Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Centro Superior de Estudios de Gestion
Centro Superior de Estudios de Gestion
Estudios de Gestión
Riesgos de Compliance en
Máster Compliance Officer Sacyr
Prof. H Huwyler
Módulo
Compliance Risks
Centro Superior de Estudios de Gestión
Máster Compliance Officer
Mod. Compliance Risks – Prof Hernan Huwyler
Sacyr es un grupo multinacional español dedicado a resultado de esta primera etapa son los mapas y
la construcción industrial, la gestión de perfiles de riesgos, que incluyen los principales
infraestructuras y la concesión de servicios. El grupo riesgos estratégicos y operativos. Los riesgos se
tiene una presencia internacional en 20 países y agrupan en diferentes categorías: entorno de negocio,
desarrolla su actividad en diferentes marcos regulación, imagen y reputación, recursos humanos,
reguladores. En este contexto existen riesgos de operaciones, financieros, información para la toma de
diversa naturaleza relacionados a los negocios y decisiones, tecnología y sistemas de información y
sectores en los que opera. buen gobierno. Para cada riesgo se evalúa su posible
impacto y probabilidad de ocurrencia.
Sacyr ha establecido una política de control y
gestión de riesgos para identificar, evaluar y Tras la identificación de los riesgos, se analiza el
gestionar sus riesgos globales. Esta política busca dar conocimiento de los mismos que tiene la dirección y
un grado razonable de seguridad acerca de la la idoneidad y la efectividad de los controles
consecución de los objetivos de eficacia y eficiencia adoptados para mitigarlos. La dirección de cada
en las operaciones, fiabilidad de la información y negocio, con la supervisión de auditoría interna,
cumplimiento de la legislación. establece sus prioridades de actuación y determina las
medidas a poner en marcha. Se consideran su
El proceso comienza con la identificación de los viabilidad operativa, sus posibles efectos y la relación
riesgos que son actualizados periódicamente por los coste - beneficio de la implantación.
cambios del entorno en que la organización opera. El
1
2 § 1 Mod CR HH
Centro Superior de Estudios de Gestión
Máster Compliance Officer
Mod. Compliance Risks – Prof Hernan Huwyler
los riesgos así como la implementación de planes de objetivo general realizar una evaluación sistemática
acción. de la eficiencia en los procesos de identificación,
control y gestión de los riesgos. Esta dirección
El consejo de administración, con el apoyo de la elabora anualmente un plan de auditoría interna
comisión de auditoría, supervisa al comité de riesgo. orientado a riesgos, y es aprobado por la comisión de
El ejercicio de esta función garantiza la implicación auditoría. Este plan establece las prioridades y la
del consejo en la supervisión del proceso de previ sión de trabajos a realizar.
identificación de riesgos y de la implantación y
seguimiento de los sistemas de control e información Sacyr cuenta con una unidad de cumplimiento
adecuados. normativo formada por miembros de la alta
dirección, que es la encargada de velar por el estricto
El comité de riesgos es el máximo responsable del cumplimiento del código de conducta y de gestionar
sistema de control y gestión de riesgos, y de todas las la línea de consulta y denuncia.
decisiones asociadas al mismo en las unidades de
negocio. El comité se designa por el presidente y La unidad de cumplimiento normativo es un órgano
entre sus funciones se encuentra la de dar apoyo al colegiado de naturaleza ejecutiva y carácter
consejo en la toma de decisiones críticas, establecer autónomo, compuesto por representantes de diversas
los índices de tolerancia al riesgo, y la definición y áreas del grupo y nombrados por la comisión de
promoción de la cultura de riesgos en la organización. auditoría. El presidente de la unidad de cumplimiento
normativo, reporta formalmente al comité de
La dirección de control y gestión de riesgos, da auditoría.
apoyo al comité de riesgos y con la ayuda de las
diferentes áreas de negocio del grupo que cuentan Esta unidad actúa bajo la dependencia exclusiva de la
con sus propios responsables de control y gestión, comisión de auditoría del consejo de administración y
que efectúan el seguimiento del análisis de los riesgos tiene la condición de órgano de la persona jurídica
y apoyan al presidente y a los negocios en la toma de con poderes autónomos de iniciativa y control a los
decisiones críticas. efectos del código penal y todas las funciones que le
corresponden como órgano de cumplimiento del
Las áreas de negocio de Sacyr cuentan con sus código de conducta. La unidad dispone de la
propios responsables de control y gestión, que autoridad, los recursos y los medios necesarios, en
efectúan el seguimiento de la consecución de los coordinación con la dirección de auditoría interna y
objetivos previstos por cada área de negocio o de recursos humanos, para implantar y hacer cumplir
sociedad en el marco de la planificación estratégica. las medidas de control interno del modelo de
cumplimiento normativo para detectar, prevenir y
El consejo de administración constituye en forma evitar la comisión de infracciones penales, civiles,
delegada un comité de auditoría interna mercantiles, administrativas y tributarias imputables a
actualmente con 5 consejeros. Tiene como atribución la persona jurídica, así como para la reacción
supervisar la eficacia del control interno y la auditoría adecuada en el caso de que eventualmente se hayan
interna, así como revisar los sistemas de gestión de producido.
riesgos para que los principales riesgos se
identifiquen, gestionen y den a conocer La unidad ha implantado sistemas y estructuras de
adecuadamente. prevención penal en España, Portugal y Chile
conforme a sus respectivas normativas.
Adicionalmente, la dirección de auditoria interna,
con dependencia directa del presidente y bajo la
supervisión de la comisión de auditoría, tiene como
Uno de los principales objetivos de auditoría interna individuales y detallados para cada línea de negocio,
es continuar avanzando en el desarrollo y que a su vez, y por agregación, generan un nuevo
actualización de mapas de riesgos detallados por línea mapa de riesgos más completo, detallado y
de negocio así como en la definición e incorporación actualizado.
de mejoras en la política de control y gestión de
riesgos del grupo. Sacyr ha evolucionado desde un Debido a la expansión internacional y los cambios de
único mapa de riesgos globales a una estructura más contexto, la importancia y probabilidad de ocurrencia
compleja, en la que existen mapas de riesgos de los diferentes riesgos sufrieron cambios muy
1
2 § 1 Mod CR HH
Centro Superior de Estudios de Gestión
Máster Compliance Officer
Mod. Compliance Risks – Prof Hernan Huwyler
significativos. De esta forma, los esfuerzos se han En los riesgos concretos asociados a objetivos
estado enfocando en la actualización de los mapas de medibles, la tolerancia al riesgo del grupo Sacyr, se
riesgos existentes, con especial atención a las áreas mide con las mismas unidades que los objetivos
geográficas del extranjero donde hay actividad correspondientes.
significativa como Portugal, Angola, Cabo Verde,
Madeira, Francia, Estados Unidos y Brasil. Con carácter general, Sacyr cuenta con planes de
supervisión para los principales riesgos como
Adicionalmente, se emite un mapa de riesgos de realizar, al cierre de cada ejercicio, pruebas de
concesiones y dos mapas de riesgos de alto nivel, deterioro de valor de todos sus activos no financieros.
independientes de los mapas de riesgos de los De esta forma, Sacyr estima que cuenta con
diferentes negocios, que sirven como herramientas suficientes sistemas de control para identificar,
para gestionar los riesgos de dos regulaciones cuantificar, evaluar y subsanar todos los riesgos, de
recientes: a) la supervisión del control interno de la tal forma que puedan minimizarse o evitarse.
información financiera por parte de la comisión de También los complementa con una política de
auditoría y b) el impacto de la reforma del Código contratación y mantenimiento de pólizas de
Penal Español en lo relativo a la consideración de las seguro.
personas jurídicas como responsables de los delitos
cometidos. El plan de auditoría interna se planifica en sus
trabajos atendiendo al control de riesgos, basándose
Como política general, el riesgo aceptable para el en la metodología COSO. Como resultado de estos
grupo puede considerarse cualitativamente de nivel trabajos, que abarcan todas las áreas y líneas de
medio, con excepción de los riesgos financieros con negocio del Grupo, no se han detectado incidentes
un riesgo aceptable alto y los riesgos de regulación y cuyo impacto haya sido considerado significativo.
de imagen y reputación en los que el Grupo reduce su
tolerancia al riesgo a niveles mínimos. Se han realizado acciones formativas, como jornadas
sobre control de costes, plazos y de gestión, dirigidas
Dependiendo de cada operación concreta, se a los departamentos cuyas funciones son la gestión de
considera el riesgo desde un punto de vista riesgos.
cualitativo (alto, medio, bajo), o con un enfoque
cuantitativo, que refleje los objetivos de crecimiento
y rendimiento y los equilibre con los riesgos.
CORRUPCIÓN Y SOBORNO
1
2 § 1 Mod CR HH
Centro Superior de Estudios de Gestión
Máster Compliance Officer
Mod. Compliance Risks – Prof Hernan Huwyler
El código de conducta de Sacyr prohíbe de forma la existencia de dicha práctica corrupta y se buscan
tajante cualquier comportamiento por parte de sus mejoras al mismo.
empleados que pudiera considerarse relacionado con
la corrupción o el soborno. Todos los empleados y La línea de consulta y denuncia
miembros de los órganos de gobierno del grupo, así (codigoconducta@sacyr.com) es una herramienta
como las UTEs y sociedades sobre las que se tiene corporativa destinada a facilitar la formulación
control de gestión, han sido informados sobre las confidencial y segura de cualquier consulta sobre el
políticas y los procedimientos de la organización para alcance y aplicabilidad del código de conducta y, en
luchar contra la corrupción, a través de las circulares general, del modelo de cumplimiento normativo, así
de difusión del código de conducta. como para informar o denunciar situaciones de
infracción o de riesgo.
El código establece explícitamente que los empleados
de Sacyr no podrán ofrecer pagos de ninguna El procedimiento de la línea de consulta y
naturaleza destinados a obtener beneficios de forma denuncia garantiza la confidencialidad en el
ilícita, y se les prohíbe aceptar regalos o cualquier tratamiento de las denuncias que se tramiten y la
otra clase de prestaciones que pudieran afectar a su identidad del denunciante, con pleno cumplimiento
objetividad o influir en una relación comercial, de la legislación sobre protección de datos, un
profesional o administrativa. análisis fiable y objetivo de la posible infracción y el
máximo respeto a los derechos de las personas
Sacyr ha creado un órgano de control del código de presuntamente implicadas en la misma.
conducta, formado por miembros de la alta
dirección. Este órgano, además de gestionar la línea De cada reclamación recibida se realiza una
de denuncias del Grupo, es el encargado de velar por investigación y se adoptan las medidas oportunas
el estricto cumplimiento del código de conducta. tanto para su resolución, como para evitar que se
vuelva a producir. El sistema de gestión de Sacyr,
La investigación de comportamientos de establece la documentación de cada reclamación a
corrupción es responsabilidad de la dirección de través de acciones correctivas, que permiten realizar
auditoría interna, así como realizar trabajos un seguimiento exhaustivo de la resolución de la
encaminados a detectar dichos comportamientos si misma.
los hubiera. Para esto cuenta con un software
específico de detección de fraude, con el apoyo de Sacyr dispone además de diferentes canales para
expertos externos cuando lo precisa y con personal comunicarse con sus grupos de interés y el público
especializado para realizar dicho trabajo, tanto en general, por ejemplo para recibir reclamaciones
preventivo como detectivo. Los indicios de relacionadas con temas ambientales. Entre ellos se
corrupción son analizados en detalle y se actúa en encuentran varios buzones de correo electrónico, uno
consecuencia. En todos los casos se revisa el general (info@sacyr.com) y otro específico
procedimiento de negocio vigente que no ha evitado relacionado con la responsabilidad corporativa
(rcorporativa@sacyr. com).
El Sacyr está comprometida con las iniciativas examen de las operaciones susceptibles de generar
internacionales para prevenir el blanqueo de riesgo. Este protocolo ha sufrido diversas
capitales y la financiación del terrorismo. modificaciones con el objeto de adecuarlo a la
Cumpliendo con la legislación vigente en la materia, normativa vigente.
el grupo cuenta con los procedimientos y órganos de
control interno necesarios para prevenir e impedir la En él aparece estructurada la dependencia funcional
realización de operaciones relacionadas con el de los principales órganos de control, de tal manera
blanqueo de capitales en su ámbito de influencia. que se garantizan la independencia y la cobertura de
todas las sociedades y líneas de negocio del grupo
La principal herramienta de gestión para este fin es su susceptibles de verse implicadas en delitos de
protocolo interno de prevención de blanqueo de blanqueo.
capitales y de la financiación del terrorismo, un
documento en el que se establecen tanto la estructura La estructura hasta inicios del 2015 era la siguiente:
de responsabilidades de los distintos agentes
implicados, como los mecanismos para el control y
1
2 § 1 Mod CR HH
Centro Superior de Estudios de Gestión
Máster Compliance Officer
Mod. Compliance Risks – Prof Hernan Huwyler
1
2 § 1 Mod CR HH
Centro Superior de Estudios de Gestión
Máster Compliance Officer
Mod. Compliance Risks – Prof Hernan Huwyler
El código de conducta de Sacyr pone especial énfasis establecidas por las leyes y convenios internacionales
en garantizar la adecuada protección y custodia de los aplicables y a respetar de forma rigurosa los derechos
datos personales confiados por clientes, proveedores, legítimos de los titulares de tales datos.
empleados, instituciones y público en general. El
objetivo es garantizar la privacidad de estos datos, En todas las comunicaciones dirigidas a clientes
haciendo una gestión de los mismos que se sitúe a la actuales y potenciales, el grupo habilita los medios
altura de la confianza depositada en la compañía por para garantizar el derecho de éstos a ejercer sus
estos colectivos. derechos de acceso, rectificación, cancelación y
oposición respecto a los datos registrados
Sacyr y sus empleados se comprometen a observar
las normas de protección de datos personales
Además de los riesgos de cumplimiento regulatorio • Riesgo de una inadecuada información para la toma
descritos, dentro de la política de control y gestión de de decisiones.
riesgos del Sacyr, se establecen mecanismos de
control y comunicación para otros riesgos: • Riesgos relacionados con el área de tecnología y
sistemas de información: gestión de redes, seguridad
• Riesgo de inadecuada adaptación al entorno. física y lógica, integridad de la información.
• Riesgo de inadecuada gestión de los aspectos Sacyr tiene un fuerte compromiso con el medio
relativos a la responsabilidad social y sostenibilidad, ambiente, que se traduce en numerosas iniciativas
así como de la imagen corporativa. para prevenir, disminuir o remediar los impactos
ambientales derivados de sus actividades. Llevar a
• Riesgos relacionados con el capital humano: cabo estas actuaciones genera costes ambientales,
posicionamiento, capacitación, flexibilidad, bien derivados de actuaciones voluntarias, bien por
dependencia de personal clave y clima laboral. aquellas requeridas por contrato o legislación de
carácter ambiental; pero siempre destinadas a
• Riesgos financieros como de crédito, de tipo de prevenir los impactos ambientales derivados de sus
interés, de tipo de cambio y de liquidez. actividades, o reducirlos, cuando no es posible
evitarlos.
A. La interacción entre áreas requirió modificaciones para mejorar su coordinación y eficacia a inicios del
2015. El órgano de control interno de prevención del blanqueo y su departamento fueron transferidos
funcionalmente a la unidad de cumplimiento normativo para aprovechar sinergias.
2
2 § 1 Mod CR HH
Centro Superior de Estudios de Gestión
Máster Compliance Officer
Mod. Compliance Risks – Prof Hernan Huwyler
Comisión de auditoria
Unidad de
cumplimiento
normativo
Órgano de control
interno de prevención
del blanqueo de
capitales
Departamento de
prevención del
blanqueo
B. El consorcio participado por Sacyr a cargo de la ampliación del Canal de Panamá fue denunciado
penalmente ante la justicia panameña por la posible estafa al estado. El grupo constructor reclamó a la
Autoridad del Canal de Panamá sobrecostes por valor de 3.5 k millones de dólares, cercano al valor original
del presupuesto de la obra. La denuncia penal argumentó que se presentado sobrecostes no justificados que
sin lugar a dudas ponen en escenario la posible estafa o su intento al erario público.
C. Sacyr ha sido nombrada en varios estudios 1por la solvencia y transparencia de su sistema de prevención de
riesgos penales
DISCUSIÓN
A. Identifique las sinergias del cambio de línea de reportes sobre el área de blanqueo de capitales a inicios del
2015
D. Recomiende una estrategia para integrar los riesgos de compliance incluyendo los penales dentro de un
sistema integrado
E. Evalúe el impacto y la probabilidad de la denuncia penal por sobreprecios del canal de Panamá
F. Justifique qué elementos del sistema de gestión de compliance de Sacyr permiten que obtenga una puntuación
elevada en los estudios sobre la función de cumplimiento en empresas del IBEX 35
NOTA
1
Fuente “Los programas de compliance en la RSC de las empresas cotizadas en España” CGA Abogados 2016; “Códigos éticos y
líneas rojas penales” Rivas y Asoc 2015
1
2 § 1 Mod CR HH
Centro Superior de Estudios de Gestión
Máster Compliance Officer
Mod. Compliance Risks – Prof Hernan Huwyler
El presente caso de estudio ha sido elaborado en base a información pública suministrada por Sacyr para diferentes
destinatarios desde 2011. El caso tiene fines solamente académicos y no puede reproducirse fuera de la Universidad
Complutense de Madrid y su centro superior de estudios de gestión.
2
2 § 1 Mod CR HH