El documento describe los pasos iniciales para diseñar un plan de compliance, incluyendo identificar los riesgos de cumplimiento y penales a través de un mapa de riesgos. También discute cómo implementar las mejores prácticas de compliance a través de políticas, comunicaciones, recursos y sistemas de monitoreo y disciplina. El objetivo final es establecer un programa de compliance efectivo que prevenga incumplimientos y delitos.

1. Diseño de un Plan de
Compliance
01. ¿Cómo empiezo?
Hernan Huwyler – Nov 24 2015

2. ¿Qué me voy a llevar?

3. ¿Dónde terminan las
responsabilidades?
 del consejo
 de los directores
 del CCO
 ante delitos
desconocidos

4. Lo que el Compliance Officer dice
Nuestro programa de
cumplimiento es clave para
asegurar a seguir para los
riesgos de compliance y la
obtención al largo
plazo.
la línea
de resultados

5. y lo que el directorio escucha
Bla bla bla bla bla bla bla bla bla
bla bla bla bla bla bla bla bla bla
bla bla bla bla bla bla
bla bla bla bla
bla bla bla la
bla bla bla bla
la línea
de resultados

6. 01/14 Nuevas Normas Internacionales de Auditoria
Mayor visibilidad del consejo ante control interno
Auditores externos en riesgos (NIA-ES 315)
Valoración de los riesgos de incorrección material
12/14 Reforma de la Ley de Soc. de Capital
Refuerza el rol de gestión de la junta general de accionistas
Reformulan los deberes de los administradores
02/15 Código Unificado del Gobierno Corporativo
Principio de cumplir o explicar
Evaluar los conflictos de interés y consejeros independientes
 Auditoria interna identificando también riesgos no financieros
03/15 Reforma del Código Penal
Solicita un mecanismo para detectar el riesgo penal
Manual de prevención del delito
Facilitar la formación de consejeros

7. Audit SOX ACCG
Risks
SAP/IT
Compliance

8. ¿Porqué nos importa?
Consejo de Administración
de OHL México aprobó:
- Revisar el control interno
y el cumplimiento del
CoCo
- Designar un director de
compliance
- Crear un comité de
adquisiciones
Juan Miguel Villar Mir busca a los instigadores de “una campaña
de descrédito en México cuyas motivaciones no nos podemos
explicar”, ha asegurado el presidente de OHL, que esta mañana ha
hecho declaraciones a un pequeño grupo de periodistas tratando
de exculpar a su empresa del escándalo por un presunto fraude
tarifario e intento de invitación a un alto cargo público en el
Estado de Nuevo México.
El empresario ha dado abiertas explicaciones por primera vez
desde que el 6 de mayo saltaran a la luz informaciones, en el país
azteca, que involucraban a OHL en supuestas prácticas para
inflar las tarifas en la autopista Viaducto Bicentenario como
respuesta a inversiones que, probablemente, no se realizarían
jamás. Los datos que sostenían las informaciones emanan de
conversaciones telefónicas entre cuatro altos directivos de
OHL México,

9. ¿Porqué nos importa?

10. ¿Porqué nos importa?
Evitar penas,
inhabilitaciones
y multasAtenuar/eximir la
responsabilidad
Coordinar
acciones de
prevención del
fraude
Sustentabilidad
Bajar costos de
seguros
Mejora la
reputación
interna y externa

11. Estructura
Perfil
ControlLegalista
Posición de garante = Independencia * Autonomía
Acceso directo a alta dirección
 Comité de compliance (auditoria y riesgos)
 Comité de ética
 Comité ejecutivo
 Auditoria interna
 Asesoría jurídica
 ¿Externalizado?

12. ISO 19600:2014
Guías para un Sistema de Compliance
Principios de buen gobierno corporativo, proporcionalidad, transparencia y sustentabilidad.
Construye transversalmente la superestructura de compliance
4.1. Identificación de
asuntos externos e
internos
4.2 Identificación de
requerimientos de
terceros
4.3/4 Determinación
del alcance del
sistema de gestión
4.4 Principios del buen
gobierno
5.2 Establecer una
política de
cumplimiento
Establecer
EntenderelContexto

13. ISO 19600:2014
Guías para un Sistema de Compliance
4.5/6 Identificar las
obligaciones de
cumplimiento y sus
riesgos
6 Planear los planes
de acción sobre
riesgos
8 Planear operaciones
y controlar los riesgos
de incumplimientos
9 Evaluar el
desempeño y reporte
de cumplimiento
Mejora continua sobre
incumplimientos
Mejorar
5.1 Compromiso, liderazgo
e independencia
5.3 Responsabilidad
7 Funciones de soporte
Evaluar
Mantener Desarrollar
Implementar

14. Modelo 3 Líneas de Defensa
Gerentes de
Operaciones
Control Interno
Control Financiero
Gestión de Riesgos
Compliance y Normas
Auditoria Interna
Senior Management
Auditoria Externa
Regulador
ExCom & Comité de Auditoria
1° Línea
Responsabilidad
2° Línea
Control y Guía
3° Línea
Reaseguro

15. British Standard 10500:2011
Único marco en el mundo desarrollado para dar un sistema de buenas
prácticas y medir el riesgo penal.
• Iniciado en 2011 para cumplir con medidas de anticorrupción
- UK Bribery Act de 2010
• Orientado a delitos domésticos como internacionales
• Semilla de un estándar global en desarrollo
- ISO/PC 278:2014 Anti-bribery management systems
- ISO/CD 37001:2015 Anti-bribery management systems
- AS 8001:2008 Fraud and corruption control

16. British Standard 10500:2011
Recursos a
controles
Comunicación
Políticas
Entrenamiento y guía
De las responsabilidades en Compliance
Canal de denuncias
Contra la corrupción
De Contrataciones
De regalos y donaciones
De investigación y disciplinarias
Contractuales
Financieros
De compras y comerciales
Relación efectiva con:
Directorio
Auditoria interna
SistemadeGestión

17. British Standard 10500:2011
Hoja de Ruta
La norma nos da una mejor práctica para planear las tareas de implementación de un sistema de gestión para
prevenir la corrupción corporativa
Pasos claves para implementar un sistema de gestión
Obtener el compromiso del directorio
Dar objetivos, autoridad y recursos a la nueva unidad de cumplimiento
Nombrar al líder apropiado
Conducir una evaluación de riesgos en función de cada negocio
Evaluar como implementar una política de prevención de corrupción
Escribir la política
Diseñar o modificar las políticas y controles relacionados
Implementar la política de prevención

18. British Standard 10500:2011
Obtener el compromiso del Comité
Encontrar el patrocinador adecuado en el Comité
Darle a este patrocinador toda la información sobre los riesgos
Proponer al Comité un plan con metas detalladas y reportes a generar
Este plan debería ser firmado por todos los miembros
Entrenar a los miembros del Comité sobre compliance penal
Hoja de Ruta
El problema de vender la iniciativa a alto nivel corporativo es que nadie ve los beneficios si nuestras medidas
de prevención del delito funcionan. Por otro lado, esperar incidentes para tener atención no es posible.

19. Política para la prevención de
delitos y contra el fraude
El órgano de administración debe adoptar y ejecutar con eficiencia un programa
de prevención de delitos en 4 dimensiones:
• temporal: debe ejecutarse antes de la comisión del delito como medidas de
vigilancia y control
• funcional: órgano con poderes independientes de iniciativa y control
• Intencional: el programa debe prevenir un delito con intención fraudulenta
• diligencial: órgano responsable debe ejercer suficientemente el modelo de
supervisión, vigilancia y control

20. Atribución de la responsabilidad
Responsabilidad
por omisión
In vigilando
Responsabilidad
por representación
In eligendo
 Delitos en nombre o por cuenta de la
sociedad
 y en su provecho
(en sentido directo → beneficio, e indirecto, →
ahorro de costes)
por sus representantes legales y
administradores de hecho o de derecho
Delitos en el ejercicio de actividades
sociales y por cuenta y en provecho de la
persona jurídica,
por quienes, estando sometidos a la
autoridad de representantes legales y
administradores de hecho o de derecho,
han podido realizar los hechos por no
haberse ejercido sobre ellos el debido
control
Aún aunque la
persona física
responsable no haya
sido individualizada o
no haya sido posible
dirigir el
procedimiento contra
ella.
Modelos

21. Objetivos
Medidas EficientesDebido Control

22. Políticasy
Comunicación
Mapade
Riesgos
Recursos
Identificar las
actividades cuyos
delitos pueden:
- cometerse y
- prevenirse.
Verificación
periódica (ej.
multas, cambios
organizativos)
Recursos
financieros
adecuados para
prevenir el delito
Procedimientos
de adopción de
decisiones y de
ejecución
Informar posibles
riesgos e
incumplimiento al
encargado del
programa
Sistemas
Disciplinario
Sanciones
adecuadas ante el
incumplimientoTono en la
cúpula
Compliance y
sustentabilidad
Pilares del Compliance Penal

23. Fases de implementación
Venta interna de la función
Obtención del apoyo político
Designación de la función con
autoridad delegada
Identificar partes comprendidas
(“socios”) y ajustar expectativas
del alcance
Aprobar el compliance program
Asignación de presupuesto
Desarrollo de normas del “core
compliance”
Comunicación de normas
Monitoreo de controles de
compliance
demostrar que compliance
es rentable,
Auditoria
Red flags
“Regulatory inteligence”
Disciplina y acciones correctivas
Mejora continua
Mapa de riesgos de compliance y
penal
Matriz normativa
Requerimientos
voluntarios
Identificación, valuación y
priorización de acciones
Desarrollo de normas
Delegación de funciones
Seguimiento de denuncias
reportadas en el canal
Liderar Cumplir Fomentar

24. Estrategias de implementación
Ejercicio de una sola vez
Beneficios de actuar a gran
escala (ej. software, política
global)
Nos va a costar cambiarlo luego
Venta interna más difícil
Mayores socios que hallar
Flexibilidad para hacer cambios
Facilidad de implementar
Mejor venta interna
Serie de implementaciones
No tengo beneficios de escala
Me costará coordinar el
crecimiento
Global
Piloto

25. Programa de Compliance Global
Sin Gobierno Central Compliance Central Compliance Regional
HQ País
A
País
B
País
C
HQ
País
A
País
B
País
C
HQ
País
A
País
B
País
C
Región A B

26. Programa de Prevención de
Delitos
02. Mapa de Riesgos Penales
H Huwyler – Nov 24 2015

27. Universo de Riesgos
Contra el Patrimonio
- Estafas y fraudes
- Insolvencias
punibles
- Daños informáticos
/ hacking
- Contra la propiedad
intelectual
- Contra el mercado
- Revelación de
secretos
- Facturación
fraudulenta
- Falsedad en
medios de pago
Contra el Fisco
- Contra la
Hacienda Pública y
la Seguridad Social
- Blanqueo de
capitales
- Ciertos casos de
contrabando
Contra la Seguridad
Pública
- Contra la salud
pública
- Construcción ilegal
- Contra el medio
ambiente
- Relativos a la
energía nuclear y a
las radiaciones
- De riesgo
provocado por
explosivos
- Tráfico de drogas
- Contra la intimidad
y allanamiento
informático
Contra la ética
- Corrupción
privada: relativos a
la corrupción en los
negocios
- Cohecho: dádivas
y sobornos a
funcionarios públicos
- Corrupción de
funcionario extranjero
- Tráfico de
influencias
-Financiación ilegal
de partidos políticos
- Acoso laboral
- Información
privilegiada
- Delitos contra la
intimidad

28. Universo de Riesgos
Contra el Patrimonio
CFO
CIO
CISO
Data Protection
Officer
Contra el Fisco
Head of Tax
Contra la Seguridad
Pública
COO
HS&E
Contra la ética
CEO
Compliance
Auditoria Interna
Dir. Comercial
Unidad de Cumplimiento
Legales
Corporate Defense
ExCom

29. Corrupción pública o
privada
Abuso del mercado
Mapa de Riesgos - Ejemplo
Brindar servicioGeneración contrato Facturación Cobro
Fraude a seguridad social Fraude fiscal
Falsedad de medio de
pago
Blanqueo de capitales
Entrega de sobornos
Acuerdos de precios
Simulación laboral Deducciones indebidas Lavado de dinero

30. Mapa de Riesgos - Ejemplo
Entrega de sobornos
Acuerdos de precios
Simulación laboral Deducciones indebidas Lavado de dinero
Control de revisión de
cuentas de gtos
representación
Política antitrust
Control aprobación de
cálculo fiscal
Control cruzado Tax vs.
Payroll
Control aprobación de
cálculo fiscal
Know Your Customer
Comercial Tax + Payroll Tax Gestión de clientes
Tesorería
Reforzar: Business
Intelligence
Reforzar: Auditoria
Fiscal

31. Alcance del Mapa
¿Nos quedamos solamente dentro España?
- Filiales internacionales y otras sociedades subholdings
- Joint ventures
- Descentralización de funciones ejecutivas (ExComs por país)
¿Incluimos solamente los delitos atribuibles a
una persona jurídica?
- Ley del mercado de valores
- Ley de trasparencia
- FCPA
- Leyes similares en el mundo (ej. Europa (-DE), US, y
Chile)
- Legal + Ético (nuestra forma de hacer negocios)
¿Podremos sumar este trabajo a otra iniciativa en curso?
- Departamento de riesgos
- Departamento de Prevención del Fraude
- Auditoria interna (riesgos sobre procesos e investigación de fraudes)
- Departamento de compliance

32. • Regiones
geográficas
• Profundidad
(Seniority)
• Unidades de
negocios
• Legal, Fi, HR,
IT, expertos,
consultores,
investor
relations
Alcance del Mapa

33. • Ad-hoc
• Tareas no definidas
• Confianza en directores
claves
• Sin infraestructura
Inicial
• Políticas formalizadas
• Cubre toda la organización
• Metodología rigurosa
• KRIs
Definido • Modelos de medición del
riesgo
• Agregación de riesgos
• Riesgos relacionado a la
performance
• Riesgos de proyectos
• Gestión del conocimiento
Optimizado
Estrategias según madurez

34. Top
Down
Bottom
Up
Registro
Riesgos
Fq %
Im$
Alcance del Mapa

35. FCPA
Protección de
activos
Antitrust Insider trading Privacidad
Controles de
exportación
Retención de
documentación
Seguridad de
información
Compensaciones
y bonos
Reporte
Sarbanes Oxley HSE
Discriminación y
acoso laboral
Integridad
financiera
Contratos con el
gobierno
Propiedad
intelectual
Uso de tecnología
3rd Party
management
Prácticas
comerciales
Ética
Taxonomía Compliance
Normas
voluntarias

36. Mapa de Riesgos
Riesgos de Fraude
Riesgos de
Compliance Penal
Actividades
reactivas de
investigación y
disciplina
Actividades
proactivas de
prevención y
control

37. Mapa de Riesgos
1 Identificar riesgos
2 Evaluación de
impacto y frecuencia
Eventos que afectar los
riegos del universo de
compliance
Impacto: costo más probable
de no- compliance
Frecuencia : probabilidad de
darse los factores de riesgos
al momento del análisis en un
horizonte de tiempo
3 Priorización de
riesgos
Criterio para decidir que
eventos son más críticos de
controlar (mapa)
4 Planes de
mitigación
Seguimiento del progreso de
los planes de acción
Reevaluación frecuente
Alta criticidad
Seguimiento
Watch-List
Criticidad

38. Mapa de Riesgos - Impacto
 Multa en proporción al daño/cuantía del delito
 Disolución de la persona jurídica
 Suspensión de sus actividades
 Clausura de sus locales
 Prohibición temporal o definitiva de realizar las actividades en cuyo
ejercicio se haya cometido el delito
 Inhabilitación para obtener subvenciones y ayudas públicas, para contratar
con el sector público y para gozar de beneficios e incentivos fiscales
 Intervención judicial para salvaguardar los derechos de los trabajadores o de
los acreedores
Socios Inocentes
Respecto a los efectos colaterales o consecuencias a pagar por terceros incluyendo el impacto en los
trabajadores, el efecto negativo se paliaría con la posibilidad que tienen los socios inocentes de
reclamar posteriormente a los administradores la acción de responsabilidad socia

39. Directas e inmediatas
• Pérdida por defraudación
• Ineficiencias y/o discontinuidad de operaciones
Directas y mediatas
• Indemnizaciones a terceros
• Multas y sanciones
Indirectas
• Costo de investigación
• Ajustes fiscales
Reputacionales
• Pérdida de competitividad, moral, clientes, socios, licencias, y contratos
• Pérdida del valor de mercado
Mapa de Riesgos - Impacto

40. Score 1 2 3 4 5
Multas, daños e
indemnizaciones
< 1% de las
ventas
1% al 3% de las
ventas
3% al 5% de las
ventas
5% al 10% de
las ventas
> 10% de las
ventas
Reputacional
Sin exposición
o daño
Impacto negativo
localizado pero
recuperable
Cobertura en
medios o
reguladores
local
Cobertura en
medios o
reguladores
nacional
Cobertura
sustancial en
medios o
reguladores
nacional
Operacional
Sin pérdida de
negocios u
operaciones
Visible pero
gestionable
fácilmente
Daños a
clientes o
grupos de
interés
Impacto severo
a la
performance
Impacto
catastrófico a la
BU
Mapa de Riesgos - Impacto

41. Mapa de Riesgos - Frecuencia
Score 1 2 3 4 5
Descripción Casi imposible Rara Posible
Incidentes
aislados
Incidentes
repetitivos
Tiempo
< Una vez
cada 5 años
< Una vez cada
año Una vez al año
Una vez al mes
Una vez a la
semana
Probabilidad < 1% 1% al 5% 5% al 10% 10% al 20% > 20%

42. Mapa de Riesgos – 3er Variable
• Velocidad del Riesgo: Tiempo entre el evento de riesgo y
tener que pagar el impacto (ej. tiempo en aplicar una multa
por el regulador). Beneficio: priorizar acciones
• Duración del Riesgo: Persistencia del riesgo en el tiempo
(ej. inspecciones largas).
• Nivel de Control: Posibilidad que gestión para disminuir el
impacto o la frecuencia del riesgo (ej. proceso ya
documentado). Beneficio: margen de reducción
• Grado de Entendimiento: Seguridad en valuar el impacto
y la frecuencia (ej. riesgos emergentes)
La 3er variable siempre está
contemplada en impacto o
frecuencia

43. • Ocurrencia que afecta la empresa
• Ej. Incumplir con la ley…
Evento
• Consecuencia
• Ej. penalidades, daño a la reputación, responsabilidad civil
de los directoresImpacto
• Ej. Entrenamiento, boletines, procedimientos para
gestionar quejas, obtener certificaciones, buscar consejos,
designar responsable, compliance audits, cláusulas en
contratos
Plan Mitigante
• Impacto o frecuencia luego del plan mitigante
Riesgo Residual
Mapa de Riesgos - Glosario

44. Área Riesgo legal Regulación /
Ley
Área
Funcion
al
Impacto Frec. Score Contro
l
Clasif.
ImpactoPrácticasdecomercioexterior
Sobornos en el
extranjero
FCPA Foreign
Corrupt
Protection Act
Ventas 5 1 5 4 Reputacional
Aduanas Leyes
aduaneras
Ventas 1 3 3 2 Operacional
Control de
exportaciones
OFAC Office of
Foreign Assets
Controls
Ventas 2 2 4 5 Operacional
Exportaciones de
productos con
doble uso
Reg. UE
428/2009
Ventas 4 4 16 5 Operacional
Boycott no
sancionado a un
país extranjero
Anti-Boycott Act Ventas 2 2 4 4 Operacional
Exp/Imp de
químicos
peligrosos
Reg. UE
649/2012
Ventas 3 4 12 1 Operacional
…. … … ….

45. FCPA
Trade
Restrictions
Reg. UE
428/2009
Reg. UE
649/2012
OFAC
Anti-Boycott
Aduanas
1 2 3 4 5 Fq
Impacto
12345
Mapa de Riesgos

46. Mapa de Riesgos – Alternativa
Puntaje Interno
Fraude
- Operativo
- Contable
Corrupción
Daños
Informáticos
….
Calidad de
Controles
Documen-
tación
Entrena-
miento
Centrali-
zación
Sistema de Puntos
1 a 5
Medidas Efectivas a Inefectivas
Respaldado por Director de Área
Puede ser ponderado (ventas de la unidad, número
de empleados,…)

47. Planes de Acción
Exposición a un delito
tomando en cuenta los
controles actuales
Medidas a implementar Recursos a asignar
Controles
Políticas
Sistemas
Conocimiento
Autoridad
Coordinación politica
entre departamentos
Presupuesto con
responsable, tiempo e
indicadores
Cargos

48. Reportes al ExCom
Mapa de Riesgos
Penales
Por Áreas
Por País
Por Año
Seguimiento de Planes
de Acción
Planes
Presupuestos
Grado de Avance
Indicadores de Riesgos
Claves (KRIs) Penales
Ejemplos:
Multas por Revenue
Multas por Volumen
Denuncias por
Empleado
Fraude por Empleado
% Completar Cierto
Programa Educativo

49. Herramienta CASE
C Consequence
A Assets at Risk
S Source
E Event
Perder ventajas competitivas
…. “sobre” …
la propiedad de información sensitiva
…. “debido al” …
espionaje industrial de nuestros
competidores
…. “al” …
sufrir un ataque a servidores inseguros

50. ¿Cómo podemos fracasar?
• No lograr poner el riesgo legal en la agenda de la alta dirección
• Carecer de recursos y autoridad en la unidad de cumplimiento para construir
la cultura de “tolerancia cero”
• La unidad de cumplimiento carece del liderazgo y entusiasmo para permear
los controles dentro de la organización
• Tanto el mapa de riesgos como los controles quedan “en silos”
• No se lograr hacer que sea una herramienta de gestión (por ejemplo,
terciarizando)
• No lograr orientar los recursos a los riesgos relevantes
• Objetivos no alineados a la madurez de la organización
• No aprender y mejorar de los fallos y nuevos riesgos
Hacer fácil lo difícil

51. Prácticas de documentación
• Si un control no se documenta, no existe
• Evitar gestión fragmentada para no duplicar retención de documentos
• Aprobación de riesgos y políticas que originan planes de acción
• Necesitamos un administrador de documentos (ej. SharePoint), configurable,
que permita reporte, disponible en sitios operativos
• Documentar el control de compliance (ej. comunicación de cierta política,
recepción del código de ética, denuncias…)
• Incluirlo dentro de la política de respaldos
• Uso de modelos, digitalizados, compartidos, protegidos

52. El importante saber lo que sabemos…
…. pero más importante aún es saber lo que no sabemos.

53. Programa de Prevención de
Delitos
04. Políticas de Prevención
del Delito
Hernan Huwyler – 27 Mayo 2015

54. Política de Prevención
Obligatorio s/ proyecto
de reforma del Código
Penal
Posición del gobierno
corporativo frente al delito
interno.
Eximente o atenuante
Alcance funcional, geográfico y grupos
Ajustado al negocio
Eficaz
Controles específicos a c/riesgo
Actualizado
Responsable CCO
La ineficacia del control
interno que atienda al
riesgo penal se puede
convertir en un delito
Estándar de calidad con los
controles

55. Política de Prevención
Modelo de Prevención y Control
s/Reforma Código Penal 2015
Antelación Eficacia Idoneidad
Antes del delito
En forma general es
el código de ética
Debemos formalizar la
fecha de realización de los
Controles (documentación)
Según el riesgo
No hay una omisión ni
una supervisión ineficiente
por el órgano de supervisión
Control y vigilancia adecuado
Coordinación con auditoria interna
(compliance audit)

56. Política de Prevención
Modelo de Prevención y Control
Mapa de riesgos.- Identificación de las actividades en cuyo ámbito puedan ser
cometidos los delitos que deben ser prevenidos.
Protocolo de toma de decisiones.- Establecimiento de protocolos o
procedimientos que concreten el proceso de formación de la voluntad de la
persona jurídica, de adopción de decisiones y de ejecución en las mismas con
relación a aquéllos.
Modelo de gestión de los recursos financieros.- Disposición de modelos de
gestión de los recursos financieros adecuados para impedir la comisión de los
delitos que deben ser prevenidos.

57. Política de Prevención
Modelo de Prevención y Control
Canales de denuncias.- Imposición de la obligación de informar de posibles
riesgos e incumplimientos al organismo de vigilar el funcionamiento y la
observancia del modelo de prevención.
Sistema disciplinario.- Establecimiento de un sistema disciplinario que sancione
adecuadamente el incumplimiento de las medidas que establezca el modelo.
Verificación periódica.- Realización de una verificación periódica del modelo y
de su eventual modificación cuando se pongan de manifiesto infracciones
relevantes de sus disposiciones, o cuando se produzcan cambios en la
organización, en la estructura de control o en la actividad desarrollada que los
hagan necesarios

58. Política de Prevención
Grupos:
• directores,
• empleados,
• autónomos contratados (ej. consultores, agentes)
• proveedores
Emitida por la alta dirección
Comunicada a toda la organización con constancia de entendimiento
Normas básicas de actuación (ej. diferencia entre un regalo y un soborno)
Canal de denuncia a través de correo electrónico o teléfono.
Los ejecutivos deben certificar con su firma que se cumplen las políticas anticorrupción.
Comunicar a la plantilla que la empresa prohíbe expresamente el soborno
o la contabilidad creativa.
Informar al empleado de las consecuencias de los delitos.
Controles financieros anticorrupción.

59. Insider Trading.
Código Ética Financiero
Normas especificas contables
Reporte exacto, completo y a tiempo
a los reguladores y demás usuarios
Alcance:
• CFO
• Responsables impuestos, control,
reporting, auditoria interna
• Equipos
• Consultores
Consecuencias
Responsable al empleado por:
Normas y estándares
Negocio
Revisión crítica de controles
Entrenamiento
específico

60. Control de Proveedores Críticos
• Modelo de compras que garantice la objetividad, trasparencia y equidad.
• Controles para evitar corrupción:
• Centralización
• Modelo único de contratación (ej. Pliego de clausulas contractuales
standard)
• Analizar riesgos de delitos
• a Hacienda
• a seguridad
• al medioambiente
• a propiedad intelectual
• sobre datos personales
• Para solicitar medidas de control adicionales
• Control del proceso de licitación, ejecución y aceptación
• Revisión de seguros
• Auditoria

61. Delegación de Autoridad
Accountable
R Responsible
→ hacer
A Accountable
→ decidir y rendir cuentas
C Consult
→ necesario para decidir
I Inform
→ necesita saber la decisión
Responsible
Internos
Externos
Demarca la responsabilidad
Comunicación sin ambigüedad
Identifica problemas
Ordenamiento de políticas siguientes
Prevención del fraude
Registro de
Delegaciones

62. Y todo eso terminó cuando todos,
le echaron la culpa a alguien,
cuando uno de ellos debió hacer
lo que nadie hizo.
¿Os suena familiar?

63. Delegación de Autoridad
Herramienta Matriz RACI - Ejemplo
Poder
Encargadodeproyectos
Encargadodeingenieria
Encargadodecontrataciones
Directordeventas
Gerentedeoperaciones
Directordeingenieria
Gerentedecompras
Gerentedeproducción
1.0 Completar una orden de trabajo
1.1 Generar una orden de trabajo N C R A C I I I
1.2 Planear y gestionar una orden de trabajo N R A C I
1.3 Efectuar la ingenieria del proyecto N C R A I
1.4 Producir los elementos del proyecto N R C A
1.5 Instalar los elementos del proyecto N R A
1.6 Completar la puesta en marcha N R C A C I
1.7 Obtener la certificación del cliente N R I A I C

64. 1. Definir responsabilidades
lll lll
2. Integrar regulaciones a procesos

3. Monitorear cumplimiento
Integración al Sistema Normativo

65. Estrategia
Programa de
Compliance
Procesos
Sub-Procesos
Gente Sistemas Activos
Integración Sistema Normativo
Compliance
Interno
Compliance
Externo

66. De performance
• Asegurarse
que la
compañía hace
lo correcto
De conformidad
• Asegurarse
que la
compañía no
hace nada
erróneo
Modelos de Compliance

67. Integración al Sistema Normativo
Tolerancia
consistente
Única fuente
decisoria
Mejor
orientación de
recursos
Aumenta
compromiso
Alineamiento
G R C

68. Integración al Sistema Normativo
Identificar riesgos
de incumplimiento y
su tolerancia
(determina recursos
a dedicar)
G R C
Supervisión de
actividades y
veracidad de
registros
Responsabilidad de
los ejecutivos por la
transparencia y
seguimiento de
políticas

69. La perspectiva de
control interno
Los incendios son
inevitables pero pueden
ser controlados con
extintores. Instale
extintores y audite sus
cargas. Resuelva
cualquier deficiencia.
Documente el proceso y
audite los controles.
Identifique deficiencias y
corrija los controles
La perspectiva de
riesgos
Los incendios ocurren
cuando un material
inflamable se expone a
una fuente de ignición.
Elimine ambos factores.
Identifique y mitigue los
factores de riesgos por
categoría. Monitoree los
KRI para advertir sobre
eventos.
La perspectiva de
compliance
Los incendios ocurren
por la gente
despreocupada.
Persuada a gente que
cambie su conducta y
entrene sobre
prevención.
Desarrolle una política.
Comunique, motive y
entrene a quienes pueden
tener una conducta
peligrosa.

70. Regulaciones Estándares Políticas
SOX SCIIF
ISO
6σ
CoCo
ISO 19600
10500
31000
COSO
COBIT
Monitoreo
continuo
Desarrollo
normativo
POLs
PRCs
Métricas
integradas

71. Fraude
Externo
Interno
- alta dirección
- gerencial
- operativo
InvestigaciónPrevención

72. Apropiación
indebida de
activos
85%
USD 130K
Robo: cheques, efectivo, inventarios, equipos, información
Sobornos y
corrupción
37%
USD 200K
Sobornos: Aceptar un soborno de un proveedor o retorno en
compras
Extorsión: amenazas para que se cumplan ciertas
demandas
Facturación ficticia, proveer baja calidad, sobre cargar
Conflictos de interés
Espionaje corporativo: venta de secretos
De reporte
9 %
USD 1M
Sobrevaluación de ingresos: ventas falsas
Subvaluación de gastos: Amortización demorada o
capitalización de gastos
Sobrevaluación de activos: No provisionar
desvalorizaciones de obsoletos
Subvaluación de pasivos: Deudas fuera de balance
Aplicación errónea de principios contables
Categorías de Fraude

73. Fraude - Prevención
Canal de Denuncias
Comunicación
Entrenamiento
Política Seguridad
Lógica
Autorizaciones y SoD
Política de Información
Sensible

74. Rotación CEO y
CFO
Antecedentes de
candidatos
Antecedentes de
personal
Segregación de
funciones y
seguridad lógica
Cláusulas de
confidencialidad
y no
competencia
Capacitación
en controles
Políticas internas
Monitores de
circuito cerrado
Fraude – Acciones de Prevención

75. Fraude - Detección
Control de Activos
Propios y Bajo Custodia
Detección de
Anormalidades
Cruce de Bases
con Listados
Business
Intelligence
Indicadores de
Fraude
Línea de
Denuncias

76. Fraude – Business Intelligence
Reportes
Interactivos
KCIs / KRIs
Alertas & Red
Flags
Exploración &
Investigación
Visualizaciones
& Dashboards

77. Israel*, blacklist*,
boycotti*, Jew*, “are
not of”, “are not
acceptable”,” Arab
Ports”, “Arab
League”,…
AKKP-AKKTP=1LoC
AKKP-LCRESTRIC=Leng.
A/B
KNA1-LAND1 matched to
AKKP-KUNNR=AE, BH,
DZ..
AE Algeria
BH Bahrain
DZ Djibouti
EG Egypt
IQ Iraq
JO Jordan
KM Kuwait
KW Lebanon
LB Libya
LY Mauritania
MA Morocco
MR Oman
OM Pakistan
PK Qatar
QA Saudi Arabia
SA Somalia
SD Sudan
SO Syria
SY Tunisia
TN
United
Emirates
YE Yemen
Fraude – Business Intelligence

78. ¿Cómo
gestionamos
un fraude
detectado?
Protocolo de Investigación Fraude
Los gerentes son
responsables de detectar
posibles fraudes
¿Reporte al:
• comité de auditoria
• Auditores externos
• ExCom
• RH - disciplina
• Supervisor/Área
• Fraudulento
• Policía/Medios
Encargado
¿Auditoria
interna?
¿control interno?
¿legales?
y de reportar
posibles
fraudes para
investigar
No investigaciones personales
Garantizar la confidencialidad
Garantizar total acceso a
información al investigador
Registro de reportes
Garantizar la preservación de la documentación
Involucrar al menor número de personas
Posibilidad de contratar especialistas contables y
legales
Quién evalúa la necesidad de extender la investigación
Necesidad de evaluar las pérdidas para ajustes
Protección del investigador
Determinar la mejora en el sistema de controles
Plan de Respuesta al Fraude

79. ¿Cómo
gestionamos
una denuncia?
Canal de Denuncias
Objetivo
Ayuda a resolver una cuestión ética
Reporte de potenciales infracciones:
• Al código de ética
• Delitos
• Fraude
• Cuando se pone en peligro la seguridad
Registro y adjuntar los datos brindados y pruebas
Evaluación preliminar: procede o desestima
Investigación: El denunciante lo hace porque cree habrá una investigación
Comunicación de la conclusión
• probada
• infundada buena fe
• infundada mala fe
Comité de ética: involucramiento de la alta dirección por cultura
Alcance
Directores, empleados, contratistas,
pasantes, proveedores, y clientes
Confidencialidad - ¿Anónima?
Sin represalias por buena fe
Medios: teléfono, email, correo, sitio

80. Retención de Documentación
Remuneraciones a Directores
Donaciones, Contribuciones a Partidos Políticos
Patrocinio
Drogas y Alcohol
Uso de Redes Sociales
Cuidado Ambiental
Agentes, Distribuidores, Representantes y Proveedores
De sistemas (seguridad, antivirus, passwords, wifi, email..)
Política de Viajes
Préstamos a Empleados
Due Diligence de Clientes
Tarjetas Corporativas
Políticas de Compliance

81. Claves
Norma de Normas
Debemos definir quién es
responsable de dar y aprobar
normas
Designar un custodio del sistema normativo (ej. operaciones y métodos)
Designar un dueño de cada tipo de política que negocie y tenga input
Integrar políticas a valores, el marco de control (ej SOX) y entrenamiento
Preservar la discreción de los gerentes
Mecanismo de “waiver” de cumplimiento
Prever un mecanismo de actualización políticas
Calidad de redacción: Guia a empleados sin jerga y tecnicismos
Un mismo sistema para todos y todas las regulaciones
CoCo
Pol
Proc

82. Claves
Uso de Activos
Los empleados deben proteger:
Los activos físicos bajo custodia del robo y mal uso
La información
Los activos tecnológicos (sistemas, móviles, computadores)
Canal de reporte de robos de activos
Regular el uso personal ocasional si no se orienta a obtener un ingreso o
Ventaja ocasional
Acceso indebido, alteraciones en configuraciones y fraudes sobre sistemas
cumpliendo políticas establecidas por IT
Derecho de monitorear comunicaciones por email y teléfono de compañía
Derecho de bloqueo de internet
Todo uso de la propiedad intelectual de la empresa debe estar
aprobado por un supervisor

83. Amplia casuística .
Conflictos de Intereses
Casos no exhaustivos:
• Interés económico directo o indirecto
• Conexiones comerciales
• Relaciones personales
• Expectativas futuras (conflictos potenciales)
- poder ser un empleado
- recibir un préstamo
• Prohibir una ventaja personal por la
la relación con la empresa
• Declararlos a una unidad responsable
Desafíos
Consultoría con empresas relacionadas
Inversiones en empresas relacionadas
Miembros de familia
Consensuar la resolución
del conflicto
En forma temprana
Cambios de proyectos
Dejar de hacer

84. Claves
Política de Anti Corrupción
Cero tolerancia a la corrupción
activa y pasiva
Los pagos facilitadores es recomendable que sean solamente dados en caso
de riesgos de vida inminente de un empleado.
Vincular el control de esta política a controles financieros y orientarla a riesgos
por jurisdicciones, tipos de transacciones e involucrados (ej. oficiales)
Incluir el uso de agentes e intermediarios, así como de JVs
Directas e indirectas
Diferencia entre pago facilitador y sobornos
Una empresa
que paga
sobornos deja de
controlar sus
negocios

85. Claves
Hospitalidad y Regalos
Se permiten si:
 no influencian en una decisión
 cumplen la ley
 no son en efectivo
 comunes a la circunstancia
 no involucran a empleados públicos
Dar un valor de referencia de un regalo aceptable (usualmente 100 euros año)
Dar cuotas en valores para hospitalidad por nivel jerárquico y departamentos
Aprobación de atención a eventos y regalos al superior
Prohibir ciertos tipos de entretenimientos (finalidad de negocios legítimos o que
beneficien a la empresa)
Cubrir que gastos de promoción cubrimos a clientes o potenciales
Prever la recepción y el otorgamiento
Razonables
Apropiados

86. Claves
Protección de Propiedad Intelectual
Los empleados deben:
 preservar la propiedad intelectual de la empresa
 Utilizar propiedad intelectual de terceros previo pago de
licencia y permiso
Considerar los soportes: físicos y electrónicos
Considerar los empleados actuales, los ex empleados y los consultores
Todo secreto comercial y propiedad intelectual desarrollada por un empleado
en funciones de su cargo son propiedad de la empresa
Control de licencias en software, imposibilidad de instalar software no provisto
por IT, hacer copias o instalaciones en otras máquinas
Todo uso de la propiedad intelectual de la empresa debe estar
aprobado por un supervisor

87. Claves
Delitos contra el Mercado
Los empleados deben:
 evitar sospechas de abusos de mercado (trust,
cartelización, acuerdos y fijación de precios, limitación
volúmenes o condiciones)
 No compartir información o iniciar rumores
Considerar las reuniones con competencia y analistas de mercado
Los acuerdos pueden ser un contrato o simplemente un apretón de manos
Notificación de fusiones y adquisiciones
Limitar interacciones con clientes (exclusiones, reciprocidades
“yo te compro, tu me compras”)
La información confidencial debe tener un responsable

88. Claves
Información Privilegiada
Las personas que tengan
conocimiento por razón de su
trabajo o cargo de
una información no pública
obtenida por la sociedad no
podrán utilizarla
No operar con
los valores
relacionados
Periodos restringidos
Antes de publicar las cuentas anuales y trimestrales
Ante operaciones significativas en curso
Extensión a familia y convivientes
Responsabilidad de salvaguardia de la información privilegiada
Registro de personas con información privilegiada
Relación con Protección de Activos
No trasmitirla
a terceros

89. Protocolos de Actuación
Reglamento del Consejo
de Administración
Acciones previas a la decisión
demostrando debida diligencia
Informes internos necesarios:
Financiero: TIR, endeudamiento
Técnico: operaciones
De riesgos jurídicos, impositivos, estratégicos y otros
Otros informes de alternativas y escenarios
Solicitud de asesoramiento externo
Jurídico especializado
Orden del día, sistema de votación,…
Proyectos, Inversiones y Compras de Empresas
Informe de impacto ambiental
Estudios de ambientales
hidráulico,
de patrimonio cultural,..
Informe de control de contaminación
Autorización ambiental integrada
Ley de Evaluación Ambiental
Informes necesarios:
Viabilidad de nueva empresa
Valoración de aportes en especie
Valoración de acciones y aportaciones
De auditoria de due diligence
De modificación de estatutos
Ley de Sociedades de Capital

90. Política de Medio Ambiente
Generalmente parte de la
política de sustentabilidad
Mejorar la performance ambiental (reducir huella hídrica,
de carbono, emisiones/impacto cero, …)
Actuación frente a incidentes medioambientales y
disposición de residuos
Cooperación con organismos y agencias gubernamentales
Green procurement
Encargado del monitoreo y reporte
Requiere campañas de concientización y auditorias
Conceptos básicos
Regulaciones nacionales y locales
Guia de mínima (países sin normas ambientales)
Salud de empleados y terceros
Protección del medio ambiente
Por cambio climático
Impactos
Reducir el impacto en el transporte
Reciclado y menor empaque de productos
Minimizar la generación de residiuos
Uso eficiente de energía y agua
Uso de biodegradables
Adicionales

91. Programa de Prevención de
Delitos
05. Comunicación y Revisión
H Huwyler – Nov 24 2015

92. Entrenamiento
Áreas
Código de ética a nuevos ingresos y por campañas a colectivos
de empleados
Políticas de prevención de corrupción, fraude y sobornos
Sobre valores como el abuso de empleados
Especializados a departamentos con riesgos operativos de errores
La cultura organizacional comienza en el entrenamiento
Comunicar programas sobre compliance dentro de los diferentes grupos de empleados es la base de
construcción de la cultura del cumplimiento e incentiva el diálogo entre departamentos.
No se puede cumplir lo que no se conoce.
 Formalizar asistencia, evaluar en pruebas y medir en encuestas. Responsable:
¿HR o CCO? Sitio de intranet. ¿Online, videos, presencial, autoestudio?
Monitorear avances

94. ¿Cuáles son
las
alternativas?
¿Es legal y
consistente
con el espíritu
de la ley?
¿Está prevista
en el CoCo y
es consistente
con nuestros
valores?
¿Cuáles son
los hechos?
¿Cómo
implica cada
alternativa en
mí?
¿Cómo
implica cada
alternativa en
la sociedad y
la empresa?
¿Quiénes son
los afectados
de las
alternativas?
Entrenamiento sobre Ética

95. Entrenamiento
Invitar a un directivo reconocido dentro del
grupo objetivo para compartir sus valores y
liderazgo. “Esto es importante”
Obtenemos su patrocinio y credibilidad
Nos dan una visión única desde la dirección
El directivo se compromete con compliance
Mensaje único
Ponente
invitado
Planteamos un escenario hipotético y realista
para desarrollar con el grupo diferentes cursos
de gestión del caso.
Pueden tener un contenido regional/local
Practica con escenarios comunes
Hay mayor discusión y conocimiento del grupo
Presión de paresCasos
reales
Invitamos a un especialista sobre cierta
función, que describa los riesgos de falta de
cumplimiento y cómo efectuar controles
Conocimiento profundo sobre cierto riesgo y
sus controles
Visibilidad del especialista
Específicos
para un
riesgo
Principio “Nuestra gente defiende lo que es
involucrada a construir”
Permitir grupos de discusión para compartir
experiencias y mejores prácticas
Generar redes de conocimiento
Inspiración para alcanzar mejores prácticas
Reconocimiento de quienes efectúan mejores
controles
Compartir
conocimiento

97. Entrenamiento - Elearning

98. Entrenamiento – Grupos
Políticas claves
Cambios de normativas
Principios de reporte contable
Controles sobre fraude
Aprender de los errores (ej. multas,
demandas)
Welcome pack + Inmersión
Canal de consultas
Mensajes de correos
Daily learning
Documentar asistencia
Pruebas
Recepción de políticas
Calidad
Frecuencia
Todos los empleados
Orientados a departamentos
Ventas
Marketing
Legales
Finanzas

100. Quis custodiet
ipsos custodes?
Compliance audit
• Reaseguro que el CCO aplica el
programa de compliance aprobado
• Independiente
• Controles, IT, regulaciones, vendors
• Materialidad más alta

101. Compliance Audit
Tácticas
Debemos dejar un responsable por el reaseguro de compliance
Enriquecer los programas de auditoria interna
Centralizar el conocimiento en una función específica
Interés creciente sobre contract compliance
Alcance sobre gobierno corporativo…
….. pero también sobre ciclos operativos
Problemática
Hay acciones de cumplimiento que escapan del control financiero y operativo ordinario. Estas acciones
necesitan tener un reaseguro sobre aspectos normativos claves, con revisiones selectivas y rotativas.

102. Auditoria
• ¿Hacemos lo
que decimos que
debemos hacer?
Compliance
• Si hacemos lo
que decimos que
hacemos, ¿qué
requerimientos
vamos a
cumplir?
Compliance Audit

103. Compliance Audit

104. Medición
Índices a seguir
Resultados de la revisión de auditoria de compliance e interna
Grado de cumplimiento de los programas de entrenamiento
Horas de entrenamiento brindado
Volumen de denuncias reportadas
Resultados de las denuncias
Encuestas de satisfacción de empleados
Evaluaciones independientes
Monto de multas y otras penalidades
¿Cómo medir el retorno de la función del
Compliance Penal?

105. Sanción .
Objetivos de
Mejora
Protocolo de Disciplina
Cultura
Compliance
Performance
Aclarar que las responsabilidades
dependen de la definición de cargo
Aclarar y separar infracciones:
• Performance
• Conducta
• Violación a políticas/ley
• Falsificación
• Fraude y abuso activos
• Acoso
• Drogas y alcohol
1 – Entrevista
con
supervisor
2 – Entrevista
con RH
Nota firmada por ambos
Próxima a la falta
Resguarda legajo
Acción correctiva
Comité de ética
Escalable en sanciones , s/recurrencia
Dar flexibilidad
Tolerancia cero al código ético
Entrevista
Salida
Equidad
Investigación

106. Reponsabilidad CCO
Garantías del debido control
Responsable de supervisar el sistema de prevención de riesgos penales
Poder delegado del consejo (solo aquellas delegables)
Necesita un modelo aceptado de aplicación
Estatuto Profesional del Compliance Officer de CUMPLEN (art. 30, cumplimiento de leyes aplicables)
Responde por incumplimiento negligente de tareas delegadas, por ejemplo
no formalizado buenas prácticas corporativas en el código de ética y sus políticas accesorias
no haber impulsado controles sobre riesgos penales materiales
el encubrimiento o la participación en un delito corporativo
Necesita informar los riesgos de compliance y los incumplimientos
La gestión de un sistema de gestión de riesgos penales sin ser el
propietario

107. mydailyexecutive.blogspot.com
 hwyler@gmail.com
www.linkedin.com/in/hernanwyler
 634

108. ¿Me llevé lo prometido?