5 pasos para implantar un Programa de “due diligence” basado en el riesgo

La implantación de un Programa de “due diligence” o “proceso de diligencia debida” sobre terceros es uno de los elementos clave de los programas antisoborno y anticorrupción de las empresas.

Conforme a los datos facilitados por la autoridad anticorrupción de EEUU (Foreign Corrupt Practices Clearing House), en más del 90% de sus investigaciones y casos de los últimos diez años se hallaba implicado un tercero. En consecuencia, realizar una “due diligence” o “proceso de diligencia debida” basada en el riesgo de los terceros se ha convertido en una práctica fundamental para que los programas de compliance de las empresas puedan mitigar el riesgo de forma eficaz.

Sin embargo, las empresas y sus equipos de compliance suelen tener dificultades para evaluar a los terceros y gestionar y supervisar el riesgo de forma continuada. Esto se debe al elevado número de terceros con los que trata la empresa y la complejidad de identificar y recopilar información cuando existen unidades de negocio en regiones con diferentes normas, culturas y situaciones políticas.

Por tanto, para la mitigación del riesgo de evaluación insuficiente de los socios comerciales y los intermediarios, se proponen los siguientes pasos:

1. Desarrollar un inventario de riesgos: se trata de agregar los datos de terceros en todos los sistemas informáticos. Se deben agregar los datos, filtrar duplicados y errores y determinar el tipo y finalidad de la relación de negocio. En ocasiones, las empresas pueden no ser conscientes de las relaciones existentes con un tercero, por lo que es preciso examinar los sistemas CRM, los registros de cuentas a pagar, los datos de los puntos de venta, las relaciones comerciales y cualquier otra fuente que pueda revelar la existencia de la relación. El proceso debe ser automatizado y ejecutado continuamente para detectar y agregar las nuevas relaciones con terceros.

2. Realizar una evaluación inicial del riesgo y crear perfiles de riesgo de los terceros: para ello resulta útil plantear cuestiones relativas al riesgo de corrupción del país donde el tercero tiene su sede, número de negocios que tiene con la empresa, si realiza servicios en un sector de alto riesgo de corrupción o si la empresa del tercero es de propiedad estatal. A la hora de abordar el cálculo del riesgo, lo importante es seleccionar sólo aquellos factores de riesgo que sean relevantes para la compañía, pues de lo contrario podrían aparecer sesgos en el cálculo de la puntuación del riesgo. Según la puntuación obtenida, se asociará un perfil y un nivel de riesgo determinado, para el que se aplicará el examen de la diligencia correspondiente a sus características.

3. Llevar a cabo la “due diligence” o proceso de investigación: la mayoría de los esfuerzos deben centrarse en los terceros identificados como de alto riesgo en la evaluación inicial. Para proceder a la “due diligence” de estos terceros deben tenerse en cuenta los siguientes factores:

  • la naturaleza de los servicios que prestan,
  • la identificación de los accionistas y de la dirección,
  • si existen relaciones con funcionarios públicos,
  • el uso de terceros por parte del intermediario,
  • los conflictos de intereses y las estructuras de control interno del tercero.

Estas consideraciones permiten conocer los esfuerzos de diligencia de los terceros, independientemente del tamaño o la naturaleza del negocio de la empresa.

4. Gestionar las deficiencias (red flags): es preciso resolver las deficiencias o banderas rojas identificadas durante la fase de due diligence. En algunos casos, será más eficiente poner fin a la relación con el tercero, si bien a menudo es posible remediar los problemas mediante la formación, revisiones del contrato y otras medidas. En este sentido, la resolución de las banderas rojas tiene que ser coherente con el programa de compliance y proporcionar incentivos concretos para el cumplimiento.

Cuando se contrate a nuevos terceros (en particular a aquellos para los que no es posible realizar un proceso de investigación exhaustivo) se debe considerar la posibilidad de incluir en el contrato cláusulas que permitan la implementación de auditorías anticorrupción y la rescisión del contrato en caso de mala conducta. Además, es necesario que el programa de compliance incorpore mecanismos que permitan el seguimiento de las banderas rojas a lo largo del tiempo, para que el tercero no cualificado no sea contratado o, si lo fue, no vuelva ser contratado en el futuro.

5. Compromiso de seguimiento continuo: dependiendo de la naturaleza de la relación y del nivel de riesgo, será necesario supervisar y re-evaluar a los terceros existentes de forma periódica. Dado que es probable que los perfiles de riesgo cambien, los terceros deben ser revisados con frecuencia para garantizar el cumplimiento de los términos y condiciones establecidos. Por tanto, debe comprobarse periódicamente el programa de compliance para determinar si sigue exponiendo áreas de riesgo y si ofrece posibilidades de mitigación. Para ello, es importante que el equipo de compliance tenga acceso continuo a datos operativos y que las políticas y procedimientos reflejen los cambios en curso.

Para concluir, cabe señalar que la aplicación de un programa eficaz de due diligence basado en el riesgo, no sólo demuestra a los reguladores que la empresa dirige sus esfuerzos a la lucha contra la corrupción, sino que puede proteger la reputación de la compañía y resultar en una ventaja competitiva en el mercado.


Contacto

FORMAFIN

Contacto

(+34) 915 44 79 79

28046 Madrid

Pº de la Castellana nº 12, segunda planta.