ComplianceKeys#34. Compliance y gestión de proveedores: la importancia de la diligencia debida.
Como se viene advirtiendo desde hace años en el ámbito del Compliance, una parte relevante de los riesgos legales y reputacionales que afrontan las organizaciones no nace exclusivamente en su estructura interna, sino en el perímetro de terceros con los que se relacionan. Entre todos ellos, los proveedores ocupan una posición particularmente sensible.
En este contexto, la gestión de proveedores ha dejado de ser una cuestión puramente operativa o de compras para convertirse en una materia plenamente integrada en los sistemas de Compliance. Esta afirmación no responde a una visión maximalista de la función de Compliance, sino a una constatación fáctica, como veremos a continuación.
De ahí la necesidad de analizar con detenimiento (i) por qué los proveedores constituyen un foco singular de riesgo, (ii) cuáles son los riesgos habituales que suelen concentrarse en este ámbito y (iii) la diligencia debida como respuesta adecuada que deben seguir las organizaciones.
(i) Los proveedores como foco singular de riesgo.
A diferencia de lo que sucede con otras áreas de riesgo más internas o acotadas, el universo de proveedores suele ser amplio, heterogéneo, dinámico y, en muchas ocasiones, difícilmente controlable en su totalidad. Bajo una misma categoría conviven desde prestadores logísticos o tecnológicos hasta consultores, fabricantes, distribuidores, agentes de compras, subcontratistas o suministradores de materias primas esenciales. Cada uno de ellos proyecta perfiles de riesgo diferentes y exige, por tanto, aproximaciones de control también distintas.
A ello se añade que el proveedor no siempre actúa en un plano periférico o accesorio. En numerosos sectores o empresas, determinados proveedores participan de forma decisiva en procesos críticos de la actividad, inciden directamente en la calidad o licitud del producto o servicio final, acceden a información sensible, interactúan con autoridades en nombre o por cuenta de su cliente o canalizan actuaciones que la organización no ejecuta por sí misma. En estos supuestos, la frontera entre riesgo propio y riesgo de tercero se vuelve especialmente tenue. El proveedor ya no es un mero contratista externo, sino que puede llegar a ser una prolongación funcional de ciertas esferas de riesgo de la organización.
Precisamente por ello, uno de los errores más frecuentes consiste en abordar la relación con proveedores desde una lógica exclusivamente comercial, centrada en precio, plazo o capacidad de suministro, relegando a un plano secundario la evaluación del riesgo jurídico y ético que dicha relación incorpora. Con todo, la selección y homologación de proveedores debería responder también a criterios de integridad, solvencia, transparencia y capacidad de alineación con los estándares internos de la organización. Cuando esto no ocurre, el proveedor puede convertirse en un vector de penetración de riesgos que el sistema de Compliance no detecta a tiempo o no logra contener con eficacia.
(ii) Riesgos habituales asociados a proveedores.
Entre los riesgos que con mayor frecuencia se concentran en el ámbito de proveedores destacan, en primer lugar, los vinculados con la corrupción. Un proveedor puede canalizar pagos indebidos, comisiones, ventajas injustificadas, regalos improcedentes o favores encubiertos. Ante el creciente impulso de la autorregulación regulada, juegan un papel crucial las normas técnicas para marcar el camino. En concreto y en materia de soborno, es de destacar la ISO 37001.
Junto a ello, los conflictos de interés constituyen otro riesgo habitual y, con frecuencia, insuficientemente atendido. No siempre se manifiestan de forma burda o evidente: en ocasiones adoptan formas más sutiles, como puede ser el diseño de procesos de contratación de forma sesgada.
También merecen especial atención los riesgos vinculados al blanqueo de capitales (tratado expresamente en el ComplianceKeys#30). No ser sujeto obligado en materia de PBC-FT en atención a la Ley 10/2010 no elimina el riesgo de exposición a operaciones con terceros cuya estructura, flujos económicos o justificación de negocio presenten elementos anómalos. Hablamos de proveedores sin sustancia operativa real, sociedades interpuestas, utilización de jurisdicciones opacas o negativa a identificar adecuadamente a los titulares reales, todos ellos indicadores de alerta que deben hacer saltar todas las alarmas.
Otro bloque de riesgos habituales lo integran los incumplimientos regulatorios o sancionadores, como obligaciones de sostenibilidad, medioambientales, de seguridad del producto, o bien se encuentran afectados por restricciones o sanciones nacionales o internacionales. En este sentido, resulta especialmente ilustrativo el Proyecto de Ley Orgánica orientado a incorporar en el Código Penal la tipificación de los delitos vinculados a sanciones internacionales de la UE.
Finalmente, no menos importante es el riesgo reputacional. En el entorno actual, las organizaciones no son juzgadas únicamente por lo que hacen de forma directa. Así, un proveedor involucrado en prácticas corruptas o impactos ambientales graves puede proyectar sobre la organización contratante una sombra reputacional muy larga y difícil de desvanecer. La opinión pública, los clientes, los socios comerciales y, cada vez más, las propias autoridades esperan que las empresas conozcan razonablemente con quién contratan y adopten medidas proporcionadas para prevenir relaciones de negocio manifiestamente desalineadas con sus compromisos éticos y regulatorios.
(iii) La respuesta del sistema de Compliance: diligencia debida.
La función de los sistemas de Compliance no consiste en eliminar por completo el riesgo asociado a proveedores -difícilmente nos encontramos con situaciones de riesgo cero-, sino en articular mecanismos razonables, proporcionados y eficaces para identificarlo, evaluarlo, mitigarlo y supervisarlo: los procesos de diligencia debida.
El punto de partida debe situarse, a nuestro juicio, en una idea elemental pero decisiva: no todos los proveedores exigen el mismo nivel de diligencia. Desde esta perspectiva, la gestión adecuada de proveedores exige, en primer término, definir criterios claros de clasificación del riesgo. Elementos como el importe económico de la relación, la jurisdicción, el grado de interacción con el sector público o el historial de sanciones deben ser considerados de forma objetiva.
En segundo lugar, resulta esencial que la organización disponga de procedimientos para evaluar el riesgo y obtener información. Según proceda, desde cuestionarios hasta auditorías, pasando por screenings y un largo etcétera, pues no hay un catálogo cerrado de cómo hacerlo.
En tercer lugar, la relación con proveedores debe quedar adecuadamente reflejada en el plano contractual y de supervisión. Las cláusulas de Compliance, los compromisos de integridad, las restricciones a la subcontratación no autorizada, las auditorías a proveedores y los mecanismos de resolución ante incumplimientos constituyen herramientas de diligencia debida con terceros.
Por último, la organización debe asumir que, una vez homologado el tercero, la gestión del riesgo no termina per se. Un proveedor homologado no es un proveedor definitivamente inocuo: es, simplemente, un tercero respecto del cual la organización ha considerado, en un momento dado, que el riesgo era asumible bajo determinadas condiciones. Cuando esas condiciones cambian, el análisis debe reabrirse. De ahí que el monitoreo continuo sea tan importante.
En definitiva, los proveedores no deben ser concebidos como un elemento periférico del Compliance. Mal abordada, la relación con estos puede convertir a la organización en rehén de riesgos ajenos que, en realidad, nunca fueron del todo externos. Precisamente por ello, la madurez de un sistema de Compliance no se mide solo por cómo controla lo que ocurre estrictamente dentro de la empresa, sino también por cómo gobierna, con criterio y proporcionalidad, la relación con terceros.