Compliance Risk Map Mapa de Riesgos Penales para Compliance Officer

Master Compliance Officer
Master en Responsabilidad Social y Sustentabilidad
Mapa de Riesgos de Compliance
Prof. Hernan Huwyler, CPA MBA – 20, 21 y 22 Diciembre 2016

Audit SOX ACCG
Risks
SAP/IT
Compliance

ISO 31.000 Risk Management
tiempo
productividad

Riesgo
Efecto de la incertidumbre sobre
la consecución de los objetivos
La incertidumbre es la falta de
información
Puede generar riesgos per se
(no deseados) y oportunidades
(deseadas)
Expectativa conocida y a cierto
horizonte de futuro que puede o
no puede
Los riesgos calculados
optimizan el rendimiento para
cierto capital (tolerancia)
Cumplimiento de las
expectativas de los grupos de
interés
El ambiente condiciona las
decisiones de los órganos
gerenciales la empresa
La ley y la ética limitan las
decisiones para hacerlas
sustentables
Su incumplimiento tiene
consecuencias: multa,
sanciones e impacto
reputacional
Compliance
¿Qué investigaremos?
Riesgo Compliance

Alcance: del riesgo penal al moral
21 delitos del código penal
extensibles a la persona legal
Recursos y urgencia
Etapa de educación (y
aprendizaje del compliance
officer)
El “compliance de papel”
Externo:
- Otros delitos (mobbing,
seguridad laboral)
- Regulaciones (cotizantes sobre
la normativa del mercado de
valores)
- Auto regulaciones
- Ley, estatuto trabajadores
- ISOs
Interno
- Políticas y procedimientos
- Compromisos
Compliance con las expectativas
de los grupos de interés
Decisiones de negocios basada
en valores corporativos
(tendencia en cómo reclutamos)
Retorno del gasto de compliance
Sostenibilidad y rentabilidad
Excelencia de servicio,
diferenciador, cultura corporativa
Art 31 bis Compliance Ética

Accountability
Incentivos basados en
riesgos y controles

Compliance como una
obligación de
maquillar los
procedimientos…
… o un motivo para
comunicar prácticas
de negocios en una cultura
ética, prevenir el fraude y
mejorar márgenes al
accionista

El negocio
Compliance
acompañando la
estrategia empresarial
El cumplimiento
Tolerancia cero al
incumplimiento

Compliance Risks
Riesgo de sufrir….
- pérdidas financieras
(sanciones, multas, reputacional)
… por incumplimiento de…
- leyes, regulaciones y normativas
externas
- políticas internas
- ética
Consecuencia
Impacto de riesgos
Plan de contingencia, protocolo de
actuación (comité de crisis
Causa
Frecuencia de riesgos
Plan de prevención del compliance
plan ) & corporate defense

Consecuencia
Legales: multas y sanciones
Regulatorias
Litigios
Reputacionales: pérdida de
contratos y clientes
Pérdida económica
Imposibilidad de operar o contratar
Moral de empleados
De oportunidad de negocios
Impairment de intangibles
Causa
Imposibilidad de cumplir con
Leyes
Regulaciones
Auto-regulaciones
Código de conducta
Buenas prácticas
Compromisos
Principios de negocios y valores
Expectativas de grupos interés:
inversores, clientes, empleados y
proveedores
Compliance Risks

Consecuencia
Reacción y corrección
Gestión de incidencias
Generación de evidencia
Lobby con reguladores
Investigación
Involucramiento del ExCom
Causa
Prevención y detección
Gestión del riesgo de compliance
Sistema normativo
Hotline
Protocolo de actuación
Entrenamiento
KPIs / KRIs del plan de compliance
Compliance audits
Mejora continua
Compliance Risks

Integración de elementos
Simple y práctico
ISO o COSO
Apoyo de alta dirección
Componentes:
- Política de riesgos
- Nombramientos
- Organización
- Presupuestos
- Plan de trabajo
Identificación
Análisis
Priorización
Tratamiento
Monitoreo
Niveles de gestión de riesgos

Universo de Riesgos
Contra el Patrimonio
- Estafas y fraudes
- Insolvencias
punibles
- Daños informáticos
/ hacking
- Contra la propiedad
intelectual
- Contra el mercado
- Revelación de
secretos
- Facturación
fraudulenta
- Falsedad en
medios de pago
Contra el Fisco
- Contra la
Hacienda Pública y
la Seguridad Social
- Blanqueo de
capitales
- Ciertos casos de
contrabando
Contra la Seguridad
Pública
- Contra la salud
pública
- Construcción ilegal
- Contra el medio
ambiente
- Relativos a la
energía nuclear y a
las radiaciones
- De riesgo
provocado por
explosivos
- Tráfico de drogas
- Contra la intimidad
y allanamiento
informático
Contra la ética
- Corrupción
privada: relativos a
la corrupción en los
negocios
- Cohecho: dádivas
y sobornos a
funcionarios públicos
- Corrupción de
funcionario extranjero
- Tráfico de
influencias
-Financiación ilegal
de partidos políticos
- Acoso laboral
- Información
privilegiada
- Delitos contra la
intimidad

Universo de Riesgos
Contra el Patrimonio
CFO
CIO
CISO
Data Protection
Officer
Contra el Fisco
Head of Tax
Contra la Seguridad
Pública
COO
HS&E
Contra la ética
CEO
Compliance
Auditoria Interna
Dir. Comercial
Unidad de Cumplimiento
Legales
Corporate Defense
ExCom

Corrupción pública o
privada
Abuso del mercado
Mapa de Riesgos - Ejemplo
Brindar servicioGeneración contrato Facturación Cobro
Fraude a seguridad social Fraude fiscal
Falsedad de medio de
pago
Blanqueo de capitales
Entrega de sobornos
Acuerdos de precios
Simulación laboral Deducciones indebidas Lavado de dinero

Mapa de Riesgos - Ejemplo
Entrega de sobornos
Acuerdos de precios
Simulación laboral Deducciones indebidas Lavado de dinero
Control de revisión de
cuentas de gtos
representación
Política antitrust
Control aprobación de
cálculo fiscal
Control cruzado Tax vs.
Payroll
Control aprobación de
cálculo fiscal
Know Your Customer
Comercial Tax + Payroll Tax Gestión de clientes
Tesorería
Reforzar: Business
Intelligence
Reforzar: Auditoria
Fiscal

Alcance del Mapa
¿Nos quedamos solamente dentro de España?
- Filiales internacionales y otras sociedades subholdings
- Joint ventures
- Descentralización de funciones ejecutivas (ExComs por país)
¿Incluimos solamente los delitos atribuibles a
una persona jurídica?
- Ley del mercado de valores
- Ley de trasparencia
- FCPA
- Leyes similares en el mundo (ej. Europa (-DE), US, y
Chile)
- Legal + Ético (nuestra forma de hacer negocios)
¿Podremos sumar este trabajo a otra iniciativa en curso?
- Departamento de riesgos
- Departamento de Prevención del Fraude
- Auditoria interna (riesgos sobre procesos e investigación de fraudes)
- Departamento de compliance

• Regiones
geográficas
• Profundidad
(Seniority)
• Unidades de
negocios
• Legal, Fi, HR,
IT, expertos,
consultores,
investor
relations
Alcance del Mapa

Top
Down
Bottom
Up
Registro
Riesgos
Fq %
Im$
Alcance del Mapa

Top
Down
Bottom
Up
Registro
Riesgos
Alcance del Mapa
• Formularios
• Preguntas del tipo ¿Tiene medidas para evitar la corrupción?
¿Qué que son efectivas? ¿Supervisa el riesgo de corrupción?
¿Ha tenido incidentes?
• Sesgo en la definición previa y selección de destinatarios, poco
sinceras, interpretativas, cualitativas para el mapa
• Entrevistas personales
• Ambiente sincero y de guía al dueño del riesgo
• Permiten un análisis cuantitativo
• Sesgo del dueño de riesgo: ilusión de control, de punto ciego y
deformación profesional, heurística de disponibilidad, anclaje
• Workshops
• Consenso y diálogo top/dueño del riesgo
• Sesgo de efecto Moises
• Guerras de poder
• Inteligencia previa en compliance risks (desktop research)
• Análisis de juicios en curso y finalizados, multas,
reportes de inspecciones y auditorias, contingencias
contabilizadas, ejemplos de otras empresas,
especialistas
• Su uso extremo es el sistema de “scoring”

Heurística de Disponibilidad
Evento
emotivo
Evento
reciente
Reducir con
inteligencia previa para
evitar sesgos

Efecto Anclaje
Preguntar mejor y peor
escenario

FCPA
Protección de
activos
Antitrust Insider trading Privacidad
Controles de
exportación
Retención de
documentación
Seguridad de
información
Compensaciones
y bonos
Reporte
Sarbanes Oxley HSE
Discriminación y
acoso laboral
Integridad
financiera
Contratos con el
gobierno
Propiedad
intelectual
Uso de tecnología
3rd Party
management
Prácticas
comerciales
Ética
Taxonomía Compliance
Normas
voluntarias

Mapa de Riesgos
Riesgos de Fraude
Riesgos de
Compliance Penal
Actividades
reactivas de
investigación y
disciplina
Actividades
proactivas de
prevención y
control

Mapa de Riesgos
1 Identificar riesgos
2 Evaluación de
impacto y frecuencia
Eventos que afectar los
riegos del universo de
compliance
Impacto: costo más probable
de no- compliance
Frecuencia : probabilidad de
darse los factores de riesgos
al momento del análisis en un
horizonte de tiempo
3 Priorización de
riesgos
Criterio para decidir que
eventos son más críticos de
controlar (mapa)
4 Planes de
mitigación
Seguimiento del progreso de
los planes de acción
Reevaluación frecuente
Alta criticidad
Seguimiento
Watch-List
Criticidad

Nro y Título
Registro de riesgos
Resumen de la consecuencia POR la causa
Descripción ¿Cómo ocurría el delito (o incumplimiento) en la empresa? ¿Qué norma se incumple?
Factores de riesgos ¿Qué condiciones deben darse para que se materialice el delito?
Empresa/Proceso ¿Dónde afecta el delito? ¿Dónde ocurren las transacciones afectadas/expuestas? ¿Tipo de
riesgo?
Controles actuales ¿Qué hacemos actualmente para prevenir el delito?
Impacto ¿Cuánto afecta en la cuenta de resultados antes de impuestos cada delito?

Frecuencia
Registro de riesgos
¿Qué cantidad de delitos espero ocurran en cierto horizonte de tiempo?
¿Qué estadística interna o externa tengo sobre los eventos?
3er variable: velocidad, nivel de control, personas afectadas, formalizado
Propietario ¿Quién es el principal dueño del objetivo afectado por un delito? Un sólo “doliente”
Auditoria ¿Qué monitoreo lleva el compliance officer?
Plan de acción
Para los que trato, ¿qué pasos y cuando voy pienso agregar controles? ¿en curso,
cerrado?
KRI ¿Qué tan pronto preveo que evolucione la exposición?
Debo hacer que el dueño de riesgo cuente una historia lógica (del inicio al final). Es natural comenzar con
impacto y luego con la frecuencia. Se puede usar MS Excel (con macro para reporte) o un software de
administrador de flujos). Los datos se revisan en una entrevista sobre riesgos y se aprueban. Modelo común al
resto de los riesgos y que integre los elementos de GRC.

Ej. Software con impactos múltiples
Compliance es también un tipo de impacto de riesgos operativos. Para poder detectar estos casos sin duplicar
esfuerzos y garantizar la integridad de la identificación de riesgos en los procesos de inicio a fin, el registro de
riesgos debe ser único y debe poder filtrarse. Esto permite al consejo tomar decisiones estratégicas.
El registro de riesgos es un canal de diálogo entre los dueños de riesgos, compliance, auditoria interna,
prevensión y otros departamentos de soporte.

Ej. Registro de riesgos sobre MS Excel

Ej. OECD Riesgos Anti-Corrupción

Créditos por llevar bien los
riesgos de compliance
99% del compliance officer
1% del software

Aún no se creó ningún software
que compense la falta de talento
de un compliance officer

Mapa de Riesgos - Impacto
 Multa en proporción al daño/cuantía del delito
 Disolución de la persona jurídica
 Suspensión de sus actividades
 Clausura de sus locales
 Prohibición temporal o definitiva de realizar las actividades en cuyo
ejercicio se haya cometido el delito
 Inhabilitación para obtener subvenciones y ayudas públicas, para contratar
con el sector público y para gozar de beneficios e incentivos fiscales
 Intervención judicial para salvaguardar los derechos de los trabajadores o de
los acreedores
Socios Inocentes
Respecto a los efectos colaterales o consecuencias a pagar por terceros incluyendo el impacto en los
trabajadores, el efecto negativo se paliaría con la posibilidad que tienen los socios inocentes de
reclamar posteriormente a los administradores la acción de responsabilidad socia

Directas e inmediatas
• Pérdida por defraudación
• Ineficiencias y/o discontinuidad de operaciones
Directas y mediatas
• Indemnizaciones a terceros
• Multas y sanciones
Indirectas
• Costo de investigación
• Ajustes fiscales
Reputacionales
• Pérdida de competitividad, moral, clientes, socios, licencias, y contratos
• Pérdida del valor de mercado

Área Riesgo legal Regulación /
Ley
Área
Funcion
al
Impacto Frec. Score Contro
l
Clasif.
ImpactoPrácticasdecomercioexterior
Sobornos en el
extranjero
FCPA Foreign
Corrupt
Protection Act
Ventas 5 1 5 4 Reputacional
Aduanas Leyes
aduaneras
Ventas 1 3 3 2 Operacional
Control de
exportaciones
OFAC Office of
Foreign Assets
Controls
Exportaciones de
productos con
doble uso
Reg. UE
428/2009
Boycott no
sancionado a un
país extranjero
Anti-Boycott Act Ventas 2 2 4 4 Operacional
Exp/Imp de
químicos
peligrosos
Reg. UE
649/2012
…. … … ….

Score 1 2 3 4 5
Multas, daños e
indemnizaciones
< 1% de las
ventas
1% al 3% de las
ventas
3% al 5% de las
ventas
5% al 10% de
las ventas
> 10% de las
ventas
Reputacional
Sin exposición
o daño
Impacto negativo
localizado pero
recuperable
Cobertura en
medios o
reguladores
local
Cobertura en
medios o
reguladores
nacional
Cobertura
sustancial en
medios o
reguladores
nacional
Operacional
Sin pérdida de
negocios u
operaciones
Visible pero
gestionable
fácilmente
Daños a
clientes o
grupos de
interés
Impacto severo
a la
performance
Impacto
catastrófico a la
BU

Mapa de Riesgos - Frecuencia
Score 1 2 3 4 5
Descripción Casi imposible Rara Posible
Incidentes
aislados
Incidentes
repetitivos
Tiempo
< Una vez
cada 5 años
< Una vez cada
año Una vez al año
Una vez al mes
Una vez a la
semana
Probabilidad < 1% 1% al 5% 5% al 10% 10% al 20% > 20%

Mapa de riesgos y la 3er variable
• Velocidad del Riesgo: Tiempo entre el evento de riesgo y
tener que pagar el impacto (ej. tiempo en aplicar una multa
por el regulador). Beneficio: priorizar acciones
• Duración del Riesgo: Persistencia del riesgo en el tiempo
(ej. inspecciones largas).
• Nivel de Control: Posibilidad que gestión para disminuir el
impacto o la frecuencia del riesgo (ej. proceso ya
documentado). Beneficio: margen de reducción
• Grado de Entendimiento: Seguridad en valuar el impacto
y la frecuencia (ej. riesgos emergentes)
La 3er variable siempre está
contemplada en impacto o
frecuencia

FCPA
Trade
Restrictions
Reg. UE
428/2009
Reg. UE
649/2012
OFAC
Anti-Boycott
Aduanas
1 2 3 4 5 Fq
Impacto
12345
Mapa de riesgos

Ejemplo Coreti (fábrica de etiquetas en Galicia)

Riesgo Impacto k€ Frecuencia 3
años
Criticidad
Exposición
Velocidad Control
1Falsedad documental contable 300 20% 60 A A
2Fraude a hacienda 200 20% 40 M M
3Corrupción a funcionarios
públicos
60 50% 30 M A
4Blanqueo de capitales 30 50% 15 M M
5Falsificación de tarjetas de
crédito y cheques
15 100% 15 A M
6Fraude en seguridad social 40 30% 12 A M
7Cohecho 100 10% 10 A M
8Fraude en subensiones y ayudas 60 10% 6 M M
9Abuso de información
privilegiada
40 10% 4 A M
10Financiamiento de partidos
políticos
20 10% 2 B B
11Corrupción entre particulares 20 10% 2 M A
12Asociación ilícita 20 5% 1 M M
13Tráfico de influencias 10 10% 1 M B
Ejemplo cuantitativo

Probabilidad a 3 años
Impactoporeventok€
Tamaño = Velocidad

Granularidad
Probabilidad
Impacto
Financieros
Estratégicos
Compliance
Operativos
Puedo hacerlo por
proceso, línea de
negocio o empresa

Valuación financiera del impacto
Escenario base
Escenario
base
Escenarios
promedios
Peor Esc + Mejor Esc
2
Escenarios
triangulados
Peor Esc + Esc Base * 3 + Mejor Esc
5
Montecarlo Software
1
2
3
+10k
. E1
. E2
. En

Riesgo inherente y riesgo residual
Probabilidad
Impacto
Aclarar al dueño del
riesgo si hablas del
inherente o residual
Riesgo propio de una actividad
sin ningún control
Decisión para la cual
construimos el mapa
Asegura la mejora contínua de
los controles

Seguros
Outsourcing
Cláusulas de
responsabilidad a
terceros
Transferir
Dejar de efectuar la
actividad que afecta la
sustentabilidad
Terminar
Monitorear
frecuenmente
para asegurar
sigan en “lo
verde”
Tolerar
Aplico controles
preventivos y
correctivos
Tratar
Plan de
Prevención
Plan de
Contingencia
Decisiones 4 Ts
Prevención
CoCo y políticas
Separación de funciones
Autorizaciones
Formación, checklists
Monitoreo y supervisión
Corporate defense como
eximente
Contingencia
Protocolo de crisis
Reporte a autoridades (ej.
fuga de información personal)
Investigación del canal de
denuncia
Procedimiento de
disciplina
Cisnes negros:
eventos remotos e
impredecibles con un
efecto mayor

Controles
• Mapa de riesgos con planes de acción
• Políticas con controles preventivos (aprobaciones, SoD, manuales y automáticos,
ambiente/ciclos)
• Entrenamiento y difusión
Prevención
• Compliance audits (propias o de reguladores)
• Revisión de litigios, seguros, sanciones y reclamos
• Análisis de denuncias Compiance Help Line
Detección
• Protocolo de disciplina
• Comunicación de fraudes
• Denuncias a la justicia
Respuesta
• Monitoreo del modelo de prevención de delitos
• Actualización del modelo
Supervisión y monitoreo

Frecuencia
Impacto
Amenazas a la continuidad
de la empresa y su
sustentabilidad a largo plaza
Pérdidas operativas
producidas por muchos
errores pequeños
Incidentes con un daño
material pero no rutinarios
Estrategia y operaciones

¿Cuántas vacas se me escapan del
campo si no tendría ninguna cerca?
Riesgo inherente
Análisis teórico y no orientado a tomar
decisiones
Relacionado con el impacto y frecuencia del
máximo peor escenario donde todos los
controles fallan o no existen
Ninguna actividad carece de controles,
especialmente de alto nivel (ambiente de
control) como un presupuesto o el código de
conducta
Vinculado a auditoria y seguros (“el mundo
colapsaría sin nuestros servicios”)
Riesgos no es el impacto y la frecuencia de un
único escenario sino de todos ,con muchas
potenciales estadísticas
¿Qué beneficia a mi empresa priorizar riesgos
inherentes?

Alternativa sin impacto ni frecuencia
Baja Media Alta
Prioridad
Delitos improbables
en la actividad en
la actividad de la
empresa
Fuera del alcance
de los empleados
Delitos que pueden darse en la actividad de
la empresa
Empleados con conocimiento y alcance para
cometerlos
Baja ganancia para
el empleado
Alta ganancia para
el empleado
Limite: Más vinculado al impacto que a la frecuencia
(ej. que lo puedan cometerer 2 empleados es igual que todos)

COSO ERM
¿Qué?
8 Componentes del
Marco
¿Para qué?
4 objetivos de
control
¿En dónde?
4 niveles
organizacionales

COSO ERM
¿Cómo identifico eventos?
Universo de eventos
Análisis de flujos de procesos
Análisis de información histórica
de la empresa y sector
Indicadores de excepción
Entrevistas y workshops grupales
guiadas por facilitadores
¿Cómo evalúo eventos?
Por el impacto y probabilidad
inherente y residual
¿Cómo respondo a riesgos?
4 Ts

Compliance de tolerancia
cero
Tolerancia cero al riesgo de
incumplimiento legal o de
inseguridad de empleados,
formalizado en el código de
ético
Enfoque moral: siempre
cumplimos la ética y la ley
Compliance basada en
riesgos
Sentido de racionalidad
económica sobre controles al
riesgo de fraude, es irrealista
reducir la corrupción y los
ilícitos a cero incidentes
Enfoque pro-negocios:
obtenemos ganancias porque
asumimos riesgos
Tolerancia al riesgo en compliance
Compliance solo funciona en dos lugares:
en el cielo dónde no la necesitan y en el
infierno dónde ya la tienen

• La tolerancia al riesgo de compliance la determina el consejo al:
• asignar presupuesto, información y poder político a la función del
compliance officer (en muchos casos impulsados por las multas de un
regulador y el coste percibido por los incumplimientos)
• determinar los factores sobre los que incentiva las remuneraciones
(motivando actuaciones éticas y sustentables)
• tomar decisiones que balancean performance y valores
El riesgo de compliance debe tener la misma medición que los demás como
el financiero o el estratégico porque toman la capacidad de riesgo común de
la empresa y deben gestionarse en conjunto
La tolerancia al riesgo depende de la cultura y la presión comercial de una
empresa

• Los empleados deben cumplir con
toda la normativa legal y los
procedimientos internos
• La empresa mantiene la tolerancia
cero frente a la corrupción en todas
sus formas, incluyendo a
proveedores y terceras
• La empresa no tiene tolerancia frente al fraude
• Terminamos con riesgos individuales con una
exposición mayor a €200k al año
• Disminuir las multas del regulador a €200k
• Mantener el nivel de satisfactorio las
inspecciones laborales
• No recibir reajustes impositivos de auditorias

No instalamos frenos en los coches para
ir más despacio, sino para poder
movernos más rápido

Mapa de Riesgos – Alternativa
Puntaje Interno
Fraude
- Operativo
- Contable
Corrupción
Daños
Informáticos
….
Calidad de
Controles
Documen-
tación
Entrena-
miento
Centrali-
zación
Sistema de Puntos
1 a 5
Medidas Efectivas a Inefectivas
Respaldado por Director de Área
Puede ser ponderado (ventas de la unidad, número
de empleados,…)

Planes de Acción
Exposición a un delito
tomando en cuenta los
controles actuales
Medidas a implementar Recursos a asignar
Controles
Políticas
Sistemas
Conocimiento
Autoridad
Coordinación política
entre departamentos
Presupuesto con
responsable, tiempo e
indicadores
Cargos

Herramienta CASE
C Consequence
A Assets at Risk
S Source
E Event
Perder ventajas competitivas
…. “sobre” …
la propiedad de información sensitiva
…. “debido al” …
espionaje industrial de nuestros
competidores
…. “al” …
sufrir un ataque a servidores inseguros

Herramienta Bowtie
Proceso de negocios Objetivos
Causas
Prevención
Consecuencias
Impacto
Riesgo
Factores humanos,
procesos, equipos,
materiales, ambiente,
gestión
Financieras
Compliance
Operativas
Estratégicas
Indicadores de Riesgos
Árbol de Fallos Árbol de Impactos
3 Líneas de Defensa
políticas sobre
actividades

Herramienta Bowtie
Riesgo
Eventos desencadenante
Causa
Probilidad
Evento positivo o
negativo
Consecuencia
Impacto
Eventos contingentes
Como resultado que…. Hay un riesgo que…. Que puede resultar en…
Deben ocurrir con certeza
para materializar el
riesgo, pero no sabemos
cuando
Evento de riesgo que
puede o no puede pasar
impactando en resultados
Eventos que hacen que
perdamos el objetivo y
cuando se materializa el
riesgo
Una falla en el testeo de
calidad del producto
produce un
incumplimiento de
contratos con clientes
generaría costes
adicionales y dañaría la
reputación

Reportes al ExCom
Mapa de Riesgos
Penales
Por Áreas
Por País
Por Año
Seguimiento de Planes
de Acción
Planes
Presupuestos
Grado de Avance
Indicadores de Riesgos
Claves (KRIs) Penales
Ejemplos:
Multas por Revenue
Multas por Volumen
Denuncias por
Empleado
Fraude por Empleado
% Completar Cierto
Programa Educativo

Key Risk Indicator en Compliance
Objetivo
¡Factor de
riesgo!
Tolerancia
Key Risk
Indicator
Key Performance
Indicator

Key Risk Indicators en Compliance
• Un Key Performance Indicator mide la eficiencia pasada de compliance
• Medimos la cantidad de eventos materializados y pérdidas
• % multas sobre ventas, contingencias legales sobre ventas, número de
procesos con no-conformidades sobre el total auditado, número de
denuncias anuales en el canal por empleado
• Un Key Risk Indicator predice si nos acercamos a un factor de riesgo
• Medimos el movimiento de los factores de riesgos (ej. proyectando
tendencias) para cambiar estrategias. Los vinculamos a las red flags.
• Variación interanual de multas/contigencias/reviones/ajustes fiscales
• % empleados de compliance sobre empleados totales
• % de rotación no deseada de empleados
• número de cambios de versiones de políticas sobre el total
• % de órdenes de compras con disputas con proveedores
• % empleados formados sobre cierto riesgo de compliance
• % ventas a clientes públicos/extranjeros

Conducir un departamento de compliance
sin KRIs es como conducir un coche solo
mirando el espejo retrovisor

¿Cómo podemos fracasar?
• No logra poner el riesgo legal en la agenda de la alta dirección
• Carece de recursos y autoridad en la unidad de cumplimiento para construir
la cultura de “tolerancia cero”
• Carece del liderazgo y entusiasmo para permear los controles dentro de la
organización
• Mantiene su el mapa de riesgos y los controles “en silos”
• No logra hacer que sea una herramienta de gestión (por ejemplo,
terciarizando)
• No logra orientar los recursos a los riesgos relevantes
• Tiene objetivos no alineados a la madurez de la organización
• No aprence ni mejora de los fallos y nuevos riesgos
Hacer fácil lo difícil
Si compliance…

Modelo de Madurez
1
Ad hoc
2
Fragmentado
3
Definido
4
Maduro
5
Optimizado
Los riesgos de
compliance se
identifican sin un
reporte formal ni en
forma regular.
Los empleados están
informados de algunos
riesgos de
compliance,
principalmente de
políticas.
Una política de gestión
de riesgos incluye a
los de compliance
para su identificación,
evaluación y reporte.
Existe un universo de
riesgos común.
La política de riesgos
abarca toda la
empresa y el registro
de riesgos tiene un
uso dinámico
Coordinación total y
continua de esfuerzos
entre compliance y
auditoria interna. Los
riesgos de compliance
se ajustan a cada
jurisdicción.
No se documenta el
análisis de riesgos.
Se analizan riesgos de
compliance en forma
regular, pero en
algunas instancias,
principalmente por el
compliance officer.
El análisis de riesgos
de incumplimientos se
desarrolla bajo un
modelo dado como
- ISO 31000
- COSO ERM
- OECD Anti
corrupción.
Todos los riesgos se
analizan al menos
anualmente, así como
los planes de acción.
El departamento de
auditoria interna y
compliance auditan y
supervisan.
El comité ejecutivo y
el de riesgos se
involucran en los
riesgos estratégicos y
de impacto
reputacional.
Monitoreo automático
a través de alarmas.
Se reporta al consejo
el mapa de riesgos
anual.
Los resultados de la
gestión de riesgos se
informan a varios
comités, incluyendo
los indicadores de
riesgos KRIs
El reporte de riesgos
se automatiza en
herramientas de GRC.

La cultura organizacional requiere tiempo en
madurar. La función de compliance debe
adecuarse al estado actual pero tener la
visión sobre qué va a construir en el futuro.

Riesgos en Due Diligence
• Estrategia de go-to market:
sobre qué clientes y países
operar
Tolerancia
• Cantidad y tipo de 3P
• Disponibilidad de recursos
• Separar la profundidad
de la revisión por el nivel
de riesgo de cada grupo
Política
• Revisión de
documentación, cruce
informados y aprobación
de contratos por
segmentos
• Aprobación por:
• B Gerente comercial
local
• M Compliance officer
regional
• A Compliance officer
central
• Refuerzos M y A :
• Cláusulas especiales
• Mejora de controles
internos
• Auditorias
específicas
• Prohibiciones
(usualmente en tipo
de pagos o servicios)
Green light
• Seguimiento de métricas y
alarmas según el riesgo de
la 3P
• Cruces frecuentes con
informados
• Revisión que hayan dado
cierta formación dentro de
la 3P
• Auditorias especiales sobre
el cumplimento de
condiciones y términos
claves
• Investigación de prácticas
comerciales inusuales
Monitoreo

El importante saber lo que sabemos…
…. pero más importante aún es saber lo que no sabemos.

Impacto
reputacional
Disminución de ganancias
o aumento de costes por
una pérdida de la
confianza de los grupos de
interés.
Destrucción del valor de
los intangibles.
Asociada a la ética y a una
falta penal de la empresa.

Riesgos o impactos sobre reputación
• Reputación como riesgo de 2do nivel
• Impacto reputacional como consecuencia de un
riesgo operativo o de compliance anterior
• Estrategia defensiva: plan de acción como
respuesta a un riesgo de pérdida de credibilidad
• Dueños del riesgo operativo o de compliance
• Escenarios: interrupción de servicio, faltas de
servicio y testeo de calidad, corrupción, fiscales,
compliance, medio ambiental y fuga de datos
• Fácilmente entendibles y gestionables por los
dueños del riesgo
Impacto reputacional
• Reputación como riesgo de 1er nivel
• Riesgo reputacional como categoría separada de
riesgos
• Estrategia de crecimiento: objetivo futuro de la
reputación
• Involucra además a sectores de RSC,
comunicación y relación con inversores
• Escenarios: ataques injustificados a la reputación
sin que haya un riesgo operativo presente (riesgo
político o de competencia)
• Dificultad de gestionar la reputación como un
elemento separado
Riesgo reputacional

Reputación
Valor adicional por generar
oportunidades de negocio con los
grupos de interés.
Intangible → generar dinero de palabras
Ventaja competitiva →
Reguladores que bajen observaciones
Empleados motivados y atraen talento
Clientes y proveedores fieles
Vinculado a la innovación y a las
acciones pasadas.
La información pública se
gestiona.

Impacto reputacional
Multas, sanciones, coste forense
Incremento de litigios
Coste de normalizar relaciones
externas y cultura interna
Coste de disminución de precios
Gestión con un protocolo de
crisis y acciones de
responsabilidad social

Bajo
Actividad no regulada
Impacto limitado en
volumen de financiero
afectado, número de
clientes y quejas de
usuarios
Respuesta rápida para
contener el impacto
Controles efectivos para
evitar exposición pública
Los grupos de interés
conocen y esperan este
riesgo
Se tratan mejorando la
cultura de compliance
Medio
Los dueños de los riesgos
pueden responder
adecuadamente a los
cambios regulatorios
Los controles son
generalmente efectivos
Afectados no rápidamente
comunicados por social
media
Se tratan con prevención o
contingencia del riesgo
operativo en concreto
Alto
Escrutinio público y del
regulador
Controles generalmente
inefectivos
Los grupos de interés no
fueron comunicados del
riesgo
Los gerentes no tienen
flexibilidad para adecuarse
a las regulaciones y
expectativas
Afectan a muchos clientes
relevantes
Se tratan con el protocolo
de crisis
Niveles de Impacto Reputacional
Valor intangible con impactos tangibles

JPMorgan Chase & Co.'s Involvement in
China
Embraer's Involvement in Multiple Countries
from 2005 to 2011
GlaxoSmithKline's Involvement in China
between 2010 and 2013
Och-Ziff Capital Management Group LLC's
Involvement in Africa from 2005 to 2015
Impacto Reputacional Valor de cotización – Mayores 4 casos FCPA en 2016

Lo que el Compliance Officer dice
Nuestro programa de
cumplimiento es clave para
asegurar a seguir para los
riesgos de compliance y la
obtención al largo
plazo.
la línea
de resultados

… y lo que el directorio escucha
Bla bla bla bla bla bla bla bla bla
bla bla bla bla bla bla bla bla bla
bla bla bla bla bla bla
bla bla bla bla
bla bla bla la
bla bla bla bla
la línea
de resultados

3 Líneas de Defensa
Gerentes de
Operaciones
Control Interno
Control Financiero
Gestión de Riesgos
Compliance y Normas
Auditoria Interna
Senior Management
Auditoria Externa
Regulador
1° Línea
Responsabilidad
2° Línea
Control y Guía
3° Línea
Reaseguro
ExCom & Comité de Auditoria

Importancia Flujogramas para Políticas
Manual de Prevención Grupo Norte
Manual de Prevención Mercapalma
En lo particular , si se puede…
pero un poquito
La verificación periódica..
periódicamente verifica

Manual de Prevención FCC
Si te pierdes, busca un GPS

Código Ético de Gas Fenosa
Los empleados deberán informar a la empresa en el caso de que ellos o
sus familiares cercanos participen o vayan a participar en los órganos de
gobierno de otras sociedades que puedan entrar en colisión con los
intereses de Gas Natural Fenosa.
Sra. Empresa, ¿tiene un segundo
para que le informe?
Código de Conducta Banco Popular
¿y en lo imposible?

Flujogramas – Ejemplo KYS
El proveedor
completa la
aplicación
Compliance revisa
que esté completa
App
Compliance remite a
cliente solicitud
adicional
Compliance revisa de
requerimientos y
sanciones
Red
flag?
Compliance aprueba
generación del
proveedor en ERP
completa?
No
Si
Si
No
Riesgo 1: el proveedor corrompe al
analista de compliance
Riesgo 2: el analista de compliance no
detecta documentación faltante
Riesgo 3: el proveedor envía
documentación falsa
Riesgo 4: el software de sujetos
informados erronamente no detecta el
proveeor
Riesgo 5: el analista de compliance no
reconoce red flags en la aplicación

Recursos
Humanos
EmpleadoSupervisor
Analistade
Nómina
Mantiene el
expediente del
empleado jornalizado
Completa planilla de
horas trabajadas
Aprueba horas
trabajadas
Revisa horas
trabajadas
OK?
Liquida horas
trabajadas
Swimming lanes
Si
No

ISO 19600:2014
Guías para un Sistema de Compliance
Principios de buen gobierno corporativo, proporcionalidad, transparencia y sustentabilidad.
Construye transversalmente la superestructura de compliance
4.1. Identificación de
asuntos externos e
internos
4.2 Identificación de
requerimientos de
terceros
4.3/4 Determinación
del alcance del
sistema de gestión
4.4 Principios del buen
gobierno
5.2 Establecer una
política de
cumplimiento
Establecer
EntenderelContexto

ISO 19600:2014
Guías para un Sistema de Compliance
4.5/6 Identificar las
obligaciones de
cumplimiento y sus
riesgos
6 Planear los planes
de acción sobre
riesgos
8 Planear operaciones
y controlar los riesgos
de incumplimientos
9 Evaluar el
desempeño y reporte
de cumplimiento
Mejora continua sobre
incumplimientos
Mejorar
5.1 Compromiso, liderazgo
e independencia
5.3 Responsabilidad
7 Funciones de soporte
Evaluar
Mantener Desarrollar
Implementar

ISO 37001:2016
Anti-bribery management systems
Serie de medidas de control para prevenir, detectar y corregir el riesgo de
soborno
- Marco de política anti sobornos, procedimientos y controles
- Liderazgo de alta dirección y su responsabilidad
- Supervisión de alta dirección
- Entrenamiento sobre prácticas corruptas
- Evaluación de riesgos
- Due diligence con agentes, distribuidores, socios y asociados
- Sistema de reporte, investigación y revisión
- Acciones correctoras y mejora continua
Certificable

ISO 37001 Riesgos de Corrupción
Socios comerciales
Clientes
Proveedores, outsourcing
JVs, socios, consorcios
Consultores
Distribuidores
Intermediarios
Inversores
También los indirectos
Riesgo de corrupción
Por tamaño
Por país donde opera
Por país de registro legal
Por canal comercial
Por complejidad del servicio
Por área que lo contrata
Por interacción con
funcionarios públicos
Due diligence
Proceso para evaluar el
riesgo de corrupción y
compliance específico de un
socio comercial
Control de compliance y
financiero sobre pagos y
certificación de servicios
Identificar eventos
de riesgos
Priorizar por grupos
Actualizar el ejercicio en
forma frecuente
Varias formas de corrupción
“algo de valor”
Formalizar una política para
tratar el riesgo de
corrupción
Escalar controles
Frecuencia y oportunidad
de controles
Consejos a quién toma
las decisiones
 Entender la cultura de
cada país
 Considerar objetivos
comerciales (tolerancia)
 Análisis de riesgos de
corrupción en conjunto
con compliance y fraude
¿QuépidelaISO?¿QuéhaceelCCO?

Hoja de Ruta
La norma nos da una mejor práctica para planear las tareas de implementación de un sistema de gestión para
prevenir la corrupción corporativa
Pasos claves para implementar un sistema de gestión
Obtener el compromiso del directorio
Dar objetivos, autoridad y recursos a la nueva unidad de cumplimiento
Nombrar al líder apropiado
Conducir una evaluación de riesgos en función de cada negocio
Evaluar estrategias para implementar la política de prevención de
corrupción
Escribir la política
Diseñar o modificar las políticas y controles relacionados
Implementar la política de prevención
ISO 37001 Anti Corrupción

ISO 37001 Anti Corrupción
Obtener el compromiso del Comité
Encontrar el patrocinador adecuado en el Comité
Darle a este patrocinador toda la información sobre los riesgos
Proponer al Comité un plan con metas detalladas y reportes a generar
Este plan debería ser firmado por todos los miembros
Entrenar a los miembros del Comité sobre compliance penal
Hoja de Ruta
El problema de vender la iniciativa a alto nivel corporativo es que nadie ve los beneficios si nuestras medidas
de prevención del delito funcionan. Por otro lado, esperar incidentes para tener atención no es posible.

Código Ético
Políticas
Procedimientos
Modelos & Manuales
Integración Sistema Normativo
Instrucciones
técnicas
Especificaciones
técnicas
 Normas de ciclos
 Normas de procesos
 Normas de
actividades

Claves
Norma de Normas
Debemos definir quién es
responsable de dar y aprobar
normas
Designar un custodio del sistema normativo (ej. operaciones y métodos)
Designar un dueño de cada tipo de política que negocie y tenga input
Integrar políticas a valores, el marco de control (ej SOX) y entrenamiento
Preservar la discreción de los gerentes
Mecanismo de “waiver” de cumplimiento
Prever un mecanismo de actualización políticas
Calidad de redacción: Guia a empleados sin jerga y tecnicismos
Un mismo sistema para todos y todas las regulaciones
CoCo
Pol
Proc

Impreso
Digital – Intra/Internet
Entrenamiento
Código Ética
Introducción por CEO mencionado valores
Guia para la toma de decisiones de todos
Lenguaje directo, dinámico y traducido
Validación RM+Legal+HR+Com+Bus+…
¿Dudas? Al compliance officer
Difusión
Disciplina y tolerancia cero
Línea de denuncia
Acciones

Insider Trading.
Código Ética Financiero
Normas especificas contables
Reporte exacto, completo y a tiempo
a los reguladores y demás usuarios
Alcance:
• CFO
• Responsables impuestos, control,
reporting, auditoria interna
• Equipos
• Consultores
Consecuencias
Responsable al empleado por:
Normas y estándares
Negocio
Revisión crítica de controles
Entrenamiento
específico

Protocolos de Actuación
Reglamento del Consejo
de Administración
Acciones previas a la decisión
demostrando debida diligencia
Informes internos necesarios:
Financiero: TIR, endeudamiento
Técnico: operaciones
De riesgos jurídicos, impositivos, estratégicos y otros
Otros informes de alternativas y escenarios
Solicitud de asesoramiento externo
Jurídico especializado
Orden del día, sistema de votación,…
Proyectos, Inversiones y Compras de Empresas
Informe de impacto ambiental
Estudios de ambientales
hidráulico,
de patrimonio cultural,..
Informe de control de contaminación
Autorización ambiental integrada
Ley de Evaluación Ambiental
Informes necesarios:
Viabilidad de nueva empresa
Valoración de aportes en especie
Valoración de acciones y aportaciones
De auditoria de due diligence
De modificación de estatutos
Ley de Sociedades de Capital

Amplia casuística .
Conflictos de Intereses
Casos no exhaustivos:
• Interés económico directo o indirecto
• Conexiones comerciales
• Relaciones personales
• Expectativas futuras (conflictos potenciales)
- poder ser un empleado
- recibir un préstamo
• Prohibir una ventaja personal por la
la relación con la empresa
• Declararlos a una unidad responsable
Desafíos
Consultoría con empresas relacionadas
Inversiones en empresas relacionadas
Miembros de familia
Consensuar la resolución
del conflicto
En forma temprana
Cambios de proyectos
Dejar de hacer

Delegación de Autoridad
Accountable
R Responsible
→ hacer
A Accountable
→ decidir y rendir cuentas
C Consult
→ necesario para decidir
I Inform
→ necesita saber la decisión
Responsible
Internos
Externos
Demarca la responsabilidad
Comunicación sin ambigüedad
Identifica problemas
Ordenamiento de políticas siguientes
Prevención del fraude
Registro de
Delegaciones

Y todo eso terminó cuando todos,
le echaron la culpa a alguien,
cuando uno de ellos debió hacer
lo que nadie hizo.
¿Os suena familiar?

Los comités:
como el trabajo en equipo, pero
sin el trabajo

Delegación de Autoridad
Herramienta Matriz RACI - Ejemplo
Poder
Encargadodeproyectos
Encargadodeingenieria
Encargadodecontrataciones
Directordeventas
Gerentedeoperaciones
Directordeingenieria
Gerentedecompras
Gerentedeproducción
1.0 Completar una orden de trabajo
1.1 Generar una orden de trabajo N C R A C I I I
1.2 Planear y gestionar una orden de trabajo N R A C I
1.3 Efectuar la ingenieria del proyecto N C R A I
1.4 Producir los elementos del proyecto N R C A
1.5 Instalar los elementos del proyecto N R A
1.6 Completar la puesta en marcha N R C A C I
1.7 Obtener la certificación del cliente N R I A I C

¿Cómo
gestionamos
una denuncia?
Canal de Denuncias
Objetivo
Ayuda a resolver una cuestión ética
Reporte de potenciales infracciones:
• Al código de ética
• Delitos
• Fraude
• Cuando se pone en peligro la seguridad
Registro y adjuntar los datos brindados y pruebas
Evaluación preliminar: procede o desestima
Investigación: El denunciante lo hace porque cree habrá una investigación
Comunicación de la conclusión
• probada
• infundada buena fe
• infundada mala fe
Comité de ética: involucramiento de la alta dirección por cultura
Alcance
Directores, empleados, contratistas,
pasantes, proveedores, y clientes
Confidencialidad - ¿Anónima?
Sin represalias por buena fe
Medios: teléfono, email, correo, sitio

Labor Compliance
Categorías de Riesgos
Función de RH
• Conflictos de
interés
• Contratación y
entrevistas
• Deber de supervisión
• Protocolo de
disciplina
• Anti-discrimación
Relaciones laborales
• Cumplimiento de
leyes de
contratación
• Estrategia de
relación con
sindicatos y
acuerdos colectivos
• Condiciones
laborales
• Liquidación justa e
Indemnizaciones
Compensación e
Incentivos
• Compensación de
directivos
• Planes de incentivos
• Acuerdos de
compensaciones
• Comisiones sobre
ventas

Dueños de Riesgos Estudio PWC 2016
Legal
• Propiedad intelectual 89%
• Competencia 59%
• Insider trading 43%
• Retención de
documentación 30%
• Contratos públicos 29%
Compliance
• Conflictos de interés 51%
• Anti-corrupción 47%
• Lavado de dinero 38%
• Privacidad y
confidencialidad 38%
• Fraude 33%
Compras
• Compliance de
proveedores 42%
• Cadena de suministro ética
40%
RH
• Empleo y labor compliance
71%
IT
• Seguridad de datos 79%
Nota: Operaciones es dueño de riesgos
de seguridad laboral y ambientales 26%

Delitos de Implicancia Laboral
Contra Trabajadores
• Art 318 CP
• Contratación y
despido:
cumplimiento de ley
laboral, convenio y
contrato
• Engaño o o abuso de
situación de
necesidad (311.1)
• Discriminación (314)
• Limitación del
derecho a
sindicalización y
huelga (315)
• Prevención
accidentes (316)
• Acoso y mobbing
(173, fuera del 31b)
Fraude Fiscal
• Art 310 bis CP
• Contra la Seguridad
Social: jubilación,
prestación de
desempleo,
incapacidad,
maternidad,
• Falta o demora de
comunicar el alta
(311.3)
• Simulación laboral y
ocultamiento (307
ter)
• Eludir pagos,
deducciones
indebidas y
devoluciones
indebidas
Extranjeros y Menores
• Art 318 bis 5 CP
• Relación laboral
clandestina:
‒ empleo a extranjeros
sin permiso de
trabajo (311 bis a)
‒ inmigración o tráfico
ilegal de mano de
obra
• Empleo a menores
de edad (311 bis b)

Marco de Control
Prevenir
• Políticas y
procedimientos de
RH
• Evaluación de
riesgos de relaciones
laborales
• Formación
Detectar
• Monitoreo de
liquidaciones
• Detección de
relaciones laborales
encubierto
• Auditoria de
controles y monitoreo
de compliance
Responder
• Investigación a las
denuncias
• Política de disciplina
• Comunicación
• Mejora del marco

Controles sobre Liquidaciones de Nómina
• Revisión de back-end: contabilizado vs. libro de sueldos
• Revisión de elegibilidad de beneficios, extras y licencias
• Control de salario mínimo y el cumplimiento del sistema de retribución
• Número de horas extras (normas de descansos, exigencias de registro de
horarios a tiempo completo o parcial (Real Decreto 16/2013), ordinarias y
extraordinarias)
• Seguimiento de presentación y pagos de obligaciones de seguridad social
• Envio a término de liquidaciones y form. tributarios a empleados

Relaciones Laborales Encubiertas
• Fraude laboral y de seguridad social → Falso autónomo
• Compras con contra-cuentas de gastos de servicios
• Riesgos: consultoría, asesores, traductores, médicos, profesores
• Bajo desvío standard en número de factura, importe y frecuencia
DEMO

Otros Controles
• Informes de inspecciones de riesgos laborales y de seguridad social de
empleados, contratistas y subcontratistas
• Analisar cambios y ceses de tareas y condiciones de trabajo (ej. que no
se focalizen en una sola persona porque es indicio de mobbing)
• Revisión de informes y resultados de pruebas médicas y entrevistas de
salida
• Revisión de partes de bajas (atención a dolencias psíquica)
• Permisos de trabajo de extranjeros y menores de edad
• Informes de accidentes laborales al Ministerio de Trabajo (atención
riesgos)

Entrenamiento
Áreas
Código de ética a nuevos ingresos y por campañas a colectivos
de empleados
Políticas de prevención de corrupción, fraude y sobornos
Sobre valores como el abuso de empleados
Especializados a departamentos con riesgos operativos de errores
La cultura organizacional comienza en el entrenamiento
Comunicar programas sobre compliance dentro de los diferentes grupos de empleados es la base de
construcción de la cultura del cumplimiento e incentiva el diálogo entre departamentos.
No se puede cumplir lo que no se conoce.
 Formalizar asistencia, evaluar en pruebas y medir en encuestas. Responsable:
¿HR o CCO? Sitio de intranet. ¿Online, videos, presencial, autoestudio?
Monitorear avances

Las tradiciones:
por más que siempre se hayan hecho,
algunas no dejan de ser estúpidas

¿Cuáles son
las
alternativas?
¿Es legal y
consistente
con el espíritu
de la ley?
¿Está prevista
en el CoCo y
es consistente
con nuestros
valores?
¿Cuáles son
los hechos?
¿Cómo
implica cada
alternativa en
mí?
¿Cómo
implica cada
alternativa en
la sociedad y
la empresa?
¿Quiénes son
los afectados
de las
alternativas?
Entrenamiento sobre Ética

Entrenamiento
Invitar a un directivo reconocido dentro del
grupo objetivo para compartir sus valores y
liderazgo. “Esto es importante”
Obtenemos su patrocinio y credibilidad
Nos dan una visión única desde la dirección
El directivo se compromete con compliance
Mensaje único
Ponente
invitado
Planteamos un escenario hipotético y realista
para desarrollar con el grupo diferentes cursos
de gestión del caso.
Pueden tener un contenido regional/local
Practica con escenarios comunes
Hay mayor discusión y conocimiento del grupo
Presión de paresCasos
reales
Invitamos a un especialista sobre cierta
función, que describa los riesgos de falta de
cumplimiento y cómo efectuar controles
Conocimiento profundo sobre cierto riesgo y
sus controles
Visibilidad del especialista
Específicos
para un
riesgo
Principio “Nuestra gente defiende lo que es
involucrada a construir”
Permitir grupos de discusión para compartir
experiencias y mejores prácticas
Generar redes de conocimiento
Inspiración para alcanzar mejores prácticas
Reconocimiento de quienes efectúan mejores
controles
Compartir
conocimiento

Sanción .
Objetivos de
Mejora
Protocolo de Disciplina
Cultura
Compliance
Performance
Aclarar que las responsabilidades
dependen de la definición de cargo
Aclarar y separar infracciones:
• Performance
• Conducta
• Violación a políticas/ley
• Falsificación
• Fraude y abuso activos
• Acoso
• Drogas y alcohol
1 – Entrevista
con
supervisor
2 – Entrevista
con RH
Nota firmada por ambos
Próxima a la falta
Resguarda legajo
Acción correctiva
Comité de ética
Escalable en sanciones , s/recurrencia
Dar flexibilidad
Tolerancia cero al código ético
Entrevista
Salida
Equidad
Investigación

¿Cómo
gestionamos
un fraude
detectado?
Protocolo de Investigación Fraude
Los gerentes son
responsables de detectar
posibles fraudes
¿Reporte al:
• comité de auditoria
• Auditores externos
• ExCom
• RH - disciplina
• Supervisor/Área
• Fraudulento
• Policía/Medios
Encargado
¿Auditoria
interna?
¿control interno?
¿legales?
y de reportar
posibles
fraudes para
investigar
No investigaciones personales
Garantizar la confidencialidad
Garantizar total acceso a
información al investigador
Registro de reportes
Garantizar la preservación de la documentación
Involucrar al menor número de personas
Posibilidad de contratar especialistas contables y
legales
Quién evalúa la necesidad de extender la investigación
Necesidad de evaluar las pérdidas para ajustes
Protección del investigador
Determinar la mejora en el sistema de controles
Plan de Respuesta al Fraude

mydailyexecutive.blogspot.com
hwyler
www.linkedin.com/in/hernanwyler
hewyler
634 33 XX XX

Compliance Risk Map Mapa de Riesgos Penales para Compliance Officer

Compliance Risk Map Mapa de Riesgos Penales para Compliance Officer

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Was ist angesagt?

Was ist angesagt? (20)

Ähnlich wie Compliance Risk Map Mapa de Riesgos Penales para Compliance Officer

Ähnlich wie Compliance Risk Map Mapa de Riesgos Penales para Compliance Officer (20)

Mehr von Hernan Huwyler, MBA CPA

Mehr von Hernan Huwyler, MBA CPA (20)

Kürzlich hochgeladen

Kürzlich hochgeladen (20)

Compliance Risk Map Mapa de Riesgos Penales para Compliance Officer