Aunque la “cultura” de cumplimiento difícilmente puede cuantificarse en unidades de medida, disponemos de cada vez más fuentes de información y herramientas que contribuyen a arrojar alguna luz sobre dónde se encuentra la organización en cada momento (lo que por cierto resulta imprescindible para así enfocar mejor los próximos pasos). Y, en ese sentido, es legítimo que, las compañías que llevamos ya un tiempo haciendo “Compliance” en sentido integral y con una dotación adecuada de recursos, podamos concluir que una parte importante del camino ya está recorrida: la que tiene que ver con el compromiso de nuestra entidad y de quienes formamos parte de ella.
Pero… ¿ocurre lo mismo con nuestro ecosistema?
En el siglo XXI, no hace falta que una compañía sea muy grande para que su viabilidad dependa de un entramado de relaciones, comerciales y/o jurídicas, con actores que se hallan fuera de su perímetro. No se trata solo de sus clientes (en cuanto destinatarios últimos de sus productos o servicios), sino sobre todo de otros sujetos que, en la cadena de suministro o, en sentido más amplio, en la cadena de valor, desempeñan un papel protagonista.
¿Qué es un “tercero”?
En ese escenario, si la compañía es, parafraseando a Ortega, “ella misma y sus circunstancias”, la misión de su programa de Cumplimiento difícilmente puede honrarse sin involucrar a esas “circunstancias” y a quienes las corporizan: los “terceros”.
Es extraño el concepto de “tercero”. En principio, debería ser alguien ajeno a la relación entre una “primera persona” y una “segunda persona”. El Diccionario de la RAE nos ofrece una posible acepción: “Persona que no es ninguna de dos o más de quienes se trata o que intervienen en un negocio de cualquier género”. Más aún: jurídicamente, el tercero es una persona extraña a la relación entre otras dos (por ejemplo, a las partes en un contrato o en un pleito). Bajo este prisma, un “socio comercial” no sería un “tercero”. A título anecdótico (o no), la reciente Directiva 2024/1760, sobre diligencia debida de las empresas en materia de sostenibilidad, no reconoce en el “socio comercial” la ajenidad implícita a la “tercera parte”, y de hecho aspira, con las naturales limitaciones, a situar en un nivel homologable de revisión a la compañía y a sus aliados directos (a quienes no califica como terceros).
Sin embargo, en Compliance está virtualmente consolidada la asimilación, bajo el título de “tercero” (“third party”), de cualquier persona, física o jurídica, ajena a la propia, incluyendo por tanto a la “segunda persona”. La idea ya se desliza en la jurisprudencia penal y documentación pública relacionada, y es una realidad en los cada vez más prolíficos estándares de cumplimiento voluntario (UNE/ISO) que regulan las funciones de Compliance (que definen “tercero” (third party”) como “cualquier persona o entidad que sea independiente de la organización”), y en guías tan esenciales como la que usa el Departamento de Justicia (EEUU) para evaluar los programas de cumplimiento de las empresas (que dedica todo un apartado a la “gestión de los terceros” (“third party management”)).
El objetivo: la “gestión” de las relaciones con los terceros
Es interesante esta concepción del tercero, desde el punto de vista de Compliance, como todo aquel que no sea uno mismo, porque ayuda a entender mejor esa visión integral cada vez más propia de nuestra función. La que exige que, si se excluye a los clientes en entornos no regulados financieramente (lo que daría lugar a una discusión de mayor calado), debamos ocuparnos de forma directa de “gestionar” la relación con el resto de nuestras contrapartes.
La clave está en entender los objetivos, que son múltiples: proteger a la compañía de incumplimientos jurídicos directamente relacionados con la contratación con los terceros (ej. sanciones internacionales); prevenir la “utilización” de la compañía o sus empleados por parte de los terceros (ej. conflictos de interés, hospitalidades, blanqueo de capitales), o a la inversa, de los terceros por parte de la compañía o sus empleados (ej. casos de corrupción); asegurar que la compañía no quedará contaminada en su relación (más o menos directa) con el tercero por cualquier causa que afecte a o de la que sea responsable este último (ej. contingencias durante la vida del contrato o impactos reputacionales), o incluso como consecuencia de la integración del tercero con la compañía a través de una operación de fusión, adquisición del control, etc. (Compliance del M&A).
No es fácil el desafío, y presenta, además, no pocas, dificultades jurídicas.
La “diligencia debida”
El mundo de la gestión de los terceros es, en buena medida, el de las “due diligence”, que admiten diferentes estratos en función del riesgo enfrentado: “screening” generalizado a través de bases de datos, o análisis más exhaustivos en supuestos de riesgo cualificado por tipo de transacción. Aquí la mayor dificultad reside siempre en la gestión del “hit”, que deberá acomodarse a las circunstancias del tercero y de la transacción.
Otras protecciones
El “análisis” del tercero puede y debe complementarse con un sistema de declaraciones responsables (cláusulas contractuales, certificaciones, etc.) que garantice la indemnidad contractual de la compañía cuando ésta es simplemente sujeto pasivo de un incumplimiento por parte de aquel.
Y ello puede a su vez completarse con un entorno de controles internos reforzados, cada vez más ínsitos en la función de Compliance: instrumentos de análisis y gestión de hospitalidades (activas y pasivas), conflictos de interés, validaciones adicionales en el momento del pago (funciones de “intervención”), etc.
El necesario compromiso de la compañía
Finalmente, el manido mensaje de que “Compliance somos todos”, es también aplicable a esta causa. Para que el sistema de controles en el que se materializa la gestión de los terceros desarrolle toda su eficacia, es necesario que se conozca por toda la organización. Solo así podrá activarse el despliegue de aquellos; circunstancialmente, de forma detectiva (vivimos el auge de los “sistemas internos de información” o canales de denuncia); pero estructuralmente, de forma preventiva, pues preventiva es, por definición, la naturaleza de la mayor parte de los controles. En ese aspecto, cobra especial relevancia la automatización de los flujos y de los procesos, que a su vez involucra a otras áreas de la compañía (por ejemplo, la de compras) que resultan claves para la consecución de los objetivos.
En Telefónica hemos hecho, en los últimos años, notables esfuerzos para que nuestro sistema de “gestión de terceros” sea una realidad que, sin perjuicio de su complejidad y sofisticación, funciona con completitud y eficiencia. Y, lo que es más importante, estamos empeñados en continuar mejorando dicho sistema, en el beneficio de la compañía a la que servimos y, digámoslo sin rubor, de la sociedad de la que formamos parte.