La importancia del monitoreo de los riesgos de terceros por el Directorio

Las empresas desarrollan sus actividades en la sociedad, a nivel local o internacional, de manera individual o en asociación con otras, generándose así relaciones con clientes, proveedores, licenciatarios, agremiados, reguladores, entre otros; inclusive las organizaciones tienen un segmento de individuos interno que atender (trabajadores, gerentes, entre otros), así como de forma externa. En ese sentido, se puede indicar que los grupos de interés de una organización dependen del contexto en que se desenvuelva y cada uno de ellos genera riesgos particulares.

En esa línea, un tercero es cualquier empresa, ya sea proveedor, agente, representante comercial, consorciado, socio de negocios, distribuidor u otro, que interactúa con o en nombre de una empresa. Estos terceros pueden proporcionar todo tipo de servicios, desde procesar nóminas, gestionar licencias, reclamaciones, defensa legal e incluso administrar data centers.

Por otro lado, hay empresas que utilizan a terceros como expertos locales en temas comerciales, gestión de intereses, entre otros. En algunas ocasiones, estos terceros tienen sus propios proveedores (denominados “cuarta parte”) para ejecutar parte o la totalidad de los servicios pactados con una empresa, por lo que, las contingencias que generan se incrementan para una organización.

Los riesgos que un tercero o cuarta parte pueden generar son de diversa índole. A continuación, se listan algunos de ellos:

  • Ciberseguridad y privacidad: Las empresas pueden utilizar terceros para acceder a tecnologías nuevas (por ejemplo, nube, inteligencia artificial, SaaS), aumentando sus riesgos de ciberseguridad; también pueden estar compartiendo datos sensibles con terceros. Estos riesgos se presentan tanto en forma de privacidad como de potenciales incidentes de seguridad, así como el incumplimiento de una serie de regulaciones en evolución y expansión.
  • Soborno: Toda empresa que realice o busque negocios a nivel local o en el extranjero está sujeta a interacciones con funcionarios públicos (por ejemplo, en trámites, licencias, permisos, entre otros). Sin embargo, pese a que existen normativas que prohíben pagar sobornos a funcionarios públicos para ayudar a conseguir o retener negocios, en ocasiones, estos riesgos son generados por terceros que trabajan en nombre de una empresa.
  • Cumplimiento: Las empresas y sus terceros deben cumplir con muchas regulaciones, además de las anteriormente citadas. También existen leyes contra el lavado de dinero, de protección al consumidor, libre competencia, seguridad y salud ocupacional, entre otras. Sumado a ello, existen requisitos sectoriales estrictos para ciertos sectores, como en salud, minería, banca, entre otros.
  • Social y medioambiental: A medida que las compañías amplían sus operaciones a nivel local o mundial, muchas veces para ahorrar en costos de producción, puede ser muy difícil rastrear la cadena de suministro completa de una empresa. Eso a menudo origina riesgos sociales y la posibilidad de una demanda o publicidad negativa.
  • Reputacionales y éticos: Los consumidores quieren cada vez más comprender las prácticas de las empresas con las que interactúan. En el entorno actual, siempre activo, las prácticas poco éticas de terceros podrían volverse virales y convertirse en una crisis de marca.
  • Operacionales: Un desastre natural o alguna forma de restricción del comercio transfronterizo (conflictos armados, bloqueos generados por guerras, pandemias, etc.), que interrumpe la cadena de suministro, puede obstaculizar las operaciones de una organización y de sus terceros. Esto es especialmente crítico si las fuentes alternativas no están fácilmente disponibles.

Teniendo en cuenta estos eventos disruptivos, las empresas también tienen obstáculos que pueden incrementar la probabilidad o impacto de los riesgos generados por terceros o cuartas partes:

  • Falta de conocimiento o mapeo de las relaciones con terceros: La gran cantidad de terceros que tienen muchas empresas dificulta el inventario, incluso aquellos con los que la organización trabaja habitualmente. A veces es común escuchar frases como “no sabemos quiénes son todos los terceros” o “los terceros no originan riesgos”. Inclusive, hay empresas que no tienen visibilidad de las “cuartas partes” y su rol en la prestación del servicio.
  • Incompleto entendimiento de qué realiza un tercero: Las empresas a menudo no tienen una visión centralizada o en tiempo real de lo que hacen sus proveedores. Es posible que las empresas también carezcan de una forma coherente de categorizar o etiquetar a sus terceros en función del servicio que prestan. Del mismo modo, es posible que un proveedor haya sido aprobado para un servicio (por ejemplo, procesar ciertos datos), por lo que un gerente puede pensar que está bien usar ese proveedor para otra cosa (por ejemplo, proporcionar almacenamiento en la nube). Pero diferentes servicios deberían originar evaluaciones adicionales, incluso para proveedores aprobados.
  • La materialidad no es el único foco: La cantidad que gasta una empresa con un tercero siempre será parte del cálculo del riesgo; pero dicho monto no es el único criterio. Esto debido a que un tercero que represente un gasto menor también puede presentar un riesgo significativo dependiendo de la naturaleza de sus servicios.
  • Los riesgos y los incentivos requieren equilibrio: Catalogar y analizar a terceros de una empresa también puede ser costoso, especialmente para las empresas que están iniciando el proceso desde cero. A menudo, hay poco interés en dedicar recursos a dicho proceso, a menos que exista una necesidad específica de hacerlo. No obstante, si hay un problema, la organización podría potencialmente gastar aún más dinero para resolver el problema; por ello, la Gerencia debe encontrar el equilibrio correcto.

Ahora bien, para gestionar estas situaciones, una de las herramientas que las empresas están empleando son la ejecución de la debida diligencia y sus procedimientos de identificación, evaluación y monitoreo.

Las mejoras prácticas y las regulaciones determinan que estas actividades tienen que ser estructuradas bajo un enfoque de riesgos, lo cual origina su segmentación por niveles (por ejemplo, simplificado, general, reforzado, entre otros), propuesta de controles y planes de acción en función al riesgo que representan.

Así, la adecuada implementación y funcionamiento de las prácticas de debida diligencia puede llevar mucho tiempo y afectar la toma de decisiones del negocio. Para solventar estos desafíos, desde nuestra experiencia, se tienen que considerar estas acciones bajo la estructura de un Programa de Gestión:

a. Identificar un marco de gobierno y generar una función responsable: Podría ser el encargado de riesgos o algún otro responsable con conocimiento de la organización, contexto y singularidades. Cualquiera que sea seleccionado, debe tener la capacidad de romper los silos entre funciones o áreas de la empresa, así como autoridad, autonomía, independencia y recursos.
b. Habilidad para acceder a información dentro de varias áreas en la empresa: La evaluación adecuada del riesgo generalmente requiere recursos de tecnología de información, cumplimiento, legal, recursos humanos, finanzas, ciberseguridad y privacidad, adquisiciones, auditoría interna y unidades de negocio. Algunas de las organizaciones han establecido oficinas de gestión de riesgos de terceros para conectar las situaciones identificadas de exposición a través de la empresa y agilizar el proceso; tener una oficina específica también puede ayudar a eliminar superposiciones e identificar brechas. De manera complementaria, se requiere contar con procedimientos operativos, roles y funciones determinadas y claras, comunicadas a los involucrados y concientizados de manera periódica.
c. Un enfoque personalizado para evaluar el riesgo: Las organizaciones que utilizan solo un cuestionario común para todos los terceros, probablemente no identifican el riesgo real que cada uno de ellos representa para su organización. Se tiene que evaluar el riesgo para cada relación y determinar si el nivel de diligencia permite a las empresas adaptarse a necesidades o circunstancias específicas de controles y monitoreo. Por ejemplo, organizaciones con intercambio de datos limitado pueden requerir un proceso de supervisión menos riguroso que el de un tercero con el que se comparte grandes cantidades de datos sensibles para su tratamiento en nombre de la empresa.
d. Un programa eficaz de seguimiento continuo: Solo el 54% de los ejecutivos que respondieron la encuesta de PwC “Building Digital Trust”, señalan que tienen programas efectivos para monitorear a sus proveedores, lo cual origina una oportunidad de mejora para estructurar reglas de supervisión sobre los riesgos que generan los terceros.
e. Tecnología para automatizar la evaluación: Muchas organizaciones están invirtiendo para automatizar su proceso de gestión de riesgos de terceros. Si se aprovechan de la manera correcta, las tecnologías pueden respaldar el proceso de incorporación; por ejemplo, podría acelerar el proceso de evaluación y permitir informes más claros sobre su nivel de riesgos y monitoreo.

Dicho esto, ¿cuál sería el rol del Directorio en la gestión de riesgos de terceras partes? Como órgano colegiado elegido por la junta general de accionistas, tiene como función aprobar y dirigir la estrategia corporativa de la empresa; establecer objetivos, metas y planes de acción; controlar y supervisar la gestión; entre otros. Consecuentemente, el Directorio tiene un rol clave en la Gobernanza y políticas de la empresa para preservar el valor patrimonial e incrementarlo, ejerciendo sus funciones con diligencia y lealtad, teniendo el derecho a ser informado por la Gerencia sobre el proceso que ha ido atravesando la empresa.

En esa línea, podemos proponer cuatro temas que deben formar parte de la agenda del Directorio en su rol de monitoreo de los riesgos de terceras partes:

  1. Determinar qué Comité del Directorio supervisará con mayor detalle los riesgos: Si bien el Directorio en pleno debe comprender el proceso de la administración de riesgos, es común delegar la supervisión periódica a un comité, por fines de especialización y dedicación; por ejemplo, el de riesgos o Compliance, algunos lo asignan al Comité de Auditoría. No obstante, independientemente del comité que tenga la responsabilidad de la supervisión, se requiere información precisa y reportes de la Gerencia sobre cómo están abordando los riesgos de terceros.
  2. Comprender cómo la empresa gestiona a sus terceros: Esto puede identificar los terceros importantes que son parte integral de la ejecución de la estrategia de negocios de la compañía y el impacto que representan para su consecución.
  3. Considerar el impacto de terceros en relación con los riesgos empresariales: Si bien la organización será responsable de establecer procesos de debida diligencia de terceros y monitorear el riesgo, el Directorio debe comprender el panorama de amenazas y sentirse cómodo con el Programa de gestión de riesgos, así como con sus procesos. Para ello, la rendición de cuentas de la Gerencia y reportes oportunos ante el Directorio es una actividad crítica de reporte y diligencia directiva.
  4. Supervisar el desarrollo de los planes de acción para mitigar los riesgos de los terceros: El Directorio indaga los resultados de la auditoría sobre la revisión anual de los controles clave asociados con el Programa de gestión de riesgos de terceros, así como del grado de implementación de los planes de acción para mitigar aquellos que son más críticos y generados por terceros.

Por tanto, el uso de terceros es una parte natural del negocio, pero así como proporcionan a las empresas muchos beneficios, también conllevan riesgos. La gran cantidad de relaciones con terceros que tienen las empresas suelen generar dificultades para supervisar el nivel de exposición a tales amenazas. De ese modo, tener un programa eficiente y eficaz de gestión de riesgos de terceros, incluida la supervisión del Directorio, es fundamental para mantener las actividades empresariales, mitigando los riesgos de contagio que pueden generar los terceros, así como para fortalecer el sistema de buen gobierno corporativo, mejorar la gestión de las vulnerabilidades, proteger la reputación empresarial y promover su sostenibilidad.

Acerca del Autor

Guillermo es director de Gobierno Corporativo, Riesgo & Cumplimiento / Forenses. Tiene mas de 15 años de experiencia como abogado especializado en Derecho Corporativo, Bancario, Civil y temas de Cumplimiento Normativo. Ha liderado due diligence corporativos para la compraventa de empresas del sector minero, pesquero, farmacéutico, agroindustrial, hidrocarburos, construcción y bancario.
Actualmente, tiene a su cargo los servicios de Implementación de las Normas Anticorrupción; BGC; adecuación a la Ley de Protección de Datos Personales (LPDP); Sistema de Prevención de Lavado de Activos; prevención, detección e investigación de fraudes; y Financiamiento del Terrorismo y la Línea Ética. Guillermo cuenta con un curso de especialización en Gerencia de Operaciones por la Universidad de Quebec at Montreal (UQAM) de Canadá. Asimismo, Guillermo está certificado en temas de Buen Gobierno Corporativo (BGC) otorgado por el Banco Interamericano de Desarrollo (BID) y cuenta con la certificación Fraud Examiner (CFE) otorgada por la ACFE (www.acfe.com) que lo acredita como especialista en prevención, detección e investigación de fraudes a nivel global.
Guillermo ha publicado diversos artículos en prensa y revistas especializadas en Derecho, a nivel nacional e internacional Además participa como panelista en varios eventos organizados por la Cámara de Comercio de Lima ( Procapitales la Bolsa de Valores de Lima, Petroperú, Sociedad Nacional de Industrias ( Congreso Nacional de Auditoría Interna, Programa de Alta Dirección ( de la Universidad de Piura, FONAFE, entre otros.

Deja un comentario

Volver arriba