Compliance empresarial: qué es y cómo implementarlo en Perú

¿Qué es el compliance empresarial?

El compliance empresarial, también conocido como cumplimiento corporativo, es el conjunto de políticas, procedimientos, controles y buenas prácticas que una empresa implementa para asegurar el cumplimiento de sus obligaciones legales, tributarias, laborales, regulatorias, contractuales y éticas.

En términos simples, el compliance busca que la organización opere dentro del marco normativo aplicable y reduzca el riesgo de incurrir en sanciones, fraudes, actos de corrupción, contingencias tributarias o daños reputacionales.

En el contexto peruano, el compliance no debe verse solo como una exigencia de grandes corporaciones. Hoy también es una necesidad para PYMES, empresas familiares, ONGs, asociaciones, fundaciones, contratistas del Estado y empresas que trabajan con clientes internacionales.

¿Por qué el compliance es importante en Perú?

En Perú, las empresas enfrentan un entorno regulatorio cada vez más exigente. SUNAT, SUNAFIL, SBS, SMV, OSCE, municipalidades y otros organismos supervisores han fortalecido sus mecanismos de fiscalización. A ello se suma una mayor exigencia de transparencia por parte de bancos, inversionistas, cooperantes y socios comerciales.

Un programa de compliance bien diseñado ayuda a la empresa a:

• Prevenir multas y sanciones por incumplimientos normativos.
• Reducir riesgos penales y administrativos.
• Fortalecer el control interno y la trazabilidad de las operaciones.
• Mejorar la reputación corporativa frente a clientes, proveedores y entidades financieras.
• Facilitar auditorías externas e internas.
• Promover una cultura ética dentro de la organización.

Por ejemplo, una empresa que no documenta adecuadamente sus gastos puede enfrentar reparos tributarios en una fiscalización de SUNAT. Del mismo modo, una organización que no implementa controles sobre pagos a terceros puede exponerse a riesgos de corrupción o lavado de activos.

Marco legal del compliance en Perú

Si bien en Perú no existe una sola “Ley General de Compliance Empresarial”, sí existe un conjunto de normas que obligan a las empresas a implementar controles y mecanismos de prevención.

1. Responsabilidad penal de la persona jurídica

Un punto clave es la Ley N.° 30424, Ley que regula la responsabilidad administrativa de las personas jurídicas, modificada por el Decreto Legislativo N.° 1352 y la Ley N.° 30835. Esta norma establece responsabilidad para las personas jurídicas por determinados delitos, especialmente vinculados con corrupción, lavado de activos y financiamiento del terrorismo.

El aspecto más relevante para fines de compliance es que la ley reconoce la importancia de un modelo de prevención adecuado para mitigar o incluso eximir responsabilidad, dependiendo del caso.

En particular, el artículo 17 de la Ley N.° 30424 regula los elementos mínimos del modelo de prevención, entre ellos:

• Identificación, evaluación y mitigación de riesgos.
• Encargado de prevención.
• Procedimientos de denuncia.
• Difusión y capacitación periódica.
• Evaluación y monitoreo continuo del modelo.

2. Código Penal y delitos empresariales

El compliance también se relaciona con la prevención de delitos previstos en el Código Penal peruano, como cohecho, colusión, lavado de activos, fraude en la administración de personas jurídicas y delitos contables o tributarios.

Una empresa con controles débiles puede no detectar pagos indebidos, facturación falsa, apropiación de fondos o simulación de operaciones.

3. Normativa tributaria y deber de control

Desde el punto de vista tributario, el compliance ayuda a asegurar el correcto cumplimiento del Texto Único Ordenado del Código Tributario, aprobado por Decreto Supremo N.° 133-2013-EF. Por ejemplo:

• El artículo 87 regula las obligaciones de los administrados, incluyendo llevar libros y registros, emitir comprobantes de pago y proporcionar información a la Administración Tributaria.
• El artículo 175 tipifica infracciones relacionadas con libros y registros.
• El artículo 176 regula infracciones vinculadas con la presentación de declaraciones.
• El artículo 178 contempla infracciones por declarar cifras o datos falsos.

Un programa de compliance tributario permite identificar errores antes de una fiscalización y corregirlos oportunamente.

4. Seguridad y salud en el trabajo

La Ley N.° 29783, Ley de Seguridad y Salud en el Trabajo, establece obligaciones claras para los empleadores en materia de prevención. El artículo 49, por ejemplo, regula obligaciones del empleador vinculadas con la protección de la seguridad y salud de los trabajadores.

En la práctica, esto implica controles, capacitaciones, matrices IPERC, registros obligatorios y supervisión continua. La ausencia de estas medidas puede derivar en sanciones de SUNAFIL y contingencias civiles o penales.

5. Prevención de lavado de activos

Dependiendo del sector, algunas empresas están sujetas a obligaciones específicas de prevención de lavado de activos y financiamiento del terrorismo, bajo supervisión de la UIF-Perú y la SBS. Esto es especialmente relevante para sujetos obligados como entidades financieras, inmobiliarias, notarios, casas de cambio y otros sectores regulados.

Compliance y control interno: una relación directa

El compliance no reemplaza al sistema de control interno; lo complementa y fortalece. Mientras el control interno busca asegurar la eficiencia operativa, confiabilidad de la información y cumplimiento normativo, el compliance pone un foco más específico en la prevención de incumplimientos y conductas indebidas.

Desde la perspectiva de auditoría, esta relación puede entenderse mejor a la luz de la NIA 315, “Identificación y valoración de los riesgos de incorrección material mediante el conocimiento de la entidad y de su entorno”, que exige comprender el sistema de control interno de la entidad para identificar riesgos relevantes.

Asimismo, la NIA 250, “Consideración de las disposiciones legales y reglamentarias en la auditoría de estados financieros”, recuerda que el cumplimiento legal puede tener efectos directos e indirectos en los estados financieros.

Por ello, una empresa con un programa de compliance sólido suele presentar mejores condiciones de control, menor exposición a contingencias y mayor orden documental para una auditoría financiera o tributaria.

Elementos clave de un programa de compliance empresarial

1. Compromiso de la alta dirección

Ningún programa funciona si la gerencia y los accionistas no lo respaldan. El llamado tone at the top es fundamental. Si la dirección tolera pagos informales, contratos sin sustento o prácticas laborales deficientes, el compliance será meramente formal.

La alta dirección debe aprobar políticas, asignar recursos y exigir reportes periódicos.

2. Identificación y evaluación de riesgos

Cada empresa tiene riesgos distintos según su tamaño, sector, ubicación y modelo de negocio. Una constructora que contrata con el Estado no enfrenta los mismos riesgos que una ONG que administra fondos de cooperación internacional o una empresa comercial con alto volumen de efectivo.

Entre los riesgos más comunes en Perú están:

• Riesgos tributarios por deducciones no sustentadas.
• Riesgos laborales por incumplimientos en planillas o seguridad y salud.
• Riesgos de corrupción en compras y contrataciones.
• Riesgos de lavado de activos en operaciones inusuales.
• Riesgos contables por registros incompletos o tardíos.
• Riesgos reputacionales por conflictos de interés o denuncias internas.

3. Políticas y procedimientos

Los riesgos identificados deben traducirse en documentos claros y aplicables, por ejemplo:

• Código de ética.
• Política anticorrupción.
• Política de conflictos de interés.
• Política de regalos, viáticos y atenciones.
• Procedimientos de compras y selección de proveedores.
• Política de cumplimiento tributario y documental.
• Canal de denuncias y protocolo de investigación.

4. Encargado o responsable de compliance

Dependiendo del tamaño de la empresa, puede existir un oficial de cumplimiento, un comité o una función asignada a gerencia legal, auditoría interna o control interno. Lo importante es que tenga independencia razonable, acceso a información y capacidad de reporte.

5. Capacitación y comunicación

Las políticas no sirven si nadie las conoce. Es indispensable capacitar al personal, directores y, en algunos casos, a terceros críticos como proveedores o consultores.

En Perú, es común encontrar manuales bien elaborados que nunca fueron socializados. Eso debilita cualquier defensa frente a una investigación o fiscalización.

6. Monitoreo y mejora continua

El compliance debe revisarse periódicamente. Cambios en la normativa, crecimiento del negocio, nuevas líneas de servicio o resultados de auditorías pueden exigir ajustes.

En este punto resulta útil la NIA 265, “Comunicación de las deficiencias en el control interno a los responsables del gobierno y a la dirección de la entidad”, ya que las observaciones de auditoría pueden convertirse en insumos directos para fortalecer el programa de cumplimiento.

Tabla comparativa: empresa sin compliance vs empresa con compliance

¿Cómo implementar compliance empresarial en Perú?

1. Realizar un diagnóstico inicial

El primer paso es evaluar la situación actual de la empresa. Esto incluye revisar:

• Estructura societaria.
• Procesos críticos.
• Obligaciones legales aplicables.
• Contratos relevantes.
• Controles existentes.
• Hallazgos de auditorías previas.
• Contingencias tributarias, laborales o regulatorias.

Este diagnóstico permite priorizar riesgos y no implementar controles genéricos que luego no se aplican.

2. Elaborar una matriz de riesgos de compliance

La matriz debe identificar probabilidad, impacto, controles existentes y acciones de mitigación. En una empresa peruana mediana, por ejemplo, puede incluir riesgos asociados a:

• Uso de comprobantes no fehacientes.
• Pagos sin orden de compra aprobada.
• Contratación de personal sin documentación completa.
• Proveedores vinculados no declarados.
• Gastos de representación sin sustento.

3. Diseñar políticas y controles

Los controles deben ser realistas. No se trata de llenar la empresa de formatos, sino de establecer puntos de validación efectivos. Por ejemplo:

• Todo pago mayor a S/ 5,000 requiere doble aprobación.
• Todo proveedor nuevo pasa por validación de RUC, cuenta bancaria y antecedentes básicos.
• Los gastos deducibles deben contar con comprobante válido y evidencia de causalidad.
• Los contratos con consultores deben incluir cláusulas anticorrupción.

4. Implementar un canal de denuncias

El canal puede ser un correo, plataforma externa o buzón administrado con independencia. Debe permitir reportar hechos como sobornos, conflictos de interés, acoso, manipulación contable o uso indebido de fondos.

Lo importante es que exista un protocolo de atención, investigación y cierre.

5. Capacitar al personal

La capacitación debe adaptarse por niveles. No se capacita igual a gerencia, al área contable, a logística o a recursos humanos. Cada área requiere ejemplos concretos de sus riesgos.

6. Medir y actualizar

Un programa de compliance debe tener indicadores, por ejemplo:

• Número de incidencias reportadas.
• Porcentaje de personal capacitado.
• Pagos observados por falta de sustento.
• Hallazgos recurrentes de auditoría.
• Tiempo promedio de atención de denuncias.

Ejemplo práctico: empresa comercial en Lima

Una empresa importadora y comercializadora con ventas anuales de S/ 12 millones fue notificada por SUNAT para una revisión parcial del Impuesto a la Renta. Durante la revisión se detectó que varios gastos por movilidad, representación y servicios de terceros no contaban con evidencia suficiente de causalidad ni conformidad del servicio.

Además, algunos proveedores presentaban inconsistencias en sus domicilios fiscales y no existía un procedimiento formal de homologación.

Como resultado, la empresa enfrentó reparos tributarios, riesgo de multas y una observación importante en su auditoría financiera.

Tras ello, implementó un programa de compliance básico con:

• Política de sustento documental de gastos.
• Validación de proveedores antes de contratar.
• Aprobación escalonada de pagos.
• Capacitación al área administrativa y contable.
• Revisión mensual de operaciones sensibles.

En el siguiente ejercicio, la empresa redujo significativamente observaciones tributarias y mejoró la calidad de su información para auditoría.

Ejemplo práctico: ONG que administra fondos de cooperación

Una ONG en Perú que ejecutaba proyectos financiados por cooperantes internacionales manejaba compras descentralizadas en varias regiones. Aunque no existían indicios de fraude, sí había debilidades en la documentación de adquisiciones, conflictos de interés no declarados y diferencias entre políticas del donante y prácticas internas.

El riesgo no era solo operativo, sino también reputacional y contractual, ya que un incumplimiento podía afectar futuros desembolsos.

La organización decidió implementar medidas de compliance enfocadas en:

• Código de conducta para personal y consultores.
• Declaración anual de conflictos de interés.
• Manual de adquisiciones alineado con exigencias del cooperante.
• Canal de denuncias confidencial.
• Auditorías internas selectivas por proyecto.

Esto permitió fortalecer la rendición de cuentas y dar mayor confianza a los financiadores.

Errores frecuentes al implementar compliance

• Copiar modelos extranjeros sin adaptarlos a Perú: no consideran exigencias de SUNAT, SUNAFIL o la realidad operativa local.
• Dejar el compliance solo en el papel: políticas sin capacitación ni seguimiento.
• No involucrar a gerencia: sin liderazgo, el programa pierde autoridad.
• No integrar compliance con contabilidad, legal y recursos humanos: los riesgos son transversales.
• No documentar evidencias: en una fiscalización, lo que no está documentado es difícil de defender.

Compliance y auditoría externa: un aliado estratégico

Desde la experiencia de auditoría, las empresas con mejores prácticas de compliance suelen responder de manera más eficiente a requerimientos de información, presentan menor dispersión documental y tienen procesos más consistentes.

Además, el compliance facilita la aplicación de normas como la NIA 240, “Responsabilidades del auditor en la auditoría de estados financieros con respecto al fraude”, ya que un entorno de control sólido ayuda a prevenir y detectar irregularidades.

También se conecta con la NIC 37, “Provisiones, Pasivos Contingentes y Activos Contingentes”, pues una adecuada identificación de contingencias legales, laborales o tributarias permite evaluar si corresponde reconocer provisiones o revelar contingencias en los estados financieros.

Conclusión

El compliance empresarial ya no es un tema accesorio ni exclusivo de grandes corporaciones. En Perú, se ha convertido en una herramienta fundamental para proteger a la empresa frente a riesgos legales, tributarios, laborales, operativos y reputacionales.

Implementarlo correctamente implica conocer la normativa aplicable, identificar riesgos reales, diseñar controles proporcionales y promover una cultura ética desde la alta dirección. Cuando el compliance se integra al sistema de control interno, la organización no solo reduce contingencias, sino que también mejora su gestión, su transparencia y su capacidad de crecimiento sostenible.

Si su empresa necesita evaluar, diseñar o fortalecer su sistema de compliance y control interno, puede contactarnos en auditor@carloslingan.pe para una asesoría especializada.