En el último año, hemos sido testigos de un incremento en la notoriedad del concepto de gestión de los riesgos de tercera parte a través de un aluvión de artículos y seminarios que distintas plataformas y proveedores han ido lanzando progresivamente a las redes, especialmente en lo relacionado con la implementación de herramientas tecnológicas que pudieran contribuir a un análisis y gestión de los terceros de una forma más eficiente y homogénea en las organizaciones.

No obstante, la adecuada gestión del riesgo de proveedores, agentes comerciales, distribuidores, etc. no es algo que resulte novedoso. Ya en la guía de interpretación de la FCPA publicada por primera vez en 2012 se hacía mención a la necesidad de realizar Due Dilligence basadas en riesgo de aquellos terceros con los que las organizaciones mantenían algún tipo de relación de negocio. Todo ello a consecuencia de un histórico de acciones sancionadoras por parte del Departamento de Justicia Americano (DOJ) y de la Security and Exchange Commission (SEC) provocados por fraudes, sobornos y actividades corruptas cometidas por organizaciones que utilizaron a sus agentes comerciales y a socios de negocio como intermediarios y facilitadores en el pago de sobornos a autoridades públicas.

Por todo ello, este reciente interés no ha sido casual, sino que ha venido impulsado, fundamentalmente, por dos drivers:

  • El impacto que han sufrido las organizaciones a la hora de prestar un adecuado servicio a sus clientes, como consecuencia de fallos en las cadenas de suministro, efecto de la pandemia del COVID-19.
  • El progresivo foco de los distintos reguladores sobre la gestión de los terceros, especialmente sobre los proveedores de servicios externalizados, como sucede en el sector financiero con la adopción de las entidades financieras de las directrices de la EBA sobre Externalización (EBA/GL/2019/02) y las recientes normativas al respecto, Outsourcing and Third Party Risk Management, emitida por la Prudential Regulation Authority del Reino Unido (SS2/21).

Fundamentos de la necesidad de abordar el TPRM.

La encuesta Third Party Risk Management outlook 2020, realizada en por KPMG a alrededor de 1.100 responsables de la gestión del riesgo de tercera parte en compañías de sectores diversos en todo el mundo, confirmó la preocupación de las compañías sobre los riesgos que los terceros con los que se relacionan suponen para ellas. En este sentido, cabe destacar que:

  • El 70% de los encuestados consideraba la gestión de los riesgos de tercera parte como una de las prioridades estratégicas para el desarrollo y sostenimiento de su negocio.
  • El 60 % de los encuestados consideraba que el mayor riesgo reputacional para sus entidades provenía de los fallos y errores cometidos por proveedores externos.
  • El 74 % de los encuestados afirmaban que necesitaban hacer una revisión profunda sobre su programa de gestión de riesgos de tercera parte para garantizar que fuese consistente e integrado en toda la organización.

Todas estas opiniones se encuentran sustentadas en:

  • Necesidad de proporcionar un servicio de mejor calidad y más rápido a los clientes asegurando el compromiso del tercero tanto en términos contractuales como en términos éticos y de cumplimiento.
  • Necesidad de simplificar, eficientar y coordinar el proceso de gestión de terceros en compañías con modelos operativos globales y descentralizados, reduciendo duplicidades y pérdida de información y favoreciendo un seguimiento continuo de los terceros.
  • Necesidad de disponer de información clara, rápida y homogénea de los terceros para poder reportar a numerosos y diferentes stakeholders (por ejemplo, al Consejo, al Comité de Dirección, a Reguladores, Auditores, etc.)
  • Necesidad de garantizar el cumplimiento de regulaciones “periféricas” ligadas a la gestión de terceras partes, como son Protección de Datos, Seguridad, Gestión de riesgos IT.
  • Necesidad de reducir el riesgo de que las compañías responsan por incumplimientos de sus proveedores.

Así, en vista de lo anterior, se puede afirmar que la creciente inquietud y preocupación de las organizaciones por la gestión de sus relaciones de negocio con terceros externos es real.

Y ¿ahora qué? Cómo pasar de la preocupación a la acción

 A la vista de lo expuesto anteriormente y más allá de haber identificado una necesidad latente, las compañías deberían realizar un ejercicio de reflexión para abordar cómo deberían alcanzar un modelo de gestión de riesgos de tercera parte coordinado, eficaz y eficiente.

Y puesto que la gestión de riesgos de tercera parte es una actividad que afecta a la organización a diferentes niveles y en distintas áreas (por ejemplo inversiones o M&A, compras, logística, etc. ) resulta relevante que el proceso se lleve a cabo de forma integrada y global, considerando a los distintos intervinientes y afectados.

Es por ello que, en un proceso de estas características, las compañías deberían seguir, como punto clave, un esquema de análisis que partiese del conocimiento del estado actual de su modelo de gestión de riesgos de tercera parte a través de un análisis de madurez que les permita identificar aquellas áreas que requieran de mayor atención. Tras este análisis, las organizaciones podrían tomar dos caminos diferenciados, según el grado de desarrollo de su sistema:

  1. Rediseñar su modelo de gestión de riesgos de tercera parte:
    • Identificando las áreas dentro de la organización que se relacionan con terceros.
    • Identificando las categorías de los terceros según la actividad que desarrollen.
    • Evaluando los riesgos de cada uno de ellos según el producto o servicio que presten.
    • Estableciendo mecanismos de evaluación o due diligence estandarizados tanto preliminar como continua según el riesgo relacionado.
    • Estableciendo controles.
    • Definiendo mecanismos sistemáticos de monitorización del desempeño (que pueden incluir desde la inclusión de cláusulas de auditoría en los contratos, hasta la solicitud de certificados o informes de aseguramiento sobre el cumplimiento).
    • Automatizando, en lo posible, el proceso.
  1. Optimizar el modelo existente dotándole de un componente tecnológico que permita automatizar y simplificar el proceso de gestión de tercera parte, integrándolo a todos los niveles de la organización, evitar duplicidades y manteniendo el soporte de las evaluaciones, a título histórico, en un mismo repositorio.

No obstante, en cualquiera de los dos casos, el compromiso de la alta dirección y el apoyo de las funciones de cumplimiento resulta crítico para poder impulsar esta iniciativa.

Conclusión

 El interés en la gestión de los riesgos de tercera parte que se ha visto incrementado en los últimos tiempos responde a una realidad y necesidad que se viene manifestando en las organizaciones a través de una creciente tendencia a la externalización de servicios y a una mayor relación con terceros encaminada a potenciar el desarrollo de negocio.

Esta nueva tendencia al mismo tiempo que favorece el crecimiento de las organizaciones también supone asumir mayores riesgos que han de identificarse, evaluarse y mitigarse de forma que se pueda garantizar unos modelos de negocio sostenibles en el tiempo. Por todo ello, se hace necesario valorar la integración de la gestión de los riesgos de tercera parte en toda la organización.