El actual ecosistema empresarial es cada vez más cambiante e incierto. Contribuyen factores como los rápidos avances tecnológicos, los cambios regulatorios, las alteraciones en el comportamiento del consumidor, las demandas sociales, la globalización o la incertidumbre geopolítica en la que vivimos.
Asociado a ese entorno y al propio funcionamiento interno de las organizaciones está el concepto del riesgo, que la ISO 31000 (Gestión de Riesgos) define como el “el efecto de la incertidumbre sobre la consecución de los objetivos”.
Una clase de riesgos que a veces se tienen poco en cuenta son los derivados de la relación entre la empresa y sus terceros. Estos son sus clientes, agentes, intermediarios, proveedores, subcontratistas o los socios de negocio. Cuyos problemas por incumplimientos normativos, crisis de integridad o de reputación, podrían salpicar fuertemente a nuestra organización causándole un impacto negativo, en ocasiones con consecuencias devastadoras.
En el ámbito de los Programas de Compliance, un pilar fundamental es la diligencia debida (due diligence) de terceros, la cual tiene como objetivo analizar y evaluar los riesgos que presenta para la empresa relacionarse con un potencial tercero.
Las diferentes tipologías de riesgos de terceros
¿Qué riesgos presenta un tercero para la organización? Desde la óptica de Compliance podríamos distinguir entre riesgos legales y riesgos reputacionales.
Partiendo del enfoque del derecho penal español, en 2010 se introdujo la posibilidad de que las empresas pudieran responder penalmente por un listado de más de una treintena de delitos, que pueden ser cometidos tanto por sus representantes legales y empleados, como por quienes actúan en su nombre (terceros). Es aquí donde se pone de manifiesto, desde una perspectiva de riesgo legal, que algunas conductas de nuestros terceros podrían acarrear consecuencias penales donde el impacto, si el riesgo se materializa y la organización es condenada, serían las penas previstas en el propio Código Penal. Entre otras, estas penas van desde multas o prohibición de realizar su actividad hasta, en casos muy graves, la disolución de la sociedad (una auténtica previsión de pena de muerte empresarial).
Por otro lado, aunque muy relacionado con el legal, tenemos el riesgo del daño reputacional, basado en el impacto negativo que puede sufrir la empresa en su imagen pública y su percepción ante los que la rodean. Este riesgo también puede derivar de una (mala) conducta de nuestros terceros, ya que, si cometen actos que puedan percibirse como contrarios a los valores, principios o normas de nuestra organización, su impacto afectará a la confianza, credibilidad y valoración de nuestra empresa. Lo que podría traducirse en la reducción de oportunidades comerciales o puesta en peligro de relaciones con socios de negocio y, en general, derivar en graves pérdidas económicas.
Una compleja cadena de valor en el sector de la energía
¿Qué peculiaridades tiene la gestión de riesgos de terceros en el sector de la energía? Las especialidades de este sector hacen que el mapa de riesgos, en relación con terceros, sea diferente al de otros sectores. Contribuye considerablemente la gran regulación sectorial, las implicaciones medioambientales, las tensiones geopolíticas o los retos de la transición energética (más aún en la Unión Europea, que pretende ser climáticamente neutral en 2050).
La complejidad del sector lleva a las empresas energéticas a depender significativamente de sus terceros para cubrir una amplia gama de actividades en su cadena de valor. Dado que las energéticas subcontratan actividades clave, la responsabilidad compartida con los terceros es un terreno crítico. Volviendo a poner el foco en los riesgos legales y reputacionales para una empresa energética, imaginemos el impacto que podría generarle que un tercero que ha subcontratado omitiera medidas de seguridad básicas y se causara un desastre medioambiental. El problema con un eslabón más de la cadena de valor podría suponerle un gran impacto negativo del que tardase años, incluso décadas, en lograr recuperarse.
En gestión de riesgos partimos siempre de la premisa de que el riesgo cero no existe. Cualquier actividad en el ámbito empresarial, más aún en sectores complejos como la energía, implicará un cierto grado de incertidumbre. En este escenario, los departamentos de Compliance de las organizaciones juegan un papel fundamental, pues están llamados a apoyar al negocio aportando seguridad gestionando los riesgos legales y reputacionales.
Cómo implementar procesos de diligencia debida
La implementación del proceso de diligencia debida es compleja y requiere de una gran comprensión del negocio y la tipología de terceros de la organización. En este sentido, es aconsejable comenzar determinando qué terceros se deberían dejar fuera del proceso de diligencia debida por no representar riesgos significativos (por ejemplo, pequeñas compras de materiales o servicios generales). Para esta primera clasificación habrá que atender a la relación jurídica con el tercero (¿puede actuar en nuestro nombre?), la proximidad al núcleo del negocio (¿está involucrado en actividades estratégicas o críticas?) o determinar su grado de acceso a datos (¿tiene acceso a datos personales o sensibles?).
Posteriormente, determinados los terceros que sí deben superar el proceso, será muy útil fijar un criterio de asignación de perfil de riesgo (ex ante) para disponer si la diligencia debida será más o menos reforzada. El grado de sofisticación en este punto puede ser muy elevado, pudiendo llegar a combinar diferentes factores de riesgo aplicables al tercero, cuya suma resulte en un determinado perfil de riesgo. Sin embargo, una manera sencilla y gráfica de asignación podría ser dotarle de un nivel (bajo, medio o alto) a cada categoría de tercero que hayamos delimitado. Por ejemplo, la categoría “socio de negocio” podría tener aparejada un perfil “alto” y la de “proveedor de materiales inferior a 20.000€/año” uno “bajo”.
El perfil de riesgo determinará mayores o menores medidas de diligencia debida, por ejemplo, a los de perfil “medio” o “alto” les enviaremos un cuestionario de Compliance o know your client/counterparty (KYC), para obtener más información y hacer una mejor evaluación de los riesgos.
La diligencia debida continuará con el análisis de noticias negativas, listas de sanciones o búsqueda de personas expuestas políticamente (PEP). Como último paso, junto con las recomendaciones del área de Compliance, se elevará la información de riesgos resultante (riesgo ex post) del análisis a la alta dirección, órgano de administración o a quién corresponda la toma de decisiones en cada caso. Las políticas de gestión de riesgos suelen establecer tablas de aprobación de terceros en función del resultado del proceso de diligencia debida. Por ejemplo, un tercero con una alerta de riesgo alto deberá ser aprobado por el CEO, mientras que el de riego medio por el Compliance Officer o un Comité de Ética y Cumplimiento.
En resumen, siguiendo el espíritu de la Guía de Evaluación de los Programas de Compliance Corporativos del Departamento de Justicia de Estados Unidos (DOJ), para que los procesos de diligencia debida sean eficaces deberán estar bien diseñados, tener los medios y recursos para llevarlos a cabo y funcionar correctamente en la práctica. La clave es que Compliance aporte información de riesgos para la toma de decisiones. Precisamente será la información la que contrarreste ese “efecto de la incertidumbre” en la que se sustenta el concepto de riesgo, que la organización querrá reducir al máximo para tener éxito en lograr sus objetivos.
Sobre el autor
Jaime Olivar del Burgo
Compliance Officer de Grupo Hafesa