Compliance management systems: cómo establecer procedimientos y medidas de control para supervisar, gestionar y monitorizar el cumplimiento normativo • Risk Assessment: cómo evaluar las vulnerabilidades legales en
materia de cumplimiento normativo de cada una de las áreas de la organización
> Claves para la identificación de los riesgos
> Cómo determinar los objetivos de Compliance y alinearlos con la estrategia empresarial
• Creación de nuevas políticas y códigos de conducta
> El código ético como base para el resto de políticas: claves para su diseño y redacción
> Aspectos a tener en cuenta para lograr una articulación de políticas: claves para la priorización de normas
• Difusión del sistema: qué instrumentos son los más adecuados para asegurar que los empleados conocen y entienden qué se espera de ellos
> Ámbito legal. Cómo acreditar el conocimiento y aceptación por parte de los empleados
> Ámbito cultural. Cómo incentivar y premiar el cambio de conductas
> Auditorías periódicas de revisión del comportamiento profesional: cómo articular un sistema disciplinario
• Documentación del modelo.
Cómo asegurar la trazabilidad de las medidas adoptadas de cara a un hipotético proceso judicial como Corporate Defense
• Certificación del sistema: qué certificaciones y estándares son los más aceptados a nivel jurídico
• Auditoría Externas: cuándo y cómo deben encargarse y realizarse
• Los “Compliance Ambassadors”. Cómo gestionar y construir una red de colaboradores en departamentos y sucursales
• Gestión de incidencias Compliance de compras: ¿cómo
cuantificar los riesgos asociados a las relaciones comerciales con proveedores de productos y servicios?
• Procedimientos para la Due Diligence del proveedor: ¿cómo implantar un sistema de “Know Your Supplier”?
• Qué elementos se deben tener en cuenta en una auditoría de socios, contratos y joint ventures • Compliance de contratos: políticas de control de los procesos de adquisición de bienes y servicios
Hernan Huwyler
Dirección de Control Interno
y Gestión de Riesgos
VEOLIA
4. FCPA
Protección de
activos
Antitrust Insider trading Privacidad
Controles de
exportación
Retención de
documentación
Seguridad de
información
Compensaciones
y bonos
Reporte
Sarbanes Oxley HSE
Discriminación y
acoso laboral
Integridad
financiera
Contratos con el
gobierno
Propiedad
intelectual
Uso de tecnología
3rd Party
management
Prácticas
comerciales
Ética
Taxonomía Compliance
Normas
voluntarias
5. Áreas de Riesgos
Relaciones con
√ Administración pública y
funcionarios
√ Regulador y CNMV
√ Hacienda
Gestión de
√ Información confidencial
√ Datos, sistemas y tecnología
Relaciones con
√ Proveedores
√ Clientes
√ Empleados y candidatos
√ Inversores
Interacción
√ Con el medioambiente
√ Ente partes: conflictos de
interés
6. Universo de Riesgos
Contra el Patrimonio
- Estafas y fraudes
- Insolvencias
punibles
- Daños informáticos
/ hacking
- Contra la propiedad
intelectual
- Contra el mercado
- Revelación de
secretos
- Facturación
fraudulenta
- Falsedad en
medios de pago
- Información
privilegiada
Contra el Fisco
- Contra la
Hacienda Pública y
la Seguridad Social
- Blanqueo de
capitales
- Ciertos casos de
contrabando
Contra la Seguridad
Pública
- Contra la salud
pública
- Construcción ilegal
- Contra el medio
ambiente
- Relativos a la
energía nuclear y a
las radiaciones
- De riesgo
provocado por
explosivos
- Tráfico de drogas
- Contra la intimidad
y allanamiento
informático
Contra la ética
- Corrupción
privada: relativos a
la corrupción en los
negocios
- Cohecho: dádivas
y sobornos a
funcionarios públicos
- Corrupción de
funcionario extranjero
- Tráfico de
influencias
-Financiación ilegal
de partidos políticos
- Acoso laboral
- Delitos contra la
intimidad
- Publicidad
engañosa
7. Universo de Riesgos
Contra el Patrimonio
CFO
CIO
CISO
Data Protection
Officer
Contra el Fisco
Head of Tax
Contra la Seguridad
Pública
COO
HS&E
Contra la ética
CEO
Compliance
Auditoria Interna
Dir. Comercial
Unidad de Cumplimiento
Legales
Corporate Defense
ExCom
8. Corrupción pública o
privada
Abuso del mercado
Mapa de Riesgos - Ejemplo
Brindar servicioGeneración contrato Facturación Cobro
Fraude a seguridad social Fraude fiscal
Falsedad de medio de
pago
Blanqueo de capitales
Entrega de sobornos
Acuerdos de precios
Simulación laboral Deducciones indebidas Lavado de dinero
9. Mapa de Riesgos - Ejemplo
Entrega de sobornos
Acuerdos de precios
Simulación laboral Deducciones indebidas Lavado de dinero
Control de revisión de
cuentas de gtos
representación
Política antitrust
Control aprobación de
cálculo fiscal
Control cruzado Tax vs.
Payroll
Control aprobación de
cálculo fiscal
Know Your Customer
Comercial Tax + Payroll Tax Gestión de clientes
Tesorería
Reforzar: Business
Intelligence
Reforzar: Auditoria
Fiscal
10. Alcance del Mapa
¿Nos quedamos solamente dentro España?
- Filiales internacionales y otras sociedades subholdings
- Joint ventures
- Descentralización de funciones ejecutivas (ExComs por país)
¿Incluimos solamente los delitos atribuibles a
una persona jurídica?
- Ley del mercado de valores
- Ley de trasparencia
- FCPA
- Leyes similares en el mundo (ej. Europa (-DE), US, y
Chile)
- Legal + Ético (nuestra forma de hacer negocios)
¿Podremos sumar este trabajo a otra iniciativa en curso?
- Departamento de riesgos
- Departamento de Prevención del Fraude
- Auditoria interna (riesgos sobre procesos e investigación de fraudes)
- Departamento de compliance
13. Mapa de Riesgos
1 Identificar riesgos
2 Evaluación de
impacto y frecuencia
Eventos que afectar los
riegos del universo de
compliance
Impacto: costo más probable
de no- compliance
Frecuencia : probabilidad de
darse los factores de riesgos
al momento del análisis en un
horizonte de tiempo
3 Priorización de
riesgos
Criterio para decidir que
eventos son más críticos de
controlar (mapa)
4 Planes de
mitigación
Seguimiento del progreso de
los planes de acción
Reevaluación frecuente
Alta criticidad
Seguimiento
Watch-List
Criticidad
14. Mapa de Riesgos - Impacto
Multa en proporción al daño/cuantía del delito
Disolución de la persona jurídica
Suspensión de sus actividades
Clausura de sus locales
Prohibición temporal o definitiva de realizar las actividades en cuyo
ejercicio se haya cometido el delito
Inhabilitación para obtener subvenciones y ayudas públicas, para contratar
con el sector público y para gozar de beneficios e incentivos fiscales
Intervención judicial para salvaguardar los derechos de los trabajadores o de
los acreedores
Mensaje
No podemos asociar la cultura de compliance solo a una sanción penal
15. Directas e inmediatas
• Pérdida por defraudación
• Ineficiencias y/o discontinuidad de operaciones
Directas y mediatas
• Indemnizaciones a terceros
• Multas y sanciones
Indirectas
• Costo de investigación
• Ajustes fiscales
Reputacionales
• Pérdida de competitividad, moral, clientes, socios, licencias, y contratos
• Pérdida del valor de mercado
Mapa de Riesgos - Impacto
16. Score 1 2 3 4 5
Multas, daños e
indemnizaciones
< 1% de las
ventas
1% al 3% de las
ventas
3% al 5% de las
ventas
5% al 10% de
las ventas
> 10% de las
ventas
Reputacional
Sin exposición
o daño
Impacto negativo
localizado pero
recuperable
Cobertura en
medios o
reguladores
local
Cobertura en
medios o
reguladores
nacional
Cobertura
sustancial en
medios o
reguladores
nacional
Operacional
Sin pérdida de
negocios u
operaciones
Visible pero
gestionable
fácilmente
Daños a
clientes o
grupos de
interés
Impacto severo
a la
performance
Impacto
catastrófico a la
BU
Mapa de Riesgos - Impacto
17. Mapa de Riesgos - Frecuencia
Score 1 2 3 4 5
Descripción Casi imposible Rara Posible
Incidentes
aislados
Incidentes
repetitivos
Tiempo
< Una vez
cada 5 años
< Una vez cada
año Una vez al año
Una vez al mes
Una vez a la
semana
Probabilidad < 1% 1% al 5% 5% al 10% 10% al 20% > 20%
18. Mapa de Riesgos – 3er Variable
• Velocidad del Riesgo: Tiempo entre el evento de riesgo y
tener que pagar el impacto (ej. tiempo en aplicar una multa
por el regulador). Beneficio: priorizar acciones
• Duración del Riesgo: Persistencia del riesgo en el tiempo
(ej. inspecciones largas).
• Nivel de Control: Posibilidad que gestión para disminuir el
impacto o la frecuencia del riesgo (ej. proceso ya
documentado). Beneficio: margen de reducción
• Grado de Entendimiento: Seguridad en valuar el impacto
y la frecuencia (ej. riesgos emergentes)
La 3er variable siempre está
contemplada en impacto o
frecuencia
19. Área Riesgo legal Regulación /
Ley
Área
Funcion
al
Impacto Frec. Score Contro
l
Clasif.
ImpactoPrácticasdecomercioexterior
Sobornos en el
extranjero
FCPA Foreign
Corrupt
Protection Act
Ventas 5 1 5 4 Reputacional
Aduanas Leyes
aduaneras
Ventas 1 3 3 2 Operacional
Control de
exportaciones
OFAC Office of
Foreign Assets
Controls
Ventas 2 2 4 5 Operacional
Exportaciones de
productos con
doble uso
Reg. UE
428/2009
Ventas 4 4 16 5 Operacional
Boycott no
sancionado a un
país extranjero
Anti-Boycott Act Ventas 2 2 4 4 Operacional
Exp/Imp de
químicos
peligrosos
Reg. UE
649/2012
Ventas 3 4 12 1 Operacional
…. … … ….
21. Mapa de Riesgos – Alternativa
Puntaje Interno
Fraude
- Operativo
- Contable
Corrupción
Daños
Informáticos
….
Calidad de
Controles
Documen-
tación
Entrena-
miento
Centrali-
zación
Sistema de Puntos
1 a 5
Medidas Efectivas a Inefectivas
Respaldado por Director de Área
Puede ser ponderado (ventas de la unidad, número
de empleados,…)
22. Planes de Acción
Exposición a un delito
tomando en cuenta los
controles actuales
Medidas a implementar Recursos a asignar
Controles
Políticas
Sistemas
Conocimiento
Autoridad
Coordinación política
entre departamentos
Presupuesto con
responsable, tiempo e
indicadores
Cargos
23. Reportes al ExCom
Mapa de Riesgos
Penales
Por Áreas
Por País
Por Año
Seguimiento de Planes
de Acción
Planes
Presupuestos
Grado de Avance
Indicadores de Riesgos
Claves (KRIs) Penales
Ejemplos:
Multas por Revenue
Multas por Volumen
Denuncias por
Empleado
Fraude por Empleado
% Completar Cierto
Programa Educativo
24. Compliance y Estrategia
La estrategia de crecimiento requiere gestionar todos los riesgos y grupos de
interés
La valuación de los riesgos penales debe ser parte de la planeación
Compliance debe identificar riesgos en todos los ciclos empresariales
Actualización frecuente del programa de compliance
Planes de acción frente a incidentes de compliance
Comenzar por entrenar para luego ser una fuente de información (“la voz de
la conciencia”)
Vender por lo que se puede perder (reputación, riesgo informático, fraude)
antes de lo que ganar (sostenibilidad, transparencia, cultura)
Compliance como mejora continua
25. Lo que el Compliance Officer dice
Nuestro programa de
cumplimiento es clave para
asegurar a seguir para los
riesgos de compliance y la
obtención al largo
plazo.
la línea
de resultados
26. y lo que el directorio escucha
Bla bla bla bla bla bla bla bla bla
bla bla bla bla bla bla bla bla bla
bla bla bla bla bla bla
bla bla bla bla
bla bla bla la
bla bla bla bla
la línea
de resultados
28. Empresa Distribución Eléctrica
Objetivo del caso:
Proponer un mapa de riesgos penales
Información de base:
Empresa local de distribución eléctrica de baja tensión, 1.000 empleados
Accionariado: 20% Dubai Investment Authority, 5% BBVA, 75% bolsa
Estructura de gobierno formada por la junta de accionistas, un consejo de
administración con 50% de miembros independientes y comisión de auditoria
y remuneraciones
Objetivos de gobierno: confiabilidad, sustentabilidad, preservación ambiental,
y liderazgo, desarrollar canales de diálogo social y con accionistas, política
remunerativa moderada y medida por performance
29. 1. Alcance Delitos Susceptibles
Riesgo Penal Impacto Frecuencia Exposición
Contra el mercado y consumidores 5 5 25
Publicidad engañosa 5 3 15
Estafa propia e impropia 5 3 15
Delitos contra la Hacienda Pública 5 3 15
Delitos contra la Seguridad Social 4 3 12
Delitos contra los recursos naturales y medio
ambiente
4 3 12
Abuso de información privilegiada 5 2 10
Cohecho, corrupción entre particulares 5 2 10
Venta fraudulenta de facturas 4 2 8
….
Delitos relativos a la energía nuclear n/a n/a Excluir
Tráfico de personas y órganos n/a n/a Excluir
30. 2. Asignación a Procesos
Procesos alcanzados
Gestión comercial y de
mercadeo
Distribución
Medición y facturación
Gestión de recursos
humanos
Contratación de
productos
Contabilidad y
fiscalidad
IT y seguridad de
información
Gestión de reclamos de
usuarios
31. 2. Asignación a Procesos
Contratación de productos
Campaña de marketing
Consulta de
potenciales clientes
Presupuestación de
oferta
Pedido de alta de
cliente
Objetivos de ventas y
creación de productos
Scoring y evaluación
del cliente
Ofrecimiento de
servicios adicionales
Corrupción particulares:
Agente comercial ofrece
comisión encubierta
Delito contra el mercado:
Acuerdo de distribución de
zonas con competidores
Publicidad engañosa:
Manipular cifras de
supuestos ahorros
publicitados
Fraude: Presupuestar a
futuros clientes
descuentos y condiciones
imposibles de obtener
Soborno: En inspección
posterior del regulador, se
ofrece dinero para “olvidar
una falta”
Corrupción particulares:
Cliente ofrece dinero a
comercial para calificar
Contabilización
Delito contable: Falsear
el número de clientes y
adelantar el
reconocimiento de
ingresos
32. 3. Registro de Riesgos
Riesgo Penal Factores y supuestos - Propietario Impacto Frecuencia Exposición
Contra el mercado y
consumidores
Acuerdo de distribución de zonas con
competidores – Dir. Comercial
250k 10% 25k
Publicidad engañosa Manipular cifras de supuestos ahorros
publicitados, atribuir al producto condiciones
que carece – Dir. Comercial
200k 20% 40k
Corrupción
particulares
Agente comercial ofrece comisión encubierta
– Dir. Comercial
25k 50% 50k
Impacto
0% Frecuencia
300k
100%
Contra mercado
Publicidad engañosa
Corrupción
33. Impacto
0% Frecuencia
300k
100%
Contra mercado
Publicidad engañosa
Corrupción
4. Articulación de plan de acción
Pérdida de información (ej robo
portátiles)
Fraudes menores de empleados (ej. mal
rendición de gastos)
Malversación de fondos de empleados
Seguimiento en Casa Matriz
Seguimiento en Filiales
Seguimiento en Casa Matriz
+ Soporte Externo
Incumplimiento normas
CNMV (ej. notificar hechos
relevantes, SCIIF)
34. 4. Plan de acción
Riesgo Penal Controles actuales Medidas Encargado Fecha
Corrupción
particulares
Supervisión de agentes
comerciales
Firma del código de
conducta
Implantación del canal de
denuncias
Inclusión de clausulas en contratos
laborales
Revisar el código de ética para
detallar precisamente los riesgos
del proceso de contratación
Formación sobre ética
Compliance
Officer
2H 2016
Publicidad
engañosa
Aprobación de productos y
campañas
Implementar una política de
comunicación de productos
(compatibilidad , consistencia e
integridad de la información,
explicación de términos y
condiciones, publicidad correctiva
en caso de observaciones,
aprobación de operaciones de
promesas de tiempos de conexión)
Dir. Marketing 1H 2016
35. 5. Reporte
Inversores Dubai Investment Authority
BBVA
Comisión Nacional del Mercado de
Valores
Reportes de Riesgos Penales
Planes de acción del ExCom
Reportes de Riesgos Penales
Publicaciones Gob. Corporativo en
Intra/Internet
Canal ético
Internos Comité Ejecutivo
Mapa de Riesgos y Planes de Acción
KRIs Key Risks Indicators
Compliance KPIs
39. Código Ético
Políticas
Procedimientos
Modelos & Manuales
Integración Sistema Normativo
Instrucciones
técnicas
Especificaciones
técnicas
Normas de ciclos
Normas de procesos
Normas de
actividades
40. Claves
Norma de Normas
Debemos definir quién es
responsable de dar y aprobar
normas
Designar un custodio del sistema normativo (ej. operaciones y métodos)
Designar un dueño de cada tipo de política que negocie y tenga input
Integrar políticas a valores, el marco de control (ej SOX) y entrenamiento
Preservar la discreción de los gerentes
Mecanismo de “waiver” de cumplimiento
Prever un mecanismo de actualización políticas
Calidad de redacción: Guia a empleados sin jerga y tecnicismos
Un mismo sistema para todos y todas las regulaciones
CoCo
Pol
Proc
41. Regulaciones Estándares Políticas
SOX SCIIF
ISO
6σ
CoCo
ISO 19600
10500
31000
COSO
COBIT
Monitoreo
continuo
Desarrollo
normativo
POLs
PRCs
Métricas
integradas
42. Impreso
Digital – Intra/Internet
Entrenamiento
Código Ética
Introducción por CEO mencionado valores
Guia para la toma de decisiones de todos
Lenguaje directo, dinámico y traducido
Validación RM+Legal+HR+Com+Bus+…
¿Dudas? Al compliance officer
Difusión
Disciplina y tolerancia cero
Línea de denuncia
Acciones
43. Retención de Documentación
Remuneraciones a Directores
Donaciones, Contribuciones a Partidos Políticos
Patrocinio
Drogas y Alcohol
Uso de Redes Sociales
Cuidado Ambiental
Agentes, Distribuidores, Representantes y Proveedores
De sistemas (seguridad, antivirus, passwords, wifi, email..)
Política de Viajes
Préstamos a Empleados
Due Diligence de Clientes
Tarjetas Corporativas
Comunicación
Protocolo de Crisis
Políticas de Compliance
44. Insider Trading.
Código Ética Financiero
Normas especificas contables
Reporte exacto, completo y a tiempo
a los reguladores y demás usuarios
Alcance:
• CFO
• Responsables impuestos, control,
reporting, auditoria interna
• Equipos
• Consultores
Consecuencias
Responsable al empleado por:
Normas y estándares
Negocio
Revisión crítica de controles
Entrenamiento
específico
45. Protocolos de Actuación
Reglamento del Consejo
de Administración
Acciones previas a la decisión
demostrando debida diligencia
Informes internos necesarios:
Financiero: TIR, endeudamiento
Técnico: operaciones
De riesgos jurídicos, impositivos, estratégicos y otros
Otros informes de alternativas y escenarios
Solicitud de asesoramiento externo
Jurídico especializado
Orden del día, sistema de votación,…
Proyectos, Inversiones y Compras de Empresas
Informe de impacto ambiental
Estudios de ambientales
hidráulico,
de patrimonio cultural,..
Informe de control de contaminación
Autorización ambiental integrada
Ley de Evaluación Ambiental
Informes necesarios:
Viabilidad de nueva empresa
Valoración de aportes en especie
Valoración de acciones y aportaciones
De auditoria de due diligence
De modificación de estatutos
Ley de Sociedades de Capital
46. Amplia casuística .
Conflictos de Intereses
Casos no exhaustivos:
• Interés económico directo o indirecto
• Conexiones comerciales
• Relaciones personales
• Expectativas futuras (conflictos potenciales)
- poder ser un empleado
- recibir un préstamo
• Prohibir una ventaja personal por la
la relación con la empresa
• Declararlos a una unidad responsable
Desafíos
Consultoría con empresas relacionadas
Inversiones en empresas relacionadas
Miembros de familia
Consensuar la resolución
del conflicto
En forma temprana
Cambios de proyectos
Dejar de hacer
47. Delegación de Autoridad
Accountable
R Responsible
→ hacer
A Accountable
→ decidir y rendir cuentas
C Consult
→ necesario para decidir
I Inform
→ necesita saber la decisión
Responsible
Internos
Externos
Demarca la responsabilidad
Comunicación sin ambigüedad
Identifica problemas
Ordenamiento de políticas siguientes
Prevención del fraude
Registro de
Delegaciones
48. Y todo eso terminó cuando todos,
le echaron la culpa a alguien,
cuando uno de ellos debió hacer
lo que nadie hizo.
¿Os suena familiar?
49. Delegación de Autoridad
Herramienta Matriz RACI - Ejemplo
Poder
Encargadodeproyectos
Encargadodeingenieria
Encargadodecontrataciones
Directordeventas
Gerentedeoperaciones
Directordeingenieria
Gerentedecompras
Gerentedeproducción
1.0 Completar una orden de trabajo
1.1 Generar una orden de trabajo N C R A C I I I
1.2 Planear y gestionar una orden de trabajo N R A C I
1.3 Efectuar la ingenieria del proyecto N C R A I
1.4 Producir los elementos del proyecto N R C A
1.5 Instalar los elementos del proyecto N R A
1.6 Completar la puesta en marcha N R C A C I
1.7 Obtener la certificación del cliente N R I A I C
50. ¿Cómo
gestionamos
una denuncia?
Canal de Denuncias
Objetivo
Ayuda a resolver una cuestión ética
Reporte de potenciales infracciones:
• Al código de ética
• Delitos
• Fraude
• Cuando se pone en peligro la seguridad
Registro y adjuntar los datos brindados y pruebas
Evaluación preliminar: procede o desestima
Investigación: El denunciante lo hace porque cree habrá una investigación
Comunicación de la conclusión
• probada
• infundada buena fe
• infundada mala fe
Comité de ética: involucramiento de la alta dirección por cultura
Alcance
Directores, empleados, contratistas,
pasantes, proveedores, y clientes
Confidencialidad - ¿Anónima?
Sin represalias por buena fe
Medios: teléfono, email, correo, sitio
51. Claves
Política de Anti Corrupción
Cero tolerancia a la corrupción
activa y pasiva
Los pagos facilitadores es recomendable que sean solamente dados en caso
de riesgos de vida inminente de un empleado.
Vincular el control de esta política a controles financieros y orientarla a riesgos
por jurisdicciones, tipos de transacciones e involucrados (ej. oficiales)
Incluir el uso de agentes e intermediarios, así como de JVs
Directas e indirectas
Diferencia entre pago facilitador y sobornos
Una empresa
que paga
sobornos deja de
controlar sus
negocios
52. Claves
Hospitalidad y Regalos
Se permiten si:
no influencian en una decisión
cumplen la ley
no son en efectivo
comunes a la circunstancia
no involucran a empleados públicos
Dar un valor de referencia de un regalo aceptable (usualmente 100 euros año)
Dar cuotas en valores para hospitalidad por nivel jerárquico y departamentos
Aprobación de atención a eventos y regalos al superior
Prohibir ciertos tipos de entretenimientos (finalidad de negocios legítimos o que
beneficien a la empresa)
Cubrir que gastos de promoción cubrimos a clientes o potenciales
Prever la recepción y el otorgamiento
Razonables
Apropiados
53. Claves
Uso de Activos
Los empleados deben proteger:
Los activos físicos bajo custodia del robo y mal uso
La información
Los activos tecnológicos (sistemas, móviles, computadores)
Canal de reporte de robos de activos
Regular el uso personal ocasional si no se orienta a obtener un ingreso o
Ventaja ocasional
Acceso indebido, alteraciones en configuraciones y fraudes sobre sistemas
cumpliendo políticas establecidas por IT
Derecho de monitorear comunicaciones por email y teléfono de compañía
Derecho de bloqueo de internet
Todo uso de la propiedad intelectual de la empresa debe estar
aprobado por un supervisor
54. Claves
Protección de Propiedad Intelectual
Los empleados deben:
preservar la propiedad intelectual de la empresa
Utilizar propiedad intelectual de terceros previo pago de
licencia y permiso
Considerar los soportes: físicos y electrónicos
Considerar los empleados actuales, los ex empleados y los consultores
Todo secreto comercial y propiedad intelectual desarrollada por un empleado
en funciones de su cargo son propiedad de la empresa
Control de licencias en software, imposibilidad de instalar software no provisto
por IT, hacer copias o instalaciones en otras máquinas
Todo uso de la propiedad intelectual de la empresa debe estar
aprobado por un supervisor
55. Claves
Delitos contra el Mercado
Los empleados deben:
evitar sospechas de abusos de mercado (trust,
cartelización, acuerdos y fijación de precios, limitación
volúmenes o condiciones)
No compartir información o iniciar rumores
Considerar las reuniones con competencia y analistas de mercado
Los acuerdos pueden ser un contrato o simplemente un apretón de manos
Notificación de fusiones y adquisiciones
Limitar interacciones con clientes (exclusiones, reciprocidades
“yo te compro, tu me compras”)
La información confidencial debe tener un responsable
56. Claves
Información Privilegiada
Las personas que tengan
conocimiento por razón de su
trabajo o cargo de
una información no pública
obtenida por la sociedad no
podrán utilizarla
No operar con
los valores
relacionados
Periodos restringidos
Antes de publicar las cuentas anuales y trimestrales
Ante operaciones significativas en curso
Extensión a familia y convivientes
Responsabilidad de salvaguardia de la información privilegiada
Registro de personas con información privilegiada
Relación con Protección de Activos
No trasmitirla
a terceros
57. Política de Medio Ambiente
Generalmente parte de la
política de sustentabilidad
Mejorar la performance ambiental (reducir huella hídrica,
de carbono, emisiones/impacto cero, …)
Actuación frente a incidentes medioambientales y
disposición de residuos
Cooperación con organismos y agencias gubernamentales
Green procurement
Encargado del monitoreo y reporte
Requiere campañas de concientización y auditorias
Conceptos básicos
Regulaciones nacionales y locales
Guia de mínima (países sin normas ambientales)
Salud de empleados y terceros
Protección del medio ambiente
Por cambio climático
Impactos
Reducir el impacto en el transporte
Reciclado y menor empaque de productos
Minimizar la generación de residiuos
Uso eficiente de energía y agua
Uso de biodegradables
Adicionales
59. Entrenamiento
Áreas
Código de ética a nuevos ingresos y por campañas a colectivos
de empleados
Políticas de prevención de corrupción, fraude y sobornos
Sobre valores como el abuso de empleados
Especializados a departamentos con riesgos operativos de errores
La cultura organizacional comienza en el entrenamiento
Comunicar programas sobre compliance dentro de los diferentes grupos de empleados es la base de
construcción de la cultura del cumplimiento e incentiva el diálogo entre departamentos.
No se puede cumplir lo que no se conoce.
Formalizar asistencia, evaluar en pruebas y medir en encuestas. Responsable:
¿HR o CCO? Sitio de intranet. ¿Online, videos, presencial, autoestudio?
Monitorear avances
60.
61. ¿Cuáles son
las
alternativas?
¿Es legal y
consistente
con el espíritu
de la ley?
¿Está prevista
en el CoCo y
es consistente
con nuestros
valores?
¿Cuáles son
los hechos?
¿Cómo
implica cada
alternativa en
mí?
¿Cómo
implica cada
alternativa en
la sociedad y
la empresa?
¿Quiénes son
los afectados
de las
alternativas?
Entrenamiento sobre Ética
62. Entrenamiento
Invitar a un directivo reconocido dentro del
grupo objetivo para compartir sus valores y
liderazgo. “Esto es importante”
Obtenemos su patrocinio y credibilidad
Nos dan una visión única desde la dirección
El directivo se compromete con compliance
Mensaje único
Ponente
invitado
Planteamos un escenario hipotético y realista
para desarrollar con el grupo diferentes cursos
de gestión del caso.
Pueden tener un contenido regional/local
Practica con escenarios comunes
Hay mayor discusión y conocimiento del grupo
Presión de paresCasos
reales
Invitamos a un especialista sobre cierta
función, que describa los riesgos de falta de
cumplimiento y cómo efectuar controles
Conocimiento profundo sobre cierto riesgo y
sus controles
Visibilidad del especialista
Específicos
para un
riesgo
Principio “Nuestra gente defiende lo que es
involucrada a construir”
Permitir grupos de discusión para compartir
experiencias y mejores prácticas
Generar redes de conocimiento
Inspiración para alcanzar mejores prácticas
Reconocimiento de quienes efectúan mejores
controles
Compartir
conocimiento
65. Entrenamiento – Grupos
Políticas claves
Cambios de normativas
Principios de reporte contable
Controles sobre fraude
Aprender de los errores (ej. multas,
demandas)
Welcome pack + Inmersión
Canal de consultas
Mensajes de correos
Daily learning
Documentar asistencia
Pruebas
Recepción de políticas
Calidad
Frecuencia
Todos los empleados
Orientados a departamentos
Ventas
Marketing
Legales
Finanzas
66. Sanción .
Objetivos de
Mejora
Protocolo de Disciplina
Cultura
Compliance
Performance
Aclarar que las responsabilidades
dependen de la definición de cargo
Aclarar y separar infracciones:
• Performance
• Conducta
• Violación a políticas/ley
• Falsificación
• Fraude y abuso activos
• Acoso
• Drogas y alcohol
1 – Entrevista
con
supervisor
2 – Entrevista
con RH
Nota firmada por ambos
Próxima a la falta
Resguarda legajo
Acción correctiva
Comité de ética
Escalable en sanciones , s/recurrencia
Dar flexibilidad
Tolerancia cero al código ético
Entrevista
Salida
Equidad
Investigación
67. ¿Cómo
gestionamos
un fraude
detectado?
Protocolo de Investigación Fraude
Los gerentes son
responsables de detectar
posibles fraudes
¿Reporte al:
• comité de auditoria
• Auditores externos
• ExCom
• RH - disciplina
• Supervisor/Área
• Fraudulento
• Policía/Medios
Encargado
¿Auditoria
interna?
¿control interno?
¿legales?
y de reportar
posibles
fraudes para
investigar
No investigaciones personales
Garantizar la confidencialidad
Garantizar total acceso a
información al investigador
Registro de reportes
Garantizar la preservación de la documentación
Involucrar al menor número de personas
Posibilidad de contratar especialistas contables y
legales
Quién evalúa la necesidad de extender la investigación
Necesidad de evaluar las pérdidas para ajustes
Protección del investigador
Determinar la mejora en el sistema de controles
Plan de Respuesta al Fraude
69. Formalización del programa
Documentar acciones y aprobaciones del cumplimiento del plan de
performance
Protocolo de documentación
• de controles: efectuó/controló + firma/fecha
• acciones de formación: asistencia + materiales distribuidos + pruebas
• de manuales y políticas: control de versiones y aprobaciones
• de acciones en el canal de denuncia
• constancias de recepción de políticas (ej. firma código conducta)
• reportes y minutas de reuniones de comités (especialmente de
cumplimiento)
Quien efectúa el control debe formalizarlo y retener el soporte en forma
organizada y trazable a una operación controlada
El CCO debe tener acceso a la totalidad de la documentación
70. Formalización del programa
Doble objetivo
Corporate defense
demostrando la eficacia
del modelo
Responsabilidad del
compliance officer
Monitoreo
del
programa
72. ISO 19600:2014
Guías para un Sistema de Compliance
Principios de buen gobierno corporativo, proporcionalidad, transparencia y sustentabilidad.
Construye transversalmente la superestructura de compliance
4.1. Identificación de
asuntos externos e
internos
4.2 Identificación de
requerimientos de
terceros
4.3/4 Determinación
del alcance del
sistema de gestión
4.4 Principios del buen
gobierno
5.2 Establecer una
política de
cumplimiento
Establecer
EntenderelContexto
73. ISO 19600:2014
Guías para un Sistema de Compliance
4.5/6 Identificar las
obligaciones de
cumplimiento y sus
riesgos
6 Planear los planes
de acción sobre
riesgos
8 Planear operaciones
y controlar los riesgos
de incumplimientos
9 Evaluar el
desempeño y reporte
de cumplimiento
Mejora continua sobre
incumplimientos
Mejorar
5.1 Compromiso, liderazgo
e independencia
5.3 Responsabilidad
7 Funciones de soporte
Evaluar
Mantener Desarrollar
Implementar
74. Modelo 3 Líneas de Defensa
Gerentes de
Operaciones
Control Interno
Control Financiero
Gestión de Riesgos
Compliance y Normas
Auditoria Interna
Senior Management
Auditoria Externa
Regulador
ExCom & Comité de Auditoria
1° Línea
Responsabilidad
2° Línea
Control y Guía
3° Línea
Reaseguro
75. British Standard 10500:2011
Único marco en el mundo desarrollado para dar un sistema de buenas
prácticas y medir el riesgo penal.
• Iniciado en 2011 para cumplir con medidas de anticorrupción
- UK Bribery Act de 2010
• Orientado a delitos domésticos como internacionales
• Semilla de un estándar global en desarrollo
- ISO/PC 278:2014 Anti-bribery management systems
- ISO/CD 37001:2015 Anti-bribery management systems
- AS 8001:2008 Fraud and corruption control
76. British Standard 10500:2011
Recursos a
controles
Comunicación
Políticas
Entrenamiento y guía
De las responsabilidades en Compliance
Canal de denuncias
Contra la corrupción
De Contrataciones
De regalos y donaciones
De investigación y disciplinarias
Contractuales
Financieros
De compras y comerciales
Relación efectiva con:
Directorio
Auditoria interna
SistemadeGestión
77. British Standard 10500:2011
Hoja de Ruta
La norma nos da una mejor práctica para planear las tareas de implementación de un sistema de gestión para
prevenir la corrupción corporativa
Pasos claves para implementar un sistema de gestión
Obtener el compromiso del directorio
Dar objetivos, autoridad y recursos a la nueva unidad de cumplimiento
Nombrar al líder apropiado
Conducir una evaluación de riesgos en función de cada negocio
Evaluar como implementar una política de prevención de corrupción
Escribir la política
Diseñar o modificar las políticas y controles relacionados
Implementar la política de prevención
78. British Standard 10500:2011
Obtener el compromiso del Comité
Encontrar el patrocinador adecuado en el Comité
Darle a este patrocinador toda la información sobre los riesgos
Proponer al Comité un plan con metas detalladas y reportes a generar
Este plan debería ser firmado por todos los miembros
Entrenar a los miembros del Comité sobre compliance penal
Hoja de Ruta
El problema de vender la iniciativa a alto nivel corporativo es que nadie ve los beneficios si nuestras medidas
de prevención del delito funcionan. Por otro lado, esperar incidentes para tener atención no es posible.
79. Certificaciones del CCO
Certificados y Programas en Madrid
Certificado Avanzado en Cumplimiento Normativo
+ International Compliance Association
+ International Compliance Training
+ Impact on Integrity España
Diploma Certificado de Compliance Officer
+ Universidad Complutense de Madrid
+ Cumplen - Asociación de Profesionales de Cumplimiento Normativo
Programa Avanzado de Compliance
+ Law School del Instituto Empresa
Posgrado en Compliance
+ Universidad Carlos III con colaboración de KPMG
Un camino necesario con amplia nueva oferta
Analizar el programa para cada industria, especialmente servicios financieros o empresas, y compensar el
perfil “débil”, jurídico o de control.
80. La documentación como
responsabilidad del CCO
Debido control a documentar
Responsable de supervisar el sistema de prevención de riesgos penales
Poder delegado del consejo (solo aquellas responsabilidades delegables)
Necesita un modelo aceptado de aplicación
Estatuto Profesional del Compliance Officer de CUMPLEN (art. 30, cumplimiento de leyes aplicables)
Responde por incumplimiento negligente de tareas delegadas, por ejemplo
no formalizado buenas prácticas corporativas en el código de ética y sus políticas accesorias
no haber impulsado controles sobre riesgos penales materiales
el encubrimiento o la participación en un delito corporativo
Necesita informar los riesgos de compliance y los incumplimientos
La gestión de un sistema de gestión de riesgos penales sin ser el
propietario
81. Quis custodiet
ipsos custodes?
Compliance audit
• Reaseguro que el CCO aplica el
programa de compliance aprobado
• Independiente
• Controles, IT, regulaciones, vendors
• Materialidad más alta
82. Compliance Audit
Tácticas
Debemos dejar un responsable por el reaseguro de compliance
Enriquecer los programas de auditoria interna
Centralizar el conocimiento en una función específica
Interés creciente sobre contract compliance
Alcance sobre gobierno corporativo…
….. pero también sobre ciclos operativos
Problemática
Hay acciones de cumplimiento que escapan del control financiero y operativo ordinario. Estas acciones
necesitan tener un reaseguro sobre aspectos normativos claves, con revisiones selectivas y rotativas.
84. Auditoria
• ¿Hacemos lo
que decimos que
debemos hacer?
Compliance
• Si hacemos lo
que decimos que
hacemos, ¿qué
requerimientos
vamos a
cumplir?
Compliance Audit
87. Equipos chicos de compliance
Dispersión geográfica
Complejidad (ej. sindicatos).
Ambassadors
Compliance Ambassadors
Aprobadores
¿Quienes dan recursos al
programa?
DG, Com. Ejecutivo
Facilitadores
¿Quienes coordinan el
programa?
Gerentes
Socios
¿Quienes impulsan el
programa?
Legales, Recursos
Humanos, Auditoria
Programa de
Compliance
88. Compliance Ambassadors
Claves del programa
Genuina sensibilidad por compliance y ética, tiempo e independencia
Reconocidos en sus áreas
Tienen otras funciones en campo: RH, Legal, CI, financieros Desarrollo
No consumen el presupuesto ni el headcount de Compliance (1 c/1k empleados)
Expanden nuestra presencia física (conferencias mensuales con ellos)
Función rotativa, por ejemplo, a dos años
Deben identificar y actualizar riesgos
Comunican el código de conducta y politicas de gobierno
Resuelven investigaciones y planes de acción
Aprueban y siguen conflictos de interés
Pueden llevar a cabo auditorias de compliance
Recolección y control de datos de compliance (nos ahorran tiempo en reportes)
Sostienen el programa de compliance y multiplican en esfuerzo
del CCO con responsabilidades delegadas
89. ¿Cómo
gestionamos
una denuncia?
Canal de Denuncias
Objetivo
Ayuda a resolver una cuestión ética
Reporte de potenciales infracciones:
• Al código de ética
• Delitos
• Fraude
• Cuando se pone en peligro la seguridad
Registro y adjuntar los datos brindados y pruebas
Evaluación preliminar: procede o desestima
Investigación: El denunciante lo hace porque cree habrá una investigación
Comunicación de la conclusión
• probada
• infundada buena fe
• infundada mala fe
Comité de ética: involucramiento de la alta dirección por cultura
Alcance
Directores, empleados, contratistas,
pasantes, proveedores, y clientes
Confidencialidad - ¿Anónima?
Sin represalias por buena fe
Medios: teléfono, email, correo, sitio
90. ¿Cómo
gestionamos
un fraude
detectado?
Protocolo de Investigación Fraude
Los gerentes son
responsables de detectar
posibles fraudes
¿Reporte al:
• comité de auditoria
• Auditores externos
• ExCom
• RH - disciplina
• Supervisor/Área
• Fraudulento
• Policía/Medios
Encargado
¿Auditoria
interna?
¿control interno?
¿legales?
y de reportar
posibles
fraudes para
investigar
No investigaciones personales
Garantizar la confidencialidad
Garantizar total acceso a
información al investigador
Registro de reportes
Garantizar la preservación de la documentación
Involucrar al menor número de personas
Posibilidad de contratar especialistas contables y
legales
Quién evalúa la necesidad de extender la investigación
Necesidad de evaluar las pérdidas para ajustes
Protección del investigador
Determinar la mejora en el sistema de controles
Plan de Respuesta al Fraude
91. Sanción .
Objetivos de
Mejora
Protocolo de Disciplina
Cultura
Compliance
Performance
Aclarar que las responsabilidades
dependen de la definición de cargo
Aclarar y separar infracciones:
• Performance
• Conducta
• Violación a políticas/ley
• Falsificación
• Fraude y abuso activos
• Acoso
• Drogas y alcohol
1 – Entrevista
con
supervisor
2 – Entrevista
con RH
Nota firmada por ambos
Próxima a la falta
Resguarda legajo
Acción correctiva
Comité de ética
Escalable en sanciones , s/recurrencia
Dar flexibilidad
Tolerancia cero al código ético
Entrevista
Salida
Equidad
Investigación
93. Tu riesgo es mi riesgo
Valores
Pol. Compras
Pol. Inventarios
Pol. Administrativas
Seguros
Contratos marcos
Precios y descuentos
Condiciones de entrega
94. Objetivos
Vendor Compliance Program
Prevenir y minimizar las disputas
Mejor selección y desarrollo de proveedores
Sistema de incentivos al cumplimiento
Estandarizar y consolidar operaciones
Portales para mejorar la comunicación
Externa
Interna: ventas, operaciones, finanzas, compras y compliance
Simplificar el departamento de compliance
Mejorar la toma de decisiones de contratación (no solo por precios)
Reducir el riesgo de fraude y penal
Cumplir con las obligaciones y objetivos de compras analizando
la actividad de compra. El programa es un valor al proveedor.
95. Políticas
Sistema normativo de compras
Procedimiento de compras
Planeamiento, negociación, terminación, P-Card, eProcurement
Selección de nuevos proveedores
Firma del código de ética y conocimiento de la linea de denuncia
Aprobación, documentación legal y fiscal, permisos, seguros
Análisis de solvencia y cauciones
Contratación con funcionarios públicos, agentes y otros riesgos especiales
Aceptación de bienes y servicios y facturación
Gestión del maestro de proveedores
Accesos y SoD, Data cleansing (duplicados, relacionados, inactivos)
Gestor de documentos
Calificación anual de proveedores
Simplificar los requerimientos a los proveedores y su
actualización
97. Auditoria de 3ras Partes
¿Cómo nos orientamos a los riesgos?
a Hacienda
a seguridad
al
medioambiente
a propiedad
intelectual
sobre datos
personales
Mínimamente
orientarnos a
estos riesgos
penales
98. Auditoria de 3ras Partes
Compras en los
últimos 3 años
+ presupuesto
si es posible
Cantidad de Datos Sensitivos en Poder del
Proveedor
Naturaleza del Servicio y Geografía
Marco Contractual
Marco Legal (laboral, corrupción, ambiental, fiscal)
Madurez del Proveedor (riesgo de
fraude/compliance/lavado)
Objeto de Auditorias
Proveedor A
Grupo de Proveedores B
Compras de Materiales C
¿Cómo nos orientamos a los riesgos?
99. Auditoria de 3ras Partes
Responsabilidades y riesgos con proveedores
Accidente en nuestros sitios sin seguro
Pérdida de licencias y permisos (o contratarlos sin ellas)
Quiebra del proveedor
Proveedores informados “watch lists”
Agentes e intermediarios siendo oficiales públicos
Responsabilidad por etiquetado (el “bife” con ADN de caballo)
Pagos a paraisos fiscales
La mitigación de riesgos de proveedores generalmente implica
bajo coste relacionado con los beneficios.
100. Auditoria de 3ras Partes
Due Diligence del Know Your Vendor
Riesgo diferente de fusiones, adquisiciones y joint venture
Operaciones que suman el business plan y generalmente financiación bancaria
Documentar todo el proceso (para exculpar posibles culpas)
Revisión de propietarios legales y gestores (y su núcleo familiar)
Investigaciones ocurridas, reclamos judiciales por corrupción
Intervención de oficinales públicos, subcontratistas
Riesgos de derechos humanos
OECD Guidelines for Multinational Enterprises 25/5/11
Que garanticen libertad sindical, anti discriminación, legislación horarios
Explicar a los empleados del proveedor que nuestras entrevistas son confidenciales
Revisión de centros de cómputos y seguridad de nuestros datos
Todos los nuevos proveedores, agentes y socios deben declarar su situación
sobre a riesgos establecidos y algún órgano debe evaluar y aprobar su solicitud
para licitar.
101. Auditoria de 3ras Partes
Controles Comunes (vincularlos a un sistema de puntos)
Revisión de dirección y socios
Aseguramiento sobre conflictos de interés
Cumplimiento de contrato y nuestras políticas (confidencilidad, prop. Intelectual)
Pago de obligaciones fiscales, garantías y seguros
Riesgo fraude del “falso autónomo”
Revisión del proceso de contratación, aprob. cláusulas negociadas y finalización/rescisión
Revisión de calidad y conformidad de productos
Facturación y cargos contra documentación
Revisión de documentación
Visitas al proveedor (ej. condiciones de almacenaje, mantenimientos)
Plan de contiunidad de negocios con proveedores
Entrenamiento a sus empleados (especialmente HS&E)
El programa de revisión no es completar conforme o no en una
checklist sino ayudar al proveedor a mitigar riesgos
102.
103. Medición
Índices a seguir
Resultados de la revisión de auditoria de compliance e interna
Grado de cumplimiento de los programas de entrenamiento
Horas de entrenamiento brindado
Volumen de denuncias reportadas
Resultados de las denuncias
Encuestas de satisfacción de empleados
Evaluaciones independientes
Monto de multas y otras penalidades
¿Cómo medir el retorno de la función del
Compliance Penal?
Liability for wrongdoing by contractor
FCPA = Ley Anticorrupción para el Extranjero de Estados Unidos (LAE). También la Ley Anticorrupción de 2010 de UK, ni siquiera permite pagos facilitadores y pequeñas prácticas corruptas como para tramitar formularios de aduanas o sellar visados
Centrarse en actividades donde se cree el valor (Por ejemplo, en una empresa de Oil&Gas integrada, puede darse que mucho del esfuerzo de ERM se centre en inventarios, refino y contabilidad, cuando el valor se crea en exploración).
31 delitos por los que puede ser condenada una empresa: Una empresa puede ser condenada por la comisión de cualquiera de los siguientes delitos (tipicidad del código penal):
Medios de pagos: Delitos de falsificación de tarjetas de crédito y débito, y cheques de viaje (artículos 399 bis CP).
- Delitos contra la intimidad y el allanamiento informático (Art. 197 CP). Consiste en descubrir secretos o vulnerar la intimidad de otro, sin su consentimiento, apoderándose de sus papeles, cartas, mensajes de correo electrónico, interceptando sus telecomunicaciones o utilizando artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen; o en acceder sin autorización a datos o programas informáticos contenidos en un sistema informático.
- Delitos de Insolvencias Punibles (Art. 261 Bis CP). Consisten en alzamiento de bienes o realización de actos de disposición patrimonial en perjuicio de los acreedores.- Delitos de Daños Informáticos (Art. 264 CP).Consisten en obstaculizar o interrumpir el funcionamiento de un sistema informático ajeno, introduciendo, transmitiendo, dañando, borrando, deteriorando, alterando, suprimiendo o haciendo inaccesibles datos informáticos.Los delitos más corrientes que pueden cometer las personas jurídicas desde el día 23 de diciembre son los siguientes:
Contra la intimidad y allanamiento informático (art. 197 CP)
Estafa (art. 251 bis CP)
Insolvencias punibles (art. 261 bis)
Informáticos -hacking- (art. 264 CP)
Contra la propiedad intelectual e industrial (art. 288 CP)
Contra el mercado y los consumidores, entre los cuales destacan los delitos de descubrimiento y revelación de secretos de empresa (art. 278 a 280 CP)
Publicidad engañosa (art. 282 CP), de facturación fraudulenta (art. 283 CP)
Información privilegiada (arts. 284.3 y 285 CP)
Corrupción entre particulares (art. 286 bis CP)
Blanqueo de capitales (art. 302 CP)
Contra la Hacienda Pública (art. 310 bis CP)
Sobre la ordenación del territorio (art. 319 CP)
Contra los recursos naturales y el medio ambiente (arts. 327 y 328 CP)
Cohecho (art. 427 CP)
Tráfico de influencias (art. 430 CP)
Prevención de conductas imprudentes
Los comportamientos que pueden generar responsabilidad penal para la empresa pueden ser dolosos o imprudentes. En la circular de la Fiscalía se recuerda que sólo cuatro grupos de conductas imprudentes son susceptibles de general responsabilidad penal para las empresas:
Las insolvencias punibles
Los delitos contra los recursos naturales y el medio ambiente
El delito de blanqueo de capitales
Los delitos de financiación del terrorismo
Esta información debe ser aprovechada por las empresas y sectores con un riesgo inherente alto en alguno de estos cuatro puntos, ya que así saben donde tienen que concentrar su esfuerzos de prevención y formación.
Se entiende que la prevención de los comportamientos dolosos exige una gran inversión en medidas de control y detención, mientras que la prevención de los comportamientos imprudentes exige destinar más recursos a la información, la formación y la sensibilización.
Proceso de compras:
Hay subrocesos: Ej. Generación de contrato: 1- Estrategia, 2- Armado de propuestas, 3- Dar precioobjetivo: La identificación de las actividades o procesos que generan o aumentan el riesgo de comisión de los delitos;
Identificar maniobras
Identificar controles existentes
Posterior reflexión sobre la suficiencia o insuficiencia de los controles sobre las mismas
US corporate criminal liability
Marco ERM escalable
Grado adecuado de detalle
Involucrar a todos los participantes
…inclusive los externos (consultores)
Análisis al futuro
Objetividad de valuaciones
Cualitativo vs. cuantitativo
No olvidar monitorear riesgos de bajo impacto
Involucrar aprobaciones del Sr. Mgmt
Documentar
Enfoque “Top Down”: Son aquellos que surgen a entity-level, fácilmente identificables, gestiona el board
Evaluación de tendencias y estrategias: iniciativas estratégicas (de crecimiento), performance de las líneas de negocios, resultados de las entrevistas de egreso de personal, encuestas de ambiente laboral (sector de ética), cambios en el organigrama de compliance, provisiones legales
Entrevistas con encargados de compliance y process owners
Auditoria: Resultados de SOX 404, hotline, CSA, investigaciones
Análisis de industria: Industry reports, memoria al balance.
Requerimientos regulatorios: inspecciones, multas, acuerdos parajudiciales, propuestas de nuevas leyes (riesgos emergentes), investigación sobre la competencia
More forward-looking is the use of leading indicators to anticipate risks that may occur.
Orientación a la acción
Responsabilidades: CRO,
Etapas para integrar compliance a la gestión (mayor factor de éxito para esta iniciativa: involucrando a empleados, integrando regulaciones diversas en un sistema, ayudando al entendimiento de regulaciones).
Asignar responsabilidades a los dueños de los procesos – La percepción de la necesidad de compliance disminuye con las responsabilidades (Kearney: 68% del top mgmt tiene una percepción positiva de compliance vs. 19% del nivel más bajo)
Cuáles son las funciones de un Responsable de Control Interno & Compliance. Ideas para motivar una cultura de cumplimiento normativo desde el gobierno corporativo
Involucrar a expertos y resolver el punto de equilibrio entre riesgos y carga administrativa – La carga administrativa disminuye la adherencia. No podemos definir procesos sin tener en mente a compliance.
El Código Ético: requerimientos, implementación y difusión. Requerimientos SOX y reportes en compliance (ej. Hotline). El sistema normativo. Cómo elaborar un mapa de riesgos de cumplimiento normativo y regulatorio: herramienta crucial para identificar, tratar y seguir los riesgos de incumplimiento en una corporación energética. Estrategias para priorizar esfuerzos. Recorrido por los principales tipos de regulaciones a nivel internacional en energía.
Generar controles para reducir los riesgos de no cumplimiento en procesos claves – Conexión al sistema de control interno. Proceso de mejora continua.
Tipos de auditorías de cumplimiento recomendadas para cada caso. Identificación de tendencias, herramientas para detectar operaciones sospechosas y el papel de la business intelligence. Estrategias para comunicar pautas de cumplimiento a las unidades de negocio en el ejercicio de la actividad energética. Materiales de referencia para implementar programas de cumplimiento
¿Qué llevarse? Un conjunto de herramientas e ideas para priorizar los riesgos legales y de compliance para desarrollar planes de mitigaciòn.
Nota: Enfoque a compañías multinacionales (incluyendo US aunque no buscando que sean solo especificas de un país).
Todos los grupos de negocio y áreas de actividad
Todos los niveles de responsabilidad
Todos los tipos de operaciones
ISO 31k
Sistema de Control Interno sobre la Información Financiera
Politicas incluye best practices
CODE OF ACCOUNTING PRACTICE AND FINANCIAL REPORTING https://www.westpac.com.au/docs/pdf/aw/ic/Code__accounting_practice_f1.pdfCode of ethics for senior finance officers
http://www.lilly.com/about/business-practices/ethics-compliance/code-of-conduct/Pages/code-of-conduct-financial-management.aspx
CODE OF ACCOUNTING PRACTICE AND FINANCIAL REPORTING https://www.westpac.com.au/docs/pdf/aw/ic/Code__accounting_practice_f1.pdfCode of ethics for senior finance officers
http://www.lilly.com/about/business-practices/ethics-compliance/code-of-conduct/Pages/code-of-conduct-financial-management.aspx
Conducting business on behalf of the Company with immediate family members, which include spouses, children, parents, siblings and persons sharing the same home whether or not legal relatives.
Using the Company’s property, information or position for personal gain.
Conducting personal business with vendors, suppliers, competitors or customers of the Company.
Actual or potentially conflicting interests (including but not limited to any material transaction or relationship that reasonably could be expected to give rise to a conflicting interest) must be reported to the Company’s General Counsel. Many conflicts of interest can be resolved in a mutually acceptable way, but they must be disclosed to the Company’s General Counsel. Failure to disclose a conflict or a potential conflict of interest may lead to disciplinary action, up to and including termination.
Alinear R y A según nivel de autoridad: A tiene más cargo de R
Solo hay una A en cada tarea
Cada A debe tener un poder (nivel de autoridad) adecuado
Las personas en C y I deben ser un mínimo
Sumar todas las Rs en una columna para ver si una persona está haciendo mucho
Sumar todas las As en una columna para ver si una persona tiene la correcta segregación de funciones (muchas As es confuso o genera un cuello de botella)Si una persona no tiene ni R y As, su posición puede ser eliminada
Alinear las Rc y las As a la calificación de cada cargo/persona
En un informe de 2007 Agencia Española de Protección de Datos estableció las líneas de denuncia serían confidenciales, pero no anónimas, para garantizar la exactitud e integridad de la información. Se recomienda externalizar el servicio para garantizar la imparcialidad.Primer medio de contacto o segundo luego que fue al supervisor, al secretario general o recursos humanos. Si admitimos el reporte por el supervisor (cuando no es parte de la sospecha), igualmente {el debe reportarlo para que quede registro.
La politica debe guiar al denunciante antes del proceso (ej. Que guarde evidencia, calmarlo, que relate solo hechos, que no son un “traidor”, recuerde fechas). Hay que darle al denunciante un tiempo esperado de acción, explicar quien sigue el tema, y asegurarle que está protegidoEn general el denunciante tiene motivos altruistas, y no está perjudicado
SOX 301: Nos pide un procedimiento de denuncias (de fraude contable y que pueda ser anonimo)
SOX 1107: hasta 10 años de carcel y multas si hay represalias al denunciante
n practical terms, whistleblowing occurs when a worker raises a concern about danger or illegality that affects others (e.g. clients or their employer). The person blowing the whistle is usually not directly, personally affected by the danger or illegality. Consequently, the whistleblower rarely has a personal interest in the outcome of any investigation into their concerns. As a result, the whistleblower should not be expected to prove theircase; rather he or she raises the concern so others can address it.
Entretenimientos no admitidos: brindados en locaciones donde no se presta el servicio, lujosos, en fechas de alto turismo o celebraciones
Concepto de "work made for hire” que un empleado hace en alcance de su resposabilidad de trabajo, y fue comisionado.
Secretos comerciales implica el saber hacer algo eficientemente.
Los consultores ceden su propiedad intelectual si fueron contratados para eso y hay un acuerdo previo
¿Cuáles son los hechos?
¿Está prevista en la guia y es consistente con nuestros valores?
¿Es legal y consistente con el espíritu de la ley?
¿Cuáles son las alternativas?
¿Quiénes son los afectados de las alternativas?
¿Cómo implica cada alternativa en la sociedad y la empresa?
¿Cómo implica cada alternativa en mí?
Nota: deliberadamente no dar lo mejor de las habilidades (negligencia y ausentismo (dormir en el trabajo)) es performance. Por ejemplo, no cumplir con deadlinesPasos: Aviso verbal, aviso escrito, aviso escrito final, suspensión, despido -> Impacto en ascensos, aumentos saliariales,
3 casos: Error excusable, error no excusable, acción deliberada
Explicar ofensa, escuchar razones, dar una alternativa de una acción aceptable
En el despido se solicita se escolte el empleado hasta fuera de la oficina
Aclarar que en fraude, se denuncia penalmente
P
El encargado de investigar debe ser independiente
Se puede poner un reporte en las cuentas anuales
Advertir a los empleados que su comunicación por medio de activos de la empresa puede ser monitoreada mientras sea justificada y ante un delito presunto y de acuerdo a la legalidad.
Esta política debe indicar como resguarda las pruebas para que sirvan como elementos de defensa
El reporte de fraude a la policía muchas veces no se efectúa para evitar daños reputacionales
Limites legales para la investigación- Tribunal Supremo (TS) como del Constitucional ha marcado los límites que puede encontrarse el responsable de cumplimiento a la hora de acceder y controlar los recursos puestos a disposición del trabajador, como el ordenador.Artículo 20 del Estatuto de los Trabajadores: la empresa podrá adoptar medidas de control y vigilancia para verificar el cumplimiento por el trabajador de sus obligaciones y deberes.
https://www.iso.org/obp/ui/#iso:std:iso:19600:ed-1:v1:enbasado en el Australian Standard AS3806:2008, y es superestructura de cumplimiento que introduzca sistemática y consistencia en la gestión de sus diferentes ámbitos de cumplimiento
Marco Aleman Compliance Management Systems (CMS), IDW AssS 980 de 2011 por el Instituto Alemán de Auditores Públicos (IDW) ISO 19600 Clause 4.1 Understanding the organization and its context
A.4.1 The organization has determined external and internal issues that are relevant to its purpose and that affect its ability to achieve the intended outcome(s) of its compliance management system.
ISO 19600 Clause 4.2 Understanding the needs and expectations of interested parties A.4.2 The organization has determined:
the interested parties that are relevant to the compliance management system; and
the requirements of these interested parties.
ISO 19600 Clause 4.3 Determining the scope of the compliance management system
A.4.3 The organization has determined the boundaries and applicability of the compliance management system to
establish its scope.
NOTE: The scope of the compliance management system specifies the geographical and/or organizational boundaries as well as the compliance risks to which the compliance management system will apply.
A.4.4 The scope is available as documented information.
ISO 19600 Clause 4.4 Principles of good governance
A.4.5 The organisation has established a compliance management system which meets the following governance
principles:
1. direct access of the compliance function to the governing body;
2. independence of the compliance function;
3. appropriate authority and adequate resources allocated to the compliance function.
ISO 19600 Clause 4.5 Compliance obligations
A.4.6 The organization systematically identifies its compliance obligations and their implications for its activities.
A.4.7 The organization documents its compliance obligations.
A.4.8 Processes are in place to identify new and changed laws, regulations, codes and other compliance obligations.
A.4.9 Processes are in place to evaluate the impact of the identified changes and implement any necessary changes in
the management of the compliance obligations.
ISO 19600 Clause 5.2 Compliance policy
A.5.2 The governing body and top management of the organization have established a compliance policy.
A.5.3 The compliance policy articulates:
1. the scope of the compliance management system;
2. the application and context of the system;
3. the responsibility for managing and reporting compliance issues;
4. the required standard of conduct and accountability; and
5. the consequences of noncompliance.
A.5.4 The compliance policy is:
1. available as documented information;
2. communicated clearly with
https://www.iso.org/obp/ui/#iso:std:iso:19600:ed-1:v1:en
ISO 19600 Clause 4.5 Compliance obligations
A.4.6 The organization systematically identifies its compliance obligations and their implications for its activities.
A.4.7 The organization documents its compliance obligations.
A.4.8 Processes are in place to identify new and changed laws, regulations, codes and other compliance obligations.
A.4.9 Processes are in place to evaluate the impact of the identified changes and implement any necessary changes in
the management of the compliance obligationsISO 19600 Clause 5.1 Leadership and commitment
A.5.1 The governing body and top management demonstrate leadership and commitment with respect to the compliance
management system by:
1. establishing and upholding the core values of the organization;
2. communicating the importance of an effective compliance management system and the importance of conforming
to the compliance management system requirements
AdaptaciónGuidance on the 8th EU Company Law Directive – FERMA for Risky Swiss Cheese Model for Risk
Si creemos que compliance es caro, proveemos con la no compliance
n términos funcionales, el Compliance Officer es el responsable del sistema que permite gestionar y supervisar los riesgos penales, dar normativa interna a las empresas sobre el buen gobierno corporativo, desarrollar métodos de denuncias y sanciones, y brindar entrenamiento para asegurar que el mensaje de compromiso ético trascienda en todos los niveles jerárquicos de la empresa. Sin embargo, en función de la reciente modificación del código penal sobre laresponsabilidad penal corporativa, la responsabilidad de su cargo debe clarificarse ante eventuales actividades ilícitas de la empresa. La realidad ante decisiones que pueden generar un riesgo penal es muy compleja para el responsable de control ético, y en muchos casos colisionan en conflictos graves a distintos niveles en la empresa incluyendo el consejo de administración.
El Compliance Officer asume una función transversal de supervisor del buen curso de las acciones de negocios, y del efectivo y real cumplimiento del sistema de control a partir del poder que le haya delegado el consejo de administración. De esta forma, no tiene asignada la tarea de efectuar controles operativos, estando su rol vinculado a la gestión del sistema que permite que estos controles existan y garanticen un razonable marco de legalidad en función de riesgos penales previamente identificados. Los propietarios de los riesgos penales dependen del resto de las funciones de la empresa, así como los hayan recibido en los objetivos de sus cargos y la responsabilidad de ejercer sus controles mitigantes para lo cual cuentan con el conocimiento del negocio y demás recursos.
La responsabilidad del compliance officer está en velar que el resto de responsabilidades de control, en todas las jerarquías de la empresa, son cumplidas garantizando la obligación jurídica de debido control. De encontrarse que estas responsabilidades son incumplidas, debe observarlas en forma fehaciente cumpliendo su deber de vigilancia, así como de informar sobre las consecuencias del incumplimiento y un curso de acción correctivo propuesto a través de los canales de reportes que le hayan encomendado.
Los casos en que puede observase su falta como garante del sistema de compliance y ante la obligación de vigilancia implica el incumplimiento negligente de sus funciones delegadas. Estas pueden ser, por ejemplo, no haber articulado el programa de cumplimiento, que el canal de denuncias no garantice que sean investigadas, no haber formalizado buenas prácticas corporativas en el código de ética y sus políticas accesorias, no haber impulsado controles sobre riesgos penales materiales, y por supuesto, el encubrimiento o la participación en un delito corporativo.
Funciones a unir. Ambas deben ser independientes (de operaciones/negocio)
Auditoria -> cumplimiento de normas internas
Compliance -> que las normas internas respeten las regulaciones
Compliance Liaison Functions
The Compliance Liaison champions departmental compliance activities. In conjunction with the assigned compliance analyst/educator, the Liaison assumes responsibility to:
Raise and maintain compliance awareness;
Identify and address risk areas;
Support a proactive approach toward investigation and resolving potential compliance issues;
Communicate information on compliance priorities to department faculty and staff;
Plan and implement department education programs and training sessions;
Assist in drafting department guidelines;
Develop effective auditing/monitoring plans;
Refer issues to and collaborate with the Compliance Officer.
En un informe de 2007 Agencia Española de Protección de Datos estableció las líneas de denuncia serían confidenciales, pero no anónimas, para garantizar la exactitud e integridad de la información. Se recomienda externalizar el servicio para garantizar la imparcialidad.Primer medio de contacto o segundo luego que fue al supervisor, al secretario general o recursos humanos. Si admitimos el reporte por el supervisor (cuando no es parte de la sospecha), igualmente {el debe reportarlo para que quede registro.
La politica debe guiar al denunciante antes del proceso (ej. Que guarde evidencia, calmarlo, que relate solo hechos, que no es un “traidor”, recuerde fechas). Hay que darle al denunciante un tiempo esperado de acción, explicar quien sigue el tema, y asegurarle que está protegidoEn general el denunciante tiene motivos altruistas, y no está perjudicado
SOX 301: Nos pide un procedimiento de denuncias (de fraude contable y que pueda ser anonimo)
SOX 1107: hasta 10 años de carcel y multas si hay represalias al denunciante
n practical terms, whistleblowing occurs when a worker raises a concern about danger or illegality that affects others (e.g. clients or their employer). The person blowing the whistle is usually not directly, personally affected by the danger or illegality. Consequently, the whistleblower rarely has a personal interest in the outcome of any investigation into their concerns. As a result, the whistleblower should not be expected to prove theircase; rather he or she raises the concern so others can address it.
El encargado de investigar debe ser independiente
Se puede poner un reporte en las cuentas anuales
Advertir a los empleados que su comunicación por medio de activos de la empresa puede ser monitoreada mientras sea justificada y ante un delito presunto y de acuerdo a la legalidad.
Esta política debe indicar como resguarda las pruebas para que sirvan como elementos de defensa
El reporte de fraude a la policía muchas veces no se efectúa para evitar daños reputacionales
Limites legales para la investigación- Tribunal Supremo (TS) como del Constitucional ha marcado los límites que puede encontrarse el responsable de cumplimiento a la hora de acceder y controlar los recursos puestos a disposición del trabajador, como el ordenador.Artículo 20 del Estatuto de los Trabajadores: la empresa podrá adoptar medidas de control y vigilancia para verificar el cumplimiento por el trabajador de sus obligaciones y deberes.
Nota: deliberadamente no dar lo mejor de las habilidades (negligencia y ausentismo (dormir en el trabajo)) es performance. Por ejemplo, no cumplir con deadlinesPasos: Aviso verbal, aviso escrito, aviso escrito final, suspensión, despido -> Impacto en ascensos, aumentos saliariales,
3 casos: Error excusable, error no excusable, acción deliberada
Explicar ofensa, escuchar razones, dar una alternativa de una acción aceptable
En el despido se solicita se escolte el empleado hasta fuera de la oficina
Aclarar que en fraude, se denuncia penalmente
P
Evaluamos la habilidad de los proveedores a cumplir con sus responsabilidades de compliance