El documento describe los pasos iniciales para diseñar un plan de compliance, incluyendo identificar los riesgos de cumplimiento y penales a través de un mapa de riesgos. También discute cómo implementar las mejores prácticas de compliance a través de políticas, comunicaciones, recursos y sistemas de monitoreo y disciplina. El objetivo final es establecer un programa de compliance efectivo que prevenga incumplimientos y delitos.
4. Lo que el Compliance Officer dice
Nuestro programa de
cumplimiento es clave para
asegurar a seguir para los
riesgos de compliance y la
obtención al largo
plazo.
la línea
de resultados
5. y lo que el directorio escucha
Bla bla bla bla bla bla bla bla bla
bla bla bla bla bla bla bla bla bla
bla bla bla bla bla bla
bla bla bla bla
bla bla bla la
bla bla bla bla
la línea
de resultados
6. 01/14 Nuevas Normas Internacionales de Auditoria
Mayor visibilidad del consejo ante control interno
Auditores externos en riesgos (NIA-ES 315)
Valoración de los riesgos de incorrección material
12/14 Reforma de la Ley de Soc. de Capital
Refuerza el rol de gestión de la junta general de accionistas
Reformulan los deberes de los administradores
02/15 Código Unificado del Gobierno Corporativo
Principio de cumplir o explicar
Evaluar los conflictos de interés y consejeros independientes
Auditoria interna identificando también riesgos no financieros
03/15 Reforma del Código Penal
Solicita un mecanismo para detectar el riesgo penal
Manual de prevención del delito
Facilitar la formación de consejeros
8. ¿Porqué nos importa?
Consejo de Administración
de OHL México aprobó:
- Revisar el control interno
y el cumplimiento del
CoCo
- Designar un director de
compliance
- Crear un comité de
adquisiciones
Juan Miguel Villar Mir busca a los instigadores de “una campaña
de descrédito en México cuyas motivaciones no nos podemos
explicar”, ha asegurado el presidente de OHL, que esta mañana ha
hecho declaraciones a un pequeño grupo de periodistas tratando
de exculpar a su empresa del escándalo por un presunto fraude
tarifario e intento de invitación a un alto cargo público en el
Estado de Nuevo México.
El empresario ha dado abiertas explicaciones por primera vez
desde que el 6 de mayo saltaran a la luz informaciones, en el país
azteca, que involucraban a OHL en supuestas prácticas para
inflar las tarifas en la autopista Viaducto Bicentenario como
respuesta a inversiones que, probablemente, no se realizarían
jamás. Los datos que sostenían las informaciones emanan de
conversaciones telefónicas entre cuatro altos directivos de
OHL México,
10. ¿Porqué nos importa?
Evitar penas,
inhabilitaciones
y multasAtenuar/eximir la
responsabilidad
Coordinar
acciones de
prevención del
fraude
Sustentabilidad
Bajar costos de
seguros
Mejora la
reputación
interna y externa
11. Estructura
Perfil
ControlLegalista
Posición de garante = Independencia * Autonomía
Acceso directo a alta dirección
Comité de compliance (auditoria y riesgos)
Comité de ética
Comité ejecutivo
Auditoria interna
Asesoría jurídica
¿Externalizado?
12. ISO 19600:2014
Guías para un Sistema de Compliance
Principios de buen gobierno corporativo, proporcionalidad, transparencia y sustentabilidad.
Construye transversalmente la superestructura de compliance
4.1. Identificación de
asuntos externos e
internos
4.2 Identificación de
requerimientos de
terceros
4.3/4 Determinación
del alcance del
sistema de gestión
4.4 Principios del buen
gobierno
5.2 Establecer una
política de
cumplimiento
Establecer
EntenderelContexto
13. ISO 19600:2014
Guías para un Sistema de Compliance
4.5/6 Identificar las
obligaciones de
cumplimiento y sus
riesgos
6 Planear los planes
de acción sobre
riesgos
8 Planear operaciones
y controlar los riesgos
de incumplimientos
9 Evaluar el
desempeño y reporte
de cumplimiento
Mejora continua sobre
incumplimientos
Mejorar
5.1 Compromiso, liderazgo
e independencia
5.3 Responsabilidad
7 Funciones de soporte
Evaluar
Mantener Desarrollar
Implementar
14. Modelo 3 Líneas de Defensa
Gerentes de
Operaciones
Control Interno
Control Financiero
Gestión de Riesgos
Compliance y Normas
Auditoria Interna
Senior Management
Auditoria Externa
Regulador
ExCom & Comité de Auditoria
1° Línea
Responsabilidad
2° Línea
Control y Guía
3° Línea
Reaseguro
15. British Standard 10500:2011
Único marco en el mundo desarrollado para dar un sistema de buenas
prácticas y medir el riesgo penal.
• Iniciado en 2011 para cumplir con medidas de anticorrupción
- UK Bribery Act de 2010
• Orientado a delitos domésticos como internacionales
• Semilla de un estándar global en desarrollo
- ISO/PC 278:2014 Anti-bribery management systems
- ISO/CD 37001:2015 Anti-bribery management systems
- AS 8001:2008 Fraud and corruption control
16. British Standard 10500:2011
Recursos a
controles
Comunicación
Políticas
Entrenamiento y guía
De las responsabilidades en Compliance
Canal de denuncias
Contra la corrupción
De Contrataciones
De regalos y donaciones
De investigación y disciplinarias
Contractuales
Financieros
De compras y comerciales
Relación efectiva con:
Directorio
Auditoria interna
SistemadeGestión
17. British Standard 10500:2011
Hoja de Ruta
La norma nos da una mejor práctica para planear las tareas de implementación de un sistema de gestión para
prevenir la corrupción corporativa
Pasos claves para implementar un sistema de gestión
Obtener el compromiso del directorio
Dar objetivos, autoridad y recursos a la nueva unidad de cumplimiento
Nombrar al líder apropiado
Conducir una evaluación de riesgos en función de cada negocio
Evaluar como implementar una política de prevención de corrupción
Escribir la política
Diseñar o modificar las políticas y controles relacionados
Implementar la política de prevención
18. British Standard 10500:2011
Obtener el compromiso del Comité
Encontrar el patrocinador adecuado en el Comité
Darle a este patrocinador toda la información sobre los riesgos
Proponer al Comité un plan con metas detalladas y reportes a generar
Este plan debería ser firmado por todos los miembros
Entrenar a los miembros del Comité sobre compliance penal
Hoja de Ruta
El problema de vender la iniciativa a alto nivel corporativo es que nadie ve los beneficios si nuestras medidas
de prevención del delito funcionan. Por otro lado, esperar incidentes para tener atención no es posible.
19. Política para la prevención de
delitos y contra el fraude
El órgano de administración debe adoptar y ejecutar con eficiencia un programa
de prevención de delitos en 4 dimensiones:
• temporal: debe ejecutarse antes de la comisión del delito como medidas de
vigilancia y control
• funcional: órgano con poderes independientes de iniciativa y control
• Intencional: el programa debe prevenir un delito con intención fraudulenta
• diligencial: órgano responsable debe ejercer suficientemente el modelo de
supervisión, vigilancia y control
20. Atribución de la responsabilidad
Responsabilidad
por omisión
In vigilando
Responsabilidad
por representación
In eligendo
Delitos en nombre o por cuenta de la
sociedad
y en su provecho
(en sentido directo → beneficio, e indirecto, →
ahorro de costes)
por sus representantes legales y
administradores de hecho o de derecho
Delitos en el ejercicio de actividades
sociales y por cuenta y en provecho de la
persona jurídica,
por quienes, estando sometidos a la
autoridad de representantes legales y
administradores de hecho o de derecho,
han podido realizar los hechos por no
haberse ejercido sobre ellos el debido
control
Aún aunque la
persona física
responsable no haya
sido individualizada o
no haya sido posible
dirigir el
procedimiento contra
ella.
Modelos
22. Políticasy
Comunicación
Mapade
Riesgos
Recursos
Identificar las
actividades cuyos
delitos pueden:
- cometerse y
- prevenirse.
Verificación
periódica (ej.
multas, cambios
organizativos)
Recursos
financieros
adecuados para
prevenir el delito
Procedimientos
de adopción de
decisiones y de
ejecución
Informar posibles
riesgos e
incumplimiento al
encargado del
programa
Sistemas
Disciplinario
Sanciones
adecuadas ante el
incumplimientoTono en la
cúpula
Compliance y
sustentabilidad
Pilares del Compliance Penal
23. Fases de implementación
Venta interna de la función
Obtención del apoyo político
Designación de la función con
autoridad delegada
Identificar partes comprendidas
(“socios”) y ajustar expectativas
del alcance
Aprobar el compliance program
Asignación de presupuesto
Desarrollo de normas del “core
compliance”
Comunicación de normas
Monitoreo de controles de
compliance
demostrar que compliance
es rentable,
Auditoria
Red flags
“Regulatory inteligence”
Disciplina y acciones correctivas
Mejora continua
Mapa de riesgos de compliance y
penal
Matriz normativa
Requerimientos
voluntarios
Identificación, valuación y
priorización de acciones
Desarrollo de normas
Delegación de funciones
Seguimiento de denuncias
reportadas en el canal
Liderar Cumplir Fomentar
24. Estrategias de implementación
Ejercicio de una sola vez
Beneficios de actuar a gran
escala (ej. software, política
global)
Nos va a costar cambiarlo luego
Venta interna más difícil
Mayores socios que hallar
Flexibilidad para hacer cambios
Facilidad de implementar
Mejor venta interna
Serie de implementaciones
No tengo beneficios de escala
Me costará coordinar el
crecimiento
Global
Piloto
25. Programa de Compliance Global
Sin Gobierno Central Compliance Central Compliance Regional
HQ País
A
País
B
País
C
HQ
País
A
País
B
País
C
HQ
País
A
País
B
País
C
Región A B
27. Universo de Riesgos
Contra el Patrimonio
- Estafas y fraudes
- Insolvencias
punibles
- Daños informáticos
/ hacking
- Contra la propiedad
intelectual
- Contra el mercado
- Revelación de
secretos
- Facturación
fraudulenta
- Falsedad en
medios de pago
Contra el Fisco
- Contra la
Hacienda Pública y
la Seguridad Social
- Blanqueo de
capitales
- Ciertos casos de
contrabando
Contra la Seguridad
Pública
- Contra la salud
pública
- Construcción ilegal
- Contra el medio
ambiente
- Relativos a la
energía nuclear y a
las radiaciones
- De riesgo
provocado por
explosivos
- Tráfico de drogas
- Contra la intimidad
y allanamiento
informático
Contra la ética
- Corrupción
privada: relativos a
la corrupción en los
negocios
- Cohecho: dádivas
y sobornos a
funcionarios públicos
- Corrupción de
funcionario extranjero
- Tráfico de
influencias
-Financiación ilegal
de partidos políticos
- Acoso laboral
- Información
privilegiada
- Delitos contra la
intimidad
28. Universo de Riesgos
Contra el Patrimonio
CFO
CIO
CISO
Data Protection
Officer
Contra el Fisco
Head of Tax
Contra la Seguridad
Pública
COO
HS&E
Contra la ética
CEO
Compliance
Auditoria Interna
Dir. Comercial
Unidad de Cumplimiento
Legales
Corporate Defense
ExCom
29. Corrupción pública o
privada
Abuso del mercado
Mapa de Riesgos - Ejemplo
Brindar servicioGeneración contrato Facturación Cobro
Fraude a seguridad social Fraude fiscal
Falsedad de medio de
pago
Blanqueo de capitales
Entrega de sobornos
Acuerdos de precios
Simulación laboral Deducciones indebidas Lavado de dinero
30. Mapa de Riesgos - Ejemplo
Entrega de sobornos
Acuerdos de precios
Simulación laboral Deducciones indebidas Lavado de dinero
Control de revisión de
cuentas de gtos
representación
Política antitrust
Control aprobación de
cálculo fiscal
Control cruzado Tax vs.
Payroll
Control aprobación de
cálculo fiscal
Know Your Customer
Comercial Tax + Payroll Tax Gestión de clientes
Tesorería
Reforzar: Business
Intelligence
Reforzar: Auditoria
Fiscal
31. Alcance del Mapa
¿Nos quedamos solamente dentro España?
- Filiales internacionales y otras sociedades subholdings
- Joint ventures
- Descentralización de funciones ejecutivas (ExComs por país)
¿Incluimos solamente los delitos atribuibles a
una persona jurídica?
- Ley del mercado de valores
- Ley de trasparencia
- FCPA
- Leyes similares en el mundo (ej. Europa (-DE), US, y
Chile)
- Legal + Ético (nuestra forma de hacer negocios)
¿Podremos sumar este trabajo a otra iniciativa en curso?
- Departamento de riesgos
- Departamento de Prevención del Fraude
- Auditoria interna (riesgos sobre procesos e investigación de fraudes)
- Departamento de compliance
33. • Ad-hoc
• Tareas no definidas
• Confianza en directores
claves
• Sin infraestructura
Inicial
• Políticas formalizadas
• Cubre toda la organización
• Metodología rigurosa
• KRIs
Definido • Modelos de medición del
riesgo
• Agregación de riesgos
• Riesgos relacionado a la
performance
• Riesgos de proyectos
• Gestión del conocimiento
Optimizado
Estrategias según madurez
35. FCPA
Protección de
activos
Antitrust Insider trading Privacidad
Controles de
exportación
Retención de
documentación
Seguridad de
información
Compensaciones
y bonos
Reporte
Sarbanes Oxley HSE
Discriminación y
acoso laboral
Integridad
financiera
Contratos con el
gobierno
Propiedad
intelectual
Uso de tecnología
3rd Party
management
Prácticas
comerciales
Ética
Taxonomía Compliance
Normas
voluntarias
36. Mapa de Riesgos
Riesgos de Fraude
Riesgos de
Compliance Penal
Actividades
reactivas de
investigación y
disciplina
Actividades
proactivas de
prevención y
control
37. Mapa de Riesgos
1 Identificar riesgos
2 Evaluación de
impacto y frecuencia
Eventos que afectar los
riegos del universo de
compliance
Impacto: costo más probable
de no- compliance
Frecuencia : probabilidad de
darse los factores de riesgos
al momento del análisis en un
horizonte de tiempo
3 Priorización de
riesgos
Criterio para decidir que
eventos son más críticos de
controlar (mapa)
4 Planes de
mitigación
Seguimiento del progreso de
los planes de acción
Reevaluación frecuente
Alta criticidad
Seguimiento
Watch-List
Criticidad
38. Mapa de Riesgos - Impacto
Multa en proporción al daño/cuantía del delito
Disolución de la persona jurídica
Suspensión de sus actividades
Clausura de sus locales
Prohibición temporal o definitiva de realizar las actividades en cuyo
ejercicio se haya cometido el delito
Inhabilitación para obtener subvenciones y ayudas públicas, para contratar
con el sector público y para gozar de beneficios e incentivos fiscales
Intervención judicial para salvaguardar los derechos de los trabajadores o de
los acreedores
Socios Inocentes
Respecto a los efectos colaterales o consecuencias a pagar por terceros incluyendo el impacto en los
trabajadores, el efecto negativo se paliaría con la posibilidad que tienen los socios inocentes de
reclamar posteriormente a los administradores la acción de responsabilidad socia
39. Directas e inmediatas
• Pérdida por defraudación
• Ineficiencias y/o discontinuidad de operaciones
Directas y mediatas
• Indemnizaciones a terceros
• Multas y sanciones
Indirectas
• Costo de investigación
• Ajustes fiscales
Reputacionales
• Pérdida de competitividad, moral, clientes, socios, licencias, y contratos
• Pérdida del valor de mercado
Mapa de Riesgos - Impacto
40. Score 1 2 3 4 5
Multas, daños e
indemnizaciones
< 1% de las
ventas
1% al 3% de las
ventas
3% al 5% de las
ventas
5% al 10% de
las ventas
> 10% de las
ventas
Reputacional
Sin exposición
o daño
Impacto negativo
localizado pero
recuperable
Cobertura en
medios o
reguladores
local
Cobertura en
medios o
reguladores
nacional
Cobertura
sustancial en
medios o
reguladores
nacional
Operacional
Sin pérdida de
negocios u
operaciones
Visible pero
gestionable
fácilmente
Daños a
clientes o
grupos de
interés
Impacto severo
a la
performance
Impacto
catastrófico a la
BU
Mapa de Riesgos - Impacto
41. Mapa de Riesgos - Frecuencia
Score 1 2 3 4 5
Descripción Casi imposible Rara Posible
Incidentes
aislados
Incidentes
repetitivos
Tiempo
< Una vez
cada 5 años
< Una vez cada
año Una vez al año
Una vez al mes
Una vez a la
semana
Probabilidad < 1% 1% al 5% 5% al 10% 10% al 20% > 20%
42. Mapa de Riesgos – 3er Variable
• Velocidad del Riesgo: Tiempo entre el evento de riesgo y
tener que pagar el impacto (ej. tiempo en aplicar una multa
por el regulador). Beneficio: priorizar acciones
• Duración del Riesgo: Persistencia del riesgo en el tiempo
(ej. inspecciones largas).
• Nivel de Control: Posibilidad que gestión para disminuir el
impacto o la frecuencia del riesgo (ej. proceso ya
documentado). Beneficio: margen de reducción
• Grado de Entendimiento: Seguridad en valuar el impacto
y la frecuencia (ej. riesgos emergentes)
La 3er variable siempre está
contemplada en impacto o
frecuencia
43. • Ocurrencia que afecta la empresa
• Ej. Incumplir con la ley…
Evento
• Consecuencia
• Ej. penalidades, daño a la reputación, responsabilidad civil
de los directoresImpacto
• Ej. Entrenamiento, boletines, procedimientos para
gestionar quejas, obtener certificaciones, buscar consejos,
designar responsable, compliance audits, cláusulas en
contratos
Plan Mitigante
• Impacto o frecuencia luego del plan mitigante
Riesgo Residual
Mapa de Riesgos - Glosario
44. Área Riesgo legal Regulación /
Ley
Área
Funcion
al
Impacto Frec. Score Contro
l
Clasif.
ImpactoPrácticasdecomercioexterior
Sobornos en el
extranjero
FCPA Foreign
Corrupt
Protection Act
Ventas 5 1 5 4 Reputacional
Aduanas Leyes
aduaneras
Ventas 1 3 3 2 Operacional
Control de
exportaciones
OFAC Office of
Foreign Assets
Controls
Ventas 2 2 4 5 Operacional
Exportaciones de
productos con
doble uso
Reg. UE
428/2009
Ventas 4 4 16 5 Operacional
Boycott no
sancionado a un
país extranjero
Anti-Boycott Act Ventas 2 2 4 4 Operacional
Exp/Imp de
químicos
peligrosos
Reg. UE
649/2012
Ventas 3 4 12 1 Operacional
…. … … ….
46. Mapa de Riesgos – Alternativa
Puntaje Interno
Fraude
- Operativo
- Contable
Corrupción
Daños
Informáticos
….
Calidad de
Controles
Documen-
tación
Entrena-
miento
Centrali-
zación
Sistema de Puntos
1 a 5
Medidas Efectivas a Inefectivas
Respaldado por Director de Área
Puede ser ponderado (ventas de la unidad, número
de empleados,…)
47. Planes de Acción
Exposición a un delito
tomando en cuenta los
controles actuales
Medidas a implementar Recursos a asignar
Controles
Políticas
Sistemas
Conocimiento
Autoridad
Coordinación politica
entre departamentos
Presupuesto con
responsable, tiempo e
indicadores
Cargos
48. Reportes al ExCom
Mapa de Riesgos
Penales
Por Áreas
Por País
Por Año
Seguimiento de Planes
de Acción
Planes
Presupuestos
Grado de Avance
Indicadores de Riesgos
Claves (KRIs) Penales
Ejemplos:
Multas por Revenue
Multas por Volumen
Denuncias por
Empleado
Fraude por Empleado
% Completar Cierto
Programa Educativo
49. Herramienta CASE
C Consequence
A Assets at Risk
S Source
E Event
Perder ventajas competitivas
…. “sobre” …
la propiedad de información sensitiva
…. “debido al” …
espionaje industrial de nuestros
competidores
…. “al” …
sufrir un ataque a servidores inseguros
50. ¿Cómo podemos fracasar?
• No lograr poner el riesgo legal en la agenda de la alta dirección
• Carecer de recursos y autoridad en la unidad de cumplimiento para construir
la cultura de “tolerancia cero”
• La unidad de cumplimiento carece del liderazgo y entusiasmo para permear
los controles dentro de la organización
• Tanto el mapa de riesgos como los controles quedan “en silos”
• No se lograr hacer que sea una herramienta de gestión (por ejemplo,
terciarizando)
• No lograr orientar los recursos a los riesgos relevantes
• Objetivos no alineados a la madurez de la organización
• No aprender y mejorar de los fallos y nuevos riesgos
Hacer fácil lo difícil
51. Prácticas de documentación
• Si un control no se documenta, no existe
• Evitar gestión fragmentada para no duplicar retención de documentos
• Aprobación de riesgos y políticas que originan planes de acción
• Necesitamos un administrador de documentos (ej. SharePoint), configurable,
que permita reporte, disponible en sitios operativos
• Documentar el control de compliance (ej. comunicación de cierta política,
recepción del código de ética, denuncias…)
• Incluirlo dentro de la política de respaldos
• Uso de modelos, digitalizados, compartidos, protegidos
52. El importante saber lo que sabemos…
…. pero más importante aún es saber lo que no sabemos.
53. Programa de Prevención de
Delitos
04. Políticas de Prevención
del Delito
Hernan Huwyler – 27 Mayo 2015
54. Política de Prevención
Obligatorio s/ proyecto
de reforma del Código
Penal
Posición del gobierno
corporativo frente al delito
interno.
Eximente o atenuante
Alcance funcional, geográfico y grupos
Ajustado al negocio
Eficaz
Controles específicos a c/riesgo
Actualizado
Responsable CCO
La ineficacia del control
interno que atienda al
riesgo penal se puede
convertir en un delito
Estándar de calidad con los
controles
55. Política de Prevención
Modelo de Prevención y Control
s/Reforma Código Penal 2015
Antelación Eficacia Idoneidad
Antes del delito
En forma general es
el código de ética
Debemos formalizar la
fecha de realización de los
Controles (documentación)
Según el riesgo
No hay una omisión ni
una supervisión ineficiente
por el órgano de supervisión
Control y vigilancia adecuado
Coordinación con auditoria interna
(compliance audit)
56. Política de Prevención
Modelo de Prevención y Control
Mapa de riesgos.- Identificación de las actividades en cuyo ámbito puedan ser
cometidos los delitos que deben ser prevenidos.
Protocolo de toma de decisiones.- Establecimiento de protocolos o
procedimientos que concreten el proceso de formación de la voluntad de la
persona jurídica, de adopción de decisiones y de ejecución en las mismas con
relación a aquéllos.
Modelo de gestión de los recursos financieros.- Disposición de modelos de
gestión de los recursos financieros adecuados para impedir la comisión de los
delitos que deben ser prevenidos.
57. Política de Prevención
Modelo de Prevención y Control
Canales de denuncias.- Imposición de la obligación de informar de posibles
riesgos e incumplimientos al organismo de vigilar el funcionamiento y la
observancia del modelo de prevención.
Sistema disciplinario.- Establecimiento de un sistema disciplinario que sancione
adecuadamente el incumplimiento de las medidas que establezca el modelo.
Verificación periódica.- Realización de una verificación periódica del modelo y
de su eventual modificación cuando se pongan de manifiesto infracciones
relevantes de sus disposiciones, o cuando se produzcan cambios en la
organización, en la estructura de control o en la actividad desarrollada que los
hagan necesarios
58. Política de Prevención
Grupos:
• directores,
• empleados,
• autónomos contratados (ej. consultores, agentes)
• proveedores
Emitida por la alta dirección
Comunicada a toda la organización con constancia de entendimiento
Normas básicas de actuación (ej. diferencia entre un regalo y un soborno)
Canal de denuncia a través de correo electrónico o teléfono.
Los ejecutivos deben certificar con su firma que se cumplen las políticas anticorrupción.
Comunicar a la plantilla que la empresa prohíbe expresamente el soborno
o la contabilidad creativa.
Informar al empleado de las consecuencias de los delitos.
Controles financieros anticorrupción.
59. Insider Trading.
Código Ética Financiero
Normas especificas contables
Reporte exacto, completo y a tiempo
a los reguladores y demás usuarios
Alcance:
• CFO
• Responsables impuestos, control,
reporting, auditoria interna
• Equipos
• Consultores
Consecuencias
Responsable al empleado por:
Normas y estándares
Negocio
Revisión crítica de controles
Entrenamiento
específico
60. Control de Proveedores Críticos
• Modelo de compras que garantice la objetividad, trasparencia y equidad.
• Controles para evitar corrupción:
• Centralización
• Modelo único de contratación (ej. Pliego de clausulas contractuales
standard)
• Analizar riesgos de delitos
• a Hacienda
• a seguridad
• al medioambiente
• a propiedad intelectual
• sobre datos personales
• Para solicitar medidas de control adicionales
• Control del proceso de licitación, ejecución y aceptación
• Revisión de seguros
• Auditoria
61. Delegación de Autoridad
Accountable
R Responsible
→ hacer
A Accountable
→ decidir y rendir cuentas
C Consult
→ necesario para decidir
I Inform
→ necesita saber la decisión
Responsible
Internos
Externos
Demarca la responsabilidad
Comunicación sin ambigüedad
Identifica problemas
Ordenamiento de políticas siguientes
Prevención del fraude
Registro de
Delegaciones
62. Y todo eso terminó cuando todos,
le echaron la culpa a alguien,
cuando uno de ellos debió hacer
lo que nadie hizo.
¿Os suena familiar?
63. Delegación de Autoridad
Herramienta Matriz RACI - Ejemplo
Poder
Encargadodeproyectos
Encargadodeingenieria
Encargadodecontrataciones
Directordeventas
Gerentedeoperaciones
Directordeingenieria
Gerentedecompras
Gerentedeproducción
1.0 Completar una orden de trabajo
1.1 Generar una orden de trabajo N C R A C I I I
1.2 Planear y gestionar una orden de trabajo N R A C I
1.3 Efectuar la ingenieria del proyecto N C R A I
1.4 Producir los elementos del proyecto N R C A
1.5 Instalar los elementos del proyecto N R A
1.6 Completar la puesta en marcha N R C A C I
1.7 Obtener la certificación del cliente N R I A I C
64. 1. Definir responsabilidades
lll lll
2. Integrar regulaciones a procesos
3. Monitorear cumplimiento
Integración al Sistema Normativo
66. De performance
• Asegurarse
que la
compañía hace
lo correcto
De conformidad
• Asegurarse
que la
compañía no
hace nada
erróneo
Modelos de Compliance
67. Integración al Sistema Normativo
Tolerancia
consistente
Única fuente
decisoria
Mejor
orientación de
recursos
Aumenta
compromiso
Alineamiento
G R C
68. Integración al Sistema Normativo
Identificar riesgos
de incumplimiento y
su tolerancia
(determina recursos
a dedicar)
G R C
Supervisión de
actividades y
veracidad de
registros
Responsabilidad de
los ejecutivos por la
transparencia y
seguimiento de
políticas
69. La perspectiva de
control interno
Los incendios son
inevitables pero pueden
ser controlados con
extintores. Instale
extintores y audite sus
cargas. Resuelva
cualquier deficiencia.
Documente el proceso y
audite los controles.
Identifique deficiencias y
corrija los controles
La perspectiva de
riesgos
Los incendios ocurren
cuando un material
inflamable se expone a
una fuente de ignición.
Elimine ambos factores.
Identifique y mitigue los
factores de riesgos por
categoría. Monitoree los
KRI para advertir sobre
eventos.
La perspectiva de
compliance
Los incendios ocurren
por la gente
despreocupada.
Persuada a gente que
cambie su conducta y
entrene sobre
prevención.
Desarrolle una política.
Comunique, motive y
entrene a quienes pueden
tener una conducta
peligrosa.
70. Regulaciones Estándares Políticas
SOX SCIIF
ISO
6σ
CoCo
ISO 19600
10500
31000
COSO
COBIT
Monitoreo
continuo
Desarrollo
normativo
POLs
PRCs
Métricas
integradas
72. Apropiación
indebida de
activos
85%
USD 130K
Robo: cheques, efectivo, inventarios, equipos, información
Sobornos y
corrupción
37%
USD 200K
Sobornos: Aceptar un soborno de un proveedor o retorno en
compras
Extorsión: amenazas para que se cumplan ciertas
demandas
Facturación ficticia, proveer baja calidad, sobre cargar
Conflictos de interés
Espionaje corporativo: venta de secretos
De reporte
9 %
USD 1M
Sobrevaluación de ingresos: ventas falsas
Subvaluación de gastos: Amortización demorada o
capitalización de gastos
Sobrevaluación de activos: No provisionar
desvalorizaciones de obsoletos
Subvaluación de pasivos: Deudas fuera de balance
Aplicación errónea de principios contables
Categorías de Fraude
73. Fraude - Prevención
Canal de Denuncias
Comunicación
Entrenamiento
Política Seguridad
Lógica
Autorizaciones y SoD
Política de Información
Sensible
74. Rotación CEO y
CFO
Antecedentes de
candidatos
Antecedentes de
personal
Segregación de
funciones y
seguridad lógica
Cláusulas de
confidencialidad
y no
competencia
Capacitación
en controles
Políticas internas
Monitores de
circuito cerrado
Fraude – Acciones de Prevención
75. Fraude - Detección
Control de Activos
Propios y Bajo Custodia
Detección de
Anormalidades
Cruce de Bases
con Listados
Business
Intelligence
Indicadores de
Fraude
Línea de
Denuncias
76. Fraude – Business Intelligence
Reportes
Interactivos
KCIs / KRIs
Alertas & Red
Flags
Exploración &
Investigación
Visualizaciones
& Dashboards
77. Israel*, blacklist*,
boycotti*, Jew*, “are
not of”, “are not
acceptable”,” Arab
Ports”, “Arab
League”,…
AKKP-AKKTP=1LoC
AKKP-LCRESTRIC=Leng.
A/B
KNA1-LAND1 matched to
AKKP-KUNNR=AE, BH,
DZ..
AE Algeria
BH Bahrain
DZ Djibouti
EG Egypt
IQ Iraq
JO Jordan
KM Kuwait
KW Lebanon
LB Libya
LY Mauritania
MA Morocco
MR Oman
OM Pakistan
PK Qatar
QA Saudi Arabia
SA Somalia
SD Sudan
SO Syria
SY Tunisia
TN
United
Emirates
YE Yemen
Fraude – Business Intelligence
78. ¿Cómo
gestionamos
un fraude
detectado?
Protocolo de Investigación Fraude
Los gerentes son
responsables de detectar
posibles fraudes
¿Reporte al:
• comité de auditoria
• Auditores externos
• ExCom
• RH - disciplina
• Supervisor/Área
• Fraudulento
• Policía/Medios
Encargado
¿Auditoria
interna?
¿control interno?
¿legales?
y de reportar
posibles
fraudes para
investigar
No investigaciones personales
Garantizar la confidencialidad
Garantizar total acceso a
información al investigador
Registro de reportes
Garantizar la preservación de la documentación
Involucrar al menor número de personas
Posibilidad de contratar especialistas contables y
legales
Quién evalúa la necesidad de extender la investigación
Necesidad de evaluar las pérdidas para ajustes
Protección del investigador
Determinar la mejora en el sistema de controles
Plan de Respuesta al Fraude
79. ¿Cómo
gestionamos
una denuncia?
Canal de Denuncias
Objetivo
Ayuda a resolver una cuestión ética
Reporte de potenciales infracciones:
• Al código de ética
• Delitos
• Fraude
• Cuando se pone en peligro la seguridad
Registro y adjuntar los datos brindados y pruebas
Evaluación preliminar: procede o desestima
Investigación: El denunciante lo hace porque cree habrá una investigación
Comunicación de la conclusión
• probada
• infundada buena fe
• infundada mala fe
Comité de ética: involucramiento de la alta dirección por cultura
Alcance
Directores, empleados, contratistas,
pasantes, proveedores, y clientes
Confidencialidad - ¿Anónima?
Sin represalias por buena fe
Medios: teléfono, email, correo, sitio
80. Retención de Documentación
Remuneraciones a Directores
Donaciones, Contribuciones a Partidos Políticos
Patrocinio
Drogas y Alcohol
Uso de Redes Sociales
Cuidado Ambiental
Agentes, Distribuidores, Representantes y Proveedores
De sistemas (seguridad, antivirus, passwords, wifi, email..)
Política de Viajes
Préstamos a Empleados
Due Diligence de Clientes
Tarjetas Corporativas
Políticas de Compliance
81. Claves
Norma de Normas
Debemos definir quién es
responsable de dar y aprobar
normas
Designar un custodio del sistema normativo (ej. operaciones y métodos)
Designar un dueño de cada tipo de política que negocie y tenga input
Integrar políticas a valores, el marco de control (ej SOX) y entrenamiento
Preservar la discreción de los gerentes
Mecanismo de “waiver” de cumplimiento
Prever un mecanismo de actualización políticas
Calidad de redacción: Guia a empleados sin jerga y tecnicismos
Un mismo sistema para todos y todas las regulaciones
CoCo
Pol
Proc
82. Claves
Uso de Activos
Los empleados deben proteger:
Los activos físicos bajo custodia del robo y mal uso
La información
Los activos tecnológicos (sistemas, móviles, computadores)
Canal de reporte de robos de activos
Regular el uso personal ocasional si no se orienta a obtener un ingreso o
Ventaja ocasional
Acceso indebido, alteraciones en configuraciones y fraudes sobre sistemas
cumpliendo políticas establecidas por IT
Derecho de monitorear comunicaciones por email y teléfono de compañía
Derecho de bloqueo de internet
Todo uso de la propiedad intelectual de la empresa debe estar
aprobado por un supervisor
83. Amplia casuística .
Conflictos de Intereses
Casos no exhaustivos:
• Interés económico directo o indirecto
• Conexiones comerciales
• Relaciones personales
• Expectativas futuras (conflictos potenciales)
- poder ser un empleado
- recibir un préstamo
• Prohibir una ventaja personal por la
la relación con la empresa
• Declararlos a una unidad responsable
Desafíos
Consultoría con empresas relacionadas
Inversiones en empresas relacionadas
Miembros de familia
Consensuar la resolución
del conflicto
En forma temprana
Cambios de proyectos
Dejar de hacer
84. Claves
Política de Anti Corrupción
Cero tolerancia a la corrupción
activa y pasiva
Los pagos facilitadores es recomendable que sean solamente dados en caso
de riesgos de vida inminente de un empleado.
Vincular el control de esta política a controles financieros y orientarla a riesgos
por jurisdicciones, tipos de transacciones e involucrados (ej. oficiales)
Incluir el uso de agentes e intermediarios, así como de JVs
Directas e indirectas
Diferencia entre pago facilitador y sobornos
Una empresa
que paga
sobornos deja de
controlar sus
negocios
85. Claves
Hospitalidad y Regalos
Se permiten si:
no influencian en una decisión
cumplen la ley
no son en efectivo
comunes a la circunstancia
no involucran a empleados públicos
Dar un valor de referencia de un regalo aceptable (usualmente 100 euros año)
Dar cuotas en valores para hospitalidad por nivel jerárquico y departamentos
Aprobación de atención a eventos y regalos al superior
Prohibir ciertos tipos de entretenimientos (finalidad de negocios legítimos o que
beneficien a la empresa)
Cubrir que gastos de promoción cubrimos a clientes o potenciales
Prever la recepción y el otorgamiento
Razonables
Apropiados
86. Claves
Protección de Propiedad Intelectual
Los empleados deben:
preservar la propiedad intelectual de la empresa
Utilizar propiedad intelectual de terceros previo pago de
licencia y permiso
Considerar los soportes: físicos y electrónicos
Considerar los empleados actuales, los ex empleados y los consultores
Todo secreto comercial y propiedad intelectual desarrollada por un empleado
en funciones de su cargo son propiedad de la empresa
Control de licencias en software, imposibilidad de instalar software no provisto
por IT, hacer copias o instalaciones en otras máquinas
Todo uso de la propiedad intelectual de la empresa debe estar
aprobado por un supervisor
87. Claves
Delitos contra el Mercado
Los empleados deben:
evitar sospechas de abusos de mercado (trust,
cartelización, acuerdos y fijación de precios, limitación
volúmenes o condiciones)
No compartir información o iniciar rumores
Considerar las reuniones con competencia y analistas de mercado
Los acuerdos pueden ser un contrato o simplemente un apretón de manos
Notificación de fusiones y adquisiciones
Limitar interacciones con clientes (exclusiones, reciprocidades
“yo te compro, tu me compras”)
La información confidencial debe tener un responsable
88. Claves
Información Privilegiada
Las personas que tengan
conocimiento por razón de su
trabajo o cargo de
una información no pública
obtenida por la sociedad no
podrán utilizarla
No operar con
los valores
relacionados
Periodos restringidos
Antes de publicar las cuentas anuales y trimestrales
Ante operaciones significativas en curso
Extensión a familia y convivientes
Responsabilidad de salvaguardia de la información privilegiada
Registro de personas con información privilegiada
Relación con Protección de Activos
No trasmitirla
a terceros
89. Protocolos de Actuación
Reglamento del Consejo
de Administración
Acciones previas a la decisión
demostrando debida diligencia
Informes internos necesarios:
Financiero: TIR, endeudamiento
Técnico: operaciones
De riesgos jurídicos, impositivos, estratégicos y otros
Otros informes de alternativas y escenarios
Solicitud de asesoramiento externo
Jurídico especializado
Orden del día, sistema de votación,…
Proyectos, Inversiones y Compras de Empresas
Informe de impacto ambiental
Estudios de ambientales
hidráulico,
de patrimonio cultural,..
Informe de control de contaminación
Autorización ambiental integrada
Ley de Evaluación Ambiental
Informes necesarios:
Viabilidad de nueva empresa
Valoración de aportes en especie
Valoración de acciones y aportaciones
De auditoria de due diligence
De modificación de estatutos
Ley de Sociedades de Capital
90. Política de Medio Ambiente
Generalmente parte de la
política de sustentabilidad
Mejorar la performance ambiental (reducir huella hídrica,
de carbono, emisiones/impacto cero, …)
Actuación frente a incidentes medioambientales y
disposición de residuos
Cooperación con organismos y agencias gubernamentales
Green procurement
Encargado del monitoreo y reporte
Requiere campañas de concientización y auditorias
Conceptos básicos
Regulaciones nacionales y locales
Guia de mínima (países sin normas ambientales)
Salud de empleados y terceros
Protección del medio ambiente
Por cambio climático
Impactos
Reducir el impacto en el transporte
Reciclado y menor empaque de productos
Minimizar la generación de residiuos
Uso eficiente de energía y agua
Uso de biodegradables
Adicionales
92. Entrenamiento
Áreas
Código de ética a nuevos ingresos y por campañas a colectivos
de empleados
Políticas de prevención de corrupción, fraude y sobornos
Sobre valores como el abuso de empleados
Especializados a departamentos con riesgos operativos de errores
La cultura organizacional comienza en el entrenamiento
Comunicar programas sobre compliance dentro de los diferentes grupos de empleados es la base de
construcción de la cultura del cumplimiento e incentiva el diálogo entre departamentos.
No se puede cumplir lo que no se conoce.
Formalizar asistencia, evaluar en pruebas y medir en encuestas. Responsable:
¿HR o CCO? Sitio de intranet. ¿Online, videos, presencial, autoestudio?
Monitorear avances
93.
94. ¿Cuáles son
las
alternativas?
¿Es legal y
consistente
con el espíritu
de la ley?
¿Está prevista
en el CoCo y
es consistente
con nuestros
valores?
¿Cuáles son
los hechos?
¿Cómo
implica cada
alternativa en
mí?
¿Cómo
implica cada
alternativa en
la sociedad y
la empresa?
¿Quiénes son
los afectados
de las
alternativas?
Entrenamiento sobre Ética
95. Entrenamiento
Invitar a un directivo reconocido dentro del
grupo objetivo para compartir sus valores y
liderazgo. “Esto es importante”
Obtenemos su patrocinio y credibilidad
Nos dan una visión única desde la dirección
El directivo se compromete con compliance
Mensaje único
Ponente
invitado
Planteamos un escenario hipotético y realista
para desarrollar con el grupo diferentes cursos
de gestión del caso.
Pueden tener un contenido regional/local
Practica con escenarios comunes
Hay mayor discusión y conocimiento del grupo
Presión de paresCasos
reales
Invitamos a un especialista sobre cierta
función, que describa los riesgos de falta de
cumplimiento y cómo efectuar controles
Conocimiento profundo sobre cierto riesgo y
sus controles
Visibilidad del especialista
Específicos
para un
riesgo
Principio “Nuestra gente defiende lo que es
involucrada a construir”
Permitir grupos de discusión para compartir
experiencias y mejores prácticas
Generar redes de conocimiento
Inspiración para alcanzar mejores prácticas
Reconocimiento de quienes efectúan mejores
controles
Compartir
conocimiento
98. Entrenamiento – Grupos
Políticas claves
Cambios de normativas
Principios de reporte contable
Controles sobre fraude
Aprender de los errores (ej. multas,
demandas)
Welcome pack + Inmersión
Canal de consultas
Mensajes de correos
Daily learning
Documentar asistencia
Pruebas
Recepción de políticas
Calidad
Frecuencia
Todos los empleados
Orientados a departamentos
Ventas
Marketing
Legales
Finanzas
99.
100. Quis custodiet
ipsos custodes?
Compliance audit
• Reaseguro que el CCO aplica el
programa de compliance aprobado
• Independiente
• Controles, IT, regulaciones, vendors
• Materialidad más alta
101. Compliance Audit
Tácticas
Debemos dejar un responsable por el reaseguro de compliance
Enriquecer los programas de auditoria interna
Centralizar el conocimiento en una función específica
Interés creciente sobre contract compliance
Alcance sobre gobierno corporativo…
….. pero también sobre ciclos operativos
Problemática
Hay acciones de cumplimiento que escapan del control financiero y operativo ordinario. Estas acciones
necesitan tener un reaseguro sobre aspectos normativos claves, con revisiones selectivas y rotativas.
102. Auditoria
• ¿Hacemos lo
que decimos que
debemos hacer?
Compliance
• Si hacemos lo
que decimos que
hacemos, ¿qué
requerimientos
vamos a
cumplir?
Compliance Audit
104. Medición
Índices a seguir
Resultados de la revisión de auditoria de compliance e interna
Grado de cumplimiento de los programas de entrenamiento
Horas de entrenamiento brindado
Volumen de denuncias reportadas
Resultados de las denuncias
Encuestas de satisfacción de empleados
Evaluaciones independientes
Monto de multas y otras penalidades
¿Cómo medir el retorno de la función del
Compliance Penal?
105. Sanción .
Objetivos de
Mejora
Protocolo de Disciplina
Cultura
Compliance
Performance
Aclarar que las responsabilidades
dependen de la definición de cargo
Aclarar y separar infracciones:
• Performance
• Conducta
• Violación a políticas/ley
• Falsificación
• Fraude y abuso activos
• Acoso
• Drogas y alcohol
1 – Entrevista
con
supervisor
2 – Entrevista
con RH
Nota firmada por ambos
Próxima a la falta
Resguarda legajo
Acción correctiva
Comité de ética
Escalable en sanciones , s/recurrencia
Dar flexibilidad
Tolerancia cero al código ético
Entrevista
Salida
Equidad
Investigación
106. Reponsabilidad CCO
Garantías del debido control
Responsable de supervisar el sistema de prevención de riesgos penales
Poder delegado del consejo (solo aquellas delegables)
Necesita un modelo aceptado de aplicación
Estatuto Profesional del Compliance Officer de CUMPLEN (art. 30, cumplimiento de leyes aplicables)
Responde por incumplimiento negligente de tareas delegadas, por ejemplo
no formalizado buenas prácticas corporativas en el código de ética y sus políticas accesorias
no haber impulsado controles sobre riesgos penales materiales
el encubrimiento o la participación en un delito corporativo
Necesita informar los riesgos de compliance y los incumplimientos
La gestión de un sistema de gestión de riesgos penales sin ser el
propietario
En el caso de Volkswagen, por ejemplo, será muy difícil demostrar que se ha instalado en millones de vehículos un aparato que altera la medición de las emisiones de gases sin que hayan tenido noticia de ello los directivos de la firma.
hay veces que se recurre a un directivo para no implicar a un consejero.En caso de que no se tengan competencias sobre el asunto, solo puede haber delito por omisión de información a superiores. Entonces el consejero no tiene escapatoria.Con los directivos ocurre lo mismo. Las compañías pueden curarse en salud diseñando y supervisando los llamados planes generales de cumplimiento normativo.
Cambios importantes en el rol del consejoReforma LSC Cuestiones clave:
Se extiende a las sociedades anónimas la posibilidad de que la junta general intervenga en asuntos de gestión, impartiendo instrucciones al órgano de administración o sometiendo a
autorización la adopción por éste de decisiones o acuerdos sobre determinados asuntos.
Se incluye una nueva competencia exclusiva de la junta general consistente en la toma de decisiones sobre la adquisición, enajenación o aportación de activos esenciales.
En las sociedades cotizadas será también materia reservada de la junta general la transferencia a entidades dependientes de actividades esenciales desarrolladas hasta ese momento por la propia sociedad, aunque ésta mantenga el pleno dominio de aquéllas (“filialización”).
Se presume el carácter esencial de un activo/actividad cuando la operación supere en importe el 25% del valor de los activos que figuren en el último balance aprobado.
Se reduce al 3% el porcentaje del capital social necesario para ejercitar los derechos de minoría en las sociedades cotizadas
Mayor transparencia y control de la remuneración de los administradores reforzando el papel
de la junta general.
La junta general deberá aprobar el importe máximo de la remuneración anual del conjunto de los administradores por su condición de tal.
Los consejeros que realicen funciones ejecutivas deben celebrar un contrato con la sociedad que recoja de forma exhaustiva el sistema de remuneración por tales funciones, que deberá
aprobarse por mayoría reforzada del consejo sin la intervención del consejero afectado.
Las sociedades cotizadas deben aprobar una política de remuneraciones de los consejeros, que debe comprender la remuneración de los consejeros por su condición de tal y por el
desempeño de funciones ejecutivas, que debe ser necesariamente aprobada por la junta general de accionistas por un plazo de tres años
Se consagra la conocida como business judgement rule o “protección de la discrecionalidad empresarial”, que impide que los jueces puedan revisar las decisiones estratégicas y de negocio de los administradores
Se diferencia el régimen de responsabilidad de los administradores en atención a las funciones efectivamente desarrolladas
Se reformulan las principales manifestaciones del deber de lealtad y se añaden otras, como la obligación de los administradores de actuar en todo caso con independencia de criterio y n aceptar instrucciones o vinculaciones de terceros
n Dentro del deber de lealtad se distinguen las obligaciones básicas o sustantivas, que configuran prohibiciones absolutas, y determinadas obligaciones instrumentales referidas a supuestos de conflicto de interés, que por el contrario pueden ser objeto de dispensa
Presentación participantes
Compliance está de moda. Es, si se me permite la expresión, un trending topic en el mundo empresarial, pero sabemos poco http://cincodias.com/cincodias/2015/05/21/empresas/1432213003_111178.html
http://www.eleconomista.es/empresas-eAm-mexico/noticias/6701942/05/15/Pablo-Wallentin-abandona-OHL-Mexico-por-el-escandalo-de-sobrecostes.htmlhttps://www.youtube.com/watch?t=75&v=_nLKxFvcAOg Fraude en las carreteras de Mexico version completa – Minuto 20 a 23 Esto ya es un fraude
Aparecen escuchas entre ejecutivos sobre supuestos sobrecostos en obras y eventual aumento de tarifas en una importante vía cercana a la capital mexicana. La obra triplico las previsiones del estado (de 4 a 10B, TIR 20%). Aumentaron el peaje un 30% a costa de tramos que no construyeron.
-OHL declara que es un montaje malicioso de grabaciones
Secretaría de Comunicaciones del Estado de México, Apolinar Mena, declara que él pagó sus vacaciones en un hotel de OHL Desarrollos, aunque OHL se lo ofreció (en la escucha le dice “yo te lo reservo”)- sus acciones acumulan una baja de 20.3% a 24.62 pesos al cierre de este lunes y lo suspenden de cotizar (7% cayo la filiar española). Le impidieron renegociar tarifas hasta que aclare. Una comisión del estado de MX los auditará. Planean la venta de Mexico a Abertis- José Andrés de Oteyza, consejero de la constructora, justificara que habían invitado al político por "cortesía". "Siendo nosotros propietarios de un desarrollo de esta naturaleza (el hotel) y llega una personalidad, hasta por cortesía le decimos que es nuestro invitado, pero él lo rechazó. La mayor parte de las empresas que yo conozco hacen invitaciones a distintantes personalidades",
Lo despiden para no entorpecer las negociaciones
Prometieron: revisar todos los procedimientos de y sistemas de control de la Sociedad y revisar el cumplimiento del Código Ético para evitar eventuales o posibles sobornos y fraudes de ley.
También va a "iniciar una investigación de las operaciones y contratos de la Sociedad para la construcción, operación y mantenimiento de las autopistas en el Estado de México, a fin de asegurar que las mismas se han realizado conforme a los términos establecidos y revisar los sistemas de control de la Sociedad en este aspecto",
la firma creará un Comité de Adquisiciones y la designación de un Director responsable del área de cumplimiento normativo (?Compliance?) que refuerce la transparencia en la Sociedad.
La compañía ha hecho efectivo el despido de en torno a una treintena de directivos y altos cargos de la compañía.Tal y como ha podido conocer este diario a través de fuentes cercanas al laboratorio, el motivo de los despidos ha sido una supuesta infracción del ‘compliance’ o código interno de la farmacéutica estadounidense. El ‘compliance’ es una fórmula de control interno habitual en multinacionales que tiene por objetivo asegurar el cumplimiento de las directrices de la matriz en todas sus filiales.Al parecer, la mala práctica a la que se atribuyen los despidos está relacionada con el medicamento Enbrel (etanercept), indicado contra la artritis. Con este fármaco como protagonista, un alto directivo del laboratorio en España fue despedido hace unos meses por intentar captar voluntades y fomentar el uso de este medicamento con argumentos más allá de los estrictamente científicos y al margen del ‘compliance’ de Pfizer España.Dicho directivo llevó el caso a la matriz en Estados Unidos, desde donde se inició una investigación en profundidad del asunto. El resultado: 30 despidos más este jueves en la filial española a altos cargos que hicieron lo mismo que el primer directivo despedido y también a todos aquellos que, siendo conocedores de que otros compañeros llevaban a cabo estas prácticas, no lo denunciaron.Acciones legalesEn este sentido, fuentes no oficiales han asegurado a Redacción Médica que los directivos afectados se han concentrado en un hotel de Madrid cercano a la sede de Pfizer España (en la Avenida de Burgos) con sus respectivos abogados. El objetivo de dicha reunión ha sido consensuar tanto su postura como las acciones legales a llevar a cabo ante la decisión fulminante de la farmacéutica.Las mismas fuentes indican que el proceso ha sido ejecutado “por sorpresa”, ninguno de los implicados lo sospechaba, pero “limpio”. A primera hora de este jueves, los directivos se han encontrado con sus despachos cerrados con llave y todos sus accesos revocados, por lo que han sido invitados a marcharse de la central madrileña de Pfizer tras presentárseles el correspondiente escrito.Pfizer ha planteado un despido con escrupuloso respeto a la legalidad vigente. Es decir, ha ofrecido a los directivos una indemnización de 45 días por año hasta 2012 y 20 días de ahí en adelante. La argumentación legal se ha basado en una serie de datos recopilados entre los que se incluyen conversaciones telefónicas, correos electrónicos y documentación diversa. El anuncio oficial a los empleados de la compañía acerca de lo sucedido se hará este viernes por la mañana.
Beneficio: la exoneración de toda responsabilidad penal por los delitos cometidos por sus representantes legales o por las personas con capacidad de decisión o funciones organizativas o de control.
las penas a las que se exponen las personas físicas mencionadas son la de prisión de 3 meses a 1 año o, alternativamente, multa de 12 a 24 meses, a la que se añade en todo caso la de inhabilitación especial para el ejercicio de industria o comercio de 5 meses a 2 años. Si el delito se comete por imprudencia (no se dice si grave o leve), dichas penas se sustituyen por la de multa de 3 a 6 meses (apartado 2 del artículo 286 siete del ACP).
https://www.iso.org/obp/ui/#iso:std:iso:19600:ed-1:v1:enbasado en el Australian Standard AS3806:2008, y es superestructura de cumplimiento que introduzca sistemática y consistencia en la gestión de sus diferentes ámbitos de cumplimiento
Marco Aleman Compliance Management Systems (CMS), IDW AssS 980 de 2011 por el Instituto Alemán de Auditores Públicos (IDW) ISO 19600 Clause 4.1 Understanding the organization and its context
A.4.1 The organization has determined external and internal issues that are relevant to its purpose and that affect its ability to achieve the intended outcome(s) of its compliance management system.
ISO 19600 Clause 4.2 Understanding the needs and expectations of interested parties A.4.2 The organization has determined:
the interested parties that are relevant to the compliance management system; and
the requirements of these interested parties.
ISO 19600 Clause 4.3 Determining the scope of the compliance management system
A.4.3 The organization has determined the boundaries and applicability of the compliance management system to
establish its scope.
NOTE: The scope of the compliance management system specifies the geographical and/or organizational boundaries as well as the compliance risks to which the compliance management system will apply.
A.4.4 The scope is available as documented information.
ISO 19600 Clause 4.4 Principles of good governance
A.4.5 The organisation has established a compliance management system which meets the following governance
principles:
1. direct access of the compliance function to the governing body;
2. independence of the compliance function;
3. appropriate authority and adequate resources allocated to the compliance function.
ISO 19600 Clause 4.5 Compliance obligations
A.4.6 The organization systematically identifies its compliance obligations and their implications for its activities.
A.4.7 The organization documents its compliance obligations.
A.4.8 Processes are in place to identify new and changed laws, regulations, codes and other compliance obligations.
A.4.9 Processes are in place to evaluate the impact of the identified changes and implement any necessary changes in
the management of the compliance obligations.
ISO 19600 Clause 5.2 Compliance policy
A.5.2 The governing body and top management of the organization have established a compliance policy.
A.5.3 The compliance policy articulates:
1. the scope of the compliance management system;
2. the application and context of the system;
3. the responsibility for managing and reporting compliance issues;
4. the required standard of conduct and accountability; and
5. the consequences of noncompliance.
A.5.4 The compliance policy is:
1. available as documented information;
2. communicated clearly with
https://www.iso.org/obp/ui/#iso:std:iso:19600:ed-1:v1:en
ISO 19600 Clause 4.5 Compliance obligations
A.4.6 The organization systematically identifies its compliance obligations and their implications for its activities.
A.4.7 The organization documents its compliance obligations.
A.4.8 Processes are in place to identify new and changed laws, regulations, codes and other compliance obligations.
A.4.9 Processes are in place to evaluate the impact of the identified changes and implement any necessary changes in
the management of the compliance obligationsISO 19600 Clause 5.1 Leadership and commitment
A.5.1 The governing body and top management demonstrate leadership and commitment with respect to the compliance
management system by:
1. establishing and upholding the core values of the organization;
2. communicating the importance of an effective compliance management system and the importance of conforming
to the compliance management system requirements
AdaptaciónGuidance on the 8th EU Company Law Directive – FERMA for Risky Swiss Cheese Model for Risk
Si creemos que compliance es caro, proveemos con la no compliance
En particular, lo que la persona jurídica debe probar para poder eximirse de responsabilidad penal es lo siguiente:
“a) el órgano de administración ha adoptado y ejecutado con eficacia, antes de la comisión del delito, modelos de organización y gestión que incluyen las medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza;
b) la supervisión del funcionamiento y del cumplimiento del modelo de prevención implantado ha sido confiado a un órgano de la persona jurídica con poderes autónomos de iniciativa y de control;
c) los autores individuales hayan cometido el delito eludiendo fraudulentamente los modelos de organización y de prevención, y;
d) no se ha producido una omisión o un ejercicio insuficiente de sus funciones de vigilancia y control por parte del órgano al que se refiere la letra b”.
Podríamos decir que distingue dos tipos de culpa de la persona jurídica: " In eligendo" al referirse a delitos cometidos por los representantes legales o administradores que ha designado la organización para que le representen e " In vigilando" tratándose de empleados sometidos a la autoridad de los anteriores, sin haberse ejercido el debido control.
Lo que dispone el artículo 31CP, pudiendo llegar a interpretarse, a sensu contrario,como que se pasa a considerar a los administradores de una persona jurídica como sujeto activo de cualquier delito imputable a ésta, respondiendo personalmente
Se introduce un nuevo tipo penal que castiga al representante legal o administrador de hecho o de derecho, que haya omitido la adopción de medidas de vigilancia o control exigibles, es decir, de un programa de compliance penal.
Debido Control: responsabilidad de los administradores por el defecto de organización. Aplica a “quienes estando sometidos a la autoridad”
“medidas de vigilancia y control”, en palabras textuales del ACP) se entienden incluidas “la contratación, selección cuidadosa y responsable, y vigilancia del personal de inspección y control y, en general, las expresadas en los apartados 2 y 3 del artículo 31 bis”.
“haberse incumplido gravemente por aquéllos [los mencionados en la letra a) precedente] el deber de controlar su actividad”.
Medidas Eficientes: No hacer controles estéticos (como colgar el CoCo o la politica de delitos en Intranet, no cuela como “debida dirigencia”)
SEC tiene el “Effective Ethics and Compliance Program”.
El concepto "medidas eficaces" elude toda opción de simplemente maquillar un programa de cumplimiento en lo que se conoce, empleando terminología anglosajona, como "makeup compliance".
La circular 1/2011 de la Fiscalía General del Estado alerta sobre la ineficacia del “compliance cosmético”, es decir, de los protocolos de prevención y detección de delitos que simplemente se aplican sin acreditar la existencia y la eficacia del control de forma periódica
a) Identificarán las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos. Relación con - El funcionamiento eficaz del modelo de prevención requiere: a) de una verificación periódica del mismo y de su eventual modificación cuando se pongan de manifiesto infracciones relevantes de sus disposiciones, o cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada que los hagan necesarios;
b) Establecerán los protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las mismas con relación a aquéllos.
c) Dispondrán de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos.
d) Impondrán la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención.
e) Establecerán un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo.”
Una politica general con ajustes a cada pais (aprobados por corporate)
Ajustando también el tratamiento de compliance según el país:
Entrenamiento LatAm, incluyendo dinámicas de grupo
Hacernos visibles y reforzar el vínculo Asia, reforzando la protección del reportante
Valores corporativos y principio de justicia (India)
Refuerzo en corrupción en China y LatAm
31 delitos por los que puede ser condenada una empresa: Una empresa puede ser condenada por la comisión de cualquiera de los siguientes delitos (tipicidad del código penal):
Medios de pagos: Delitos de falsificación de tarjetas de crédito y débito, y cheques de viaje (artículos 399 bis CP).
- Delitos contra la intimidad y el allanamiento informático (Art. 197 CP). Consiste en descubrir secretos o vulnerar la intimidad de otro, sin su consentimiento, apoderándose de sus papeles, cartas, mensajes de correo electrónico, interceptando sus telecomunicaciones o utilizando artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen; o en acceder sin autorización a datos o programas informáticos contenidos en un sistema informático.
- Delitos de Insolvencias Punibles (Art. 261 Bis CP). Consisten en alzamiento de bienes o realización de actos de disposición patrimonial en perjuicio de los acreedores.- Delitos de Daños Informáticos (Art. 264 CP).Consisten en obstaculizar o interrumpir el funcionamiento de un sistema informático ajeno, introduciendo, transmitiendo, dañando, borrando, deteriorando, alterando, suprimiendo o haciendo inaccesibles datos informáticos.Los delitos más corrientes que pueden cometer las personas jurídicas desde el día 23 de diciembre son los siguientes:
Contra la intimidad y allanamiento informático (art. 197 CP)
Estafa (art. 251 bis CP)
Insolvencias punibles (art. 261 bis)
Informáticos -hacking- (art. 264 CP)
Contra la propiedad intelectual e industrial (art. 288 CP)
Contra el mercado y los consumidores, entre los cuales destacan los delitos de descubrimiento y revelación de secretos de empresa (art. 278 a 280 CP)
Publicidad engañosa (art. 282 CP), de facturación fraudulenta (art. 283 CP)
Información privilegiada (arts. 284.3 y 285 CP)
Corrupción entre particulares (art. 286 bis CP)
Blanqueo de capitales (art. 302 CP)
Contra la Hacienda Pública (art. 310 bis CP)
Sobre la ordenación del territorio (art. 319 CP)
Contra los recursos naturales y el medio ambiente (arts. 327 y 328 CP)
Cohecho (art. 427 CP)
Tráfico de influencias (art. 430 CP)
Proceso de compras:
Hay subrocesos: Ej. Generación de contrato: 1- Estrategia, 2- Armado de propuestas, 3- Dar precioobjetivo: La identificación de las actividades o procesos que generan o aumentan el riesgo de comisión de los delitos;
Identificar maniobras
Identificar controles existentes
Posterior reflexión sobre la suficiencia o insuficiencia de los controles sobre las mismas
US corporate criminal liability
Marco ERM escalable
Grado adecuado de detalle
Involucrar a todos los participantes
…inclusive los externos (consultores)
Análisis al futuro
Objetividad de valuaciones
Cualitativo vs. cuantitativo
No olvidar monitorear riesgos de bajo impacto
Involucrar aprobaciones del Sr. Mgmt
Documentar
Inicial: Reactivos frente a la norma
Definido: Mejorar los reportes del board que existen
Enfoque “Top Down”: Son aquellos que surgen a entity-level, fácilmente identificables, gestiona el board
Evaluación de tendencias y estrategias: iniciativas estratégicas (de crecimiento), performance de las líneas de negocios, resultados de las entrevistas de egreso de personal, encuestas de ambiente laboral (sector de ética), cambios en el organigrama de compliance, provisiones legales
Entrevistas con encargados de compliance y process owners
Auditoria: Resultados de SOX 404, hotline, CSA, investigaciones
Análisis de industria: Industry reports, memoria al balance.
Requerimientos regulatorios: inspecciones, multas, acuerdos parajudiciales, propuestas de nuevas leyes (riesgos emergentes), investigación sobre la competencia
More forward-looking is the use of leading indicators to anticipate risks that may occur.
Liability for wrongdoing by contractor
FCPA = Ley Anticorrupción para el Extranjero de Estados Unidos (LAE). También la Ley Anticorrupción de 2010 de UK, ni siquiera permite pagos facilitadores y pequeñas prácticas corruptas como para tramitar formularios de aduanas o sellar visados
Centrarse en actividades donde se cree el valor (Por ejemplo, en una empresa de Oil&Gas integrada, puede darse que mucho del esfuerzo de ERM se centre en inventarios, refino y contabilidad, cuando el valor se crea en exploración).
Orientación a la acción
La definición de riesgos puede hacerse con una herramienta llamada CASE para articular sus características:
C onsequence – ¿Cúal es el impacto del riesgo?
A sset – ¿Cuál/es es/son los activos en riesgos? (también los intangibles como la información o la reputación)
S ource – ¿Cuáles son los actores detrás del riesgo?
E vent – ¿Qué tipo particular de incidente se tiene en cuenta?
Esta herramienta es útil para delimitar riesgos como “terrorismo” que en realidad comprende múltiples riesgos, ayudando a lograr un consenso sobre la caracterización (de otra forma cada cual tiene su propia percepción sobre “terrorismo”, riesgos es un continuo). No solo la frecuencia y el impacto cambian ante cada definición, sino cambien los planes de acción.
Manuales de prevención de riesgos penales o de cumplimiento normativo en materia penal, o también denominados «Compliance Programs», Proyecto de Reforma del Código Penal: prevé un delito específico para aquellos representantes legales o administradores de cualquier persona jurídica, empresa, organización, o entidad que carezca de personalidad jurídica, que omitan la adopción de las medidas de vigilancia o control que resulten exigibles para evitar la infracción de deberes o conductas peligrosas tipificadas como delito, siempre que si se hubiera empleado la diligencia debida se pudiera haber evitado, o seriamente obstaculizado, la ejecución de una de tales conductas ilícitas.
La reforma del Código Penal de 2015 establece los requisitos que una empresa debe cumplir para quedar exenta de responsabilidad penal en el
caso de que una persona de su organización cometa un delito en determinadas circunstancias.
La reforma introduce los conceptos de antelación, eficacia e idoneidad como atributos clave del modelo de prevención y control
Contenido del modelo de prevención y control
Mapa de riesgos.- Identificación de las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos.
Protocolo de toma de decisiones.- Establecimiento de protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución en las mismas con relación a aquéllos.
Modelo de gestión de los recursos financieros.- Disposición de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos.
Canales de denuncias.- Imposición de la obligación de informar de posibles riesgos e incumplimientos al organismo de vigilar el funcionamiento y la observancia del modelo de prevención.
Sistema disciplinario.- Establecimiento de un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo.
Verificación periódica.- Realización de una verificación periódica del modelo y de su eventual modificación cuando se pongan de manifiesto infracciones relevantes de sus disposiciones, o cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada que los hagan necesarios
Contenido del modelo de prevención y control
Mapa de riesgos.- Identificación de las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos.
Protocolo de toma de decisiones.- Establecimiento de protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución en las mismas con relación a aquéllos.
Modelo de gestión de los recursos financieros.- Disposición de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos.
Canales de denuncias.- Imposición de la obligación de informar de posibles riesgos e incumplimientos al organismo de vigilar el funcionamiento y la observancia del modelo de prevención.
Sistema disciplinario.- Establecimiento de un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo.
Verificación periódica.- Realización de una verificación periódica del modelo y de su eventual modificación cuando se pongan de manifiesto infracciones relevantes de sus disposiciones, o cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada que los hagan necesarios
Manuales de prevención de riesgos penales o de cumplimiento normativo en materia penal, o también denominados «Compliance Programs», Proyecto de Reforma del Código Penal: prevé un delito específico para aquellos representantes legales o administradores de cualquier persona jurídica, empresa, organización, o entidad que carezca de personalidad jurídica, que omitan la adopción de las medidas de vigilancia o control que resulten exigibles para evitar la infracción de deberes o conductas peligrosas tipificadas como delito, siempre que si se hubiera empleado la diligencia debida se pudiera haber evitado, o seriamente obstaculizado, la ejecución de una de tales conductas ilícitas.
CODE OF ACCOUNTING PRACTICE AND FINANCIAL REPORTING https://www.westpac.com.au/docs/pdf/aw/ic/Code__accounting_practice_f1.pdfCode of ethics for senior finance officers
http://www.lilly.com/about/business-practices/ethics-compliance/code-of-conduct/Pages/code-of-conduct-financial-management.aspx
Alinear R y A según nivel de autoridad: A tiene más cargo de R
Solo hay una A en cada tarea
Cada A debe tener un poder (nivel de autoridad) adecuado
Las personas en C y I deben ser un mínimo
Sumar todas las Rs en una columna para ver si una persona está haciendo mucho
Sumar todas las As en una columna para ver si una persona tiene la correcta segregación de funciones (muchas As es confuso o genera un cuello de botella)Si una persona no tiene ni R y As, su posición puede ser eliminada
Alinear las Rc y las As a la calificación de cada cargo/persona
Responsabilidades: CRO,
Etapas para integrar compliance a la gestión (mayor factor de éxito para esta iniciativa: involucrando a empleados, integrando regulaciones diversas en un sistema, ayudando al entendimiento de regulaciones).
Asignar responsabilidades a los dueños de los procesos – La percepción de la necesidad de compliance disminuye con las responsabilidades (Kearney: 68% del top mgmt tiene una percepción positiva de compliance vs. 19% del nivel más bajo)
Cuáles son las funciones de un Responsable de Control Interno & Compliance. Ideas para motivar una cultura de cumplimiento normativo desde el gobierno corporativo
Involucrar a expertos y resolver el punto de equilibrio entre riesgos y carga administrativa – La carga administrativa disminuye la adherencia. No podemos definir procesos sin tener en mente a compliance.
El Código Ético: requerimientos, implementación y difusión. Requerimientos SOX y reportes en compliance (ej. Hotline). El sistema normativo. Cómo elaborar un mapa de riesgos de cumplimiento normativo y regulatorio: herramienta crucial para identificar, tratar y seguir los riesgos de incumplimiento en una corporación energética. Estrategias para priorizar esfuerzos. Recorrido por los principales tipos de regulaciones a nivel internacional en energía.
Generar controles para reducir los riesgos de no cumplimiento en procesos claves – Conexión al sistema de control interno. Proceso de mejora continua.
Tipos de auditorías de cumplimiento recomendadas para cada caso. Identificación de tendencias, herramientas para detectar operaciones sospechosas y el papel de la business intelligence. Estrategias para comunicar pautas de cumplimiento a las unidades de negocio en el ejercicio de la actividad energética. Materiales de referencia para implementar programas de cumplimiento
¿Qué llevarse? Un conjunto de herramientas e ideas para priorizar los riesgos legales y de compliance para desarrollar planes de mitigaciòn.
Nota: Enfoque a compañías multinacionales (incluyendo US aunque no buscando que sean solo especificas de un país).
development of a performance model of legal risk management (ie. ensuring that the organisation is doing the right things having regard to its organisational goals), as opposed to a conformance model (ie. merely ensuring that the organisation is not doing anything wrong);
En 2008 el Open Compliance and Ethics Group (OCEG) da un marco de referencia para la integración del Gobierno Corporativo, la Gestión de Riesgos y el Cumplimiento Regulatorio.Beneficios de integración de riesgos legales en el marco general de GRC
Única fuente: único mapa de riesgos corporativos centralizado, una vista integrada
Aumenta el compromiso, a más entendible, mas adherencia
Orientación Recursos: menos costo de la iniciativa (un sistema, un grupo, una política), un solo levantamiento de riesgos/taller (màs participativo), una sola auditoria de riesgos
Alineamiento: rompe silos
Consideraciones especiales del riesgo legal en ERM
Un riesgo legal puede no tener fuente (podemos decidir romper un contrato)
Con consecuencias de otros riesgos (ej. una caída de liquidez puede hacer incumplir covenants de prestamos)
Hay efectos no financieros (ej. ilegalidades puede resultar en el despidos y prisión del personal)
No podemos mitigar el impacto: Las consecuencias de los riesgos legales están generalmente predeteminadas
Todos los grupos de negocio y áreas de actividad
Todos los niveles de responsabilidad
Todos los tipos de operaciones
ISO 31k
Sistema de Control Interno sobre la Información Financiera
Politicas incluye best practices
% numero de casos y pérdida media
Summary of Findings 2014 Report to the Nations ACFE
Survey participants estimated that the typical organization loses 5% of revenues each year to fraud. If applied to the 2013 estimated Gross World Product, this translates to a potential projected global fraud loss of nearly $3.7 trillion.
The median loss caused by the frauds in our study was $145,000. Additionally, 22% of the cases involved losses of at least $1 million.
The median duration — the amount of time from when the fraud commenced until it was detected — for the fraud cases reported to us was 18 months.
Occupational frauds can be classified into three primary categories: asset misappropriations, corruption and financial statement fraud. Of these, asset misappropriations are the most common, occurring in 85% of the cases in our study, as well as the least costly, causing a median loss of $130,000. In contrast, only 9% of cases involved financial statement fraud, but those cases had the greatest financial impact, with a median loss of $1 million. Corruption schemes fell in the middle in terms of both frequency (37% of cases) and median loss ($200,000).
Many cases involve more than one category of occupational fraud. Approximately 30% of the schemes in our study included two or more of the three primary forms of occupational fraud.
Tips are consistently and by far the most common detection method. Over 40% of all cases were detected by a tip — more than twice the rate of any other detection method. Employees accounted for nearly half of all tips that led to the discovery of fraud.
Organizations with hotlines were much more likely to catch fraud by a tip, which our data shows is the most effective way to detect fraud. These organizations also experienced frauds that were 41% less costly, and they detected frauds 50% more quickly.
The smallest organizations tend to suffer disproportionately large losses due to occupational fraud. Additionally, the specific fraud risks faced by small businesses differ from those faced by larger organizations, with certain categories of fraud being much more prominent at small entities than at their larger counterparts.
The banking and financial services, government and public administration, and manufacturing industries continue to have the greatest number of cases reported in our research, while the mining, real estate, and oil and gas industries had the largest reported median losses.
The presence of anti-fraud controls is associated with reduced fraud losses and shorter fraud duration. Fraud schemes that occurred at victim organizations that had implemented any of several common anti-fraud controls were significantly less costly and were detected much more quickly than frauds at organizations lacking these controls.
The higher the perpetrator’s level of authority, the greater fraud losses tend to be. Owners/executives only accounted for 19% of all cases, but they caused a median loss of $500,000. Employees, conversely, committed 42% of occupational frauds but only caused a median loss of $75,000. Managers ranked in the middle, committing 36% of frauds with a median loss of $130,000.
Collusion helps employees evade independent checks and other anti-fraud controls, enabling them to steal larger amounts. The median loss in a fraud committed by a single person was $80,000, but as the number of perpetrators increased, losses rose dramatically. In cases with two perpetrators the median loss was $200,000, for three perpetrators it was $355,000 and when four or more perpetrators were involved the median loss exceeded $500,000.
Approximately 77% of the frauds in our study were committed by individuals working in one of seven departments: accounting, operations, sales, executive/upper management, customer service, purchasing and finance.
It takes time and effort to recover the money stolen by perpetrators, and many organizations are never able to fully do so. At the time of our survey, 58% of the victim organizations had not recovered any of their losses due to fraud, and only 14% had made a full recovery.
VX11N (on vbap)– Doc. 1 o z1 Letter of Credit – Conditions
Refusing or agreeing to refuse to do business with or in a boycotted country (e.g., Israel) or with a nationalofaboycottedcountry (e.g., an Israeli company) or a boycotted person (e.g., a ‘blacklisted’ party). This includes, among other things, agreeing to comply with a country’s boycottlaws; ship goods on a carrier thatis eligible to enter the ports of a
boycotting country (other than Saudi Arabia); or provide a certificate stating that products are not of Israeli origin (a ‘negative certification’);
Para estas operaciones se asegura que no haya participado una sociedad Norteamericana. Adicionalmente de las tablas SAP de operaciones bancarias, analizamos que el banco interviniente no sea americano.
El encargado de investigar debe ser independiente
Se puede poner un reporte en las cuentas anuales
Advertir a los empleados que su comunicación por medio de activos de la empresa puede ser monitoreada mientras sea justificada y ante un delito presunto y de acuerdo a la legalidad.
Esta política debe indicar como resguarda las pruebas para que sirvan como elementos de defensa
El reporte de fraude a la policía muchas veces no se efectúa para evitar daños reputacionales
Limites legales para la investigación- Tribunal Supremo (TS) como del Constitucional ha marcado los límites que puede encontrarse el responsable de cumplimiento a la hora de acceder y controlar los recursos puestos a disposición del trabajador, como el ordenador.Artículo 20 del Estatuto de los Trabajadores: la empresa podrá adoptar medidas de control y vigilancia para verificar el cumplimiento por el trabajador de sus obligaciones y deberes.
En un informe de 2007 Agencia Española de Protección de Datos estableció las líneas de denuncia serían confidenciales, pero no anónimas, para garantizar la exactitud e integridad de la información. Se recomienda externalizar el servicio para garantizar la imparcialidad.Primer medio de contacto o segundo luego que fue al supervisor, al secretario general o recursos humanos. Si admitimos el reporte por el supervisor (cuando no es parte de la sospecha), igualmente {el debe reportarlo para que quede registro.
La politica debe guiar al denunciante antes del proceso (ej. Que guarde evidencia, calmarlo, que relate solo hechos, que no son un “traidor”, recuerde fechas). Hay que darle al denunciante un tiempo esperado de acción, explicar quien sigue el tema, y asegurarle que está protegidoEn general el denunciante tiene motivos altruistas, y no está perjudicado
SOX 301: Nos pide un procedimiento de denuncias (de fraude contable y que pueda ser anonimo)
SOX 1107: hasta 10 años de carcel y multas si hay represalias al denunciante
n practical terms, whistleblowing occurs when a worker raises a concern about danger or illegality that affects others (e.g. clients or their employer). The person blowing the whistle is usually not directly, personally affected by the danger or illegality. Consequently, the whistleblower rarely has a personal interest in the outcome of any investigation into their concerns. As a result, the whistleblower should not be expected to prove theircase; rather he or she raises the concern so others can address it.
Conducting business on behalf of the Company with immediate family members, which include spouses, children, parents, siblings and persons sharing the same home whether or not legal relatives.
Using the Company’s property, information or position for personal gain.
Conducting personal business with vendors, suppliers, competitors or customers of the Company.
Actual or potentially conflicting interests (including but not limited to any material transaction or relationship that reasonably could be expected to give rise to a conflicting interest) must be reported to the Company’s General Counsel. Many conflicts of interest can be resolved in a mutually acceptable way, but they must be disclosed to the Company’s General Counsel. Failure to disclose a conflict or a potential conflict of interest may lead to disciplinary action, up to and including termination.
Entretenimientos no admitidos: brindados en locaciones donde no se presta el servicio, lujosos, en fechas de alto turismo o celebraciones
Concepto de "work made for hire” que un empleado hace en alcance de su resposabilidad de trabajo, y fue comisionado.
Secretos comerciales implica el saber hacer algo eficientemente.
Los consultores ceden su propiedad intelectual si fueron contratados para eso y hay un acuerdo previo
¿Cuáles son los hechos?
¿Está prevista en la guia y es consistente con nuestros valores?
¿Es legal y consistente con el espíritu de la ley?
¿Cuáles son las alternativas?
¿Quiénes son los afectados de las alternativas?
¿Cómo implica cada alternativa en la sociedad y la empresa?
¿Cómo implica cada alternativa en mí?
Funciones a unir. Ambas deben ser independientes (de operaciones/negocio)
Auditoria -> cumplimiento de normas internas
Compliance -> que las normas internas respeten las regulaciones
Nota: deliberadamente no dar lo mejor de las habilidades (negligencia y ausentismo (dormir en el trabajo)) es performance. Por ejemplo, no cumplir con deadlinesPasos: Aviso verbal, aviso escrito, aviso escrito final, suspensión, despido -> Impacto en ascensos, aumentos saliariales,
3 casos: Error excusable, error no excusable, acción deliberada
Explicar ofensa, escuchar razones, dar una alternativa de una acción aceptable
En el despido se solicita se escolte el empleado hasta fuera de la oficina
Aclarar que en fraude, se denuncia penalmente
P
n términos funcionales, el Compliance Officer es el responsable del sistema que permite gestionar y supervisar los riesgos penales, dar normativa interna a las empresas sobre el buen gobierno corporativo, desarrollar métodos de denuncias y sanciones, y brindar entrenamiento para asegurar que el mensaje de compromiso ético trascienda en todos los niveles jerárquicos de la empresa. Sin embargo, en función de la reciente modificación del código penal sobre laresponsabilidad penal corporativa, la responsabilidad de su cargo debe clarificarse ante eventuales actividades ilícitas de la empresa. La realidad ante decisiones que pueden generar un riesgo penal es muy compleja para el responsable de control ético, y en muchos casos colisionan en conflictos graves a distintos niveles en la empresa incluyendo el consejo de administración.
El Compliance Officer asume una función transversal de supervisor del buen curso de las acciones de negocios, y del efectivo y real cumplimiento del sistema de control a partir del poder que le haya delegado el consejo de administración. De esta forma, no tiene asignada la tarea de efectuar controles operativos, estando su rol vinculado a la gestión del sistema que permite que estos controles existan y garanticen un razonable marco de legalidad en función de riesgos penales previamente identificados. Los propietarios de los riesgos penales dependen del resto de las funciones de la empresa, así como los hayan recibido en los objetivos de sus cargos y la responsabilidad de ejercer sus controles mitigantes para lo cual cuentan con el conocimiento del negocio y demás recursos.
La responsabilidad del compliance officer está en velar que el resto de responsabilidades de control, en todas las jerarquías de la empresa, son cumplidas garantizando la obligación jurídica de debido control. De encontrarse que estas responsabilidades son incumplidas, debe observarlas en forma fehaciente cumpliendo su deber de vigilancia, así como de informar sobre las consecuencias del incumplimiento y un curso de acción correctivo propuesto a través de los canales de reportes que le hayan encomendado.
Los casos en que puede observase su falta como garante del sistema de compliance y ante la obligación de vigilancia implica el incumplimiento negligente de sus funciones delegadas. Estas pueden ser, por ejemplo, no haber articulado el programa de cumplimiento, que el canal de denuncias no garantice que sean investigadas, no haber formalizado buenas prácticas corporativas en el código de ética y sus políticas accesorias, no haber impulsado controles sobre riesgos penales materiales, y por supuesto, el encubrimiento o la participación en un delito corporativo.