Niveles de debida diligencia según el riesgo: cómo categorizar a los terceros según el riesgo
Los niveles de debida diligencia definen la profundidad y la intensidad, con la que se aplicará este proceso de investigación, rastreo e identificación de relaciones de un tercero.
Al establecer diferentes niveles de debida diligencia, las organizaciones pueden adjudicar cada uno de ellos a diferentes grupos de terceros, dependiendo de sus perfiles de riesgo.
La gestión anticorrupción, la implementación de la norma ISO 37001 y las exigencias de los reguladores propenden por la aplicación de la debida diligencia con un enfoque basado en el riesgo.
En términos generales, es posible definir tres grandes niveles de debida diligencia. A continuación, explicamos cada uno de los niveles y cómo gestionarlos.
¿Cuáles son los niveles de debida diligencia de acuerdo con el riesgo del tercero?
Los niveles de debida diligencia se diferencian entre sí por los objetivos que persiguen, la forma en que se ejecutan en la práctica y las preguntas que buscan resolver. Con base en esta estructura, se definen tres niveles de debida diligencia que pueden ser adoptados como marco de referencia en cualquier tipo de organización:
1. Nivel de diligencia I
Este es un nivel de riesgo bajo o controlado. La debida diligencia se ejecuta para terceros que no representan riesgos probables o de poco impacto.
Algunos objetivos usuales en este nivel son:
- Reunir informes sobre el tercero, que indiquen la posibilidad de soborno u otros actos de corrupción.
- Verificar si el tercero o algún vinculado cercano es investigado por delitos de corrupción, fraude o soborno, y como consecuencia de ello, figura o figuran en algún tipo de lista sancionatoria.
- Definir procedimientos o acciones preventivas para terceros que, aunque tengan problemas, sean susceptibles de ser controlados o neutralizados.
¿Qué se requiere?
Usualmente, en este nivel la oficina de cumplimiento o los encargados de ejecutar la debida diligencia hacen uso de:
- Cuestionarios y entrevistas.
- Revisión de listas y cruce de datos entre ellas.
- Contactos con personas u organizaciones vinculadas al tercero, para hablar sobre sus hábitos y sus posibles problemas.
¿Cómo se hace?
Con pocos o muchos terceros la automatización siempre será una buena idea. Utilizar una solución informática, permite obtener patrones de lo que se considera el tercero ideal.
La automatización también permite separar los terceros que necesitarán pasar a otros niveles de debida diligencia. Finalmente, la obtención de listas de verificación para dinamizar los procesos, inspeccionar la gestión o practicar auditorias, son otros beneficios que se obtienen al contratar un software que automatice la gestión de debida diligencia.
2. Nivel de diligencia II
Este nivel requiere mayor aporte tecnológico. La organización necesita ahora reunir información, suficientemente confiable, para tomar decisiones y operar dentro de un marco de total seguridad, evitando riesgos legales, de cumplimiento o regulatorios.
Algunos objetivos usuales en este nivel son:
- Asegurarse de que los terceros, sus vinculados inmediatos, sus empleados y sus socios comerciales no han participado en actividades ilícitas, o en operaciones que implican soborno y corrupción.
- Crear informes completos y detallados sobre cada uno de los terceros evaluados.
- Capacitar investigadores expertos, que sigan un procedimiento diseñado para asegurar cobertura total sobre el tercero y sus actividades.
¿Cómo se hace?
Este nivel se caracteriza por el uso de extensas bases de datos, de alcance global, que constituyen la materia prima con la que trabaja una plataforma de automatización de la gestión anticorrupción. Es importante entender que no se trata apenas de mejorar la debida diligencia de nivel I. Se trata de obtener:
- Perfil completo del tercero, sus asociados y vinculados cercanos, en cualquier ubicación del planeta.
- Generar un organigrama del tercero que permita conocer y entender sus asociaciones, vínculos y conexiones. El mapa mostrará sucursales, clientes principales, proveedores, empleados, relaciones con organismos estatales y reguladores…
- Descubrir titularidades encubiertas, las cuales son usuales en organizaciones pequeñas, con normas laxas para permitir la capitalización con recursos de origen no muy claro.
- Obtener evidencia sólida, que confirme lo declarado por el tercero o lo contradiga de plano.
- Conocer los antecedentes judiciales y de policía de los miembros de la Alta Dirección y de los principales empleados, directores de área o mandos medios.
- Informes sobre opiniones o comentarios en medios de comunicación, foros especializados de la industria o Redes Sociales.
- Establecer indicadores de corrupción, en la ubicación geográfica del tercero. Resultan muy útiles para evaluar terceros en regiones como América Latina, algunos países asiáticos y África.
3. Nivel de diligencia III
En este, el tercero de los niveles de debida diligencia, la exigencia en la calidad y la celeridad de la información crece, y, por tanto, también el requerimiento en cuanto a recursos tecnológicos.
Algunos objetivos usuales en este nivel son:
- Garantizar que los terceros no ofrecen ningún tipo de riesgo de soborno y corrupción, de cumplimiento o regulatorios, ahora y en un futuro inmediato.
- Generar procesos que permitan actualizar la debida diligencia, de forma inmediata y automática.
¿Cómo se hace?
Además de las actividades descritas en los anteriores niveles de debida diligencia, en este será preciso:
- Examinar archivos y registros de agremiaciones de la industria, cámaras de comercio o despachos judiciales.
- Entrevistar a competidores y otras personas u organizaciones que tengan capacidad para suministrar información interesante.
- Realizar auditorías o inspecciones en las instalaciones del tercero y sus vinculados.
- Auditar con frecuencia los procesos de investigación y recopilación de información y evidencia practicados para ejecutar la debida diligencia.
Software ISO 37001 de ISOTools
En cualquier nivel y en organizaciones de cualquier tamaño, industria y complejidad, las organizaciones encuentran en el Software ISO 37001 de ISOTools la herramienta más eficiente del mercado para automatizar su gestión anticorrupción, y, por supuesto, sus procesos de debida diligencia.