El Compliance deja de ser un gasto para convertirse en el activo más valioso de defensa jurídica y reputacional.
Hasta hace poco tiempo, la visión de la empresa como un ente ajeno a las consecuencias de una actividad delictiva quedó atrás.
A pesar de que en Colombia no se ha introducido la responsabilidad penal de la persona jurídica como ha sucedido en otros países, el Congreso (especialmente a través de la expedición de la Ley 2195 de 2022) y la Superintendencia de Sociedades (a través de circulares) han incorporado al ordenamiento jurídico un régimen sancionatorio administrativo temible para el bolsillo del empresario.
Dirigido a empresas del sector real según su actividad económica, sus activos e ingresos, entre otros, este régimen aplica cuando se cometen delitos al interior de la compañía, cuando la compañía es instrumentalizada para fines ilícitos, o ante el incumplimiento de deberes objetivos de prevención.
En términos prácticos, esto significa que la sanción no depende exclusivamente de la materialización de un delito, sino que la autoridad competente, la Superintendencia de Sociedades, también castiga de forma autónoma la simple ausencia de políticas efectivas de prevención, gestión y corrección del riesgo jurídicamente relevante, en el marco de los sistemas de Compliance en Colombia.
Sin embargo, debe aclararse que la activación de la sanción administrativa no exime a los órganos sociales de la compañía individualmente considerados. De manera paralela e independiente subsiste la responsabilidad penal individual, pues mientras la persona jurídica responde patrimonialmente ante la Superintendencia de Sociedades, las personas naturales como directivos, representantes legales o trabajadores que ejecutaron o facilitaron la conducta, fácilmente podrían ser vinculados a un proceso penal ante la Fiscalía General de la Nación.
Bajo este estado de cosas, el sistema se estructura en dos ejes principales: (i) la responsabilidad administrativa de la empresa por su “defecto de organización” y (ii) la responsabilidad penal individual de las personas naturales que, con sus conductas, lesionaron o pusieron en peligro los intereses jurídicos protegidos.
Para ilustrarlo, imaginemos una compañía que paga un soborno para acelerar un trámite aduanero. Bajo el esquema actual, la empresa podría enfrentar multas millonarias de la Superintendencia de Sociedades por no haber tenido controles para evitar ese pago (reproche administrativo); mientras que, simultáneamente, el gerente que ordenó la transferencia enfrentaría un proceso penal ante la Fiscalía General de la Nación (responsabilidad penal individual). Son dos consecuencias distintas por un mismo hecho dentro del actual modelo de cumplimiento normativo empresarial.
Sin ir muy lejos, mediante la Resolución 240-01830925 del 12 de septiembre de 2024 y la Resolución 240-018310, la Superintendencia de Sociedades impuso, por primera vez, sanciones personales a un Oficial de Cumplimiento tercerizado de una empresa del sector textil. La autoridad comprobó que su gestión era una fachada. Las matrices de riesgo no estaban disponibles en la empresa y la supuesta “capacitación” a los empleados se limitaba a un formulario con una única pregunta. Este precedente envía un mensaje contundente: si la gestión es cosmética, la sanción perseguirá incluso el patrimonio personal de quien finge vigilar.
Es en este punto donde el Compliance adquiere su verdadera dimensión, pues más allá de ser un requisito generalmente costoso por cumplir, es una herramienta que le permite a las compañías acreditar una debida diligencia en la supervisión de sus procesos internos.
De esta manera, el cumplimiento normativo trasciende la formalidad de un simple documento y se traduce en una finalidad dual de protección para la empresa. Desde el punto de vista jurídico, actúa como “arma probatoria” para desvirtuar el defecto de organización desde el punto de vista administrativo y para acreditar ante investigaciones penales la ausencia de dolo o la infracción a un deber objetivo de cuidado. En lo corporativo, actúa como una red de contención ante riesgos reputacionales y operativos cuyo impacto puede destruir la confianza del mercado en la empresa y, paradójicamente, ser aún más devastador que la propia sanción legal.
Ahora bien, debe tenerse en cuenta que la protección en las dimensiones ya explicadas no se logra con la simple elaboración de documentos de cumplimiento. De nada sirve tener un programa robusto desde el punto de vista teórico si, en la práctica, es letra muerta. Este asunto es lo que la doctrina define como “cumplimiento cosmético” o “cosmetic compliance”: un sistema que carece de ejecución real y compromiso directivo en cuanto a su implementación dentro de una verdadera cultura de cumplimiento.
No podemos perder de vista que cuando se trata de una investigación administrativa o penal, o en su defecto de detectar, mitigar y corregir el riesgo a nivel interno, lo que verdaderamente exime de responsabilidad no es la formalidad del papel, sino la evidencia de una cultura de cumplimiento eficaz que detecta, mitiga o corrige el riesgo.
¿Cómo se distingue entonces lo real de lo cosmético? La respuesta está en la cultura corporativa de la organización. Un sistema de cumplimiento eficaz será aquel que deje una “huella probatoria” que pueda demostrar que las decisiones corporativas pasaron por los controles establecidos. Al final, no debe esperarse a que la Fiscalía o la Superintendencia toquen la puerta para cumplir, sino que desde la operación diaria de la empresa debe acreditarse y fomentarse el cumplimiento.
Esto implica que el máximo órgano social no solo firme un manual de cumplimiento, sino que lidere con el ejemplo, que existan canales de denuncia efectivos y sanciones internas que operen de verdad. Es así como el Compliance empresarial deja de ser un gasto y se convierte en uno de los activos más valiosos desde el punto de vista interno y litigioso.
Finalmente, esta realidad jurídica nos lleva a una reflexión necesaria sobre la realidad empresarial del país. El Compliance en Colombia llegó para quedarse y su expansión a empresas de menor envergadura es, en mi criterio, inevitable. Situación que nos deja un problema por resolver: ¿qué va a pasar cuando las mipymes estén obligadas a tener políticas de cumplimiento?
Según un estudio de BBVA Research (febrero de 2024), elaborado por Juan Sebastián González Patiño y María Claudia Llanes Valenzuela, las mipymes conforman el 99,5% del tejido empresarial formal, aportan cerca del 40% del PIB y generan el 79% del empleo total (53% del formal).
Para este microempresario, la situación es sumamente compleja, pues una sanción administrativa lo puede llevar a la quiebra, pero pagar una asesoría jurídica especializada para evitarla a través de una política de cumplimiento también puede ser difícil de costear.
El próximo gran reto legislativo en materia de Compliance en Colombia, una vez se incorpore la responsabilidad penal de la persona jurídica o se amplíe la base de aplicación de la normativa, no será determinar si les aplica o no el régimen sancionatorio, sino diseñar un modelo de cumplimiento que sea accesible y proporcional, para que la legalidad no termine asfixiando al motor real de nuestra economía.
José Miguel Lomanto Frias es egresado de la Pontificia Universidad Javeriana. Centra su ejercicio profesional en el Derecho Penal Económico y Corporate Compliance. Actualmente integra el equipo de la firma Marin Martínez Consultores S.A.S., asesorando en litigio penal, gestión de riesgos y defensa corporativa.
Autor de artículos académicos y panelista en congresos nacionales e internacionales sobre la materia, es Coordinador del Semillero de Investigación en Derecho Penal Económico de la Javeriana.
