Este documento presenta un mapa de riesgos de cumplimiento normativo para una compañía. Identifica diversos riesgos legales y de cumplimiento en áreas como prácticas comerciales internacionales, corrupción, daños informáticos y calidad de controles. Propone una metodología para evaluar el impacto, frecuencia y clasificación de los riesgos, así como planes de acción, reportes a la alta gerencia y métricas clave de seguimiento. El objetivo es asegurar el cumplimiento normativo y los resultados a largo plaz
5. Compliance Risks
Riesgo de sufrir….
- pérdidas financieras
(sanciones, multas, reputacional)
… por incumplimiento de…
- leyes, regulaciones y normativas
externas
- políticas internas
- ética
Consecuencia
Impacto de riesgos
Plan de contingencia, protocolo de
actuación (comité de crisis) &
corporate defense
Causa
Frecuencia de riesgos
Plan de prevención del compliance
plan
6. Compliance Risks
Consecuencia
Reacción y corrección
Gestión de incidencias
Generación de evidencia
Lobby con reguladores
Investigación
Involucramiento del ExCom
Causa
Prevención y detección
Gestión del riesgo de compliance
Sistema normativo
Hotline
Protocolo de actuación
Entrenamiento
KPIs / KRIs del plan de compliance
Compliance audits
Mejora continua
9. Compliance como una
obligación de
maquillar los
procedimientos…
… o un motivo para
comunicar prácticas
de negocios en una cultura
ética, prevenir el fraude y
mejorar márgenes al
accionista
11. Universo de Riesgos
Contra el Patrimonio
- Estafas y fraudes
- Insolvencias
punibles
- Daños informáticos
/ hacking
- Contra la propiedad
intelectual
- Contra el mercado
- Revelación de
secretos
- Facturación
fraudulenta
- Falsedad en
medios de pago
Contra el Fisco
- Contra la
Hacienda Pública y
la Seguridad Social
- Blanqueo de
capitales
- Ciertos casos de
contrabando
Contra la Seguridad
Pública
- Contra la salud
pública
- Construcción ilegal
- Contra el medio
ambiente
- Relativos a la
energía nuclear y a
las radiaciones
- De riesgo
provocado por
explosivos
- Tráfico de drogas
- Contra la intimidad
y allanamiento
informático
Contra la ética
- Corrupción
privada: relativos a
la corrupción en los
negocios
- Cohecho: dádivas
y sobornos a
funcionarios públicos
- Corrupción de
funcionario extranjero
- Tráfico de
influencias
-Financiación ilegal
de partidos políticos
- Acoso laboral
- Información
privilegiada
- Delitos contra la
intimidad
12. Universo de Riesgos
Contra el Patrimonio
CFO
CIO
CISO
Data Protection
Officer
Contra el Fisco
Head of Tax
Contra la Seguridad
Pública
COO
HS&E
Contra la ética
CEO
Compliance
Auditoria Interna
Dir. Comercial
Unidad de Cumplimiento
Legales
Corporate Defense
ExCom
13. Corrupción pública o
privada
Abuso del mercado
Mapa de Riesgos - Ejemplo
Brindar servicioGeneración contrato Facturación Cobro
Fraude a seguridad social Fraude fiscal
Falsedad de medio de
pago
Blanqueo de capitales
Entrega de sobornos
Acuerdos de precios
Simulación laboral Deducciones indebidas Lavado de dinero
14. Mapa de Riesgos - Ejemplo
Entrega de sobornos
Acuerdos de precios
Simulación laboral Deducciones indebidas Lavado de dinero
Control de revisión de
cuentas de gtos
representación
Política antitrust
Control aprobación de
cálculo fiscal
Control cruzado Tax vs.
Payroll
Control aprobación de
cálculo fiscal
Know Your Customer
Comercial Tax + Payroll Tax Gestión de clientes
Tesorería
Reforzar: Business
Intelligence
Reforzar: Auditoria
Fiscal
15. Alcance del Mapa
¿Nos quedamos solamente dentro España?
- Filiales internacionales y otras sociedades subholdings
- Joint ventures
- Descentralización de funciones ejecutivas (ExComs por país)
¿Incluimos solamente los delitos atribuibles a
una persona jurídica?
- Ley del mercado de valores
- Ley de trasparencia
- FCPA
- Leyes similares en el mundo (ej. Europa (-DE), US, y
Chile)
- Legal + Ético (nuestra forma de hacer negocios)
¿Podremos sumar este trabajo a otra iniciativa en curso?
- Departamento de riesgos
- Departamento de Prevención del Fraude
- Auditoria interna (riesgos sobre procesos e investigación de fraudes)
- Departamento de compliance
17. • Ad-hoc
• Tareas no definidas
• Confianza en directores
claves
• Sin infraestructura
Inicial
• Políticas formalizadas
• Cubre toda la organización
• Metodología rigurosa
• KRIs
Definido • Modelos de medición del
riesgo
• Agregación de riesgos
• Riesgos relacionado a la
performance
• Riesgos de proyectos
• Gestión del conocimiento
Optimizado
Estrategias según madurez
19. FCPA
Protección de
activos
Antitrust Insider trading Privacidad
Controles de
exportación
Retención de
documentación
Seguridad de
información
Compensaciones
y bonos
Reporte
Sarbanes Oxley HSE
Discriminación y
acoso laboral
Integridad
financiera
Contratos con el
gobierno
Propiedad
intelectual
Uso de tecnología
3rd Party
management
Prácticas
comerciales
Ética
Taxonomía Compliance
Normas
voluntarias
20. Mapa de Riesgos
Riesgos de Fraude
Riesgos de
Compliance Penal
Actividades
reactivas de
investigación y
disciplina
Actividades
proactivas de
prevención y
control
21. Mapa de Riesgos
1 Identificar riesgos
2 Evaluación de
impacto y frecuencia
Eventos que afectar los
riegos del universo de
compliance
Impacto: costo más probable
de no- compliance
Frecuencia : probabilidad de
darse los factores de riesgos
al momento del análisis en un
horizonte de tiempo
3 Priorización de
riesgos
Criterio para decidir que
eventos son más críticos de
controlar (mapa)
4 Planes de
mitigación
Seguimiento del progreso de
los planes de acción
Reevaluación frecuente
Alta criticidad
Seguimiento
Watch-List
Criticidad
22. Mapa de Riesgos - Impacto
Multa en proporción al daño/cuantía del delito
Disolución de la persona jurídica
Suspensión de sus actividades
Clausura de sus locales
Prohibición temporal o definitiva de realizar las actividades en cuyo
ejercicio se haya cometido el delito
Inhabilitación para obtener subvenciones y ayudas públicas, para contratar
con el sector público y para gozar de beneficios e incentivos fiscales
Intervención judicial para salvaguardar los derechos de los trabajadores o de
los acreedores
Socios Inocentes
Respecto a los efectos colaterales o consecuencias a pagar por terceros incluyendo el impacto en los
trabajadores, el efecto negativo se paliaría con la posibilidad que tienen los socios inocentes de
reclamar posteriormente a los administradores la acción de responsabilidad socia
23. Directas e inmediatas
• Pérdida por defraudación
• Ineficiencias y/o discontinuidad de operaciones
Directas y mediatas
• Indemnizaciones a terceros
• Multas y sanciones
Indirectas
• Costo de investigación
• Ajustes fiscales
Reputacionales
• Pérdida de competitividad, moral, clientes, socios, licencias, y contratos
• Pérdida del valor de mercado
Mapa de Riesgos - Impacto
24. Score 1 2 3 4 5
Multas, daños e
indemnizaciones
< 1% de las
ventas
1% al 3% de las
ventas
3% al 5% de las
ventas
5% al 10% de
las ventas
> 10% de las
ventas
Reputacional
Sin exposición
o daño
Impacto negativo
localizado pero
recuperable
Cobertura en
medios o
reguladores
local
Cobertura en
medios o
reguladores
nacional
Cobertura
sustancial en
medios o
reguladores
nacional
Operacional
Sin pérdida de
negocios u
operaciones
Visible pero
gestionable
fácilmente
Daños a
clientes o
grupos de
interés
Impacto severo
a la
performance
Impacto
catastrófico a la
BU
Mapa de Riesgos - Impacto
25. Mapa de Riesgos - Frecuencia
Score 1 2 3 4 5
Descripción Casi imposible Rara Posible
Incidentes
aislados
Incidentes
repetitivos
Tiempo
< Una vez
cada 5 años
< Una vez cada
año Una vez al año
Una vez al mes
Una vez a la
semana
Probabilidad < 1% 1% al 5% 5% al 10% 10% al 20% > 20%
26. Mapa de Riesgos – 3er Variable
• Velocidad del Riesgo: Tiempo entre el evento de riesgo y
tener que pagar el impacto (ej. tiempo en aplicar una multa
por el regulador). Beneficio: priorizar acciones
• Duración del Riesgo: Persistencia del riesgo en el tiempo
(ej. inspecciones largas).
• Nivel de Control: Posibilidad que gestión para disminuir el
impacto o la frecuencia del riesgo (ej. proceso ya
documentado). Beneficio: margen de reducción
• Grado de Entendimiento: Seguridad en valuar el impacto
y la frecuencia (ej. riesgos emergentes)
La 3er variable siempre está
contemplada en impacto o
frecuencia
27. • Ocurrencia que afecta la empresa
• Ej. Incumplir con la ley…
Evento
• Consecuencia
• Ej. penalidades, daño a la reputación, responsabilidad civil
de los directoresImpacto
• Ej. Entrenamiento, boletines, procedimientos para
gestionar quejas, obtener certificaciones, buscar consejos,
designar responsable, compliance audits, cláusulas en
contratos
Plan Mitigante
• Impacto o frecuencia luego del plan mitigante
Riesgo Residual
Mapa de Riesgos - Glosario
28. Área Riesgo legal Regulación /
Ley
Área
Funcion
al
Impacto Frec. Score Contro
l
Clasif.
ImpactoPrácticasdecomercioexterior
Sobornos en el
extranjero
FCPA Foreign
Corrupt
Protection Act
Ventas 5 1 5 4 Reputacional
Aduanas Leyes
aduaneras
Ventas 1 3 3 2 Operacional
Control de
exportaciones
OFAC Office of
Foreign Assets
Controls
Ventas 2 2 4 5 Operacional
Exportaciones de
productos con
doble uso
Reg. UE
428/2009
Ventas 4 4 16 5 Operacional
Boycott no
sancionado a un
país extranjero
Anti-Boycott Act Ventas 2 2 4 4 Operacional
Exp/Imp de
químicos
peligrosos
Reg. UE
649/2012
Ventas 3 4 12 1 Operacional
…. … … ….
30. Mapa de Riesgos – Alternativa
Puntaje Interno
Fraude
- Operativo
- Contable
Corrupción
Daños
Informáticos
….
Calidad de
Controles
Documen-
tación
Entrena-
miento
Centrali-
zación
Sistema de Puntos
1 a 5
Medidas Efectivas a Inefectivas
Respaldado por Director de Área
Puede ser ponderado (ventas de la unidad, número
de empleados,…)
31. Planes de Acción
Exposición a un delito
tomando en cuenta los
controles actuales
Medidas a implementar Recursos a asignar
Controles
Políticas
Sistemas
Conocimiento
Autoridad
Coordinación politica
entre departamentos
Presupuesto con
responsable, tiempo e
indicadores
Cargos
32. Reportes al ExCom
Mapa de Riesgos
Penales
Por Áreas
Por País
Por Año
Seguimiento de Planes
de Acción
Planes
Presupuestos
Grado de Avance
Indicadores de Riesgos
Claves (KRIs) Penales
Ejemplos:
Multas por Revenue
Multas por Volumen
Denuncias por
Empleado
Fraude por Empleado
% Completar Cierto
Programa Educativo
33. Lo que el Compliance Officer dice
Nuestro programa de
cumplimiento es clave para
asegurar a seguir para los
riesgos de compliance y la
obtención al largo
plazo.
la línea
de resultados
34. y lo que el directorio escucha
Bla bla bla bla bla bla bla bla bla
bla bla bla bla bla bla bla bla bla
bla bla bla bla bla bla
bla bla bla bla
bla bla bla la
bla bla bla bla
la línea
de resultados
35. Herramienta CASE
C Consequence
A Assets at Risk
S Source
E Event
Perder ventajas competitivas
…. “sobre” …
la propiedad de información sensitiva
…. “debido al” …
espionaje industrial de nuestros
competidores
…. “al” …
sufrir un ataque a servidores inseguros
36. ¿Cómo podemos fracasar?
• No lograr poner el riesgo legal en la agenda de la alta dirección
• Carecer de recursos y autoridad en la unidad de cumplimiento para construir
la cultura de “tolerancia cero”
• La unidad de cumplimiento carece del liderazgo y entusiasmo para permear
los controles dentro de la organización
• Tanto el mapa de riesgos como los controles quedan “en silos”
• No se lograr hacer que sea una herramienta de gestión (por ejemplo,
terciarizando)
• No lograr orientar los recursos a los riesgos relevantes
• Objetivos no alineados a la madurez de la organización
• No aprender y mejorar de los fallos y nuevos riesgos
Hacer fácil lo difícil
37. Prácticas de documentación
• Si un control no se documenta, no existe
• Evitar gestión fragmentada para no duplicar retención de documentos
• Aprobación de riesgos y políticas que originan planes de acción
• Necesitamos un administrador de documentos (ej. SharePoint), configurable,
que permita reporte, disponible en sitios operativos
• Documentar el control de compliance (ej. comunicación de cierta política,
recepción del código de ética, denuncias…)
• Incluirlo dentro de la política de respaldos
• Uso de modelos, digitalizados, compartidos, protegidos
38. El importante saber lo que sabemos…
…. pero más importante aún es saber lo que no sabemos.
31 delitos por los que puede ser condenada una empresa: Una empresa puede ser condenada por la comisión de cualquiera de los siguientes delitos (tipicidad del código penal):
Medios de pagos: Delitos de falsificación de tarjetas de crédito y débito, y cheques de viaje (artículos 399 bis CP).
- Delitos contra la intimidad y el allanamiento informático (Art. 197 CP). Consiste en descubrir secretos o vulnerar la intimidad de otro, sin su consentimiento, apoderándose de sus papeles, cartas, mensajes de correo electrónico, interceptando sus telecomunicaciones o utilizando artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen; o en acceder sin autorización a datos o programas informáticos contenidos en un sistema informático.
- Delitos de Insolvencias Punibles (Art. 261 Bis CP). Consisten en alzamiento de bienes o realización de actos de disposición patrimonial en perjuicio de los acreedores.- Delitos de Daños Informáticos (Art. 264 CP).Consisten en obstaculizar o interrumpir el funcionamiento de un sistema informático ajeno, introduciendo, transmitiendo, dañando, borrando, deteriorando, alterando, suprimiendo o haciendo inaccesibles datos informáticos.Los delitos más corrientes que pueden cometer las personas jurídicas desde el día 23 de diciembre son los siguientes:
Contra la intimidad y allanamiento informático (art. 197 CP)
Estafa (art. 251 bis CP)
Insolvencias punibles (art. 261 bis)
Informáticos -hacking- (art. 264 CP)
Contra la propiedad intelectual e industrial (art. 288 CP)
Contra el mercado y los consumidores, entre los cuales destacan los delitos de descubrimiento y revelación de secretos de empresa (art. 278 a 280 CP)
Publicidad engañosa (art. 282 CP), de facturación fraudulenta (art. 283 CP)
Información privilegiada (arts. 284.3 y 285 CP)
Corrupción entre particulares (art. 286 bis CP)
Blanqueo de capitales (art. 302 CP)
Contra la Hacienda Pública (art. 310 bis CP)
Sobre la ordenación del territorio (art. 319 CP)
Contra los recursos naturales y el medio ambiente (arts. 327 y 328 CP)
Cohecho (art. 427 CP)
Tráfico de influencias (art. 430 CP)
Proceso de compras:
Hay subrocesos: Ej. Generación de contrato: 1- Estrategia, 2- Armado de propuestas, 3- Dar precioobjetivo: La identificación de las actividades o procesos que generan o aumentan el riesgo de comisión de los delitos;
Identificar maniobras
Identificar controles existentes
Posterior reflexión sobre la suficiencia o insuficiencia de los controles sobre las mismas
US corporate criminal liability
Marco ERM escalable
Grado adecuado de detalle
Involucrar a todos los participantes
…inclusive los externos (consultores)
Análisis al futuro
Objetividad de valuaciones
Cualitativo vs. cuantitativo
No olvidar monitorear riesgos de bajo impacto
Involucrar aprobaciones del Sr. Mgmt
Documentar
Inicial: Reactivos frente a la norma
Definido: Mejorar los reportes del board que existen
Enfoque “Top Down”: Son aquellos que surgen a entity-level, fácilmente identificables, gestiona el board
Evaluación de tendencias y estrategias: iniciativas estratégicas (de crecimiento), performance de las líneas de negocios, resultados de las entrevistas de egreso de personal, encuestas de ambiente laboral (sector de ética), cambios en el organigrama de compliance, provisiones legales
Entrevistas con encargados de compliance y process owners
Auditoria: Resultados de SOX 404, hotline, CSA, investigaciones
Análisis de industria: Industry reports, memoria al balance.
Requerimientos regulatorios: inspecciones, multas, acuerdos parajudiciales, propuestas de nuevas leyes (riesgos emergentes), investigación sobre la competencia
More forward-looking is the use of leading indicators to anticipate risks that may occur.
Liability for wrongdoing by contractor
FCPA = Ley Anticorrupción para el Extranjero de Estados Unidos (LAE). También la Ley Anticorrupción de 2010 de UK, ni siquiera permite pagos facilitadores y pequeñas prácticas corruptas como para tramitar formularios de aduanas o sellar visados
Centrarse en actividades donde se cree el valor (Por ejemplo, en una empresa de Oil&Gas integrada, puede darse que mucho del esfuerzo de ERM se centre en inventarios, refino y contabilidad, cuando el valor se crea en exploración).
Orientación a la acción
La definición de riesgos puede hacerse con una herramienta llamada CASE para articular sus características:
C onsequence – ¿Cúal es el impacto del riesgo?
A sset – ¿Cuál/es es/son los activos en riesgos? (también los intangibles como la información o la reputación)
S ource – ¿Cuáles son los actores detrás del riesgo?
E vent – ¿Qué tipo particular de incidente se tiene en cuenta?
Esta herramienta es útil para delimitar riesgos como “terrorismo” que en realidad comprende múltiples riesgos, ayudando a lograr un consenso sobre la caracterización (de otra forma cada cual tiene su propia percepción sobre “terrorismo”, riesgos es un continuo). No solo la frecuencia y el impacto cambian ante cada definición, sino cambien los planes de acción.