Embedded Files
Durante años, los programas de cumplimiento concentraron su atención casi exclusivamente en el interior de las organizaciones: políticas internas, controles sobre empleados, capacitaciones y canales de denuncia. Sin embargo, los principales eventos de exposición reputacional, sancionatoria y patrimonial comenzaron a demostrar una realidad distinta: el riesgo no termina en los límites societarios.
Contratistas, proveedores, intermediarios, distribuidores, consultores, agentes comerciales, socios estratégicos e incluso subcontratistas forman parte de una red de relaciones que amplía la capacidad operativa de las organizaciones, pero también extiende sus zonas de exposición.
La pregunta ya no es únicamente qué hace la empresa, sino qué hacen quienes actúan en su nombre, para su beneficio o dentro de su esfera de influencia económica.
La expansión de la responsabilidad: del control interno a la cadena de terceros
La expansión de la responsabilidad: del control interno a la cadena de terceros
La evolución de los estándares internacionales de compliance ha consolidado una idea central: una organización no puede desentenderse completamente del comportamiento de determinados terceros cuando éstos generan o facilitan riesgos relevantes.
En materia de corrupción, lavado de activos, fraude, protección de datos, derechos humanos, sostenibilidad y gobierno corporativo, la expectativa regulatoria y del mercado se orienta crecientemente hacia modelos de debida diligencia ampliada.
Esto no implica una responsabilidad automática por cualquier conducta ajena ni una obligación imposible de vigilancia absoluta. Implica, en cambio, que la organización debe demostrar que actuó con un estándar razonable de prevención, conocimiento y control acorde a su actividad y nivel de exposición.
En otras palabras: la ignorancia organizacional dejó de ser una estrategia defensiva válida.
Due diligence sobre terceros: mucho más que una verificación documental
Due diligence sobre terceros: mucho más que una verificación documental
Con frecuencia, la debida diligencia sobre terceros se reduce a recopilar formularios, solicitar documentación societaria y archivar declaraciones juradas.
Ese enfoque resulta insuficiente.
La verdadera due diligence constituye un proceso de evaluación de integridad orientado al riesgo, destinado a determinar si la relación comercial proyectada puede generar exposición legal, regulatoria, financiera o reputacional.
Una evaluación robusta suele contemplar, entre otros aspectos:
Identificación del beneficiario final y estructura de control.
Revisión de antecedentes judiciales, regulatorios y sancionatorios.
Evaluación reputacional y presencia mediática.
Análisis de conflictos de interés.
Verificación de programas de compliance existentes.
Evaluación de antecedentes ambientales, laborales y sociales.
Revisión de relaciones con funcionarios públicos o sujetos políticamente expuestos cuando corresponda.
Validación de capacidad económica y operativa.
Evaluación del uso de subcontratación.
La profundidad del análisis debe responder al nivel de riesgo y no al volumen documental.
La cadena de riesgo: cuando el tercero tiene sus propios terceros
La cadena de riesgo: cuando el tercero tiene sus propios terceros
Uno de los mayores desafíos actuales aparece cuando el proveedor principal delega parte de sus operaciones.
La tercerización sucesiva puede generar una pérdida progresiva de visibilidad y control.
Así surgen escenarios complejos:
contratistas que emplean subcontratistas no evaluados;
distribuidores que utilizan intermediarios locales;
proveedores tecnológicos que tercerizan servicios críticos;
cadenas de suministro internacionales con estándares regulatorios heterogéneos.
En estos casos, el riesgo deja de ser individual y se convierte en riesgo en red.
La organización que sólo analiza al proveedor inmediato muchas veces construye una sensación de seguridad que no refleja la exposición real.
Por ello, los programas más maduros incorporan mecanismos de:
evaluación escalonada de terceros críticos;
cláusulas de flujo obligatorio hacia subcontratistas;
derechos de auditoría;
monitoreo continuo;
reevaluaciones periódicas;
indicadores de alerta temprana.
Del onboarding al monitoreo continuo
Del onboarding al monitoreo continuo
Otro error frecuente consiste en tratar la due diligence como una fotografía tomada al inicio de la relación contractual.
Pero los riesgos cambian.
Un tercero que hoy presenta condiciones adecuadas puede modificar su estructura accionaria, atravesar investigaciones regulatorias, ingresar a jurisdicciones de mayor exposición o deteriorar sus estándares de integridad.
Por eso, la lógica actual se orienta hacia modelos de third-party lifecycle management, donde la evaluación inicial constituye apenas el punto de partida.
La pregunta relevante deja de ser:
“¿Controlamos al tercero antes de contratar?”
para transformarse en:
“¿Seguimos entendiendo el riesgo que representa hoy?”
Reflexión final
Reflexión final
La gestión de terceros ya no pertenece exclusivamente al área de compras ni constituye una instancia administrativa previa a la contratación.
Es una decisión de gobernanza.
Cada proveedor incorporado, cada contratista aprobado y cada intermediario habilitado modifica el mapa de riesgo organizacional.
El verdadero desafío no consiste en eliminar la exposición —algo imposible en cualquier actividad económica— sino en construir evidencia de que la organización conoció, evaluó y gestionó razonablemente los riesgos derivados de su ecosistema de relaciones.
Porque en materia de compliance, muchas veces el mayor riesgo no proviene de quien está dentro de la empresa, sino de quien opera justo fuera de ella.
Por Marcela Alfandari
Abogada especializada en Compliance y Delitos Económicos
Autora de “Compliance como estrategia viva”
Page updated
Google Sites
Report abuse