Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.

Compliance Management Systems

2.623 Aufrufe

Veröffentlicht am

Compliance management systems: cómo establecer procedimientos y medidas de control para supervisar, gestionar y monitorizar el cumplimiento normativo • Risk Assessment: cómo evaluar las vulnerabilidades legales en
materia de cumplimiento normativo de cada una de las áreas de la organización
> Claves para la identificación de los riesgos
> Cómo determinar los objetivos de Compliance y alinearlos con la estrategia empresarial
• Creación de nuevas políticas y códigos de conducta
> El código ético como base para el resto de políticas: claves para su diseño y redacción
> Aspectos a tener en cuenta para lograr una articulación de políticas: claves para la priorización de normas
• Difusión del sistema: qué instrumentos son los más adecuados para asegurar que los empleados conocen y entienden qué se espera de ellos
> Ámbito legal. Cómo acreditar el conocimiento y aceptación por parte de los empleados
> Ámbito cultural. Cómo incentivar y premiar el cambio de conductas
> Auditorías periódicas de revisión del comportamiento profesional: cómo articular un sistema disciplinario
• Documentación del modelo.
Cómo asegurar la trazabilidad de las medidas adoptadas de cara a un hipotético proceso judicial como Corporate Defense
• Certificación del sistema: qué certificaciones y estándares son los más aceptados a nivel jurídico
• Auditoría Externas: cuándo y cómo deben encargarse y realizarse
• Los “Compliance Ambassadors”. Cómo gestionar y construir una red de colaboradores en departamentos y sucursales
• Gestión de incidencias Compliance de compras: ¿cómo
cuantificar los riesgos asociados a las relaciones comerciales con proveedores de productos y servicios?
• Procedimientos para la Due Diligence del proveedor: ¿cómo implantar un sistema de “Know Your Supplier”?
• Qué elementos se deben tener en cuenta en una auditoría de socios, contratos y joint ventures • Compliance de contratos: políticas de control de los procesos de adquisición de bienes y servicios
Hernan Huwyler
Dirección de Control Interno
y Gestión de Riesgos
VEOLIA

Veröffentlicht in: Recht
  • Login to see the comments

Compliance Management Systems

  1. 1. Compliance Management Systems 01. ¿Cómo evalúo el riesgo de compliance? Hernan Huwyler – 27 Enero 2016
  2. 2. Audit SOX ACCG Risks SAP/IT Compliance
  3. 3. Hoja de Ruta Matrices de control y su supervisión Reevaluar Disciplina
  4. 4. FCPA Protección de activos Antitrust Insider trading Privacidad Controles de exportación Retención de documentación Seguridad de información Compensaciones y bonos Reporte Sarbanes Oxley HSE Discriminación y acoso laboral Integridad financiera Contratos con el gobierno Propiedad intelectual Uso de tecnología 3rd Party management Prácticas comerciales Ética Taxonomía Compliance Normas voluntarias
  5. 5. Áreas de Riesgos Relaciones con √ Administración pública y funcionarios √ Regulador y CNMV √ Hacienda Gestión de √ Información confidencial √ Datos, sistemas y tecnología Relaciones con √ Proveedores √ Clientes √ Empleados y candidatos √ Inversores Interacción √ Con el medioambiente √ Ente partes: conflictos de interés
  6. 6. Universo de Riesgos Contra el Patrimonio - Estafas y fraudes - Insolvencias punibles - Daños informáticos / hacking - Contra la propiedad intelectual - Contra el mercado - Revelación de secretos - Facturación fraudulenta - Falsedad en medios de pago - Información privilegiada Contra el Fisco - Contra la Hacienda Pública y la Seguridad Social - Blanqueo de capitales - Ciertos casos de contrabando Contra la Seguridad Pública - Contra la salud pública - Construcción ilegal - Contra el medio ambiente - Relativos a la energía nuclear y a las radiaciones - De riesgo provocado por explosivos - Tráfico de drogas - Contra la intimidad y allanamiento informático Contra la ética - Corrupción privada: relativos a la corrupción en los negocios - Cohecho: dádivas y sobornos a funcionarios públicos - Corrupción de funcionario extranjero - Tráfico de influencias -Financiación ilegal de partidos políticos - Acoso laboral - Delitos contra la intimidad - Publicidad engañosa
  7. 7. Universo de Riesgos Contra el Patrimonio CFO CIO CISO Data Protection Officer Contra el Fisco Head of Tax Contra la Seguridad Pública COO HS&E Contra la ética CEO Compliance Auditoria Interna Dir. Comercial Unidad de Cumplimiento Legales Corporate Defense ExCom
  8. 8. Corrupción pública o privada Abuso del mercado Mapa de Riesgos - Ejemplo Brindar servicioGeneración contrato Facturación Cobro Fraude a seguridad social Fraude fiscal Falsedad de medio de pago Blanqueo de capitales Entrega de sobornos Acuerdos de precios Simulación laboral Deducciones indebidas Lavado de dinero
  9. 9. Mapa de Riesgos - Ejemplo Entrega de sobornos Acuerdos de precios Simulación laboral Deducciones indebidas Lavado de dinero Control de revisión de cuentas de gtos representación Política antitrust Control aprobación de cálculo fiscal Control cruzado Tax vs. Payroll Control aprobación de cálculo fiscal Know Your Customer Comercial Tax + Payroll Tax Gestión de clientes Tesorería Reforzar: Business Intelligence Reforzar: Auditoria Fiscal
  10. 10. Alcance del Mapa ¿Nos quedamos solamente dentro España? - Filiales internacionales y otras sociedades subholdings - Joint ventures - Descentralización de funciones ejecutivas (ExComs por país) ¿Incluimos solamente los delitos atribuibles a una persona jurídica? - Ley del mercado de valores - Ley de trasparencia - FCPA - Leyes similares en el mundo (ej. Europa (-DE), US, y Chile) - Legal + Ético (nuestra forma de hacer negocios) ¿Podremos sumar este trabajo a otra iniciativa en curso? - Departamento de riesgos - Departamento de Prevención del Fraude - Auditoria interna (riesgos sobre procesos e investigación de fraudes) - Departamento de compliance
  11. 11. • Regiones geográficas • Profundidad (Seniority) • Unidades de negocios • Legal, Fi, HR, IT, expertos, consultores, investor relations Alcance del Mapa
  12. 12. Top Down Bottom Up Registro Riesgos Fq % Im$ Alcance del Mapa
  13. 13. Mapa de Riesgos 1 Identificar riesgos 2 Evaluación de impacto y frecuencia Eventos que afectar los riegos del universo de compliance Impacto: costo más probable de no- compliance Frecuencia : probabilidad de darse los factores de riesgos al momento del análisis en un horizonte de tiempo 3 Priorización de riesgos Criterio para decidir que eventos son más críticos de controlar (mapa) 4 Planes de mitigación Seguimiento del progreso de los planes de acción Reevaluación frecuente Alta criticidad Seguimiento Watch-List Criticidad
  14. 14. Mapa de Riesgos - Impacto  Multa en proporción al daño/cuantía del delito  Disolución de la persona jurídica  Suspensión de sus actividades  Clausura de sus locales  Prohibición temporal o definitiva de realizar las actividades en cuyo ejercicio se haya cometido el delito  Inhabilitación para obtener subvenciones y ayudas públicas, para contratar con el sector público y para gozar de beneficios e incentivos fiscales  Intervención judicial para salvaguardar los derechos de los trabajadores o de los acreedores Mensaje No podemos asociar la cultura de compliance solo a una sanción penal
  15. 15. Directas e inmediatas • Pérdida por defraudación • Ineficiencias y/o discontinuidad de operaciones Directas y mediatas • Indemnizaciones a terceros • Multas y sanciones Indirectas • Costo de investigación • Ajustes fiscales Reputacionales • Pérdida de competitividad, moral, clientes, socios, licencias, y contratos • Pérdida del valor de mercado Mapa de Riesgos - Impacto
  16. 16. Score 1 2 3 4 5 Multas, daños e indemnizaciones < 1% de las ventas 1% al 3% de las ventas 3% al 5% de las ventas 5% al 10% de las ventas > 10% de las ventas Reputacional Sin exposición o daño Impacto negativo localizado pero recuperable Cobertura en medios o reguladores local Cobertura en medios o reguladores nacional Cobertura sustancial en medios o reguladores nacional Operacional Sin pérdida de negocios u operaciones Visible pero gestionable fácilmente Daños a clientes o grupos de interés Impacto severo a la performance Impacto catastrófico a la BU Mapa de Riesgos - Impacto
  17. 17. Mapa de Riesgos - Frecuencia Score 1 2 3 4 5 Descripción Casi imposible Rara Posible Incidentes aislados Incidentes repetitivos Tiempo < Una vez cada 5 años < Una vez cada año Una vez al año Una vez al mes Una vez a la semana Probabilidad < 1% 1% al 5% 5% al 10% 10% al 20% > 20%
  18. 18. Mapa de Riesgos – 3er Variable • Velocidad del Riesgo: Tiempo entre el evento de riesgo y tener que pagar el impacto (ej. tiempo en aplicar una multa por el regulador). Beneficio: priorizar acciones • Duración del Riesgo: Persistencia del riesgo en el tiempo (ej. inspecciones largas). • Nivel de Control: Posibilidad que gestión para disminuir el impacto o la frecuencia del riesgo (ej. proceso ya documentado). Beneficio: margen de reducción • Grado de Entendimiento: Seguridad en valuar el impacto y la frecuencia (ej. riesgos emergentes) La 3er variable siempre está contemplada en impacto o frecuencia
  19. 19. Área Riesgo legal Regulación / Ley Área Funcion al Impacto Frec. Score Contro l Clasif. ImpactoPrácticasdecomercioexterior Sobornos en el extranjero FCPA Foreign Corrupt Protection Act Ventas 5 1 5 4 Reputacional Aduanas Leyes aduaneras Ventas 1 3 3 2 Operacional Control de exportaciones OFAC Office of Foreign Assets Controls Ventas 2 2 4 5 Operacional Exportaciones de productos con doble uso Reg. UE 428/2009 Ventas 4 4 16 5 Operacional Boycott no sancionado a un país extranjero Anti-Boycott Act Ventas 2 2 4 4 Operacional Exp/Imp de químicos peligrosos Reg. UE 649/2012 Ventas 3 4 12 1 Operacional …. … … ….
  20. 20. FCPA Trade Restrictions Reg. UE 428/2009 Reg. UE 649/2012 OFAC Anti-Boycott Aduanas 1 2 3 4 5 Fq Impacto 12345 Mapa de Riesgos
  21. 21. Mapa de Riesgos – Alternativa Puntaje Interno Fraude - Operativo - Contable Corrupción Daños Informáticos …. Calidad de Controles Documen- tación Entrena- miento Centrali- zación Sistema de Puntos 1 a 5 Medidas Efectivas a Inefectivas Respaldado por Director de Área Puede ser ponderado (ventas de la unidad, número de empleados,…)
  22. 22. Planes de Acción Exposición a un delito tomando en cuenta los controles actuales Medidas a implementar Recursos a asignar Controles Políticas Sistemas Conocimiento Autoridad Coordinación política entre departamentos Presupuesto con responsable, tiempo e indicadores Cargos
  23. 23. Reportes al ExCom Mapa de Riesgos Penales Por Áreas Por País Por Año Seguimiento de Planes de Acción Planes Presupuestos Grado de Avance Indicadores de Riesgos Claves (KRIs) Penales Ejemplos: Multas por Revenue Multas por Volumen Denuncias por Empleado Fraude por Empleado % Completar Cierto Programa Educativo
  24. 24. Compliance y Estrategia  La estrategia de crecimiento requiere gestionar todos los riesgos y grupos de interés  La valuación de los riesgos penales debe ser parte de la planeación  Compliance debe identificar riesgos en todos los ciclos empresariales  Actualización frecuente del programa de compliance  Planes de acción frente a incidentes de compliance  Comenzar por entrenar para luego ser una fuente de información (“la voz de la conciencia”)  Vender por lo que se puede perder (reputación, riesgo informático, fraude) antes de lo que ganar (sostenibilidad, transparencia, cultura)  Compliance como mejora continua
  25. 25. Lo que el Compliance Officer dice Nuestro programa de cumplimiento es clave para asegurar a seguir para los riesgos de compliance y la obtención al largo plazo. la línea de resultados
  26. 26. y lo que el directorio escucha Bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla la bla bla bla bla la línea de resultados
  27. 27. Compliance Management Systems 01.A Caso Práctico Hernan Huwyler – 27 Enero 2016
  28. 28. Empresa Distribución Eléctrica Objetivo del caso:  Proponer un mapa de riesgos penales Información de base:  Empresa local de distribución eléctrica de baja tensión, 1.000 empleados  Accionariado: 20% Dubai Investment Authority, 5% BBVA, 75% bolsa  Estructura de gobierno formada por la junta de accionistas, un consejo de administración con 50% de miembros independientes y comisión de auditoria y remuneraciones  Objetivos de gobierno: confiabilidad, sustentabilidad, preservación ambiental, y liderazgo, desarrollar canales de diálogo social y con accionistas, política remunerativa moderada y medida por performance
  29. 29. 1. Alcance Delitos Susceptibles Riesgo Penal Impacto Frecuencia Exposición Contra el mercado y consumidores 5 5 25 Publicidad engañosa 5 3 15 Estafa propia e impropia 5 3 15 Delitos contra la Hacienda Pública 5 3 15 Delitos contra la Seguridad Social 4 3 12 Delitos contra los recursos naturales y medio ambiente 4 3 12 Abuso de información privilegiada 5 2 10 Cohecho, corrupción entre particulares 5 2 10 Venta fraudulenta de facturas 4 2 8 …. Delitos relativos a la energía nuclear n/a n/a Excluir Tráfico de personas y órganos n/a n/a Excluir
  30. 30. 2. Asignación a Procesos Procesos alcanzados Gestión comercial y de mercadeo Distribución Medición y facturación Gestión de recursos humanos Contratación de productos Contabilidad y fiscalidad IT y seguridad de información Gestión de reclamos de usuarios
  31. 31. 2. Asignación a Procesos Contratación de productos Campaña de marketing Consulta de potenciales clientes Presupuestación de oferta Pedido de alta de cliente Objetivos de ventas y creación de productos Scoring y evaluación del cliente Ofrecimiento de servicios adicionales Corrupción particulares: Agente comercial ofrece comisión encubierta Delito contra el mercado: Acuerdo de distribución de zonas con competidores Publicidad engañosa: Manipular cifras de supuestos ahorros publicitados Fraude: Presupuestar a futuros clientes descuentos y condiciones imposibles de obtener Soborno: En inspección posterior del regulador, se ofrece dinero para “olvidar una falta” Corrupción particulares: Cliente ofrece dinero a comercial para calificar Contabilización Delito contable: Falsear el número de clientes y adelantar el reconocimiento de ingresos
  32. 32. 3. Registro de Riesgos Riesgo Penal Factores y supuestos - Propietario Impacto Frecuencia Exposición Contra el mercado y consumidores Acuerdo de distribución de zonas con competidores – Dir. Comercial 250k 10% 25k Publicidad engañosa Manipular cifras de supuestos ahorros publicitados, atribuir al producto condiciones que carece – Dir. Comercial 200k 20% 40k Corrupción particulares Agente comercial ofrece comisión encubierta – Dir. Comercial 25k 50% 50k Impacto 0% Frecuencia 300k 100% Contra mercado Publicidad engañosa Corrupción
  33. 33. Impacto 0% Frecuencia 300k 100% Contra mercado Publicidad engañosa Corrupción 4. Articulación de plan de acción Pérdida de información (ej robo portátiles) Fraudes menores de empleados (ej. mal rendición de gastos) Malversación de fondos de empleados Seguimiento en Casa Matriz Seguimiento en Filiales Seguimiento en Casa Matriz + Soporte Externo Incumplimiento normas CNMV (ej. notificar hechos relevantes, SCIIF)
  34. 34. 4. Plan de acción Riesgo Penal Controles actuales Medidas Encargado Fecha Corrupción particulares Supervisión de agentes comerciales Firma del código de conducta Implantación del canal de denuncias Inclusión de clausulas en contratos laborales Revisar el código de ética para detallar precisamente los riesgos del proceso de contratación Formación sobre ética Compliance Officer 2H 2016 Publicidad engañosa Aprobación de productos y campañas Implementar una política de comunicación de productos (compatibilidad , consistencia e integridad de la información, explicación de términos y condiciones, publicidad correctiva en caso de observaciones, aprobación de operaciones de promesas de tiempos de conexión) Dir. Marketing 1H 2016
  35. 35. 5. Reporte Inversores Dubai Investment Authority BBVA Comisión Nacional del Mercado de Valores Reportes de Riesgos Penales Planes de acción del ExCom Reportes de Riesgos Penales Publicaciones Gob. Corporativo en Intra/Internet Canal ético Internos Comité Ejecutivo Mapa de Riesgos y Planes de Acción KRIs Key Risks Indicators Compliance KPIs
  36. 36. Compliance Management Systems 02. Código ético y políticas Hernan Huwyler – 27 Enero 2016
  37. 37. 1. Definir responsabilidades lll lll 2. Integrar regulaciones a procesos  3. Monitorear cumplimiento Integración al Sistema Normativo
  38. 38. Estrategia Programa de Compliance Procesos Sub-Procesos Gente Sistemas Activos Integración Sistema Normativo Compliance Interno Compliance Externo
  39. 39. Código Ético Políticas Procedimientos Modelos & Manuales Integración Sistema Normativo Instrucciones técnicas Especificaciones técnicas  Normas de ciclos  Normas de procesos  Normas de actividades
  40. 40. Claves Norma de Normas Debemos definir quién es responsable de dar y aprobar normas Designar un custodio del sistema normativo (ej. operaciones y métodos) Designar un dueño de cada tipo de política que negocie y tenga input Integrar políticas a valores, el marco de control (ej SOX) y entrenamiento Preservar la discreción de los gerentes Mecanismo de “waiver” de cumplimiento Prever un mecanismo de actualización políticas Calidad de redacción: Guia a empleados sin jerga y tecnicismos Un mismo sistema para todos y todas las regulaciones CoCo Pol Proc
  41. 41. Regulaciones Estándares Políticas SOX SCIIF ISO 6σ CoCo ISO 19600 10500 31000 COSO COBIT Monitoreo continuo Desarrollo normativo POLs PRCs Métricas integradas
  42. 42. Impreso Digital – Intra/Internet Entrenamiento Código Ética Introducción por CEO mencionado valores Guia para la toma de decisiones de todos Lenguaje directo, dinámico y traducido Validación RM+Legal+HR+Com+Bus+… ¿Dudas? Al compliance officer Difusión Disciplina y tolerancia cero Línea de denuncia Acciones
  43. 43. Retención de Documentación Remuneraciones a Directores Donaciones, Contribuciones a Partidos Políticos Patrocinio Drogas y Alcohol Uso de Redes Sociales Cuidado Ambiental Agentes, Distribuidores, Representantes y Proveedores De sistemas (seguridad, antivirus, passwords, wifi, email..) Política de Viajes Préstamos a Empleados Due Diligence de Clientes Tarjetas Corporativas Comunicación Protocolo de Crisis Políticas de Compliance
  44. 44. Insider Trading. Código Ética Financiero Normas especificas contables Reporte exacto, completo y a tiempo a los reguladores y demás usuarios Alcance: • CFO • Responsables impuestos, control, reporting, auditoria interna • Equipos • Consultores Consecuencias Responsable al empleado por: Normas y estándares Negocio Revisión crítica de controles Entrenamiento específico
  45. 45. Protocolos de Actuación Reglamento del Consejo de Administración Acciones previas a la decisión demostrando debida diligencia Informes internos necesarios: Financiero: TIR, endeudamiento Técnico: operaciones De riesgos jurídicos, impositivos, estratégicos y otros Otros informes de alternativas y escenarios Solicitud de asesoramiento externo Jurídico especializado Orden del día, sistema de votación,… Proyectos, Inversiones y Compras de Empresas Informe de impacto ambiental Estudios de ambientales hidráulico, de patrimonio cultural,.. Informe de control de contaminación Autorización ambiental integrada Ley de Evaluación Ambiental Informes necesarios: Viabilidad de nueva empresa Valoración de aportes en especie Valoración de acciones y aportaciones De auditoria de due diligence De modificación de estatutos Ley de Sociedades de Capital
  46. 46. Amplia casuística . Conflictos de Intereses Casos no exhaustivos: • Interés económico directo o indirecto • Conexiones comerciales • Relaciones personales • Expectativas futuras (conflictos potenciales) - poder ser un empleado - recibir un préstamo • Prohibir una ventaja personal por la la relación con la empresa • Declararlos a una unidad responsable Desafíos Consultoría con empresas relacionadas Inversiones en empresas relacionadas Miembros de familia Consensuar la resolución del conflicto En forma temprana Cambios de proyectos Dejar de hacer
  47. 47. Delegación de Autoridad Accountable R Responsible → hacer A Accountable → decidir y rendir cuentas C Consult → necesario para decidir I Inform → necesita saber la decisión Responsible Internos Externos Demarca la responsabilidad Comunicación sin ambigüedad Identifica problemas Ordenamiento de políticas siguientes Prevención del fraude Registro de Delegaciones
  48. 48. Y todo eso terminó cuando todos, le echaron la culpa a alguien, cuando uno de ellos debió hacer lo que nadie hizo. ¿Os suena familiar?
  49. 49. Delegación de Autoridad Herramienta Matriz RACI - Ejemplo Poder Encargadodeproyectos Encargadodeingenieria Encargadodecontrataciones Directordeventas Gerentedeoperaciones Directordeingenieria Gerentedecompras Gerentedeproducción 1.0 Completar una orden de trabajo 1.1 Generar una orden de trabajo N C R A C I I I 1.2 Planear y gestionar una orden de trabajo N R A C I 1.3 Efectuar la ingenieria del proyecto N C R A I 1.4 Producir los elementos del proyecto N R C A 1.5 Instalar los elementos del proyecto N R A 1.6 Completar la puesta en marcha N R C A C I 1.7 Obtener la certificación del cliente N R I A I C
  50. 50. ¿Cómo gestionamos una denuncia? Canal de Denuncias Objetivo Ayuda a resolver una cuestión ética Reporte de potenciales infracciones: • Al código de ética • Delitos • Fraude • Cuando se pone en peligro la seguridad Registro y adjuntar los datos brindados y pruebas Evaluación preliminar: procede o desestima Investigación: El denunciante lo hace porque cree habrá una investigación Comunicación de la conclusión • probada • infundada buena fe • infundada mala fe Comité de ética: involucramiento de la alta dirección por cultura Alcance Directores, empleados, contratistas, pasantes, proveedores, y clientes Confidencialidad - ¿Anónima? Sin represalias por buena fe Medios: teléfono, email, correo, sitio
  51. 51. Claves Política de Anti Corrupción Cero tolerancia a la corrupción activa y pasiva Los pagos facilitadores es recomendable que sean solamente dados en caso de riesgos de vida inminente de un empleado. Vincular el control de esta política a controles financieros y orientarla a riesgos por jurisdicciones, tipos de transacciones e involucrados (ej. oficiales) Incluir el uso de agentes e intermediarios, así como de JVs Directas e indirectas Diferencia entre pago facilitador y sobornos Una empresa que paga sobornos deja de controlar sus negocios
  52. 52. Claves Hospitalidad y Regalos Se permiten si:  no influencian en una decisión  cumplen la ley  no son en efectivo  comunes a la circunstancia  no involucran a empleados públicos Dar un valor de referencia de un regalo aceptable (usualmente 100 euros año) Dar cuotas en valores para hospitalidad por nivel jerárquico y departamentos Aprobación de atención a eventos y regalos al superior Prohibir ciertos tipos de entretenimientos (finalidad de negocios legítimos o que beneficien a la empresa) Cubrir que gastos de promoción cubrimos a clientes o potenciales Prever la recepción y el otorgamiento Razonables Apropiados
  53. 53. Claves Uso de Activos Los empleados deben proteger: Los activos físicos bajo custodia del robo y mal uso La información Los activos tecnológicos (sistemas, móviles, computadores) Canal de reporte de robos de activos Regular el uso personal ocasional si no se orienta a obtener un ingreso o Ventaja ocasional Acceso indebido, alteraciones en configuraciones y fraudes sobre sistemas cumpliendo políticas establecidas por IT Derecho de monitorear comunicaciones por email y teléfono de compañía Derecho de bloqueo de internet Todo uso de la propiedad intelectual de la empresa debe estar aprobado por un supervisor
  54. 54. Claves Protección de Propiedad Intelectual Los empleados deben:  preservar la propiedad intelectual de la empresa  Utilizar propiedad intelectual de terceros previo pago de licencia y permiso Considerar los soportes: físicos y electrónicos Considerar los empleados actuales, los ex empleados y los consultores Todo secreto comercial y propiedad intelectual desarrollada por un empleado en funciones de su cargo son propiedad de la empresa Control de licencias en software, imposibilidad de instalar software no provisto por IT, hacer copias o instalaciones en otras máquinas Todo uso de la propiedad intelectual de la empresa debe estar aprobado por un supervisor
  55. 55. Claves Delitos contra el Mercado Los empleados deben:  evitar sospechas de abusos de mercado (trust, cartelización, acuerdos y fijación de precios, limitación volúmenes o condiciones)  No compartir información o iniciar rumores Considerar las reuniones con competencia y analistas de mercado Los acuerdos pueden ser un contrato o simplemente un apretón de manos Notificación de fusiones y adquisiciones Limitar interacciones con clientes (exclusiones, reciprocidades “yo te compro, tu me compras”) La información confidencial debe tener un responsable
  56. 56. Claves Información Privilegiada Las personas que tengan conocimiento por razón de su trabajo o cargo de una información no pública obtenida por la sociedad no podrán utilizarla No operar con los valores relacionados Periodos restringidos Antes de publicar las cuentas anuales y trimestrales Ante operaciones significativas en curso Extensión a familia y convivientes Responsabilidad de salvaguardia de la información privilegiada Registro de personas con información privilegiada Relación con Protección de Activos No trasmitirla a terceros
  57. 57. Política de Medio Ambiente Generalmente parte de la política de sustentabilidad Mejorar la performance ambiental (reducir huella hídrica, de carbono, emisiones/impacto cero, …) Actuación frente a incidentes medioambientales y disposición de residuos Cooperación con organismos y agencias gubernamentales Green procurement Encargado del monitoreo y reporte Requiere campañas de concientización y auditorias Conceptos básicos Regulaciones nacionales y locales Guia de mínima (países sin normas ambientales) Salud de empleados y terceros Protección del medio ambiente Por cambio climático Impactos Reducir el impacto en el transporte Reciclado y menor empaque de productos Minimizar la generación de residiuos Uso eficiente de energía y agua Uso de biodegradables Adicionales
  58. 58. Compliance Management Systems 03. Difusión de compliance Hernan Huwyler – 27 Enero 2016
  59. 59. Entrenamiento Áreas Código de ética a nuevos ingresos y por campañas a colectivos de empleados Políticas de prevención de corrupción, fraude y sobornos Sobre valores como el abuso de empleados Especializados a departamentos con riesgos operativos de errores La cultura organizacional comienza en el entrenamiento Comunicar programas sobre compliance dentro de los diferentes grupos de empleados es la base de construcción de la cultura del cumplimiento e incentiva el diálogo entre departamentos. No se puede cumplir lo que no se conoce.  Formalizar asistencia, evaluar en pruebas y medir en encuestas. Responsable: ¿HR o CCO? Sitio de intranet. ¿Online, videos, presencial, autoestudio? Monitorear avances
  60. 60. ¿Cuáles son las alternativas? ¿Es legal y consistente con el espíritu de la ley? ¿Está prevista en el CoCo y es consistente con nuestros valores? ¿Cuáles son los hechos? ¿Cómo implica cada alternativa en mí? ¿Cómo implica cada alternativa en la sociedad y la empresa? ¿Quiénes son los afectados de las alternativas? Entrenamiento sobre Ética
  61. 61. Entrenamiento Invitar a un directivo reconocido dentro del grupo objetivo para compartir sus valores y liderazgo. “Esto es importante” Obtenemos su patrocinio y credibilidad Nos dan una visión única desde la dirección El directivo se compromete con compliance Mensaje único Ponente invitado Planteamos un escenario hipotético y realista para desarrollar con el grupo diferentes cursos de gestión del caso. Pueden tener un contenido regional/local Practica con escenarios comunes Hay mayor discusión y conocimiento del grupo Presión de paresCasos reales Invitamos a un especialista sobre cierta función, que describa los riesgos de falta de cumplimiento y cómo efectuar controles Conocimiento profundo sobre cierto riesgo y sus controles Visibilidad del especialista Específicos para un riesgo Principio “Nuestra gente defiende lo que es involucrada a construir” Permitir grupos de discusión para compartir experiencias y mejores prácticas Generar redes de conocimiento Inspiración para alcanzar mejores prácticas Reconocimiento de quienes efectúan mejores controles Compartir conocimiento
  62. 62. Entrenamiento - Elearning
  63. 63. Entrenamiento – Grupos Políticas claves Cambios de normativas Principios de reporte contable Controles sobre fraude Aprender de los errores (ej. multas, demandas) Welcome pack + Inmersión Canal de consultas Mensajes de correos Daily learning Documentar asistencia Pruebas Recepción de políticas Calidad Frecuencia Todos los empleados Orientados a departamentos Ventas Marketing Legales Finanzas
  64. 64. Sanción . Objetivos de Mejora Protocolo de Disciplina Cultura Compliance Performance Aclarar que las responsabilidades dependen de la definición de cargo Aclarar y separar infracciones: • Performance • Conducta • Violación a políticas/ley • Falsificación • Fraude y abuso activos • Acoso • Drogas y alcohol 1 – Entrevista con supervisor 2 – Entrevista con RH Nota firmada por ambos Próxima a la falta Resguarda legajo Acción correctiva Comité de ética Escalable en sanciones , s/recurrencia Dar flexibilidad Tolerancia cero al código ético Entrevista Salida Equidad Investigación
  65. 65. ¿Cómo gestionamos un fraude detectado? Protocolo de Investigación Fraude Los gerentes son responsables de detectar posibles fraudes ¿Reporte al: • comité de auditoria • Auditores externos • ExCom • RH - disciplina • Supervisor/Área • Fraudulento • Policía/Medios Encargado ¿Auditoria interna? ¿control interno? ¿legales? y de reportar posibles fraudes para investigar No investigaciones personales Garantizar la confidencialidad Garantizar total acceso a información al investigador Registro de reportes Garantizar la preservación de la documentación Involucrar al menor número de personas Posibilidad de contratar especialistas contables y legales Quién evalúa la necesidad de extender la investigación Necesidad de evaluar las pérdidas para ajustes Protección del investigador Determinar la mejora en el sistema de controles Plan de Respuesta al Fraude
  66. 66. Compliance Management Systems 04. Documentación Hernan Huwyler – 27 Enero 2016
  67. 67. Formalización del programa Documentar acciones y aprobaciones del cumplimiento del plan de performance Protocolo de documentación • de controles: efectuó/controló + firma/fecha • acciones de formación: asistencia + materiales distribuidos + pruebas • de manuales y políticas: control de versiones y aprobaciones • de acciones en el canal de denuncia • constancias de recepción de políticas (ej. firma código conducta) • reportes y minutas de reuniones de comités (especialmente de cumplimiento) Quien efectúa el control debe formalizarlo y retener el soporte en forma organizada y trazable a una operación controlada El CCO debe tener acceso a la totalidad de la documentación
  68. 68. Formalización del programa Doble objetivo Corporate defense demostrando la eficacia del modelo Responsabilidad del compliance officer Monitoreo del programa
  69. 69. Compliance Management Systems 05. Certificaciones y auditorias externas Hernan Huwyler – 27 Enero 2016
  70. 70. ISO 19600:2014 Guías para un Sistema de Compliance Principios de buen gobierno corporativo, proporcionalidad, transparencia y sustentabilidad. Construye transversalmente la superestructura de compliance 4.1. Identificación de asuntos externos e internos 4.2 Identificación de requerimientos de terceros 4.3/4 Determinación del alcance del sistema de gestión 4.4 Principios del buen gobierno 5.2 Establecer una política de cumplimiento Establecer EntenderelContexto
  71. 71. ISO 19600:2014 Guías para un Sistema de Compliance 4.5/6 Identificar las obligaciones de cumplimiento y sus riesgos 6 Planear los planes de acción sobre riesgos 8 Planear operaciones y controlar los riesgos de incumplimientos 9 Evaluar el desempeño y reporte de cumplimiento Mejora continua sobre incumplimientos Mejorar 5.1 Compromiso, liderazgo e independencia 5.3 Responsabilidad 7 Funciones de soporte Evaluar Mantener Desarrollar Implementar
  72. 72. Modelo 3 Líneas de Defensa Gerentes de Operaciones Control Interno Control Financiero Gestión de Riesgos Compliance y Normas Auditoria Interna Senior Management Auditoria Externa Regulador ExCom & Comité de Auditoria 1° Línea Responsabilidad 2° Línea Control y Guía 3° Línea Reaseguro
  73. 73. British Standard 10500:2011 Único marco en el mundo desarrollado para dar un sistema de buenas prácticas y medir el riesgo penal. • Iniciado en 2011 para cumplir con medidas de anticorrupción - UK Bribery Act de 2010 • Orientado a delitos domésticos como internacionales • Semilla de un estándar global en desarrollo - ISO/PC 278:2014 Anti-bribery management systems - ISO/CD 37001:2015 Anti-bribery management systems - AS 8001:2008 Fraud and corruption control
  74. 74. British Standard 10500:2011 Recursos a controles Comunicación Políticas Entrenamiento y guía De las responsabilidades en Compliance Canal de denuncias Contra la corrupción De Contrataciones De regalos y donaciones De investigación y disciplinarias Contractuales Financieros De compras y comerciales Relación efectiva con: Directorio Auditoria interna SistemadeGestión
  75. 75. British Standard 10500:2011 Hoja de Ruta La norma nos da una mejor práctica para planear las tareas de implementación de un sistema de gestión para prevenir la corrupción corporativa Pasos claves para implementar un sistema de gestión Obtener el compromiso del directorio Dar objetivos, autoridad y recursos a la nueva unidad de cumplimiento Nombrar al líder apropiado Conducir una evaluación de riesgos en función de cada negocio Evaluar como implementar una política de prevención de corrupción Escribir la política Diseñar o modificar las políticas y controles relacionados Implementar la política de prevención
  76. 76. British Standard 10500:2011 Obtener el compromiso del Comité Encontrar el patrocinador adecuado en el Comité Darle a este patrocinador toda la información sobre los riesgos Proponer al Comité un plan con metas detalladas y reportes a generar Este plan debería ser firmado por todos los miembros Entrenar a los miembros del Comité sobre compliance penal Hoja de Ruta El problema de vender la iniciativa a alto nivel corporativo es que nadie ve los beneficios si nuestras medidas de prevención del delito funcionan. Por otro lado, esperar incidentes para tener atención no es posible.
  77. 77. Certificaciones del CCO Certificados y Programas en Madrid Certificado Avanzado en Cumplimiento Normativo + International Compliance Association + International Compliance Training + Impact on Integrity España  Diploma Certificado de Compliance Officer + Universidad Complutense de Madrid + Cumplen - Asociación de Profesionales de Cumplimiento Normativo  Programa Avanzado de Compliance + Law School del Instituto Empresa  Posgrado en Compliance + Universidad Carlos III con colaboración de KPMG Un camino necesario con amplia nueva oferta Analizar el programa para cada industria, especialmente servicios financieros o empresas, y compensar el perfil “débil”, jurídico o de control.
  78. 78. La documentación como responsabilidad del CCO Debido control a documentar Responsable de supervisar el sistema de prevención de riesgos penales Poder delegado del consejo (solo aquellas responsabilidades delegables) Necesita un modelo aceptado de aplicación Estatuto Profesional del Compliance Officer de CUMPLEN (art. 30, cumplimiento de leyes aplicables) Responde por incumplimiento negligente de tareas delegadas, por ejemplo no formalizado buenas prácticas corporativas en el código de ética y sus políticas accesorias no haber impulsado controles sobre riesgos penales materiales el encubrimiento o la participación en un delito corporativo Necesita informar los riesgos de compliance y los incumplimientos La gestión de un sistema de gestión de riesgos penales sin ser el propietario
  79. 79. Quis custodiet ipsos custodes? Compliance audit • Reaseguro que el CCO aplica el programa de compliance aprobado • Independiente • Controles, IT, regulaciones, vendors • Materialidad más alta
  80. 80. Compliance Audit Tácticas Debemos dejar un responsable por el reaseguro de compliance Enriquecer los programas de auditoria interna Centralizar el conocimiento en una función específica Interés creciente sobre contract compliance Alcance sobre gobierno corporativo… ….. pero también sobre ciclos operativos Problemática Hay acciones de cumplimiento que escapan del control financiero y operativo ordinario. Estas acciones necesitan tener un reaseguro sobre aspectos normativos claves, con revisiones selectivas y rotativas.
  81. 81. Compliance Audit Independencia Conocimiento Tiempo Disponibilidad geográfica Internas Externas Reasegurar la implementación del plan Evaluación funcionamiento de la línea de denuncias Campos específicos LOPD, IT, Definición y monitoreo del servicio
  82. 82. Auditoria • ¿Hacemos lo que decimos que debemos hacer? Compliance • Si hacemos lo que decimos que hacemos, ¿qué requerimientos vamos a cumplir? Compliance Audit
  83. 83. Compliance Audit
  84. 84. Compliance Management Systems 06. Compliance Ambassadors e incidencias Hernan Huwyler – 27 Enero 2016
  85. 85. Equipos chicos de compliance Dispersión geográfica Complejidad (ej. sindicatos). Ambassadors Compliance Ambassadors Aprobadores ¿Quienes dan recursos al programa? DG, Com. Ejecutivo Facilitadores ¿Quienes coordinan el programa? Gerentes Socios ¿Quienes impulsan el programa? Legales, Recursos Humanos, Auditoria Programa de Compliance
  86. 86. Compliance Ambassadors Claves del programa Genuina sensibilidad por compliance y ética, tiempo e independencia Reconocidos en sus áreas Tienen otras funciones en campo: RH, Legal, CI, financieros Desarrollo No consumen el presupuesto ni el headcount de Compliance (1 c/1k empleados) Expanden nuestra presencia física (conferencias mensuales con ellos) Función rotativa, por ejemplo, a dos años Deben identificar y actualizar riesgos Comunican el código de conducta y politicas de gobierno Resuelven investigaciones y planes de acción Aprueban y siguen conflictos de interés Pueden llevar a cabo auditorias de compliance Recolección y control de datos de compliance (nos ahorran tiempo en reportes) Sostienen el programa de compliance y multiplican en esfuerzo del CCO con responsabilidades delegadas
  87. 87. ¿Cómo gestionamos una denuncia? Canal de Denuncias Objetivo Ayuda a resolver una cuestión ética Reporte de potenciales infracciones: • Al código de ética • Delitos • Fraude • Cuando se pone en peligro la seguridad Registro y adjuntar los datos brindados y pruebas Evaluación preliminar: procede o desestima Investigación: El denunciante lo hace porque cree habrá una investigación Comunicación de la conclusión • probada • infundada buena fe • infundada mala fe Comité de ética: involucramiento de la alta dirección por cultura Alcance Directores, empleados, contratistas, pasantes, proveedores, y clientes Confidencialidad - ¿Anónima? Sin represalias por buena fe Medios: teléfono, email, correo, sitio
  88. 88. ¿Cómo gestionamos un fraude detectado? Protocolo de Investigación Fraude Los gerentes son responsables de detectar posibles fraudes ¿Reporte al: • comité de auditoria • Auditores externos • ExCom • RH - disciplina • Supervisor/Área • Fraudulento • Policía/Medios Encargado ¿Auditoria interna? ¿control interno? ¿legales? y de reportar posibles fraudes para investigar No investigaciones personales Garantizar la confidencialidad Garantizar total acceso a información al investigador Registro de reportes Garantizar la preservación de la documentación Involucrar al menor número de personas Posibilidad de contratar especialistas contables y legales Quién evalúa la necesidad de extender la investigación Necesidad de evaluar las pérdidas para ajustes Protección del investigador Determinar la mejora en el sistema de controles Plan de Respuesta al Fraude
  89. 89. Sanción . Objetivos de Mejora Protocolo de Disciplina Cultura Compliance Performance Aclarar que las responsabilidades dependen de la definición de cargo Aclarar y separar infracciones: • Performance • Conducta • Violación a políticas/ley • Falsificación • Fraude y abuso activos • Acoso • Drogas y alcohol 1 – Entrevista con supervisor 2 – Entrevista con RH Nota firmada por ambos Próxima a la falta Resguarda legajo Acción correctiva Comité de ética Escalable en sanciones , s/recurrencia Dar flexibilidad Tolerancia cero al código ético Entrevista Salida Equidad Investigación
  90. 90. Compliance Management Systems 07. Vendor Compliance Hernan Huwyler – 28 Enero 2016
  91. 91. Tu riesgo es mi riesgo Valores Pol. Compras Pol. Inventarios Pol. Administrativas Seguros Contratos marcos Precios y descuentos Condiciones de entrega
  92. 92. Objetivos Vendor Compliance Program Prevenir y minimizar las disputas Mejor selección y desarrollo de proveedores Sistema de incentivos al cumplimiento Estandarizar y consolidar operaciones Portales para mejorar la comunicación Externa Interna: ventas, operaciones, finanzas, compras y compliance Simplificar el departamento de compliance Mejorar la toma de decisiones de contratación (no solo por precios) Reducir el riesgo de fraude y penal Cumplir con las obligaciones y objetivos de compras analizando la actividad de compra. El programa es un valor al proveedor.
  93. 93. Políticas Sistema normativo de compras Procedimiento de compras Planeamiento, negociación, terminación, P-Card, eProcurement Selección de nuevos proveedores Firma del código de ética y conocimiento de la linea de denuncia Aprobación, documentación legal y fiscal, permisos, seguros Análisis de solvencia y cauciones Contratación con funcionarios públicos, agentes y otros riesgos especiales Aceptación de bienes y servicios y facturación Gestión del maestro de proveedores Accesos y SoD, Data cleansing (duplicados, relacionados, inactivos) Gestor de documentos Calificación anual de proveedores Simplificar los requerimientos a los proveedores y su actualización
  94. 94. Políticas Incluir imágenes y diagramas en políticas ayuda a los proveedores a cumplir requerimientos
  95. 95. Auditoria de 3ras Partes ¿Cómo nos orientamos a los riesgos? a Hacienda a seguridad al medioambiente a propiedad intelectual sobre datos personales Mínimamente orientarnos a estos riesgos penales
  96. 96. Auditoria de 3ras Partes Compras en los últimos 3 años + presupuesto si es posible Cantidad de Datos Sensitivos en Poder del Proveedor Naturaleza del Servicio y Geografía Marco Contractual Marco Legal (laboral, corrupción, ambiental, fiscal) Madurez del Proveedor (riesgo de fraude/compliance/lavado) Objeto de Auditorias Proveedor A Grupo de Proveedores B Compras de Materiales C ¿Cómo nos orientamos a los riesgos?
  97. 97. Auditoria de 3ras Partes Responsabilidades y riesgos con proveedores Accidente en nuestros sitios sin seguro Pérdida de licencias y permisos (o contratarlos sin ellas) Quiebra del proveedor Proveedores informados “watch lists” Agentes e intermediarios siendo oficiales públicos Responsabilidad por etiquetado (el “bife” con ADN de caballo) Pagos a paraisos fiscales La mitigación de riesgos de proveedores generalmente implica bajo coste relacionado con los beneficios.
  98. 98. Auditoria de 3ras Partes Due Diligence del Know Your Vendor Riesgo diferente de fusiones, adquisiciones y joint venture Operaciones que suman el business plan y generalmente financiación bancaria Documentar todo el proceso (para exculpar posibles culpas) Revisión de propietarios legales y gestores (y su núcleo familiar) Investigaciones ocurridas, reclamos judiciales por corrupción Intervención de oficinales públicos, subcontratistas Riesgos de derechos humanos OECD Guidelines for Multinational Enterprises 25/5/11 Que garanticen libertad sindical, anti discriminación, legislación horarios Explicar a los empleados del proveedor que nuestras entrevistas son confidenciales Revisión de centros de cómputos y seguridad de nuestros datos Todos los nuevos proveedores, agentes y socios deben declarar su situación sobre a riesgos establecidos y algún órgano debe evaluar y aprobar su solicitud para licitar.
  99. 99. Auditoria de 3ras Partes Controles Comunes (vincularlos a un sistema de puntos) Revisión de dirección y socios Aseguramiento sobre conflictos de interés Cumplimiento de contrato y nuestras políticas (confidencilidad, prop. Intelectual) Pago de obligaciones fiscales, garantías y seguros Riesgo fraude del “falso autónomo” Revisión del proceso de contratación, aprob. cláusulas negociadas y finalización/rescisión Revisión de calidad y conformidad de productos Facturación y cargos contra documentación Revisión de documentación Visitas al proveedor (ej. condiciones de almacenaje, mantenimientos) Plan de contiunidad de negocios con proveedores Entrenamiento a sus empleados (especialmente HS&E) El programa de revisión no es completar conforme o no en una checklist sino ayudar al proveedor a mitigar riesgos
  100. 100. Medición Índices a seguir Resultados de la revisión de auditoria de compliance e interna Grado de cumplimiento de los programas de entrenamiento Horas de entrenamiento brindado Volumen de denuncias reportadas Resultados de las denuncias Encuestas de satisfacción de empleados Evaluaciones independientes Monto de multas y otras penalidades ¿Cómo medir el retorno de la función del Compliance Penal?
  101. 101. mydailyexecutive.blogspot.com  www.linkedin.com/in/hernanwyler 

×