family=Lato:ital,wght@0,100;0,300;0,400;0,700;0,900;1,100;1,300;1,400;1,700;1,900family=Playfair+Display:ital,wght@0,400;0,500;0,600;0,700;0,800;0,900;1,400;1,500;1,600;1,700;1,800;1,900family=JetBrains+Mono:ital,wght@0,100;0,200;0,300;0,400;0,500;0,600;0,700;0,800;1,100;1,200;1,300;1,400;1,500;1,600;1,700;1,800display=swap" rel="stylesheet"/>

Área de práctica · 03

Compliance

Programas de cumplimiento normativo que blindan a su organización frente a riesgos penales y regulatorios.

Inicio· Áreas de Práctica· Compliance

Área de práctica

Un programa de compliance efectivo no es solo una exigencia regulatoria: es una herramienta estratégica que protege a las organizaciones y a sus directivos de responsabilidades penales, disciplinarias y administrativas. En Guevara Castaño Abogados diseñamos e implementamos programas de cumplimiento normativo adaptados a las necesidades y al sector de cada uno de nuestros clientes.

Diseño e Implementación de Programas de Compliance

El cumplimiento normativo busca proteger a las organizaciones mediante prácticas éticas y transparentes en cada uno de sus procesos. En Colombia se encuentra regulado por normativas clave como la Ley 1474 de 2011, Ley 1778 de 2016, Ley 2195 de 2022, entre otras, que establecen el conjunto de buenas prácticas dentro del gobierno corporativo que permitan reducir y mitigar el riesgo de sanciones administrativas, penales y reputacionales mediante la evaluación de éstos, el establecimiento de políticas claras y su monitorización constante.

En Guevara Castaño Abogados acompañamos a cualquier tipo de organización en cada una de las etapas para que cuente con una cultura de cumplimiento sólida, transparente y acorde con la regulación colombiana, protegiéndola ante entes de control y posibles contingencias legales.

Programas SAGRILAFT, SARLAFT y PTEE

Los programas de SARLAFT, SAGRILAFT y PTEE son sistemas de obligatoria aplicación para ciertas organizaciones, por medio de los cuales se busca implementar sistemas de autocontrol y gestión del riesgo. En el caso del SAGRILAFT y PTEE, aplicables al sector real, se encuentran regulados por leyes como la 1778 de 2016, la 2195 de 2022, así como por la Circular Básica Jurídica de la Superintendencia de Sociedades. Mientras que el SARLAFT es aplicable a sociedades con operaciones en el sector financiero y se encuentra regulado por leyes como la 1121 de 2006, la 144 de 2011, la ya mencionada 2195 de 2022 y la Circular Básica Jurídica de la Superintendencia Financiera.

En Guevara Castaño Abogados acompañamos a organizaciones en cada una de las fases de implementación y seguimiento de cada uno de estos programas para que cumplan con todas las funciones para las cuales se encuentran destinados, así como con los estándares exigidos por cada uno de los órganos de control.

El cumplimiento normativo no es una carga administrativa: es la evidencia tangible de que una organización actúa con integridad.
— Guevara Castaño Abogados

Debida Diligencia en Operaciones de M&A

Una fusión o una adquisición de una empresa puede implicar asumir riesgos de diferente índole, por lo que mediante un proceso de debida diligencia ("due diligence") se busca que el comprador obtenga la información necesaria de la sociedad o activo que desea adquirir ("target"), cerrando la brecha de conocimiento respecto al vendedor. Todo esto se realiza protegiendo los datos confidenciales y enfocándose en los aspectos clave para cerrar el trato con mayor seguridad. Para ello, entre otras cosas, se audita la solidez de los sistemas antifraude y anticorrupción del target para obtener una comprensión clara de sus mecanismos de control. Este análisis debe ponderar el riesgo derivado de la interacción con el sector público, sus funcionarios y socios estratégicos. Asimismo, resulta imperativo ejecutar pruebas específicas que verifiquen la fiabilidad de los estados financieros y las premisas de valoración, detectando posibles irregularidades como fraudes organizados, conflictos de interés u operaciones anómalas con partes vinculadas.

En Guevara Castaño Abogados apoyamos a compañías en el marco de este proceso: examinamos estructuras corporativas complejas, relaciones comerciales de alto riesgo, litigios relevantes y exposición a responsabilidades de índole legal para proteger el valor de su negocio y su reputación.

Asesoría y Representación ante las Autoridades

Cuando una sociedad enfrenta una investigación ante alguna Superintendencia o la Fiscalía General de la Nación, el tiempo y la estrategia defensiva cobran suma relevancia. En Guevara Castaño Abogados estructuramos defensas ante entidades de inspección, vigilancia y control, gestionamos comunicaciones oficiales y presentamos argumentos técnicos que demuestran la conformidad con la regulación. Nuestro objetivo es defender los intereses de su organización.

Asimismo, asesoramos a directivos, empleados y oficiales de cumplimiento durante este tipo de actuaciones, orientándolos sobre sus responsabilidades personales y estrategia de comunicación ante las autoridades. Contamos con experiencia en negociaciones exitosas que han resultado en acuerdos significativamente más favorables que las sanciones inicialmente propuestas por los entes de control.

§

Preguntas frecuentes

Lo que nuestros clientes preguntan

El SAGRILAFT (Sistema de Autocontrol y Gestión del Riesgo Integral de Lavado de Activos y Financiación del Terrorismo) es una estructura organizacional que integra procesos, tecnología y recursos humanos para prevenir y detectar operaciones sospechosas dentro de la empresa. No es un manual de procedimientos, sino un sistema vivo de gestión de riesgo. La obligatoriedad la determina la Superintendencia de Sociedades. Están obligadas las personas jurídicas y sucursales de sociedades extranjeras que superen ingresos brutos de 40.000 SMMLV durante un año fiscal. Para sectores de alto riesgo (inmobiliario, prestadores de servicios jurídicos, comercializadores de metales y piedras preciosas) el umbral baja a 30.000 SMMLV. Adicionalmente, cualquier persona jurídica que reciba dinero en efectivo o activos virtuales por más de 50 millones de pesos debe implementarlo, sin importar sus ingresos brutos anuales. Implementarlo a destiempo no es opción: la Superintendencia ya superó la etapa pedagógica y hoy sanciona efectivamente.

El PTEE es un sistema de cumplimiento corporativo diseñado para prevenir riesgos de corrupción y soborno transnacional, exigido por la Ley 1778 de 2016, el Decreto 1736 de 2020 y el Capítulo XIII de la Circular Básica Jurídica de la Superintendencia de Sociedades. No tenerlo, o tenerlo solo de manera formal, expone a la compañía a multas de hasta 200 SMLMV conforme al numeral 3 del artículo 86 de la Ley 222 de 1995. Cuando se configuran conductas de soborno transnacional bajo la Ley 1778, las multas escalan hasta 200.000 SMLMV, más inhabilidad para contratar con el Estado y publicación de la sanción. La responsabilidad no recae solo sobre la persona jurídica: las sanciones pueden extenderse al oficial de cumplimiento, al revisor fiscal y a los administradores. La Superintendencia ya está sancionando efectivamente por hechos como la no presentación del Informe 75 o la falta de designación oportuna del oficial de cumplimiento.

El Oficial de Cumplimiento es la persona natural designada para diseñar, supervisar y operar el sistema de prevención de riesgos exigido por la normativa (SAGRILAFT, PTEE, SARLAFT). Su responsabilidad opera en dos planos. En el plano administrativo, responde por el ejercicio diligente de sus funciones, con independencia de que se materialice o no un evento de lavado de activos o corrupción. La Superintendencia de Sociedades y la Superintendencia Financiera pueden investigarlo y sancionarlo cuando omite controles, no presenta reportes obligatorios o desatiende deberes de supervisión. En el plano penal, en Colombia no existe norma que le atribuya automáticamente la condición de garante penal por el solo hecho de ocupar el cargo. Sin embargo, puede ser penalmente responsable cuando participa por acción u omisión dolosa en un delito, o cuando incumple deberes especiales de control que conocía. Tres prácticas son indispensables para su defensa: documentar todas sus actuaciones, dejar constancia escrita de los reportes a la junta directiva y exigir formalmente recursos y autonomía.

La debida diligencia es el proceso sistemático para investigar, verificar y evaluar antecedentes, integridad y nivel de riesgo de las contrapartes (clientes, proveedores, socios, intermediarios). Cumple dos funciones: satisfacer obligaciones normativas (SAGRILAFT, PTEE, SARLAFT, ISO 37001) y proteger a la organización frente a riesgos legales, financieros, operativos y reputacionales. Un proceso robusto sigue cuatro etapas: planeación (definir alcance según el nivel de riesgo de la contraparte), identificación (formularios de conocimiento, documentación corporativa, identificación del beneficiario final, consulta en listas vinculantes ONU, OFAC y Clinton), análisis (depurar falsos positivos, identificar señales de alerta, clasificar riesgos) y decisión documentada (informe que sustenta iniciar, mantener, condicionar o rechazar la relación). La debida diligencia no termina con el conocimiento inicial: exige actualización al menos anual, monitoreo permanente y reevaluación cuando cambien las condiciones. Un proceso bien estructurado debería extenderse a las cuartas partes (subcontratistas de los proveedores), donde se originan muchos riesgos materiales.

El ROS es el mecanismo mediante el cual los sujetos obligados (entidades financieras, empresas cobijadas por SAGRILAFT, profesiones designadas) informan a la Unidad de Información y Análisis Financiero (UIAF) sobre operaciones que se apartan de las prácticas normales del negocio y no han podido justificarse razonablemente. Su origen es la Recomendación 20 del GAFI. Hay un punto crítico que debe quedar claro: el ROS no es una denuncia penal. Es anónimo, reservado, no constituye prueba judicial ni se rinde bajo juramento. Por eso el reportante no requiere certeza sobre la existencia del delito; basta una sospecha bien fundamentada en señales de alerta razonables. Ni el oficial de cumplimiento ni la empresa pueden ser perseguidos civil o penalmente por presentar un ROS de buena fe. Operativamente, se presenta a través del Sistema de Reporte en Línea (SIREL) de la UIAF. Un ROS bien estructurado responde qué ocurrió, quién intervino, dónde y cuándo, qué señales de alerta se detectaron y qué documentación lo soporta. Cuando no hay operaciones sospechosas en el periodo, debe presentarse un reporte negativo.

Un sistema de compliance bien diseñado e implementado no es una garantía absoluta de exoneración penal, pero sí puede operar como mecanismo eficaz para excluir o atenuar significativamente la responsabilidad de administradores y directivos. En Colombia no existe responsabilidad penal autónoma de la persona jurídica como en España o Estados Unidos: el sistema se estructura sobre sanciones administrativas (Leyes 1778 de 2016 y 2195 de 2022) y la responsabilidad penal sigue recayendo sobre personas naturales (representantes legales, miembros de junta, administradores). En este contexto, un compliance robusto cumple cuatro funciones jurídicas: demuestra el cumplimiento del deber de diligencia exigido por la ley societaria; acredita que el directivo no creó un riesgo jurídicamente desaprobado; permite romper la imputación cuando un empleado eludió fraudulentamente los controles existentes; y opera como atenuante en procesos sancionatorios y negociaciones. Advertencia clave: solo los sistemas eficaces, idóneos y efectivamente aplicados producen estos efectos. Un compliance de papel no solo es inútil, sino que puede agravar la posición del directivo al evidenciar negligencia en su deber de supervisión.

Otras áreas de práctica

Derecho Penal Penal Corporativo Compliance Extinción de Dominio Derecho Constitucional Derecho Disciplinario Derecho de Seguros Responsabilidad Fiscal Investigación Criminal Peritajes Otras Áreas