Читать книгу Los ocho pilares de Compliance - Matthias Kleinhempel - Страница 10

Los riesgos de terceros es uno de los temas que más preocupan a los compliance officers. Esto no sorprende, dado que el 90 % de las investigaciones en temas de corrupción involucran a un tercero: distribuidor, proveedor, consultor, etc.

En consecuencia, los reguladores exigen mayores esfuerzos para minimizarlos.

El Departamento de Justicia de los Estados Unidos incluyó el tema en su documento publicado en 2020 como una de las once claves para evaluar la efectividad de programas de compliance. La SEC demostró sus ventajas desistiendo en algunos casos de investigaciones contra empresas por tener un sólido programa de due diligence de sus proveedores o distribuidores. Está claro, la tercerización de procesos no conlleva a la tercerización de riesgos: estos se comparten a lo largo de la cadena de valor. No queda otra que invertir en los procesos de compliance de las terceras partes y su debido control. Esto incluye:

 due diligence inicial y monitoreo continuo,

 flowing down (de políticas de compliance a los subsiguientes niveles de proveedores o distribuidores),

 entrenamiento y comunicación,

 documentación y procesos,

 derechos de auditoría y terminación.

Los pilares de un buen programa de compliance en la cadena de valor son conocidos y se ven reflejados en un sinnúmero de guías –un buen ejemplo es la guía de Trace³ o la del World Economic Forum (WEF⁴)–; en la práctica, sin embargo, aparecen muchos problemas. Estos problemas empiezan con dudas respecto a cómo realizar la evaluación de los riesgos que constituyen los terceros⁵, qué profundidad se debe dar a la due diligence en cada caso, cómo se la puede automatizar para ganar velocidad, bajar complejidad y costos, y cómo establecer un adecuado proceso de monitoreo periódico.

A estos problemas materiales se agregan problemas por la cantidad de relaciones cliente-proveedor que tiene cada empresa. Por un lado, es relativamente fácil imponerle a un proveedor o distribuidor un determinado proceso de compliance y monitorear su cumplimiento. Solo que las empresas no trabajan con un proveedor y un distribuidor, sino con cientos, si no miles.

La gran cantidad de relaciones con proveedores y distribuidores, y sobre todo la cantidad de niveles entre cliente final y proveedor original, complican la situación todavía más. Cada empresa suele tener su propio código con sus propias imposiciones a sus proveedores, que difiere parcialmente de las políticas de otros clientes o proveedores. Cada empresa es parte de varias cadenas de valor y, por ende, está expuesta a diferentes políticas de su mundo de clientes y proveedores. Parece una jungla de requerimientos que no siempre son posibles de cumplir (como el flow down a todas las demás empresas ad infinitum) y que causan costos enormes (administración, documentación, negociación de todas las obligaciones, controles, y defensa contra abusos, entre otros). Especialmente las empresas grandes juegan un juego de transferencia de riesgos: el que puede, el más fuerte, intenta transferir sus riesgos contractualmente al más débil. Cada uno intenta imponer su propio código para mantener el control sobre sus obligaciones y las de los demás, además de protegerse contra abusos de otros, que pueden estar escondidos en cláusulas legales del propio código y/o en los contratos mismos, como derechos de claw back, indemnizaciones, etc., en casos de incumplimientos, incluso, menores.

De cara a esta situación, y para evitar que simplemente se firmen todos los papeles que llegan, es recomendable desarrollar protocolos para el tratamiento de códigos de terceros: estándares de cláusulas (in)aceptables, procesos de escalación para cláusulas sensibles, procesos de solución vía negociación o la imposición del código propio. En este contexto, hay que definir quién se ocupa del tema en la organización, ya que dentro de las empresas se observan diferentes soluciones. Muchas veces, el compliance officer coordina un grupo con Legales, Riesgos y Recursos Humanos, que define estos lineamientos.

En resumen, los programas de compliance de las compañías, muchas veces muy sofisticados, tienen un flanco abierto: la relación con las empresas de su cadena de valor. Este flanco constituye un riesgo, que puede resultar grande, y que es más difícil de gestionar que los riesgos en la organización propia. Pero no queda otra, hay que empezar a construir a pesar de los problemas materiales y las complejidades que se presentan.