Presentación sobre cómo generar un mapa de riesgos penales y mapa de riesgos de compliance como parte de un programa de compliance.
La presentación trata los siguientes temas: identificación de riesgos, política de control y gestión de riesgos, manual de prevención de delitos en cumplimiento del código penal Español, modelo de prevención del delito, comité de cumplimiento, mapa de riesgos penales, políticas de actuación, actividades de riesgos, conductas delictivas, identificar los riesgos relevantes, efectividad de los controles adoptados para mitigar riesgos de compliance, unidad de cumplimiento normativo, tolerancia al riesgo, riesgo aceptable, artículo 31 bis,metodología COSO, cualitativo, cuantitativo
De interés para España, Argentina, Chile, y Mexico
Los principales marcos de referencia: COSO, framework, OECG Capability Model,
Programa de compliance: cómo obtener recursos, planificar acciones y presupuesto
La definición de métricas e indicadores para medir la eficacia de los controles
La operación del programa y la monitorización de controles. La obtención de pruebas de cumplimiento. Los informes y el report del estado del programa y sus controles.GRC Capability Model 3.0 (Red Book) - OCEG
Cuantificación del riesgo de Compliance: Recomendaciones y alternativas a lo...Hernan Huwyler, MBA CPA
El ponente, a través de esta sesión, propondrá el uso de una metodología alternativa para medir y evaluar los riesgos de compliance y superar estas limitaciones. En este sentido, explicará una herramienta simplificada para cuantificar riesgos de compliance y riesgos contractuales (riesgos legales) sobre diferentes escenarios y basado en simulaciones de Monte Carlo. Además, realizará algunas recomendaciones sobre como orientar la identificación y medición de riesgos de compliance sobre la ISO 31000 y la futura ISO 31022 sobre riesgos legales. Este conocimiento supone un avance en la gestión de Compliance en las organizaciones y en la madurez de las herramientas de gestión de riesgos, dentro y fuera de la función de Compliance.
Se trata por tanto de una metodología de evaluación del riesgo que rompe con las tradicionales metodologías basadas en medición de impacto y probabilidades, y que puede por tanto tener un impacto profundo en el diseño de los programas de ética y compliance, y también en la defensa de las acciones llevadas a cabo por los compliance officer.
Building an Effective Compliance Program
Implementando y gestionando el programa de compliance
Measuring Effectiveness
Medicion de indicadores de compliance
Benchmarks and measurable goals
Presentación para implementar un plan de compliance Cómo diseñar e implementar un Programa de Prevención de Delitos: cumpliendo con las exigencias del Código Penal
• Cómo debe implementarse un Programa de Prevención de Delitos.
Alcance mínimo y mejores prácticas • Cuáles son las distintas fases de implementación
> Alcance y estrategias de organización según la cultura y la madurez del control interno. Estructura y dependencia
> Orientación de recursos según los distintos riesgos identificados en un mapa de riesgos penales
> Prácticas y medidas eficientes de prevención en políticas y
protocolos de delegación de autoridad
> Debido control ante riesgos y fraudes frecuentes
> Prácticas de documentación de los controles del programa
> Reporte de riesgos y faltas a comités
> Monitoreo del programa y de nuevos riesgos
• Cómo incorporar e integrar en el Código Ético los siguientes
ítems: canal de denuncia, código financiero, prevención de corrupción, información privilegiada, delitos contra el mercado, poderes y protección del medio ambiente
Los principales marcos de referencia: COSO, framework, OECG Capability Model,
Programa de compliance: cómo obtener recursos, planificar acciones y presupuesto
La definición de métricas e indicadores para medir la eficacia de los controles
La operación del programa y la monitorización de controles. La obtención de pruebas de cumplimiento. Los informes y el report del estado del programa y sus controles.GRC Capability Model 3.0 (Red Book) - OCEG
Cuantificación del riesgo de Compliance: Recomendaciones y alternativas a lo...Hernan Huwyler, MBA CPA
El ponente, a través de esta sesión, propondrá el uso de una metodología alternativa para medir y evaluar los riesgos de compliance y superar estas limitaciones. En este sentido, explicará una herramienta simplificada para cuantificar riesgos de compliance y riesgos contractuales (riesgos legales) sobre diferentes escenarios y basado en simulaciones de Monte Carlo. Además, realizará algunas recomendaciones sobre como orientar la identificación y medición de riesgos de compliance sobre la ISO 31000 y la futura ISO 31022 sobre riesgos legales. Este conocimiento supone un avance en la gestión de Compliance en las organizaciones y en la madurez de las herramientas de gestión de riesgos, dentro y fuera de la función de Compliance.
Se trata por tanto de una metodología de evaluación del riesgo que rompe con las tradicionales metodologías basadas en medición de impacto y probabilidades, y que puede por tanto tener un impacto profundo en el diseño de los programas de ética y compliance, y también en la defensa de las acciones llevadas a cabo por los compliance officer.
Building an Effective Compliance Program
Implementando y gestionando el programa de compliance
Measuring Effectiveness
Medicion de indicadores de compliance
Benchmarks and measurable goals
Presentación para implementar un plan de compliance Cómo diseñar e implementar un Programa de Prevención de Delitos: cumpliendo con las exigencias del Código Penal
• Cómo debe implementarse un Programa de Prevención de Delitos.
Alcance mínimo y mejores prácticas • Cuáles son las distintas fases de implementación
> Alcance y estrategias de organización según la cultura y la madurez del control interno. Estructura y dependencia
> Orientación de recursos según los distintos riesgos identificados en un mapa de riesgos penales
> Prácticas y medidas eficientes de prevención en políticas y
protocolos de delegación de autoridad
> Debido control ante riesgos y fraudes frecuentes
> Prácticas de documentación de los controles del programa
> Reporte de riesgos y faltas a comités
> Monitoreo del programa y de nuevos riesgos
• Cómo incorporar e integrar en el Código Ético los siguientes
ítems: canal de denuncia, código financiero, prevención de corrupción, información privilegiada, delitos contra el mercado, poderes y protección del medio ambiente
This guideline takes you through a step-by-step guide on how to conduct a money laundering business risk assessment. The slides consider each core division of an aml risk assessment.
¿Qué es ISO 37001 2016 y para qué sirve?DQS de México
La norma ISO 37001 fue publicada en octubre de 2016; la cual está diseñada para ayudar a una organización a implementar y mantener un sistema anti-corrupción pro activo. La norma, que remplaza al estándar británico 10500, proporciona una serie de requerimientos que representan las buenas prácticas reconocidas mundialmente
para la lucha contra la corrupción.
Third-Party Risk Management: Implementing a StrategyNICSA
Two Part Series: Part I of II
Third-Party Risk Management: Implementing a Strategy
Sleep Better at Night: Learn techniques to manage risks associated with third-party relationships.
C-Suite’s Guide to Enterprise Risk Management and Emerging RisksAronson LLC
Significant opportunities remain for organizations to continue to strengthen their approaches to identifying and assessing key risks. This program will provide an overview of Enterprise Risk Management (ERM) best practices and current emerging risks that should be on your radar for 2018.
Watch the complete webinar here: https://aronsonllc.com/c-suites-guide-to-enterprise-risk-management-and-emerging-risks/?sf_data=all&_sft_insight-type=on-demand-webinar
The underlying premise of enterprise risk management is that the Company exists to provide value for its stakeholders – customers, employees, and shareholders. Like any business, every Company faces some uncertainty, and the challenge for management is to determine how much uncertainty to accept as it strives to grow stakeholder value. Uncertainty presents both risk and opportunity, with the potential to erode or enhance value. Enterprise risk management enables senior management to effectively deal with uncertainty and associated risk and opportunity, enhancing the capacity to build value. Value is maximized when management sets strategy and objectives to strike an optimal balance between growth and return goals and related risks, and efficiently and effectively deploys resources in pursuit of the entity’s objectives. These capabilities inherent in enterprise risk management help management achieve the Company’s performance and profitability targets, and minimize loss of resources. Enterprise risk management helps ensure effective reporting and compliance with laws and regulations, and helps avoid damage to the Company’s reputation and associated consequences. In sum, enterprise risk management helps the Company get to where it wants to go and avoid pitfalls and surprises along the way. Enterprise risk management encompasses:
• Aligning Risk Appetite and Strategy
• Enhancing Risk Response Decisions
• Reducing Operational Surprises and Losses
• Identifying and Managing Multiple and Cross-Enterprise Risks
• Seizing Opportunities
• Improving Deployment of Capital
• Leveraging Talent, Structure, Process, and Capital
CEI Compliance is the UK's fastest growing regulatory consultancy and provides associate opportunities to consultants and cost effective value to financial services and other regulated companies.
We show you the methodology for conducting the Compliance Risk Assessment and how to provide meaningful action plans.
A robust risk assessment process is central to maintaining a strong Anti-Money Laundering (AML) compliance program. In this new Accenture presentation we explore how financial services firms can set-up an effective process. Visit our fraud and financial crime blog post for more on AML risk assessment program: http://bit.ly/2aPlQQ7
INTEGRACION DE RIESGOS DE IT Y RIESGOS OPERACIONALESFabián Descalzo
Disertación brindada en el VII Foro Anual Gestión Integral de Riesgos Corporativos, sobre el impacto de la tecnología en los procesos de negocio, como parte fundamental a tener en cuenta en la evaluación del riesgo operacional. Temario:
1. Definición y alcance del riesgo operacional
2. Importancia de un marco metodológico adecuado
3. Interrelación entre áreas, diseñando la operación
4. Asociación de los procesos con la tecnología
4. Modelo MAGERIT para la gestión de riesgos
5. Conclusiones
AML and Compliance Analytics
- A Disrupting Technology for Compliance
- A New Approach to Mitigating Risk
- The Latest Tool for the Chief Compliance Officer
On December 5, 2013, Ron Steinkamp, principal, government advisory services at Brown Smith Wallace, presented at the 2013 MIS Training Institute Governance, Risk & Compliance Conference. Ron focused on the following keys to fraud prevention, detection and reporting:
1. Anti-fraud culture
2. Fraud policy
3. Fraud awareness/training
4. Hotline
5. Assess fraud risks
6. Review/investigation
7. Improved controls
Presentación master de compliance con estudios de riesgos de cumplimiento normativo. Técnicas, procedimientos y propuestas para gestionar riesgos de incumplimientos y normativos en las empresas alineadas a los estándares de la ISO 31000 y COSO ERM. Metodologías para la identificación de riesgos de compliance (riesgos de incumplimiento o compliance risks) para sostener el corporate defense. Factores a tener en cuenta en la valoración del impacto y la probabilidad. Por Hernan Huwyler
Mapping Compliance Risks - Criminal Liability of Legal Persons - Mapa de Ries...Hernan Huwyler, MBA CPA
Universidad Complutense de Madrid UCM - Corporate Compliance
Mapa de riesgos de compliance art 31 bis,
¿Cómo efectuar un mapa de riesgos para el modelo de prevención de delitos?
Identificación, mapeo y priorización de riesgos penales y de compliance
Identificación de procesos y revisión de los controles existentes
Consenso de planes de acción
This guideline takes you through a step-by-step guide on how to conduct a money laundering business risk assessment. The slides consider each core division of an aml risk assessment.
¿Qué es ISO 37001 2016 y para qué sirve?DQS de México
La norma ISO 37001 fue publicada en octubre de 2016; la cual está diseñada para ayudar a una organización a implementar y mantener un sistema anti-corrupción pro activo. La norma, que remplaza al estándar británico 10500, proporciona una serie de requerimientos que representan las buenas prácticas reconocidas mundialmente
para la lucha contra la corrupción.
Third-Party Risk Management: Implementing a StrategyNICSA
Two Part Series: Part I of II
Third-Party Risk Management: Implementing a Strategy
Sleep Better at Night: Learn techniques to manage risks associated with third-party relationships.
C-Suite’s Guide to Enterprise Risk Management and Emerging RisksAronson LLC
Significant opportunities remain for organizations to continue to strengthen their approaches to identifying and assessing key risks. This program will provide an overview of Enterprise Risk Management (ERM) best practices and current emerging risks that should be on your radar for 2018.
Watch the complete webinar here: https://aronsonllc.com/c-suites-guide-to-enterprise-risk-management-and-emerging-risks/?sf_data=all&_sft_insight-type=on-demand-webinar
The underlying premise of enterprise risk management is that the Company exists to provide value for its stakeholders – customers, employees, and shareholders. Like any business, every Company faces some uncertainty, and the challenge for management is to determine how much uncertainty to accept as it strives to grow stakeholder value. Uncertainty presents both risk and opportunity, with the potential to erode or enhance value. Enterprise risk management enables senior management to effectively deal with uncertainty and associated risk and opportunity, enhancing the capacity to build value. Value is maximized when management sets strategy and objectives to strike an optimal balance between growth and return goals and related risks, and efficiently and effectively deploys resources in pursuit of the entity’s objectives. These capabilities inherent in enterprise risk management help management achieve the Company’s performance and profitability targets, and minimize loss of resources. Enterprise risk management helps ensure effective reporting and compliance with laws and regulations, and helps avoid damage to the Company’s reputation and associated consequences. In sum, enterprise risk management helps the Company get to where it wants to go and avoid pitfalls and surprises along the way. Enterprise risk management encompasses:
• Aligning Risk Appetite and Strategy
• Enhancing Risk Response Decisions
• Reducing Operational Surprises and Losses
• Identifying and Managing Multiple and Cross-Enterprise Risks
• Seizing Opportunities
• Improving Deployment of Capital
• Leveraging Talent, Structure, Process, and Capital
CEI Compliance is the UK's fastest growing regulatory consultancy and provides associate opportunities to consultants and cost effective value to financial services and other regulated companies.
We show you the methodology for conducting the Compliance Risk Assessment and how to provide meaningful action plans.
A robust risk assessment process is central to maintaining a strong Anti-Money Laundering (AML) compliance program. In this new Accenture presentation we explore how financial services firms can set-up an effective process. Visit our fraud and financial crime blog post for more on AML risk assessment program: http://bit.ly/2aPlQQ7
INTEGRACION DE RIESGOS DE IT Y RIESGOS OPERACIONALESFabián Descalzo
Disertación brindada en el VII Foro Anual Gestión Integral de Riesgos Corporativos, sobre el impacto de la tecnología en los procesos de negocio, como parte fundamental a tener en cuenta en la evaluación del riesgo operacional. Temario:
1. Definición y alcance del riesgo operacional
2. Importancia de un marco metodológico adecuado
3. Interrelación entre áreas, diseñando la operación
4. Asociación de los procesos con la tecnología
4. Modelo MAGERIT para la gestión de riesgos
5. Conclusiones
AML and Compliance Analytics
- A Disrupting Technology for Compliance
- A New Approach to Mitigating Risk
- The Latest Tool for the Chief Compliance Officer
On December 5, 2013, Ron Steinkamp, principal, government advisory services at Brown Smith Wallace, presented at the 2013 MIS Training Institute Governance, Risk & Compliance Conference. Ron focused on the following keys to fraud prevention, detection and reporting:
1. Anti-fraud culture
2. Fraud policy
3. Fraud awareness/training
4. Hotline
5. Assess fraud risks
6. Review/investigation
7. Improved controls
Presentación master de compliance con estudios de riesgos de cumplimiento normativo. Técnicas, procedimientos y propuestas para gestionar riesgos de incumplimientos y normativos en las empresas alineadas a los estándares de la ISO 31000 y COSO ERM. Metodologías para la identificación de riesgos de compliance (riesgos de incumplimiento o compliance risks) para sostener el corporate defense. Factores a tener en cuenta en la valoración del impacto y la probabilidad. Por Hernan Huwyler
Mapping Compliance Risks - Criminal Liability of Legal Persons - Mapa de Ries...Hernan Huwyler, MBA CPA
Universidad Complutense de Madrid UCM - Corporate Compliance
Mapa de riesgos de compliance art 31 bis,
¿Cómo efectuar un mapa de riesgos para el modelo de prevención de delitos?
Identificación, mapeo y priorización de riesgos penales y de compliance
Identificación de procesos y revisión de los controles existentes
Consenso de planes de acción
Responsabilidad Penal Corporativa - Programa de Prevención de Delitos - Como ...Hernan Huwyler, MBA CPA
Responsabilidad Penal Corporativa - Programa de Prevención de Delitos - Como Implementarlo
Incluyendo:
- Compliance Program
- Reforma del Código Penal
- Funciones del Compliance Officer
- Delitos que deben ser prevenidos
- Gestión de los recursos financieros
- La responsabilidad penal de las personas físicas
- Representantes legales o administradores
- Observancia del modelo de prevención
- Ideas, respuestas, herramientas, recetas y motivación
- Órgano de la persona jurídica con poderes autónomos
- Regulación del código penal para las personas jurídicas
- Responsabilidad de los administradores
- Asesoramiento especializado en prevención
- Circunstancias atenuantes de la responsabilidad penal
Compliance management systems: cómo establecer procedimientos y medidas de control para supervisar, gestionar y monitorizar el cumplimiento normativo • Risk Assessment: cómo evaluar las vulnerabilidades legales en
materia de cumplimiento normativo de cada una de las áreas de la organización
> Claves para la identificación de los riesgos
> Cómo determinar los objetivos de Compliance y alinearlos con la estrategia empresarial
• Creación de nuevas políticas y códigos de conducta
> El código ético como base para el resto de políticas: claves para su diseño y redacción
> Aspectos a tener en cuenta para lograr una articulación de políticas: claves para la priorización de normas
• Difusión del sistema: qué instrumentos son los más adecuados para asegurar que los empleados conocen y entienden qué se espera de ellos
> Ámbito legal. Cómo acreditar el conocimiento y aceptación por parte de los empleados
> Ámbito cultural. Cómo incentivar y premiar el cambio de conductas
> Auditorías periódicas de revisión del comportamiento profesional: cómo articular un sistema disciplinario
• Documentación del modelo.
Cómo asegurar la trazabilidad de las medidas adoptadas de cara a un hipotético proceso judicial como Corporate Defense
• Certificación del sistema: qué certificaciones y estándares son los más aceptados a nivel jurídico
• Auditoría Externas: cuándo y cómo deben encargarse y realizarse
• Los “Compliance Ambassadors”. Cómo gestionar y construir una red de colaboradores en departamentos y sucursales
• Gestión de incidencias Compliance de compras: ¿cómo
cuantificar los riesgos asociados a las relaciones comerciales con proveedores de productos y servicios?
• Procedimientos para la Due Diligence del proveedor: ¿cómo implantar un sistema de “Know Your Supplier”?
• Qué elementos se deben tener en cuenta en una auditoría de socios, contratos y joint ventures • Compliance de contratos: políticas de control de los procesos de adquisición de bienes y servicios
Hernan Huwyler
Dirección de Control Interno
y Gestión de Riesgos
VEOLIA
Integración del riesgo de cumplimiento (compliance risk) al sistema integral de riesgos de la empresa sobre gobierno corporativo, gestión de riesgos y compliance (GRC). “Assertions” en Compliance Riesgos penales
Tras la entrada en vigor de la Ley Orgánica 5/2010, se está desarrollado un sistema de gestión de riesgos, control interno y cumplimiento normativo que le permite minimizar los posibles riesgos penales, implementando medidas tendentes a la prevención, detección e investigación.
Obtaining resources, planning actions, and budgeting are essential for any organization's successful compliance management. Compliance management is the practice of ensuring that a company adheres to regulatory requirements and internal policies. This summary will explore key considerations for planning compliance initiatives, evaluating regulatory requirements, stakeholder needs, and developing a timeline of activities. It will also cover how to detect corruption and fraud schemes, control representation expenses, and prevent over-invoicing. Finally, we will discuss fraud impact and controls and how to demonstrate the return on investment in compliance.
To begin with, it is crucial to obtain resources to initiate compliance management. The compliance team should have adequate resources to ensure that the organization is compliant with regulatory requirements. The resources should include trained personnel, financial resources, software, and hardware, among others. After obtaining resources, the next step is planning actions and budgeting. Planning should involve various stakeholders and departmental heads to ensure that all areas of the organization are covered. Planning actions and budgeting should include developing a compliance plan, identifying potential compliance risks, and developing mitigation strategies.
While planning compliance initiatives, it is essential to evaluate the regulatory horizon, stakeholder needs, open items, and new strategies. The regulatory horizon involves understanding the regulatory landscape, identifying new regulations, and monitoring the existing ones. Stakeholder needs involve understanding the needs of all stakeholders, including shareholders, customers, and employees. Open items are compliance issues that are unresolved, and new strategies are measures that an organization intends to take to comply with regulations.
Developing a timeline of activities to address certifications and audit needs is critical. A timeline helps to ensure that an organization is compliant with regulations within the stipulated timeline. The timeline should involve developing a compliance plan, identifying potential compliance risks, and developing mitigation strategies. It should also include training employees on compliance, conducting regular internal audits, and reviewing the compliance plan to ensure that it is up to date.
Demonstrating the return on investment in compliance is essential. A return on investment (ROI) helps to justify the resources that an organization invests in compliance. Demonstrating ROI involves identifying the costs of compliance management, such as personnel, software, and hardware costs. It also involves identifying the benefits of compliance management, such as reducing the risk of regulatory fines and reputation damage.
Cómo considerar el riesgo legal y quién debe medirlo: claves para el análisis y la repartición de responsabilidades en cuanto al control seguimiento y reporting. Cómo establecer una política para la evaluación del riesgo legal: Hasta dónde valorar y qué nivel de riesgo tolerar. Claves para establecer Medidas Mitigadoras (PTA/deadline) para la gestión Integral del riesgo Legal
Compliance risk is the risk of failing to comply with laws, regulations, standards, and guidelines that organizations are subject to. Noncompliance risks can lead to legal, financial, and reputational consequences. Compliance officers play a critical role in identifying, assessing, and managing compliance risks. Compliance risks can also present opportunities for organizations to improve their practices, enhance their reputation, and gain a competitive advantage.
ISO 37301 is a standard that provides guidance on compliance management systems. The standard defines compliance risk as the risk of noncompliance with laws, regulations, and other requirements that an organization is obligated to comply with. Compliance risks can arise from internal and external factors, such as changes in laws and regulations, new business operations, third-party relationships, and cultural differences. ISO 37301 emphasizes the importance of managing compliance risks through a systematic and proactive approach that includes risk assessment, risk treatment, monitoring, and review.
Compliance officers serve as trusted advisors to senior management and provide guidance and support in compliance planning and decision-making. Compliance officers need to have a deep understanding of the organization's operations, risks, and culture to identify and manage compliance risks effectively. Compliance officers should also have strong communication and interpersonal skills to build relationships with stakeholders, including senior management, employees, regulators, and other external parties.
The level of compliance risk varies depending on the nature, complexity, and scale of an organization's operations. Compliance risks can be classified into three levels: low, medium, and high. Low-risk compliance activities are routine and have little impact on the organization's operations or reputation. Medium-risk compliance activities are more complex and involve higher stakes, such as regulatory compliance, data privacy, and anti-corruption. High-risk compliance activities involve significant legal, financial, and reputational consequences, such as anti-money laundering, anti-bribery, and sanctions compliance.
Compliance risks can also present opportunities for organizations to improve their practices, enhance their reputation, and gain a competitive advantage. For example, a company that implements strong data privacy practices can enhance customer trust and loyalty. A company that complies with anti-corruption laws can reduce legal and reputational risks and attract socially responsible investors. Compliance officers should work with senior management to identify and leverage compliance risks as opportunities to create value for the organization.
Compliance risk, noncompliance, ISO 37301, compliance officer, trusted advisor, risk level, opportunities, regulatory risks, obligations, ethical risks, inherent risks, residual risks, risk-taking, tolerance, control level, sustainability
Compliance risk is the risk of failing to comply with laws, regulations, standards, and guidelines that organizations are subject to. Noncompliance risks can lead to legal, financial, and reputational consequences. Compliance officers play a critical role in identifying, assessing, and managing compliance risks. Compliance risks can also present opportunities for organizations to improve their practices, enhance their reputation, and gain a competitive advantage.
ISO 37301 is a standard that provides guidance on compliance management systems. The standard defines compliance risk as the risk of noncompliance with laws, regulations, and other requirements that an organization is obligated to comply with. Compliance risks can arise from internal and external factors, such as changes in laws and regulations, new business operations, third-party relationships, and cultural differences. ISO 37301 emphasizes the importance of managing compliance risks through a systematic and proactive approach that includes risk assessment, risk treatment, monitoring, and review.
Compliance officers serve as trusted advisors to senior management and provide guidance and support in compliance planning and decision-making. Compliance officers need to have a deep understanding of the organization's operations, risks, and culture to identify and manage compliance risks effectively. Compliance officers should also have strong communication and interpersonal skills to build relationships with stakeholders, including senior management, employees, regulators, and other external parties.
The level of compliance risk varies depending on the nature, complexity, and scale of an organization's operations. Compliance risks can be classified into three levels: low, medium, and high. Low-risk compliance activities are routine and have little impact on the organization's operations or reputation. Medium-risk compliance activities are more complex and involve higher stakes, such as regulatory compliance, data privacy, and anti-corruption. High-risk compliance activities involve significant legal, financial, and reputational consequences, such as anti-money laundering, anti-bribery, and sanctions compliance.
Compliance risks can also present opportunities for organizations to improve their practices, enhance their reputation, and gain a competitive advantage. For example, a company that implements strong data privacy practices can enhance customer trust and loyalty. A company that complies with anti-corruption laws can reduce legal and reputational risks and attract socially responsible investors. Compliance officers should work with senior management to identify and leverage compliance risks as opportunities to create value for the organization.
Compliance risk, noncompliance, ISO 37301, compliance officer, trusted advisor, risk level, opportunities, regulatory risks, obligations, ethical risks, inherent risks, residual risks, risk-taking, tolerance, control level, sustainability
Compliance CEF - Curso Monográfico de Compliance Officer Curso Monográfico de Compliance Officer
Hernan Huwyler – 8 de Junio 2016
Compliance en España, Integración Sistema Normativo
SICOF - El presente documento ha sido preparado por la subdirección de Metodologías e
Instrumentos de Supervisión y no debe ser utilizado para cualquier fin distinto a
servir como material informativo. Asimismo, busca orientar al público en general
sobre Subsistema de Administración del Riesgo de Corrupción, Opacidad Y
Fraude (SICOF) de acuerdo con la Circular Externa 20211700000005-5 de 2021.
El mismo, no constituye un concepto, interpretación, o alcance de las normas en él
contenidas.
Gestión Integral de Riesgos operativos TIC en el mundo real - Arsys - CIO Dir...Arsys
arsys.es ha colaborado con la primera conferencia de CIO Directions celebrada en España, que ha tenido lugar el 30 de septiembre de 2010, en Madrid.
Olof Sandstrom, Director General de Operaciones de Arsys, ha impartido la ponencia “Gestión Integral de Riesgos operativos TIC en el mundo real”. En esta ponencia, Sandstrom repasa el nuevo entorno tecnológico de las empresas, cuya actividad puede llegar a paralizarse si sus herramientas TIC no están operativas, y evalúa los principales ejes del riesgo operacional, con nuevos paradigmas y los distintos escenarios a la hora de gestionar el riesgo tecnológico a los que se enfrentan las compañías actualmente.
CIO Directions es una iniciativa promovida por la firma de investigación de mercado IDC y el grupo editorial IDG para que los directivos puedan analizar la realidad tecnológica de las organizaciones y valorar los principales desafíos TIC a corto y medio plazo.
Overview of the potential risks and challenges associated with the development and deployment of AI systems, as well as the recommended controls and best practices to mitigate them. The presentation covers the following topics:
Design risks: These are the risks related to the design and specification of the AI system, such as lack of clarity, alignment, or validation of the objectives, assumptions, or constraints of the system. Some of the factors that contribute to these risks are:
Inadequate or ambiguous problem definition
Unrealistic or conflicting expectations or requirements
Insufficient or inappropriate testing or evaluation methods
Lack of transparency or explainability of the system’s logic or behavior
Some of the recommended controls for these risks are:
Define the problem and the scope of the system clearly and explicitly
Involve relevant stakeholders and experts in the design process
Use appropriate methods and metrics to test and evaluate the system’s performance and robustness
Document and communicate the system’s objectives, assumptions, limitations, and uncertainties
Provide mechanisms to explain or justify the system’s outputs or decisions
Data risks: These are the risks related to the data used to train, test, or operate the AI system, such as data quality, availability, security, or privacy issues. Some of the factors that contribute to these risks are:
Incomplete, inaccurate, or outdated data
Biased, unrepresentative, or irrelevant data
Unauthorized access, modification, or disclosure of data
Violation of data protection laws or ethical principles
Some of the recommended controls for these risks are:
Collect, store, and manage data in a secure and compliant manner
Ensure data quality, validity, and reliability through data cleaning, verification, and auditing
Ensure data diversity, representativeness, and relevance through data sampling, augmentation, and analysis
Protect data privacy and confidentiality through data anonymization, encryption, or aggregation
Respect data rights and consent of data subjects and providers
Operation risks: These are the risks related to the operation and maintenance of the AI system, such as system failure, malfunction, or misuse. Some of the factors that contribute to these risks are:
Hardware or software errors or defects
Environmental or contextual changes or uncertainties
Adversarial or malicious attacks or manipulations
Unintended or harmful consequences or impacts
Some of the recommended controls for these risks are:
Monitor and update the system regularly and proactively
Adapt and calibrate the system to changing or uncertain conditions or scenarios
Detect and prevent potential threats or vulnerabilities
Asociacion Profesionistas de Compliance - Initiatives to Reduce the Cost of C...Hernan Huwyler, MBA CPA
Prof. Hernan Huwyler's slideshare discusses in detail five key actions that organizations can take to reduce compliance costs. These actions are designed to help organizations increase their compliance efficiency, reduce compliance risks, and lower compliance costs.
The first action proposed by Prof. Hernan Huwyler is to designate local managers as compliance representatives in business units. This helps to amplify control while reducing the compliance function's structure. By designating local managers as compliance representatives, organizations can have a more effective compliance structure with fewer resources. Local managers can act as compliance ambassadors and help ensure that the organization's compliance policies and procedures are followed in their business units.
The second action proposed is to quantify compliance risks and price potential claims, compensations, fraud, and revenue losses due to noncompliance. By quantifying compliance risks, organizations can better understand the potential costs of non-compliance and allocate resources accordingly. This can also help organizations prioritize their compliance efforts and ensure that they are focusing on the most significant compliance risks.
The third action is to assign the testing of compliance controls to process owners and outsourcing service providers. This helps to distribute the responsibility for compliance testing and can reduce the workload of the compliance function. By assigning compliance testing to process owners, organizations can ensure that compliance controls are tested regularly, and issues are identified and addressed promptly.
The fourth action proposed is to embed efficient controls in clearly articulated procedures. By embedding controls in procedures, organizations can ensure that compliance requirements are met consistently and effectively. Efficient controls can help organizations streamline compliance processes and reduce compliance costs.
Finally, the fifth action is to add requirements for compliance skills when recruiting legal and financial managers in business units. This helps to ensure that compliance is a consideration when recruiting new managers. By ensuring that managers have the necessary compliance skills, organizations can better integrate compliance into their business operations and reduce the risk of non-compliance.
In addition to these five actions, the slideshare also suggests other recommendations, such as delegating compliance consultations, audits, and due diligence, benchmarking the scope of risk assessments, and implementing policies to simplify wording and articulation of procedures. Additionally, the slideshare recommends coordinating actions with business units to assess, implement, measure, and reward cost reduction initiatives. By following these recommendations, organizations can reduce their compliance costs while maintaining effective compliance programs.
This Slideshare presentation by Professor Hernan Huwyler discusses a model to quantify compliance, legal, and contractual risks. It highlights the importance of understanding the impact of uncertainty on objectives and identifies mandatory and voluntary compliance objectives. The presentation discusses different techniques to quantify risks, such as heatmaps, risk matrices, common malpractice, scores, and escalation matrices, and the problems with these techniques, such as biases, incomplete data, and aggregation issues. The presentation proposes a compliance risk modeling approach, which involves understanding the distribution of events, consequences, impact, causes, and frequency of risks. It suggests using different probability distributions, such as log-normal, Pareto, normal, Poisson, Bernoulli, and triangular, to model risks. The presentation also discusses the chain of events that can lead to different types of losses, including penalties, compensations, fines, sanctions, legal and remediation costs, loss of customers, marketing depreciation, loss of licenses, and stock price. It explains different techniques to model losses, such as graphs, decision trees, Monte Carlo simulations, and calibrated estimates. Finally, the presentation highlights the importance of using different sources of risk data, including internal and external data, paid compensations, fines, and credits, fraud losses, legal fees, and complaints, and industry studies, enforcement trackers, and case analysis. It also provides examples of business cases related to compliance objectives and contractual clauses that set penalties for non-compliance. The presentation concludes with a demo of the proposed model to quantify compliance, legal, and contractual risks.
The summary is about an upcoming Safety Roundtable event on the topic of "Ditch your heat maps" presented by Professor Hernan Huwyler, MBA CPA. The event aims to help attendees transform their approach to safety risk management by moving away from subjective measures such as colours, adjectives, and heat maps, and instead focusing on a data-driven model to quantify and manage operational risks.
The event emphasizes the importance of using data and financial information to inform decision making in order to minimize biases and justify investments. Attendees will gain insights on a quantitative model that will help them measure, visualize, and manage operational risks, as well as tips to reduce risk, enhance insurance and protection, and control investment.
The event is relevant to anyone interested in risk management, insurance, and safety, and aligns with ISO 31000, the international standard for risk management. The event includes a Q&A session at the end, providing attendees with the opportunity to ask questions and share their perspectives.
Overall, the Safety Roundtable event promises to be a valuable opportunity to learn from Professor Hernan Huwyler's insights, network with other professionals interested in risk management, and gain practical knowledge on how to improve safety risk management practices using a data-driven approach.
Support Ukraine from compliance 🇺🇦 Join our free special webinar to get practical tips on how to
- adjust due diligence to address new global sanctions, export controls, and trade restrictions
- identify third parties, beneficial owners, shell companies, and assets related to Russia and Belarus
- activate exit plans and force major clauses
- address changes in the expectations of stakeholders to cancel operations, payments, financing, investing, and partnerships
- apply measures to support affected employees and the Ukrainian people
- prepare for possible Russian cyber and commercial attacks
👉 Enroll the webinar for free https://lnkd.in/gJR27Dci
#compliance #export #russianthreat #ukraine #complianceofficer #riskmanagement #sanctions #UkrainiansWillResist #business #investment #corporateresponsibility #businessethics #HR #people #investing #payments #payments #cyber #webinar
Minimising Privacy Risk from A Global DPO Perspective https://www.copenhagencompliance.com/2021/dpoday/agenda.htmlDPO, CISO, Controller or Processor? – (And the Risk Of Mixing Roles)
Minimising the Aggregate Privacy Risk Vs Contract Sharing
Using A Data Processor Modular DPIA And Data Flow
Leveraging Binding Corporate Rules as Data Processor
Prof. Hernan Huwyler, CPA, MBA
Master in Sustainability Leadership Sustainability Risks Prof Hernan HuwylerHernan Huwyler, MBA CPA
Course on sustainability risk management for the Master in Sustainability and Corporate Social Responsibility Leadership at the Universidad Complutense de Madrid. I will provide the students with tips, tools, and models to assess and manage operational, compliance, integrity, governance, solvency, profitability environmental, climate change, and supply chain risks as part of a sustainability and social responsibility program.
Respond to new ALM obligations
Identify the key compliance changes for scope, subjects and operations
Facilitate the design and execution of compliance checks on payment methods and the use of virtual currencies
Evaluate gaps in processes to update controls and procedures
Consider the impact on corporate criminal liability using the new ISOs 37301 and 37002
Register virtual asset service providers
Assess new compliance and operational risks
Identify scenarios of risks and vulnerabilities on new crime typologies
Prevent risks of anonymous transfers and the use of prepaid cards
Manage risks on high value operations and art trade
Integrate risks to know your customer and money laundering
Detect and report suspected operations
Compare control practices regarding new requirements
Update the decision matrices on alerts
Adjust customer due diligence process
Implement the use of the lists of politically exposed persons
Report discrepancies with the public register of effective owners
Implementation of new technologies
Evaluate the prerequisites regarding quality of data and capabilities for compliance solutions
Evaluate solutions to automate and digitize processes related to robotics
Use machine learning applications for reporting suspicious transactions
Recommend practices for implementing analytics solutions on text and data
I am invited to speak at the Iberoamerican Compliance Conference hosted by the Universidad Complutense de Madrid (Argentina + web, Jun 29/Jun 1, Spanish). I will deliver a master class on quantitative vs. qualitative assessments of compliance risks. It will be exciting to meet great compliance colleagues and friends as Zulma Escalante, Eduardo Navarro Villaverde, Javier Puyol Montero, Silvina Bacigalupo, Daiana C., Carlos J. Díaz Navarrete, Félix Pablo Crous, Lic. Graciela Garay, Macarena Retamosa, Miguel Soler Ruiz-Boada, Nieves Cifuentes Valero, Sebastian Daniel Barletta, virginia olivieri and other fellows.
https://lnkd.in/e_qfztj
Register https://lnkd.in/e-iAMgM
#compliance #riskmanagement #ECI2021 #ECIArgentina2021 #UCM
ARENA - Prof Hernan Huwyler - Debate Is Machine Learning Mature Enough?Hernan Huwyler, MBA CPA
I am excited to discuss how organizations need to be prepared before implementing machine learning with Jason Maude at the Machine Learning in Financial Services event hosted by Arena International Events Group (June 30, online). We will provide recommendations to develop the conditions to successfully implement artificial intelligence projects. Thanks to Rebecca Mayoh for the event coordination.
Join here https://lnkd.in/ec6qP4A
#machinelearning #compliance
I am writing an article on the most common challenges to comply with the #ISO37301 for the IE Law School. What are the elements of your compliance management system that you plan to improve?
#compliance
I enjoyed presenting on effective controls for software development with Matthew Crabbe and QA Financial. I am pushing the concept of "cyber compliance" to define internal and external requirements for IT assets such as software, data, hardware, services, contracts, and licenses. Cyber compliance is rapidly expanding from licenses, privacy and contracts with IT vendors to outsourcing, software development and business continuity of essential services providers, cloud in particular.
#riskmanagement #compliance #itcontrol #CISO #cybersecurity
My classes on IT risk management. Recommendations do you expect to cover in a course on IT risk management and governance?
#riskmanagement #risk #governance #cybersecurity #security #informationsecurity #ciso #ITgovernance #ITRIsk #cyberrisk
Stronger 2021 Building the Blocks to Quantify Cyber Risks - Prof hernan huwylerHernan Huwyler, MBA CPA
I am honored and humbled to have been given the opportunity to discuss practices to address cyber risks at the 2021 STRONGER conference hosted by CyberSaint Security (Sep 28, online). I will discuss the building blocks to quantify and communicate risks to protect IT assets, processes, and services. Thanks to Ethan Bresnahan for the flawless preparation of the event.
You are welcome to register here https://lnkd.in/eitKYDsX
#cybersecurity #security #datasecurity #infosec #riskmanagement #ciso #stronger2021
Learn how to design, implement. operate and certify a compliance program under the new ISO 37301. Join the IE Law School professors, Alvaro Arjona l Ph.D, Jesica Hita Ruiz, Fabio G. Pérez-Bryan and me, to get a toolbox with facilitators, guidance, reference policies, checklist and other practical references.
8 modules - 12 hours - Sept 27th and 28th - Online
- Requirements, terms scope, elements and certification and consultancy market
- Practical impact. main changes, benchmark, and introduced components
- Adequacy for criminal law compliance in Spain (UNE 19601) and in LatAm
- Processes from risk analysis to reporting and evaluation
- Implementation of requirements
- Recommendations and facilitators for implementation.
- Roadmap with evidence to certify
- Documentation review program for implementation assurance
- Methodology for testing compliance controls and documentation reviews
Thanks to Sibel Abdulovska, Paula Abascal Gutierrez-Colomer and Maria Serrano for the flawless coordination of the course.
Lean more: https://lnkd.in/gezyzmgn
#ISO37301 #CCO #compliance #audit #certification #ISO37002
It was a pleasure to moderate a workshop to assess cyber security risks hosted by Strategy Insights. We discussed options and practices to quantify confidentiality, integrity, and availability risks with delegates of the big players in the pharma, banking, retailing, and service sectors in the Nordics.
Thanks to Anna Rose Poyntz, Finlay Wilson, and Edgar Baier for the event coordination.
Round tables https://lnkd.in/e_m5eTW5
#cybersecurity #compliance #strategy #banking #ciso #riskmanagement
More than 121 governance specialists joined Copenhagen Compliance, GRC and GDPR Solutions to discuss how boards are addressing innovation and transformation challenges. I provided tips for board members to effectively deal with digital transformation.
Thanks to Kersi Porbunderwala and Olga Maitland for the coordination of the event.
Join the next event on corporate culture https://lnkd.in/eMg4anP3
#digitaltransformation #innovation #transformation #leadership #CorpGov #corporategovernance
"Our risk models cannot be better than the data. We, risk managers, love building models, however, we find validating data boring...as boring as wiping our , but as necessary as wiping our "
I enjoyed discussing practicalities for ensuring data quality with 50 risk managers in an event hosted by Josef Oehmen, DTU - Technical University of Denmark RiskLab and Universiteit Twente.
Smart questions from the participants on the rollout of data-driven techniques and the ethical considerations in using machine learning for decision-making.
#data #datamanagement #quality #riskmanagement
Entre las novedades introducidas por el Código Aduanero (Ley 22415 y Normas complementarias), quizás la más importante es el articulado referido a la determinación del Valor Imponible de Exportación; es decir la base sobre la que el exportador calcula el pago de los derechos de exportación.
Guía para hacer un Plan de Negocio para tu emprendimiento.pdfpppilarparedespampin
Esta Guía te ayudará a hacer un Plan de Negocio para tu emprendimiento. Con todo lo necesario para estructurar tu proyecto: desde Marketing hasta Finanzas, lo imprescindible para presentar tu idea. Con esta guía te será muy fácil convencer a tus inversores y lograr la financiación que necesitas.
Anna Lucia Alfaro Dardón, Harvard MPA/ID.
Opportunities, constraints and challenges for the development of the small and medium enterprise (SME) sector in Central America, with an analytical study of the SME sector in Nicaragua. - focused on the current supply and demand gap for credit and financial services.
Anna Lucía Alfaro Dardón
Dr. Ivan Alfaro
PREVENCION DELITOS RELACIONADOS COM INT.pptxjohnsegura13
Concientizar y sensibilizar a los funcionarios, sobre la importancia de promover la seguridad en sus operaciones de comercio internacional, mediante la unificación de criterios relacionados con la trazabilidad de sus operaciones.
Informe del banco centra de Honduras trabajo de estudiantes
Compliance Risk Map Mapa de Riesgos Penales para Compliance Officer
1. Master Compliance Officer
Master en Responsabilidad Social y Sustentabilidad
Mapa de Riesgos de Compliance
Prof. Hernan Huwyler, CPA MBA – 20, 21 y 22 Diciembre 2016
11. Riesgo
Efecto de la incertidumbre sobre
la consecución de los objetivos
La incertidumbre es la falta de
información
Puede generar riesgos per se
(no deseados) y oportunidades
(deseadas)
Expectativa conocida y a cierto
horizonte de futuro que puede o
no puede
Los riesgos calculados
optimizan el rendimiento para
cierto capital (tolerancia)
Cumplimiento de las
expectativas de los grupos de
interés
El ambiente condiciona las
decisiones de los órganos
gerenciales la empresa
La ley y la ética limitan las
decisiones para hacerlas
sustentables
Su incumplimiento tiene
consecuencias: multa,
sanciones e impacto
reputacional
Compliance
¿Qué investigaremos?
Riesgo Compliance
12. Alcance: del riesgo penal al moral
21 delitos del código penal
extensibles a la persona legal
Recursos y urgencia
Etapa de educación (y
aprendizaje del compliance
officer)
El “compliance de papel”
Externo:
- Otros delitos (mobbing,
seguridad laboral)
- Regulaciones (cotizantes sobre
la normativa del mercado de
valores)
- Auto regulaciones
- Ley, estatuto trabajadores
- ISOs
Interno
- Políticas y procedimientos
- Compromisos
Compliance con las expectativas
de los grupos de interés
Decisiones de negocios basada
en valores corporativos
(tendencia en cómo reclutamos)
Retorno del gasto de compliance
Sostenibilidad y rentabilidad
Excelencia de servicio,
diferenciador, cultura corporativa
Art 31 bis Compliance Ética
14. Compliance como una
obligación de
maquillar los
procedimientos…
… o un motivo para
comunicar prácticas
de negocios en una cultura
ética, prevenir el fraude y
mejorar márgenes al
accionista
16. Compliance Risks
Riesgo de sufrir….
- pérdidas financieras
(sanciones, multas, reputacional)
… por incumplimiento de…
- leyes, regulaciones y normativas
externas
- políticas internas
- ética
Consecuencia
Impacto de riesgos
Plan de contingencia, protocolo de
actuación (comité de crisis
Causa
Frecuencia de riesgos
Plan de prevención del compliance
plan ) & corporate defense
17. Consecuencia
Legales: multas y sanciones
Regulatorias
Litigios
Reputacionales: pérdida de
contratos y clientes
Pérdida económica
Imposibilidad de operar o contratar
Moral de empleados
De oportunidad de negocios
Impairment de intangibles
Causa
Imposibilidad de cumplir con
Leyes
Regulaciones
Auto-regulaciones
Código de conducta
Buenas prácticas
Compromisos
Principios de negocios y valores
Expectativas de grupos interés:
inversores, clientes, empleados y
proveedores
Compliance Risks
18. Consecuencia
Reacción y corrección
Gestión de incidencias
Generación de evidencia
Lobby con reguladores
Investigación
Involucramiento del ExCom
Causa
Prevención y detección
Gestión del riesgo de compliance
Sistema normativo
Hotline
Protocolo de actuación
Entrenamiento
KPIs / KRIs del plan de compliance
Compliance audits
Mejora continua
Compliance Risks
19. Integración de elementos
Simple y práctico
ISO o COSO
Apoyo de alta dirección
Componentes:
- Política de riesgos
- Nombramientos
- Organización
- Presupuestos
- Plan de trabajo
Identificación
Análisis
Priorización
Tratamiento
Monitoreo
Niveles de gestión de riesgos
21. Universo de Riesgos
Contra el Patrimonio
- Estafas y fraudes
- Insolvencias
punibles
- Daños informáticos
/ hacking
- Contra la propiedad
intelectual
- Contra el mercado
- Revelación de
secretos
- Facturación
fraudulenta
- Falsedad en
medios de pago
Contra el Fisco
- Contra la
Hacienda Pública y
la Seguridad Social
- Blanqueo de
capitales
- Ciertos casos de
contrabando
Contra la Seguridad
Pública
- Contra la salud
pública
- Construcción ilegal
- Contra el medio
ambiente
- Relativos a la
energía nuclear y a
las radiaciones
- De riesgo
provocado por
explosivos
- Tráfico de drogas
- Contra la intimidad
y allanamiento
informático
Contra la ética
- Corrupción
privada: relativos a
la corrupción en los
negocios
- Cohecho: dádivas
y sobornos a
funcionarios públicos
- Corrupción de
funcionario extranjero
- Tráfico de
influencias
-Financiación ilegal
de partidos políticos
- Acoso laboral
- Información
privilegiada
- Delitos contra la
intimidad
22. Universo de Riesgos
Contra el Patrimonio
CFO
CIO
CISO
Data Protection
Officer
Contra el Fisco
Head of Tax
Contra la Seguridad
Pública
COO
HS&E
Contra la ética
CEO
Compliance
Auditoria Interna
Dir. Comercial
Unidad de Cumplimiento
Legales
Corporate Defense
ExCom
23. Corrupción pública o
privada
Abuso del mercado
Mapa de Riesgos - Ejemplo
Brindar servicioGeneración contrato Facturación Cobro
Fraude a seguridad social Fraude fiscal
Falsedad de medio de
pago
Blanqueo de capitales
Entrega de sobornos
Acuerdos de precios
Simulación laboral Deducciones indebidas Lavado de dinero
24. Mapa de Riesgos - Ejemplo
Entrega de sobornos
Acuerdos de precios
Simulación laboral Deducciones indebidas Lavado de dinero
Control de revisión de
cuentas de gtos
representación
Política antitrust
Control aprobación de
cálculo fiscal
Control cruzado Tax vs.
Payroll
Control aprobación de
cálculo fiscal
Know Your Customer
Comercial Tax + Payroll Tax Gestión de clientes
Tesorería
Reforzar: Business
Intelligence
Reforzar: Auditoria
Fiscal
25. Alcance del Mapa
¿Nos quedamos solamente dentro de España?
- Filiales internacionales y otras sociedades subholdings
- Joint ventures
- Descentralización de funciones ejecutivas (ExComs por país)
¿Incluimos solamente los delitos atribuibles a
una persona jurídica?
- Ley del mercado de valores
- Ley de trasparencia
- FCPA
- Leyes similares en el mundo (ej. Europa (-DE), US, y
Chile)
- Legal + Ético (nuestra forma de hacer negocios)
¿Podremos sumar este trabajo a otra iniciativa en curso?
- Departamento de riesgos
- Departamento de Prevención del Fraude
- Auditoria interna (riesgos sobre procesos e investigación de fraudes)
- Departamento de compliance
28. Top
Down
Bottom
Up
Registro
Riesgos
Alcance del Mapa
• Formularios
• Preguntas del tipo ¿Tiene medidas para evitar la corrupción?
¿Qué que son efectivas? ¿Supervisa el riesgo de corrupción?
¿Ha tenido incidentes?
• Sesgo en la definición previa y selección de destinatarios, poco
sinceras, interpretativas, cualitativas para el mapa
• Entrevistas personales
• Ambiente sincero y de guía al dueño del riesgo
• Permiten un análisis cuantitativo
• Sesgo del dueño de riesgo: ilusión de control, de punto ciego y
deformación profesional, heurística de disponibilidad, anclaje
• Workshops
• Consenso y diálogo top/dueño del riesgo
• Sesgo de efecto Moises
• Guerras de poder
• Inteligencia previa en compliance risks (desktop research)
• Análisis de juicios en curso y finalizados, multas,
reportes de inspecciones y auditorias, contingencias
contabilizadas, ejemplos de otras empresas,
especialistas
• Su uso extremo es el sistema de “scoring”
31. FCPA
Protección de
activos
Antitrust Insider trading Privacidad
Controles de
exportación
Retención de
documentación
Seguridad de
información
Compensaciones
y bonos
Reporte
Sarbanes Oxley HSE
Discriminación y
acoso laboral
Integridad
financiera
Contratos con el
gobierno
Propiedad
intelectual
Uso de tecnología
3rd Party
management
Prácticas
comerciales
Ética
Taxonomía Compliance
Normas
voluntarias
34. Mapa de Riesgos
Riesgos de Fraude
Riesgos de
Compliance Penal
Actividades
reactivas de
investigación y
disciplina
Actividades
proactivas de
prevención y
control
35. Mapa de Riesgos
1 Identificar riesgos
2 Evaluación de
impacto y frecuencia
Eventos que afectar los
riegos del universo de
compliance
Impacto: costo más probable
de no- compliance
Frecuencia : probabilidad de
darse los factores de riesgos
al momento del análisis en un
horizonte de tiempo
3 Priorización de
riesgos
Criterio para decidir que
eventos son más críticos de
controlar (mapa)
4 Planes de
mitigación
Seguimiento del progreso de
los planes de acción
Reevaluación frecuente
Alta criticidad
Seguimiento
Watch-List
Criticidad
36. Nro y Título
Registro de riesgos
Resumen de la consecuencia POR la causa
Descripción ¿Cómo ocurría el delito (o incumplimiento) en la empresa? ¿Qué norma se incumple?
Factores de riesgos ¿Qué condiciones deben darse para que se materialice el delito?
Empresa/Proceso ¿Dónde afecta el delito? ¿Dónde ocurren las transacciones afectadas/expuestas? ¿Tipo de
riesgo?
Controles actuales ¿Qué hacemos actualmente para prevenir el delito?
Impacto ¿Cuánto afecta en la cuenta de resultados antes de impuestos cada delito?
37. Frecuencia
Registro de riesgos
¿Qué cantidad de delitos espero ocurran en cierto horizonte de tiempo?
¿Qué estadística interna o externa tengo sobre los eventos?
3er variable: velocidad, nivel de control, personas afectadas, formalizado
Propietario ¿Quién es el principal dueño del objetivo afectado por un delito? Un sólo “doliente”
Auditoria ¿Qué monitoreo lleva el compliance officer?
Plan de acción
Para los que trato, ¿qué pasos y cuando voy pienso agregar controles? ¿en curso,
cerrado?
KRI ¿Qué tan pronto preveo que evolucione la exposición?
Debo hacer que el dueño de riesgo cuente una historia lógica (del inicio al final). Es natural comenzar con
impacto y luego con la frecuencia. Se puede usar MS Excel (con macro para reporte) o un software de
administrador de flujos). Los datos se revisan en una entrevista sobre riesgos y se aprueban. Modelo común al
resto de los riesgos y que integre los elementos de GRC.
39. Ej. Software con impactos múltiples
Compliance es también un tipo de impacto de riesgos operativos. Para poder detectar estos casos sin duplicar
esfuerzos y garantizar la integridad de la identificación de riesgos en los procesos de inicio a fin, el registro de
riesgos debe ser único y debe poder filtrarse. Esto permite al consejo tomar decisiones estratégicas.
El registro de riesgos es un canal de diálogo entre los dueños de riesgos, compliance, auditoria interna,
prevensión y otros departamentos de soporte.
42. Créditos por llevar bien los
riesgos de compliance
99% del compliance officer
1% del software
43. Aún no se creó ningún software
que compense la falta de talento
de un compliance officer
44. Mapa de Riesgos - Impacto
Multa en proporción al daño/cuantía del delito
Disolución de la persona jurídica
Suspensión de sus actividades
Clausura de sus locales
Prohibición temporal o definitiva de realizar las actividades en cuyo
ejercicio se haya cometido el delito
Inhabilitación para obtener subvenciones y ayudas públicas, para contratar
con el sector público y para gozar de beneficios e incentivos fiscales
Intervención judicial para salvaguardar los derechos de los trabajadores o de
los acreedores
Socios Inocentes
Respecto a los efectos colaterales o consecuencias a pagar por terceros incluyendo el impacto en los
trabajadores, el efecto negativo se paliaría con la posibilidad que tienen los socios inocentes de
reclamar posteriormente a los administradores la acción de responsabilidad socia
45. Directas e inmediatas
• Pérdida por defraudación
• Ineficiencias y/o discontinuidad de operaciones
Directas y mediatas
• Indemnizaciones a terceros
• Multas y sanciones
Indirectas
• Costo de investigación
• Ajustes fiscales
Reputacionales
• Pérdida de competitividad, moral, clientes, socios, licencias, y contratos
• Pérdida del valor de mercado
Mapa de Riesgos - Impacto
46. Área Riesgo legal Regulación /
Ley
Área
Funcion
al
Impacto Frec. Score Contro
l
Clasif.
ImpactoPrácticasdecomercioexterior
Sobornos en el
extranjero
FCPA Foreign
Corrupt
Protection Act
Ventas 5 1 5 4 Reputacional
Aduanas Leyes
aduaneras
Ventas 1 3 3 2 Operacional
Control de
exportaciones
OFAC Office of
Foreign Assets
Controls
Ventas 2 2 4 5 Operacional
Exportaciones de
productos con
doble uso
Reg. UE
428/2009
Ventas 4 4 16 5 Operacional
Boycott no
sancionado a un
país extranjero
Anti-Boycott Act Ventas 2 2 4 4 Operacional
Exp/Imp de
químicos
peligrosos
Reg. UE
649/2012
Ventas 3 4 12 1 Operacional
…. … … ….
47. Score 1 2 3 4 5
Multas, daños e
indemnizaciones
< 1% de las
ventas
1% al 3% de las
ventas
3% al 5% de las
ventas
5% al 10% de
las ventas
> 10% de las
ventas
Reputacional
Sin exposición
o daño
Impacto negativo
localizado pero
recuperable
Cobertura en
medios o
reguladores
local
Cobertura en
medios o
reguladores
nacional
Cobertura
sustancial en
medios o
reguladores
nacional
Operacional
Sin pérdida de
negocios u
operaciones
Visible pero
gestionable
fácilmente
Daños a
clientes o
grupos de
interés
Impacto severo
a la
performance
Impacto
catastrófico a la
BU
Mapa de Riesgos - Impacto
48. Mapa de Riesgos - Frecuencia
Score 1 2 3 4 5
Descripción Casi imposible Rara Posible
Incidentes
aislados
Incidentes
repetitivos
Tiempo
< Una vez
cada 5 años
< Una vez cada
año Una vez al año
Una vez al mes
Una vez a la
semana
Probabilidad < 1% 1% al 5% 5% al 10% 10% al 20% > 20%
49. Mapa de riesgos y la 3er variable
• Velocidad del Riesgo: Tiempo entre el evento de riesgo y
tener que pagar el impacto (ej. tiempo en aplicar una multa
por el regulador). Beneficio: priorizar acciones
• Duración del Riesgo: Persistencia del riesgo en el tiempo
(ej. inspecciones largas).
• Nivel de Control: Posibilidad que gestión para disminuir el
impacto o la frecuencia del riesgo (ej. proceso ya
documentado). Beneficio: margen de reducción
• Grado de Entendimiento: Seguridad en valuar el impacto
y la frecuencia (ej. riesgos emergentes)
La 3er variable siempre está
contemplada en impacto o
frecuencia
53. Riesgo Impacto k€ Frecuencia 3
años
Criticidad
Exposición
Velocidad Control
1Falsedad documental contable 300 20% 60 A A
2Fraude a hacienda 200 20% 40 M M
3Corrupción a funcionarios
públicos
60 50% 30 M A
4Blanqueo de capitales 30 50% 15 M M
5Falsificación de tarjetas de
crédito y cheques
15 100% 15 A M
6Fraude en seguridad social 40 30% 12 A M
7Cohecho 100 10% 10 A M
8Fraude en subensiones y ayudas 60 10% 6 M M
9Abuso de información
privilegiada
40 10% 4 A M
10Financiamiento de partidos
políticos
20 10% 2 B B
11Corrupción entre particulares 20 10% 2 M A
12Asociación ilícita 20 5% 1 M M
13Tráfico de influencias 10 10% 1 M B
Ejemplo cuantitativo
56. Valuación financiera del impacto
Escenario base
Escenario
base
Escenarios
promedios
Peor Esc + Mejor Esc
2
Escenarios
triangulados
Peor Esc + Esc Base * 3 + Mejor Esc
5
Montecarlo Software
1
2
3
+10k
. E1
. E2
. En
57. Riesgo inherente y riesgo residual
Probabilidad
Impacto
Aclarar al dueño del
riesgo si hablas del
inherente o residual
Riesgo propio de una actividad
sin ningún control
Decisión para la cual
construimos el mapa
Asegura la mejora contínua de
los controles
58. Seguros
Outsourcing
Cláusulas de
responsabilidad a
terceros
Transferir
Dejar de efectuar la
actividad que afecta la
sustentabilidad
Terminar
Monitorear
frecuenmente
para asegurar
sigan en “lo
verde”
Tolerar
Aplico controles
preventivos y
correctivos
Tratar
Plan de
Prevención
Plan de
Contingencia
Decisiones 4 Ts
Prevención
CoCo y políticas
Separación de funciones
Autorizaciones
Formación, checklists
Monitoreo y supervisión
Corporate defense como
eximente
Contingencia
Protocolo de crisis
Reporte a autoridades (ej.
fuga de información personal)
Investigación del canal de
denuncia
Procedimiento de
disciplina
Cisnes negros:
eventos remotos e
impredecibles con un
efecto mayor
59. Controles
• Mapa de riesgos con planes de acción
• Políticas con controles preventivos (aprobaciones, SoD, manuales y automáticos,
ambiente/ciclos)
• Entrenamiento y difusión
Prevención
• Compliance audits (propias o de reguladores)
• Revisión de litigios, seguros, sanciones y reclamos
• Análisis de denuncias Compiance Help Line
Detección
• Protocolo de disciplina
• Comunicación de fraudes
• Denuncias a la justicia
Respuesta
• Monitoreo del modelo de prevención de delitos
• Actualización del modelo
Supervisión y monitoreo
60. Frecuencia
Impacto
Amenazas a la continuidad
de la empresa y su
sustentabilidad a largo plaza
Pérdidas operativas
producidas por muchos
errores pequeños
Incidentes con un daño
material pero no rutinarios
Estrategia y operaciones
61. ¿Cuántas vacas se me escapan del
campo si no tendría ninguna cerca?
Riesgo inherente
Análisis teórico y no orientado a tomar
decisiones
Relacionado con el impacto y frecuencia del
máximo peor escenario donde todos los
controles fallan o no existen
Ninguna actividad carece de controles,
especialmente de alto nivel (ambiente de
control) como un presupuesto o el código de
conducta
Vinculado a auditoria y seguros (“el mundo
colapsaría sin nuestros servicios”)
Riesgos no es el impacto y la frecuencia de un
único escenario sino de todos ,con muchas
potenciales estadísticas
¿Qué beneficia a mi empresa priorizar riesgos
inherentes?
62. Alternativa sin impacto ni frecuencia
Baja Media Alta
Prioridad
Delitos improbables
en la actividad en
la actividad de la
empresa
Fuera del alcance
de los empleados
Delitos que pueden darse en la actividad de
la empresa
Empleados con conocimiento y alcance para
cometerlos
Baja ganancia para
el empleado
Alta ganancia para
el empleado
Limite: Más vinculado al impacto que a la frecuencia
(ej. que lo puedan cometerer 2 empleados es igual que todos)
64. COSO ERM
¿Cómo identifico eventos?
Universo de eventos
Análisis de flujos de procesos
Análisis de información histórica
de la empresa y sector
Indicadores de excepción
Entrevistas y workshops grupales
guiadas por facilitadores
¿Cómo evalúo eventos?
Por el impacto y probabilidad
inherente y residual
¿Cómo respondo a riesgos?
4 Ts
65. Compliance de tolerancia
cero
Tolerancia cero al riesgo de
incumplimiento legal o de
inseguridad de empleados,
formalizado en el código de
ético
Enfoque moral: siempre
cumplimos la ética y la ley
Compliance basada en
riesgos
Sentido de racionalidad
económica sobre controles al
riesgo de fraude, es irrealista
reducir la corrupción y los
ilícitos a cero incidentes
Enfoque pro-negocios:
obtenemos ganancias porque
asumimos riesgos
Tolerancia al riesgo en compliance
Compliance solo funciona en dos lugares:
en el cielo dónde no la necesitan y en el
infierno dónde ya la tienen
66. Tolerancia al riesgo en compliance
• La tolerancia al riesgo de compliance la determina el consejo al:
• asignar presupuesto, información y poder político a la función del
compliance officer (en muchos casos impulsados por las multas de un
regulador y el coste percibido por los incumplimientos)
• determinar los factores sobre los que incentiva las remuneraciones
(motivando actuaciones éticas y sustentables)
• tomar decisiones que balancean performance y valores
El riesgo de compliance debe tener la misma medición que los demás como
el financiero o el estratégico porque toman la capacidad de riesgo común de
la empresa y deben gestionarse en conjunto
La tolerancia al riesgo depende de la cultura y la presión comercial de una
empresa
67. Tolerancia al riesgo en compliance
• Los empleados deben cumplir con
toda la normativa legal y los
procedimientos internos
• La empresa mantiene la tolerancia
cero frente a la corrupción en todas
sus formas, incluyendo a
proveedores y terceras
• La empresa no tiene tolerancia frente al fraude
• Terminamos con riesgos individuales con una
exposición mayor a €200k al año
• Disminuir las multas del regulador a €200k
• Mantener el nivel de satisfactorio las
inspecciones laborales
• No recibir reajustes impositivos de auditorias
68. No instalamos frenos en los coches para
ir más despacio, sino para poder
movernos más rápido
69. Mapa de Riesgos – Alternativa
Puntaje Interno
Fraude
- Operativo
- Contable
Corrupción
Daños
Informáticos
….
Calidad de
Controles
Documen-
tación
Entrena-
miento
Centrali-
zación
Sistema de Puntos
1 a 5
Medidas Efectivas a Inefectivas
Respaldado por Director de Área
Puede ser ponderado (ventas de la unidad, número
de empleados,…)
70. Planes de Acción
Exposición a un delito
tomando en cuenta los
controles actuales
Medidas a implementar Recursos a asignar
Controles
Políticas
Sistemas
Conocimiento
Autoridad
Coordinación política
entre departamentos
Presupuesto con
responsable, tiempo e
indicadores
Cargos
71. Herramienta CASE
C Consequence
A Assets at Risk
S Source
E Event
Perder ventajas competitivas
…. “sobre” …
la propiedad de información sensitiva
…. “debido al” …
espionaje industrial de nuestros
competidores
…. “al” …
sufrir un ataque a servidores inseguros
72. Herramienta Bowtie
Proceso de negocios Objetivos
Causas
Prevención
Consecuencias
Impacto
Riesgo
Factores humanos,
procesos, equipos,
materiales, ambiente,
gestión
Financieras
Compliance
Operativas
Estratégicas
Indicadores de Riesgos
Árbol de Fallos Árbol de Impactos
3 Líneas de Defensa
políticas sobre
actividades
73. Herramienta Bowtie
Riesgo
Eventos desencadenante
Causa
Probilidad
Evento positivo o
negativo
Consecuencia
Impacto
Eventos contingentes
Como resultado que…. Hay un riesgo que…. Que puede resultar en…
Deben ocurrir con certeza
para materializar el
riesgo, pero no sabemos
cuando
Evento de riesgo que
puede o no puede pasar
impactando en resultados
Eventos que hacen que
perdamos el objetivo y
cuando se materializa el
riesgo
Una falla en el testeo de
calidad del producto
produce un
incumplimiento de
contratos con clientes
generaría costes
adicionales y dañaría la
reputación
74. Reportes al ExCom
Mapa de Riesgos
Penales
Por Áreas
Por País
Por Año
Seguimiento de Planes
de Acción
Planes
Presupuestos
Grado de Avance
Indicadores de Riesgos
Claves (KRIs) Penales
Ejemplos:
Multas por Revenue
Multas por Volumen
Denuncias por
Empleado
Fraude por Empleado
% Completar Cierto
Programa Educativo
75. Key Risk Indicator en Compliance
Objetivo
¡Factor de
riesgo!
Tolerancia
Key Risk
Indicator
Key Performance
Indicator
76. Key Risk Indicators en Compliance
• Un Key Performance Indicator mide la eficiencia pasada de compliance
• Medimos la cantidad de eventos materializados y pérdidas
• % multas sobre ventas, contingencias legales sobre ventas, número de
procesos con no-conformidades sobre el total auditado, número de
denuncias anuales en el canal por empleado
• Un Key Risk Indicator predice si nos acercamos a un factor de riesgo
• Medimos el movimiento de los factores de riesgos (ej. proyectando
tendencias) para cambiar estrategias. Los vinculamos a las red flags.
• Variación interanual de multas/contigencias/reviones/ajustes fiscales
• % empleados de compliance sobre empleados totales
• % de rotación no deseada de empleados
• número de cambios de versiones de políticas sobre el total
• % de órdenes de compras con disputas con proveedores
• % empleados formados sobre cierto riesgo de compliance
• % ventas a clientes públicos/extranjeros
77. Conducir un departamento de compliance
sin KRIs es como conducir un coche solo
mirando el espejo retrovisor
78. ¿Cómo podemos fracasar?
• No logra poner el riesgo legal en la agenda de la alta dirección
• Carece de recursos y autoridad en la unidad de cumplimiento para construir
la cultura de “tolerancia cero”
• Carece del liderazgo y entusiasmo para permear los controles dentro de la
organización
• Mantiene su el mapa de riesgos y los controles “en silos”
• No logra hacer que sea una herramienta de gestión (por ejemplo,
terciarizando)
• No logra orientar los recursos a los riesgos relevantes
• Tiene objetivos no alineados a la madurez de la organización
• No aprence ni mejora de los fallos y nuevos riesgos
Hacer fácil lo difícil
Si compliance…
79. Modelo de Madurez
1
Ad hoc
2
Fragmentado
3
Definido
4
Maduro
5
Optimizado
Los riesgos de
compliance se
identifican sin un
reporte formal ni en
forma regular.
Los empleados están
informados de algunos
riesgos de
compliance,
principalmente de
políticas.
Una política de gestión
de riesgos incluye a
los de compliance
para su identificación,
evaluación y reporte.
Existe un universo de
riesgos común.
La política de riesgos
abarca toda la
empresa y el registro
de riesgos tiene un
uso dinámico
Coordinación total y
continua de esfuerzos
entre compliance y
auditoria interna. Los
riesgos de compliance
se ajustan a cada
jurisdicción.
No se documenta el
análisis de riesgos.
Se analizan riesgos de
compliance en forma
regular, pero en
algunas instancias,
principalmente por el
compliance officer.
El análisis de riesgos
de incumplimientos se
desarrolla bajo un
modelo dado como
- ISO 31000
- COSO ERM
- OECD Anti
corrupción.
Todos los riesgos se
analizan al menos
anualmente, así como
los planes de acción.
El departamento de
auditoria interna y
compliance auditan y
supervisan.
El comité ejecutivo y
el de riesgos se
involucran en los
riesgos estratégicos y
de impacto
reputacional.
Monitoreo automático
a través de alarmas.
Se reporta al consejo
el mapa de riesgos
anual.
Los resultados de la
gestión de riesgos se
informan a varios
comités, incluyendo
los indicadores de
riesgos KRIs
El reporte de riesgos
se automatiza en
herramientas de GRC.
80. La cultura organizacional requiere tiempo en
madurar. La función de compliance debe
adecuarse al estado actual pero tener la
visión sobre qué va a construir en el futuro.
81. Riesgos en Due Diligence
• Estrategia de go-to market:
sobre qué clientes y países
operar
Tolerancia
• Cantidad y tipo de 3P
• Disponibilidad de recursos
• Separar la profundidad
de la revisión por el nivel
de riesgo de cada grupo
Política
• Revisión de
documentación, cruce
informados y aprobación
de contratos por
segmentos
• Aprobación por:
• B Gerente comercial
local
• M Compliance officer
regional
• A Compliance officer
central
• Refuerzos M y A :
• Cláusulas especiales
• Mejora de controles
internos
• Auditorias
específicas
• Prohibiciones
(usualmente en tipo
de pagos o servicios)
Green light
• Seguimiento de métricas y
alarmas según el riesgo de
la 3P
• Cruces frecuentes con
informados
• Revisión que hayan dado
cierta formación dentro de
la 3P
• Auditorias especiales sobre
el cumplimento de
condiciones y términos
claves
• Investigación de prácticas
comerciales inusuales
Monitoreo
82. El importante saber lo que sabemos…
…. pero más importante aún es saber lo que no sabemos.
83. Impacto
reputacional
Disminución de ganancias
o aumento de costes por
una pérdida de la
confianza de los grupos de
interés.
Destrucción del valor de
los intangibles.
Asociada a la ética y a una
falta penal de la empresa.
84. Riesgos o impactos sobre reputación
• Reputación como riesgo de 2do nivel
• Impacto reputacional como consecuencia de un
riesgo operativo o de compliance anterior
• Estrategia defensiva: plan de acción como
respuesta a un riesgo de pérdida de credibilidad
• Dueños del riesgo operativo o de compliance
• Escenarios: interrupción de servicio, faltas de
servicio y testeo de calidad, corrupción, fiscales,
compliance, medio ambiental y fuga de datos
• Fácilmente entendibles y gestionables por los
dueños del riesgo
Impacto reputacional
• Reputación como riesgo de 1er nivel
• Riesgo reputacional como categoría separada de
riesgos
• Estrategia de crecimiento: objetivo futuro de la
reputación
• Involucra además a sectores de RSC,
comunicación y relación con inversores
• Escenarios: ataques injustificados a la reputación
sin que haya un riesgo operativo presente (riesgo
político o de competencia)
• Dificultad de gestionar la reputación como un
elemento separado
Riesgo reputacional
85. Reputación
Valor adicional por generar
oportunidades de negocio con los
grupos de interés.
Intangible → generar dinero de palabras
Ventaja competitiva →
Reguladores que bajen observaciones
Empleados motivados y atraen talento
Clientes y proveedores fieles
Vinculado a la innovación y a las
acciones pasadas.
La información pública se
gestiona.
86. Impacto reputacional
Multas, sanciones, coste forense
Incremento de litigios
Coste de normalizar relaciones
externas y cultura interna
Coste de disminución de precios
Gestión con un protocolo de
crisis y acciones de
responsabilidad social
87. Bajo
Actividad no regulada
Impacto limitado en
volumen de financiero
afectado, número de
clientes y quejas de
usuarios
Respuesta rápida para
contener el impacto
Controles efectivos para
evitar exposición pública
Los grupos de interés
conocen y esperan este
riesgo
Se tratan mejorando la
cultura de compliance
Medio
Los dueños de los riesgos
pueden responder
adecuadamente a los
cambios regulatorios
Los controles son
generalmente efectivos
Afectados no rápidamente
comunicados por social
media
Se tratan con prevención o
contingencia del riesgo
operativo en concreto
Alto
Escrutinio público y del
regulador
Controles generalmente
inefectivos
Los grupos de interés no
fueron comunicados del
riesgo
Los gerentes no tienen
flexibilidad para adecuarse
a las regulaciones y
expectativas
Afectan a muchos clientes
relevantes
Se tratan con el protocolo
de crisis
Niveles de Impacto Reputacional
Valor intangible con impactos tangibles
88. JPMorgan Chase & Co.'s Involvement in
China
Embraer's Involvement in Multiple Countries
from 2005 to 2011
GlaxoSmithKline's Involvement in China
between 2010 and 2013
Och-Ziff Capital Management Group LLC's
Involvement in Africa from 2005 to 2015
Impacto Reputacional Valor de cotización – Mayores 4 casos FCPA en 2016
89. Lo que el Compliance Officer dice
Nuestro programa de
cumplimiento es clave para
asegurar a seguir para los
riesgos de compliance y la
obtención al largo
plazo.
la línea
de resultados
90. … y lo que el directorio escucha
Bla bla bla bla bla bla bla bla bla
bla bla bla bla bla bla bla bla bla
bla bla bla bla bla bla
bla bla bla bla
bla bla bla la
bla bla bla bla
la línea
de resultados
91. 3 Líneas de Defensa
Gerentes de
Operaciones
Control Interno
Control Financiero
Gestión de Riesgos
Compliance y Normas
Auditoria Interna
Senior Management
Auditoria Externa
Regulador
1° Línea
Responsabilidad
2° Línea
Control y Guía
3° Línea
Reaseguro
ExCom & Comité de Auditoria
92. Importancia Flujogramas para Políticas
Manual de Prevención Grupo Norte
Manual de Prevención Mercapalma
En lo particular , si se puede…
pero un poquito
La verificación periódica..
periódicamente verifica
94. Importancia Flujogramas para Políticas
Código Ético de Gas Fenosa
Los empleados deberán informar a la empresa en el caso de que ellos o
sus familiares cercanos participen o vayan a participar en los órganos de
gobierno de otras sociedades que puedan entrar en colisión con los
intereses de Gas Natural Fenosa.
Sra. Empresa, ¿tiene un segundo
para que le informe?
Código de Conducta Banco Popular
¿y en lo imposible?
95. Flujogramas – Ejemplo KYS
El proveedor
completa la
aplicación
Compliance revisa
que esté completa
App
Compliance remite a
cliente solicitud
adicional
Compliance revisa de
requerimientos y
sanciones
Red
flag?
Compliance aprueba
generación del
proveedor en ERP
completa?
No
Si
Si
No
Riesgo 1: el proveedor corrompe al
analista de compliance
Riesgo 2: el analista de compliance no
detecta documentación faltante
Riesgo 3: el proveedor envía
documentación falsa
Riesgo 4: el software de sujetos
informados erronamente no detecta el
proveeor
Riesgo 5: el analista de compliance no
reconoce red flags en la aplicación
100. ISO 19600:2014
Guías para un Sistema de Compliance
Principios de buen gobierno corporativo, proporcionalidad, transparencia y sustentabilidad.
Construye transversalmente la superestructura de compliance
4.1. Identificación de
asuntos externos e
internos
4.2 Identificación de
requerimientos de
terceros
4.3/4 Determinación
del alcance del
sistema de gestión
4.4 Principios del buen
gobierno
5.2 Establecer una
política de
cumplimiento
Establecer
EntenderelContexto
101. ISO 19600:2014
Guías para un Sistema de Compliance
4.5/6 Identificar las
obligaciones de
cumplimiento y sus
riesgos
6 Planear los planes
de acción sobre
riesgos
8 Planear operaciones
y controlar los riesgos
de incumplimientos
9 Evaluar el
desempeño y reporte
de cumplimiento
Mejora continua sobre
incumplimientos
Mejorar
5.1 Compromiso, liderazgo
e independencia
5.3 Responsabilidad
7 Funciones de soporte
Evaluar
Mantener Desarrollar
Implementar
102. ISO 37001:2016
Anti-bribery management systems
Serie de medidas de control para prevenir, detectar y corregir el riesgo de
soborno
- Marco de política anti sobornos, procedimientos y controles
- Liderazgo de alta dirección y su responsabilidad
- Supervisión de alta dirección
- Entrenamiento sobre prácticas corruptas
- Evaluación de riesgos
- Due diligence con agentes, distribuidores, socios y asociados
- Sistema de reporte, investigación y revisión
- Acciones correctoras y mejora continua
Certificable
103. ISO 37001 Riesgos de Corrupción
Socios comerciales
Clientes
Proveedores, outsourcing
JVs, socios, consorcios
Consultores
Distribuidores
Intermediarios
Inversores
También los indirectos
Riesgo de corrupción
Por tamaño
Por país donde opera
Por país de registro legal
Por canal comercial
Por complejidad del servicio
Por área que lo contrata
Por interacción con
funcionarios públicos
Due diligence
Proceso para evaluar el
riesgo de corrupción y
compliance específico de un
socio comercial
Control de compliance y
financiero sobre pagos y
certificación de servicios
Identificar eventos
de riesgos
Priorizar por grupos
Actualizar el ejercicio en
forma frecuente
Varias formas de corrupción
“algo de valor”
Formalizar una política para
tratar el riesgo de
corrupción
Escalar controles
Frecuencia y oportunidad
de controles
Consejos a quién toma
las decisiones
Entender la cultura de
cada país
Considerar objetivos
comerciales (tolerancia)
Análisis de riesgos de
corrupción en conjunto
con compliance y fraude
¿QuépidelaISO?¿QuéhaceelCCO?
104. Hoja de Ruta
La norma nos da una mejor práctica para planear las tareas de implementación de un sistema de gestión para
prevenir la corrupción corporativa
Pasos claves para implementar un sistema de gestión
Obtener el compromiso del directorio
Dar objetivos, autoridad y recursos a la nueva unidad de cumplimiento
Nombrar al líder apropiado
Conducir una evaluación de riesgos en función de cada negocio
Evaluar estrategias para implementar la política de prevención de
corrupción
Escribir la política
Diseñar o modificar las políticas y controles relacionados
Implementar la política de prevención
ISO 37001 Anti Corrupción
105. ISO 37001 Anti Corrupción
Obtener el compromiso del Comité
Encontrar el patrocinador adecuado en el Comité
Darle a este patrocinador toda la información sobre los riesgos
Proponer al Comité un plan con metas detalladas y reportes a generar
Este plan debería ser firmado por todos los miembros
Entrenar a los miembros del Comité sobre compliance penal
Hoja de Ruta
El problema de vender la iniciativa a alto nivel corporativo es que nadie ve los beneficios si nuestras medidas
de prevención del delito funcionan. Por otro lado, esperar incidentes para tener atención no es posible.
106. Código Ético
Políticas
Procedimientos
Modelos & Manuales
Integración Sistema Normativo
Instrucciones
técnicas
Especificaciones
técnicas
Normas de ciclos
Normas de procesos
Normas de
actividades
107. Claves
Norma de Normas
Debemos definir quién es
responsable de dar y aprobar
normas
Designar un custodio del sistema normativo (ej. operaciones y métodos)
Designar un dueño de cada tipo de política que negocie y tenga input
Integrar políticas a valores, el marco de control (ej SOX) y entrenamiento
Preservar la discreción de los gerentes
Mecanismo de “waiver” de cumplimiento
Prever un mecanismo de actualización políticas
Calidad de redacción: Guia a empleados sin jerga y tecnicismos
Un mismo sistema para todos y todas las regulaciones
CoCo
Pol
Proc
108. Impreso
Digital – Intra/Internet
Entrenamiento
Código Ética
Introducción por CEO mencionado valores
Guia para la toma de decisiones de todos
Lenguaje directo, dinámico y traducido
Validación RM+Legal+HR+Com+Bus+…
¿Dudas? Al compliance officer
Difusión
Disciplina y tolerancia cero
Línea de denuncia
Acciones
109. Insider Trading.
Código Ética Financiero
Normas especificas contables
Reporte exacto, completo y a tiempo
a los reguladores y demás usuarios
Alcance:
• CFO
• Responsables impuestos, control,
reporting, auditoria interna
• Equipos
• Consultores
Consecuencias
Responsable al empleado por:
Normas y estándares
Negocio
Revisión crítica de controles
Entrenamiento
específico
110. Protocolos de Actuación
Reglamento del Consejo
de Administración
Acciones previas a la decisión
demostrando debida diligencia
Informes internos necesarios:
Financiero: TIR, endeudamiento
Técnico: operaciones
De riesgos jurídicos, impositivos, estratégicos y otros
Otros informes de alternativas y escenarios
Solicitud de asesoramiento externo
Jurídico especializado
Orden del día, sistema de votación,…
Proyectos, Inversiones y Compras de Empresas
Informe de impacto ambiental
Estudios de ambientales
hidráulico,
de patrimonio cultural,..
Informe de control de contaminación
Autorización ambiental integrada
Ley de Evaluación Ambiental
Informes necesarios:
Viabilidad de nueva empresa
Valoración de aportes en especie
Valoración de acciones y aportaciones
De auditoria de due diligence
De modificación de estatutos
Ley de Sociedades de Capital
111. Amplia casuística .
Conflictos de Intereses
Casos no exhaustivos:
• Interés económico directo o indirecto
• Conexiones comerciales
• Relaciones personales
• Expectativas futuras (conflictos potenciales)
- poder ser un empleado
- recibir un préstamo
• Prohibir una ventaja personal por la
la relación con la empresa
• Declararlos a una unidad responsable
Desafíos
Consultoría con empresas relacionadas
Inversiones en empresas relacionadas
Miembros de familia
Consensuar la resolución
del conflicto
En forma temprana
Cambios de proyectos
Dejar de hacer
112. Delegación de Autoridad
Accountable
R Responsible
→ hacer
A Accountable
→ decidir y rendir cuentas
C Consult
→ necesario para decidir
I Inform
→ necesita saber la decisión
Responsible
Internos
Externos
Demarca la responsabilidad
Comunicación sin ambigüedad
Identifica problemas
Ordenamiento de políticas siguientes
Prevención del fraude
Registro de
Delegaciones
113. Y todo eso terminó cuando todos,
le echaron la culpa a alguien,
cuando uno de ellos debió hacer
lo que nadie hizo.
¿Os suena familiar?
115. Delegación de Autoridad
Herramienta Matriz RACI - Ejemplo
Poder
Encargadodeproyectos
Encargadodeingenieria
Encargadodecontrataciones
Directordeventas
Gerentedeoperaciones
Directordeingenieria
Gerentedecompras
Gerentedeproducción
1.0 Completar una orden de trabajo
1.1 Generar una orden de trabajo N C R A C I I I
1.2 Planear y gestionar una orden de trabajo N R A C I
1.3 Efectuar la ingenieria del proyecto N C R A I
1.4 Producir los elementos del proyecto N R C A
1.5 Instalar los elementos del proyecto N R A
1.6 Completar la puesta en marcha N R C A C I
1.7 Obtener la certificación del cliente N R I A I C
116. ¿Cómo
gestionamos
una denuncia?
Canal de Denuncias
Objetivo
Ayuda a resolver una cuestión ética
Reporte de potenciales infracciones:
• Al código de ética
• Delitos
• Fraude
• Cuando se pone en peligro la seguridad
Registro y adjuntar los datos brindados y pruebas
Evaluación preliminar: procede o desestima
Investigación: El denunciante lo hace porque cree habrá una investigación
Comunicación de la conclusión
• probada
• infundada buena fe
• infundada mala fe
Comité de ética: involucramiento de la alta dirección por cultura
Alcance
Directores, empleados, contratistas,
pasantes, proveedores, y clientes
Confidencialidad - ¿Anónima?
Sin represalias por buena fe
Medios: teléfono, email, correo, sitio
117. Labor Compliance
Categorías de Riesgos
Función de RH
• Conflictos de
interés
• Contratación y
entrevistas
• Deber de supervisión
• Protocolo de
disciplina
• Anti-discrimación
Relaciones laborales
• Cumplimiento de
leyes de
contratación
• Estrategia de
relación con
sindicatos y
acuerdos colectivos
• Condiciones
laborales
• Liquidación justa e
Indemnizaciones
Compensación e
Incentivos
• Compensación de
directivos
• Planes de incentivos
• Acuerdos de
compensaciones
• Comisiones sobre
ventas
118. Dueños de Riesgos Estudio PWC 2016
Legal
• Propiedad intelectual 89%
• Competencia 59%
• Insider trading 43%
• Retención de
documentación 30%
• Contratos públicos 29%
Compliance
• Conflictos de interés 51%
• Anti-corrupción 47%
• Lavado de dinero 38%
• Privacidad y
confidencialidad 38%
• Fraude 33%
Compras
• Compliance de
proveedores 42%
• Cadena de suministro ética
40%
RH
• Empleo y labor compliance
71%
IT
• Seguridad de datos 79%
Nota: Operaciones es dueño de riesgos
de seguridad laboral y ambientales 26%
119. Delitos de Implicancia Laboral
Contra Trabajadores
• Art 318 CP
• Contratación y
despido:
cumplimiento de ley
laboral, convenio y
contrato
• Engaño o o abuso de
situación de
necesidad (311.1)
• Discriminación (314)
• Limitación del
derecho a
sindicalización y
huelga (315)
• Prevención
accidentes (316)
• Acoso y mobbing
(173, fuera del 31b)
Fraude Fiscal
• Art 310 bis CP
• Contra la Seguridad
Social: jubilación,
prestación de
desempleo,
incapacidad,
maternidad,
• Falta o demora de
comunicar el alta
(311.3)
• Simulación laboral y
ocultamiento (307
ter)
• Eludir pagos,
deducciones
indebidas y
devoluciones
indebidas
Extranjeros y Menores
• Art 318 bis 5 CP
• Relación laboral
clandestina:
‒ empleo a extranjeros
sin permiso de
trabajo (311 bis a)
‒ inmigración o tráfico
ilegal de mano de
obra
• Empleo a menores
de edad (311 bis b)
120. Marco de Control
Prevenir
• Políticas y
procedimientos de
RH
• Evaluación de
riesgos de relaciones
laborales
• Formación
Detectar
• Monitoreo de
liquidaciones
• Detección de
relaciones laborales
encubierto
• Auditoria de
controles y monitoreo
de compliance
Responder
• Investigación a las
denuncias
• Política de disciplina
• Comunicación
• Mejora del marco
121. Controles sobre Liquidaciones de Nómina
• Revisión de back-end: contabilizado vs. libro de sueldos
• Revisión de elegibilidad de beneficios, extras y licencias
• Control de salario mínimo y el cumplimiento del sistema de retribución
• Número de horas extras (normas de descansos, exigencias de registro de
horarios a tiempo completo o parcial (Real Decreto 16/2013), ordinarias y
extraordinarias)
• Seguimiento de presentación y pagos de obligaciones de seguridad social
• Envio a término de liquidaciones y form. tributarios a empleados
122. Relaciones Laborales Encubiertas
• Fraude laboral y de seguridad social → Falso autónomo
• Compras con contra-cuentas de gastos de servicios
• Riesgos: consultoría, asesores, traductores, médicos, profesores
• Bajo desvío standard en número de factura, importe y frecuencia
DEMO
123. Otros Controles
• Informes de inspecciones de riesgos laborales y de seguridad social de
empleados, contratistas y subcontratistas
• Analisar cambios y ceses de tareas y condiciones de trabajo (ej. que no
se focalizen en una sola persona porque es indicio de mobbing)
• Revisión de informes y resultados de pruebas médicas y entrevistas de
salida
• Revisión de partes de bajas (atención a dolencias psíquica)
• Permisos de trabajo de extranjeros y menores de edad
• Informes de accidentes laborales al Ministerio de Trabajo (atención
riesgos)
124. Entrenamiento
Áreas
Código de ética a nuevos ingresos y por campañas a colectivos
de empleados
Políticas de prevención de corrupción, fraude y sobornos
Sobre valores como el abuso de empleados
Especializados a departamentos con riesgos operativos de errores
La cultura organizacional comienza en el entrenamiento
Comunicar programas sobre compliance dentro de los diferentes grupos de empleados es la base de
construcción de la cultura del cumplimiento e incentiva el diálogo entre departamentos.
No se puede cumplir lo que no se conoce.
Formalizar asistencia, evaluar en pruebas y medir en encuestas. Responsable:
¿HR o CCO? Sitio de intranet. ¿Online, videos, presencial, autoestudio?
Monitorear avances
127. ¿Cuáles son
las
alternativas?
¿Es legal y
consistente
con el espíritu
de la ley?
¿Está prevista
en el CoCo y
es consistente
con nuestros
valores?
¿Cuáles son
los hechos?
¿Cómo
implica cada
alternativa en
mí?
¿Cómo
implica cada
alternativa en
la sociedad y
la empresa?
¿Quiénes son
los afectados
de las
alternativas?
Entrenamiento sobre Ética
128. Entrenamiento
Invitar a un directivo reconocido dentro del
grupo objetivo para compartir sus valores y
liderazgo. “Esto es importante”
Obtenemos su patrocinio y credibilidad
Nos dan una visión única desde la dirección
El directivo se compromete con compliance
Mensaje único
Ponente
invitado
Planteamos un escenario hipotético y realista
para desarrollar con el grupo diferentes cursos
de gestión del caso.
Pueden tener un contenido regional/local
Practica con escenarios comunes
Hay mayor discusión y conocimiento del grupo
Presión de paresCasos
reales
Invitamos a un especialista sobre cierta
función, que describa los riesgos de falta de
cumplimiento y cómo efectuar controles
Conocimiento profundo sobre cierto riesgo y
sus controles
Visibilidad del especialista
Específicos
para un
riesgo
Principio “Nuestra gente defiende lo que es
involucrada a construir”
Permitir grupos de discusión para compartir
experiencias y mejores prácticas
Generar redes de conocimiento
Inspiración para alcanzar mejores prácticas
Reconocimiento de quienes efectúan mejores
controles
Compartir
conocimiento
129. Sanción .
Objetivos de
Mejora
Protocolo de Disciplina
Cultura
Compliance
Performance
Aclarar que las responsabilidades
dependen de la definición de cargo
Aclarar y separar infracciones:
• Performance
• Conducta
• Violación a políticas/ley
• Falsificación
• Fraude y abuso activos
• Acoso
• Drogas y alcohol
1 – Entrevista
con
supervisor
2 – Entrevista
con RH
Nota firmada por ambos
Próxima a la falta
Resguarda legajo
Acción correctiva
Comité de ética
Escalable en sanciones , s/recurrencia
Dar flexibilidad
Tolerancia cero al código ético
Entrevista
Salida
Equidad
Investigación
130. ¿Cómo
gestionamos
un fraude
detectado?
Protocolo de Investigación Fraude
Los gerentes son
responsables de detectar
posibles fraudes
¿Reporte al:
• comité de auditoria
• Auditores externos
• ExCom
• RH - disciplina
• Supervisor/Área
• Fraudulento
• Policía/Medios
Encargado
¿Auditoria
interna?
¿control interno?
¿legales?
y de reportar
posibles
fraudes para
investigar
No investigaciones personales
Garantizar la confidencialidad
Garantizar total acceso a
información al investigador
Registro de reportes
Garantizar la preservación de la documentación
Involucrar al menor número de personas
Posibilidad de contratar especialistas contables y
legales
Quién evalúa la necesidad de extender la investigación
Necesidad de evaluar las pérdidas para ajustes
Protección del investigador
Determinar la mejora en el sistema de controles
Plan de Respuesta al Fraude