Delineando estrategias
Delineando estrategias
Delineando estrategias

Gestión de riesgos de terceros

Publicado por Luis Preciado y Dalia Sierra

julio, 2022

Puntos Destacados:

 

  • Casi todos los fraudes o eventos de riesgo que involucran a terceros

    incluyen a empleados de la empresa que se benefician de la operación

  • En México, solo cuatro de cada diez empresas (41%) aseguran contar con un programa integral de prevención, detección y respuesta ante potenciales casos de fraude
  • La debida diligencia de integridad permite adoptar una postura preventiva y proactiva

Las organizaciones dependen cada vez más de proveedores externos para ofrecer a sus clientes productos y servicios críticos para el negocio.

 

Dichos proveedores o prestadores de servicios se definen como terceros, ya sean personas morales o físicas, que comercialicen bienes o servicios y, en algunos casos, actúen en nombre de la empresa como representantes o agentes de ventas, pudiendo ser clientes o distribuidores.

 

Descargue la publicación. Identifique al eslabón más débil

 

gestion-de-riesgos-de-terceros-frase_resaltada_900px-100

 

 

Las empresas también están descubriendo que las fallas de terceros pueden empañar

su reputación con importantes implicaciones en costos e imagen, afectando la operación e, incluso, ocasionando el incumplimiento de regulaciones de diversa índole.

 

Es evidente que las empresas necesitan una estrategia clara para gestionar los riesgos

asociados con terceros e, incluso, con cuartas partes.

 

Ante una gran cantidad de áreas involucradas en el proceso de selección y contratación de terceros, como Compras, Jurídico, Calidad y Cumplimiento, resulta evidente que desarrollar e implementar una estrategia continua y consistente representa un gran desafío para las empresas.

 

Casi todos los fraudes o eventos de riesgo que involucran a terceros incluyen a empleados de la empresa que se benefician de la operación, aunque la negligencia y carencia de controles

pueden ser determinantes.

 

Los riesgos asociados a la contratación de terceros son diversos, pero, en nuestra experiencia, se pueden clasificar en diez principales:

1 Riesgo regulatorio y de cumplimiento

Aquel estrictamente relacionado con requerimientos de ley y supervisión del regulador (implicaciones de fraude o soborno)

2 Riesgo estratégico

Relativo a tercerización, propiedad intelectual, fusiones y adquisiciones

3 Riesgo de subcontratación

Aplicable a todas las áreas de riesgo que recurran a dicho modelo

4 Riesgo de concentración

Cuando un tercero mantiene una porción importante de la carga de trabajo crítica de la empresa

5 Riesgo cibernético

Seguridad de la información y privacidad de datos compartidos con terceros

6 Riesgo país

Asociado a la estabilidad geopolítica del origen del tercero, así como a la sostenibilidad climática, dependiendo del tipo de operaciones

7 Viabilidad financiera

Indicadores financieros del tercero

8 Riesgo operacional y de suministro

Continuidad del negocio, fuerza y velocidad del tercero para recuperarse ante desastres

naturales, seguridad física ante robo, entre otros fenómenos

9 Riesgo reputacional

Daño a la marca debido al deterioro de la opinión pública por la materialización de algún evento negativo

10 Riesgo legal

Términos y condiciones contractuales o demandas por incumplimiento

 

Estos delitos suelen ocurrir cuando se ofrecen ventajas económicas a cambio de ganar

una licitación o contrato de interés para alguno de los negociadores. De ahí la importancia de implementar una estrategia integral de prevención.

 

Para adoptar un enfoque proactivo, en lugar de una postura reactiva que arriesgue la continuidad del negocio, es necesario establecer un programa integral de prevención y monitoreo de riesgos en la interacción con terceros:

 

1.- Identificar el universo de terceros

 

Los responsables de Finanzas, Tesorería, cuentas por pagar, Compras y directivos o gerentes operativos deben identificar con qué terceros se está interactuando y realizarse las siguientes preguntas: ¿a quién se le está pagando? ¿Por cuáles bienes y servicios? ¿Cuándo fue la última vez que se le hizo un pago a un tercero? ¿Qué tan actualizado está el catálogo de proveedores y cuándo fue la última vez que se hizo una depuración? ¿Cuáles son los nuevos proveedores a quienes se les dio de alta recientemente para asegurar la continuidad de las operaciones?

 

Evaluar riesgos de terceros

 

En una segunda etapa, hay que clasificar el universo de terceros en las tres categorías tradicionales de riesgo (bajo, mediano o alto), considerando criterios como los siguientes:

 

– El papel que desempeña el tercero, la naturaleza del servicio que le brinda a la empresa y si la representa, a su vez, ante otros terceros

– Si tiene vínculos con el gobierno

– Si opera en una jurisdicción o industria de alto riesgo en materia de corrupción

– ¿Qué tan críticos son los servicios o bienes que provee?

– ¿Qué regulaciones debe cumplir, por ejemplo, en materia de privacidad de datos?

– Otros criterios propios del negocio o industria

 

Realizar una debida diligencia de integridad

 

El tercer paso consiste en efectuar ejercicios de debida diligencia de integridad que, según cada caso, tienen el objetivo analizar, desde una perspectiva estratégica, a los subcontratistas, proveedores o terceros locales que pudieran representar el mayor riesgo en términos de corrupción y cumplimiento, mediante el análisis y compilación de un perfil de reputación comercial y de vínculos PEP (personas expuestas políticamente), esto mediante la revisión de listas de sanciones locales e internacionales, así como de fuentes públicas y privadas de información corporativa, económica y política, bases de datos especializadas y notas de prensa afines.

 

Evaluar y monitorear

 

Para que genere verdadero valor, un programa de administración de riesgos de terceros debe acompañarse de una continua medición de indicadores clave de desempeño operativo y de confirmación, en especial con los terceros de alto riesgo, para que se desenvuelvan con ética y transparencia.

 

Aun cuando la relación que se formalice con un tercero esté basada en la confianza y credenciales de dicha entidad, las prácticas líderes sugieren implementar acciones preventivas y de control que apoyen la gestión de riesgos de forma continua o que, incluso, ayuden a detectar situaciones de alarma en caso de que el actuar del tercero, así como su reputación, sufran cambios negativos o deterioro durante el curso de la relación contractual.

 

Finalmente, las compañías necesitan mejorar la resiliencia empresarial, comprendiendo con precisión el papel que juegan los terceros en la generación de bienes y servicios para sus clientes, asegurándose de que estén en cumplimiento de las políticas y procedimientos aplicables a la empresa y su entorno.

 

¿Qué otros riesgos son latentes para las empresas?

Temas: Administracion de Riesgos

Sobre la autora:

"Entender la naturaleza de los servicios contratados y del riesgo intrínseco de cada tercero y proveedor puede apoyar a la función de Cumplimiento, al desarrollar medidas y salvaguardas personalizadas para cada grupo de terceros en función de su riesgo”.

Dalia Sierra, Socia de Forensic y Asesoría en Cumplimiento Anticorrupción
KPMG en México

800x873-DaliaSierra

Sobre el autor:

"Las mejores prácticas establecen que hay que trasladar las políticas y procedimientos en materia de ética y prevención de fraudes a la relación contractual”.

Luis Preciado Socio Líder de Risk Advisory Solutions
KPMG en México

Luis_Preciado_800x873

 

¡Opine!