En muchas Fintech, empresas de remesas y proveedores de servicios de pago y en general los sujetos obligados ante las unidades de análisis financiero en LATAM se repite una idea y es peligrosa, parece que “lo único que importa es AML (Anti-Money Laundering)”. Entiendo de dónde viene. AML tiene presión regulatoria, inspecciones, reportes a la UIF - UAF - Vigilancia Financiera, listas, sanciones públicas y un miedo legítimo a quedar fuera del sistema financiero.

El resultado bastante típico no es precisamente un escándalo AML (Anti-Money Laundering). Es algo mucho más silencioso y más común de lo que nos podemos imaginar: es un crecimiento sin ningún tipo de fortaleza, con decisiones improvisadas, centralización por desconfianza, contratos algo deficientes, gobierno totalmente informal y altamente personalizado, datos desordenados, incidentes repetidos y una reputación que se va deteriorando por fricción operativa, no por crimen financiero. Al inicio no lo ves, pero se hace presente poco a poco en la vida de la empresa.

AML es crítico, pero no es un sistema de empresa

AML es una disciplina altamente especializada. Protege al sistema financiero. Protege a las empresas como sujetos obligados ante situaciones de riesgos de lavado, financiamiento del terrorismo y proliferación de armas. Exige KYC/CDD, monitoreo, investigaciones, reportes, evidencia y un Oficial de Cumplimiento con total independencia.

Pero AML, por su propio diseño, no puede ni debe pretender abarcar todo lo demás en una empresa. Sería un enorme error hacerlo.

Una empresa puede tener AML bastante aceptable y aun así fallar por:

• Contratos mal estructurados con aliados, agentes, agregadores o proveedores críticos para la operación de la empresa.

• Ausencia de gobierno corporativo real (decisiones sin trazabilidad, sin controles, sin segregación)

• Incumplimientos en protección de datos y privacidad por onboarding y analítica comercial

• Debilidades de ciberseguridad y fraude (account takeover, SIM swap, phishing)

• Riesgos de consumidor: reclamos, reversos, publicidad engañosa, transparencia de tarifas

• Continuidad operativa y resiliencia (caídas, incidentes, errores masivos)

• Gestión de terceros y outsourcing sin controles

• Conflicto de interés, fraude interno, ventas agresivas sin límites

Esto y más no “lo arregla” AML.

Porque tu “Departamento Legal” y “Compliance” no son lo mismo, aunque se encuentren todos los días

Ciertamente cada empresa tendrá un departamento legal (interno o externo), pero estos suelen estar diseñados para interpretar normas, redactar contratos, defender a la empresa y gestionar asuntos jurídicos.

Y cuando me dices “Legal se encarga de Compliance” normalmente lo que existe es una asesoría legal muy reactiva, no un programa de Compliance estructurado.

Compliance en cambio es un sistema de gestión que asegura que la organización cumpla (leyes, regulaciones, estándares y políticas internas y compromisos con terceros) en la práctica, con controles, cultura, monitoreo, evidencia y mejora continua.

Corporate Compliance: Una infraestructura invisible que te permite escalar

Corporate Compliance (bien entendido y bien ejecutado) no es un “departamento”. Es un modelo y cultura de gobierno que abraza procesos y operaciones, estrategia y desarrollo. No se trata solo de evitar sanciones; se trata de crear cultura y disciplina para crecer sin quebrarse o sin tener que ser reactivos.

ISO 37301 lo expresa con mucha claridad: un sistema de gestión de Compliance organiza el cumplimiento como un conjunto de procesos vivos: obligaciones, roles, controles, evidencia, medición y mejora continua.

El mito que mata el crecimiento: “Compliance es un gasto no inversión”

Muchas empresas y startups en etapa de crecimiento ven Compliance como un costo, un gasto innecesario porque lo comparan contra algo tangible (marketing, ventas, producto). Aquí está el primer gran error.

Esa comparación es una enorme y tremenda trampa porque Compliance compite contra pérdidas futuras, no contra ingresos del mes.

Unos ayudan a generar ingresos y está excelente, es el objetivo de todo negocio.  Sin embargo, Compliance te ayuda a evitar fugas, desgaste y daños por la mejora continua en la gestión que implementa.

La realidad es que el costo de “no tener estructura” suele aparecer después como:

• Retrasos regulatorios (que cuestan más que el programa)

• Incidentes de datos o ciberseguridad (que cuestan reputación y clientes)

• Conflictos contractuales (que cuestan tiempo, abogados y continuidad)

• Sanciones por las regulaciones del consumidor, publicidad o privacidad (que cuestan flujo y marca)

• Ruptura con socios (bancos, PSP, adquirentes, corresponsales) por fallas de control

• Caos interno: decisiones contradictorias, re-trabajo, errores repetidos

Cuando cuantificas te das cuenta que Compliance deja de ser “intangible”. Se vuelve contabilidad de daños evitados.

Costos de acuerdo a informes especializados

En América Latina el “costo” de no tener Compliance operando (no “de papel que aguanta todo o de un excel que igualmente aguanta todo”) se mide en salidas del flujo de caja bastante previsibles: incidentes, sanciones, defensa, forense y paro operativo.

IBM estima que el costo promedio de una brecha de datos en la región es de USD 4.16 millones (2024). Estamos hablando de contención, recuperación, abogados, notificaciones y pérdida en el negocio.

A eso se suma el “tributo” cotidiano del entorno: con datos de Enterprise Surveys, el Banco Mundial reporta pérdidas por crimen de 1.2% de las ventas y gasto en seguridad de 1.5% de las ventas como promedios regionales en Latinoamérica; para una PyME, ese 2.7% suele ser un margen que no regresa y que termina mermando la capacidad operativa.

Las multas representan un problema que se deben considerar, y en ciertos países pueden incluso llevar a la quiebra de las empresas. Bajo valores de referencia actuales, las sanciones administrativas en México pueden iniciar en montos cercanos a U$ 1,800, cuando se aplica el mínimo legal de días de salario mínimo en infracciones de menor entidad, y alcanzar niveles superiores a los U$10 millones de dólares en escenarios agravados, particularmente cuando existe reincidencia o se trata de infracciones vinculadas al tratamiento de datos personales sensibles.

En Brasil, la LGPD contempla multa de hasta 2% de la facturación, limitada a R$ 50 millones por infracción que significan unos U$9 millones de dólares aproximadamente.  

En Colombia, la Ley 1581 (Protección de Datos Personales) habilita multas de hasta 2,000 salarios mínimos mensuales. Un Salario mínimo mensual en Colombia es equivalente a aproximadamente U$375. Además de la multa las medidas pueden llegar a cierre temporal en ciertos supuestos.   

La Ley N.º 8968 de Costa Rica, conocida como la Ley de Protección de la Persona frente al Tratamiento de Datos Personales, establece un sistema de multas para sancionar las infracciones en el manejo de datos personales.  Estas infracciones se clasifican en leves, graves y gravísimas, y las sanciones varían. Un ejemplo de estas sanciones sería que para las faltas leves, la multa puede ascender hasta 5 salarios base del cargo de auxiliar judicial I, lo que equivale aproximadamente cada salario base a U$1,200 actualmente.  Las faltas graves conllevan una multa de entre 5 y 20 salarios base del mismo cargo.

No todos los países tienen una ley de Protección de Datos, y de los que sí la tienen, no todos la aplican efectivamente.  Cada país tiene sus propios mecanismos de multas y sanciones, y la aplicación de estas puede depender de si hay una ley especial o si se usan las normas penales y civiles, lo que podría resultar en una multa y un proceso legal complicado.

De intangible a tangible: cómo se vuelve Compliance una inversión - medible.

Un sistema de Compliance diseñado conforme a estándares internacionales como ISO 37301 permite transformar la prevención —tradicionalmente percibida como un costo— en evidencia operativa, reputacional y financiera. La gestión eficaz de los riesgos de compliance deja de ser reactiva y se convierte en un punto sumamente estratégica para la sostenibilidad, la confianza y el crecimiento del negocio.

Es aquí que cuando el compliance se integra a los procesos, decisiones y cultura del negocio, sus efectos dejan de ser abstractos y pueden empezarse a medir en resultados bastantes concretos, entre ellos:

• Incidentes evitados, como resultado de controles internos efectivos, segregación de funciones y monitoreo continuo.

• Reducción de reprocesos y errores operativos, al alinear procedimientos con obligaciones legales y regulatorias desde el diseño.

• Disminución de reclamos, controversias y sanciones, por una gestión preventiva del riesgo legal y regulatorio.

• Mejora en la continuidad operativa, reflejada en menos interrupciones, menor exposición a eventos críticos y reducción de pérdidas no planificadas.

• Reducción de pérdidas por fraude interno o externo, mediante controles, denuncias protegidas y una cultura de integridad.

• Mayor agilidad para lanzar productos y servicios, al incorporar criterios de cumplimiento desde etapas tempranas (“compliance by design”), reduciendo fricciones legales posteriores.

• Mejores condiciones con socios, proveedores y aliados estratégicos, derivadas de mayores niveles de confianza, transparencia y trazabilidad.

• Fortalecimiento de la reputación y credibilidad frente a autoridades, instituciones financieras, inversionistas y entidades crediticias.

En otras palabras: no compras “cumplimiento”. Compras la capacidad de operar mejor a lo largo del tiempo.

Y en el mundo digital, Compliance es base prudencial. En Fintech y Remesas, el riesgo no se presenta una vez al año. Se presenta todos los días: datos, transacciones, terceros, usuarios, incidentes, reclamaciones, auditorías, integraciones, cambios regulatorios.

Por eso Compliance no debe ser un apéndice. No debe ser visto como un costo, un gasto "innecesario" o incluso como un "gasto como mal necesario". Debe convertirse en la piedra angular del desarrollo de la empresa.

Toma en cuenta que...

El cumplimiento de AML es crucial para las empresas que operan en países donde son sujetos obligados ante unidades especializadas. Nadie puede discutir eso. Pero creer que “Compliance = AML” es una forma elegante de construir una empresa totalmente frágil. Y esto lo digo sobre todo para Fintech, empresas de remesas, sujetos obligados en LATAM.

En el mediano plazo, esa confianza deja de ser intangible. Se traduce en continuidad, velocidad, menos crisis y más valor.

Simplemente toma Compliance no como el freno al crecimiento. Sino como la infraestructura que permite acelerar sin estrellarse en un muro.