5 preguntas para la gestión de riesgos de terceros
La gestión de riesgos de terceros y la debida diligencia son procesos que pueden convertirse en una piedra en el zapato para los encargados de un programa anticorrupción. Por un lado, es así porque estos procesos resultan ser un punto débil en el que se acumulan infracciones. En este sentido, según el FCPA Blog que cubre las noticias relacionadas con la ley estadounidense relativa a las prácticas de corrupción en el extranjero –FCPA– hasta un 90 % de infracciones a esa norma están relacionadas con deficiencias en la gestión de riesgos de terceros. Pero por el otro lado, se trata de procesos que pueden obstaculizar o ralentizar procesos comerciales críticos para la organización.
La tendencia en materia de gestión de riesgos de terceros, por tanto debe ser alcanzar un equilibrio entre el cumplimiento de los requisitos reglamentarios y las expectativas de negocios de la alta dirección. Para ello, en primer lugar, debemos disponer de una panorámica del estado del sistema en este punto, que es posible conocer gracias a abordar las preguntas indicadas.
Preguntas para la gestión de riesgos de terceros
Al responder las siguientes preguntas, relacionadas con la gestión de riesgos de terceros y la debida diligencia, los encargados del área de cumplimiento y anticorrupción adquieren una visión real del estado del sistema y de los esfuerzos que se hacen para mejorarlo y tratar los riesgos de corrupción.
1. ¿Tenemos identificados a todos los terceros relevantes y todos ellos son objeto de una evaluación de gestión de riesgos eficaz?
El universo potencial de terceros dentro de una organización puede parecer interminable si empezamos a recorrer hacia atrás la cadena de suministro, o si examinamos filiales, asociados, vinculados, socios en el extranjero…Pero además, este universo de terceros no es constante. Las organizaciones son dinámicas y a menudo incorporan nuevos terceros y prescinden de otros o bien aumentan o disminuyen la participación de los mismos en el negocio.
Debido a esto, es preciso crear una estrategia y una hoja de ruta para identificar de forma sistemática a terceros utilizando una definición clara, precisa e inclusiva. Es necesario no ahorrar esfuerzos en una fase inicial de recopilación de datos.
Las fuentes efectivas de información relevantes incluyen cuestionarios realizados por las diversas líneas de negocios, condiciones contractuales, bases de datos, información de cuentas por pagar y documentación legal.
Finalmente, es necesario realizar una revisión de las relaciones con terceros, identificando categorías y posibles factores de riesgo, que ayuden a priorizar la evaluación. La estrategia del proyecto y la hoja de ruta, se inician con los terceros que representan un mayor riesgo.
2. ¿Tenemos un inventario completo y real de contratos y acuerdos?
La mayoría de las organizaciones cuentan con algún tipo de sistema de gestión de contratos; y muchas de ellas utilizan opciones de almacenamiento como bases de datos, copias escaneadas o, incluso, copias impresas en papel.
Tales opciones de almacenamiento rara vez incluyen registros completos de contratos ejecutados por proveedor, o datos simples como fechas de renovación, indicaciones sobre el nivel de cumplimiento, o problemas acaecidos durante la ejecución.
Las organizaciones guardan una gran cantidad de información sobre sus proveedores y contratistas, incluidos los contratos y acuerdos, los acuerdos de confidencialidad, las enmiendas, las órdenes de compra. Pero estos documentos informativos han de registrarse de tal forma que se pueda apreciar un panorama completo y una tendencia por proveedor, por ejemplo. Esto resulta ideal para establecer prioridades en cuanto a gestión de riesgos de terceros.
3. ¿Tenemos la certeza de que nuestros acuerdos con terceros cumplen las leyes nacionales e internacionales?
Los procesos de gestión de riesgos de terceros que se llevan a cabo después de suscribir un contrato y los requisitos de monitoreo inherentes a la misma gestión pueden ser inoperantes. Esto sucede cuando se refieren únicamente a la revisión de facturas y pagos delegada a personal que carece de la experiencia para tal labor.
En el competitivo mercado global de hoy, los proveedores y otros terceros, en ocasiones, se inclinan a ofrecer regalos y beneficios atractivos a sus clientes. Este tipo de prebendas son un componente que también debe incluirse en la gestión de riesgos de terceros.
Además, profesionales experimentados deben revisar y analizar aquellos contratos que por su objeto o por su valor resulten relevantes, para identificar los que presenten un mayor riesgo. Deben establecerse y aplicarse procesos y controles para gestionar estos riesgos en el futuro.
4. ¿Nuestro sistema de gestión de riesgos de terceros está realmente basado en el riesgo?
En algunos sistemas de gestión de riesgos de terceros se desperdician recursos en la evaluación de terceros de muy bajo riesgo. Sin embargo, en la evaluación de riesgos de terceros, no todos deben recibir la misma atención. Preguntarse si los terceros de menor riesgo están recibiendo más atención de la debida, y, en contraposición, terceros de alto riesgo no son objeto de evaluaciones más exhaustivas, es necesario para aplicar un enfoque basado en el riesgo.
5. ¿El sistema ha sido evaluado recientemente?
Las condiciones comerciales y el dinamismo de los mercados hacen que la evaluación de riesgos de terceros y la debida diligencia también cambien. Lo que ayer era bueno, no necesariamente lo es hoy. La pregunta que resume todas las que hemos formulado hoy es: ¿sigue siendo este un programa de gestión de riesgos de terceros eficiente?
Si el programa ha sido auditado recientemente, tal vez en el informe de auditoría encontremos la respuesta. De no ser así, lo que corresponde es planificar y programar la auditoría interna con urgencia.
Software ISO 37001 de ISOTools
La gestión anticorrupción requiere información organizada para llevar a cabo una gestión de riesgos a terceros eficaz. Esto es posible cuando se cuenta con el Software ISO 37001 de ISOTools, que dispone de un proceso estructurado para el abordaje de la debida diligencia. Gracias a él, resulta mucho más fácil garantizar la identificación de todos los terceros, la obtención de una visión panorámica de los mismos y priorizarlos en base a su riesgo real y de modo dinámico.