Presentación master de compliance con estudios de riesgos de cumplimiento normativo. Técnicas, procedimientos y propuestas para gestionar riesgos de incumplimientos y normativos en las empresas alineadas a los estándares de la ISO 31000 y COSO ERM. Metodologías para la identificación de riesgos de compliance (riesgos de incumplimiento o compliance risks) para sostener el corporate defense. Factores a tener en cuenta en la valoración del impacto y la probabilidad. Por Hernan Huwyler

1. Compliance Risks
Curso Monográfico de Compliance Officer
Hernan Huwyler – Febrero 8 2017

2. ¿Qué me voy a llevar?

3. Interrumpe por favor

4. Compliance Sectorial

5. Oil & Gas
 Corrupción
socios comerciales, contribuciones, lobbies, anti-trust
 Compliance ambiental y de seguridad
 Compliance con contratos de concesión y licencias
política de licitación
 Reporte financiero
estimaciones, cálculo de reservas, decommissioning, trading
 Operaciones restringidas
 Compliance fiscal
derechos de exploración & explotación
royalties según tipo de petróleo
 Información privilegiada
 US: FCPA, Dodd-Frank, SOX, anti-boycott

6. Mining
 Corrupción
socios comerciales, contribuciones, lobbies
 Compliance ambiental y de seguridad
 Compliance con contratos de concesión y licencias
política de licitación
 Reporte financiero
estimaciones, cálculo de reservas, decommissioning, trading
 Operaciones restringidas
 Compliance fiscal:
derechos de exploración & explotación
royalties según tipo de petróleo
 Información privilegiada
 US: FCPA, Dodd-Frank, SOX, anti-boycott

8. ISO 31.000 Risk Management
tiempo
productividad

9. Riesgo
Efecto de la incertidumbre sobre
la consecución de los objetivos
La incertidumbre es la falta de
información
Puede generar riesgos per se
(no deseados) y oportunidades
(deseadas)
Expectativa conocida y a cierto
horizonte de futuro que puede o
no puede
Los riesgos calculados
optimizan el rendimiento para
cierto capital (tolerancia)
Cumplimiento de las
expectativas de los grupos de
interés
El ambiente condiciona las
decisiones de los órganos
gerenciales la empresa
La ley y la ética limitan las
decisiones para hacerlas
sustentables
Su incumplimiento tiene
consecuencias: multa,
sanciones e impacto
reputacional
Compliance
¿Qué investigaremos?
Riesgo Compliance

10. Alcance: del riesgo penal al moral
21 delitos del código penal
extensibles a la persona legal
Recursos y urgencia
Etapa de educación (y
aprendizaje del compliance
officer)
El “compliance de papel”
Externo:
- Otros delitos (mobbing,
seguridad laboral)
- Regulaciones (cotizantes sobre
la normativa del mercado de
valores)
- Auto regulaciones
- Ley, estatuto trabajadores
- ISOs
Interno
- Políticas y procedimientos
- Compromisos
Compliance con las expectativas
de los grupos de interés
Decisiones de negocios basada
en valores corporativos
(tendencia en cómo reclutamos)
Retorno del gasto de compliance
Sostenibilidad y rentabilidad
Excelencia de servicio,
diferenciador, cultura corporativa
Art 31 bis Compliance Ética

11. Compliance Risks
Riesgo de sufrir….
- pérdidas financieras
(sanciones, multas, reputacional)
… por incumplimiento de…
- leyes, regulaciones y normativas
externas
- políticas internas
- ética
Consecuencia
Impacto de riesgos
Plan de contingencia, protocolo de
actuación (comité de crisis
Causa
Frecuencia de riesgos
Plan de prevención del compliance
plan ) & corporate defense

12. Consecuencia
Legales: multas y sanciones
Regulatorias
Litigios
Reputacionales: pérdida de
contratos y clientes
Pérdida económica
Imposibilidad de operar o contratar
Moral de empleados
De oportunidad de negocios
Impairment de intangibles
Causa
Imposibilidad de cumplir con
Leyes
Regulaciones
Auto-regulaciones
Código de conducta
Buenas prácticas
Compromisos
Principios de negocios y valores
Expectativas de grupos interés:
inversores, clientes, empleados y
proveedores
Compliance Risks

13. Consecuencia
Reacción y corrección
Gestión de incidencias
Generación de evidencia
Lobby con reguladores
Investigación
Involucramiento del ExCom
Causa
Prevención y detección
Gestión del riesgo de compliance
Sistema normativo
Hotline
Protocolo de actuación
Entrenamiento
KPIs / KRIs del plan de compliance
Compliance audits
Mejora continua
Compliance Risks

14. Integración de elementos
Simple y práctico
ISO o COSO
Apoyo de alta dirección
Componentes:
- Política de riesgos
- Nombramientos
- Organización
- Presupuestos
- Plan de trabajo
Identificación
Análisis
Priorización
Tratamiento
Monitoreo
Niveles de gestión de riesgos

15. ISO 31000 Gestión de Riesgos

16. Universo de Riesgos
Contra el Patrimonio
- Estafas y fraudes
- Insolvencias
punibles
- Daños informáticos
/ hacking
- Contra la propiedad
intelectual
- Contra el mercado
- Revelación de
secretos
- Facturación
fraudulenta
- Falsedad en
medios de pago
Contra el Fisco
- Contra la
Hacienda Pública y
la Seguridad Social
- Blanqueo de
capitales
- Ciertos casos de
contrabando
Contra la Seguridad
Pública
- Contra la salud
pública
- Construcción ilegal
- Contra el medio
ambiente
- Relativos a la
energía nuclear y a
las radiaciones
- De riesgo
provocado por
explosivos
- Tráfico de drogas
- Contra la intimidad
y allanamiento
informático
Contra la ética
- Corrupción
privada: relativos a
la corrupción en los
negocios
- Cohecho: dádivas
y sobornos a
funcionarios públicos
- Corrupción de
funcionario extranjero
- Tráfico de
influencias
-Financiación ilegal
de partidos políticos
- Acoso laboral
- Información
privilegiada
- Delitos contra la
intimidad

17. Universo de Riesgos
Contra el Patrimonio
CFO
CIO
CISO
Data Protection
Officer
Contra el Fisco
Head of Tax
Contra la Seguridad
Pública
COO
HS&E
Contra la ética
CEO
Compliance
Auditoria Interna
Dir. Comercial
Unidad de Cumplimiento
Legales
Corporate Defense
ExCom

18. Corrupción pública o
privada
Abuso del mercado
Mapa de Riesgos - Ejemplo
Brindar servicioGeneración contrato Facturación Cobro
Fraude a seguridad social Fraude fiscal
Falsedad de medio de
pago
Blanqueo de capitales
Entrega de sobornos
Acuerdos de precios
Simulación laboral Deducciones indebidas Lavado de dinero

19. Mapa de Riesgos - Ejemplo
Entrega de sobornos
Acuerdos de precios
Simulación laboral Deducciones indebidas Lavado de dinero
Control de revisión de
cuentas de gtos
representación
Política antitrust
Control aprobación de
cálculo fiscal
Control cruzado Tax vs.
Payroll
Control aprobación de
cálculo fiscal
Know Your Customer
Comercial Tax + Payroll Tax Gestión de clientes
Tesorería
Reforzar: Business
Intelligence
Reforzar: Auditoria
Fiscal

20. Alcance del Mapa
¿Nos quedamos solamente dentro de España?
- Filiales internacionales y otras sociedades subholdings
- Joint ventures
- Descentralización de funciones ejecutivas (ExComs por país)
¿Incluimos solamente los delitos atribuibles a
una persona jurídica?
- Ley del mercado de valores
- Ley de trasparencia
- FCPA
- Leyes similares en el mundo (ej. Europa (-DE), US, y
Chile)
- Legal + Ético (nuestra forma de hacer negocios)
¿Podremos sumar este trabajo a otra iniciativa en curso?
- Departamento de riesgos
- Departamento de Prevención del Fraude
- Auditoria interna (riesgos sobre procesos e investigación de fraudes)
- Departamento de compliance

21. • Regiones
geográficas
• Profundidad
(Seniority)
• Unidades de
negocios
• Legal, Fi, HR,
IT, expertos,
consultores,
investor
relations
Alcance del Mapa

22. Top
Down
Bottom
Up
Registro
Riesgos
Fq %
Im$
Alcance del Mapa

23. Top
Down
Bottom
Up
Registro
Riesgos
Alcance del Mapa
• Formularios
• Preguntas del tipo ¿Tiene medidas para evitar la corrupción?
¿Qué que son efectivas? ¿Supervisa el riesgo de corrupción?
¿Ha tenido incidentes?
• Sesgo en la definición previa y selección de destinatarios, poco
sinceras, interpretativas, cualitativas para el mapa
• Entrevistas personales
• Ambiente sincero y de guía al dueño del riesgo
• Permiten un análisis cuantitativo
• Sesgo del dueño de riesgo: ilusión de control, de punto ciego y
deformación profesional, heurística de disponibilidad, anclaje
• Workshops
• Consenso y diálogo top/dueño del riesgo
• Sesgo de efecto Moises
• Guerras de poder
• Inteligencia previa en compliance risks (desktop research)
• Análisis de juicios en curso y finalizados, multas,
reportes de inspecciones y auditorias, contingencias
contabilizadas, ejemplos de otras empresas,
especialistas
• Su uso extremo es el sistema de “scoring”

24. Heurística de Disponibilidad
Evento
emotivo
Evento
reciente
Reducir con
inteligencia previa para
evitar sesgos

25. Efecto Anclaje
Preguntar mejor y peor
escenario

26. FCPA
Protección de
activos
Antitrust Insider trading Privacidad
Controles de
exportación
Retención de
documentación
Seguridad de
información
Compensaciones
y bonos
Reporte
Sarbanes Oxley HSE
Discriminación y
acoso laboral
Integridad
financiera
Contratos con el
gobierno
Propiedad
intelectual
Uso de tecnología
3rd Party
management
Prácticas
comerciales
Ética
Taxonomía Compliance
Normas
voluntarias

27. Integración 4 Cuadrantes

28. Integración 4 Cuadrantes

29. Mapa de Riesgos
Riesgos de Fraude
Riesgos de
Compliance Penal
Actividades
reactivas de
investigación y
disciplina
Actividades
proactivas de
prevención y
control

30. Mapa de Riesgos
1 Identificar riesgos
2 Evaluación de
impacto y frecuencia
Eventos que afectar los
riegos del universo de
compliance
Impacto: costo más probable
de no- compliance
Frecuencia : probabilidad de
darse los factores de riesgos
al momento del análisis en un
horizonte de tiempo
3 Priorización de
riesgos
Criterio para decidir que
eventos son más críticos de
controlar (mapa)
4 Planes de
mitigación
Seguimiento del progreso de
los planes de acción
Reevaluación frecuente
Alta criticidad
Seguimiento
Watch-List
Criticidad

31. Nro y Título
Registro de riesgos
Resumen de la consecuencia POR la causa
Descripción ¿Cómo ocurría el delito (o incumplimiento) en la empresa? ¿Qué norma se incumple?
Factores de riesgos ¿Qué condiciones deben darse para que se materialice el delito?
Empresa/Proceso ¿Dónde afecta el delito? ¿Dónde ocurren las transacciones afectadas/expuestas? ¿Tipo de
riesgo?
Controles actuales ¿Qué hacemos actualmente para prevenir el delito?
Impacto ¿Cuánto afecta en la cuenta de resultados antes de impuestos cada delito?

32. Frecuencia
Registro de riesgos
¿Qué cantidad de delitos espero ocurran en cierto horizonte de tiempo?
¿Qué estadística interna o externa tengo sobre los eventos?
3er variable: velocidad, nivel de control, personas afectadas, formalizado
Propietario ¿Quién es el principal dueño del objetivo afectado por un delito? Un sólo “doliente”
Auditoria ¿Qué monitoreo lleva el compliance officer?
Plan de acción
Para los que trato, ¿qué pasos y cuando voy pienso agregar controles? ¿en curso,
cerrado?
KRI ¿Qué tan pronto preveo que evolucione la exposición?
Debo hacer que el dueño de riesgo cuente una historia lógica (del inicio al final). Es natural comenzar con
impacto y luego con la frecuencia. Se puede usar MS Excel (con macro para reporte) o un software de
administrador de flujos). Los datos se revisan en una entrevista sobre riesgos y se aprueban. Modelo común al
resto de los riesgos y que integre los elementos de GRC.

33. Ej. Manual de Prevención FCC

34. Ej. Software con impactos múltiples
Compliance es también un tipo de impacto de riesgos operativos. Para poder detectar estos casos sin duplicar
esfuerzos y garantizar la integridad de la identificación de riesgos en los procesos de inicio a fin, el registro de
riesgos debe ser único y debe poder filtrarse. Esto permite al consejo tomar decisiones estratégicas.
El registro de riesgos es un canal de diálogo entre los dueños de riesgos, compliance, auditoria interna,
prevensión y otros departamentos de soporte.

35. Ej. Registro de riesgos sobre MS Excel

36. Ej. OECD Riesgos Anti-Corrupción

37. Créditos por llevar bien los
riesgos de compliance
99% del compliance officer
1% del software

38. Aún no se creó ningún software
que compense la falta de talento
de un compliance officer

39. Mapa de Riesgos - Impacto
 Multa en proporción al daño/cuantía del delito
 Disolución de la persona jurídica
 Suspensión de sus actividades
 Clausura de sus locales
 Prohibición temporal o definitiva de realizar las actividades en cuyo
ejercicio se haya cometido el delito
 Inhabilitación para obtener subvenciones y ayudas públicas, para contratar
con el sector público y para gozar de beneficios e incentivos fiscales
 Intervención judicial para salvaguardar los derechos de los trabajadores o de
los acreedores
Socios Inocentes
Respecto a los efectos colaterales o consecuencias a pagar por terceros incluyendo el impacto en los
trabajadores, el efecto negativo se paliaría con la posibilidad que tienen los socios inocentes de
reclamar posteriormente a los administradores la acción de responsabilidad socia

40. Directas e inmediatas
• Pérdida por defraudación
• Ineficiencias y/o discontinuidad de operaciones
Directas y mediatas
• Indemnizaciones a terceros
• Multas y sanciones
Indirectas
• Costo de investigación
• Ajustes fiscales
Reputacionales
• Pérdida de competitividad, moral, clientes, socios, licencias, y contratos
• Pérdida del valor de mercado
Mapa de Riesgos - Impacto

41. Área Riesgo legal Regulación /
Ley
Área
Funcion
al
Impacto Frec. Score Contro
l
Clasif.
ImpactoPrácticasdecomercioexterior
Sobornos en el
extranjero
FCPA Foreign
Corrupt
Protection Act
Ventas 5 1 5 4 Reputacional
Aduanas Leyes
aduaneras
Ventas 1 3 3 2 Operacional
Control de
exportaciones
OFAC Office of
Foreign Assets
Controls
Ventas 2 2 4 5 Operacional
Exportaciones de
productos con
doble uso
Reg. UE
428/2009
Ventas 4 4 16 5 Operacional
Boycott no
sancionado a un
país extranjero
Anti-Boycott Act Ventas 2 2 4 4 Operacional
Exp/Imp de
químicos
peligrosos
Reg. UE
649/2012
Ventas 3 4 12 1 Operacional
…. … … ….

42. Score 1 2 3 4 5
Multas, daños e
indemnizaciones
< 1% de las
ventas
1% al 3% de las
ventas
3% al 5% de las
ventas
5% al 10% de
las ventas
> 10% de las
ventas
Reputacional
Sin exposición
o daño
Impacto negativo
localizado pero
recuperable
Cobertura en
medios o
reguladores
local
Cobertura en
medios o
reguladores
nacional
Cobertura
sustancial en
medios o
reguladores
nacional
Operacional
Sin pérdida de
negocios u
operaciones
Visible pero
gestionable
fácilmente
Daños a
clientes o
grupos de
interés
Impacto severo
a la
performance
Impacto
catastrófico a la
BU
Mapa de Riesgos - Impacto

43. Mapa de Riesgos - Frecuencia
Score 1 2 3 4 5
Descripción Casi imposible Rara Posible
Incidentes
aislados
Incidentes
repetitivos
Tiempo
< Una vez
cada 5 años
< Una vez cada
año Una vez al año
Una vez al mes
Una vez a la
semana
Probabilidad < 1% 1% al 5% 5% al 10% 10% al 20% > 20%

44. Mapa de riesgos y la 3er variable
• Velocidad del Riesgo: Tiempo entre el evento de riesgo y
tener que pagar el impacto (ej. tiempo en aplicar una multa
por el regulador). Beneficio: priorizar acciones
• Duración del Riesgo: Persistencia del riesgo en el tiempo
(ej. inspecciones largas).
• Nivel de Control: Posibilidad que gestión para disminuir el
impacto o la frecuencia del riesgo (ej. proceso ya
documentado). Beneficio: margen de reducción
• Grado de Entendimiento: Seguridad en valuar el impacto
y la frecuencia (ej. riesgos emergentes)
La 3er variable siempre está
contemplada en impacto o
frecuencia

45. FCPA
Trade
Restrictions
Reg. UE
428/2009
Reg. UE
649/2012
OFAC
Anti-Boycott
Aduanas
1 2 3 4 5 Fq
Impacto
12345
Mapa de riesgos

46. Ejemplo Coreti (fábrica de etiquetas en Galicia)

47. Ejemplo Red Eléctrica

48. Riesgo Impacto k€ Frecuencia 3
años
Criticidad
Exposición
Velocidad Control
1Falsedad documental contable 300 20% 60 A A
2Fraude a hacienda 200 20% 40 M M
3Corrupción a funcionarios
públicos
60 50% 30 M A
4Blanqueo de capitales 30 50% 15 M M
5Falsificación de tarjetas de
crédito y cheques
15 100% 15 A M
6Fraude en seguridad social 40 30% 12 A M
7Cohecho 100 10% 10 A M
8Fraude en subensiones y ayudas 60 10% 6 M M
9Abuso de información
privilegiada
40 10% 4 A M
10Financiamiento de partidos
políticos
20 10% 2 B B
11Corrupción entre particulares 20 10% 2 M A
12Asociación ilícita 20 5% 1 M M
13Tráfico de influencias 10 10% 1 M B
Ejemplo cuantitativo

49. Ejemplo cuantitativo
Probabilidad a 3 años
Impactoporeventok€
Tamaño = Velocidad

50. Ejemplo cuantitativo
Granularidad
Probabilidad
Impacto
Financieros
Estratégicos
Compliance
Operativos
Puedo hacerlo por
proceso, línea de
negocio o empresa

51. Valuación financiera del impacto
Escenario base
Escenario
base
Escenarios
promedios
Peor Esc + Mejor Esc
2
Escenarios
triangulados
Peor Esc + Esc Base * 3 + Mejor Esc
5
Montecarlo Software
1
2
3
+10k
. E1
. E2
. En

52. Riesgo inherente y riesgo residual
Probabilidad
Impacto
Aclarar al dueño del
riesgo si hablas del
inherente o residual
Riesgo propio de una actividad
sin ningún control
Decisión para la cual
construimos el mapa
Asegura la mejora contínua de
los controles

53. Seguros
Outsourcing
Cláusulas de
responsabilidad a
terceros
Transferir
Dejar de efectuar la
actividad que afecta la
sustentabilidad
Terminar
Monitorear
frecuenmente
para asegurar
sigan en “lo
verde”
Tolerar
Aplico controles
preventivos y
correctivos
Tratar
Plan de
Prevención
Plan de
Contingencia
Decisiones 4 Ts
Prevención
CoCo y políticas
Separación de funciones
Autorizaciones
Formación, checklists
Monitoreo y supervisión
Corporate defense como
eximente
Contingencia
Protocolo de crisis
Reporte a autoridades (ej.
fuga de información personal)
Investigación del canal de
denuncia
Procedimiento de
disciplina
Cisnes negros:
eventos remotos e
impredecibles con un
efecto mayor

54. Controles
• Mapa de riesgos con planes de acción
• Políticas con controles preventivos (aprobaciones, SoD, manuales y automáticos,
ambiente/ciclos)
• Entrenamiento y difusión
Prevención
• Compliance audits (propias o de reguladores)
• Revisión de litigios, seguros, sanciones y reclamos
• Análisis de denuncias Compiance Help Line
Detección
• Protocolo de disciplina
• Comunicación de fraudes
• Denuncias a la justicia
Respuesta
• Monitoreo del modelo de prevención de delitos
• Actualización del modelo
Supervisión y monitoreo

55. ¿Cuántas vacas se me escapan del
campo si no tendría ninguna cerca?
Riesgo inherente
Análisis teórico y no orientado a tomar
decisiones
Relacionado con el impacto y frecuencia del
máximo peor escenario donde todos los
controles fallan o no existen
Ninguna actividad carece de controles,
especialmente de alto nivel (ambiente de
control) como un presupuesto o el código de
conducta
Vinculado a auditoria y seguros (“el mundo
colapsaría sin nuestros servicios”)
Riesgos no es el impacto y la frecuencia de un
único escenario sino de todos ,con muchas
potenciales estadísticas
¿Qué beneficia a mi empresa priorizar riesgos
inherentes?

56. Alternativa sin impacto ni frecuencia
Baja Media Alta
Prioridad
Delitos improbables
en la actividad en
la actividad de la
empresa
Fuera del alcance
de los empleados
Delitos que pueden darse en la actividad de
la empresa
Empleados con conocimiento y alcance para
cometerlos
Baja ganancia para
el empleado
Alta ganancia para
el empleado
Limite: Más vinculado al impacto que a la frecuencia
(ej. que lo puedan cometerer 2 empleados es igual que todos)

57. Compliance de tolerancia
cero
Tolerancia cero al riesgo de
incumplimiento legal o de
inseguridad de empleados,
formalizado en el código de
ético
Enfoque moral: siempre
cumplimos la ética y la ley
Compliance basada en
riesgos
Sentido de racionalidad
económica sobre controles al
riesgo de fraude, es irrealista
reducir la corrupción y los
ilícitos a cero incidentes
Enfoque pro-negocios:
obtenemos ganancias porque
asumimos riesgos
Tolerancia al riesgo en compliance
Compliance solo funciona en dos lugares:
en el cielo dónde no la necesitan y en el
infierno dónde ya la tienen

58. Tolerancia al riesgo en compliance
• La tolerancia al riesgo de compliance la determina el consejo al:
• asignar presupuesto, información y poder político a la función del
compliance officer (en muchos casos impulsados por las multas de un
regulador y el coste percibido por los incumplimientos)
• determinar los factores sobre los que incentiva las remuneraciones
(motivando actuaciones éticas y sustentables)
• tomar decisiones que balancean performance y valores
El riesgo de compliance debe tener la misma medición que los demás como
el financiero o el estratégico porque toman la capacidad de riesgo común de
la empresa y deben gestionarse en conjunto
La tolerancia al riesgo depende de la cultura y la presión comercial de una
empresa

59. Tolerancia al riesgo en compliance
• Los empleados deben cumplir con
toda la normativa legal y los
procedimientos internos
• La empresa mantiene la tolerancia
cero frente a la corrupción en todas
sus formas, incluyendo a
proveedores y terceras
• La empresa no tiene tolerancia frente al fraude
• Terminamos con riesgos individuales con una
exposición mayor a €200k al año
• Disminuir las multas del regulador a €200k
• Mantener el nivel de satisfactorio las
inspecciones laborales
• No recibir reajustes impositivos de auditorias

60. No instalamos frenos en los coches para
ir más despacio, sino para poder
movernos más rápido

61. Mapa de Riesgos – Alternativa
Puntaje Interno
Fraude
- Operativo
- Contable
Corrupción
Daños
Informáticos
….
Calidad de
Controles
Documen-
tación
Entrena-
miento
Centrali-
zación
Sistema de Puntos
1 a 5
Medidas Efectivas a Inefectivas
Respaldado por Director de Área
Puede ser ponderado (ventas de la unidad, número
de empleados,…)

62. Planes de Acción
Exposición a un delito
tomando en cuenta los
controles actuales
Medidas a implementar Recursos a asignar
Controles
Políticas
Sistemas
Conocimiento
Autoridad
Coordinación política
entre departamentos
Presupuesto con
responsable, tiempo e
indicadores
Cargos

63. Herramienta CASE
C Consequence
A Assets at Risk
S Source
E Event
Perder ventajas competitivas
…. “sobre” …
la propiedad de información sensitiva
…. “debido al” …
espionaje industrial de nuestros
competidores
…. “al” …
sufrir un ataque a servidores inseguros

64. Herramienta Bowtie
Proceso de negocios Objetivos
Causas
Prevención
Consecuencias
Impacto
Riesgo
Factores humanos,
procesos, equipos,
materiales, ambiente,
gestión
Financieras
Compliance
Operativas
Estratégicas
Indicadores de Riesgos
Árbol de Fallos Árbol de Impactos
3 Líneas de Defensa
políticas sobre
actividades

65. Herramienta Bowtie
Riesgo
Eventos desencadenante
Causa
Probilidad
Evento positivo o
negativo
Consecuencia
Impacto
Eventos contingentes
Como resultado que…. Hay un riesgo que…. Que puede resultar en…
Deben ocurrir con certeza
para materializar el
riesgo, pero no sabemos
cuando
Evento de riesgo que
puede o no puede pasar
impactando en resultados
Eventos que hacen que
perdamos el objetivo y
cuando se materializa el
riesgo
Una falla en el testeo de
calidad del producto
produce un
incumplimiento de
contratos con clientes
generaría costes
adicionales y dañaría la
reputación

66. Reportes al ExCom
Mapa de Riesgos
Penales
Por Áreas
Por País
Por Año
Seguimiento de Planes
de Acción
Planes
Presupuestos
Grado de Avance
Indicadores de Riesgos
Claves (KRIs) Penales
Ejemplos:
Multas por Revenue
Multas por Volumen
Denuncias por
Empleado
Fraude por Empleado
% Completar Cierto
Programa Educativo

67. Key Risk Indicator en Compliance
Objetivo
¡Factor de
riesgo!
Tolerancia
Key Risk
Indicator
Key Performance
Indicator

68. Key Risk Indicators en Compliance
• Un Key Performance Indicator mide la eficiencia pasada de compliance
• Medimos la cantidad de eventos materializados y pérdidas
• % multas sobre ventas, contingencias legales sobre ventas, número de
procesos con no-conformidades sobre el total auditado, número de
denuncias anuales en el canal por empleado
• Un Key Risk Indicator predice si nos acercamos a un factor de riesgo
• Medimos el movimiento de los factores de riesgos (ej. proyectando
tendencias) para cambiar estrategias. Los vinculamos a las red flags.
• Variación interanual de multas/contigencias/reviones/ajustes fiscales
• % empleados de compliance sobre empleados totales
• % de rotación no deseada de empleados
• número de cambios de versiones de políticas sobre el total
• % de órdenes de compras con disputas con proveedores
• % empleados formados sobre cierto riesgo de compliance
• % ventas a clientes públicos/extranjeros

69. Conducir un departamento de compliance
sin KRIs es como conducir un coche solo
mirando el espejo retrovisor

70. ¿Cómo podemos fracasar?
• No logra poner el riesgo legal en la agenda de la alta dirección
• Carece de recursos y autoridad en la unidad de cumplimiento para construir
la cultura de “tolerancia cero”
• Carece del liderazgo y entusiasmo para permear los controles dentro de la
organización
• Mantiene su el mapa de riesgos y los controles “en silos”
• No logra hacer que sea una herramienta de gestión (por ejemplo,
terciarizando)
• No logra orientar los recursos a los riesgos relevantes
• Tiene objetivos no alineados a la madurez de la organización
• No aprence ni mejora de los fallos y nuevos riesgos
Hacer fácil lo difícil
Si compliance…

71. ¿Qué llevo lo cometido?

72. mydailyexecutive.blogspot.com
 xxxx@gmail.com
www.linkedin.com/in/hernanwyler
 634 xx xx xx