Con este artículo sobre “Third party” en LatAm, tenemos la intención de guiar desde una perspectiva propia de quien suscribe, como un apoyo para la definición de las prioridades para 2026 en términos de gestión y mitigación de los riesgos.
En la actualidad cuando nos referimos a “Third party”, es importante que tengamos en cuenta a todas las partes que toman parte en un negocio, por eso le llamaremos también “grupos de interés”. En vista que el estándar nos llama a mirar hacia a todos los lados con un enfoque basado en riesgos, nuestra gestión siempre va un poco más allá del cliente, teniendo en cuenta promotores o intermediarios de nuestro negocio, el cliente directo e indirecto, el o los beneficiarios finales y en algunos casos hasta figuras que garantizan el cumplimiento de alguna obligación relacionado con el negocio regulado.
La gestión con enfoque basado en riesgos tiene la cualidad de ser preventiva y para tales efectos debemos hacer nuestro balance de la gestión que antecede para planificar con estrategia y anticipar los riesgos venideros que por diversas razones tienen el potencial de superar nuestro rango de acción y generar un impacto de severidad en nuestros principales pilares: Operativo, Legal y Financiero.
Ya que nuestra comunidad es diversa y multidisciplinaria, identificamos tres elementos de riesgo principales para priorizar, que seguramente aplican transversalmente a todo tipo de operaciones, en términos de gestión y mitigación de los riesgos.
Identificación y segmentación de “Third party”para el conocimiento razonable
Estándares como las 40 recomendaciones del GAFI, ya nos señalan lo que es el conocimiento razonable del cliente, que tiene como principal componente, la validación de la veracidad y vigencia de los datos proporcionados por los terceros para su correcta identificación. Además, de describir el proceso de debida diligencia, el GAFI nos ha brindado un marco de criterios para la identificación de beneficiarios finales por al menos 3 cualidades, la de tenencia o participación accionaria, por autoridad otorgada mediante poderes de representación directiva y por rango administrativo superior. En otras palabras, dada la incertidumbre que genera un potencial ocultamiento, engaño o la omisión de información veraz, el organismo ha dado cabida a una herramienta eficiente para atribuir las decisiones de una persona jurídica a un humano, un individuo cuyas decisiones, firmas de aceptación y acuerdos de negocio se materializan a través de las operaciones de la entidad regulada.
En tal sentido, una de las prioridades para una gestión preventiva de los riesgos, es trabajar con bases de datos apalancadas en nuevas tecnologías que nos permitan minar información de manera tan granular en tiempo real, que podamos sanear duplicados, identificar datos incorrectos, realizar corrección y mantener un monitoreo constante acorde al segmento que estemos evaluado.
Un intermediario cuyas características incluye ser una entidad regulada en términos similares a los de nuestra entidad bien podría clasificarse en un riesgo más bajo, siempre y cuando cumpla con todos aquellos criterios de control pertinentes para estar en cumplimiento del estándar y la norma que corresponda. La correcta segmentación y la identificación uno a uno de los parámetros que debe cumplir el tercero para relacionarse con nuestra entidad, supone un desafío para aquellos intermediarios que no cuentan con el perfil de admisión que exigimos y a la vez eleva el estatus de nuestra institución. Somos un poco como aquellos con los que nos relacionamos y mucho de aquello que permitimos a sabiendas de las irregularidades que pudieran existir.
Las calificaciones de riesgo, información pública como licencias, certificaciones y sellos, son de gran utilidad para pre-definir un mercado objetivo y anticipar con quienes nos queremos relacionar, con quienes deseamos mantener vínculos y con quienes no podemos continuar.
Gestión eficiente de alertas automatizadas y canales de denuncias
Un sistema de gestión y evaluación de riesgos generalmente parte de un nivel de madurez ínfimo en las entidades reguladas pequeñas y medianas, o bien en las familiares, sin embargo, desde cualquiera que sea el punto de partida, una entidad en la que hemos establecido un sistema de gestión y evaluación de riesgos basado en cualquier metodología reconocida, debe contar con parámetros para la generación de alertas del sistema y canales de denuncia interna y externa que permitan identificar los escenarios de riesgo que se presentan en torno a la operativa del negocio.
Tener una persona o varias dedicadas a la revisión manual de data del sistema y gestión igualmente manual de las señales de alerta, ya no es consistente ni funcional para cubrir las necesidades empresariales o de mercado de los negocios modernos. Las nuevas tecnologías que han llegado para quedarse con nosotros y además han evolucionado en asistencia apalancada en “inteligencia” artificial, y por ello suponen un incremento exponencial de diversos riesgos en los negocios, por sí mismas; y estos riesgos, ya no pueden anticiparte con martillo y cincel o con filtros y actualizaciones en libros de Excel.
A través de los distintos organismos internacionales, contamos ya con señales de alertas definidas para cada sector, con listas de países, individuos y entidades indexados por el tipo de sanción y por sus vínculos con actividades como el blanqueo de capitales, financiamiento del terrorismo, de la proliferación de armas de destrucción masiva, casos de corrupción y sobornos, evasión fiscal, ocultamiento y hasta conflicto armado. En nuestros días, podemos integrar plataformas de pago para la generación de alertas del sistema que ya contemplan estos listados o bien realizar una inversión inteligente en la programación “In-house” más acorde a nuestras necesidades. Ante una generación de alertas debemos contemplar tener un método eficiente de respuesta, para ellos debemos al menos:
- Definir parámetros de generación de la alerta
- Establecer niveles de prioridad para la gestión de las alertas
- Diseñar métodos de descarte automatizado
- Definir flujos de escalamiento de alerta para análisis más profundo
- Desarrollar triada de análisis de la alerta, revisión del hallazgo y reporte de la operación inusual o sospechosa
- Estudiar para mejora continua el balance o inventario de alertas versus hallazgos o reportes generados para afinar los parámetros automatizados.
Con adición a los sistemas de generación de alertas automatizados, los canales de denuncia no pierden vigencia, si bien podría generar un volumen mayor de falsos positivos, la gestión de respuesta puede ser similar ala que hemos planteado con anterioridad, con algunas diferencias en el análisis previo de las denuncias, para las cuales recomendamos:
- Contratar un servicio de gestión de denuncias independiente que garantice confidencialidad y realice la investigación pertinente para validar la veracidad de la denuncia.
- Definir los puntos de contacto para la gestión interna de la denuncia según el nivel corporativo que corresponda, por ejemplo, ante una denuncia contra un miembro de la junta directiva, debe haber al menos un director o asesor independiente que lidere un comité tripartito de gestión de la denuncia porque hablamos del nivel más alto de dirección de la empresa.
Protección de datos personales e integridad de la información
En la actualidad el activo más valioso de una empresa son los datos que administra, y más allá de los riesgos legales y de cumplimiento, están los relacionados con la exposición de datos de terceros y la pérdida de la confianza y respeto de nuestros clientes y otros grupos de interés. Los riesgos de exposición son cada vez más altos, pero, un momento, no se puede vivir con miedo, se debe liderar con estrategia, y aunque no siempre podemos estar un paso adelante podemos estamos estar en cumplimiento. Para ellos es indispensable tener lo siguiente:
- Una política de protección de datos conforme al tipo de datos que administramos
- Un plan de continuidad de negocios que incluya la recuperación de datos
- Una póliza de seguros contra ciberataques
- Una estrategia de manejo de crisis que defina los paso a seguir en caso de una filtración inminente.
La comunicación eficaz sobre filtraciones de los datos de nuestros terceros, el tratamiento de denuncias, señales de alerta y medidas tomadas según el público al que dirigimos nuestro reporte, comunicado oficial o declaraciones públicas, es también un paso que definir con estrategia, lo último que queremos es comunicar mal lo que estamos haciendo bien, para ello recomendamos apoyarse en un plan estructurado de manejo de crisis y un buen relacionista público.
Artículo por Zuleymmi Velasco Pérez – Miembro del Comité de Ética y Cumplimiento LATAM de LEC
Las opiniones contenidas en esta publicación son de responsabilidad exclusiva de la autora y no representan necesariamente la opinión de LEC ni de sus socios.
Imagen: Canva
