function googleTranslateElementInit() { new google.translate.TranslateElement({ pageLanguage: 'es', // Idioma original del sitio includedLanguages: 'es,en', // Idiomas permitidos: español, inglés layout: google.translate.TranslateElement.InlineLayout.SIMPLE // Opcional: Layout simple }, 'google_translate_element'); } function doGTranslate(lang_pair) { if (lang_pair.value) lang_pair = lang_pair.value; var lang = lang_pair.split('|')[1]; var select = document.querySelector('select.goog-te-combo'); if (select) { select.value = lang; select.dispatchEvent(new Event('change')); } }

Cómo corregir los 5 errores más comunes de los programas de cumplimiento

Por: Juliana Martínez Agudelo Líder de Operaciones, Gerencia de Consultoría

Un programa de cumplimiento no fracasa por falta de buenas intenciones, fracasa cuando se concibe como un conjunto de documentos y no como un sistema vivo, integrado al negocio, que prioriza riesgos, asigna responsabilidades, mide resultados y como un proceso mejora de manera continua.

Este enfoque sistémico está en el centro de los estándares modernos de cumplimiento, los cuales exigen comprender el contexto interno y externo de la organización, identificar obligaciones, evaluar riesgos, operar controles, habilitar canales de reporte e investigación, y evaluar el desempeño con un enfoque de mejora continua.

En organizaciones expuestas a los riesgos de LA/FT/FPADM (Lavado de Activos, Financiación del Terrorismo y Financiación de la Proliferación de Armas de Destrucción Masiva) y C/ST (corrupción y soborno transnacional), los errores en programas de cumplimiento no solo generan ineficiencias operativas, sino que pueden traducirse en sanciones, pérdida de contratos, deterioro reputacional y decisiones comerciales mal informadas.

Por ello, tanto las guías regulatorias como los marcos internacionales de referencia coinciden en tres preguntas fundamentales:

  1. ¿El programa de cumplimiento está bien diseñado?

  2. ¿Está implementado con recursos y respaldo real?

  3. ¿Funciona en la práctica?

A continuación, se presentan los errores más comunes y un conjunto de acciones concretas para transformar el programa de cumplimiento en una verdadera ventaja de gestión y gobernanza.


1. “Cumplimiento de papel”: políticas impecables, efectividad mínima

Uno de los errores más frecuentes es confundir un programa de cumplimiento con un repositorio de políticas. Se elaboran manuales extensos, procedimientos y formatos, pero la organización no puede demostrar que esos lineamientos y reglas se aplican, se supervisan y se mejoran.

Los estándares en sistemas de gestión de riesgos exigen evidencia de operación, tales como controles implementados, registros, indicadores, revisiones periódicas y planes de acción.

¿Cómo se manifiesta en la práctica? Frases habituales como: “capacitamos una vez al año”, “todos firmaron asistencia” o “tenemos una matriz de riesgos” suelen esconder la ausencia de pruebas reales de efectividad, como monitoreo continuo, evaluación de controles, auditorías internas o gestión estructurada de incidentes.

Hoy, el criterio de evaluación se centra en si el programa está bien diseñado, se aplica de buena fe con recursos adecuados y funciona realmente.

¿Qué acciones tomar?

  • Definir indicadores clave (KPI y KRI) y mecanismos de retroalimentación para evaluar desempeño y aprendizaje, como alertas, excepciones, tiempos de investigación y reincidencias. El cumplimiento hoy en día exige monitoreo, medición y reporte.

  • Integrar el programa al ciclo de mejora continua PHVA (Planear–Hacer–Verificar–Actuar) mediante auditorías internas, revisión por la dirección y acciones correctivas documentadas.


2. No aplicar un enfoque basado en riesgos (o hacerlo de forma genérica)

La raíz de muchos fallos es una evaluación de riesgos estática o genérica: matrices “copiadas” que no guardan relación con clientes, productos, canales, jurisdicciones o terceros.

En la prevención de riesgos LA/FT/FPADM y C/ST, el enfoque basado en riesgos no es opcional: primero se identifica y comprende el riesgo, luego se evalúa y controla de forma proporcional. Cuando la evaluación no refleja la realidad del negocio, los controles se distorsionan: se sobrerregula lo de bajo riesgo (genera fricción y costos innecesarios) y se descuidan las áreas críticas (incrementando la exposición).

¿Qué acciones tomar?

  • Mantener una evaluación de riesgos continua, no limitada a ejercicios anuales. Debe incorporar cambios en productos, mercados, tipos de clientes o terceros, canales digitales y procesos de expansión o adquisiciones. La evaluación es un proceso, no un documento.

  • Para los factores de riesgo de LA/FT/FPADM, definir escenarios por cliente–producto–canal–jurisdicción–tercero y calibrar los controles (debida diligencia simplificada o reforzada). La proporcionalidad es un pilar del enfoque basado en riesgos.


3. Falta de liderazgo y “tono desde arriba”: cumplimiento sin poder real

Un programa de cumplimiento sin un respaldo visible y sostenido de la alta dirección termina relegado a una función meramente “operativa”, sin capacidad real de influir en decisiones estratégicas.

Los sistemas de gestión de cumplimiento asignan a la alta dirección la responsabilidad sobre la cultura ética, la gobernanza y la asignación de recursos, y exigen roles claros y autoridad efectiva para la función de cumplimiento. Además, los criterios modernos de evaluación consideran si el programa está adecuadamente dotado de recursos y empoderado. Esto no se demuestra con discursos, sino con presupuesto, acceso a información, participación en comités y capacidad real para escalar o detener operaciones de alto riesgo.

¿Qué acciones tomar?

  • Establecer una gobernanza clara: comité de cumplimiento o ética, reportes periódicos a la dirección o junta, y actas que evidencien seguimiento y toma de decisiones.

  • Asegurar independencia operativa: la función de cumplimiento debe contar con acceso oportuno a la información y autoridad para escalar asuntos críticos sin interferencias.


4. Capacitación genérica: mucha asistencia, poco cambio de conducta

La capacitación suele tratarse como un requisito anual, homogéneo y teórico. Sin embargo, los sistemas de gestión de cumplimiento exigen competencia y conciencia, y los evaluadores preguntan si la formación está adaptada al riesgo y al rol, y si se mide su efectividad.

En la gestión de riesgos de LA/FT/FPADM y C/ST esto es especialmente crítico: un analista de compras, un ejecutivo comercial y un director financiero enfrentan señales de alerta distintas. Si todos reciben el mismo contenido, nadie recibe lo que realmente necesita.

¿Qué acciones tomar?

  • Segmentar la capacitación por rol y nivel de exposición al riesgo, con la incorporación de casos reales (terceros, regalos y hospitalidad, licitaciones, operaciones inusuales).

  • Medir la efectividad mediante evaluaciones breves, simulaciones, análisis de incidentes y revisión de lecciones aprendidas, alineadas con la mejora continua.


5. Debida diligencia de terceros débil (o inexistente)

Una parte significativa de los casos de corrupción (C), soborno trasnacional (ST) y LA/FT/FPADM se materializa a través de terceros: proveedores, agentes, distribuidores, consultores, socios o aliados logísticos.

El error más común es limitar la debida diligencia a la recopilación de documentos básicos (registro mercantil, cámara de comercio, impuestos), sin evaluar el riesgo real: beneficiario final, reputación, jurisdicciones, subcontratación, pagos en efectivo, comisiones inusuales o capacidad técnica.

En la gestión de los riesgos de LA/FT/FPADM, la proporcionalidad y el enfoque basado en riesgos son esenciales: no todos los terceros requieren el mismo nivel de análisis, pero los de alto riesgo sí.

¿Qué acciones tomar?

  • Clasificar a los terceros según su nivel de riesgo y aplicar mecanismos de debida diligencia proporcional (DD o DDI).

  • Complementar con controles operativos y contractuales: cláusulas de cumplimiento, derechos de auditoría, validación de servicios, segregación de funciones y trazabilidad de pagos.


¿Cómo saber si su programa de cumplimiento está madurando?

Un programa robusto no promete “cero incidentes”. Promete que la organización identifica riesgos, prioriza esfuerzos, detecta señales de alerta de forma temprana, responde con método, corrige causas raíz y mejora con evidencia.

Ese es el estándar de los sistemas hoy en día de cumplimiento y del enfoque basado en riesgos en LA/FT/FPADM y C/ST. Si su programa ya opera bajo esta lógica, la organización va por el camino correcto. Si no, es el mejor momento para fortalecerlo antes de una auditoría, un incidente o una crisis reputacional.


Fuentes y referencias:

  • International Organization for Standardization (ISO). ISO 37301:2021 – Compliance management systems — Requirements with guidance for use. ISO, 2021. (Estructura y requisitos: contexto, liderazgo, evaluación de riesgos, soporte, operación, reporte, auditoría y mejora continua).

  • U.S. Department of Justice, Criminal Division. Evaluation of Corporate Compliance Programs. (Tres preguntas fundamentales y criterios sobre diseño, recursos, operación real, datos/tecnología, canales, terceros, etc).

  • Financial Action Task Force (FATF/GAFI). Guidance on the Risk-Based Approach to Combating Money Laundering and Terrorist Financing – High Level Principles and Procedures. (Principios del enfoque basado en riesgos).

  • Council of Europe – MONEYVAL. Risk-based approach (AML/CFT). (Explicación del carácter central del enfoque basado en riesgos y su aplicación).

  • Committee of Sponsoring Organizations of the Treadway Commission (COSO). Internal Control—Integrated Framework. COSO (Componentes, principios y enfoque de monitoreo e integración del control interno).


CONTÁCTENOS HOY

Descubra nuestros Ultimos Articulos

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Logo Risk Consulting Global Group

Risk Consulting Global Group © Todos los derechos reservados.