Compliance Ley 20.393: lo que todo director debe verificar antes de que llegue la fiscalización

La Ley 20.393 no es solo un programa de papeles. Es un sistema de gobierno que el directorio debe supervisar activamente. Este checklist cubre los 8 elementos que los fiscalizadores revisan primero y los errores más frecuentes en empresas medianas chilenas.

La Ley 20.393 establece la responsabilidad penal de las personas jurídicas en Chile por delitos de cohecho, lavado de activos y financiamiento del terrorismo — extendida posteriormente a otros delitos como receptación, negociación incompatible y corrupción entre privados. Desde su entrada en vigencia, la pregunta que más escucho de directores y gerentes generales de empresas medianas no es si deben tener un programa de compliance, sino si el programa que tienen realmente los protege.

La respuesta honesta es que la mayoría de los programas de compliance en empresas medianas chilenas son programas de documentación, no programas de prevención. Tienen un manual, un código de ética y un canal de denuncias — pero el directorio no supervisa activamente el sistema, el encargado de prevención no tiene independencia real, y los controles no están integrados en los procesos operacionales donde ocurren los riesgos.

Lo que la ley exige versus lo que la mayoría tiene

El artículo 4 de la Ley 20.393 define los requisitos del modelo de prevención: designación de un encargado de prevención con autonomía e independencia, identificación de actividades y procesos de riesgo, establecimiento de protocolos y procedimientos específicos, supervisión y certificación del sistema. Lo relevante para el directorio es que la ley exige que el modelo sea adoptado y supervisado por la dirección de la organización — no delegado completamente al área legal o a un consultor externo.

Los 8 elementos que los fiscalizadores revisan primero

• Resolución del directorio que adopta formalmente el modelo de prevención — con fecha, firmas y acta de sesión. Sin este documento, el programa no existe legalmente independiente de lo que diga el manual.
• Nombramiento del Encargado de Prevención de Delitos (EPD) con definición explícita de sus facultades, presupuesto asignado y línea de reporte directa al directorio o a un comité de directores.
• Matriz de riesgos actualizada en los últimos 12 meses que identifique los procesos con mayor exposición a los delitos de la ley y los controles asociados a cada riesgo.
• Evidencia de capacitación al personal en los últimos 12 meses — con registro de asistencia, contenidos impartidos y evaluación de comprensión. La capacitación solo al área legal no es suficiente.
• Canal de denuncias operativo con garantía de confidencialidad y no represalia — con evidencia de que al menos una denuncia ha sido recibida y gestionada, o de que el canal ha sido comunicado activamente al personal.
• Registros de supervisión del directorio sobre el funcionamiento del modelo — actas de sesión donde se revisó el informe del EPD, indicadores de cumplimiento o resultados de auditorías internas al programa.
• Procedimientos de due diligence para terceros de alto riesgo — proveedores, agentes comerciales, socios de negocios — con criterios documentados para la evaluación y aprobación de estas relaciones.
• Certificación del modelo por una entidad acreditada, si la empresa opera en sectores regulados o tiene contratos con el Estado. La certificación no es obligatoria pero es el estándar que distingue un programa robusto de uno cosmético.

Los errores más frecuentes en empresas medianas

El error más frecuente es el EPD sin independencia real. En la mayoría de las empresas medianas el encargado de prevención es el mismo gerente legal o el gerente de administración y finanzas — personas con conflictos de interés estructurales para reportar problemas al directorio sobre áreas que ellos mismos supervisan. La ley exige independencia funcional: el EPD debe poder reportar directamente al directorio sin filtros de la administración.

El segundo error es la matriz de riesgos estática. Una matriz elaborada en 2021 y no actualizada no refleja los cambios en el modelo de negocio, nuevos socios comerciales, expansión a nuevas líneas de producto o cambios regulatorios. Los fiscalizadores preguntan la fecha de la última actualización y quién la aprobó. Una matriz con más de 24 meses sin revisión es una señal de alerta inmediata sobre la seriedad del programa.

El tercer error es no integrar los controles en los sistemas operacionales. Un procedimiento de due diligence a proveedores que existe en un manual pero no está incorporado en el proceso de aprobación de nuevos proveedores en el ERP Corporativo no es un control — es una declaración de intenciones. Los controles que previenen delitos son los que hacen imposible o muy difícil completar una transacción de riesgo sin activar una alerta o requerir una aprobación adicional.

El rol activo del directorio: lo que las actas deben mostrar

La responsabilidad penal de la persona jurídica se excluye cuando el delito fue cometido eludiendo fraudulentamente los controles del modelo de prevención — pero solo si el modelo es genuinamente robusto y supervisado. Esto significa que el directorio necesita evidencia documentada de su supervisión activa: actas que muestren revisión periódica de los informes del EPD, preguntas sobre indicadores de cumplimiento, decisiones sobre recursos asignados al programa y seguimiento de los compromisos de mejora.

La frecuencia mínima recomendada es revisión trimestral del estado del programa en sesión de directorio, con informe escrito del EPD que incluya: número de denuncias recibidas y estado de cada una, resultado de auditorías internas a procesos de alto riesgo, avance en el plan de capacitación, y alertas sobre cambios en el perfil de riesgo de la organización.

Cómo integrar los controles de compliance en el ERP Corporativo: los 3 puntos de control críticos

Un programa de compliance que existe solo en documentos pero no está integrado en los sistemas operacionales es un programa que no previene — solo documenta. La diferencia entre un control real y una declaración de intenciones es que el control real hace imposible o muy difícil completar una operación de riesgo sin activar una alerta o requerir una aprobación adicional. En un ERP Corporativo, esto se traduce en tres puntos de control que deben estar configurados antes de que llegue cualquier revisión externa.

• Aprobación de proveedores nuevos — bloqueo en el módulo de compras del ERP Corporativo hasta completar el proceso de due diligence documental: verificación de identidad del proveedor, consulta en listas de sanciones internacionales (OFAC, ONU), declaración de conflicto de interés firmada por el ejecutivo que propone al proveedor, y aprobación del Encargado de Prevención de Delitos. El proveedor no puede recibir órdenes de compra ni pagos mientras el expediente no esté completo y aprobado. Este control elimina el riesgo de que la urgencia operacional lleve a saltarse el procedimiento.
• Pagos a terceros sensibles — doble autorización en el módulo financiero del ERP Corporativo para pagos que superen umbrales definidos por la empresa, con trazabilidad completa de quién aprobó cada transacción y en qué fecha. Los umbrales deben ser definidos por el directorio y revisados anualmente. La trazabilidad de aprobadores es el elemento que permite demostrar ante una fiscalización que cada pago significativo tuvo supervisión independiente — no solo quien lo ejecutó, sino quien lo autorizó y bajo qué criterio.
• Contratos con partes relacionadas — alerta automática en el ERP Corporativo cuando el RUT del proveedor, cliente o contraparte coincide con el RUT de socios, directores, gerentes o sus parientes directos registrados en la tabla de partes relacionadas de la empresa. Este control previene el delito de negociación incompatible — uno de los delitos incorporados en las modificaciones recientes a la Ley 20.393 — y genera un registro automático de todas las transacciones con partes relacionadas que facilita la preparación del informe anual exigido por la CMF para empresas que reportan a ese regulador.

La configuración de estos controles en el ERP Corporativo requiere coordinación entre el área de compliance, el área financiera y el equipo de tecnología — y en muchos casos, el apoyo de un consultor con conocimiento simultáneo de los requerimientos legales de la Ley 20.393 y de la arquitectura técnica del sistema. El resultado es un programa de compliance que no depende de que las personas recuerden seguir un procedimiento, sino que el sistema hace que el procedimiento sea el único camino posible.

Cuándo un diagnóstico externo agrega valor real

Un diagnóstico externo del modelo de prevención agrega valor real en tres situaciones: cuando la empresa no ha revisado su programa en más de 18 meses, cuando ha habido cambios significativos en el modelo de negocio o en la propiedad, y cuando el directorio quiere una evaluación independiente antes de una transacción de M&A o de presentarse a licitaciones con el Estado. En AB Advisory realizamos diagnósticos del modelo de prevención con foco en los elementos que los fiscalizadores y los compradores en procesos de due diligence revisan primero — entregando un informe ejecutivo al directorio con hallazgos priorizados y un plan de acción concreto.