Si su empresa ya cuenta con el canal de denuncias y quiere hacer una denuncia puede hacerla aquí.

Denunciar

Si su empresa ya cuenta con el canal de denuncias y quiere hacer una denuncia puede hacerla aquí.

Denunciar

Using Framer React Export version 2.25.3
Using Framer React Export version 2.25.3

Blog

Compliance

SARLAFT, SAGRILAFT y PTEE: por qué cumplir no alcanza para gestionar riesgos

SARLAFT, SAGRILAFT y PTEE: por qué cumplir no alcanza para gestionar riesgos

Compliance

5 minutos

-

2026-04-24

Blog

Compliance

SARLAFT, SAGRILAFT y PTEE: por qué cumplir no alcanza para gestionar riesgos

SARLAFT, SAGRILAFT y PTEE: por qué cumplir no alcanza para gestionar riesgos

Compliance

5 minutos

-

2026-04-24

Blog

Compliance

SARLAFT, SAGRILAFT y PTEE: por qué cumplir no alcanza para gestionar riesgos

SARLAFT, SAGRILAFT y PTEE: por qué cumplir no alcanza para gestionar riesgos

Compliance

5 minutos

-

2026-04-24

Using Framer React Export version 2.25.3

Cumplir con SARLAFT, SAGRILAFT y PTEE no garantiza que una empresa gestione correctamente sus riesgos. La diferencia entre cumplimiento y gestión es una de las principales brechas del compliance en Colombia.

En una entrevista con Resguarda, Ricardo Vázquez Bernal, Jefe de Consultoría de Baker Tilly, analiza por qué muchas organizaciones cumplen con la normativa pero no logran responder eficazmente ante situaciones reales.

Muchas empresas hacen el mínimo necesario para demostrar que la norma aplica… pero de eso no se trata.” — Ricardo Vázquez Bernal, Baker Tilly

¿Cumplir con SARLAFT, SAGRILAFT y PTEE es suficiente?

No. Cumplir con SARLAFT, SAGRILAFT y PTEE es necesario, pero no suficiente para gestionar riesgos.

El cumplimiento asegura que la organización:

  • tenga políticas
  • implemente controles
  • documente procesos

Pero no garantiza que:

  • identifique riesgos reales
  • actúe con criterio ante una denuncia
  • tome decisiones efectivas
Cumplir no es lo mismo que mitigar riesgos.” — Ricardo Vázquez Bernal

Diferencia entre cumplimiento y gestión de riesgos en compliance

El cumplimiento regulatorio se enfoca en implementar requisitos. La gestión de riesgos se enfoca en prevenir, detectar y responder a situaciones reales.

Cumplimiento regulatorio

  • Implementa lo exigido por la norma
  • Documenta procesos
  • Responde a auditorías

Gestión de riesgos

  • Analiza cómo se materializan los riesgos
  • Detecta fallas operativas
  • Mejora la toma de decisiones

¿Por qué las empresas cumplen pero no gestionan riesgos?

Las principales causas en Colombia son:

  • Enfoque en auditoría, no en operación
  • Sistemas que no se actualizan dinámicamente
  • Falta de capacitación práctica
  • Baja integración entre áreas
El problema no es tener el sistema. Es qué tan preparado estás para cuando realmente lo necesitas.” — Ricardo Vázquez Bernal

SARLAFT y SAGRILAFT: problemas comunes en la implementación

Los errores más frecuentes en SARLAFT y SAGRILAFT no están en la implementación, sino en su uso.

Fallas habituales

  • Matrices de riesgo desactualizadas
  • Controles que no reflejan la operación
  • Falta de conexión con decisiones del negocio

Consecuencia

El sistema existe, pero no gestiona riesgos de forma efectiva.

PTEE: qué falla en la práctica

El principal problema del PTEE es que muchas veces no impacta en la toma de decisiones.

Brechas comunes

  • Falta de apropiación en mandos medios
  • Cultura ética débil en situaciones reales
  • Capacitación teórica, no aplicada

Investigaciones internas: por qué son clave en compliance

Las investigaciones internas son el principal indicador de la madurez de un programa de compliance.

Permiten:

  • identificar causas raíz
  • detectar fallas sistémicas
  • prevenir recurrencias
Capacitar en investigaciones internas no es opcional. Es lo que define cómo responde una empresa cuando aparece un problema.” — Ricardo Vázquez Bernal

Canal de denuncias: ¿requisito o herramienta estratégica?

El canal de denuncias puede ser un requisito formal o una herramienta clave de gestión de riesgos, dependiendo de cómo se utilice.

Uso básico (cumplimiento)

  • recepción de denuncias
  • gestión de casos

Uso estratégico

  • detección temprana de riesgos
  • análisis de patrones
  • mejora de controles
El canal no es solo un requisito. Es una de las principales fuentes de información que tiene la organización.”— Ricardo Vázquez Bernal

El mayor riesgo en compliance: la falsa sensación de seguridad

El principal riesgo no es incumplir, sino creer que el cumplimiento es suficiente.

Esto genera:

  • exceso de confianza
  • baja preparación ante crisis
  • decisiones inconsistentes
El compliance real se ve cuando hay un problema. No cuando todo está en orden.”— Ricardo Vázquez Bernal

¿Qué hacen diferente las empresas con compliance maduro?

Las organizaciones más avanzadas en Colombia:

  • integran SARLAFT, SAGRILAFT y PTEE en la operación
  • utilizan el canal de denuncias como fuente de información
  • profesionalizan las investigaciones internas
  • capacitan para la toma de decisiones
  • actualizan riesgos de forma continua

Ver entrevista completa

Este artículo resume algunos de los principales insights de la entrevista con Ricardo Vázquez Bernal, donde se profundiza en:

  • errores en la implementación de SARLAFT, SAGRILAFT y PTEE
  • cómo responden las empresas ante situaciones reales
  • qué diferencia a un compliance formal de uno efectivo

👉 Ver entrevista completa

Conclusión

Cumplir con SARLAFT, SAGRILAFT y PTEE es el punto de partida del compliance en Colombia. La verdadera diferencia está en la capacidad de gestionar riesgos, tomar decisiones y responder eficazmente ante problemas reales.

Notas relacionadas

5 consejos para construir una cultura ética en su compañía

Etica

5 minutos

-

2025-03-05

5 consejos para construir una cultura ética en su compañía

En este artículo encontrará 5 consejos para promover una cultura ética e inclusiva dentro de su organización.

Ver más