Los riesgos de terceros son uno de los temas que más preocupan a los Compliance Officers. No sorprende dado que el 90% de las investigaciones en temas de corrupción involucran a un tercero: distribuidor, proveedor, consultor, etc.
En consecuencia, los reguladores exigen mayores esfuerzos para minimizarlos.
El Departamento de Justicia de los EEUU incluyó el tema en su documento publicado este año como uno de los 11 clave para evaluar la efectividad de programas de compliance. La SEC demostró sus ventajas desistiendo en algunos casos de investigaciones contra empresas por tener un sólido programa de due diligence de sus proveedores/distribuidores. Está claro: la tercerización de procesos no conlleva la tercerización de riesgos: estos se comparten a lo largo de la cadena de valor. No queda otra que invertir en los procesos de compliance de las terceras partes y su debido control. Esto incluye:
- Due diligence inicial y monitoreo continuo
- Flowing down (de políticas de compliance a los subsiguientes niveles de proveedores/distribuidores)
- Entrenamiento y comunicación
- Documentación y procesos
- Derechos de auditoría y terminación
Los pilares de un buen programa de compliance en la cadena de valor son conocidos y se ven reflejados en un sinnúmero de guías (un buen ejemplo es la de Trace acá)
O la del WEF acá: en la práctica sin embargo aparecen muchos problemas. Estos problemas empiezan con dudas respecto de cómo realizar la evaluación de los riesgos que constituyen los terceros (ver acá nuestro comentario sobre mapeo de riesgos en el NL No. 157) y qué profundidad se debe dar a la due diligence en cada caso. Cómo se la puede automatizar para ganar velocidad y bajar complejidad y costos y cómo establecer un adecuado proceso de monitoreo periódico.
A estos problemas materiales se agregan problemas por la cantidad de relaciones cliente – proveedor que tiene cada empresa. Por un lado es relativamente fácil imponerle a un proveedor o distribuidor un determinado proceso de compliance y monitorear su cumplimiento. Solo que las empresas no trabajan con un proveedor y un distribuidor sino con cientos si no miles.
La gran cantidad de relaciones con proveedores y distribuidores y sobre todo la cantidad de niveles entre cliente final y proveedor original, complican la situación todavía más. Cada empresa suele tener su propio código con sus propias imposiciones a sus proveedores que difiere parcialmente de las políticas de otros clientes/proveedores. Cada empresa es parte de varias cadenas de valor y por ende expuesta a diferentes políticas de su mundo de clientes y proveedores. Parece una jungla de requerimientos que no siempre son posibles de cumplir (como el flow down a todas las demás empresas ad infinitum) y que causan costos enormes (administración, documentación, negociación de todas las obligaciones, controles, y defensa contra abusos etc.). Especialmente las empresas grandes juegan un juego de transferencia de riesgos: el que puede, el más fuerte, intenta transferir sus riesgos contractualmente al más débil. Cada uno intenta imponer su propio código para mantener el control sobre sus obligaciones y las de los demás, además de protegerse contra abusos de otros, que pueden estar escondidos en cláusulas legales del propio código y/o en los contratos mismos, como derechos de claw back, indemnizaciones etc., en casos de incumplimientos incluso menores.
De cara a esta situación y para evitar que simplemente se firmen todos los papeles que llegan, es recomendable desarrollar protocolos para el tratamiento de códigos de terceros: estándares de cláusulas (in)aceptables; procesos de escalación para cláusulas sensibles; procesos de solución vía negociación o la imposición del código propio. En este contexto hay que definir quién se ocupa del tema en la organización: en las empresas se observan diferentes soluciones. Muchas veces el Compliance Officer coordina un grupo con Legales, Riesgos y RRHH que define estos lineamientos.
En resumen, los programas de compliance de las compañías, muchas veces muy sofisticados, tienen un flanco abierto: la relación con las empresas de su cadena de valor. Este flanco constituye un riesgo que puede resultar grande y que es más difícil de gestionar que los riesgos en la organización propia. Pero no queda otra: hay que empezar a construir a pesar de los problemas materiales y las complejidades que se presentan.