compliance risks
TRANSCRIPT
Compliance Risks
Curso Monográfico de Compliance OfficerHernan Huwyler – Febrero 8 2017
¿Qué me voy a llevar?
Interrumpe por favor
Compliance Sectorial
Oil & Gas
Corrupción socios comerciales, contribuciones, lobbies, anti-trust Compliance ambiental y de seguridad Compliance con contratos de concesión y licencias política de licitación Reporte financiero estimaciones, cálculo de reservas, decommissioning, trading Operaciones restringidas Compliance fiscal derechos de exploración & explotación royalties según tipo de petróleo Información privilegiada
US: FCPA, Dodd-Frank, SOX, anti-boycott
Mining
Corrupción socios comerciales, contribuciones, lobbies Compliance ambiental y de seguridad Compliance con contratos de concesión y licencias política de licitación Reporte financiero estimaciones, cálculo de reservas, decommissioning, trading Operaciones restringidas Compliance fiscal: derechos de exploración & explotación royalties según tipo de petróleo Información privilegiada
US: FCPA, Dodd-Frank, SOX, anti-boycott
ISO 31.000 Risk Management
tiempo
prod
uctiv
idad
Objetivo
Riesgo -Riesgo +
Controles
Riesgo
Efecto de la incertidumbre sobre la consecución de los objetivosLa incertidumbre es la falta de
informaciónPuede generar riesgos per se
(no deseados) y oportunidades (deseadas)
Expectativa conocida y a cierto horizonte de futuro que puede o
no puedeLos riesgos calculados
optimizan el rendimiento para cierto capital (tolerancia)
Cumplimiento de las expectativas de los grupos de
interés El ambiente condiciona las decisiones de los órganos
gerenciales la empresa La ley y la ética limitan las decisiones para hacerlas
sustentablesSu incumplimiento tiene consecuencias: multa, sanciones e impacto
reputacional
Compliance
¿Qué investigaremos?
Riesgo Compliance
Alcance: del riesgo penal al moral
21 delitos del código penal extensibles a la persona legal
Recursos y urgencia
Etapa de educación (y aprendizaje del compliance officer)
El “compliance de papel”
Externo:- Otros delitos (mobbing, seguridad laboral)- Regulaciones (cotizantes sobre la normativa del mercado de valores)- Auto regulaciones- Ley, estatuto trabajadores- ISOs
Interno- Políticas y procedimientos- Compromisos
Compliance con las expectativas de los grupos de interés
Decisiones de negocios basada en valores corporativos (tendencia en cómo reclutamos)
Retorno del gasto de compliance
Sostenibilidad y rentabilidad
Excelencia de servicio, diferenciador, cultura corporativa
Art 31 bis Compliance Ética
Compliance Risks
Riesgo de sufrir….
- pérdidas financieras (sanciones, multas, reputacional)
… por incumplimiento de…
- leyes, regulaciones y normativas externas
- políticas internas - ética
Consecuencia
Impacto de riesgos
Plan de contingencia, protocolo de actuación (comité de crisis
Causa
Frecuencia de riesgos
Plan de prevención del compliance plan ) & corporate defense
Consecuencia
Legales: multas y sancionesRegulatorias
LitigiosReputacionales: pérdida de
contratos y clientesPérdida económica
Imposibilidad de operar o contratarMoral de empleados
De oportunidad de negociosImpairment de intangibles
Causa
Imposibilidad de cumplir conLeyes
RegulacionesAuto-regulaciones
Código de conductaBuenas prácticas
CompromisosPrincipios de negocios y valoresExpectativas de grupos interés:
inversores, clientes, empleados y proveedores
Compliance Risks
Consecuencia
Reacción y corrección
Gestión de incidenciasGeneración de evidenciaLobby con reguladores
Investigación Involucramiento del ExCom
Causa
Prevención y detección
Gestión del riesgo de complianceSistema normativo
HotlineProtocolo de actuación
EntrenamientoKPIs / KRIs del plan de compliance
Compliance audits
Mejora continua
Compliance Risks
Integración de elementos Simple y práctico
ISO o COSOApoyo de alta dirección
Componentes:- Política de riesgos
- Nombramientos- Organización- Presupuestos
- Plan de trabajo
IdentificaciónAnálisis
PriorizaciónTratamientoMonitoreo
Niveles de gestión de riesgos
ISO 31000 Gestión de Riesgos
Universo de Riesgos
Contra el Patrimonio
- Estafas y fraudes- Insolvencias punibles - Daños informáticos / hacking - Contra la propiedad intelectual - Contra el mercado- Revelación de secretos - Facturación fraudulenta - Falsedad en medios de pago
Contra el Fisco
- Contra la Hacienda Pública y la Seguridad Social - Blanqueo de capitales
- Ciertos casos de contrabando
Contra la Seguridad Pública
- Contra la salud pública- Construcción ilegal- Contra el medio ambiente- Relativos a la energía nuclear y a las radiaciones - De riesgo provocado por explosivos- Tráfico de drogas- Contra la intimidad y allanamiento informático
Contra la ética
- Corrupción privada: relativos a la corrupción en los negocios- Cohecho: dádivas y sobornos a funcionarios públicos- Corrupción de funcionario extranjero - Tráfico de influencias -Financiación ilegal de partidos políticos- Acoso laboral- Información privilegiada- Delitos contra la intimidad
Universo de Riesgos
Contra el Patrimonio
CFOCIO
CISOData Protection
Officer
Contra el Fisco
Head of Tax
Contra la Seguridad Pública
COOHS&E
Contra la ética
CEOCompliance
Auditoria InternaDir. Comercial
Unidad de Cumplimiento Legales
Corporate DefenseExCom
Corrupción pública o privada
Abuso del mercado
Mapa de Riesgos - Ejemplo
Brindar servicioGeneración contrato Facturación Cobro
Fraude a seguridad social Fraude fiscal
Falsedad de medio de pago
Blanqueo de capitales
Entrega de sobornosAcuerdos de precios
Simulación laboral Deducciones indebidas Lavado de dinero
Mapa de Riesgos - Ejemplo
Entrega de sobornosAcuerdos de precios
Simulación laboral Deducciones indebidas Lavado de dinero
Control de revisión de cuentas de gtos representaciónPolítica antitrust
Control aprobación de cálculo fiscal
Control cruzado Tax vs. Payroll
Control aprobación de cálculo fiscal Know Your Customer
Comercial Tax + Payroll Tax Gestión de clientesTesorería
Reforzar: Business Intelligence
Reforzar: AuditoriaFiscal
Alcance del Mapa
¿Nos quedamos solamente dentro de España?- Filiales internacionales y otras sociedades subholdings- Joint ventures- Descentralización de funciones ejecutivas (ExComs por país)
¿Incluimos solamente los delitos atribuibles a una persona jurídica?- Ley del mercado de valores- Ley de trasparencia- FCPA- Leyes similares en el mundo (ej. Europa (-DE), US, y
Chile)- Legal + Ético (nuestra forma de hacer negocios)
¿Podremos sumar este trabajo a otra iniciativa en curso?- Departamento de riesgos- Departamento de Prevención del Fraude- Auditoria interna (riesgos sobre procesos e investigación de
fraudes)- Departamento de compliance
• Regiones geográficas
• Profundidad (Seniority)
• Unidades de negocios
• Legal, Fi, HR, IT, expertos, consultores, investor relations
Alcance del Mapa
Top Down
Bottom Up
RegistroRiesgos
Fq %
Im $
Alcance del Mapa
Top Down
Bottom Up
RegistroRiesgos
Alcance del Mapa
• Formularios• Preguntas del tipo ¿Tiene medidas para evitar la corrupción?
¿Qué que son efectivas? ¿Supervisa el riesgo de corrupción? ¿Ha tenido incidentes?
• Sesgo en la definición previa y selección de destinatarios, poco sinceras, interpretativas, cualitativas para el mapa
• Entrevistas personales• Ambiente sincero y de guía al dueño del riesgo• Permiten un análisis cuantitativo• Sesgo del dueño de riesgo: ilusión de control, de punto ciego y
deformación profesional, heurística de disponibilidad, anclaje
• Workshops• Consenso y diálogo top/dueño del riesgo• Sesgo de efecto Moises• Guerras de poder
• Inteligencia previa en compliance risks (desktop research)• Análisis de juicios en curso y finalizados, multas,
reportes de inspecciones y auditorias, contingencias contabilizadas, ejemplos de otras empresas, especialistas
• Su uso extremo es el sistema de “scoring”
Heurística de Disponibilidad
Evento emotivo
Evento reciente
Reducir con inteligencia previa para
evitar sesgos
Efecto Anclaje
Preguntar mejor y peor escenario
FCPA Protección de activos Antitrust Insider trading Privacidad
Controles de exportación
Retención de documentación
Seguridad de información
Compensaciones y bonos Reporte
Sarbanes Oxley HSE Discriminación y acoso laboral
Integridad financiera
Contratos con el gobierno
Propiedad intelectual Uso de tecnología 3rd Party
managementPrácticas
comerciales Ética
Taxonomía Compliance
Normas voluntarias
Integración 4 Cuadrantes
Integración 4 Cuadrantes
Mapa de Riesgos
Riesgos de FraudeRiesgos de
Compliance Penal
Actividades reactivas de
investigación y disciplina
Actividades proactivas de prevención y
control
Mapa de Riesgos
1 Identificar riesgos 2 Evaluación de impacto y frecuencia
Eventos que afectar los riegos del universo de
compliance Impacto: costo más probablede no- compliance
Frecuencia : probabilidad de darse los factores de riesgos al momento del análisis en un
horizonte de tiempo
3 Priorización de riesgos
Criterio para decidir que eventos son más críticos de
controlar (mapa)
4 Planes de mitigación
Seguimiento del progreso de los planes de acción
Reevaluación frecuente
Alta criticidad
SeguimientoWatch-List
Criticidad
Nro y Título
Registro de riesgos
Resumen de la consecuencia POR la causa
Descripción ¿Cómo ocurría el delito (o incumplimiento) en la empresa? ¿Qué norma se incumple?
Factores de riesgos ¿Qué condiciones deben darse para que se materialice el delito?
Empresa/Proceso ¿Dónde afecta el delito? ¿Dónde ocurren las transacciones afectadas/expuestas? ¿Tipo de riesgo?
Controles actuales ¿Qué hacemos actualmente para prevenir el delito?
Impacto ¿Cuánto afecta en la cuenta de resultados antes de impuestos cada delito?
Frecuencia
Registro de riesgos
¿Qué cantidad de delitos espero ocurran en cierto horizonte de tiempo?¿Qué estadística interna o externa tengo sobre los eventos?3er variable: velocidad, nivel de control, personas afectadas, formalizado
Propietario ¿Quién es el principal dueño del objetivo afectado por un delito? Un sólo “doliente”
Auditoria ¿Qué monitoreo lleva el compliance officer?
Plan de acción Para los que trato, ¿qué pasos y cuando voy pienso agregar controles? ¿en curso, cerrado?
KRI ¿Qué tan pronto preveo que evolucione la exposición?
Debo hacer que el dueño de riesgo cuente una historia lógica (del inicio al final). Es natural comenzar con impacto y luego con la frecuencia. Se puede usar MS Excel (con macro para reporte) o un software de administrador de flujos). Los datos se revisan en una entrevista sobre riesgos y se aprueban. Modelo común al resto de los riesgos y que integre los elementos de GRC.
Ej. Manual de Prevención FCC
Ej. Software con impactos múltiples
Compliance es también un tipo de impacto de riesgos operativos. Para poder detectar estos casos sin duplicar esfuerzos y garantizar la integridad de la identificación de riesgos en los procesos de inicio a fin, el registro de riesgos debe ser único y debe poder filtrarse. Esto permite al consejo tomar decisiones estratégicas.El registro de riesgos es un canal de diálogo entre los dueños de riesgos, compliance, auditoria interna, prevensión y otros departamentos de soporte.
Ej. Registro de riesgos sobre MS Excel
Ej. OECD Riesgos Anti-Corrupción
Créditos por llevar bien los riesgos de compliance
99% del compliance officer1% del software
Aún no se creó ningún software que compense la falta de talento
de un compliance officer
Mapa de Riesgos - Impacto
Multa en proporción al daño/cuantía del delito Disolución de la persona jurídica Suspensión de sus actividades Clausura de sus locales Prohibición temporal o definitiva de realizar las actividades en cuyo
ejercicio se haya cometido el delito Inhabilitación para obtener subvenciones y ayudas públicas, para contratar
con el sector público y para gozar de beneficios e incentivos fiscales Intervención judicial para salvaguardar los derechos de los trabajadores o de
los acreedores
Socios InocentesRespecto a los efectos colaterales o consecuencias a pagar por terceros incluyendo el impacto en los trabajadores, el efecto negativo se paliaría con la posibilidad que tienen los socios inocentes de
reclamar posteriormente a los administradores la acción de responsabilidad socia
Directas e inmediatas•Pérdida por defraudación•Ineficiencias y/o discontinuidad de operaciones
Directas y mediatas•Indemnizaciones a terceros•Multas y sanciones
Indirectas•Costo de investigación•Ajustes fiscales
Reputacionales•Pérdida de competitividad, moral, clientes, socios, licencias, y contratos•Pérdida del valor de mercado
Mapa de Riesgos - Impacto
Área Riesgo legal Regulación / Ley
Área Funcional
Impacto Frec. Score Control Clasif. Impacto
Prácticas de
comercio exterior
Sobornos en el extranjero
FCPA Foreign Corrupt Protection Act
Ventas 5 1 5 4 Reputacional
Aduanas Leyes aduaneras
Ventas 1 3 3 2 Operacional
Control de exportaciones
OFAC Office of Foreign Assets Controls
Ventas 2 2 4 5 Operacional
Exportaciones de productos con doble uso
Reg. UE 428/2009
Ventas 4 4 16 5 Operacional
Boycott no sancionado a un país extranjero
Anti-Boycott Act Ventas 2 2 4 4 Operacional
Exp/Imp de químicos peligrosos
Reg. UE 649/2012
Ventas 3 4 12 1 Operacional
…. … … ….
Score 1 2 3 4 5
Multas, daños e indemnizaciones
< 1% de las ventas
1% al 3% de las ventas
3% al 5% de las ventas 5% al 10% de
las ventas> 10% de las
ventas
Reputacional Sin exposición o daño
Impacto negativo localizado pero
recuperable
Cobertura en medios o
reguladores local
Cobertura en medios o
reguladores nacional
Cobertura sustancial en
medios o reguladores
nacional
OperacionalSin pérdida de
negocios u operaciones
Visible pero gestionable fácilmente
Daños a clientes o grupos de
interés
Impacto severo a la
performance
Impacto catastrófico a la
BU
Mapa de Riesgos - Impacto
Mapa de Riesgos - Frecuencia
Score 1 2 3 4 5
Descripción Casi imposible Rara Posible Incidentes aislados
Incidentes repetitivos
Tiempo < Una vez cada 5 años
< Una vez cada año Una vez al año Una vez al mes Una vez a la
semana
Probabilidad < 1% 1% al 5% 5% al 10% 10% al 20% > 20%
Mapa de riesgos y la 3er variable
• Velocidad del Riesgo: Tiempo entre el evento de riesgo y tener que pagar el impacto (ej. tiempo en aplicar una multa por el regulador). Beneficio: priorizar acciones
• Duración del Riesgo: Persistencia del riesgo en el tiempo (ej. inspecciones largas).
• Nivel de Control: Posibilidad que gestión para disminuir el impacto o la frecuencia del riesgo (ej. proceso ya documentado). Beneficio: margen de reducción
• Grado de Entendimiento: Seguridad en valuar el impacto y la frecuencia (ej. riesgos emergentes)
La 3er variable siempre está contemplada en impacto o
frecuencia
FCPA
Trade Restrictions
Reg. UE 428/2009
Reg. UE 649/2012
OFACAnti-Boycott
Aduanas
1 2 3 4 5 Fq
Impa
cto
1
2
3
4
5Mapa de riesgos
Ejemplo Coreti (fábrica de etiquetas en Galicia)
Ejemplo Red Eléctrica
Riesgo Impacto k€ Frecuencia 3 años
CriticidadExposición
Velocidad Control
1 Falsedad documental contable 300 20% 60 A A
2 Fraude a hacienda 200 20% 40 M M
3 Corrupción a funcionarios públicos
60 50% 30 M A
4 Blanqueo de capitales 30 50% 15 M M
5 Falsificación de tarjetas de crédito y cheques
15 100% 15 A M
6 Fraude en seguridad social 40 30% 12 A M
7 Cohecho 100 10% 10 A M
8 Fraude en subensiones y ayudas 60 10% 6 M M
9 Abuso de información privilegiada
40 10% 4 A M
10 Financiamiento de partidos políticos
20 10% 2 B B
11 Corrupción entre particulares 20 10% 2 M A
12 Asociación ilícita 20 5% 1 M M
13 Tráfico de influencias 10 10% 1 M B
Ejemplo cuantitativo
Ejemplo cuantitativo
Probabilidad a 3 años
Impa
cto
por e
vent
o k€
Tolerancia €200k/3años
Tamaño = Velocidad
Ejemplo cuantitativo
Granularidad
Probabilidad
Impa
cto
Financieros
Estratégicos
Compliance
Operativos
Puedo hacerlo por proceso, línea de
negocio o empresa
Valuación financiera del impacto
Escenario base
Escenario base
Escenarios promedios
Peor Esc + Mejor Esc
2
Escenariostriangulados
Peor Esc + Esc Base * 3 + Mejor Esc
5
Montecarlo Software
1
2
3
+10k
. E1
. E2
. En
Riesgo inherente y riesgo residual
Probabilidad
Impa
cto
Cont
rol 1
Cont
rol 2
Aclarar al dueño del riesgo si hablas del inherente o residual
Riesgo propio de una actividad sin ningún control
Decisión para la cual construimos el mapa
Asegura la mejora contínua de los controles
SegurosOutsourcingCláusulas de
responsabilidad a terceros
Transferir
Dejar de efectuar la actividad que afecta la
sustentabilidad
Terminar
Monitorear frecuenmente para asegurar sigan en “lo
verde”
Tolerar
Aplico controles preventivos y correctivos
TratarPlan de
Prevención
Plan de Contingencia
Decisiones 4 Ts
PrevenciónCoCo y políticasSeparación de funcionesAutorizacionesFormación, checklistsMonitoreo y supervisiónCorporate defense como eximente
ContingenciaProtocolo de crisisReporte a autoridades (ej. fuga de información personal)Investigación del canal de denunciaProcedimiento de disciplina
Tolerancia
Cisnes negros: eventos remotos e
impredecibles con un efecto mayor
Controles
Prevención
• Mapa de riesgos con planes de acción• Políticas con controles preventivos (aprobaciones, SoD, manuales y automáticos, ambiente/ciclos)• Entrenamiento y difusión
Detección
• Compliance audits (propias o de reguladores)• Revisión de litigios, seguros, sanciones y reclamos• Análisis de denuncias Compiance Help Line
Respuesta
• Protocolo de disciplina• Comunicación de fraudes• Denuncias a la justicia
Supervisión y monitoreo
• Monitoreo del modelo de prevención de delitos• Actualización del modelo
¿Cuántas vacas se me escapan del campo si no tendría ninguna cerca?
Riesgo inherente
Análisis teórico y no orientado a tomar decisiones
Relacionado con el impacto y frecuencia del máximo peor escenario donde todos los
controles fallan o no existen
Ninguna actividad carece de controles, especialmente de alto nivel (ambiente de
control) como un presupuesto o el código de conducta
Vinculado a auditoria y seguros (“el mundo colapsaría sin nuestros servicios”)
Riesgos no es el impacto y la frecuencia de un único escenario sino de todos ,con muchas
potenciales estadísticas
¿Qué beneficia a mi empresa priorizar riesgos inherentes?
Alternativa sin impacto ni frecuencia
Baja Media Alta
Prioridad
Delitos improbables en la actividad en la
actividad de la empresa
Fuera del alcance de los empleados
Delitos que pueden darse en la actividad de la empresa
Empleados con conocimiento y alcance para cometerlos
Baja ganancia para el empleado
Alta ganancia para el empleado
Limite: Más vinculado al impacto que a la frecuencia (ej. que lo puedan cometerer 2 empleados es igual que todos)
Compliance de tolerancia cero
Tolerancia cero al riesgo de incumplimiento legal o de
inseguridad de empleados, formalizado en el código de
ético
Enfoque moral: siempre cumplimos la ética y la ley
Compliance basada en riesgos
Sentido de racionalidad económica sobre controles al riesgo de fraude, es irrealista
reducir la corrupción y los ilícitos a cero incidentes
Enfoque pro-negocios: obtenemos ganancias porque
asumimos riesgos
Tolerancia al riesgo en compliance
Compliance solo funciona en dos lugares: en el cielo dónde no la necesitan y en el
infierno dónde ya la tienen
Tolerancia al riesgo en compliance
• La tolerancia al riesgo de compliance la determina el consejo al:• asignar presupuesto, información y poder político a la función del
compliance officer (en muchos casos impulsados por las multas de un regulador y el coste percibido por los incumplimientos)
• determinar los factores sobre los que incentiva las remuneraciones (motivando actuaciones éticas y sustentables)
• tomar decisiones que balancean performance y valores
El riesgo de compliance debe tener la misma medición que los demás como el financiero o el estratégico porque toman la capacidad de riesgo común de la empresa y deben gestionarse en conjunto
La tolerancia al riesgo depende de la cultura y la presión comercial de una empresa
Tolerancia al riesgo en compliance
• Los empleados deben cumplir con toda la normativa legal y los procedimientos internos
• La empresa mantiene la tolerancia cero frente a la corrupción en todas sus formas, incluyendo a proveedores y terceras
• La empresa no tiene tolerancia frente al fraude• Terminamos con riesgos individuales con una
exposición mayor a €200k al año• Disminuir las multas del regulador a €200k• Mantener el nivel de satisfactorio las inspecciones
laborales• No recibir reajustes impositivos de auditorias
No instalamos frenos en los coches para ir más despacio, sino para poder
movernos más rápido
Mapa de Riesgos – AlternativaPuntaje Interno
Fraude- Operativo- Contable
Corrupción
Daños Informáticos
….
Calidad de Controles
Documen-tación
Entrena-miento
Centrali-zación
Sistema de Puntos
1 a 5Medidas Efectivas a Inefectivas
Respaldado por Director de ÁreaPuede ser ponderado (ventas de la unidad, número
de empleados,…)
Planes de Acción
Exposición a un delito tomando en cuenta los
controles actualesMedidas a implementar Recursos a asignar
Controles
Políticas
Sistemas
Conocimiento
Autoridad
Coordinación política entre departamentos
Presupuesto con responsable, tiempo e
indicadores
Cargos
Herramienta CASE
C Consequence
A Assets at Risk
S Source
E Event
Perder ventajas competitivas…. “sobre” …
la propiedad de información sensitiva…. “debido al” …
espionaje industrial de nuestros competidores
…. “al” …
sufrir un ataque a servidores inseguros
Herramienta Bowtie
Proceso de negocios Objetivos
Causas Prevención
ConsecuenciasImpacto
RiesgoFactores humanos, procesos, equipos,
materiales, ambiente, gestión
FinancierasCompliance Operativas
Estratégicas
Indicadores de Riesgos
Árbol de Fallos Árbol de Impactos
3 Líneas de Defensa
políticas sobre actividades
Herramienta Bowtie
Riesgo
Eventos desencadenante
CausaProbilidad
Evento positivo o negativo
ConsecuenciaImpacto
Eventos contingentes
Como resultado que…. Hay un riesgo que…. Que puede resultar en…
Deben ocurrir con certeza para materializar el
riesgo, pero no sabemos cuando
Evento de riesgo que puede o no puede pasar
impactando en resultados
Eventos que hacen que perdamos el objetivo y
cuando se materializa el riesgo
Una falla en el testeo de calidad del producto
produce un incumplimiento de
contratos con clientes
generaría costes adicionales y dañaría la
reputación
Reportes al ExCom
Mapa de RiesgosPenales
Por Áreas
Por País
Por Año
Seguimiento de Planes de Acción
Planes
Presupuestos
Grado de Avance
Indicadores de Riesgos Claves (KRIs) Penales
Ejemplos:
Multas por Revenue
Multas por Volumen
Denuncias por Empleado
Fraude por Empleado
% Completar Cierto Programa Educativo
Key Risk Indicator en Compliance
Objetivo
¡Factor de riesgo!
Tolerancia
Key Risk Indicator
Key Performance Indicator
Key Risk Indicators en Compliance
• Un Key Performance Indicator mide la eficiencia pasada de compliance• Medimos la cantidad de eventos materializados y pérdidas
• % multas sobre ventas, contingencias legales sobre ventas, número de procesos con no-conformidades sobre el total auditado, número de denuncias anuales en el canal por empleado
• Un Key Risk Indicator predice si nos acercamos a un factor de riesgo• Medimos el movimiento de los factores de riesgos (ej. proyectando
tendencias) para cambiar estrategias. Los vinculamos a las red flags.• Variación interanual de multas/contigencias/reviones/ajustes fiscales• % empleados de compliance sobre empleados totales• % de rotación no deseada de empleados• número de cambios de versiones de políticas sobre el total• % de órdenes de compras con disputas con proveedores• % empleados formados sobre cierto riesgo de compliance• % ventas a clientes públicos/extranjeros
Conducir un departamento de compliance sin KRIs es como conducir un coche solo
mirando el espejo retrovisor
¿Cómo podemos fracasar?
• No logra poner el riesgo legal en la agenda de la alta dirección• Carece de recursos y autoridad en la unidad de cumplimiento para construir la
cultura de “tolerancia cero”• Carece del liderazgo y entusiasmo para permear los controles dentro de la
organización• Mantiene su el mapa de riesgos y los controles “en silos” • No logra hacer que sea una herramienta de gestión (por ejemplo,
terciarizando)• No logra orientar los recursos a los riesgos relevantes• Tiene objetivos no alineados a la madurez de la organización• No aprence ni mejora de los fallos y nuevos riesgos
Hacer fácil lo difícil
Si compliance…
¿Qué llevo lo cometido?
mydailyexecutive.blogspot.com
www.linkedin.com/in/hernanwyler
634 xx xx xx