Cómo considerar el riesgo legal y quién debe medirlo: claves para el análisis y la repartición de responsabilidades en cuanto al control seguimiento y reporting. Cómo establecer una política para la evaluación del riesgo legal: Hasta dónde valorar y qué nivel de riesgo tolerar. Claves  para establecer Medidas Mitigadoras (PTA/deadline) para la gestión Integral del riesgo Legal

1. MODELO DE GESTION Y VALORACIÓN
DEL RIESGO LEGAL
Prácticas del Buen Gobierno - Hernan Huwyler - 26 de Marzo

2. Audit SOX ACCG
Risks
SAP/IT
Compliance

3. 1. Definir responsabilidades
lll lll
2. Integrar regulaciones a procesos

3. Monitorear cumplimiento

6. Funciones del CIA
Compañías <1b USD Compañías >1b USD
1. Implementar un plan anual de IA
2. Seguimiento de observaciones
3. Investigaciones y pedidos del
directorio
1. Marco para revisar controles internos
orientado a riesgos
2. Implementar un plan anual de IA.
3. Seguimiento de observaciones
4. Control del desarrollo normativo

7. Funciones del CRO
Compañías <1b USD Compañías >1b USD
1. Gestión de demandas
2. Línea de denuncia
3. Revisiones y monitoreo
4. Anticorrupción
5. Gestión de observaciones de auditoria
1. Establecer estándares de conductas
2. Línea de denuncia
3. Anticorrupción
4. Resolución de issues escaladas
5. Gestión de demandas

9. Funciones Usuales en el Mundo
 Promover el código de conducta y el sistema normativo
 Monitorear las operaciones, la efectividad del sistema
normativo y los cambios de regulaciones
 Revisión de políticas y procedimientos
 Gestión de la línea de denuncias
 Prevención del fraude
 Preparar entrenamiento sobre ética y normas
 Establecer herramientas para retención de
documentación
 Seguir no conformidades
 Asegurar la privacidad de datos, anticorrupción, …

10. Situación en España
 El nuevo Código Penal establece la responsabilidad
penal de las empresas
 Exige implantar un sistema de prevención de delitos.
 Realizar una evaluación de riesgos exhaustiva.
 Establecer códigos de comportamiento corporativo.
 Disponer de recursos financieros suficientes para impedir la
comisión de los delitos.
 Imponer la obligación de informar de posibles riesgos.
 Crear un sistema disciplinario que sancione el
incumplimiento de lo descrito en el modelo de prevención.

12. Compliance Risks
 Riesgos que pueden afectar la consecución de
objetivos estratégicos por incumplir con leyes,
regulaciones, políticas y estándares.
 La regulación es una forma de mitigar riesgos por
las sociedades modernas
 Los riesgos de compliance son una parte
(generalmente significante) de un programa de
ERM

13. Compliance Risks
 Standard & Poor también evalúa a las compañías
por su capacidad de gestionar riesgos
 La gestión de riesgos de compliance tiene
impacto en el coste de capital

14. Compliance Risks: Componentes
Incertidumbre
Legal
Norma
EventoConsecuencia

15. Compliance Risks
Fuentes
Ley
CoCo
Estatuto y
Contratos
Políticas
Compliance Externa
Compliance Interna

16. Riesgo Legal
 Tradicionalmente:
 El riesgo legal: civil y penal
 Socios, administradores y directores
 Derivado de la ley, estatuto y poderes
 +2010:
Responsabilidad Penal de las Personas
Jurídicas
Nuevo riesgo: No prevenir el delito
Culpabilidad: Defecto de organización

17. Responsabilidades Nuevo Riesgo
Identificar nuevos
riesgos legales
Cuantificar nuevos
riesgos legales
Implementar
medidas de control
Entrenamiento &
Cultura
Auditoria medidas
de control

18. Responsabilidad Penal de las Personas Jurídicas
Principales delitos
 Corrupción entre particulares
 Uso indebido de información privilegiada
 Estafa y apropiación indebida
 Insolvencia punible
 Fraude fiscal
 Manipulación de información financiera
 Delitos medioambientales
 Alteración de precios en concursos
 Revelación de secretos

19. Responsabilidad Penal de las Personas Jurídicas
Consecuencias
 Multas
 Inhabilitación para:
 obtener subvenciones
 contratar con las Administraciones Públicas
 obtener beneficios o incentivos fiscales
 Prohibición de realizar determinadas actividades
 Intervención judicial
 Disolución / Suspensión de actividades / Clausura de
locales
+ Pérdida del contrato obtenido por delito
+ Pérdida reputacional

20. Responsabilidad Penal de las Personas Jurídicas
Atenuantes
 Confesión / Reporte a autoridades
 Colaboración en investigación
 Reparación del daño
 Establecimiento de mediadas eficaces de
prevención y hallazgo de delitos
 Código de ética
 Departamento de corporate compliance
 Acciones de formación
 Canal de denuncias y protocolo de investigación

22. Encuesta 2013 E&Y

23. Encuesta 2013 E&Y - Planes
Designar un Chief Compliance/Risk Officer
1
Invertir en la capacidad de relacionarse con los
reguladores2
Mejora continua de la capacidad de compliance
3
Invertir en la capacidad de IT para soportar
compliance4
Capacidad de rápidamente adoptar cambios
regulatorios5
Centrar las funciones de compliance a riesgos altos
6
Expansión de compliance a proveedores y clientes
7

24. Cultura de Cumplimiento
 La cultura motiva las conductas, no las políticas.
 Que la gente correcta haga las cosas correctas en
el momento correcto.
 Embeber compliance en la cultura y en la toma
de decisiones.
 ¿Qué motiva a nuestros gerentes y empleados a
cumplir? ¿Incentivos o disciplina?
 “Tone at theTop”

25. CoCo
Entrenamiento
Mecanismo de
consulta
Reporte
anónimo
Disciplina por
mala conducta
Evaluación de
desempeño
ético

26. Clave, entrenamiento
 Apertura de cada sesión por un director
 Role play
 Discutir como las acciones no éticas impactan en
compañeros, clientes, testigos, comunidad
 Involucrar al staff a discutir
 Ajustado a seniority
 Alcohol

29. Evaluación de riesgos legales
1
• Definir alcance y líder
• Definir un universo de riesgos legales
2
• Seleccionar participantes para la
evaluación de riesgos
3
• Distribuir materiales necesarios para
los workshops

30. Evaluación de riesgos legales
4
• Efectuar la evaluación de riesgos
• Definir impacto y frecuencia
5
• Priorizar los riesgos críticos
6
• Crear planes de mitigación

31. 1. Definir alcance y líder
Familiar con el ambiente regulatorio
Familiar con las políticas internas
Familiar con el negocio para evaluar impactos
Autoridad para facilitar comunicación a C-Level
Tiempo para dedicar a la iniciativa
Habilidad de resolver conflictos
Habilidad de gestionar proyectos
Habilidad de mantener confidencialidad

32. 1. Definir alcance y líder
Si legales está a cargo
• Auditoría interna:
• soporta a legales
• efectúa revisiones
de cumplimiento
• reporta riesgos
relevantes
Si auditoría está a
cargo
• Legales:
• soporta a AI
• delimita los riesgos
que son aceptables
• reporta riesgos
relevantes

33. Compliance Trends Survey 2013 Deloitte

34. 2. Seleccionar participantes
• Regiones
geográficas
• Profundidad
(Seniority)
• Unidades de
negocios
• Legal, Fi, HR, IT,
expertos,
consultores,
investor relations

35. 2. Seleccionar participantes
 Marco ERM escalable
 Grado adecuado de detalle
 Involucrar a todos los participantes
 …inclusive los externos (consultores)
 Análisis al futuro
 Objetividad de valuaciones
 Cualitativo vs. cuantitativo
 No olvidar monitorear riesgos de bajo impacto
 Involucrar aprobaciones del Sr. Mgmt
 Documentar

36. 3. Armado de Referencias
 Armado de material
 Establecer un contexto
 Coordinar los talleres
 Confirmar alcances

37. 3. Armado de Referencias
Top
Down
Bottom
Up
Risk
registry
Fq %
Im$

38. 3. Armado de Referencias
Impacto
•Law
Enforcement
•Métrica de
Volumen
Frecuencia
•Rule of Law
•Regulatory
Quality

42. Taxonomía
FCPA
Protección de
activos
Antitrust Insider trading Privacidad
Controles de
exportación
Retención de
documentación
Seguridad de
información
Compensaciones
y bonos
Reporte
Sarbanes Oxley HSE
Discriminación y
acoso laboral
Integridad
financiera
Contratos con el
gobierno
Propiedad
intelectual
Uso de tecnología
3rd Party
management
Prácticas
comerciales
Ética

43. Taxonomía
 Riesgo de falta de cumplimiento de regulaciones
 de impuestos
 Laborales
 Societarias
 Comerciales
 Bancarias y financieras
 De autoridades de mercados
 Centrarse en actividades donde se cree el valor
(Por ejemplo, en una empresa de Oil&Gas integrada, puede darse que mucho
del esfuerzo de ERM se centre en inventarios, refino y contabilidad, cuando el
valor se crea en exploración).

44. 4. Evaluar riesgos
Cumplir con
requisitos
Identificar
riesgos legales y
regulatorios
potenciales
Asistir a los
responsables a
mitigarlos

45. 4. Evaluar riesgos
• Leer el material de referencia
• Preparar su aporte a la discusión con sus riesgos
funcionales con datos
Pre
workshop
• Colaborar a la discusión con otros participantes
• Presentar información sobre sus controles y riesgos
• Indicar que eventos o tendencias pueden afectar a la
empresa para cumplir con leyes y regulaciones
Workshop
• Participar en los planes de mitigación
• Tomar propiedad de sus riesgos funcionales
Post
workshop

46. 4. Evaluar riesgos
Score 1 2 3 4 5
Multas, daños
e
indemnizacio
nes
< 1% de las
ventas
1% al 3% de
las ventas
3% al 5% de
las ventas
5% al 10% de
las ventas
> 10% de las
ventas
Reputacional
Sin
exposición
o daño
Impacto
negativo
localizado
pero
recuperable
Cobertura en
medios o
reguladores
local
Cobertura en
medios o
reguladores
nacional
Cobertura
sustancial en
medios o
reguladores
nacional
Operacional
Sin pérdida
de negocios
u
operaciones
Visible pero
gestionable
fácilmente
Daños a
clientes o
grupos de
interés
Impacto
severo a la
performance
Impacto
catastrófico a
la BU

47. 4. Talleres
 Garantizar confidencialidad
 Pregunta clave: ¿Cuáles son los mayores riesgos de
su departamento que puedan generar en un litigio
o reducir el valor de nuestra marca?
 Orientación a los objetivos
 Tener ya identificados los riesgos top-down,
litigios, seguros activos, estadísticas HS&E

48. Estudio Costo de No Compliance
Ponemon Institute LLC 2011
Costo (M USD) Promedio Máximo Mínimo
Interrupción de negocios 3,3 16,5 0
Pérdida de Productividad 2,4 6,4 0
Pérdida de Ingresos 2,1 6,5 0,2
Multas y penalidades 1,4 7,5 0,1

49. 4. Evaluar riesgos
Score 1 2 3 4 5
Descripción
Casi
imposible
Rara Posible
Incidentes
aislados
Incidentes
repetitivos
Tiempo
< Una vez
cada 5
años
< Una vez
cada año
Una vez al
año
Una vez al
mes
Una vez a la
semana
Probabilidad < 1% 1% al 5% 5% al 10% 10% al 20% > 20%

50. 4. Evaluar riesgos
Score 1 2 3 4 5
Nivel de
Control
Sin
controles
implementa
dos
Controles
mayormente
inefectivos
Controles
efectivos en
algunas
ocasiones
Controles
efectivos la
mayoría del
tiempo
Controles
efectivo todo
el tiempo

51. 4. Evaluar riesgos
• Ocurrencia que afecta la empresa
• Ej. Incumplir con la ley…
Evento
• Consecuencia
• Ej. penalidades, daño a la reputación,
responsabilidad civil de los directoresImpacto
• Ej. Entrenamiento, boletines, procedimientos para
gestionar quejas, obtener certificaciones, buscar
consejos, designar responsable, compliance audits,
cláusulas en contratos
Plan Mitigante
• Impacto o frecuencia luego del plan mitigante
Riesgo
Residual

52. 4. Registro de Riesgos
 Evento de riesgo (ej. Imposibilidad de cumplir con ley..)
 Norma especifica (ej Ley, Concesión, CoCo, Pol, Contrato)
 Consecuencias (ej. Multas, penalidades, indemnizaciones,…)
 Impacto y frecuencia
 ¿3er variable?
 Plan de mitigación
 KRI & Auditoria
 Impacto y frecuencia residual
 Propietario / Aprobadores

53. 4. Registro de Riesgos
Causas
Frecuencia
• Historia de
eventos
• Modelo
estadístico
• Factores de riesgo
Consecuencias
Impacto
• Descripción item
por item
• Valoración
(requiere un
modelo de
valuación)

54. C Consequence Perder ventajas competitivas
…. “sobre” …
A Assets at Risk La propiedad de información sensitiva
…. “debido al” …
S Source Espionaje industrial de nuestros competidores
…. “al” …
E Event Atacar servidores inseguros

55. Área Riesgo legal Regulación /
Ley
Área
Funcional
Impacto Frec. Score Control Clasif. Impacto
Prácticasdecomercioexterior
Sobornos en el
extranjero
FCPA Foreign
Corrupt
ProtectionAct
Ventas 5 1 5 4 Reputacional
Aduanas Leyes aduaneras Ventas 1 3 3 2 Operacional
Control de
exportaciones
OFAC Office of
Foreign Assets
Controls
Ventas 2 2 4 5 Operacional
Exportaciones de
productos con
doble uso
Reg. UE
428/2009
Ventas 4 4 16 5 Operacional
Boycott no
sancionado a un
país extranjero
Anti-BoycottAct Ventas 2 2 4 4 Operacional
Exp/Imp de
químicos
peligrosos
Reg. UE
649/2012
Ventas 3 4 12 1 Operacional
…. … … ….

56. 5. Priorizar riesgos críticos
FCPA
Trade
Restrictions
Reg. UE
428/2009
Reg. UE
649/2012
OFAC
Anti-Boycott
Aduanas
1 2 3 4 5 Fq
Impacto
12345

57. 5. Priorizar riesgos críticos
 Relaciones con Gobierno
 Protección de clientes
 HSE
 Ética
 Prácticas Comerciales
 



 EMEA
 APAC
 LATAM
 North America
 HQ
 Generation
 Distribution
 Storage
 Solar
 HQ

58. 6. Planes de mitigación
Termino: Evito o trato
inmediatamente
 



Tolero: Solo
monitoreo
Transfiero
Trato

59. 6. Planes de mitigación
 Priorización de actividades según criticidad
 Asignamos un responsable del plan
 El plan se abre en tareas con sus plazos
 Los planes se aprueban
 Involucrar a legales
 Reporte frecuente del % cumplimiento del plan

60. 6. Planes de mitigación
 La implementación de planes de mitigación
pueden necesitar un cambio sustancial en la
forma de pensar compliance
 ¿Quién es el propietario de los planes?
 ¿Qué procedimiento de escalamiento tienen?
 ¿Cuáles son los KRIs?
 Un objetivo final de ERM es alinear capital

61. 6. Planes: Medidas Preventivas
 Tener un sistema de gestión de riesgos legales.
 Tener un compliance plan.
 Formalizar políticas. Entrenamiento. Sanciones.
 Contratos modelos
 Análisis de costo/cobertura de seguros
 Retención de documentación
 Selección de asesores legales
 Clawback provisions
 Monitoreo permanente. Alarmas. Auditoria
 Gestión de quejas

62. C Level+Board:
Promover la buena
cultura y contexto
de gestión de GRC
Line Mgmt:
Gestionar riesgos y
monitorear el
cumplimiento
Audit: Evaluación
de riesgos y
controles,
recomendaciones

63. 6. 3 Barreras en Compliance

64. 6 ¿Cuándo se cumple una norma?
… y cuando el
sujeto de los
requerimiento
percibe estos
3 factores
Cuando hay
altas
probabilidades
que se detecte
una violación
Cuando la
respuesta a
una violación
sea rápida y
predecible
Cuando la
respuesta a
una violación
incluye una
sanción
apropiada

65. 6. La dimensión psicológica

66. 6. Tips al formalizar
 Un sistema normativo uniforme para todos
 Alineada a riesgos …
…. alineados a regulaciones

67. 6. Tips al formalizar
 Designar un dueño de la política que negocie y
tenga input con quienes deberán controlar
 Integrar políticas a valores, SOX y entrenamiento
 Preservar la discreción del management
 Flexibilidad en las acciones disciplinarias
 Actualizar políticas

68. 6. El sistema normativo
CoCo
Políticas
Procedimientos
Instructivos
Formularios y Registros

69. 6. Ciclo de Vida de una
Política
Colabora
Autor
Aprueba
Publica
/ Constancia
Recepción
Revisa
Detecta
necesidad

71. +. Monitoreo
 Actualizar el mapa ante riesgos emergentes por
cambios en la operatoria, el tratamiento de
riesgos y en regulaciones.
 Necesidad de seguimiento del directorio (y de
compliance en generar la información)
 Necesidad que el directorio actualice el nivel de
tolerancia al riesgo
 Recomendable: Cada 6 meses

72. +. Monitoreo: CSA
 El Control Self Assesstment en Compliance
 Autoevaluación anual por gerentes y directores
 Común y especifico por línea de negocios y países
 Vinculado al universo de riesgos (corrupción,
insider trading, export controls,…)
 Estado actual y reporte de eventos (base de
violaciones normativas)
 Orienta riesgos y nos da métricas

73. +. Comunicación
 Detrás de mucha comunicación, hay mucho
costo
 La comunicación incluye el entrenamiento
 Riesgo: hablar en “legalesco”
 Consejos:
 Explicar riesgos a las responsabilidades de la mínima
cantidad de empleados que deben saber.
 Abarcar empleados de alto riesgo

74. Matriz de riesgos y controles
Proceso Procedimiento Actividad Control
Nómina Envío de datos
al sistema
Verificar
integridad y
exactitud de
datos
Aprobaciones de datos fuentes
Revisión log interfaces
Creación o
cambio de
contratos
Firma de
contratos
laborales o
addendums
Aprobación de modelos
Firma de contratos
Terminación de
empleados
Aprobar las
condiciones de
finiquito
Aprobación de cálculos

75. Matriz de riesgos y controles
Proceso Procedimiento Actividad Control
Preparación de
cuentas
Identificar
impuestos
Listar todos los
impuestos que la
empresa está
sujeta
Analizar
consecuencias
fiscales de tipos
de operaciones
Verificar que se utilizan
consultores fiscales referidos
Recon. impositiva vs contable
Aprobación cómputos
Monitoreo de legislación
Justificación de imp. diferidos
Verificación tasa IVA por
actividad
Test recuperabilidad de IVA

76. Matriz de riesgos y controles
Proceso Procedimiento Actividad Control
Determinación
del alcance de
los controles
financieros
Guia del control
interno
Análisis y
revisiones de
controles internos
y seguimiento de
recomendaciones
Verificar que toman las
deficiencias de diseño y
cumplimiento
Verificar que el management
tiene comunicación de
deficiencias
Firma del Co.Co
Respeto de linea de denuncia
Proceso de cierre de cuentas
Políticas de contratación

77. Programa de ética y cumplimiento
 Objetivo de minimizar los riesgos de una
conducta ilegal.
 Liderado por el Chief Compliance Officer
 Ajustarlo a cada empresa y filial
 Cubra a agentes, proveedores, contratistas,…
 Para ser efectivo: énfasis en auditoría/monitoreo

78. Programa de ética y cumplimiento
“Estamos bien, nunca hemos tenido una problema
serio de compliance”
“Esa clase de problemas lo sufren otros, nosotros
somos más inteligentes, chicos,….”
“Ya tenemos nuestro código de ética, hotline y
muchos procedimientos, ya estamos cubiertos.”
“Es un tema de legales/consejo legal, es su
responsabilidad asegurarse el cumplimiento con
todas las regulaciones.”

79. Programa de ética y cumplimiento
Código de ética
Hotline/Whistleblower
Reclutamiento de las personas correcta
Educación y entrenamiento
Comunicación a directores

80. AS 3806:2006 Compliance programs
 Generar una política de compliance aprobada por
dirección
 Designar a responsables específicos para cada
obligación
 Identificación anual de riesgos de compliance
(compliance risk profiles)
 Reporte anual de incidentes de no compliance
 Entrenamiento de empleados y contratistas

81. AS 3806:2006 Principios

82. AS 3806:2006 Ej Estructura

83. Programa de ética y cumplimiento

94. Constancia de recepción,
lectura, entendimiento, conformidad,…

95. Compliance Audits
 Compliance es efectiva si tiene credibilidad de
prevenir riesgos y pérdidas
 Un control es inefectivo si se percibe como
esporádico
 Si las auditorias de compliance aumentan, el
costo de compliance per cápita disminuye
 Diseño de controles preventivos y automáticos

96. Compliance Audits
Auditoria
• ¿Hacemos lo que
decimos que
debemos hacer?
Compliance
• Si hacemos lo
que decimos que
hacemos, ¿qué
requerimientos
vamos a cumplir?

97. Compliance Audit - Protocolos
Regulatorias
ISOs
Contractuales IT
Financieras
SOXTax
HS&E
OSHAS

99. Business Intelligence
Reportes
Interactivos
KCIs / KRIs
Alertas & Red
Flags
Exploración &
Investigación
Visualizaciones
& Dashboards

101. BI – Anti-boycott
Israel*, blacklist*,
boycotti*, Jew*, “are
not of”, “are not
acceptable”,” Arab
Ports”, “Arab
League”,…
AKKP-AKKTP=1LoC
AKKP-LCRESTRIC=Leng. A/B
KNA1-LAND1 matched to
AKKP-KUNNR=AE, BH, DZ..
AE Algeria
BH Bahrain
DZ Djibouti
EG Egypt
IQ Iraq
JO Jordan
KM Kuwait
KW Lebanon
LB Libya
LY Mauritania
MA Morocco
MR Oman
OM Pakistan
PK Qatar
QA Saudi Arabia
SA Somalia
SD Sudan
SO Syria
SY Tunisia
TN United Emirates
YE Yemen

102. BI – Rel.Laborales Encubiertas
Fecha Factura Proveedor Imputa Monto
2/1/2013 0000015 John Doe Consultoría 4000
4/2/2013 0000016 John Doe Consultoría 4000
3/3/2013 0000017 John Doe Consultoría 4000
8/4/2013 0000018 John Doe Consultoría 4000
4/5/2013 0000019 John Doe Consultoría 4000
9/6/2013 0000020 John Doe Consultoría 6000
ΔMes → 1 σ Fct → 0 σ Mnt→ 0

103. Compliance Hotline
 Requerida por SOX 304
 En la EU: sólo para reportar cuestiones de
contable, auditoría, corrupción y controles, pero
no para cuestiones de privacidad de datos.
 Terciarización
 Por email o portal web

104. Tipos de Denuncias
Contabilidad, auditoria y finanzas
• Fraude contable, controles internos, reporte de gastos
Integridad comercial
• Corrupción, falsificación de documentos, fraude
De ambiente laboral (numerosas)
• Discriminación, abuso, compensaciones, generales de gestión de personas
HSE
• Incumplimiento de normas de seguridad/OHSAS, seguridad,
Apropiaciones indebidas
• Uso de computadores, robo, alteración de horas

106. ¿Porqué aumentan las denuncias?
 Entrenamiento e iniciativas de comunicación
 Cambios de políticas (esp. de RH)
 Que la prensa cubra escándalos en competidores
 Qué haya un problema real
 Que hayan rumores de despidos y
reestructuraciones
 Cambios en regulaciones

107. Federal Sentencing Guidelines
 Conjunto de criterios de defensa uniformes
(1991)
 Para todas las organizaciones públicas o privadas
 Puede reducir las multas potencialmente hasta
un 95% por tener un programa efectivo de ética y
compliance

108. Federal Sentencing Guidelines
 Distribuir el CoCo no es suficiente
 Proveer a todos los empleados y gerentes
entrenamiento efectivo sobre ética y
cumplimiento legal
“Prosecutors should … attempt to determine whether a corporation's compliance
program is merely a ‘paper program’ or whether it was designed, implemented,
reviewed, and revised, as appropriate, in an effective manner.”
US Department of Justice
Principles of Prosecution of BusinessOrganizations

109. Dodd-Frank Act 2010
 Mejora la protección a whistleblowers
 Incentiva a reportar violaciones a la Securities
ExchangeAct (10 a 30% de la sanción si es más de 1M USD)
 Excluye a directores, auditores internos y
compliance
 Reporte de información original y conocida de
primera mano
 Aumenta la carga de la prueba en los
empleadores
 No requiere el uso de la hotline interna

110. Privacidad de Datos
 ¿Qué debemos proteger?
 De clientes: Información no pública como número de
identificación, fechas de nacimientos, direcciones,
teléfonos, nacionalidad, características físicas, nros.
Tarjetas, historia crediticia, datos económicos,
firmas,…
 De Empleados : Información no pública incluyendo
historia laboral y de nuestro reclutamiento,
certificados, licencias,…

112. Privacidad de Datos –
Auditoria
 Consentimiento de obtención
 Registro de bases
 Seguridad de almacenamiento y encriptaciones
 Accesos lógicos
 Transferencias de datos
 Destrucción

113. Prácticas Corruptas Elementos
1) Un individuo, compañía, oficial público, o
agente actuando en nombre de una firma con
2) La intención de corromper
3) paga, promete o ofrece pagar dinero o cualquier
cosa de valor
4) a un oficial público, partido político o candidato
del extranjero
5) para obtener o mantener un negocio, o una
ventaja injusta en el extranjero.

114. Prácticas Corruptas
 Esfuerzos a países de alta percepción s/Transparency
 Revisión de Gift andTravel & Entertainment
 Comparar márgenes y comisiones a agentes e
intermediarios
 Operaciones con gobierno y oficiales públicos
 Contribuciones políticas
 Revisión de consultores (afiliación)
 Revisión cuentas con riesgo, ej licencias, permisos,
comisiones, donaciones, consultoría, honorarios,
reintegro de gastos,…
 Due diligence de terceras partes
 Entrevistas con personal de desarrollo de negocios,
supply chain y aduanas, agentes,..

115. Prácticas Corruptas Red Flags
 Pagos a un país con larga extensión de corrupción
 Pagos sin un contrato
 Contratos a consultores, agentes e
intermediarios relacionados a oficiales públicos,
sin estructura para llevar el servicio, con mala
reputación, nuevos en el negocio, sin
referencias…
 Tarifas más altas que el promedio del país
 Pagos por métodos “heterodoxos” (ej. fuera del
país, solicitando cheques al portador,…)

116. Conflictos de Interés
 Divergencia real o aparente entre intereses
personales y de empresa
 Procedimiento para identificar y reportar (y
eventualmente evitarlos o controlarlos)
 Empleo externo, regalos y entretenimiento,
 Registro, declaración de interés, aprobación
 Doble linea de reporte

117. Retención de Documentación
 Estandarizar periodos de retención para
necesidades legales, fiscales, regulatorias, de
negocios y de auditoria
 Estrategia:
 común a todos los países o con cuadros específicos,
 global o capítulo en políticas (email, bkups,…)
 Inventario de documentos  Clasificaciones
 Electrónicos y manuales, vitales o transitorios
 Litigios en cursos

118. Sanciones
 Clientes, proveedores, bancos y empleados
informados por regímenes de sanciones (OFAC;
ONU, )
 Lista Specially Designated Nationals List (SDN)
 Penas entre 250 K USD a M USD
 Endurecimiento de relaciones con el régimen de
Irán y Siria (com. exterior y financiamiento)

121. Protocolo de Investigación
 Objetivos:
 Evaluar un posible delito o mala conducta
 Preservar la evidencia
 Identificar posibles testigos
 Responsable: imparcialidad y competencia
 Determinar factores que la inician
 Determinar asesoramiento legal externo y
denuncia policial
 Apertura y cierre (tiempos, reportes)

122. Valuación del Riesgo Legal
González vs Gómez
Con causalidad
50%
Daño grave
50% - € 10 Indem
50%*50%*10
€2.5
Daño menor
50% - € 5 Indem
50%*50%*10
€1.25
Sin
causalidad/perjuicio
50%
€0
Valor Esperado:
€ 3.75
Riesgo (desvío) o a 10

123. Valuación del Riesgo Legal
 Agregados al modelo de DecisionTreeAnalysis.
 Costes de litigio
 Costos reputacionales
 Tiempo del dinero
 Impacto impositivo
 Apelaciones
Hay modelos más sofisticados que analizan los factores
de cada escenario (ej. Competencia de cierta

124. Selección de Proveedores
 Corporativo & mercantil: Cobros, poderes,
comercial, internacional
 Fiscalidad: Presentaciones, inspecciones, precios
de transferencia, crédito fiscales
 Administrativas: licencias, inspecciones, multas,
tramites de adjudicaciones
 Defensa: patrocinios, abuso de autoridad,
amparos

125. Confidencialidad
 Secreto profesional abogado/cliente
 Tradicionalmente confidencial:
 comunicaciones de asesoramiento legal
(abogado/cliente e internas entre gerentes)
 producto del trabajo: preparación de litigios
 Asegurarse de incluir:
 Otros asesoramientos (ej. sobre negocios)
 Documentos prexistentes

126. Responsabilidades
 Debida diligencia: Competencia y supervisión
 Confidencialidad
 Ausencia de conflictos de interés
 Excluir asesoramiento sobre prácticas ilegales

127. Recomendaciones
 Efectuar referencias
 Entrevista con consultores legales por área
 Background check de consultores
 Visita/Revisión seguridad centro de cómputos y
oficinas
 Seguro contra negligencia profesional