Volver a la vista general

La importancia de gestionar riesgos con Third Party

La consolidación de la cultura empresarial depende de cómo se identifiquen los riesgos de terceros. Ante cualquier imprevisto, es necesario fortalecer la gestión de irregularidades para preservar un buen entorno de trabajo.

by Moritz Homann 5 min

    Una encuesta reciente de Deloitte sobre la Gestión Global Extendida de Riesgos Empresariales (EERM, por sus siglas en inglés) muestra que la mayoría de las empresas consideran que el costo de un incidente de terceros se ha duplicado en los últimos cinco años. Debido a la irrupción del Covid-19 como pandemia global, la investigación predice un aumento de la necesidad de inversión en gestión de riesgos.


    La investigación desvela que el costo de un incidente de riesgo de terceros, tales como un fallo en la cadena de suministro, una violación de la privacidad de los datos o una interrupción de las tecnologías de la información costaría, como mínimo, entre 470 y 940 millones de euros. Tal como ha destacado Kristian Park, director global de Deloitte para la gestión de riesgos empresariales extendidos, “a pesar del aumento de incidentes, las empresas aún no están invirtiendo lo suficiente en la gestión de riesgos de terceros”.

    ¿Por qué la gestión de estos riesgos es fundamental para su organización y cuál es la mejor estrategia?

    Si bien las organizaciones pueden tener una visión bastante precisa de sus prácticas éticas, del cumplimiento regulatorio y de la gestión de riesgos, suelen carecer de información o comprensión sobre los riesgos que plantean las empresas asociadas. Estas amenazas se ven agravadas por el entorno regulatorio actual, en el que los gobiernos y las agencias del orden público existentes por todo el mundo responsabilizan cada vez más a las organizaciones sobre los valores, la ética y los comportamientos comerciales de los riesgos producidos por terceros.

    El daño potencial generado por terceros no se limita a la acción reguladora. La pérdida de reputación que pueden experimentar las empresas por asociarse con un tercero inmoral o negligente puede ser mucho más sustancial y duradera que las mismas multas reguladoras. Las empresas también pueden ser consideradas como responsables de las acciones pasadas y las relaciones posteriores que tengan las empresas adquiridas. En algunos casos, es posible que la organización que se ha adquirido ni siquiera conozca que existe una relación con la parte infractora, pero, aun así, el daño puede ser de gran alcance, duradero y difícil de paliar.

    Una infracción por parte de su tercero es una infracción de su empresa, de manera que debe plantearse las siguientes preguntas:

    • ¿Son dignos de confianza?
    • ¿Por qué?
    • ¿Por qué no?
    • ¿Qué se debe hacer al respecto?
    • ¿Qué nivel de riesgo representan?
    • ¿Cuál es el riesgo que está dispuesto a correr?

     

    Estas preguntas no solo deben ser tenidas en cuenta, sino aplicadas por las empresas.

    ¿Cuáles son los principales retos para las empresas?

    A pesar de que la relación con terceros y la dependencia de terceros para poder acceder a necesidades comerciales cruciales ha existido durante siglos, el arte de identificar el riesgo de las necesidades reglamentarias y cuáles son las mejores prácticas es una necesidad comercial relativamente nueva. Con el fin de poner en sintonía las mejores prácticas de su organización con las directrices de numerosas agencias y leyes reguladoras (SAPIN 2, UK Bribery Act, FCPA, BaFin, etc.), debe seguir un programa basado en el riesgo que se adapte al nivel y a la naturaleza del riesgo que represente cada uno de sus terceros.

    Las empresas confían la protección de sus bienes más preciados; los datos de sus clientes, sus finanzas, su reputación y su disponibilidad comercial a terceros.

    Las organizaciones de todo el mundo están expuestas a una gran cantidad de riesgos comerciales críticos como la pandemia del COVID-19, las violaciones de sanciones, la corrupción, las violaciones del cumplimiento regulatorio, así como datos de fraude de pagos e infracciones de seguridad. Para combatir estos riesgos y proteger la reputación de su organización, su programa de cumplimiento regulatorio debe ser lo suficientemente dinámico, sólido y eficaz para adaptarse a unas condiciones y amenazas que se encuentran en constante movimiento.

    La gestión de riesgos de terceros es ardua. Requiere de una transparencia profunda, una fuerte responsabilidad, unos sistemas sólidos e integrales y una colaboración eficaz. Para mantener el ritmo, se espera que las organizaciones empleen mecanismos diseñados para identificar quiénes son sus terceros, comprender cómo hacen negocios y determinar su nivel de compromiso con las prácticas éticas, comerciales y personales. Conocer y comprender el ecosistema de sus terceros y el riesgo que ese ecosistema podría representar para su empresa debería ser un proceso decisivo en su gestión de riesgos, si es que todavía no lo es.

    Mejores prácticas: Su organización debe adoptar un enfoque basado en los riesgos para la gestión de riesgos de terceros

    En la actualidad se espera que todas las organizaciones empleen un enfoque basado en el riesgo para el desarrollo y la implementación de sus programas de cumplimiento regulatorio. Un enfoque basado en el riesgo de estas características empieza con la aplicación de criterios objetivos a todos los terceros, creando evaluaciones lógicas de los riesgos potenciales que se pueden utilizar para formular estrategias personalizadas de mitigación de irregularidades. Las organizaciones identificadas como de alto riesgo pueden ser designadas para pasar por una evaluación adicional, dependiendo de las señales de alerta y los factores de riesgo específicos que planteen. Por último, un enfoque basado en el riesgo para la gestión de riesgos de terceros requiere un seguimiento continuo de todas las partes, con evaluaciones actualizadas de manera rutinaria para reflejar cualquier “aparente violación o deficiencia sistémica identificada” (Un marco para los compromisos de cumplimiento regulatorio de la OFAC, página 4).

    La adopción de un programa de gestión de riesgos de terceros basado en riesgos proporciona numerosos beneficios para su organización, incluida la prevención de la mala conducta de terceros, la prevención de investigaciones gubernamentales y medidas de aplicación, la mejora de la cultura ética de su organización, así como la extensión de dicha cultura ética a los terceros de su organización.

    Si su organización no ha formalizado su programa de gestión de riesgos de terceros, es importante comprender las mejores prácticas por las que debe combatir. Las soluciones generalizadas nunca funcionan, ya que cada organización tiene un perfil de riesgo inherente diferente. Su programa de cumplimiento debe reflejar los riesgos reales en vez de suposiciones. El primer paso es reunir a las partes interesadas adecuadas que se encuentran dentro de la organización, incluido el equipo de cumplimiento regulatorio, el equipo legal, de contratación y de auditoría entre otros, para que todos puedan comprender tanto los objetivos generales como el perfil de riesgo único de la organización. Ese perfil debería orientar todos los demás procesos de gestión de riesgos.

    Cómo crear un programa eficaz contra el soborno y la corrupción

    Las claves principales para establecer un programa ABC

    Descargar ahora
    Moritz Homann
    Moritz Homann

    Director General de Cumplimiento Corporativo – EQS Group | Moritz Homann es responsable del departamento de productos de Cumplimiento Corporativo en EQS Group. En su función, supervisa el desarrollo estratégico de soluciones digitales adaptándolas a las necesidades de los responsables de cumplimiento en todo el mundo.

    Contact