EVALUACIÓN DE RIESGOS LEGALES Y DE CUMPLIMIENTO

Compliance en Energía Madrid - Hernan Huwyler

“Todas las empresas están a sólo una mala decisión o un mal empleado de distancia de un escándalo…

… y a un titular en las noticias de una marea de juicios.” William Lytton

Ex Vice Presidente y Chief Legal Officer de Tyco

Audit SOX ACCG

Compliance

SAP/IT

Risks

1. Definir responsabilidades

lll lll

2. Integrar regulaciones a procesos

3. Monitorear cumplimiento

Funciones del CRO

Compañías <1b USD Compañías >1b USD

1. Gestión de demandas

2. Línea de denuncia

3. Revisiones y monitoreo

4. Anticorrupción

5. Gestión de observaciones de auditoria

1. Establecer estándares de conductas

2. Línea de denuncia

3. Anticorrupción

4. Resolución de issues escaladas

5. Gestión de demandas

Funciones Usuales

Promover el código de conducta y el sistema normativo Monitorear las operaciones, la efectividad del sistema

normativo y los cambios de regulaciones Revisión de políticas y procedimientos Gestión de la línea de denuncias Prevención del fraude Preparar entrenamiento sobre ética y normas Establecer herramientas para retención de

documentación Seguir no conformidades Asegurar la privacidad de datos, anticorrupción, …

Cultura de Cumplimiento

La cultura motiva las conductas, no las políticas.

Que la gente correcta haga las cosas correctas en el momento correcto.

Embeber compliance en la cultura y en la toma de decisiones.

¿Qué motiva a nuestros gerentes y empleados a cumplir? ¿Incentivos o disciplina?

“Tone at the Top”

CoCo

Entrenamiento

Mecanismo de consulta

Reporte anónimo

Disciplina por mala conducta

Evaluación de desempeño

ético

Clave, entrenamiento

Apertura de cada sesión por un director

Role play

Discutir como las acciones no éticas impactan en compañeros, clientes, testigos, comunidad

Involucrar al staff a discutir

Ajustado a seniority

Alcohol

Compliance Risks

Riesgos que pueden afectar la consecución de objetivos estratégicos por incumplir con leyes, regulaciones, políticas y estándares.

La regulación es una forma de mitigar riesgos por las sociedades modernas

Los riesgos de compliance son una parte (generalmente significante) de un programa de ERM

Compliance Risks

Standard & Poor también evalúa a las compañías por su capacidad de gestionar riesgos

La gestión de riesgos de compliance tiene impacto en el coste de capital

Encuesta 2013 E&Y

Encuesta 2013 E&Y - Planes

Designar un Chief Compliance/Risk Officer 1 Invertir en la capacidad de relacionarse con los reguladores 2 Mejora continua de la capacidad de compliance 3 Invertir en la capacidad de IT para soportar compliance 4 Capacidad de rápidamente adoptar cambios regulatorios 5 Centrar las funciones de compliance a riesgos altos 6 Expansión de compliance a proveedores y clientes 7

Evaluación de riesgos legales

1

• Definir alcance y líder

• Definir un universo de riesgos legales

2

• Seleccionar participantes para la evaluación de riesgos

3

• Distribuir materiales necesarios para los workshops

Evaluación de riesgos legales

4

• Efectuar la evaluación de riesgos

• Definir impacto y frecuencia

5 • Priorizar los riesgos críticos

6 • Crear planes de mitigación

1. Definir alcance y líder

Familiar con el ambiente regulatorio

Familiar con las políticas internas

Familiar con el negocio para evaluar impactos

Autoridad para facilitar comunicación a C-Level

Tiempo para dedicar a la iniciativa

Habilidad de resolver conflictos

Habilidad de gestionar proyectos

Habilidad de mantener confidencialidad

1. Definir alcance y líder

Si legales está a cargo

• Auditoría interna:

• soporta a legales

• efectúa revisiones de cumplimiento

• reporta riesgos relevantes

Si auditoría está a cargo

• Legales:

• soporta a AI

• delimita los riesgos que son aceptables

• reporta riesgos relevantes

Compliance Trends Survey 2013 Deloitte

2. Seleccionar participantes

• Regiones geográficas

• Profundidad (Seniority)

• Unidades de negocios

• Legal, Fi, HR, IT, expertos, consultores, investor relations

2. Seleccionar participantes

Marco ERM escalable Grado adecuado de detalle Involucrar a todos los participantes …inclusive los externos (consultores) Análisis al futuro Objetividad de valuaciones Cualitativo vs. cuantitativo No olvidar monitorear riesgos de bajo impacto Involucrar aprobaciones del Sr. Mgmt Documentar

3. Armado de Referencias Armado de material

Establecer un contexto

Coordinar los talleres

Confirmar alcances

3. Armado de Referencias

Top Down

Bottom Up

Risk registry

Fq %

Im $

3. Armado de Referencias

Impacto

•Law Enforcement

•Métrica de Volumen

Frecuencia

•Rule of Law

•Regulatory Quality

Taxonomía

FCPA Protección de

activos Antitrust Insider trading Privacidad

Controles de exportación

Retención de documentación

Seguridad de información

Compensaciones y bonos

Reporte

Sarbanes Oxley HSE Discriminación y

acoso laboral Integridad financiera

Contratos con el gobierno

Propiedad intelectual

Uso de tecnología 3rd Party

management Prácticas

comerciales Ética

Taxonomía

Riesgo de falta de cumplimiento de regulaciones de impuestos

Laborales

Societarias

Comerciales

Bancarias y financieras

De autoridades de mercados

Centrarse en actividades donde se cree el valor (Por ejemplo, en una empresa de Oil&Gas integrada, puede darse que mucho del esfuerzo de ERM se centre en inventarios, refino y contabilidad, cuando el valor se crea en exploración).

4. Evaluar riesgos

Cumplir con requisitos

Identificar riesgos legales y

regulatorios potenciales

Asistir a los responsables a

mitigarlos

4. Evaluar riesgos

• Leer el material de referencia

• Preparar su aporte a la discusión con sus riesgos funcionales con datos

Pre

workshop

• Colaborar a la discusión con otros participantes

• Presentar información sobre sus controles y riesgos

• Indicar que eventos o tendencias pueden afectar a la empresa para cumplir con leyes y regulaciones

Workshop

• Participar en los planes de mitigación

• Tomar propiedad de sus riesgos funcionales

Post

workshop

4. Evaluar riesgos

Score 1 2 3 4 5

Multas, daños e

indemnizaciones

< 1% de las ventas

1% al 3% de las ventas

3% al 5% de las ventas

5% al 10% de las ventas

> 10% de las ventas

Reputacional Sin

exposición o daño

Impacto negativo

localizado pero

recuperable

Cobertura en medios o

reguladores local

Cobertura en medios o

reguladores nacional

Cobertura sustancial en

medios o reguladores

nacional

Operacional

Sin pérdida de negocios

u operaciones

Visible pero gestionable fácilmente

Daños a clientes o grupos de

interés

Impacto severo a la

performance

Impacto catastrófico a

la BU

Estudio Costo de No Compliance Ponemon Institute LLC 2011

Costo (M USD) Promedio Máximo Mínimo

Interrupción de negocios 3,3 16,5 0

Pérdida de Productividad 2,4 6,4 0

Pérdida de Ingresos 2,1 6,5 0,2

Multas y penalidades 1,4 7,5 0,1

4. Evaluar riesgos

Score 1 2 3 4 5

Descripción Casi

imposible Rara Posible

Incidentes aislados

Incidentes repetitivos

Tiempo < Una vez

cada 5 años

< Una vez cada año

Una vez al año

Una vez al mes

Una vez a la semana

Probabilidad < 1% 1% al 5% 5% al 10% 10% al 20% > 20%

4. Evaluar riesgos

Score 1 2 3 4 5

Nivel de Control

Sin controles

implementados

Controles mayormente

inefectivos

Controles efectivos en

algunas ocasiones

Controles efectivos la mayoría del

tiempo

Controles efectivo todo

el tiempo

4. Evaluar riesgos • Ocurrencia que afecta la empresa

• Ej. Incumplir con la ley… Evento

• Consecuencia

• Ej. penalidades, daño a la reputación, responsabilidad civil de los directores Impacto

• Ej. Entrenamiento, boletines, procedimientos para gestionar quejas, obtener certificaciones, buscar consejos, designar responsable, compliance audits, cláusulas en contratos

Plan Mitigante

• Impacto o frecuencia luego del plan mitigante Riesgo Residual

Área Riesgo legal Regulación / Ley

Área Funcional

Impacto Frec. Score Control Clasif. Impacto P

ráct

icas

de

com

erci

o e

xter

ior

Sobornos en el extranjero

FCPA Foreign Corrupt Protection Act

Ventas 5 1 5 4 Reputacional

Aduanas Leyes aduaneras Ventas

1 3 3 2 Operacional

Control de exportaciones

OFAC Office of Foreign Assets Controls

Ventas

2 2 4 5 Operacional

Exportaciones de productos con doble uso

Reg. UE 428/2009

Ventas 4 4 16 5 Operacional

Boycott no sancionado a un país extranjero

Anti-Boycott Act Ventas

2 2 4 4 Operacional

Exp/Imp de químicos peligrosos

Reg. UE 649/2012

Ventas 3 4 12 1 Operacional

…. … … ….

5. Priorizar riesgos críticos

FCPA

Trade Restrictions

Reg. UE 428/2009

Reg. UE 649/2012

OFAC Anti-Boycott

Aduanas

1 2 3 4 5 Fq

Imp

act

o

1

2

3

4

5

5. Priorizar riesgos críticos

Relaciones con Gobierno Protección de clientes HSE Ética Prácticas Comerciales

EMEA APAC LATAM North America HQ

Generation Distribution Storage Solar HQ

6. Planes de mitigación

Termino: Evito o trato

inmediatamente

Tolero: Solo

monitoreo

Transfiero

Trato

6. Planes de mitigación Priorización de actividades según criticidad

Asignamos un responsable del plan

El plan se abre en tareas con sus plazos

Los planes se aprueban

Involucrar a legales

Reporte frecuente del % cumplimiento del plan

6. Planes de mitigación La implementación de planes de mitigación

pueden necesitar un cambio sustancial en la forma de pensar compliance

¿Quién es el propietario de los planes?

¿Qué procedimiento de escalamiento tienen?

¿Cuáles son los KRIs?

Un objetivo final de ERM es alinear capital

C Level+Board: Promover la buena cultura y contexto de gestión de GRC

Line Mgmt: Gestionar riesgos y

monitorear el cumplimiento

Audit: Evaluación de riesgos y controles,

recomendaciones

6. 3 Barreras en Compliance

6 ¿Cuándo se cumple una norma?

… y cuando el sujeto de los

requerimiento percibe estos

3 factores

Cuando hay altas

probabilidades que se detecte una violación

Cuando la respuesta a

una violación sea rápida y predecible

Cuando la respuesta a

una violación incluye una

sanción apropiada

6. La dimensión psicológica

6. Tips al formalizar

Un sistema normativo uniforme para todos

Alineada a riesgos …

…. alineados a regulaciones

6. Tips al formalizar

Designar un dueño de la política que negocie y tenga input con quienes deberán controlar

Integrar políticas a valores, SOX y entrenamiento

Preservar la discreción del management

Flexibilidad en las acciones disciplinarias

Actualizar políticas

6. El sistema normativo

CoCo

Políticas

Procedimientos

Instructivos

Formularios y Registros

6. Ciclo de Vida de una Política

Colabora

Autor

Aprueba

Publica

/ Constancia

Recepción

Revisa

Detecta necesidad

+. Monitoreo

Actualizar el mapa ante riesgos emergentes por cambios en la operatoria, el tratamiento de riesgos y en regulaciones.

Necesidad de seguimiento del directorio (y de compliance en generar la información)

Necesidad que el directorio actualice el nivel de tolerancia al riesgo

Recomendable: Cada 6 meses

+. Comunicación

Detrás de mucha comunicación, hay mucho costo

La comunicación incluye el entrenamiento

Riesgo: hablar en “legalesco”

Consejos:

Explicar riesgos a las responsabilidades de la mínima cantidad de empleados que deben saber.

Abarcar empleados de alto riesgo

Deloitte Compliance Trends Survey 2013

Matriz de riesgos y controles

Proceso Procedimiento Actividad Control

Nómina Envío de datos al sistema

Verificar integridad y exactitud de datos

Aprobaciones de datos fuentes Revisión log interfaces

Creación o cambio de contratos

Firma de contratos laborales o addendums

Aprobación de modelos Firma de contratos

Terminación de empleados

Aprobar las condiciones de finiquito

Aprobación de cálculos

Matriz de riesgos y controles

Proceso Procedimiento Actividad Control

Preparación de cuentas

Identificar impuestos

Listar todos los impuestos que la empresa está sujeta Analizar consecuencias fiscales de tipos de operaciones

Verificar que se utilizan consultores fiscales referidos Recon. impositiva vs contable Aprobación cómputos Monitoreo de legislación Justificación de imp. diferidos Verificación tasa IVA por actividad Test recuperabilidad de IVA

Matriz de riesgos y controles

Proceso Procedimiento Actividad Control

Determinación del alcance de los controles financieros

Guia del control interno

Análisis y revisiones de controles internos y seguimiento de recomendaciones

Verificar que toman las deficiencias de diseño y cumplimiento Verificar que el management tiene comunicación de deficiencias Firma del Co.Co Respeto de linea de denuncia Proceso de cierre de cuentas Políticas de contratación

Programa de ética y cumplimiento

Objetivo de minimizar los riesgos de una conducta ilegal.

Liderado por el Chief Compliance Officer

Ajustarlo a cada empresa y filial

Cubra a agentes, proveedores, contratistas,…

Para ser efectivo: énfasis en auditoría/monitoreo

Programa de ética y cumplimiento

“Estamos bien, nunca hemos tenido una problema serio de compliance”

“Esa clase de problemas lo sufren otros, nosotros somos más inteligentes, chicos,….”

“Ya tenemos nuestro código de ética, hotline y muchos procedimientos, ya estamos cubiertos.”

“Es un tema de legales/consejo legal, es su responsabilidad asegurarse el cumplimiento con todas las regulaciones.”

Programa de ética y cumplimiento

Código de ética

Hotline/Whistleblower

Reclutamiento de las personas correcta

Educación y entrenamiento

Comunicación a directores

AS 3806:2006 Compliance programs

Generar una política de compliance aprobada por dirección

Designar a responsables específicos para cada obligación

Identificación anual de riesgos de compliance (compliance risk profiles)

Reporte anual de incidentes de no compliance

Entrenamiento de empleados y contratistas

AS 3806:2006 Principios

AS 3806:2006 Ej Estructura

Constancia de recepción, lectura, entendimiento, conformidad,…

Compliance Audits Compliance es efectiva si tiene credibilidad de

prevenir riesgos y pérdidas

Un control es inefectivo si se percibe como esporádico

Si las auditorias de compliance aumentan, el costo de compliance per cápita disminuye

Diseño de controles preventivos y automáticos

Compliance Audits

Auditoria

• ¿Hacemos lo que decimos que debemos hacer?

Compliance

• Si hacemos lo que decimos que hacemos, ¿qué requerimientos vamos a cumplir?

Compliance Audit - Protocolos

Regulatorias

ISOs

Contractuales IT

Financieras SOX Tax

HS&E

OSHAS

Business Intelligence

Reportes Interactivos

KCIs / KRIs

Alertas & Red Flags

Exploración &

Investigación

Visualizaciones & Dashboards

BI - Embargos

Policy Country SAP Code

Full embargo Cuba CU

Full embargo Iran IR

Full embargo Myanmar (formerly Burma) MM

Full embargo North Korea KP

Full embargo Sudan SD

Full embargo Syria SY

Parcial embargo Balkans

Parcial embargo Belarus BY

Parcial embargo Cote D’Ivoire CI

Parcial embargo Democratic Republic of Congo ( CD

Parcial embargo Lebanon LB

Parcial embargo Iraq IQ

Parcial embargo Liberia LR

Parcial embargo Libya LY

Parcial embargo Zimbabwe ZW

Parcial embargo Croatia HR

Parcial embargo Serbia CS

Parcial embargo Bosnia Herzegovina BA

Parcial embargo Montenegro CS

Parcial embargo Macedonia MK

Parcial embargo Albania AL

BI – Paraísos Fiscales

SAP Code Country SAP Code Country

AD Andorra LU Luxembourg

AI Anguilla MT Malta

AG Antigua/Barbuda MU Mauritius

AW Aruba MA Morocco

BS Bahamas NR Nauru

BB Barbados NZ NewZealand

BM Bermuda NF NorfolkIslands

BA Bosnia-Herz. KP North Korea

VG Brit.VirginIs. PW Palau

KY CaymanIslands AS Samoa,America

CK CookIslands SM SanMarino

GI Gibraltar SG Singapore

HK HongKong KN StKitts&Nevis

IE Ireland TC TurkshCaicosin

LR Liberia VU Vanuatu

LI Liechtenstein

BI – Rel. Laborales Encubiertas

Fecha Factura Proveedor Imputa Monto

2/1/2013 0000015 John Doe Consultoría 4000

4/2/2013 0000016 John Doe Consultoría 4000

3/3/2013 0000017 John Doe Consultoría 4000

8/4/2013 0000018 John Doe Consultoría 4000

4/5/2013 0000019 John Doe Consultoría 4000

9/6/2013 0000020 John Doe Consultoría 6000

ΔMes → 1 σ Fct → 0 σ Mnt→ 0

GRC

La perspectiva de control interno

Los incendios son inevitables pero pueden ser controlados con extintores. Instale extintores y audite sus cargas. Resuelva cualquier deficiencia.

Documente el proceso y audite los controles. Identifique deficiencias y corrija los controles

La perspectiva de riesgos

Los incendios ocurren cuando un material inflamable se expone a una fuente de ignición. Elimine ambos factores.

Identifique y mitigue los factores de riesgos por categoría. Monitoree los KRI para advertir sobre eventos.

La perspectiva de compliance

Los incendios ocurren por la gente despreocupada. Persuada a gente que cambie su conducta y entrene sobre prevención.

Desarrolle una política. Comunique, motive y entrene a quienes pueden tener una conducta peligrosa.

Compliance Hotline

Requerida por SOX 304

En la EU: sólo para reportar cuestiones de contable, auditoría, corrupción y controles, pero no para cuestiones de privacidad de datos.

Terciarización

Por email o portal web

Tipos de Denuncias

Contabilidad, auditoria y finanzas • Fraude contable, controles internos, reporte de gastos

Integridad comercial • Corrupción, falsificación de documentos, fraude

De ambiente laboral (numerosas) • Discriminación, abuso, compensaciones, generales de gestión de personas

HSE • Incumplimiento de normas de seguridad/OHSAS, seguridad,

Apropiaciones indebidas • Uso de computadores, robo, alteración de horas

¿Porqué aumentan las denuncias?

Entrenamiento e iniciativas de comunicación

Cambios de políticas (esp. de RH)

Que la prensa cubra escándalos en competidores

Qué haya un problema real

Que hayan rumores de despidos y reestructuraciones

Cambios en regulaciones

Federal Sentencing Guidelines Conjunto de criterios de defensa uniformes

(1991)

Para todas las organizaciones públicas o privadas

Puede reducir las multas potencialmente hasta un 95% por tener un programa efectivo de ética y compliance

Federal Sentencing Guidelines Distribuir el CoCo no es suficiente

Proveer a todos los empleados y gerentes entrenamiento efectivo sobre ética y cumplimiento legal

“Prosecutors should … attempt to determine whether a corporation's compliance program is merely a ‘paper program’ or whether it was designed, implemented, reviewed, and revised, as appropriate, in an effective manner.”

US Department of Justice Principles of Prosecution of Business Organizations

Dodd-Frank Act 2010

Mejora la protección a whistleblowers

Incentiva a reportar violaciones a la Securities Exchange Act (10 a 30% de la sanción si es más de 1M USD)

Excluye a directores, auditores internos y compliance

Reporte de información original y conocida de primera mano

Aumenta la carga de la prueba en los empleadores

No requiere el uso de la hotline interna

Privacidad de Datos

¿Qué debemos proteger?

De clientes: Información no pública como número de

identificación, fechas de nacimientos, direcciones, teléfonos, nacionalidad, características físicas, nros. Tarjetas, historia crediticia, datos económicos, firmas,…

De Empleados : Información no pública incluyendo historia laboral y de nuestro reclutamiento, certificados, licencias,…

Privacidad de Datos – Auditoria Consentimiento de obtención

Registro de bases

Seguridad de almacenamiento y encriptaciones

Accesos lógicos

Transferencias de datos

Destrucción

Prácticas Corruptas Elementos

1) Un individuo, compañía, oficial público, o agente actuando en nombre de una firma con

2) La intención de corromper

3) paga, promete o ofrece pagar dinero o cualquier cosa de valor

4) a un oficial público, partido político o candidato del extranjero

5) para obtener o mantener un negocio, o una ventaja injusta en el extranjero.

Prácticas Corruptas

Esfuerzos a países de alta percepción s/Transparency Revisión de Gift and Travel & Entertainment Comparar márgenes y comisiones a agentes e

intermediarios Operaciones con gobierno y oficiales públicos Contribuciones políticas Revisión de consultores (afiliación) Revisión cuentas con riesgo, ej licencias, permisos,

comisiones, donaciones, consultoría, honorarios, reintegro de gastos,…

Due diligence de terceras partes Entrevistas con personal de desarrollo de negocios,

supply chain y aduanas, agentes,..

Prácticas Corruptas Red Flags

Pagos a un país con larga extensión de corrupción

Pagos sin un contrato

Contratos a consultores, agentes e intermediarios relacionados a oficiales públicos, sin estructura para llevar el servicio, con mala reputación, nuevos en el negocio, sin referencias…

Tarifas más altas que el promedio del país

Pagos por métodos “heterodoxos” (ej. fuera del país, solicitando cheques al portador,…)

Conflictos de Interés

Divergencia real o aparente entre intereses personales y de empresa

Procedimiento para identificar y reportar (y eventualmente evitarlos o controlarlos)

Empleo externo, regalos y entretenimiento,

Registro, declaración de interés, aprobación

Doble linea de reporte

Retención de Documentación

Estandarizar periodos de retención para necesidades legales, fiscales, regulatorias, de negocios y de auditoria

Estrategia: común a todos los países o con cuadros específicos,

global o capítulo en políticas (email, bkups,…)

Inventario de documentos Clasificaciones

Electrónicos y manuales, vitales o transitorios

Litigios en cursos

Sanciones

Clientes, proveedores, bancos y empleados informados por regímenes de sanciones (OFAC; ONU, )

Lista Specially Designated Nationals List (SDN)

Penas entre 250 K USD a M USD

Endurecimiento de relaciones con el régimen de Irán y Siria (com. exterior y financiamiento)