La gestión de riesgos de terceros (TPRM, por sus siglas en inglés) implica identificar, evaluar y controlar los riesgos asociados con la subcontratación a proveedores, contratistas o socios. Estos riesgos pueden afectar el desempeño operativo, la estabilidad financiera, el cumplimiento normativo y la reputación. Los programas de TPRM eficaces garantizan que los terceros cumplan con los estándares y requisitos de la organización, lo que minimiza las posibles interrupciones y los resultados adversos. 

La importancia de la gestión de riesgos de terceros ha aumentado sustancialmente en los últimos años, impulsada por la creciente complejidad e interconectividad de las cadenas de suministro modernas. Según la investigación de 2022 de KPMG International, en la que se encuestó a 1263 profesionales de alto nivel en gestión de riesgos de terceros en seis sectores y 16 países, territorios y jurisdicciones de todo el mundo, la gestión de riesgos de terceros es una prioridad estratégica para el 851% de las empresas, frente al 771% antes del brote de la pandemia [1]. Además, en una encuesta de Gartner a 100 miembros del comité de riesgos ejecutivos en septiembre de 2022, el 841% de los encuestados afirmó que los “errores” de riesgos de terceros dieron lugar a interrupciones de las operaciones, lo que subraya la necesidad crítica de contar con marcos de gestión de riesgos de terceros sólidos [2]. 

En el contexto de los criterios ESG (ambientales, sociales y de gobernanza), la gestión de riesgos de terceros es igualmente crucial. Garantizar que los terceros cumplan con los estándares ESG es vital para mantener la sostenibilidad y la integridad ética de las operaciones de una organización. Con un mayor escrutinio regulatorio y una creciente demanda de los consumidores de prácticas comerciales responsables, la integración de la TPRM en las iniciativas ESG permite a las empresas gestionar los riesgos de manera más eficaz y promover un impacto ambiental y social positivo. Esta alineación no solo salvaguarda la reputación de una organización, sino que también contribuye a la resiliencia y el éxito a largo plazo. 

Entender el riesgo de terceros en ESG  

Comencemos por explorar el riesgo de terceros, que se refiere a las posibles amenazas y vulnerabilidades que surgen cuando una organización subcontrata servicios o funciones a entidades externas, como proveedores, contratistas o socios comerciales. Estos riesgos pueden manifestarse de diversas formas, incluidas interrupciones operativas, pérdidas financieras, responsabilidades legales, infracciones regulatorias y daños a la reputación. Básicamente, el riesgo de terceros surge de depender de terceros cuyas acciones, controles y prácticas pueden no estar totalmente alineadas con los estándares o expectativas de la organización contratante. A medida que las empresas dependen cada vez más de cadenas de suministro globales y redes interconectadas, la importancia de contar con sistemas sólidos de gestión de riesgos de terceros se vuelve primordial. Estos sistemas garantizan la resiliencia, el cumplimiento y la integridad operativa sostenida, protegiendo así a la organización de los innumerables riesgos asociados con las dependencias de terceros. 

Los factores ambientales, sociales y de gobernanza (ESG) son cruciales en la evaluación y gestión de riesgos de terceros. Con más de 70% de empresas que dependen de la subcontratación para optimizar las operaciones, los proveedores externos tienen un impacto significativo en el perfil y los informes ESG de una organización. Sin embargo, muchos profesionales de riesgos externos tienen dificultades para integrar los datos de terceros en sus esfuerzos de transparencia y presentación de informes ESG. Este desafío es comprensible, dada la escasez de orientación práctica sobre el tema. Los equipos de TPRM deben prepararse para la inevitable integración de las consideraciones ESG, pero la pregunta sigue siendo: ¿cómo pueden lograrlo de manera efectiva? 

Riesgos ambientales 

Los riesgos ambientales hacen referencia al impacto potencial de las operaciones de una organización en el medio ambiente natural. Estos pueden incluir contaminación, agotamiento de recursos, emisiones de carbono y problemas de gestión de residuos. Cuando se trata de la gestión de riesgos de terceros, identificar y evaluar estos riesgos es crucial, ya que pueden afectar los objetivos de sostenibilidad ambiental de una organización. 

• Contaminación: Los terceros pueden contribuir a la contaminación ambiental a través de actividades como la fabricación, la eliminación de residuos y el transporte. Esto puede provocar la contaminación del aire, el agua y el suelo, lo que puede perjudicar los ecosistemas y la salud pública. 
• Emisiones de carbono: Las operaciones de terceros pueden contribuir significativamente a las emisiones de gases de efecto invernadero. Asociarse con empresas que tienen una huella de carbono elevada puede socavar los esfuerzos de una organización por reducir su impacto ambiental general. 
• Cuestiones de gestión de residuos: Las prácticas inadecuadas de gestión de residuos por parte de terceros pueden dar lugar a la eliminación inadecuada de residuos peligrosos y no peligrosos, lo que puede generar riesgos ambientales, problemas de cumplimiento normativo y dañar la reputación de la organización asociada. 
• Incumplimiento de la Normativa Ambiental: Los terceros que no cumplan con las normas ambientales locales e internacionales pueden exponer a una organización a responsabilidades legales, multas y sanciones. Este incumplimiento también puede empañar la imagen de la organización y la confianza de las partes interesadas. 
• Riesgos de la cadena de suministro: Los terceros que intervienen en la cadena de suministro pueden introducir riesgos ambientales a través de prácticas como la agricultura insostenible, la tala ilegal y la minería. Estas prácticas pueden tener efectos de gran alcance en la sostenibilidad ambiental global. 
• Daño a la reputación: Asociarse con terceros que tengan malos antecedentes en materia ambiental puede dañar la reputación de una organización. Las partes interesadas, incluidos los clientes y los inversores, pueden considerar que la organización es cómplice de prácticas perjudiciales para el medio ambiente. 

Un ejemplo notable de contaminación causada por acciones de terceros es el derrame de petróleo de BP en el Golfo de México en 2010. BP subcontrató operaciones a subcontratistas como Transocean y Halliburton, cuyos fallos contribuyeron a uno de los peores desastres ambientales. El derrame provocó una extensa contaminación del agua, la devastación de la vida marina y daños duraderos a los ecosistemas del Golfo. Otro ejemplo es el escándalo de las emisiones que involucra a los proveedores externos de Volkswagen. Volkswagen utilizó software de terceros para engañar a las pruebas de emisiones, lo que permitió que sus vehículos emitieran contaminantes hasta 40 veces por encima del límite. Este escándalo "Dieselgate" causó graves daños ambientales y trajo consigo importantes repercusiones legales y financieras para Volkswagen. Estos incidentes ponen de relieve la necesidad de un escrutinio estricto y controles de cumplimiento de las operaciones de terceros para garantizar la alineación con los objetivos y las regulaciones ambientales. 

Riesgos sociales 

Los riesgos sociales, también denominados riesgos sociales o comunitarios, abarcan el impacto de las acciones de una organización en la sociedad y las comunidades locales. Estos pueden incluir prácticas laborales, violaciones de los derechos humanos e impactos en grupos marginados. Los equipos de gestión de riesgos de terceros deben evaluar los riesgos sociales para proteger a sus organizaciones de interrupciones legales, reputacionales y operativas. 

• Prácticas laborales: Los terceros pueden recurrir a prácticas laborales explotadoras, como el trabajo forzoso o el trabajo infantil, para reducir costos. Esto puede afectar negativamente los estándares éticos de la organización asociada y poner en peligro sus relaciones con los clientes y las partes interesadas. 
• Violaciones de derechos humanos: Las operaciones de terceros pueden causar o contribuir a violaciones de los derechos humanos, como discriminación, condiciones de trabajo inseguras y negación de los derechos de los trabajadores. Estas violaciones pueden tener consecuencias legales y dañar la reputación de la organización. 
• Incumplimiento de las Leyes Laborales: Asociarse con terceros que no cumplan con las leyes laborales puede exponer a las organizaciones a responsabilidades legales y sanciones. También puede dañar la reputación de la organización como empleador responsable. 
• Riesgos de la cadena de suministro: Los proveedores externos pueden cometer abusos contra los derechos humanos, como obtener materiales de zonas en conflicto o utilizar condiciones de trabajo abusivas. Esto puede generar importantes riesgos para la reputación de la organización asociada. 
• Daño a la reputación: Alinearse con terceros que se involucran en riesgos sociales puede dañar la reputación de una organización y socavar sus esfuerzos por adoptar prácticas responsables. Esto puede generar una pérdida de confianza de las partes interesadas, incluidos clientes, inversores y empleados. 

Un ejemplo notable de violación de los derechos humanos que involucra operaciones de terceros es el uso de mano de obra infantil en la producción de cacao para los productos de Nestlé. En 2015, Nestlé enfrentó una demanda por el supuesto uso de mano de obra infantil en su cadena de suministro. El hecho de que la empresa no abordara estas acusaciones con prontitud dio lugar a un importante daño a su reputación y a consecuencias legales. Otro ejemplo es la tragedia de Rana Plaza, donde más de 1.100 trabajadores murieron cuando se derrumbó una fábrica de ropa en Bangladesh. La fábrica producía ropa para empresas como Walmart y Primark, lo que expuso las prácticas laborales poco éticas de sus proveedores externos. Este incidente puso de manifiesto la importancia de la gestión responsable de la cadena de suministro y el abastecimiento para las organizaciones. 

Riesgos de gobernanza 

Los riesgos de gobernanza, también conocidos como riesgos de gobernanza corporativa, involucran las políticas y procedimientos internos que sigue una organización para gestionar las relaciones con terceros de manera eficaz. Estos riesgos pueden surgir de prácticas de gestión deficientes, supervisión inadecuada y falta de rendición de cuentas, lo que genera pérdidas financieras, daño a la reputación y sanciones regulatorias. Los equipos de gestión de riesgos de terceros deben asegurarse de que las prácticas de gobernanza sean sólidas para mitigar los riesgos potenciales y salvaguardar los intereses de la organización. 

• Falta de diligencia debida: No realizar una debida diligencia exhaustiva sobre terceros puede dar lugar a asociaciones con entidades que no cumplen los estándares de la organización o las regulaciones, lo que puede generar pérdidas financieras y daños a la reputación. 
• Deficiente supervisión y seguimiento: La supervisión insuficiente de las actividades de terceros puede dar lugar a un incumplimiento de los términos contractuales, los requisitos reglamentarios y las normas éticas. El seguimiento continuo es fundamental para garantizar el cumplimiento de las políticas de gobernanza de la organización por parte de terceros. 
• Incompatibilidad: Las asociaciones con terceros pueden generar conflictos de intereses que pueden comprometer los procesos de toma de decisiones y erosionar la confianza de las partes interesadas. Las prácticas de gobernanza transparentes son necesarias para identificar y mitigar esos conflictos. 
• Preocupaciones sobre ciberseguridad y privacidad de datos: Las relaciones con terceros pueden generar riesgos relacionados con violaciones de datos y ciberataques. Implementar medidas de ciberseguridad estrictas y protocolos de privacidad de datos es vital para proteger la información confidencial. 
• Daño a la reputación: Las prácticas de gobernanza deficientes en la gestión de las relaciones con terceros pueden provocar daños a la reputación, lo que afecta la credibilidad de la organización y la confianza de las partes interesadas. Garantizar marcos de gobernanza sólidos es fundamental para mantener una reputación positiva. 

Un ejemplo de los riesgos de gobernanza es el escándalo de fraude de cuentas de Wells Fargo, en el que las prácticas de gobernanza inadecuadas permitieron a los empleados crear millones de cuentas no autorizadas para cumplir con los objetivos de ventas. Este escándalo dio lugar a importantes sanciones financieras, repercusiones legales y daños a la reputación de Wells Fargo. Otro ejemplo es el colapso de Enron, que se produjo debido a una mala gobernanza corporativa, falta de transparencia y prácticas poco éticas por parte de sus auditores externos. Esto condujo a una de las mayores quiebras corporativas de la historia y puso de relieve la importancia fundamental de unas estructuras de gobernanza sólidas para prevenir este tipo de fracasos. 

Reflexiones finales 

En el panorama empresarial interconectado de hoy, la gestión de los riesgos de terceros es crucial para salvaguardar la reputación, la reputación y la eficiencia operativa de una organización. Los riesgos sociales y de gobernanza son dos de las principales preocupaciones que deben abordar los equipos de gestión de riesgos. Desde prácticas laborales poco éticas y violaciones de los derechos humanos hasta marcos de gobernanza débiles y supervisión inadecuada, estos riesgos pueden tener importantes impactos negativos si no se gestionan adecuadamente.  

Casos de alto perfil, como el uso de mano de obra infantil en la cadena de suministro de Nestlé o las fallas de gobernanza en Wells Fargo y Enron, subrayan la necesidad de una debida diligencia, un monitoreo sólido y prácticas éticas sólidas. Las organizaciones deben ser proactivas en su enfoque, asegurando que sus relaciones con terceros se gestionen con la máxima integridad y cumplimiento. 

De cara al futuro, la implementación de criterios ambientales, sociales y de gobernanza (ESG) en los programas de gestión de riesgos de terceros cobra cada vez mayor importancia. En nuestro próximo blog, exploraremos los pasos necesarios para integrar los principios ESG en la estrategia de gestión de riesgos de su organización de manera eficaz. Esté atento a las perspectivas prácticas y las mejores prácticas para mejorar su marco de gestión de riesgos de terceros. 

 

Fuentes: 

[1] https://assets.kpmg.com/content/dam/kpmg/xx/pdf/2022/01/third-party-risk-management-outlook-2022.pdf 

[2] https://www.gartner.com/en/newsroom/press-releases/2023-02-21-gartner-survey-shows-third-party-risk-management-misses-are-hurting-ororganizations