Recomendaciones para mejorar la gestión de riesgos a terceros
Mejorar la gestión de riesgos a terceros ha sido una preocupación constante de los oficiales de cumplimiento en su trabajo como responsables de un programa anticorrupción. Al comenzar cada año, se evalúan los resultados de la gestión y, aunque algunas organizaciones hacen ingentes esfuerzos por mejorar la gestión de riesgos de terceros, no se puede ocultar que los terceros cada vez suponen mayores amenazas.
Por ello, creemos que es buena idea compartir aquí una serie de sugerencias para mejorar la gestión de riesgos a terceros, lo que sin duda será uno de los objetivos primordiales de un programa anticorrupción.
¿Cómo mejorar la gestión de riesgos a terceros?
Una de las razones que motiva la preocupación sobre la gestión de riesgos a terceros es el ciclo del proceso, que en muchas organizaciones se lleva a cabo en sentido inverso. Estas establecen una relación comercial con un contratista o un proveedor, que adquiere acceso a sistemas críticos como facturación o comunicaciones, para después realizar la evaluación de riesgos.
Por supuesto, se trata de un enfoque equivocado. La evaluación de riesgos a terceros ha de ser anterior al establecimiento de una relación comercial, o de cualquier otro tipo. De hecho, esta gestión debe ser continua y realizarse con la periodicidad que las condiciones de cada tercero demanden.
Esto es parte del propósito de mejorar la gestión de riesgos a terceros. Pero podemos tomar otras medidas:
Contar con las personas adecuadas
La gestión de riesgos a terceros requiere la participación de las personas que tienen injerencia en los temas sobre los que tiene alcance el tercero. En el caso de un proveedor de servicios de tecnología e información, es natural que se cuente con la participación del CISO antes que del CEO.
En algunos casos, es un profesional del área de cumplimiento el más indicado, pero en otros tal vez se prefiera contar con la participación de los directores del área comercial.
Elaborar una lista de los riesgos de terceros
Normalmente, los riesgos de terceros se identifican cuando aparecen. Por supuesto, ya es demasiado tarde. Pero si hacer una lista de riesgos de la organización es una tarea compleja, mucho más lo es tratar de identificar los riesgos que implica cada tercero.Es casi como multiplicar la tarea hecha en la organización por el número de terceros.
Sin embargo, existe una metodología que podemos recomendar: la idea es que los encargados de cada área, elaboren listas de riesgos de los terceros que tienen relación con su departamento.
A continuación, se conforma un comité en donde participan esos directores de cada área, con la misión de reducir la lista a tan solo diez riesgos principales. El proceso, por supuesto, pasa por un debate intenso que puede tardar muchas horas. Pero el resultado, si se hace con dedicación, es fiable.
Definir un proceso de evaluación de riesgos
Los oficiales de cumplimiento aplican la debida diligencia a terceros para prevenir riesgos de corrupción. Esto incluye certificaciones, capacitaciones, investigaciones… El proceso para mejorar la gestión de riesgos a terceros no es muy diferente.
Conformar un comité interno de riesgos de terceros resulta de gran importancia en este punto. Este comité debe contar con el aporte de ejecutivos y directores de área, sobre todo en la redacción de políticas y procedimientos a seguir para la vinculación de terceros.
Implementar un sistema de informes eficaz
Los informes son algo más que documentos que contienen datos y conclusiones. Es preciso pensar en indicadores, riesgos clave, procedimientos… Pero, ante todo, es necesario que los informes definan hasta dónde se puede tolerar el riesgo que implica un determinado tercero. Se requiere un sistema de informes que muestre terceros con alto riesgo de corrupción, pero también aquellos terceros que representan un riesgo menor o inexistente.
Mejorar la gestión de riesgos a terceros significa prevenir antes que remediar. La información, por supuesto, es una herramienta decisiva en el éxito de la tarea. Los programas anticorrupción automatizados, exhiben niveles de desempeño mucho más altos que aquellos que aún funcionan en base a hojas de cálculo y cuentas de correo electrónico.
Software ISO 37001 de ISOTools
El Software ISO 37001 de ISOTools ofrece funcionalidades útiles para la mejora de la gestión de riesgos a terceros contra la corrupción y contra el fraude. Es una herramienta que entre muchas otras funciones ayuda a tener información accesible y confiable, a elaborar y gestionar informes de manera eficaz para asegurar la gestión de riesgos a terceros apropiada.
Conocer más sobre esta novedosa solución tecnológica es muy fácil. Contacte a un consultor sin ningún compromiso aquí.