Gobernanza, Riesgos y Cumplimiento
Enfoque estructural e integrado de los procesos de gestión para evaluar, controlar y monitorear eventos, ya sean riesgos u oportunidades.
Gobernanza y Cultura de Riesgos
Soluciones de gestión y gobernanza del proceso de Gestión de Riesgos y desarrollo de una cultura de riesgos:
- Diagnóstico de madurez de gobernanza y procesos de la gestión de riesgos;
- Propuesta de modelo y principios de gobernanza y gestión de riesgos: estructuración de metodologías, atribuciones, definición de roles y responsabilidades;
- Diseño de Políticas, Manuales y Formularios de Gestión de Riesgos;
- Estudios de casos y evaluación comparativa de riesgos (benchmarking);
- Talleres, entrenamientos y plan de comunicación para la Gestión de Riesgos.
Evaluación de Riesgos
Metodologías para implementar y ejecutar las etapas del proceso de Gestión de Riesgos y Oportunidades de diferentes tipos y categorías:
- Riesgos Corporativos (Estratégicos; Compliance Regulatorio/normativo; Financieros y Operacionales)
- Gobierno Socio Ambiental y Corporativo (ESG - Environmental Social and Corporate Governance)
- Salud, Seguridad, Medio Ambiente y Comunidad (HSEC)
- Riesgos de Proyectos
- Aplicación de herramientas de análisis y evaluación de riesgos:
- Análisis de riesgo Bowtie
- FMEA - Modo de falla y análisis de efectos
- HAZOP - Estudio de peligrosidad y operatividad
- Diagrama de causa y efecto, FODA, Delphi
- Registro y reporte de riesgos
- Matriz de Riesgos;
- Diccionario de Riesgos,
- Presentaciones de gestión.
Gobernanza y Gestíon de Riesgos de Proyectos
La gestión de riesgos aplicada a los proyectos utiliza requisitos técnicos observados en ABNT NBR ISO 31000:2018, en el modelo ERM – COSO y en los modelos The Practice Standard for Risk Management (PMI®), de acuerdo a las buenas práticas de mercado observadas y el know-how del equipo de Hect.
- Aplicación de modelos matemáticos de análisis de riesgos
- BOWTIE - forma esquemática de evaluar un riesgo centrándose en las barreras (o controles) entre las causas y el riesgo y, el riesgo y sus consecuencias.
- Matriz de evaluación de riesgos - identificación de riesgos, sus causas e impactos, controles (preventivos, detectivos y correctivos) y cálculos de probabilidad, impacto y nivel de riesgo.
- HAZOP - Estudio de Peligros y Operatividad: análisis cualitativo de las rutas de proceso (equipos y sistemas) pudiendo causar daños a las instalaciones, a las personas y el medio ambiente
- FMEA / FMECA - Análisis de los Modos de Falla, sus Efectos y Criticidad: análisis de fallas en el sistema, subsistemas y / o componentes para la reducción de riesgos y definición de acciones.
- Análisis de Monte Carlo: identificación de impacto de los riesgos para diferentes escenarios (simulaciones de escenarios (what-if)), alternativas en la delineación de cronogramas
Peer Review de Riesgos
El proceso de Peer Review consiste en un análisis crítico, cualitativo y cuantitativo de los resultados de las evaluaciones de riesgos por parte de profesionales especialistas en Gestión de Riesgos. Con el objetivo de medir los resultados de las evaluaciones de riesgos, tomando como referencia las metodologías y buenas prácticas de Gestión de riesgos Corporativos, contempla:
- Verificación de conformidad documental y metodológica;
- Calidad de los datos y la información contenida en los documentos de evaluación;
- Descripción clara del riesgo y los escenarios;
- Análisis crítico de los parámetros de evaluación de riesgos (Probabilidad, Impacto y otros);
- Análisis crítico de estrategias de tratamiento de riesgos.
Auditorías y verificaciones de control
Enfoque estandarizado y coordinado de los procesos de gestión de riesgos y controles internos, con aplicación de metodologías basadas en la relación entre la Gestión de Riesgos (ERM COSO 2018) con el sistema de control interno (COSO I - Internal Control integrated framework) y, teniendo como referencia el Modelo de las Tres Líneas[1] del IIA - The Institute of Internal Auditors.
- Integración entre las metodologías de Gestión de Riesgos y Controles Internos;
- Mapeo de controles internos y preparación de una matriz de controles;
- Diseños de pruebas de control;
- Evaluación y aplicación de pruebas de control;
- Indicadores del ambiente de control.
¹ MODELO DAS TRÊS LINHAS DO IIA 2020 – Uma atualização das Três Linhas de Defesa – IIA The Institute of Internal Auditors.
Hect ofrece servicios de consultoría sobre Gestión de Crisis, con la adopción de las mejores prácticas del mercado y alineación con las principales normas y referencias internacionales.
- Aplicación de metodologías para la identificación y tratamiento de potenciales eventos de crisis en la corporación:
- Mapeo y análisis de procesos y cadena de valor; identificación de actividades, equipos y procesos críticos y puntos de vulnerabilidad.
- Definición de estrategias y planes de preparación para crisis;
- Análisis de impacto en el Negocio - Business Impact Analysis (BIA):
- Mapeo de los impactos de la materialización de riesgos críticos;
- Definición de los objetivos de los tiempos de inactividad (RTO y MTPD) de las operaciones;
- Definición de prioridades de recuperación.
- Plan de continuidad del negocio y plan de recuperación de actividades críticas:
- Definición de medidas para recuperarse de impactos dentro de plazos predeterminados;
- Definición de roles y responsabilidades y criterios de monitoreo para responder a incidentes disruptivos;
- Entrenamientos y simulaciones con interesados.
La aplicación de metodologías fundamentadas en la Gestión de Riesgos, con la adopción de las mejores prácticas del mercado, permite el desarrollo de productos personalizados para la gestión de Compliance e Integridad.
- Matriz de riesgos de compliance
- Evaluación del perfil de negocio de la empresa;
- Análisis y evaluación de la Matriz de Riesgos;
- Informe de madurez de la Matriz de Riesgos.
- Programas de Compliance e Integridad
- Código de Ética y Conducta
- Políticas de prevención de corrupción y fraude
- Identificación y tratamiento de conflicto de interés
- Políticas y procedimientos de la gestión de compliance
- Ofrecer y recibir obsequios o muestras de agradecimiento
- Donaciones, patrocinios e inversiones sociales;
- Gestión del canal de denuncias;
- Comité de Cumplimiento;
- Diligencia de terceros;
- Aplicación de medidas disciplinarias;
- Outsourcing - Tercerización del Oficial de Cumplimiento y Canal de Denuncias;
- Gestión y seguimiento del Programa de Compliance
- Gestión del canal de denuncias
- Revisión de políticas y procedimientos
- Elaboración de indicadores
- Informes para Alta Dirección
- Plan de comunicación interna y externa
- Entrenamientos
- Capacitación y comunicación de compliance, ética e integridad
- Elaboración de folletos y materiales de formación
- Definición del plan de comunicación y elaboración de contenidos para audiencias internas y externas.
- Elaboración y conducción de programas de formación y aplicación de formación para públicos diversos
- Automatización de controles de compliance en sistemas de planificación de recursos empresariales (ERP);
- Mapeo y especificación de procesos para desarrollar controles de compliance en sistemas ERP (Enterprise Resource Planning);
- Seguimiento de pruebas;
- Aprobación/homologación del desarrollo.
Auditorías y certificaciones de compliance
El equipo de compliance de Hect puede ayudar a verificar la madurez de los procesos de compliance e integridad, así como ayudar a preparar a la empresa para los procesos de certificación.
- Verificación del cumplimiento del Programa de Compliance con los requisitos normativos y legales;
- Diagnóstico de madurez del programa de Compliance e integridad
- Preparación para la certificación ISO 37001: 2016 y las directrices ISO 19600: 2015 - Gestión de Sistemas Anticorrupción
- Preparación para la obtención del sello Empresa Pro-Ética
Investigación detallada para identificar riesgos y red flags relacionados con Terceros. Realizada por un equipo compuesto por profesionales especializados, capaces de analizar y dar sentido a los datos, realizar pesquisas investigativas y comunicar de manera efectiva en informes específicos y resúmenes ejecutivos.
Verificación de Antecedentes
- Soporte en la identificación de transacciones de negocios que requieren la realización de Background check.
- Conozca a su socio / Conozca a su proveedor / Conozca a su cliente / Conozca a su empleado.
- Investigación centrada en socios comerciales, proveedores, clientes y empleados, buscando información para evaluación de riesgos envolviendo la relación entre las partes.
- Búsqueda de datos e información sobre terceros, incluidos:
- Procesos judiciales;
- Procesos administrativos;
- Registros del poder público;
- Medidas sancionadoras aplicadas.
- Elaboración de matriz y evaluación del grado de riesgo que representa el tercero para la empresa.
- Propuesta de controles para las transacciones de negocios que representan riesgos relevantes para el negocio.
Búsqueda de medios e imagen de terceros
- Búsqueda de información en varias plataformas, que incluyen:
- Medios negativos;
- Personas políticamente expuestas;
- Partes relacionadas;
- Evaluación de riesgos de reputación de terceros
- Elaboración de un informe que indique los controles de mitigación para monitorear los riesgos reputacionales.
Hect ofrece servicios de verificación para la conformidad operacional y legal de estructuras y procesos, permitiendo al cliente una visión clara y objetiva de la adherencia de los procesos a sus requerimientos a través de herramientas simples y estructuradas.
Los productos son personalizados según las especificidades de cada cliente y la estructura o proceso analizado.
Mapeo y verificación de conformidad legal y operacional de procesos
A partir de la verificación de la conformidad, Hect orienta al cliente sobre las acciones necesarias para los ajustes necesarios a los procesos y la garantía de la conformidad.
- Caracterización del proceso o estructura;
- Identificación de requisitos técnicos y operacionales (leyes, normas, reglamentos, manuales, recomendaciones de expertos y adherencia a las mejores prácticas del mercado.
- Verificación de la conformidad mediante la aplicación de pruebas.
- Indicadores y dashboards de conformidad - elaboración de dashboards con los resultados de las evaluaciones y herramientas de monitoreo de la conformidad.
Conformidad de estructuras geotécnicas
Mapeo de requisitos y aplicación de ensayos de conformidad en estructuras geotécnicas. Las evaluaciones incluyen legislación en las tres esferas de gobierno, normas (órganos ambientales, normas técnicas), oficio-campo-decreto (ANM, ANA, etc.), reglamentos en general, requisitos operacionales (manuales de operación, normas internas de clientes), así como recomendaciones de expertos y las mejores prácticas del mercado nacional y global.
Visión integrada, enfoque personalizado basado en riesgos, liderado por un equipo multidisciplinar
¿Su empresa tiene datos personales de clientes, empleados o proveedores?
Si respondió "sí" a cualquiera de estos datos, independientemente del sector en el que opere, entonces debe cumplir con la Ley N ° 13.709 / 2018 - LGPD.
La LGPD tiene como objetivo armonizar las reglas y directrices para el tratamiento de datos personales con enfoque en la privacidad del titular de los datos y maximizar la transparencia entre las empresas y el ciudadano.
Para ello, es fundamental implementar el Programa de Gestión de Privacidad y Seguridad de Datos Personales, para garantizar la conformidad legal además de evitar pérdidas como sanciones, multas, publicación de infracciones y suspensión del banco de datos.
La adaptación consciente y estratégica a la LGPD no afecta la productividad de la empresa ni se convierte en un impedimento para el desarrollo de las actividades. El cumplimiento a la legislación permite la generación de valor para la empresa, mayor credibilidad y competitividad.
¡Conozca nuestras soluciones!
Diagnóstico de conformidad y mapeo de riesgos
- Mapeo del flujo de datos personales en la empresa;
- Identificación de los principios legales y normativos aplicables al tratamiento de datos según segmento y sector;
- Elaboración de matriz de riesgos de seguridad de la información y privacidad de los datos alineados con los objetivos de la empresa;
- Informe de Adherencia a LGPD:
- Recomendaciones ante situaciones de no conformidad identificadas;
- Priorización para el trato de los riesgos de privacidad.
Elaboración del Programa de Gestión de Privacidad
Supervisión y coordinación del plan de implementación del Programa de Gestión de Privacidad y Seguridad de Datos Personales, a través de
- Diseño de Políticas y Procedimientos de Gestión de Privacidad:
- Gestión de Consentimiento
- Gestión de Contratos
- Gestión de los Derechos del Titular
- Notificaciones y plan de respuesta a incidentes
- Gestión de cookies
- Diseño y apoyo en la Gestión de Gobernanza del Programa;
- Atención a los principios de Privacy by design y Privacy by default;
- Entrenamientos y comunicación de gestión de privacidad
- Preparación de contenidos y materiales de entrenamiento;
- Elaboración del plan de comunicación y contenidos, dirigido al público interno y externo;
- Aplicación de entrenamientos personalizados para empleados, proveedores, terceros y Alta Dirección.
Entrenamientos de contenidos diversos con enfoque teórico y práctico conducidos por profesionales capacitados y con experiencia práctica en los temas.
Gestión de Riesgos
Alineados a los mejores estándares y metodologías de gobernanza y gestión de riesgos como ERM COSO | ISO 31000: 2018 | ISO 9000: 2015 | Modelo de Tres Líneas IIA, ofrecemos capacitación y entrenamientos que permiten una mejor comprensión del mapeo e identificación de riesgos, elaboración de matriz de riesgos, análisis y evaluación de riesgos, definición de estrategias y controles de mitigación de riesgos.
- Fundamentos y metodologías de Gestión de Riesgos y Controles Internos
- Aplicación de herramientas de análisis y evaluación de riesgos: Bowtie, FMEA, entre otros
- Actividades prácticas para incorporar la Gestión de Riesgos a la rutina de gestión del negocio
- Acciones de comunicación y desarrollo de cultura de riesgos (agenda positiva y rituales de gestión habituales)
Compliance y Integridad
Alineado con la legislación y los mejores estándares de gestión de compliance e integridad: ISO 37001 / ISO 19600 | Ley N ° 12.846 / Decreto 8.420 | FCPA | UK Bribery Act, ofrecemos capacitación y entrenamientos para identificar y evaluar el riesgo de fraude y corrupción, gestión del Programa de Compliance e Integridad, función Compliance de Officer para diferentes públicos:
- Alta dirección ("tone from the top ")
- Compliance Officer : habilidades y conocimientos de la función
- Operación: desarrollo de la cultura Compliance e integridad en las diversas funciones operativas de la organización.