Compliance: cómo (y por qué) optimizar la gestión de riesgos con IA

Si el compliance en Chile fuese una persona, sería un adolescente. Y no solo por sus complejidades, sino por su corta edad: van poco más de 15 años desde que empezó a regir la ley 20.393 sobre responsabilidad penal de las personas jurídicas, que regula esta disciplina de compliance.

Este adolescente contrasta con la madurez de sistemas como el estadounidense, donde la Foreign Corrupt Practices Act de los años 70 lleva ventaja y ha permitido el desarrollo de varias generaciones completas de profesionales especializados en modelos preventivos de tratamiento de riesgos integrales. El adolescente chileno aún tiene mucho por desarrollarse y aprender.

Por otro lado, el compliance adopta metodologías complementarias, particularmente las del análisis y tratamiento de riesgos con controles internos (propias del mundo de la auditoría). Esto hace que el cumplimiento ya no se limite a la prevención del lavado de activos o financiamiento del terrorismo, sino que se haya expandido a materias como la protección al consumidor, el derecho tributario, la protección de datos personales y una serie de áreas que antes operaban de manera fragmentada, pero que ahora comienzan a unificarse bajo una misma lógica preventiva.

Así, mirar el compliance desde una lógica tradicional se queda corto con las exigencias actuales. Este adolescente, que tiene que adaptarse y responder a varias disciplinas distintas, se va complejizando a medida que la organización y la regulación crece. 

La buena noticia es que la tecnología surge como una buena herramienta para este desafío.

El desafío de una implementación efectiva

¿Cómo implementamos el compliance para que sea verdaderamente efectivo? Esta pregunta, aunque simple a primera vista, tiene implicancias profundas para el rol del abogado en el ecosistema moderno. 

El abogado debe salir de la realidad documental y del enfoque puramente normativo para buscar, en los hechos, una aplicación efectiva de la gestión de riesgos. Ya no basta con desarrollar una visión integral de la organización: existe una responsabilidad activa —y penal— que trasciende la mera elaboración de manuales, políticas y procedimientos.

La efectividad del compliance se mide hoy en la capacidad de construir culturas organizacionales preventivas —respaldadas con métricas actualizadas y confiables—, además de mecanismos que integren la gestión de riesgos y los controles de manera natural en las operaciones diarias.

En este contexto, la inteligencia artificial (IA) y la tecnología no son solo herramientas de apoyo, sino catalizadores que permiten dar el salto desde la teoría hacia la práctica.

Los nuevos desafíos y la brecha de recursos

Antes de involucrar tecnología es relevante considerar el estado actual de los riesgos y desafíos de cada empresa. Si bien cada organización tiene sus particularidades, hemos visto algunos obstáculos para implementar compliance que se repiten:

1. El aumento constante en la carga regulatoria, sin un aumento proporcional en recursos humanos o presupuestarios.

El área de cumplimiento suele percibirse como un costo y no como una inversión. Esto, sumado a un entorno regulatorio cada vez más exigente, crea una “bomba de tiempo” que puede detonar en consecuencias penales, reputacionales y operativas si no se introducen mecanismos de eficiencia y automatización que modernicen la forma en que se están haciendo las cosas.

2. La disparidad estructural entre empresas en materia de gestión de riesgos y compliance.

No todas las organizaciones disponen de los recursos para desarrollar sistemas sofisticados de compliance, generando un ecosistema desigual pese a la necesidad de cada una de contar con un “traje a la medida”. Las empresas más pequeñas quedan más expuestas a riesgos no controlados, mientras que las grandes, si bien suelen estar mejor preparadas, enfrentan el desafío de integrar sus procesos con agilidad y más claridad.

El cómo: matriz de riesgos con políticas como base para la IA

Para comprender cómo la IA puede transformar el compliance y la gestión de riesgos de una organización, debemos partir de la herramienta central: la matriz de riesgos de compliance. Este documento, más que un simple inventario de amenazas, es un mapa estratégico que sistematiza el levantamiento de información, la identificación de procesos críticos y la definición de controles necesarios para tratar cada riesgo.

En términos tecnológicos, la matriz de riesgos constituye el input ideal para sistemas de IA orientados al compliance. Su estructura ordenada, foco en patrones de riesgo y su orientación hacia la acción la convierten en un dataset perfecto para entrenar modelos que analicen, prioricen y recomienden mejoras en tiempo real.

Sin embargo, la gran mayoría de las matrices actuales adolecen de un mismo problema: se enfocan en describir controles, pero no en su implementación práctica. Ahí es donde la IA puede generar un salto cualitativo, transformando la descripción de controles en acciones concretas, mediante el uso de prompts que guíen la verificación de evidencias, la trazabilidad de controles internos y la gestión activa de actividades preventivas.

El complemento perfecto: políticas y procedimientos

Además de la matriz, las políticas y procedimientos conforman el tejido operativo del sistema de compliance. Reflejan la cultura organizacional, la madurez jurídica y, algo fundamental para reguladores y auditorías, la trazabilidad de las decisiones.

Desde la perspectiva de la IA, estos documentos son una fuente extraordinaria de contexto. Su estructura jerárquica, lenguaje normativo y nivel de detalle permiten desarrollar modelos capaces de detectar inconsistencias, redundancias o brechas entre la norma y la práctica.

El resultado es una asesoría continua y contextualizada. La IA no reemplaza al abogado ni al oficial de cumplimiento, sino que los potencia, entregando insights automáticos, métricas de cumplimiento y alertas tempranas frente a desviaciones. Algo así como contar con un refuerzo permanente para cumplir mejor su función.

De la teoría a la práctica

En el mercado ya se observan brotes verdes de innovación, con soluciones especializadas que integran inteligencia artificial en el uso de matrices de riesgos.

En Skyward ofrecemos una nueva generación de herramientas de IA diseñadas para amplificar las capacidades de los equipos de cumplimiento, abogados externos y profesionales de auditoría y riesgos.

Nuestra solución convierte controles y evidencias en datos procesables, acompañados de métricas que reemplazan el caos de planillas y revisiones manuales por sistemas integrados de gestión preventiva. Procesos que antes requerían semanas de trabajo manual pueden ejecutarse en horas, liberando recursos para tareas estratégicas y fortaleciendo la cultura de cumplimiento.

En este sentido, la IA no solo automatiza, sino que eleva el estándar profesional del compliance y la gestión de riesgos. Permite pasar del cumplimiento formal al cumplimiento efectivo y del control retrospectivo a la prevención continua.

Checklist: señales de una gestión de riesgos efectiva

• ¿La matriz de riesgos se revisa y actualiza periódicamente?
• Si hay más de una matriz, ¿estas tienen riesgos y controles comunes entre ellas? 
• ¿Los controles se ejecutan con evidencia trazable?
• ¿Existen métricas que midan efectividad en el tiempo y no solo existencia?
• ¿El compliance está integrado a la operación diaria?
• ¿Hay una lógica común con las áreas de riesgos y auditoría?
• ¿La tecnología potencia el criterio profesional del equipo?

Si varias respuestas son “no”, el problema no es el marco normativo, sino cómo se está gestionando.

Cuando el compliance deja de ser percibido como una carga

La convergencia entre derecho, tecnología y ética corporativa abre la puerta a una nueva etapa. Una donde el compliance deja de ser un “costo hundido” para transformarse en una ventaja tecnológica competitiva, una mitigación de riesgos efectiva y un sello de confianza para el mercado.

En ese escenario, la gestión de riesgos deja de ser un ejercicio formal y pasa a convertirse en una capacidad estratégica de la organización.