En los últimos años ejecutivos han tenido que enfrentarse a dos nuevos e inesperados retos: los riesgos asociados con las normas anticorrupción y de la seguridad cibernética. Para poder protegerse de estos riesgos, entre otras medidas las empresas necesitan manejar los riesgos emanados de contratistas.
En este momento tanto en Colombia como en el mundo, leyes anticorrupción están siendo discutidas activamente. Particularmente para empresas listadas en la bolsa de valores de Nueva York, una investigación local puede ser el detonante de una investigación por parte del gobierno estadounidense y de posibles demandas de inversionistas que quieren recuperar el valor perdido de sus títulos valores. El riesgo aumentó tras la promulgación de la Ley Dodd Frank, la cual incentiva a empleados a denunciar actividades irregulares. Luego del anuncio de una investigación, las empresas pueden enfrentar un panorama más complicado para obtener permisos por parte de los entes regulatorios.
La seguridad cibernética es otro punto de preocupación generalizado. Las empresas enfrentan ataques a sus datos y aplicaciones remotas cada vez más sofisticados, frecuentemente por grupos criminales organizados. Todas las empresas, pero en particular las empresas que almacenan información sensible electrónicamente, como las empresas de salud, compañías de seguros y bancos, entre otras, son particularmente vulnerables a ataques. Las compañías enfrentan riesgos que van desde la extorsión, tiempo de inactividad, pérdida de datos y la filtración de información confidencial, hasta el robo de dinero y de valores por medio de transferencias no autorizadas.
Una herramienta importante para ayudar a mitigar los riesgos presentados por terceros es el due diligence-una apropiada investigación, gestión y supervisión de proveedores. En los últimos años, más del 50% de las investigaciones iniciadas en los EE.UU. por la supuesta violación de normas anti-corrupción se debió a que las empresas no realizaron una adecuada debida diligencia de sus intermediarios. No solo esto, sino también las empresas frecuentemente ignoraron indicios de que los pagos a terceros estaban siendo usados para sobornar a funcionarios gubernamentales. En términos de seguridad cibernética, debido a que usualmente las empresas externalizan funciones críticas de TI a terceros, la seguridad de su empresa es solo tan fuerte como la seguridad de TI de sus proveedores. En este sentido, es aún más crítico que las empresas conozcan bien a sus proveedores, y una vez contratados, realicen una gestión y supervisión de las actividades que cumplen en nombre y por la empresa.
Otro mecanismo de prevención importante es la inclusión de obligaciones y salvaguardas en los contratos con sus proveedores. Estas cláusulas usualmente requieren que los contratistas certifiquen regularmente (y al menos una vez por año) su cumplimento con todas las leyes, normas y mejores prácticas de la industria, y que este requisito a su vez sea impuesto a los subcontratistas del proveedor. En muchos casos, las empresas solicitan autorizaciones para auditar a los contratistas periódicamente con el objetivo de verificar su cumplimiento. Los contratos también pueden incluir cláusulas de indemnidad y de terminación en dado caso que la empresa descubra malas prácticas. Cláusulas contractuales no necesariamente previenen la mala conducta o negligencia por parte de terceros, pero pueden proporcionar una reclamación contractual en caso de que algo salga mal.
Estos riesgos inicialmente pueden parecer distantes a la realidad del día a día de los ejecutivos y de las empresas que manejan. Sin embargo, con la internacionalización de los negocios estos riesgos han y seguirán aumentando. Por su parte, las empresas pueden tomar medidas sencillas y poco costosas que pueden ayudar a prevenir consecuencias onerosas en el futuro.