Este documento presenta un programa de prevención de delitos. Se discuten las nuevas normas de auditoría y leyes que requieren que las compañías implementen sistemas de cumplimiento efectivos. Luego, se explican los pasos para implementar un programa de prevención de delitos, incluyendo obtener el compromiso de la alta gerencia, designar un líder de cumplimiento, realizar una evaluación de riesgos y desarrollar políticas y controles. Finalmente, se destaca la importancia de mapear los riesgos penales de la compañía para enfocar los
4. 01/14 Nuevas Normas Internacionales de Auditoria
Mayor visibilidad del consejo ante control interno
Auditores externos en riesgos (NIA-ES 315)
Valoración de los riesgos de incorrección material
12/14 Reforma de la Ley de Soc. de Capital
Refuerza el rol de gestión de la junta general de accionistas
Reformulan los deberes de los administradores
02/15 Código Unificado del Gobierno Corporativo
Principio de cumplir o explicar
Evaluar los conflictos de interés y consejeros independientes
Auditoria interna identificando también riesgos no financieros
03/15 Reforma del Código Penal
Solicita un mecanismo para detectar el riesgo penal
Manual de prevención del delito
Facilitar la formación de consejeros
7. ¿Porqué nos importa?
Consejo de Administración
de OHL México aprobó:
- Revisar el control interno
y el cumplimiento del
CoCo
- Designar un director de
compliance
- Crear un comité de
adquisiciones
8. ¿Porqué nos importa?
Evitar penas,
inhabilitaciones
y multasAtenuar/eximir la
responsabilidad
Coordinar
acciones de
prevención del
fraude
Sustentabilidad
Bajar costos de
seguros
Mejora la
reputación
interna y externa
9. Política para la prevención de
delitos y contra el fraude
El órgano de administración debe adoptar y ejecutar con eficiencia un programa
de prevención de delitos en 4 dimensiones:
• temporal: debe ejecutarse antes de la comisión del delito como medidas de
vigilancia y control
• funcional: órgano con poderes independientes de iniciativa y control
• Intencional: el programa debe prevenir un delito con intención fraudulenta
• diligencial: órgano responsable debe ejercer suficientemente el modelo de
supervisión, vigilancia y control
10. Atribución de la responsabilidad
Responsabilidad
por omisión
In vigilando
Responsabilidad
por representación
In eligendo
Delitos en nombre o por cuenta de la
sociedad
y en su provecho
(en sentido directo → beneficio, e indirecto, →
ahorro de costes)
por sus representantes legales y
administradores de hecho o de derecho
Delitos en el ejercicio de actividades
sociales y por cuenta y en provecho de la
persona jurídica,
por quienes, estando sometidos a la
autoridad de representantes legales y
administradores de hecho o de derecho,
han podido realizar los hechos por no
haberse ejercido sobre ellos el debido
control
Aún aunque la
persona física
responsable no haya
sido individualizada o
no haya sido posible
dirigir el
procedimiento contra
ella.
Modelos
14. Políticasy
Comunicación
Mapade
Riesgos
Recursos
Identificar las
actividades cuyos
delitos pueden:
- cometerse y
- prevenirse.
Verificación
periódica (ej.
multas, cambios
organizativos)
Recursos
financieros
adecuados para
prevenir el delito
Procedimientos
de adopción de
decisiones y de
ejecución
Informar posibles
riesgos e
incumplimiento al
encargado del
programa
Sistemas
Disciplinario
Sanciones
adecuadas ante el
incumplimiento
Tono en la
cúpula
En compliance y
con
sustentabilidad
Pilares del Compliance Penal
15. British Standard 10500:2011
Único marco en el mundo desarrollado para dar un sistema de buenas
prácticas y medir el riesgo penal.
• Iniciado en 2011 para cumplir con medidas de anticorrupción
- UK Bribery Act de 2010
• Orientado a delitos domésticos como internacionales
• Semilla de un estándar global en desarrollo
- ISO/PC 278:2014 Anti-bribery management systems
- ISO/CD 37001:2015 Anti-bribery management systems
- AS 8001:2008 Fraud and corruption control
16. British Standard 10500:2011
Recursos a
controles
Comunicación
Políticas
Entrenamiento y guía
De las responsabilidades en Compliance
Canal de denuncias
Contra la corrupción
De Contrataciones
De regalos y donaciones
De investigación y disciplinarias
Contractuales
Financieros
De compras y comerciales
Relación efectiva con:
Directorio
Auditoria interna
SistemadeGestión
17. British Standard 10500:2011
Hoja de Ruta
La norma nos da una mejor práctica para planear las tareas de implementación de un sistema de gestión para
prevenir la corrupción corporativa
Pasos claves para implementar un sistema de gestión
Obtener el compromiso del directorio
Dar objetivos, autoridad y recursos a la nueva unidad de cumplimiento
Nombrar al líder apropiado
Conducir una evaluación de riesgos en función de cada negocio
Evaluar como implementar una política de prevención de corrupción
Escribir la política
Diseñar o modificar las políticas y controles relacionados
Implementar la política de prevención
18. British Standard 10500:2011
Obtener el compromiso del ExCom
Encontrar el patrocinador adecuado en el ExCom
Darle a este patrocinador toda la información sobre los riesgos
Proponer al ExCom un plan con metas detalladas y reportes a generar
Este plan debería ser firmado por todos los miembros
Entrenar a los miembros del ExCom sobre compliance penal
Hoja de Ruta
El problema de vender la iniciativa a alto nivel corporativo es que nadie ve los beneficios si nuestras medidas
de prevención del delito funcionan. Por otro lado, esperar incidentes para tener atención no es posible.
19. Lo que el Compliance Officer dice
Nuestro programa de
cumplimiento es clave para
asegurar a seguir para los
riesgos de compliance y la
obtención al largo
plazo.
la línea
de resultados
20. y lo que el directorio escucha
Bla bla bla bla bla bla bla bla bla
bla bla bla bla bla bla bla bla bla
bla bla bla bla bla bla
bla bla bla bla
bla bla bla la
bla bla bla bla
la línea
de resultados
21. British Standard 10500:2011
Garantizar recursos al líder
Familiar con las normas y políticas (¿CCO?)
Conocer sobre el negocio y la evaluación de riesgos
Autoridad para comunicarse a la alta dirección
Independencia
Tiempo para llevar estas iniciativas
Habilidad para resolver conflictos
Habilidad para gestionar proyectos
Recursos: presupuesto, acceso a información, entrenamiento, aprobar
políticas
Hoja de Ruta
Quién asuma una tarea de compliance penal debe poder relacionar el marco legal y regulatorio con los
controles de la operatoria del negocio.
22. ISO 19600:2014
Guías para un Sistema de Compliance
Principios de buen gobierno corporativo, proporcionalidad, transparencia y sustentabilidad.
23. ISO 19600:2014
Guías para un Sistema de Compliance
Principios de buen gobierno corporativo, proporcionalidad, transparencia y sustentabilidad.
24. Modelo 3 Líneas de Defensa
Gerentes de
Operaciones
Control Interno
Control Financiero
Gestión de Riesgos
Compliance y Normas
Auditoria Interna
Senior Management
Auditoria Externa
Regulador
ExCom & Comité de Auditoria
1° Línea
Responsabilidad
2° Línea
Control y Guía
3° Línea
Reaseguro
26. Universo de Riesgos
Contra el Patrimonio
- Estafas y fraudes
- Insolvencias
punibles
- Daños informáticos
/ hacking
- Contra la propiedad
intelectual
- Contra el mercado
- Revelación de
secretos
- Facturación
fraudulenta
- Falsedad en
medios de pago
Contra el Fisco
- Contra la
Hacienda Pública y
la Seguridad Social
- Blanqueo de
capitales
- Ciertos casos de
contrabando
Contra la Seguridad
Pública
- Contra la salud
pública
- Construcción ilegal
- Contra el medio
ambiente
- Relativos a la
energía nuclear y a
las radiaciones
- De riesgo
provocado por
explosivos
- Tráfico de drogas
- Contra la intimidad
y allanamiento
informático
Contra la ética
- Corrupción
privada: relativos a
la corrupción en los
negocios
- Cohecho: dádivas
y sobornos a
funcionarios públicos
- Corrupción de
funcionario extranjero
- Tráfico de
influencias
-Financiación ilegal
de partidos políticos
- Acoso laboral
- Información
privilegiada
- Delitos contra la
intimidad
27. Universo de Riesgos
Contra el Patrimonio
CFO
CIO
CISO
Data Protection
Officer
Contra el Fisco
Head of Tax
Contra la Seguridad
Pública
COO
HS&E
Contra la ética
CEO
Compliance
Auditoria Interna
Dir. Comercial
Unidad de Cumplimiento
Legales
Corporate Defense
ExCom
28. Corrupción pública o
privada
Abuso del mercado
Mapa de Riesgos - Ejemplo
Brindar servicioGeneración contrato Facturación Cobro
Fraude a seguridad social Fraude fiscal
Falsedad de medio de
pago
Blanqueo de capitales
Entrega de sobornos
Acuerdos de precios
Simulación laboral Deducciones indebidas Lavado de dinero
29. Mapa de Riesgos - Ejemplo
Entrega de sobornos
Acuerdos de precios
Simulación laboral Deducciones indebidas Lavado de dinero
Control de revisión de
cuentas de gtos
representación
Política antitrust
Control aprobación de
cálculo fiscal
Control cruzado Tax vs.
Payroll
Control aprobación de
cálculo fiscal
Know Your Customer
Comercial Tax + Payroll Tax Gestión de clientes
Tesorería
Reforzar: Business
Intelligence
Reforzar: Auditoria
Fiscal
30. Alcance del Mapa
¿Nos quedamos solamente dentro España?
- Filiales internacionales y otras sociedades subholdings
- Joint ventures
- Descentralización de funciones ejecutivas (ExComs por país)
¿Incluimos solamente los delitos atribuibles a
una persona jurídica?
- Ley del mercado de valores
- Ley de trasparencia
- FCPA
- Leyes similares en el mundo (ej. Europa (-DE), US, y
Chile)
- Legal + Ético (nuestra forma de hacer negocios)
¿Podremos sumar este trabajo a otra iniciativa en curso?
- Departamento de riesgos
- Departamento de Prevención del Fraude
- Auditoria interna (riesgos sobre procesos e investigación de fraudes)
- Departamento de compliance
32. • Ad-hoc
• Tareas no definidas
• Confianza en directores
claves
• Sin infraestructura
Inicial
• Políticas formalizadas
• Cubre toda la organización
• Metodología rigurosa
• KRIs
Definido • Modelos de medición del
riesgo
• Agregación de riesgos
• Riesgos relacionado a la
performance
• Riesgos de proyectos
• Gestión del conocimiento
Optimizado
Estrategias según madurez
34. FCPA
Protección de
activos
Antitrust Insider trading Privacidad
Controles de
exportación
Retención de
documentación
Seguridad de
información
Compensaciones
y bonos
Reporte
Sarbanes Oxley HSE
Discriminación y
acoso laboral
Integridad
financiera
Contratos con el
gobierno
Propiedad
intelectual
Uso de tecnología
3rd Party
management
Prácticas
comerciales
Ética
Taxonomía Compliance
35. Mapa de Riesgos
Riesgos de Fraude
Riesgos de
Compliance Penal
Actividades
reactivas de
investigación y
disciplina
Actividades
proactivas de
prevención y
control
36. Mapa de Riesgos
1 Identificar riesgos
2 Evaluación de
impacto y frecuencia
Eventos que afectar los
riegos del universo de
compliance
Impacto: costo más probable
de no- compliance
Frecuencia : probabilidad de
darse los factores de riesgos
al momento del análisis en un
horizonte de tiempo
3 Priorización de
riesgos
Criterio para decidir que
eventos son más críticos de
controlar (mapa)
4 Planes de
mitigación
Seguimiento del progreso de
los planes de acción
Reevaluación frecuente
Alta criticidad
Seguimiento
Watch-List
Criticidad
37. Mapa de Riesgos - Impacto
Multa en proporción al daño/cuantía del delito
Disolución de la persona jurídica
Suspensión de sus actividades
Clausura de sus locales
Prohibición temporal o definitiva de realizar las actividades en cuyo
ejercicio se haya cometido el delito
Inhabilitación para obtener subvenciones y ayudas públicas, para contratar
con el sector público y para gozar de beneficios e incentivos fiscales
Intervención judicial para salvaguardar los derechos de los trabajadores o de
los acreedores
Socios Inocentes
Respecto a los efectos colaterales o consecuencias a pagar por terceros incluyendo el impacto en los
trabajadores, el efecto negativo se paliaría con la posibilidad que tienen los socios inocentes de
reclamar posteriormente a los administradores la acción de responsabilidad socia
38. Directas e inmediatas
• Pérdida por defraudación
• Ineficiencias y/o discontinuidad de operaciones
Directas y mediatas
• Indemnizaciones a terceros
• Multas y sanciones
Indirectas
• Costo de investigación
• Ajustes fiscales
Reputacionales
• Pérdida de competitividad, moral, clientes, socios, licencias, y contratos
• Pérdida del valor de mercado
Mapa de Riesgos - Impacto
39. Score 1 2 3 4 5
Multas, daños e
indemnizaciones
< 1% de las
ventas
1% al 3% de las
ventas
3% al 5% de las
ventas
5% al 10% de
las ventas
> 10% de las
ventas
Reputacional
Sin exposición
o daño
Impacto negativo
localizado pero
recuperable
Cobertura en
medios o
reguladores
local
Cobertura en
medios o
reguladores
nacional
Cobertura
sustancial en
medios o
reguladores
nacional
Operacional
Sin pérdida de
negocios u
operaciones
Visible pero
gestionable
fácilmente
Daños a
clientes o
grupos de
interés
Impacto severo
a la
performance
Impacto
catastrófico a la
BU
Mapa de Riesgos - Impacto
40. Mapa de Riesgos - Frecuencia
Score 1 2 3 4 5
Descripción Casi imposible Rara Posible
Incidentes
aislados
Incidentes
repetitivos
Tiempo
< Una vez
cada 5 años
< Una vez cada
año Una vez al año
Una vez al mes
Una vez a la
semana
Probabilidad < 1% 1% al 5% 5% al 10% 10% al 20% > 20%
41. Mapa de Riesgos – 3er Variable
• Velocidad del Riesgo: Tiempo entre el evento de riesgo y
tener que pagar el impacto (ej. tiempo en aplicar una multa
por el regulador). Beneficio: priorizar acciones
• Duración del Riesgo: Persistencia del riesgo en el tiempo
(ej. inspecciones largas).
• Nivel de Control: Posibilidad que gestión para disminuir el
impacto o la frecuencia del riesgo (ej. proceso ya
documentado). Beneficio: margen de reducción
• Grado de Entendimiento: Seguridad en valuar el impacto
y la frecuencia (ej. riesgos emergentes)
La 3er variable siempre está
contemplada en impacto o
frecuencia
42. • Ocurrencia que afecta la empresa
• Ej. Incumplir con la ley…
Evento
• Consecuencia
• Ej. penalidades, daño a la reputación, responsabilidad civil
de los directoresImpacto
• Ej. Entrenamiento, boletines, procedimientos para
gestionar quejas, obtener certificaciones, buscar consejos,
designar responsable, compliance audits, cláusulas en
contratos
Plan Mitigante
• Impacto o frecuencia luego del plan mitigante
Riesgo Residual
Mapa de Riesgos - Glosario
43. Área Riesgo legal Regulación /
Ley
Área
Funcion
al
Impacto Frec. Score Contro
l
Clasif.
ImpactoPrácticasdecomercioexterior
Sobornos en el
extranjero
FCPA Foreign
Corrupt
Protection Act
Ventas 5 1 5 4 Reputacional
Aduanas Leyes
aduaneras
Ventas 1 3 3 2 Operacional
Control de
exportaciones
OFAC Office of
Foreign Assets
Controls
Ventas 2 2 4 5 Operacional
Exportaciones de
productos con
doble uso
Reg. UE
428/2009
Ventas 4 4 16 5 Operacional
Boycott no
sancionado a un
país extranjero
Anti-Boycott Act Ventas 2 2 4 4 Operacional
Exp/Imp de
químicos
peligrosos
Reg. UE
649/2012
Ventas 3 4 12 1 Operacional
…. … … ….
45. Mapa de Riesgos – Alternativa
Puntaje Interno
Fraude
- Operativo
- Contable
Corrupción
Daños
Informáticos
….
Calidad de
Controles
Documen-
tación
Entrena-
miento
Centrali-
zación
Sistema de Puntos
1 a 5
Medidas Efectivas a Inefectivas
Respaldado por Director de Área
Puede ser ponderado (ventas de la unidad, número
de empleados,…)
46. Planes de Acción
Exposición a un delito
tomando en cuenta los
controles actuales
Medidas a implementar Recursos a asignar
Controles
Políticas
Sistemas
Conocimiento
Autoridad
Coordinación politica
entre departamentos
Presupuesto con
responsable, tiempo e
indicadores
Cargos
47. Reportes al ExCom
Mapa de Riesgos
Penales
Por Áreas
Por País
Por Año
Seguimiento de Planes
de Acción
Planes
Presupuestos
Grado de Avance
Indicadores de Riesgos
Claves (KRIs) Penales
Ejemplos:
Multas por Revenue
Multas por Volumen
Denuncias por
Empleado
Fraude por Empleado
% Completar Cierto
Programa Educativo
48. Herramienta CASE
C Consequence
A Assets at Risk
S Source
E Event
Perder ventajas competitivas
…. “sobre” …
la propiedad de información sensitiva
…. “debido al” …
espionaje industrial de nuestros
competidores
…. “al” …
sufrir un ataque a servidores inseguros
49. ¿Cómo podemos fracasar?
• No lograr poner el riesgo legal en la agenda de la alta dirección
• Carecer de recursos y autoridad en la unidad de cumplimiento para construir
la cultura de “tolerancia cero”
• La unidad de cumplimiento carece del liderazgo y entusiasmo para permear
los controles dentro de la organización
• Tanto el mapa de riesgos como los controles quedan “en silos”
• No se lograr hacer que sea una herramienta de gestión (por ejemplo,
terciarizando)
• No lograr orientar los recursos a los riesgos relevantes
• Objetivos no alineados a la madurez de la organización
• No aprender y mejorar de los fallos y nuevos riesgos
Hacer fácil lo difícil
50. El importante saber lo que sabemos…
…. pero más importante aún es saber lo que no sabemos.
51. Programa de Prevención de
Delitos
04. Políticas de Prevención
del Delito
Hernan Huwyler – Mayo 2015
52. Política de Prevención
Obligatorio s/ proyecto
de reforma del Código
Penal
Posición del gobierno
corporativo frente al delito
interno.
Eximente o atenuante
Alcance funcional, geográfico y grupos
Ajustado al negocio
Eficaz
Controles específicos a c/riesgo
Actualizado
Responsable CCO
La ineficacia del control
interno que atienda al
riesgo penal se puede
convertir en un delito
Estándar de calidad con los
controles
53. Política de Prevención
Modelo de Prevención y Control
s/Reforma Código Penal 2015
Antelación Eficacia Idoneidad
Antes del delito
En forma general es
el código de ética
Debemos formalizar la
fecha de realización de los
Controles (documentación)
Según el riesgo
No hay una omisión ni
una supervisión ineficiente
por el órgano de supervisión
Control y vigilancia adecuado
Coordinación con auditoria interna
(compliance audit)
54. Política de Prevención
Modelo de Prevención y Control
Mapa de riesgos - Identificación de los procesos en cuyo ámbito pueden ser
cometidos los delitos a prevenir
Protocolo de toma de decisiones - Establecimiento de procedimientos que
regulen el proceso de toma de decisiones y formación de la voluntad de la
persona jurídica,
Modelo de gestión de los recursos financieros - Establecimiento de modelos
de gestión de los recursos financieros adecuados para impedir la comisión de los
delitos que deben ser prevenidos.
55. Política de Prevención
Modelo de Prevención y Control
Canales de denuncias – Comunicación de la obligación de informar de posibles
incumplimientos al organismo responsable del funcionamiento y vigilancia del
modelo de prevención de delitos
Sistema disciplinario – Formalización de un sistema disciplinario que sancione
el incumplimiento de las medidas de control que establezca el modelo de
prevención
Verificación periódica - Realización de auditorías periódicas del modelo y de su
evolución cuando se pongan de manifiesto infracciones relevantes de sus
disposiciones, o cuando se produzcan cambios en la organización, en la
estructura de control o en la actividad desarrollada
56. Política de Prevención
Grupos:
• directores,
• empleados,
• autónomos contratados (ej. consultores, agentes)
• proveedores
Emitida por la alta dirección
Comunicada a toda la organización con constancia de entendimiento
Normas básicas de actuación (ej. diferencia entre un regalo y un soborno)
Canal de denuncia a través de correo electrónico o teléfono.
Los ejecutivos deben certificar con su firma que se cumplen las políticas anticorrupción.
Comunicar a la plantilla que la empresa prohíbe expresamente el soborno
o la contabilidad creativa.
Informar al empleado de las consecuencias de los delitos.
Controles financieros anticorrupción.
57. Control de Proveedores Críticos
• Modelo de compras que garantice la objetividad, trasparencia y equidad.
• Controles para evitar corrupción:
• Centralización
• Modelo único de contratación (ej. Pliego de clausulas contractuales
standard)
• Analizar riesgos de delitos
• a Hacienda
• a seguridad
• al medioambiente
• a propiedad intelectual
• sobre datos personales
• Para solicitar medidas de control adicionales
• Control del proceso de licitación, ejecución y aceptación
• Revisión de seguros
• Auditoria
58. Delegación de Autoridad
Accountable
R Responsible
→ hacer
A Accountable
→ decidir y rendir cuentas
C Consult
→ necesario para decidir
I Inform
→ necesita saber la decisión
Responsible
Internos
Externos
Demarca la responsabilidad
Comunicación sin ambigüedad
Identifica problemas
Ordenamiento de políticas siguientes
Prevención del fraude
Registro de
Delegaciones
59. Y todo eso terminó cuando todos,
le echaron la culpa a alguien,
cuando uno de ellos debió hacer
lo que nadie hizo.
¿Os suena familiar?
60. Delegación de Autoridad
Herramienta Matriz RACI - Ejemplo
Poder
Encargadodeproyectos
Encargadodeingenieria
Encargadodecontrataciones
Directordeventas
Gerentedeoperaciones
Directordeingenieria
Gerentedecompras
Gerentedeproducción
1.0 Completar una orden de trabajo
1.1 Generar una orden de trabajo N C R A C I I I
1.2 Planear y gestionar una orden de trabajo N R A C I
1.3 Efectuar la ingenieria del proyecto N C R A I
1.4 Producir los elementos del proyecto N R C A
1.5 Instalar los elementos del proyecto N R A
1.6 Completar la puesta en marcha N R C A C I
1.7 Obtener la certificación del cliente N R I A I C
61. 1. Definir responsabilidades
lll lll
2. Integrar regulaciones a procesos
3. Monitorear cumplimiento
Integración al Sistema Normativo
63. De performance
• Asegurarse
que la
compañía hace
lo correcto
De conformidad
• Asegurarse
que la
compañía no
hace nada
erróneo
Modelos de Compliance
64. Integración al Sistema Normativo
Tolerancia
consistente
Única fuente
decisoria
Mejor
orientación de
recursos
Aumenta
compromiso
Alineamiento
G R C
65. La perspectiva de
control interno
Los incendios son
inevitables pero pueden
ser controlados con
extintores. Instale
extintores y audite sus
cargas. Resuelva
cualquier deficiencia.
Documente el proceso y
audite los controles.
Identifique deficiencias y
corrija los controles
La perspectiva de
riesgos
Los incendios ocurren
cuando un material
inflamable se expone a
una fuente de ignición.
Elimine ambos factores.
Identifique y mitigue los
factores de riesgos por
categoría. Monitoree los
KRI para advertir sobre
eventos.
La perspectiva de
compliance
Los incendios ocurren
por la gente
despreocupada.
Persuada a gente que
cambie su conducta y
entrene sobre
prevención.
Desarrolle una política.
Comunique, motive y
entrene a quienes pueden
tener una conducta
peligrosa.
66. Regulaciones Estándares Políticas
SOX SCIIF
ISO
6σ
CoCo
ISO 19600
10500
31000
COSO
COBIT
Monitoreo
continuo
Desarrollo
normativo
POLs
PRCs
Métricas
integradas
68. Apropiación
indebida de
activos
85%
USD 130K
Robo: cheques, efectivo, inventarios, equipos, información
Sobornos y
corrupción
37%
USD 200K
Sobornos: Aceptar un soborno de un proveedor o retorno en
compras
Extorsión: amenazas para que se cumplan ciertas
demandas
Facturación ficticia, proveer baja calidad, sobre cargar
Conflictos de interés
Espionaje corporativo: venta de secretos
De reporte
9 %
USD 1M
Sobrevaluación de ingresos: ventas falsas
Subvaluación de gastos: Amortización demorada o
capitalización de gastos
Sobrevaluación de activos: No provisionar
desvalorizaciones de obsoletos
Subvaluación de pasivos: Deudas fuera de balance
Aplicación errónea de principios contables
Categorías de Fraude
69. Fraude - Prevención
Canal de Denuncias
Comunicación
Entrenamiento
Política Seguridad
Lógica
Autorizaciones y SoD
Política de Información
Sensible
70. Rotación CEO y
CFO
Antecedentes de
candidatos
Antecedentes de
personal
Segregación de
funciones y
seguridad lógica
Cláusulas de
confidencialidad
y no
competencia
Capacitación
en controles
Políticas internas
Monitores de
circuito cerrado
Fraude – Acciones de Prevención
71. Fraude - Detección
Control de Activos
Propios y Bajo Custodia
Detección de
Anormalidades
Cruce de Bases
con Listados
Business
Intelligence
Indicadores de
Fraude
Línea de
Denuncias
72. Fraude – Business Intelligence
Reportes
Interactivos
KCIs / KRIs
Alertas & Red
Flags
Exploración &
Investigación
Visualizaciones
& DashExComs
73. Israel*, blacklist*,
boycotti*, Jew*, “are
not of”, “are not
acceptable”,” Arab
Ports”, “Arab
League”,…
AKKP-AKKTP=1LoC
AKKP-LCRESTRIC=Leng.
A/B
KNA1-LAND1 matched to
AKKP-KUNNR=AE, BH,
DZ..
AE Algeria
BH Bahrain
DZ Djibouti
EG Egypt
IQ Iraq
JO Jordan
KM Kuwait
KW Lebanon
LB Libya
LY Mauritania
MA Morocco
MR Oman
OM Pakistan
PK Qatar
QA Saudi Arabia
SA Somalia
SD Sudan
SO Syria
SY Tunisia
TN
United
Emirates
YE Yemen
Fraude – Business Intelligence
74. ¿Cómo
gestionamos
una denuncia?
Canal de Denuncias
Objetivo
Ayuda a resolver una cuestión ética
Reporte de potenciales infracciones:
• Al código de ética
• Delitos
• Fraude
• Cuando se pone en peligro la seguridad
Registro y adjuntar los datos brindados y pruebas
Evaluación preliminar: procede o desestima
Investigación: El denunciante lo hace porque cree habrá una investigación
Comunicación de la conclusión
• probada
• infundada buena fe
• infundada mala fe
Comité de ética: involucramiento de la alta dirección por cultura
Alcance
Directores, empleados, contratistas,
pasantes, proveedores, y clientes
Confidencialidad - ¿Anónima?
Sin represalias por buena fe
Medios: teléfono, email, correo, sitio
75. ¿Cómo
gestionamos
un fraude
detectado?
Protocolo de Investigación Fraude
Los gerentes son
responsables de detectar
posibles fraudes
¿Reporte al:
• comité de auditoria
• Auditores externos
• ExCom
• RH - disciplina
• Supervisor/Área
• Fraudulento
• Policía/Medios
Encargado
¿Auditoria
interna?
¿control interno?
¿legales?
y de reportar
posibles
fraudes para
investigar
No investigaciones personales
Garantizar la confidencialidad
Garantizar total acceso a
información al investigador
Registro de reportes
Garantizar la preservación de la documentación
Involucrar al menor número de personas
Posibilidad de contratar especialistas contables y
legales
Quién evalúa la necesidad de extender la investigación
Necesidad de evaluar las pérdidas para ajustes
Protección del investigador
Determinar la mejora en el sistema de controles
Plan de Respuesta al Fraude
76. Sanción .
Objetivos de
Mejora
Protocolo de Disciplina
Cultura
Compliance
Performance
Aclarar que las responsabilidades
dependen de la definición de cargo
Aclarar y separar infracciones:
• Performance
• Conducta
• Violación a políticas/ley
• Falsificación
• Fraude y abuso activos
• Acoso
• Drogas y alcohol
1 – Entrevista
con
supervisor
2 – Entrevista
con RH
Nota firmada por ambos
Próxima a la falta
Resguarda legajo
Acción correctiva
Comité de ética
Escalable en sanciones , s/recurrencia
Dar flexibilidad
Tolerancia cero al código ético
Entrevista
Salida
Equidad
Investigación
77. Insider Trading.
Código Ética Financiero
Normas especificas contables
Reporte exacto, completo y a tiempo
a los reguladores y demás usuarios
Alcance:
• CFO
• Responsables impuestos, control,
reporting, auditoria interna
• Equipos
• Consultores
Consecuencias
Responsable al empleado por:
Normas y estándares
Negocio
Revisión crítica de controles
Entrenamiento
específico
78. Amplia casuística .
Conflictos de Intereses
Casos no exhaustivos:
• Interés económico directo o indirecto
• Conexiones comerciales
• Relaciones personales
• Expectativas futuras (conflictos potenciales)
- poder ser un empleado
- recibir un préstamo
• Prohibir una ventaja personal por la
la relación con la empresa
• Declararlos a una unidad responsable
Desafíos
Consultoría con empresas relacionadas
Inversiones en empresas relacionadas
Miembros de familia
Consensuar la resolución
del conflicto
En forma temprana
Cambios de proyectos
Dejar de hacer
80. Claves
Información Privilegiada
Las personas que tengan
conocimiento por razón de su
trabajo o cargo de
una información no pública
obtenida por la sociedad no
podrán utilizarla
No operar con
los valores
relacionados
Periodos restringidos
Antes de publicar las cuentas anuales y trimestrales
Ante operaciones significativas en curso
Extensión a familia y convivientes
Responsabilidad de salvaguardia de la información privilegiada
Registro de personas con información privilegiada
Relación con Protección de Activos
No trasmitirla
a terceros
81. Claves
Política de Anti Corrupción
Cero tolerancia a la corrupción
activa y pasiva
Los pagos facilitadores es recomendable que sean solamente dados en caso
de riesgos de vida inminente de un empleado.
Vincular el control de esta política a controles financieros y orientarla a riesgos
por jurisdicciones, tipos de transacciones e involucrados (ej. oficiales)
Incluir el uso de agentes e intermediarios, así como de JVs
Directas e indirectas
Diferencia entre pago facilitador y sobornos
Una empresa
que paga
sobornos deja de
controlar sus
negocios
82. Claves
Hospitalidad y Regalos
Se permiten si:
no influencian en una decisión
cumplen la ley
no son en efectivo
comunes a la circunstancia
no involucran a empleados públicos
Dar un valor de referencia de un regalo aceptable (usualmente 100 euros año)
Dar cuotas en valores para hospitalidad por nivel jerárquico y departamentos
Aprobación de atención a eventos y regalos al superior
Prohibir ciertos tipos de entretenimientos (finalidad de negocios legítimos o que
beneficien a la empresa)
Cubrir que gastos de promoción cubrimos a clientes o potenciales
Prever la recepción y el otorgamiento
Razonables
Apropiados
83. Claves
Protección de Propiedad Intelectual
Los empleados deben:
preservar la propiedad intelectual de la empresa
Utilizar propiedad intelectual de terceros previo pago de
licencia y permiso
Considerar los soportes: físicos y electrónicos
Considerar los empleados actuales, los ex empleados y los consultores
Todo secreto comercial y propiedad intelectual desarrollada por un empleado
en funciones de su cargo son propiedad de la empresa
Control de licencias en software, imposibilidad de instalar software no provisto
por IT, hacer copias o instalaciones en otras máquinas
Todo uso de la propiedad intelectual de la empresa debe estar
aprobado por un supervisor
84. Claves
Uso de Activos
Los empleados deben proteger:
Los activos físicos bajo custodia del robo y mal uso
La información
Los activos tecnológicos (sistemas, móviles, computadores)
Canal de reporte de robos de activos
Regular el uso personal ocasional si no se orienta a obtener un ingreso o
Ventaja ocasional
Acceso indebido, alteraciones en configuraciones y fraudes sobre sistemas
cumpliendo políticas establecidas por IT
Derecho de monitorear comunicaciones por email y teléfono de compañía
Derecho de bloqueo de internet
Todo uso de la propiedad intelectual de la empresa debe estar
aprobado por un supervisor
85. Retención de Documentación
Remuneraciones a Directores
Donaciones, Contribuciones a Partidos Políticos
Patrocinio
Drogas y Alcohol
Interacción con Competidores
Uso de Redes Sociales
Cuidado Ambiental
Agentes, Distribuidores, Representantes y Proveedores
De sistemas (seguridad, antivirus, passwords, wifi, email..)
Política de Viajes
Préstamos a Empleados
Due Diligence de Clientes
Tarjetas Corporativas
Políticas de Compliance
86. Claves
Norma de Normas
Debemos definir quién es
responsable de dar y aprobar
normas
Designar un custodio del sistema normativo (ej. operaciones y métodos)
Designar un dueño de cada tipo de política que negocie y tenga input
Integrar políticas a valores, el marco de control (ej SOX) y entrenamiento
Preservar la discreción de los gerentes
Mecanismo de “waiver” de cumplimiento
Prever un mecanismo de actualización políticas
Calidad de redacción: Guia a empleados sin jerga y tecnicismos
Un mismo sistema para todos y todas las regulaciones
CoCo
Pol
Proc
87. Protocolos de Actuación
Reglamento del Consejo
de Administración
Acciones previas a la decisión
demostrando debida diligencia
Informes internos necesarios:
Financiero: TIR, endeudamiento
Técnico: operaciones
De riesgos jurídicos, impositivos, estratégicos y otros
Otros informes de alternativas y escenarios
Solicitud de asesoramiento externo
Jurídico especializado
Orden del día, sistema de votación,…
Proyectos, Inversiones y Compras de Empresas
Informe de impacto ambiental
Estudios de ambientales
hidráulico,
de patrimonio cultural,..
Informe de control de contaminación
Autorización ambiental integrada
Ley de Evaluación Ambiental
Informes necesarios:
Viabilidad de nueva empresa
Valoración de aportes en especie
Valoración de acciones y aportaciones
De auditoria de due diligence
De modificación de estatutos
Ley de Sociedades de Capital
88. Programa de Prevención de
Delitos
05. Comunicación y Revisión
Hernan Huwyler – Mayo 2015
89. Entrenamiento
Áreas
Código de ética a nuevos ingresos y por campañas a colectivos
de empleados
Políticas de prevención de corrupción, fraude y sobornos
Sobre valores como el abuso de empleados
Especializados a departamentos con riesgos operativos de errores
La cultura organizacional comienza en el entrenamiento
Comunicar programas sobre compliance dentro de los diferentes grupos de empleados es la base de
construcción de la cultura del cumplimiento e incentiva el diálogo entre departamentos.
No se puede cumplir lo que no se conoce.
Formalizar asistencia, evaluar en pruebas y medir en encuestas. Responsable:
¿HR o CCO? Sitio de intranet. ¿Online, videos, presencial, autoestudio?
Monitorear avances
90.
91. ¿Cuáles son
las
alternativas?
¿Es legal y
consistente
con el espíritu
de la ley?
¿Está prevista
en el CoCo y
es consistente
con nuestros
valores?
¿Cuáles son
los hechos?
¿Cómo
implica cada
alternativa en
mí?
¿Cómo
implica cada
alternativa en
la sociedad y
la empresa?
¿Quiénes son
los afectados
de las
alternativas?
Entrenamiento sobre Ética
94. Entrenamiento – Grupos
Políticas claves
Cambios de normativas
Principios de reporte contable
Controles sobre fraude
Aprender de los errores (ej. multas,
demandas)
Welcome pack + Inmersión
Canal de consultas
Mensajes de correos
Daily learning
Documentar asistencia
Pruebas
Recepción de políticas
Calidad
Frecuencia
Todos los empleados
Orientados a departamentos
Ventas
Marketing
Legales
Finanzas
95.
96. Compliance Audit
Tácticas
Debemos dejar un responsable por el reaseguro de compliance
Enriquecer los programas de auditoria interna
Centralizar el conocimiento en una función específica
Interés creciente sobre contract compliance
Alcance sobre gobierno corporativo…
….. pero también sobre ciclos operativos
Problemática
Hay acciones de cumplimiento que escapan del control financiero y operativo ordinario. Estas acciones
necesitan tener un reaseguro sobre aspectos normativos claves, con revisiones selectivas y rotativas.
97. Auditoria
• ¿Hacemos lo
que decimos que
debemos hacer?
Compliance
• Si hacemos lo
que decimos que
hacemos, ¿qué
requerimientos
vamos a
cumplir?
Compliance Audit
99. Medición
Índices a seguir
Resultados de la revisión de auditoria de compliance e interna
Grado de cumplimiento de los programas de entrenamiento
Horas de entrenamiento brindado
Volumen de denuncias reportadas
Resultados de las denuncias
Encuestas de satisfacción de empleados
Evaluaciones independientes
Monto de multas y otras penalidades
¿Cómo medir el retorno de la función del
Compliance Penal?
Responsabilidad Penal Corporativa; Programa de Prevención de Delitos; Como Implementarlo; Spanish corporate criminal liability ; corporate criminal liability act ; corporate criminal liability what purpose does it serve ; corporate criminal liability and prevention ; corporate criminal liability definition ; corporate criminal liability cases ; corporate criminal liability an assessment of the models of fault ; corporate criminal liability and information technology; Spain ; LatinamericaResponsabilidad penal corporativa en España; ley de responsabilidad penal corporativa; responsabilidad penal de las empresas en chile; responsabilidad penal de las empresas en colombia; responsabilidad penal de las empresas en mexico ; la responsabilidad penal de las empresas evolución internacional y consecuencias nacionales; la responsabilidad penal de las empresas; propósito y objetivos de la ley de Responsabilidad penal corporativa ; prevención de la Responsabilidad penal corporativa; plan de prevención de fraudes para la ley de Responsabilidad penal corporativa ; Responsabilidad penal corporativa y la tecnología de información
Imaginemos un mundo sin fraude corporativo...
... tendríamos mas seguro nuestros ahorros, mejores pensiones
... tomaríamos mas riesgos operativos, menos costos operativos
... consecuencias en la vida de los fraudulentos, carreras destrozadas
... menos litigios, descontento social
... asegurarnos la normal operatoria de la empresa, moral de la empresa
... menos intervención del estado y reguladores
Responsabilidad Penal Corporativa - Programa de Prevención de Delitos - Como Implementarlo
Incluyendo:
- Compliance Program
- Reforma del Código Penal
- Funciones del Compliance Officer
- Delitos que deben ser prevenidos
- Gestión de los recursos financieros
- La responsabilidad penal de las personas físicas
- Representantes legales o administradores
- Observancia del modelo de prevención
- Ideas, respuestas, herramientas, recetas y motivación
- Órgano de la persona jurídica con poderes autónomos
- Regulación del código penal para las personas jurídicas
- Responsabilidad de los administradores
- Asesoramiento especializado en prevención
- Circunstancias atenuantes de la responsabilidad penal
Ideas
Respuestas/Herramientas/RecetasMotivación
Cambios importantes en el rol del consejoReforma LSC Cuestiones clave:
Se extiende a las sociedades anónimas la posibilidad de que la junta general intervenga en asuntos de gestión, impartiendo instrucciones al órgano de administración o sometiendo a
autorización la adopción por éste de decisiones o acuerdos sobre determinados asuntos.
Se incluye una nueva competencia exclusiva de la junta general consistente en la toma de decisiones sobre la adquisición, enajenación o aportación de activos esenciales.
En las sociedades cotizadas será también materia reservada de la junta general la transferencia a entidades dependientes de actividades esenciales desarrolladas hasta ese momento por la propia sociedad, aunque ésta mantenga el pleno dominio de aquéllas (“filialización”).
Se presume el carácter esencial de un activo/actividad cuando la operación supere en importe el 25% del valor de los activos que figuren en el último balance aprobado.
Se reduce al 3% el porcentaje del capital social necesario para ejercitar los derechos de minoría en las sociedades cotizadas
Mayor transparencia y control de la remuneración de los administradores reforzando el papel
de la junta general.
La junta general deberá aprobar el importe máximo de la remuneración anual del conjunto de los administradores por su condición de tal.
Los consejeros que realicen funciones ejecutivas deben celebrar un contrato con la sociedad que recoja de forma exhaustiva el sistema de remuneración por tales funciones, que deberá
aprobarse por mayoría reforzada del consejo sin la intervención del consejero afectado.
Las sociedades cotizadas deben aprobar una política de remuneraciones de los consejeros, que debe comprender la remuneración de los consejeros por su condición de tal y por el
desempeño de funciones ejecutivas, que debe ser necesariamente aprobada por la junta general de accionistas por un plazo de tres años
Se consagra la conocida como business judgement rule o “protección de la discrecionalidad empresarial”, que impide que los jueces puedan revisar las decisiones estratégicas y de negocio de los administradores
Se diferencia el régimen de responsabilidad de los administradores en atención a las funciones efectivamente desarrolladas
Se reformulan las principales manifestaciones del deber de lealtad y se añaden otras, como la obligación de los administradores de actuar en todo caso con independencia de criterio y n aceptar instrucciones o vinculaciones de terceros
n Dentro del deber de lealtad se distinguen las obligaciones básicas o sustantivas, que configuran prohibiciones absolutas, y determinadas obligaciones instrumentales referidas a supuestos de conflicto de interés, que por el contrario pueden ser objeto de dispensa
las personas jurídicas serán responsables de los delitos cometidos en nombre o por cuenta de las mismas, y en su provecho, por sus representantes legales y administradores de hecho o de derecho, así como por sus empleados, por no haberse ejercido sobre ellos el debido control.
Uso de empresas “pantalla” para esconder una actividad delictiva de una o varias personas. (Ley Orgánica 5/2010)La responsabilidad penal de las personas jurídicas será compatible e independiente de las responsabilidades penales de sus administradores y representantes legales, siempre que la persona jurídica se haya beneficiado de algún modo de la comisión del delito. También incurrirá en responsabilidad penal la empresa por los delitos cometidos por sus trabajadores o empleados dependientes (autónomos) en beneficio de la empresa, siempre que se haya incurrido en un fallo organizativo o de supervisión.
Estos criterios de atribución de responsabilidad que regula el Código Penal para las personas jurídicas, por la actuación de terceros, por no haber ejercido el debido control interno sobre administradores, directivos y empleados, va a suponer que las compañías tengan que incurrir en nuevos costes, recursos técnicos y humanos en vigilancia, planificación y asesoramiento especializado en prevención de delitos en el seno de la empresa.
El asesoramiento especializado en prevención y en la implantación de sistemas internos de control cobra especial relevancia si atendemos al sistema de penas que regula el Código Penal para las personas jurídicas, tales como la disolución, la suspensión de actividades, la clausura de locales, la prohibición de realizar actividades, la inhabilitación para obtener subvenciones o contratar con el sector público, o la intervención judicial de la empresa.
http://www.eleconomista.es/empresas-eAm-mexico/noticias/6701942/05/15/Pablo-Wallentin-abandona-OHL-Mexico-por-el-escandalo-de-sobrecostes.htmlhttps://www.youtube.com/watch?t=75&v=_nLKxFvcAOg Fraude en las carreteras de Mexico version completa – Minuto 20 a 23 Esto ya es un fraude
Aparecen escuchas entre ejecutivos sobre supuestos sobrecostos en obras y eventual aumento de tarifas en una importante vía cercana a la capital mexicana. La obra triplico las previsiones del estado (de 4 a 10B, TIR 20%). Aumentaron el peaje un 30% a costa de tramos que no construyeron.
-OHL declara que es un montaje malicioso de grabaciones
Secretaría de Comunicaciones del Estado de México, Apolinar Mena, declara que él pagó sus vacaciones en un hotel de OHL Desarrollos, aunque OHL se lo ofreció (en la escucha le dice “yo te lo reservo”)- sus acciones acumulan una baja de 20.3% a 24.62 pesos al cierre de este lunes y lo suspenden de cotizar (7% cayo la filiar española). Le impidieron renegociar tarifas hasta que aclare. Una comisión del estado de MX los auditará. Planean la venta de Mexico a Abertis- José Andrés de Oteyza, consejero de la constructora, justificara que habían invitado al político por "cortesía". "Siendo nosotros propietarios de un desarrollo de esta naturaleza (el hotel) y llega una personalidad, hasta por cortesía le decimos que es nuestro invitado, pero él lo rechazó. La mayor parte de las empresas que yo conozco hacen invitaciones a distintas personalidades",
Lo despiden para no entorpecer las negociaciones
Prometieron: revisar todos los procedimientos de y sistemas de control de la Sociedad y revisar el cumplimiento del Código Ético para evitar eventuales o posibles sobornos y fraudes de ley.
También va a "iniciar una investigación de las operaciones y contratos de la Sociedad para la construcción, operación y mantenimiento de las autopistas en el Estado de México, a fin de asegurar que las mismas se han realizado conforme a los términos establecidos y revisar los sistemas de control de la Sociedad en este aspecto",
la firma creará un Comité de Adquisiciones y la designación de un Director responsable del área de cumplimiento normativo (?Compliance?) que refuerce la transparencia en la Sociedad.
Beneficio: la exoneración de toda responsabilidad penal por los delitos cometidos por sus representantes legales o por las personas con capacidad de decisión o funciones organizativas o de control.
las penas a las que se exponen las personas físicas mencionadas son la de prisión de 3 meses a 1 año o, alternativamente, multa de 12 a 24 meses, a la que se añade en todo caso la de inhabilitación especial para el ejercicio de industria o comercio de 5 meses a 2 años. Si el delito se comete por imprudencia (no se dice si grave o leve), dichas penas se sustituyen por la de multa de 3 a 6 meses (apartado 2 del artículo 286 siete del ACP).
En particular, lo que la persona jurídica debe probar para poder eximirse de responsabilidad penal es lo siguiente:
“a) el órgano de administración ha adoptado y ejecutado con eficacia, antes de la comisión del delito, modelos de organización y gestión que incluyen las medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza;
b) la supervisión del funcionamiento y del cumplimiento del modelo de prevención implantado ha sido confiado a un órgano de la persona jurídica con poderes autónomos de iniciativa y de control;
c) los autores individuales hayan cometido el delito eludiendo fraudulentamente los modelos de organización y de prevención, y;
d) no se ha producido una omisión o un ejercicio insuficiente de sus funciones de vigilancia y control por parte del órgano al que se refiere la letra b”.
Podríamos decir que distingue dos tipos de culpa de la persona jurídica: " In eligendo" al referirse a delitos cometidos por los representantes legales o administradores que ha designado la organización para que le representen e " In vigilando" tratándose de empleados sometidos a la autoridad de los anteriores, sin haberse ejercido el debido control.
Lo que dispone el artículo 31CP, pudiendo llegar a interpretarse, a sensu contrario,como que se pasa a considerar a los administradores de una persona jurídica como sujeto activo de cualquier delito imputable a ésta, respondiendo personalmente
Se introduce un nuevo tipo penal que castiga al representante legal o administrador de hecho o de derecho, que haya omitido la adopción de medidas de vigilancia o control exigibles, es decir, de un programa de compliance penal.
Debido Control: responsabilidad de los administradores por el defecto de organización. Aplica a “quienes estando sometidos a la autoridad”
“medidas de vigilancia y control”, en palabras textuales del ACP) se entienden incluidas “la contratación, selección cuidadosa y responsable, y vigilancia del personal de inspección y control y, en general, las expresadas en los apartados 2 y 3 del artículo 31 bis”.
“haberse incumplido gravemente por aquéllos [los mencionados en la letra a) precedente] el deber de controlar su actividad”.
Medidas Eficientes: No hacer controles estéticos (como publicar el CoCo o la política de delitos en Intranet, no se acepta como “debida diligencia”)
SEC tiene el “Effective Ethics and Compliance Program”.
El concepto "medidas eficaces" elude toda opción de simplemente maquillar un programa de cumplimiento en lo que se conoce, empleando terminología anglosajona, como "makeup compliance".
La circular 1/2011 de la Fiscalía General del Estado alerta sobre la ineficacia del “compliance cosmético”, es decir, de los protocolos de prevención y detección de delitos que simplemente se aplican sin acreditar la existencia y la eficacia del control de forma periódica
Haber establecido, antes del comienzo del juicio oral, medidas eficaces para prevenir y descubrir los delitos que en el futuro pudieran cometerse con los medios o bajo la cobertura de la persona jurídica.
Esto es 1) si antes de la comisión del delito hubo un debido control, en el seno de la empresa, para evitar el delito ,
habrá eximente; 2) si las medidas preventivas de futuro, esto es si el debido control se acuerda después de la comisión del delito, será un atenuante.
CIRCUNSTANCIAS ATENUANTES DE LA RESPONSABILIDAD PENAL DE LA PERSONA JURÍDICA (Art. 31)
Sólo podrán considerarse circunstancias atenuantes de la responsabilidad penal de las personas jurídicas haber realizado, con posterioridad a la comisión del delito y a través de sus representantes legales, las siguientes actividades:
a) Haber procedido, antes de conocer que el procedimiento judicial se dirige contra ellas, a confesar la infracción a las autoridades.
b) Haber procedido con anterioridad al juicio oral a reparar o disminuir el daño causado por el delito.
c) Haber colaborado en la investigación del hecho aportando pruebas, en cualquier momento del proceso, que fueran nuevas y decisivas para esclarecer las responsabilidades penales.
d)Haber establecido antes del comienzo del juicio oral medidas eficaces para prevenir y descubrir los delitos que en el futuro pudieran cometerse con los medios o bajo la cobertura de la persona jurídica.
CIRCUSTANCIAS EXIMENTES DE LA RESPONSABILIDAD PENAL DE LAS PERSONAS JURIDICAS (Art 31 bis 2.a 5)
Si el delito fuese cometido por las personas indicadas en la letra a) del Art. 31 bis. 1, al que hemos hecho referencia, la persona jurídica quedará exenta de responsabilidades si se cumplen las siguientes condiciones:
1. El órgano de administración ha adoptado y ejecutado con eficacia, antes de la comisión del delito, modelos de organización y gestión que incluyen las medidas de vigilancia y control idóneas para prevenir delitos o reducir su riesgo
La exención de responsabilidad penal para los representantes legales, o personas facultadas por la sociedad para ejercer funciones de vigilancia y control de su actividad, siempre queda supeditado al cumplimiento de las siguientes condiciones:
1. El órgano de administración debe haber adoptado y puesto en marcha eficazmente, antes de que se cometa el delito, modelos de organización y administración que comprendan medidas de vigilancia y control adecuadas para prevenir delitos o para mitigar el riesgo de su comisión.
2. La supervisión y funcionamiento de tales modelos de prevención debe ser confiados a un órgano de la persona jurídica con poderes autónomos o facultades para supervisar la eficacia de los controles internos de la empresa.
3. Los autores individuales del delito deben haber eludido los modelos de organización y prevención.
4. El órgano de control no debe haber incumplido sus deberes de inspección o haberlos ejercido de manera insuficiente.
03/2014 El FC Barcelona se plantea elaborar antes del juicio oral un programa de prevención de delitos que le serviría para atenuar su presunto delito fiscal, por el que está imputado como persona jurídica. Multa 50 Millones y el Barcelona FC quedó imputado. Como la norma sólo afecta a delitos cometidos a partir de 2011, todavía los tribunales no han dictado sentencias en firme que condenen penalmente a empresas e instituciones, salvo dos casos de autos de medidas cautelares del juez de la Audiencia Nacional Eloy Velasco, contra una empresa implicada en tráfico de drogas y contra un prostíbulo. Sí se han producido imputaciones como persona jurídica a Bankia y su matriz, el Banco Financiero de Ahorros (BFA), Pescanova o diversas empresas por temas fiscales a instancias de la Fiscalía.
a) Identificarán las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos. Relación con - El funcionamiento eficaz del modelo de prevención requiere: a) de una verificación periódica del mismo y de su eventual modificación cuando se pongan de manifiesto infracciones relevantes de sus disposiciones, o cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada que los hagan necesarios;
b) Establecerán los protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las mismas con relación a aquéllos.
c) Dispondrán de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos.
d) Impondrán la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención.
e) Establecerán un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo.”
https://www.iso.org/obp/ui/#iso:std:iso:19600:ed-1:v1:enbasado en el Australian Standard AS3806:2008, y es superestructura de cumplimiento que introduzca sistemática y consistencia en la gestión de sus diferentes ámbitos de cumplimiento
Marco Aleman Compliance Management Systems (CMS), IDW AssS 980 de 2011 por el Instituto Alemán de Auditores Públicos (IDW)
AdaptaciónGuidance on the 8th EU Company Law Directive – FERMA for Risky Swiss Cheese Model for Risk
31 delitos por los que puede ser condenada una empresa: Una empresa puede ser condenada por la comisión de cualquiera de los siguientes delitos (tipicidad del código penal):
Medios de pagos: Delitos de falsificación de tarjetas de crédito y débito, y cheques de viaje (artículos 399 bis CP).
- Delitos contra la intimidad y el allanamiento informático (Art. 197 CP). Incluye en descubrir secretos o vulnerar la intimidad de otro, sin su consentimiento, apoderándose de sus papeles, cartas, mensajes de correo electrónico, transmisión, grabación o reproducción del sonido o de la imagen, interceptando sus telecomunicaciones o utilizando artificios técnicos de escucha,; o en acceder sin autorización a datos o programas informáticos contenidos en un sistema informático.
- Delitos de Insolvencias Punibles (Art. 261 Bis CP). Incluye el alzamiento de bienes o realización de actos de disposición patrimonial en perjuicio de los acreedores.- Delitos de Daños Informáticos (Art. 264 CP). Incluye el obstaculizar o interrumpir el funcionamiento de un sistema informático ajeno, introduciendo, transmitiendo, dañando, borrando, deteriorando, alterando, suprimiendo o haciendo inaccesibles datos informáticos.Los delitos más corrientes que pueden cometer las personas jurídicas son los siguientes:
Contra la intimidad y allanamiento informático - art. 197
Estafa - art. 251 bis
Insolvencias punibles - art. 261 bis
Informáticos /Hacking - art. 264 CP
Corrupción entre particulares - art. 286 bis CP
Contra la propiedad intelectual e industrial - art. 288 CP
Contra el mercado y los consumidores, entre los cuales destacan los delitos de descubrimiento y revelación de secretos de empresa - art. 278 al 280 CP
Publicidad engañosa (art. 282 CP), de facturación fraudulenta - art. 283 CP
Información privilegiada - arts. 284.3 y 285 CP
Blanqueo de capitales - art. 302 CP
Contra la hacienda pública - art. 310 bis CP
Sobre la ordenación del territorio - art. 319 CP
Contra los recursos naturales y el medio ambiente - arts. 3y 328 CP
Cohecho - art. 4CP
Tráfico de influencias - art. 430 CP
Proceso de compras:
Hay subrocesos: Ej. Generación de contrato: 1- Estrategia, 2- Armado de propuestas, 3- Dar precioobjetivo: La identificación de las actividades o procesos que generan o aumentan el riesgo de comisión de los delitos;
Identificar maniobras
Identificar controles existentes
Posterior reflexión sobre la suficiencia o insuficiencia de los controles sobre las mismas
Marco ERM escalable
Grado adecuado de detalle
Involucrar a todos los participantes
…inclusive los externos (consultores)
Análisis al futuro
Objetividad de valuaciones
Cualitativo vs. cuantitativo
No olvidar monitorear riesgos de bajo impacto
Involucrar aprobaciones del Sr. Mgmt
Documentar
Inicial: Reactivos frente a la norma
Definido: Mejorar los reportes del ExCom que existen
Enfoque “Top Down”: Son aquellos que surgen a entity-level, fácilmente identificables, gestiona el ExCom
Evaluación de tendencias y estrategias: iniciativas estratégicas (de crecimiento), performance de las líneas de negocios, resultados de las entrevistas de egreso de personal, encuestas de ambiente laboral (sector de ética), cambios en el organigrama de compliance, provisiones legales
Entrevistas con encargados de compliance y process owners
Auditoria: Resultados de SOX 404, hotline, CSA, investigaciones
Análisis de industria: Industry reports, memoria al balance.
Requerimientos regulatorios: inspecciones, multas, acuerdos parajudiciales, propuestas de nuevas leyes (riesgos emergentes), investigación sobre la competencia
More forward-looking is the use of leading indicators to anticipate risks that may occur.
Liability for wrongdoing by contractor
FCPA = Ley Anticorrupción para el Extranjero de Estados Unidos (LAE). También la Ley Anticorrupción de 2010 de UK, ni siquiera permite pagos facilitadores y pequeñas prácticas corruptas como para tramitar formularios de aduanas o sellar visados
Centrarse en actividades donde se cree el valor (Por ejemplo, en una empresa de Oil&Gas integrada, puede darse que mucho del esfuerzo de ERM se centre en inventarios, refino y contabilidad, cuando el valor se crea en exploración).
Orientación a la acción
La definición de riesgos puede hacerse con una herramienta llamada CASE para articular sus características:
C onsequence – ¿Cúal es el impacto del riesgo?
A sset – ¿Cuál/es es/son los activos en riesgos? (también los intangibles como la información o la reputación)
S ource – ¿Cuáles son los actores detrás del riesgo?
E vent – ¿Qué tipo particular de incidente se tiene en cuenta?
Esta herramienta es útil para delimitar riesgos como “terrorismo” que en realidad comprende múltiples riesgos, ayudando a lograr un consenso sobre la caracterización (de otra forma cada cual tiene su propia percepción sobre “terrorismo”, riesgos es un continuo). No solo la frecuencia y el impacto cambian ante cada definición, sino cambien los planes de acción.
Manuales de prevención de riesgos penales o de cumplimiento normativo en materia penal, o también denominados «Compliance Programs», Proyecto de Reforma del Código Penal: prevé un delito específico para aquellos representantes legales o administradores de cualquier persona jurídica, empresa, organización, o entidad que carezca de personalidad jurídica, que omitan la adopción de las medidas de vigilancia o control que resulten exigibles para evitar la infracción de deberes o conductas peligrosas tipificadas como delito, siempre que si se hubiera empleado la diligencia debida se pudiera haber evitado, o seriamente obstaculizado, la ejecución de una de tales conductas ilícitas.
La reforma del Código Penal de 2015 establece los requisitos que una empresa debe cumplir para quedar exenta de responsabilidad penal en el
caso de que una persona de su organización cometa un delito en determinadas circunstancias.
La reforma introduce los conceptos de antelación, eficacia e idoneidad como atributos clave del modelo de prevención y control
Manuales de prevención de riesgos penales o de cumplimiento normativo en materia penal, o también denominados «Compliance Programs», Proyecto de Reforma del Código Penal: prevé un delito específico para aquellos representantes legales o administradores de cualquier persona jurídica, empresa, organización, o entidad que carezca de personalidad jurídica, que omitan la adopción de las medidas de vigilancia o control que resulten exigibles para evitar la infracción de deberes o conductas peligrosas tipificadas como delito, siempre que si se hubiera empleado la diligencia debida se pudiera haber evitado, o seriamente obstaculizado, la ejecución de una de tales conductas ilícitas.
Alinear R y A según nivel de autoridad: A tiene más cargo de R
Solo hay una A en cada tarea
Cada A debe tener un poder (nivel de autoridad) adecuado
Las personas en C y I deben ser un mínimo
Sumar todas las Rs en una columna para ver si una persona está haciendo mucho
Sumar todas las As en una columna para ver si una persona tiene la correcta segregación de funciones (muchas As es confuso o genera un cuello de botella)Si una persona no tiene ni R y As, su posición puede ser eliminada
Alinear las Rc y las As a la calificación de cada cargo/persona
Responsabilidades: CRO,
Etapas para integrar compliance a la gestión (mayor factor de éxito para esta iniciativa: involucrando a empleados, integrando regulaciones diversas en un sistema, ayudando al entendimiento de regulaciones).
Asignar responsabilidades a los dueños de los procesos – La percepción de la necesidad de compliance disminuye con las responsabilidades (Kearney: 68% del top mgmt tiene una percepción positiva de compliance vs. 19% del nivel más bajo)
Cuáles son las funciones de un Responsable de Control Interno & Compliance. Ideas para motivar una cultura de cumplimiento normativo desde el gobierno corporativo
Involucrar a expertos y resolver el punto de equilibrio entre riesgos y carga administrativa – La carga administrativa disminuye la adherencia. No podemos definir procesos sin tener en mente a compliance.
El Código Ético: requerimientos, implementación y difusión. Requerimientos SOX y reportes en compliance (ej. Hotline). El sistema normativo. Cómo elaborar un mapa de riesgos de cumplimiento normativo y regulatorio: herramienta crucial para identificar, tratar y seguir los riesgos de incumplimiento en una corporación energética. Estrategias para priorizar esfuerzos. Recorrido por los principales tipos de regulaciones a nivel internacional en energía.
Generar controles para reducir los riesgos de no cumplimiento en procesos claves – Conexión al sistema de control interno. Proceso de mejora continua.
Tipos de auditorías de cumplimiento recomendadas para cada caso. Identificación de tendencias, herramientas para detectar operaciones sospechosas y el papel de la business intelligence. Estrategias para comunicar pautas de cumplimiento a las unidades de negocio en el ejercicio de la actividad energética. Materiales de referencia para implementar programas de cumplimiento
¿Qué llevarse? Un conjunto de herramientas e ideas para priorizar los riesgos legales y de compliance para desarrollar planes de mitigaciòn.
Nota: Enfoque a compañías multinacionales (incluyendo US aunque no buscando que sean solo especificas de un país).
Modelos de desarrollo del sistema normativo:- Modelo de conformidad (solamente que la empresa no hace lo incorrecto)
Modelo de ejecución (asegurarse se hace lo correcto para cumplir con los objetivos empresariales)
En 2008 el Open Compliance and Ethics Group (OCEG) da un marco de referencia para la integración del Gobierno Corporativo, la Gestión de Riesgos y el Cumplimiento Regulatorio.Beneficios de integración de riesgos legales en el marco general de GRC
Única fuente: único mapa de riesgos corporativos centralizado, una vista integrada
Aumenta el compromiso, a más entendible, mas adherencia
Orientación Recursos: menos costo de la iniciativa (un sistema, un grupo, una política), un solo levantamiento de riesgos/taller (màs participativo), una sola auditoria de riesgos
Alineamiento: rompe silos
Consideraciones especiales del riesgo legal en ERM
Un riesgo legal puede no tener fuente (podemos decidir romper un contrato)
Con consecuencias de otros riesgos (ej. una caída de liquidez puede hacer incumplir covenants de prestamos)
Hay efectos no financieros (ej. ilegalidades puede resultar en el despidos y prisión del personal)
No podemos mitigar el impacto: Las consecuencias de los riesgos legales están generalmente predeteminadas
Todos los grupos de negocio y áreas de actividad
Todos los niveles de responsabilidad
Todos los tipos de operaciones
ISO 31k
Sistema de Control Interno sobre la Información Financiera
Politicas incluye best practices
% numero de casos y pérdida media
Summary of Findings 2014 Report to the Nations ACFE
Survey participants estimated that the typical organization loses 5% of revenues each year to fraud. If applied to the 2013 estimated Gross World Product, this translates to a potential projected global fraud loss of nearly $3.7 trillion.
The median loss caused by the frauds in our study was $145,000. Additionally, 22% of the cases involved losses of at least $1 million.
The median duration — the amount of time from when the fraud commenced until it was detected — for the fraud cases reported to us was 18 months.
Occupational frauds can be classified into three primary categories: asset misappropriations, corruption and financial statement fraud. Of these, asset misappropriations are the most common, occurring in 85% of the cases in our study, as well as the least costly, causing a median loss of $130,000. In contrast, only 9% of cases involved financial statement fraud, but those cases had the greatest financial impact, with a median loss of $1 million. Corruption schemes fell in the middle in terms of both frequency (37% of cases) and median loss ($200,000).
Many cases involve more than one category of occupational fraud. Approximately 30% of the schemes in our study included two or more of the three primary forms of occupational fraud.
Tips are consistently and by far the most common detection method. Over 40% of all cases were detected by a tip — more than twice the rate of any other detection method. Employees accounted for nearly half of all tips that led to the discovery of fraud.
Organizations with hotlines were much more likely to catch fraud by a tip, which our data shows is the most effective way to detect fraud. These organizations also experienced frauds that were 41% less costly, and they detected frauds 50% more quickly.
The smallest organizations tend to suffer disproportionately large losses due to occupational fraud. Additionally, the specific fraud risks faced by small businesses differ from those faced by larger organizations, with certain categories of fraud being much more prominent at small entities than at their larger counterparts.
The banking and financial services, government and public administration, and manufacturing industries continue to have the greatest number of cases reported in our research, while the mining, real estate, and oil and gas industries had the largest reported median losses.
The presence of anti-fraud controls is associated with reduced fraud losses and shorter fraud duration. Fraud schemes that occurred at victim organizations that had implemented any of several common anti-fraud controls were significantly less costly and were detected much more quickly than frauds at organizations lacking these controls.
The higher the perpetrator’s level of authority, the greater fraud losses tend to be. Owners/executives only accounted for 19% of all cases, but they caused a median loss of $500,000. Employees, conversely, committed 42% of occupational frauds but only caused a median loss of $75,000. Managers ranked in the middle, committing 36% of frauds with a median loss of $130,000.
Collusion helps employees evade independent checks and other anti-fraud controls, enabling them to steal larger amounts. The median loss in a fraud committed by a single person was $80,000, but as the number of perpetrators increased, losses rose dramatically. In cases with two perpetrators the median loss was $200,000, for three perpetrators it was $355,000 and when four or more perpetrators were involved the median loss exceeded $500,000.
Approximately 77% of the frauds in our study were committed by individuals working in one of seven departments: accounting, operations, sales, executive/upper management, customer service, purchasing and finance.
It takes time and effort to recover the money stolen by perpetrators, and many organizations are never able to fully do so. At the time of our survey, 58% of the victim organizations had not recovered any of their losses due to fraud, and only 14% had made a full recovery.
VX11N (on vbap)– Doc. 1 o z1 Letter of Credit – Conditions
Refusing or agreeing to refuse to do business with or in a boycotted country (e.g., Israel) or with a national of a boycotted country (e.g., an Israeli company) or a boycotted person (e.g., a ‘blacklisted’ party). This includes, among other things, agreeing to comply with a country’s boycottlaws; ship goods on a carrier that is eligible to enter the ports of a boycotting country (other than Saudi Arabia); or provide a certificate stating that products are not of Israeli origin (a ‘negative certification’);
Para estas operaciones se asegura que no haya participado una sociedad Norteamericana. Adicionalmente de las tablas SAP de operaciones bancarias, analizamos que el banco interviniente no sea americano.
En un informe de 2007 Agencia Española de Protección de Datos estableció las líneas de denuncia serían confidenciales, pero no anónimas, para garantizar la exactitud e integridad de la información. Se recomienda externalizar el servicio para garantizar la imparcialidad.Primer medio de contacto o segundo luego que fue al supervisor, al secretario general o recursos humanos. Si admitimos el reporte por el supervisor (cuando no es parte de la sospecha), igualmente {el debe reportarlo para que quede registro.
La política debe guiar al denunciante antes del proceso (ej. que guarde evidencia, calmarlo, que relate solo hechos, que no son un “traidor”, recuerde fechas). Hay que darle al denunciante un tiempo esperado de acción, explicar quien sigue el tema, y asegurarle que está protegidoEn general el denunciante tiene motivos altruistas, y no está perjudicado
SOX 301: Nos pide un procedimiento de denuncias (de fraude contable y que pueda ser anónimo)
SOX 1107: hasta 10 años de cárcel y multas si hay represalias al denunciante
El encargado de investigar debe ser independiente
Se puede poner un reporte en las cuentas anuales
Advertir a los empleados que su comunicación por medio de activos de la empresa puede ser monitoreada mientras sea justificada y ante un delito presunto y de acuerdo a la legalidad.
Esta política debe indicar como resguarda las pruebas para que sirvan como elementos de defensa
El reporte de fraude a la policía muchas veces no se efectúa para evitar daños reputacionales
Limites legales para la investigación- Tribunal Supremo (TS) como del Constitucional ha marcado los límites que puede encontrarse el responsable de cumplimiento a la hora de acceder y controlar los recursos puestos a disposición del trabajador, como el ordenador.Artículo 20 del Estatuto de los Trabajadores: la empresa podrá adoptar medidas de control y vigilancia para verificar el cumplimiento por el trabajador de sus obligaciones y deberes.
Nota: deliberadamente no dar lo mejor de las habilidades (negligencia y ausentismo (dormir en el trabajo)) es performance. Por ejemplo, no cumplir con los vencimientosPasos: Aviso verbal, aviso escrito, aviso escrito final, suspensión, despido -> Impacto en ascensos, aumentos salariales,
3 casos: Error excusable, error no excusable, acción deliberada
Explicar ofensa, escuchar razones, dar una alternativa de una acción aceptable
En el despido se solicita se escolte el empleado hasta fuera de la oficina
Aclarar que en fraude, se denuncia penalmente
CODE OF ACCOUNTING PRACTICE AND FINANCIAL REPORTING https://www.westpac.com.au/docs/pdf/aw/ic/Code__accounting_practice_f1.pdfCode of ethics for senior finance officers
http://www.lilly.com/about/business-practices/ethics-compliance/code-of-conduct/Pages/code-of-conduct-financial-management.aspx
Conducting business on behalf of the Company with immediate family members, which include spouses, children, parents, siblings and persons sharing the same home whether or not legal relatives.
Using the Company’s property, information or position for personal gain.
Conducting personal business with vendors, suppliers, competitors or customers of the Company.
Actual or potentially conflicting interests (including but not limited to any material transaction or relationship that reasonably could be expected to give rise to a conflicting interest) must be reported to the Company’s General Counsel. Many conflicts of interest can be resolved in a mutually acceptable way, but they must be disclosed to the Company’s General Counsel. Failure to disclose a conflict or a potential conflict of interest may lead to disciplinary action, up to and including termination.
Carlos Slim entró en el consejo de administración de FCC el pasado 14 de enero, pero su nombramiento tiene que ser aprobado por los accionistas en la junta general convocada en Madrid para el próximo 25 de junio.
Para que sea posible, el inversor mexicano, con el 25,6% de la empresa, debe salvar una de las incompatibilidades que recoge la Ley de Sociedades en materia de gobierno corporativo. En concreto, Slim y los otros tres consejeros que representan los intereses de Inmobiliaria Carso tienen que pedir a los accionistas de FCC una dispensa por ser administradores de otro grupo competidor directo.
El conflicto de interés por ser un grupo competidor fue, precisamente, el argumento que empleó Esther Koplowitz en 2004 para impedir la entrada de tres representantes de Acciona en el consejo de FCC.
La última reforma de la Ley de Sociedades prohíbe ser administrador de una empresa si “efectúa actividades por cuenta propia o cuenta ajena que entrañen una competencia efectiva". No obstante la misma norma, en su artículo 230, recoge una excepción. "La obligación de no competir con la sociedad sólo podrá ser objeto de dispensa que se concederá mediante acuerdo expreso y separado de la junta general”.
Entretenimientos no admitidos: brindados en locaciones donde no se presta el servicio, lujosos, en fechas de alto turismo o celebraciones
Concepto de "work made for hire” que un empleado hace en alcance de su resposabilidad de trabajo, y fue comisionado.
Secretos comerciales implica el saber hacer algo eficientemente.
Los consultores ceden su propiedad intelectual si fueron contratados para eso y hay un acuerdo previo
¿Cuáles son los hechos?
¿Está prevista en la guia y es consistente con nuestros valores?
¿Es legal y consistente con el espíritu de la ley?
¿Cuáles son las alternativas?
¿Quiénes son los afectados de las alternativas?
¿Cómo implica cada alternativa en la sociedad y la empresa?
¿Cómo implica cada alternativa en mí?
Funciones a unir. Ambas deben ser independientes (de operaciones/negocio)
Auditoria -> cumplimiento de normas internas
Compliance -> que las normas internas respeten las regulaciones