© 2025 huacujabetancourt.com

Más allá del “compliance” formal: Cómo detectar programas de cumplimiento simulados en proveedores y socios comerciales

HB GUIDE

Julio 23, 2025 | Artículo

por Andrés Huacuja Bucay

ABSTRACT: Un programa de cumplimiento que solo existe en el papel no es cumplimiento: es una fachada riesgosa. Este ensayo ofrece herramientas concretas para detectar simulaciones en terceros —desde directivos ausentes hasta manuales decorativos— y expone cómo el “compliance” formal sin sustancia puede convertirse en un riesgo legal y reputacional grave. Más allá de cubrir requisitos normativos, el texto es una invitación a CEOs y oficiales de cumplimiento a profesionalizar la ética corporativa, elevar sus estándares de diligencia y reconocer que la integridad real no se documenta: se demuestra.

Introducción

En la última década, los escándalos corporativos, desde fraudes financieros hasta sobornos transnacionales, han demostrado que no basta con tener un programa de cumplimiento en papel. Grandes multinacionales con manuales y códigos ostensiblemente robustos (por ejemplo, Siemens antes de 2008) fueron señaladas por autoridades por operar con “programas de cumplimiento de papel” carentes de eficacia real. En México, la entrada en vigor de la Ley General de Responsabilidades Administrativas (“LGRA”) incentivó a muchas empresas a adoptar políticas de integridad para mitigar sanciones legales. Sin embargo, tener la “forma” de un programa de cumplimiento no garantiza su “fondo”: un programa meramente formal puede cumplir requisitos regulatorios mínimos sin traducirse en cambios culturales u operativos efectivos. Para los directivos encargados de evaluar riesgos de terceros (proveedores, distribuidores, socios), esta distinción es crítica. Asociarse con un tercero cuyo “compliance” es simulado o una fachada conlleva riesgos severos, desde responsabilidad legal en esquemas anticorrupción internacionales, hasta daños reputacionales y financieros incalculables.

En este artículo examinamos, cómo se manifiestan los programas de cumplimiento simulados, cómo detectarlos a través de señales de alerta prácticas, y cuál es el contexto normativo que rodea esta problemática en México. La meta es armar a los profesionales de cumplimiento y a los CEOs con criterios para distinguir entre el cumplimiento meramente formal y aquel verdaderamente eficaz, fomentando así una diligencia debida más aguda en la gestión de riesgos de terceros.

Cumplimiento “de papel” vs. cumplimiento efectivo

El concepto de “paper compliance” o cumplimiento de papel se refiere a programas de cumplimiento que existen sólo nominalmente, es decir, en políticas y procedimientos escritos, pero sin impacto tangible en la conducta organizacional. Estas iniciativas suelen surgir para “marcar casillas” requeridas por la ley o por clientes corporativos, sin integrarse a la cultura ni a las operaciones diarias. Según expertos de Harvard, muchos empleados perciben los programas de compliance impuestos exclusivamente por formalidad como una serie de rutinas burocráticas y cursos obligatorios sin sentido,[1] desvinculados de los objetivos reales de la empresa. Un peligro inherente es la creación de una falsa sensación de seguridad: la alta dirección puede complacerse con la existencia del manual y del código de ética, asumiendo equivocadamente que con ello se previenen los riesgos, cuando en realidad la empresa permanece vulnerable.

Diversos estudios subrayan la diferencia entre cumplir con “la letra” y con “el espíritu” de las normas. Cary Coglianese y Jennifer Nash[2] advierten que los sistemas formales de cumplimiento (CMSs) tienden a ser eficaces sólo en presencia de una cultura organizacional alineada; de lo contrario, existe el riesgo de “decoupling” o desconexión entre las políticas escritas y las prácticas reales. En otras palabras, un programa puede cumplir técnicamente con los lineamientos (p. ej., tener un código de conducta, capacitación periódica, auditorías internas) y aun así fracasar en su propósito esencial de prevenir y detectar conductas indebidas. El Departamento de Justicia de EE. UU. ha enfatizado este punto al instruir a sus fiscales que evalúen si un programa es “solo de papel” o verdaderamente efectivo, examinando si la cultura de cumplimiento permea la organización o si sólo existe en manuales archivados.[3] De hecho, uno de los objetivos explícitos de la guía del DOJ es distinguir la apariencia de cumplimiento de un programa efectivo, indagando si la ética está inculcada en los valores de los empleados y respaldada por la alta dirección.

Un indicador crucial de autenticidad es el tono desde la cima (tone at the top). Cuando los líderes empresariales integran los valores de integridad en la estrategia y operaciones, dan vida al programa; si en cambio muestran indiferencia o priorizan metas comerciales a toda costa, el programa se convierte en un adorno inútil. Es decir, sin un compromiso genuino de los directivos, muchos compliance officers terminan relegados a un rol decorativo, y los empleados perciben las iniciativas éticas como ajenas a la “vida real” de la empresa. En síntesis, un programa de cumplimiento simulado suele caracterizarse por una separación entre el sistema formal y la realidad cultural: existe la política, pero no la práctica. Como se ha afirmado anteriormente: sin integridad, un programa de cumplimiento tendrá forma, pero no sustancia, y con el tiempo fallará en lograr sus objetivos.[4] La forma brinda una capa de legalidad aparente, pero sólo la sustancia una cultura de integridad arraigada previene efectivamente la mala conducta.

Manifestaciones de un programa simulado

Los programas de cumplimiento meramente formales pueden manifestarse de varias maneras reconocibles. A continuación, se exploran algunas de las manifestaciones típicas de un cumplimiento simulado:

  • Documentación impecable, pero aplicación deficiente: La empresa cuenta con códigos de conducta, manuales y procedimientos muy completos en papel, pero en la práctica estos documentos son ignorados o desconocidos por los empleados. Por ejemplo, se puede tener un código ético “modelo” debidamente publicado pero carecer de mecanismos para implementarlo efectivamente.[5] La existencia de políticas no va acompañada de capacitación real ni de difusión interna efectiva, quedando el código como mero adorno corporativo.
  • Estructura de cumplimiento sin empoderamiento: La organización ha creado un departamento de compliance o nombrado un oficial de cumplimiento, cumpliendo con lo “formal”, pero dicho órgano carece de autoridad, independencia o recursos para desempeñar su función. En ciertos casos, el Chief Compliance Officer puede depender jerárquicamente del mismo área de negocios al que debe monitorear, o tener múltiples cargos que diluyen su rol. Esto crea conflictos de interés y barreas para una supervisión efectiva.
  • Checklist corporativo vs. cultura viva: La empresa adopta estándares reconocidos (p. ej., certifica ISO 37001/37301) y realiza las actividades requeridas como cursos, evaluaciones, o auditorías, pero de forma mecánica y “punto por punto”. Falta un entendimiento profundo de los riesgos específicos del negocio y un compromiso adaptado a la realidad de la empresa. Los sistemas de cumplimiento basados exclusivamente en una mentalidad de ingeniería de sistemas como los checklists, pueden generar una “ilusión de cumplimiento” que no modifica realmente las conductas. En estas organizaciones “pintadas de ética”, el programa existe aislado, sin integrarse llegar al núcleo de la operación ni influir en la toma de decisiones cotidianas.
  • Ausencia de medidas disciplinarias reales: Un síntoma claro de simulación es que, pese a tener canales de denuncia y supuestos controles, nunca se reportan incidentes ni se sanciona a nadie. En la vida real, incluso las empresas más éticas enfrentan eventuales casos de incumplimiento o denuncias internas. Si una compañía reporta cero investigaciones, cero sanciones y cero ajustes al programa a lo largo del tiempo, probablemente estamos ante un cumplimiento de fachada. Puede ocurrir que existan canales de denuncia “de adorno”, pero sin protección real al denunciante o sin investigaciones independientes, lo que disuade su uso y mantiene una falsa apariencia de “empresa libre de faltas”.
  • Sobredocumentación y lenguaje ambiguo: Paradójicamente, algunos programas simulados intentan compensar su falta de efectividad con sobrecarga documental. Políticas excesivamente complejas, conceptos legales incomprensible para los empleados de base, o bibliotecas de procedimientos que nadie lee, son señales de un programa diseñado más para la auditoría externa que para la utilidad práctica. La regla de oro de un programa efectivo es la sencillez y claridad que facilite su adopción; lo contrario suele indicar un enfoque puramente cosmético.

En todas estas manifestaciones, subyace un elemento común: el programa de cumplimiento se “desacopla” de la realidad operativa. Este fenómeno ha sido ampliamente estudiado en la literatura organizacional y regulatoria, las empresas pueden adoptar estructuras formales como respuesta simbólica a presiones externas, sin el compromiso interno necesario para que dichas estructuras cobren vida. Para los evaluadores externos, reconocer estos síntomas tempranamente es crucial. A continuación, profundizamos en cómo detectar esas señales de alerta en nuestros proveedores y aliados.

Cómo detectar programas de cumplimiento simulados: señales de alerta

Identificar un programa de cumplimiento superficial en terceros requiere un escrutinio que vaya más allá de los documentos que la empresa provee. A diferencia de la simple verificación de “tiene código de ética”, o un “checklist completo”, el evaluador diligente debe buscar evidencia de implementación genuina. Algunas señales de alerta y estrategias de detección prácticas incluyen:

  • “Copy-paste” o falta de personalización: El programa de integridad del proveedor es una copia genérica, sin atender los riesgos propios de su industria o país. Documentos idénticos a modelos estándar (p.ej., lenguaje sacado de un manual tipo) sugieren que el cumplimiento se adoptó solo para cubrir el expediente y no como traje a la medida de la empresa. Un ejemplo común es encontrar políticas traducidas pobremente o incongruentes con la realidad local (señal de que fueron importadas sin adaptación).
  • Falta de involucramiento de la alta dirección: Si en las conversaciones de due diligence los directivos del tercero no pueden articular el contenido o la importancia de su programa de cumplimiento, o delegan todo el diálogo en asesores legales, es indicio de que el “tono desde la cima” es débil o nulo. El Departamento de Justicia de Estados Unidos de America explícitamente indaga si los gerentes han tolerado riesgos de cumplimiento en pos de nuevos negocios o mayores ingresos,[6]  cualquier señal de que la gerencia minimiza la ética frente a las ventas debe disparar alertas.
  • Recursos desproporcionadamente bajos: Un programa serio requiere inversión en personal calificado, sistemas y capacitación. Si un contratista mediano o grande no identifica a ningún responsable de cumplimiento a tiempo completo, o si dicho responsable carece de formación pertinente, autonomía o acceso al consejo de administración, el programa difícilmente será más que nominal. La guía del DOJ sugiere evaluar si la función de compliance tiene suficiente autoridad e independencia (por ejemplo, reporta al consejo o comité de auditoría, y no solo a gerentes operativos).[7]
  • Historial opaco o inexistente: Preguntar por el historial de cumplimiento del tercero puede revelar mucho. ¿Ha investigado y sancionado internamente casos de mala conducta? ¿Alguna vez ajustó sus políticas a raíz de un incidente o auditoría? Una respuesta negativa sistemática (o evasivas) indica que el programa “nunca se ensucia las manos”, quizá porque en realidad no funciona. Un programa auténtico demuestra un ciclo de mejora continua, por ejemplo, la empresa puede narrar cómo, tras detectar cierta deficiencia, reforzó controles o impartió entrenamiento adicional. La ausencia total de anécdotas de este tipo sugiere una fachada.
  • Desconocimiento en mandos medios y personal de línea: Durante la evaluación, es útil entrevistar, aunque sea informalmente, a empleados de distintos niveles del proveedor. Si nadie fuera del departamento legal conoce el código de ética o los canales de denuncia, difícilmente el programa esté vivo. Empleados que respondan con confusión o temor cuando se les pregunta por las políticas internas evidencian que no ha habido capacitación eficaz ni comunicación desde la gerencia. Un programa “real” se refleja en que el personal sepa qué se espera de él y confíe en los procesos.
  • Énfasis exclusivo en lo formal durante licitaciones: En el caso de proveedores que participan en contrataciones públicas o con multinacionales, es común que presenten voluminosos manuales de integridad al postular, pero si al profundizar en preguntas concretas (p.ej., “¿cómo evalúan a sus propios terceros?”, “¿cuándo fue su última capacitación en anticorrupción?”) responden con generalidades o contradicciones, es un fuerte indicio de cumplimiento simulado. Un caso real ilustrativo lo proporciona el Resource Guide de la Foreign Corrupt Practices Act (FCPA): la “Compañía A” aprobó la contratación de un distribuidor aun después de identificar red flags significativas, conformándose con cuestionarios de diligencia y declaraciones de cumplimiento que resultaron insuficientes frente a riesgos evidentes. Este ejemplo demuestra que confiar ciegamente en papeleo de terceros, sin corroborar su veracidad, puede ser desastroso.

En la detección de estas señales, la experiencia y el escepticismo sano son aliados del auditor de cumplimiento. Es esencial recordar que un programa auténtico generará evidencia tangible, más allá de los documentos: empleados conscientes, decisiones éticas comprobables, mejoras progresivas en controles, etc. Por el contrario, un programa ficticio quedará expuesto bajo escrutinio inquisitivo, ya que no podrá mostrar consistencia entre lo que dice y lo que hace. Para el evaluador internacional, la clave está en no quedarse en la superficie: realizar entrevistas, solicitar ejemplos concretos y, de ser posible, verificar independientemente la información (consultar fuentes abiertas sobre el historial del socio, realizar auditorías específicas, etc.). Estas prácticas de due diligence avanzada permiten formarse una imagen más fiel de si el socio comercial realmente “integra” el cumplimiento o solo lo actúa.

Contexto normativo: México y expectativas internacionales

México ha dado pasos firmes para fomentar la adopción de programas de cumplimiento en el sector privado, alineándose con tendencias internacionales anticorrupción. La Ley General de Responsabilidades Administrativas (LGRA), pieza central del Sistema Nacional Anticorrupción, establece que al evaluar la responsabilidad de una empresa en faltas graves (como cohecho), se considerará la existencia de una “política de integridad” y la eficacia de su implementación. En particular, el artículo 25 LGRA define que se entenderá por política de integridad aquella que cuente, al menos, con siete elementos básicos: desde “un manual de organización y procedimientos claro” y “un código de conducta difundido y con mecanismos de aplicación real”, hasta “sistemas de control, auditoría y denuncia”,[8] programas de capacitación, políticas de recursos humanos orientadas a la integridad, y mecanismos de transparencia en los intereses corporativos. Estos requisitos reflejan un consenso global sobre los componentes mínimos de un compliance eficaz. No obstante, la mera presencia formal de estos elementos no garantiza su efectividad, riesgo que el propio legislador reconoce implícitamente al exigir que, para valorar la responsabilidad, se analice si los mecanismos son “adecuados y eficaces”.[9] En la práctica, esto significa que si una empresa involucrada en corrupción alega tener un programa de integridad, las autoridades mexicanas evaluarán si dicho programa era sustancial o una simulación, al determinar sanciones.

En el plano internacional, las expectativas convergen en exigir sustancia por encima de forma. México es Estado Parte de la Convención Interamericana contra la Corrupción de la OEA, cuyo artículo III(f) compromete a los países a promover que las empresas privadas dispongan de controles internos suficientes para prevenir y detectar actos de corrupción, sujetos a verificación y auditoría apropiadas. De igual manera, estándares como la ISO 37001 (sistemas de gestión antisoborno) y la más reciente ISO 37301 (sistemas de gestión de compliance) enfatizan la necesidad de una cultura de integridad que atraviese a la organización. ISO 37301:2021, en particular, convirtió en requisitos certificables los lineamientos antes voluntarios de la ISO 19600, subrayando principios como el “liderazgo y compromiso” de la alta dirección, la debida diligencia en terceras partes y el mejoramiento continuo del sistema de cumplimiento. Si bien obtener una certificación puede ser un paso positivo, los expertos advierten que ningún sello externo exime a la empresa de demostrar día a día la efectividad de su programa, en otras palabras, la certificación no debe convertirse en un fin en sí mismo ni en una coartada para la complacencia.

Cabe señalar que reguladores de jurisdicciones como Estados Unidos y el Reino Unido esperan que las multinacionales extiendan sus estándares éticos a sus socios comerciales extranjeros. Bajo la normativa estadounidense (FCPA) y británica (UK Bribery Act), una empresa puede verse afectada por las faltas de sus intermediarios o asociados, especialmente si ignoró señales de alerta sobre la debilidad del compliance de éstos. Por ello, los inversionistas y ejecutivos internacionales que operan en México han incrementado el escrutinio a proveedores locales en materia de integridad. Muchas empresas globales ahora exigen contractualmente programas de cumplimiento efectivos a sus terceros y realizan auditorías periódicas para verificar su funcionamiento. Este es un incentivo poderoso para que las empresas mexicanas no se queden en el “cumplimiento cosmético”: un programa ficticio no sólo las expone a sanciones nacionales (la LGRA prevé multas millonarias y hasta inhabilitación para compañías corruptas), sino que puede costarles la pérdida de clientes internacionales y financiamiento, e incluso su involucramiento indirecto en procesos penales foráneos.

En síntesis, el contexto normativo tanto doméstico como internacional converge hacia una expectativa clara: los programas de cumplimiento deben ser auténticos, no simulados. México ha incorporado esta filosofía en su marco legal anticorrupción, y los organismos internacionales refuerzan la presión por la integridad corporativa real. Para las empresas, esto se traduce en la necesidad de pasar de la teoría a la práctica, no basta con cumplir “por encimita” con los siete elementos de la LGRA o con obtener un certificado, sino demostrar con hechos que el programa vive en la empresa. Y para los evaluadores externos, el mensaje es igualmente claro: no se dejen deslumbrar por el check-list, sino busquen la evidencia palpable de un compromiso ético genuino.

Conclusión: Hacia una diligencia más exigente y una cultura de integridad genuina

La distinción entre compliance formal y sustantivo no es un mero tecnicismo, sino un factor determinante del éxito o fracaso en la gestión de riesgos legales. Un programa de cumplimiento simulado puede ofrecer una tranquilidad ilusoria en el corto plazo, pero tarde o temprano las brechas entre la política y la práctica quedan expuestas, ya sea por un escándalo público, una investigación gubernamental o un incidente interno que sale a la luz. Por el contrario, un programa auténtico, arraigado en la cultura de la organización, actúa como un sistema nervioso vivo: detecta y reacciona ante las irregularidades, se adapta con aprendizaje continuo y, sobre todo, transmite un mensaje claro de arriba abajo de que la integridad es innegociable.

Para los CEOs y profesionales de cumplimiento, especialmente en México, el reto es ir más allá del cumplimiento superficial. Esto implica, en primer lugar, predicar con el ejemplo, ningún programa tendrá credibilidad si los socios o directores no encarnan ellos mismos los valores que pregonan. En segundo lugar, supone dedicar recursos reales: invertir en capacitación significativa (no solo cursos para la foto), en sistemas de control y denuncia confiables, y en auditorías internas que evalúen honestamente las fallas para corregirlas. Y tercer lugar, requiere abrirse a la escrutinio: permitir y fomentar que terceros de confianza (auditores externos, consultores, incluso socios comerciales) examinen nuestro programa y nos señalen áreas de mejora. Un cumplimiento efectivo no teme la transparencia, la busca.

Del lado de quienes evalúan a proveedores y socios, la recomendación es ejercer la diligencia debida con rigor y escepticismo constructivo. No asumir que un certificado o una política enviada por correo electrónico garantizan nada; más bien, verificar, corroborar y preguntar hasta estar razonablemente convencido de que el socio comparte un compromiso real con la legalidad y la ética. Esto puede significar tomar decisiones difíciles, como descartar un proveedor aparentemente competitivo en precio pero opaco en integridad. La experiencia global demuestra que las asociaciones forjadas sobre cimientos éticos débiles tarde o temprano cobran factura, ya sea en forma de multas, pérdidas financieras o un golpe irreparable a la reputación corporativa.

En conclusión, “más allá del compliance formal” no es solo el título de este ensayo, sino un llamado a la acción. Más allá implica cruzar la frontera de la complacencia burocrática y adentrarse en el terreno, a veces incómodo, pero fructífero, de la autoevaluación honesta y la mejora continua. Implica que tanto empresas mexicanas como internacionales eleven el estándar de lo que consideran un programa de cumplimiento aceptable. Si logramos detectar y desactivar los simulacros de cumplimiento a tiempo, reemplazándolos con programas vivos y efectivos, estaremos no solo protegiendo nuestros negocios de riesgos, sino también contribuyendo a un mercado más transparente, equitativo y confiable. La diligencia más exigente y la integridad genuina, al final del día, convergen en una misma idea: hacer lo correcto, incluso cuando nadie parece estar mirando, porque en la práctica siempre hay alguien mirando, sea la autoridad, el socio comercial o la sociedad en general, y porque la ética empresarial verdadera es, en sí misma, el mejor negocio a largo plazo.

[1] Hui Chen & Eugene Soltes, ‘Why Compliance Programs Fail—and How to Fix Them’ (Harvard Business Review, 2018)

[2] Cary Coglianese & Jennifer Nash, Compliance Management Systems: Do They Make a Difference? 25–27 (U. Pa. Program on Regulation, Research Paper No. 20-35, 2020)

[3] Stephen M. Cutler, Tone at the Top: Getting it Right, 1 Harv. L. Sch. F. on Corp. Gov. (Nov. 2004)

[4] Richard M. Steinberg, Governance, Risk Management, and Compliance 33 (John Wiley & Sons 2011).

[5] Ley General de Responsabilidades Administrativas. Art 25. Fr. I, II y III.

[6] U.S. Dep’t of Justice, Criminal Div., Evaluation of Corporate Compliance Programs, at 9 (Apr. 2019)

[7] Ibid.

[8] Op. Cit. Art 25. Fr. I, II y III.

[9] Ibid.

Bibliografía:

  1. A Resource Guide to the U.S. Foreign Corrupt Practices Act (DOJ/SEC 2d ed. 2020) at 65
  2. Cary Coglianese & Jennifer Nash, Compliance Management Systems: Do They Make a Difference? 25–27 (U. Pa. Program on Regulation, Research Paper No. 20-35, 2020) (destacando el riesgo de “paper programs” desconectados de la cultura corporativa).
  3. Convención Interamericana contra la Corrupción art. III(2)(f), 29 mar. 1996, O.A.S.T.S. No. 29
  4. Eugene Soltes, Evaluating the Effectiveness of Corporate Compliance Programs: Establishing a Model for Prosecutors, Courts, and Firms, 14 N.Y.U. J. L. & Bus. 965, 974–75 (2018)
  5. Hui Chen & Eugene Soltes, Why Compliance Programs Fail—And How to Fix Them, Harv. Bus. Rev., Mar.–Apr. 2018, at 2
  6. International Organization for Standardization, ISO 37301:2021 Compliance Management Systems – Requirements with Guidance for Use (Apr. 2021)
  7. Ley General de Responsabilidades Administrativas, DOF 18-07-2016, art. 25 (Mex.)
  8. Stephen M. Cutler, Tone at the Top: Getting it Right, 1 Harv. L. Sch. F. on Corp. Gov. (Nov. 2004)
  9. U.S. Dep’t of Justice, Criminal Div., Evaluation of Corporate Compliance Programs, at 9 (Apr. 2019)

¡Nos encanta conectar contigo!

Contacto
  • contacto@hbhm.com
  • +52 (55) 55 59 21 61
  • Providencia 1431, Col. Del Valle, Benito Juárez, Ciudad de México, México, C.P. 03100
2025 © Huacuja Betancourt y Haw Mayer Abogados, S.C. | Aviso de Privacidad y Uso de Cookies