Forensics: Compliance reactivo e investigaciones internas
¿Qué mentalidad se requiere para hacer forensic? Representa la certeza de tener la causa raíz para los problemas internos o alegaciones inte
11/6/2025
-
Nota: Este artículo se elabora con base en información pública y declaraciones de las autoridades competentes. Se mantiene la presunción de inocencia de todas las personas involucradas hasta que exista un fallo judicial en firme.
El emporio de retail colombiano Lili Pink, con más de 500 tiendas y presencia en once países, sufrió un duro golpe en abril de 2026. Un operativo de la Fiscalía y el CTI en más de 300 locales resultó en la extinción de dominio de 405 locales comerciales, 40 inmuebles y vehículos, además de capturas, por presunto lavado de activos superior a 730.000 millones de pesos y contrabando técnico por más de 75.000 millones.
La investigación apunta a una estructura que operó durante años, incluso tras la venta de la marca en 2015 a un holding panameño con compañías offshore. El fraude incluyó el uso de empresas fachada como "proveedores fantasma" para simular compras de textiles con facturación falsa, solicitar devoluciones de impuestos millonarias e ingresar mercancía asiática subvalorada.
Irónicamente, el primer aviso oficial de las operaciones sospechosas no provino de los controles internos, sino de un software que alertó a la Fiscalía en 2022.
El compliance que no estaba, o que nadie escuchó
Este es el punto que más nos interesa analizar, y el que más lecciones deja para cualquier organización que opere en mercados con cadenas de valor complejas.
El oficial de cumplimiento y el SAGRILAFT
Las empresas sujetas al SAGRILAFT tienen la obligación de designar un oficial de cumplimiento. Esta figura no es un cargo decorativo, sino que diseña y supervisa el sistema de gestión del riesgo, reporta operaciones sospechosas ante la UIAF y actúa como primera línea de defensa institucional. Una red de la complejidad descrita, con empresas instrumentales, operaciones fraccionadas y proveedores fantasma, no es invisible a los ojos de un oficial de cumplimiento diligente.
La pregunta que queda sin respuesta pública es la más relevante: ¿las alertas existieron y fueron ignoradas, o el sistema nunca estuvo realmente activo?
El revisor fiscal.
El revisor fiscal tiene la obligación de reportar a la UIAF las operaciones que presenten señales de alerta de lavado de activos. El incumplimiento de estos deberes genera responsabilidad civil, penal y administrativa. En el escándalo Lili Pink, no se conoce ninguna denuncia pública realizada por el revisor fiscal de alguna de las sociedades involucradas. Ese silencio, en una operación de esta magnitud, es jurídicamente estruendoso.
La alta dirección.
En la legislación colombiana, los representantes legales son titulares de una posición de garante respecto de los bienes jurídicos vinculados a la actividad de la empresa. Tienen el deber positivo de implementar controles efectivos y evitar que la persona jurídica sea utilizada como instrumento de criminalidad. Este deber subsiste incluso cuando el representante legal alega desconocimiento de las operaciones, pues la ignorancia deliberada equivale funcionalmente al dolo eventual.
El riesgo de terceros como punto ciego
Hay un elemento del caso Lili Pink que merece atención especial para cualquier responsable de compliance en retail, distribución o cualquier sector con cadenas de proveedores extensas.
Se descubrió un entramado de empresas fachada que actuaban como proveedores fantasma de textiles, mediante facturación falsa para solicitar devoluciones de impuestos millonarias, y con el ingreso de mercancía desde Asia declarada con valores irrisorios para evadir aranceles.
El fraude no ocurrió dentro de la empresa, al menos no únicamente. Ocurrió en la cadena de terceros. En los proveedores. En las contrapartes comerciales.
Este es el patrón que se repite en los grandes casos de cumplimiento fallido: la organización crece a una velocidad que sus procesos de debida diligencia no pueden seguir, y los terceros se convierten en el vector de riesgo que nadie está mirando con la profundidad necesaria.
Cuando una empresa abre una tienda cada semana, los procesos de debida diligencia suelen quedar en segundo plano. El control interno debe escalar a la misma velocidad que las ventas; de lo contrario, se convierte en un colador
Lo que este caso le dice a tu organización
El caso Lili Pink no es solo una historia colombiana. Es una advertencia universal para cualquier empresa que opere con proveedores, socios comerciales o distribuidores en mercados donde la informalidad y la opacidad son riesgos estructurales.
Podemos hacer tres lecturas directas:
- Un programa de compliance que existe en papel pero no en la práctica no protege a nadie. Protege formalmente a la empresa ante una auditoría superficial, pero colapsa ante una investigación penal real. La diferencia entre tener un SAGRILAFT instalado y tener un SAGRILAFT funcionando es exactamente la diferencia entre detectar una red de proveedores fantasma en 2022 y llegar a 2026 con 405 locales bajo extinción de dominio.
- La debida diligencia de terceros no es un trámite de onboarding. Es un proceso continuo. Una contraparte que era limpia cuando se vinculó puede no serlo dos años después. Y una estructura societaria opaca en el momento de la vinculación ya es, en sí misma, una razón para profundizar, no para avanzar.
- La tecnología del Estado ha superado a los esquemas manuales de ocultamiento. En 2026, la tecnología estatal de Big Data e IA aplicada a impuestos es superior a cualquier esquema de ocultamiento. La era de la doble contabilidad ha terminado. Lo que esto significa para las organizaciones es que el costo de no tener sistemas de control equivalentes, o al menos compatibles, es exponencialmente mayor que el costo de implementarlos.
Conclusión: el compliance como infraestructura, no como decorado
Un programa robusto de compliance, auditoría y reporte oportuno no es una opción estratégica ni un diferencial competitivo. Es una obligación legal, y su omisión puede terminar en la extinción del patrimonio y de la libertad.
Lili Pink era el orgullo de muchos emprendedores latinoamericanos. Hoy es un recordatorio de que el éxito comercial construido sobre cimientos de opacidad es un castillo de naipes. Tarde o temprano, alguien tira de un hilo.
La pregunta que cada oficial de cumplimiento, cada junta directiva y cada equipo de gestión de riesgos debería hacerse hoy no es si su empresa está haciendo algo ilegal. La pregunta es: ¿sabría detectarlo si alguno de sus terceros lo estuviera haciendo?
En Zenta trabajamos para que esa respuesta siempre sea sí. Nuestras herramientas de debida diligencia automatizada y monitoreo continuo de terceros están diseñadas para que el crecimiento de tu organización no supere la capacidad de tu programa de compliance.
