¿Qué rol juega la tecnología en la gestión de riesgos de terceras partes?

Es importante tener presente la ISO 37.301, la última ISO que se ha aprobado, que indica que en caso de uso de procesos de terceras partes o de contratación externa de las actividades, la empresa debería llevar a cabo una diligencia eficaz para asegurar estándares y compromisos. Ahora bien, ¿qué metodología se recomienda implementar internamente para esta gestión de riesgos de terceros? Es decir, ¿qué rol juega la tecnología en estos procesos? Porque si bien muchos departamentos han incorporado tecnología y eso no se discute aún, la gestión de terceros se sigue llevando adelante de manera muy manual, incluso a través de planillas de Excel. Y teniendo en cuenta el volumen, el riesgo que suponen y más aún teniendo en cuenta en algunas organizaciones, la importancia de la cadena de valor, de la cadena de suministros, de la cadena de distribución, ¿cuán importante es incorporar tecnología en estos procesos?

‍

La tecnología hoy es un aliado que no es algo bonito para tener, es algo esencial. Ahora bien, tecnología sin metodología, genera un problema tecnológico, porque metemos nuestro caos en una herramienta tecnológica. Lo que se recomienda, primero, es entender muy bien y hacer un mapeo muy a conciencia, de cuáles son esos terceros que nos exponen a los riesgos concretos, en este caso, por ejemplo, de corrupción. Entonces, yo puedo tener miles de proveedores, pero los que me pueden llegar a generar un tema de corrupción, quizás terminan siendo un par de cientos, o cien, o cincuenta. Depende de donde estés operando, depende de qué tipo de negocio tengas, y eso se tiene que trabajar muy a conciencia, sin ningún tipo de sesgo. Y eso lo tiene que hacer gente idónea, gente que lo sepa hacer, gente que entienda qué es lo que está buscando, y no simplemente que haga un mapeo de terceros porque lo tiene que hacer o porque se lo pide una regulación o una ISO. 

‍

Una vez que los tengo identificados a esos terceros, hay que hacer un chequeo muy profundo de la verdadera forma de operar de ese tercero. La mejor manera, en los de altísimo riesgo, es sentarse con ese tercero, tener una charla muy franca, muy abierta y que nos explique cómo funciona. Obviamente, no lo podemos aplicar a este esquema a los mil proveedores, pero sí podemos ir a ese puñado de proveedores de altísimo riesgo, donde necesitamos entender muy bien cómo opera, cómo se documenta y todo eso, justamente, documentarlo, hacer un box true, entender cuáles son los puntos críticos, entender si tiene contrato o no tiene contrato, hacer un benchmark y hacer una auditoría también, para ver si lo que me está cobrando está de acuerdo a los contratos, si hay gastos por fuera, si estamos trabajando, por ejemplo, con algo que en ocasiones es común, que es pedir fondos adicionales por urgencias que nunca se rinden.

‍

Entender que, por ejemplo, si yo trabajo con un proveedor crítico en temas de corrupción, debo prestar atención a todas las alertas, porque estoy trabajando en un esquema de altísimo riesgo. Quizás deba descontinuar, o tener una tarifa fija o una tarifa preacordada. Son distintas cuestiones en las que nosotros tenemos que tener eso muy claramente mapeado, entendiendo muy bien hacia dónde queremos ir y con una herramienta que nos ayude justamente a tenerlos identificados cada vez que voy a pagarles, que estoy pagándole a un proveedor de alto riesgo. Es fundamental tener mapeado que ese proveedor ya lo entrené, tener identificado en la herramienta que ese proveedor, por ejemplo, se ha dado de baja, se ha bloqueado, y que nadie lo puede dar de alta si no está el equipo de Compliance involucrado en el alta.

‍

Son distintas herramientas y distintos mecanismos que tenemos que tener en cuenta. No es simplemente hacer una búsqueda en Google, hay toda una metodología detrás y todo un trabajo detrás muy grande. Creo que, de los programas de Compliance, es uno de los trabajos más grandes que hay que hacer, y uno de los que más paciencia requieren. Porque de nuevo, hay que contagiar la inercia y hay que contagiar a esos terceros, para que estén al ritmo de la compañía.

‍

Es enorme la importancia que han demostrado en los últimos años la tecnología aplicada a los procesos en un montón de ámbitos, es decir, desde canales éticos, desde monitoreo o supervisión, desde gestión de riesgos, desde formación y sensibilización. En un mundo donde la mitad del planeta está trabajando de manera telemática, y donde la modalidad continúa, es súper importante implementar esta gestión de riesgos, porque la realidad nos ha demostrado que vivimos en entornos tan cambiantes, que nuestro mapa de riesgos ya no se puede actualizar a uno o dos años, como ocurría antes.

‍

Con mi equipo hablamos siempre de un animal vivo, también por el tipo de negocio en el que estamos. Hacer un mapeo anual es hacer historia, no llegamos a tiempo. Y tienes que tener mecanismos suficiente ágiles para poder responder al negocio en tiempo y forma. Entonces, tienes que hacer un relevamiento y seleccionar esos procesos críticos donde no es posible dormirse. Y quizás haya procesos que los puedes planificar a largo plazo y otros proveedores a los que tienes que hacer un relevamiento constante.

‍

‍

‍