top of page
Buscar

Escuchar al Oficial de Cumplimiento: Responsabilidad y Transferencia del Riesgo en los Programas de Cumplimiento Empresarial

  • Foto del escritor: www.riskgroupinternational.com
    www.riskgroupinternational.com
  • 23 jul
  • 9 Min. de lectura

Introducción

Los programas de cumplimiento empresarial tienen como objetivo prevenir y gestionar riesgos críticos que pueden comprometer la sostenibilidad jurídica, reputacional y financiera de las organizaciones. Entre los factores de riesgo más relevantes se encuentran el lavado de activos, la financiación del terrorismo, el financiamiento de la proliferación de armas de destrucción masiva, la corrupción pública y privada, y el soborno tanto nacional como transnacional. La gestión eficaz de estos riesgos requiere una estructura robusta de cumplimiento normativo, un compromiso institucional real y una cultura de integridad alineada con estándares internacionales.


El rol del Oficial de Cumplimiento se ha consolidado como una pieza clave dentro de los sistemas modernos de gobierno corporativo, especialmente en contextos empresariales donde los riesgos reputacionales, legales, operacionales y de contagio, que pueden impactar la estabilidad financiera y comprometer la continuidad del negocio, han dejado de ser abstractos para convertirse en amenazas concretas. Sin embargo, a pesar de los avances normativos y doctrinales que han fortalecido la figura del cumplimiento en América Latina y, particularmente, en Colombia, aún persiste una brecha estructural entre el diseño de los programas de compliance y su implementación efectiva en el día a día organizacional.


Una de las manifestaciones más críticas de esta brecha es la inacción o falta de compromiso real por parte de los administradores societarios, desde la Junta Directiva o el máximo órgano social, así como de las áreas funcionales frente a las recomendaciones, alertas y acciones del Oficial de Cumplimiento. Este fenómeno genera no solo frustración en quienes lideran los programas de cumplimiento, sino también una situación de inseguridad jurídica, donde el riesgo no es gestionado, sino transferido sin control, generando un entorno propenso a la materialización de eventos adversos que podrían haberse evitado.


Este artículo tiene como propósito analizar las causas estructurales de esta problemática, las implicaciones legales y doctrinales de la inacción frente al cumplimiento, y proponer mecanismos estratégicos para la correcta documentación, trazabilidad y transferencia del riesgo, desde un enfoque basado en normas internacionales (ISO 37301, 37001, 37002, 31000) y la regulación colombiana (Circular Externa 100-000016/20, 100-000011/21 y 100-000002/25, Ley 1778 de 2016, Ley 2195 de 2022, entre otras).


1. Marco Normativo y Doctrinal de los Programas de Cumplimiento

La gestión del cumplimiento normativo no puede reducirse a una mirada centrada exclusivamente en los delitos financieros. Una visión integral exige reconocer que los programas de cumplimiento deben prevenir y controlar también los delitos no financieros —como la corrupción administrativa, el soborno, la evasión tributaria o la colusión en la contratación— y, en paralelo, atender riesgos no delictivos pero igualmente críticos para la sostenibilidad organizacional.


En este sentido, la gestión del riesgo en el cumplimiento debe abarcar no solo los riesgos legales, sino también los riesgos reputacionales, operativos y de contagio. Estos últimos, aunque menos tangibles, pueden tener impactos profundos en la confianza de los grupos de interés, la continuidad de los negocios y el acceso a mercados internacionales. La interacción de estos riesgos genera un entorno de amenaza sistémica que solo puede ser abordado mediante sistemas de cumplimiento efectivos, trazables, supervisados y comunicados desde la alta dirección.


1.1. Fundamento legal del deber de cumplimiento

En Colombia, el deber de implementar programas de cumplimiento nace de múltiples fuentes normativas que establecen responsabilidades específicas frente a la prevención del lavado de activos, la financiación del terrorismo, la corrupción y el soborno nacional o transnacional. Entre ellas se destacan:


  • Ley 1778 de 2016, que exige adoptar mecanismos para prevenir el soborno transnacional.

  • Ley 2195 de 2022, que refuerza disposiciones en transparencia, integridad y mecanismos de control ético.

  • Decreto 830 de 2021, que regula aspectos prácticos del Programa de Transparencia y Ética Empresarial (PTEE).

  • Circular Externa 100-000016 de 2020 y su modificatoria 100-000002 de 2025, que reglamentan el SAGRILAFT.

  • Circular Externa 100-000011 de 2021, que establece las pautas para la adopción e implementación del PTEE.

  • Capítulos X y XIII de la Circular Básica Jurídica de la Superintendencia de Sociedades:

    • El Capítulo X desarrolla el marco técnico y metodológico del SAGRILAFT.

    • El Capítulo XIII detalla los elementos esenciales del PTEE, alineado con normas internacionales como las de la OCDE.


A nivel internacional, los estándares más reconocidos incluyen:

  • ISO 37301: Sistemas de gestión de cumplimiento.

  • ISO 37001: Sistemas de gestión antisoborno.

  • ISO 37002: Sistemas de gestión de denuncias.

  • ISO 31000: Gestión del riesgo.


1.2. El principio de corresponsabilidad y el modelo de las Tres Líneas de Defensa

La corresponsabilidad en los programas de cumplimiento se fundamenta también en modelos internacionales de gobernanza y control como el modelo de las Tres Líneas de Defensa, promovido por el Institute of Internal Auditors (IIA) e integrado en las normas ISO antes mencionadas. Este modelo clarifica las responsabilidades así:


Primera Línea de Defensa

Compuesta por los líderes de procesos y operaciones, quienes tienen el control directo de los riesgos en su ejecución cotidiana. Son responsables de cumplir los procedimientos del sistema de cumplimiento, identificar señales de alerta, ejecutar controles de prevención y reportar a la segunda línea. En los programas como el PTEE y el sistema antisoborno, se espera que denuncien posibles conflictos de interés, rechacen ofrecimientos indebidos y promuevan una cultura de integridad.


Segunda Línea de Defensa

Conformada por los Oficiales de Cumplimiento, áreas de compliance y unidades de riesgo. Supervisan el cumplimiento, realizan análisis de riesgos, gestionan la matriz de integridad, vigilan los controles financieros y no financieros, y promueven la mejora continua del sistema. En esta línea se ubican las funciones de monitoreo del PTEE, los canales éticos y el seguimiento a medidas disciplinarias.


Tercera Línea de Defensa

Constituida por la auditoría interna, la auditoría externa y los órganos de gobierno. Evalúa la eficacia de las dos primeras líneas, verifica la trazabilidad del cumplimiento y emite informes independientes. Esta línea debe garantizar que los programas (SAGRILAFT, PTEE, Antisoborno) se revisen periódicamente y que los reportes del Oficial de Cumplimiento sean atendidos con criterios técnicos por los comités y la Junta Directiva.


1.3. Análisis dogmático de los factores de riesgo y su tratamiento desde el cumplimiento

Desde una perspectiva dogmática, los factores de riesgo que enfrentan los programas de cumplimiento deben ser entendidos no solo en su dimensión penal, sino también como parte del entramado estratégico de gestión del riesgo corporativo. El lavado de activos, la financiación del terrorismo, el financiamiento de la proliferación de armas de destrucción masiva (FPADM), la corrupción y el soborno —ya sean de naturaleza pública, privada, nacional o transnacional— representan riesgos cuya materialización puede conducir a sanciones legales, pérdida reputacional, disolución contractual, exclusión de mercados internacionales y hasta responsabilidad personal para los administradores.

No obstante, en una visión moderna del cumplimiento, estos riesgos no pueden ser analizados de forma aislada. La norma ISO 31000 establece que el riesgo debe ser abordado como el “efecto de la incertidumbre sobre los objetivos organizacionales” y exige una evaluación no solo de la probabilidad, sino del impacto y la tolerancia institucional. Bajo esta lógica, además de los delitos, el cumplimiento debe atender riesgos de carácter operativo (por fallas en los controles), reputacional (por escándalos o percepción pública negativa), legales (por incumplimientos regulatorios) y de contagio (por relaciones con terceros implicados en hechos ilícitos).


2. La frustración del Oficial de Cumplimiento frente a la inacción

El Oficial de Cumplimiento, en su condición de garante técnico, enfrenta múltiples desafíos estructurales en su labor, pero uno de los más recurrentes y complejos es la falta de atención, respaldo o ejecución de sus recomendaciones por parte de la Junta Directiva y las áreas funcionales. Esta situación genera una sensación de frustración que, más allá de lo emocional, debe ser abordada como un indicador sistémico de ineficacia institucional y riesgo organizacional.


Desde un enfoque funcional, el Oficial de Cumplimiento no tiene facultades sancionatorias ni ejecutorias. Su rol se centra en asesorar, advertir, recomendar y monitorear. Cuando las advertencias que emite no son consideradas, o sus informes son ignorados sistemáticamente, se genera una ruptura del ciclo de control, en la que el riesgo identificado no se traduce en acción preventiva ni correctiva. Esto debilita no solo la eficacia del programa de cumplimiento, sino también la percepción institucional de su importancia.


Además, la frustración se intensifica cuando el Oficial debe responder ante órganos de control o frente a riesgos que se han materializado, pese a haber advertido oportunamente. Esta exposición puede derivar en consecuencias legales personales si no existen mecanismos adecuados de trazabilidad, transferencia de riesgo y respaldo institucional. El sentimiento de aislamiento profesional, la ausencia de canales efectivos para escalar los incumplimientos, y la minimización de su rol por parte de otras áreas funcionales, terminan afectando su autonomía técnica y, en muchos casos, su estabilidad emocional y reputacional.


En el fondo, esta frustración es una manifestación de la tensión estructural entre la expectativa normativa del rol del Oficial y las barreras culturales, políticas y operativas que prevalecen en organizaciones con bajo nivel de madurez en cumplimiento. Allí donde el cumplimiento se concibe como un formalismo, un “requisito para el archivo”, o una amenaza a la agilidad del negocio, el Oficial es percibido como un obstáculo y no como un facilitador del valor sostenible. Esta desconexión entre el deber ser y la praxis real impone la necesidad urgente de repensar el respaldo institucional que debe garantizarse a esta función.


La solución no puede depender exclusivamente de la resiliencia individual del Oficial. Requiere el compromiso explícito de la Junta Directiva, la asignación de recursos, la implementación de estructuras de gobernanza funcionales y el reconocimiento del cumplimiento como una función estratégica transversal. La frustración del Oficial debe interpretarse como un síntoma de falla institucional, no como una debilidad personal.


La trazabilidad documental y la transferencia formal del riesgo son pilares fundamentales para proteger tanto la función del Oficial de Cumplimiento como la responsabilidad objetiva de la organización. En contextos donde la alta dirección no actúa frente a alertas fundadas, la única salvaguarda jurídica y técnica que tiene el Oficial es la prueba fehaciente de que cumplió con su obligación de advertir, monitorear y proponer acciones preventivas.


La trazabilidad implica mantener un registro detallado y cronológico de todas las acciones realizadas en cumplimiento del deber de gestión del riesgo. Esta incluye:


  • Reportes internos entregados al Comité de Cumplimiento o Junta Directiva.

  • Actas de reuniones con constancia de las advertencias.

  • Correos electrónicos institucionales con evidencia de seguimiento.

  • Bitácoras de riesgo y análisis de indicadores.

  • Recomendaciones técnicas debidamente soportadas.


4. Estrategias para superar la inercia organizacional


Frente a la resistencia pasiva o activa por parte de los órganos de gobierno o las áreas funcionales, el Oficial de Cumplimiento debe adoptar una postura técnica, estratégica y resiliente. Superar la inercia institucional no implica confrontar, sino diseñar mecanismos que alineen los intereses del negocio con los principios del cumplimiento. A continuación, se desarrollan algunas estrategias clave:


  • Educación continua con enfoque en consecuencias legales y reputacionales. El Oficial de Cumplimiento debe comenzar a socializar con los administradores las responsabilidades que subyacen a la Ley 222 de 1995, en lo que respecta a los deberes de diligencia, lealtad y responsabilidad en la administración. Es fundamental que los miembros de junta y los representantes legales comprendan que no pueden delegar ciegamente estas obligaciones.


  • Divulgación de precedentes sancionatorios recientes. Como parte de su gestión estratégica, el Oficial debe poner en conocimiento las situaciones que han venido afrontando otras entidades sujetas a vigilancia y control de la Superintendencia de Sociedades. Solo entre julio de 2024 y julio de 2025, se han registrado múltiples sanciones impuestas por incumplimientos a las normas de prevención del lavado de activos, financiación del terrorismo, financiamiento de la proliferación de armas de destrucción masiva, corrupción y soborno transnacional. Estos procesos sancionatorios responden, en muchos casos, a falencias estructurales como: la falta de importancia otorgada al sistema de cumplimiento, la designación de Oficiales sin competencias técnicas, y la creación de manuales, políticas y matrices que no cumplen con la normativa ni con la gestión integral del riesgo según ISO 31000.


  • Advertencia sobre la responsabilidad directa y solidaria. Debe destacarse que no solo las empresas han sido objeto de sanción, sino también revisores fiscales y Oficiales de Cumplimiento, quienes han recibido multas personales por omitir sus deberes legales. Las sanciones oscilan actualmente entre 50 millones y 600 millones de pesos, y pueden ser recurrentes si no se corrigen las deficiencias advertidas por la Superintendencia.


  • Vinculación de cumplimiento con indicadores estratégicos de gestión. Se recomienda que las recomendaciones del Oficial sean incorporadas a los cuadros de mando y planes estratégicos del negocio, con responsables definidos y seguimiento periódico por parte del máximo órgano social.


  • Sensibilización mediante casos reales de sanciones o pérdidas comerciales. Mostrar casos concretos de empresas que han perdido contratos, socios o reputación por fallas en cumplimiento.


  • Automatización del seguimiento y reporte de cumplimiento. Usar plataformas tecnológicas para sistematizar los reportes, alertas, planes de acción y trazabilidad.


  • Fortalecimiento del canal ético y los sistemas de denuncia. Alinear el sistema de denuncias a ISO 37002 y asegurar la protección efectiva del denunciante.


Estas estrategias permiten convertir al Oficial de Cumplimiento en un articulador proactivo del valor corporativo, posicionando su función no como una carga, sino como una salvaguarda imprescindible del interés empresarial y la responsabilidad social corporativa.

Frente a la resistencia pasiva o activa por parte de los órganos de gobierno o las áreas funcionales, el Oficial de Cumplimiento debe adoptar una postura técnica, estratégica y resiliente. Superar la inercia institucional no implica confrontar, sino diseñar mecanismos que alineen los intereses del negocio con los principios del cumplimiento. A continuación, se desarrollan algunas estrategias clave:


  • Educación continua con enfoque en consecuencias legales y reputacionales.

  • Vinculación de cumplimiento con indicadores estratégicos de gestión.

  • Sensibilización mediante casos reales de sanciones o pérdidas comerciales.

  • Automatización del seguimiento y reporte de cumplimiento.

  • Fortalecimiento del canal ético y los sistemas de denuncia.



5. Conclusiones


El Oficial de Cumplimiento desempeña un papel esencial en la protección del valor, reputación y legalidad de las organizaciones. Cuando su voz no es escuchada, no solo se desatiende una función técnica, sino que se expone a la entidad a consecuencias irreversibles. La frustración que vive el Oficial debe entenderse como una alerta institucional y no como una debilidad individual. Documentar, advertir y transferir el riesgo es su principal blindaje. Corresponde a las juntas directivas y a las altas gerencias responder con responsabilidad, coherencia y visión de sostenibilidad ética a las recomendaciones que se les elevan desde los sistemas de cumplimiento.

Comentarios

Obtuvo 0 de 5 estrellas.
Aún no hay calificaciones
Agrega una calificación
bottom of page