ComplianceKeys#34. Compliance i gestió de proveïdors: la importància de la diligència deguda.
Com es ve advertint des de fa anys en l’àmbit del Compliance, una part rellevant dels riscos legals i reputacionals que afronten les organitzacions no neix exclusivament en la seva estructura interna, sinó en el perímetre dels tercers amb els quals es relacionen. Entre tots ells, els proveïdors ocupen una posició particularment sensible.
En aquest context, la gestió de proveïdors ha deixat de ser una qüestió purament operativa o de compres per a convertir-se en una matèria plenament integrada en els sistemes de Compliance. Aquesta afirmació no respon a una visió maximalista de la funció de Compliance, sinó a una constatació fàctica, com veurem a continuació.
D’aquí la necessitat d’analitzar amb deteniment (i) per què els proveïdors constitueixen un focus singular de risc, (ii) quins són els riscos habituals que solen concentrar-se en aquest àmbit i (iii) la diligència deguda com a resposta adequada que han de seguir les organitzacions.
(i) Els proveïdors com a focus singular de risc.
A diferència del que succeeix amb altres àrees de risc més internes o delimitades, l’univers de proveïdors sol ser ampli, heterogeni, dinàmic i, en moltes ocasions, difícilment controlable íntegrament. Sota una mateixa categoria conviuen des de prestadors logístics o tecnològics fins a consultors, fabricants, distribuïdors, agents de compres, subcontractistes o subministradors de matèries primeres essencials. Cadascun d’ells projecta perfils de risc diferents i exigeix, per tant, aproximacions de control també distintes.
A això s’afegeix que el proveïdor no sempre actua en un pla perifèric o accessori. En nombrosos sectors o empreses, determinats proveïdors participen de manera decisiva en processos crítics de l’activitat, incideixen directament en la qualitat o licitud del producte o servei final, accedeixen a informació sensible, interactuen amb autoritats en nom o per compte del seu client o canalitzen actuacions que l’organització no executa per si mateixa. En aquests supòsits, la frontera entre risc propi i risc de tercer es torna especialment tènue. El proveïdor ja no és un mer contractista extern, sinó que pot arribar a ser una prolongació funcional d’unes certes esferes de risc de l’organització.
Precisament per això, un dels errors més freqüents consisteix en abordar la relació amb proveïdors des d’una lògica exclusivament comercial, centrada en preu, termini o capacitat de subministrament, relegant a un pla secundari l’avaluació del risc jurídic i ètic que aquesta relació incorpora. Amb tot, la selecció i homologació de proveïdors hauria de respondre també a criteris d’integritat, solvència, transparència i capacitat d’alineació amb els estàndards interns de l’organització. Quan això no succeeix, el proveïdor pot convertir-se en un vector de penetració de riscos que el sistema de Compliance no detecta a temps o no aconsegueix contenir amb eficàcia.
(ii) Riscos habituals associats a proveïdors.
Entre els riscos que amb major freqüència es concentren en l’àmbit de proveïdors destaquen, en primer lloc, els vinculats amb la corrupció. Un proveïdor pot canalitzar pagaments indeguts, comissions, avantatges injustificats, regals improcedents o favors encoberts. Davant el creixent impuls de l’autoregulació regulada, juguen un paper crucial les normes tècniques per marcar el camí. En concret i en matèria de suborn, és de destacar l’ISO 37001.
Al costat d’això, els conflictes d’interès constitueixen un altre risc habitual i, amb freqüència, insuficientment atès. No sempre es manifesten de manera basta o evident: a vegades adopten formes més subtils, com pot ser el disseny de processos de contractació de manera esbiaixada.
També mereixen especial atenció els riscos vinculats al blanqueig de capitals (tractat expressament en el ComplianceKeys#30). No ser subjecte obligat en matèria de PBC-FT en atenció a la Llei 10/2010 no elimina el risc d’exposició a operacions amb tercers l’estructura dels quals, fluxos econòmics o justificació de negoci presentin elements anòmals. Parlem de proveïdors sense substància operativa real, societats interposades, utilització de jurisdiccions opaques o negativa a identificar adequadament als titulars reals, tots ells indicadors d’alerta que han de fer saltar totes les alarmes.
Un altre bloc de riscos habituals l’integren els incompliments reguladors o sancionadors, com a obligacions de sostenibilitat, mediambientals, de seguretat del producte, o bé es troben afectats per restriccions o sancions nacionals o internacionals. En aquest sentit, resulta especialment il·lustratiu el Projecte de Llei Orgànica orientat a incorporar en el Codi Penal la tipificació dels delictes vinculats a sancions internacionals de la UE.
Finalment, no menys important és el risc reputacional. En l’entorn actual, les organitzacions no són jutjades únicament pel que fan de manera directa. Així, un proveïdor involucrat en pràctiques corruptes o impactes ambientals greus pot projectar sobre l’organització contractant una ombra reputacional molt llarga i difícil d’esvair. L’opinió pública, els clients, els socis comercials i, cada vegada més, les pròpies autoritats esperen que les empreses coneguin raonablement amb qui contracten i adoptin mesures proporcionades per a prevenir relacions de negoci manifestament desalineades amb els seus compromisos ètics i reguladors.
(iii) La resposta del sistema de Compliance: diligència deguda.
La funció dels sistemes de Compliance no consisteix a eliminar per complet el risc associat a proveïdors -difícilment ens trobem amb situacions de risc zero-, sinó a articular mecanismes raonables, proporcionats i eficaços per a identificar-ho, avaluar-ho, mitigar-ho i supervisar-ho: els processos de diligència deguda.
El punt de partida ha de situar-se, al nostre judici, en una idea elemental però decisiva: no tots els proveïdors exigeixen el mateix nivell de diligència. Des d’aquesta perspectiva, la gestió adequada de proveïdors exigeix, en primer terme, definir criteris clars de classificació del risc. Elements com l’import econòmic de la relació, la jurisdicció, el grau d’interacció amb el sector públic o l’historial de sancions han de ser considerats de manera objectiva.
En segon lloc, resulta essencial que l’organització disposi de procediments per a avaluar el risc i obtenir informació. Segons sigui procedent, des de qüestionaris fins a auditories, passant per screenings i un llarg etcètera, perquè no hi ha un catàleg tancat de com fer-lo.
En tercer lloc, la relació amb proveïdors ha de quedar adequadament reflectida en el pla contractual i de supervisió. Les clàusules de Compliance, els compromisos d’integritat, les restriccions a la subcontractació no autoritzada, les auditories a proveïdors i els mecanismes de resolució davant incompliments constitueixen eines de diligència deguda amb tercers.
Finalment, l’organització ha d’assumir que, una vegada homologat el tercer, la gestió del risc no acaba per se. Un proveïdor homologat no és un proveïdor definitivament innocu: és, simplement, un tercer respecte del qual l’organització ha considerat, en un moment donat, que el risc era assumible sota determinades condicions. Quan aquestes condicions canvien, l’anàlisi ha de reobrir-se. D’aquí ve que el monitoratge continu sigui tan important.
En definitiva, els proveïdors no han de ser concebuts com un element perifèric del Compliance. Mal abordada, la relació amb aquests pot convertir a l’organització en ostatge de riscos aliens que, en realitat, mai van ser del tot externs. Precisament per això, la maduresa d’un sistema de Compliance no es mesura només per com controla el que ocorre estrictament dins de l’empresa, sinó també per com governa, amb criteri i proporcionalitat, la relació amb tercers.