Riesgo de cumplimiento de terceros: 10 elementos clave para su gestión
Gestionar el riesgo de cumplimiento de terceros es una tarea inherente a las organizaciones que aprovechan los beneficios de construir una cadena de suministro colaborativa, fortalecer su estructura con socios comerciales fuertes o crear una red de distribución de terceros.
El riesgo de cumplimiento de terceros siempre está presente. La única forma de evitarlo sería prescindiendo de todo tipo de asociación, cooperación o tercerización. Esto, por supuesto, implicaría reducir al mínimo las oportunidades de crecimiento de la organización.
Otra opción es contar con los terceros necesarios, pero no gestionar los riesgos que la asociación implica. Con un marco regulatorio en el área de cumplimiento cada día más estricto, dejar el cumplimiento de los terceros a su libre albedrío es un riesgo que no es necesario ni prudente correr.
¿Cómo tratar el riesgo de cumplimiento de terceros?
Una primera sugerencia es asociarse o contar con la colaboración de personas y organizaciones que tengan las mismas expectativas de cumplimiento. El incumplimiento de terceros genera acciones sancionatorias, detrimento económico y deterioro de la reputación, para el tercero, pero que se traslada y transmite a la organización.
Otra consecuencia que poco se advierte es el tratamiento opresivo de los reguladores, que puede limitar el accionar de la organización y el desarrollo normal de sus estrategias comerciales. El resultado es retraso del crecimiento.
Para evitar que esto suceda, la organización necesita verificar la presencia de diez elementos clave para tratar el riesgo de cumplimiento de terceros:
1. Procesos efectivos de debida diligencia
La debida diligencia permite conocer al tercero e identificar relaciones que pueden afectar el cumplimiento, y de paso, la conducta ética. La debida diligencia de terceros es una de las actividades que más tiempo y recursos consume.
Por ello es importante contar con una plataforma que permita procesar grandes cantidades de datos y que automatice tareas repetitivas. Establecer relaciones comerciales o firmar contratos con terceros que no han pasado por procesos de debida diligencia exhaustivos aumenta de forma exponencial el riesgo de cumplimiento de terceros.
La debida diligencia, finalmente, es un proceso que se repite de forma periódica mientras subsista la relación comercial con el tercero. Algunas organizaciones lo hacen cada trimestre. La recomendación es hacerlo con una frecuencia mínima de seis meses.
2. Verificar las expectativas del tercero
Es probable que el tercero no considere el cumplimiento como algo prioritario. Una buena señal de que esto no es así, es la certificación ISO 37301. La interacción con el tercero, a nivel de Alta Dirección, ayuda a obtener una visión sobre lo que espera el tercero, sus objetivos y sus intereses en cuanto al cumplimiento propio y el de los demás integrantes de una cadena de suministro.
3. Incluir el cumplimiento en el contrato
La firma de un contrato suele ser el inicio formal de una relación comercial. Es un documento cuya importancia sobra mencionar. Es también el documento ideal para incluir el cumplimiento como una obligación, una necesidad y un objetivo común para las partes que suscriben el contrato.
4. Auditorías de terceros
En este punto existen unos terceros que saben que la organización exige el cumplimiento, y se han comprometido a hacerlo firmando un contrato. Una herramienta de verificación y control eficaz es la auditoría de terceros.
La tarea será más fácil si la organización auditada cuenta con un Sistema de Gestión de Cumplimiento estandarizado y, en lo posible, basado en la norma ISO 37301. Un Sistema automatizado y digitalizado también facilita la tarea del auditor y el logro de los objetivos de la organización.
5. Priorizar los terceros de acuerdo con la Gestión de Riesgos
El riesgo de cumplimiento de terceros está en todos los socios comerciales de la organización. Pero, por diversas razones, algunos implican mayor probabilidad o suponen un riesgo de mayor impacto.
Los elementos anteriores permiten obtener la información necesaria para entender cuáles son, y cuáles deben encabezar un listado de alto riesgo. Estos, por supuesto, deben ser monitoreados y vigilados con mayor profundidad.
6. Extender el alcance a la cultura de cumplimiento
Es común pensar que la cultura de cumplimiento tiene alcance limitado a las fronteras de la organización. Compartiendo programas de formación y capacitación, charlas, foros, o incluso, tecnología, la cultura puede transmitirse y extenderse al ámbito de los terceros, con los beneficios que ello implica para la gestión del riesgo de cumplimiento de terceros.
7. Mantenerse actualizados y comunicar al tercero
El escenario regulatorio es dinámico y en ocasiones volátil. La organización necesita mantenerse al día con las novedades, los cambios y la evolución en general del escenario regulatorio en todas las áreas.
Se espera que los terceros hagan lo mismo. Pero no está de más comunicar y alertar. Esto demuestra interés y, de paso, fomenta cultura en todas las organizaciones involucradas.
8. Revisar el cumplimiento en conjunto
Las tareas que se realizan de forma colaborativa entregan mejores resultados y eliminan el riesgo de que el tercero se sienta intimidado o presionado. Reuniones amigables para discutir problemas, para verificar el avance de la gestión o para plantear nuevas expectativas, contribuyen a controlar el riesgo de cumplimiento de terceros.
9. Procesos de reacción ante infracciones
La gestión de riesgos trata de eliminar todas las amenazas, pero también de entregar herramientas para reaccionar ante la ocurrencia de un incidente o un problema. En el caso del riesgo de cumplimiento de terceros no es diferente.
La organización necesita contar con un procedimiento de acción ante la ocurrencia de incidentes o infracciones de cumplimiento. Esto incluye la interacción con el tercero, la investigación, la identificación de la causa raíz, las acciones inmediatas para minimizar el impacto negativo y las de medio y largo plazo para evitar la repetición.
10. Documentar todo
Nada contribuye más al éxito de la Gestión de Riesgos, que contar con un repositorio de información histórica que permita entender la evolución, las causas de los problemas acaecidos y las expectativas y tendencias hacia el futuro.
Nuevamente, es importante la incorporación de tecnología a la gestión. Mantener registros actuales, garantizar la trazabilidad de los documentos y asegurar su disponibilidad y comunicación, son elementos esenciales para tratar el riesgo de cumplimiento de terceros.
Software ISO 37301 de ISOTools
Un consejo final: la gestión de riesgo de cumplimiento de terceros también necesita indicadores eficientes y confiables para lograr objetivos y avanzar. El Software ISO 37301 de ISOTools es una herramienta diseñada para afrontar todos los desafíos que se mencionan en este informe y muchos más.
Esta funcional plataforma está lista para automatizar la Gestión de Compliance de tu organización. Encuéntrala aquí.
