Este documento presenta un programa de compliance superior. Se discuten varios marcos y herramientas para organizar y gestionar funciones de compliance, incluyendo OCEG, COSO y COBIT. También se analizan los roles y desafíos de los oficiales de compliance.

1. Programa Superior de
Compliance
Prof. Hernan Huwyler, MBA, CPA
26 y 27 de Mayo 2017
Liderando a Compliance

2. Demanda

3. Demanda

4. Hernan…
Audit SOX ACCG
Risks
SAP/IT
Compliance

5. ¿Qué ganaré?

6. ¿Muerte por PowerPoint o
compartimos ideas
prácticas?

7. Interrumpe por favor

8. Automatización
20 terminales para reducir los llamados a la
helpline
Respuestas a preguntas básicas de empleados
sobre compliance
Responde por voz sobre normativa aplicable (no
a referencia a manuales internos )

9. Concept CCO

10. Marcos
OCEG GRC
Capability Model
OCEG, 2009
Think tank para
mejorar la
performance
Modelo de gobierno
Compliance integrado
a auditoria y riesgos
ISO 19600
Compliance
Management Systems
ISO, 2014
Consenso específico
de compliance
Soporte a/de ISOs
31000 de riesgos,
9001 de calidad y
37100 anti-corrupción

11. Marcos
Ayuda para organizar la
función de compliance para
alcanzar objetivos con la
confianza de tratar riesgos y
actuando con integridad

12. Marcos
Ayuda para organizar la
función de compliance para
alcanzar objetivos con la
confianza de tratar riesgos y
actuando con integridad
medibles y sustentables
y oportunidades
legalidad y ética
principios y pasos de acción certificables
y mi carrera

13. Componentes de marcos
Cómo establecer objetivos y compromisos de
compliance desde el consejo a los empleados
Cómo delegar controles y documentarlos en
políticas para los procesos
Cómo asignar personas y recursos al plan de
compliance
Como mejorar la cultura a través de la educación,
la gestión del cambio y performance

14. Marco GRC
Valores compartidos
Comunicación de objetivos
Delegación y organización
Alinear las decisiones
Planes de acción
Monitoreo de indicadores
Controles en políticas
Disciplina y reconocimiento
Investigaciones
Gobierno Riesgos Compliance

15. Marco GRC
Gobierno
Riesgos
Compliance
Articular la estrategia asignando objetivos
Definir la delegación de autoridad e incentivos
Evitar conflictos de interés y segregar tareas
Asegurar la rendición de cuentas
Identificar riesgos afectando los objetivos
Evaluar los riesgos
Mitigar los riesgos
Reportar riesgos según criticidad
Gestionar el control en las políticas
Documentar los controles en un sistema normativo
Monitorear y supervisar operaciones críticas
Remediar incumplimientos

16. Marco GRC
La perspectiva de
control interno
Los incendios son
inevitables pero pueden
ser controlados con
extintores. Instale
extintores y audite sus
cargas. Resuelva cualquier
deficiencia.
Documente el proceso y
audite los controles.
Identifique deficiencias y
corrija los controles
La perspectiva de
riesgos
Los incendios ocurren
cuando un material
inflamable se expone a una
fuente de ignición. Elimine
ambos factores.
Identifique y mitigue los
factores de riesgos por
categoría. Monitoree los KRI
para advertir sobre eventos.
La perspectiva de
compliance
Los incendios ocurren por
la gente despreocupada.
Persuada a gente que
cambie su conducta y
entrene sobre prevención.
Desarrolle una política.
Comunique, motive y entrene
a quienes pueden tener una
conducta peligrosa.

17. 3 líneas de defensa
Primera Línea
Unidades
operativas que
gestionan el
control
Gestión operativa
y control interno
Segunda Línea
Gestión de Riesgos
Compliance
Control Financiero
Calidad
Seguridad de
Información
Asesoría Jurídica
Tercera Línea
Auditoria Interna
Alta Dirección
Comité de Dirección
Comité de Auditoría
AuditoriaExterna
Regulador

18. Modelo Queso Suizo

19. Modelo Queso Suizo

20. Modelo Queso Suizo

21. Volvamos a los
elementos de un
buen marco de
compliance

22. Órgano de Dirección
Supervisión
Control de Gerencias
Primer Línea Defensa Segunda Línea Defensa
Unidades
Operativas
Riesgos, Compliance,
Control, Calidad
Políticas del Org. Dirección Estándares de Gestión
Código de Conducta
Política de
Cumplimiento
Programa de Ética
Política de Riesgos
Controles de
Compliance
Mapas de
Riesgos
Entrenamiento
Reporte
Helpline
Gestión de Cambios – Planificación, Hacer, Verificar, Actuar

23. Elementos de
un marco de
compliance
Evaluar
ambiente
Definir
objetivos de
compliance
Identificar
obligaciones
de
compliance
Evaluar el
riesgo de
incumplimie
ntosDesarrollar
la respuesta
al riesgo
Efectuar
actividades
de control
Comunicar
la
performance
Monitorear
y mejorar la
función

24. Madurez de un marcoPerformance
Madurez de Compliance
Resolver
problemas
Soporte de
objetivos
globales
Ventaja
competitiva
Monitoreo
Automatización
Función de bombero
Ofensiva a mayores riesgos
Eficiencia de
costes y
acciones

25. Marco
Open
Compliance and
Ethics
Group
Gratis, trabajos derivados, Open Source
Diverso compliance + IT + auditores + gestores de
riesgos + abogados, Certificable
En función de la
performance
Orientación a la cultura

26. OCEG
Riesgos y controles
de compliance
Riesgos y controles
de operaciones y
calidad
Riesgos y controles
de sistemas
Riesgos y controles
de desarrollo de
negocios
Riesgos y controles
de legales y de
privacidad de datos
Riesgos y controles
de recursos humanosRiesgos de auditoria
Riesgos y controles
de HS&E

27. OCEG
¿Cómo mejoramos la performance?
Marco con conceptos,
componentes y términos
Sistema de integración para reducir
costes y facilitar la auditoria sobre
GRC
¿Cómo medimos?
Criterio de evaluación de
performance
Herramientas de benchmark para
certificación sobre GRC
¿Cómo lo hacen los demás?
Certificación profesional
Comunidad de especialistas

28. OCEG
¿Qué pasa cuando no integramos
compliance en GRC?
Perdemos “la foto” de los riesgos
globales que impide tomar decisiones
No podemos medir esfuerzos ni sus
resultados
Duplicamos tareas, especialmente al
mantener muchos datos y planes de
acción descoordinados
Somos incapaces de consolidar datos
No podemos evaluar confiablemente
los riesgos y los controles
¿Porqué?
Falta de un “champion”
(¡no de un software!)
Incapacidad de colaborar
Sin estrategia para integrar
No identificar un ejemplo
(“business case”) convincente
para demostrar beneficios

29. OCEG
¿Qué lugar nos da para el compliance
officer?
Cumplir con los requerimientos y…
los procedimientos internos, el
código de conducta y los valores
Límites obligatorios y voluntarios
para la toma de decisiones
Acciones de control
Acciones de gestión como el mapa
de riesgos, entrenamiento
coordinado con RH y la participación
en discusiones de planeamiento
estratégico (concepto de compliance
by design)
¿Porqué?
Ayudar a alcanzar objetivos
Sostener la cultura a través de la
asignación de responsabilidades,
la ética y disciplina
Brindar un mapa de riesgos (de
incumplimientos y falta de ética)
oportuno, completo y a todos los
involucrados como el consejo,
reguladores, al departamento de
desarrollo estratégico y gestores a
todos os niveles
Mejorar procesos

30. OCEG

31. Elementos del Modelo

32. Elementos del Modelo
Monitoreo
Acciones y Controles
Aseguramiento
Consejo y auditoria
Mejora
Capacidad de GRC
Análisis
De inicio a fin
Seguimiento de
acciones y controles
sobre riesgos de los
objetivos en todas las
capas de la
organización.
Revisión independiente
y con conocimiento de
específico por tema.
Mejora continua del
monitoreo y
aseguramiento para
agilizar reacción ante
cambios del contexto.
Consolidar los fallos
reportados durante el
monitoreo y
aseguramiento para
analizar causas raíz.

33. Ideas

34. Ideas

35. COSO
Origen
financiero
Asociaciones de
contadores,
auditores y
financieros en 1985
para fraude
contable
Recomendación para
auditorias y
reguladores
(aceptada SEC para
SOX)
y otros
riesgos
Gestión de riesgos
Performance
operacional
Estrategia
Cyberseguridad

36. COSO y COBIT
Procesos integrados
Riesgos
Sistemas integrados
Riesgos de IT

37. COSO y COBIT
Sistemas integrados
Riesgos de IT

38. COSO

39. COSO 2013
Control interno para
asegurar la
exactitud de la
información
proteger activos
asegurar el
cumplimiento

40. Ambiente de
Control
Tono en la
cumbre
Responsabilidad
de supervisión
Estructura y
autoridad
Competencia
Rendir
cuentas
Evaluación de
Riesgos
Objetivos
realistas
Identificar y
analizar
riesgos
Evaluar riesgo
de fraude
Analizar
cambios
Actividades
de Control
Seleccionar
actividades
de control
Controles
sobre IT
Desarrollo de
políticas y
procedimient
os
Información y
comunicación
Uso de
información
relevante
Comunicación
interna
Comunicación
externa
Monitoreo de
actividades
Evaluación
permanente
e
independiente
Evaluación y
comunicación
de
deficiencias
Principios COSO

41. Herramientas COSO

42. Controles en Compliance
Preventivo
Detectivos
Correctivos
Controles que buscan impedir que ocurra un
incumplimiento (más rentables)
Entrenamiento sobre ética, administración del CoCo y
políticas, delegaciones, due dilingence, planes de acción al
mapa de riesgos de compliance, respuestas a la Helpline
Controles que identifican un incumplimiento
Monitoreo de áreas de riesgos, indicadores de efectividad
del programa de compliance, investigación de denuncias,
testeos de calidad
Controles para revertir un incumplimiento
Medidas de disciplina, planes de no-conformidades de
auditoria y cerficaciones, recuperación de backups y
documentos, reducción de sanciones, actualización de
políticas, reporte a autoridades (ej. fugas de info)

43. COSO en Compliance
Facilita a compliance
compartir necesidades de
objetivos comunes con
auditoria interna y externa
Monitoreo para área de
compliance: anti-corrupción,
comercio exterior, pagos
El marco de control interno es
una necesidad de la alta
dirección y aplica a todos por
su incidencia en resultados
La seguridad razonable de la
información interna y externa
financiera y no financeira
Separación de funciones

44. COSO en Compliance
Soporte
Sinergias
Compliance
Los principios de COSO soportan los elementos de un
programa de compliance efectivo: 1) apoyo alta dirección, 2)
políticas formalizadas, 3) delegación y segregación y 4) líneas
de comunicación.
Ayuda a organizar revisiones con auditoria interna para el
monitoreo de operaciones de riesgos.
El acceso a alta dirección e independencia permiten un comité
común de compliance y auditoria.
Las no conformidades de control interno deben llegar al
compliance officer para:
1) ajustar riesgos ,
2) colaborar con remediaciones, y
3) aplicar sanciones

45. Ideas

46. Integración
Modelo tradicional
Proyectos comunes
entre compliance y
legales
Promueve la
independencia
Facilita las sinergias
en el conocimiento
de regulaciones
Modelo de moda
Compliance como
riesgo igualado a
operacional y
financiero
Visión integrada de
riesgos
Facilita el
alineamiento a los
negocios
Compliance como una
función de control
Posicionamiento de
compliance
semejante a
auditoria interna
Eleva el perfil e
independencia de
compliance
Facilita las
actividades de
control y gobierno

47. •
Liderando a Compliance
•
Influencia para planificar e
implementar un programa de
compliance

48. Todas las regulaciones,
en todas las unidades
de negocios, en todo
momento…
y tan poco tiempo

49. Mitos de los CCOs
Estar solos en la cruzada ética nos transforma en
la máquina de impedir
Podemos hacer poco sin un software para
gestionar políticas, planes y riesgos
Si el consejo no da importancia a compliance,
no tendremos recursos ni autoridad
Tenemos un valor solo cuando se materializan
riesgos por incumplimientos

50. Realidades de los CCOs
No somos la única función transversal…
pero si la que está más de moda en España
Gestionamos riesgos, no seguridad
Podemos hacer poco sin un software para
gestionar políticas, planes y riesgos
El entretenimiento de compliance es para
empleados y el consejo
Compliance tiene un valor estratégico en la
toma de decisiones

51. Un compliance officer debe descubrir y aceptar la
real madurez de su función en la organización
Cultura, cultura, cultura

52. Reputación #1… #2…
Neil Armstrong "Buzz" Aldrin

53. Reputación #1… #2, #3,…
???

54. Reputación #1… #2, #3,…
Charles "Pete" Conrad

55. Buscamos para nuestro equipo de alta dirección, a quien:
Quiera pasar de la coyuntura de los negocios a los principios
de integridad y sustentabilidad en el largo plazo
Analizar datos, investigar y aprender de todos los sectores y
negocios de la empresa con mínima supervisión
Capacitar a otros empleados y proveedores desde diferentes
perspectivas compartiendo su pasión
Desarrollar una disciplina nueva para aplicarla a realidades
concretas previendo cambios de expectativas de grupos de
interés y tecnologías
Colaborar en estrategias identificando ventajas competitivas
Un trabajo genial…

56. Brújula del planeamiento
Fq %
Im$
GDPR
HS&E
Anti-
trust
Propiedad
Intelectual
Tráfico de
Información
Privilegiada
SOX
Controles
Exportación
Corrupción

57. Brújula del planeamiento
Fq %
Im$
GDPR
HS&E
Anti-
trust
Propiedad
Intelectual
Tráfico de
Información
Privilegiada
SOX
Controles
Exportación
Corrupción

58. Brújula del planeamiento
Fq %
Im$
GDPR
HS&E
Anti-
trust
Propiedad
Intelectual
Tráfico de
Información
Privilegiada
SOX
Controles
Exportación
Corrupción
Recursos

59. Brújula del planeamiento
Fq %
Im$
GDPR
HS&E
Anti-
trust
Propiedad
Intelectual
Tráfico de
Información
Privilegiada
SOX
Controles
Exportación
Corrupción
Contingencia
Prevención

60. Principio ALARPRiesgodeIncumplimiento
Costo / Beneficio
CostedeCompliance
As Low As
Reasonably
Practicable

61. Area Medida Criticidad
2017 a 2018
Sector Plan de Acción
Nuevas Tareas 2017
Anticorrupción
(FCPA, UK ABA,
Sapin II, Art 31b)
Prevención
Contingencia
1500k*50%=750k
1000k*30%=300k
Comercial
Financiero
Colaboración
con auditoria
interna
Training a comercial
Due diligence 3Ps reforzar
Controles financieros
Defense y retención
documentación
Privacidad
(EU GDPR)
Prevención 800k*75%=600k
800k*50%=400k
IT
Comercial
RH
Revisión accesos
Entrenamiento Comercial
y RH
Controles
Exportación
(Sanciones EU, dumping,
restricciones, licencias)
Prevención 900k*60%=540k
900k*30%=270k
Comercial Mejorar política
Revisión datos de clientes
con sujetos listadas
Seguridad y Salud
(Ley de Prevención
de Riesgos
Laborales)
Prevención 300k*70%=350k
300k*60%=300k
Operaciones
Colaboración
con seguridad
laboral
Entrenamiento seguridad
Auditoria de uso y traslado
de materiales peligrosos
Planemiento

62. Proyecto Contra
parte
Tareas
Nuevas 2017
Per. Horas y Pres
A- CCO B- Analista
Compliance
Actualización
de riesgos
CRO Entrevistas
Workshop
Reporte
Análisis base de incidentes
Q1
Q2
Q4
A= 300
B=200
Entrenamiento CHRO Código de ética y general
Anti-corrupción
Seguridad de datos personales
Q2 A= 270
B= 40
Viajes=10k
Desarrollo
normativo
CIO
CLO
Coordinación políticas de IT
Actualización de normas de retención de
documentación
Q1 A= 150
B= 200
Prepración
GDPR
CISO Revisión cláusulas
Auditoria de privacidad
Soporte equipo dedicado
Revisión de accesos
Q3/Q4 A= 700
B=450
Consultor=30k
Curso=40k
Due diligence
3P
Com Nuevos clientes * Reforzamiento controles
Cruce de sujetos listados
A
Q2
A=120
B=400
Software=40k
Investig=40k
Controles
financieros
CFO
CAE
Revisión de notas de gastos, gastos consultores, y
comisiones de agentes
Q3 A=150
B=450
Planemiento del Programa de Compliance

63. Planemiento
Ene Feb Mar Abr May Jun
Riesgos
Entrevistas
Workshop
CCO
Analista
CCO
Riesgos
Reporte
CCO
Normas
IT
Ret Doc
CCO
Analista
Analista

64. Evolución de costes
Costes
Tiempo/Soporte
Implementación Operación
Diseño y testeo
Consultores
Gestión del
cambio
Recursos internos y licencias
Capacidad normal
Dividir el
presupuesto en
gastos operativos
y gastos no
recurrentes

65. Recursos
Adecuados
Acceso a directivos
e información
Posibilidad de
contratar
consultores
Cubriendo los
requerimientos,
riesgos y el plan de
compliance
Staff, software,
capacitación
Autoridad
Presupuesto

66. Una cuestión de liderazgo
… no de dinero
Presión sobre el alcance: nuevos requisitos y mayores riesgos
operativos con impacto en cumplimiento
- EU GDPR con mayores riesgos de cyber seguridad
- Normas anti-corrupción con presión por resultados
- Expectativas de clientes y reguladores con redes sociales
Sinergias con el resto de la segunda línea de defensa y auditoria
- CCO con capacidad técnica de tomar un control transversal
- Respaldo político de alta dirección, comités de GRC, aprobación del
programa, valor estratégico de compliance
- Tendencia: transferencia de controles de cumplimiento a líneas
operativas con entrenamiento
Acciones de coste cero
- Embajadores de compliance
- Transferencias a compliance de organización y métodos,
ISO, seguridad de IT, ambiental y HS&E
- Software gratuito: Google Forms, eLearning
- Repositorio central de normativa y políticas

67. Razones para invertir
Evitar consecuencias
directas
Evitar consecuencias
indirectas
Cumplir con
requerimientos básicos
Sanciones
Pérdida de negocios por
imposibilidad de licitar
Imposibilidad de cumplir
con requerimientos de
clientes
Devaluación del valor de
la marca y capitalización
bursátil
Complimiento con normas
mínimas
Obtener licencias para
operar
Responsabilidad personal
de directores
Multas
Requerimientos de
clientes
Compromiso por la
integridad
Ventajas competitivas
Presiones regulatorias

68. Mapa de aseguramiento

69. Roles combinados
Másdeun
sombreropero
unasolacabeza
y general del
negocio
EU GDPR &
DPO
Cyber risks
sobre
diferentes
decisiones de
negocio
Asesoría
legal
Privacidad de
datos
Cadena de
validación

70. Roles combinados
Chief Legal Officer Chief Compliance Officer

71. Consejos
Delimitar responsabilidad: los riesgos los evalúa
cada área y se aprueban, y el presupuesto con
sus acciones lo aprueba el consejo
Compartir y discutir todo el plan con la segunda
y tercer línea de defensa
Holgura para imprevistos: fraudes,
investigaciones, análisis de impactos…
Dividir tareas recurrentes (riesgos, monitoreo,
entrenamiento) de nuevos proyectos

72. Consejos
Balance de recursos en prevenir, detectar y
corregir incumplimientos
Automatizar tareas en el sistema para recibir
excepciones y red flags
Al medir riesgos en forma cuantitativa, puedo
evaluar la efectividad de recursos en las
acciones
Pedir que nos auditen la implementación del
plan de compliance (auditoria interna o
certificadores, incluso feedback de empleados)

73. ¿Cómo vender compliance?
Creer en lo que vendemos y buscar
aliados
Crear la necesidad del programa de
compliance: ¿qué quieren mis
interlocutores?
Explicar porqué de las reglas y qué
deben hacer (en lugar de qué no
deben hacer) → ¿Puedo confiar que
…?
Dar información “exclusiva” y hacer
favores
Caminar toda la empresa y ser visible,
vínculo personal, personalizar
mensajes
Prueba social → Los mejores
directores lo hacen

74. Liderar es capacitar
Hoy:
entrenamiento
sobre compliance
tu departamento

75. Liderar es capacitar
Accesibilidad del CCO
A todos los niveles
Casos reales → Qué espero que
decidan
Discusiones → Escuchar
“Endorsement”
Medir satisfacción y aplicabilidad
Preguntar si lo que explicamos tiene
sentido en su día a día
Límites presupuestarios: e-learning
“humano” y embajadores de
compliance
Hoy:
entrenamiento
sobre compliance
tu departamento

76. Liderar es capacitar
Técnicas para reducir fraude
Consistencia con ideal ético → firma del
código de ética y cláusulas en contrato
laboral
Efecto en terceros de la falta ética
Árbol de decisiones para la ética
Esto es lo que esperamos de tus
decisiones
Consistencia en las sanciones
Racionalización del fraude del personal en
empresas que pagan sobornos o abusan
de clientes
“no voy a arriesgar mi carrera (ni mi libertad) para
ayudar a cometer un fraude (sobornar, contaminar,…)
porque me lo pide mi jefe”
Extender a 3Ps, contratistas y
proveedores
Codi
cia
Dere
chos
Impu
nidad
Racionalización

77. Proveedores y
clientes
Consejo de
Administración
y Dirección
(CAE, CRO, CLO,
DTO, CISO)
Importancia para…
Programa
de
Compliance
Accionistas e
inversores
Reguladores y
certificadoras
Bancos y
Analistas

78. Principios vs. Reglas
criterio de decisión
Versus
micro-management
Unidad del sistema normativo

79. La increíble historia de un compliance officer que logró dominar la
influencia

80. •
Liderando a Compliance
•
Métricas de cumplimiento

81. ¿Métrica? ¿Indicador?
Medición
Cuantitativa o
cualitativa
Relacionable a un
estandard o tiempo
para medir cambios

82. ¿Métrica? ¿Indicador?

83. Indicadores para ISO 19600

84. Indicadores para ISO 19600

85. Diferencias
Performance
Miden la
eficiencia de la
organización
Acciones
operativas
Pasado
Riesgos
Miden la
gestión de
los factores
de riesgos
Futuro
Compliance
Miden el éxito
de la función y
los controles
de
cumplimiento
de control
de cyber
seguridad
de
actividad y
calidad
KPI KRI KCI +

86. Construcción
Inputs
de compliance
Outputs
de compliance
Presupuesto
Tiempo (FTEs)
Estructura
No conformidades
Multas
Base de pérdidas
Ejemplos
horas de capacitación sobre ética por empleado de compliance
multas por EUR invertidos en compliance ,

87. Estados para medición
…cubre todos los riesgos
y regulaciones?
… se implementó en la
práctica como se diseñó?
Diseño Implementación Impacto
… ha funcionado como
esperamos?
¿Cada iniciativa del programa de compliance…
¿La política anticorrupción
cubre todos los aspectos
de riesgos (31b, FCPA UK ABL)?
¿Todos los países y
actividades?
¿Los controles están
claros?
¿Los empleados
entendieron el
entrenamiento?
¿Cambiaron sus acciones
como este resultado?
# políticas actualizadas /
Cambios criticidad riesgos de
corrupción
# de violaciones y denuncias /
Reporte de auditoria
% empleados entrenados
Evaluación de entrenamiento
¿Se entrenó a todos los
empleados alcanzados?
¿Se actualizó las matrices
de controles y monitoreo?
Ejemplo:

88. Recodemos que los
marcos nos
permiten hacer un
benchmark
… lo cual permite
generar indicadores a
medida que cierro los
gaps
Marco Mi empresa
Acción 1
Acción 2
Acción 3
Indicador 67%

89. Valor predictivo
Tendencias en su evolución
Construidos sobre factores de riesgos

90. Valor predictivo
El compliance officer
debe promover que las
demás áreas midan sus
propios (y efectivos)
indicadores de
cumplimiento
El compliance officer
debe pedir explicaciones
(y acciones) cuando las
tendencias de los
indicadores alertan de un
riesgo

91. Compliance dashboard

92. Compliance dashboard

93. Consejos
Usar pocos
indicadores
generales y
vinculados a
riesgos

94. Comunicación

95. Las 5 As
lineados con los objetivos estratégicos
lcanzables con un esfuerzo normal
justados para los riesgos relevantes
ctualizados frecuentemente para medir
evolución
ccionables en planes para su gestión

96. Clasificación ISO 19600
Miden el potencial de
superar o no cumplir
con los objetivos de
compliance
Riesgos de
incumplimientos
sobre objetivos
reputacionales, de
desarrollo, de
seguridad y
reputación)
Tendencias de las no
conformidades
Miden el ´numero de
no conformidades
reportadas por área o
tipo
Pueden medir
minetariamente los
incumplimientos
como multas,
penalidades, costos
del plan de acción,
pérdida de
reputación
Miden las acciones
de compliance
Porcentaje de
empleados
capacitados
Acciones correctivas
emprendidas sobre
políticas y controles
Feedback recibido de
la función
Predictivos Reactivos de Actividad

97. Clasificación por prioridad
Gestión de toda la
función general de
compliance
De responsabilidad
del compliance
officer Reportados al
comité de dirección y
otros grupos de
interés externos
(reporte anual, de
cumplimiento, de RSC o
integrado)
Gestión de
compliance en cada
departamento por
área de interés o
regulación
De responsabilidad
del director de área
bajo el sistema de
cumplimiento
(ambiental, laboral, de IT,
Legales, seguridad)
Gestión de controles
de cumplimiento por
procesos y
actividades
vinculadas a un
mismo departamento
De seguimiento del
director de área
de Alto Nivel Departamentales de Bajo Nivel

98. Indicadores de
Compliance
Por número de
empleados
Por euros de venta
Por país
Número de incidentes de compliance en
bases de fraudes (contable, operativo,
abusos)
Denuncias y consultas a la Compliance
Helpline
Resultados de auditoria interna y regulador
sobre compliance
Entrenamiento sobre el CoCo
No conformidades por revisiones, revisión
de políticas, SOX y certificaciones
Respuestas de los compliance self
assesstment
Multas, indeminizaciones y contingencias
legales
Euros de exposición a riesgos de
incumplimientos
Inversiones en la función de cumplimiento
Avance en el cumplimiento del programa
de compliance

99. Indicadores de
Compliance

100. Indicadores de
Compliance Laboral
Por número y tipo de
empleados,
candidatos y
subcontratados
Por euros de venta
Por actividad y país
Entrenamiento específico en horas
y personas alcanzadas
Denuncias sobre temas laborales,
discriminación y acoso
Resultados de encuestas de clima
laboral y sobre valores en
evaluaciones de desempeño
Medidas de disciplina por falta de
ética
Número de empleados con
conflictos de interés declarados
Multas por inspecciones y
auditorias fiscales laborales
Evaluación de prácticas laborales
de subcontratistas y proveedores

101. Indicadores de
Compliance Contable
Por número y tipo de
empleados,
candidatos y
subcontratados
Por número de
entidades
consolidadas
Por euros de venta
Por país
Reportes fuera de plazo
Fraudes contables
No conformidades con SOX
Recomendaciones contables
de auditoria interna y
externa
Número de ajustes contables
Rectificación de reportes
externos
Capacitación sobre controles
financiero e insider trading

102. Indicadores de
Compliance en IT
Por número de
empleados con
acceso a activos
informáticos
Por número de
ordenadores y
dispositivos móviles
Por euros de venta
Por actividad y país
Entrenamiento específico sobre
seguridad de información y uso de
activos informáticos
Gravedad y número de incidentes
de fuga de información
Número de cyber ataques y
phishing
No conformidades de auditorias
para ley de protección de datos,
hacking y ISOs 27001/ITIL/…
Resultados de auditorias de
licencias de software
Downtime y discontinuidad de
negocios

103. Indicadores
Compliance en Seguridad
Por número de
empleados
Por euros de venta
Por actividad
separando operarios
de empleados de
oficina
Por movimientos de
materiales peligrosos
Tasas de accidentes en
gravedad y frecuencia
Entrenamiento de seguridad
en horas y personas
No conformidades en
inspecciones de seguridad
Reporte de acciones inseguras
Simulacros de incidentes
Inversión en elementos de
seguridad personal y
mantenimiento
Resultados de encuestas de
clima laboral

104. Indicadores
Compliance Ambiental
Por número de
empleados
Por euros de venta
Por actividad
Por movimientos de
materiales peligrosos
Número de derrames
Emisiones de gases
Mediciones de ruidos
Residuos generados
Huellas de carbono e hídrica
No conformidades en
inspecciones de medio
ambiente
Número de simulacros de
desastres ambientales
Reclamos ambientales recibidos
Auditorias ambientales de
proveedores

105. Indicadores
Compliance Contractual
Por número de
contratos
Por número de
proveedores
Por euros de compras
Por actividad
Número de contratos no
estándar o con modificación
de cláusulas
Resultados de la evaluación
de performance
Disputas
No conformidades de
auditorias de cumplimiento
Contratos cancelados /
Cambios de proveedores
Certificaciones no
presentadas por
proveedores

106. Carecer de un
compliance officer
solo funciona en dos
sitios:
en el cielo, dónde no
le necesitan y …
en el infierno, dónde
ya le despidieron.

107. •
Liderando a Compliance
•
Monitoreo efectivo del
programa de compliance

108. Nada fácil
Desafío
Medir la eficiencia del
programa de compliance
Identificar indicadores
creíbles
Continuos cambios de
expectativas del consejo
El programa de compliance
está siempre en ejecución
Evaluación subjetiva de los
cambios de conductas y
decisiones
Comentarios pocos sinceros
de empleados
Alcanzar un monitoreo
consistente del
programa
Sesgos en la auto-
evaluación de competencias
Inadecuado seguimiento de
funciones de alto riesgo
Falta de comparación con
otras empresas
(certificación)
Dificultad de traducir en
medidas
Bombardeo de información
La “fatiga de compliance”
impide el monitoreo
Falta de un proceso formal
de reporte de resultados y
planes de mejora

109. Herramientas
Medir la
función
Medir al
CCO
Indicadores sobre
entrenamiento
brindado de
compliance
Multas y contingencias
legales
Resultados de
auditorias del
regulador e internas
Métricas de
compliance
Medir la
cultura
Resultados de la
evaluación de
desempeño del CCO
Variación de objetivos
específicos del CCO
Efectividad para
reducir los riesgos de
incumplimientos
Modelo de avance del
nivel de madurez
Resultados de
encuestas de cultura
Resultados sobre
valores en evaluación
de desempeño
Resultados tests de
conocimiento del CoCo

110. Encuestas sobre cultura
Alcance ¿Todos los niveles? ¿Consultores y contratistas?
¿Proveedores y otras 3Ps? ¿Las mismas preguntas para todos?
Modelo electrónico ¿Todos tienen umail?
¿Publicidad y posters? ¿Reuniones?
¿Anóminas? Preveer
agrupar por nivel empleado, sector,
país y tiempo en la empresa , si es anónima
no puede ser obligatoria
Preguntas sobre hechos
no sentimientos
Preveer de agrupar resultados
por temas como valores, entrenamiento y helpline
Devolución de resultados

111. Encuestas sobre cultura
En su opinión, ¿nuestra empresa
promueve la cultura ética?
Si No Quizás
¿Cuál es el compromiso ético que percibe
de la dirección/su superior? (1 al 10)
¿Cómo califica la integridad de toda la empresa? (Muy a
nada comprometida)
¿Cuántas veces ha observado en el último año que algún
empleado de la empresa ha faltado a la ética (ej. faltar
pretendiendo estar enfermo, mentir en rendiciones de gastos y combustible, utilizar bienes
de la empresa para uso personal)? (Ninguna a muchas)

112. Encuestas sobre cultura
Mi superior predica un buen ejemplo con su conducta
Mi superior me apoya para cumplir con los valores éticos de la
empresa
Discutimos como tomar decisiones éticas en nuestro equipo
Nuestra empresa trata a sus clientes en forma responsable y
ética
El código ético y las políticas se cumplen
Quienes incumplen con los valores éticos tienen medidas
disciplinarias
Muy en
desacuerdo
Muy de
acuerdo

113. Encuestas sobre cultura

114. Evaluación de Desempeño
Incluir aspectos del programa de
performance a la evaluación de
desempeño
Alcance ¿Todos los empleados
tienen evaluación de desempeño?
Vinculación a valores
¿Cómo influyen salarialmente estos resultados?
¿Auto-evaluación o
del superior?
Extender
¿Puedo medir otros aspectos del plan de compliance aquí como
entrenamiento recibido general de ética o especifico de
regulaciones?

115. Reaseguramiento
Testeo Monitoreo
Análisis por
compliance de
operaciones de alto
riesgo
Supervisión
permantente que las
operaciones se
analizan
Funcionan los elementos
del sistema de compliance
Cumplimiento del
programa
Internal Compliance
Reviews / Audits

116. Testeo
Universo Selección
Periodo alcanzado
Tipo de transacción
Cruce contable y otros
registros
Validaciones
estadísticas por
estratos, límites,
distribución gaussiana
y otros
Testeo
Muestro estadístico
según confianza
Tamaño muestral
Interrogación de
archivos
Uso de red flags
Cotejo de
documentación
Entrevistas
Atributos de control
sobre lo que piden las
normas y las leyes
Formalización
Conclusión de
efectividad

117. Testeo
El real objetivo de los testeos
es que el compliance officer
encuentre formas de
mejorar la eficiencia en
la forma que se cumplen las
obligaciones

118. Ej. Testeo de altas
Universo Selección
Listado de nuevos
empleados, pasantes y
consultores y otras
situaciones
semejantes
Empresas A, B, y C
Meses 1, 2 y 3
Cruce con informe de
recursos humanos
Altas todos los meses
Testeo
120 empleados nuevos
15 empleados a
analizar
Red flags: empleados
con cargos de gestión
y manejo de efectivo
Solicitud de
documento de
recepción del código
ético firmado y
fechado
Constancia de
asistencia a
entrenamiento del
CoCo en 30 días

119. Tamaño muestral
Periodicidad Universo
Anual
Muestras aleatorias Errores Admitidos
Anual 1 1 0
Semestral 2 2 0
Trimestral 4 2 0
Mensual 12 2 0
Semanal 52 5 0
Diaria 360 15 0
Múltiple +360 30 0
45 2
Automáticos 1 - Por simulación

120. Ej. Testeo de altas
Empleado Legajo Pais Cargo F. Alta Firmado
CoCo?
Firmado
en max
10 ds del
alta?
Asistenci
a a
entrena
miento?
Jens Nilsen 432 A Dir.
Tesorería
5/1/2017 SI SI SI
Anders Hansen 455 A Controller 7/1/2017 SI SI SI
Anne Jensen 478 C VP Fi 1/2/2017 SI SI SI
Bjørn Larsen 480 B CIO 1/2/2017 SI SI SI
Lars Olsen 544 C Operario 3/3/2017 SI SI SI

121. Business Process
Compliance
Requeri
miento
c/OC
+
10k
Aprob
A
Aprob
B y B
Doc
B
Requerimientos
Especificaciones, permisos,
prohibiciones, tiempos límites y
documetnación según cada
condición de unsa transacción
Traducidos de “Legales” a reglas
Estructurados en los sistemas
Doc
A
Proceso de negocio
Flujo de datos, controles, tiempos de proceso y
documentación

122. Business Process
Compliance
Requeri
miento
c/OC
+
10k
Aprob
A
Aprob
B y B
Doc
B
Doc
A
Proceso de negocio
Excepciones a las normas
Priorización de normas
Cálculo de compensaciones por
incumplimientos
Proceso automatizado de revisión
Alarmas por excepciones
Indicadores e informes real-time

123. Business Process
Compliance
Requerimientos
Dentro del modelo, la
actualización de un
requerimiento cambia todas
las reglas centralmente
Externos
Leyes y regulaciones
Directivas Europeas GDPR, SOX
Protección de consumidor
Sectoriales: Basel, Solvencia, Médicas
ISO 19600 CMS, 37001 ABM, 27001 Info Sec, 1400
Ambiente, 9000 Q, 1800 OHSAS
Internos
CoCo, Políticas y procedimientos, SoD, Prev. fraude
Normas de calidad
Contratos
Clausulas y acuerdos con concesionarios, proveedores y
3Ps
Service Level Agreements

124. •
Liderando a Compliance
•
Informes del programa de
compliance

125. Reportes
Lógicamente, los reportes dependen a quién reporta
el compliance officer…
… y no tenemos una solución única
Consejo
CCO
Consejo
Comisión
delegada
CCO
GC /CLO / CRO
/ CEO / CAE
CCO
Cumplimiento
Auditoria
Riesgos

126. ¿Por qué es importante?

127. ¿Por qué es importante?

128. ¿Por qué es importante?

129. Reportes
Reportes que recibe
el compliance officer
Detalle de litigios y riesgos
legales
Mapas de riesgos generales
Informes de auditoria
Base de fraudes
Reportes de quejas de
clientes
Linea de denuncia
Certificados proveedores y 3P
Rp de los CCOs regionales
Supervisión
administrativa del
compliance officer
Rendición de tareas
rutinariasy reuniones
regulares de seguimiento de
trabajo a su superior (CEO,
CFO, GC)
Supervisión formal
del compliance officer
Seguimiento poco frecuente
de uso de recursos,
resultados y riesgos a alta
dirección (consejo, comité)
Entrada Funciones Salida
Reportes que emite
el compliance officer

130. Niveles
Direcciones
Tarea secundaria del CCO
CoCo
Línea de denuncias y CoI
Corrupción, competencia,
insider trading, IP, laboral,
ambiental, due diligence de
provedores
Financiero, SOX e impositivo,
seguridad de datos, contratos,
retención de documentación, de
productos, de exportaciones, RSC,
HS&E
al Consejo
Tarea primaria del CCO
a Auditoria
Funciones indirectas y
consolidables con otros
reportes e iniciativas
ConsolidacióndeInformación

131. Niveles
Monitorear la evolución de
la cultura
Consejo
Reporte de ejecución del plan de
compliance
Mapa de riesgos de incumplimientos
Reporte sobre métricas
- Acciones de la línea de compliance
- Investigaciones por tipo, duración, y
acciones
- Violaciones y medidas disciplinarias

132. Consejos
Conocer qué ocupa al consejo
Evaluar la frecuencia y profundidad
programa y nombramientos, presupuesto anual , monitoreo regular de acciones
Evaluar los formatos: resumen ejecutivo + presentación + reporte completo
Apertura con pocos indicadores, pero generales y consistentes, para medir la
efectividad del programa (aka la definición del cargo del CCO, qué delegaron)
Resumen de riesgos emergentes y benchmark de otras empresas
Resumen y conclusiones de acciones rutinarias
en general: mapa de riesgos ,corrupción, denuncias, investigaciones, encuesta
sobre cultura e integración con auditoria, coordinar reportes de la 2da linea
Llamar a la acción
validar objetivos de compliance y nuevas iniciativas, resolver excepciones pedidas
por unidades de negocios, aclarar responsabilidades
Preguntar necesidades: nuevas políticas, entrenamiento a alta dirección

133. Niveles
Demostrar acciones y
controles sobre la ética
Reporte
externo
Indicadores y acciones partiendo del CoCo
Número de denuncias y medidas disciplinarias
Número de due diligence con proveedores,
nuevos empleados y 3Ps
Número de proveedores dejados de contratar
por incumplimientos
Reportes a reguladores y clientes

134. Niveles
Coordinar acciones con
funciones y unidades de
negocio
Direcciones
Resultados de monitoreo sobre riesgos
de incumplimientos (ej. revisiones de
preparación al GDPR, gestión de
materiales peligrosos, revisiones sobre
retención de documentación)
Revisiones de contratos
Breaches y base de datos de fraudes

135. Niveles
Reaseguro de la función de
compliance
Auditoria
interna
Reporte de efectividad de controles
Cumplimiento de planes de acción de
auditoria sobre compliance
Conclusiones y seguimiento de
reporte líneas de denuncia e
investigaciones

136. •
Liderando a Compliance
•
Investigaciones en compliance

137. Canales
La disponibilidad de información,
documentación y de nuevos contactos
con el denunciante depende en mucho
del canal

138. Responsabilidades
Del Consejo
Gestión del riesgo con
impacto reputacional
Prevenir, detectar y
corregir conductas no
éticas
Reportar a 3ros casos
de fraude según
requerimientos
ej. casos de fraude contable
Proteger al
denunciante
Del Compliance Officer
El CCO debe asegurarse
que todas las posibles
violaciones al CoCo se
investigan y reportan
adecuada y legalmente
Consensuar y
comunicar una política
para investigaciones
internas

139. Confidencialidad
Organizar la investigación
pensando en el resultado
final esperado
Una filtración puede echar a
perder toda la investigación (y
peor, reemplaza la cultura de
cumplimiento por la del
miedo)
Tener en cuenta que ya puede
ser público y que no
Consultores forenses con
acuerdos de confidencialidad

140. Imparcialidad
Mismo tratamiento y
prontitud para todas las
investigaciones según su
criticidad potencial
Escepticismo profesional, sin
asumir que alguien es
honesto o deshonesto, sin
conflictos de interés
Necesidad de tener un
procedimiento de
investigación
Garantizar los derechos del
investigado y el denunciante

141. Habilidades
Pocas personas en una
empresa pueden hacer este
trabajo correctamente
Equipos transversales
Depende del tipo de
violación: acoso con HR,
fraude con IA y operaciones,
crimen informático con IT,
contable con CFO
Entendimiento de la cultura
del país dónde se investiga
Necesidad de consultores en
investigaciones masivas y
complejas

142. Cuando queremos ayudar…
… pero no sabemos

143. Etapas
Descubrir la verdad
Evaluar los fundamentos para
investigar o desestimar (peor
escenario)
Comunicar los resultados al
denunciante y otros
empleados
Generar un reporte para
notificar a otros directores
Evaluar acciones legales y
sobre seguros
Generar información
de 1) documentos,
2) entrevistas, y 3)
observaciones
Consejo: el primer paso es
proteger la evidencia
No todos los documentos y
evidencias pueden usarse
(ej. polígrafo)
¿El caso denunciado podría
haberse replicado antes o en
otros lugares?
Objetivo EvidenciaPlanear
Cumplir con las
políticas de
denuncias,
investigaciones y
disciplina
Depende si potencialmente se
violó una política interna, la
ley y/o un valor de la empresa
(de error a fraude)
Necesidad de ayuda de otros
departamentos o consultores
Una persona a cargo
¿Reporte fuera de la
empresa?

144. Entrevistas con…
Entender…. Planear…
personal a
modo
informativo
• los procesos y
controles generales
• que pudo haber
pasado y su impacto
• cómo comunicar que estamos
investigando
• revalidar información con
auditoria interna
• Quienes deben entrevistar (líder +
IA+HR+legal)
• cómo proteger la evidencia
(soporte de IT)
• cómo asegurar el acceso a la
información recolectada
Excepción: en investigaciones que involucren potencialmente a
parte de la alta dirección, auditoria interna y otros órganos de
control, la gestión de la investigación es usualmente externa y
reporta al consejo directamente

145. Entrevistas con…
Entender…. Planear…
testigos y
denunciante
• información sobre el
evento
• que evidencia se
puede generar
• la línea de eventos en
el tiempo
• quienes pueden estar
implicados
• un listado de preguntas: abrir con
preguntas generales hasta ganar empatía,
aclarar nuestro rol y porqué son
entrevistados, obligados a cooperar, pedir
que guarden silencio y asegurarles que no
hay represalias ante buena fe, dejarles un
contacto para “recuerdos posteriores”
• comunicar las consecuencias de
un falso testimonio: separar
impresiones de hechos
• necesidad de avisar previamente
y reservar un lugar seguro
• evaluar su credibilidad y
conflictos
• conocer sus expectativas
• necesidad de un consultor forense

146. Entrevistas con…
Entender…. Planear…
acusados • si aplica una medida
de disciplina
• asegurar sus derechos
• transferir y separar de funciones
(preferido) o suspender
• investigar su background:
solvencia/préstamos, CV, evaluación de
desempeño, google
• acceso a evidencia en caso de
confrontación
• quienes deben estar presentes:
superior, representante sindicato/legal,
policía/justicia
• si puede llegar a un despido
inmediato
• evidencias para denuncia penal:
consentimiento para grabar audio o video

147. Preguntar por
¿Quién… • está involucrado, estaba presente, debía haber sabido,
habría hablado con quién?
¿Qué • pasó realmente, acciones tomaron, se le dijo a los
involucrados y testigos y cómo reaccionaron, controles
se evitaron, deberíamos hacer?
¿Cuándo y dónde • ocurrió el hecho, hablaron del hecho, se puedo haber
replicado el hecho?
¿Cuánto (EUR) • ha afectado a la empresa, clientes o proveedores?
¿Por qué • ocurrió el hecho, fue reportado como una posible
violación?

148. Los empleados deberán:
reportar de buena fe y oportunamente todas las violaciones a la
ley y el código de conducta que supongan a través de la línea de
denuncia (y/o su supervisor inmediato o HR), y
cooperar con las investigaciones bridando toda la información y
documentación disponible.
El compliance officer deberá:
asegurar que se investiguen todas las supuestas violaciones,
garantizando la confidencialidad,
determinar los hechos y circunstancias reales de las presuntas
violaciones, y
Emitir un reporte a la alta dirección y comité de ética para
determinar acciones correctivas y disciplinarias.
Política de investigación

149. Preservar la evidencia
Entrevistas, documentación y observación
Comparar los documentos con las explicaciones de las entrevistas
(reconstrucción) para detectar inconsistencias
Entrevistas confortativas
Probar o descartar: Evento, método, medios y motivo
Comunicar (incluso hasta el consejo) que se debe cambiar para
evitar las causas raíz de los incumplimientos detectados
Armado de un legajo final de la investigación para resguardo
Prevenir la retaliación de denunciantes y testigos
Pasos

150. Acciones
Disciplinarias
Entrenamiento de “lecciones aprendidas”
Cambios de políticas y controles
Comunicación externa

151. Conclusión
La forma que se hacen las investigaciones
reflejan la verdadera integridad de la empresa

152. ¿Me llevo lo prometido?

153. Gracias…
mydailyexecutive.blogspot.com
 Hernan . huwyler @ gmail.com
www.linkedin.com/in/hernanwyler
 634 33 10