Análisis de datos para la gestión de riesgos de terceras partes
Por Guillermo Zapata, Director de Consultoría de Negocios de PwC Perú
La debida diligencia es un proceso que permite a las empresas tomar decisiones informadas para iniciar, continuar, suspender o terminar relaciones contractuales con el universo de grupos de interés que la rodean, ya sea en el frente interno (colaboradores, directivos, otros) o externo (clientes, proveedores, distribuidores, consultores, consorciados, etc.). Su aplicación consistente en el tiempo, a través de las etapas de identificación, verificación y monitoreo, es un estándar que permite gestionar tales relacionamientos y se convierte en un pilar fundamental de la gestión de riesgos y, por ende, una base del Programa de compliance empresarial, incluidas las prácticas de prevención de corrupción.
En ese orden de ideas, al ser un proceso empresarial, la debida diligencia debe responder al tamaño, actividades, complejidad de operaciones con los grupos de interés, zona geográfica de ejecución de los servicios o comercialización de bienes, entre otros factores. Por ello, las medidas de debida diligencia aplicadas en una empresa pueden no funcionar en otras.
Entonces, el punto de partida debe ser auto examinarse como organización, identificar la industria en la que opera, su naturaleza, la existencia de requisitos regulatorios que determinen actividades de debida diligencia específicas, mapear sus grupos de interés, el volumen de operaciones con estos segmentos y en sus respectivas subcategorías, la justificación de las vinculaciones, e identificar los riesgos asociados a estas vinculaciones, por ejemplo, en temas de seguridad de información, financieros, operacionales, de continuidad de negocios, de compliance, entre otros.
El segundo paso consiste en determinar qué tipo de debida diligencia se va a desplegar y, para ello, si bien se pueden ponderar ciertos parámetros en función a que la empresa sea considerada como sujeto obligado por la normativa de prevención de lavado de activos y financiamiento del terrorismo, lo ideal sería contar con un cuestionario que permita indagar con quién se harán las vinculaciones, no solo como entidad, sino tratar de identificar el beneficiario final de la organización, la experiencia y credenciales de las contrapartes, entre otros y es precisamente en esta etapa que la tecnología puede contribuir a reducir tiempos de evaluación y generar resultados expeditivos para la toma de decisiones.
En efecto, en el contexto actual, nuevos productos y tecnologías se ofrecen como ayuda a las empresas para gestionar el riesgo de hacer negocios con terceras partes. Por ejemplo, las organizaciones están recurriendo cada vez más a nuevas técnicas de análisis de datos, como robótica, machine learning, visualización de datos, monitoreo continuo en tiempo real, entre otras, para encontrar patrones, hacer predicciones y ejecutar en forma proactiva actividades de debida diligencia.
A manera ilustrativa, es una práctica empresarial realizar background check o evaluación de antecedentes de proveedores y para ello se puede examinar data no estructurada (por ejemplo, información pública o de fuentes abiertas en listas vinculantes) para identificar alguna sanción relevante y, si consideramos la cantidad de proveedores a evaluar, ya existen soluciones en robótica orientadas a consultar, extraer y analizar evaluaciones numerosas en plazos de tiempo cortos. Si a ello le sumamos gráficos intuitivos contenidos en informes a pedido y gran escala, se podrá contar con resultados claros para la toma de decisiones.
Si bien el análisis de datos genera beneficios en cuanto al tiempo que se invierte en los procesos de debida diligencia, existen aspectos a considerar que pueden ser condicionantes para su efectividad, para lo cual proponemos algunas soluciones:
- Accesibilidad y calidad de información: sin importar el nivel de sofisticación de las herramientas analíticas que se utilizan, el valor de los resultados dependerá de la calidad de la data sobre la cual se trabaja, para evitar el conocido adagio “garbage in, garbage out”. Por ello, se requiere cierto nivel de rigurosidad para analizar las fuentes de información y la exactitud de la data.
- Volumen de información: existen situaciones en que la cantidad de data es cuantiosa y no sabemos por dónde empezar, por lo que, es esencial priorizar los objetivos de búsqueda y procesamiento, bajo un enfoque de riesgos.
De manera complementaria, también es necesario ponderar el equipo de trabajo que realiza la evaluación: sin duda el factor humano es clave tanto para el diseño de las herramientas (por ejemplo, en la estructuración de algoritmos) como el análisis de resultados. Se requiere personal idóneo, con las competencias necesarias, permanentemente capacitado y sus funciones definidas adecuadamente.
Si bien la tecnología permite generar ventajas competitivas, no debe ser concebida como la solución final, sino que es una herramienta cuyos resultados dependerá en gran parte de la estrategia de debida diligencia que se formule, con objetivos e indicadores claros, ponderando los riesgos a evaluar, y sustentando la metodología aprobada y desplegada.
Al final del día, y cuando sea necesario explicar ante un requerimiento administrativo o judicial los pasos desplegados en la debida diligencia, se tendrá que sustentar la razonabilidad y proporcionalidad de las actividades desarrolladas y su consistencia en el tiempo, con la respectiva documentación de soporte y uso de soluciones tecnológicas competentes.