Compliance va más allá de tu organización, incluye a tus proveedores

Publicado por Equipo de Investigación ORCA el 15 de febrero de 2024

 

 

El concepto de organización hoy no es el de una entidad independiente, sino una red de terceros, proveedores, suministradores, intermediarios y trabajadores subcontratados.

Estos acuerdos comerciales independientes se han convertido en una necesidad para competir eficazmente en la economía actual. Los terceros ayudan a las empresas a ahorrar costos y mano de obra, liberar infraestructura, concentrarse en las actividades comerciales principales y, en última instancia, ofrecer valor a los accionistas.

Muchos de ellos incluso brindan diariamente funciones de misión crítica para el negocio principal, algo que en el pasado eran candidatas impensables para la subcontratación. En la actualidad, según varias estimaciones, entre el 20% y el 50% de la fuerza laboral total de las grandes organizaciones está subcontratada.

 

Terceros: un arma de doble filo

compliance-más-allá-tu-organización-incluye-proveedores-1

Si bien estos efectos son increíblemente beneficiosos para el resultado final, pueden crear sus propios problemas. La subcontratación conlleva una serie de riesgos que agravan el riesgo inherente a cualquier actividad empresarial. Los riesgos son innumerables y diversos, incluidos los riesgos operacionales, de cumplimiento, de reputación, estratégicos y crediticios, así como sus interrelaciones.

Cuando se trata de requisitos reglamentarios, la exigencia de cumplimiento se extiende desde la organización principal hasta cada socio de su red de terceros.

En los últimos años múltiples regulaciones han aumentado su enfoque en la gobernanza de terceros. Estos incluyen la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (México), que enfatiza la responsabilidad de las organizaciones -incluidos los terceros- de proteger los datos personales; la Ley Modelo de la CNUDMI sobre Comercio Electrónico, que aplica para varios países latinoamericanos y establece normas sobre transacciones electrónicas que pueden implicar a proveedores de servicios, o la Ley de Responsabilidad Penal de las Personas Jurídicas, que en países como Chile y Perú, imponen responsabilidades penales a las empresas por delitos cometidos en su nombre, lo que incluye actos de terceros.

Todas ellas, de alguna manera, ha incentivado programas de cumplimiento más efectivos.

 

Una red cada vez más amplia de responsabilidad

compliance-más-allá-tu-organización-incluye-proveedores-2

A medida que prolifera la red de terceros, también lo hace el ámbito de responsabilidad del director de Cumplimiento (CCO). Después de todo, es la función responsable no sólo del cumplimiento de su propia organización, sino también del de todos los socios externos. No importa si una deficiencia en el cumplimiento es atribuible únicamente al tercero; en última instancia, los reguladores y los clientes consideran responsable a la organización que contrató al tercero por no identificar y abordar el problema.

Dicho de otra manera: a medida que la red se expande, los dolores de cabeza del director de Cumplimiento también pueden multiplicarse. No tiene por qué ser así. Un poco de pensamiento estratégico y proactivo puede ayudar a disipar muchos riesgos antes de que se materialicen.

Las herramientas adecuadas ayudan, y a continuación, presentaremos algunos enfoques que los responsables de cumplimiento pueden adoptar para administrar una red de terceros.

 

1. Centralización

La gobernanza de terceros fracasa cuando se gestiona como un sistema de partes que no se integran ni funcionan como un todo colectivo. Esto se vuelve cada vez más frecuente cuando las redes de terceros se expanden y se añaden nuevas relaciones a una base inestable. La información relevante, incluida información de contacto, financiera y comercial, contratos, acuerdos, certificaciones, evaluaciones de riesgos, evaluaciones de cumplimiento y resultados de auditorías, inevitablemente se vuelve inmanejable.

Un programa centralizado de gestión de terceros podrá integrar esta información de proveedores, vendors, suministradores, y lo tocante a soluciones de adquisiciones y bases de datos de terceros. Hacerlo requiere una arquitectura de información sólida y adaptable que pueda modelar la complejidad de las actividades de terceros y todas las piezas en movimiento.

Dentro de un programa centralizado de gestión de riesgos de terceros, los usuarios comerciales deben tener acceso a registros de datos maestros, requisitos de cumplimiento, políticas y procedimientos, KPIs, entre otra información.

 

2. Detección

La mayoría de las organizaciones examinan a terceros antes de incorporarlos y sigue siendo un paso crucial antes de celebrar un contrato. Sin embargo, no todos los procesos de selección están tan bien definidos como podrían estarlo. Debería haber un checklist de requisitos y análisis de debida diligencia que deben cumplirse y luego verificarse dos veces para garantizar conformidad.

La colección de documentos y artefactos debe ser exhaustiva y analizada exhaustivamente por expertos con experiencia en la materia. Finalmente, el objetivo general debe ser determinar la importancia de la relación con el tercero y si los riesgos valen los beneficios comerciales.

Una acción recomendada es comparar a los socios potenciales con listas de personas o entidades de alto riesgo. Estas incluyen listas de sanciones (como las de la Unión Europea o la ONU), listas de aplicación de la ley y las de órganos rectores como las comisiones financieras y de valores.

 

3. Puntuación de riesgo

Los gerentes deben identificar las categorías de riesgo y cumplimiento que se consideran críticas para la organización y luego desarrollar los criterios de ponderación de cada categoría, que informarán requisitos como la evaluación y la frecuencia de los puntos de contacto.

Para cada tercero, un equipo multifuncional debe calificar los riesgos en función del impacto y la probabilidad, de modo que los terceros puedan clasificarse en niveles y priorizarse. Una vez que todos los terceros hayan sido calificados y posteriormente clasificados en niveles, los gerentes pueden desarrollar planes de mitigación de riesgos y asignar recursos para centrarse en los terceros de mayor riesgo.

Con un inventario completo de terceros y sus riesgos relativos en la mano, la empresa puede categorizar sus relaciones con los proveedores según el nivel de riesgo para los objetivos organizacionales. Incluso un sistema simple de categorías de riesgo “alto”, “medio” o “bajo” puede resultar útil. Una segmentación eficaz ayuda a la empresa a asignar recursos de manera eficiente.

 

4. Evaluaciones de cumplimiento continuas

El cumplimiento de los terceros debe monitorearse durante todo el ciclo de vida de la relación, no solo en la etapa de incorporación. Teniendo en cuenta la rapidez con la que pueden surgir y evolucionar las amenazas, los resultados de una evaluación de riesgos pueden quedar obsoletos rápidamente, incluso en cuestión de días.

Una organización previamente calificada como conforme puede convertirse rápidamente en un pasivo. El monitoreo continuo debe capturar las fluctuaciones en el cumplimiento después de que el tercero se haya incorporado y limitar las implicaciones de posibles fallas en el proceso de debida diligencia. También debería ayudar a garantizar que los terceros sigan satisfaciendo las necesidades de la organización y cumpliendo los acuerdos contractuales.

El monitoreo debe adaptarse a los perfiles de cumplimiento de terceros, incluidos controles más frecuentes y exhaustivos con entidades de alto riesgo y un monitoreo simple para amenazas menos graves.

Como esta tarea puede consumir muchos recursos (sin mencionar que es difícil mantenerla a lo largo del tiempo), las organizaciones deben automatizar el proceso en la medida de lo posible. El ingreso regular de información puede ayudar a facilitar un análisis más detallado del tercero y permitir a las organizaciones tomar acciones apropiadas y oportunas.

 

5. Escalamiento

Cada una de las actividades anteriores ayuda a mitigar los riesgos de cumplimiento; los riesgos no se pueden evitar por completo. En caso de una exigencia de cumplimiento, se requiere un proceso de escalación formal para limitar el daño.

Además, existe una gran presión por parte de los reguladores para documentar el proceso de identificación, notificación, investigación y escalamiento de incidentes de cumplimiento. Un marco de escalamiento es fundamental para acelerar el proceso de toma de decisiones.

 

Proveedores de control de proveedores

compliance-más-allá-tu-organización-incluye-proveedores-3

Ya sea que un incidente provenga directamente de la organización o de algunos de sus proveedores, los costos del incumplimiento son significativos. Las consecuencias tampoco se limitan solo a multas monetarias: las oportunidades que una organización sacrifica como resultado de una infracción regulatoria pueden generar importantes desventajas competitivas. Por otro lado, las consecuencias del daño a la reputación pueden ser incalculables.

 

Los programas de terceros son complejos, dispersos, de múltiples capas y con mucha información. La debida diligencia proactiva es una tarea difícil, pero increíblemente importante. Incorporar una cultura de cumplimiento en toda la cadena de suministro es un objetivo final que vale la pena alcanzar.

Uno de los pasos hacia esto será establecer un programa sólido de cumplimiento de terceros, que consista en procedimientos de detección e incorporación de terceros, evaluaciones de riesgos, monitoreo continuo y acciones correctivas o preventivas. En ORCA tenemos mucho camino recorrido en este sentido, y podemos ayudarte si así lo requieres. Solo haz clic debajo y...

 

 

Temas: Riesgos operacionales, Gestión de proveedores, Cumplimiento normativo, Control de riesgos