Errores críticos al iniciar e...

Cumplimiento normativo 2026

Errores críticos al iniciar el año en cumplimiento normativo: cómo evitarlos y fortalecer la estrategia 2026

El inicio de año para las empresas que son sujetos obligados a dar cumplimiento a la implementación de sistemas de gestión de riesgos de Lavado de Activos, Financiación del Terrorismo y Financiación de la Proliferación de Armas de Destrucción Masiva (LA/FT/FPADM), como el SAGRILAFT, SARLAFT o un PTEE, suele ser un momento de grandes retos. Ya que no se trata únicamente de cumplir con la norma, sino de garantizar que la organización esté preparada para enfrentar riesgos que pueden comprometer su operación, reputación y sostenibilidad.

Estas empresas, además de asumir una gran responsabilidad, también se posicionan un paso adelante: blindan sus procesos, fortalecen su estrategia y demuestran que la gestión del cumplimiento es un pilar fundamental para crecer con confianza. Aun así, sabemos que muchas organizaciones aún pueden sentirse confundidas frente a la implementación de estos programas: el no saber por dónde empezar, el cómo estructurar un plan de trabajo o cómo medir la efectividad de sus controles son algunas de las preguntas más comunes.

Por ello, en Risks International decidimos realizar un webinar para compartir con las empresas que ya cuentan con estos sistemas, así como con aquellas que se encuentran en proceso de implementarlos, algunos de los errores críticos más comunes al iniciar el año en cumplimiento normativo y cómo evitarlos para fortalecer su estrategia.

Estefany Rua, Oficial de Cumplimiento fue la ponente de esta sesión. Una gran profesional cuya trayectoria y años de experiencia la han llevado a convertirse en referente en la materia. Su conocimiento práctico, sumado a la experiencia directa en la implementación y supervisión de programas de cumplimiento, le permiten ofrecer una visión clara y realista de los desafíos que enfrentan las empresas.  

Errores críticos en cumplimiento normativo:

  • Ausencia de identificación del contexto interno y externo

Sobre este punto, Estefany Rua señaló que “inicialmente es importante que tengamos en cuenta la identificación del contexto en el cual se desarrolla nuestra organización”.

Con la experiencia que la respalda, recomienda analizar tanto el entorno interno como el externo, considerando el objeto social, los cambios de políticas y las dinámicas entre países que pueden afectar directamente los sistemas de gestión de riesgos de lavado de activos, prevención de la corrupción y soborno transnacional.

Una herramienta práctica que mencionó Estefany para aterrizar esta idea es la matriz DOFA, donde el oficial de cumplimiento, apoyado en el área jurídica y en líderes de procesos, puede identificar amenazas, fortalezas, debilidades y oportunidades. Además, insistió en que este ejercicio debe tener en cuenta lo ocurrido el año anterior:  identificando qué oportunidades se materializaron, cuáles siguen pendientes, qué debilidades se presentaron frente a recursos o personal, y qué retos trae el nuevo año, incluyendo posibles cambios normativos.

Finalmente, Estefany recomendó que cada empresa construya un documento o matriz que permita identificar esos factores internos y externos que impactan sus sistemas de gestión de riesgos de cumplimiento. Pueden usar la metodología que mejor se ajuste a sus procesos, pero lo importante es que se haga con apoyo de las áreas de gestión de procesos para consolidar la información y fortalecer los controles.

 

La identificación del contexto interno y externo no puede pasar desapercibida. Este es uno de los puntos más importantes a la hora de entender qué está ocurriendo alrededor de la organización y cómo esos factores pueden impactar directa o indirectamente en la gestión de riesgos. Conocer el contexto además de ayudar a las organizaciones a anticipar cambios en políticas, dinámicas económicas o normativas, también abre la posibilidad de aprovechar esas situaciones para fortalecer la estrategia.

De igual forma, revisar el contexto interno ayuda a reconocer las propias capacidades y limitaciones de las empresas, desde los recursos disponibles hasta los procesos que requieren ajustes. Con ello les será posible tomar decisiones más acertadas y construir un sistema de cumplimiento que no se quede en el papel, sino que realmente funcione en la práctica.

  • Ausencia de identificación/verificación de los requisitos legales aplicables

Sobre este tema, Estefany Rua hizo énfasis en que en nuestro país existen más de 13 requisitos legales que determinan las exigencias para ser considerado sujeto obligado. Entre ellos se encuentran, por ejemplo, los reportantes de operaciones sospechosas y otras obligaciones específicas.

Estefany advirtió que es clave que cada entidad valide su situación frente a la supervisión, vigilancia o control de la autoridad correspondiente y lo contraste con lo que establece la norma. Recordó que no todas las empresas tienen la misma obligación de adoptar un sistema de gestión de riesgos de lavado de activos: este varía según el nivel de inspección y el tipo de actividad económica que desarrolla la organización.

Dirigiéndose al público, comentó que muchas empresas ya tienen experiencia en la implementación de estos sistemas, pero también hay otras que apenas están identificando si son sujetos obligados. “Y es normal que no sepamos por dónde empezar”, señaló, recomendando que el primer paso sea validar claramente la condición de la empresa frente a la normativa.

Además, insistió en que no basta con estar vigilado por una superintendencia para asumir que automáticamente se es sujeto obligado. Lo fundamental es revisar lo que dice el requisito legal y verificar si la actividad económica de la organización está dentro de las que deben adoptar el sistema de cumplimiento.

Finalmente, recomendó que este ejercicio se haga cada inicio de año: revisar ingresos, montos y demás variables que determinan si la empresa sigue siendo sujeto obligado. En caso de dudas, sugirió apoyarse en el área contable o en la revisoría fiscal para obtener la información necesaria y comunicar a la gerencia la obligación de implementar o mantener el sistema de cumplimiento dentro de los plazos establecidos.

  • Ausencia de identificación de cambios normativos

Estefany Rua señaló que es fundamental revisar si existen cambios frente al requisito legal bajo el cual se adoptó inicialmente el sistema de gestión de riesgos o el sistema de cumplimiento.

Comentó que, por ejemplo, en el sector real se está trabajando en un proyecto de circular que traería modificaciones al SAGRILAFT. Por eso, insistió en que las empresas deben estar atentas a esos posibles cambios y preguntarse si van a necesitar recursos adicionales, ampliar sus equipos o incorporar nuevas herramientas tecnológicas.

Estefany indicó que muchas veces las empresas ya tienen su presupuesto definido antes de finalizar el año, y que cuando surgen estos proyectos normativos como ocurrió con la circular publicada en diciembre, se enfrentan a la necesidad de incluir gastos que no habían previsto.

La recomendación es que los oficiales de cumplimiento y las áreas responsables hagan seguimiento a estos proyectos desde el inicio, para anticiparse y preparar a la organización, evitando que los cambios normativos los tomen por sorpresa.

  • Ausencia de plan de trabajo:

Estefany Rua explicó que, cuando una empresa ya ha adoptado su sistema de gestión de riesgos de lavado de activos o de prevención de la corrupción y el soborno transnacional, existen actividades de monitoreo que no pueden faltar durante el año. Entre ellas mencionó la elaboración de informes, la capacitación mínima anual y la actualización en caso de cambios en el oficial de cumplimiento. Estas son tareas básicas que siempre deben estar presentes en el plan de trabajo.

Sin embargo, Estefany advirtió que el plan no puede limitarse a esas actividades esenciales. Recordó que normalmente se reciben insumos de otras áreas, como la revisoría fiscal o la auditoría interna, que emiten recomendaciones u oportunidades de mejora. Por eso, sugirió revisar esos informes y darles prioridad dentro del plan de trabajo, asignando recursos humanos, tecnológicos y financieros para implementar las acciones necesarias.

Comentó que, en la práctica, el oficial de cumplimiento suele tener múltiples responsabilidades dentro de la empresa, además de su rol principal. Por eso, insistió en la importancia de organizar las actividades de manera detallada: 

  • Definir qué se va a hacer, 
  • Quién es el responsable, cuál es la fecha programada 
  • Y cuál es la fecha límite, incluyendo también el entregable esperado. 

De esta forma, no solo el oficial de cumplimiento entiende lo que proyecta realizar, sino que cualquier auditor puede revisar con claridad los documentos y validar el sistema.

Estefany subrayó que el plan de trabajo debe incluir también la programación de capacitaciones. Recordó que algunos requisitos legales exigen capacitar no solo a empleados, sino también a contratistas y proveedores. En estos casos, la dinámica puede ser distinta y más compleja, por lo que recomendó buscar mecanismos prácticos para que los terceros comprendan la importancia de los procesos de cumplimiento, ya que participan en actividades como la debida diligencia o la política de regalos.

Finalmente, insistió en que el plan de trabajo debe contemplar las fechas de presentación de informes y reportes ante las entidades de control, pues son actividades esenciales que no pueden faltar en la agenda del oficial de cumplimiento.

En este punto, el moderador Samuel Sánchez Oficial de cumplimiento y Director del área de formación de Risks International, planteó una inquietud: “En algunas ocasiones vemos que el mismo oficial de cumplimiento ejerce funciones propias del auditor o realiza tareas similares a las de la auditoría interna. Aunque sabemos que la empresa debe tener su propia área de auditoría, ¿Cómo se puede diferenciar claramente la gestión del oficial de cumplimiento y la del auditor para que exista esa delimitación?”.

Estefany respondió en sus palabras “el oficial de cumplimiento es el actor protagonista de un sistema de cumplimiento: implementa, mantiene, valida y vela porque las funciones se cumplan adecuadamente. El rol del auditor, en cambio, es verificar la efectividad del sistema a través de auditorías programadas, que normalmente se realizan una vez al año”.

Explicó que en esas auditorías se revisan aspectos como la presentación de informes, el cumplimiento de reportes ante la UIAF y la comunicación a la superintendencia sobre la designación del oficial de cumplimiento. Recordó experiencias positivas en auditorías donde recibió buenas prácticas y enseñanzas, como la recomendación de documentar claramente en qué archivo o documento se encuentra cada control de la matriz de riesgos.

  • Inobservancia de indicadores de efectividad

Nuestra oficial de cumplimiento Estefany, señaló que no es muy común encontrar en las organizaciones la práctica de establecer indicadores dentro de los sistemas de cumplimiento. Explicó que esto depende en gran medida de la cultura estratégica de cada empresa: si cuenta con un área o un líder de proceso que periódicamente mide indicadores de acuerdo con la actividad de la organización, entonces el sistema se fortalece.

Comentó que, en su experiencia como consultora, le resulta muy valioso cuando en las reuniones participa el líder del área de calidad, pues su apoyo facilita la implementación y permite que el sistema se mejore continuamente a través de tablas de indicadores. Estos, dijo, son herramientas que ayudan a validar los requisitos que deben cumplirse dentro de los sistemas de cumplimiento.

Estefany recordó que las normas son claras en cuanto a ciertas obligaciones, como la capacitación de todos los empleados. Por eso, un indicador que no puede faltar es el de cumplimiento de capacitación anual. Relató que en una ocasión, al revisar sus indicadores, se dio cuenta de que un segmento de empleados no había podido asistir a las capacitaciones presenciales. Al año siguiente, ajustó su estrategia y cambió la metodología, demostrando cómo los indicadores permiten identificar brechas y mejorar el sistema.

Subrayó que los indicadores deben alinearse con el plan de trabajo y revisarse al inicio de cada año, ya que son insumos clave para definir cómo mejorar el sistema de cumplimiento. “Si no estoy viendo los resultados de esos indicadores, si no observo lo que me están tratando de decir, voy a seguir cometiendo errores críticos que finalmente pueden llevar a un incumplimiento o incluso a una sanción”, advirtió.

Finalmente, Estefany recomendó que, aunque la norma no exige explícitamente establecer indicadores, las organizaciones los adopten como una buena práctica. Señaló que los indicadores pueden traducirse de diferentes maneras y convertirse en un elemento clave dentro del informe de gestión anual del oficial de cumplimiento. De esta forma, el máximo órgano social puede revisarlos y pronunciarse sobre los avances y resultados del sistema.

 

Queda claro que los sistemas de cumplimiento no pueden entenderse como simples requisitos normativos, sino como estructuras vivas que requieren actualización, seguimiento y mejora continua. 

Esta ponencia nos invita a reflexionar y, sobre todo, a pasar de la teoría a la práctica: comprender el entorno, validar obligaciones, anticipar cambios, organizar actividades y medir resultados. El mensaje es claro: el cumplimiento no es un asunto exclusivo del oficial de cumplimiento o del auditor, sino una responsabilidad compartida que debe integrarse en la estrategia empresarial para garantizar sostenibilidad, confianza y credibilidad.

Recomendaciones por Estefany Rua:

Como conclusión de su intervención, Estefany Rua compartió una serie de recomendaciones prácticas que todo oficial de cumplimiento debería tener en cuenta para fortalecer su sistema:

  • Revisar matriz DOFA en conjunto con área legal.
  • Revisar y actualizar la matriz de riesgos de cumplimiento.
  • Definir plan o cronograma de trabajo con actividades, responsables y fechas claras.
  • Revisar y actualizar indicadores que permitan medir la efectividad del sistema.
  • Establecer presupuesto para la implementación o mantenimiento del sistema de cumplimiento.

Estas sugerencias hacen parte de la base para garantizar que los sistemas de gestión de riesgos no se queden en el papel, sino que se conviertan en herramientas vivas que aporten valor a la organización.

 

En Risks International continuaremos propiciando espacios para el diálogo, la reflexión y la formación que fortalezcan la cultura de cumplimiento en las organizaciones. Lo que nos importa es que las empresas estén preparadas, conscientes de sus obligaciones y tengan la habilidad de integrar los sistemas de gestión de riesgos como parte de su estrategia empresarial.

Porque el cumplimiento, más que una exigencia normativa, es un compromiso con la integridad y la reputación corporativa.

¡Revive el webinar completo!

Si quieres profundizar en cada uno de estos puntos y escuchar directamente las recomendaciones de Estefany Rua, te invitamos a ver la grabación del webinar.

Haz clic aquí y accede a la grabación del webinar.

¿Cree que el Compliance es caro? Piense en qué tan alto puede ser el costo de incumplir

No Replies on Errores críticos al iniciar el año en cumplimiento normativo: cómo evitarlos y fortalecer la estrategia 2026

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.