El mayor valor de una organización está en la construcción de una cultura ética y de una estructura corporativa responsable, que prevenga violaciones normativas y minimice las consecuencias legales y reputacionales.

Las organizaciones que quieren tener éxito y ser sostenibles, necesitan establecer y mantener una cultura de cumplimiento, teniendo en cuenta las necesidades y expectativas de las partes interesadas.

1. Modelo de Gestión de Gobierno, Riesgo & Cumplimiento
Un Modelo de Gestión de Gobierno, Riesgo & Cumplimiento (GRC) es un modelo de cumplimiento normativo, que se adapta a las necesidades de los negocios, a los requisitos de las empresas y a su realidad, como un mecanismo de auto control y gestión dentro de la Empresa que incluye la normatividad aplicable a la misma y la que voluntariamente quiera adoptar, y que busca minimizar los riesgos ante cualquier crisis, mejorar su imagen, dar una mayor confianza a los accionistas y grupos de interés, así como prevenir los impactos negativos provenientes de cualquier incumplimiento legal.

Desde diciembre de 2014, fecha en la que se implementó la Norma Técnica ISO19600, traducida e implementada en Colombia a través de la ISO19600:2018, se establecieron las directrices que orientaron a las empresas para implementar, desarrollar, evaluar y mejorar un sistema de gestión de riesgo y cumplimiento de manera eficaz, teniendo en cuenta el tamaño, la estructura, la naturaleza y la complejidad de la organización, sobre la base de principios de buen gobierno, proporcionalidad, transparencia y sostenibilidad.

En abril de 2021 este estándar se revisó y modificó en su totalidad, y se expidió la nueva ISO37301:2021, la cual, bajo el mismo concepto de sostenibilidad y perdurabilidad de los negocios, las empresas necesitan establecer y mantener una cultura de cumplimiento normativo para ser exitosas, considerando sus estructuras corporativas, las necesidades y expectativas de sus accionistas y de las partes interesadas. Para lograr este objetivo, deberán implementar un proceso de cumplimiento continuo, que les permita conocer la normatividad y obligaciones legales que le son aplicables, integrar este cumplimiento con la cultura organizacional, en donde el comportamiento de la alta dirección, de los empleados y de los terceros con quienes tiene relacionamiento, esté enfocado en el compromiso de cumplir las leyes, los reglamentos, y de mantener vigentes prácticas y protocolos de gobierno corporativo (códigos de ética y de buen gobierno) y de cualquier otra normatividad aplicable a la organización, permitiendo un mayor control de los accionistas sobre la compañía, ayudando a preservar el valor mejorando su rentabilidad y reputación, generando confianza y credibilidad en los grupos de interés, dando tranquilidad en la toma de decisiones, y contribuyendo al cumplimiento de las metas y al éxito del negocio.

Al desarrollar este nuevo sistema, la empresa estará organizada bajo estándares internacionales de transparencia y de buenas prácticas organizacionales, realizando una gestión anticipada y preventiva de los riesgos que surjan en el desarrollo de sus actividades, y evitando la comisión de delitos que puedan poner en riesgo a la organización, exonerando a los representantes legales de responsabilidad penal y a la compañía de responsabilidad administrativa, como un atenuante de responsabilidad ante las autoridades, en el momento de determinar una sanción a imponerse, cuando se presenten infracciones a las leyes que le son aplicables.

Entonces, con los sistemas de Gobierno, Riesgo y Cumplimiento se protege la integridad de la empresa y se evita que haya incumplimiento, pues la gestión se realiza de manera transparente, excelente y diligente, bajo una cultura positiva de cumplimiento, sobre una gestión eficaz y sólida de los riesgos relacionados con el cumplimiento normativo.

2. SAGRILAFT

En los últimos años, Colombia ha establecido en su marco normativo la obligación para las empresas de implementar Modelos de Gobierno, Riesgo y Cumplimiento. Uno de ellos, es el Sistema de Autocontrol y Gestión del Riesgo de Lavado de Activos, Financiación del Terrorismo y Financiamiento de la Proliferación de Armas de Destrucción Masiva (“SAGRILAFT”), el cual ha tenido evolución desde el año 2014, con el objetivo de evitar que las empresas se vean involucradas o asociadas a delitos que puedan poner en riesgo su reputación y perdurabilidad.

Este sistema venía siendo aplicado por las grandes empresas del país en los últimos años; pero era necesario involucrar a nuevas compañías obligadas, por lo cual, el pasado 24 de diciembre de 2020 y en abril de 2021, mediante Circulares Externas No. 100-000016 del 24 de diciembre de 2020 y No. 100-000004 del 9 de abril de 2021 respectivamente, la Superintendencia de Sociedades modificó el Capítulo X de la Circular Básica Jurídica y actualizó la normatividad relacionada con el “SAGRILAFT” para establecer nuevos requisitos, incluir los activos como parámetro para las empresas obligadas, y “bajó las varas” para adicionar nuevas compañías vigiladas y controladas.

Adicionalmente, la Superintendencia de Sociedades, como una buena práctica empresarial y de buen gobierno corporativo, recomendó a las Empresas sometidas a su supervisión y que no se encuentren obligadas a adoptar el SAGRILAFT, que establezcan medidas voluntarias, para la autogestión y control de estos riesgos.

Dentro de los cambios realizados a este Sistema, se encuentran entre otros, los siguientes:

    • Incluyó un nuevo riesgo: Financiamiento de la Proliferación de Armas de Destrucción Masiva – FPADM.
    • Estableció una nueva definición del Beneficiario final de las personas jurídicas (Contrapartes). 1
    • Obligó a las empresas a implementar procesos de Debida Diligencia y de Debida Diligencia Intensificada, incluyendo en estos procesos a los Beneficiarios Finales de las Contrapartes, a las Personas Políticamente Expuestas (PEPs, a los PEPs de ONG y PEPs Extranjeros), así como a los cónyuges o compañeros permanentes del PEP, familiares hasta el segundo grado de consanguinidad, segundo de afinidad y primero civil, y a los asociados de un PEP, cuando éste sea socio o esté asociado a una persona jurídica y sea propietario de una participación superior al 5% de la persona jurídica, o ejerza el control.
    • Incluyó los llamados Activos virtuales, como la representación digital de valor que se puede comercializar o transferir digitalmente y se puede utilizar para pagos o inversiones.
    • Estableció medidas razonables de control y mitigación, teniendo en cuenta los riesgos de LA/FT/FPADM propios de la Empresa Obligada y su materialidad.
    • Creó el Régimen de Medidas Mínimas para la autogestión y control del Riesgo LA/FT/FPADM.
    • Estableció el perfil, nuevos requisitos, funciones y responsabilidades para el Oficial de Cumplimiento, cuya designación deberá ser realizada por y dependiendo de la Junta Directiva o del máximo Órgano Social; con independencia decisoria frente a la gestión del Riesgo de LA/FT/FPADM.
    • Permitió el nombramiento de un suplente del Oficial de Cumplimiento, para evitar la suspensión de actividades del Principal, y creó la nueva figura del Oficial de Cumplimiento Externo.
    • Indicó que el Oficial de Cumplimiento no puede ser Administrador o hacer parte de los órganos sociales (Representante Legal Principal o Suplente, miembro de Junta Directiva o Consejo Directivo, Liquidador, Factor o quien sea administrador según los Estatutos Sociales); tampoco puede ser el Revisor Fiscal o estar vinculado a la empresa de revisoría fiscal; o ser Auditor Interno o quien ejecute funciones similares o haga sus veces en la Empresa Obligada. Aclaró que puede ser Oficial de Cumplimiento una persona que apoye las labores de los órganos de auditoria o de control interno.
    • Si se decide contratar un Oficial de Cumplimiento Externo, la autoridad estableció que éste deberá demostrar que cumple con el Régimen de medidas mínimas en el desarrollo de sus actividades; que no puede fungir como Oficial de Cumplimiento en más de diez (10) Empresas Obligadas; y, para fungir como Oficial de Cumplimiento de más de una Empresa, no podrá actuar en Empresas que compiten entre sí.
    • Cuando exista un grupo empresarial o una situación de control declarada, el Oficial de Cumplimiento de la matriz o controlante podrá ser la misma persona para todas las Empresas que conforman el grupo o conglomerado, independientemente del número de Empresas que lo conformen.
    • Si se trata de una Sucursal de una sociedad extranjera, el nombramiento del Oficial de Cumplimiento deberá realizarse por el órgano social de la matriz y presentará los reportes al órgano social de la Casa Matriz.
    • Exigió a la Empresa Obligada a certificar que el Oficial de Cumplimiento cumple con los requisitos exigidos en el Capítulo X de la Circular Básica Jurídica, y la obligó a informar por escrito a la Superintendencia de Sociedades (Delegatura de Asuntos Económicos y Societarios), dentro de los quince (15) días hábiles siguientes a su designación, el nombre, número de identificación, correo electrónico y número de teléfono del Oficial de Cumplimiento principal y suplente (cuando sea procedente), y a remitir su hoja de vida, copia del acta de la junta directiva o máximo órgano social en la que conste la designación, según corresponda, y copia del documento de su registro en el Sistema de Reporte en Línea (SIREL) de la UIAF. El mismo procedimiento deberá efectuarse cuando ocurra el cambio de Oficial de Cumplimiento.

Por último, la Superintendencia de Sociedades fijó un plazo hasta el 31 de agosto de 2021, para que las nuevas empresas obligadas implementen dicho sistema en sus organizaciones y para que las empresas que ya tenían implementado un Sistema de Autocontrol del Riesgo de Lavado de Activos y Financiación del Terrorismo “SAGRLAFT”, lo actualicen con base en la gestión integral de los riesgos de LA/FT/FPADM (SAGRILAFT).

Son Beneficiarios Finales de la persona jurídica los siguientes: a. Persona natural que, actuando individual o conjuntamente, ejerza control sobre la persona jurídica, en los términos del artículo 260 y siguientes del Código de Comercio; o b. Persona natural que, actuando individual o conjuntamente, sea titular, directa o indirectamente, del cinco por ciento (5%) o más del capital o los derechos de voto de la persona jurídica, y/o se beneficie en un cinco por ciento (5%) o más de los rendimientos, utilidades o activos de la persona jurídica; c. Cuando no se identifique alguna persona natural en los numerales 1) y 2), la persona natural que ostente el cargo de Representante Legal, salvo que exista una persona natural que ostente una mayor autoridad en relación con las funciones de gestión o dirección de la persona jurídica.

Son Beneficiarios Finales de un contrato fiduciario, de una estructura sin personería jurídica o de una estructura jurídica similar, las siguientes personas naturales que ostenten la calidad de: i. Fiduciante(s), fideicomitente(s), constituyente(s) o puesto similar o equivalente; ii. Comité fiduciario, comité financiero o puesto similar o equivalente; iii. Fideicomisario(s), beneficiario(s) o beneficiarios condicionados; y iv. Cualquier otra persona natural que ejerza el control efectivo y/o final, o que tenga derecho a gozar y/o disponer de los activos, beneficios, resultados o utilidades.

3. Programa de Transparencia y Ética Empresarial
Otro Sistema de Gobierno, Riesgo y Cumplimiento es el llamado Programa de Transparencia y Ética Empresarial, vigente desde el año 2016, a raíz de la expedición de la Ley 1778, por medio de la cual se reglamentó el compromiso de Colombia con la prevención del delito de soborno transnacional y de otras prácticas corruptas, y que se encuentra regulado por la Circular Externa No. 100-000003 del 26 de julio de 2016 (Guía Antisoborno) de la Superintendencia de Sociedades. Al igual que el SAGRILAFT, el Programa de Transparencia y Ética Empresarial tuvo cambios el pasado 2 de octubre de 2020 por parte de la Superintendencia de Sociedades quien, a través de la Resolución 100-0006261, estableció nuevos criterios para determinar cuáles sociedades deben adoptar dichos Programas, así: “Estarán obligadas a adoptar un Programa de Transparencia y Ética Empresarial, las sociedades vigiladas por la Superintendencia de Sociedades que en el año calendario inmediatamente anterior hayan realizado negocios o transacciones internacionales de cualquier naturaleza, directamente o a través de un intermediario, contratista o por medio de una sociedad subordinada o de una sucursal, con personas naturales o jurídicas extranjeras de derecho público o privado, iguales o superiores (individualmente o en conjunto) a 100 salarios mínimos mensuales legales vigentes y hayan obtenido ingresos o tengan activos totales iguales o superiores a 40.000 salarios mínimos mensuales legales vigentes”.

Para dicha implementación, las Empresas contaban con un plazo que venció el pasado 30 de abril y debían tener en cuenta la llamada Guía Antisoborno, en donde la Superintendencia de Sociedades hace una propuesta para que adopten ocho principios, cuya efectividad les permitirá estar en una mejor posición frente al riesgo del Soborno Transnacional y otras prácticas corruptas. En este sentido, para que un Programa de Ética Empresarial sea considerado efectivo, la empresa deberá cumplir con los siguientes puntos:

    1. Estar diseñado con fundamento en una evaluación exhaustiva de los riesgos de Soborno Transnacional y de prácticas que puedan ser consideradas como soborno, cohecho o corrupción para la Persona Jurídica, con la intención de mitigarlos o evitarlos.
    1. Contar con el compromiso decidido de los Altos Directivos, para que los Empleados, Asociados, Administradores y, de ser posible los Contratistas (Terceros), realicen acciones que sean efectivas para prevenir el Soborno Transnacional y cualquier otra práctica corrupta.
    1. Establecer mecanismos dirigidos a la ejecución de actividades periódicas de Auditoría de Cumplimiento y Debida Diligencia para verificar la efectividad del Programa de Ética Empresarial y, cuando resulte necesario, proceder a su modificación y actualización, de manera que la Persona Jurídica se adecue a los cambios que acontezcan en su entorno particular.


Seguramente en estos momentos las empresas estarán sintiendo que estas nuevas obligaciones van a generar nuevas cargas operativas y cambios estructurales que podrán ser costosos en sus organizaciones, con el ingrediente de tener que implementarlos en plazos muy cortos, sin considerar la situación económica surgida por la pandemia y por la incertidumbre que hay actualmente en el país, pero es evidente que con estas reglamentaciones y nuevas obligaciones, las empresas tendrán que implementar Sistemas de Gobierno, Riesgo y Cumplimiento, que son y serán hacia futuro herramientas que harán parte de su estrategia corporativa, sobre los cuales obtendrán beneficios en cuanto a la gestión de sus riesgos, como parte de su cultura y de sus procesos, y que les permitirán continuar evolucionando y teniendo perdurabilidad, con altos estándares de ética y transparencia.

Efectivamente, como lo mencioné al principio, cuando una empresa construye su organización y su gobierno sobre la base de una cultura ética y de una estructura corporativa responsable que prevenga violaciones normativas, podrá ser exitosa y sostenible a largo plazo; y para ello, estos sistemas de Gobierno, Riesgo y Cumplimiento sirven para garantizar que se minimicen las consecuencias legales y reputacionales, y para que la empresa pueda cumplir con sus metas, con una mayor competitividad y rentabilidad a largo plazo.