Upload
hernan-huwyler
View
361
Download
0
Tags:
Embed Size (px)
DESCRIPTION
Compliance Risk Map Mapa de Riesgos de Compliance
Citation preview
EVALUACIÓN DE RIESGOS LEGALES Y DE CUMPLIMIENTO
Compliance en Energía Madrid - Hernan Huwyler
“Todas las empresas están a sólo una mala decisión o un mal empleado de distancia de un escándalo…
… y a un titular en las noticias de una marea de juicios.” William Lytton
Ex Vice Presidente y Chief Legal Officer de Tyco
Audit SOX ACCG
Compliance
SAP/IT
Risks
1. Definir responsabilidades
lll lll
2. Integrar regulaciones a procesos
3. Monitorear cumplimiento
Funciones del CRO
Compañías <1b USD Compañías >1b USD
1. Gestión de demandas
2. Línea de denuncia
3. Revisiones y monitoreo
4. Anticorrupción
5. Gestión de observaciones de auditoria
1. Establecer estándares de conductas
2. Línea de denuncia
3. Anticorrupción
4. Resolución de issues escaladas
5. Gestión de demandas
Funciones Usuales
Promover el código de conducta y el sistema normativo Monitorear las operaciones, la efectividad del sistema
normativo y los cambios de regulaciones Revisión de políticas y procedimientos Gestión de la línea de denuncias Prevención del fraude Preparar entrenamiento sobre ética y normas Establecer herramientas para retención de
documentación Seguir no conformidades Asegurar la privacidad de datos, anticorrupción, …
Cultura de Cumplimiento
La cultura motiva las conductas, no las políticas.
Que la gente correcta haga las cosas correctas en el momento correcto.
Embeber compliance en la cultura y en la toma de decisiones.
¿Qué motiva a nuestros gerentes y empleados a cumplir? ¿Incentivos o disciplina?
“Tone at the Top”
CoCo
Entrenamiento
Mecanismo de consulta
Reporte anónimo
Disciplina por mala conducta
Evaluación de desempeño
ético
Clave, entrenamiento
Apertura de cada sesión por un director
Role play
Discutir como las acciones no éticas impactan en compañeros, clientes, testigos, comunidad
Involucrar al staff a discutir
Ajustado a seniority
Alcohol
Compliance Risks
Riesgos que pueden afectar la consecución de objetivos estratégicos por incumplir con leyes, regulaciones, políticas y estándares.
La regulación es una forma de mitigar riesgos por las sociedades modernas
Los riesgos de compliance son una parte (generalmente significante) de un programa de ERM
Compliance Risks
Standard & Poor también evalúa a las compañías por su capacidad de gestionar riesgos
La gestión de riesgos de compliance tiene impacto en el coste de capital
Encuesta 2013 E&Y
Encuesta 2013 E&Y - Planes
Designar un Chief Compliance/Risk Officer 1 Invertir en la capacidad de relacionarse con los reguladores 2 Mejora continua de la capacidad de compliance 3 Invertir en la capacidad de IT para soportar compliance 4 Capacidad de rápidamente adoptar cambios regulatorios 5 Centrar las funciones de compliance a riesgos altos 6 Expansión de compliance a proveedores y clientes 7
Evaluación de riesgos legales
1
• Definir alcance y líder
• Definir un universo de riesgos legales
2
• Seleccionar participantes para la evaluación de riesgos
3
• Distribuir materiales necesarios para los workshops
Evaluación de riesgos legales
4
• Efectuar la evaluación de riesgos
• Definir impacto y frecuencia
5 • Priorizar los riesgos críticos
6 • Crear planes de mitigación
1. Definir alcance y líder
Familiar con el ambiente regulatorio
Familiar con las políticas internas
Familiar con el negocio para evaluar impactos
Autoridad para facilitar comunicación a C-Level
Tiempo para dedicar a la iniciativa
Habilidad de resolver conflictos
Habilidad de gestionar proyectos
Habilidad de mantener confidencialidad
1. Definir alcance y líder
Si legales está a cargo
• Auditoría interna:
• soporta a legales
• efectúa revisiones de cumplimiento
• reporta riesgos relevantes
Si auditoría está a cargo
• Legales:
• soporta a AI
• delimita los riesgos que son aceptables
• reporta riesgos relevantes
Compliance Trends Survey 2013 Deloitte
2. Seleccionar participantes
• Regiones geográficas
• Profundidad (Seniority)
• Unidades de negocios
• Legal, Fi, HR, IT, expertos, consultores, investor relations
2. Seleccionar participantes
Marco ERM escalable Grado adecuado de detalle Involucrar a todos los participantes …inclusive los externos (consultores) Análisis al futuro Objetividad de valuaciones Cualitativo vs. cuantitativo No olvidar monitorear riesgos de bajo impacto Involucrar aprobaciones del Sr. Mgmt Documentar
3. Armado de Referencias Armado de material
Establecer un contexto
Coordinar los talleres
Confirmar alcances
3. Armado de Referencias
Top Down
Bottom Up
Risk registry
Fq %
Im $
3. Armado de Referencias
Impacto
•Law Enforcement
•Métrica de Volumen
Frecuencia
•Rule of Law
•Regulatory Quality
Taxonomía
FCPA Protección de
activos Antitrust Insider trading Privacidad
Controles de exportación
Retención de documentación
Seguridad de información
Compensaciones y bonos
Reporte
Sarbanes Oxley HSE Discriminación y
acoso laboral Integridad financiera
Contratos con el gobierno
Propiedad intelectual
Uso de tecnología 3rd Party
management Prácticas
comerciales Ética
Taxonomía
Riesgo de falta de cumplimiento de regulaciones de impuestos
Laborales
Societarias
Comerciales
Bancarias y financieras
De autoridades de mercados
Centrarse en actividades donde se cree el valor (Por ejemplo, en una empresa de Oil&Gas integrada, puede darse que mucho del esfuerzo de ERM se centre en inventarios, refino y contabilidad, cuando el valor se crea en exploración).
4. Evaluar riesgos
Cumplir con requisitos
Identificar riesgos legales y
regulatorios potenciales
Asistir a los responsables a
mitigarlos
4. Evaluar riesgos
• Leer el material de referencia
• Preparar su aporte a la discusión con sus riesgos funcionales con datos
Pre
workshop
• Colaborar a la discusión con otros participantes
• Presentar información sobre sus controles y riesgos
• Indicar que eventos o tendencias pueden afectar a la empresa para cumplir con leyes y regulaciones
Workshop
• Participar en los planes de mitigación
• Tomar propiedad de sus riesgos funcionales
Post
workshop
4. Evaluar riesgos
Score 1 2 3 4 5
Multas, daños e
indemnizaciones
< 1% de las ventas
1% al 3% de las ventas
3% al 5% de las ventas
5% al 10% de las ventas
> 10% de las ventas
Reputacional Sin
exposición o daño
Impacto negativo
localizado pero
recuperable
Cobertura en medios o
reguladores local
Cobertura en medios o
reguladores nacional
Cobertura sustancial en
medios o reguladores
nacional
Operacional
Sin pérdida de negocios
u operaciones
Visible pero gestionable fácilmente
Daños a clientes o grupos de
interés
Impacto severo a la
performance
Impacto catastrófico a
la BU
Estudio Costo de No Compliance Ponemon Institute LLC 2011
Costo (M USD) Promedio Máximo Mínimo
Interrupción de negocios 3,3 16,5 0
Pérdida de Productividad 2,4 6,4 0
Pérdida de Ingresos 2,1 6,5 0,2
Multas y penalidades 1,4 7,5 0,1
4. Evaluar riesgos
Score 1 2 3 4 5
Descripción Casi
imposible Rara Posible
Incidentes aislados
Incidentes repetitivos
Tiempo < Una vez
cada 5 años
< Una vez cada año
Una vez al año
Una vez al mes
Una vez a la semana
Probabilidad < 1% 1% al 5% 5% al 10% 10% al 20% > 20%
4. Evaluar riesgos
Score 1 2 3 4 5
Nivel de Control
Sin controles
implementados
Controles mayormente
inefectivos
Controles efectivos en
algunas ocasiones
Controles efectivos la mayoría del
tiempo
Controles efectivo todo
el tiempo
4. Evaluar riesgos • Ocurrencia que afecta la empresa
• Ej. Incumplir con la ley… Evento
• Consecuencia
• Ej. penalidades, daño a la reputación, responsabilidad civil de los directores Impacto
• Ej. Entrenamiento, boletines, procedimientos para gestionar quejas, obtener certificaciones, buscar consejos, designar responsable, compliance audits, cláusulas en contratos
Plan Mitigante
• Impacto o frecuencia luego del plan mitigante Riesgo Residual
Área Riesgo legal Regulación / Ley
Área Funcional
Impacto Frec. Score Control Clasif. Impacto P
ráct
icas
de
com
erci
o e
xter
ior
Sobornos en el extranjero
FCPA Foreign Corrupt Protection Act
Ventas 5 1 5 4 Reputacional
Aduanas Leyes aduaneras Ventas
1 3 3 2 Operacional
Control de exportaciones
OFAC Office of Foreign Assets Controls
Ventas
2 2 4 5 Operacional
Exportaciones de productos con doble uso
Reg. UE 428/2009
Ventas 4 4 16 5 Operacional
Boycott no sancionado a un país extranjero
Anti-Boycott Act Ventas
2 2 4 4 Operacional
Exp/Imp de químicos peligrosos
Reg. UE 649/2012
Ventas 3 4 12 1 Operacional
…. … … ….
5. Priorizar riesgos críticos
FCPA
Trade Restrictions
Reg. UE 428/2009
Reg. UE 649/2012
OFAC Anti-Boycott
Aduanas
1 2 3 4 5 Fq
Imp
act
o
1
2
3
4
5
5. Priorizar riesgos críticos
Relaciones con Gobierno Protección de clientes HSE Ética Prácticas Comerciales
EMEA APAC LATAM North America HQ
Generation Distribution Storage Solar HQ
6. Planes de mitigación
Termino: Evito o trato
inmediatamente
Tolero: Solo
monitoreo
Transfiero
Trato
6. Planes de mitigación Priorización de actividades según criticidad
Asignamos un responsable del plan
El plan se abre en tareas con sus plazos
Los planes se aprueban
Involucrar a legales
Reporte frecuente del % cumplimiento del plan
6. Planes de mitigación La implementación de planes de mitigación
pueden necesitar un cambio sustancial en la forma de pensar compliance
¿Quién es el propietario de los planes?
¿Qué procedimiento de escalamiento tienen?
¿Cuáles son los KRIs?
Un objetivo final de ERM es alinear capital
C Level+Board: Promover la buena cultura y contexto de gestión de GRC
Line Mgmt: Gestionar riesgos y
monitorear el cumplimiento
Audit: Evaluación de riesgos y controles,
recomendaciones
6. 3 Barreras en Compliance
6 ¿Cuándo se cumple una norma?
… y cuando el sujeto de los
requerimiento percibe estos
3 factores
Cuando hay altas
probabilidades que se detecte una violación
Cuando la respuesta a
una violación sea rápida y predecible
Cuando la respuesta a
una violación incluye una
sanción apropiada
6. La dimensión psicológica
6. Tips al formalizar
Un sistema normativo uniforme para todos
Alineada a riesgos …
…. alineados a regulaciones
6. Tips al formalizar
Designar un dueño de la política que negocie y tenga input con quienes deberán controlar
Integrar políticas a valores, SOX y entrenamiento
Preservar la discreción del management
Flexibilidad en las acciones disciplinarias
Actualizar políticas
6. El sistema normativo
CoCo
Políticas
Procedimientos
Instructivos
Formularios y Registros
6. Ciclo de Vida de una Política
Colabora
Autor
Aprueba
Publica
/ Constancia
Recepción
Revisa
Detecta necesidad
+. Monitoreo
Actualizar el mapa ante riesgos emergentes por cambios en la operatoria, el tratamiento de riesgos y en regulaciones.
Necesidad de seguimiento del directorio (y de compliance en generar la información)
Necesidad que el directorio actualice el nivel de tolerancia al riesgo
Recomendable: Cada 6 meses
+. Comunicación
Detrás de mucha comunicación, hay mucho costo
La comunicación incluye el entrenamiento
Riesgo: hablar en “legalesco”
Consejos:
Explicar riesgos a las responsabilidades de la mínima cantidad de empleados que deben saber.
Abarcar empleados de alto riesgo
Deloitte Compliance Trends Survey 2013
Matriz de riesgos y controles
Proceso Procedimiento Actividad Control
Nómina Envío de datos al sistema
Verificar integridad y exactitud de datos
Aprobaciones de datos fuentes Revisión log interfaces
Creación o cambio de contratos
Firma de contratos laborales o addendums
Aprobación de modelos Firma de contratos
Terminación de empleados
Aprobar las condiciones de finiquito
Aprobación de cálculos
Matriz de riesgos y controles
Proceso Procedimiento Actividad Control
Preparación de cuentas
Identificar impuestos
Listar todos los impuestos que la empresa está sujeta Analizar consecuencias fiscales de tipos de operaciones
Verificar que se utilizan consultores fiscales referidos Recon. impositiva vs contable Aprobación cómputos Monitoreo de legislación Justificación de imp. diferidos Verificación tasa IVA por actividad Test recuperabilidad de IVA
Matriz de riesgos y controles
Proceso Procedimiento Actividad Control
Determinación del alcance de los controles financieros
Guia del control interno
Análisis y revisiones de controles internos y seguimiento de recomendaciones
Verificar que toman las deficiencias de diseño y cumplimiento Verificar que el management tiene comunicación de deficiencias Firma del Co.Co Respeto de linea de denuncia Proceso de cierre de cuentas Políticas de contratación
Programa de ética y cumplimiento
Objetivo de minimizar los riesgos de una conducta ilegal.
Liderado por el Chief Compliance Officer
Ajustarlo a cada empresa y filial
Cubra a agentes, proveedores, contratistas,…
Para ser efectivo: énfasis en auditoría/monitoreo
Programa de ética y cumplimiento
“Estamos bien, nunca hemos tenido una problema serio de compliance”
“Esa clase de problemas lo sufren otros, nosotros somos más inteligentes, chicos,….”
“Ya tenemos nuestro código de ética, hotline y muchos procedimientos, ya estamos cubiertos.”
“Es un tema de legales/consejo legal, es su responsabilidad asegurarse el cumplimiento con todas las regulaciones.”
Programa de ética y cumplimiento
Código de ética
Hotline/Whistleblower
Reclutamiento de las personas correcta
Educación y entrenamiento
Comunicación a directores
AS 3806:2006 Compliance programs
Generar una política de compliance aprobada por dirección
Designar a responsables específicos para cada obligación
Identificación anual de riesgos de compliance (compliance risk profiles)
Reporte anual de incidentes de no compliance
Entrenamiento de empleados y contratistas
AS 3806:2006 Principios
AS 3806:2006 Ej Estructura
Constancia de recepción, lectura, entendimiento, conformidad,…
Compliance Audits Compliance es efectiva si tiene credibilidad de
prevenir riesgos y pérdidas
Un control es inefectivo si se percibe como esporádico
Si las auditorias de compliance aumentan, el costo de compliance per cápita disminuye
Diseño de controles preventivos y automáticos
Compliance Audits
Auditoria
• ¿Hacemos lo que decimos que debemos hacer?
Compliance
• Si hacemos lo que decimos que hacemos, ¿qué requerimientos vamos a cumplir?
Compliance Audit - Protocolos
Regulatorias
ISOs
Contractuales IT
Financieras SOX Tax
HS&E
OSHAS
Business Intelligence
Reportes Interactivos
KCIs / KRIs
Alertas & Red Flags
Exploración &
Investigación
Visualizaciones & Dashboards
BI - Embargos
Policy Country SAP Code
Full embargo Cuba CU
Full embargo Iran IR
Full embargo Myanmar (formerly Burma) MM
Full embargo North Korea KP
Full embargo Sudan SD
Full embargo Syria SY
Parcial embargo Balkans
Parcial embargo Belarus BY
Parcial embargo Cote D’Ivoire CI
Parcial embargo Democratic Republic of Congo ( CD
Parcial embargo Lebanon LB
Parcial embargo Iraq IQ
Parcial embargo Liberia LR
Parcial embargo Libya LY
Parcial embargo Zimbabwe ZW
Parcial embargo Croatia HR
Parcial embargo Serbia CS
Parcial embargo Bosnia Herzegovina BA
Parcial embargo Montenegro CS
Parcial embargo Macedonia MK
Parcial embargo Albania AL
BI – Paraísos Fiscales
SAP Code Country SAP Code Country
AD Andorra LU Luxembourg
AI Anguilla MT Malta
AG Antigua/Barbuda MU Mauritius
AW Aruba MA Morocco
BS Bahamas NR Nauru
BB Barbados NZ NewZealand
BM Bermuda NF NorfolkIslands
BA Bosnia-Herz. KP North Korea
VG Brit.VirginIs. PW Palau
KY CaymanIslands AS Samoa,America
CK CookIslands SM SanMarino
GI Gibraltar SG Singapore
HK HongKong KN StKitts&Nevis
IE Ireland TC TurkshCaicosin
LR Liberia VU Vanuatu
LI Liechtenstein
BI – Rel. Laborales Encubiertas
Fecha Factura Proveedor Imputa Monto
2/1/2013 0000015 John Doe Consultoría 4000
4/2/2013 0000016 John Doe Consultoría 4000
3/3/2013 0000017 John Doe Consultoría 4000
8/4/2013 0000018 John Doe Consultoría 4000
4/5/2013 0000019 John Doe Consultoría 4000
9/6/2013 0000020 John Doe Consultoría 6000
ΔMes → 1 σ Fct → 0 σ Mnt→ 0
GRC
La perspectiva de control interno
Los incendios son inevitables pero pueden ser controlados con extintores. Instale extintores y audite sus cargas. Resuelva cualquier deficiencia.
Documente el proceso y audite los controles. Identifique deficiencias y corrija los controles
La perspectiva de riesgos
Los incendios ocurren cuando un material inflamable se expone a una fuente de ignición. Elimine ambos factores.
Identifique y mitigue los factores de riesgos por categoría. Monitoree los KRI para advertir sobre eventos.
La perspectiva de compliance
Los incendios ocurren por la gente despreocupada. Persuada a gente que cambie su conducta y entrene sobre prevención.
Desarrolle una política. Comunique, motive y entrene a quienes pueden tener una conducta peligrosa.
Compliance Hotline
Requerida por SOX 304
En la EU: sólo para reportar cuestiones de contable, auditoría, corrupción y controles, pero no para cuestiones de privacidad de datos.
Terciarización
Por email o portal web
Tipos de Denuncias
Contabilidad, auditoria y finanzas • Fraude contable, controles internos, reporte de gastos
Integridad comercial • Corrupción, falsificación de documentos, fraude
De ambiente laboral (numerosas) • Discriminación, abuso, compensaciones, generales de gestión de personas
HSE • Incumplimiento de normas de seguridad/OHSAS, seguridad,
Apropiaciones indebidas • Uso de computadores, robo, alteración de horas
¿Porqué aumentan las denuncias?
Entrenamiento e iniciativas de comunicación
Cambios de políticas (esp. de RH)
Que la prensa cubra escándalos en competidores
Qué haya un problema real
Que hayan rumores de despidos y reestructuraciones
Cambios en regulaciones
Federal Sentencing Guidelines Conjunto de criterios de defensa uniformes
(1991)
Para todas las organizaciones públicas o privadas
Puede reducir las multas potencialmente hasta un 95% por tener un programa efectivo de ética y compliance
Federal Sentencing Guidelines Distribuir el CoCo no es suficiente
Proveer a todos los empleados y gerentes entrenamiento efectivo sobre ética y cumplimiento legal
“Prosecutors should … attempt to determine whether a corporation's compliance program is merely a ‘paper program’ or whether it was designed, implemented, reviewed, and revised, as appropriate, in an effective manner.”
US Department of Justice Principles of Prosecution of Business Organizations
Dodd-Frank Act 2010
Mejora la protección a whistleblowers
Incentiva a reportar violaciones a la Securities Exchange Act (10 a 30% de la sanción si es más de 1M USD)
Excluye a directores, auditores internos y compliance
Reporte de información original y conocida de primera mano
Aumenta la carga de la prueba en los empleadores
No requiere el uso de la hotline interna
Privacidad de Datos
¿Qué debemos proteger?
De clientes: Información no pública como número de
identificación, fechas de nacimientos, direcciones, teléfonos, nacionalidad, características físicas, nros. Tarjetas, historia crediticia, datos económicos, firmas,…
De Empleados : Información no pública incluyendo historia laboral y de nuestro reclutamiento, certificados, licencias,…
Privacidad de Datos – Auditoria Consentimiento de obtención
Registro de bases
Seguridad de almacenamiento y encriptaciones
Accesos lógicos
Transferencias de datos
Destrucción
Prácticas Corruptas Elementos
1) Un individuo, compañía, oficial público, o agente actuando en nombre de una firma con
2) La intención de corromper
3) paga, promete o ofrece pagar dinero o cualquier cosa de valor
4) a un oficial público, partido político o candidato del extranjero
5) para obtener o mantener un negocio, o una ventaja injusta en el extranjero.
Prácticas Corruptas
Esfuerzos a países de alta percepción s/Transparency Revisión de Gift and Travel & Entertainment Comparar márgenes y comisiones a agentes e
intermediarios Operaciones con gobierno y oficiales públicos Contribuciones políticas Revisión de consultores (afiliación) Revisión cuentas con riesgo, ej licencias, permisos,
comisiones, donaciones, consultoría, honorarios, reintegro de gastos,…
Due diligence de terceras partes Entrevistas con personal de desarrollo de negocios,
supply chain y aduanas, agentes,..
Prácticas Corruptas Red Flags
Pagos a un país con larga extensión de corrupción
Pagos sin un contrato
Contratos a consultores, agentes e intermediarios relacionados a oficiales públicos, sin estructura para llevar el servicio, con mala reputación, nuevos en el negocio, sin referencias…
Tarifas más altas que el promedio del país
Pagos por métodos “heterodoxos” (ej. fuera del país, solicitando cheques al portador,…)
Conflictos de Interés
Divergencia real o aparente entre intereses personales y de empresa
Procedimiento para identificar y reportar (y eventualmente evitarlos o controlarlos)
Empleo externo, regalos y entretenimiento,
Registro, declaración de interés, aprobación
Doble linea de reporte
Retención de Documentación
Estandarizar periodos de retención para necesidades legales, fiscales, regulatorias, de negocios y de auditoria
Estrategia: común a todos los países o con cuadros específicos,
global o capítulo en políticas (email, bkups,…)
Inventario de documentos Clasificaciones
Electrónicos y manuales, vitales o transitorios
Litigios en cursos
Sanciones
Clientes, proveedores, bancos y empleados informados por regímenes de sanciones (OFAC; ONU, )
Lista Specially Designated Nationals List (SDN)
Penas entre 250 K USD a M USD
Endurecimiento de relaciones con el régimen de Irán y Siria (com. exterior y financiamiento)