Compliance management systems: cómo establecer procedimientos y medidas de control para supervisar, gestionar y monitorizar el cumplimiento normativo • Risk Assessment: cómo evaluar las vulnerabilidades legales en materia de cumplimiento normativo de cada una de las áreas de la organización > Claves para la identificación de los riesgos > Cómo determinar los objetivos de Compliance y alinearlos con la estrategia empresarial • Creación de nuevas políticas y códigos de conducta > El código ético como base para el resto de políticas: claves para su diseño y redacción > Aspectos a tener en cuenta para lograr una articulación de políticas: claves para la priorización de normas • Difusión del sistema: qué instrumentos son los más adecuados para asegurar que los empleados conocen y entienden qué se espera de ellos > Ámbito legal. Cómo acreditar el conocimiento y aceptación por parte de los empleados > Ámbito cultural. Cómo incentivar y premiar el cambio de conductas > Auditorías periódicas de revisión del comportamiento profesional: cómo articular un sistema disciplinario • Documentación del modelo. Cómo asegurar la trazabilidad de las medidas adoptadas de cara a un hipotético proceso judicial como Corporate Defense • Certificación del sistema: qué certificaciones y estándares son los más aceptados a nivel jurídico • Auditoría Externas: cuándo y cómo deben encargarse y realizarse • Los “Compliance Ambassadors”. Cómo gestionar y construir una red de colaboradores en departamentos y sucursales • Gestión de incidencias Compliance de compras: ¿cómo cuantificar los riesgos asociados a las relaciones comerciales con proveedores de productos y servicios? • Procedimientos para la Due Diligence del proveedor: ¿cómo implantar un sistema de “Know Your Supplier”? • Qué elementos se deben tener en cuenta en una auditoría de socios, contratos y joint ventures • Compliance de contratos: políticas de control de los procesos de adquisición de bienes y servicios Hernan Huwyler Dirección de Control Interno y Gestión de Riesgos VEOLIA

1. Compliance Management
Systems
01. ¿Cómo evalúo el riesgo de
compliance?
Hernan Huwyler – 27 Enero 2016

2. Audit SOX ACCG
Risks
SAP/IT
Compliance

3. Hoja de Ruta
Matrices de control
y su supervisión
Reevaluar
Disciplina

4. FCPA
Protección de
activos
Antitrust Insider trading Privacidad
Controles de
exportación
Retención de
documentación
Seguridad de
información
Compensaciones
y bonos
Reporte
Sarbanes Oxley HSE
Discriminación y
acoso laboral
Integridad
financiera
Contratos con el
gobierno
Propiedad
intelectual
Uso de tecnología
3rd Party
management
Prácticas
comerciales
Ética
Taxonomía Compliance
Normas
voluntarias

5. Áreas de Riesgos
Relaciones con
√ Administración pública y
funcionarios
√ Regulador y CNMV
√ Hacienda
Gestión de
√ Información confidencial
√ Datos, sistemas y tecnología
Relaciones con
√ Proveedores
√ Clientes
√ Empleados y candidatos
√ Inversores
Interacción
√ Con el medioambiente
√ Ente partes: conflictos de
interés

6. Universo de Riesgos
Contra el Patrimonio
- Estafas y fraudes
- Insolvencias
punibles
- Daños informáticos
/ hacking
- Contra la propiedad
intelectual
- Contra el mercado
- Revelación de
secretos
- Facturación
fraudulenta
- Falsedad en
medios de pago
- Información
privilegiada
Contra el Fisco
- Contra la
Hacienda Pública y
la Seguridad Social
- Blanqueo de
capitales
- Ciertos casos de
contrabando
Contra la Seguridad
Pública
- Contra la salud
pública
- Construcción ilegal
- Contra el medio
ambiente
- Relativos a la
energía nuclear y a
las radiaciones
- De riesgo
provocado por
explosivos
- Tráfico de drogas
- Contra la intimidad
y allanamiento
informático
Contra la ética
- Corrupción
privada: relativos a
la corrupción en los
negocios
- Cohecho: dádivas
y sobornos a
funcionarios públicos
- Corrupción de
funcionario extranjero
- Tráfico de
influencias
-Financiación ilegal
de partidos políticos
- Acoso laboral
- Delitos contra la
intimidad
- Publicidad
engañosa

7. Universo de Riesgos
Contra el Patrimonio
CFO
CIO
CISO
Data Protection
Officer
Contra el Fisco
Head of Tax
Contra la Seguridad
Pública
COO
HS&E
Contra la ética
CEO
Compliance
Auditoria Interna
Dir. Comercial
Unidad de Cumplimiento
Legales
Corporate Defense
ExCom

8. Corrupción pública o
privada
Abuso del mercado
Mapa de Riesgos - Ejemplo
Brindar servicioGeneración contrato Facturación Cobro
Fraude a seguridad social Fraude fiscal
Falsedad de medio de
pago
Blanqueo de capitales
Entrega de sobornos
Acuerdos de precios
Simulación laboral Deducciones indebidas Lavado de dinero

9. Mapa de Riesgos - Ejemplo
Entrega de sobornos
Acuerdos de precios
Simulación laboral Deducciones indebidas Lavado de dinero
Control de revisión de
cuentas de gtos
representación
Política antitrust
Control aprobación de
cálculo fiscal
Control cruzado Tax vs.
Payroll
Control aprobación de
cálculo fiscal
Know Your Customer
Comercial Tax + Payroll Tax Gestión de clientes
Tesorería
Reforzar: Business
Intelligence
Reforzar: Auditoria
Fiscal

10. Alcance del Mapa
¿Nos quedamos solamente dentro España?
- Filiales internacionales y otras sociedades subholdings
- Joint ventures
- Descentralización de funciones ejecutivas (ExComs por país)
¿Incluimos solamente los delitos atribuibles a
una persona jurídica?
- Ley del mercado de valores
- Ley de trasparencia
- FCPA
- Leyes similares en el mundo (ej. Europa (-DE), US, y
Chile)
- Legal + Ético (nuestra forma de hacer negocios)
¿Podremos sumar este trabajo a otra iniciativa en curso?
- Departamento de riesgos
- Departamento de Prevención del Fraude
- Auditoria interna (riesgos sobre procesos e investigación de fraudes)
- Departamento de compliance

11. • Regiones
geográficas
• Profundidad
(Seniority)
• Unidades de
negocios
• Legal, Fi, HR,
IT, expertos,
consultores,
investor
relations
Alcance del Mapa

12. Top
Down
Bottom
Up
Registro
Riesgos
Fq %
Im$
Alcance del Mapa

13. Mapa de Riesgos
1 Identificar riesgos
2 Evaluación de
impacto y frecuencia
Eventos que afectar los
riegos del universo de
compliance
Impacto: costo más probable
de no- compliance
Frecuencia : probabilidad de
darse los factores de riesgos
al momento del análisis en un
horizonte de tiempo
3 Priorización de
riesgos
Criterio para decidir que
eventos son más críticos de
controlar (mapa)
4 Planes de
mitigación
Seguimiento del progreso de
los planes de acción
Reevaluación frecuente
Alta criticidad
Seguimiento
Watch-List
Criticidad

14. Mapa de Riesgos - Impacto
 Multa en proporción al daño/cuantía del delito
 Disolución de la persona jurídica
 Suspensión de sus actividades
 Clausura de sus locales
 Prohibición temporal o definitiva de realizar las actividades en cuyo
ejercicio se haya cometido el delito
 Inhabilitación para obtener subvenciones y ayudas públicas, para contratar
con el sector público y para gozar de beneficios e incentivos fiscales
 Intervención judicial para salvaguardar los derechos de los trabajadores o de
los acreedores
Mensaje
No podemos asociar la cultura de compliance solo a una sanción penal

15. Directas e inmediatas
• Pérdida por defraudación
• Ineficiencias y/o discontinuidad de operaciones
Directas y mediatas
• Indemnizaciones a terceros
• Multas y sanciones
Indirectas
• Costo de investigación
• Ajustes fiscales
Reputacionales
• Pérdida de competitividad, moral, clientes, socios, licencias, y contratos
• Pérdida del valor de mercado
Mapa de Riesgos - Impacto

16. Score 1 2 3 4 5
Multas, daños e
indemnizaciones
< 1% de las
ventas
1% al 3% de las
ventas
3% al 5% de las
ventas
5% al 10% de
las ventas
> 10% de las
ventas
Reputacional
Sin exposición
o daño
Impacto negativo
localizado pero
recuperable
Cobertura en
medios o
reguladores
local
Cobertura en
medios o
reguladores
nacional
Cobertura
sustancial en
medios o
reguladores
nacional
Operacional
Sin pérdida de
negocios u
operaciones
Visible pero
gestionable
fácilmente
Daños a
clientes o
grupos de
interés
Impacto severo
a la
performance
Impacto
catastrófico a la
BU
Mapa de Riesgos - Impacto

17. Mapa de Riesgos - Frecuencia
Score 1 2 3 4 5
Descripción Casi imposible Rara Posible
Incidentes
aislados
Incidentes
repetitivos
Tiempo
< Una vez
cada 5 años
< Una vez cada
año Una vez al año
Una vez al mes
Una vez a la
semana
Probabilidad < 1% 1% al 5% 5% al 10% 10% al 20% > 20%

18. Mapa de Riesgos – 3er Variable
• Velocidad del Riesgo: Tiempo entre el evento de riesgo y
tener que pagar el impacto (ej. tiempo en aplicar una multa
por el regulador). Beneficio: priorizar acciones
• Duración del Riesgo: Persistencia del riesgo en el tiempo
(ej. inspecciones largas).
• Nivel de Control: Posibilidad que gestión para disminuir el
impacto o la frecuencia del riesgo (ej. proceso ya
documentado). Beneficio: margen de reducción
• Grado de Entendimiento: Seguridad en valuar el impacto
y la frecuencia (ej. riesgos emergentes)
La 3er variable siempre está
contemplada en impacto o
frecuencia

19. Área Riesgo legal Regulación /
Ley
Área
Funcion
al
Impacto Frec. Score Contro
l
Clasif.
ImpactoPrácticasdecomercioexterior
Sobornos en el
extranjero
FCPA Foreign
Corrupt
Protection Act
Ventas 5 1 5 4 Reputacional
Aduanas Leyes
aduaneras
Ventas 1 3 3 2 Operacional
Control de
exportaciones
OFAC Office of
Foreign Assets
Controls
Ventas 2 2 4 5 Operacional
Exportaciones de
productos con
doble uso
Reg. UE
428/2009
Ventas 4 4 16 5 Operacional
Boycott no
sancionado a un
país extranjero
Anti-Boycott Act Ventas 2 2 4 4 Operacional
Exp/Imp de
químicos
peligrosos
Reg. UE
649/2012
Ventas 3 4 12 1 Operacional
…. … … ….

20. FCPA
Trade
Restrictions
Reg. UE
428/2009
Reg. UE
649/2012
OFAC
Anti-Boycott
Aduanas
1 2 3 4 5 Fq
Impacto
12345
Mapa de Riesgos

21. Mapa de Riesgos – Alternativa
Puntaje Interno
Fraude
- Operativo
- Contable
Corrupción
Daños
Informáticos
….
Calidad de
Controles
Documen-
tación
Entrena-
miento
Centrali-
zación
Sistema de Puntos
1 a 5
Medidas Efectivas a Inefectivas
Respaldado por Director de Área
Puede ser ponderado (ventas de la unidad, número
de empleados,…)

22. Planes de Acción
Exposición a un delito
tomando en cuenta los
controles actuales
Medidas a implementar Recursos a asignar
Controles
Políticas
Sistemas
Conocimiento
Autoridad
Coordinación política
entre departamentos
Presupuesto con
responsable, tiempo e
indicadores
Cargos

23. Reportes al ExCom
Mapa de Riesgos
Penales
Por Áreas
Por País
Por Año
Seguimiento de Planes
de Acción
Planes
Presupuestos
Grado de Avance
Indicadores de Riesgos
Claves (KRIs) Penales
Ejemplos:
Multas por Revenue
Multas por Volumen
Denuncias por
Empleado
Fraude por Empleado
% Completar Cierto
Programa Educativo

24. Compliance y Estrategia
 La estrategia de crecimiento requiere gestionar todos los riesgos y grupos de
interés
 La valuación de los riesgos penales debe ser parte de la planeación
 Compliance debe identificar riesgos en todos los ciclos empresariales
 Actualización frecuente del programa de compliance
 Planes de acción frente a incidentes de compliance
 Comenzar por entrenar para luego ser una fuente de información (“la voz de
la conciencia”)
 Vender por lo que se puede perder (reputación, riesgo informático, fraude)
antes de lo que ganar (sostenibilidad, transparencia, cultura)
 Compliance como mejora continua

25. Lo que el Compliance Officer dice
Nuestro programa de
cumplimiento es clave para
asegurar a seguir para los
riesgos de compliance y la
obtención al largo
plazo.
la línea
de resultados

26. y lo que el directorio escucha
Bla bla bla bla bla bla bla bla bla
bla bla bla bla bla bla bla bla bla
bla bla bla bla bla bla
bla bla bla bla
bla bla bla la
bla bla bla bla
la línea
de resultados

27. Compliance Management
Systems
01.A Caso Práctico
Hernan Huwyler – 27 Enero 2016

28. Empresa Distribución Eléctrica
Objetivo del caso:
 Proponer un mapa de riesgos penales
Información de base:
 Empresa local de distribución eléctrica de baja tensión, 1.000 empleados
 Accionariado: 20% Dubai Investment Authority, 5% BBVA, 75% bolsa
 Estructura de gobierno formada por la junta de accionistas, un consejo de
administración con 50% de miembros independientes y comisión de auditoria
y remuneraciones
 Objetivos de gobierno: confiabilidad, sustentabilidad, preservación ambiental,
y liderazgo, desarrollar canales de diálogo social y con accionistas, política
remunerativa moderada y medida por performance

29. 1. Alcance Delitos Susceptibles
Riesgo Penal Impacto Frecuencia Exposición
Contra el mercado y consumidores 5 5 25
Publicidad engañosa 5 3 15
Estafa propia e impropia 5 3 15
Delitos contra la Hacienda Pública 5 3 15
Delitos contra la Seguridad Social 4 3 12
Delitos contra los recursos naturales y medio
ambiente
4 3 12
Abuso de información privilegiada 5 2 10
Cohecho, corrupción entre particulares 5 2 10
Venta fraudulenta de facturas 4 2 8
….
Delitos relativos a la energía nuclear n/a n/a Excluir
Tráfico de personas y órganos n/a n/a Excluir

30. 2. Asignación a Procesos
Procesos alcanzados
Gestión comercial y de
mercadeo
Distribución
Medición y facturación
Gestión de recursos
humanos
Contratación de
productos
Contabilidad y
fiscalidad
IT y seguridad de
información
Gestión de reclamos de
usuarios

31. 2. Asignación a Procesos
Contratación de productos
Campaña de marketing
Consulta de
potenciales clientes
Presupuestación de
oferta
Pedido de alta de
cliente
Objetivos de ventas y
creación de productos
Scoring y evaluación
del cliente
Ofrecimiento de
servicios adicionales
Corrupción particulares:
Agente comercial ofrece
comisión encubierta
Delito contra el mercado:
Acuerdo de distribución de
zonas con competidores
Publicidad engañosa:
Manipular cifras de
supuestos ahorros
publicitados
Fraude: Presupuestar a
futuros clientes
descuentos y condiciones
imposibles de obtener
Soborno: En inspección
posterior del regulador, se
ofrece dinero para “olvidar
una falta”
Corrupción particulares:
Cliente ofrece dinero a
comercial para calificar
Contabilización
Delito contable: Falsear
el número de clientes y
adelantar el
reconocimiento de
ingresos

32. 3. Registro de Riesgos
Riesgo Penal Factores y supuestos - Propietario Impacto Frecuencia Exposición
Contra el mercado y
consumidores
Acuerdo de distribución de zonas con
competidores – Dir. Comercial
250k 10% 25k
Publicidad engañosa Manipular cifras de supuestos ahorros
publicitados, atribuir al producto condiciones
que carece – Dir. Comercial
200k 20% 40k
Corrupción
particulares
Agente comercial ofrece comisión encubierta
– Dir. Comercial
25k 50% 50k
Impacto
0% Frecuencia
300k
100%
Contra mercado
Publicidad engañosa
Corrupción

33. Impacto
0% Frecuencia
300k
100%
Contra mercado
Publicidad engañosa
Corrupción
4. Articulación de plan de acción
Pérdida de información (ej robo
portátiles)
Fraudes menores de empleados (ej. mal
rendición de gastos)
Malversación de fondos de empleados
Seguimiento en Casa Matriz
Seguimiento en Filiales
Seguimiento en Casa Matriz
+ Soporte Externo
Incumplimiento normas
CNMV (ej. notificar hechos
relevantes, SCIIF)

34. 4. Plan de acción
Riesgo Penal Controles actuales Medidas Encargado Fecha
Corrupción
particulares
Supervisión de agentes
comerciales
Firma del código de
conducta
Implantación del canal de
denuncias
Inclusión de clausulas en contratos
laborales
Revisar el código de ética para
detallar precisamente los riesgos
del proceso de contratación
Formación sobre ética
Compliance
Officer
2H 2016
Publicidad
engañosa
Aprobación de productos y
campañas
Implementar una política de
comunicación de productos
(compatibilidad , consistencia e
integridad de la información,
explicación de términos y
condiciones, publicidad correctiva
en caso de observaciones,
aprobación de operaciones de
promesas de tiempos de conexión)
Dir. Marketing 1H 2016

35. 5. Reporte
Inversores Dubai Investment Authority
BBVA
Comisión Nacional del Mercado de
Valores
Reportes de Riesgos Penales
Planes de acción del ExCom
Reportes de Riesgos Penales
Publicaciones Gob. Corporativo en
Intra/Internet
Canal ético
Internos Comité Ejecutivo
Mapa de Riesgos y Planes de Acción
KRIs Key Risks Indicators
Compliance KPIs

36. Compliance Management
Systems
02. Código ético y políticas
Hernan Huwyler – 27 Enero 2016

37. 1. Definir responsabilidades
lll lll
2. Integrar regulaciones a procesos

3. Monitorear cumplimiento
Integración al Sistema Normativo

38. Estrategia
Programa de
Compliance
Procesos
Sub-Procesos
Gente Sistemas Activos
Integración Sistema Normativo
Compliance
Interno
Compliance
Externo

39. Código Ético
Políticas
Procedimientos
Modelos & Manuales
Integración Sistema Normativo
Instrucciones
técnicas
Especificaciones
técnicas
 Normas de ciclos
 Normas de procesos
 Normas de
actividades

40. Claves
Norma de Normas
Debemos definir quién es
responsable de dar y aprobar
normas
Designar un custodio del sistema normativo (ej. operaciones y métodos)
Designar un dueño de cada tipo de política que negocie y tenga input
Integrar políticas a valores, el marco de control (ej SOX) y entrenamiento
Preservar la discreción de los gerentes
Mecanismo de “waiver” de cumplimiento
Prever un mecanismo de actualización políticas
Calidad de redacción: Guia a empleados sin jerga y tecnicismos
Un mismo sistema para todos y todas las regulaciones
CoCo
Pol
Proc

41. Regulaciones Estándares Políticas
SOX SCIIF
ISO
6σ
CoCo
ISO 19600
10500
31000
COSO
COBIT
Monitoreo
continuo
Desarrollo
normativo
POLs
PRCs
Métricas
integradas

42. Impreso
Digital – Intra/Internet
Entrenamiento
Código Ética
Introducción por CEO mencionado valores
Guia para la toma de decisiones de todos
Lenguaje directo, dinámico y traducido
Validación RM+Legal+HR+Com+Bus+…
¿Dudas? Al compliance officer
Difusión
Disciplina y tolerancia cero
Línea de denuncia
Acciones

43. Retención de Documentación
Remuneraciones a Directores
Donaciones, Contribuciones a Partidos Políticos
Patrocinio
Drogas y Alcohol
Uso de Redes Sociales
Cuidado Ambiental
Agentes, Distribuidores, Representantes y Proveedores
De sistemas (seguridad, antivirus, passwords, wifi, email..)
Política de Viajes
Préstamos a Empleados
Due Diligence de Clientes
Tarjetas Corporativas
Comunicación
Protocolo de Crisis
Políticas de Compliance

44. Insider Trading.
Código Ética Financiero
Normas especificas contables
Reporte exacto, completo y a tiempo
a los reguladores y demás usuarios
Alcance:
• CFO
• Responsables impuestos, control,
reporting, auditoria interna
• Equipos
• Consultores
Consecuencias
Responsable al empleado por:
Normas y estándares
Negocio
Revisión crítica de controles
Entrenamiento
específico

45. Protocolos de Actuación
Reglamento del Consejo
de Administración
Acciones previas a la decisión
demostrando debida diligencia
Informes internos necesarios:
Financiero: TIR, endeudamiento
Técnico: operaciones
De riesgos jurídicos, impositivos, estratégicos y otros
Otros informes de alternativas y escenarios
Solicitud de asesoramiento externo
Jurídico especializado
Orden del día, sistema de votación,…
Proyectos, Inversiones y Compras de Empresas
Informe de impacto ambiental
Estudios de ambientales
hidráulico,
de patrimonio cultural,..
Informe de control de contaminación
Autorización ambiental integrada
Ley de Evaluación Ambiental
Informes necesarios:
Viabilidad de nueva empresa
Valoración de aportes en especie
Valoración de acciones y aportaciones
De auditoria de due diligence
De modificación de estatutos
Ley de Sociedades de Capital

46. Amplia casuística .
Conflictos de Intereses
Casos no exhaustivos:
• Interés económico directo o indirecto
• Conexiones comerciales
• Relaciones personales
• Expectativas futuras (conflictos potenciales)
- poder ser un empleado
- recibir un préstamo
• Prohibir una ventaja personal por la
la relación con la empresa
• Declararlos a una unidad responsable
Desafíos
Consultoría con empresas relacionadas
Inversiones en empresas relacionadas
Miembros de familia
Consensuar la resolución
del conflicto
En forma temprana
Cambios de proyectos
Dejar de hacer

47. Delegación de Autoridad
Accountable
R Responsible
→ hacer
A Accountable
→ decidir y rendir cuentas
C Consult
→ necesario para decidir
I Inform
→ necesita saber la decisión
Responsible
Internos
Externos
Demarca la responsabilidad
Comunicación sin ambigüedad
Identifica problemas
Ordenamiento de políticas siguientes
Prevención del fraude
Registro de
Delegaciones

48. Y todo eso terminó cuando todos,
le echaron la culpa a alguien,
cuando uno de ellos debió hacer
lo que nadie hizo.
¿Os suena familiar?

49. Delegación de Autoridad
Herramienta Matriz RACI - Ejemplo
Poder
Encargadodeproyectos
Encargadodeingenieria
Encargadodecontrataciones
Directordeventas
Gerentedeoperaciones
Directordeingenieria
Gerentedecompras
Gerentedeproducción
1.0 Completar una orden de trabajo
1.1 Generar una orden de trabajo N C R A C I I I
1.2 Planear y gestionar una orden de trabajo N R A C I
1.3 Efectuar la ingenieria del proyecto N C R A I
1.4 Producir los elementos del proyecto N R C A
1.5 Instalar los elementos del proyecto N R A
1.6 Completar la puesta en marcha N R C A C I
1.7 Obtener la certificación del cliente N R I A I C

50. ¿Cómo
gestionamos
una denuncia?
Canal de Denuncias
Objetivo
Ayuda a resolver una cuestión ética
Reporte de potenciales infracciones:
• Al código de ética
• Delitos
• Fraude
• Cuando se pone en peligro la seguridad
Registro y adjuntar los datos brindados y pruebas
Evaluación preliminar: procede o desestima
Investigación: El denunciante lo hace porque cree habrá una investigación
Comunicación de la conclusión
• probada
• infundada buena fe
• infundada mala fe
Comité de ética: involucramiento de la alta dirección por cultura
Alcance
Directores, empleados, contratistas,
pasantes, proveedores, y clientes
Confidencialidad - ¿Anónima?
Sin represalias por buena fe
Medios: teléfono, email, correo, sitio

51. Claves
Política de Anti Corrupción
Cero tolerancia a la corrupción
activa y pasiva
Los pagos facilitadores es recomendable que sean solamente dados en caso
de riesgos de vida inminente de un empleado.
Vincular el control de esta política a controles financieros y orientarla a riesgos
por jurisdicciones, tipos de transacciones e involucrados (ej. oficiales)
Incluir el uso de agentes e intermediarios, así como de JVs
Directas e indirectas
Diferencia entre pago facilitador y sobornos
Una empresa
que paga
sobornos deja de
controlar sus
negocios

52. Claves
Hospitalidad y Regalos
Se permiten si:
 no influencian en una decisión
 cumplen la ley
 no son en efectivo
 comunes a la circunstancia
 no involucran a empleados públicos
Dar un valor de referencia de un regalo aceptable (usualmente 100 euros año)
Dar cuotas en valores para hospitalidad por nivel jerárquico y departamentos
Aprobación de atención a eventos y regalos al superior
Prohibir ciertos tipos de entretenimientos (finalidad de negocios legítimos o que
beneficien a la empresa)
Cubrir que gastos de promoción cubrimos a clientes o potenciales
Prever la recepción y el otorgamiento
Razonables
Apropiados

53. Claves
Uso de Activos
Los empleados deben proteger:
Los activos físicos bajo custodia del robo y mal uso
La información
Los activos tecnológicos (sistemas, móviles, computadores)
Canal de reporte de robos de activos
Regular el uso personal ocasional si no se orienta a obtener un ingreso o
Ventaja ocasional
Acceso indebido, alteraciones en configuraciones y fraudes sobre sistemas
cumpliendo políticas establecidas por IT
Derecho de monitorear comunicaciones por email y teléfono de compañía
Derecho de bloqueo de internet
Todo uso de la propiedad intelectual de la empresa debe estar
aprobado por un supervisor

54. Claves
Protección de Propiedad Intelectual
Los empleados deben:
 preservar la propiedad intelectual de la empresa
 Utilizar propiedad intelectual de terceros previo pago de
licencia y permiso
Considerar los soportes: físicos y electrónicos
Considerar los empleados actuales, los ex empleados y los consultores
Todo secreto comercial y propiedad intelectual desarrollada por un empleado
en funciones de su cargo son propiedad de la empresa
Control de licencias en software, imposibilidad de instalar software no provisto
por IT, hacer copias o instalaciones en otras máquinas
Todo uso de la propiedad intelectual de la empresa debe estar
aprobado por un supervisor

55. Claves
Delitos contra el Mercado
Los empleados deben:
 evitar sospechas de abusos de mercado (trust,
cartelización, acuerdos y fijación de precios, limitación
volúmenes o condiciones)
 No compartir información o iniciar rumores
Considerar las reuniones con competencia y analistas de mercado
Los acuerdos pueden ser un contrato o simplemente un apretón de manos
Notificación de fusiones y adquisiciones
Limitar interacciones con clientes (exclusiones, reciprocidades
“yo te compro, tu me compras”)
La información confidencial debe tener un responsable

56. Claves
Información Privilegiada
Las personas que tengan
conocimiento por razón de su
trabajo o cargo de
una información no pública
obtenida por la sociedad no
podrán utilizarla
No operar con
los valores
relacionados
Periodos restringidos
Antes de publicar las cuentas anuales y trimestrales
Ante operaciones significativas en curso
Extensión a familia y convivientes
Responsabilidad de salvaguardia de la información privilegiada
Registro de personas con información privilegiada
Relación con Protección de Activos
No trasmitirla
a terceros

57. Política de Medio Ambiente
Generalmente parte de la
política de sustentabilidad
Mejorar la performance ambiental (reducir huella hídrica,
de carbono, emisiones/impacto cero, …)
Actuación frente a incidentes medioambientales y
disposición de residuos
Cooperación con organismos y agencias gubernamentales
Green procurement
Encargado del monitoreo y reporte
Requiere campañas de concientización y auditorias
Conceptos básicos
Regulaciones nacionales y locales
Guia de mínima (países sin normas ambientales)
Salud de empleados y terceros
Protección del medio ambiente
Por cambio climático
Impactos
Reducir el impacto en el transporte
Reciclado y menor empaque de productos
Minimizar la generación de residiuos
Uso eficiente de energía y agua
Uso de biodegradables
Adicionales

58. Compliance Management
Systems
03. Difusión de compliance
Hernan Huwyler – 27 Enero 2016

59. Entrenamiento
Áreas
Código de ética a nuevos ingresos y por campañas a colectivos
de empleados
Políticas de prevención de corrupción, fraude y sobornos
Sobre valores como el abuso de empleados
Especializados a departamentos con riesgos operativos de errores
La cultura organizacional comienza en el entrenamiento
Comunicar programas sobre compliance dentro de los diferentes grupos de empleados es la base de
construcción de la cultura del cumplimiento e incentiva el diálogo entre departamentos.
No se puede cumplir lo que no se conoce.
 Formalizar asistencia, evaluar en pruebas y medir en encuestas. Responsable:
¿HR o CCO? Sitio de intranet. ¿Online, videos, presencial, autoestudio?
Monitorear avances

61. ¿Cuáles son
las
alternativas?
¿Es legal y
consistente
con el espíritu
de la ley?
¿Está prevista
en el CoCo y
es consistente
con nuestros
valores?
¿Cuáles son
los hechos?
¿Cómo
implica cada
alternativa en
mí?
¿Cómo
implica cada
alternativa en
la sociedad y
la empresa?
¿Quiénes son
los afectados
de las
alternativas?
Entrenamiento sobre Ética

62. Entrenamiento
Invitar a un directivo reconocido dentro del
grupo objetivo para compartir sus valores y
liderazgo. “Esto es importante”
Obtenemos su patrocinio y credibilidad
Nos dan una visión única desde la dirección
El directivo se compromete con compliance
Mensaje único
Ponente
invitado
Planteamos un escenario hipotético y realista
para desarrollar con el grupo diferentes cursos
de gestión del caso.
Pueden tener un contenido regional/local
Practica con escenarios comunes
Hay mayor discusión y conocimiento del grupo
Presión de paresCasos
reales
Invitamos a un especialista sobre cierta
función, que describa los riesgos de falta de
cumplimiento y cómo efectuar controles
Conocimiento profundo sobre cierto riesgo y
sus controles
Visibilidad del especialista
Específicos
para un
riesgo
Principio “Nuestra gente defiende lo que es
involucrada a construir”
Permitir grupos de discusión para compartir
experiencias y mejores prácticas
Generar redes de conocimiento
Inspiración para alcanzar mejores prácticas
Reconocimiento de quienes efectúan mejores
controles
Compartir
conocimiento

64. Entrenamiento - Elearning

65. Entrenamiento – Grupos
Políticas claves
Cambios de normativas
Principios de reporte contable
Controles sobre fraude
Aprender de los errores (ej. multas,
demandas)
Welcome pack + Inmersión
Canal de consultas
Mensajes de correos
Daily learning
Documentar asistencia
Pruebas
Recepción de políticas
Calidad
Frecuencia
Todos los empleados
Orientados a departamentos
Ventas
Marketing
Legales
Finanzas

66. Sanción .
Objetivos de
Mejora
Protocolo de Disciplina
Cultura
Compliance
Performance
Aclarar que las responsabilidades
dependen de la definición de cargo
Aclarar y separar infracciones:
• Performance
• Conducta
• Violación a políticas/ley
• Falsificación
• Fraude y abuso activos
• Acoso
• Drogas y alcohol
1 – Entrevista
con
supervisor
2 – Entrevista
con RH
Nota firmada por ambos
Próxima a la falta
Resguarda legajo
Acción correctiva
Comité de ética
Escalable en sanciones , s/recurrencia
Dar flexibilidad
Tolerancia cero al código ético
Entrevista
Salida
Equidad
Investigación

67. ¿Cómo
gestionamos
un fraude
detectado?
Protocolo de Investigación Fraude
Los gerentes son
responsables de detectar
posibles fraudes
¿Reporte al:
• comité de auditoria
• Auditores externos
• ExCom
• RH - disciplina
• Supervisor/Área
• Fraudulento
• Policía/Medios
Encargado
¿Auditoria
interna?
¿control interno?
¿legales?
y de reportar
posibles
fraudes para
investigar
No investigaciones personales
Garantizar la confidencialidad
Garantizar total acceso a
información al investigador
Registro de reportes
Garantizar la preservación de la documentación
Involucrar al menor número de personas
Posibilidad de contratar especialistas contables y
legales
Quién evalúa la necesidad de extender la investigación
Necesidad de evaluar las pérdidas para ajustes
Protección del investigador
Determinar la mejora en el sistema de controles
Plan de Respuesta al Fraude

68. Compliance Management
Systems
04. Documentación
Hernan Huwyler – 27 Enero 2016

69. Formalización del programa
Documentar acciones y aprobaciones del cumplimiento del plan de
performance
Protocolo de documentación
• de controles: efectuó/controló + firma/fecha
• acciones de formación: asistencia + materiales distribuidos + pruebas
• de manuales y políticas: control de versiones y aprobaciones
• de acciones en el canal de denuncia
• constancias de recepción de políticas (ej. firma código conducta)
• reportes y minutas de reuniones de comités (especialmente de
cumplimiento)
Quien efectúa el control debe formalizarlo y retener el soporte en forma
organizada y trazable a una operación controlada
El CCO debe tener acceso a la totalidad de la documentación

70. Formalización del programa
Doble objetivo
Corporate defense
demostrando la eficacia
del modelo
Responsabilidad del
compliance officer
Monitoreo
del
programa

71. Compliance Management
Systems
05. Certificaciones y auditorias
externas
Hernan Huwyler – 27 Enero 2016

72. ISO 19600:2014
Guías para un Sistema de Compliance
Principios de buen gobierno corporativo, proporcionalidad, transparencia y sustentabilidad.
Construye transversalmente la superestructura de compliance
4.1. Identificación de
asuntos externos e
internos
4.2 Identificación de
requerimientos de
terceros
4.3/4 Determinación
del alcance del
sistema de gestión
4.4 Principios del buen
gobierno
5.2 Establecer una
política de
cumplimiento
Establecer
EntenderelContexto

73. ISO 19600:2014
Guías para un Sistema de Compliance
4.5/6 Identificar las
obligaciones de
cumplimiento y sus
riesgos
6 Planear los planes
de acción sobre
riesgos
8 Planear operaciones
y controlar los riesgos
de incumplimientos
9 Evaluar el
desempeño y reporte
de cumplimiento
Mejora continua sobre
incumplimientos
Mejorar
5.1 Compromiso, liderazgo
e independencia
5.3 Responsabilidad
7 Funciones de soporte
Evaluar
Mantener Desarrollar
Implementar

74. Modelo 3 Líneas de Defensa
Gerentes de
Operaciones
Control Interno
Control Financiero
Gestión de Riesgos
Compliance y Normas
Auditoria Interna
Senior Management
Auditoria Externa
Regulador
ExCom & Comité de Auditoria
1° Línea
Responsabilidad
2° Línea
Control y Guía
3° Línea
Reaseguro

75. British Standard 10500:2011
Único marco en el mundo desarrollado para dar un sistema de buenas
prácticas y medir el riesgo penal.
• Iniciado en 2011 para cumplir con medidas de anticorrupción
- UK Bribery Act de 2010
• Orientado a delitos domésticos como internacionales
• Semilla de un estándar global en desarrollo
- ISO/PC 278:2014 Anti-bribery management systems
- ISO/CD 37001:2015 Anti-bribery management systems
- AS 8001:2008 Fraud and corruption control

76. British Standard 10500:2011
Recursos a
controles
Comunicación
Políticas
Entrenamiento y guía
De las responsabilidades en Compliance
Canal de denuncias
Contra la corrupción
De Contrataciones
De regalos y donaciones
De investigación y disciplinarias
Contractuales
Financieros
De compras y comerciales
Relación efectiva con:
Directorio
Auditoria interna
SistemadeGestión

77. British Standard 10500:2011
Hoja de Ruta
La norma nos da una mejor práctica para planear las tareas de implementación de un sistema de gestión para
prevenir la corrupción corporativa
Pasos claves para implementar un sistema de gestión
Obtener el compromiso del directorio
Dar objetivos, autoridad y recursos a la nueva unidad de cumplimiento
Nombrar al líder apropiado
Conducir una evaluación de riesgos en función de cada negocio
Evaluar como implementar una política de prevención de corrupción
Escribir la política
Diseñar o modificar las políticas y controles relacionados
Implementar la política de prevención

78. British Standard 10500:2011
Obtener el compromiso del Comité
Encontrar el patrocinador adecuado en el Comité
Darle a este patrocinador toda la información sobre los riesgos
Proponer al Comité un plan con metas detalladas y reportes a generar
Este plan debería ser firmado por todos los miembros
Entrenar a los miembros del Comité sobre compliance penal
Hoja de Ruta
El problema de vender la iniciativa a alto nivel corporativo es que nadie ve los beneficios si nuestras medidas
de prevención del delito funcionan. Por otro lado, esperar incidentes para tener atención no es posible.

79. Certificaciones del CCO
Certificados y Programas en Madrid
Certificado Avanzado en Cumplimiento Normativo
+ International Compliance Association
+ International Compliance Training
+ Impact on Integrity España
 Diploma Certificado de Compliance Officer
+ Universidad Complutense de Madrid
+ Cumplen - Asociación de Profesionales de Cumplimiento Normativo
 Programa Avanzado de Compliance
+ Law School del Instituto Empresa
 Posgrado en Compliance
+ Universidad Carlos III con colaboración de KPMG
Un camino necesario con amplia nueva oferta
Analizar el programa para cada industria, especialmente servicios financieros o empresas, y compensar el
perfil “débil”, jurídico o de control.

80. La documentación como
responsabilidad del CCO
Debido control a documentar
Responsable de supervisar el sistema de prevención de riesgos penales
Poder delegado del consejo (solo aquellas responsabilidades delegables)
Necesita un modelo aceptado de aplicación
Estatuto Profesional del Compliance Officer de CUMPLEN (art. 30, cumplimiento de leyes aplicables)
Responde por incumplimiento negligente de tareas delegadas, por ejemplo
no formalizado buenas prácticas corporativas en el código de ética y sus políticas accesorias
no haber impulsado controles sobre riesgos penales materiales
el encubrimiento o la participación en un delito corporativo
Necesita informar los riesgos de compliance y los incumplimientos
La gestión de un sistema de gestión de riesgos penales sin ser el
propietario

81. Quis custodiet
ipsos custodes?
Compliance audit
• Reaseguro que el CCO aplica el
programa de compliance aprobado
• Independiente
• Controles, IT, regulaciones, vendors
• Materialidad más alta

82. Compliance Audit
Tácticas
Debemos dejar un responsable por el reaseguro de compliance
Enriquecer los programas de auditoria interna
Centralizar el conocimiento en una función específica
Interés creciente sobre contract compliance
Alcance sobre gobierno corporativo…
….. pero también sobre ciclos operativos
Problemática
Hay acciones de cumplimiento que escapan del control financiero y operativo ordinario. Estas acciones
necesitan tener un reaseguro sobre aspectos normativos claves, con revisiones selectivas y rotativas.

83. Compliance Audit
Independencia
Conocimiento
Tiempo
Disponibilidad geográfica
Internas
Externas
Reasegurar la implementación del plan
Evaluación funcionamiento de la línea de denuncias
Campos específicos LOPD, IT,
Definición y monitoreo
del servicio

84. Auditoria
• ¿Hacemos lo
que decimos que
debemos hacer?
Compliance
• Si hacemos lo
que decimos que
hacemos, ¿qué
requerimientos
vamos a
cumplir?
Compliance Audit

85. Compliance Audit

86. Compliance Management
Systems
06. Compliance Ambassadors e
incidencias
Hernan Huwyler – 27 Enero 2016

87. Equipos chicos de compliance
Dispersión geográfica
Complejidad (ej. sindicatos).
Ambassadors
Compliance Ambassadors
Aprobadores
¿Quienes dan recursos al
programa?
DG, Com. Ejecutivo
Facilitadores
¿Quienes coordinan el
programa?
Gerentes
Socios
¿Quienes impulsan el
programa?
Legales, Recursos
Humanos, Auditoria
Programa de
Compliance

88. Compliance Ambassadors
Claves del programa
Genuina sensibilidad por compliance y ética, tiempo e independencia
Reconocidos en sus áreas
Tienen otras funciones en campo: RH, Legal, CI, financieros Desarrollo
No consumen el presupuesto ni el headcount de Compliance (1 c/1k empleados)
Expanden nuestra presencia física (conferencias mensuales con ellos)
Función rotativa, por ejemplo, a dos años
Deben identificar y actualizar riesgos
Comunican el código de conducta y politicas de gobierno
Resuelven investigaciones y planes de acción
Aprueban y siguen conflictos de interés
Pueden llevar a cabo auditorias de compliance
Recolección y control de datos de compliance (nos ahorran tiempo en reportes)
Sostienen el programa de compliance y multiplican en esfuerzo
del CCO con responsabilidades delegadas

89. ¿Cómo
gestionamos
una denuncia?
Canal de Denuncias
Objetivo
Ayuda a resolver una cuestión ética
Reporte de potenciales infracciones:
• Al código de ética
• Delitos
• Fraude
• Cuando se pone en peligro la seguridad
Registro y adjuntar los datos brindados y pruebas
Evaluación preliminar: procede o desestima
Investigación: El denunciante lo hace porque cree habrá una investigación
Comunicación de la conclusión
• probada
• infundada buena fe
• infundada mala fe
Comité de ética: involucramiento de la alta dirección por cultura
Alcance
Directores, empleados, contratistas,
pasantes, proveedores, y clientes
Confidencialidad - ¿Anónima?
Sin represalias por buena fe
Medios: teléfono, email, correo, sitio

90. ¿Cómo
gestionamos
un fraude
detectado?
Protocolo de Investigación Fraude
Los gerentes son
responsables de detectar
posibles fraudes
¿Reporte al:
• comité de auditoria
• Auditores externos
• ExCom
• RH - disciplina
• Supervisor/Área
• Fraudulento
• Policía/Medios
Encargado
¿Auditoria
interna?
¿control interno?
¿legales?
y de reportar
posibles
fraudes para
investigar
No investigaciones personales
Garantizar la confidencialidad
Garantizar total acceso a
información al investigador
Registro de reportes
Garantizar la preservación de la documentación
Involucrar al menor número de personas
Posibilidad de contratar especialistas contables y
legales
Quién evalúa la necesidad de extender la investigación
Necesidad de evaluar las pérdidas para ajustes
Protección del investigador
Determinar la mejora en el sistema de controles
Plan de Respuesta al Fraude

91. Sanción .
Objetivos de
Mejora
Protocolo de Disciplina
Cultura
Compliance
Performance
Aclarar que las responsabilidades
dependen de la definición de cargo
Aclarar y separar infracciones:
• Performance
• Conducta
• Violación a políticas/ley
• Falsificación
• Fraude y abuso activos
• Acoso
• Drogas y alcohol
1 – Entrevista
con
supervisor
2 – Entrevista
con RH
Nota firmada por ambos
Próxima a la falta
Resguarda legajo
Acción correctiva
Comité de ética
Escalable en sanciones , s/recurrencia
Dar flexibilidad
Tolerancia cero al código ético
Entrevista
Salida
Equidad
Investigación

92. Compliance Management
Systems
07. Vendor Compliance
Hernan Huwyler – 28 Enero 2016

93. Tu riesgo es mi riesgo
Valores
Pol. Compras
Pol. Inventarios
Pol. Administrativas
Seguros
Contratos marcos
Precios y descuentos
Condiciones de entrega

94. Objetivos
Vendor Compliance Program
Prevenir y minimizar las disputas
Mejor selección y desarrollo de proveedores
Sistema de incentivos al cumplimiento
Estandarizar y consolidar operaciones
Portales para mejorar la comunicación
Externa
Interna: ventas, operaciones, finanzas, compras y compliance
Simplificar el departamento de compliance
Mejorar la toma de decisiones de contratación (no solo por precios)
Reducir el riesgo de fraude y penal
Cumplir con las obligaciones y objetivos de compras analizando
la actividad de compra. El programa es un valor al proveedor.

95. Políticas
Sistema normativo de compras
Procedimiento de compras
Planeamiento, negociación, terminación, P-Card, eProcurement
Selección de nuevos proveedores
Firma del código de ética y conocimiento de la linea de denuncia
Aprobación, documentación legal y fiscal, permisos, seguros
Análisis de solvencia y cauciones
Contratación con funcionarios públicos, agentes y otros riesgos especiales
Aceptación de bienes y servicios y facturación
Gestión del maestro de proveedores
Accesos y SoD, Data cleansing (duplicados, relacionados, inactivos)
Gestor de documentos
Calificación anual de proveedores
Simplificar los requerimientos a los proveedores y su
actualización

96. Políticas
Incluir imágenes y
diagramas en
políticas ayuda a
los proveedores
a cumplir
requerimientos

97. Auditoria de 3ras Partes
¿Cómo nos orientamos a los riesgos?
a Hacienda
a seguridad
al
medioambiente
a propiedad
intelectual
sobre datos
personales
Mínimamente
orientarnos a
estos riesgos
penales

98. Auditoria de 3ras Partes
Compras en los
últimos 3 años
+ presupuesto
si es posible
Cantidad de Datos Sensitivos en Poder del
Proveedor
Naturaleza del Servicio y Geografía
Marco Contractual
Marco Legal (laboral, corrupción, ambiental, fiscal)
Madurez del Proveedor (riesgo de
fraude/compliance/lavado)
Objeto de Auditorias
Proveedor A
Grupo de Proveedores B
Compras de Materiales C
¿Cómo nos orientamos a los riesgos?

99. Auditoria de 3ras Partes
Responsabilidades y riesgos con proveedores
Accidente en nuestros sitios sin seguro
Pérdida de licencias y permisos (o contratarlos sin ellas)
Quiebra del proveedor
Proveedores informados “watch lists”
Agentes e intermediarios siendo oficiales públicos
Responsabilidad por etiquetado (el “bife” con ADN de caballo)
Pagos a paraisos fiscales
La mitigación de riesgos de proveedores generalmente implica
bajo coste relacionado con los beneficios.

100. Auditoria de 3ras Partes
Due Diligence del Know Your Vendor
Riesgo diferente de fusiones, adquisiciones y joint venture
Operaciones que suman el business plan y generalmente financiación bancaria
Documentar todo el proceso (para exculpar posibles culpas)
Revisión de propietarios legales y gestores (y su núcleo familiar)
Investigaciones ocurridas, reclamos judiciales por corrupción
Intervención de oficinales públicos, subcontratistas
Riesgos de derechos humanos
OECD Guidelines for Multinational Enterprises 25/5/11
Que garanticen libertad sindical, anti discriminación, legislación horarios
Explicar a los empleados del proveedor que nuestras entrevistas son confidenciales
Revisión de centros de cómputos y seguridad de nuestros datos
Todos los nuevos proveedores, agentes y socios deben declarar su situación
sobre a riesgos establecidos y algún órgano debe evaluar y aprobar su solicitud
para licitar.

101. Auditoria de 3ras Partes
Controles Comunes (vincularlos a un sistema de puntos)
Revisión de dirección y socios
Aseguramiento sobre conflictos de interés
Cumplimiento de contrato y nuestras políticas (confidencilidad, prop. Intelectual)
Pago de obligaciones fiscales, garantías y seguros
Riesgo fraude del “falso autónomo”
Revisión del proceso de contratación, aprob. cláusulas negociadas y finalización/rescisión
Revisión de calidad y conformidad de productos
Facturación y cargos contra documentación
Revisión de documentación
Visitas al proveedor (ej. condiciones de almacenaje, mantenimientos)
Plan de contiunidad de negocios con proveedores
Entrenamiento a sus empleados (especialmente HS&E)
El programa de revisión no es completar conforme o no en una
checklist sino ayudar al proveedor a mitigar riesgos

103. Medición
Índices a seguir
Resultados de la revisión de auditoria de compliance e interna
Grado de cumplimiento de los programas de entrenamiento
Horas de entrenamiento brindado
Volumen de denuncias reportadas
Resultados de las denuncias
Encuestas de satisfacción de empleados
Evaluaciones independientes
Monto de multas y otras penalidades
¿Cómo medir el retorno de la función del
Compliance Penal?

104. mydailyexecutive.blogspot.com

www.linkedin.com/in/hernanwyler
