Para destacar dentro de un mercado abarrotado, desarrollar una marca y una reputación sólidas es clave. Pero ¿has considerado cómo tus relaciones comerciales con terceros pueden ayudar u obstaculizar estos esfuerzos? Si no sabes quiénes son tus socios o a cuánto riesgo pueden exponer a tu empresa de manera potencial, ¿cómo puedes esperar llegar a superar a tu competencia como negocio reputado y de confianza?

La actualización de 2020 de la evaluación de los programas de cumplimiento corporativo del Departamento de Justicia de los EE. UU. dejó claro que los reguladores están oficialmente atentos a los programas bien diseñados de «diligencia debida basados en riesgos», al dedicar una sección completa a la gestión de riesgos de terceros.

Continúa leyendo para profundizar en:

• Los tres niveles de diligencia debida de terceros
• El concepto de triaje de terceros
• El uso del cuestionario de diligencia debida de terceros
• Cómo gestionar las señales de alerta que surjan durante la diligencia debida de terceros, la monitorización y la diligencia debida de terceros en curso
• Cómo automatizar tus procesos puede ayudar a que tus esfuerzos de diligencia debida de terceros tengan éxito

¿Buscas más formas de satisfacer a los reguladores, los inversores, los clientes y al público? Aprende a garantizar que tu programa de ética y cumplimiento normativo administre de forma afectiva a los terceros a lo largo de todo el ciclo de vida de vuestra relación. Descarga hoy mismo la lista de verificación gratuita de terceros de CECO.
 

¿Cuáles son los tres niveles de diligencia debida de terceros?

La actualización de 2020 del Departamento de Justicia, los comunicados de opinión 10.02 del Departamento de Justicia y las directrices sobre recursos de 2020 de la FCPA abordan el concepto de un enfoque a tres niveles para efectuar la diligencia debida de terceros.

Los tres niveles de diligencia debida de terceros ayudan a determinar los niveles adecuados de diligencia debida y a establecer tu programa de gestión de riesgos de terceros de cara a un triaje exitoso (continúa leyendo para saber más). Recuerda que el principio fundamental de cualquier esfuerzo de diligencia debida siempre es «documentar, documentar y documentar». Sin importar lo que descubras, cualquier señal de alerta que surja debe borrarse y la evidencia de dicha autorización se debe documentar. Examinemos los tres niveles con mayor profundidad:

Nivel 1

En este primer nivel, los nombres individuales y los nombres de las empresas se verifican a través de cientos de listas de seguimiento a nivel global. Estas listas, que están compuestas por listas de prevención del blanqueo de capitales, antisoborno y sanciones, y otras bases de datos de corrupción financiera y de delitos, ayudan a detectar posibles señales de alerta y crear una herramienta de detección de primer nivel. Entre los ejemplos de estas listas de seguimiento se incluyen la lista de nacionales especialmente designados y personas bloqueadas de la Oficina de Control de Activos Extranjeros de los EE. UU., la lista de sanciones del Reino Unido y la lista consolidada del Consejo de Seguridad de las Naciones Unidas.

Aquí puedes invesgar porque realmente no hay ninguna fuente fidedigna única a la hora de detectar señales de alerta. Este paso puede parecer demasiado amplio y general; sin embargo, demuestra la intención de cumplir con los requisitos normativos. Por lo tanto, es extremadamente importante que las empresas apoyen sus esfuerzos de diligencia debida al comprobar las bases de datos existentes con objeto de garantizar la integridad en todas las relaciones con terceros.

• Cuando exista un riesgo de corrupción bajo, la diligencia debida de nivel uno será suficiente.
   

Nivel 2

En jurisdicciones de alto riesgo, el segundo nivel se basa en la información fundamental que se haya recopilado en el primer paso y te ayuda a tomar decisiones informadas a escala. Un examen más profundo de los periódicos, los medios internacionales y las búsquedas web detalladas puede revelar otras formas de información que estén relacionadas con la corrupción. Al ampliar tu misión de búsqueda de hechos para incluir fuentes específicas del sector, bases de datos nacionales, registros gubernamentales internacionales, coberturas de prensa y menciones de ejecutivos clave y partes asociadas, tus consultas de diligencia debida de terceros podrían revelar información sin divulgar u oculta.

• Si no hay ninguna señal de alerta que requiera una investigación más profunda, la diligencia debida de nivel dos será suficiente.
   

Nivel 3

A este nivel se le denomina «diligencia debida mejorada» y representa la inmersión más profunda en cuanto a supervisión continua de terceros. Este nivel requiere una investigación práctica sobre el terreno. Los investigadores que dominan el idioma local y están familiarizados con la política local pueden ayudar a fortalecer tus investigaciones con visitas in situ, entrevistas en persona y comprobaciones de antecedentes en profundidad de ejecutivos y actores clave. Más allá de la confirmación de lo que ya hayas descubierto en los dos pasos anteriores, este último paso se centra en descubrir información oculta y secreta.

• La diligencia debida de nivel tres es una investigación profunda y localizada.
   

Triaje de terceros

El énfasis del Departamento de Justicia sobre la «diligencia debida basada en los riesgos» significa que la evaluación y gestión de cada tercero tendrá un aspecto diferente en función del carácter y del nivel del riesgo relacionado. Las directrices del Departamento de Justicia también detallan cómo deben priorizarse los terceros de alto riesgo y la correspondiente gestión continua de relaciones antes que las relaciones de bajo riesgo. El triaje de terceros establece la clasificación de cada tercero y determina qué debe abordarse primero.

No habrá dos procesos de triaje iguales, pero sí que comparten el mismo objetivo de detectar a terceros que supongan un alto riesgo. Determina el conjunto de criterios prioritarios que tengan un carácter único para tu empresa, sector y geolocalización con el fin de medir y diseñar tu proceso de forma eficaz. Asigna a cada tercero, tanto existente como potencial, un nivel de prioridad en función del riesgo y, luego, evalúa a los terceros que supongan un mayor riesgo. El proceso de triaje muestra los mecanismos mediante los cuales se determina el nivel de riesgo de cada tercero y el enfoque de diligencia debida basado en riesgos que seguirás a partir de ese momento, al mismo tiempo que cumples con las directrices del Departamento de Justicia.

Cuestionario de diligencia debida de terceros

El cuestionario de diligencia debida de terceros se trata de una herramienta increíblemente útil para realizar investigaciones que te proporcionará una comprensión más profunda de con quién estás haciendo negocios. El cuestionario, que en líneas generales suele considerarse como una herramienta de investigación de gran utilidad y se menciona varias veces en las directrices sobre recursos de la FCPA, requiere de terceros a la hora de aportar cierta información. Por tanto, si un tercero no quiere rellenar el cuestionario o no lo completa al cien por cien, no lo dudes ni un momento y abstente de realizar cualquier negocio con él.

El ámbito y las preguntas exactas que contendrá tu cuestionario dependerán del riesgo que se evalúe y esta clasificación de riesgo determinará el nivel de información que se requiera. La recopilación de datos es clave en este ámbito, por lo que debes asegurarte de adaptar tu cuestionario para recopilar la información sobre los antecedentes y la experiencia, el ámbito de los servicios que se prestarán, la experiencia relevante, una lista de personas relevantes, referencias y experiencia en cumplimiento normativo.

Otros temas adicionales que podrías explorar en tu cuestionario son:

• La estructura en cuanto a la propiedad de la entidad
• Las cualificaciones financieras y la estabilidad de la empresa
• El personal y cualquier conflicto de intereses relacionado
• Las instalaciones físicas y las direcciones exactas del tercero
• Múltiples referencias que puedan hablar sobre la ética y fiabilidad comercial del tercero
• Cualquier persona del medio político o beneficiario efectivo
• El régimen de cumplimiento normativo del tercero que se haya propuesto, incluida la documentación de su código de conducta, código anticorrupción, programa contra sobornos y cualquier material de formación relacionado
• Formación sobre cumplimiento normativo y concienciación de entidades fiables
   

Cómo gestionar las señales de alerta que surjan durante la diligencia debida de terceros

Una señal de alerta no tiene por qué indicar el final de una asociación comercial con un tercero. Sin embargo, sí que requiere una aclaración. Además, debes documentar la resolución de la alerta y el proceso de toma de decisiones involucrado, en caso de que algún regulador solicitara información.

No todas las alertas son iguales y, de hecho, no hay ninguna fórmula establecida para resolverlas. Lo que sí que hay es varios factores que afectan a la calificación de riesgo y preguntas que hacerse:

• ¿Cuántas son suficientes? ¿Pueden gestionarse tus procesos de forma eficaz y seguir siendo lo suficientemente útiles para el negocio?
• ¿Hasta dónde llegamos? Ten en cuenta todos los eslabones de la cadena de suministros y cualquier subcontratista, al mismo tiempo que profundizas cuando haya un alto riesgo de soborno y corrupción.
• ¿Qué hemos aprendido? No esperes para aclarar o recopilar información adicional. Cualquier información que provoque una señal de alerta debe eliminarse y documentarse.
   

Monitorización y diligencia debida de terceros continua

Al igual que en otras áreas del espacio de ética y cumplimiento normativo, aquí se requiere una monitorización y supervisión consistentes. Un enfoque estratégico para la gestión de riesgos de terceros ayudará a establecer los pilares fundamentales para la supervisión de la gestión del ciclo de vida de los terceros. Al igual que cualquier relación saludable, gestionar las relaciones con terceros durante todo el ciclo de vida de un contrato requiere flexibilidad y buena atención a medida que la relación va madurando. Comienza por controlar todo el trabajo que subcontrates, tener a disposición los contratos con los subcontratistas y verificar que se cumplen los términos y condiciones de que se hayan aprobado.

Si se produjera una situación delicada, debes tener la garantía de que tu empresa está protegida desde el punto de vista jurídico al fortalecer tus términos y condiciones desde el primer momento. Si un tercero con el que tratas infringiera la FCPA y tu empresa se viese envuelta en una investigación, debes encontrarte en una posición indemne. De lo contrario, no habría posibilidad de recuperar los costes legales ni de investigación relacionados. Cualquier violación de la FCPA supone una brecha del contrato, aunque sin una cláusula específica que detalle cómo una infracción de este calibre causaría la rescisión inmediata del contrato sin previo aviso ni subsanación, tendrás que verte obligado a notificar de esta situación por escrito y ofrecer la oportunidad de subsanarla. Este proceso podría ser largo y tardar demasiado en satisfacer al Departamento de Justicia o a la Comisión de Bolsa y Valores.

Lleva un registro de la situación financiera de tus terceros a lo largo del tiempo. Te mantendrá al tanto de cualquier desastre financiero como podría ser la bancarrota o cualquier riesgo de corrupción o soborno. Exigir que tus terceros tengan que proporcionarte estados financieros auditados de forma anual es una excelente manera de abordar estas situaciones. Asimismo, formaliza los incentivos para el cumplimiento normativo de los terceros al vincular las compensaciones con el rendimiento del cumplimiento normativo a largo plazo. Desarrolla algunos indicadores clave de rendimiento para realizar un seguimiento del rendimiento. Estos indicadores pueden ayudarte a clasificar a tus terceros, además de otros aspectos. Puedes utilizar el rendimiento, la duración de la relación y otras métricas de análisis comparativo con objeto de clasificar los riesgos de manera continua. También, puedes potenciar aún más tu supervisión adoptando la automatización.

Automatización de tu proceso de diligencia debida de terceros

La diligencia debida de terceros es el proceso de investigación y supervisión continua de terceros (proveedores, distribuidores, socios, beneficiarios efectivos, etc.) para detectar señales de alerta críticas en las categorías de ética, cumplimiento normativo, jurisdicción y ASG, entre otras. Las leyes y normativas a nivel general cambian constantemente y su cumplimiento depende de la comprensión en tiempo real de este panorama cambiante. Además, las áreas de alto riesgo para los terceros nunca son inamovibles. En lugar de dejar que el panorama en constante cambio descarrile tus esfuerzos de diligencia debida de terceros, puedes aceptar el cambio como una constante al automatizar tu proceso.

El objetivo aquí es reducir el riesgo de sufrir daños a la reputación y sanciones financieras, por lo que los desafíos a los que se enfrenta tu programa de diligencia debida de terceros pueden suponer un desastre si no se controlan adecuadamente. Tu programa puede verse afectado por la incapacidad de escalar a raíz de los recursos limitados, incluido el volumen de terceros, la falta de procesos y procedimientos, y los falsos positivos. Cada componente de tu flujo de trabajo de diligencia debida de terceros puede beneficiarse de la automatización. Como, p. ej., mediante:

• El riesgo y triaje inherentes
• La verificación automatizada
• La evaluación basada en los riesgos
• La diligencia debida mejorada
• La supervisión continua

Administra el ámbito de tu programa de diligencia debida de terceros con Diligencia debida de terceros de OneTrust. Transforma tu programa de cumplimiento normativo y dedica menos tiempo a las evaluaciones manuales gracias a la funcionalidad de gestión de terceros según el dominio, la gestión consolidada del ciclo de vida de terceros, la mitigación de riesgos simplificada, la monitorización continua, la creación de informes listos para auditorías y la gestión de contratos.

Los programas de cumplimiento normativo necesitan una estrategia operativa y escalable para la diligencia debida y demás aspectos. Conoce los pasos para operacionalizar por completo tu programa de gestión de riesgos de terceros con esta lista de verificación gratuita de terceros de CECO que puedes descargar hoy mismo.