Programa de Compliance
Conceptualización y diseño para un eficiente modelo de gestión y cumplimiento para la
prevención de riesgos
Ponente: Carlos Alberto Barrios L. Moore Stephens Madrid
Asesoramiento en Procesos de Gestión Empresarial
Bilbao, Septiembre, 2016
Con la colaboración y patrocinio de
2
Administración del riesgo y control interno
3
Las causas y consecuencias por la ineficiencia e inoperancia de los controles internos:
• Desconocimiento los procesos y las interrelaciones de estos con el ecosistema.
• Desconocimiento intencional o no de los controles,
• Capacitación inadecuada en el uso de los sistemas de información,
• Errores o inconsistencias en el procesamiento manual o automático,
• Errores en la configuración de plataformas de IT y los sistemas de gestión,
• Valores empresariales y éticos, usos y costumbres,
• O..todas las anteriores.
Esto lo conocemos como debilidades de control
Promover la adecuada
definición y cumplimiento
estratégico y de gobierno
corporativo
Asegurar la adecuada
definición de objetivos
estratégicos factibles
ESTRATÉGICOPromover la
integridad de los datos en la toma de decisiones del
negocio.
Asistir en la prevención y detección de
fraudes a través de la creación de
un rastro de evidencia auditable
FINANCIERO
Ayudar a mantener el
cumplimiento con las leyes y regulaciones a través de un monitoreo periódico
CUMPLIMIENTOPromover
eficiencia y eficacia en las operaciones a través de los
procesos estandarizados.
Asegurar la salvaguarda de
los activos a través de las
actividades de control
OPERACIONAL
Objetivos y componentes del Control InternoObjetivos del control interno
4
Comunication and consultation
Monitoring and review
Establishing in context
Risk identification
Risk analysis
Risk evaluaction
Risk treatment
Risk assessment
ISO 31000 - 2009 COSO ERM 2004 - 2013
Existen diferentes enfoque metodológicos para la administración efectiva del riesgo: COSO; ISO 31000; CoCo, entre otros.
Marcos de referencia para la evaluación del control interno
5
Todos estos modelos definen y establecen criterios comunes y ampliamente
aceptados para establecer evaluaciones efectivas sobre el sistema de control interno.
Establecen mecanismos para monitorear, evaluar e informar el control interno, así
como roles y responsabilidades de la gerencia.
Establecer objetivos
Identificar y evaluar riesgos
Evaluar efectividad de los controles
internos
Prevenir, detectar,
monitorear
Concluir y reportar
Objetivos y componentes del Control Interno
6
7
Responsabilidad de las Personas Jurídicas
Como prácticas más relevantes a riesgos, que pueden ser explotadas partiendo de debilidades de control podremos citar:
Prácticas por descubrimiento y revelación de secretos: Descontrol en documentos privados de clientes, empleados o proveedores, por malas prácticas de clasificación de confidencialidad de documentos, material de destrucción o de reciclaje. Malas prácticas de control y custodia de documentos y archivos privados, discos duros y escáner y fotocopiadoras.
Prácticas relacionadas a estafas o delitos contra la propiedad y el patrimonio: directamente relacionados con prácticas de control de fraude, descontrol de ventas y cobranzas, inventarios, compras, gastos no justificados, pago de comisiones a vendedores y terceros, prácticas anti éticas relacionadas a Gobierno Corporativo.
8
Responsabilidad de las Personas Jurídicas
Mal uso y descontrol de datos y sistemas informáticos: Descontrol de sistemas, aplicaciones y data. Descontrol de accesos, utilización de claves genéricas de accesos, descontrol de uso de internet, monitoreo de tráfico. Descontrol en detección y erradicación de virus internos que infecten redes de clientes o proveedores. Descontrol de antivirus y anti-spam internos.
Prácticas que atentan contra la propiedad intelectual e industrial, al mercado y a los consumidores: Descontrol de sistemas, aplicaciones y licencias de uso, descontrol de descargas de películas, música y aplicaciones desde internet u otros medios (USB/CD). Descontrol de aplicaciones internas de uso de redes y aplicaciones de oficina (Windows©, Outlook©, Office©, Adobe-PDF©, BD.)
9
Responsabilidad de las Personas Jurídicas
Diligencia debida en prácticas de control de blanqueo de capitales: Descontrol en el proceso de aceptación de clientes y proveedores sin revisión de referencias de Directivas, de personas públicamente expuestas, de principales clientes (práctica de conozca a su cliente). Donaciones a ONG´s cuestionadas o con procedimientos abiertos. Indefinición o inexistencia de prácticas o guías de control de BC/FT para clientes y proveedores (Diligencia debida).
Prácticas y delitos contra la Hacienda Pública y contra la Seguridad Social: Facturas no declaradas al fisco, facturación incompleta o a destiempo sustentada en anticipos, facturas rectificativas sin sustento real, donaciones y declaración de pérdida o daño de inventario irreales o inadecuadamente justificadas.
10
Responsabilidad de las Personas Jurídicas
Prácticas de tráfico de influencias: Registro de anticipos, viáticos o dietas o gastos sin justificación. Gastos de publicidad y viajes internacionales para terceros y relacionados no soportados o como retribución por favores, pago de comisiones sin soporte.
Control y prácticas anti corrupción en las transacciones comerciales internacionales: Descontrol en relaciones comerciales e inversiones en países con altos niveles de corrupción, o considerados paraísos fiscales. Viajes fastuosos, regalos de alto valor, gastos elevados recurrentes sin sustento.
Conceptualización y diseño del modelo de gestión y control
11
Requisitos que debe cumplir el modelo de Compliance (art. 31bis).
1.º Identificarán las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos: Evaluación de los procesos, riesgos inherentes y específicos. Matriz de Controles y Riesgos. Canal de Comunicaciones y Denuncias.
2.º Establecerán los protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las mismas con relación a aquéllos: Políticas y Normas Corporativas y de Gobierno – BL/ABC, P&N Operacionales. Planes de Capacitación.
3.º Dispondrán de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos: Auditoria Externa Financiera y Tributaria y de Control Interno.
Conceptualización y diseño del modelo de gestión y control
12
Requisitos que debe cumplir el modelo de Compliance (art. 31bis).
4.º Impondrán la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención: Responsable de Cumplimiento. Comité de Auditorías. Canal de Comunicaciones y Denuncias. Auditores Externos -NIA265.
5.º Establecerán un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo: Políticas de RRHH, Ética Corporativa y de Conducta. Responsable de Cumplimiento. Comité de Auditorías.
6.º Realizarán una verificación periódica del modelo y de su eventual modificación cuando se pongan de manifiesto infracciones relevantes de sus disposiciones, o cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada que los hagan necesarios: Auditorias de Cumplimiento del Modelo de Gestión y Control. Responsable de Cumplimiento. Comité de Auditorías.
Que debe contener el Modelo de Compliance:
•Manual de declaración de principios y fundamentos de Gobierno Corporativo
•Estructura organizacional definida y vigente, roles y cargos definidos;
•Canal de denuncias, confidencial y de conocimiento público;
•Sistema de sanciones por incumplimiento;
•Responsable de Cumplimiento o Compliance Officer
•Matriz de riesgo y planes de acción vigente,
•Políticas y normas vigentes referidas a:
Gobernabilidad; Valores y conducta ética, prácticas anti blanqueo de capitales, anti corrupción y soborno, contra la competencia desleal, RSC, Medio Ambiente.
Operatividad; Comercial, Logística, Recursos Humanos, Producción, Contabilidad y Finanzas, Tecnología, Legal.
Implementación y seguimiento del MGCR
13
Implementación y seguimiento del MGCR
14
Al margen de la normativa aprobada, el Modelo de Organización y Gestión no solo
ayudará a detectar riesgos internos, sino que mejorará la eficiencia de nuestros
procesos y operaciones de gestión empresarial.
No es una receta que aplica a todos por igual
No es un seguro contra todo riesgo
Es una buena práctica gerencial
Programa de Compliance
Contacto:
Carlos Alberto [email protected]: +34 616 327 443
General Martínez Campos 42, bajo 1° y bajo 2°28010 MADRID. ESPAÑATeléfono: +34 91 310 00 52/ +34 913 10 43 46Fax: +34 91 319 17 36/ +34 91 308 34 92