Hernan Huwyler Gestión de Riesgos Legales y de Cumplimiento ISO 31022
1. Masterclass
IE LAW SCHOOL
ISO 31022
La futura guía internacional para gestionar
riesgos legales
Programa Superior de Compliance
Prof. Hernan Huwyler
7. TC 262 Estadarización de riesgos
ISO 31022 Directrices para la
gestión del riesgo legal
07/15 Propuesta
10/17 Estudio preliminar
02/19 Comité de trabajo
07/19 Consulta pública y votación
Q1/21 Publicación
8. La nueva ISO 31022 …
te guiará en…
cualquier tipo de
organización
y
actividades de
cumplimiento
a …
integrar los principios de la ISO 31000
identificar, anticipar y gestionar
minimizar la complejidad y costes de
los procedimientos jurídicos
evitar disputas legales
requerimientos legales,
regulatorios, contractuales, de 3Ps
y declaraciones voluntarias
de forma estructura y sistemática
9. Suporte al marco de riesgos
ISO 31000
Centrada en
objetivos
Basada en datos
Alternativas
accionables
ISO 31022
Cumplir con los objetivos del
programa de ética > ¡ejecución!
Proactivamente identificar riesgos
jurídicos basados en hechos
Tomar decisiones informadas
sobre las necesidad de recursos,
control y debida diligencia
10.
11. La nueva ISO 31022 …
mejorará los resultados comerciales y
operacionales
incrementando la reputación,
mejorando la retención del personal,
reforzando las relaciones con los
grupos de interés
balanceando recursos y capacidades
12. La nueva ISO 31022 no …
te dará asesoramiento sobre un caso,
industria o sector en particular
busca ser usada para el desarrollo de
leyes o lobby
está limitada al departamento legal
soporta cualquier sistema o proceso de
cumplimiento
solamente sostiene a la ISOs 31000 o
19600
puede ser ajustada a marcos COSO
ERM, COBIT e internos “in-house”
13. El enfoque
Riesgos legales =
Compliance externa + interna + valores
Módulo sobre gestión de riesgos
El rol del compliance officer en facilitar la investigación,
entrevistas y talleres de riesgos
Módulo sobre controles de cumplimiento
El rol de compliance officer en diseñar, validar,
implementar, testear y monitorear controles de
cumplimiento
Programa blended, método del caso
14. Estructura de la ISO 31022
Cuerpo con la descripción
general del estándar
Alcance
Referencia a la ISO
31000
Glosario
Principios
Proceso general sobre
riesgos legales
Anexos con 5 herramientas
Método de identificación de
riesgos legales
Registro de riesgos legales
Evaluar la probabilidad de
riesgos legales
Evaluar el impacto del
riesgo legal
Cláusulas claves a
considerar al revisar
contratos
15. Alcance
Compliance
capacidad de cumplir con las
expectativas de los grupos de
interés
el cumplimiento de la ley y la ética
hace que las empresas sean
sostenibles
interpretar el impacto de las
obligaciones de cumplimiento
existentes y futuras> requisitos y
compromisos
Riesgos
efecto de la incertidumbre sobre
los objetivos
una desviación positiva o negativa
de lo esperado
la falta de información provoca
incertidumbre
con respecto a cierto horizonte de
tiempo
16. ISO 31022 define al riesgo legal
… en relación a
cuestiones legales, regulatorias y
contractuales
derechos y obligaciones no
contractuales
El efecto de la
incertidumbre
sobre los
objetivos.
basada en la
definición de
riesgo de la
ISO 31000
p.ej. responsabilidades por infracciones legales,
falta de cumplimiento de los términos y condiciones
contractuales, incertidumbres en la interpretación de
una regulación
p.ej. fraude, infracción o pérdida de propiedad
intelectual, pérdida de información confidencial,
falta a la debida diligencia, malversación a los
clientes
17. Principios de la ISO 31022
Integrada
La gestión del riesgo legal debe ser
parte de la planificación estratégica
global, la toma de decisiones
comerciales y de la gestión diaria
convertida en responsabilidades en
políticas y procedimientos
incluida en los sistemas de control
interno y de cumplimiento > matriz
de riesgos y controles
18. Principios de la ISO 31022
Estructurada y general
La gestión del riesgo legal debe
seguir el marco genérico de
gestión de riesgos
producir resultados consistentes y
comparables
considerar diferentes escenarios
plausibles y factores de riesgo
19. Principios de la ISO 31022
Personalizada
La gestión del riesgo legal debe ser
ajustada al contexto externo
características legales, regulatorias y
sectoriales
ajustada al contexto interno
naturaleza de la entidad legal,
objetivos y valores organizacionales
20. Principios de la ISO 31022
Inclusiva
La gestión del riesgo legal debe
involucrar a todos los grupos de
interés
facilitar que los asesores legales
trabajen con los propietarios de los
procesos comerciales y SMEs
equilibrar los beneficios de compartir
información legal con la
confidencialidad
21. Principios de la ISO 31022
Dinámica
La gestión del riesgo legal debe
anticipar, detectar, reconocer y
responder a eventos y cambios en
el contexto, como las nuevas leyes
y políticas públicas
establecer indicadores de alerta
temprana sobre riesgos
emergentes
22. Principios de la ISO 31022
Mejor información disponible
La gestión del riesgo legal debe
usar información de fuentes internas y
externas
aprovechar la experiencia de asesoría
legal, inteligencia de negocios, estudios,
bases de datos legales, despachos de
abogados externos y asesores
considerar limitaciones en la información
24. Principios de la ISO 31022
Factores humanos y culturales
La gestión del riesgo legal debe
evitar sesgos en las diferentes
opiniones de los interesados
informar a los accionistas sobre
cómo sus acciones e inacciones
afectan los riesgos legales
considerar la influencia de la
cultura de cumplimiento
25. Principios de la ISO 31022
Mejora continua
La gestión del riesgo legal debe
tomar en cuenta las revisiones
posteriores a la transacción, las
mejores prácticas, el
asesoramiento profesional de
especialistas internos y externos y
de los cambios legales
26. Procesos de la ISO 31022
Paso 1 Establecer el contexto
Entender el ambiente externo
leyes nacionales e internacionales
ien países de operación y prestación de servicios
Incl. aplicación extraterritorial de leyes locales
acuerdos
acciones y reclamos
contrapartes
grupos de interés externos
p.ej. sindicatos y organizaciones de empleadores,
asesores externos, reguladores, grupos de interés
27. Paso 1 Establecer el contexto
Entender el ambiente interno
naturaleza/estructura de entidades
modelo de negocio y solvencia
código de conducta y políticas
propiedad intelectual y otros activos
legales
experiencias pasadas y disputas
cumplimiento de obligaciones
contractuales
Procesos de la ISO 31022
28. Procesos de la ISO 31022
Paso 2 Definir el criterio de riesgos
Parte de los criterios de riesgos
generales
tolerancia definida de riesgos
legales basada en objetivos,
valores, recursos y preferencias
basada en las categorías de riesgos
legales
considera la gobernanza, las
políticas, las relaciones y las 3Ps
29. Ejemplo Criterio de probabilidad
¿Puede ocurrir un evento de riesgo? ¿Con qué grado de certeza?
5 4 3 2 1
La efectividad de
las políticas y
procedimientos
establecidos a
través de controles
internos
Las políticas y
procedimientos para
los controles internos
son inexistentes. No
se implementan
políticas y
procedimientos para
los controles
internos.
Las políticas y
procedimientos para
los controles internos
están incompletos.
Las políticas y
procedimientos para
los controles internos
no se aplican
suficientemente.
Las directivas y
procedimientos para
los controles internos
son más probables
que no estén
completos. Las
políticas y
procedimientos para
los controles internos
son más probables
que no se
implementen.
Las directivas y los
procedimientos para
los controles internos
están completos. Se
implementan
políticas y
procedimientos para
los controles
internos.
Las políticas y
procedimientos para
los controles internos
están bien
diseñadas,
implementadas y se
revisan
periódicamente para
garantizar que sigan
siendo sólidas y
adecuadas a las
necesidades
cambiantes de la
organización.
30. Ejemplos Criterio de impacto
Impactos financieros, regulatorios, reputacionales, geográficos
e intraorganizacionales.
¿El evento de riesgo tiene consecuencias legales?
1 2 3 4 5
Impacto monetario
0 to
100,000 €
100,001 to
1,000,000 €
1,000,001 to
5,000,000 €
5,000,001 to
10,000,000 €
10,000,001 + €
Impacto no
monetario
Pérdida muy menor
de reputación, imagen
corporativa, y
propiedad intelectual
Pérdida menor de
reputación, imagen
corporativa, y
propiedad intelectual
Pérdida de
reputación, imagen
corporativa,
propiedad intelectual.
Gran pérdida de
reputación, imagen
corporativa,
propiedad intelectual.
Pérdida significativa
de reputación, imagen
corporativa,
propiedad intelectual.
31. El enfoque del
Tu profesor también será tu consultor
Crearás un procedimiento de evaluación de riesgos de
cumplimiento para su organización
Centrarse en pérdidas cuantificadas y análisis
de escenarios
Mejores prácticas para usar datos sobre
criterios de riesgo y determinar la tolerancia
Riesgos de cumplimiento y oportunidades
Consejos para considerar los riesgos 3P
32. Procesos de la ISO 31022
Paso 3 Evaluar los riesgos legales
evaluación
identificación
análisis (i*f)
evaluación
ranking
33. Procesos de la ISO 31022
Paso 3.1 Identificar riesgos legales
Identificar y describir eventos reales
y potenciales
desencadenado por factores
internos o externos
conocidos o desconocidos
objetivos que se afectan
relacionados con el proceso bajo
alcance
34. Herramienta Matriz de identificación de riesgos legales
Vincular categorías de riesgos legales a actividades comerciales
Category 1 Category 2 Category 3 Category 4 Category 5 Category 6
Legal risk
Typologies
Uncertainty in
the application
of the law
Non-
compliance
with applicable
law or
regulation
Breach of
contract by the
organization of
3Ps
Infringement of
IP and other
rights
Negligence and
omission in
exercising
rights
Improper
choice of legal
actions
Activity 1 – Offer
services
New project for
public offering
regulation
Exceed the
conditions in the
business license
Not meeting
eligibility criteria
for licensing
Activity 2 –
Register new
clients
Onboard new
customers
remotely
Disclose of
personal data
Negligence in
sanction
screening
Activity 3 -
Deliver service
Lack of risk-
based
authentication.
Failure to deliver
services
according to T&C
Use unlicensed
software
Litigation or
arbitration for
disputes
35. Presentación de taxonomías de riesgo legal y
de cumplimiento.
Consejos para realizar revisiones de escritorio,
autoevaluaciones, entrevistas y talleres para
evaluar los riesgos de cumplimiento
Consideraciones cuando la función de
cumplimiento es dueña de riesgos de ética e
integridad
Consejos para reducir sesgos
El enfoque del
36. ISO 31022 supporting risk process
Paso 3.1 Identificar riesgos legales
Fuentes de información
objetivos organizacionales
estructuras de gobierno y ética, actividades y
operaciones
consultas con partes interesadas
infracciones legales
multas por responsabilidad penal y civil
aplicación de leyes específicas
seguimiento de cambios legales
37. ISO 31022 supporting risk process
Paso 3.2 Analizar riesgos legales
Consecuencia > impacto
Causa > probabilidad
análisis cualitativo o cuantitativo
simulación de datos históricos,
análisis de negocios, inteligencia
artificial y modelado, opiniones de
expertos
correlación entre riesgos legales
38. ISO 31022 supporting risk process
Paso 3.2 Analizar riesgos legales
Probabilidad
nivel de imposición enforcement >
rule of law, estado de derecho
efectividad de los controles de
cumplimiento
estadísticas sobre eventos legales
ocurridos
39. Procesos de la ISO 31022
Paso 3.2 Analizar riesgos legales
Probabilidad
WJP Rule of Law Index®
40. Procesos de la ISO 31022
Paso 3.2 Analizar riesgos legales
Probabilidad
WJP Rule of Law Index®
41. Procesos de la ISO 31022
Paso 3.2 Analizar riesgos legales
Impacto
pérdidas pasadas y beneficios de
riesgos legales ocurridos
42. Procesos de la ISO 31022
Paso 3.3 Evaluar riesgos legales
comparar contra la tolerancia
priorizar riesgos legales
ayudar a los tomadores de
decisiones a considerar planes de
tratamiento
43. Procesos de la ISO 31022
Paso 4 Tratar riesgos prioritarios
1 Tomar decisiones informadas
plan de tratamiento financiero,
operativo (inc TI / cibernético) y
reputacional
demostrar una gestión adecuada de los
riesgos
Indicadores de riesgo claves (KRI) para
medir la efectividad de las opciones de
tratamiento
basado en riesgos residuales
44. ISO 31022 supporting risk process
Paso 4 Tratar riesgos prioritarios
2 Implementar planes
Preventivos > reducir la frecuencia
integrar los controles de cumplimiento en
políticas y procedimientos operativos
diseñar plantillas de revisión de contratos
mejorar la seguridad de la información
capacitación en gestión legal
comunicación de advertencias legales
45. Procesos de la ISO 31022
Paso 4 Tratar riesgos prioritarios
2 Implementar planes
Correctivos > reducir el impacto
corporate defense
protocolo de crisis
seguros de responsabilidad
resolución adecuada de disputas
46. Enfoque de 4Ts para gestionar riesgos
legales: estrategias para tolerar, transferir,
tratar y terminar
Consejos para convertirse en un oficial de
cumplimiento como asesor de confianza
Centrarse en las medidas preventivas.
Kit de herramientas e inspiración para sugerir
controles de cumplimiento eficientes
El enfoque del
47. Procesos de la ISO 31022
Paso 5 Registro y reporte
Registro de riesgos legales
acceso confidencial mientras esté
disponible para todos los
interesados
evitar la alteración de información y
documentación
cumpliendo con las reglas de
retención de datos
48. Herramienta Registro de riesgos legales
Herramienta de gestión para el seguimiento del perfil de riesgo.
Operation
al activities
Legal
risk
category
Legal risk
event
identified
Applicable
relevant
Laws
Legal
consequen
ces
Past cases Opinion of
in-house
legal teams
Opinion of
external
legal
advisor
Recommended
solution
Activity 1 –
Offer
services
Mis-
seling
Aggressive
selling culture
and incentives
may trigger
investigations by
the Financial
Conduct
Authority
Law 123 on
financial
products
Fines up to
2% of
annual
revenue
Case 123:
Broker-
originated
real estate
investments
Reinforce the
Poor
complaint
handling
Lower sales
targets and
incentives
Avoid
offering high
risk
investments
to
unemployed
or retired
customers
49. Diseñarás herramientas y plantillas de soporte
de riesgos para su organización
Énfasis en los riesgos de ciberseguridad y
privacidad.
Caso de estudio para extraer y probar
controles de diagramas de flujo
El enfoque del
50. Tool Registro de riesgos legales
Preguntas de la entrevista para actualizar el registro
¿Cómo se satisface de que el apetito legal por el riesgo actúa como una
restricción real para la toma de decisiones?
¿Cuántos de sus contratos tienen una cláusula de renovación automática que
entrará en vigencia?
¿Cuántos contratos celebra su empresa en un período específico?
¿Cuántas transacciones negoció su organización el año pasado? ¿En qué
desviaciones de los términos y condiciones estándar se suscribieron?
¿Cuál es la mayor causa de disputas contra la organización?
51. Procesos de la ISO 31022
Paso 6 Comunicar
Internamente
reporte de riesgos ocurridos, lecciones
aprendidas y entrenamiento
Externamente
observando la confidencialidad, el
privilegio legal profesional y el
privilegio cliente-abogado
autoridades reguladoras, funciones
legislativas y judiciales
52. Procesos de la ISO 31022
Paso 7 Monitoreo y revisión
prever los cambios en el contexto
legal > identificar señales de alerta
temprana entre las partes interesadas,
nuevas leyes
monitorear patrones de eventos de
riesgo
comparar el progreso con los planes
de tratamiento de riesgos
obtener garantías sobre los controles
de cumplimiento
53. Herramienta Checklist de clausulas
Checklist 28 puntos al revisar cláusulas en contratos
Issue Consideration
Capacity to contract Check whether the counterparty has the legal capacity to enter into a binding legal agreement.
Delivery/Shipping
Terms
Does the purchaser require the goods for a specific date (perhaps in order to meet its obligations under a contract with
a third party)? If so, the delivery clause should be drafted to ensure:
— time is of the essence for delivery; and
— the purchaser can recover any actual losses suffered as a result.
The vendor should be concerned if (i) the losses stipulated in the clause are uncapped; or (ii) the delivery dates
specified by the purchaser have a high risk of not being met.
Cancellation (contracts
for goods)
As the purchaser, does the organization need the right to cancel an order?
As the vendor, the organization should attempt to limit the period of time for the purchaser to cancel its order to the
statutory limit otherwise it risks making losses on the time spent servicing the order until the cancellation date.
54. Presentación de tecnologías como business
process modeling, automated workflows,
robotic process automation, analytics,
business intelligence, blockchain y otras
nuevas tecnologías para monitorear los
riesgos de cumplimiento
Técnicas de auditoría ajustadas al
cumplimiento e informes no financieros
El enfoque del
55. Política de riesgos legales
Definir la autoridad,
responsabilidades y la gestión de
del riesgo legal
plan de implementación
roles alineados con capacidades,
experiencia y recursos
líneas de reporte
facilitación y capacitación para
propietarios de riesgos
términos comunes
57. Criterios para medir el impacto
1 2 3 4 5
Imacto monetario
(ajustado a la tolerancia
de la ofranización)
0 to
100,000 €
100,001 to
1,000,000 €
1,000,001 to
5,000,000 €
5,000,001 to
10,000,000 €
10,000,001 + €
Impacto no
monetario
Pérdida muy menor
de reputación, imagen
corporativa,
propiedad intelectual.
Pequeña pérdida de
reputación, imagen
corporativa,
propiedad intelectual.
Pérdida moderada
de reputación, imagen
corporativa,
propiedad intelectual.
Pérdida mayor de
reputación, imagen
corporativa,
propiedad intelectual.
Pérdida significativa
de reputación, imagen
corporativa,
propiedad intelectual.
.
Consecuencia
geográfica
La consecuencia se
limita completamente
a un país o la misma
región, cuya
consecuencia en las
operaciones
generales de la
organización es
mínima.
La consecuencia se
limita a uno o más
países y la
consecuencia en las
operaciones
generales de la
organización es
moderada.
La consecuencia se
limita a una sola
jurisdicción y la
consecuencia en las
operaciones
generales de la
organización es
significativa.
La consecuencia se
limita a uno o más
países y la
consecuencia en las
operaciones
generales de la
organización es
significativa.
La consecuencia es
para todos los
países en los que
opera la
organización, y la
consecuencia es tan
generalizada que
amenaza toda la
organización.
Consecuencia
intraorganizacional
La consecuencia se
limita a un área
discreta o división
subsidiaria u
operativa
La consecuencia se
limita por completo
a una o más áreas o
subsidiarias o
divisiones-
Un área con un
impacto
significativo en la
organización
general.
Una o más áreas
con un impacto
significativo en la
organización
general.
La consecuencia es
para toda la
organización y
sus filiales y
divisiones operativas
58. Criterios para medir la probabilidad
1 2 3 4 5
La efectividad de
las políticas y
procedimientos
establecidos a
través de controles
internos
Las políticas y
procedimientos para
los controles internos
están bien
diseñados, con
controles
completamente
implementados y
revisados
Las políticas y
procedimientos para
los controles
internos están
completos e
implementados.
Las directivas y
procedimientos para
los controles internos
probablemente no
estén completos o
implementados.
Las políticas y
procedimientos para
los controles internos
están incompletos
o no se aplican
suficientemente.
Las políticas y
procedimientos para
los controles internos
son inexistentes o
ni se implementan.
Adecuación de las
implicaciones de
riesgo legal
relacionadas con la
capacitación
Los empleados son
plenamente
conscientes de las
implicaciones de
riesgo legal y
establecen
estándares de
mejores prácticas
Los empleados son
conscientes de las
implicaciones de
riesgo legal y utilizan
los principios para el
trabajo diario
Los empleados son
conscientes de las
implicaciones de
riesgo legal, pero no
pueden usar los
principios para el
trabajo diario
Los empleados son
conscientes de las
implicaciones de
riesgo legal, pero no
utilizan los principios
para el trabajo diario
Los empleados no
son conscientes de
las implicaciones del
riesgo legal
Riesgo de
contrapartes
Las contrapartes
cumplen
excelentemente con
las obligaciones
contractuales
Las contrapartes
cumplen muy bien
con las obligaciones
contractuales
Las contrapartes
cumplen bien con las
obligaciones
contractuales
Las contrapartes
cumplen débilmente
con las obligaciones
contractuales
Las contrapartes
cumplen muy
débilmente con las
obligaciones
contractuales
59. Caso de estudio ExxonMobil 20F
Riesgos regulatorios y de litigios. Incluso en países con
sistemas legales bien desarrollados donde ExxonMobil hace
negocios, seguimos expuestos a cambios en las leyes que
podrían afectar negativamente nuestros resultados, tales como::
aumentos de impuestos, aranceles o tasas de regalías
gubernamentales (incluidas reclamaciones retroactivas);
controles de precios;
cambios en las regulaciones ambientales u otras leyes que
aumentan nuestros costes de cumplimiento o reducen o
retrasan las oportunidades comerciales disponibles;
60. Study case ExxonMobil 20F 2018
adopción de regulaciones que exijan estándares de eficiencia,
el uso de combustibles alternativos o componentes en
combustibles no competitivos;
adopción de regulaciones gubernamentales de transparencia
de pagos que podrían exigirnos que divulguemos información
comercial sensible a la competencia, o que podrían infringir
las leyes de confidencialidad de otros países; y
acciones gubernamentales para cancelar contratos,
renombrar la moneda oficial, renunciar o incumplir
obligaciones, renegociar términos unilateralmente o expropiar
activos
61. Criterios para medir el impacto
1 2 3 4 5
Imacto monetario
(ajustado a la tolerancia
de la ofranización)
0 to
100,000 €
100,001 to
1,000,000 €
1,000,001 to
5,000,000 €
5,000,001 to
10,000,000 €
10,000,001 + €
Impacto no
monetario
Pérdida muy menor
de reputación, imagen
corporativa,
propiedad intelectual.
Pequeña pérdida de
reputación, imagen
corporativa,
propiedad intelectual.
Pérdida moderada
de reputación, imagen
corporativa,
propiedad intelectual.
Pérdida mayor de
reputación, imagen
corporativa,
propiedad intelectual.
Pérdida significativa
de reputación, imagen
corporativa,
propiedad intelectual.
.
Consecuencia
geográfica
La consecuencia se
limita completamente
a un país o la misma
región, cuya
consecuencia en las
operaciones
generales de la
organización es
mínima.
La consecuencia se
limita a uno o más
países y la
consecuencia en las
operaciones
generales de la
organización es
moderada.
La consecuencia se
limita a una sola
jurisdicción y la
consecuencia en las
operaciones
generales de la
organización es
significativa.
La consecuencia se
limita a uno o más
países y la
consecuencia en las
operaciones
generales de la
organización es
significativa.
La consecuencia es
para todos los
países en los que
opera la
organización, y la
consecuencia es tan
generalizada que
amenaza toda la
organización.
Consecuencia
intraorganizacional
La consecuencia se
limita a un área
discreta o división
subsidiaria u
operativa
La consecuencia se
limita por completo
a una o más áreas o
subsidiarias o
divisiones-
Un área con un
impacto
significativo en la
organización
general.
Una o más áreas
con un impacto
significativo en la
organización
general.
La consecuencia es
para toda la
organización y
sus filiales y
divisiones operativas
62. Criterios para medir la probabilidad
1 2 3 4 5
La efectividad de
las políticas y
procedimientos
establecidos a
través de controles
internos
Las políticas y
procedimientos para
los controles internos
están bien
diseñados, con
controles
completamente
implementados y
revisados
Las políticas y
procedimientos para
los controles
internos están
completos e
implementados.
Las directivas y
procedimientos para
los controles internos
probablemente no
estén completos o
implementados.
Las políticas y
procedimientos para
los controles internos
están incompletos
o no se aplican
suficientemente.
Las políticas y
procedimientos para
los controles internos
son inexistentes o
ni se implementan.
Adecuación de las
implicaciones de
riesgo legal
relacionadas con la
capacitación
Los empleados son
plenamente
conscientes de las
implicaciones de
riesgo legal y
establecen
estándares de
mejores prácticas
Los empleados son
conscientes de las
implicaciones de
riesgo legal y utilizan
los principios para el
trabajo diario
Los empleados son
conscientes de las
implicaciones de
riesgo legal, pero no
pueden usar los
principios para el
trabajo diario
Los empleados son
conscientes de las
implicaciones de
riesgo legal, pero no
utilizan los principios
para el trabajo diario
Los empleados no
son conscientes de
las implicaciones del
riesgo legal
Riesgo de
contrapartes
Las contrapartes
cumplen
excelentemente con
las obligaciones
contractuales
Las contrapartes
cumplen muy bien
con las obligaciones
contractuales
Las contrapartes
cumplen bien con las
obligaciones
contractuales
Las contrapartes
cumplen débilmente
con las obligaciones
contractuales
Las contrapartes
cumplen muy
débilmente con las
obligaciones
contractuales
63. El problema
Palabras de probabilidad estimada
¡Sabemos que es engañoso desde 1964! Estudio Sherman Kent
64. Disponibilidad de sesgos heurísticos
Evaluar riesgos en eventos
materializados recientes y
mayores.
Atajo mental, juicios hacia casos más
emotivos
No exagere los riesgos en
función de las noticias y los
peores escenarios "esta unidad
debería tener altos riesgos de fraude ya que
hay muchos casos de fraude en las noticias
en su país".
Evite la evidencia anecdótica
Valore el riesgo de todo tipo de
riesgos materializados, no de
ejemplos
Revise globalmente los riesgos
evaluados al final, permita el
cambio de datos
65. Sesgos de anclaje
Evaluar los riesgos desde un
punto de partida.
Valor primero pensado en el pesimismo u
optimismo de la posición anterior,
clasificación del riesgo relativo
No evalúe según revisiones
similares previas
"Esta unidad debería tener los mismos
riesgos que las unidades similares"
Ordene los temas en la agenda
"El RGPD es un tema candente, por lo que
comenzaré preguntando esto".
Deje que los participantes
piensen
"generalmente valoramos este riesgo en ...,
¿cómo evalúa este riesgo?"
66. Confirmación de sesgos
Evaluar riesgos según juicios
preexistentes> familiaridad y
prejuicio
Reduce la información utilizada
No salte a conclusiones
"está relacionado con un país con baja
percepción de corrupción, por lo que no hay
riesgos de soborno", "el fraude es parte de su
cultura"
Solicite evidencia y datos
Analice la diferencia entre los
factores de riesgo actuales y los
anteriores
Pregunte por los supuestos
Evite generalizaciones "3 pequeños
riesgos materializados, por lo que debería ser
relevante".
67. Evaluación de escenarios
Base case
Average
scenarios
Worse case + Best case
2
Triangular
distribution
s
Worse + ( Base * 3 ) + Best
5
Montecarlo
simulation
Software
1
2
3
+10k
. E1
. E2
. En
Best guess
Most-likely scenario
Escenario
base
68. Métodos cualitativos de valuación
Usted es el oficial de cumplimiento de
una compañía de servicios de agua que
atiende a 400 mil clientes.
Debe evaluar el riesgo de incumplimiento de una
cláusula del contrato de concesión
Esta cláusula permite que el regulador aplique
automáticamente una multa de 100 EUR por cada
queja de cliente desatendida luego de 24 horas
Su presupuesto anual para esta multa es de 30
millones de euros
69. Las oficinas de atención al cliente generalmente
pueden atender las quejas en menos de 24 horas.
Sin embargo, eventos inusuales como lluvias
torrenciales o problemas operativos conducen a
grandes cortes de agua y las quejas no se pueden
abordar en menos de un día.
Estos eventos pueden afectar desde unos pocos
cientos hasta potencialmente a todos los clientes.
Varios eventos y grandes multas ocurrieron el año
pasado y todas sus partes interesadas son
sensibles a esta cláusula contractual
Métodos cualitativos de valuación
70. Matriz preparada por el gerente operativo
Heavy
rains
System
breakdown
Operational
issues
Expected events per year *
- Min 0 0 40
- Most likely 2 0 60
- Max 15 1 150
Expected unaddressed complains per event *
- Min 2.000 300.000 200
- Most likely 10.000 300.000 400
- Max 15.000 400.000 1.000
* 33% occurrence per scenario
Métodos cualitativos de valuación
71. Detalle de multas pagadas elaborado por el CFO
Métodos cualitativos de valuación
Cuenta: 5.14.1022 Multas y sanciones
Elemento de costo: 3 Cláusula 210. Atención al cliente
Saldo
2019 35,000,000
2018 6,000,000
2017 3,600,000
2016 13,300,000
72. Cuando utiliza
una técnica de
evaluación
cualitativa
como Monte
Carlo,
¡descubre una
pérdida anual
máxima de 77
millones de
euros!
Presupuesto
Nr.MonteCarloSimulations
Métodos cualitativos de valuación
73. 0 EUR 30M EUR 60M EUR
Lluvias
torrenciales
Caída del sistema
Problemas
operacioneles
Presupuesto
Métodos cualitativos de valuación
74. Después del
tratamiento, la
pérdida máxima
probable
disminuyó a
37,5 millones
de euros al
año.
Presupuesto
Nr.MonteCarloSimulations
Métodos cualitativos de valuación
75. ¿Qué sesgos afectaron el
análisis cualitativo?
¿Qué enfoque produjo la
mejor toma de
decisiones?
¿Qué enfoque protegió
mejor su carrera y
reputación?
76. Los promedios son malos
Su presupuesto fue mucho más alto que
la pérdida promedio esperada, pero el
33% de los escenarios lo excedió
Los datos históricos no son
perfectos
La historia previa de multas pagadas
subestimó la probabilidad potencial y el
impacto de este riesgo
60° 0°
1st October 2019 18:00 - 21:00 Local time
: https://meet.ie.edu/ie_law_school
Title: How the new ISO 31022 on legal risks will help compliance officers.
Description: Get a thorough understanding of the future ISO 31022 standard for managing legal risks and how to leverage the guidelines to establish and operate an effective compliance program. At the end, build-out an initial ISO-conforming legal risk management policy right in class!
- How to plan and execute a legal risk assessment aligned to the ISO framework
- Current discussions on how to identify and value compliance risks
- How to evolve from heat maps for compliance to tools for planning and decision-making.
- Open discussions on cases on setting risk strategies strategies to produce a legal risk procedure.
- Open questions
/
ISO 31000 family
3 published standards: 31000 guidelines on RM, 31004 Guidelines on the implementation 31010 Techniques
Under developling: 31073 on terminology, 31022 on legal risks, (Working Group 5 ) 31030 travel risks, 31050 on emerging risks
provides the focus so it aligns with compliance activities and provides the assurance needed to meet the obligations and objectives of the organization;
— is intended to be used by organizations of all types and sizes to deliver a more structured and consistent approach to the management of legal risk for the benefit of the organization and its stakeholders across all operational processes.
provides the focus so it aligns with compliance activities and provides the assurance needed to meet the obligations and objectives of the organization;
— is intended to be used by organizations of all types and sizes to deliver a more structured and consistent approach to the management of legal risk for the benefit of the organization and its stakeholders across all operational processes.
provides the focus so it aligns with compliance activities and provides the assurance needed to meet the obligations and objectives of the organization;
— is intended to be used by organizations of all types and sizes to deliver a more structured and consistent approach to the management of legal risk for the benefit of the organization and its stakeholders across all operational processes.
Note 1 to entry: Legal matters can have their origin in political decisions, national or international law including statute law, case law or common law, administrative acts, regulatory orders, judgement and awards, procedural rules, memorandums of understanding or contracts.
Note 2 to entry: Contractual matters relate to the situations that the organization fails to meet its contractual obligations, fails to enforce its contractual rights, or enters into contracts with terms and conditions that are onerous, inadequate, unfair and/or unenforceable.
Note 3 to entry: Risk from non-contractual rights is the risk that the organization fails to assert its non-contractual rights. For example, the failure of an organization to enforce its intellectual property rights, such as its rights related to copyright, trademarks, patents, trade secrets and confidential information against a third party.
Note 4 to entry: Risk from non-contractual obligations is the risk that the organization’s behaviour and decision-making can result in illegal behaviour, a failure in non-legislative duty-of-care (or civil duty) to third parties. This could include an organization infringing third-party intellectual property rights, a failure to meet requisite standards of care due to customers (such as misselling), or inappropriate use or management of social media resulting in a third-party claim of defamation or libel.
The inputs to the process of managing risk are based on information sources such as historical data,
experience, stakeholder feedback, observation, forecasts and expert judgement. However, decision
makers should inform themselves of, and should take into account, any limitations of the data or
modelling used or the possibility of divergence among experts.
and given that such views could be emotionally, socially, culturally, and politically constructed and perceived, organizations should develop formal and informal mechanisms to help ensure that human and cultural factors do not adversely result in legal risk. Organizations should also seek to encourage the realization, benefits and opportunities of the management of such risks. Every member in the organization should be aware of how each action or non-action affects legal risks.