Hace dos décadas, cuando en ORCA empezamos en la consultoría basada en riesgos, los procesos de debida diligencia eran casi una mera lista de verificación: se asumía que todos los terceros presentaban el mismo nivel de riesgo, y que las organizaciones se contentaban con cumplir con un estándar mínimo.
Hoy a cualquier profesional en nuestro ramo le parecerá evidente que este enfoque genérico está plagado de vulnerabilidades. Uno de nuestros primeros clientes, una empresa de retail descubrió esto de la peor manera posible: un proveedor clave en Asia estaba involucrado en actividades poco éticas que casi los llevaron a una crisis financiera y reputacional.
Esto le sucedió también al Departamento de Salud Público de Reino Unido, que contrató a Supermax como proveedor de servicios médicos, una empresa con demandas por abuso laboral en EE. UU., lo que provocó que dicha organización dentro del Reino Unido fuera duramente criticada, perdiendo la confianza de los ciudadanos e incluso llegando a ser demandada por esta pobre tarea de due diligence.
En estos más de 20 años, lo hemos visto de todo, pero de lo que más nos sigue preocupando, es la peligrosa simplicidad con la que muchas organizaciones abordan la gestión de riesgos de terceros.
La globalización y la complejidad de las cadenas de suministro han multiplicado los puntos de contacto, aumentando exponencialmente el riesgo inherente de cada relación. Sin embargo, muchos siguen aplicando una estrategia uniforme, como si todos los terceros tuvieran el mismo nivel de riesgo.
Volvamos al ejemplo de Supermax que —más allá de sus violaciones a regulaciones en derechos laborales— como fabricante de dispositivos médicos que es, confía a su vez en múltiples proveedores de componentes críticos.
Si uno de estos proveedores no cumple con las regulaciones sanitarias, las consecuencias podrían ser catastróficas, no solo desde una perspectiva financiera, sino también en términos de vida humana, lo que podría llevarlos a interrupciones operativas, llevándolos a no cumplir lo pactado con, ni más ni menos, el Departamento de Salud de Reino Unido.
Esta miopía es el primer gran problema en la gestión de riesgos durante la fase de la debida diligencia: la falta de una diferenciación adecuada entre los riesgos que presentan los distintos terceros.
El enfoque basado en riesgos transforma la debida diligencia en un proceso dinámico y estratégico. Nosotros tuvimos el caso de una entidad financiera que estaba preocupada por la seguridad de los datos manejados por sus proveedores, debido a la alta regulación de dicho sector.
En lugar de tratar a todos los terceros por igual, como venían haciendo, implementamos un sistema de categorización: los proveedores se clasificaron según su riesgo inherente. Aquellos que manejaban información confidencial, como datos de clientes, se sometieron a una diligencia más rigurosa, que incluía auditorías in situ y un monitoreo continuo. En contraste, los proveedores de bajo riesgo, como los de material de oficina, solo recibían controles básicos.
Este método no solo optimizó los recursos, sino que aseguró que los riesgos críticos se gestionaran de manera proactiva. Al enfocar los esfuerzos donde más se necesitan, dicha entidad pudo evitar problemas antes de que se convirtieran en crisis.
Al adoptar un enfoque basado en riesgos, hemos ayudado a nuestros clientes no solo a proteger sus activos, sino también a optimizar el uso de sus recursos. La implementación de tecnología avanzada, como herramientas de TPRM y software de análisis de datos, facilita la evaluación y el monitoreo en tiempo real.
En una empresa de construcción, la integración de estos sistemas redujo significativamente el tiempo dedicado a la gestión de riesgos de sus múltiples proveedores, permitiendo a la constructora concentrarse en la innovación y cuestiones más estratégicas y no tan operativas.
Además, un marco de gobernanza sólido asegura que los procesos estén bien definidos y que todos los actores involucrados conozcan sus responsabilidades; así, aumentamos la eficiencia operativa y reforzamos la confianza y colaboración entre las partes interesadas.
Como resultado, las organizaciones que integran la gestión de riesgos desde la fase de debida diligencia y, además, lo hacen de manera continua, no solo mitigan riesgos, sino que también crean una base sólida para el crecimiento sostenible. La resiliencia no es solo una cuestión de supervivencia: es un catalizador para el éxito a largo plazo.
En conclusión, la debida diligencia basada en riesgos es más que una estrategia; es una necesidad imperativa en el mundo empresarial actual.
A lo largo de nuestro tiempo en la industria, hemos visto cómo las organizaciones que comprenden y aplican este enfoque no solo evitan crisis, sino que van más allá, posicionándose como líderes en sus respectivos sectores. Así que, si te preocupa la seguridad y el éxito de tu organización, es hora de replantearte cómo gestionas los riesgos de terceros.
¿Estás listo para dar el siguiente paso? Implementar un enfoque basado en riesgos en la debida diligencia no es solo una medida preventiva, sino una inversión en el futuro de tu organización, con la que nosotros podemos, sabemos y queremos ayudarte; si quieres hablar con un especialista, haz clic abajo y déjanos tus datos.