Integración del riesgo de cumplimiento (compliance risk) al sistema integral de riesgos de la empresa sobre gobierno corporativo, gestión de riesgos y compliance (GRC). “Assertions” en Compliance Riesgos penales
Tras la entrada en vigor de la Ley Orgánica 5/2010, se está desarrollado un sistema de gestión de riesgos, control interno y cumplimiento normativo que le permite minimizar los posibles riesgos penales, implementando medidas tendentes a la prevención, detección e investigación.
5. • Liquidez, crédito.
Mercados,
fiscalidad, capital,
GAAPs &
Reporting
• RH, IT, Activos,
ventas, suministro,
ambientales,
fraude op
• Gobierno
corporativo, RSC,
I+D, M&A,
planificación, rel.
inversores
• Regulación,
legislación y
códigos de ética y
de conducta,
penales
Compliance Estratégicos
FinancierosOperacionales
6. • Incertidumbre de
acción de una
agencia de
gobierno.
• Legislación
afectando a la
industria
• Ruptura unilateral
de contrato
• Probabilidad de
ser llevados a
juicio por acciones
en servicio.
Litigación Contractuales
RegulatoriosEstructurales
7. Riesgo de Cumplimiento
Contractual
Riesgo Operacional
Incumplimiento de
servicio o producto
Riesgo Crediticio
Contraparte falla
Riesgo de Mercado
Cambios
económicos
impiden cumplir
9. Objetivos de integración
• Iniciativa de GRC global
• Objetivos de compliance dentro de la
estrategia corporativa
• Identificar los requerimientos legales
• Declaración de una tolerancia al riesgo de
compliance
• KRI de compliance en cuadros de mando
• Riesgo legal “embebido” en políticas
10. Gobierno
Corporativo
• Ética
• Políticas
• Incentivos
• Performance
• Planes
• Visión
Risk Management
• Identificación y
priorización de
riesgos
• Planes de
prevención
Compliance
• CSAs
• Auditoria
financiera, ops,
regulatoria, IT
Calidad
• Proveedores
• Interna
Entrenamiento y Comunicación
Tolerancia Orientación IA
Fuente Común de Datos , Objetivos y Grupos Alcanzdos
11. La perspectiva de
control interno
Los incendios son
inevitables pero
pueden ser
controlados con
extintores. Instale
extintores y audite sus
cargas. Resuelva
cualquier deficiencia.
Documente el proceso y
audite los controles.
Identifique deficiencias y
corrija los controles
La perspectiva de
riesgos
Los incendios ocurren
cuando un material
inflamable se expone
a una fuente de
ignición. Elimine
ambos factores.
Identifique y mitigue los
factores de riesgos por
categoría. Monitoree los
KRI para advertir sobre
eventos.
La perspectiva de
compliance
Los incendios ocurren
por la gente
despreocupada.
Persuada a gente que
cambie su conducta y
entrene sobre
prevención.
Desarrolle una política.
Comunique, motive y
entrene a quienes
pueden tener una
conducta peligrosa.
12. Situación Actual
Unidad de
Negocio
Unidad de
Negocio
Unidad de
Negocio
Unidad de
Negocio
Compliance
Comité de
Auditoria
IT Finanzas
Auditoria
Interna
Ops Risks
Comité de
Riesgos
Comité
Especifico
Consejo de Administración
Reguladores,
Analistas,
Inversores
13. Situación Integrada
Unidad de
Negocio
Unidad de
Negocio
Unidad de
Negocio
Unidad de
Negocio
GRC
Comité de Riesgos
Consejo de Administración
Reguladores,
Analistas,
Inversores
Auditoria
Interna
Estructura de datos,
plataforma , metodología,
procesos y riesgos común
16. Líder de ERM
Familiar con el ambiente regulatorio
Familiar con las políticas internas
Familiar con el negocio para evaluar impactos
Autoridad para facilitar comunicación a C-Level
Tiempo para dedicar a la iniciativa
Habilidad de resolver conflictos
Habilidad de gestionar proyectos
Habilidad de mantener confidencialidad
17. Taxonomía
FCPA
Protección de
activos
Antitrust Insider trading Privacidad
Controles de
exportación
Retención de
documentación
Seguridad de
información
Compensaciones
y bonos
Reporte
Sarbanes Oxley HSE
Discriminación y
acoso laboral
Integridad
financiera
Contratos con el
gobierno
Propiedad
intelectual
Uso de
tecnología
3rd Party
management
Prácticas
comerciales
Ética
18. Registro de Riesgos
Causas
Frecuencia
• Historia de
eventos
• Modelo
estadístico
• Factores de riesgo
Consecuencias
Impacto
• Descripción item
por item
• Valoración
(requiere un
modelo de
valuación)
19. Registro de Riesgos
• Evento de riesgo (ej. Imposibilidad de cumplir con ley..)
• Norma especifica (ej Ley, Concesión, CoCo, Pol, Contrato)
• Consecuencias (ej. Multas, penalidades, indemnizaciones,…)
• Impacto y frecuencia
• ¿3er variable?
• Plan de mitigación
• KRI & Auditoria
• Impacto y frecuencia residual
• Propietario / Aprobadores
20. Área Riesgo legal Regulación /
Ley
Área
Funcional
Impacto Frec. Score Control Clasif. Impacto
Prácticasdecomercioexterior
Sobornos en el
extranjero
FCPA Foreign
Corrupt
Protection Act
Ventas 5 1 5 4 Reputacional
Aduanas Leyes aduaneras Ventas 1 3 3 2 Operacional
Control de
exportaciones
OFAC Office of
Foreign Assets
Controls
Ventas 2 2 4 5 Operacional
Exportaciones de
productos con
doble uso
Reg. UE
428/2009
Ventas 4 4 16 5 Operacional
Boycott no
sancionado a un
país extranjero
Anti-Boycott Act Ventas 2 2 4 4 Operacional
Exp/Imp de
químicos
peligrosos
Reg. UE
649/2012
Ventas 3 4 12 1 Operacional
…. … … ….
26. La atención al apetito al riesgo
está creciendo…
• Expectativas
– Contar con una estrategia en un contexto de
gestión de riesgos
– Involucrar al Consejo de Administración y Alta
Dirección (aprobación del apetito)
– Vinculación del apetito al riesgo en la estrategia
de las unidades de negocio y planificación
financiera
– Reevaluación y actualización regular
27. “Assertions” en Compliance
• Tolerancia Cero
– Aspiracionalmente todos de compliance, legales y
reputacionales (riesgo de litigio residual)
– Cláusulas prohibidas en contratos
– Estándar mínimo de actuación con oficiales
públicos, intermediarios, y socios
– Ventajas: Evita calcular tolerancia, ahorro del
tratamiento de riesgos y mejora el entendimiento
28. “Assertions” en Compliance
• Compensación
– Trasladables a terceros (securitization, seguros,
cauciones)
– Ventajas: Permite ver al riesgo legal desde lo
financiero. Define una política de gestión del
riesgo legal.
31. Reporte al Consejo
• Estado del programa de compliance:
– entrenamiento
– conflictos de interés
– denuncias
• Comittee de riesgos:
– mapas
– riesgos residuales
– planes
• Indicadores y Alertas
• Soporte de relación con inversores
32. Características de un buen sistema
de reporte
• Que soporte la toma de decisiones
• Integrado en la compañía: ajuste de los mapas
de riesgos a los tamaños de cada unidad de
negocio
• Sencillo
• Intuitivo
• Automático
• Actualizable fácilmente
33. KRI Compliance
Cambios en el perfil de riesgos
Efectividad de riesgos
Pérdidas legales
Conductas específicas
34. Cuadro de Mando
Evento Familia Frecuencia Impacto
Revenue/Capi
tal/Hum/Rep
Velocidad Tendencia Efectividad
Plan de
Acción
Incumplimie
nto Ley…
Compliance A A/M/B/B 1 año ↑ A
Fraude
Interno
Operacional M M/M/B/A 1 año ↓ M
Demora
proceso
Operacional B B/B/B/A Inmed ↑ B
Quiebra
cliente A
Financiera B A/M/B/B 1 año ↓ B