Compliance risk is the risk of failing to comply with laws, regulations, standards, and guidelines that organizations are subject to. Noncompliance risks can lead to legal, financial, and reputational consequences. Compliance officers play a critical role in identifying, assessing, and managing compliance risks. Compliance risks can also present opportunities for organizations to improve their practices, enhance their reputation, and gain a competitive advantage.
ISO 37301 is a standard that provides guidance on compliance management systems. The standard defines compliance risk as the risk of noncompliance with laws, regulations, and other requirements that an organization is obligated to comply with. Compliance risks can arise from internal and external factors, such as changes in laws and regulations, new business operations, third-party relationships, and cultural differences. ISO 37301 emphasizes the importance of managing compliance risks through a systematic and proactive approach that includes risk assessment, risk treatment, monitoring, and review.
Compliance officers serve as trusted advisors to senior management and provide guidance and support in compliance planning and decision-making. Compliance officers need to have a deep understanding of the organization's operations, risks, and culture to identify and manage compliance risks effectively. Compliance officers should also have strong communication and interpersonal skills to build relationships with stakeholders, including senior management, employees, regulators, and other external parties.
The level of compliance risk varies depending on the nature, complexity, and scale of an organization's operations. Compliance risks can be classified into three levels: low, medium, and high. Low-risk compliance activities are routine and have little impact on the organization's operations or reputation. Medium-risk compliance activities are more complex and involve higher stakes, such as regulatory compliance, data privacy, and anti-corruption. High-risk compliance activities involve significant legal, financial, and reputational consequences, such as anti-money laundering, anti-bribery, and sanctions compliance.
Compliance risks can also present opportunities for organizations to improve their practices, enhance their reputation, and gain a competitive advantage. For example, a company that implements strong data privacy practices can enhance customer trust and loyalty. A company that complies with anti-corruption laws can reduce legal and reputational risks and attract socially responsible investors. Compliance officers should work with senior management to identify and leverage compliance risks as opportunities to create value for the organization.
Compliance risk, noncompliance, ISO 37301, compliance officer, trusted advisor, risk level, opportunities, regulatory risks, obligations, ethical risks, inherent risks, residual risks, risk-taking, tolerance, control level, sustainability
8. Nuestra regla de la casa de Chatham
Tu opinión puede ser diferente a la de tu empleador.
“Puedes utilizar libremente la información sobre los casos del mundo real
divulgados durante estas clases, pero no identifiques sus fuentes o empresas".
8
9. Definición de riesgos
Arquero A > Ejecuta un proceso logrando alta efectividad en cumplir con su
objetivo
Arquero B > Alta volatilidad, desvios sobre los planeado
9
10. Definición de riesgos
¿A qué arquero das el trabajo cuando el objetivo es importante?
¿Porqué?
10
11. Mapa de riesgos
Documento en dos dimensiones que grafica donde estoy, donde quiero ir y el
camino para lograrlo
11
12. Conformidad
Capacidad de cumplir con las expectativas de los grupos de interés
El cumplimiento de la ley y la ética hace que las empresas sean sostenibles
Interpretar el impacto de las obligaciones de cumplimiento existentes y futuras
(requisitos y compromisos que una organización debe cumplir o elige cumplir)
Riesgos
Efecto de la incertidumbre sobre los objetivos
Una desviación positiva o negativa de lo esperado
La falta de información provoca incertidumbre
Con respecto a un cierto horizonte de tiempo
12
13. Riesgos de cumplimiento
- Protege a los clientes, los inversores, la sociedad, los empleados y otras partes
interesadas por incumplir obligaciones
- legal, regulatorio, contractual, fraude y sustentabilidad
Riesgos operativos
- Protege de fallas en la operación > cumplimiento, ciber, físico, continuidad
Riesgos de crédito
- Protege de la quiebra de las contrapartes > default, concentración, soberano
Riesgos de mercado
- Riesgos de las fluctuaciones económicas > tasa de interés, FX, liquidez
13
14. Riesgos de cumplimiento
Anticiparse a las amenazas que explotarían vulnerabilidades y afectarían el
cumplimiento de las obligaciones
ANTES que
- Se ofrecen productos
- Se ofrecen abren mercados
- Se firman contratos
- Se seleccionan terceros
- Se contratan pólizas de seguro
- Se crean sociedades
14
15. Riesgos penales Conducta delictiva, Responsabilidad penal corporativa,
Centrado en delitos de soborno., Recursos otorgados para el cumplimiento
Riesgos de cumplimiento Cumplimiento externo de regulaciones, leyes y
contratos de concesión (riesgos legales), Cumplimiento interno de políticas y
procedimientos, estándares organizacionales, autorregulaciones, ISO,
compromisos corporativos.
Riesgos de integridad: Expectativas de las partes interesadas, Basados en
principios y valores comerciales, Protege la reputación
15
16. Producir una evaluación de riesgo de cumplimiento es un requisito para
"inventar" políticas ... ... o una oportunidad para comunicar valores éticos,
controles antifraude y corrupción y las mejores prácticas para aumentar la
rentabilidad
16
17. El oficial de cumplimiento como un asesor de confianza, apoyando a la empresa
y al comité ejecutivo a asumir nuevos riesgos de cumplimiento
recomendando controles fáciles de seguir y rentables para abordar los riesgos de
cumplimiento (el qué + el cómo), estableciendo prioridades para iniciativas
estratégicas. Ganando confianza de los grupos de interés
17
18. un asesor de confianza previene, encuentra y soluciona problemas. comprende
dónde están los riesgos de cumplimiento para mitigarlos (exposición al riesgo),
comprende la tolerancia, la capacidad y el apetito por el riesgo, mejora la
evaluación de riesgos para estimular comportamientos éticos
18
19. Eres el CCO en Uber. modelo de negocio agresivo. Filtración masiva de datos
personales, el CEO renunció luego de denuncias de acoso y discriminación
vamos a evaluar los riesgos de cumplimiento: licencias, FCPA, SOX, leyes de
privacidad de datos, leyes laborales (conductores como contratistas
independientes, no empleados), leyes de competencia (conspiración de fijación
de precios)
19
21. Conformidad el el cumplir con la ética y la ley. violaciones reales o percibidas
afectan el negocio actual y futuro. crea pérdidas financieras: multas, sanciones,
restricciones crediticias, pérdidas de reputación
Consecuencias Impacto por evento
Riesgos, es la desviación de procesos, controles o funciones de un nivel esperado.
ocurre debido a la falta de información, cambios, incapacidades, gobernanza
inadecuada
Causas Frecuencia en un horizonte de tiempo
21
22. Causas Frecuencia en un horizonte de tiempo, Planes de prevención. Políticas y
procedimientos Delegación de autoridad Entrenamiento de cumplimiento y
concientización Línea de ayuda de cumplimiento Controles financieros
22
23. Impacto
magnitud / gravedad de la posible consecuencia
consecuencia adversa → riesgo per se
Frecuencia
probabilidad / probabilidad de ocurrencia de cada consecuencia
ocurrencia por unidad de tiempo
23
24. Impacto * Frecuencia =
Nivel de riesgo
calcular exposición
Identificar los riesgos que requieren mayor atención
priorizar riesgos críticos
planificar un nivel objetivo de riesgo
24
25. Riesgos de cumplimiento como oportunidades > Caso Randstad (Sector de
empleo)
Riesgos de cumplimiento: las leyes y regulaciones de protección de datos La
mayor integración de las empresas con la tecnología tanto en el front-office como
en el back-office, así como el enfoque legislativo reciente y próximo (europeo)
sobre la protección de datos personales han aumentado la probabilidad de litigios
o acciones regulatorias en caso de fugas de datos personales de candidatos o
empleados e información confidencial de la empresa. Esto plantea
riesgos financieros y reputacionales significativos.
Controles: nuestra política de protección de datos grupales se ha localizado para
todas las compañías operativas. En 2015, se nombró un Oficial de Protección de
Datos y un programa global comenzó a preparar nuestras operaciones para el
próximo Reglamento General Europeo de Protección de Datos, que está
programado para entrar en vigencia en 2018. Este programa continúa y está
haciendo un buen progreso.
Oportunidades: la mejora en la seguridad del sistema nos brinda la oportunidad
de garantizar la protección de datos para todos nuestros candidatos y clientes, y
así aumentar el valor de nuestra oferta de servicios para ellos
25
26. Distinguir los riesgos de…. incertidumbres Las causas y consecuencias de los
eventos no se pueden predecir ni medir. Los controles son desconocidos
Ejemplos Primeros cambios en la legislación Cláusulas contractuales vagas
Fraudes en nuevas operaciones problemas comerciales Sin variabilidad en los
resultados Como resultado de decisiones ya tomadas > condiciones actuales
Causas potenciales de los riesgos Controlable Ejemplos El regulador no lo
autorizará la pena es alta El personal no está capacitado
26
27. Riesgos brutos y netos
Riesgo inherente; nivel evaluado de riesgo no tratado, actividad sin ningún
control o seguro, antes de considerar la efectividad de los controles internos
considera la falla de todos los controles relacionados, usado por auditores
externos y seguros, teórico, alto grado de juicio
Riesgo residual, nivel evaluado luego de tratar el riesgo, actividad con controles
actuales. después del nivel de control actual (o deseado) (es decir, después del
seguro), utilizado por por gestores de riesgos Los controles actuales pueden ser
identificados y auditados por su diseño y eficiencia
27
28. Los riesgos son la base del programa de # ética y # cumplimiento
identificar riesgos
asignar recursos para reducir riesgos màs altos
supervisar los indicadores principales
anticipar riesgos
demostrar un enfoque proactivo para el cumplimiento
mejorar la toma de decisiones
28
29. Riesgos regulatorios son la pérdida potencial causada por la creación o
modificación de leyes y reglamentos, o su interpretación. Causados por el
gobierno o regulador, Aumentan los costos de hacer negocios, restringir
actividades o afectar a la competencia, Requieren anticiparse a los cambios en las
leyes y reglamentos.
Riesgos de cumplimiento son la pérdida potencial causada por una violación de
un estándar interno, contrato, ley, regulación o valor ético.. Causados por fallas
de controles internos, una transacción defectuosa o un reclamo legal, Violaciones
accidentales, deliberadas o negligentes de mala conducta. Las multas, el pago de
daños, los contratos anulados o afectan la reputación, Prevención y planes de
contingencia.
29
30. Riesgos contractuales. Posible incumplimiento en los contratos actuales y
futuros. Contratos con clientes y vendedores.
Incluye los contratos de concesión. Fuente importante de riesgos comunes.
Controlar que los términos del contrato sean claros y realistas para el negocio
Riesgos no contractuales Incumplir con el deber de cuidar a los clientes, los
mercados, el medio ambiente o el personal Aplicado por acciones de reguladores
y autoridades policiales Incluye la responsabilidad penal corporativa.
30
31. Riesgos de integridad o a la ètica: Una organización puede cumplir técnicamente
con todas las leyes, pero aún podría ser poco ética
creado por las ‘expectativas de los grupos de interés, incluye lo compromisos
voluntarios corporativos, dependen del tono en la cima,
valores, transparencia, comunicación a puerta abierta, sostenibilidad, diversidad,
responsabilidad social
Los controles para cumplir con los estándares éticos son propiedad de la función
de cumplimiento y están relacionados con la corrupción, el fraude y los derechos
humanos
31
32. Lo que ves
Controles, Normas de cumplimiento. Políticas de riesgo. Estructura de pago.
Declaraciones sobre valores corportivos. Documentos de estrategia
Lo que no ves
Cultura. Tolerancia. Motivación- Supuestos. Valores personales. Relaciones
personales
32
34. Expectativas de los grupos de interés
accionistas
gobierno y reguladores
inversores y potenciales compradores
bancos y agencias de calificación
empleados, candidatos y sindicatos
clientes
socios comerciales y proveedores
los medios de comunicación
posibles demandantes
comunidades locales y ONG
34
37. Mapa de riesgo de cumplimiento (mapa de calor)
Fácil de visualizar el perfil de riesgo y facilitar las comunicaciones.
Matriz bidimensional → impacto * eje de frecuencia
Nivel de riesgo → niveles de escala en rojo / amarillo / verde
Límites vinculados a la tolerancia al riesgo.
37
38. Genera mejores acciones que una lista de riesgos.
El color de la burbuja se puede usar para mostrar la eficiencia del control para
cada riesgo
Visualizar riesgos en relación con otros → prioridad para acciones de mitigación
38
41. Ayuda a Uber a obtener un mapa de calor de cumplimiento
Licencias para operar
Leyes de soborno
Leyes de competencia
Leyes de privacidad
Leyes laborales
... ..
Tarea: use MS Excel y simule un nivel de control
41
42. Guias federales de sentencia de EE. UU. para organizaciones
realización de evaluaciones sólidas de riesgo de cumplimiento
establece el potencial de crédito o multas y sanciones reducidas
cuando una organización sea declarada culpable de una falla de cumplimiento
42
43. Sin embargo, el 39% de las organizaciones no realizan una evaluación anual de
riesgo de cumplimiento
Discutamos las causas
los riesgos de cumplimiento no pueden combinarse con las evaluaciones globales
de riesgo ERM
la cultura de cumplimiento es reactiva (multas, denuncia de irregularidades,
hallazgos de auditoría, litigios) en lugar de preventiva
43
44. Riesgos de cumplimiento y control
Las conductas faltas a la ética y el cumplimiento legal o regulatorio La mala
conducta ética o las infracciones de las leyes o regulaciones aplicables podrían
dañar nuestra reputación, afectar negativamente los resultados operativos y el
valor para los accionistas, y potencialmente afectar nuestra licencia para operar.
Nuestro código de conducta y nuestros valores y comportamientos, aplicables a
todos los empleados, son fundamentales para gestionar este riesgo. Además,
tenemos varios requisitos grupales y capacitación que cubren áreas tales como
antisoborno y corrupción, antilavado de dinero, ley de competencia /
antimonopolio y regulaciones de comercio internacional. Buscamos estar al tanto
de las nuevas regulaciones y legislación y planificar nuestra respuesta a ellas.
Ofrecemos una línea de ayuda confidencial independiente, OpenTalk, para
empleados, contratistas y otros terceros. Según los términos del acuerdo de
declaración de culpabilidad de 2012 con el gobierno de EE. UU. Y el acuerdo de
2014 con la Agencia de Protección Ambiental de EE. UU., Un monitor de ética
está revisando y brindando recomendaciones sobre el programa de ética y
cumplimiento de BP.
44
45. Riesgos regulatorios y de cumplimiento
La compañía está sujeta a riesgos regulatorios y de cumplimiento, que pueden
exponerla a investigaciones por parte de autoridades gubernamentales, litigios y
multas, en relación, entre otras cosas, con sus precios y prácticas de
comercialización u otros asuntos antimonopolio. La resolución de tales asuntos
podría afectar negativamente la rentabilidad y los flujos de efectivo en un período
particular o dañar su reputación. La compañía puede estar sujeta a un escrutinio
riguroso por parte de las autoridades reguladoras y las partes privadas,
particularmente en relación con sus prácticas comerciales y sus tratos con clientes
y contrapartes. Las subsidiarias están actualmente y en el futuro pueden estar
sujetas a procedimientos legales, cuya resolución podría afectar negativamente la
rentabilidad y los flujos de efectivo en un período en particular. La compañía
opera en un entorno global y, en un momento de mayor actividad de
cumplimiento e iniciativas de cumplimiento en todo el mundo, su negocio abarca
múltiples jurisdicciones y marcos regulatorios complejos, incluso en el área de
sanciones económicas.
45
46. Controles internos y riesgos de cumplimiento.
Los reguladores pueden limitar nuestras actividades, incluso mediante la
aplicación de mayores requisitos de capital y liquidez, protección del cliente y
regulaciones de conducta del mercado en las que podemos operar o invertir.
Dichas limitaciones pueden tener un efecto negativo en nuestro negocio y nuestra
capacidad para implementar iniciativas estratégicas. El ciclo de los sistemas de
control interno monitorea y analiza riesgos legales y de cumplimiento
significativos, establece límites, límites y disparadores en negocios específicos
para controlar una exposición significativa al riesgo operacional, y revisa y
evalúa la adecuación y eficiencia de los sistemas de control interno,
particularmente con respecto a los riesgos de valuación y el nuevo proceso de
aprobación comercial. El comité de auditoría mantuvo un enfoque en temas de
cumplimiento a través de sesiones informativas en reuniones del Oficial Principal
de Cumplimiento y Asuntos Regulatorios sobre riesgos clave de cumplimiento y
controles internos asociados, así como sesiones dedicadas sobre temas
específicos, como conocer a su cliente y anti-dinero. requisitos de lavado,
conducta de mercado y programas globales de cumplimiento tributario de
clientes.
46
47. Requisitos reglamentarios y riesgos de cumplimiento
A medida que expandimos nuestras operaciones, estaremos sujetos a leyes
adicionales en otras jurisdicciones donde se encuentran nuestros comerciantes,
consumidores, usuarios, clientes y otros participantes. Nuestra expansión
continua a los servicios de computación en la nube también aumentará el número
de partes que alojan datos en nuestro sistema, lo que presentará mayores desafíos
y riesgos en relación con la protección de datos y la privacidad de los datos.
Cualquier incumplimiento o incumplimiento percibido por nosotros para cumplir
con nuestras políticas de privacidad o con cualquier requisito reglamentario
podría dar lugar a procedimientos o acciones en nuestra contra por parte de
entidades gubernamentales u otros. Una mayor atención, escrutinio y aplicación
de la ley, incluidas inspecciones más frecuentes, podría aumentar nuestros costos
de cumplimiento y, sometiéndonos a mayores riesgos y desafíos asociados con la
seguridad y protección de datos. Los requisitos reglamentarios y los riesgos de
cumplimiento, así como los riesgos publicitarios a los que estamos sujetos como
resultado de adquisiciones de negocios en nuevas industrias o áreas geográficas o
de otra manera, especialmente para adquisiciones de empresas públicas.
47
48. Riesgos brutos y netos
Riesgo inherente; nivel evaluado de riesgo no tratado, actividad sin ningún
control o seguro, antes de considerar la efectividad de los controles internos
considera la falla de todos los controles relacionados, usado por auditores
externos y seguros, teórico, alto grado de juicio
Riesgo residual, nivel evaluado luego de tratar el riesgo, actividad con controles
actuales. después del nivel de control actual (o deseado) (es decir, después del
seguro), utilizado por por gestores de riesgos Los controles actuales pueden ser
identificados y auditados por su diseño y eficiencia
48
49. Riesgos brutos y netos
Riesgo inherente; nivel evaluado de riesgo no tratado, actividad sin ningún
control o seguro, antes de considerar la efectividad de los controles internos
considera la falla de todos los controles relacionados, usado por auditores
externos y seguros, teórico, alto grado de juicio
Riesgo residual, nivel evaluado luego de tratar el riesgo, actividad con controles
actuales. después del nivel de control actual (o deseado) (es decir, después del
seguro), utilizado por por gestores de riesgos Los controles actuales pueden ser
identificados y auditados por su diseño y eficiencia
49
50. . Inherent risk might be defined instead as including only minimal required
controls. Those are controls where it would be considered negligent to exclude
them so there really is no dilemma about whether to include them. The
differences between inherent and residual risks are only truly discretionary
controls—the sorts of controls where it would be considered a reasonable option
to exclude them.
50
51. El riesgo inherente excluye todos los controles:
Sin control presupuestario
Sin segregación de deberes
Sin controles de compensación.
Sin tono en la parte superior
... sin contraseñas, sin puertas cerradas!
... no hay departamento de cumplimiento!
Algunos profesionales de riesgos incluyen controles de alto nivel para el riesgo
inherente o vinculan los riesgos inherentes a la eficiencia de los controles
actuales (es decir, los controles actuales débiles significan altos riesgos
inherentes)
51
53. Distinguir los riesgos de…. incertidumbres Las causas y consecuencias de los
eventos no se pueden predecir ni medir. Los controles son desconocidos
Ejemplos Primeros cambios en la legislación Cláusulas contractuales vagas
Fraudes en nuevas operaciones problemas comerciales Sin variabilidad en los
resultados Como resultado de decisiones ya tomadas > condiciones actuales
Causas potenciales de los riesgos Controlable Ejemplos El regulador no lo
autorizará la pena es alta El personal no está capacitado
53
54. Riesgo emergente también conocido como ontológico
Señales débiles de tendencias nuevas o que evolucionan rápidamente debido a
factores y condiciones de riesgo cambiantes
alta incertidumbre acerca de las causas y consecuencias no se puede modelar ni
cuantificar > analizar mediante análisis de escenarios, pruebas de estrés y
exploración del horizonte
activismo, informes no financieros, cambios en las responsabilidades, requisitos
del cliente
Riesgo real riesgos para la toma de decisiones actual amenazas relacionadas con
productos y operaciones conocidas puede ser modelado
54
55. Evento de riesgo también conocido como riesgo estocástico
incertidumbre de eventos que pueden o no suceder > probabilidad de ocurrencia
combinación de causas y consecuencias > análsis de “pajarita” o “moño”
evaluado por metodologías tradicionales con valores mínimos y máximos y
árboles de decisión
puede que nunca se materialice incumplimiento de proveedores, multas, demanda
colectiva, nueva regulación, órdenes ejecutivas, muertes
Riesgo sin evento incertidumbre de las condiciones 100% de probabilidad de
materializarse en un producto u operación
55
56. Riesgo de variabilidad, también conocido como riesgo aleatorio
variabilidad en la consecuencia > rango de los resultados y la duración >
distribución
evaluados con simulaciones sobre los supuestos de planificación. y modelos
probabilísticos con datos históricos
costos legales, problemas de calidad, quejas, compensaciones, demoras, reclamos
por daños, disputas, errores de aprobación, pérdidas de documentación
Riesgo de ambigüedad, también conocido como riesgo epistémico
información o conocimiento imperfecto
necesita recopilar más información y aprender de los pilotos
evaluado mediante la eliminación de la incertidumbre mediante estimaciones
calibradas realizadas por expertos o la comparación con la norma ISO 37301 u
otras mejores prácticas
requisitos para nuevos servicios, interpretación de una nueva legislación
56
57. Evento > Multas por tráfico de información privilegiada
No de evento > Disputas por un error de tipeo (e.g. escribir un cero de más en una
órden)
57
58. Capacidad de riesgo
nivel máximo de riesgos que una empresa puede asumir
sin violar deliberadamente una ley o regulación
consecuencias críticas en términos de costos de incumplimiento de cumplimiento
o el impacto en objetivos estratégicos o reputación
Tolerancia al riesgo
nivel de riesgos que una empresa quiere aceptar
establecido por la junta de directores o el consejo de administración, necesario
para cumplir los objetivos
influenciado por requisitos legales o reglamentarios
comunicado:
cuantitativamente: en términos de un solo valor
"Tolerancia cero para el fraude o la corrupción", o
cualitativamente: en términos de resultados aceptables o inaceptables
depende de los retornos de inversión y la estrategia
exceder la tolerancia desencadenará una acción de gestión
58
59. Capacidad de riesgo
nivel máximo de riesgos que una empresa puede asumir
sin violar deliberadamente una ley o regulación
consecuencias críticas en términos de costos de incumplimiento de cumplimiento
o el impacto en objetivos estratégicos o reputación
Tolerancia al riesgo
nivel de riesgos que una empresa quiere aceptar
establecido por la junta de directores o el consejo de administración, necesario
para cumplir los objetivos
influenciado por requisitos legales o reglamentarios
comunicado:
cuantitativamente: en términos de un solo valor
"Tolerancia cero para el fraude o la corrupción", o
cualitativamente: en términos de resultados aceptables o inaceptables
depende de los retornos de inversión y la estrategia
exceder la tolerancia desencadenará una acción de gestión
59
60. El dinero no es un problema.
Sectores regulados
Activos intangibles muy altos
Cultura de cumplimiento altamente madura
Probablemente está bien el cumplimiento
Infracciones menores de cumplimiento
Gestión de riesgos de cumplimiento.
La mayoría de las empresas
El cumplimiento no necesita estar bien
Posición agresiva
Apoyar planes de negocios
Problemas de cumplimiento del alcalde
Riesgo de volverse el "caso principal"
Cultura de cumplimiento tóxico
60
61. La tolerancia al riesgo no es lo que dices o escribes ... es lo que haces
61
62. Discusión Directrices de la Agencia Francesa Anticorrupción
2.1. Adoptar una política de tolerancia cero para el riesgo de corrupción.
Dentro de la organización y en sus tratos con terceros, la alta gerencia:
- debería hacer de la prevención y detección de la corrupción una prioridad para
la organización;
- debe asegurarse de que los recursos asignados para prevenir y detectar la
corrupción sean
proporcional a los riesgos;
- debe adoptar una actitud firme ante cualquier caso de corrupción. La redacción
de normas disciplinarias y
la aplicación de sanciones son expresiones concretas de este compromiso;
- debe afirmar su compromiso comunicando su determinación de combatir la
corrupción internamente
y externamente;
- debería estipular en el código de conducta que recurrir a la corrupción no es uno
de los
prácticas de la organización en sus negocios, relaciones con socios del sector
público y privado
o en sus relaciones con los clientes.
Más específicamente, la alta dirección debe usar indicadores y los informes de
auditoría de la organización para
Asegurar que el sistema anticorrupción sea organizado, efectivo y actualizado.
Compromiso de la alta dirección con la prevención y detección de corrupción
62
63. La única forma de reducir los riesgos de cumplimiento a cero es cerrando el
negocio
Gestionamos los riesgos, no la seguridad.
63
64. Toma de riesgos en compliance
Discusión
¿Cómo puede una empresa aumentar su capacidad para asumir riesgos de
cumplimiento?
¿Cómo comunica la empresa la tolerancia a los riesgos de cumplimiento?
Por fraude y corrupción
Por conflictos de intereses
Para reclamos legales
Por multas
Umbrales para aprobar transacciones
Expresado en la concesión de recursos para el cumplimiento
¿Se pueden usar para monitorear indicadores clave?
64
65. Toma de riesgos en compliance
Perfil de riesgo
todos los riesgos que afectan a la empresa
moldeado por la industria
Riesgo de exposición
cantidad total de riesgo expuesto
multiplicando la probabilidad de un evento de incumplimiento por sus pérdidas
potenciales
útil para comparar contra la tolerancia al riesgo
Riesgos percibidos
cómo piensan los empleados sobre los riesgos de acuerdo con su experiencia e
intereses
Los sesgos crean brechas entre los riesgos percibidos y los reales.
65
66. Toma de riesgos en compliance
La "tercera variable" que se muestra como color de burbuja, tamaño o forma
Eficiencia de los controles
qué tan bien están diseñados y realizados los controles
políticas y procedimientos claros y capacitados
Velocidad de riesgo
qué tan rápido la empresa se ve afectada por el evento de incumplimiento
Persistencia de riesgo
cuánto tiempo se ve afectada la empresa
Nivel de comprensión
qué tan bien se puede predecir este riesgo
66
68. Granularidad de riesgo
qué tan detallados se manejan los riesgos
mostrar cómo los riesgos se concentran y gestionan juntos
determina el nivel de recursos en la evaluación de riesgos
requiere un método de consolidación
Por...
categoría (corrupción, ambiental)
actividad (solar, eólica, residuos)
jurisdicción (España, EE. UU., nacional, internacional)
unidad de negocio (HQ, servicios compartidos)
propiedad (ventas, finanzas, contratación)
fuente (interna, de terceros)
68
69. Jerarquía de riesgos
Informes
Aprobaciones de riesgo
Principales riesgos
Riesgos empresariales
Riesgos comerciales
Riesgos del proyecto
De arriba hacia abajo
Responsabilidad
Supervisión
Garantía
Seguimiento de planes de acción
De abajo hacia arriba
Identificación de riesgo
Implementación del plan de acción
Control de rendimiento
69
70. Nivel de control
Riesgos controlables
buen gobierno corporativo
revisión de gestión
políticas y procedimientos
delegación de autoridad
niveles de autorización
segregación de deberes
evaluación para nuevas inversiones
formación
Riesgos incontrolables
no se puede prevenir o minimizar
si es posible, cubierto por un seguro
error humano
sistemas complejos
medios de comunicación social
algunos riesgos de terceros
economía global interconectada
70
71. ¿Por qué los automóviles necesitan frenos?
¡Para ir más rápido!
Los controles de cumplimiento están configurados para acelerar el crecimiento
71
72. Factores directos
Aumentar la complejidad de las leyes y reglamentos.
Rigor reglamentario para proteger a los consumidores
Coordinación internacional de reguladores
Medidas de divulgación mejoradas y transparencia
Factores indirectos
Escrutinio mediático para escándalos por incumplimientos
Impacto global en la reputación en empresas multinacionales.
Concienciación creciente de los consumidores sobre sus derechos.
Avances tecnológicos y riesgos cibernéticos.
72
73. Los riesgos de cumplimiento cubren
las "incógnitas conocidas" ...
y las "incógnitas desconocidas"
73
75. ISO 31000 Principios no certificables
política de gestión de riesgos
objetivos y liderazgo de la alta dirección
centrarse en estrategias
proceso iterativo
retroalimentación del entorno externo
diferentes métodos para identificar riesgos (ISO 31010)
75
76. ¿Cuándo evaluar los riesgos de cumplimiento?
Como un proceso independiente
antes de crear un programa de ética y cumplimiento
actualizaciones anuales para evaluar la eficiencia de
grandes cambios organizacionales
adquisiciones y cambios en estrategias
reorganizaciones
nuevos productos
operaciones en nuevos países
cambios en las obligaciones de cumplimiento
incumplimientos
Como un proceso utilizando sinergias
parte de la evaluación global de riesgos (enfoque integrado recomendado)
al evaluar riesgos de fraude (SOX, auditoría interna)
parte de una evaluación de impacto de protección de datos bajo el GDPR
en iniciativas de calidad, medio ambiente y seguridad de la información
76
77. Hoja de ruta
Planificación
venta interna, alcance, recursos, participantes
Evaluar
identificación y valoración de riesgos, análisis, planes de acción
Informes
comunicación y seguimiento de riesgos, evaluación de resultados, mejora
77
78. Paso 1: Obtenga la aceptación de la junta ejecutiva
- Vincule la evaluación de riesgos a las decisiones planificadas y los riesgos
sensibles para la junta y la alta dirección (por ejemplo, seguridad cibernética)
- Asigne a los miembros de la junta la propiedad de los principales riesgos
- Ajuste la metodología de riesgo a la madurez de la cultura de la empresa
- Informe sobre la confidencialidad del proyecto
- Explique que la evaluación ofrecerá nuevos recursos para gestionar los riesgos
de cumplimiento
Más presupuesto, capacitación, soporte de alto nivel
78
79. Paso 1: Obtenga la aceptación de la junta ejecutiva
¿Cómo "vender" la evaluación?
enfocar el programa de ética y cumplimiento
priorizar controles, capacitación y presupuesto a controles claves
identificar los factores que pueden afectar la reputación.
crear conciencia sobre las infracciones de cumplimiento y amenazas
aclarar responsabilidades en la gestión de requisitos
comprender los requisitos y controles de cumplimiento
reducir los riesgos en procesos y contratos
identificar las restricciones para la evaluación
79
80. Paso 2: Identifique el universo de riesgos
definir el alcance de la evaluación de riesgos
categorías simples de riesgos de cumplimiento para evaluar
ordene por categorías y subcategorías
detectar amplias áreas de riesgos personalizadas para su empresa
no hay una "talla única“ o “modelo ‘único para todos”
basado en la lista o regulaciones, leyes, estándares y obligaciones
permitir consolidar riesgos similares
trabajar como cuentas en contabilidad
conducir a una mejor presentación de informes a las partes interesadas
80
81. Paso 2: Identifique el universo de riesgo
Revisión de escritorio para comprender el contexto.
Interno
estadísticas de litigios, multas y reclamos, uso de la línea de ayuda e
investigaciones, quejas de clientes, informes de auditoría, fraudes, reclamos de
seguros, incumplimientos de contratos, narrativas de cumplimiento, informes de
excepción de cumplimiento, exenciones de políticas, contratos actuales, planes
comerciales futuros, tareas de cumplimiento en descripciones de trabajo,
encuestas de cultura
Externo
incumplimientos por parte de competidores, informes de la industria, noticias
sobre incumplimientos legales, informes de reguladores, asesoramiento externo,
investigaciones regulatorias (para empresas pares o más), regulaciones y normas
propuestas
81
82. Paso 2: Identifique el universo de riesgo
Identificar el universo de riesgo.
82
83. Paso 2: Identifique el universo de riesgo
Categorias
Tambièn conocidas como dominios de riesgo, taxonomía, tipologías, áreas, tipos
o familias.
Fraude
Corrupción
Conflictos de interés
Esquemas de compras
Esquemas de ventas
Soborno
Aparejo de ofertas
Contracargos de facturas
Apropiación por falta de activos
Robo de efectivo en mano
Robo de recibos de casos
Hurto en efectivo
“Skimming”
Desembolsos fraudulentos
Esquemas de nómina
Esquemas de facturación
83
84. Reembolso de gastos
Inventario y otros activos
Mal uso de activos corportivos
Fraude de estados financieros (fraude contable)
Ingresos y exageraciones de activos
Subestimación de responsabilidad y gastos
83
86. Paso 2: Identifique el universo de riesgo
Vamos a practicar
¡Buenas noticias! Ha sido nombrado nuevo oficial de cumplimiento y debe
clasificar las siguientes subcategorías en:
1- Riesgos éticos, gestionados por el CEO
2- Riesgos de seguridad cibernética, gestionados por el CISO
3- Riesgos de información financiera, gestionados por el CFO
4- Riesgos ambientales y de seguridad, gestionados por QHM
5- Riesgos de personas, gestionados por el CHRO
6- Riesgos comerciales, gestionados por el COO
85
87. Paso 2: Identifique el universo de riesgo
Antimonopolio y protección del consumidor
Anti lavado de dinero
Financiamiento del terrorismo
Minerales de conflicto
Contrato del gobierno
Leyes de ventas y mercadeo
Leyes de crédito y cobranza
Gestión de contratos
Pruebas en animales
Anti-boicot
Litigio
Normas de calidad
Licencia y permisos
Comercio justo
Impuestos y precios de transferencia
SOX e informes financieros
Contribuciones políticas
86
88. Paso 2: Identifique el universo de riesgo
Propiedad intelectual
Donaciones
Patrocinio
Publicidad
Derechos humanos
Informes no financieros y divulgación
Controles de cambio de divisas
Regulación del producto
Denuncias internas
Etiquetado de producto
ISO y estándares internos
Sanciones y exclusiones.
Esclavitud moderna
Diversidad
Infracción de propiedad intelectual
Continuidad del negocio
87
89. Paso 3: Identifique a los participantes
¿Qué participantes deberían cubrir el universo de riesgo?
Rango del puesto
- Miembros de la junta, liderazgo ejecutivo y CXO, asesores legales internos /
externos, gerentes, supervisores
Oficinas centrales y filiales
Líneas de negocios
Áreas funcionales
- Propietarios de procesos, especialistas de procesos, auditores, gestores de
riesgos, RRHH, RSE, ventas, compras, TI
Expertos externos
88
90. El alcance y el nivel de detalle de la evaluación del riesgo de cumplimiento
dependen de la situación de riesgo, el contexto, el tamaño y los objetivos de la
organización. Pueden variar para subáreas específicas como el medio ambiente,
las finanzas y las redes sociales. ISO 19600 4.6
89
91. Paso 4: Diseñe la evaluación
El registro de riesgos.
- base de datos para comunicar riesgos y planes de acción
- para rastrear, informar, clasificar y filtrar riesgos y producir mapas de riesgos
- calcula y consolida métricas e indicadores
- acceso restringido para tipos de usuario
- verificar si hay riesgos contados doblemente
- útil para comparar con bases de datos de pérdidas
- los planes de riesgo y acción deben ser aprobados y actualizados
90
92. Paso 4: Diseñe la evaluación
Soluciones para un registro de riesgos
91
93. Paso 4: Diseñe la evaluación
Ningún software puede compensar la falta de talento de un oficial de
cumplimiento
92
94. Paso 4: Diseñe la evaluación
Campos recomendados para un registro de riesgos
Número de riesgo único
Propietario de riesgo
Partes interesadas
Líneas de negocio afectadas (alcance del riesgo)
Categoría (y subcategoría)
Título del riesgo (consecuencia + por + causa)
Declaración de riesgo o descripción del evento.
Incumplimiento de la ley, la política o el requisito de cumplimiento
Descripción de los controles de contingencia.
Valor de impacto (puntaje o EUR)
Fuentes de riesgo (factores AKA)
Descripción de los controles preventivos.
Descripción de eventos pasados (incluso por competidores, experiencias de
pérdida)
Detectabilidad (qué tan fácil de detectar)
Valor de frecuencia
Nivel de control (I * f)
Tercera variable (es decir, velocidad de riesgo)
Estrategia de tratamiento (4Ts)
Planes de acción para la mitigación (tareas, fechas de vencimiento, inversión,
propietario)
Fecha de identificacion
93
96. Paso 4: Diseñe la evaluación > Ejemplo de un registro
1 Las leyes anticorrupción pueden ser violadas por los gerentes de ventas que
ofrecen efectivo, obsequios y otros beneficios a los funcionarios públicos para
asegurar ilegalmente un contrato con el gobierno.
2 El código de conducta puede ser violado por el personal de adquisiciones que
compra productos caros o inexistentes para obtener un soborno
3 Los empleados pueden infringir el código de conducta al utilizar el tiempo y los
activos de la empresa para un segundo trabajo no declarado
4 Los proveedores de la nube de TI pueden violar el RGPD al transferir
incorrectamente la información personal de nuestros clientes
94
97. Paso 4: Diseñe la evaluación, ¿Cómo identifico los riesgos?
1- Autoevaluaciones de riesgos de cumplimiento
2- Entrevistas con propietarios de riesgos
3. Talleres de riesgo
95
98. 1 Autoevaluaciones de riesgos de cumplimiento
cuestionarios confidenciales basados en el universo de riesgo
distribuido a los participantes sobre el alcance
general para la empresa o ajustado por área o función
los participantes completan sus percepciones sobre los riesgos de cumplimiento
detecta áreas de atención, pero no cómo se materializan y controlan los riesgos de
cumplimiento
96
99. 1 Autoevaluaciones de riesgos de cumplimiento
¿Se mantiene un control estricto sobre la transferencia de información personal?
¿Se clasifican los datos personales para determinar datos sensibles?
¿Recibe orientación y capacitación sobre cómo gestionar los riesgos de
privacidad y cumplir con las obligaciones sobre la información personal (es decir,
RGPD, HIPAA)?
¿Tiene uno o varios métodos efectivos para limitar el acceso a los datos
personales solo para realizar tareas?
97
100. 2 Entrevistas con los dueños de los riesgos
Reuniones individuales con los participantes sobre el alcance
Permiten una colección de riesgos guiada y detallada
Permiten recopilar y discutir evidencia de riesgos materializados (es decir,
estadísticas de pérdidas)
Proporcionnan información de antecedentes antes de la entrevista
Alto nivel de comprensión
Evitar sesgos y riesgos percibidos
Podrían apoyarse analizando riesgos en diagramas de flujo
98
101. 2 Entrevistas con los dueños de los riesgos
Que preguntar…
¿Qué puede evitar que su departamento cumpla con los requisitos de
cumplimiento?
¿Cuáles son los mayores riesgos que enfrenta la empresa y / o su departamento
ahora? ¿En los próximos tres años?
¿Qué procesos clave tienen el mayor riesgo?
¿Qué pasos en falso de cumplimiento podrían hacer que pierda los objetivos
anuales?
¿En qué áreas se beneficiaría de controles adicionales, políticas y capacitación en
cumplimiento?
99
102. 2 Entrevistas con los dueños de los riesgos
Que preguntar…
¿Qué problemas éticos y de cumplimiento enfrenta con frecuencia en su trabajo?
¿Qué incumplimientos de cumplimiento, irregularidades y problemas se han
materializado en el pasado?
¿Cuáles son los requisitos de cumplimiento que la empresa y / o su departamento
no están abordando muy bien?
¿Qué tipo de riesgos podrían surgir en el futuro?
100
103. Preguntas estándar de evaluación de riesgos¿Qué factores harían que el resultado
fuera diferente de lo esperado?¿Qué escenarios son posibles?¿Cuál es el peor (y
el mejor) caso y qué factores llevan a que esto ocurra?¿Pueden los casos centrales
resultar de algunos factores que tienen valores bajos y otros que tienen valores
altos? ¿Qué factores son estos?¿Qué factores o impulsores podrían haberse
olvidado en el análisis del caso base?¿Por qué nuestras suposiciones podrían estar
equivocadas... o por qué este análisis podría ser aún insuficiente o aún no haber
identificado los riesgos relevantes?¿Nadie puede pensar en alguna otra razón por
la cual el resultado puede ser diferente... o donde las cosas podrían ser mejores o
peores de lo esperado?¿Qué riesgos de cumplimiento, estratégicos, financieros y
operativos existen?¿Qué incertidumbres hay?¿Cuáles son los riesgos que afectan
los ingresos, los costos, la inversión, el flujo de efectivo o los requisitos de
financiamiento (como los relacionados con precios, volúmenes, elementos de
costos individuales, etc.)?¿Qué riesgos comerciales, de producto/servicio,
operativos o competitivos existen?¿Cuáles son los riesgos legales, técnicos,
regulatorios, reputacionales y ambientales?¿Qué riesgos existen en las
capacidades de gestión, ética, socios, procesos, recursos y proveedores?¿Se ha
construido un modelo financiero inicial? ¿Qué elementos de línea dentro de él
son inciertos o riesgosos?
101
104. Preguntas estándar de evaluación de riesgos¿Qué factores harían que el resultado
fuera diferente de lo esperado?¿Qué escenarios son posibles?¿Cuál es el peor (y
el mejor) caso y qué factores llevan a que esto ocurra?¿Pueden los casos centrales
resultar de algunos factores que tienen valores bajos y otros que tienen valores
altos? ¿Qué factores son estos?¿Qué factores o impulsores podrían haberse
olvidado en el análisis del caso base?¿Por qué nuestras suposiciones podrían estar
equivocadas... o por qué este análisis podría ser aún insuficiente o aún no haber
identificado los riesgos relevantes?¿Nadie puede pensar en alguna otra razón por
la cual el resultado puede ser diferente... o donde las cosas podrían ser mejores o
peores de lo esperado?¿Qué riesgos de cumplimiento, estratégicos, financieros y
operativos existen?¿Qué incertidumbres hay?¿Cuáles son los riesgos que afectan
los ingresos, los costos, la inversión, el flujo de efectivo o los requisitos de
financiamiento (como los relacionados con precios, volúmenes, elementos de
costos individuales, etc.)?¿Qué riesgos comerciales, de producto/servicio,
operativos o competitivos existen?¿Cuáles son los riesgos legales, técnicos,
regulatorios, reputacionales y ambientales?¿Qué riesgos existen en las
capacidades de gestión, ética, socios, procesos, recursos y proveedores?¿Se ha
construido un modelo financiero inicial? ¿Qué elementos de línea dentro de él
son inciertos o riesgosos?
102
105. 3 Talleres de riesgos
amplia gama de percepciones sobre los riesgos y sus controles.
garantizan la coherencia de la evaluación y la propiedad de los planes de acción.
proporcionan información de antecedentes antes del taller
el uso de datos evitan discusiones subjetivas
auditoría interna puede validar la eficiencia de los controles actuales
legal puede validar la evaluación de impacto
se puede hacer después de las entrevistas
103
107. ¿Cómo valoro los riesgos de cumplimiento?
Evaluación cualitativa
Evaluación cuantitativa
Evaluación cualitativa cuantitativa o semi cuantitiativa
105
108. Evaluación cualitativa
utiliza una clasificación numérica predefinida (criterios de riesgo, puntaje o
escala de calificación)
basada en los aportes y juicios de los grupos de interès
impacto de incumplimiento menor a catastrófico
escalas: 1 muy baja, 2 baja, 3 moderada, 4 alta, 4 muy alta
frecuencia de rara a casi segura
produce un mapa de calor de 5 * 5 o 7 * 7 *
práctica común en cumplimiento
106
109. Impacto 1 2 3 4
Regulatorio
Posible interés de los reguladores Interés elevado del regulador,
Posible investigación Investigaciones del regulador, multa probable y censura
pública.
Período de prueba regulatorio
Multa del regulador y posible cierre de negocios.
Retiros de activos masivos
Legal
Amenazas legales de litigios o pequeñas compensaciones
Numerosos litigios menores y avisos de incumplimiento en contratos
Numerosos litigios y incumplimientos de contratos Numerosos litigios
importantes y rescisión de contratos
Reputacional
Titulares locales de reputación por menos de una semana
Titulares nacionales, reclamos de clientes
Titulares internacionales, acciones individuales, acciones de clase posibles
Cobertura internacional sostenida, gran pérdida de clientes
Frecuencia 1 2 3 4
Improbable
107
115. Matemáticas o poesía
Diferentes personas interpretan las probabilidades verbales de manera diferente
“Cuando uso una palabra. . . significa exactamente lo que yo elijo, ni más ni
menos ".
Lo que Alice encontró allí
112
116. Matrices de riesgo cualitativas no alineadas con la ISO 31000
Ignora la mejor información disponible
Los datos de riesgo no se producen ni se utilizan.
No es compatible con métodos de evaluación científica, modelos estadísticos y
teoría de probabilidad.
No producir decisiones bien informadas
Hecho para cumplimiento e informes externos
Desequilibrar los beneficios potenciales contra los costos de las opciones de
tratamiento.
Asignaciones de recursos subóptimas
Ignorando el lenguaje de los negocios: dinero
113
117. Matrices de riesgo cualitativas no alineadas con la ISO 31000
Monto no establecido a los criterios de riesgo
Clasificación arbitraria de RYG (“colores del semáforo”) para tolerancia
Escalas ordinales inconsistentes (dos riesgos en 2 <> un riesgo en 4)>
imposibilitan la agregación de riesgos
Desprecio a los factores culturales.
Los sesgos no se reducen en las evaluaciones de creación de consenso
La calificación requiere interpretación subjetiva
Inconsistencias en la evaluación por cambio de evaluadores
Valor extremo evitado por los evaluadores
114
118. Matrices de riesgo cualitativas no alineadas con la ISO 31000
No cumple con el principio de resultados consistentes
Considera solo un escenario, evento de pérdida única
La compresión de las escalas de calificación genera inconsistencias en los niveles
de riesgo
El horizonte temporal cambia de una vez cada 10 años a mensual
La priorización del riesgo depende de la clasificación de criterios (criterios
ascendentes 1-5 o descendentes 5-1)
Desprecio de los riesgos de bajo valor.
115
119. Matrices de riesgo cualitativas no alineadas a la ISO 31000
La ilusión de la comunicación
Para una decisión de grupo, es fácil ponerse de acuerdo en términos vagos> "La
corrupción es un riesgo alto"
Comunicación poco clara mediante el uso de hechos no medidos> falta de
decisiones de riesgo y devolución
El rendimiento no se puede mejorar> impide los cálculos de pérdidas
116
122. Solución: cuantificación
Al evaluar un accidente potencialmente mortal, ¿cómo valoras una vida? > De la
misma manera que su compañía de seguros
¿Cómo cuantifica las pérdidas de reputación? > Pregunte a marketing ... créanme,
ellos saben
No tenemos datos> Entonces, comience generando datos ... los tomadores de
decisiones están llenos de datos
La cuantificación es demasiado trabajo> Bien, usar la bola de cristal es aún
menos trabajo
119
123. ¿Cómo valora los intangibles? ¿Cuál es el valor de los datos? > Fácil, los ingresos
futuros del intangible o cuánto está dispuesto a pagar alguien por él
120
124. Evidencia científica de fallas en mapas de calor y matrices de riesgo
Lo que está mal en las matrices de riesgo, Tony Cox, 2008> es peor que inútil
Más reflexiones sobre la utilidad de las matrices de riesgo, David Ball, 2013>
cuadro no confiable
El riesgo de usar matrices de riesgo, Philip Thomas, 2013
Resumiendo el riesgo utilizando medidas de riesgo e índices de riesgo, Cameron
MacKenzie, 2014
Sesgos cognitivos y motivacionales en la decisión y el análisis de riesgos,
Gilberto Montibeller, 2015
El atractivo interdiscursivo de las matrices de riesgo, Silvia Jordan, 2016
121
130. Levantar un dedo en el aire no es una evaluación de riesgos
Usa tu pensamiento crítico
127
131. Evaluación cuantitativa
calcular la pérdida potencial única en valor monetario (EUR) y su probabilidad
(%)
predice resultados probables en valores monetarios (aproximaciones)
requiere modelos para facilitar los cálculos
métodos estadísticos, bases de datos de pérdidas, multas
útil para justificar los costos de contramedidas, analizar los riesgos clave, usar los
datos disponibles, la necesidad de reducir el nivel subjetivo, las necesidades de
consolidación, en una cultura de cumplimiento madura
128
132. ¿Dónde están los datos?
cantidad de multas en un período
pérdidas por procedimientos legales
acumulaciones por contingencias legales
disputas y reclamos de impuestos, clientes y proveedores
pérdidas por fraude
autoevaluaciones de cumplimiento
Datos de la industria por vendedores
129
133. Los cambios en el entorno hacen que los datos pasados sean irrelevantes
Los datos deben cubrir numerosos de casos
Las fuentes de datos deben ser confiables
130
137. Distribución normal
Gaussiano
Curva en forma de campana
Los valores medios son los más comunes.
Violaciones de cumplimiento provocadas por errores humanos
Los riesgos legales no suelen seguir una distribución normal> baja frecuencia
134
138. Distribución logarítmica normal
Producto multiplicativo de muchas variables aleatorias independientes.
Eventos de cola pesada
Impacto de las infracciones de cumplimiento en las redes sociales> Disminución
lenta de la visibilidad del incidente
Hora de detectar fraude
Días para cerrar una queja del cliente
135
139. Distribución triangular
Valores mínimos, más probables y máximos
(Mín. + Base + Máx.) / 3
Se enfatizan los extremos
Regulaciones con penas o multas mínimas y máximas
136
140. Distribución PERT
Valores mínimos, más probables y máximos
(Mín. + 4 * Base + Máx.) / 6
No se enfatizan los extremos
Común en la mayoría de las herramientas de software de riesgos
Frecuentemente usado para modelar la opinión de un experto
Riesgos de cumplimiento provocados por demoras
137
141. Distribución binominal
Dos resultados mutuamente excluyentes
Posibilidad de éxito al 50%
Posibilidad de falla al 50%
Control de cumplimiento efectivo o ineficaz
Pérdida de concesiones, impuestos o beneficios.
Aprobación de una licencia
138
142. Distribución discreta
Cada escenario tiene un impacto y probabilidad
Árbol de decisión
Sanciones discrecionales
Sanciones en cláusulas contractuales
Disputas fiscales
139
144. El uso de datos siempre superará al uso de adjetivos
Si el objetivo es importante, siempre tendrás datos para medir los riesgos.
Encontrarás muchos datos históricos
Incluso unos pocos conjuntos de datos serán valiosos para reducir las
incertidumbres y decidir mejor
Encontrarás las variables con mayor impacto en los objetivos
141
145. Malos datos adentro, malos datos afuera
Su modelo de riesgo cuantitativo no puede ser mejor que la calidad de los datos
de entrada.
142
146. Debate
¿La evaluación cualitativa es un paso hacia la evaluación cuantitativa?
Como la astrología es un paso hacia la astronomía
143
147. Evaluación cuali-cuantitativa
enfoque híbrido (también conocido como semicuantitativo)
vincula evaluaciones cualitativas y cuantitativas
conversión predefinida de los impactos de reputación, operativos y de seguridad
en un valor monetario (análisis de criterios múltiples)
las evaluaciones permanecen hechas en base cualitativa
nivel aceptable de sesgo
144
148. Impacto 1 2 3 4
Regulatorio
Posible interés de los reguladores Interés elevado del regulador, posible
investigación
Investigaciones del regulador, multa probable y censura pública. Período de
prueba regulatorio
Multa del regulador y posible cierre de negocios. Recuerdo masivo.
Amenazas legales de litigios o pequeñas compensaciones
Numerosos litigios menores y avisos de incumplimiento en contratos
Numerosos litigios y incumplimientos de contratos
Numerosos litigios importantes y rescisión de contratos
Finanzas (costo por evento) 0-100k EUR 100-250M EUR 250-1M EUR>
1MEUR
145
149. Sesgos: Heurística de disponibilidad
Evaluar riesgos en eventos materializados recientes y mayores
Atajo mental, juicios hacia casos más emotivos
No exagere los riesgos basados en las noticias y en el peor de los casos "esta
unidad de negocios debería tener altos riesgos de fraude ya que hay muchos casos
de fraude en las noticias en su país".
Evitar evidencia anecdótica
Valorar el riesgo de todo tipo de riesgos materializados, evitar ejemplos tomados
de la memoria
Revise globalmente los riesgos evaluados al final, permita el cambio de datos
146
150. Sesgos de anclaje
Evaluar los riesgos desde un punto de partida anterior.
Valor primero pensado, pesimismo / optimismo en la posición anterior,
clasificación de riesgo relativo
No solucione problemas detectados en la revisión previa a la evaluación, los
talleres anteriores u otras evaluaciones similares
"Esta unidad de negocios debería tener los mismos riesgos que las unidades de
negocios similares"
Ordenar los temas en la agenda “el RGPD es un tema candente, por lo que
comenzaré preguntando sobre esto".
Deje que los participantes piensen "generalmente valoramos este riesgo en ...,
¿cómo evalúa este riesgo?"
147
151. Confirmación de sesgos
Evaluar riesgos en juicios preexistentes> familiaridad y prejuicio
Reduce la información utilizada
No salte a conclusiones "está relacionado con un país con baja percepción de
corrupción, por lo que no hay riesgos de soborno", "el fraude es parte de su
cultura"
Solicitar evidencia y datos
Analizar la diferencia entre los factores de riesgo actuales y los anteriores.
Pregunta por los supuestos
Evitar generalizaciones "3 pequeños riesgos materializados, por lo que debe ser
relevante”
148
154. Usted es el compliance officer de una compañía de servicios de agua que atiende
a 400 mil clientes.
Debe evaluar el riesgo de incumplimiento de una cláusula del contrato de
concesión
Esta cláusula permite que el regulador aplique automáticamente una multa de 100
EUR por cada cliente desatendido después de 24 horas luego de presentado un
reclamo
Su presupuesto anual para esta multa es de 30 millones de euros.
151
155. Las oficinas de atención a clientes generalmente pueden atender las quejas en
menos de 24 horas
Sin embargo, eventos inusuales como lluvias torrenciales o problemas operativos
que conducen a grandes cortes de agua hacen que las quejas presentadas no se
pueden abordar en menos de 24 horas.
Estos eventos pueden afectar desde unos pocos cientos hasta potencialmente a
todos los clientes.
Varios eventos y grandes multas ocurrieron el año pasado y todas sus partes
interesadas son sensibles a esta cláusula contractual
152
156. De esta forma, realiza un taller para una evaluación cualitativa para evaluar este
riesgo.
COO: “El riesgo es muy alto, recuerde las fuertes lluvias y los problemas
operativos del año pasado. ¡Recibimos 200.000 quejas! ”
Gerente Comercial : "Aún peor, si el sistema CRM se descompone, todos los
clientes se verán afectados y se quejarán".
Gerente de Operaciones - “El año pasado fue muy inusual. Eso no volverá a
pasar."
153
157. Gerente del sistema de clientes: “Las posibilidades de una falla del sistema son
muy bajas, y tal vez, no todos los clientes se quejen. Las fallas de TI son menos
importantes que las fuertes lluvias ".
Compliance officer: “Acordemos todos que es un“ riesgo amarillo ”aumentar los
controles de cumplimiento. Actualizaré el registro. Hagamos un descanso para
tomar café.
CEO: rechazó su reunión, necesitaba asistir a tareas urgentes de toma de
decisiones.
154
158. Solicitas al director de finanzas un detalle con las multas pagadas relacionadas
con esta cláusula en los últimos 4 años cuando se adjudicó el contrato. El
proporciona un informe sin destacar ningún riesgo real. Bien, definitivamente es
un "riesgo amarillo" ...
155
159. Como no tienes excusas para evitar el uso de mejores datos, le pides al gerente de
operaciones que evalúe los factores que provocan que los clientes se quejen
masivamente.
El gerente de operaciones compila datos sobre ...
- estadísticas climáticas históricas sobre fuertes lluvias y zonas afectadas
- informes sobre problemas técnicos e interrupciones comerciales por parte de la
consultora del sistema comercial
- estadísticas de operación y servicio sobre cortes de agua, incluidos datos de
operaciones similares y el contrato de concesión anterior
156
160. El experto prepara esta matriz con los datos recopilados:
Eventos esperados por año *
- Min 0 0 40
- Muy probablemente 2 0 60
- Máx. 15 1 150
Quejas no abordadas esperadas por evento *
- Min 2.000 300.000 200
- Muy probablemente 10,000 300,000 400
- Máx.15.000 400.000 1.000
* 33% de ocurrencia por escenario
157
161. Cuando utiliza una técnica de evaluación cualitativa como Monte Carlo,
¡descubre una pérdida anual máxima de 77 millones de euros!
El CEO aparece en tu despacho.
158
162. Preparas una tabla de tornados para estudiar los factores de riesgo.
Sobre la base de estos datos, el CEO aprueba un plan de continuidad comercial de
15 millones de euros para el sistema de gestión de clientes.
159
163. Después del tratamiento, la pérdida máxima probable se redujo a 37,5 millones
de euros al año.
160
165. ¿Qué sesgos afectaron el análisis cualitativo?
¿Qué enfoque produjo la mejor toma de decisiones?
¿Qué enfoque protegió mejor su carrera y reputación?
162
166. Los promedios son malvados
Su presupuesto fue mucho mayor que la pérdida promedio esperada, pero el 33%
de los escenarios lo superó
Los datos históricos no son perfectos.
La historia previa de multas pagadas subestimó la probabilidad potencial y el
impacto de este riesgo.
163
167. Paso 4: Política de evaluación de riesgos de cumplimiento
documentar la metodología de evaluación de riesgos
Apoyar una política de riesgo global para toda la empresa
simple, realista y auditable
aprobado por la junta
responsabilidad y responsabilidad
proceso de reporte
medida de rendimiento
164
168. Paso 5 Evalúe y priorice los riesgos
identificar el proceso, las unidades de negocio o las actividades son las más
vulnerables a una violación ética y de cumplimiento
centrar el tratamiento en el impacto potencial relativo más alto en comparación
con la tolerancia al riesgo
consolidar por categoría para identificar acumulaciones de riesgos e interacciones
de cumplimiento similares
revisar la consistencia de la evaluación
ordenar por exposición (la velocidad de riesgo sugiere la urgencia del
tratamiento)
165
169. Paso 6: Identifique los planes de acción
permite una conversación de negocios sobre alternativas de mitigación
responde a riesgos significativos mejorando el programa de ética y cumplimiento
- planes de prevención mediante la asignación de controles
- planes de contingencia planificando reacciones
clara responsabilidad de la responsabilidad por el plan, fechas de vencimiento y
tareas
revisar responsabilidades, presupuestos, políticas, capacitación, due diligence 3P
documentar decisiones
166
170. Planes de prevención
políticas y procedimientos
segregación de deberes
autorizaciones y supervisión
listas de verificación
auditorías de capacitación y cumplimiento
Planes de Contingencia
protocolo de crisis
auto-divulgación
defensa corporativa
política de investigación
reservas
167
171. Paso 6: Identifique los planes de acción
Riesgo moral
Una parte en un contrato tiene un incentivo para asumir riesgos inusuales porque
la contraparte sufre las posibles consecuencias.
Expectativa de tener una red de seguridad financiera
Si su compañía de seguros paga por el daño de su automóvil, tiene un incentivo
para acelerar> resuelto por franquicias o deducibles
Si su empresa paga las multas regulatorias, tiene el incentivo para dejar de seguir
las reglas> resueltas mediante bonificaciones en resultados a largo plazo y
disciplina
168
172. El enfoque basado en el riesgo para la gestión del cumplimiento no significa que
la organización acepte no controlar situaciones de bajo riesgo de
incumplimientos.
Ayuda a las organizaciones a centrarse en los riesgos más altos como una
prioridad y, en última instancia, cubrirá todos los riesgos de cumplimiento. Todos
los riesgos de cumplimiento identificados deben estar sujetos a monitoreo y
acción correctiva - ISO 19600 4.6
169
173. Paso 6: Identifique los planes de acción
Ejemplos de planes de acción para riesgos de soborno
revisar las políticas que abordan las leyes contra el soborno
diseño de capacitación para personal de ventas a clientes gubernamentales
emitir orientación sobre cómo contratar y retener agentes extranjeros
requerir aprobaciones para ventas a un gobierno extranjero
requerir la aprobación previa para obsequios y entretenimiento
desarrollar y monitorear informes de obsequios y entretenimiento
auditar y monitorear los esfuerzos de mitigación de riesgos
170
174. Si quieres que se haga algo, asignáselo a una persona. Si deseas que algo falle,
asignáselo a un comité
171
176. Caso de elusión de controles
Credit Suisse AG incluye capacitación sobre actualizaciones regulatorias como
parte de su programa de cumplimiento
3 ejecutivos dieron sus inicios de sesión a las secretarias para completar los
ejercicios de eLearning para ellos
Fue descubierto durante una auditoría del regulador.
¿Cómo se debe mapear el riesgo de eludir los controles?
173
177. Paso 7: Comunicar la evaluación
aprobar la evaluación por parte de la alta dirección
informar a todos los interesados
informes personalizados para cada grupo de partes interesadas y propietarios del
riesgo
informe centrado en el lector por función, por unidades de negocio, consolidado
resumen ejecutivo, mapas de calor, listas de riesgos, panel de instrumentos, KRI,
información complementaria y debates agregados del taller
definir métricas objetivo asociadas a riesgos
resaltar riesgos interrelacionados.
174
178. Paso 8 Monitorear los riesgos y los planes de acción
monitoreo continuo de que los riesgos se tratan de acuerdo con el plan de acción.
usar el informe de progreso sobre la eficiencia de los planes de acción
utilizar indicador clave de riesgo de cumplimiento
comparar la evaluación contra pérdidas
actualizar los riesgos, al menos anualmente, para ajustar las percepciones de
riesgo
evaluar la eficiencia del control al asociarse con auditoría interna
identificar riesgos emergentes
revisar la política y el marco de riesgo de cumplimiento
175
183. Pautas de imposición de condenas en Estados Unidos
Las evaluaciones de riesgos deben realizarse en todas las etapas del desarrollo,
prueba e implementación de un programa de cumplimiento para garantizar que
los esfuerzos de cumplimiento estén enfocados y sean efectivos.
Para beneficiarse de un programa de cumplimiento efectivo y la reducción en el
puntaje de culpabilidad, la organización evaluará periódicamente el riesgo de
conducta delictiva y tomará las medidas adecuadas para diseñar, implementar o
modificar cada uno (de los componentes de un programa de cumplimiento y ética
efectivo) para reducir el riesgo de conducta criminal identificada a través de este
proceso.
180
184. Pautas de imposición de condenas en Estados Unidos
Priorice periódicamente los elementos del programa para centrarse en prevenir y
detectar la conducta criminal identificada en el proceso de evaluación de riesgos
como la más probable.
¿Lo que es esperado?
Un enfoque razonable basado en el riesgo
Controles más solventes y amplios que abordan riesgos más altos
Aplicación consistente de controles a riesgos
Documentar la evaluación de riesgos.
Revisión periódica del análisis de riesgos.
181
185. Impactos potenciales para evaluar
Impacto en los resultados (antes de impuestos)
Sanciones, multas y daños punitivos.
Arreglos extra-judiciales privados
Honorarios legales y costos de investigación
Responsabilidad por garantías y retiros del producto
Desventaja comercial con proveedores
Retiro de capital y financiamiento
Mayor rotación del personal
Aumento de los costos
Pérdida de ingresos, contratos anulados
Pérdida de capitalización de mercado.
182
187. Consejos para evaluar los riesgos de cumplimiento
evite la parálisis del sobreanálisis: mejora continua, comience con un piloto o un
pensamiento grupal
Comience con las áreas principales de requisitos para ampliar el alcance a lo
largo del tiempo (por departamento, por antigüedad, por país, por categorías de
riesgo)
Involucrar a gerentes con experiencia práctica en el manejo de los requisitos de
cumplimiento
explicar que el ejercicio está orientado al futuro
184
188. Consejos para evaluar los riesgos de cumplimiento
Enfoque legal tradicional
reactivo cuando ya se produjo una violación
defensa para minimizar las consecuencias legales
Enfoque de cumplimiento
preventivo para evitar infracciones
administrar recursos para abordar riesgos clave
necesidad de evaluaciones de riesgo de cumplimiento
185
189. El objetivo de evaluar los riesgos de cumplimiento no es producir un mapa de
calor colorido ... sino mejorar la toma de decisiones
186
190. Estudio de caso Realización del mapa de riesgos legales
187
191. Caso de discusión Secreto bancario y manual de examen antilavado de dinero
Identificar y medir riesgos.
- Productos y servicios
banca minorista vs. banca privada
cuentas nacionales versus extranjeras
cuentas mercantiles. vs. procesadores de pago 3P
- Cliente
contacto cara a cara versus banca electrónica
instituciones financieras versus instituciones no bancarias
personas políticamente expuestas
extranjeros no residentes
- Ubicaciones geográficas
paraísos fiscales, sancionados
Desarrollar aplicable
- Pol¡ticas y procedimientos
evaluación consolidada de riesgo de cumplimiento BSA Bank Secrecy Act Ley
de Secreto Bancario/ AML
informar actividades sospechosas
- Sistemas y controles
programa de identificación del cliente
diligencia debida del cliente
Debería resultar en
- Controles internos: controles basados en el riesgo para identificar, investigar e
188
192. informar actividades sospechosas
- Auditorías: basado en el riesgo e independiente
- Oficial de cumplimiento de BSA
- Entrenamiento
188
193. Los auditores bancarios deben evaluar la idoneidad del proceso de evaluación de
riesgos BSA Bank Secrecy Act Ley de Secreto Bancario / AML
Revise la evaluación de riesgos BSA / AML del banco. Determine si el banco ha
incluido todas las áreas de riesgo, incluidos los nuevos productos, servicios o
clientes, entidades y ubicaciones geográficas. Determine si el proceso del banco
para revisar y actualizar periódicamente su evaluación de riesgos BSA / AML es
adecuado.
Si el banco no ha desarrollado una evaluación de riesgos, o si la evaluación de
riesgos es inadecuada, el examinador debe completar una evaluación de riesgos.
Los inspectores deben documentar y discutir el perfil de riesgo BSA / AML del
banco y cualquier deficiencia identificada
189
194. Una organización contribuye al desarrollo mediante el cumplimiento de las leyes
y reglamentos.
En algunas circunstancias, el fracaso de los grupos comunitarios para operar
dentro del marco legal previsto es una consecuencia de la pobreza o las
condiciones de desarrollo. En estas circunstancias, una organización que está
involucrada con grupos que operan fuera del marco legal debe tratar de aliviar la
pobreza y promover el desarrollo. Una organización también debe buscar crear
oportunidades que permitan a estos grupos lograr un mayor y, en última instancia,
pleno cumplimiento de la ley, especialmente en relación con las relaciones
económicas.
ISO 26000 Responsabilidad social 6.8.7.1
190
195. Cultura de riesgo
Inicial, ad hoc, solo patrocinado por el oficial de cumplimiento, reactivo
Fragmentado, enfoque estrecho, diferentes canales de informes para el
cumplimiento de TI, contratos y riesgos penales
De arriba hacia abajo, política de riesgo de cumplimiento, llegando a muchas
partes interesadas, informes comunes y tratamiento, comprensión de la mayoría
de las actividades y controles, evaluaciones rutinarias
Maduro, enfoque integrado, tolerancia al riesgo definida, medición, tratamiento e
informes consistentes, procedimientos de escalada o procedimientos de
notificación escalonada, planificación de escenarios, indicadores clave de riesgo
191
196. La cultura de toma de riesgos de cumplimiento tardará mucho en cambiar, pero
vale la pena medir su evolución
192
198. Familia ISO 31000
3 estándares publicados: 31000 directrices sobre RM, 31004 Directrices sobre la
implementación 31010 Técnicas
En desarrollo: 31073 sobre terminología, 31022 sobre riesgos legales, (Grupo de
trabajo 5) 31030 riesgos de viaje, 31050 sobre riesgos emergentes
Directrices ISO 31022 para la gestión del riesgo legal.
15/07 Propuesta
10/17 Estudio preparatorio
19/02 trabajo del Comité
19/07 Comentarios públicos y votación
Q1 / 21Publicación
194
199. La nueva ISO 31022 podrá ayudarte en ...todo tipo de organizaciones y
actividades de cumplimiento a …
incrustar los principios ISO 31000
identificar, anticipar y gestionar
requisitos legales, reglamentarios, contractuales, 3P y otros
de manera estructurada, integrada y sistemática
minimizar la complejidad y el costo de los procedimientos legales
buscar oportunidades para evitar disputas
proporciona el enfoque para que se alinee con las actividades de cumplimiento y
brinda la seguridad necesaria para cumplir con las obligaciones y objetivos de la
organización;
- está destinado a ser utilizado por organizaciones de todo tipo y tamaño para
ofrecer un enfoque más estructurado y coherente para la gestión del riesgo legal
en beneficio de la organización y sus partes interesadas en todos los procesos
operativos.
195
200. ISO 31000
Centrado en objetivos
Datos impulsados
Alternativas accionables
ISO 31022
¡Alcanzar los objetivos del programa de ética y cumplimiento> ejecución!
Identifique proactivamente problemas legales basados en hechos
Tomar decisiones informadas sobre las necesidades de recursos, controles de
cumplimiento y debida diligencia adecuada
196
201. mejores resultados comerciales y operativos
mejorar y fortalecer la reputación,
mejorar la retención del personal,
mejorar las relaciones con las partes interesadas
tener sinergias entre recursos y capacidades
197
202. El nuevo estanard ISO 31022 no está pensado para...
- brindar asesoramiento legal sobre un caso, industria o sector en particular.
- ser utilizado para hacer leyes o cabildear
- estar limitado al departamento legal
- admite cualquier proceso y sistema de cumplimiento
- solo es compatible con las ISO 31000 o 19600
- puede adaptarse a cualquier marco de gestión de riesgos, incluidos COSO
ERM, COBIT o en la empresa
198
203. Organización ISO 31022
Cuerpo con una descripción general del estándar.
Alcance
Referencia a la ISO 31000
Condiciones
Principios
Riesgo legal general
Anexos con 5 herramientas y ejemplos
Método legal de identificación de riesgos.
Registro de riesgos legales
Evaluar la probabilidad de riesgo legal
Evaluar el impacto del riesgo legal
Cláusulas clave a considerar al revisar contratos
199
204. ISO 31022 sobre riesgos legales, como el efecto de la incertidumbre sobre los
objetivos, basado en la definición de riesgo ISO 31000 relacionados con
- asuntos legales, regulatorios y contractuales, por ejemplo, responsabilidades por
infracciones legales, falta de cumplimiento de los términos y condiciones
contractuales, incertidumbres en la interpretación de una regulación
- derechos y obligaciones no contractuales, por ejemplo, pérdida o infracción de
la propiedad intelectual, pérdida de información confidencial, falta de deberes de
cuidado, malversación a los clientes
Nota 1: Los temas legales pueden tener su origen en decisiones políticas, leyes
nacionales o internacionales, incluyendo leyes estatutarias, jurisprudencia o
derecho consuetudinario, actos administrativos, órdenes regulatorias, sentencias y
laudos, reglas procesales, memorandos de entendimiento o contratos.
Nota 2 : Los asuntos contractuales se relacionan con las situaciones en que la
organización no cumple con sus obligaciones contractuales, no cumple con sus
derechos contractuales o celebra contratos con términos y condiciones onerosos,
inadecuados, injustos y / o inaplicables.
Nota 3: El riesgo de los derechos no contractuales es el riesgo de que la
organización no haga valer sus derechos no contractuales. Por ejemplo, el hecho
de que una organización no haga cumplir sus derechos de propiedad intelectual,
como sus derechos relacionados con derechos de autor, marcas registradas,
patentes, secretos comerciales e información confidencial contra un tercero.
Nota 4: El riesgo de las obligaciones no contractuales es el riesgo de que el
comportamiento y la toma de decisiones de la organización puedan dar lugar a un
comportamiento ilegal, un incumplimiento del deber de cuidado (o deber civil)
200
205. no legislativo a terceros. Esto podría incluir una organización que infringe los derechos de
propiedad intelectual de terceros, el incumplimiento de los estándares de atención
requeridos debido a los clientes (como la venta incorrecta) o el uso o la administración
inapropiados de las redes sociales que resultan en un reclamo de difamación o difamación
de un tercero.
200
206. ISO 31022 como respaldo de los principios de riesgo
Integrado
La gestión del riesgo legal debe ser
- parte de la planificación estratégica global, la toma de decisiones comerciales y
la gestión diaria
- incrustada en responsabilidades en políticas y procedimientos
- incluido en los sistemas de control interno y cumplimiento> procedimiento de
reglas y controles
201
207. ISO 31022 como respaldo de los principios de riesgo
Estructurado y comprensivo
La gestión de riesgos legales debe
seguir el marco genérico de gestión de riesgos
producir resultados consistentes y comparables
considerar diferentes escenarios plausibles y factores de riesgo
202
208. ISO 31022 como respaldo de los principios de riesgo
Adaptado
La gestión del riesgo legal debe ser
adaptada al contexto externo
- características legales, regulatorias y sectoriales
ajustada al contexto interno
- naturaleza de la entidad legal, objetivos y valores organizacionales
203
209. ISO 31022 como respaldo de los principios de riesgo
Completa
La gestión de riesgos legales debe
involucrar a todos los interesados
que los expertos legales trabajen con los propietarios de procesos comerciales y
otros expertos en la materia
equilibrar los beneficios de compartir información legal con la confidencialidad
204
210. ISO 31022 como respaldo de los principios de riesgo
Dinámica
La gestión de riesgos legales debe
anticipar, detectar, reconocer y responder a eventos y cambios en el contexto,
como las nuevas leyes y políticas públicas
establecer indicadores apropiados de alerta temprana sobre riesgos emergentes
205
211. ISO 31022 como respaldo de los principios de riesgo
La gestión de riesgos legales debe
usar la información de fuentes internas y externas
Aproveche la experiencia de asesoría legal interna, inteligencia de negocios,
análisis, bases de datos legales, firmas de abogados externos y asesores
considerar limitaciones en la información
Los aportes al proceso de gestión de riesgos se basan en fuentes de información
como datos históricos, experiencia, comentarios de las partes interesadas,
observación, pronósticos y juicio de expertos. Sin embargo, quienes tomen
decisiones deben informarse y tener en cuenta cualquier limitación de los datos o
modelado utilizado o la posibilidad de divergencia entre expertos.
206
212. ISO 31022 como respaldo de los principios de riesgo
Factores humanos y culturales.
La gestión de riesgos legales debe
- evitar sesgos en las diferentes opiniones de los interesados
- informar a los grupos de interesados sobre cómo sus acciones e inacciones
afectan los riesgos legales
- considerar la influencia de la cultura de cumplimiento
Dado que tales puntos de vista podrían construirse y percibirse de una forma
emocional, social, cultural y políticamente, las organizaciones deberían
desarrollar mecanismos formales e informales para ayudar a garantizar que los
factores humanos y culturales no generen un riesgo legal adverso. Las
organizaciones también deben tratar de alentar la ejecución, los beneficios y las
oportunidades de la gestión de tales riesgos. Todos los miembros de la
organización deben ser conscientes de cómo cada acción o no acción afecta los
riesgos legales.
207
213. ISO 31022 como respaldo de los principios de riesgo
Mejora continua
La gestión de riesgos legales debe
aprender de las revisiones posteriores a la transacción, las mejores prácticas, el
asesoramiento profesional de un asesor interno y externo y los cambios legales
208
214. ISO 31022 como respaldo de los principios de riesgo
209
215. ISO 31022 como respaldo de los principios de riesgo
210
216. ISO 31022 como respaldo de los principios de riesgo
211
217. ISO 31022 como respaldo de los principios de riesgo
212
218. La efectividad de las políticas y procedimientos establecidos a través de controles
internos
5- Las políticas y procedimientos para los controles internos son inexistentes. No
se implementan políticas y procedimientos para controles internos. Las políticas
y procedimientos para los controles internos están incompletos.
4- Las políticas y procedimientos para los controles internos no se implementan
suficientemente. Las políticas y los procedimientos para los controles internos
son más propensos que no completos.
3- Las políticas y los procedimientos para los controles internos son más
probables que no implementados. Las políticas y procedimientos para los
controles internos están completos.
2- Se implementan políticas y procedimientos para los controles internos. Las
políticas y procedimientos para los controles internos están bien diseñados.
1- Las políticas y procedimientos para los controles internos se implementan y
revisan con regularidad para garantizar que sigan siendo sólidos y apropiados
para las necesidades cambiantes de la organización.
213
219. Impactos financieros, regulatorios, reputacionales, geográficos e
intraorganizacionales.
¿El evento de riesgo tiene consecuencias legales?
Impacto monetario e Impacto no monetario
1- 0 a 100,000 Pérdida menor de reputación, imagen corporativa, propiedad
intelectual
2- € 100,001 a 1,000,000 Pequeña pérdida de reputación, imagen corporativa,
propiedad intelectual.
3- € 1,000,001 a 5,000,000 Pérdida de reputación, imagen corporativa, propiedad
intelectual.
4- € 5,000,001 a 10,000,000 Gran pérdida de reputación, imagen corporativa,
propiedad intelectual.
5- € 10,000,001 + € Pérdida significativa de reputación, imagen corporativa,
propiedad intelectual.
214
220. Paso 3 Evaluar riesgos legales
Proceso de evaluaciòn de riesgos de cumplimiento
Identificación de riesgos: definir el alcance, las causas y las consecuencias
Análisis de riesgos: medir el impacto y la frecuencia/probabilidad
Evaluación: dar una prioridad según la tolerancia
215
221. Paso 3.1 Identificar riesgos legales
Identificar y describir eventos reales y potenciales.
desencadenado por factores
interno o externo
saber o desconocido
objetivos que afectan
relacionado con un proceso bajo alcance
216
222. Herramienta > Matriz de identificación de riesgos legales
Vincular categorías de riesgos legales a actividades comerciales
Riesgo legal Tipologías Incertidumbre en la aplicación de la ley Incumplimiento
de la ley o regulación aplicable Incumplimiento del contrato por parte de la
organización de 3P Infracción de la propiedad intelectual y otros derechos
Negligencia y omisión en el ejercicio de los derechos Elección incorrecta de
acciones legales
Actividad 1: Servicios de oferta Nuevo proyecto para la regulación de la oferta
pública Exceder las condiciones de la licencia comercial No cumplir con los
criterios de elegibilidad para la licencia
Actividad 2 - Registrar nuevos clientes A bordo de nuevos clientes de forma
remota Divulgar datos personales Negligencia en el control de sanciones
Actividad 3: brindar servicio Falta de autenticación basada en el riesgo. Falla en
la entrega de servicios de acuerdo con T&C. Uso de software sin licencia. Litigio
o arbitraje para disputas.
217
223. Paso 3.1 Identificar riesgos legales
Fuentes de información
- objetivos organizacionales
- estructuras de gobierno y ética, actividades y operaciones
- consultas con partes interesadas
- infracciones legales
- responsabilidad penal y civil y multas
- aplicación de leyes específicas
- seguimiento de cambios legales
218
224. Paso 3.2 Analizar riesgos legales
Consecuencia> impacto
Probabilidad> probabilidad
análisis cualitativo o cuantitativo
simulación de datos históricos, análisis de negocios, inteligencia artificial y
modelado, opiniones de expertos
correlación entre riesgos legales
219
225. ISO 31022 como respaldo de los principios de riesgo
Paso 3.2 Analizar riesgos legales
Probabilidad
nivel de ejecución> estado de derecho
efectividad de los controles de cumplimiento
estadísticas sobre eventos legales ocurridos
220
226. ISO 31022 como respaldo de los principios de riesgo
Paso 3.2 Analizar riesgos legales
Consecuencia
pérdidas pasadas y beneficios de riesgos legales ocurridos
221
227. ISO 31022 como respaldo de los principios de riesgo
Paso 3.3 Evaluación de riesgos legales
comparando contra la tolerancia
priorizar riesgos legales
ayudar a los tomadores de decisiones a considerar planes de tratamiento
222
228. Paso 4 Trate los riesgos priorizados
1 Tomar decisiones informadas
plan de tratamiento financiero, operativo (incluido TI / cibernético) y
reputacional
demostrar una gestión adecuada de los riesgos
Indicadores clave de riesgo (KRI) para medir la efectividad de las opciones de
tratamiento
basado en riesgos residuales
223
229. ISO 31022 como respaldo de los principios de riesgo
Paso 4 Trate los riesgos priorizados
2 Implementar planes de tratamiento
Preventivo> reducir la probabilidad
incrustar controles de cumplimiento en políticas y procedimientos operativos
estándar
diseñar plantillas de revisión de contratos
mejorar la seguridad de la información
capacitación en gestión legal
advertencias legales comunicaciones
224
230. ISO 31022 como respaldo de los principios de riesgo
Paso 4 Trate los riesgos priorizados
2 Implementar planes de tratamiento
Correctivo> reducir impacto
defensa corporativa
resolución de disputas adecuada
225
231. Herramienta de registro de riesgos legales
Herramienta de gestión para el seguimiento del perfil de riesgo.
Actividades operativas / Categoría de riesgo legal / Evento de riesgo legal
identificado / Leyes relevantes aplicables / Consecuencias legales / Casos
pasados / Opinión de equipos legales internos / Opinión de asesor legal externo /
Solución recomendada
Actividad 1 - Ofrecer servicios de venta errónea La cultura de venta agresiva y
los incentivos pueden desencadenar investigaciones por parte de la Ley 123 de la
Autoridad de Conducta Financiera sobre productos financieros Multas hasta el
2% de los ingresos anuales Caso 123: Inversiones inmobiliarias originadas por
corredores Reforzar la gestión de quejas deficiente Ventas más bajas objetivos e
incentivos Evite ofrecer inversiones de alto riesgo a clientes desempleados o
jubilados
226
232. Preguntas de la entrevista para actualizar el registro
¿Cómo se satisface de que el apetito legal por el riesgo actúa como una
restricción real para la acción?
¿Cuántos de sus contratos tienen una cláusula de renovación automática que
entrará en vigencia?
¿Cuántos contratos celebra su empresa en un período específico?
¿Cuántas transacciones negoció su organización el año pasado? ¿En qué
desviaciones de los términos y condiciones estándar se suscribieron?
¿Cuál es la mayor causa de disputas contra la organización?
227
233. ISO 31022 como respaldo de los principios de riesgo
Paso 6 Comunicar
Internamente
- como parte de informes de riesgo y capacitación de la empresa
Externamente
- observando la confidencialidad, el privilegio legal profesional y el privilegio del
cliente abogado
- a autoridades reguladoras, funciones legislativas y judiciales
228
234. ISO 31022 como respaldo de los principios de riesgo
Paso 7 Monitorear y revisar
mantenerse al tanto de los cambios en el contexto legal> identificar señales de
alerta temprana entre las partes interesadas
monitorear patrones de eventos de riesgo
comparar el progreso con los planes de tratamiento de riesgos
obtener garantías sobre los controles de cumplimiento
229
235. Revisión de las cláusulas del contrato de herramienta
Lista de verificación de 28 problemas al revisar cláusulas en contratos
Problemas y consideraciones
Capacidad para contratar
Compruebe si la contraparte tiene la capacidad legal para celebrar un acuerdo
legal vinculante.
Términos de entrega / envío
¿El comprador requiere los productos para una fecha específica (tal vez para
cumplir con sus obligaciones bajo un contrato con un tercero)? Si es así, la
cláusula de entrega debe redactarse para garantizar:
- el tiempo es esencial para la entrega; y
- el comprador puede recuperar cualquier pérdida real sufrida como resultado.
El vendedor debe preocuparse si (i) las pérdidas estipuladas en la cláusula no
están cubiertas; o (ii) las fechas de entrega especificadas por el comprador tienen
un alto riesgo de incumplimiento.
Cancelación (contratos de bienes)
Como comprador, ¿necesita la organización el derecho de cancelar un pedido?
Como proveedor, la organización debe intentar limitar el período de tiempo para
que el comprador cancele su pedido al límite legal, de lo contrario, corre el riesgo
de perder el tiempo dedicado a atender el pedido hasta la fecha de cancelación.
230
237. Criterios de consecuencias
Impacto monetario (para adaptarse a la tolerancia de la organización) 1 2 3
4 5
0 a 100,000 € 100,001 a 1,000,000 € 1,000,001 a 5,000,000 € 5,000,001 a
10,000,000 € 10,000,001 + €
Impacto no monetario
Pérdida menor de reputación, imagen corporativa, propiedad intelectual Pequeña
pérdida de reputación, imagen corporativa, propiedad intelectual. Pérdida de
reputación, imagen corporativa, propiedad intelectual. Gran pérdida de
reputación, imagen corporativa, propiedad intelectual. Pérdida significativa de
reputación, imagen corporativa, propiedad intelectual.
Consecuencia geográfica
La consecuencia se limita completamente a un país o la misma región, cuya
consecuencia en las operaciones generales de la organización es mínima. La
consecuencia se limita a uno o más países y la consecuencia en las operaciones
generales de la organización es moderada. La consecuencia se limita a una sola
jurisdicción y la consecuencia en las operaciones generales de la organización es
significativa. La consecuencia se limita a uno o más países y la consecuencia en
las operaciones generales de la organización es significativa. La consecuencia es
para todos los países en los que opera la organización, y la consecuencia es tan
generalizada que amenaza la organización a toda la organización.
Consecuencia intraorganizacional
La consecuencia se limita por completo a un área discreta o división subsidiaria u
232
238. operativa La consecuencia se limita por completo a una o más áreas o subsidiarias o
divisiones operativas Un área con un impacto significativo en la organización general.
Una o más áreas con un impacto significativo en la organización general. La consecuencia
es para toda la organización y sus filiales y divisiones operativas
232
239. Criterios de probabilidad 1 2 3 4 5
La efectividad de las políticas y los procedimientos establecidos a través de
controles internos
Las políticas y los procedimientos para los controles internos están bien
diseñados, con controles completamente implementados y revisados Las políticas
y los procedimientos para los controles internos están completos e
implementados. Es más probable que las políticas y procedimientos para los
controles internos estén completos o implementados. Las políticas y
procedimientos para los controles internos están incompletos o no se
implementan lo suficiente. Las políticas y procedimientos para los controles
internos son inexistentes o no están implementados.
Adecuación de la capacitación relacionada con las implicaciones de riesgo
legal
Los empleados son plenamente conscientes de las implicaciones de riesgo legal y
establecen estándares de mejores prácticas. Los empleados son conscientes de las
implicaciones de riesgo legal y utilizan los principios para el trabajo diario. usan
los principios para el trabajo diario Los empleados son conscientes de las
implicaciones legales del riesgo, pero no usan los principios para el trabajo diario
Los empleados no son conscientes de las implicaciones legales del riesgo
Riesgo de contraparte
Las contrapartes cumplen de manera excelente con las obligaciones contractuales
y la probabilidad de incumplimiento de contrato por su parte no es probable Las
contrapartes cumplen muy bien con las obligaciones contractuales y la
233
240. probabilidad de incumplimiento de contrato por su parte es menos probable Las
contrapartes cumplen con las obligaciones contractuales y la probabilidad de
incumplimiento de contrato por su parte es más probable que las contrapartes cumplan
débilmente con las obligaciones contractuales y la probabilidad de incumplimiento de
contrato por su parte sea fuerte Las contrapartes cumplan muy débilmente con las
obligaciones contractuales y la probabilidad de incumplimiento de contrato por su parte
sea muy fuerte
233
241. Caso de estudio ExxonMobil 20F 2018
Riesgos regulatorios y de litigio. Incluso en países con sistemas legales bien
desarrollados donde ExxonMobil hace negocios, seguimos expuestos a cambios
en la ley que podrían afectar negativamente nuestros resultados, tales como:
- aumentos de impuestos, aranceles o tasas de regalías gubernamentales
(incluidas las reclamaciones retroactivas);
- controles de precios;
- cambios en las regulaciones ambientales u otras leyes que aumentan nuestro
costo de cumplimiento o reducen o retrasan las oportunidades comerciales
disponibles;
234
242. - adopción de regulaciones que exijan estándares de eficiencia, el uso de
combustibles alternativos o componentes de combustible no competitivos;
- adopción de regulaciones gubernamentales de transparencia de pagos que
podrían exigirnos que divulguemos información comercial sensible a la
competencia, o que podrían infringir las leyes de confidencialidad de otros
países; y
- acciones gubernamentales para cancelar contratos, renombrar la moneda oficial,
renunciar o incumplir obligaciones, renegociar términos unilateralmente o
expropiar activos
235
245. ¿Cómo evalúo los riesgos de cumplimiento de terceras partes?
238
246. Cumplimiento de terceros
- Socios de joint ventures
- Socios del consorcio
- Fabricantes
- Distribuidores y revendedores
- Intermediarios y agentes de ventas.
- Agentes de marketing y ventas.
- Logística y cadena de suministro
- Contratistas
- Asesores fiscales, legales y empresariales.
- Consultores
- Proveedores de servicios externos
- Agentes de aduanas o visas
- Lobistas
Factores de riesgo
- Cumplimiento normativo
- Cumplimiento de contrato
- Riesgos de fraude
Riesgos
- Anti lavado de dinero
- Privacidad de datos
- Controles de exportación
- Anti corrupcion
- Controles de términos de licencia y contrato
239
247. - Recuperación de costos
- Conflicto de intereses
- Uso de la propiedad intelectual.
239
248. Un distribuidor paga sobornos a los funcionarios de aduanas para trasladar
mercancías a través de las fronteras.
El proveedor de una empresa no proporciona condiciones de trabajo seguras ni
cumple con las leyes laborales.
Un agente utiliza parte de sus honorarios para sobornar a funcionarios de
adquisiciones para adjudicar un contrato a la compañía
Un proveedor ofrece un retroceso a un empleado de la empresa para adjudicarle
un contrato
240
249. La FCPA requiere la debida diligencia en el tratamiento de terceras partes y el
conocimiento de señales de alertas
alrededor del 90% de los casos reportados involucraron intermediarios externos
241