En una primera aproximación al marco contextual de los procedimientos de “Third Party Due Diligence” (Debida Diligencia a Terceros) se debe indicar que los mismos constituyen un proceso crítico que permite a las organizaciones gestionar los riesgos asociados a sus relaciones con terceros.
En un entorno empresarial globalizado, las cadenas de suministro son cada vez más complejas, involucrando múltiples actores ubicados en distintas jurisdicciones con diferentes marcos regulatorios y culturales.
Esto incrementa el nivel de exposición a riesgos legales, éticos y operativos.
La creciente presión normativa, impulsada por leyes como la Ley de Prácticas Corruptas en el Extranjero (FCPA), la Ley de Soborno del Reino Unido (UK Bribery Act), la normativa europea de Prevención del Blanqueo de Capitales y Financiación del Terrorismo (AML/CFT), y más recientemente el Reglamento de Diligencia Debida Corporativa Sostenible de la UE, subraya la responsabilidad de las empresas de garantizar que los terceros con los que trabajan operen de manera ética y conforme a las leyes.
Negligencia en la supervisión
Desde el punto de vista del Compliance, la negligencia en la supervisión de terceros puede llevar a severas sanciones financieras, responsabilidad penal para los directivos e incluso la pérdida de licencias o acceso a ciertos mercados.
Además, el daño reputacional derivado de una asociación con terceros involucrados en actividades ilegales, como corrupción, fraude, violaciones de derechos humanos o impactos negativos al medio ambiente, puede ser devastador.
Por ello, el «Third Party Due Diligence» no solo es una medida de prevención de riesgos legales, sino también una herramienta estratégica para preservar y fortalecer la confianza en la organización.
La base de un buen procedimiento de «due diligence» debe partir de la identificación y de la clasificación de los terceros, que se caracteriza por conformar un censo claro y detallado de todos los terceros con los que la empresa interactúa.
En esta etapa inicial, el objetivo no es solo identificar quiénes son los terceros, sino también comprender completamente el contexto y la naturaleza de la relación comercial.
Ello lleva consigo la necesidad de proceder a la creación de un inventario centralizado, donde todas las relaciones comerciales con terceros deben estar registradas en una base de datos o sistema centralizado, que permita realizar un seguimiento completo.
Esto incluye proveedores, socios de «joint ventures», distribuidores, intermediarios, agentes de ventas, consultores, contratistas y otras partes externas.
Clasificación del nivel de riesgo
Adicionalmente a ello, se ha preciso una clasificación del nivel de riesgo, en el que cada tercero debe ser evaluado y clasificado con base en criterios objetivos de riesgo. Algunos factores clave a considerar son:
a) El criterio geográfico.
Distinguiendo entre países con altos niveles de corrupción, como los identificados en el Índice de Percepción de la Corrupción de Transparencia Internacional, que requieren de un mayor análisis y ponderación con relación a cualquier vinculación comercial que se quiera mantener al efecto.
b) El criterio basado en la determinación de la industria.
En ciertos sectores (infraestructura, energía, minería, salud, telecomunicaciones) suelen estar más expuestos a riesgos de corrupción y soborno.
c) La ponderación de la interacción con funcionarios públicos.
Los terceros que interactúan directamente con gobiernos o entidades públicas representan un mayor riesgo.
«Los procedimientos de ‘Third Party Due Diligence’ son esenciales en un modelo de cumplimiento normativo o Compliance robusto. Porque permiten a las organizaciones gestionar de manera efectiva los riesgos asociados a terceros, garantizar el cumplimiento normativo y proteger tanto su integridad operativa como su reputación en el mercado global».
d) El historial y reputación.
En este sentido se deben tener en consideración los antecedentes de sanciones regulatorias, litigios o prácticas éticamente cuestionables incrementan significativamente el riesgo.
e) El tipo de servicio.
Las características del servicio a considerar debe ser otro factor de riesgo a tomar en consideración.
Por ejemplo, agentes o intermediarios que negocian en nombre de la empresa representan riesgos inherentes más altos que proveedores de bienes genéricos.
Este análisis inicial ayuda a segmentar a los terceros en niveles de riesgo (bajo, medio o alto) y permite a la organización priorizar los recursos y la intensidad de la debida diligencia.
Recopilación y verificación de la información
En una segunda etapa, el análisis con relación a estos procedimientos se ha de centrar en la recopilación y la verificación de la información sobre los terceros que constituye el siguiente paso en el proceso.
Este paso es fundamental para formar una base objetiva que permita evaluar los riesgos.
Las fuentes de información pueden ser internas, externas o mixtas.
En primer término, se ha de analizar la información solicitada directamente al tercero, la cual se ha de componer de los siguientes elementos o componente:
a) El nombre legal completo, estructura corporativa y beneficiarios finales (UBOs).
b) La documentación legal, como licencias, registros comerciales y certificaciones específicas del sector.
c) Las políticas internas relacionadas con cumplimiento, anticorrupción, sostenibilidad y prevención del lavado de activos.
d) Las referencias comerciales y bancarias.
e) La investigación externa y verificación independiente, tales como:
(i) la revisión de listas de sanciones internacionales, como las de la OFAC, la ONU, la UE o la Interpol;
(ii) las consultas en bases de datos públicas y servicios de inteligencia de riesgos; y,
(iii) el análisis de reputación en medios de comunicación y redes sociales.
Esta etapa puede requerir la utilización de cuestionarios específicos y entrevistas directas con los terceros para comprender su compromiso con la ética y el cumplimiento.
Evaluación de riesgos
El siguiente paso que considerar es el relativo a la evaluación de riesgos.
La evaluación de riesgos debe ser exhaustiva, considerando tanto los riesgos inherentes como los residuales tras aplicar medidas de mitigación.
Algunos aspectos clave en este análisis incluyen:
a) Los riesgos basados en actos de corrupción y de soborno.
En este sentido, es procedente evaluar si el tercero tiene prácticas o vínculos que podrían facilitar actos corruptos.
b) Los riesgos basados en el blanqueo de capitales.
Para ello se hace necesario identificar señales de alerta como estructuras corporativas opacas, beneficiarios finales ocultos o transacciones inusuales, u otros hechos de naturaleza análoga.
c) Los riesgos regulatorios.
Que exigen confirmar que el tercero cumple con las normativas locales e internacionales aplicables.
d) El impacto ambiental y social.
En este análisis se hace preciso evaluar si el tercero respeta estándares internacionales en materia de derechos humanos, sostenibilidad y condiciones laborales, especialmente en contextos de normativas como la Ley de Cadena de Suministro Alemana o el Reglamento de Diligencia Debida Sostenible de la UE.
Este análisis genera una puntuación o clasificación de riesgo que guía las decisiones sobre las medidas necesarias antes de proceder con la relación comercial.
La cuarta pauta que seguir en este análisis hace referencia a la necesidad de la adopción de medidas de mitigación del riesgos, y, el establecimiento de los correspondientes controles.
Medidas de mitigación proporcionales
Así, una vez identificado el nivel de riesgo del tercero, la organización debe implementar medidas de mitigación proporcionales.
Estas medidas incluyen las siguientes actuaciones:
• La incorporación de cláusulas contractuales:
Para ello, se hace necesario añadir cláusulas específicas en los contratos que exijan el cumplimiento de normativas anticorrupción, prohibición de sobornos, auditorías periódicas y reportes de incidentes de incumplimiento.
• La capacitación del tercero.
De este modo, es preciso proveer de la formación necesaria en materia de Compliance para garantizar que el tercero comprenda y aplique las políticas de la empresa.
• El establecimiento de los controles adicionales.
Ello exige aumentar la supervisión y los requisitos de documentación, especialmente para terceros clasificados como de alto riesgo.
• La realización de auditorías regulares.
Se hace necesario establecer un plan de auditorías periódicas para evaluar el desempeño y cumplimiento continuo del tercero.
Seguidamente, hay que hacer alusión a las obligaciones derivadas de la documentación, y, del registro de este proceso.
Documentación del proceso
La adecuada documentación de todo el proceso de «Due Diligence» es fundamental para demostrar que la organización actuó con la diligencia debida.
Esto incluye conservar:
(i) aquellos cuestionarios y formularios completados;
(ii) los informes de evaluación de riesgos;
(iii) los registros de comunicaciones y auditorías;
(iv) los contratos y anexos con cláusulas específicas de Compliance.
Una base documental sólida es un elemento ciertamente importante en el caso de la realización de auditorías internas, de inspecciones regulatorias, o, de investigaciones judiciales.
Finalmente, el última paso de este proceso es el que hace referencia a la monitorización continua y revaluación del tercero.
La monitorización continua es una práctica esencial, ya que el perfil de riesgo de un tercero puede cambiar con el tiempo.
Por ejemplo, una empresa inicialmente de bajo riesgo puede involucrarse en prácticas cuestionables o enfrentar sanciones internacionales.
Actualizar la información de forma periódica
Por ello, es necesario actualizar la información periódicamente (anualmente o según lo determinen las políticas internas), implementar sistemas de alertas que notifiquen cambios relevantes en el perfil del tercero, y, por último, proceder a evaluar los riesgos a medida que cambian las condiciones regulatorias, geográficas o comerciales.
Con relación a la importancia estratégica y los beneficios del “Third Party Due Diligence” debe indicarse que desde una perspectiva de Compliance, los procedimientos de “Third Party Due Diligence” no solo cumplen con exigencias normativas, sino que generan múltiples beneficios estratégicos para la organización.
Estos beneficios, pueden catalogarse en atención a los siguientes aspectos:
a) Con relación a la prevención de sanciones.
Se trata de evitar la imposición de multas, de investigaciones regulatorias y de litigios derivados de la asociación con terceros que incumplen con la normativa, que en cada caso sea de aplicación.
b) Con relación a la protección de la reputación.
Hace referencia a la necesidad de mantener la confianza de los inversores, clientes y otras partes interesadas al garantizar que la organización se asocia con terceros éticos.
c) Con relación a la mejora de la eficiencia operativa.
En este caso, el procedimiento se dirige a ayudar a identificar socios comerciales confiables, lo que reduce interrupciones en las operaciones.
d) Con relación a la necesidad de mantener un cumplimiento que sea sostenible.
Este proceso contribuye a garantizar que la organización cumple con normativas emergentes relacionadas con la sostenibilidad y la responsabilidad social corporativa.
De este modo, debe indicarse que el «Third Party Due Diligence» es una herramienta fundamental en un programa de Compliance efectivo, con importantes consecuencias positivas que fortalecen la integridad operativa, la protección legal y la reputación de la organización.
Sin embargo, también presenta desafíos que deben gestionarse cuidadosamente para garantizar su eficacia.
Así, para maximizar los beneficios y minimizar los desafíos, es esencial:
a) Establecer procesos claros y proporcionales al nivel de riesgo.
b) Usar herramientas tecnológicas avanzadas para automatizar la recopilación y análisis de datos.
c) Comunicar de manera transparente los objetivos del «due diligence» a los terceros.
d) Realizar capacitaciones internas y mantener actualizadas las políticas de Compliance.
Cuando se implementa correctamente, el «Third Party Due Diligence» no solo protege a la organización de riesgos legales y reputacionales, sino que también fortalece su posición competitiva al garantizar relaciones comerciales basadas en la ética, la transparencia y el cumplimiento normativo.
Es, en esencia, una inversión estratégica en la sostenibilidad y el éxito a largo plazo de la empresa.
Por todo ello, cabe considerar que los procedimientos de «Third Party Due Diligence» son esenciales en un modelo de cumplimiento normativo o Compliance robusto.
Permiten a las organizaciones gestionar de manera efectiva los riesgos asociados a terceros, garantizar el cumplimiento normativo y proteger tanto su integridad operativa como su reputación en el mercado global.
Su implementación adecuada no solo responde a una necesidad de carácter legal, sino que también refuerza el compromiso de la organización con la ética y la sostenibilidad, asegurando con ello su viabilidad a largo plazo.