Por qué confundir Auditoría, Control Interno y Compliance suele ser el verdadero origen del riesgo penal en la empresa
En el mundo empresarial hay una pregunta que casi siempre se formula tarde: cuando la organización ya enfrenta una investigación fiscal, una sanción administrativa o una crisis reputacional.
¿Quién tenía que evitar esto?
La respuesta llega casi por reflejo, el área legal, Control Interno o, con más frecuencia, el Gerente General. Pero esa urgencia por encontrar un responsable inmediato suele tapar un problema más profundo: la organización nunca definió con claridad quién debía hacer qué.
En los últimos años, muchas empresas crearon áreas de Compliance, reforzaron sus sistemas de Control Interno o implementaron unidades de Auditoría Interna. La paradoja es que, mientras más desarrollaron estas funciones, más se extendió una confusión costosa: dar por hecho que las tres cumplen el mismo propósito.
Nada más lejos de la realidad.
Compliance, Auditoría Interna y Control Interno forman parte de un mismo sistema de gestión de riesgos, pero cumplen funciones radicalmente distintas. Confundirlas no solo genera ineficiencias: debilita la capacidad de la empresa para prevenir responsabilidades administrativas, civiles e incluso penales.
Tres funciones, tres lógicas distintas
| Compliance | Control Interno | Auditoría Interna |
| Administra el riesgo regulatorio y ético | Administra el riesgo operativo | Evalúa, con independencia, si el sistema funciona |
| Previene. No investiga delitos ya cometidos. | Controla procesos, no personas. | No diseña ni implementa; verifica eficacia. |
- Compliance administra el riesgo regulatorio y ético. Su naturaleza es preventiva: identifica riesgos legales, promueve una cultura de integridad, implementa políticas corporativas y supervisa el cumplimiento del marco normativo. Su objetivo no es descubrir delitos ya cometidos, sino reducir la probabilidad de que ocurran.
- Control Interno administra el riesgo operativo. Diseña procedimientos, establece controles y fortalece los procesos. No controla personas; controla procesos. Busca reducir errores y dificultar que se materialicen los riesgos ya identificados.
- Auditoría Interna evalúa, con independencia, si todo lo anterior funciona. No diseña controles ni implementa políticas ni administra riesgos. Su función es verificar si el sistema diseñado por la organización realmente opera y si las medidas resultan eficaces.
Por eso es un error esperar que el Oficial de Cumplimiento actúe como investigador interno cada vez que aparece una irregularidad. Cuando una organización le entrega a Compliance la responsabilidad exclusiva de detectar fraudes o descubrir actos de corrupción, le está pidiendo algo para lo que esa función nunca fue diseñada.
Cuando las tres conservan su autonomía y actúan coordinadas, la empresa fortalece de manera notable su capacidad de prevención. El problema surge cuando las fronteras desaparecen: Auditoría termina diseñando controles, Compliance ejecuta auditorías y Control Interno asume investigaciones disciplinarias. Esa superposición crea zonas grises de responsabilidad que golpean directamente la eficacia del sistema.
Lo que se revisa cuando llega la investigación
Aquí la distinción deja de ser teórica. Desde mi experiencia observando cómo se construyen las investigaciones penales contra personas jurídicas, puedo afirmar algo con certeza: cuando una empresa es investigada, el análisis ya no se limita solo a verificar si existe un código de ética o un manual de cumplimiento. La discusión real gira en torno a la eficacia del sistema.
La autoridad revisará si los riesgos fueron correctamente identificados, si existían controles adecuados para mitigarlos, si las alertas se atendieron a tiempo y si los mecanismos de supervisión funcionaban de verdad y no solo en el papel.
Y esto no es un ejercicio abstracto. La Ley N° 30424 —que regula la responsabilidad administrativa de las personas jurídicas— establece que la empresa puede quedar exenta de responsabilidad si adoptó e implementó, antes de la comisión del delito, un modelo de prevención idóneo para su naturaleza, riesgos y características. Más aún: cuando una empresa investigada alega contar con un modelo de prevención, corresponde que la Superintendencia del Mercado de Valores (SMV) emita un informe técnico sobre ese modelo. Es decir, la existencia formal del programa no basta: se examina si funcionaba.
Es en ese momento cuando muchas organizaciones descubren que habían confundido tener documentos con tener un sistema de prevención.
Un patrón que se repite
Un ejemplo ilustra bien el problema. Una empresa con presencia relevante en su sector tenía, en el papel, todo lo esperable: un área de Compliance, un comité, un canal de denuncias. Cuando surgió una alerta interna sobre pagos irregulares, nadie la procesó a tiempo: Compliance asumió que era materia de Auditoría, Auditoría entendió que le tocaba a Control Interno, y Control Interno lo trató como un tema disciplinario de Recursos Humanos. La alerta existió; el sistema para actuar sobre ella, no. Cuando el caso escaló a sede fiscal, la empresa tenía todos los documentos y, aun así, ningún sistema que demostrar.
(Caso ilustrativo; cualquier semejanza con una organización real es coincidencia.)
La pregunta correcta, en el momento correcto
La experiencia muestra que las investigaciones penales corporativas rara vez nacen de la ausencia total de controles. Con más frecuencia nacen de sistemas mal diseñados, funciones superpuestas y responsabilidades difusas que impiden identificar el riesgo a tiempo y decidir con eficacia.
Por eso la pregunta relevante no debería aparecer cuando la Fiscalía ya inició la investigación. Debería hacerse mucho antes:
¿Nuestra organización entiende de verdad la diferencia entre prevenir el riesgo, controlarlo y evaluar si el sistema funciona?
Porque en materia de responsabilidad penal empresarial, la mejor defensa no empieza cuando aparece un fiscal. Empieza el día en que la empresa entiende que Compliance, Auditoría Interna y Control Interno no compiten entre sí: son tres pilares distintos e indispensables de un mismo sistema de integridad.
Si en su organización no está claro dónde termina una función y empieza la otra, ese es, probablemente, el mejor lugar para empezar a revisar.
Diana Soto Zavala
Socia – Derecho Penal Corporativo, Compliance e Investigaciones Internas
Villanueva & Soto Abogados
