Presentación master de compliance con estudios de riesgos de cumplimiento normativo. Técnicas, procedimientos y propuestas para gestionar riesgos de incumplimientos y normativos en las empresas alineadas a los estándares de la ISO 31000 y COSO ERM. Metodologías para la identificación de riesgos de compliance (riesgos de incumplimiento o compliance risks) para sostener el corporate defense. Factores a tener en cuenta en la valoración del impacto y la probabilidad. Por Hernan Huwyler
5. Oil & Gas
Corrupción
socios comerciales, contribuciones, lobbies, anti-trust
Compliance ambiental y de seguridad
Compliance con contratos de concesión y licencias
política de licitación
Reporte financiero
estimaciones, cálculo de reservas, decommissioning, trading
Operaciones restringidas
Compliance fiscal
derechos de exploración & explotación
royalties según tipo de petróleo
Información privilegiada
US: FCPA, Dodd-Frank, SOX, anti-boycott
6. Mining
Corrupción
socios comerciales, contribuciones, lobbies
Compliance ambiental y de seguridad
Compliance con contratos de concesión y licencias
política de licitación
Reporte financiero
estimaciones, cálculo de reservas, decommissioning, trading
Operaciones restringidas
Compliance fiscal:
derechos de exploración & explotación
royalties según tipo de petróleo
Información privilegiada
US: FCPA, Dodd-Frank, SOX, anti-boycott
9. Riesgo
Efecto de la incertidumbre sobre
la consecución de los objetivos
La incertidumbre es la falta de
información
Puede generar riesgos per se
(no deseados) y oportunidades
(deseadas)
Expectativa conocida y a cierto
horizonte de futuro que puede o
no puede
Los riesgos calculados
optimizan el rendimiento para
cierto capital (tolerancia)
Cumplimiento de las
expectativas de los grupos de
interés
El ambiente condiciona las
decisiones de los órganos
gerenciales la empresa
La ley y la ética limitan las
decisiones para hacerlas
sustentables
Su incumplimiento tiene
consecuencias: multa,
sanciones e impacto
reputacional
Compliance
¿Qué investigaremos?
Riesgo Compliance
10. Alcance: del riesgo penal al moral
21 delitos del código penal
extensibles a la persona legal
Recursos y urgencia
Etapa de educación (y
aprendizaje del compliance
officer)
El “compliance de papel”
Externo:
- Otros delitos (mobbing,
seguridad laboral)
- Regulaciones (cotizantes sobre
la normativa del mercado de
valores)
- Auto regulaciones
- Ley, estatuto trabajadores
- ISOs
Interno
- Políticas y procedimientos
- Compromisos
Compliance con las expectativas
de los grupos de interés
Decisiones de negocios basada
en valores corporativos
(tendencia en cómo reclutamos)
Retorno del gasto de compliance
Sostenibilidad y rentabilidad
Excelencia de servicio,
diferenciador, cultura corporativa
Art 31 bis Compliance Ética
11. Compliance Risks
Riesgo de sufrir….
- pérdidas financieras
(sanciones, multas, reputacional)
… por incumplimiento de…
- leyes, regulaciones y normativas
externas
- políticas internas
- ética
Consecuencia
Impacto de riesgos
Plan de contingencia, protocolo de
actuación (comité de crisis
Causa
Frecuencia de riesgos
Plan de prevención del compliance
plan ) & corporate defense
12. Consecuencia
Legales: multas y sanciones
Regulatorias
Litigios
Reputacionales: pérdida de
contratos y clientes
Pérdida económica
Imposibilidad de operar o contratar
Moral de empleados
De oportunidad de negocios
Impairment de intangibles
Causa
Imposibilidad de cumplir con
Leyes
Regulaciones
Auto-regulaciones
Código de conducta
Buenas prácticas
Compromisos
Principios de negocios y valores
Expectativas de grupos interés:
inversores, clientes, empleados y
proveedores
Compliance Risks
13. Consecuencia
Reacción y corrección
Gestión de incidencias
Generación de evidencia
Lobby con reguladores
Investigación
Involucramiento del ExCom
Causa
Prevención y detección
Gestión del riesgo de compliance
Sistema normativo
Hotline
Protocolo de actuación
Entrenamiento
KPIs / KRIs del plan de compliance
Compliance audits
Mejora continua
Compliance Risks
14. Integración de elementos
Simple y práctico
ISO o COSO
Apoyo de alta dirección
Componentes:
- Política de riesgos
- Nombramientos
- Organización
- Presupuestos
- Plan de trabajo
Identificación
Análisis
Priorización
Tratamiento
Monitoreo
Niveles de gestión de riesgos
16. Universo de Riesgos
Contra el Patrimonio
- Estafas y fraudes
- Insolvencias
punibles
- Daños informáticos
/ hacking
- Contra la propiedad
intelectual
- Contra el mercado
- Revelación de
secretos
- Facturación
fraudulenta
- Falsedad en
medios de pago
Contra el Fisco
- Contra la
Hacienda Pública y
la Seguridad Social
- Blanqueo de
capitales
- Ciertos casos de
contrabando
Contra la Seguridad
Pública
- Contra la salud
pública
- Construcción ilegal
- Contra el medio
ambiente
- Relativos a la
energía nuclear y a
las radiaciones
- De riesgo
provocado por
explosivos
- Tráfico de drogas
- Contra la intimidad
y allanamiento
informático
Contra la ética
- Corrupción
privada: relativos a
la corrupción en los
negocios
- Cohecho: dádivas
y sobornos a
funcionarios públicos
- Corrupción de
funcionario extranjero
- Tráfico de
influencias
-Financiación ilegal
de partidos políticos
- Acoso laboral
- Información
privilegiada
- Delitos contra la
intimidad
17. Universo de Riesgos
Contra el Patrimonio
CFO
CIO
CISO
Data Protection
Officer
Contra el Fisco
Head of Tax
Contra la Seguridad
Pública
COO
HS&E
Contra la ética
CEO
Compliance
Auditoria Interna
Dir. Comercial
Unidad de Cumplimiento
Legales
Corporate Defense
ExCom
18. Corrupción pública o
privada
Abuso del mercado
Mapa de Riesgos - Ejemplo
Brindar servicioGeneración contrato Facturación Cobro
Fraude a seguridad social Fraude fiscal
Falsedad de medio de
pago
Blanqueo de capitales
Entrega de sobornos
Acuerdos de precios
Simulación laboral Deducciones indebidas Lavado de dinero
19. Mapa de Riesgos - Ejemplo
Entrega de sobornos
Acuerdos de precios
Simulación laboral Deducciones indebidas Lavado de dinero
Control de revisión de
cuentas de gtos
representación
Política antitrust
Control aprobación de
cálculo fiscal
Control cruzado Tax vs.
Payroll
Control aprobación de
cálculo fiscal
Know Your Customer
Comercial Tax + Payroll Tax Gestión de clientes
Tesorería
Reforzar: Business
Intelligence
Reforzar: Auditoria
Fiscal
20. Alcance del Mapa
¿Nos quedamos solamente dentro de España?
- Filiales internacionales y otras sociedades subholdings
- Joint ventures
- Descentralización de funciones ejecutivas (ExComs por país)
¿Incluimos solamente los delitos atribuibles a
una persona jurídica?
- Ley del mercado de valores
- Ley de trasparencia
- FCPA
- Leyes similares en el mundo (ej. Europa (-DE), US, y
Chile)
- Legal + Ético (nuestra forma de hacer negocios)
¿Podremos sumar este trabajo a otra iniciativa en curso?
- Departamento de riesgos
- Departamento de Prevención del Fraude
- Auditoria interna (riesgos sobre procesos e investigación de fraudes)
- Departamento de compliance
23. Top
Down
Bottom
Up
Registro
Riesgos
Alcance del Mapa
• Formularios
• Preguntas del tipo ¿Tiene medidas para evitar la corrupción?
¿Qué que son efectivas? ¿Supervisa el riesgo de corrupción?
¿Ha tenido incidentes?
• Sesgo en la definición previa y selección de destinatarios, poco
sinceras, interpretativas, cualitativas para el mapa
• Entrevistas personales
• Ambiente sincero y de guía al dueño del riesgo
• Permiten un análisis cuantitativo
• Sesgo del dueño de riesgo: ilusión de control, de punto ciego y
deformación profesional, heurística de disponibilidad, anclaje
• Workshops
• Consenso y diálogo top/dueño del riesgo
• Sesgo de efecto Moises
• Guerras de poder
• Inteligencia previa en compliance risks (desktop research)
• Análisis de juicios en curso y finalizados, multas,
reportes de inspecciones y auditorias, contingencias
contabilizadas, ejemplos de otras empresas,
especialistas
• Su uso extremo es el sistema de “scoring”
26. FCPA
Protección de
activos
Antitrust Insider trading Privacidad
Controles de
exportación
Retención de
documentación
Seguridad de
información
Compensaciones
y bonos
Reporte
Sarbanes Oxley HSE
Discriminación y
acoso laboral
Integridad
financiera
Contratos con el
gobierno
Propiedad
intelectual
Uso de tecnología
3rd Party
management
Prácticas
comerciales
Ética
Taxonomía Compliance
Normas
voluntarias
29. Mapa de Riesgos
Riesgos de Fraude
Riesgos de
Compliance Penal
Actividades
reactivas de
investigación y
disciplina
Actividades
proactivas de
prevención y
control
30. Mapa de Riesgos
1 Identificar riesgos
2 Evaluación de
impacto y frecuencia
Eventos que afectar los
riegos del universo de
compliance
Impacto: costo más probable
de no- compliance
Frecuencia : probabilidad de
darse los factores de riesgos
al momento del análisis en un
horizonte de tiempo
3 Priorización de
riesgos
Criterio para decidir que
eventos son más críticos de
controlar (mapa)
4 Planes de
mitigación
Seguimiento del progreso de
los planes de acción
Reevaluación frecuente
Alta criticidad
Seguimiento
Watch-List
Criticidad
31. Nro y Título
Registro de riesgos
Resumen de la consecuencia POR la causa
Descripción ¿Cómo ocurría el delito (o incumplimiento) en la empresa? ¿Qué norma se incumple?
Factores de riesgos ¿Qué condiciones deben darse para que se materialice el delito?
Empresa/Proceso ¿Dónde afecta el delito? ¿Dónde ocurren las transacciones afectadas/expuestas? ¿Tipo de
riesgo?
Controles actuales ¿Qué hacemos actualmente para prevenir el delito?
Impacto ¿Cuánto afecta en la cuenta de resultados antes de impuestos cada delito?
32. Frecuencia
Registro de riesgos
¿Qué cantidad de delitos espero ocurran en cierto horizonte de tiempo?
¿Qué estadística interna o externa tengo sobre los eventos?
3er variable: velocidad, nivel de control, personas afectadas, formalizado
Propietario ¿Quién es el principal dueño del objetivo afectado por un delito? Un sólo “doliente”
Auditoria ¿Qué monitoreo lleva el compliance officer?
Plan de acción
Para los que trato, ¿qué pasos y cuando voy pienso agregar controles? ¿en curso,
cerrado?
KRI ¿Qué tan pronto preveo que evolucione la exposición?
Debo hacer que el dueño de riesgo cuente una historia lógica (del inicio al final). Es natural comenzar con
impacto y luego con la frecuencia. Se puede usar MS Excel (con macro para reporte) o un software de
administrador de flujos). Los datos se revisan en una entrevista sobre riesgos y se aprueban. Modelo común al
resto de los riesgos y que integre los elementos de GRC.
34. Ej. Software con impactos múltiples
Compliance es también un tipo de impacto de riesgos operativos. Para poder detectar estos casos sin duplicar
esfuerzos y garantizar la integridad de la identificación de riesgos en los procesos de inicio a fin, el registro de
riesgos debe ser único y debe poder filtrarse. Esto permite al consejo tomar decisiones estratégicas.
El registro de riesgos es un canal de diálogo entre los dueños de riesgos, compliance, auditoria interna,
prevensión y otros departamentos de soporte.
37. Créditos por llevar bien los
riesgos de compliance
99% del compliance officer
1% del software
38. Aún no se creó ningún software
que compense la falta de talento
de un compliance officer
39. Mapa de Riesgos - Impacto
Multa en proporción al daño/cuantía del delito
Disolución de la persona jurídica
Suspensión de sus actividades
Clausura de sus locales
Prohibición temporal o definitiva de realizar las actividades en cuyo
ejercicio se haya cometido el delito
Inhabilitación para obtener subvenciones y ayudas públicas, para contratar
con el sector público y para gozar de beneficios e incentivos fiscales
Intervención judicial para salvaguardar los derechos de los trabajadores o de
los acreedores
Socios Inocentes
Respecto a los efectos colaterales o consecuencias a pagar por terceros incluyendo el impacto en los
trabajadores, el efecto negativo se paliaría con la posibilidad que tienen los socios inocentes de
reclamar posteriormente a los administradores la acción de responsabilidad socia
40. Directas e inmediatas
• Pérdida por defraudación
• Ineficiencias y/o discontinuidad de operaciones
Directas y mediatas
• Indemnizaciones a terceros
• Multas y sanciones
Indirectas
• Costo de investigación
• Ajustes fiscales
Reputacionales
• Pérdida de competitividad, moral, clientes, socios, licencias, y contratos
• Pérdida del valor de mercado
Mapa de Riesgos - Impacto
41. Área Riesgo legal Regulación /
Ley
Área
Funcion
al
Impacto Frec. Score Contro
l
Clasif.
ImpactoPrácticasdecomercioexterior
Sobornos en el
extranjero
FCPA Foreign
Corrupt
Protection Act
Ventas 5 1 5 4 Reputacional
Aduanas Leyes
aduaneras
Ventas 1 3 3 2 Operacional
Control de
exportaciones
OFAC Office of
Foreign Assets
Controls
Ventas 2 2 4 5 Operacional
Exportaciones de
productos con
doble uso
Reg. UE
428/2009
Ventas 4 4 16 5 Operacional
Boycott no
sancionado a un
país extranjero
Anti-Boycott Act Ventas 2 2 4 4 Operacional
Exp/Imp de
químicos
peligrosos
Reg. UE
649/2012
Ventas 3 4 12 1 Operacional
…. … … ….
42. Score 1 2 3 4 5
Multas, daños e
indemnizaciones
< 1% de las
ventas
1% al 3% de las
ventas
3% al 5% de las
ventas
5% al 10% de
las ventas
> 10% de las
ventas
Reputacional
Sin exposición
o daño
Impacto negativo
localizado pero
recuperable
Cobertura en
medios o
reguladores
local
Cobertura en
medios o
reguladores
nacional
Cobertura
sustancial en
medios o
reguladores
nacional
Operacional
Sin pérdida de
negocios u
operaciones
Visible pero
gestionable
fácilmente
Daños a
clientes o
grupos de
interés
Impacto severo
a la
performance
Impacto
catastrófico a la
BU
Mapa de Riesgos - Impacto
43. Mapa de Riesgos - Frecuencia
Score 1 2 3 4 5
Descripción Casi imposible Rara Posible
Incidentes
aislados
Incidentes
repetitivos
Tiempo
< Una vez
cada 5 años
< Una vez cada
año Una vez al año
Una vez al mes
Una vez a la
semana
Probabilidad < 1% 1% al 5% 5% al 10% 10% al 20% > 20%
44. Mapa de riesgos y la 3er variable
• Velocidad del Riesgo: Tiempo entre el evento de riesgo y
tener que pagar el impacto (ej. tiempo en aplicar una multa
por el regulador). Beneficio: priorizar acciones
• Duración del Riesgo: Persistencia del riesgo en el tiempo
(ej. inspecciones largas).
• Nivel de Control: Posibilidad que gestión para disminuir el
impacto o la frecuencia del riesgo (ej. proceso ya
documentado). Beneficio: margen de reducción
• Grado de Entendimiento: Seguridad en valuar el impacto
y la frecuencia (ej. riesgos emergentes)
La 3er variable siempre está
contemplada en impacto o
frecuencia
48. Riesgo Impacto k€ Frecuencia 3
años
Criticidad
Exposición
Velocidad Control
1Falsedad documental contable 300 20% 60 A A
2Fraude a hacienda 200 20% 40 M M
3Corrupción a funcionarios
públicos
60 50% 30 M A
4Blanqueo de capitales 30 50% 15 M M
5Falsificación de tarjetas de
crédito y cheques
15 100% 15 A M
6Fraude en seguridad social 40 30% 12 A M
7Cohecho 100 10% 10 A M
8Fraude en subensiones y ayudas 60 10% 6 M M
9Abuso de información
privilegiada
40 10% 4 A M
10Financiamiento de partidos
políticos
20 10% 2 B B
11Corrupción entre particulares 20 10% 2 M A
12Asociación ilícita 20 5% 1 M M
13Tráfico de influencias 10 10% 1 M B
Ejemplo cuantitativo
51. Valuación financiera del impacto
Escenario base
Escenario
base
Escenarios
promedios
Peor Esc + Mejor Esc
2
Escenarios
triangulados
Peor Esc + Esc Base * 3 + Mejor Esc
5
Montecarlo Software
1
2
3
+10k
. E1
. E2
. En
52. Riesgo inherente y riesgo residual
Probabilidad
Impacto
Aclarar al dueño del
riesgo si hablas del
inherente o residual
Riesgo propio de una actividad
sin ningún control
Decisión para la cual
construimos el mapa
Asegura la mejora contínua de
los controles
53. Seguros
Outsourcing
Cláusulas de
responsabilidad a
terceros
Transferir
Dejar de efectuar la
actividad que afecta la
sustentabilidad
Terminar
Monitorear
frecuenmente
para asegurar
sigan en “lo
verde”
Tolerar
Aplico controles
preventivos y
correctivos
Tratar
Plan de
Prevención
Plan de
Contingencia
Decisiones 4 Ts
Prevención
CoCo y políticas
Separación de funciones
Autorizaciones
Formación, checklists
Monitoreo y supervisión
Corporate defense como
eximente
Contingencia
Protocolo de crisis
Reporte a autoridades (ej.
fuga de información personal)
Investigación del canal de
denuncia
Procedimiento de
disciplina
Cisnes negros:
eventos remotos e
impredecibles con un
efecto mayor
54. Controles
• Mapa de riesgos con planes de acción
• Políticas con controles preventivos (aprobaciones, SoD, manuales y automáticos,
ambiente/ciclos)
• Entrenamiento y difusión
Prevención
• Compliance audits (propias o de reguladores)
• Revisión de litigios, seguros, sanciones y reclamos
• Análisis de denuncias Compiance Help Line
Detección
• Protocolo de disciplina
• Comunicación de fraudes
• Denuncias a la justicia
Respuesta
• Monitoreo del modelo de prevención de delitos
• Actualización del modelo
Supervisión y monitoreo
55. ¿Cuántas vacas se me escapan del
campo si no tendría ninguna cerca?
Riesgo inherente
Análisis teórico y no orientado a tomar
decisiones
Relacionado con el impacto y frecuencia del
máximo peor escenario donde todos los
controles fallan o no existen
Ninguna actividad carece de controles,
especialmente de alto nivel (ambiente de
control) como un presupuesto o el código de
conducta
Vinculado a auditoria y seguros (“el mundo
colapsaría sin nuestros servicios”)
Riesgos no es el impacto y la frecuencia de un
único escenario sino de todos ,con muchas
potenciales estadísticas
¿Qué beneficia a mi empresa priorizar riesgos
inherentes?
56. Alternativa sin impacto ni frecuencia
Baja Media Alta
Prioridad
Delitos improbables
en la actividad en
la actividad de la
empresa
Fuera del alcance
de los empleados
Delitos que pueden darse en la actividad de
la empresa
Empleados con conocimiento y alcance para
cometerlos
Baja ganancia para
el empleado
Alta ganancia para
el empleado
Limite: Más vinculado al impacto que a la frecuencia
(ej. que lo puedan cometerer 2 empleados es igual que todos)
57. Compliance de tolerancia
cero
Tolerancia cero al riesgo de
incumplimiento legal o de
inseguridad de empleados,
formalizado en el código de
ético
Enfoque moral: siempre
cumplimos la ética y la ley
Compliance basada en
riesgos
Sentido de racionalidad
económica sobre controles al
riesgo de fraude, es irrealista
reducir la corrupción y los
ilícitos a cero incidentes
Enfoque pro-negocios:
obtenemos ganancias porque
asumimos riesgos
Tolerancia al riesgo en compliance
Compliance solo funciona en dos lugares:
en el cielo dónde no la necesitan y en el
infierno dónde ya la tienen
58. Tolerancia al riesgo en compliance
• La tolerancia al riesgo de compliance la determina el consejo al:
• asignar presupuesto, información y poder político a la función del
compliance officer (en muchos casos impulsados por las multas de un
regulador y el coste percibido por los incumplimientos)
• determinar los factores sobre los que incentiva las remuneraciones
(motivando actuaciones éticas y sustentables)
• tomar decisiones que balancean performance y valores
El riesgo de compliance debe tener la misma medición que los demás como
el financiero o el estratégico porque toman la capacidad de riesgo común de
la empresa y deben gestionarse en conjunto
La tolerancia al riesgo depende de la cultura y la presión comercial de una
empresa
59. Tolerancia al riesgo en compliance
• Los empleados deben cumplir con
toda la normativa legal y los
procedimientos internos
• La empresa mantiene la tolerancia
cero frente a la corrupción en todas
sus formas, incluyendo a
proveedores y terceras
• La empresa no tiene tolerancia frente al fraude
• Terminamos con riesgos individuales con una
exposición mayor a €200k al año
• Disminuir las multas del regulador a €200k
• Mantener el nivel de satisfactorio las
inspecciones laborales
• No recibir reajustes impositivos de auditorias
60. No instalamos frenos en los coches para
ir más despacio, sino para poder
movernos más rápido
61. Mapa de Riesgos – Alternativa
Puntaje Interno
Fraude
- Operativo
- Contable
Corrupción
Daños
Informáticos
….
Calidad de
Controles
Documen-
tación
Entrena-
miento
Centrali-
zación
Sistema de Puntos
1 a 5
Medidas Efectivas a Inefectivas
Respaldado por Director de Área
Puede ser ponderado (ventas de la unidad, número
de empleados,…)
62. Planes de Acción
Exposición a un delito
tomando en cuenta los
controles actuales
Medidas a implementar Recursos a asignar
Controles
Políticas
Sistemas
Conocimiento
Autoridad
Coordinación política
entre departamentos
Presupuesto con
responsable, tiempo e
indicadores
Cargos
63. Herramienta CASE
C Consequence
A Assets at Risk
S Source
E Event
Perder ventajas competitivas
…. “sobre” …
la propiedad de información sensitiva
…. “debido al” …
espionaje industrial de nuestros
competidores
…. “al” …
sufrir un ataque a servidores inseguros
64. Herramienta Bowtie
Proceso de negocios Objetivos
Causas
Prevención
Consecuencias
Impacto
Riesgo
Factores humanos,
procesos, equipos,
materiales, ambiente,
gestión
Financieras
Compliance
Operativas
Estratégicas
Indicadores de Riesgos
Árbol de Fallos Árbol de Impactos
3 Líneas de Defensa
políticas sobre
actividades
65. Herramienta Bowtie
Riesgo
Eventos desencadenante
Causa
Probilidad
Evento positivo o
negativo
Consecuencia
Impacto
Eventos contingentes
Como resultado que…. Hay un riesgo que…. Que puede resultar en…
Deben ocurrir con certeza
para materializar el
riesgo, pero no sabemos
cuando
Evento de riesgo que
puede o no puede pasar
impactando en resultados
Eventos que hacen que
perdamos el objetivo y
cuando se materializa el
riesgo
Una falla en el testeo de
calidad del producto
produce un
incumplimiento de
contratos con clientes
generaría costes
adicionales y dañaría la
reputación
66. Reportes al ExCom
Mapa de Riesgos
Penales
Por Áreas
Por País
Por Año
Seguimiento de Planes
de Acción
Planes
Presupuestos
Grado de Avance
Indicadores de Riesgos
Claves (KRIs) Penales
Ejemplos:
Multas por Revenue
Multas por Volumen
Denuncias por
Empleado
Fraude por Empleado
% Completar Cierto
Programa Educativo
67. Key Risk Indicator en Compliance
Objetivo
¡Factor de
riesgo!
Tolerancia
Key Risk
Indicator
Key Performance
Indicator
68. Key Risk Indicators en Compliance
• Un Key Performance Indicator mide la eficiencia pasada de compliance
• Medimos la cantidad de eventos materializados y pérdidas
• % multas sobre ventas, contingencias legales sobre ventas, número de
procesos con no-conformidades sobre el total auditado, número de
denuncias anuales en el canal por empleado
• Un Key Risk Indicator predice si nos acercamos a un factor de riesgo
• Medimos el movimiento de los factores de riesgos (ej. proyectando
tendencias) para cambiar estrategias. Los vinculamos a las red flags.
• Variación interanual de multas/contigencias/reviones/ajustes fiscales
• % empleados de compliance sobre empleados totales
• % de rotación no deseada de empleados
• número de cambios de versiones de políticas sobre el total
• % de órdenes de compras con disputas con proveedores
• % empleados formados sobre cierto riesgo de compliance
• % ventas a clientes públicos/extranjeros
69. Conducir un departamento de compliance
sin KRIs es como conducir un coche solo
mirando el espejo retrovisor
70. ¿Cómo podemos fracasar?
• No logra poner el riesgo legal en la agenda de la alta dirección
• Carece de recursos y autoridad en la unidad de cumplimiento para construir
la cultura de “tolerancia cero”
• Carece del liderazgo y entusiasmo para permear los controles dentro de la
organización
• Mantiene su el mapa de riesgos y los controles “en silos”
• No logra hacer que sea una herramienta de gestión (por ejemplo,
terciarizando)
• No logra orientar los recursos a los riesgos relevantes
• Tiene objetivos no alineados a la madurez de la organización
• No aprence ni mejora de los fallos y nuevos riesgos
Hacer fácil lo difícil
Si compliance…
(1) tráfico ilegal de órganos humanos;
(2) trata de seres humanos;
(3) prostitución y corrupción de menores;
(4) descubrimiento y revelación de secretos;
(5) estafas;
(6) insolvencias punibles: alzamiento de bienes; obstaculización de embargos y procedimientos ejecutivos; concursos de acreedores dolosos; y solicitudes de concurso de acreedores fraudulentas.
(7) Daños contra datos, programas informáticos o documentos electrónicos ajenos;
(8) Delitos relativos a la propiedad intelectual e industrial, al mercado y a los consumidores: propiedad intelectual;propiedad industrial;descubrimiento y revelación de secretos de empresa; publicidad engañosa; delitos relativos al mercado de valores; alteración de precios; uso de información privilegiada; corrupción privada.
(9) blanqueo de capitales;
(10) defraudaciones tributarias y a la Seguridad Social: defraudaciones tributarias; defraudaciones a la Seguridad Social; fraude de subvenciones; delitos contables.
(11) delitos contra los derechos de los ciudadanos extranjeros;
(12) delitos sobre la ordenación del territorio y urbanismo;
(13) delitos contra los recursos naturales y el medio ambiente;
(14) radiaciones ionizantes;
(15) riesgos provocados por explosivos y otros agentes peligrosos;
(16) tráfico de drogas;
(17) falsificación de tarjetas de crédito o débito o cheques de viaje;
(18) cohecho;
(19) tráfico de influencias;
(20) corrupción en las transacciones comerciales internacionales;
(21) proveer o recolectar fondos con fines terroristas.
31 delitos por los que puede ser condenada una empresa: Una empresa puede ser condenada por la comisión de cualquiera de los siguientes delitos (tipicidad del código penal):
Medios de pagos: Delitos de falsificación de tarjetas de crédito y débito, y cheques de viaje (artículos 399 bis CP).
- Delitos contra la intimidad y el allanamiento informático (Art. 197 CP). Consiste en descubrir secretos o vulnerar la intimidad de otro, sin su consentimiento, apoderándose de sus papeles, cartas, mensajes de correo electrónico, interceptando sus telecomunicaciones o utilizando artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen; o en acceder sin autorización a datos o programas informáticos contenidos en un sistema informático.
- Delitos de Insolvencias Punibles (Art. 261 Bis CP). Consisten en alzamiento de bienes o realización de actos de disposición patrimonial en perjuicio de los acreedores.- Delitos de Daños Informáticos (Art. 264 CP).Consisten en obstaculizar o interrumpir el funcionamiento de un sistema informático ajeno, introduciendo, transmitiendo, dañando, borrando, deteriorando, alterando, suprimiendo o haciendo inaccesibles datos informáticos.Los delitos más corrientes que pueden cometer las personas jurídicas desde el día 23 de diciembre son los siguientes:
Contra la intimidad y allanamiento informático (art. 197 CP)
Estafa (art. 251 bis CP)
Insolvencias punibles (art. 261 bis)
Informáticos -hacking- (art. 264 CP)
Contra la propiedad intelectual e industrial (art. 288 CP)
Contra el mercado y los consumidores, entre los cuales destacan los delitos de descubrimiento y revelación de secretos de empresa (art. 278 a 280 CP)
Publicidad engañosa (art. 282 CP), de facturación fraudulenta (art. 283 CP)
Información privilegiada (arts. 284.3 y 285 CP)
Corrupción entre particulares (art. 286 bis CP)
Blanqueo de capitales (art. 302 CP)
Contra la Hacienda Pública (art. 310 bis CP)
Sobre la ordenación del territorio (art. 319 CP)
Contra los recursos naturales y el medio ambiente (arts. 327 y 328 CP)
Cohecho (art. 427 CP)
Tráfico de influencias (art. 430 CP)
Proceso de compras:
Hay subrocesos: Ej. Generación de contrato: 1- Estrategia, 2- Armado de propuestas, 3- Dar precioobjetivo: La identificación de las actividades o procesos que generan o aumentan el riesgo de comisión de los delitos;
Identificar maniobras
Identificar controles existentes
Posterior reflexión sobre la suficiencia o insuficiencia de los controles sobre las mismas
US corporate criminal liability
Marco ERM escalable
Grado adecuado de detalle
Involucrar a todos los participantes
…inclusive los externos (consultores)
Análisis al futuro
Objetividad de valuaciones
Cualitativo vs. cuantitativo
No olvidar monitorear riesgos de bajo impacto
Involucrar aprobaciones del Sr. Mgmt
Documentar
Enfoque “Top Down”: Son aquellos que surgen a entity-level, fácilmente identificables, gestiona el board
Evaluación de tendencias y estrategias: iniciativas estratégicas (de crecimiento), performance de las líneas de negocios, resultados de las entrevistas de egreso de personal, encuestas de ambiente laboral (sector de ética), cambios en el organigrama de compliance, provisiones legales
Entrevistas con encargados de compliance y process owners
Auditoria: Resultados de SOX 404, hotline, CSA, investigaciones
Análisis de industria: Industry reports, memoria al balance.
Requerimientos regulatorios: inspecciones, multas, acuerdos parajudiciales, propuestas de nuevas leyes (riesgos emergentes), investigación sobre la competencia
More forward-looking is the use of leading indicators to anticipate risks that may occur.
Liability for wrongdoing by contractor
FCPA = Ley Anticorrupción para el Extranjero de Estados Unidos (LAE). También la Ley Anticorrupción de 2010 de UK, ni siquiera permite pagos facilitadores y pequeñas prácticas corruptas como para tramitar formularios de aduanas o sellar visados
Centrarse en actividades donde se cree el valor (Por ejemplo, en una empresa de Oil&Gas integrada, puede darse que mucho del esfuerzo de ERM se centre en inventarios, refino y contabilidad, cuando el valor se crea en exploración).
La definición de riesgos puede hacerse con una herramienta llamada CASE para articular sus características:
C onsequence – ¿Cúal es el impacto del riesgo?
A sset – ¿Cuál/es es/son los activos en riesgos? (también los intangibles como la información o la reputación)
S ource – ¿Cuáles son los actores detrás del riesgo?
E vent – ¿Qué tipo particular de incidente se tiene en cuenta?
Esta herramienta es útil para delimitar riesgos como “terrorismo” que en realidad comprende múltiples riesgos, ayudando a lograr un consenso sobre la caracterización (de otra forma cada cual tiene su propia percepción sobre “terrorismo”, riesgos es un continuo). No solo la frecuencia y el impacto cambian ante cada definición, sino cambien los planes de acción.
La definición de riesgos puede hacerse con una herramienta llamada CASE para articular sus características:
C onsequence – ¿Cúal es el impacto del riesgo?
A sset – ¿Cuál/es es/son los activos en riesgos? (también los intangibles como la información o la reputación)
S ource – ¿Cuáles son los actores detrás del riesgo?
E vent – ¿Qué tipo particular de incidente se tiene en cuenta?
Esta herramienta es útil para delimitar riesgos como “terrorismo” que en realidad comprende múltiples riesgos, ayudando a lograr un consenso sobre la caracterización (de otra forma cada cual tiene su propia percepción sobre “terrorismo”, riesgos es un continuo). No solo la frecuencia y el impacto cambian ante cada definición, sino cambien los planes de acción.
La definición de riesgos puede hacerse con una herramienta llamada CASE para articular sus características:
C onsequence – ¿Cúal es el impacto del riesgo?
A sset – ¿Cuál/es es/son los activos en riesgos? (también los intangibles como la información o la reputación)
S ource – ¿Cuáles son los actores detrás del riesgo?
E vent – ¿Qué tipo particular de incidente se tiene en cuenta?
Esta herramienta es útil para delimitar riesgos como “terrorismo” que en realidad comprende múltiples riesgos, ayudando a lograr un consenso sobre la caracterización (de otra forma cada cual tiene su propia percepción sobre “terrorismo”, riesgos es un continuo). No solo la frecuencia y el impacto cambian ante cada definición, sino cambien los planes de acción.