El documento describe los requisitos de la Ley de Prácticas Corruptas en el Extranjero de Estados Unidos (FCPA) y las estrategias para garantizar el cumplimiento. La FCPA prohíbe sobornar a funcionarios públicos extranjeros para obtener ventajas indebidas. El documento analiza los elementos de una violación, las excepciones permitidas, sanciones y estrategias de cumplimiento como políticas anticorrupción, debida diligencia de terceros, identificación de señales de alerta y mapeo de riesgos.
El control interno se estructura en cinco componentes o dimensiones: 1.- El ambiente de control; 2.- la evaluación de riesgos; 3.- las actividades de control; 4.- la información y comunicación y 5.- supervisión, seguimiento o monitoreo.
El control interno procurar la eficiencia, eficacia, economía y legalidad de los procesos y operaciones institucionales y el acatamiento de las políticas establecidas por las máximas autoridades del organismo o entidad.
EVALUACIÓN DEL SISTEMA DE CONTROL INTERNO
OBJETIVOS DE LA EVALUACIÓN DE CONTROL INTERNO
FUENTES DE INFORMACIÓN PARA LA EVALUACIÓN DE CONTROL INTERNO:
DEFINICIÓN DEL CONTROL INTERNO
TIPOS DEL CONTROL INTERNO
CLASIFICACIÓN DE LOS CONTROLES
MODELOS DE CONTROL INTERNO
COSO I
COSO II
MICIL
CORRE
MÉTODOS O TÉCNICAS EVALUACIÓN DE CONTROL INTERNO
NARRATIVAS
CUESTIONARIOS
FLUJOGRAMAS
SOX & FCPA COSO 2013 COBIT SOX con el marco normativo Español Hernan HuwylerHernan Huwyler, MBA CPA
FCPA SOX & COSO 2013 COBIT 5 Gobierno Corporativo y Controles de Sistemas . Hernan Huwyler
Análisis de la FCPA – Foreign Anticorruption Act : sujetos obligados, debida diligencia y principales sanciones:
- Disposiciones Anti-soborno: principales indicadores y alarmas
- Pagos a terceros
- Gestión de excepciones
- Régimen Sancionador
Grupos multinacionales: programas anticorrupción
Marco contextual de la SOX: Ley Sarbanes-Oxley, metodología COSO como marco de referencia y relación de SOX con el marco normativo español
• Introducción: Conceptos de Gobierno Corporativo
Concepto y contenido del Gobierno Corporativo
El origen del Gobierno Corporativo: el Informe Cadbury
- Antecedentes de la Ley Sarbanes - Oxley
Crisis de confianza en los mercados
- Escándalos financieros y fraudes corporativos
La ley Sarbanes - Oxley : Objetivo de la Ley
Estructura y contenido
Principales Secciones
- La metodología COSO como marco de referencia
Concepto de control interno
Componentes de COSO
- La Ley Sarbanes - Oxley y el Marco Normativo Español
Relación
Las recomendaciones de la CNMV
Sistemas Internos de Control y de Gestión de Riesgos en relación con el proceso de emisión de la información financiera
Entity level controls (controles de entidad): identificación de riesgos
El control interno se estructura en cinco componentes o dimensiones: 1.- El ambiente de control; 2.- la evaluación de riesgos; 3.- las actividades de control; 4.- la información y comunicación y 5.- supervisión, seguimiento o monitoreo.
El control interno procurar la eficiencia, eficacia, economía y legalidad de los procesos y operaciones institucionales y el acatamiento de las políticas establecidas por las máximas autoridades del organismo o entidad.
EVALUACIÓN DEL SISTEMA DE CONTROL INTERNO
OBJETIVOS DE LA EVALUACIÓN DE CONTROL INTERNO
FUENTES DE INFORMACIÓN PARA LA EVALUACIÓN DE CONTROL INTERNO:
DEFINICIÓN DEL CONTROL INTERNO
TIPOS DEL CONTROL INTERNO
CLASIFICACIÓN DE LOS CONTROLES
MODELOS DE CONTROL INTERNO
COSO I
COSO II
MICIL
CORRE
MÉTODOS O TÉCNICAS EVALUACIÓN DE CONTROL INTERNO
NARRATIVAS
CUESTIONARIOS
FLUJOGRAMAS
SOX & FCPA COSO 2013 COBIT SOX con el marco normativo Español Hernan HuwylerHernan Huwyler, MBA CPA
FCPA SOX & COSO 2013 COBIT 5 Gobierno Corporativo y Controles de Sistemas . Hernan Huwyler
Análisis de la FCPA – Foreign Anticorruption Act : sujetos obligados, debida diligencia y principales sanciones:
- Disposiciones Anti-soborno: principales indicadores y alarmas
- Pagos a terceros
- Gestión de excepciones
- Régimen Sancionador
Grupos multinacionales: programas anticorrupción
Marco contextual de la SOX: Ley Sarbanes-Oxley, metodología COSO como marco de referencia y relación de SOX con el marco normativo español
• Introducción: Conceptos de Gobierno Corporativo
Concepto y contenido del Gobierno Corporativo
El origen del Gobierno Corporativo: el Informe Cadbury
- Antecedentes de la Ley Sarbanes - Oxley
Crisis de confianza en los mercados
- Escándalos financieros y fraudes corporativos
La ley Sarbanes - Oxley : Objetivo de la Ley
Estructura y contenido
Principales Secciones
- La metodología COSO como marco de referencia
Concepto de control interno
Componentes de COSO
- La Ley Sarbanes - Oxley y el Marco Normativo Español
Relación
Las recomendaciones de la CNMV
Sistemas Internos de Control y de Gestión de Riesgos en relación con el proceso de emisión de la información financiera
Entity level controls (controles de entidad): identificación de riesgos
Presentación master de compliance con estudios de riesgos de cumplimiento normativo. Técnicas, procedimientos y propuestas para gestionar riesgos de incumplimientos de normativa medioambiental y la aplicación de sistemas integrados de gestión bajo el estándar ISO 14001. Compliance y la prevención de los delitos ambientales (ej. Cap 3 “de los delitos contra los recursos naturales y el medio ambiente). Elementos de un programa de protección o de corporate defense. Por Hernan Huwyler
Curso de Auditoría de Proyectos de Inversión Pública II parte ENE.2014 - Dr...Miguel Aguilar
El curso comprende el ciclo integral del proceso auditor a los estudios de pre inversión, inversión y postinversión de los proyectos de inversión pública.
Organigrama y Manuales AdministrativosJorge Zelaya
Los manuales administrativos son documentos que sirven como medios de comunicación y coordinación que permiten registrar y transmitir en forma ordenada y sistemática la información de una organización.
Curso COSO 2013 Nuevo Marco Integrado de Control Interno DIC.2013 - Dr. Migu...Miguel Aguilar
Internaliza herramientas y conocimientos sobre del Sistema de Control Interno, las dsiferencias entre el control interno administrativo y contable, así como la diferencia entre los controles preventivo, detectivo y correctivo.
Profiling for SAP - Compliance Management, Access Control and Segregation of ...TransWare AG
Complex ERP systems are potentially susceptible to segregation of duties (SoD) issues. By means of Profiling for SAP®, the desired responsibilities of SAP® users can be counterchecked against the real usage of SAP®
How do you know that your ERP system is SOX compliant? How can you enforce Segregation of Duties (SoD) rules? Don't be another Enron. Use compliance software to give your ERP software a check up from the neck up.
To arrange for a demo of SOX and SoD compliance software for your ERP system, send an e-mail to info@i-app.com or call Performa Apps CEO Dan Aldridge at 703.251.4504.
For much more content on ERP systems and enterprise software, visit us at http://inforln.com.
El Control Interno es la base donde descansan las actividades y operaciones de una empresa, es decir, que las actividades de producción, distribución, financiamiento, administración, entre otras son regidas por el control interno.
Compliance management systems: cómo establecer procedimientos y medidas de control para supervisar, gestionar y monitorizar el cumplimiento normativo • Risk Assessment: cómo evaluar las vulnerabilidades legales en
materia de cumplimiento normativo de cada una de las áreas de la organización
> Claves para la identificación de los riesgos
> Cómo determinar los objetivos de Compliance y alinearlos con la estrategia empresarial
• Creación de nuevas políticas y códigos de conducta
> El código ético como base para el resto de políticas: claves para su diseño y redacción
> Aspectos a tener en cuenta para lograr una articulación de políticas: claves para la priorización de normas
• Difusión del sistema: qué instrumentos son los más adecuados para asegurar que los empleados conocen y entienden qué se espera de ellos
> Ámbito legal. Cómo acreditar el conocimiento y aceptación por parte de los empleados
> Ámbito cultural. Cómo incentivar y premiar el cambio de conductas
> Auditorías periódicas de revisión del comportamiento profesional: cómo articular un sistema disciplinario
• Documentación del modelo.
Cómo asegurar la trazabilidad de las medidas adoptadas de cara a un hipotético proceso judicial como Corporate Defense
• Certificación del sistema: qué certificaciones y estándares son los más aceptados a nivel jurídico
• Auditoría Externas: cuándo y cómo deben encargarse y realizarse
• Los “Compliance Ambassadors”. Cómo gestionar y construir una red de colaboradores en departamentos y sucursales
• Gestión de incidencias Compliance de compras: ¿cómo
cuantificar los riesgos asociados a las relaciones comerciales con proveedores de productos y servicios?
• Procedimientos para la Due Diligence del proveedor: ¿cómo implantar un sistema de “Know Your Supplier”?
• Qué elementos se deben tener en cuenta en una auditoría de socios, contratos y joint ventures • Compliance de contratos: políticas de control de los procesos de adquisición de bienes y servicios
Hernan Huwyler
Dirección de Control Interno
y Gestión de Riesgos
VEOLIA
Responsabilidad Penal Corporativa - Programa de Prevención de Delitos - Como ...Hernan Huwyler, MBA CPA
Responsabilidad Penal Corporativa - Programa de Prevención de Delitos - Como Implementarlo
Incluyendo:
- Compliance Program
- Reforma del Código Penal
- Funciones del Compliance Officer
- Delitos que deben ser prevenidos
- Gestión de los recursos financieros
- La responsabilidad penal de las personas físicas
- Representantes legales o administradores
- Observancia del modelo de prevención
- Ideas, respuestas, herramientas, recetas y motivación
- Órgano de la persona jurídica con poderes autónomos
- Regulación del código penal para las personas jurídicas
- Responsabilidad de los administradores
- Asesoramiento especializado en prevención
- Circunstancias atenuantes de la responsabilidad penal
Herramientas de cumplimiento legal, comercial y financiero como parte de la gestión de un programa de Due Diligence exigido para corporaciones bajo leyes FCPA.
Compliance Sectorial para Oil&Gas, Minería y Energía (Sector primario)Hernan Huwyler, MBA CPA
Presentación master de compliance con estudios de riesgos de cumplimiento normativo para empresas petroleras, mineras y de energía globales. Explicación de herramientas e ideas para programas de compliance orientados a sectores primarios. Detalles de las principales regulaciones mineras, petroleras y de energía con el desarrollo de las principales áreas de acción y riesgos. Por Hernan Huwyler
Presentación para implementar un plan de compliance Cómo diseñar e implementar un Programa de Prevención de Delitos: cumpliendo con las exigencias del Código Penal
• Cómo debe implementarse un Programa de Prevención de Delitos.
Alcance mínimo y mejores prácticas • Cuáles son las distintas fases de implementación
> Alcance y estrategias de organización según la cultura y la madurez del control interno. Estructura y dependencia
> Orientación de recursos según los distintos riesgos identificados en un mapa de riesgos penales
> Prácticas y medidas eficientes de prevención en políticas y
protocolos de delegación de autoridad
> Debido control ante riesgos y fraudes frecuentes
> Prácticas de documentación de los controles del programa
> Reporte de riesgos y faltas a comités
> Monitoreo del programa y de nuevos riesgos
• Cómo incorporar e integrar en el Código Ético los siguientes
ítems: canal de denuncia, código financiero, prevención de corrupción, información privilegiada, delitos contra el mercado, poderes y protección del medio ambiente
Presentación master de compliance con estudios de riesgos de cumplimiento normativo. Técnicas, procedimientos y propuestas para gestionar riesgos de incumplimientos y normativos en las empresas alineadas a los estándares de la ISO 31000 y COSO ERM. Metodologías para la identificación de riesgos de compliance (riesgos de incumplimiento o compliance risks) para sostener el corporate defense. Factores a tener en cuenta en la valoración del impacto y la probabilidad. Por Hernan Huwyler
Compliance for Government Contractors / Compliance para la Contratación Pública Hernan Huwyler, MBA CPA
Programa de compliance penal para negociar a la administración pública
Hernan Huwyler, MBA, CPA
Cómo desarrollar un programa eficaz de compliance penal en empresas que establecen contratos con la Administración Pública Aspectos claves para el diseño, implantación y gestión operativa de un modelo para la prevención de delitos Monitoreo y supervisión del Compliance Officer sobre
contratos públicos: pasos para lograr la implementación efectiva de controles
• Qué controles debe implementar el Compliance Officer para contratar con la Administración Pública
• Políticas recomendadas para reducir el riesgo de corrupción, conflictos de interés, tráfico de influencias y abuso de mercado: controles específicos recomendados
desde Compliance
• Políticas sugeridas sobre licitaciones, ofertas, concesiones,
subvenciones y certificaciones
• Mejores prácticas al momento de subcontratar y constituir joint
ventures: due diligence de terceras partes y check-list de controles
• Controles para licitar con empresas públicas, cauciones y fianzas: Revisión de metodologías para el análisis de riesgos relacionado con la contratación y las
subvenciones públicas: cómo incorporarlo al Mapa de Riesgos de Compliance
• Metodología para establecer un análisis de riesgos en licitaciones y contratos con la Administración Pública
• El riesgo de corrupción y otros riesgos asociados a contratos públicos
> El reclamo ilegal de costes En qué momento efectuar el análisis de riesgos, momentos para efectuar el análisis
> Riesgos sobre cláusulas de contratos de concesiones
> Cómo identificar y reconocer áreas con problemas potenciales
• Prácticas para incorporar los riesgos de contratos públicos a un Mapa de Riesgos general de Compliance: cómo ampliar los enfoques de gestión de riesgos
sobre la nueva ISO 37001:2016 y guía de la OCDE
• Consejos sobre la gestión y negociación con funcionarios públicos: entrenamiento específico a personal de contrataciones, desarrollo de negocios y
operaciones, identificación de red flags
Cómo desarrollar un programa eficaz de Compliance Penal en empresas que establecen contratos con la Administración Pública
• Aspectos claves para el diseño, implantación y gestión operativa
de un modelo para la prevención de delitos
Compliance risk is the risk of failing to comply with laws, regulations, standards, and guidelines that organizations are subject to. Noncompliance risks can lead to legal, financial, and reputational consequences. Compliance officers play a critical role in identifying, assessing, and managing compliance risks. Compliance risks can also present opportunities for organizations to improve their practices, enhance their reputation, and gain a competitive advantage.
ISO 37301 is a standard that provides guidance on compliance management systems. The standard defines compliance risk as the risk of noncompliance with laws, regulations, and other requirements that an organization is obligated to comply with. Compliance risks can arise from internal and external factors, such as changes in laws and regulations, new business operations, third-party relationships, and cultural differences. ISO 37301 emphasizes the importance of managing compliance risks through a systematic and proactive approach that includes risk assessment, risk treatment, monitoring, and review.
Compliance officers serve as trusted advisors to senior management and provide guidance and support in compliance planning and decision-making. Compliance officers need to have a deep understanding of the organization's operations, risks, and culture to identify and manage compliance risks effectively. Compliance officers should also have strong communication and interpersonal skills to build relationships with stakeholders, including senior management, employees, regulators, and other external parties.
The level of compliance risk varies depending on the nature, complexity, and scale of an organization's operations. Compliance risks can be classified into three levels: low, medium, and high. Low-risk compliance activities are routine and have little impact on the organization's operations or reputation. Medium-risk compliance activities are more complex and involve higher stakes, such as regulatory compliance, data privacy, and anti-corruption. High-risk compliance activities involve significant legal, financial, and reputational consequences, such as anti-money laundering, anti-bribery, and sanctions compliance.
Compliance risks can also present opportunities for organizations to improve their practices, enhance their reputation, and gain a competitive advantage. For example, a company that implements strong data privacy practices can enhance customer trust and loyalty. A company that complies with anti-corruption laws can reduce legal and reputational risks and attract socially responsible investors. Compliance officers should work with senior management to identify and leverage compliance risks as opportunities to create value for the organization.
Compliance risk, noncompliance, ISO 37301, compliance officer, trusted advisor, risk level, opportunities, regulatory risks, obligations, ethical risks, inherent risks, residual risks, risk-taking, tolerance, control level, sustainability
Compliance risk is the risk of failing to comply with laws, regulations, standards, and guidelines that organizations are subject to. Noncompliance risks can lead to legal, financial, and reputational consequences. Compliance officers play a critical role in identifying, assessing, and managing compliance risks. Compliance risks can also present opportunities for organizations to improve their practices, enhance their reputation, and gain a competitive advantage.
ISO 37301 is a standard that provides guidance on compliance management systems. The standard defines compliance risk as the risk of noncompliance with laws, regulations, and other requirements that an organization is obligated to comply with. Compliance risks can arise from internal and external factors, such as changes in laws and regulations, new business operations, third-party relationships, and cultural differences. ISO 37301 emphasizes the importance of managing compliance risks through a systematic and proactive approach that includes risk assessment, risk treatment, monitoring, and review.
Compliance officers serve as trusted advisors to senior management and provide guidance and support in compliance planning and decision-making. Compliance officers need to have a deep understanding of the organization's operations, risks, and culture to identify and manage compliance risks effectively. Compliance officers should also have strong communication and interpersonal skills to build relationships with stakeholders, including senior management, employees, regulators, and other external parties.
The level of compliance risk varies depending on the nature, complexity, and scale of an organization's operations. Compliance risks can be classified into three levels: low, medium, and high. Low-risk compliance activities are routine and have little impact on the organization's operations or reputation. Medium-risk compliance activities are more complex and involve higher stakes, such as regulatory compliance, data privacy, and anti-corruption. High-risk compliance activities involve significant legal, financial, and reputational consequences, such as anti-money laundering, anti-bribery, and sanctions compliance.
Compliance risks can also present opportunities for organizations to improve their practices, enhance their reputation, and gain a competitive advantage. For example, a company that implements strong data privacy practices can enhance customer trust and loyalty. A company that complies with anti-corruption laws can reduce legal and reputational risks and attract socially responsible investors. Compliance officers should work with senior management to identify and leverage compliance risks as opportunities to create value for the organization.
Compliance risk, noncompliance, ISO 37301, compliance officer, trusted advisor, risk level, opportunities, regulatory risks, obligations, ethical risks, inherent risks, residual risks, risk-taking, tolerance, control level, sustainability
SICOF - El presente documento ha sido preparado por la subdirección de Metodologías e
Instrumentos de Supervisión y no debe ser utilizado para cualquier fin distinto a
servir como material informativo. Asimismo, busca orientar al público en general
sobre Subsistema de Administración del Riesgo de Corrupción, Opacidad Y
Fraude (SICOF) de acuerdo con la Circular Externa 20211700000005-5 de 2021.
El mismo, no constituye un concepto, interpretación, o alcance de las normas en él
contenidas.
Mapping Compliance Risks - Criminal Liability of Legal Persons - Mapa de Ries...Hernan Huwyler, MBA CPA
Universidad Complutense de Madrid UCM - Corporate Compliance
Mapa de riesgos de compliance art 31 bis,
¿Cómo efectuar un mapa de riesgos para el modelo de prevención de delitos?
Identificación, mapeo y priorización de riesgos penales y de compliance
Identificación de procesos y revisión de los controles existentes
Consenso de planes de acción
Si haces negocios en francia, conoce el ABC del complianceAGM Abogados
La entrada en vigor de la Ley Sapin II en Francia tendrá un gran impacto en las empresas españolas que sean clientes, proveedores e intermediarios de compañías francesas, ya que se verán obligados a contar con ciertos estándares de compliance para poder mantener sus relaciones comerciales.
Puntos finos sobre el Plan de Fiscalización iniciado por el SATCertificacion_ECL
Por medio de la Ley de Precios de Transferencia, a miles de contribuyentes guatemaltecos fueron obligados a reportar las operaciones de su intercompañía y los resultados de su Estudio de Precios de Transferencia en la Declaración Jurada de Partes Relacionadas, a más tardar el 31 de marzo del 2016. En Grupo Consultor Efe te informamos más de precios de transferencia en: http://www.grupoconsultorefe.com/servicio/precios-de-transferencia/guatemala
PREVENCION DELITOS RELACIONADOS COM INT.pptxjohnsegura13
Concientizar y sensibilizar a los funcionarios, sobre la importancia de promover la seguridad en sus operaciones de comercio internacional, mediante la unificación de criterios relacionados con la trazabilidad de sus operaciones.
Similar a Requisitos de SOX y FCPA para diseñar un sistema de control interno para cumplir con exigencias norteamericanas (20)
Overview of the potential risks and challenges associated with the development and deployment of AI systems, as well as the recommended controls and best practices to mitigate them. The presentation covers the following topics:
Design risks: These are the risks related to the design and specification of the AI system, such as lack of clarity, alignment, or validation of the objectives, assumptions, or constraints of the system. Some of the factors that contribute to these risks are:
Inadequate or ambiguous problem definition
Unrealistic or conflicting expectations or requirements
Insufficient or inappropriate testing or evaluation methods
Lack of transparency or explainability of the system’s logic or behavior
Some of the recommended controls for these risks are:
Define the problem and the scope of the system clearly and explicitly
Involve relevant stakeholders and experts in the design process
Use appropriate methods and metrics to test and evaluate the system’s performance and robustness
Document and communicate the system’s objectives, assumptions, limitations, and uncertainties
Provide mechanisms to explain or justify the system’s outputs or decisions
Data risks: These are the risks related to the data used to train, test, or operate the AI system, such as data quality, availability, security, or privacy issues. Some of the factors that contribute to these risks are:
Incomplete, inaccurate, or outdated data
Biased, unrepresentative, or irrelevant data
Unauthorized access, modification, or disclosure of data
Violation of data protection laws or ethical principles
Some of the recommended controls for these risks are:
Collect, store, and manage data in a secure and compliant manner
Ensure data quality, validity, and reliability through data cleaning, verification, and auditing
Ensure data diversity, representativeness, and relevance through data sampling, augmentation, and analysis
Protect data privacy and confidentiality through data anonymization, encryption, or aggregation
Respect data rights and consent of data subjects and providers
Operation risks: These are the risks related to the operation and maintenance of the AI system, such as system failure, malfunction, or misuse. Some of the factors that contribute to these risks are:
Hardware or software errors or defects
Environmental or contextual changes or uncertainties
Adversarial or malicious attacks or manipulations
Unintended or harmful consequences or impacts
Some of the recommended controls for these risks are:
Monitor and update the system regularly and proactively
Adapt and calibrate the system to changing or uncertain conditions or scenarios
Detect and prevent potential threats or vulnerabilities
Asociacion Profesionistas de Compliance - Initiatives to Reduce the Cost of C...Hernan Huwyler, MBA CPA
Prof. Hernan Huwyler's slideshare discusses in detail five key actions that organizations can take to reduce compliance costs. These actions are designed to help organizations increase their compliance efficiency, reduce compliance risks, and lower compliance costs.
The first action proposed by Prof. Hernan Huwyler is to designate local managers as compliance representatives in business units. This helps to amplify control while reducing the compliance function's structure. By designating local managers as compliance representatives, organizations can have a more effective compliance structure with fewer resources. Local managers can act as compliance ambassadors and help ensure that the organization's compliance policies and procedures are followed in their business units.
The second action proposed is to quantify compliance risks and price potential claims, compensations, fraud, and revenue losses due to noncompliance. By quantifying compliance risks, organizations can better understand the potential costs of non-compliance and allocate resources accordingly. This can also help organizations prioritize their compliance efforts and ensure that they are focusing on the most significant compliance risks.
The third action is to assign the testing of compliance controls to process owners and outsourcing service providers. This helps to distribute the responsibility for compliance testing and can reduce the workload of the compliance function. By assigning compliance testing to process owners, organizations can ensure that compliance controls are tested regularly, and issues are identified and addressed promptly.
The fourth action proposed is to embed efficient controls in clearly articulated procedures. By embedding controls in procedures, organizations can ensure that compliance requirements are met consistently and effectively. Efficient controls can help organizations streamline compliance processes and reduce compliance costs.
Finally, the fifth action is to add requirements for compliance skills when recruiting legal and financial managers in business units. This helps to ensure that compliance is a consideration when recruiting new managers. By ensuring that managers have the necessary compliance skills, organizations can better integrate compliance into their business operations and reduce the risk of non-compliance.
In addition to these five actions, the slideshare also suggests other recommendations, such as delegating compliance consultations, audits, and due diligence, benchmarking the scope of risk assessments, and implementing policies to simplify wording and articulation of procedures. Additionally, the slideshare recommends coordinating actions with business units to assess, implement, measure, and reward cost reduction initiatives. By following these recommendations, organizations can reduce their compliance costs while maintaining effective compliance programs.
This Slideshare presentation by Professor Hernan Huwyler discusses a model to quantify compliance, legal, and contractual risks. It highlights the importance of understanding the impact of uncertainty on objectives and identifies mandatory and voluntary compliance objectives. The presentation discusses different techniques to quantify risks, such as heatmaps, risk matrices, common malpractice, scores, and escalation matrices, and the problems with these techniques, such as biases, incomplete data, and aggregation issues. The presentation proposes a compliance risk modeling approach, which involves understanding the distribution of events, consequences, impact, causes, and frequency of risks. It suggests using different probability distributions, such as log-normal, Pareto, normal, Poisson, Bernoulli, and triangular, to model risks. The presentation also discusses the chain of events that can lead to different types of losses, including penalties, compensations, fines, sanctions, legal and remediation costs, loss of customers, marketing depreciation, loss of licenses, and stock price. It explains different techniques to model losses, such as graphs, decision trees, Monte Carlo simulations, and calibrated estimates. Finally, the presentation highlights the importance of using different sources of risk data, including internal and external data, paid compensations, fines, and credits, fraud losses, legal fees, and complaints, and industry studies, enforcement trackers, and case analysis. It also provides examples of business cases related to compliance objectives and contractual clauses that set penalties for non-compliance. The presentation concludes with a demo of the proposed model to quantify compliance, legal, and contractual risks.
The summary is about an upcoming Safety Roundtable event on the topic of "Ditch your heat maps" presented by Professor Hernan Huwyler, MBA CPA. The event aims to help attendees transform their approach to safety risk management by moving away from subjective measures such as colours, adjectives, and heat maps, and instead focusing on a data-driven model to quantify and manage operational risks.
The event emphasizes the importance of using data and financial information to inform decision making in order to minimize biases and justify investments. Attendees will gain insights on a quantitative model that will help them measure, visualize, and manage operational risks, as well as tips to reduce risk, enhance insurance and protection, and control investment.
The event is relevant to anyone interested in risk management, insurance, and safety, and aligns with ISO 31000, the international standard for risk management. The event includes a Q&A session at the end, providing attendees with the opportunity to ask questions and share their perspectives.
Overall, the Safety Roundtable event promises to be a valuable opportunity to learn from Professor Hernan Huwyler's insights, network with other professionals interested in risk management, and gain practical knowledge on how to improve safety risk management practices using a data-driven approach.
Obtaining resources, planning actions, and budgeting are essential for any organization's successful compliance management. Compliance management is the practice of ensuring that a company adheres to regulatory requirements and internal policies. This summary will explore key considerations for planning compliance initiatives, evaluating regulatory requirements, stakeholder needs, and developing a timeline of activities. It will also cover how to detect corruption and fraud schemes, control representation expenses, and prevent over-invoicing. Finally, we will discuss fraud impact and controls and how to demonstrate the return on investment in compliance.
To begin with, it is crucial to obtain resources to initiate compliance management. The compliance team should have adequate resources to ensure that the organization is compliant with regulatory requirements. The resources should include trained personnel, financial resources, software, and hardware, among others. After obtaining resources, the next step is planning actions and budgeting. Planning should involve various stakeholders and departmental heads to ensure that all areas of the organization are covered. Planning actions and budgeting should include developing a compliance plan, identifying potential compliance risks, and developing mitigation strategies.
While planning compliance initiatives, it is essential to evaluate the regulatory horizon, stakeholder needs, open items, and new strategies. The regulatory horizon involves understanding the regulatory landscape, identifying new regulations, and monitoring the existing ones. Stakeholder needs involve understanding the needs of all stakeholders, including shareholders, customers, and employees. Open items are compliance issues that are unresolved, and new strategies are measures that an organization intends to take to comply with regulations.
Developing a timeline of activities to address certifications and audit needs is critical. A timeline helps to ensure that an organization is compliant with regulations within the stipulated timeline. The timeline should involve developing a compliance plan, identifying potential compliance risks, and developing mitigation strategies. It should also include training employees on compliance, conducting regular internal audits, and reviewing the compliance plan to ensure that it is up to date.
Demonstrating the return on investment in compliance is essential. A return on investment (ROI) helps to justify the resources that an organization invests in compliance. Demonstrating ROI involves identifying the costs of compliance management, such as personnel, software, and hardware costs. It also involves identifying the benefits of compliance management, such as reducing the risk of regulatory fines and reputation damage.
Support Ukraine from compliance 🇺🇦 Join our free special webinar to get practical tips on how to
- adjust due diligence to address new global sanctions, export controls, and trade restrictions
- identify third parties, beneficial owners, shell companies, and assets related to Russia and Belarus
- activate exit plans and force major clauses
- address changes in the expectations of stakeholders to cancel operations, payments, financing, investing, and partnerships
- apply measures to support affected employees and the Ukrainian people
- prepare for possible Russian cyber and commercial attacks
👉 Enroll the webinar for free https://lnkd.in/gJR27Dci
#compliance #export #russianthreat #ukraine #complianceofficer #riskmanagement #sanctions #UkrainiansWillResist #business #investment #corporateresponsibility #businessethics #HR #people #investing #payments #payments #cyber #webinar
Minimising Privacy Risk from A Global DPO Perspective https://www.copenhagencompliance.com/2021/dpoday/agenda.htmlDPO, CISO, Controller or Processor? – (And the Risk Of Mixing Roles)
Minimising the Aggregate Privacy Risk Vs Contract Sharing
Using A Data Processor Modular DPIA And Data Flow
Leveraging Binding Corporate Rules as Data Processor
Prof. Hernan Huwyler, CPA, MBA
Master in Sustainability Leadership Sustainability Risks Prof Hernan HuwylerHernan Huwyler, MBA CPA
Course on sustainability risk management for the Master in Sustainability and Corporate Social Responsibility Leadership at the Universidad Complutense de Madrid. I will provide the students with tips, tools, and models to assess and manage operational, compliance, integrity, governance, solvency, profitability environmental, climate change, and supply chain risks as part of a sustainability and social responsibility program.
Respond to new ALM obligations
Identify the key compliance changes for scope, subjects and operations
Facilitate the design and execution of compliance checks on payment methods and the use of virtual currencies
Evaluate gaps in processes to update controls and procedures
Consider the impact on corporate criminal liability using the new ISOs 37301 and 37002
Register virtual asset service providers
Assess new compliance and operational risks
Identify scenarios of risks and vulnerabilities on new crime typologies
Prevent risks of anonymous transfers and the use of prepaid cards
Manage risks on high value operations and art trade
Integrate risks to know your customer and money laundering
Detect and report suspected operations
Compare control practices regarding new requirements
Update the decision matrices on alerts
Adjust customer due diligence process
Implement the use of the lists of politically exposed persons
Report discrepancies with the public register of effective owners
Implementation of new technologies
Evaluate the prerequisites regarding quality of data and capabilities for compliance solutions
Evaluate solutions to automate and digitize processes related to robotics
Use machine learning applications for reporting suspicious transactions
Recommend practices for implementing analytics solutions on text and data
I am invited to speak at the Iberoamerican Compliance Conference hosted by the Universidad Complutense de Madrid (Argentina + web, Jun 29/Jun 1, Spanish). I will deliver a master class on quantitative vs. qualitative assessments of compliance risks. It will be exciting to meet great compliance colleagues and friends as Zulma Escalante, Eduardo Navarro Villaverde, Javier Puyol Montero, Silvina Bacigalupo, Daiana C., Carlos J. Díaz Navarrete, Félix Pablo Crous, Lic. Graciela Garay, Macarena Retamosa, Miguel Soler Ruiz-Boada, Nieves Cifuentes Valero, Sebastian Daniel Barletta, virginia olivieri and other fellows.
https://lnkd.in/e_qfztj
Register https://lnkd.in/e-iAMgM
#compliance #riskmanagement #ECI2021 #ECIArgentina2021 #UCM
ARENA - Prof Hernan Huwyler - Debate Is Machine Learning Mature Enough?Hernan Huwyler, MBA CPA
I am excited to discuss how organizations need to be prepared before implementing machine learning with Jason Maude at the Machine Learning in Financial Services event hosted by Arena International Events Group (June 30, online). We will provide recommendations to develop the conditions to successfully implement artificial intelligence projects. Thanks to Rebecca Mayoh for the event coordination.
Join here https://lnkd.in/ec6qP4A
#machinelearning #compliance
I am writing an article on the most common challenges to comply with the #ISO37301 for the IE Law School. What are the elements of your compliance management system that you plan to improve?
#compliance
I enjoyed presenting on effective controls for software development with Matthew Crabbe and QA Financial. I am pushing the concept of "cyber compliance" to define internal and external requirements for IT assets such as software, data, hardware, services, contracts, and licenses. Cyber compliance is rapidly expanding from licenses, privacy and contracts with IT vendors to outsourcing, software development and business continuity of essential services providers, cloud in particular.
#riskmanagement #compliance #itcontrol #CISO #cybersecurity
My classes on IT risk management. Recommendations do you expect to cover in a course on IT risk management and governance?
#riskmanagement #risk #governance #cybersecurity #security #informationsecurity #ciso #ITgovernance #ITRIsk #cyberrisk
Stronger 2021 Building the Blocks to Quantify Cyber Risks - Prof hernan huwylerHernan Huwyler, MBA CPA
I am honored and humbled to have been given the opportunity to discuss practices to address cyber risks at the 2021 STRONGER conference hosted by CyberSaint Security (Sep 28, online). I will discuss the building blocks to quantify and communicate risks to protect IT assets, processes, and services. Thanks to Ethan Bresnahan for the flawless preparation of the event.
You are welcome to register here https://lnkd.in/eitKYDsX
#cybersecurity #security #datasecurity #infosec #riskmanagement #ciso #stronger2021
Learn how to design, implement. operate and certify a compliance program under the new ISO 37301. Join the IE Law School professors, Alvaro Arjona l Ph.D, Jesica Hita Ruiz, Fabio G. Pérez-Bryan and me, to get a toolbox with facilitators, guidance, reference policies, checklist and other practical references.
8 modules - 12 hours - Sept 27th and 28th - Online
- Requirements, terms scope, elements and certification and consultancy market
- Practical impact. main changes, benchmark, and introduced components
- Adequacy for criminal law compliance in Spain (UNE 19601) and in LatAm
- Processes from risk analysis to reporting and evaluation
- Implementation of requirements
- Recommendations and facilitators for implementation.
- Roadmap with evidence to certify
- Documentation review program for implementation assurance
- Methodology for testing compliance controls and documentation reviews
Thanks to Sibel Abdulovska, Paula Abascal Gutierrez-Colomer and Maria Serrano for the flawless coordination of the course.
Lean more: https://lnkd.in/gezyzmgn
#ISO37301 #CCO #compliance #audit #certification #ISO37002
It was a pleasure to moderate a workshop to assess cyber security risks hosted by Strategy Insights. We discussed options and practices to quantify confidentiality, integrity, and availability risks with delegates of the big players in the pharma, banking, retailing, and service sectors in the Nordics.
Thanks to Anna Rose Poyntz, Finlay Wilson, and Edgar Baier for the event coordination.
Round tables https://lnkd.in/e_m5eTW5
#cybersecurity #compliance #strategy #banking #ciso #riskmanagement
More than 121 governance specialists joined Copenhagen Compliance, GRC and GDPR Solutions to discuss how boards are addressing innovation and transformation challenges. I provided tips for board members to effectively deal with digital transformation.
Thanks to Kersi Porbunderwala and Olga Maitland for the coordination of the event.
Join the next event on corporate culture https://lnkd.in/eMg4anP3
#digitaltransformation #innovation #transformation #leadership #CorpGov #corporategovernance
El análisis PESTEL es una herramienta estratégica que examina seis factores clave del entorno externo que podrían afectar a una empresa: políticos, económicos, sociales, tecnológicos, ambientales y legales.
Anna Lucia Alfaro Dardón, Harvard MPA/ID. The international successful Case Study of Banco de Desarrollo Rural S.A. in Guatemala - a mixed capital bank with a multicultural and multisectoral governance structure, and one of the largest and most profitable banks in the Central American region.
INCAE Business Review, 2010.
Anna Lucía Alfaro Dardón
Dr. Ivan Alfaro
Dr. Luis Noel Alfaro Gramajo
Guía para hacer un Plan de Negocio para tu emprendimiento.pdfpppilarparedespampin
Esta Guía te ayudará a hacer un Plan de Negocio para tu emprendimiento. Con todo lo necesario para estructurar tu proyecto: desde Marketing hasta Finanzas, lo imprescindible para presentar tu idea. Con esta guía te será muy fácil convencer a tus inversores y lograr la financiación que necesitas.
4. Sistema de Control Interno
para Exigencias US
01. Prevención de Prácticas
Corruptas en el Extranjero
Hernan Huwyler – Feb 2016
5. Análisis
Nivel directivo y
gerencias
Comités de dirección
(auditoria y control)
Colectivos de control
y auditoria
Importancia e
impacto
creciente
Requerimiento
FCPA
Impacto en los
negocios
Medidas ante
no compliance
¿A quienes aplica?
Menos aplicable Más aplicable
6. Análisis
Una amenaza palpable
En negocios globales Ambiente legal más litigioso
¿Porqué las leyes de prevención de prácticas corruptas en el
extranjero han crecido en importancia?
Presión interna de
ganar
competitividad
Presión externa al
ambiente de
negocios
7. Análisis
Una amenaza palpable
En años recientes, la exposición a sanciones por prácticas corruptas en el extranjero ha crecido en forma
significativa.
Mayores penalidades
8. Análisis
Ambiente legal más litigioso
FCPA ha sido una prioridad del
departamento de justicia
Americano
«Industria» consolidada de
investigaciones (whistleblowers)
Ambientes regulatorios
complejos
Mayor cooperación de
reguladores internacionales
Mayor control sobre SOX
Más paises trabajando en el
contecto de anticurropión de la
Organization for Economic
Cooperation and Development
(OECD)
Más companías haciendo
públicas sus violaciones (self-
disclosing FCPA violations)
9. Análisis - Historia
La FCPA se promulgó en respuesta a los
cuestionamientos que empresas
americanas habían efectuado pagos
ilegales o no éticos para asegurarse
contratos con funcionarios extranjeros.
La legislación estableció que el
departamento de justicia norteamericano
sea el encargado de su cumplimiento en
coordinación{on con la SEX (Securities
and Exchange Commission)
20151977
1977
Luego de críticas de empresas, la FCPA
se reforma para aclarar el alcance de la
ley. El principal cambio es establecer
mecanismos de defensa activos.
1988
Se reforma para alinearla a la convención
anti-corrupción de la Organization for
Economic Cooperation and Development
(OECD). De esta forma, equilibraron la
competencia injusta que tenían las
empresas norteamericanas.
1998
10. Análisis – Historia Dodd-Frank Act
Se promulgó como la Ley de Reforma de
Wall Street y Protección al Consumidor y
otorgó recompensas del 10% y un 30%
de la multa impuesta a aquellas personas
que entreguen información sobre la
comisión de un delito por parte de una
empresa registrada o con negocios en
Estados Unidos sin importar si se ha
cometido dentro o fuera de su territorio.
Influye corrupción además de
manipulación de mercados, fraude e
insider trading.
20152010
2010
Aluvión de denuncias en las primeras
semanas ante la oficina relacionada en la
SEC.
Se consolidan los despachos de
abogados buscando denunciantes, y
aparecen los primeros casos con
Siemens ,GlaxoSmithKline y Ranbaxy .
Se limitó el programa para auditores y
funciones de compliance.
Uso de la potestad anti-represaria (ej.
indemnizando a un denunciante que fue
movido de su cargo)
2011
40 millones de dólares de recompensa a
informantes extranjeros (la mayoría ex-
empleados).
10.193 denuncias de informantes (160
sobre FCPA)
A futuro hay muchos casos en
investigación en curso, y afectando a
más industrias además energía,
servicios, médicos, finance y defensa.
2014
Riego adicional por
fuga de información
11. Análisis - Resumen
… es ilegal proveer o
prometer «algo de valor»
directa o indirectamente…
… para obtener una «ventaja
injusta».
Al trabajar con «funcionarios
públicos» del extranjero…
El término «ventaja injusta» incluye:
Influenciar el acto o decisión de un funcionario publico
Obtener o retener un negocio o financiamiento
Desmerecer a los competidores
Asegurarse la impunidad de una acción ilícita
Asegurarse algún tratamiento especial fiscal o aduanero
El término «funcionarios público» incluye:
• Empleados del gobierno y políticos
• Organizaciones públicas internacionales (ej. Banco Mundial)
• Empleados de empresas públicas y similares, ejemplos:
• doctores en hospitales públicos
• profesores en universidades del estado
• compradores de empresas públicas
• familiares de los individuos de arriba
El término «algo de valor» incluye:
efectivo o servicios
regalos lujosos
pago de gastos de viaje
préstamos y descuentos
contribuciones caritativas
ayuda financiera o escolar
gastos de entretenimiento excesivos
títulos de honor, favores personales
12. Análisis - Prohibiciones
En general , la ley FCPA
sanciona a (1) empresas
norteamericanas que
sobornan a funcionarios
públicos en el extranjero, y
(2) personas y empresas
extranjeras que, directa o
indirectamente a través de
agentes, efectúan un acto de
corrupción dentro del
territorio norteamericano.
¡La compañía
cotiza en
Estados
Unidos?
Si
Prohibiciones Anti-
Corrupción
No
No hay más prohibiciones
Reporte de Principios
Contables
Aplica a todas las companías
Los estados contables
presentados deben reflejar
adecuadamente estas
transacciones y tener un
sistemas de control.
13. Análisis – 5 Elementos
Quien Intento de Corrupción Pago Destinatario Propósito de Negocio
• Aplica a toda persona,
empresa, apoderado,
director, empleado o
agente de una empresa
o de cualquier persona
que actúe a nombre de
la empresa.
•Incluye a terceras
partes como las
subsidiarias extranjeras
y joint ventures.
• La persona que hace o
autoriza el pago debe
tener un objetivo de
corrupción
•El pago debe tener el
objetivo que un oficial
público haga mal uso de
su posición para
beneficiar injustamente
al pagador o cualquier
otra persona que
designe
•Aún ofrecer el pago
constituye una violación.
•No importa si el acto de
corrupción es exitoso
• Extiende el acto de
corrupción a :
• Prohibe el pago, el
ofrecimiento, o la
promesa de pagar
dinero o cualquier
elemento de valor
• El pago debe ser
realizado con el objetivo
de ayudar a la empresa
a obtener o mantener un
contrato comercial, o de
redireccionar negocios a
cualquier persona.
Funcionarios
pñublicos del
extranjero
Oficiales de
partidos políticos de
extranjero
Cualquier
candidato político.
14. Análisis – 3 Excepciones
Pagos facilitadores Pagos de buena fe Pagos legales
• Pagos para acelerar
un procedimiento
administrativo
• Pagos razonables y
rutinarios
• Gastos razonables y
de buena fe
• Promoción y muestra
de productos o servicios
• Ejecución de un
contrato con un
gobierno
• Pagos legales a
funcionarios públicos
• Aceptados por una ley
escrita del país del
funcionario público
• Limitados o prohibidos por nuestros programas de compliance
• Si los aceptamos, deben tener aprobaciones, controles y contabilización especiales
• Los controles y aprobaciones deben ser anteriores a la ejecución
• Documentar que cumplen con los requisitos para ser una excepción a FCPA
• La separación entre sobornos prohibidos no es clara. Criterio: no cambian la decisión del
oficinal público, solamente la aceleran
• Pueden generar “dependencia” al ser luego esperados rutinariamente
• Presión de la OECD para eliminarlos
15. Análisis – Sanciones
Sanciones Penales Sanciones Civiles
Violación de
normativa
contable
Violación de
la ley anti
corrupción
• Compañías comerciales quedan sujetas a multas
de hasta 2 millones de dólares por violación o el doble
de la ganancia neta obtenida injustamente.
• Oficiales, directores, empleados y agentes de la
empresa pueden recibir multas de hasta $100.000 y/
o 5 años de prisión.
•Para ambos, las compañías y los individuos, las
sanciones civiles puede llegar a $10.000.
• Para ambos, las compañías y los individuos, la
corte puede imponer multas adicionales que no
excedan el monto esperado del acto de corrupción o
la inhabilitación de ejercer profesión.
• Compañías comerciales puedes ser multadas
hasta por 2,5 millones de dólares.
• Empleados que a sabiendas incumplieron los
requerimientos quedan sujetos a multas de un millón
de dólares y hasta 10 años de prisión.
• Compañías comerciales quedan sujetas a penas
civiles de $50.000 a $500.000.
Bajo el Departamento de Justicia Bajo la Securities & Exchange Commission
+ Demandas de
accionistas, fiscales
públicos del extranjero
e impositivas
16. Análisis
¿Cómo nos aseguramos el cumplimiento de las obligaciones de la
FCPA?
Compliance
Identificar “Red
Flags”
Política de
prevención de
prácticas
corruptas
Funciones de Control
Interno
Plan de
Revisiones
Proceso de
Mapeo de
Riesgos
FormalizadosSin concepto de
materialidad
Ajustada a los negocios
17. Análisis – Estrategias
Compliance, Entrenamiento y Monitoreo
Lineas de denuncias
Seminarios de cumplimiento FCPA obligatorios a directores y gerentes
Formalización de Procedimientos
Revisiones de due diligence o background check de agentes y consultores
Aprobación de agentes, joint ventures y otros representantes
Cláusulas en contratos para el cumplimiento de y responsabilidad por FCPA
Revisión de contratos
Aprobación de pagos facilitadores
Funciones de Control Interno
Revisiones contables y de controles en el extranjero
Revisiones operacionales en el extranjero
18. Análisis – Red Flags
Especificas a Paises
Especificas a Negocios
Especificas a Contabilidad
Negocios con mucha relación con gobiernos
Reputacion del agente comercial
Negativa del agente de proveer informacion
Relaciones de un agente o negocio con
empleados publicos
Patrones inusuales de pagos o relaciones
financieras
Falta de transparencia en los gastos y el
soporte contable
Comisiones inusualmente altas
Historia de corrupción en cierto país
Culturas donde la aceptación de regalos es
una norma
19. Análisis – Red Flags Agentes
Características del contrato
Características del agente
comercial o consultor
vinculaciones con países con historia de alta corrupción
con residencia fuera del país donde se genera el negocio
sin datos completos de propiedad o socios
sin datos de sus subcontratistas o de quienes lo asisten en el trabajo
con relaciones familiares con empleados, oficiales públicos o partido
político en funciones
no cuenta con las capacidades o licencias para el trabajo, ni estructura u
oficinas
nuevo o de única vez
sin background check
términos vagos
sin licitación o competencia
por servicios innecesarios
acuerdos retroactivos
20. Análisis – Red Flags Agentes
Características del pago
Características de la
comisión
inusualmente alta para el servicio y los riesgos asumidos (ej. En
comparación a otros agentes o trabajos anteriores)
alto adelanto
incluye altos premios y bonos por nuevo cliente o contrato
montos redondos
soportada por facturas no estándar o sin documentación de respaldo
solicitada o pagada en efectivo
a un tercer país o paraíso fiscal
transferencia sin detallar una persona física o a otra persona
patrones de pagos inusuales (ej. en fines de semana, rápido
procesamiento y pago)
21. Análisis – Mapa de Riesgos
Entrevista con gerentes y
directores
Ambiente de control Negocios en países con percepción de la corrupción de transparencia
internacional
Entrevista con el departamento legal, compliance y de control interno
Entrevista al sector comercial sobre controles y riesgos de mayores
clientes y contratos
Grado de formalización en políticas relacionadas (gastos de
representación, selección de agentes y consultores, gastos de viaje y
entretenimiento)
Entrevistas a quienes contraten intermediarios comerciales
(distribuidores, vendedores) y el grado de monitoreo que les hacemos
Análisis de comisiones pagadas a agentes, consultores , asesores e
intermedios (consulta de maestros y transaccionales, revisión de contratos,
desvíos estándar de comisiones)
Clientes del sector público y con líneas de préstamos altas
Importancia de los permisos y licencias para las operaciones (ej.
Importanciones)
Responsables de difundir el código de ética, norma FCPA, regalos y
entretenimiento (ej. invitaciones a eventos), conflictos de interés (ej.
familiares que trabajen en la administración pública).
Responsable de negociar contratos con el sector público
Responsable de gestionar pagos a consultores (ej. prácticas de pagos a
paraísos fiscales, selección de bancos)
22. Análisis – Mapa de Riesgos
Entrevista con gerentes y
directores
Selección de agentes y socios
comerciales
Responsables de gestionar a los agentes comerciales, consultores,
intermediarios, revendedores y distribuidores que obtengan negocios a
través de la compañía
Información que se solicita y aprueba:
Información de dueños y directores
Cualificaciones y licencias
Estados contables
Referencia
Compensación (vinculada a los servicios efectivas, de mercado)
Vínculos con el gobierno
Cláusas y entrenamiento FCPA (fin del contrato por falta ética)
Cláusas del «derecho a auditar»
Demostrar una necesidad efectiva de contratar a un agente o socio
Comité de selección de agentes y socios
Monitoreo de performance
Responsables de difundir el código de ética, norma FCPA, regalos y
entretenimiento (ej. invitaciones a eventos), conflictos de interés (ej.
familiares que trabajen en la administración pública).
Responsable de negociar contratos con el sector público (ej. Sales &
Marketing)
Responsable de gestionar pagos a consultores (ej. prácticas de pagos a
paraísos fiscales, selección de bancos)
23. Análisis – Mapa de Riesgos
Riesgo Neto Posibilidad de generar mecanismos de defensa:
Autorevelación (self-disclosing)
Programa de compliance (ej. alcance del COO)
Monitoreo (ej. demostrar doble aprobación, revisión de contratos
de consultores, comité de auditoria)
Cooperación con reguladores (ej. «extraordinaria cooperación» con
Siemens)
24. Controles en pagos para FCPA
Debemos vincular controles internos contables, de compras y de tesorería
para mitigar los riesgos claves como contratos simulados. El personal de
tesorería debe ser entrenado para identificar alertas de corrupción. FCPA no
tiene materialidad, a diferencia de SOX, y debemos monitorear todos los
riesgos.
• Certificación de servicios con contrato previo aprobado y documentando
la recepción efectiva en condiciones competitivas
• Autorización de proveedores de servicios especiales o por única vez
(proveedores pequeños, consultores, de servicios/agentes/distribuidores,
secuenciales por “falso autónomo”, de ciertos países, por patrocinio)
• Control de compras y pagos fraccionados/atomizados (frecuencia, montos
y destinatarios inusuales)
• Prohibiendo el pago en efectivo, arqueos y controles de fondos fijos
• Pagos por transferencia a países diferentes del origen del proveedor o
paraísos fiscales
• Aprobación de excepciones en plazos de pagos (pre-pago, anticipos)
26. Programa de Compliance
Elementos de un Programa de Compliance Efectivo
Código de ética y procedimientos formales
Responsabilidad del ExCom con medidas de control razonables
Controles de delegación de autoridad
Sistemas de monitoreo y auditoria basados en riesgos
Implementación consistente de medidas disciplinarias (tolerancia cero)
Respuesta efectiva ante las violaciones de normativas
«Tono de los
superiores»
Legal + Ético
No importa lo
escrito sino lo
hecho (FCPA Due
Diligence)
Mapeo de Riesgos
Sistema de
Reporte (Red
Flags, hotline)
27. Comunicación
El control preventivo comienza con una política
Los controles específicos pueden formar una política especifica sobre anticorrupción y el compliance penal o
incluirse como un capítulo del código de ética, prácticas comerciales o agruparse con normas semejantes
como regalos y entretenimiento.
Mensaje del CEO:
Puedes consultar y
reportar
Mensaje claro: No
puedes dar o
prometer sobornos
El compliance
officer o similar
está para ayudarte
29. Objetivos Alcanzados
• Refuerzo del tono ético
• FCPA es un punto de apoyo importante del
programa de compliance
• Cultura corporativa alineada y orientada a atender
necesidades de clientes
• la cultura en ciertos países tolera la
corrupción activa y pasiva
• Aumenta el nivel de control y políticas
• Reduce el riesgo de mal reporte financiero
• Orienta correctamente los incentivos y bonos a la
performance
Protección de la marca
Internamente
• Mejorar la confianza de accionistas y prestamistas
• Marco para otras jurisdicciones (eg. UKBL)
• Mejora en la competencia de la industria
• 3 de 4 habitantes del mundo vive en países de alta
corrupción. La corrupción cambia la forma que el
estado toma decisiones y deja de atender
necesidades públicas.
Protección de la sociedad
Externamente
30. Sistema de Control Interno para
Exigencias US
01.A. Entrenamiento Práctico
31. Presentación del Riesgo
¿Por qué es importante?
Explicación del objetivo de
control que mitiga un riesgo de
compliance.
Nosotros debemos….
45. SOX & FCPA
02. Marco Contextual del
Gobierno Corporativo & SOX
Hernan Huwyler – Mar 2015
46. ¿Porqué nos importa?
Mejor costo de deuda
Desarrollo de todos los grupos
de interés
Sustentabilidad de la empresa
Reducción de riesgos (crisis,
reputacionales, estandarización)
Mejor cotización
Mejor acceso a financiamiento
Permite medir el desempeño
47. Gobierno Corporativo
Es el sistema por el cual las compañías son dirigidas y controladas según el
interés de los accionistas, para crear y mantener valor a largo plazo.
• Regula las relaciones entre la Gerencia, el Directorio, los accionistas y
interés
• Establece la estructura para definir los objetivos de la organización, los
medios a utilizar para lograrlos y como medir el desempeño.
• Brinda incentivos a la Gerencia y al Directorio para alcanzar los objetivos
compañía
48. Definición y Sujetos
Directores
Ejecutivos
Accionistas
Aquellos que usan los activos de la compañía
Rol ejecutivo para la decisión y el control
Enfoque interno para el cumplimiento de
objetivos
Aquellos que son dueños del capital social
Dan una tolerancia de riesgo en función de
un retorno
Aquellos responsables de los activos de la
compañía
Rol estratégico y de supervisión
Enfoque externo y definición de objetivos y
valores
Relación efectiva con:
Empleados
Bancos
Proveedores
Contratistas
Reguladores
Comunidad
Ejerciciodelpoderentre
49. El Gobierno Corporativo
Resuelve el conflicto de interés y de información asimétrica entre quienes tienen la propiedad de una
compañía de quienes la gestionan
Formas en que quienes gestionan una empresa pueden actuar en
contra de quienes tienen su propiedad:
Cometer fraude (contable, abuso de confianza, información privilegiada)
Esfuerzos insuficientes
Superar la tolerancia al riesgo de los accionistas
Inversiones y gastos extravagantes
Atrincheramiento en sus cargos
Falta de comunicación de información clave
Aumento de compensaciones
El riesgo moral
50. Pilares del Gobierno Corporativo
Equidad
Rendición
deCuentas
Trasparencia
Responsabilidade
s definidas:
De los
accionistas sobre
los directores
De los directores
sobre los gerentes
Divulgación
oportuna y
apropiada de toda
la información
material
(performance,
financiera, de
propiedad)
Protección de los
derechos de los
accionistas,
incluyendo los
minoritarios
Resarcimientos
por violaciones
Independencia
Mecanismos para
minimizar y
controlar los
conflictos de
interés
Independencia de
directores y
consejeros
Maximización
de utilidades e
intereses de los
inversores
En compliance y
con
sustentabilidad
51. Rol de directores no ejecutivos
Gestión de remuneraciones
Rol del comité
del dirección
Recomendaron que los contratos de servicios no
duren más de 3 años y sean evaluados por la junta
anual de accionistas
Las remuneraciones debe ser justas y competitivas
Reunión real y frecuente para evaluar y monitorear
el desarrollo de negocios
Inclusión de miembros no ejecutivos que en número
y experiencia ejerzan influencia
Todos los miembros del comité deben tener acceso
al consejo de un Secretario de Dirección
Aportan un juicio independiente en el comité sobre
estrategia, performance, recursos, nombramientos
claves y estándares de conducta
Se nombran por periodos específicos y son
seleccionados por un proceso formal
El Informe Cadbury
Estudio de mejores prácticas sobre gobierno corporativo emitido en Reino Unido en 1992 por Adrian Cadbury
Controles internos y de reporte
contable
La presentación de las cuentas financieras y su
control interno es responsabilidad del comité
El comité debe asegurar la relación objetiva y
profesional con los auditores
El comité debe establecer un comité de auditoria
con al menos 3 directores no ejecutivos
52. Control Interno
Elemento del Gobierno Corporativo
Procedimientos de
Control Interno
Funciones de
auditoria y
compliance
establecidas
Planes de
Continuidad de
Desastres
Política de Gestión
de Riesgos
Auditores Externos
Independientes
Comité de Auditoria
53. Gobierno Corporativo
Deberes
Directorio
• Rendición de cuentas
• Deberes de lealtad y
diligencia
• Independencia
• Competencias
requeridas
• Funcionamiento /
Comités
• Evaluación y
capacitación
• Compensación
Accionistas
• Trato equitativo
• Suministro de
información
• Funcionamiento de
54. Modelo de Gobierno
Accionistas
Comité de
Dirección
Director Ejecutivo
Comité de
Compensación
Alta Dirección
Operaciones de la Compañía
Comité de
Auditoria
Auditoria Interna
Auditor Externo
Delega
Reporta
Delega
Reporta
Delega y
Supervisa Reporta
Delega
Reporta
Reporta
Ejecuta
Auditorias
Ejecuta
Auditorias
Delega Delega
Reporta
Nombra
Reporta
55. • Misión y visión, valores, código de ética
• Organigrama
• Descripciones de puestos
• Manuales de autorización
• Sistema de gestión de riesgos
• Reglamento del Directorio y del Comité de Auditoría
– Requisitos para ser director: competencia, independencia
– Responsabilidades (evaluación, capacitación, supervisión, opiniones)
– Reuniones (formalidades, periodicidad, etc.)
• Políticas, normas y procedimientos
– Sistema de gestión de documentos
– Responsabilidades específicas
• Conflicto de intereses
• Transparencia, fluidez e integridad de la información
• Auditoría
– Interna
– Externa
• Grupos de interés y responsabilidad social
¿Cómo se expresa?
56. Escándalos Corporativos
¿Qué pasó?
Serie de
escándalos por
fraudes
corporativos
Maniobras de
subvaluación de
deudas, gastos y
contingencias
Maniobras de
sobrevaluación
de activos y
ventas
Desvío de
fondos
Fuerte reacción
de inversores y
reguladores
A veces fraude
en cooperación
con otras
empresas y
filiales
57. Crisis de Confianza
Causas
• Fraudes,
manipulación y
contabilidad
creativa
• corrupción
administrativa
• conflictos de interés
• negligencia
• bonos a directores
Impacto
• crisis de confianza
de inversores
• pérdidas accionistas
• quiebre de
empresas
• impacto social
• atención de los
medios
• presión de los
analistas bursátiles
Casos 2001+
• Enron
• Arthur Andersen
• Worldcom
• Tyco
• Global crossing
• Parmalat
• Adelphia
• Xerox
• Waste Managemen
Consecuencias
• Ley Sarbanes Oxley 2002
• Atención en la ética y el gobierno corporativo
• Cambio cultura evitando comportamiento gregario
58. Escándalos Corporativos
¿Qué aprendimos?
La alta dirección
hará todo lo
posible por
cumplir con las
expectativas de
resultados
Los auditores y
sus clientes
pueden llegar a
estar demasiado
vinculados
Los valores
éticos son dados
por el tono de la
alta dirección
Las normas
contables
permiten
discreción
Se limitó el
escrutinio a los
resultados
contables
Los reguladores
no han podido
detener el fraude
60. Control Interno
Un proceso
que construimos todos
dando una seguridad razonable
para maximizar las posibilidades de lograr 4 objetivos:
el reporte financiero y no financiero
la protección de activos frente a errores y fraudes
la eficiencia y
El cumplimiento de normas internas y externas
Riesgos Controles
tiempo
Output
CostoBeneficio
61. Escándalos Corporativos
Como consecuencia de los escándalos corporativos surgido en compañías
públicas americanas desde mediados del 2001, el gobierno de los EEUU
promulgó la Ley SOX que busca transparencia de las operaciones de las
empresas que fortalecer el control interno de las mismas, con el fin de:
• Restablecer la confianza de los inversores
• Prevenir la repetición de fraudes contables
• Incrementar el nivel de transparencia y responsabilidad informes
financieros
• Proveer a las compañías de nuevos estándares para la g de informes
contables
• Establecer penas para los directivos que no cumpla legislación
62. Sistemas Integrados de Control Interno
En el marco global, otros países se sumaron a la iniciativa lanzada
por SOX para regular en forma equivalente. SOX demuestra
su utilidad globalmente y como estándar de empresas internacionales.
En España está la Ley 44/2002.
SOX 404
King Report Corporate Law Economic
Reform Program Act 2004
CLERP-9
Japan SOX
German Corporate
Governance Code
Bill 198
China SOX
Loi de Securite
Financiere (LSF)
Clause 49
Combined Code
of Corporate
Governance
Law 262/2005
8th European
Directive
63. ¿Qué nos pide desde controles?
Exige a la gerencia establecer, mantener y evaluar los procedimientos
de control interno adecuados para la emitir financieros.
Prevé un enfoque basado en riesgos (top-down approach) en los
controles a nivel entidad, los procesos con impacto contables, la
segregación de funciones, la documentación los controles, prevención de
fraude, etc.
Exige informar las deficiencias significativas y debilidad y las acciones
correctivas definidas para su remediación.
Exige al CEO y CFO, la supervisión y certificación sobre la efectividad de
los controles y procedimientos de información dentro de los 90 días previos
a la fecha de para cualquier informe. Nota: Evaluación Point-in-Time y Anual
Alcanza a empresas privadas que presenten información financiera anual a
la SEC, incluyendo empresas de capital extranjero (foreign private issuers)
64. ¿Qué nos pide?
SOX como
riesgo de
incumplimiento
SOX como
oportunidad de
excelencia
65. ¿Cómo se estructura?
Sección 404
Evaluación de
Control Interno
La dirección debe
emitir un informe
sobre su evaluación
de control interno y
sus procedimientos
para el reporte
contable con
respaldo de auditor
externo
Sección 302
Controles de
Revelación
La dirección debe
certificar la correcta
revelación en la
presentación de
información anual y
cuatrimestral a la
SEC
Sección 401
Revelaciones en
Reportes
La dirección debe
informar en todos los
reportes los
compromisos fuera
de balance
Sección 802
Penalidades CEO y
CFO
La dirección es
pasible de multas
hasta 1.000.000
dólares y 10 años de
prisión
Sección 406
Código de Ética Financiero
La dirección debe adoptar un código de ética para sus ejecutivos financieros.
66. Sobre la Calidad de Información
Sección 401:
Mejoras en los detalles de información y transacciones fuera de balance y
del contenido de los informes pro-forma.
Sección 404:
Evaluación del control interno financiero:
• valorado,
• documentado, y
• certificado
… por la dirección de la sociedad y auditado por el auditor contable.
Este opinará sobre la corrección de lo manifestado por la sociedad y sobre la
eficiencia del control interno financiero a la fecha de cierre de los estados
financieros (definición de 180 palabras).
67. Sobre la Calidad de Información
Sección 302:
La información pública presentada deberá ser legitimada por los directivos
de la sociedad. En este sentido, los directivos certificarán su responsabilidad
y corrección respecto a:
• Los informes trimestrales y anuales
• La no existencia de omisiones o información confusa en los estados
financieros
• Los controles sobre la información que se envía al mercado y la eficiencia
del control interno sobre la misma
• La comunicación de forma efectiva a los auditores y al Comité de
Auditoría de los errores o fraudes que se identifiquen
Sección 409:
Los cambios en información pública de la sociedad, que tengan impacto
potencial significativo, en la situación financiera o en las operaciones,
deberán ser informados de forma mucho más rápida y efectiva.
68. Sobre la Responsabilidad
Sección 204:
Incremento de comunicaciones directas entre el Auditor y el Comité de
Auditoría en materias como: políticas contables significativas, tratamientos
contables alternativos, etc.
Sección 301:
Regulaciones completas para los Comités de Auditoría (obligatorios):
• Serán responsables directos de designar, retribuir y supervisar al Auditor
• Sus miembros deberán ser consejeros independientes (no ejecutivos)
• Deberán implantar un canal de recogida anónima de denuncias
• Deberán disponer de capacidad de compensación al auditor y a otros
asesores si los consideran necesarios en el desarrollo de sus
responsabilidades
69. Sobre la Responsabilidad
Sección 407:
Obligación de contar con expertos financieros en el Comité de Auditoría e
informar explícitamente sobre quiénes son los consejeros con esta
experiencia.
70. Sobre la Responsabilidad
Sección 303:
Es explícitamente ilegal la actuación de cualquier consejero o directivo
destinada a influir de forma fraudulenta, coaccionar, manipular o confundir,
intencionadamente, al auditor.
Sección 403:
Las operaciones realizadas por los agentes que pueden disponer de
información reservada/ no pública están sometidas a una exigencia de
información a los mercados en tiempo muy corto y de forma veraz.
Sección 406:
Obligatoriedad de un Código de Ética para los Ejecutivos del Área
Financiera. Los cambios o incumplimientos al Código deben ser informados
públicamente.
71. Sobre la Responsabilidad
Sección 806:
Protección especial para los denunciantes anónimos de conductas ilícitas e
irregulares de la sociedad: en ningún caso podrán ser perseguidas las
denuncias formuladas por este tipo de incumplimientos. Se otorga una
protección especial a los denunciantes de este tipo de irregularidades.
72. Sobre la Supervisión
Secciones 101, 102, y 104:
Creación de un organismo público de supervisión: la oficina de control de la
contabilidad de las empresas públicas o public company accounting
oversight board (PCAOB)
El PCAOB tendrá capacidad de supervisión y establecimiento de estándares
de auditoría, controles de calidad, normas de ética e independencia para
auditores, etc.
Cualquier compañía que quiera auditar sociedades cotizadas en mercados
americanos deberá estar inscrita adecuadamente en el PCAOB.
El PCAOB desarrollará programas continuos de supervisión del tra bajo de
las firmas de auditoría para comprobar su cumplimiento efectivo de los
estándares profesionales.
73. Sobre la Supervisión
Sección 407:
Extensión de las responsabilidades profesionales para los abogados.
Estarán obligados a informar cualquier evidencia que dispongan sobre
violaciones materiales de leyes sobre actuaciones con títulos cotizados o
incumplimientos de obligaciones por el Consejero Delegado o por el
Secretario del Consejo (o el responsable legal del mismo). Si se informa a la
Dirección y esta no tomara acciones se informaría directamente a la SEC.
Sección 408:
La SEC amplia de forma importante las revisiones periódicas sobre los
reportes (filings) de las compañías. En el caso de los 10-K y 10-Q, al menos
deberán revisarse una vez cada tres años.
74. Sobre las Obligaciones
Sección 304:
Deberán reintegrarse los incentivos cobrados o los beneficios realizados en
la venta de acciones por el Consejero Delegado (CEO) o por el Director
Financiero (CFO) que se hayan recibido sobre la base de una información
financiera fraudulenta que necesite ser re-evaluada, corregida, y publicada
nuevamente.
Sección 804:
Aumentan los plazos en que puede perseguirse un fraude cometido y/o
identificado.
75. Sobre las Obligaciones
Sección 906:
Obligación para CEO y CFO de certificar, bajo responsabilidad penal, su
buena fe en cuanto a que los informes públicos periódicos:
• Cumplen con todos los requisitos establecidos en la Ley sobre Acciones
de 1934 (Securities Exchange Act, 1934).
• Presentan, en todos los aspectos materiales, la situación financiera y los
resultados de las operaciones del emisor.
Secciones 802 y 1102 :
Responsabilidades penales por manipular, alterar o destruir documentos o
impedir, de otra manera, una investigación oficial.
Extensión de las responsabilidades penales a cualquier persona que altere
documentos, incluyendo registros documentales de auditoría, con el fin de
obstruir o impedir una investigación.
76. Sobre las Obligaciones
Sección 105:
Aumento importante de las sanciones a los contables/financieros por
no testificar, facilitar documentación o cooperar, en general, con
investigaciones oficiales.
77. Sobre los Auditores
Sección 201:
Prohibición total para que el auditor de cuentas pueda prestar determinados
servicios a sus clientes de auditoría
Sección 202 y 203:
El Comité de Auditoría deberá autorizar, de forma previa a su contratación,
cualquier servicio permitido que pretenda contratarse con el auditor de
cuentas. El socio firmante y el socio revisor deberán rotar cada 5 años.
Sección 206:
Establece restricciones para que una entidad contrate personal del equipo
de su auditoría sin que esto pueda suponer un posible problema de
independencia para la firma auditora. Se establece un periodo “de
enfriamiento” de un año en el que no se pueden producir estas
contrataciones para puestos clave y en relación directa.
78. • Un proceso que provee seguridad razonable sobre la
confiabilidad de reporte financiero para usuarios externos
y bajo principios contables generalmente aceptados
(consistente con el marco de COSO)
• Bajo supervisión del CEO. CFO, y similares
• Que mantiene documentación con grado razonable de
detalle sobre las transacciones
• Que permite dar seguridad razonable a la identificación
oportuna de fraude que puede afectar materialmente los
estados contables
• Reportada en forma anual por SOX 404 por CFO y CEO
• Solo información financiera y se audita en forma
independiente
Control Interno
sobre el reporte financiero
79. • Un proceso que asegura que la información que se
publica ante la SEC es registrada, procesada,
consolidada y reportada oportunamente
• Incluye a controles para cumplir con los requerimientos
de la SEC y otras regulaciones
• Sistema para que toda la información material bajo
conocimiento de la dirección sea reportado
• Reportada en forma trimestral por SOX 302 por CFO y
CEO
• Información financiera y no financiera
• No se audita
Controles y Procedimientos
de Revelación
80. ¿Qué consecuencias tiene?
• Sanciones de los organismos de contralor que pueden ir desde el
apercibimiento hasta el retiro de la oferta pública.
• Sanciones económicas directas para la compañía.
• Multas económicas de hasta US$ 5.000.000 para los directores
integrantes de la alta gerencia y hasta 20 años de prisión.
• Dificultades para el acceso a fuentes de financiamiento externo.
• Impacto negativo en la imagen y reputación de la compañía.
• Caída del valor de mercado de la acción.
81. ¿Qué consecuencias tiene?
• Las normas le exigen a la entidad emisora que, bajo la responsabilidad de
su funcionario ejecutivo principal (CEO) y del funcionario financiero
principal (CFO), evalúe la efectividad de los controles y la revelación de
información en forma previa a la presentación de los informes.
• Los funcionarios de mayor jerarquía de la compañía tienen la
responsabilidad de determinar el grado en el que quieren realizar los
procedimientos y la documentación de los mismos.
• La SEC no ha establecido procedimientos detallados para la evaluación
de los controles y los procedimientos de revelación en la presentación de
información. La norma establece que cada compañía emisora debe
desarrollar un proceso de evaluación que se adecúe a su negocio,
administración interna y prácticas de supervisión.
82. ¿Qué alcanza?
El término “controles y procedimientos de revelación y de presentación de
información”, se refiere a los controles y procedimientos diseñados para
garantizar que la entidad emisora tiene la información financiera requerida
para cumplir con sus obligaciones de publicidad de información en virtud de
la Ley de Mercados.
El funcionario ejecutivo principal (CEO) y el funcionario financiero principal
(CFO) son los responsables de supervisar y revisar las evaluaciones
periódicas de control sobre los procedimientos de revelación y presentación
de información.
Los informes deben revelar cambios significativos en controles internos de
una entidad emisora o factores que pudieran afectarla luego de la fecha de
la evaluación reciente, incluyendo las acciones correctivas.
Alcanza a la entidad cotizante y las subsidiarias que consoliden, con sus
respectivos ejecutivos.
83. ¿Qué alcanza?
Anualmente la Gerencia será responsable de :
Anteriormente, según la norma PCAOB N°2, los auditores independientes certificar la evaluación y
certificación preparada por la gerencia y emitidos sobre la misma de acuerdo con las normas
emitidas o adoptadas por Supervisión de la Contabilidad de las Compañías que Cotizan en Bolsa
según la norma PCAOB N°5, sólo se requiere la opinión del auditor sobre la efectividad del
control interno sobre el reporte financiero.
Establecer y mantener una
estructura y
procedimientos de control
adecuados para la emisión
de informes financieros
Evaluar y certificar, al cierre
del ejercicio, sobre la
efectividad de los
procedimientos de control
interno sobre la emisión de
informes según normas de la
SEC
Identificar el marco (los
criterios) usados para
evaluar la efectividad
controles internos sobre la
emisión de informes
financieros
84. La SEC Guidance provee algunos
principios básicos
La gerencia debe evaluar el diseño de los controles para prevenir el riesgo
de afirmación errónea que no sea prevenida o detectada
La evaluación de la gerencia sobre el funcionamiento de los controles
principalmente en la evaluación de los riesgos
85. Audit Standard 5 por PCAOB
• El auditor no debe opinar sobre el proceso de evaluación realizado por el
management.
• Utilización de los Entity Level Controls para reducir las pruebas.
• Enfoque Top-Down.
• El auditor puede elegir “testear” en aquellas áreas, donde a su juicio y
criterio profesional, considera que es necesario.
• El enfoque puede adecuarse al tamaño y complejidad de cada compañía.
• Permite al auditor hacer mayor foco en aquellos temas de mayor riesgos,
tales como los procesos de cierre contable y reporting
• El auditor puede utilizar en mayor medida el trabajo de otros, o sea, de la
propia compañía u otros asesores.
86. Marco Normativo Español
Ley de Sociedades Anónimas:
• diligencia y lealtad: los administradores deberán desempeñar el cargo con
la diligencia de un ordenado empresario y de un representante leal
• Potenciales conflictos de interés
Ley del Mercado de Valores:
• obliga a las sociedades cotizadas a detallar “el grado de seguimiento de
las recomendaciones de gobierno corporativo o, en su caso, la
explicación de la falta de seguimiento de dichas recomendaciones” en su
Informe Anual de Gobierno Corporativo (art 61)
• Principio de cumplir o explicar: adopto las recomendaciones voluntarias o
justifico
87. Marco Normativo Español
Código Unificado de Buen Gobierno:
• Resume los informes Olivencia (98), Aldama (03) y la Ley de
Transparencia de España
• Para las sociedades cotizadas desde el 2006, actualizada 2013
• Serie de recomendaciones
Rec. 40: Que la supervisión del cumplimiento de los códigos internos de
conducta y de las reglas de gobierno corporativo se atribuya a la Comisión
de Auditoría, a la de Nombramientos, o, si existieran de forma separada, a
las de Cumplimiento o Gobierno Corporativo.
88. Marco Normativo Español
Código Unificado de Buen Gobierno:
Rec. 41 . Que los miembros del Comité de Auditoría, y de forma especial su
presidente, se designen teniendo en cuenta sus conocimientos y experiencia
en materia de contabilidad, auditoría o gestión de riesgos.
Rec. 42. Que las sociedades cotizadas dispongan de una función de
auditoría interna que, bajo la supervisión del Comité de Auditoría, vele por el
buen funcionamiento de los sistemas de información y control interno.
Rec. 43. Que el responsable de la función de auditoría interna presente al
Comité de Auditoría su plan anual de trabajo; le informe directamente de las
incidencias que se presenten en su desarrollo; y le someta al final de cada
ejercicio un informe de actividades.
89. Marco Normativo Español
Código Unificado de Buen Gobierno:
Rec. 44. Que la política de control y gestión de riesgos identifique al menos:
a. Los distintos tipos de riesgo (operativos, tecnológicos, financieros, legales,
reputacionales…) a los que se enfrenta la sociedad, incluyendo entre los
financieros o económicos, los pasivos contingentes y otros riesgos fuera de
balance;
b. La fijación del nivel de riesgo que la sociedad considere aceptable;
c. Las medidas previstas para mitigar el impacto de los riesgos identificados,
en caso de que llegaran a materializarse;
d. Los sistemas de información y control interno que se utilizarán para
controlar y gestionar los citados riesgos, incluidos los pasivos contingentes o
riesgos fuera de balance.
90. Marco Normativo Español
Código Unificado de Buen Gobierno:
Rec. 45. Que corresponda al Comité de Auditoría:
1º En relación con los sistemas de información y control interno:
a. Que los principales riesgos identificados como consecuencia de la supervisión de la
eficacia del control interno de la sociedad y la auditoría interna, en su caso, se
gestionen y den a conocer adecuadamente.
b. Velar por la independencia y eficacia de la función de auditoría interna; proponer la
selección, nombramiento, reelección y cese del responsable del servicio de auditoría
interna; proponer el presupuesto de ese servicio; recibir información periódica sobre
sus actividades; y verificar que la alta dirección tiene en cuenta las conclusiones y
recomendaciones de sus informes.
c. Establecer y supervisar un mecanismo que permita a los empleados comunicar, de
forma confidencial y, si se considera apropiado, anónima las irregularidades de
potencial trascendencia, especialmente financieras y contables, que adviertan en el
seno de la empresa.
91. Marco Normativo Español
Código Unificado de Buen Gobierno:
Rec. 45. Que corresponda al Comité de Auditoría:
2º En relación con el auditor externo:
a. Recibir regularmente del auditor externo información sobre el plan de
auditoría y los resultados de su ejecución, y verificar que la alta dirección
tiene en cuenta sus recomendaciones.
b. Asegurar la independencia del auditor externo y, a tal efecto:
• i. Que la sociedad comunique como hecho relevante a la CNMV el cambio de auditor y lo
acompañe de una declaración sobre la eventual existencia de desacuerdos con el auditor
saliente y, si hubieran existido, de su contenido.
• ii. Que se asegure que la sociedad y el auditor respetan las normas vigentes sobre prestación
de servicios distintos a los de auditoría, los límites a la concentración del negocio del auditor y,
en general, las demás normas establecidas para asegurar la independencia de los auditores
• iii. Que en caso de renuncia del auditor externo examine las circunstancias que la hubieran
motivado.
92. Marco Normativo Español
Código Unificado de Buen Gobierno:
Rec. 46. Que el Comité de Auditoría pueda convocar a cualquier empleado o
directivo de la sociedad, e incluso disponer que comparezcan sin presencia
de ningún otro directivo.
Rec. 47. Que el Comité de Auditoría informe al Consejo, con carácter previo
a la adopción por éste de las correspondientes decisiones, sobre :
• a. La información financiera que, por su condición de cotizada, la
sociedad deba hacer pública periódicamente.
• b. La creación o adquisición de participaciones en entidades de propósito
especial o domiciliadas en países o territorios que tengan la consideración
de paraísos fiscales
• c. Las operaciones vinculadas, salvo que esa función de informe previo
haya sido atribuida a otra Comisión de las de supervisión y control.
93. Marco Normativo Español
Sistema de Control Interno de la Información Financiera (SCIIF):
• Principios de control emitido por la CNMV en 2010
• Permite evaluar la eficacia de los controles internos
• Requiere declarar el sistema de gestión de riesgos en el informe anual de
gobierno corporativo
• El auditor externo debe revisar el marco de control interno como parte de
la revisión de cuentas
94. Marco Normativo Español
Explicación del Sistema de Gestión de Riesgos
• Principios de control emitido por la CNMV en 2010
• Permite evaluar la eficacia de los controles internos
• Requiere declarar el sistema de gestión de riesgos en el informe anual de
gobierno corporativo
• El auditor externo debe revisar el marco de control interno como parte de
la revisión de cuentas
95. SOX & FCPA
03. Marco Práctico de SOX
Hernan Huwyler – Mar 2015
97. * 1985: Se forma el Comité de Organizaciones Patrocinadoras de la
Comisión Treadway (COSO).
* 1992: Informe COSO I “Internal Control - Integrated Framework”
* 2002: Se emite la ley Sarbanes Oxley obligando a evaluar el control
interno, y toma a COSO como referencia
* Otras referencias: Cobit, Tumbull, CoCo Criteria of Control, ITIL,….
* 2002+: Cambios en ambientes: internacionalización, nuevas
tecnologías y preponderancia de sistemas, outsourcing, objetivos no
financieros, expectativas de reguladores e inversores, riesgos
emergentes (cybercrime, cloud-computing) y objetivos no
financieros.
* 2004: COSO II sobre riesgos
* 2013: COSO III con transición al 15 de Diciembre de 2014
Contexto Histórico
98. Misma definición de control interno:
• El control interno es un proceso, es un medio para alcanzar un fin.
• Al control interno lo realizan las personas, no son sólo políticas y procedimientos.
• El control interno sólo brinda un grado de seguridad razonable, no es la seguridad total.
• El control interno tiene como fin facilitar el alcance de los objetivos de una organización en lo referido a sus
operaciones, reporte y cumplimiento.
Mismos 5 componentes
• Entorno de control: el personal es el núcleo del negocio, como así también el entorno donde trabaja.
• Evaluación de riesgos: toda organización debe conocer los riesgos a los que enfrenta, estableciendo
mecanismos para identificarlos, analizarlos y tratarlos.
• Actividades de control: establecimiento y ejecución de las políticas y procedimientos que sirvan para
alcanzar los objetivos de la organización.
• Información y comunicación: los sistemas de información y comunicación permiten que el personal capte e
intercambie la información requerida para desarrollar, gestionar y controlar sus operaciones.
• Supervisión: Para que un sistema reaccione ágil y flexiblemente de acuerdo con las circunstancias, deber
ser supervisado.
• Mismos conceptos fundamentales
COSO 2013
99. COSO 2013
• Reconoce los reportes no financieros e internos
Objetivos de Reporte
• Legales y regulatorios
• Reconoce la complejidad de los mismos
Objetivos de Cumplimiento
• Eficiencia y efectividad de las operaciones
• Salvaguarda de activos por pérdidas
• Considera los cambios en el ambiente
Objetivos Operativos
100. COSO 2013
Un marco sobre principios y componentes
No prescribe controles específicos para desarrollar e implementar sino que se asocian al criterio de la
dirección y la situación de cada entidad.
101. COSO 2013
• Que soportan los 5 componentes
• Deben estar integrados al implementar
el control y en funcionamiento
• Deben funcionar en conjunto en forma
dinámica para reducir el riesgo de
incumplir los objetivos
• Guia para diseñar, implementar y
evaluar controles hacia los gestores
Codificación 17 Principios
102. COSO 2013 - Principios
• Principio 1: Demostrar compromiso con la integridad y
valores éticos.
• Principio 2: El consejo de administración ejerce su
responsabilidad de supervisión del control interno.
• Principio 3: Establecimiento de estructuras, asignación
de autoridades y responsabilidades.
• Principio 4: Demuestra su compromiso de reclutar,
capacitar y retener personas competentes.
• Principio 5: Retiene a personal de confianza y
comprometido con las responsabilidades de control
interno.
Del Ambiente de Control
103. COSO 2013 - Principios
• Principio 6: Se especifican objetivos claros para
identificar y evaluar riesgos para el logro de los
objetivos.
• Principio 7: Identificación y análisis de riesgos para
determinar cómo se deben mitigar.
• Principio 8: Considerar la posibilidad del fraude en la
evaluación de riesgos.
• Principio 9: Identificar y evaluar cambios que podrían
afectar significativamente el sistema de control
interno.
•
De la Gestión de Riesgos
104. COSO 2013 - Principios
• Principio 10: Selección y desarrollo de actividades de
control que contribuyan a mitigar los riesgos a niveles
aceptables.
• Principio 11: La organización selecciona y desarrolla
actividades de controles generales de tecnología para
apoyar el logro de los objetivos.
• Principio 12: La organización implementa las
actividades de control a través de políticas y
procedimientos
•
De la Actividad de Control
105. COSO 2013 - Principios
• Principio 13: Se genera y utiliza información de
calidad para apoyar el funcionamiento del control
interno.
• Principio 14: Se comunica internamente los objetivos y
las responsabilidades de control interno.
• Principio 15: Se comunica externamente los asuntos
que afectan el funcionamiento de los controles
internos.
•
De la Información y Comunicación
106. COSO 2013 - Principios
• Principio 16: Se lleva a cabo evaluaciones sobre la
marcha y por separado para determinar si los
componentes del control interno están presentes y
funcionando.
• Principio 17: Se evalúa y comunica oportunamente las
deficiencias del control interno a los responsables de
tomar acciones correctivas, incluyendo la alta
administración y el consejo de administración.
•
Del Monitoreo
110. Tipos de Controles
Se efectúan
“en papel y
lapíz”
Se testean por
muestreo y
revisión de
documentación
Manuales
Los efectúa un
sistema (No
ciclo de IT)
Se testean por
pruebas de
sistemas
Sin sampling
Automáticos
111. Tipos de Controles
Monitorean el
balance y los
resultados, así
como la relación
al presupuesto
Enfoque
tradicional de
COSO/SOX
Financieros
Monitorean la
performance
organización
Relacionados a
la información no
financiera.
Finalmente afectan lo
financiero.
No
financieros
- Controles sobre
objetivos
estratégicos
- satisfacción de
clientes/empleados
- métricas de
eficiencia y calidad,
KPIs/KRIs
- Planeamiento y
estrategia
- Seguimiento
inventarios
- Controles generales
de IT (ej. respaldos)
- Controles sobre
aprobaciones y
delegaciones
- Conciliaciones de
cuenta
- Control de costos y
presupuesto
112. Tipos de Controles
No asegura un
proceso o no
reporta información
de calidad
No implementado
Del Walkthrought
Procedimiento o
Flowchart
Diseño
Control
implementado sin
consistencia de
cumplimiento
Del Testeo
Operaciones
113. Tipos de Controles
Afectan a
todos los
ciclos
Alto riesgo
Surgen del
ciclo entorno
de control
Entity
Level
Controles
relacionados
con un ciclo
Surgen del
resto de los
ciclos
Process
Level
Muchas veces no se
utilizan y aprovechan
completamente
Costosos: se
testean a través
de transacciones
114. Tipos de Controles
Actividades del Directorio
Acciones del Nivel Ejecutivo
Entity
Level
Controles de Jefes de Departamentos
Controles de Mandos Intermedios
Control de Supervisión
Process
Level
Código Ético
Ambiente de Control
Políticas de GRC
Procedimientos
Controles
Transaccionales
Instrucciones
115. Tipos de Controles
Evaluación del riesgo
Ambiente de control
Entity
Level
Comité de riesgos, política ERM, evaluación anual,
revisión de planes de acción sobre riesgos
Actividad de control
Información y comunicación
Monitoreo de actividades
Comité de dirección, comité de auditoria y ética,
línea de denuncia, sistema normativo
Área de control interno, procedimientos para todos
los niveles, documentación sobre controles claves,
testeos, remediaciones
Documentación de los testeos de SOX y del
proceso de riesgos, reportes de controles,
presentación de remediaciones
Reuniones efectivas de todos los comités,
presentación de reportes, seguimiento de KPIs y
KRIs
116. Entity-Level
- Plan estratégico y
filosofía de gestión
- Políticas,
procedimientos y
monitoreo
- Evaluación de
riesgos
- Entrenamiento
- Calidad y auditoria
→ Gobierno
Corporativo de IT
De Aplicación
- Integridad
(transmisión de
datos, interfaces,
totales de control)
- Confiabilidad
- Existencia /
Autorización
(Segregación de
funciones)
- Presentación /
Revelación
Generales
- Desarrollo de
Programas
- Gestión de
Cambios
- Operaciones de
Sistemas
- Respaldos y
restauración
- Seguridad lógica
Tipos de Controles de Sistemas
Activity Level
Efecto
generalizado en
el resto de los
controles
117. Tipos de Controles de Sistemas
Ventas
Controles de
Aplicación para
Emitir una O/C
Inventarios C/P Tesorería
Controles de
Aplicación para
Completar una
O/C
Controles de
Aplicación para
Pagar una O/C
Desarrollo de Aplicativos y Gestión del Cambio
Controles de Acceso a Bases de Datos
Controles de Acceso al S.O y Aplicativo
Cuentas Contables
Significativas
Controles
Generales
Controles de
Aplicación
119. DEMO
Universo de Controles y Riesgos
Entity Level
Ciclos financieros y operativos
Ciclo de sistemas
Pruebas de testeo
Matrices de control
Documentación
120. SOX & FCPA
03.1 Gestión de un Proyecto
de Aseguramiento para SOX
Hernan Huwyler – Feb 2016
121. Determinar controles y áreas/ unidades de negocio.
Definir enfoque, tiempos, y recursos del proyecto.
Lanzar el proyecto.
1 Planificación
Documentar el diseño de los controles de
cada entidad alcanzada.
2
Documentación
Evaluar el diseño y cumplimento del control interno
generación de información financiera y documentar los
resultados de la evaluación.
3 Evaluación
Identificar, acumular y evaluar las deficiencias del diseño.
y efectividad operacional; comunicar hallazgos y
corregir deficiencias.
4 Plan de Acción
Preparar la declaración escrita de la alta gerencia sobre
efectividad del control interno
sobre la información financiera.
5 Reporte
Etapas
RevisióndeControlInterno
independiente
6Reaseguro
122. Elaborar y comunicar un plan integral que defina claramente el alcance, y enfoque
con la asignación de recursos que sirve como base para una evaluación exitosa.
1 Planificación
Etapas
Unidades y Locaciones
Balance y Estados
Impuesto y TI
Consejo:
Involucrar a auditoria externa
Preguntas claves para la gerencia:
¿Qué políticas y procedimientos deberán estar implementados para
fomentar una evaluación consistente en toda la organización?
¿Qué enfoque de documentación y herramientas tecnológicas se
emplearán en la evaluación?
¿Qué países o unidades de negocios se incluirán en el alcance de la
evaluación?
¿Qué enfoque de Gerencia del proyecto y estructura de control del
proyecto se emplearán?
¿Qué capacitación y comunicación se necesita para aplicar el
proceso de evaluación en toda la organización?
¿Cómo se compara la estructura de control existente vs. COSO?
De ser necesario, ¿habrá suficiente tiempo para llevar a cabo
medidas correctivas?
123. La documentación del control interno de la compañía es un aspecto claves y
se considera un e del proceso de evaluación
2Documentación
Etapas
Walk-through
Diagramas de flujos
Proceso de cierre
Consejo:
Catálogos de controles y
procesos
Análisis de gaps con COSO
Preguntas claves para la gerencia:
¿Cómo se identificarán los controles importantes?
¿Cuál será el formato y contenido de la documentación relativa a los
controles importantes?
¿Qué se necesita documentar en relación con los controles
importantes?
¿Qué incluirá de los cinco elementos de COSO en la documentación
de los controles importantes?
¿Cuenta la organización con la capacidad y recursos para satisfacer
los requerimientos de documentación de toda la organización?
¿Qué proceso se aplicará para efectuar las revisiones de control de
calidad y verificaciones de integridad de los controles documentados
de toda la organización?
¿Qué fuentes de referencia de control (tales como COSO,
requerimientos de control a nivel corporativo, etc.) se debieran aplicar
para evaluar el diseño de los controles?
124. La evaluación del diseño de control es un proceso importante que requiere del juicio del
revisor en la los componentes del control, técnicas a aplicar a fin de determinar si
el control previene o detecta los evaluación de la gerencia de la efectividad de operación,
y que debe ser soportada con suficiente evidencia
3 Evaluación
Etapas
Procedimientos de testeos
Seguimiento de operaciones
Consejo:
Combinación de técnicas
Preguntas claves para la gerencia:
¿Cuáles políticas y técnicas se utilizarán para evaluar los controles
significativos, incluyendo la efectividad del diseño y la operación?
¿Quiénes serán responsables de llevar a cabo la evaluación en las
localidades más importantes y de los controles más importantes, en
toda la organización?
¿Estas personas, necesitan entrenamiento para llevar a cabo la
evaluación?
¿Cómo se documentarán y reportarán los resultados de la evaluación
a través de la organización?
126. La Gerencia deberá analizar las deficiencias encontradas para determinar su
importancia.
4 Plan de Acción
Etapas
Tipos de Deficiencias:
Deficiencia : Documentación
incompleta pero aseveración
respaldada.
Deficiencia significativa:
Documentación
incompleta pero el resto de las
pruebas respaldan.
Debilidad material:
Documentación
incompleta o inexistente
y las pruebas no respaldan.
Preguntas claves para la gerencia:
¿Qué procesos se utilizarán para identificar y acumular las
deficiencias encontradas en toda la organización, incluyendo todos
los países, regiones y unidades de negocio evaluadas?
¿Cómo se evaluará el control de deficiencias para determinar si éstas
son de tal magnitud que constituyan deficiencias significativas o
debilidades materiales?
¿Qué acción correctiva se establecerá?
¿Qué proceso se utilizará para comunicar los hallazgos al comité de
auditoría, auditor independiente y otros?
127. Los resultados de las fases previas deberán soportar las afirmaciones escritas de la
administración acerca de la efectividad del control interno. El auditor independiente llevará
a cabo una auditoría del control interno para asegurar que los reportes financieros están de
acuerdo con los estándares aprobados
5 Reporte
6 Reaseguro
Etapas
Norma de auditoría N° 5
emitida por el PCAOB
Preguntas claves para la gerencia:
¿Esta la administración en la posición de proveer afirmación escrita
acerca de la efectividad del control interno sobre los reportes
financieros?
¿Está la evaluación soportada con la suficiente evidencia, incluyendo
la documentación de los controles, evaluación de la efectividad del
control y la evaluación de las deficiencias?
¿Qué acción correctiva se establecerá?
¿Qué proceso se utilizará para comunicar los hallazgos al comité de
auditoría, auditor independiente y otros?
128. Etapas mejorando el negocio
Mejorar el Negocio
MejorarlosControlesyRiesgos
Evaluación y
certificación
de controles
Mejoras en
procesos
aislados
Integración de
mejoras
Mejora de
cumplimiento
Mejora en la
estructura de
información
Reorganización
de reportes
Eliminación duplicidades, automatización
y eficientización de secuencia de
actividades
129. Inventarios de controles
Un control es una actividad que valida información y crea un contexto para una acción. Un control
puede ser manual o automático, preventivo o detectivo.
Manual
Automático
Detectivos Preventivos
130. * Comenzar los testeos con una carpeta electrónica
estandarizada
* Dividirla en un archivo permanente (poderes, políticas,
CoCo) y de testeo anual (controles SOX operativos)
* Aplicar el concepto de “auditoría continua”, no
esperando al final del año para el testeo
* Orientarnos a operaciones no rutinarias y uso de
estimaciones
Consejos de Testeos
131. * Son datos generados o procesados por una aplicación de sistemas y/o una solución
informática para el usuario final (ej. MS Excel, data warehouse, herramientas de
reportes), que pueden ser electrónicas o impresas y se usan para soportar
procedimientos de auditoria en la evaluación de controles internos (ej. reportes de
anticuación de saldos, listados de servicios prestados pero no facturados, emails de
autorización…).
* Los dueños del proceso deben escribir que controles incluyen al menos anualmente
y documentarlos cada vez que los efectúan
* Preguntar: ¿Cómo te aseguras que los datos que vienen del ERP son completos y
exactos? ¿Cómo sabes que configuración tiene este reporte? ¿Qué filtros
seleccionas?
* Preguntarnos: ¿qué datos se pueden manipular de este reporte? ¿tienen cálculos
muy complejos? ¿qué importancia tiene cada dato en la contabilidad?
* Buena práctica: identificar estos reportes y documentar la fuente de datos para
asegurarnos que sean completos y exactos. Involucrar a especialistas de sistemas.
Electronic Audit Evidence (EAE)
133. • Conjunto de políticas y procedimientos que generan los dueños de un proceso para
asegurarse que los objetivos de la dirección son llevados a cabo por los empleados.
• Ocurren por: aprobaciones, autorizaciones, verificaciones, conciliaciones, revisión de
performance, custodia de activos y segregación de funciones.
Actividad de Control
135. • Narrativos de procesos, tomando un flujo de transacciones como ejemplo (cuya
documentación se puede usar como testeo)
• Procedimiento para trazar una transacción a la contabilidad y los sistemas.
• Se efectúa durante una entrevista con el dueño del proceso, usando una transacción
de ejemplo para identificar los controles efectuados y su contabilización.
• Se identifican excepciones, riesgos, y el historial de errores.
• Se pueden identificar deficiencias de diseño
• No requerido por auditores externos usualmente, pero necesario para identificar los
atributos de control
• Soporte con un modelo genérico
• Entrevista con encargado de proceso para detectar las actividades de control y
relacionarlas con la documentación de ejemplo
• Entrevista estructurada: ¿Cómo se realiza el control en ausencia del encargado?
¿Qué hacen con excepciones? ¿Qué puede salir mal? ¿Qué procedimientos tienen?
¿Qué reportes usas? ...
• Reperformance del control, entrevistas corroborativas y observación del control
Walkthroughs
142. Políticas y
Procedimientos
- de seguridad
- de control de
acceso
- de activos
informáticos
- de correo
electrónico
- aplicaciones de
usuario final
Seguridad
(aplicativos y Redes)
- matriz de
autorización
- diagramas de redes
Gestión de Cambios
- gestión de
proyectos
Continuidad de
Negocios
- plan de
recuperación de
desastres
- respaldos y pruebas
- planificación de
trabajos (job
scheduling)
Controles de Sistemas y COSO
143. Garantizar
Operaciones
- Definir los acuerdos
de nivel de servicios
- Resolver los
incidentes
- Gestionar los
servicios de terceros
Garantizar
Seguridad
- Asegurar los
accesos a sistemas
Gestión de Datos
- Gestionar los datos
- Gestionar la
configuración y
parámetros
Garantizar el
Desarrollo
- Gestionar el cambio
- Compra y desarrollo
de aplicativos
- Compra y desarrollo
de infraestructura
- Instalación de
parches y
actualizaciones
Objetivos de Sistemas
144. • ERP FiCo
• A/P
• A/R
• Nómina (no recursos humanos en general)
• Activos fijos / Gestión de almacenes
• Tesorería
• Ambientes productivos (los ambientes y aplicativos de testeo
tienen un impacto indirecto al analizar gestión de cambios)
Alcance de SOX IT
SOX APP
Contribuyen a los estados contables (datos financieros y operativos)
Impacto de controles automáticos
145. DEMO
Testeo de ciclo estándar de sistemas
Documentación
Mejores prácticas SOX IT
Resolución de problemas comunes
146. Consejos para un Buen Testeo
• 1. Mapa de riesgos a nivel entidad, procesos y de sistemas
• Determinar las unidades de negocios que alcanzamos (y revisar los riesgos de las que dejamos afuera)
• Evaluar los cambios en la operatoria y estrategia, incluyendo el reporte no financiero
• 2. Evaluar permanentemente los controles claves
• Formularios de autoevaluación de controles (CSAs)
• Considerar el riesgo de los controles financieros y no financieros
• Considerar los controles de compliance, operacionales, de fraude y sistemas
• 3. Relacionar el programa de SOX con el marco de COSO 2013
• Enfocarnos en los controles automáticos y el gobierno corporativo
• Atención a la narrativa de los controles para cumplir con todos los componentes de COSO
• 4. Enfocarnos al cumplimiento de los objetivos estratégicos
• Considerar todos los riesgos con enfoque top-down
• Riesgos de fraude y error vinculados a un factor humano (ej. background check, entrenamiento adecuado)
• 5. Actualizar la documentación de SOX
• Consolidar la valuación de las deficiencias
• Evaluar el efecto combinado de las deficiencias (ej. controles mitigantes parciales)
147. Sistema Normativo
Estrategia
Programa de
Compliance
Procesos
Sub-Procesos
Gente Sistemas Activos
Compliance
Interno
Compliance
Externo
Valores, código tico,
estatutos, resoluciones
del directorio
Normas de algo nivel GRC
Políticas sobre
requerimientos externos
o internos (ciclos)
Instrucciones sobre
controles paso a paso
148. Sistema Normativo
Sistema de Gestión de Normas
Riesgos
Redacción
Consulta
Benchmarking
CoordinaciónCCOy
dueñodelproceso
Aprobación
Publicación
traducciónyversiones
Implementación y
Entrenamiento
Comunicación
Programasde
Desarrollo
Consultas
Excepciones (Waivers)
Auditoria
Gestiónde
Incidentes
Nuevo
Ciclo de
Gestión
de
Políticas
149. Consejos para Buenas Políticas
• 1. Sistema de normas centralizado (norma de normas, policy-on-policy o meta-policy)
• Custodia el compliance officer por consistencia y para integrarlas en niveles y por dueños del proceso
• Cambios de versiones, traducciones, y notificaciones en forma colaborativa
• 2. Del papel a la acción
• Lenguaje simple con uso de narrativos, flujogramas, fotos, y preguntas/respuestas para facilitar las
decisiones (ej. prueba obligatoria luego de notificar el cambio de una norma)
• Construcción consultiva y seguimiento obligatorio (acknowledgements, medidas disciplinarias expresas)
• Relacionar las normas a los departamentos o cargos afectados
• 3. Vinculadas a los riesgos
• Facilitar la actualización de normas (siguiendo los cambios: quién, cuando y cómo)
• Validación por legales
• 4. Actuaciones estándar
• Normas de industrias y mejores prácticas (seguir la estructura de controles SOX)
• 5. Monitoreo
• Revisión anual en base a observaciones de auditores, cambios regulatorios e incumplimientos y fraudes
• Entrevista con entrenamiento sobre procesos especialmente confusos para los afectados
150. Soluciones de Entrenamiento
• 1. Difusión del concepto de “auto-control”
• Capacitaciones que mejoran los resultados de SOX:
• Políticas y procedimientos
• Controles antifraude
• Controles financieros y spreadsheet controls
• 2. Medios de capacitación
• Presenciales, eLearning, eSeminars
• Revistas y newsletters
• 3. Momentos
• Ingreso de nuevos empleados: pack de bienvenida, charla de inmersión al código de ética
• Campañas periódicas
• Propuestas colectivas con gestión de riesgos, compliance, IT y recursos humanos
• 4. Capacitación a los SOX testers
• CIA (IIA), CISA/CRISC Risk and Information Systems Control (ISACA), CFE (ACFE)
• COBIT/COSO y metodología de testeos y selección de muestras
• Reportes efectivos e influencia
154. Checklist para SOX Training
√¿Contamos con un programa para áreas de para cada riesgo?
Deficiencias pasadas, cambios normas, empleados que roten
√¿El entrenamiento ofrecido tiene sentido con las áreas que
aportan valor y los riesgos de fraude y compliance detectados?
√
¿Mido todas las etapas del entrenamiento y lo ajusto en
consecuencia? Asistencia, entendimiento, contenido, método
√¿Incluyo y centralizo los riesgos y controles de sistemas?
√¿Comparo el costo del entrenamiento con el ahorro en
eficiencia del testo de SOX por auditores internos y externos?
√¿Les doy ejercicios concretos a cada sector: operaciones,
finanzas, SOX testers?