2192 correctivos \u2192 cierre.<\/li>\n<li>Evidencia de investigaci\u00f3n: qu\u00e9 soportes se usaron y c\u00f3mo se document\u00f3 el an\u00e1lisis.<\/li>\n<li>Decisiones documentadas y trazabilidad de medidas adoptadas.<\/li>\n<\/ul>\n<h2>3. Evidencia m\u00ednima por control: \u201clo que no se guarda, no existe\u201d<\/h2>\n<p>Una brecha com\u00fan es tener controles descritos en pol\u00edticas, pero sin la evidencia m\u00ednima para probar ejecuci\u00f3n.<\/p>\n<p>Para evitarlo, en la matriz de controles define para cada control:<\/p>\n<ul>\n<li><strong>Frecuencia<\/strong> (cu\u00e1ndo opera).<\/li>\n<li><strong>Due\u00f1o del proceso<\/strong> (qui\u00e9n lo ejecuta).<\/li>\n<li><strong>Evidencia m\u00ednima<\/strong> (qu\u00e9 registro\/documento se conserva).<\/li>\n<li><strong>Indicador de efectividad<\/strong> (qu\u00e9 demuestra que funcion\u00f3).<\/li>\n<li><strong>Escalamiento<\/strong> (qu\u00e9 pasa si hay hallazgos).<\/li>\n<\/ul>\n<h2>4. Control de versiones y \u201cvigencia\u201d: elimina el problema silencioso<\/h2>\n<p>Muchas auditor\u00edas observan inconsistencias por <em>versiones no alineadas<\/em>: se responde con pol\u00edticas \u201ccasi vigentes\u201d o se adjuntan documentos de una etapa distinta.<\/p>\n<p>Buenas pr\u00e1cticas:<\/p>\n<ul>\n<li><strong>Congelamiento<\/strong> de evidencia para cada periodo o ejercicio.<\/li>\n<li>Nombres estandarizados: <em>v1_YYYY-MM-DD_nombre<\/em>.<\/li>\n<li>Registro de cambios: qu\u00e9 cambi\u00f3, por qu\u00e9 y desde cu\u00e1ndo aplica.<\/li>\n<li>Mapeo de coherencia: pol\u00edtica \u2194 procedimiento \u2194 evidencia \u2194 control ejecutado.<\/li>\n<\/ul>\n<h2>5. Matriz \u201cpregunta de auditor\u00eda \u2192 evidencia\u201d (tu atajo probatorio)<\/h2>\n<p>Un mecanismo simple y potente es construir una tabla que conecte lo que el auditor pregunta con el documento que lo soporta.<\/p>\n<p>Ejemplo (adaptable):<\/p>\n<table>\n<thead>\n<tr>\n<th>Pregunta t\u00edpica<\/th>\n<th>Qu\u00e9 control prueba<\/th>\n<th>Evidencia m\u00ednima<\/th>\n<th>Secci\u00f3n del expediente<\/th>\n<th>Versi\u00f3n vigente<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td>\u00bfLa junta recibi\u00f3 reportes de hallazgos?<\/td>\n<td>Reporte a \u00f3rgano competente<\/td>\n<td>Actas \/ informes \/ anexos<\/td>\n<td>A<\/td>\n<td>vX<\/td>\n<\/tr>\n<tr>\n<td>\u00bfC\u00f3mo gestionan terceros de alto riesgo?<\/td>\n<td>Due diligence y monitoreo<\/td>\n<td>Dossier, clasificaci\u00f3n, cl\u00e1usulas, logs<\/td>\n<td>D<\/td>\n<td>vX<\/td>\n<\/tr>\n<tr>\n<td>\u00bfC\u00f3mo investigan incidentes?<\/td>\n<td>Canal de incidentes<\/td>\n<td>Registro del caso y soportes de investigaci\u00f3n<\/td>\n<td>F<\/td>\n<td>vX<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2>6. Checklist final (para que el expediente \u201caguante\u201d)<\/h2>\n<ul>\n<li><strong>Gobierno<\/strong>: roles, calendario de reportes y decisiones documentadas.<\/li>\n<li><strong>Riesgos<\/strong>: matriz priorizada con fechas de actualizaci\u00f3n.<\/li>\n<li><strong>Controles<\/strong>: frecuencia, due\u00f1os y evidencia m\u00ednima por control.<\/li>\n<li><strong>Documentos<\/strong>: pol\u00edticas\/procedimientos con versiones y vigencias.<\/li>\n<li><strong>Terceros<\/strong>: clasificaci\u00f3n, due diligence, cl\u00e1usulas, monitoreo y re-evaluaci\u00f3n.<\/li>\n<li><strong>Monitoreo<\/strong>: registros de ejecuci\u00f3n, hallazgos y cierres.<\/li>\n<li><strong>Incidentes<\/strong>: canal, etapas de investigaci\u00f3n y evidencia de cierre.<\/li>\n<li><strong>Trazabilidad<\/strong>: cada afirmaci\u00f3n tiene un soporte verificable.<\/li>\n<li><strong>Coherencia<\/strong>: lo que se dice en el expediente coincide con lo ejecutado en la operaci\u00f3n.<\/li>\n<\/ul>\n<h2>Conclusi\u00f3n<\/h2>\n<p>El <strong>derecho de compliance<\/strong> y el <strong>gobierno corporativo<\/strong> dejan de ser \u201cdocumentos\u201d cuando se vuelven un sistema evidence-ready: se sabe qui\u00e9n decide, qu\u00e9 riesgos se priorizan, qu\u00e9 controles se ejecutan, c\u00f3mo se investigan incidentes y qu\u00e9 evidencia auditable queda.<\/p>\n<p>Con una estructura de expediente en 6 secciones, evidencia m\u00ednima por control y control de versiones, tu compa\u00f1\u00eda puede responder con coherencia y trazabilidad ante auditor\u00edas y autoridades en Colombia.<\/p>\n<h2>\u00bfQuieres que lo adaptemos a tu empresa?<\/h2>\n<ul>\n<li>Revisamos tu estructura actual de compliance y proponemos la arquitectura del expediente.<\/li>\n<li>Armamos (o ajustamos) la matriz de riesgos \u2192 controles \u2192 evidencia m\u00ednima.<\/li>\n<li>Dise\u00f1amos el control de versiones y el repositorio \u201cvigente\u201d.<\/li>\n<li>Construimos una matriz \u201cpregunta de auditor\u00eda \u2192 evidencia\u201d.<\/li>\n<li>Organizamos ejemplos de expediente por riesgo\/tercero\/incidente (con anonimizaci\u00f3n cuando aplique).<\/li>\n<\/ul>","protected":false},"excerpt":{"rendered":"<p>Introducci\u00f3n: compliance no se prueba con buenas intenciones En Colombia, un programa de derecho de compliance (compliance) y gobierno corporativo solo se considera s\u00f3lido cuando se puede demostrar: qu\u00e9 riesgos se priorizaron, qu\u00e9 controles se ejecutaron, c\u00f3mo se investigaron incidentes y qu\u00e9 evidencia conserva la compa\u00f1\u00eda para auditor\u00edas, requerimientos y eventuales controversias. Este post te&#8230;<\/p>","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[59],"tags":[],"class_list":["post-6150","post","type-post","status-publish","format-standard","hentry","category-compliance","th-blog blog-single has-post-thumbnail"],"acf":[],"_links":{"self":[{"href":"https:\/\/contextolegal.com\/en\/wp-json\/wp\/v2\/posts\/6150","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/contextolegal.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/contextolegal.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/contextolegal.com\/en\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/contextolegal.com\/en\/wp-json\/wp\/v2\/comments?post=6150"}],"version-history":[{"count":0,"href":"https:\/\/contextolegal.com\/en\/wp-json\/wp\/v2\/posts\/6150\/revisions"}],"wp:attachment":[{"href":"https:\/\/contextolegal.com\/en\/wp-json\/wp\/v2\/media?parent=6150"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/contextolegal.com\/en\/wp-json\/wp\/v2\/categories?post=6150"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/contextolegal.com\/en\/wp-json\/wp\/v2\/tags?post=6150"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}