Cumplimiento Multi-

regulatorio“Navegando en la complejidad

de la regulación”

Diego Pulido M.

CCI, Puerto de Barranquilla

DIEGO PULIDO

VP ISACA Medellín Chapter

CISA, CFC, PMP, AIRM

DiegoPulido@Consylium.co

EL RETO

Cumplimiento

Legislación

Optimización del riesgo

Atención entes externos

Universo de cumplimiento

• Legislación

• Normas

• Estándares

Levantamiento de requisitos

• Exigencias

• Requerimientos

Gestión

CMS

¿Qué hay que cumplir?

• Normas internacionales (Ej. SOX).

• Normas nacionales (Ej. regulación de

industria).

• Leyes del marco jurídico (Ej. Leyes sobre

datos personales), estándares de industria

(Ej. PCI-DSS), Regulaciones internas (Ej.

ELC)

SISTEMA DE CUMPLIMIENTO - CMS

UNIVERSO DE CUMPLIMIENTO

ACTORES

Actores Exigencias de cumplimiento (Ej.)

Entidades sectorizadas Estándares de industria (PCI-DSS).

AutoridadesReportes de cumplimiento de licencias ambientales

Reguladores de sector Circulares normativas SIFC

Leyes Marco constitucional y legal

Normatividad internacional

SOX

UNIVERSO DE CUMPLIMIENTO

INVENTARIO

Reportes de ley

•Reportes de obligatoria remisión a autoridades (supervisores, entidades de impuestos, departamentos gubernamentales, etc.)

Marco legal

•Leyes, decretos, circulares.

Requerimientos externos

•Ordinarios

•Extraordinarios

Estándares/ normas de industria

•Certificables

•No certificables

Objetivo • ¿Qué

pretende?

Principios• ¿Sobre qué se

fundamenta?

Exigencias• ¿Cuáles son

los puntos de cumplimiento?

Requisitos de

cumplimiento

LEVANTAMIENTO DE REQUISITOS

REQUISITOS DE CUMPLIMIENTO

Específico

• Dar claridad de qué se trata (Ej. registrar todas las actas de comité directivo).

Desambigüedad

• Aclarar los términos ambiguos con el apoyo de la autoridad o en su defecto con el apoyo de un especialista legal.

Alcance

• Hasta donde llega (entidad, procesos, periodo, etc.).

Naturaleza

• De marco

• De reporte

• De supervisión

GESTIÓN POR REQUISITOS

Mapeo - ¿Cómo cumplimos?

Indicadores claves de cumplimiento (KCI)

Compliance owners (CO)

Integración con la gestión de procesos (BPM)

MAPA DE CUMPLIMIENTO

Mapeo políticas y procedimientos

Exigencia Requisito Unidad Indicador

Ley XY

L01.01 - Registro

de operaciones

Sistema de

transacciones en

línea.

% de registro de

operaciones

L01.02 - Registro

de número de

identificación fiscal

Formulario de

creación de cliente

% de formularios

adecuadamente

diligenciados

L01.03 – Requisito

XY

YYYY N/A

Decreto ZY01 D01.01 – Informe

de inversiones.

Mesa de dinero # de informes

remitidos

oportuna,ente

Circular XX C01.01 – Sistema

de prevención

LA/FT

Coord. de ERM # de evaluaciones

efectivas del

sistema

GESTIÓN DEL CAMBIO

Identificación de impactos

Valoración de impactos

Aprobación / negación

Ejecución

Evaluación posterior

ESCENARIOS DEL CAMBIO

Cambios a la regulación

Nueva legislación.

Modificación de legislación

Legislación complementaria

Cambios a las unidades

Cambios de ubicación

Cambios de tecnología

Cambios de estructura

Nuevas unidades

Unidades de negocio

Compras / fusiones de negocios

Nuevas áreas organizacionales.

Proyectos Estratégicos

Tácticos

Operativos

Procesos Cambios en los SLA

Cambios de proceso

Automatización de procesos

Re-ingeniería

CUMPLIMIENTO CON TERCEROS

RC que impactan terceros

Tercero/RC

L01.01 D01.01 … RC00.00

Tercero A X X

Tercero B X X

…

Tercero N X X X

Matriz Terceros Vs. Requisitos de cumplimiento

Monitoreo cumplimiento

RCs

COSTO DEL CUMPLIMIENTO

Personas

•Equipo administrador CMS

•% tiempo líderes de unidad

TI

•Aplicaciones específicas

•Cambios a aplicativos de negocio

Otros

•Rediseño de procesos

• Inversiones (ej. cámaras, locaciones).

•Modificación de productos/servicios

COMUNICACIÓN

El modelo de cumplimiento debe ser el frente único para el negocio, por lo que para

los líderes de unidad las legislaciones son “transparentes”.

CMS

Empleados

Clientes

Proveedores

Asociados de negocio

Autoridades

Auditores

Comunidad

Accionistas

RIESGOS

• Conceptos difusos entre normas. (Ej. CA)Ambigüedad

• Normatividad que entra en conflicto con otra (diferentes autoridades).Conflictos

• ¿Pone en riesgo la viabilidad del negocio?

• ¿Las implicaciones del incumplimiento de qué nivel son?

Razonabilidad

SOLICITUDES ENTES EXTERNOS

Exigencias puntuales realizadas por entes externos de carácter

obligante (solicitudes de las autoridades, requerimientos de

información del auditor externo, etc.)

PUC GRE

CMS

Governance

BPM

BCM

ERM

INTEGRACIÓN DEL CMS

Definir Monitorear Reportar

Value drivers

Multas

Inspecciones

Calificación de riesgo

CUMPLIMIENTO GENERADOR DE VALOR

FACTORES CRÍTICOS DE ÉXITO

Enfoque holístico

• Entender que el CMS es transversal a toda la entidad.

• Cubrir todos los recursos involucrados en seguimiento.

Integración

• Desarrollar el CMS como un componente integrado a todo el modelo de gestión del negocio.

• No venderlo como un “sistema de gestión”, sino como un componente de la estrategia de gestión.

ANÁLISIS Y REPORTE

CUADRO DE CONTROL REGULATORIO

Regulación Estado Evolución

XXXX

NNN

KCI Estado Accountable

Reportes Oportunos Función A

Requerimientosextraordinarios

Función C

Incumplimientos asumidos

1% Función R

Denuncias por incumplimiento

Función X

GRACIAS