Compliance CEF - Curso Monográfico de Compliance Officer Curso Monográfico de Compliance Officer
Hernan Huwyler – 8 de Junio 2016
Compliance en España, Integración Sistema Normativo
5. COO @ SP
Perfil
ControlLegalista
50% de las empresas tienen compliance en sus organigramas
(80% en + 5k empleados)
Partes iguales: 1 persona, 1 departamento, 1 órgano
colegiado
70% depende de órgano de administración
Generalmente política de compliance parcial
50% mapa de compliance
6. Modelo 3 Líneas de Defensa
Gerentes de
Operaciones
Control Interno
Control Financiero
Gestión de Riesgos
Compliance y Normas
Auditoria Interna
Senior Management
Auditoria Externa
Regulador
ExCom & Comité de Auditoria
1° Línea
Responsabilidad
2° Línea
Control y Guía
3° Línea
Reaseguro
7. Lo que el Compliance Officer dice
Nuestro programa de
cumplimiento es clave para
asegurar a seguir para los
riesgos de compliance y la
obtención al largo
plazo.
la línea
de resultados
8. y lo que el directorio escucha
Bla bla bla bla bla bla bla bla bla
bla bla bla bla bla bla bla bla bla
bla bla bla bla bla bla
bla bla bla bla
bla bla bla la
bla bla bla bla
la línea
de resultados
11. Programa de Compliance Global
Sin Gobierno Central Compliance Central Compliance Regional
HQ País
A
País
B
País
C
HQ
País
A
País
B
País
C
HQ
País
A
País
B
País
C
Región A B
12. Alineamiento
Estructura de IT
Tolerancia
consistente
Única fuente
decisoria
Mejor orientación
de recursos
Compromiso
Sustentabilidad
Estructura de
gobierno
Cultura
Perfil de riesgos
Aseguramiento
Valores
Estrategia
Modelo de
negocio
Integración al Sistema Normativo
Misión GRC
Compliance
Performance
13. La perspectiva de
control interno
Los incendios son
inevitables pero pueden
ser controlados con
extintores. Instale
extintores y audite sus
cargas. Resuelva
cualquier deficiencia.
Documente el proceso y
audite los controles.
Identifique deficiencias y
corrija los controles
La perspectiva de
riesgos
Los incendios ocurren
cuando un material
inflamable se expone a
una fuente de ignición.
Elimine ambos factores.
Identifique y mitigue los
factores de riesgos por
categoría. Monitoree los
KRI para advertir sobre
eventos.
La perspectiva de
compliance
Los incendios ocurren
por la gente
despreocupada.
Persuada a gente que
cambie su conducta y
entrene sobre
prevención.
Desarrolle una política.
Comunique, motive y
entrene a quienes pueden
tener una conducta
peligrosa.
14. 1. Definir responsabilidades
lll lll
2. Integrar regulaciones a procesos
3. Monitorear cumplimiento
Integración al Sistema Normativo
16. Delegación de Autoridad
Accountable
R Responsible
→ hacer
A Accountable
→ decidir y rendir cuentas
C Consult
→ necesario para decidir
I Inform
→ necesita saber la decisión
Responsible
Internos
Externos
Demarca la responsabilidad
Comunicación sin ambigüedad
Identifica problemas
Ordenamiento de políticas siguientes
Prevención del fraude
Registro de
Delegaciones
17. Y todo eso terminó cuando todos,
le echaron la culpa a alguien,
cuando uno de ellos debió hacer
lo que nadie hizo.
¿Os suena familiar?
18. Delegación de Autoridad
Herramienta Matriz RACI - Ejemplo
Poder
Encargadodeproyectos
Encargadodeingenieria
Encargadodecontrataciones
Directordeventas
Gerentedeoperaciones
Directordeingenieria
Gerentedecompras
Gerentedeproducción
1.0 Completar una orden de trabajo
1.1 Generar una orden de trabajo N C R A C I I I
1.2 Planear y gestionar una orden de trabajo N R A C I
1.3 Efectuar la ingenieria del proyecto N C R A I
1.4 Producir los elementos del proyecto N R C A
1.5 Instalar los elementos del proyecto N R A
1.6 Completar la puesta en marcha N R C A C I
1.7 Obtener la certificación del cliente N R I A I C
21. Identificar riesgos sobre
obligaciones
Análisis de riesgos
Costo del no compliance * Prob
Evaluación del riesgo
Prioridad de acción
Tratamiento del riesgo
Tolerar/Tratar/Transferir/Terminar
Evaluaciónymejorasdelprograma
Objetivo de cumplimiento
Contexto y alcance
Comunicacióndelprograma
Internayexterna
ISOs 19600 y 31000
22. Política de Prevención
Modelo de Prevención y Control
s/Reforma Código Penal 2015
Antelación Eficacia Idoneidad
Antes del delito
En forma general es
el código de ética
Debemos formalizar la
fecha de realización de los
Controles (documentación)
Según el riesgo
No hay una omisión ni
una supervisión ineficiente
por el órgano de supervisión
Control y vigilancia adecuado
Coordinación con auditoria interna
(compliance audit)
23. Política de Prevención
Grupos:
• directores,
• empleados,
• autónomos contratados (ej. consultores, agentes)
• proveedores
Emitida por la alta dirección
Comunicada a toda la organización con constancia de entendimiento
Normas básicas de actuación (ej. diferencia entre un regalo y un soborno)
Canal de denuncia a través de correo electrónico o teléfono.
Los ejecutivos deben certificar con su firma que se cumplen las políticas anticorrupción.
Comunicar a la plantilla que la empresa prohíbe expresamente el soborno
o la contabilidad creativa.
Informar al empleado de las consecuencias de los delitos.
Controles financieros anticorrupción.
24. Retención de Documentación
Remuneraciones a Directores
Donaciones, Contribuciones a Partidos Políticos
Patrocinio
Drogas y Alcohol
Uso de Redes Sociales
Cuidado Ambiental
Agentes, Distribuidores, Representantes y Proveedores
De sistemas (seguridad, antivirus, passwords, wifi, email..)
Política de Viajes
Préstamos a Empleados
Due Diligence de Clientes
Tarjetas Corporativas
Políticas de Compliance
25. Insider Trading.
Código Ética Financiero
Normas especificas contables
Reporte exacto, completo y a tiempo
a los reguladores y demás usuarios
Alcance:
• CFO
• Responsables impuestos, control,
reporting, auditoria interna
• Equipos
• Consultores
Consecuencias
Responsable al empleado por:
Normas y estándares
Negocio
Revisión crítica de controles
Entrenamiento
específico
26. Control de Proveedores Críticos
• Modelo de compras que garantice la objetividad, trasparencia y equidad.
• Controles para evitar corrupción:
• Centralización
• Modelo único de contratación (ej. Pliego de clausulas contractuales
standard)
• Analizar riesgos de delitos
• a Hacienda
• a seguridad
• al medioambiente
• a propiedad intelectual
• sobre datos personales
• Para solicitar medidas de control adicionales
• Control del proceso de licitación, ejecución y aceptación
• Revisión de seguros
• Auditoria
27. ¿Cómo
gestionamos
un fraude
detectado?
Protocolo de Investigación Fraude
Los gerentes son
responsables de detectar
posibles fraudes
¿Reporte al:
• comité de auditoria
• Auditores externos
• ExCom
• RH - disciplina
• Supervisor/Área
• Fraudulento
• Policía/Medios
Encargado
¿Auditoria
interna?
¿control interno?
¿legales?
y de reportar
posibles
fraudes para
investigar
No investigaciones personales
Garantizar la confidencialidad
Garantizar total acceso a
información al investigador
Registro de reportes
Garantizar la preservación de la documentación
Involucrar al menor número de personas
Posibilidad de contratar especialistas contables y
legales
Quién evalúa la necesidad de extender la investigación
Necesidad de evaluar las pérdidas para ajustes
Protección del investigador
Determinar la mejora en el sistema de controles
Plan de Respuesta al Fraude
28. ¿Cómo
gestionamos
una denuncia?
Canal de Denuncias
Objetivo
Ayuda a resolver una cuestión ética
Reporte de potenciales infracciones:
• Al código de ética
• Delitos
• Fraude
• Cuando se pone en peligro la seguridad
Registro y adjuntar los datos brindados y pruebas
Evaluación preliminar: procede o desestima
Investigación: El denunciante lo hace porque cree habrá una investigación
Comunicación de la conclusión
• probada
• infundada buena fe
• infundada mala fe
Comité de ética: involucramiento de la alta dirección por cultura
Alcance
Directores, empleados, contratistas,
pasantes, proveedores, y clientes
Confidencialidad - ¿Anónima?
Sin represalias por buena fe
Medios: teléfono, email, correo, sitio
29. Claves
Norma de Normas
Debemos definir quién es
responsable de dar y aprobar
normas
Designar un custodio del sistema normativo (ej. operaciones y métodos)
Designar un dueño de cada tipo de política que negocie y tenga input
Integrar políticas a valores, el marco de control (ej SOX) y entrenamiento
Preservar la discreción de los gerentes
Mecanismo de “waiver” de cumplimiento
Prever un mecanismo de actualización políticas
Calidad de redacción: Guia a empleados sin jerga y tecnicismos
Un mismo sistema para todos y todas las regulaciones
CoCo
Pol
Proc
30. Claves
Uso de Activos
Los empleados deben proteger:
Los activos físicos bajo custodia del robo y mal uso
La información
Los activos tecnológicos (sistemas, móviles, computadores)
Canal de reporte de robos de activos
Regular el uso personal ocasional si no se orienta a obtener un ingreso o
Ventaja ocasional
Acceso indebido, alteraciones en configuraciones y fraudes sobre sistemas
cumpliendo políticas establecidas por IT
Derecho de monitorear comunicaciones por email y teléfono de compañía
Derecho de bloqueo de internet
Todo uso de la propiedad intelectual de la empresa debe estar
aprobado por un supervisor
31. Amplia casuística .
Conflictos de Intereses
Casos no exhaustivos:
• Interés económico directo o indirecto
• Conexiones comerciales
• Relaciones personales
• Expectativas futuras (conflictos potenciales)
- poder ser un empleado
- recibir un préstamo
• Prohibir una ventaja personal por la
la relación con la empresa
• Declararlos a una unidad responsable
Desafíos
Consultoría con empresas relacionadas
Inversiones en empresas relacionadas
Miembros de familia
Consensuar la resolución
del conflicto
En forma temprana
Cambios de proyectos
Dejar de hacer
32. Claves
Política de Anti Corrupción
Cero tolerancia a la corrupción
activa y pasiva
Los pagos facilitadores es recomendable que sean solamente dados en caso
de riesgos de vida inminente de un empleado.
Vincular el control de esta política a controles financieros y orientarla a riesgos
por jurisdicciones, tipos de transacciones e involucrados (ej. oficiales)
Incluir el uso de agentes e intermediarios, así como de JVs
Directas e indirectas
Diferencia entre pago facilitador y sobornos
Una empresa
que paga
sobornos deja de
controlar sus
negocios
33. Claves
Hospitalidad y Regalos
Se permiten si:
no influencian en una decisión
cumplen la ley
no son en efectivo
comunes a la circunstancia
no involucran a empleados públicos
Dar un valor de referencia de un regalo aceptable (usualmente 100 euros año)
Dar cuotas en valores para hospitalidad por nivel jerárquico y departamentos
Aprobación de atención a eventos y regalos al superior
Prohibir ciertos tipos de entretenimientos (finalidad de negocios legítimos o que
beneficien a la empresa)
Cubrir que gastos de promoción cubrimos a clientes o potenciales
Prever la recepción y el otorgamiento
Razonables
Apropiados
34. Claves
Protección de Propiedad Intelectual
Los empleados deben:
preservar la propiedad intelectual de la empresa
Utilizar propiedad intelectual de terceros previo pago de
licencia y permiso
Considerar los soportes: físicos y electrónicos
Considerar los empleados actuales, los ex empleados y los consultores
Todo secreto comercial y propiedad intelectual desarrollada por un empleado
en funciones de su cargo son propiedad de la empresa
Control de licencias en software, imposibilidad de instalar software no provisto
por IT, hacer copias o instalaciones en otras máquinas
Todo uso de la propiedad intelectual de la empresa debe estar
aprobado por un supervisor
35. Claves
Delitos contra el Mercado
Los empleados deben:
evitar sospechas de abusos de mercado (trust,
cartelización, acuerdos y fijación de precios, limitación
volúmenes o condiciones)
No compartir información o iniciar rumores
Considerar las reuniones con competencia y analistas de mercado
Los acuerdos pueden ser un contrato o simplemente un apretón de manos
Notificación de fusiones y adquisiciones
Limitar interacciones con clientes (exclusiones, reciprocidades
“yo te compro, tu me compras”)
La información confidencial debe tener un responsable
36. Claves
Información Privilegiada
Las personas que tengan
conocimiento por razón de su
trabajo o cargo de
una información no pública
obtenida por la sociedad no
podrán utilizarla
No operar con
los valores
relacionados
Periodos restringidos
Antes de publicar las cuentas anuales y trimestrales
Ante operaciones significativas en curso
Extensión a familia y convivientes
Responsabilidad de salvaguardia de la información privilegiada
Registro de personas con información privilegiada
Relación con Protección de Activos
No trasmitirla
a terceros
37. Protocolos de Actuación
Reglamento del Consejo
de Administración
Acciones previas a la decisión
demostrando debida diligencia
Informes internos necesarios:
Financiero: TIR, endeudamiento
Técnico: operaciones
De riesgos jurídicos, impositivos, estratégicos y otros
Otros informes de alternativas y escenarios
Solicitud de asesoramiento externo
Jurídico especializado
Orden del día, sistema de votación,…
Proyectos, Inversiones y Compras de Empresas
Informe de impacto ambiental
Estudios de ambientales
hidráulico,
de patrimonio cultural,..
Informe de control de contaminación
Autorización ambiental integrada
Ley de Evaluación Ambiental
Informes necesarios:
Viabilidad de nueva empresa
Valoración de aportes en especie
Valoración de acciones y aportaciones
De auditoria de due diligence
De modificación de estatutos
Ley de Sociedades de Capital
38. Política de Medio Ambiente
Generalmente parte de la
política de sustentabilidad
Mejorar la performance ambiental (reducir huella hídrica,
de carbono, emisiones/impacto cero, …)
Actuación frente a incidentes medioambientales y
disposición de residuos
Cooperación con organismos y agencias gubernamentales
Green procurement
Encargado del monitoreo y reporte
Requiere campañas de concientización y auditorias
Conceptos básicos
Regulaciones nacionales y locales
Guia de mínima (países sin normas ambientales)
Salud de empleados y terceros
Protección del medio ambiente
Por cambio climático
Impactos
Reducir el impacto en el transporte
Reciclado y menor empaque de productos
Minimizar la generación de residiuos
Uso eficiente de energía y agua
Uso de biodegradables
Adicionales
40. Fraude – Business Intelligence
Reportes
Interactivos
KCIs / KRIs
Alertas & Red
Flags
Exploración &
Investigación
Visualizaciones
& Dashboards
41. Israel*, blacklist*,
boycotti*, Jew*, “are
not of”, “are not
acceptable”,” Arab
Ports”, “Arab
League”,…
AKKP-AKKTP=1LoC
AKKP-LCRESTRIC=Leng.
A/B
KNA1-LAND1 matched to
AKKP-KUNNR=AE, BH,
DZ..
AE Algeria
BH Bahrain
DZ Djibouti
EG Egypt
IQ Iraq
JO Jordan
KM Kuwait
KW Lebanon
LB Libya
LY Mauritania
MA Morocco
MR Oman
OM Pakistan
PK Qatar
QA Saudi Arabia
SA Somalia
SD Sudan
SO Syria
SY Tunisia
TN
United
Emirates
YE Yemen
Fraude – Business Intelligence
AdaptaciónGuidance on the 8th EU Company Law Directive – FERMA for Risky Swiss Cheese Model for Risk
Que se presenten
En 2008 el Open Compliance and Ethics Group (OCEG) da un marco de referencia para la integración del Gobierno Corporativo, la Gestión de Riesgos y el Cumplimiento Regulatorio.Beneficios de integración de riesgos legales en el marco general de GRC
Única fuente: único mapa de riesgos corporativos centralizado, una vista integrada
Aumenta el compromiso, a más entendible, mas adherencia
Orientación Recursos: menos costo de la iniciativa (un sistema, un grupo, una política), un solo levantamiento de riesgos/taller (màs participativo), una sola auditoria de riesgos
Alineamiento: rompe silos
Consideraciones especiales del riesgo legal en ERM
Un riesgo legal puede no tener fuente (podemos decidir romper un contrato)
Con consecuencias de otros riesgos (ej. una caída de liquidez puede hacer incumplir covenants de prestamos)
Hay efectos no financieros (ej. ilegalidades puede resultar en el despidos y prisión del personal)
No podemos mitigar el impacto: Las consecuencias de los riesgos legales están generalmente predeteminadas
Responsabilidades: CRO,
Etapas para integrar compliance a la gestión (mayor factor de éxito para esta iniciativa: involucrando a empleados, integrando regulaciones diversas en un sistema, ayudando al entendimiento de regulaciones).
Asignar responsabilidades a los dueños de los procesos – La percepción de la necesidad de compliance disminuye con las responsabilidades (Kearney: 68% del top mgmt tiene una percepción positiva de compliance vs. 19% del nivel más bajo)
Cuáles son las funciones de un Responsable de Control Interno & Compliance. Ideas para motivar una cultura de cumplimiento normativo desde el gobierno corporativo
Involucrar a expertos y resolver el punto de equilibrio entre riesgos y carga administrativa – La carga administrativa disminuye la adherencia. No podemos definir procesos sin tener en mente a compliance.
El Código Ético: requerimientos, implementación y difusión. Requerimientos SOX y reportes en compliance (ej. Hotline). El sistema normativo. Cómo elaborar un mapa de riesgos de cumplimiento normativo y regulatorio: herramienta crucial para identificar, tratar y seguir los riesgos de incumplimiento en una corporación energética. Estrategias para priorizar esfuerzos. Recorrido por los principales tipos de regulaciones a nivel internacional en energía.
Generar controles para reducir los riesgos de no cumplimiento en procesos claves – Conexión al sistema de control interno. Proceso de mejora continua.
Tipos de auditorías de cumplimiento recomendadas para cada caso. Identificación de tendencias, herramientas para detectar operaciones sospechosas y el papel de la business intelligence. Estrategias para comunicar pautas de cumplimiento a las unidades de negocio en el ejercicio de la actividad energética. Materiales de referencia para implementar programas de cumplimiento
¿Qué llevarse? Un conjunto de herramientas e ideas para priorizar los riesgos legales y de compliance para desarrollar planes de mitigaciòn.
Nota: Enfoque a compañías multinacionales (incluyendo US aunque no buscando que sean solo especificas de un país).
Alinear R y A según nivel de autoridad: A tiene más cargo de R
Solo hay una A en cada tarea
Cada A debe tener un poder (nivel de autoridad) adecuado
Las personas en C y I deben ser un mínimo
Sumar todas las Rs en una columna para ver si una persona está haciendo mucho
Sumar todas las As en una columna para ver si una persona tiene la correcta segregación de funciones (muchas As es confuso o genera un cuello de botella)Si una persona no tiene ni R y As, su posición puede ser eliminada
Alinear las Rc y las As a la calificación de cada cargo/persona
La reforma del Código Penal de 2015 establece los requisitos que una empresa debe cumplir para quedar exenta de responsabilidad penal en el
caso de que una persona de su organización cometa un delito en determinadas circunstancias.
La reforma introduce los conceptos de antelación, eficacia e idoneidad como atributos clave del modelo de prevención y control
Manuales de prevención de riesgos penales o de cumplimiento normativo en materia penal, o también denominados «Compliance Programs», Proyecto de Reforma del Código Penal: prevé un delito específico para aquellos representantes legales o administradores de cualquier persona jurídica, empresa, organización, o entidad que carezca de personalidad jurídica, que omitan la adopción de las medidas de vigilancia o control que resulten exigibles para evitar la infracción de deberes o conductas peligrosas tipificadas como delito, siempre que si se hubiera empleado la diligencia debida se pudiera haber evitado, o seriamente obstaculizado, la ejecución de una de tales conductas ilícitas.
CODE OF ACCOUNTING PRACTICE AND FINANCIAL REPORTING https://www.westpac.com.au/docs/pdf/aw/ic/Code__accounting_practice_f1.pdfCode of ethics for senior finance officers
http://www.lilly.com/about/business-practices/ethics-compliance/code-of-conduct/Pages/code-of-conduct-financial-management.aspx
El encargado de investigar debe ser independiente
Se puede poner un reporte en las cuentas anuales
Advertir a los empleados que su comunicación por medio de activos de la empresa puede ser monitoreada mientras sea justificada y ante un delito presunto y de acuerdo a la legalidad.
Esta política debe indicar como resguarda las pruebas para que sirvan como elementos de defensa
El reporte de fraude a la policía muchas veces no se efectúa para evitar daños reputacionales
Limites legales para la investigación- Tribunal Supremo (TS) como del Constitucional ha marcado los límites que puede encontrarse el responsable de cumplimiento a la hora de acceder y controlar los recursos puestos a disposición del trabajador, como el ordenador.Artículo 20 del Estatuto de los Trabajadores: la empresa podrá adoptar medidas de control y vigilancia para verificar el cumplimiento por el trabajador de sus obligaciones y deberes.
En un informe de 2007 Agencia Española de Protección de Datos estableció las líneas de denuncia serían confidenciales, pero no anónimas, para garantizar la exactitud e integridad de la información. Se recomienda externalizar el servicio para garantizar la imparcialidad.Primer medio de contacto o segundo luego que fue al supervisor, al secretario general o recursos humanos. Si admitimos el reporte por el supervisor (cuando no es parte de la sospecha), igualmente {el debe reportarlo para que quede registro.
La politica debe guiar al denunciante antes del proceso (ej. Que guarde evidencia, calmarlo, que relate solo hechos, que no son un “traidor”, recuerde fechas). Hay que darle al denunciante un tiempo esperado de acción, explicar quien sigue el tema, y asegurarle que está protegidoEn general el denunciante tiene motivos altruistas, y no está perjudicado
SOX 301: Nos pide un procedimiento de denuncias (de fraude contable y que pueda ser anonimo)
SOX 1107: hasta 10 años de carcel y multas si hay represalias al denunciante
n practical terms, whistleblowing occurs when a worker raises a concern about danger or illegality that affects others (e.g. clients or their employer). The person blowing the whistle is usually not directly, personally affected by the danger or illegality. Consequently, the whistleblower rarely has a personal interest in the outcome of any investigation into their concerns. As a result, the whistleblower should not be expected to prove theircase; rather he or she raises the concern so others can address it.
Conducting business on behalf of the Company with immediate family members, which include spouses, children, parents, siblings and persons sharing the same home whether or not legal relatives.
Using the Company’s property, information or position for personal gain.
Conducting personal business with vendors, suppliers, competitors or customers of the Company.
Actual or potentially conflicting interests (including but not limited to any material transaction or relationship that reasonably could be expected to give rise to a conflicting interest) must be reported to the Company’s General Counsel. Many conflicts of interest can be resolved in a mutually acceptable way, but they must be disclosed to the Company’s General Counsel. Failure to disclose a conflict or a potential conflict of interest may lead to disciplinary action, up to and including termination.
Entretenimientos no admitidos: brindados en locaciones donde no se presta el servicio, lujosos, en fechas de alto turismo o celebraciones
Concepto de "work made for hire” que un empleado hace en alcance de su resposabilidad de trabajo, y fue comisionado.
Secretos comerciales implica el saber hacer algo eficientemente.
Los consultores ceden su propiedad intelectual si fueron contratados para eso y hay un acuerdo previo
VX11N (on vbap)– Doc. 1 o z1 Letter of Credit – Conditions
Refusing or agreeing to refuse to do business with or in a boycotted country (e.g., Israel) or with a nationalofaboycottedcountry (e.g., an Israeli company) or a boycotted person (e.g., a ‘blacklisted’ party). This includes, among other things, agreeing to comply with a country’s boycottlaws; ship goods on a carrier thatis eligible to enter the ports of a
boycotting country (other than Saudi Arabia); or provide a certificate stating that products are not of Israeli origin (a ‘negative certification’);
Para estas operaciones se asegura que no haya participado una sociedad Norteamericana. Adicionalmente de las tablas SAP de operaciones bancarias, analizamos que el banco interviniente no sea americano.