THIRD-PARTY RISK MANAGEMENT ¿EL MAYOR RETO DEL COMPLIANCE?
RICARDO CORONA CASTELLANOS

No es ninguna sorpresa que, en un mundo tan globalizado y digitalmente interconectado, las relaciones comerciales se encuentren profundamente entrelazadas entre todos los eslabones de una cadena de suministro, debido a que tales alianzas permiten a las empresas, proveedores, prestadores de servicios, distribuidores, agentes, gestores, consultores, contratistas, intermediarios, etc., una oportunidad para proveer sus servicios con mayor agilidad, reducir tiempos de producción y de entrega al mismo tiempo que abarata los costos.
Esto se manifiesta en todos los pasos que conforman una cadena de valor, ya sea para manufacturar algún producto o proveer algún servicio.
Tomemos como ejemplo la elaboración de un iPhone. El gigante tecnológico Apple publica año con año una lista con sus principales proveedores. En 2022 publicó su lista con más de 200 proveedores en más de 40 países[1], lo que le supone más del 98% de sus compras totales. Si bien no indica que compra a cada empresa, la OCDE señala en su reporte ‘Interconnected Economies: Benefiting from Global Value Chains’[2], algunos de los componentes necesarios para la elaboración de un iPhone que van desde la pantalla fabricada en Japón, el receptor de radiofrecuencia en Alemania, Wifi/GPS en EE. UU., el giroscopio desde Francia, chips desde Taiwán, etc.
Esto sin contar el testeo de los chips y semiconductores que se realiza en Filipinas[3] o el diseño de diversos softwares que requiere el teléfono para operar.
Como podemos darnos cuenta, únicamente el armado de un teléfono que se diseña en California ensambla en China y distribuye en todo el mundo, requiere de una compleja cadena de suministro que tiene ramificaciones en más de 40 países de 6 continentes. Es importante notar que he mencionado ensamblar, ya que, si nos vamos al detalle sobre, ¿dónde procede la materia prima para producir dichas piezas?, habría que tomar en cuenta un número de países mucho más vasto de donde provienen algunos de los minerales más raros del planeta.
Esta intrincada cadena de suministro, además de toda la logística que requiere para la operación de una sola empresa, está sujeta a un mundo regulatorio igual de vasto y complejo y es aquí donde el mundo del Compliance está fallando: en proteger a las empresas de los riesgos a los que se ven expuestas por la interacción con sus Terceros.
Para efectos de este ensayo, llamaremos “Terceros” a cualquier individuo u organización que esté ligada a una cadena de suministro o realice gestiones de negocio a nombre de la empresa que le contrata, estos encargos pueden incluir, la gestión de licencias, permisos o trámites regulatorios ante autoridades gubernamentales, otros socios comerciales o competidores.
¿Cuál es el universo de riesgos?
Quizá una de las razones por la cual el Compliance está fallando a las empresas en el Manejo de Riesgos de Terceros (“Third-Party Risk Management” o “TPRM”) es, que debido a la compleja red de suministro y la legislación que regula ese gran abanico de actividades a las que se dedican los Terceros, dicha regulación abre la puerta a diferentes riesgos regulatorios y reputacionales a los que las empresas se ven expuestos.
Algunos ejemplos que desarrollaré, sin intentar ser exhaustivo son:
- Riesgos de Disrupción de las Cadenas de Suministro / Continuidad de Negocio
- Riesgos Ambientales y de Responsabilidad Social Corporativa
- Riesgos en la vulneración de Derechos Humanos
- Riesgos de Filtración de Datos / Información Sensible / Protección de Datos Personales
- Riesgos de Corrupción
Riesgos de Disrupción en las Cadenas de Suministro / Continuidad de Negocio
Ejemplos de este tipo de riesgos los podemos encontrar en las noticias todos los días y los consumidores a menudo resienten su impacto por efectos como alzas súbitas a los precios o escasez de productos. Recordemos el alza de 6% en los precios de crudo cuando el carguero ‘Ever Given’ quedó atascado en el Canal de Suez[4]; o la pérdida de más de 200 mil millones de dólares que sufrió la industria automotriz durante 2021, por la escasez de chips semiconductores detonado principalmente por la crisis de Covid-19[5].
Si bien estos ejemplos escapan toda proporción debido a las circunstancias extraordinarias por las que se produjeron, existen otros casos de un mal manejo de riesgos por parte de las empresas en relación con sus Terceros.
Un ejemplo de ello es Toyota, la compañía automotriz más grande del mundo, que el 28 de febrero de 2022 suspendió la operación de sus 14 plantas de producción en Japón debido a que uno sus proveedores Kojima Industries Corp., sufrió un ciberataque. Posteriormente publicaría un comunicado mencionando que trabajaría en el fortalecimiento de su cadena de suministro (en temas de seguridad de la información)[6]. Este ataque le costó una reducción del 5% de su producción. Toyota ya había experimentado un caso similar el 27 de diciembre de 2021 cuando su proveedor Denso en México sufrió un ataque de Ransomware secuestrándole 1.1TB de información, dicho ataque causó que Denso pudiera reanudar su producción hasta el 3 de enero de 2022, quedando imposibilitado de proveer a Toyota de sus materiales.[7]
El de Toyota es un ejemplo de una pobre evaluación de las políticas de seguridad de la información de sus Terceros, al no contemplar los mismos estándares a sus Terceros que los que se imponía a sí mismo. Casos como el de Toyota no son aislados, de las 246 empresas encuestadas en una encuesta de Ernst & Young[8], 47% reportaron que han sufrido al menos un ciberataque y el 6% reportó que ha sufrido esta situación en 11 o más ocasiones.
Riesgos Ambientales y de Responsabilidad Corporativa
Esta categoría, también llamada por un sector de la comunidad de negocios como “ESG” (Environmental, Social & Governance), hace alusión a riesgos que son tanto regulatorios como reputacionales. Comúnmente los temas de ESG se usan para medir la sustentabilidad y el impacto ético de las inversiones dentro de una organización.
Aspectos clave de los temas de ESG son: cambio climático; huella de carbono; responsabilidad corporativa; diversidad e inclusión; inversión comunitaria; compensación a ejecutivos; ética y responsabilidad de los consejos de administración[9]
En su reporte: ‘Global Third-Party risk management survey 2022’, Deloitte señala que en el 41% de los casos, las empresas tienen un bajo nivel de capacidad organizacional para evaluar los riesgos de ESG de sus Terceros y otro 35% señala que las evaluaciones de dichos riesgos se basan meramente en creencias y no en un análisis cuantitativo[10], es decir, en el 76% de los casos, las empresas tienen una comprensión mínima o nula sobre que riesgos de ESG podrían enfrentarse al interactuar con sus Terceros, aun cuando el 91% de los fondos de inversión considera al ESG como un elemento fundamental a la hora de decidir que inversiones realizar[11].
Otro caso paradigmático en el que conviven riesgos medioambientales y riesgos de vulneración de Derechos Humanos, es el de la Corte civil de La Haya, que condenó a la compañía Royal Dutch Shell a reducir sus emisiones de carbono en un 45% para 2030[12] y recalcó que el grupo Shell es responsable de sus emisiones, así como las de sus Terceros[13] al violar los artículos 2 y 8 de la Convención Europea de Derechos Humanos, marcando un precedente que muy pronto empezarán a replicar otros tribunales alrededor del planeta y que la únicas herramientas con la que contarán las empresas para mitigar dichos riesgos las tendrán si conocían dichos riesgos a priori.
Riesgos en la vulneración de Derechos Humanos
Existen diversos tipos de ejemplos sobre empresas que vulneran Derechos Humanos, el caso de Shell es uno de ellos y sienta un precedente importante sobre la responsabilidad de debida diligencia que tendrán las empresas sobre sus Terceros, en ese caso respecto de causas medioambientales, sin embargo, existen otros Derechos Humanos que han sido violados sistemáticamente por empresas a lo largo de los años.
Tal el caso de Foxconn. Foxconn se convirtió en quizá el caso más mediático tratándose sobre esclavitud moderna cuando en 2010, ocurrió una serie de 15 intentos de suicidio de los cuales al menos 10 resultaron en la muerte de trabajadores que se aventaron desde los pisos superiores de la fábrica China debido a las terribles condiciones de trabajo a las que eran sometidos[14]: turnos largos, disciplina casi militar en las líneas de producción o que las líneas de producción fueran a una velocidad insostenible por parte de los trabajadores.
La incapacidad de detectar este tipo de prácticas en sus Terceros provocó que Apple sufriera una pérdida de al menos 30 mil millones de dólares debido a una reducción en el valor de las acciones de la empresa[15].
Otros ejemplos son los muchos casos que han ocurrido por el uso de minerales en conflicto y todas las repercusiones que esto conlleva en el financiamiento a grupos armados. Más recientemente (2022), Global Witness señaló la posible participación de Tesla, Intel y Apple en cadenas de suministro que cuentan con un modelo de debida diligencia que es utilizado para “blanquear” minerales en conflicto provenientes de la República Democrática del Congo[16], poniendo en riesgo el respeto a los Derechos Humanos de poblaciones enteras.
Riesgos de Filtración de Datos / Información Sensible / Protección de Datos Personales
El caso que hemos analizado de Toyota es un ejemplo de esta categoría de riesgos, sin embargo, no es el único que hemos visto en años recientes.
El caso Log4Shell, provocó que millones de aplicaciones basadas en la plataforma Java. web applications, sufrieran una vulneración, que hackers utilizaron para filtrar datos de miles de empresas. Estas últimas debieron evaluar por primera las políticas de seguridad de la información de sus Terceros, lamentablemente fue de forma reactiva al no haberlo realizado previo a este incidente.
Otro ejemplo de una filtración masiva de datos se trató del caso de Marriot International que fue la segunda mayor filtración de datos en la historia con 383 millones de datos filtrados debido a un pobre proceso de debida diligencia.
En 2016 previo a la adquisición de Starwood por parte de Marriot International; Marriot no realizó ningún test de infiltración, ni ninguna auditoría de los sistemas de Starwood, por lo que al momento de completar la adquisición no fueron alertados que los sistemas de Starwood habían sido hackeados[17]. Fue hasta 2018 que se dieron cuenta de este hecho y ordenaron una investigación de la situación. El informe de auditoría demuestra que desde 2014, hackers se hicieron con el control de esa base de datos y extrajeron millones de ellos. El 30 de octubre de 2020 se impuso una multa a Marriot International por la cantidad de £18.4 millones de libras[18].
En 2021, Vodafone fue multada con €8.15 millones de euros, por violaciones al Reglamento General de Protección de Datos de la Unión Europea, por utilizar Terceros (agencias de marketing) sin tener el consentimiento para hacerlo[19], al igual que a la compañía Iren Mercato que fue multada con €2.1M[20].
En general, según Deloitte 1 de cada 3 empresas ha sufrido una filtración de datos, la mayoría como consecuencia a debilidades en el proceso de debida diligencia de sus Terceros.
Riesgos de Corrupción
A lo largo de estas líneas hemos expuesto que existen grandes debilidades a la hora de realizar un análisis de debida diligencia por parte de las empresas frente a sus Terceros, sin embargo, el ejemplo más claro se obtiene cuando hablamos de riesgos de corrupción.
Con cifras a octubre de 2022, de los 314 casos que ha resuelto el Departamento de Justicia de los EE. UU. (“DOJ”), relacionados con violaciones a la Ley de Prácticas Corruptas en el Extranjero (“FCPA”), en 281 casos un Tercero actuando como intermediario estuvo involucrado.
Esto quiere decir que en prácticamente 90% de los casos de FCPA resueltos, un Tercero ha prestado servicios o ha actuado en nombre o representación de una empresa, para corromper o intentar ofrecer algún soborno a un funcionario público extranjero con el objetivo de obtener o retener un negocio.
El DOJ señala en una extensa guía de interpretación del FCPA[21], que se entiende por Tercero a todo aquel que actúe como: distribuidor, agente de ventas, agentes aduanales, consultores, lobistas, socio comercial, entre otros y que interactúe con autoridades gubernamentales extranjeras.
El ejemplo de Airbus ilustra el notable riesgo de un pobre manejo de Terceros. En 2020 Airbus alcanzó un acuerdo con el DOJ para no ser procesado, mediante el cual pagaría $3.9 mil millones de dólares para resolver acusaciones de realizar sobornos en diversos países alrededor del mundo utilizando para ello Terceros, con el fin de ganar tanto negocios privados, como con entidades controladas por diversos Estados.
Otro ejemplo claro es el pago de $282 millones de dólares por parte de Walmart al DOJ, debido a las acusaciones que surgieron por la investigación periodística del New York Times que sugería que Walmart pagó a Terceros para obtener licencias y permisos sin otorgar ningún tipo de vigilancia sobre el destino que tendrían dichos pagos en países como Brasil, China, India y México.
En una decisión bien razonada, el DOJ y la Securities and Exchange Commission (“SEC”) mencionaron que “Walmart pudo haber evitado muchos de estos problemas, pero en vez de ello decidieron no tomar seriamente las múltiples banderas rojas y retrasaron la implementación de diversos controles internos”[22]. La situación de Walmart es catalogada por los estudiosos de temas de Anti-Corrupción como ceguera voluntaria.
Es decir, tenían todas las alertas para suponer que dichos pagos se utilizarían para realizar sobornos, sin embargo, decidieron no preguntar, no vigilar y no enterarse, sobre el destino que se daría a esos recursos, como si esto los eximiera de responsabilidad.
Vale la pena señalar que, durante su defensa, Walmart pagó alrededor de $900 millones de dólares por honorarios legales.
Hemos repasado pues, por una serie de ejemplos que demuestra claramente el problema: es el TPRM el talón de Aquiles de los sistemas de Compliance, pero si tenemos el diagnóstico ¿Por qué no hacemos nada por resolver el problema?
¿Qué podemos hacer al respecto?
En un estudio de 2022 realizado por Prevalent[23], se menciona que tratándose de los programas de TPRM, las empresas están prestando más atención a los riesgos de: (i) Seguridad de la Información; (ii) Continuidad de Negocio; y (iii) Protección de Datos Personales, quizá porque son estos de los riesgos más comunes tratándose de Terceros. Por el contrario, también señala los riesgos a los que menos prestan atención en los programas de TPRM y son: (i) Prevención de Lavado de Dinero; (ii) Anti-Soborno y Anti-Corrupción; y (iii) al que menos atención prestan las empresas, Esclavitud Moderna.
Esto pareciera ser contraintuitivo ya que una de las áreas en las que comúnmente se enfocan los programas de Compliance es Anti-Corrupción y paradójicamente una de las áreas que más se deja de lado al manejar los riesgos de Terceros es precisamente Anti-Corrupción.
Esto se debe a que independientemente que las empresas cuenten con programas de Anti-Corrupción, tratándose de TPRM, dichos programas únicamente abarcan la debida diligencia previo a la contratación sin tomar en cuenta las otras etapas del ciclo de vida de los proveedores.
El citado estudio de Prevalent menciona que 83% de las empresas atienden la debida diligencia en el momento de la contratación, sin embargo, mientras más madura el proceso del ciclo de vida del proveedor, la relación junto con el riesgo asociado se deja monitorear hasta caer a un 57% de empresas que monitorean a sus proveedores hasta la terminación de su relación de negocios, dejando grandes riesgos abiertos al arbitrio de los proveedores.
La solución a estos problemas no es nada nuevo, simplemente se deben fortalecer las áreas de cumplimiento dotándolas de recursos suficientes para que puedan llevar a cabo las funciones de TPRM.
Una recomendación que parece funcionar es que las empresas que además de contar con un Compliance Officer cuentan un departamento exclusivamente dedicado a TPRM, sufren en promedio 52% menos incidentes relacionados con Terceros mostrando un mayor nivel de madurez en sus programas de Compliance y sus controles asociados[24].
No es de sorprender que, a mayor madurez, los programas de Compliance tienden a lograr una mayor integración con todas las áreas de riesgo de la compañía, lamentablemente, esto va acompañado de una mejor dotación de recursos a los programas de cumplimiento, situación que no todas las empresas pueden afrontar.
Otras recomendaciones sencillas de seguir y con las que las empresas podrían robustecer su programa de TPRM son:
- (i) Diseñar y documentar un programa de manejo de riesgos de terceros (TPRM).
- (ii) Tener una base de datos consolidada con todos los Terceros y segmentar la base mediante un enfoque basado en riesgo para determinar el tipo de control requerido.
- (iii) Mantener un monitoreo constante de la relación con los Terceros y contar con un proceso de escalación eficiente que permita tomar decisiones oportunas durante todo el ciclo de vida de cada proveedor.
- (iv) Invertir en automatizar lo más posible las funciones de TPRM, para contar con un monitoreo más complejo que el de una tabla de Excel, mismo que te permita obtener información analítica.
- (v) Expandir el alcance de riesgos más allá de las materias ya conocidas (Seguridad de la Información, Datos Personales, etc.) e incluir materias como ESG, Derechos Humanos y Anti-Corrupción durante todo el ciclo de vida del proveedor.
- (vi) En la medida de lo posible integra a tu programa de TPRM un programa de desarrollo de proveedores donde puedas capacitar, auditar, certificar y trabajar en el proceso de maduración de todos tus Terceros.
- (vii) No olvides que los Terceros de tus Terceros (“Fourth Party”) también son un riesgo que hay que considerar y puede mitigarse pactando cláusulas de subcontratación y de auditoría ya que, ante los reguladores, seguirás siendo responsable si algún Fourth Party realiza algún acto en contravención a la regulación.
- (viii) Capacita constantemente a tu área de TPRM, son ellos los que están cuidando de tu mayor riesgo de Compliance
- (ix) No dejes de capacitar a todos los stakeholders que solicitan altas de proveedores respecto del monitoreo constante que deberán realizar a proveedores críticos, recuerda analizar por conflictos de interés.
- (x) Audita tu programa de TPRM y una vez que veas las deficiencias crea un plan de trabajo para mejorar e implementar esas mejoras, a fin de que sea un trabajo cíclico y constante.
El nivel de interconexión que se tiene en el entorno de negocios global no solo incrementa el riesgo al que una organización está expuesta, también supone un reto mayor el identificar y manejar dichos riesgos. Eso podría explicar por qué a pesar de contar con regulación más restrictiva y un enforcement más estricto, las organizaciones son menos proclives a realizar una debida diligencia adecuada, sin embargo, sabemos con datos duros que TPRM es el área con más oportunidad de mejora en un programa de Compliance y con tanto margen para mejorar, con acciones claras y concretas podemos revertir esta tendencia. ¿En qué otras áreas crees que pueden mejorar los programas de Compliance?
[1] https://www.apple.com/supplier-responsibility/pdf/Apple-FY21-Supplier-List.pdf, consultado el 20 de octubre de 2022.
[2] Organization for Economic Co-Operation and Development, Interconnected Economies: Benefiting from Global Value Chains, 2013. Consultado en: https://www.oecd.org/sti/ind/interconnected-economies-GVCs-synthesis.pdf el 20 de octubre de 2022.
[3] https://www.cnbc.com/2018/12/13/inside-apple-iphone-where-parts-and-materials-come-from.html, consultado el 18 de octubre de 2022.
[4] https://www.bbc.com/mundo/noticias-internacional-56564948, consultado el 20 de octubre de 2022.
[5] https://mitsloan.mit.edu/ideas-made-to-matter/how-auto-companies-are-adapting-to-global-chip-shortage, consultado el 20 de octubre de 2022.
[6] https://global.toyota/en/newsroom/corporate/36961051.html, consultado el 19 de octubre de 2022.
[7] https://www.bankinfosecurity.com/toyota-parts-supplier-denso-confirms-ransomware-attack-a-18716, consultado el 19 de octubre de 2022.
[8] https://assets.ey.com/content/dam/ey-sites/ey-com/en_gl/topics/advisory/ey-trpm-survey-2019-20-update-final.pdf consultado 19 de octubre de 2022.
[9] Pollman, Elizabeth. Corporate Social Responsibility, ESG & Compliance. en The Cambridge Handbook of Compliance, Van Rooij, Benjamin y Sokol, Daniel. Cambridge University Press, 2022, p.668
[10] https://www2.deloitte.com/content/dam/Deloitte/uk/Documents/risk/deloitte-uk-global-tprm-survey-report-2022.pdf consultado el 20 de octubre de 2022
[11] https://assets.ey.com/content/dam/ey-sites/ey-com/en_gl/topics/assurance/assurance-pdfs/ey-global-institutional-investor-survey-2020.pdf, consultado el 20 de octubre de 2022
[12] https://www.business-humanrights.org/en/latest-news/the-netherlands-dutch-court-orders-royal-dutch-shell-to-cut-carbon-emissions-by-45-by-2030-in-compliance-with-paris-climate-agreement/ consultado el 20 de octubre de 2022.
[13] https://www.bbc.com/news/world-europe-57257982, el 20 de octubre de 2022
[14] https://www.huffpost.com/entry/foxconn-suffers-10th-deat_n_588524, el 20 de octubre de 2022
[15] https://seekingalpha.com/article/926801-did-foxconn-bring-down-apple-stock, el 20 de octubre de 2022
[16] https://www.globalwitness.org/en/campaigns/natural-resource-governance/itsci-laundromat/ consultado el 20 de octubre de 2022.
[17] https://resources.infosecinstitute.com/topic/lessons-learned-the-marriott-breach/, el 20 de octubre de 2022.
[18] https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2020/10/ico-fines-marriott-international-inc-184million-for-failing-to-keep-customers-personal-data-secure/ consultado el 20 de octubre de 2022.
[19] https://www.tessian.com/blog/biggest-gdpr-fines-2020/, el 20 de octubre de 2022.
[20] Ídem
[21] https://www.justice.gov/criminal-fraud/file/1292051/download el 20 de octubre de 2022
[22] https://www.sec.gov/news/press-release/2019-102#:~:text=%E2%80%9CWalmart%20valued%20international%20growth%20and,SEC%20Enforcement%20Division’s%20FCPA%20Unit, consultado el 20 de octubre de 2022.
[23] https://www.prevalent.net/blog/third-party-risk-management-study-2022/, consultado el 20 de octubre de 2022.
[24] Idem, 2021 Definitive Risk & Compliance Benchmark Report Key Findings