Obtaining resources, planning actions, and budgeting are essential for any organization's successful compliance management. Compliance management is the practice of ensuring that a company adheres to regulatory requirements and internal policies. This summary will explore key considerations for planning compliance initiatives, evaluating regulatory requirements, stakeholder needs, and developing a timeline of activities. It will also cover how to detect corruption and fraud schemes, control representation expenses, and prevent over-invoicing. Finally, we will discuss fraud impact and controls and how to demonstrate the return on investment in compliance.
To begin with, it is crucial to obtain resources to initiate compliance management. The compliance team should have adequate resources to ensure that the organization is compliant with regulatory requirements. The resources should include trained personnel, financial resources, software, and hardware, among others. After obtaining resources, the next step is planning actions and budgeting. Planning should involve various stakeholders and departmental heads to ensure that all areas of the organization are covered. Planning actions and budgeting should include developing a compliance plan, identifying potential compliance risks, and developing mitigation strategies.
While planning compliance initiatives, it is essential to evaluate the regulatory horizon, stakeholder needs, open items, and new strategies. The regulatory horizon involves understanding the regulatory landscape, identifying new regulations, and monitoring the existing ones. Stakeholder needs involve understanding the needs of all stakeholders, including shareholders, customers, and employees. Open items are compliance issues that are unresolved, and new strategies are measures that an organization intends to take to comply with regulations.
Developing a timeline of activities to address certifications and audit needs is critical. A timeline helps to ensure that an organization is compliant with regulations within the stipulated timeline. The timeline should involve developing a compliance plan, identifying potential compliance risks, and developing mitigation strategies. It should also include training employees on compliance, conducting regular internal audits, and reviewing the compliance plan to ensure that it is up to date.
Demonstrating the return on investment in compliance is essential. A return on investment (ROI) helps to justify the resources that an organization invests in compliance. Demonstrating ROI involves identifying the costs of compliance management, such as personnel, software, and hardware costs. It also involves identifying the benefits of compliance management, such as reducing the risk of regulatory fines and reputation damage.
5. Recursos para compliance
1er línea de defensa
Autoridad del compliance
officer para asignar controles
sobre riesgos a operaciones
2da línea de defensa
Influencia del compliance
officer para obtener ayuda
desde auditoria interna,
recursos humanos, legales y
sistemas
6. Recursos para compliance
¿Cuánto cuesta en
términos de dinero y
riesgos la falta de
autoridad e influencia
de la función de
compliance?
7. Recursos para compliance
Lleva muchos sombreros
gestiona todos los tipos de riesgos
Ejército de una sola persona
sin equipo o consultores
Insuficiente apoyo
limitado acceso a la alta dirección
Demanda de monitoreo
tareas manuales, sin automatización
8. Discusión KLP y Petrobras
El fondo de pensiones del Noruega
desinvierte en Petrobras
sistemáticas e importantes maniobras de
corrupción
por empleados y gerentes de varios niveles
los directores nombrados por el estado limitaron
otros representantes de inversores minoritarios
sin análisis de riesgos en países de alta
corrupción
costo de 2 a 5b USD
10. Razones para invertir
Evitar consecuencias
directas
Evitar consecuencias
indirectas
Cumplir con requerimientos
básicos
Sanciones
Pérdida de negocios por
imposibilidad de licitar
Imposibilidad de cumplir con
requerimientos de clientes
Devaluación del valor de la marca
y capitalización bursátil
Complimiento con normas
mínimas
Obtener licencias para operar
Responsabilidad personal de
directores
Multas
Requerimientos de clientes
Compromiso por la integridad
Ventajas competitivas
Presiones regulatorias
11. Recursos para compliance
Conocer el planeamiento
estratégico
Entender las expectativas
sobre el programa de
compliance
Utilizar el mapa de riesgos
de compliance
Brindar herramientas y
soluciones
12. ¿Cómo vendo a compliance?
Creer en lo que vendemos y buscar aliados
Crear la necesidad del programa de
compliance ¿qué quieren mis interlocutores?
Explicar porqué de las reglas y qué deben
hacer (en lugar de qué no deben hacer)
¿Puedo confiar que …?
Dar información “exclusiva” y hacer favores
Caminar toda la empresa y ser visible, vínculo
personal, personalizar mensajes
Prueba social → Los directores de las mejores
empresas tienen este tipo de reporte
14. Liderar es capacitar
Hoy
entrenamiento sobre
compliance
tu departamento
Accesibilidad del CCO
A todos los niveles
Casos reales → Qué espero que decidan
Discusiones → Escuchar
“Endorsement”
Medir satisfacción y aplicabilidad
Preguntar si lo que explicamos tiene
sentido en su día a día
Límites presupuestarios: e-learning
“humano” y embajadores de compliance
17. Planificación del programa
Area Medida Nivel de Riesgo
2017 a 2018
Sector Plan de Acción
Nuevas acciones 2018
Anticorrupción
(FCPA, UK ABA, Sapin II,
Art 31b)
Prevención
Contingencia
2018: 1500k*50%=750k
2017: 1000k*30%=300k
Comercial
Financiero
Colaboración con
auditoria interna
Training a comercial
Due diligence 3Ps reforzar
Controles financieros
Defense y retención documentación
Privacidad
(EU GDPR)
Prevención 2018: 800k*75%=600k
2017: 100k*50%=50k
IT
Comercial
RH
Revisión accesos
Programa de GDPR
Controles Exportación
(Sanciones EU, dumping,
restricciones, licencias)
Prevención 2018: 900k*20%=180k
2017: 900k*30%=270k
Comercial Mejorar política
Revisión datos de clientes con sujetos
listadas
Seguridad y Salud
(Ley de Prevención de
Riesgos Laborales)
Prevención 2018: 300k*70%=350k
2017: 300k*60%=300k
Operaciones
Colaboración con
seguridad laboral
Entrenamiento seguridad
Auditoria de uso y traslado de
materiales peligrosos
18. Planificación del programa
Proyecto Contraparte Tareas
Nuevas 2017
Per. Horas y Pres
A- CCO B- Analista Compliance
Actualización de
riesgos
CRO Entrevistas
Workshop
Reporte
Análisis base de incidentes
Q1
Q2
Q4
A= 300
B= 200
Entrenamiento CHRO Código de ética y general
Anti-corrupción
Seguridad de datos personales
Q2 A= 270
B= 40
Viajes=10k
Desarrollo
normativo
CIO
CLO
Coordinación políticas de IT
Actualización de normas de retención de documentación
Q1 A= 150
B= 200
Prepración GDPR CISO Revisión cláusulas
Auditoria de privacidad
Soporte equipo dedicado
Revisión de accesos
Q3/Q4 A= 700
B= 450
Consultor=30k
Curso=40k
Due diligence 3P Com Nuevos clientes * Reforzamiento controles
Cruce de sujetos listados
A
Q2
A= 120
B= 400
Software=40k Investig=40k
Controles
financieros
CFO
CAE
Revisión de notas de gastos, gastos consultores, y
comisiones de agentes
Q3 A= 150
B= 450
21. Planificación del programa
Enfoque reactivo
Deficiencias de auditoria,
inspecciones, denuncias, juicios
Enfoque proactivo
Identificación de riesgos, previsión
de nuevas regulaciones, gestión del
cambio
Escalar acciones a medida
que maduramos la cultura
22. Presupuesto
La independencia y la autoridad
dependen de un presupuesto adecuado
Mitigar los riesgos de compliance
requiere completar las acciones del
programa de ética y compliance
Mantener operativos los elementos del
programa
Controles y planificación realista en
tiempo y dinero
Las herramientas de GRC ahorran costes
24. Presión sobre el alcance: nuevos requisitos y mayores riesgos operativos con impacto en
cumplimiento
- EU GDPR con mayores riesgos de cyber seguridad
- Normas anti-corrupción con presión por resultados
- Expectativas de clientes y reguladores con redes sociales
Sinergias con el resto de la segunda línea de defensa y auditoria
- CCO con capacidad técnica de tomar un control transversal
- Respaldo político de alta dirección, comités de GRC, aprobación del programa, valor estratégico
de compliance
- Tendencia: transferencia de controles de cumplimiento a líneas operativas con entrenamiento
Acciones de coste cero
- Embajadores de compliance
- Transferencias a compliance de organización y métodos, ISO, seguridad de IT,
ambiental y HS&E
- Software gratuito: Google Forms, eLearning
- Repositorio central de normativa y políticas
Una cuestión de liderazgo….
… no de dinero
27. ISO 19.600
9.1.6 Development of indicators
It is important that organizations develop a set of measurable
indicators that will assist the organization in measuring achievement
of its objectives and quantifying its compliance performance. This
process should take into account the results of the assessment of
compliance risks to ensure that indicators relate to the relevant
characteristics of the compliance risks of the organization. The issue
of what and how to measure compliance performance can be
challenging in some aspects, but is nevertheless a vital part of
demonstrating the effectiveness of the compliance management
system. Furthermore, the indicators needed will vary with the
organization’s maturity and the timing and extent of new and revised
programs being implemented.
28. ISO 19.600 Clasificación
Miden el potencial de superar
o no cumplir con los
objetivos de compliance
Riesgos de incumplimientos
sobre objetivos
reputacionales, de desarrollo,
de seguridad y reputación)
Tendencias de las no
conformidades
Miden el ´numero de no
conformidades reportadas
por área o tipo
Pueden medir minetariamente
los incumplimientos como
multas, penalidades, costos
del plan de acción, pérdida de
reputación
Miden las acciones de
compliance
Porcentaje de empleados
capacitados
Acciones correctivas
emprendidas sobre políticas
y controles
Feedback recibido de la
función
Predictivos Reactivos de Actividad
29. ISO 19.600 Clasificación
Gestión de toda la función
general de compliance
De responsabilidad del
compliance officer
Reportados al comité de
dirección y otros grupos de
interés externos (reporte anual,
de cumplimiento, de RSC o
integrado)
Gestión de compliance en
cada departamento por área
de interés o regulación
De responsabilidad del
director de área bajo el
sistema de cumplimiento
(ambiental, laboral, de IT, Legales,
seguridad)
Gestión de controles de
cumplimiento por procesos y
actividades vinculadas a un
mismo departamento
De seguimiento del director
de área
de Alto Nivel Departamentales de Bajo Nivel
30. Diferencias
Performance
Miden la eficiencia
de la organización
Acciones operativas
Pasado
Riesgos
Miden la gestión
de los factores
de riesgos
Futuro
Compliance
Miden el éxito de la
función y los
controles de
cumplimiento
de control
de cyber
seguridad
de actividad y
calidad
KPI KRI KCI +
32. Etapas en construcción
…cubre todos los riesgos y
regulaciones?
… se implementó en la práctica
como se diseñó?
Diseño Implementación Impacto
… ha funcionado como
esperamos?
¿Cada iniciativa del programa de compliance…
¿La política anticorrupción cubre
todos los aspectos de riesgos (31
bis, FCPA UK ABL)? ¿Todos los países
y actividades?
¿Los controles están claros?
¿Los empleados entendieron el
entrenamiento? ¿Cambiaron sus
acciones como este resultado?
# políticas actualizadas / Cambios criticidad
riesgos de corrupción
# de violaciones y denuncias / Reporte de
auditoria
% empleados entrenados
Evaluación de entrenamiento
¿Se entrenó a todos los empleados
alcanzados? ¿Se actualizó las
matrices de controles y monitoreo?
Ejemplo:
34. Las 5 As
lineados con los objetivos estratégicos
lcanzables con un esfuerzo normal
justados para los riesgos relevantes
ctualizados frecuentemente para medir
evolución
ccionables en planes para su gestión
35. Valor predictivo
El compliance officer debe
promover que las demás áreas
midan sus propios (y efectivos)
indicadores de cumplimiento
El compliance officer debe
pedir explicaciones (y
acciones) cuando las
tendencias de los indicadores
alertan de un riesgo
39. Indicadores de compliance general
Por número de
empleados
Por euros de venta
Por entidades legales
Número de incidentes de compliance en bases
de fraudes (contable, operativo, abusos)
Denuncias y consultas a la Compliance
Helpline
Resultados de auditoria interna y regulador
sobre compliance
Entrenamiento sobre el CoCo
No conformidades por revisiones, revisión de
políticas, SOX y certificaciones
Respuestas de los compliance self
assesstment
Multas, indeminizaciones y contingencias
legales
Euros de exposición a riesgos de
incumplimientos
Inversiones en la función de cumplimiento
Avance en el cumplimiento del programa de
compliance
40. Indicadores de compliance laboral
Por número de
empleados y
candidatos
Por euros de venta
Por entidades legales
Entrenamiento específico en horas y
personas alcanzadas
Denuncias sobre temas laborales,
discriminación y acoso
Resultados de encuestas de clima
laboral y sobre valores en evaluaciones
de desempeño
Medidas de disciplina por falta de ética
Número de empleados con conflictos
de interés declarados
Multas por inspecciones y auditorias
fiscales laborales
Evaluación de prácticas laborales de
subcontratistas y proveedores
41. Indicadores de compliance contable
Por número de
empleados de finanzas
Por euros de venta
Por número de
entidades
Reportes fuera de plazo
Fraudes contables
No conformidades con SOX
Recomendaciones contables de
auditoria interna y externa
Número de ajustes contables
Rectificación de reportes
externos
Capacitación sobre controles
financiero e insider trading
42. Indicadores de compliance de IT
Por número de empleados
con acceso a activos
informáticos
Por número de ordenadores
y dispositivos móviles
Por euros de venta
Por actividad y país
Entrenamiento específico sobre
seguridad de información y uso de
activos informáticos
Gravedad y número de incidentes de
fuga de información
Número de cyber ataques y phishing
No conformidades de auditorias para
ley de protección de datos, hacking y
ISOs 27001/ITIL/…
Resultados de auditorias de licencias
de software
Downtime y discontinuidad de negocios
43. Indicadores de compliance seguridad
Por número de empleados
Por euros de venta
Por actividad separando
operarios de empleados
de oficina
Por movimientos de
materiales peligrosos
Tasas de accidentes en gravedad
y frecuencia
Entrenamiento de seguridad en
horas y personas
No conformidades en
inspecciones de seguridad
Reporte de acciones inseguras
Simulacros de incidentes
Inversión en elementos de
seguridad personal y
mantenimiento
Resultados de encuestas de
clima laboral
44. Indicadores de compliance contractual
Por número de
contratos
Por número de
proveedores
Por euros de compras
Por actividad
Número de contratos no
estándar o con modificación de
cláusulas
Resultados de la evaluación de
performance
Disputas
No conformidades de auditorias
de cumplimiento
Contratos cancelados / Cambios
de proveedores
Certificaciones no presentadas
por proveedores