Un sistema de compliance robusto puede ser determinante en la defensa jurídica de los administradores y directivos, pero ni constituye una garantía absoluta de exoneración penal ni opera de manera automática. Su eficacia jurídica depende de su diseño, su aplicación efectiva y la cultura ética que lo sustenta.
El contexto colombiano
La respuesta, desde una perspectiva técnica, es que un sistema de compliance debidamente diseñado e implementado no constituye inmunidad absoluta, pero sí puede operar como un mecanismo eficaz para excluir o atenuar significativamente la responsabilidad de los administradores y directivos.
El contexto colombiano es particular. A diferencia de jurisdicciones como España, Italia, Chile o Estados Unidos donde existe responsabilidad penal autónoma de las personas jurídicas, en Colombia no existe regulación expresa que consagre esta responsabilidad penal directa de la empresa. Nuestro sistema se estructura principalmente en torno a:
- Sanciones administrativas: La Ley 1778 de 2016 (soborno transnacional) y Ley 2195 de 2022 (compliance corporativo) establecen multas y medidas correctivas contra la empresa.
- Medidas accesorias: Suspensión o cancelación de la personería jurídica (artículo 91 del Código de Procedimiento Penal).
- Responsabilidad penal individual: Representantes legales, miembros de junta directiva, administradores, oficiales de cumplimiento y funcionarios con poder decisorio responden personalmente por delitos.
Por ello, en Colombia, la responsabilidad penal sigue recayendo sobre personas naturales, no sobre la empresa como tal. El compliance no exime a la empresa de sanciones administrativas, pero sí puede excluir o atenuar la responsabilidad penal individual de los directivos.
En Colombia no existe responsabilidad penal autónoma de la persona jurídica: la responsabilidad penal sigue recayendo sobre personas naturales con poder decisorio.
Funciones jurídicas del compliance en la defensa de directivos
En este escenario, un programa de compliance robusto cumple varias funciones jurídicas relevantes para la defensa de los directivos:
- Demuestra cumplimiento del deber de diligencia: Conforme a los artículos 23 y 26 del Código de Comercio, los administradores tienen el deber legal de organizar la sociedad con prudencia. Un compliance efectivo evidencia que la administración minimizó razonablemente los riesgos de comisión de delitos.
- Excluye responsabilidad por omisión: Permite demostrar que el directivo configuró adecuadamente controles de supervisión, siendo especialmente relevante frente a delitos de omisión de control (artículos 325 y siguientes del Código Penal).
- Rompe imputación cuando el delito es de terceros: Si un empleado o tercero comete un delito eludiendo fraudulentamente los controles internos efectivamente implementados, el compliance evidencia que el ilícito fue aislado.
- Factor de atenuación punitiva: Un sistema de cumplimiento sólido opera como circunstancia atenuante conforme al artículo 55 del Código Penal.
- Herramienta en negociaciones: Factor de mitigación en procesos administrativos y elemento decisivo en negociaciones con la Fiscalía o superintendencias.
Requisitos esenciales para un compliance eficaz
Ahora bien, es fundamental advertir que no cualquier programa de compliance produce estos efectos. La jurisprudencia y la doctrina especializada coinciden en que solo los sistemas eficaces, idóneos y efectivamente aplicados generan consecuencias jurídicas favorables.
El riesgo del "paper compliance": Un compliance meramente cosmético o de papel no solo es inútil defensivamente, sino que puede agravar la posición del directivo. ¿Por qué? Porque demuestra negligencia en el cumplimiento de su deber legal de supervisión. Un compliance formal sin aplicación real evidencia mala fe o desinterés, lo cual puede elevar la culpabilidad de imprudencia a negligencia grave.
Requisitos esenciales para un compliance efectivo:
- Evaluación de riesgos documentada: Matriz de riesgos identificando áreas vulnerables de la empresa según su sector, volumen transaccional y geografía. Actualización anual.
- Políticas y controles concretos: No genéricas sino específicas a los riesgos identificados.
- Oficial de Cumplimiento con poder: Designado formalmente, con autonomía, presupuesto dedicado, acceso directo a junta directiva.
- Canal de denuncias confidencial: Mecanismo protegido donde empleados puedan reportar irregularidades sin temor a represalias.
- Régimen disciplinario coherente: Aplicación consistente de sanciones por incumplimiento, sin excepciones por rango o amistad.
- Tone from the top (liderazgo ético): Declaraciones públicas del CEO, decisiones presupuestales que lo respalden, participación personal en capacitaciones.
- Auditorías y actualizaciones periódicas: Revisiones anuales de efectividad, auditorías internas independientes, actualización cuando cambian condiciones.
El compliance como inversión estratégica
Recomendamos a nuestros clientes que asuman el compliance no como una carga formal, sino como una inversión estratégica en protección jurídica y reputacional, pues constituye hoy la herramienta más efectiva con la que cuentan los directivos para demostrar diligencia debida, blindar su patrimonio personal y enfrentar con solidez cualquier investigación administrativa o penal que pueda derivarse de la actividad empresarial.