Caso de estudio Módulo sobre Compliance Risks en Sacyr `desarrollado para el Centro Superior de Estudios de Gestión
en su Máster Compliance Officer de la Universidad Complutense de Madrid Profesor Hernan Huwyler
Caso de estudio Módulo sobre Compliance Risks en Sacyr `desarrollado para el Centro Superior de Estudios de Gestión
en su Máster Compliance Officer de la Universidad Complutense de Madrid Profesor Hernan Huwyler
Presentación master de compliance con estudios de riesgos de cumplimiento normativo. Técnicas, procedimientos y propuestas para gestionar riesgos de incumplimientos de normativa medioambiental y la aplicación de sistemas integrados de gestión bajo el estándar ISO 14001. Compliance y la prevención de los delitos ambientales (ej. Cap 3 “de los delitos contra los recursos naturales y el medio ambiente). Elementos de un programa de protección o de corporate defense. Por Hernan Huwyler
Caso de estudio Módulo sobre Compliance Risks en Sacyr `desarrollado para el Centro Superior de Estudios de Gestión
en su Máster Compliance Officer de la Universidad Complutense de Madrid Profesor Hernan Huwyler
Presentación master de compliance con estudios de riesgos de cumplimiento normativo. Técnicas, procedimientos y propuestas para gestionar riesgos de incumplimientos de normativa medioambiental y la aplicación de sistemas integrados de gestión bajo el estándar ISO 14001. Compliance y la prevención de los delitos ambientales (ej. Cap 3 “de los delitos contra los recursos naturales y el medio ambiente). Elementos de un programa de protección o de corporate defense. Por Hernan Huwyler
El objetivo fundamental de cualquier principio es tener claro los conceptos que se utilicen para los análisis de los riesgos empresariales y que todos conozcan el alcance del control y
el resultado de los mismos, ya que existen muchas metodologías y muchos enfoques distintos para una gestión de riesgos empresariales.
Overview of the potential risks and challenges associated with the development and deployment of AI systems, as well as the recommended controls and best practices to mitigate them. The presentation covers the following topics:
Design risks: These are the risks related to the design and specification of the AI system, such as lack of clarity, alignment, or validation of the objectives, assumptions, or constraints of the system. Some of the factors that contribute to these risks are:
Inadequate or ambiguous problem definition
Unrealistic or conflicting expectations or requirements
Insufficient or inappropriate testing or evaluation methods
Lack of transparency or explainability of the system’s logic or behavior
Some of the recommended controls for these risks are:
Define the problem and the scope of the system clearly and explicitly
Involve relevant stakeholders and experts in the design process
Use appropriate methods and metrics to test and evaluate the system’s performance and robustness
Document and communicate the system’s objectives, assumptions, limitations, and uncertainties
Provide mechanisms to explain or justify the system’s outputs or decisions
Data risks: These are the risks related to the data used to train, test, or operate the AI system, such as data quality, availability, security, or privacy issues. Some of the factors that contribute to these risks are:
Incomplete, inaccurate, or outdated data
Biased, unrepresentative, or irrelevant data
Unauthorized access, modification, or disclosure of data
Violation of data protection laws or ethical principles
Some of the recommended controls for these risks are:
Collect, store, and manage data in a secure and compliant manner
Ensure data quality, validity, and reliability through data cleaning, verification, and auditing
Ensure data diversity, representativeness, and relevance through data sampling, augmentation, and analysis
Protect data privacy and confidentiality through data anonymization, encryption, or aggregation
Respect data rights and consent of data subjects and providers
Operation risks: These are the risks related to the operation and maintenance of the AI system, such as system failure, malfunction, or misuse. Some of the factors that contribute to these risks are:
Hardware or software errors or defects
Environmental or contextual changes or uncertainties
Adversarial or malicious attacks or manipulations
Unintended or harmful consequences or impacts
Some of the recommended controls for these risks are:
Monitor and update the system regularly and proactively
Adapt and calibrate the system to changing or uncertain conditions or scenarios
Detect and prevent potential threats or vulnerabilities
Asociacion Profesionistas de Compliance - Initiatives to Reduce the Cost of C...Hernan Huwyler, MBA CPA
Prof. Hernan Huwyler's slideshare discusses in detail five key actions that organizations can take to reduce compliance costs. These actions are designed to help organizations increase their compliance efficiency, reduce compliance risks, and lower compliance costs.
The first action proposed by Prof. Hernan Huwyler is to designate local managers as compliance representatives in business units. This helps to amplify control while reducing the compliance function's structure. By designating local managers as compliance representatives, organizations can have a more effective compliance structure with fewer resources. Local managers can act as compliance ambassadors and help ensure that the organization's compliance policies and procedures are followed in their business units.
The second action proposed is to quantify compliance risks and price potential claims, compensations, fraud, and revenue losses due to noncompliance. By quantifying compliance risks, organizations can better understand the potential costs of non-compliance and allocate resources accordingly. This can also help organizations prioritize their compliance efforts and ensure that they are focusing on the most significant compliance risks.
The third action is to assign the testing of compliance controls to process owners and outsourcing service providers. This helps to distribute the responsibility for compliance testing and can reduce the workload of the compliance function. By assigning compliance testing to process owners, organizations can ensure that compliance controls are tested regularly, and issues are identified and addressed promptly.
The fourth action proposed is to embed efficient controls in clearly articulated procedures. By embedding controls in procedures, organizations can ensure that compliance requirements are met consistently and effectively. Efficient controls can help organizations streamline compliance processes and reduce compliance costs.
Finally, the fifth action is to add requirements for compliance skills when recruiting legal and financial managers in business units. This helps to ensure that compliance is a consideration when recruiting new managers. By ensuring that managers have the necessary compliance skills, organizations can better integrate compliance into their business operations and reduce the risk of non-compliance.
In addition to these five actions, the slideshare also suggests other recommendations, such as delegating compliance consultations, audits, and due diligence, benchmarking the scope of risk assessments, and implementing policies to simplify wording and articulation of procedures. Additionally, the slideshare recommends coordinating actions with business units to assess, implement, measure, and reward cost reduction initiatives. By following these recommendations, organizations can reduce their compliance costs while maintaining effective compliance programs.
Más contenido relacionado
Similar a Caso de Estudio #1 Compliance Risks en Sacyr
El objetivo fundamental de cualquier principio es tener claro los conceptos que se utilicen para los análisis de los riesgos empresariales y que todos conozcan el alcance del control y
el resultado de los mismos, ya que existen muchas metodologías y muchos enfoques distintos para una gestión de riesgos empresariales.
Overview of the potential risks and challenges associated with the development and deployment of AI systems, as well as the recommended controls and best practices to mitigate them. The presentation covers the following topics:
Design risks: These are the risks related to the design and specification of the AI system, such as lack of clarity, alignment, or validation of the objectives, assumptions, or constraints of the system. Some of the factors that contribute to these risks are:
Inadequate or ambiguous problem definition
Unrealistic or conflicting expectations or requirements
Insufficient or inappropriate testing or evaluation methods
Lack of transparency or explainability of the system’s logic or behavior
Some of the recommended controls for these risks are:
Define the problem and the scope of the system clearly and explicitly
Involve relevant stakeholders and experts in the design process
Use appropriate methods and metrics to test and evaluate the system’s performance and robustness
Document and communicate the system’s objectives, assumptions, limitations, and uncertainties
Provide mechanisms to explain or justify the system’s outputs or decisions
Data risks: These are the risks related to the data used to train, test, or operate the AI system, such as data quality, availability, security, or privacy issues. Some of the factors that contribute to these risks are:
Incomplete, inaccurate, or outdated data
Biased, unrepresentative, or irrelevant data
Unauthorized access, modification, or disclosure of data
Violation of data protection laws or ethical principles
Some of the recommended controls for these risks are:
Collect, store, and manage data in a secure and compliant manner
Ensure data quality, validity, and reliability through data cleaning, verification, and auditing
Ensure data diversity, representativeness, and relevance through data sampling, augmentation, and analysis
Protect data privacy and confidentiality through data anonymization, encryption, or aggregation
Respect data rights and consent of data subjects and providers
Operation risks: These are the risks related to the operation and maintenance of the AI system, such as system failure, malfunction, or misuse. Some of the factors that contribute to these risks are:
Hardware or software errors or defects
Environmental or contextual changes or uncertainties
Adversarial or malicious attacks or manipulations
Unintended or harmful consequences or impacts
Some of the recommended controls for these risks are:
Monitor and update the system regularly and proactively
Adapt and calibrate the system to changing or uncertain conditions or scenarios
Detect and prevent potential threats or vulnerabilities
Asociacion Profesionistas de Compliance - Initiatives to Reduce the Cost of C...Hernan Huwyler, MBA CPA
Prof. Hernan Huwyler's slideshare discusses in detail five key actions that organizations can take to reduce compliance costs. These actions are designed to help organizations increase their compliance efficiency, reduce compliance risks, and lower compliance costs.
The first action proposed by Prof. Hernan Huwyler is to designate local managers as compliance representatives in business units. This helps to amplify control while reducing the compliance function's structure. By designating local managers as compliance representatives, organizations can have a more effective compliance structure with fewer resources. Local managers can act as compliance ambassadors and help ensure that the organization's compliance policies and procedures are followed in their business units.
The second action proposed is to quantify compliance risks and price potential claims, compensations, fraud, and revenue losses due to noncompliance. By quantifying compliance risks, organizations can better understand the potential costs of non-compliance and allocate resources accordingly. This can also help organizations prioritize their compliance efforts and ensure that they are focusing on the most significant compliance risks.
The third action is to assign the testing of compliance controls to process owners and outsourcing service providers. This helps to distribute the responsibility for compliance testing and can reduce the workload of the compliance function. By assigning compliance testing to process owners, organizations can ensure that compliance controls are tested regularly, and issues are identified and addressed promptly.
The fourth action proposed is to embed efficient controls in clearly articulated procedures. By embedding controls in procedures, organizations can ensure that compliance requirements are met consistently and effectively. Efficient controls can help organizations streamline compliance processes and reduce compliance costs.
Finally, the fifth action is to add requirements for compliance skills when recruiting legal and financial managers in business units. This helps to ensure that compliance is a consideration when recruiting new managers. By ensuring that managers have the necessary compliance skills, organizations can better integrate compliance into their business operations and reduce the risk of non-compliance.
In addition to these five actions, the slideshare also suggests other recommendations, such as delegating compliance consultations, audits, and due diligence, benchmarking the scope of risk assessments, and implementing policies to simplify wording and articulation of procedures. Additionally, the slideshare recommends coordinating actions with business units to assess, implement, measure, and reward cost reduction initiatives. By following these recommendations, organizations can reduce their compliance costs while maintaining effective compliance programs.
This Slideshare presentation by Professor Hernan Huwyler discusses a model to quantify compliance, legal, and contractual risks. It highlights the importance of understanding the impact of uncertainty on objectives and identifies mandatory and voluntary compliance objectives. The presentation discusses different techniques to quantify risks, such as heatmaps, risk matrices, common malpractice, scores, and escalation matrices, and the problems with these techniques, such as biases, incomplete data, and aggregation issues. The presentation proposes a compliance risk modeling approach, which involves understanding the distribution of events, consequences, impact, causes, and frequency of risks. It suggests using different probability distributions, such as log-normal, Pareto, normal, Poisson, Bernoulli, and triangular, to model risks. The presentation also discusses the chain of events that can lead to different types of losses, including penalties, compensations, fines, sanctions, legal and remediation costs, loss of customers, marketing depreciation, loss of licenses, and stock price. It explains different techniques to model losses, such as graphs, decision trees, Monte Carlo simulations, and calibrated estimates. Finally, the presentation highlights the importance of using different sources of risk data, including internal and external data, paid compensations, fines, and credits, fraud losses, legal fees, and complaints, and industry studies, enforcement trackers, and case analysis. It also provides examples of business cases related to compliance objectives and contractual clauses that set penalties for non-compliance. The presentation concludes with a demo of the proposed model to quantify compliance, legal, and contractual risks.
The summary is about an upcoming Safety Roundtable event on the topic of "Ditch your heat maps" presented by Professor Hernan Huwyler, MBA CPA. The event aims to help attendees transform their approach to safety risk management by moving away from subjective measures such as colours, adjectives, and heat maps, and instead focusing on a data-driven model to quantify and manage operational risks.
The event emphasizes the importance of using data and financial information to inform decision making in order to minimize biases and justify investments. Attendees will gain insights on a quantitative model that will help them measure, visualize, and manage operational risks, as well as tips to reduce risk, enhance insurance and protection, and control investment.
The event is relevant to anyone interested in risk management, insurance, and safety, and aligns with ISO 31000, the international standard for risk management. The event includes a Q&A session at the end, providing attendees with the opportunity to ask questions and share their perspectives.
Overall, the Safety Roundtable event promises to be a valuable opportunity to learn from Professor Hernan Huwyler's insights, network with other professionals interested in risk management, and gain practical knowledge on how to improve safety risk management practices using a data-driven approach.
Obtaining resources, planning actions, and budgeting are essential for any organization's successful compliance management. Compliance management is the practice of ensuring that a company adheres to regulatory requirements and internal policies. This summary will explore key considerations for planning compliance initiatives, evaluating regulatory requirements, stakeholder needs, and developing a timeline of activities. It will also cover how to detect corruption and fraud schemes, control representation expenses, and prevent over-invoicing. Finally, we will discuss fraud impact and controls and how to demonstrate the return on investment in compliance.
To begin with, it is crucial to obtain resources to initiate compliance management. The compliance team should have adequate resources to ensure that the organization is compliant with regulatory requirements. The resources should include trained personnel, financial resources, software, and hardware, among others. After obtaining resources, the next step is planning actions and budgeting. Planning should involve various stakeholders and departmental heads to ensure that all areas of the organization are covered. Planning actions and budgeting should include developing a compliance plan, identifying potential compliance risks, and developing mitigation strategies.
While planning compliance initiatives, it is essential to evaluate the regulatory horizon, stakeholder needs, open items, and new strategies. The regulatory horizon involves understanding the regulatory landscape, identifying new regulations, and monitoring the existing ones. Stakeholder needs involve understanding the needs of all stakeholders, including shareholders, customers, and employees. Open items are compliance issues that are unresolved, and new strategies are measures that an organization intends to take to comply with regulations.
Developing a timeline of activities to address certifications and audit needs is critical. A timeline helps to ensure that an organization is compliant with regulations within the stipulated timeline. The timeline should involve developing a compliance plan, identifying potential compliance risks, and developing mitigation strategies. It should also include training employees on compliance, conducting regular internal audits, and reviewing the compliance plan to ensure that it is up to date.
Demonstrating the return on investment in compliance is essential. A return on investment (ROI) helps to justify the resources that an organization invests in compliance. Demonstrating ROI involves identifying the costs of compliance management, such as personnel, software, and hardware costs. It also involves identifying the benefits of compliance management, such as reducing the risk of regulatory fines and reputation damage.
Compliance risk is the risk of failing to comply with laws, regulations, standards, and guidelines that organizations are subject to. Noncompliance risks can lead to legal, financial, and reputational consequences. Compliance officers play a critical role in identifying, assessing, and managing compliance risks. Compliance risks can also present opportunities for organizations to improve their practices, enhance their reputation, and gain a competitive advantage.
ISO 37301 is a standard that provides guidance on compliance management systems. The standard defines compliance risk as the risk of noncompliance with laws, regulations, and other requirements that an organization is obligated to comply with. Compliance risks can arise from internal and external factors, such as changes in laws and regulations, new business operations, third-party relationships, and cultural differences. ISO 37301 emphasizes the importance of managing compliance risks through a systematic and proactive approach that includes risk assessment, risk treatment, monitoring, and review.
Compliance officers serve as trusted advisors to senior management and provide guidance and support in compliance planning and decision-making. Compliance officers need to have a deep understanding of the organization's operations, risks, and culture to identify and manage compliance risks effectively. Compliance officers should also have strong communication and interpersonal skills to build relationships with stakeholders, including senior management, employees, regulators, and other external parties.
The level of compliance risk varies depending on the nature, complexity, and scale of an organization's operations. Compliance risks can be classified into three levels: low, medium, and high. Low-risk compliance activities are routine and have little impact on the organization's operations or reputation. Medium-risk compliance activities are more complex and involve higher stakes, such as regulatory compliance, data privacy, and anti-corruption. High-risk compliance activities involve significant legal, financial, and reputational consequences, such as anti-money laundering, anti-bribery, and sanctions compliance.
Compliance risks can also present opportunities for organizations to improve their practices, enhance their reputation, and gain a competitive advantage. For example, a company that implements strong data privacy practices can enhance customer trust and loyalty. A company that complies with anti-corruption laws can reduce legal and reputational risks and attract socially responsible investors. Compliance officers should work with senior management to identify and leverage compliance risks as opportunities to create value for the organization.
Compliance risk, noncompliance, ISO 37301, compliance officer, trusted advisor, risk level, opportunities, regulatory risks, obligations, ethical risks, inherent risks, residual risks, risk-taking, tolerance, control level, sustainability
Support Ukraine from compliance 🇺🇦 Join our free special webinar to get practical tips on how to
- adjust due diligence to address new global sanctions, export controls, and trade restrictions
- identify third parties, beneficial owners, shell companies, and assets related to Russia and Belarus
- activate exit plans and force major clauses
- address changes in the expectations of stakeholders to cancel operations, payments, financing, investing, and partnerships
- apply measures to support affected employees and the Ukrainian people
- prepare for possible Russian cyber and commercial attacks
👉 Enroll the webinar for free https://lnkd.in/gJR27Dci
#compliance #export #russianthreat #ukraine #complianceofficer #riskmanagement #sanctions #UkrainiansWillResist #business #investment #corporateresponsibility #businessethics #HR #people #investing #payments #payments #cyber #webinar
Minimising Privacy Risk from A Global DPO Perspective https://www.copenhagencompliance.com/2021/dpoday/agenda.htmlDPO, CISO, Controller or Processor? – (And the Risk Of Mixing Roles)
Minimising the Aggregate Privacy Risk Vs Contract Sharing
Using A Data Processor Modular DPIA And Data Flow
Leveraging Binding Corporate Rules as Data Processor
Prof. Hernan Huwyler, CPA, MBA
Master in Sustainability Leadership Sustainability Risks Prof Hernan HuwylerHernan Huwyler, MBA CPA
Course on sustainability risk management for the Master in Sustainability and Corporate Social Responsibility Leadership at the Universidad Complutense de Madrid. I will provide the students with tips, tools, and models to assess and manage operational, compliance, integrity, governance, solvency, profitability environmental, climate change, and supply chain risks as part of a sustainability and social responsibility program.
Respond to new ALM obligations
Identify the key compliance changes for scope, subjects and operations
Facilitate the design and execution of compliance checks on payment methods and the use of virtual currencies
Evaluate gaps in processes to update controls and procedures
Consider the impact on corporate criminal liability using the new ISOs 37301 and 37002
Register virtual asset service providers
Assess new compliance and operational risks
Identify scenarios of risks and vulnerabilities on new crime typologies
Prevent risks of anonymous transfers and the use of prepaid cards
Manage risks on high value operations and art trade
Integrate risks to know your customer and money laundering
Detect and report suspected operations
Compare control practices regarding new requirements
Update the decision matrices on alerts
Adjust customer due diligence process
Implement the use of the lists of politically exposed persons
Report discrepancies with the public register of effective owners
Implementation of new technologies
Evaluate the prerequisites regarding quality of data and capabilities for compliance solutions
Evaluate solutions to automate and digitize processes related to robotics
Use machine learning applications for reporting suspicious transactions
Recommend practices for implementing analytics solutions on text and data
I am invited to speak at the Iberoamerican Compliance Conference hosted by the Universidad Complutense de Madrid (Argentina + web, Jun 29/Jun 1, Spanish). I will deliver a master class on quantitative vs. qualitative assessments of compliance risks. It will be exciting to meet great compliance colleagues and friends as Zulma Escalante, Eduardo Navarro Villaverde, Javier Puyol Montero, Silvina Bacigalupo, Daiana C., Carlos J. Díaz Navarrete, Félix Pablo Crous, Lic. Graciela Garay, Macarena Retamosa, Miguel Soler Ruiz-Boada, Nieves Cifuentes Valero, Sebastian Daniel Barletta, virginia olivieri and other fellows.
https://lnkd.in/e_qfztj
Register https://lnkd.in/e-iAMgM
#compliance #riskmanagement #ECI2021 #ECIArgentina2021 #UCM
ARENA - Prof Hernan Huwyler - Debate Is Machine Learning Mature Enough?Hernan Huwyler, MBA CPA
I am excited to discuss how organizations need to be prepared before implementing machine learning with Jason Maude at the Machine Learning in Financial Services event hosted by Arena International Events Group (June 30, online). We will provide recommendations to develop the conditions to successfully implement artificial intelligence projects. Thanks to Rebecca Mayoh for the event coordination.
Join here https://lnkd.in/ec6qP4A
#machinelearning #compliance
I am writing an article on the most common challenges to comply with the #ISO37301 for the IE Law School. What are the elements of your compliance management system that you plan to improve?
#compliance
I enjoyed presenting on effective controls for software development with Matthew Crabbe and QA Financial. I am pushing the concept of "cyber compliance" to define internal and external requirements for IT assets such as software, data, hardware, services, contracts, and licenses. Cyber compliance is rapidly expanding from licenses, privacy and contracts with IT vendors to outsourcing, software development and business continuity of essential services providers, cloud in particular.
#riskmanagement #compliance #itcontrol #CISO #cybersecurity
My classes on IT risk management. Recommendations do you expect to cover in a course on IT risk management and governance?
#riskmanagement #risk #governance #cybersecurity #security #informationsecurity #ciso #ITgovernance #ITRIsk #cyberrisk
Stronger 2021 Building the Blocks to Quantify Cyber Risks - Prof hernan huwylerHernan Huwyler, MBA CPA
I am honored and humbled to have been given the opportunity to discuss practices to address cyber risks at the 2021 STRONGER conference hosted by CyberSaint Security (Sep 28, online). I will discuss the building blocks to quantify and communicate risks to protect IT assets, processes, and services. Thanks to Ethan Bresnahan for the flawless preparation of the event.
You are welcome to register here https://lnkd.in/eitKYDsX
#cybersecurity #security #datasecurity #infosec #riskmanagement #ciso #stronger2021
Learn how to design, implement. operate and certify a compliance program under the new ISO 37301. Join the IE Law School professors, Alvaro Arjona l Ph.D, Jesica Hita Ruiz, Fabio G. Pérez-Bryan and me, to get a toolbox with facilitators, guidance, reference policies, checklist and other practical references.
8 modules - 12 hours - Sept 27th and 28th - Online
- Requirements, terms scope, elements and certification and consultancy market
- Practical impact. main changes, benchmark, and introduced components
- Adequacy for criminal law compliance in Spain (UNE 19601) and in LatAm
- Processes from risk analysis to reporting and evaluation
- Implementation of requirements
- Recommendations and facilitators for implementation.
- Roadmap with evidence to certify
- Documentation review program for implementation assurance
- Methodology for testing compliance controls and documentation reviews
Thanks to Sibel Abdulovska, Paula Abascal Gutierrez-Colomer and Maria Serrano for the flawless coordination of the course.
Lean more: https://lnkd.in/gezyzmgn
#ISO37301 #CCO #compliance #audit #certification #ISO37002
It was a pleasure to moderate a workshop to assess cyber security risks hosted by Strategy Insights. We discussed options and practices to quantify confidentiality, integrity, and availability risks with delegates of the big players in the pharma, banking, retailing, and service sectors in the Nordics.
Thanks to Anna Rose Poyntz, Finlay Wilson, and Edgar Baier for the event coordination.
Round tables https://lnkd.in/e_m5eTW5
#cybersecurity #compliance #strategy #banking #ciso #riskmanagement
PREVENCION DELITOS RELACIONADOS COM INT.pptxjohnsegura13
Concientizar y sensibilizar a los funcionarios, sobre la importancia de promover la seguridad en sus operaciones de comercio internacional, mediante la unificación de criterios relacionados con la trazabilidad de sus operaciones.
Anna Lucia Alfaro Dardón, Harvard MPA/ID. The international successful Case Study of Banco de Desarrollo Rural S.A. in Guatemala - a mixed capital bank with a multicultural and multisectoral governance structure, and one of the largest and most profitable banks in the Central American region.
INCAE Business Review, 2010.
Anna Lucía Alfaro Dardón
Dr. Ivan Alfaro
Dr. Luis Noel Alfaro Gramajo
Entre las novedades introducidas por el Código Aduanero (Ley 22415 y Normas complementarias), quizás la más importante es el articulado referido a la determinación del Valor Imponible de Exportación; es decir la base sobre la que el exportador calcula el pago de los derechos de exportación.
El análisis PESTEL es una herramienta estratégica que examina seis factores clave del entorno externo que podrían afectar a una empresa: políticos, económicos, sociales, tecnológicos, ambientales y legales.
1. Centro Superior de
Estudios de Gestión
Máster Compliance Officer
Caso de Estudio
Riesgos de Compliance en
Sacyr
Prof. H Huwyler
Módulo
Compliance Risks
2. Centro Superior de Estudios de Gestión
Máster Compliance Officer
Mod. Compliance Risks – Prof Hernan Huwyler
1
2 § 1 Mod CR HH
INTRODUCCIÓN DE LA GESTIÓN DE RIESGOS EN SACYR
Sacyr es un grupo multinacional español dedicado a
la construcción industrial, la gestión de
infraestructuras y la concesión de servicios. El grupo
tiene una presencia internacional en 20 países y
desarrolla su actividad en diferentes marcos
reguladores. En este contexto existen riesgos de
diversa naturaleza relacionados a los negocios y
sectores en los que opera.
Sacyr ha establecido una política de control y
gestión de riesgos para identificar, evaluar y
gestionar sus riesgos globales. Esta política busca dar
un grado razonable de seguridad acerca de la
consecución de los objetivos de eficacia y eficiencia
en las operaciones, fiabilidad de la información y
cumplimiento de la legislación.
El proceso comienza con la identificación de los
riesgos que son actualizados periódicamente por los
cambios del entorno en que la organización opera. El
resultado de esta primera etapa son los mapas y
perfiles de riesgos, que incluyen los principales
riesgos estratégicos y operativos. Los riesgos se
agrupan en diferentes categorías: entorno de negocio,
regulación, imagen y reputación, recursos humanos,
operaciones, financieros, información para la toma de
decisiones, tecnología y sistemas de información y
buen gobierno. Para cada riesgo se evalúa su posible
impacto y probabilidad de ocurrencia.
Tras la identificación de los riesgos, se analiza el
conocimiento de los mismos que tiene la dirección y
la idoneidad y la efectividad de los controles
adoptados para mitigarlos. La dirección de cada
negocio, con la supervisión de auditoría interna,
establece sus prioridades de actuación y determina las
medidas a poner en marcha. Se consideran su
viabilidad operativa, sus posibles efectos y la relación
coste - beneficio de la implantación.
ESTRUCTURA DE RESPONSABILIDADES EN GESTIÓN DE RIESGOS, AUDITORIA Y COMPLIANCE
El consejo de administración, que ha aprobado la
política de control y gestión de riesgos, efectúa el
seguimiento periódico de su sistema de información y
control. El ejercicio de esta función garantiza la
implicación del consejo de administración en la
supervisión del proceso de identificación y gestión de
riesgos y de la implantación y seguimiento de los
sistemas de control e información adecuados.
Por su parte, la dirección de auditoría interna, con
dependencia directa del presidente del grupo, y bajo
la supervisión de la comisión de auditoría, tiene como
objetivo general realizar una evaluación sistemática
3. Centro Superior de Estudios de Gestión
Máster Compliance Officer
Mod. Compliance Risks – Prof Hernan Huwyler
1
2 § 1 Mod CR HH
los riesgos así como la implementación de planes de
acción.
El consejo de administración, con el apoyo de la
comisión de auditoría, supervisa al comité de riesgo.
El ejercicio de esta función garantiza la implicación
del consejo en la supervisión del proceso de
identificación de riesgos y de la implantación y
seguimiento de los sistemas de control e información
adecuados.
El comité de riesgos es el máximo responsable del
sistema de control y gestión de riesgos, y de todas las
decisiones asociadas al mismo en las unidades de
negocio. El comité se designa por el presidente y
entre sus funciones se encuentra la de dar apoyo al
consejo en la toma de decisiones críticas, establecer
los índices de tolerancia al riesgo, y la definición y
promoción de la cultura de riesgos en la organización.
La dirección de control y gestión de riesgos, da
apoyo al comité de riesgos y con la ayuda de las
diferentes áreas de negocio del grupo que cuentan
con sus propios responsables de control y gestión,
que efectúan el seguimiento del análisis de los riesgos
y apoyan al presidente y a los negocios en la toma de
decisiones críticas.
Las áreas de negocio de Sacyr cuentan con sus
propios responsables de control y gestión, que
efectúan el seguimiento de la consecución de los
objetivos previstos por cada área de negocio o
sociedad en el marco de la planificación estratégica.
El consejo de administración constituye en forma
delegada un comité de auditoría interna
actualmente con 5 consejeros. Tiene como atribución
supervisar la eficacia del control interno y la auditoría
interna, así como revisar los sistemas de gestión de
riesgos para que los principales riesgos se
identifiquen, gestionen y den a conocer
adecuadamente.
Adicionalmente, la dirección de auditoria interna,
con dependencia directa del presidente y bajo la
supervisión de la comisión de auditoría, tiene como
objetivo general realizar una evaluación sistemática
de la eficiencia en los procesos de identificación,
control y gestión de los riesgos. Esta dirección
elabora anualmente un plan de auditoría interna
orientado a riesgos, y es aprobado por la comisión de
auditoría. Este plan establece las prioridades y la
previ sión de trabajos a realizar.
Sacyr cuenta con una unidad de cumplimiento
normativo formada por miembros de la alta
dirección, que es la encargada de velar por el estricto
cumplimiento del código de conducta y de gestionar
la línea de consulta y denuncia.
La unidad de cumplimiento normativo es un órgano
colegiado de naturaleza ejecutiva y carácter
autónomo, compuesto por representantes de diversas
áreas del grupo y nombrados por la comisión de
auditoría. El presidente de la unidad de cumplimiento
normativo, reporta formalmente al comité de
auditoría.
Esta unidad actúa bajo la dependencia exclusiva de la
comisión de auditoría del consejo de administración y
tiene la condición de órgano de la persona jurídica
con poderes autónomos de iniciativa y control a los
efectos del código penal y todas las funciones que le
corresponden como órgano de cumplimiento del
código de conducta. La unidad dispone de la
autoridad, los recursos y los medios necesarios, en
coordinación con la dirección de auditoría interna y
de recursos humanos, para implantar y hacer cumplir
las medidas de control interno del modelo de
cumplimiento normativo para detectar, prevenir y
evitar la comisión de infracciones penales, civiles,
mercantiles, administrativas y tributarias imputables a
la persona jurídica, así como para la reacción
adecuada en el caso de que eventualmente se hayan
producido.
La unidad ha implantado sistemas y estructuras de
prevención penal en España, Portugal y Chile
conforme a sus respectivas normativas.
DESARROLLO DE ACTIVIDADES DE CONTROL Y GESTIÓN DE RIESGOS
Uno de los principales objetivos de auditoría interna
es continuar avanzando en el desarrollo y
actualización de mapas de riesgos detallados por línea
de negocio así como en la definición e incorporación
de mejoras en la política de control y gestión de
riesgos del grupo. Sacyr ha evolucionado desde un
único mapa de riesgos globales a una estructura más
compleja, en la que existen mapas de riesgos
individuales y detallados para cada línea de negocio,
que a su vez, y por agregación, generan un nuevo
mapa de riesgos más completo, detallado y
actualizado.
Debido a la expansión internacional y los cambios de
contexto, la importancia y probabilidad de ocurrencia
de los diferentes riesgos sufrieron cambios muy
4. Centro Superior de Estudios de Gestión
Máster Compliance Officer
Mod. Compliance Risks – Prof Hernan Huwyler
1
2 § 1 Mod CR HH
significativos. De esta forma, los esfuerzos se han
estado enfocando en la actualización de los mapas de
riesgos existentes, con especial atención a las áreas
geográficas del extranjero donde hay actividad
significativa como Portugal, Angola, Cabo Verde,
Madeira, Francia, Estados Unidos y Brasil.
Adicionalmente, se emite un mapa de riesgos de
concesiones y dos mapas de riesgos de alto nivel,
independientes de los mapas de riesgos de los
diferentes negocios, que sirven como herramientas
para gestionar los riesgos de dos regulaciones
recientes: a) la supervisión del control interno de la
información financiera por parte de la comisión de
auditoría y b) el impacto de la reforma del Código
Penal Español en lo relativo a la consideración de las
personas jurídicas como responsables de los delitos
cometidos.
Como política general, el riesgo aceptable para el
grupo puede considerarse cualitativamente de nivel
medio, con excepción de los riesgos financieros con
un riesgo aceptable alto y los riesgos de regulación y
de imagen y reputación en los que el Grupo reduce su
tolerancia al riesgo a niveles mínimos.
Dependiendo de cada operación concreta, se
considera el riesgo desde un punto de vista
cualitativo (alto, medio, bajo), o con un enfoque
cuantitativo, que refleje los objetivos de crecimiento
y rendimiento y los equilibre con los riesgos.
En los riesgos concretos asociados a objetivos
medibles, la tolerancia al riesgo del grupo Sacyr, se
mide con las mismas unidades que los objetivos
correspondientes.
Con carácter general, Sacyr cuenta con planes de
supervisión para los principales riesgos como
realizar, al cierre de cada ejercicio, pruebas de
deterioro de valor de todos sus activos no financieros.
De esta forma, Sacyr estima que cuenta con
suficientes sistemas de control para identificar,
cuantificar, evaluar y subsanar todos los riesgos, de
tal forma que puedan minimizarse o evitarse.
También los complementa con una política de
contratación y mantenimiento de pólizas de
seguro.
El plan de auditoría interna se planifica en sus
trabajos atendiendo al control de riesgos, basándose
en la metodología COSO. Como resultado de estos
trabajos, que abarcan todas las áreas y líneas de
negocio del Grupo, no se han detectado incidentes
cuyo impacto haya sido considerado significativo.
Se han realizado acciones formativas, como jornadas
sobre control de costes, plazos y de gestión, dirigidas
a los departamentos cuyas funciones son la gestión de
riesgos.
RIESGOS DE CUMPLIMIENTO REGULATORIO Y PENALES
El Código de Conducta de Sacyr establece el respeto
a la legalidad como uno de los principios básicos que
deben regir la conducta de sus empleados. La
supervisión del cumplimiento de las diferentes
disposiciones legales se lleva a cabo
fundamentalmente por la dirección general de
asesoría jurídica y por la dirección de auditoría
interna que cuenta con un departamento específico de
cumplimiento regulatorio desde 2008.
Adicionalmente, otras áreas organizativas, como el
departamento de calidad y medio ambiente o el
servicio de prevención de riesgos laborales,
contribuyen a garantizar el cumplimiento de la
legislación en sus respectivos ámbitos de actividad.
La unidad de cumplimiento normativo desarrolla
una descripción y valoración completa del mapa de
riesgos penales con controles asociados por unidades
de negocio y del sistema de prevención y detección
de delitos que acompaña al indicado mapa de riesgos
penales. Esta unidad diseña y aplica los controles
asociados por unidades de negocio y los planes de
detección, prevención y reacción apropiados,
actualizando el modelo de cumplimiento
normativo periódicamente y supervisando la más
amplia comunicación y difusión de todos los
elementos de dicho modelo entre todo el personal de
las empresas, así como la formación continuada de
los empleados.
CORRUPCIÓN Y SOBORNO
5. Centro Superior de Estudios de Gestión
Máster Compliance Officer
Mod. Compliance Risks – Prof Hernan Huwyler
1
2 § 1 Mod CR HH
El código de conducta de Sacyr prohíbe de forma
tajante cualquier comportamiento por parte de sus
empleados que pudiera considerarse relacionado con
la corrupción o el soborno. Todos los empleados y
miembros de los órganos de gobierno del grupo, así
como las UTEs y sociedades sobre las que se tiene
control de gestión, han sido informados sobre las
políticas y los procedimientos de la organización para
luchar contra la corrupción, a través de las circulares
de difusión del código de conducta.
El código establece explícitamente que los empleados
de Sacyr no podrán ofrecer pagos de ninguna
naturaleza destinados a obtener beneficios de forma
ilícita, y se les prohíbe aceptar regalos o cualquier
otra clase de prestaciones que pudieran afectar a su
objetividad o influir en una relación comercial,
profesional o administrativa.
Sacyr ha creado un órgano de control del código de
conducta, formado por miembros de la alta
dirección. Este órgano, además de gestionar la línea
de denuncias del Grupo, es el encargado de velar por
el estricto cumplimiento del código de conducta.
La investigación de comportamientos de
corrupción es responsabilidad de la dirección de
auditoría interna, así como realizar trabajos
encaminados a detectar dichos comportamientos si
los hubiera. Para esto cuenta con un software
específico de detección de fraude, con el apoyo de
expertos externos cuando lo precisa y con personal
especializado para realizar dicho trabajo, tanto
preventivo como detectivo. Los indicios de
corrupción son analizados en detalle y se actúa en
consecuencia. En todos los casos se revisa el
procedimiento de negocio vigente que no ha evitado
la existencia de dicha práctica corrupta y se buscan
mejoras al mismo.
La línea de consulta y denuncia
(codigoconducta@sacyr.com) es una herramienta
corporativa destinada a facilitar la formulación
confidencial y segura de cualquier consulta sobre el
alcance y aplicabilidad del código de conducta y, en
general, del modelo de cumplimiento normativo, así
como para informar o denunciar situaciones de
infracción o de riesgo.
El procedimiento de la línea de consulta y
denuncia garantiza la confidencialidad en el
tratamiento de las denuncias que se tramiten y la
identidad del denunciante, con pleno cumplimiento
de la legislación sobre protección de datos, un
análisis fiable y objetivo de la posible infracción y el
máximo respeto a los derechos de las personas
presuntamente implicadas en la misma.
De cada reclamación recibida se realiza una
investigación y se adoptan las medidas oportunas
tanto para su resolución, como para evitar que se
vuelva a producir. El sistema de gestión de Sacyr,
establece la documentación de cada reclamación a
través de acciones correctivas, que permiten realizar
un seguimiento exhaustivo de la resolución de la
misma.
Sacyr dispone además de diferentes canales para
comunicarse con sus grupos de interés y el público
en general, por ejemplo para recibir reclamaciones
relacionadas con temas ambientales. Entre ellos se
encuentran varios buzones de correo electrónico, uno
general (info@sacyr.com) y otro específico
relacionado con la responsabilidad corporativa
(rcorporativa@sacyr. com).
PREVENCIÓN DE BLANQUEO DE CAPITALES
El Sacyr está comprometida con las iniciativas
internacionales para prevenir el blanqueo de
capitales y la financiación del terrorismo.
Cumpliendo con la legislación vigente en la materia,
el grupo cuenta con los procedimientos y órganos de
control interno necesarios para prevenir e impedir la
realización de operaciones relacionadas con el
blanqueo de capitales en su ámbito de influencia.
La principal herramienta de gestión para este fin es su
protocolo interno de prevención de blanqueo de
capitales y de la financiación del terrorismo, un
documento en el que se establecen tanto la estructura
de responsabilidades de los distintos agentes
implicados, como los mecanismos para el control y
examen de las operaciones susceptibles de generar
riesgo. Este protocolo ha sufrido diversas
modificaciones con el objeto de adecuarlo a la
normativa vigente.
En él aparece estructurada la dependencia funcional
de los principales órganos de control, de tal manera
que se garantizan la independencia y la cobertura de
todas las sociedades y líneas de negocio del grupo
susceptibles de verse implicadas en delitos de
blanqueo.
La estructura hasta inicios del 2015 era la siguiente:
6. Centro Superior de Estudios de Gestión
Máster Compliance Officer
Mod. Compliance Risks – Prof Hernan Huwyler
1
2 § 1 Mod CR HH
• El órgano de control interno, integrado en la
dirección general de asesoría jurídica, que tiene como
misión analizar, controlar y comunicar la información
relativa a las operaciones o hechos susceptibles de
estar relacionados con el blanqueo de capitales al
servicio ejecutivo del Banco de España.
• El departamento de prevención de blanqueo de
capitales, que depende jerárquicamente de la
dirección general de administración y operaciones y
funcionalmente del órgano de control interno. Este
departamento tiene como misión exclusiva la gestión
de las actividades dirigidas a la prevención de
blanqueo de capitales.
Reforzando la actividad de control, la dirección de
auditoria interna, lleva a cabo una labor de
supervisión permanente del conjunto de las
actividades que el grupo desarrolla en materia de
prevención de blanqueo de capitales.
En lo que se refiere a los mecanismos destinados a la
prevención del blanqueo, algunos de los más
importantes que se establecen a través del protocolo
son:
• Planes de formación y cursos especializados
dirigidos, tanto al personal propio del Grupo, como al
de la red de ventas externalizadas.
• Auditorías internas de cumplimiento anuales y
examen anual por experto externo de los
procedimientos y órganos de control en materia de
prevención de blanqueo de capitales y de la
financiación del terrorismo.
• Implementación de medidas preventivas de
control y examen de las operaciones a través del
departamento de prevención de blanqueo y del
órgano de control interno.
• Cumplimiento de las medidas orientadas a la
identificación de nuevos clientes y a la salvaguarda
de la confidencialidad. Estas medidas incluyen la
solicitud y análisis de escrituras de constitución,
información fiscal, escrituras de otorgamiento de
poderes e identificación de los apoderados. Si un
cliente se niega a entregar la información solicitada
en el protocolo, el departamento de prevención de
blanqueo analiza el expediente incompleto mientras
que se impide escriturar ninguna operación.
• Inclusión de un sistema de alertas automáticas en
el sistema informático, que limitan la posibilidad de
error humano en la detección de situaciones de
riesgo.
• Inclusión de cláusulas en los contratos con las
empresas de la red de ventas que obligan a éstas a
garantizar el correcto cumplimiento de la normativa
sobre prevención de blanqueo de capitales.
El departamento de prevención de blanqueo elabora
una newsletter trimestral para aquellos vinculados a
la gestión del riesgo como consejeros y directivos,
personal de la división de promoción y personal de
cada área de negocio. La newsletter comunica
novedades en materia de blanqueo y difunde la
importancia de cumplir con los procedimientos
establecidos.
7. Centro Superior de Estudios de Gestión
Máster Compliance Officer
Mod. Compliance Risks – Prof Hernan Huwyler
2
2 § 1 Mod CR HH
El departamento de prevención de blanqueo de
capitales elabora una memoria anual al cierre de
cada ejercicio, en la que se resumen las cuestiones
tratadas en las reuniones del órgano de control
interno, las estadísticas de su actividad, el grado de
cumplimiento del plan anual, la evaluación de
suficiencia de los recursos humanos y técnicos
asignados, las novedades legislativas del ejercicio, así
como el resultado de los informes de auditoría interna
y de experto externo y, en su caso, el nivel de
seguimiento de sus recomendaciones.
Además de la memoria, el departamento de
prevención de blanqueo elabora un plan anual al
principio de cada año. En él se evalúa la exposición al
riesgo, la previsión de incorporación o salida de
nuevas filiales del ámbito de actuación del órgano de
control interno.
Un experto externo examina anualmente los
procedimientos internos de prevención del blanqueo
de capitales y de la financiación del terrorismo. La
última revisión ha consistido en el seguimiento del
grado de cumplimiento de las recomendaciones del
informe anterior. El último informe indica que todas
las recomendaciones del año anterior han sido
remediadas.
PROTECCIÓN DE DATOS PERSONALES
El código de conducta de Sacyr pone especial énfasis
en garantizar la adecuada protección y custodia de los
datos personales confiados por clientes, proveedores,
empleados, instituciones y público en general. El
objetivo es garantizar la privacidad de estos datos,
haciendo una gestión de los mismos que se sitúe a la
altura de la confianza depositada en la compañía por
estos colectivos.
Sacyr y sus empleados se comprometen a observar
las normas de protección de datos personales
establecidas por las leyes y convenios internacionales
aplicables y a respetar de forma rigurosa los derechos
legítimos de los titulares de tales datos.
En todas las comunicaciones dirigidas a clientes
actuales y potenciales, el grupo habilita los medios
para garantizar el derecho de éstos a ejercer sus
derechos de acceso, rectificación, cancelación y
oposición respecto a los datos registrados
RIESGOS ADEMAS DE COMPLIANCE
Además de los riesgos de cumplimiento regulatorio
descritos, dentro de la política de control y gestión de
riesgos del Sacyr, se establecen mecanismos de
control y comunicación para otros riesgos:
• Riesgo de inadecuada adaptación al entorno.
• Riesgo de inadecuada gestión de los aspectos
relativos a la responsabilidad social y sostenibilidad,
así como de la imagen corporativa.
• Riesgos relacionados con el capital humano:
posicionamiento, capacitación, flexibilidad,
dependencia de personal clave y clima laboral.
• Riesgos financieros como de crédito, de tipo de
interés, de tipo de cambio y de liquidez.
• Riesgo de una inadecuada información para la toma
de decisiones.
• Riesgos relacionados con el área de tecnología y
sistemas de información: gestión de redes, seguridad
física y lógica, integridad de la información.
Sacyr tiene un fuerte compromiso con el medio
ambiente, que se traduce en numerosas iniciativas
para prevenir, disminuir o remediar los impactos
ambientales derivados de sus actividades. Llevar a
cabo estas actuaciones genera costes ambientales,
bien derivados de actuaciones voluntarias, bien por
aquellas requeridas por contrato o legislación de
carácter ambiental; pero siempre destinadas a
prevenir los impactos ambientales derivados de sus
actividades, o reducirlos, cuando no es posible
evitarlos.
PLANTEAMIENTO DEL CASO
A. La interacción entre áreas requirió modificaciones para mejorar su coordinación y eficacia a inicios del
2015. El órgano de control interno de prevención del blanqueo y su departamento fueron transferidos
funcionalmente a la unidad de cumplimiento normativo para aprovechar sinergias.
8. Centro Superior de Estudios de Gestión
Máster Compliance Officer
Mod. Compliance Risks – Prof Hernan Huwyler
1
2 § 1 Mod CR HH
B. El consorcio participado por Sacyr a cargo de la ampliación del Canal de Panamá fue denunciado
penalmente ante la justicia panameña por la posible estafa al estado. El grupo constructor reclamó a la
Autoridad del Canal de Panamá sobrecostes por valor de 3.5 k millones de dólares, cercano al valor original
del presupuesto de la obra. La denuncia penal argumentó que se presentado sobrecostes no justificados que
sin lugar a dudas ponen en escenario la posible estafa o su intento al erario público.
C. Sacyr ha sido nombrada en varios estudios 1
por la solvencia y transparencia de su sistema de prevención de
riesgos penales
DISCUSIÓN
A. Identifique las sinergias del cambio de línea de reportes sobre el área de blanqueo de capitales a inicios del
2015
B. Detecte debilidades de coordinación y costos en la organización de auditoria interna, compliance y legales de
Sacyr
C. Proponga alternativas de soluciones sobre gobierno corporativo para la coordinación de departamentos
efectuando el análisis de costes y beneficios de cada alternativa.
D. Recomiende una estrategia para integrar los riesgos de compliance incluyendo los penales dentro de un
sistema integrado
E. Evalúe el impacto y la probabilidad de la denuncia penal por sobreprecios del canal de Panamá
F. Justifique qué elementos del sistema de gestión de compliance de Sacyr permiten que obtenga una puntuación
elevada en los estudios sobre la función de cumplimiento en empresas del IBEX 35
NOTA
1
Fuente “Los programas de compliance en la RSC de las empresas cotizadas en España” CGA Abogados 2016; “Códigos éticos y
líneas rojas penales” Rivas y Asoc 2015
Comisión de auditoria
Unidad de
cumplimiento
normativo
Órgano de control
interno de prevención
del blanqueo de
capitales
Departamento de
prevención del
blanqueo
9. Centro Superior de Estudios de Gestión
Máster Compliance Officer
Mod. Compliance Risks – Prof Hernan Huwyler
2
2 § 1 Mod CR HH
El presente caso de estudio ha sido elaborado en base a información pública suministrada por Sacyr para diferentes
destinatarios desde 2011. El caso tiene fines solamente académicos y no puede reproducirse fuera de la Universidad
Complutense de Madrid y su centro superior de estudios de gestión.