¿Cómo influyen la ética, el cumplimiento y la diversidad en el riesgo de terceros?

Amanda: Hola a todos. Voy a daros un momento para que os acomodéis. Bienvenidos, bienvenidos, bienvenidos, bienvenidos todos a nuestro segundo seminario web aquí en Prevalent of the Year. Hoy tenemos uno realmente emocionante con un panel increíble y nos vamos a centrar en la ética, el cumplimiento normativo y la diversidad. No habrá presentación. Será solo un debate en vídeo con el panel y charlaremos sobre ética, cumplimiento normativo y diversidad, como es obvio. Me gustaría repasar un par de cuestiones organizativas para todos. Vamos a silenciar a todo el mundo. Tampoco podemos veros, pero estamos grabando la sesión. Quiero que también hagáis las preguntas y respuestas en la parte inferior. Queremos que sea interactivo. Hagan todas las preguntas que puedan o quieran al panel. En cuanto a la grabación, la recibirán mañana en su bandeja de entrada. Eso es todo por mi parte. Voy a repasar la lista de panelistas y les voy a presentar a los que van a participar. Por cierto, soy Amanda, de Prevalent. Soy la presentadora. Se me olvidó mencionarlo. Tenemos a Alba Imodar. Es la directora del grupo asesor de gobernanza de terceros de BNY Melon. Alba es responsable de la planificación estratégica, la reestructuración organizativa, la gestión de las relaciones con los clientes, el cumplimiento normativo y el riesgo. Supervisa la estrategia y la ejecución de planes de transición multifuncionales para nuevas oportunidades de negocio e iniciativas complejas de alto perfil para los clientes existentes. A lo largo de su carrera, ha acumulado una exitosa trayectoria como líder en la gestión de relaciones complejas con clientes, la gestión de riesgos y la transformación. Bienvenida, Alpa. Gracias por acompañarnos.

Alba: Muchas gracias, Amanda.

Amanda: Por supuesto. Y también tenemos a Tracy Davis. Es socia de la oficina de Syarch en Nueva York, en el departamento de litigios comerciales y en el equipo global de privacidad y ciberseguridad de la firma. Es una litigante muy experimentada que representa a clientes corporativos en casos de incumplimiento de obligaciones burocráticas, prácticas comerciales engañosas y disputas contractuales complejas, tanto en los tribunales como fuera de ellos, y en arbitrajes y mediaciones. Es un trabalenguas. De acuerdo. También es profesional certificada en privacidad de la información, con experiencia en la creación de marcos legales y en el asesoramiento a partes interesadas de mercados emergentes, consejos de administración y altos ejecutivos sobre el cumplimiento normativo y la mitigación de riesgos de litigios, así como en la navegación por el cambiante panorama de la tecnología financiera, la inteligencia artificial y los criterios ESG. Bienvenida, Tracy Davis. Muchas gracias por acompañarnos.

Tracy: Gracias por invitarme.

Amanda: Por supuesto. Perdón si he destrozado un par de esas palabras, pero ya lo sabemos.

Tracy: No te preocupes.

Amanda: Y por último, pero no menos importante, por supuesto, la única e irrepetible Brenda Ferraro, nuestra vicepresidenta de riesgos de terceros en Prevalent. Ella será nuestra moderadora y planteará a estas feroces damas preguntas importantes para que ustedes las escuchen y presten atención. Dicho esto, Brenda, todo tuyo.

Brenda: Muchas gracias, Amanda. Estuvo genial. Hiciste un buen trabajo.

Amanda: Gracias.

Brenda: Tracy y Ala, estoy muy contenta de teneros aquí hoy. Vamos a hablar de un tema muy candente e importante que parece estar inundando los buzones de correo electrónico de todo el mundo y que tiene un futuro prometedor: el ESG, que hace referencia al medio ambiente, lo social y la gobernanza, junto con la ética, la diversidad y el cumplimiento normativo. ¿Y cómo se relaciona realmente con los terceros? Sabéis, hemos trabajado muy duro para asegurarnos de recopilar información sobre nuestros terceros, quizá incluso sobre los n-ésimos terceros en materia de ciberseguridad, negocios o finanzas. Pero ahora el alcance ha aumentado considerablemente. Ahora estamos analizando mucho más. Así que tengo algunas preguntas que voy a plantearles a ustedes dos y hablaremos de estrategias y de cualquier información. Pero antes de hacerlo, tengo un aviso legal, porque contamos con un recurso legal en la línea. Así que voy a leerlo rápidamente antes de empezar con otro tema de organización. Y luego volveremos a las preguntas. En cuanto a nuestro debate de hoy, nuestra afirmación es que los participantes hablan a título personal y no en nombre de su empleador o clientes. El contenido de esta presentación tiene únicamente fines informativos generales y no debe interpretarse como asesoramiento jurídico ni como opinión legal sobre hechos o circunstancias específicos . Ahora, con ese programa habitual, creo que debería haberlo dicho mucho más rápido. Ya saben cómo son los programas de radio. Muy bien, la primera pregunta que voy a centrar en Tracy es la siguiente: con el mayor interés que hemos mencionado por la diversidad y la inclusión, impulsado por la atención de los mercados a los factores ESG, ¿cuál es la situación actual del entorno jurídico al que se enfrentan las empresas públicas y privadas y sus consejos de administración en lo que respecta a los ESG en general y, más concretamente, a la diversidad y la inclusión?

Tracy: Bueno, es una buena pregunta para empezar esta conversación, debido a la amplia abarque del ESG, que son las siglas de «environmental, social and governance»(medioambiental, social y de gobernanza). Incluye toda una serie de factores diversos que parecen dirigirse a las partes interesadas dentro de una entidad, así como dentro del mercado. Y la razón por la que es tan importante comprender ahora cómo es el panorama es porque este es muy reciente y no hay muchas regulaciones y normas, especialmente aquí en los Estados Unidos. Al igual que en las primeras etapas de la ciberseguridad, actualmente en materia de privacidad , Estados Unidos ha optado por un enfoque ad hoc, sin intervenir en lo que respecta a las regulaciones específicas que rigen el ESNG. Bueno, lo que impulsa al ES SN ESG son los datos. Lo que lo impulsa son las métricas. Lo que lo impulsa son los objetivos y las metas. Y en este momento, tal y como estamos, no hay objetivos uniformes. No hay metas uniformes. Así que estamos jugando en cierto modo a ponernos al día, mientras que recientemente la UE, que históricamente ha tenido un marco muy sólido para medir y utilizar los datos en lo que respecta a las cuestiones medioambientales, ha estado casi a la vanguardia de la adopción de las normas de sostenibilidad de las Naciones Unidas, mientras que Estados Unidos ha adoptado un enfoque algo pasivo, pero ya no puede ser un enfoque pasivo, y lo estamos viendo en regulaciones como, por ejemplo , las que la SEC ha hecho recientemente sobre el capital humano y lo que hay que divulgar en cuanto a los recursos humanos de las empresas que cotizan en bolsa. Aunque eso no parece gran cosa, porque en realidad se ha adoptado un enfoque menos prescriptivo y solo se ha dicho que lo que es importante para el funcionamiento de una empresa es el punto de referencia. Eso supone un gran avance con respecto a donde estábamos en un momento dado. Con respecto específicamente a la diversidad en ese ámbito, el NASDAQ acaba de proponer una norma que dice que cualquier empresa que cotice en su bolsa debe tener un consejo de administración diverso. Es de esperar, y es probable, que esa norma se aplique, ya que varios estados de EE. UU. han adoptado puntos de referencia comparables. Dice que, en el primer año tras su implementación, hay que tener al menos una mujer en la junta directiva. Y en el segundo año, hay que tener al menos dos personas diversas, una mujer y otra persona diversa. Dependiendo del tamaño, una mujer puede ser suficiente para cumplir ese umbral. Pero, de nuevo, con ese tipo de normas esperamos conseguir al menos algunos objetivos que se establezcan de manera uniforme en este ámbito. Antes de entrar en materia, hablamos de Black Rockck y Larry Frink, que recientemente han establecido la obligación de que todas las empresas con las que Black Rockck hace negocios cumplan los parámetros de sostenibilidad que se han difundido de forma voluntaria. Más adelante hablaremos de lo que significa la difusión de una norma voluntaria en un contexto legal. Pero por ahora basta con decir que estamos hablando de un entorno que está evolucionando lentamente. También hablaremos de los riesgos, porque cuando no se dispone necesariamente de un conjunto específico de normas o leyes, se amplían las posibilidades de exposición y los riesgos. En el ámbito del cumplimiento normativo, nos gustan las leyes establecidas. Nos gustan las normas. Como litigante, puedo decirle que la ley sabe cómo suplir aquellas áreas en las que no existen normas prescriptivas. Espero que esto responda a su pregunta, Brenda.

Brenda: Sí, así es. Muchas gracias. Muy bien dicho. Me gusta cómo lo expresas, que es joven y que posiblemente se convierta en un evento Ian alfa. ¿Qué estás haciendo en BNY Melon o, en tu opinión experta, qué se debería tener en cuenta para abordar lo que estamos enfrentando?

Alba: Sí. Bueno, estoy de acuerdo con lo que acaba de decir Tracy. Es decir, no tenemos regulaciones ni leyes específicas, seguimos evolucionando, como decimos, algunas industrias más que otras, pero puedo hablar de la industria financiera. Creo que ahora la junta directiva está haciendo que la organización rinda cuentas desde una perspectiva estratégica, así que ahora estamos analizando la cultura de la empresa y diciendo que, al incorporar a estos proveedores o vendedores, nos aseguramos de que los vendedores y la gestión de la cadena sean diversos, ya seaes 100 % propiedad de mujeres, si son pequeñas empresas, si son de diferentes etnias, si se tiene en cuenta la ley sobre la esclavitud moderna, así que creo que ahora tenemos métricas específicas de nuevo para cada industria, aún no tenemos un estándar como ha dicho Tracy, pero en la industria financiera creo que estamos evolucionando cada vez más en el sentido de medir algunos de estos criterios, ya sea medioambientales, climáticos, o las emisiones de CO2. Todos estos criterios están evolucionando y queremos hacer negocios basándonos en estos conjuntos de datos, en los que decimos que solo operaremos y que tenemos que ser 360 con nuestros proveedores, ¿verdad? No puede ser que haya tenido una relación con Xender durante 50 años y no haya hecho realmente nuestra diligencia debida y me haya asegurado de que cumplen con los criterios ESG y de cumplimiento ético y diversidad. Muy bien dicho. Así que creo que voy a dar un salto. Puede parecer que se aleja un poco de lo que acabamos de hablar, pero en mi mente sigue estando relacionado. Ala, te haré esta pregunta primero. ¿Dónde encaja la supervisión continua en la ética, el cumplimiento, la diversidad y los criterios ESG de los que acabamos de hablar?

Alba: Claro. Bueno, ya sabes, voy a dedicar un momento a hablar primero sobre la supervisión continua y luego podemos profundizar en la diversidad ética y el cumplimiento normativo. Um, precoid, si piensas en cómo se gestionaba la gobernanza de terceros o el riesgo cuando incorporábamos a un cliente, hacíamos nuestra diligencia debida basándonos en las evaluaciones de riesgo, así que si eran altos, moderados o bajos en función de esa criticidad, hacíamos una evaluación, ya sabes, hacemos una evaluación cada año, cada dos años, cada tres años, ahora mismo, dada la covid, todo se ha acelerado, así que lo que sabías hace un año o dos años yano era suficiente para hacer negocios debido a la empresa, dependiendo de dónde se concentraba su ubicación, su viabilidad financiera y su riesgo operativo. Así que la supervisión continua desempeñó un papel increíble o muy crítico en la comprensión del riesgo, lo que significa que queríamos ver alertas en tiempo real, teníamos que supervisar a estos proveedores no periódicamente, no cuando los incorporábamos, sino de forma continua. Ahora tomamos el subconjunto y la pregunta que le hiciste a Brenda es cómo hacemos la supervisión continua con el cumplimiento ético y la diversidad. Así que ahora hemos empezado a auditar y a examinar todo el inventario de nuestros proveedores, hemos empezado a examinar la conducta delictiva y hemos empezado a pensar en cuáles son las transacciones que están ocurriendo y si estamos revisando esas transacciones y si cumplen con los criterios de cumplimiento ético y diversidad, así que creo que ahora estamos empezando a establecer métricas específicas para medir esos criterios y luego ser coherentes, porque creo que ese es uno de los mayores retos, especialmente en el sector financiero, y ahí está la infraestructura de sistemas heredados de 233 años de antigüedad de New York Melon, ¿cómo nos aseguramos de que hay coherencia? Creo que esas son algunas de las cosas queestamos analizando para una supervisión continua. Lo ideal, si tuviera que pensar en el futuro, sería que hubiera regulaciones, leyes y métricas adecuadas que nos sirvieran de referencia, pero ahora mismo creo que cada empresa está tratando de evolucionar y pensar cuál es realmente su apetito de riesgo y luego crear las métricas que se ajustan a ese sector. Tracy, no sé, ¿estás de acuerdo con eso o

Tracy: Estoy totalmente de acuerdo contigo, Alpa. La supervisión es lo que ayuda a protegerse contra la exposición a responsabilidades cuando surgen problemas mucho más adelante. Verás que, en este momento, hay al menos ocho demandas pendientes contra empresas por su falta de diversidad e inclusión. Inactividad. De acuerdo. Y aunque tienen normas, prácticas, políticas y programas que van desde la igualdad salarial hasta la lucha contra la discriminación, pasando por la forma en que investigan a los proveedores externos, tener esas políticas no sirve de mucho a menos que se apliquen y se pongan en práctica. Y es la supervisión y lo que te proporcionan esos datos lo que te protege de la exposición a la responsabilidad civil en caso de que se presente una demanda similar y no estemos...Hablaremos de los niveles de responsabilidad que existen en la parte final, pero tienes toda la razón, Alpa, es a través de ese seguimiento y de las expectativas del mercado. El mercado ahora tiene la capacidad de realizar análisis de datos en tiempo real y lo está haciendo a través de las agencias de calificación y clasificación. Sabes que hay perfiles corporativos que se utilizan no solo para evaluar el valor para los accionistas, sino también para evaluar el riesgo. Por lo tanto, cuando buscas qué tipo de proveedores externos quieres contratar, vale la pena realizar ese tipo de diligencia debida que implicaría análisis.

Brenda: Hablando de litigios, la siguiente pregunta es precisamente sobre eso. No sé cómo me has preparado, porque ha sido genial. Entonces, con tan poca orientación normativa y jurídica específicamente adaptada a la divulgación de información ESG, ¿qué tipo de estrategias de mitigación de riesgos y tácticas para evitar litigios pueden utilizar las empresas del público que desean seguir siendo competitivas en el ámbito ESG?

Tracy: Entonces, se empieza con una evaluación general... Hay que analizar el panorama general desde una perspectiva de 360 grados. Hay que analizar la estructura general de la empresa, desde la junta directiva, pasando por la alta dirección, hasta los trabajadores y los proveedores externos, para ver exactamente cuál es la situación actual en materia de diversidad. ¿Qué tipo de personas diversas ocupan esos puestos de alta dirección en este momento? Ahora el enfoque se centra solo en los consejos de administración, pero puedo decirte que... eh... asistí al Foro Económico Mundial el año pasado y... Jamie Diamond, siento mencionar a un competidor en este momento, pero fue específico al decir que su intención era mirar no solo de arriba abajo, sino también de forma vertical, para ver quién en la cadena de suministro cumplía con los estándares y compromisos, y eso es de vital importancia. Es importante que sepa que debe hacer eso en 360 grados para conocer su organización y saber dónde se encuentra, no solo con respecto a sus proveedores, sino también con respecto a sus competidores. No hay una solución única para todos. Por lo tanto, se requiere este análisis amplio y profundo para ver dónde se encuentra con respecto a la industria en la que está, a su competencia, a su tamaño... Obviamente, eso se tendrá en cuenta en cualquier análisis sobre qué esfuerzos se están realizando en materia de diversidad e inclusión. Las prácticas de sus empleados, cómo maneja las denuncias de discriminación. Hacer ese análisis de 360 grados es el primer paso. El segundo paso es que examine sus políticas y prácticas. ¿Es necesario modificarlas? ¿Cómo se están aplicando? ¿Quién es responsable de su aplicación? Verá que cada vez hay más directores de sostenibilidad. ¿Por qué? Porque eso significa que la responsabilidad de rendir cuentas recae en una sola persona. Esos factores son fundamentales a la hora de garantizar que protege a la institución de estas denuncias. La supervisión de la que ya hemos hablado, estar al tanto y conocer los estándares del sector, donde no hay legislación, esos estándares del sector se vuelven aún más críticos. Estos son solo algunos de los factores y mecanismos que se pueden emplear para proteger los documentos. Los datos de documentación son sus aliados, siempre y cuando los supervise atentamente y no haya inconsistencias entre lo que dice que está haciendo y lo que las cifras demuestran que realmente está haciendo. Así que esos son solo algunos aspectos, pero hay toda una panoplia de técnicas que se pueden utilizar y que se deben utilizar, porque no creo que haya ninguna empresa o industria que no sea susceptible ahora, dada la prevalencia y el black rock.

Brenda: Me gusta cómo has combinado el uno, el dos y el tres. Alpa, ¿tienes algo que añadir o...?

Alba: Sí, no, lo hago. Quiero decir, solo uno. Creo que, rápidamente, el conjunto de datos correctos de ESG en 2018 creo que era de 30 billones, ¿no? Y va a obtener los ingresos que generamos a partir de ello yva a ser de 50 billones en los próximos 20 años, así que, como decía Tracy, esto va a ser fundamental para cualquier industria, y el ESG va a ser la forma en que supervisamos, analizamos y participamos. La otra cosa que he notado, de lo que hablaba Tracy, es que nuestros inversores, nuestros clientes e incluso mis empleados están preguntando cómo forma parte nuestra organización del ESC ESG,no basta con ser voluntarios o dar derechos, se trata de invertir adecuadamente, así que ¿estamos invirtiendo en ETF centrados en ESG? Y ahíahí es donde creo que la mentalidad está cambiando hacia lo correcto, porque las empresas, cuando contratan empleados, preguntan cómo se retribuye, qué se está haciendo en el ámbito ESG, lo cual es muy diferente a hace 10 años, así que creo que se trata no solo de hacerlo por los empleados, sino de ser capaces de sostener nuestra sociedad. Tenemos que empezar a centrarnos en ESG y en cómo gestionamos ese proceso.

Brenda: genial

Tracy: Solo quiero añadir una cosa, porque creo que hay un marco mental que se puede utilizar para reflexionar sobre este tema y es importante comprender que, según la ley, las empresas se consideran individuos, se consideran personas. ¿Sabes lo que está pasando ahora con los criterios ESG? Simplemente las están elevando a la categoría de miembros responsables de la sociedad. Por eso es muy importante utilizar eso como punto de referencia cuando se analizan algunos de estos factores.

Brenda: Muy bien dicho, Tracy. No podría estar más de acuerdo contigo. Me encanta lo que acabas de decir. Es increíble.

Brenda: Así es. Muy bien. Entonces, vamos a hablar sobre un ámbito más amplio, ya sabes, hablaste sobre el individuo y la responsabilidad. Bueno, tenemos esta cadena de suministro que se está expandiendo. Antes solo teníamos que fijarnos en los proveedores que ofrecían servicios de ciberseguridad y alojamiento, pero ahora, en algunas de nuestras organizaciones e industrias, nos estamos diversificando. Y con esa cadena de suministro expandiéndose más allá de la ciberseguridad hacia evaluaciones de terceros, en las que yo trabajo con un proveedor, ese proveedor trabaja con otro proveedor en el mismo proyecto, y ese proveedor ahora trabaja con otro. Es como un efecto dominó. Desde entonces, se ha convertido en un tema candente y estamos analizando realmente los factores de resiliencia y estabilización, y cuáles son los componentes de riesgo que nos darán una visión clara de esas asociaciones y de esa larga cadena de apoyo o de ese panorama. ¿Cómo estáis gestionando en Alba el aumento o la naturaleza contractual de ambos cuando se trata de algo tan estrictamente evaluado o incluso tener que descubrir lo que se ha estado haciendo, lo que hemos estado haciendo en el pasado frente a lo que tenemos que hacer ahora?

Alba: Sí. Mira, creo que todo el panorama, como tú has dicho, ha cambiado y diría que gran parte de ello se ha acelerado debido al derecho de co-propiedad y, de hecho, nos ha afectado, ya sea algo tan básico como el papel higiénico, ya sabes, la cadena de suministro y el impacto que ha tenido en todo el mundo, así que creo que, como organización, ahora no basta con conocer a tus terceros, sino, como tú has dicho, a los cuartos, porquetiene un impacto significativo, porque, como has dicho, es un efecto dominó, un efecto en cadena. Así que una de las cosas que hemos empezado a estudiar es, ya sabes, cambiar realmente nuestras políticas, nuestros contratos, ¿verdad? Antes nunca preguntábamos quiénes eran tus cuartos o quintos socios, pero ahora vamos un paso más allá y preguntamos dónde tienen su sede esos cuartos y quintos socios, porque la ubicación sí que importa. Luego vamos un paso más allá dentro de esos socios : ¿cuál es la diversidad de la mezcla? Porque ahora somos responsables. Diría que AMIA, como sabes, debido a las regulaciones,ahora nos piden que les digamos cuál es su parte final, que mostremos de cuántas de ellas tienen su sede en la nube, así que creo que diría que AMIA está un poco más avanzada que nosotros, pero al ser una organización global, creo que lo que estamos haciendo es, en lugar de esperar a los reguladores, cambiar este proceso a nivel global, así que creo que estamos haciendo una diligencia debida adicional, estamosestamos cambiando nuestro proceso contractual y también estamos cambiando la forma en que hacemos la diligencia debida en general, así que no basta con decir: «Oye, conozco a mi proveedor y, mientras pueda proporcionar un servicio excelente, es suficiente». La cuestión es si los proveedores siguen el código de conducta con el que estás de acuerdo, ¿verdad? Y si luego lo transmiten a sus cuartos, quintos y sextos proveedores y si estos realizan la misma diligencia debida. Porque en el pasado, puedo decir con toda sinceridad: «Bueno, mira, solo conozco a mis terceros proveedores. No sé lo que hacen con los cuartos, así que yo estoy fuera de esa mezcla y no soy responsable». Ahora, la responsabilidad recae en estos terceros. Así que, mira, creo que estamos siendo muy estrictos. Ahora estamos volviendo a hacer una diligencia debida adicional. Entendemos el riesgo que puede suponer en función del lugar donde prestamos ese servicio y luego lo entendemos, porque te diré que cuando llegó la COVID y tuvimos que enviar encuestas, no teníamos ni idea de dónde estaba el riesgo de concentración, porque era la primera vez que afectaba a todos los países y regiones, nono se centró en Nueva York como el 11-S, ni se centró en un huracán que ocurrió en Filipinas, en Estados Unidos o en cualquier otro lugar, nos afectó a todos, así que creo que ha acelerado el camino y ahora somos cada vez más responsables de las partes a las que realmente prestamos servicios.

Brenda: Muy bien dicho, Tracy. Lo único que se me ocurre que podrías aplicar desde un punto de vista legal es lo que solía oír cuando hacía evaluaciones en el pasado: decían que no eran responsables de los proveedores que, como sabes, hacen sus propias evaluaciones, así que, ¿cómo abordamos eso?

Tracy: Es una pregunta muy buena, Brenda, porque, bueno, ya sabes que Alpa se centra en los contratos, que es realmente donde reside la protección. Si no tienes una gestión de contratos realmente sólida y no prestas atención a esas disposiciones estándar que normalmente se pasan por alto. Ahí es donde encuentras protección o exposición a la responsabilidad. Entonces, ¿qué haces? No solo miras las cláusulas de indemnización, sino que también miras la solidez de tus proveedores externos, tus proveedores de INT, porque, ya sabes, cuando se trata de una demanda, solo buscan a quien tenga más dinero. Así que te verás arrastrado. Eh, disposiciones de indemnización, eh, sabiendo que estás haciendo esa diligencia debida. Eh, yo, ya sabes, ahora mismo el ESG no ha salido a la luz, pero te puedo decir que la FTC buscó responsabilizar a un comprador de un proveedor externo por no haber cumplido con las declaraciones de privacidad que ese comprador había adoptado. Y, bueno, ya sabes que esos proveedores externos se basan en la inteligencia artificial, que conlleva toda una serie de riesgos inherentes. No van a mirar al proveedor del comprador para determinar si este ha realizado la diligencia debida requerida, que consiste en supervisar y evaluar constantemente esa herramienta para ver si viola o no los derechos y privilegios de los usuarios finales. Así que, tal y como ha dicho Alpa, la diligencia debida es fundamental para saber quiénes son y qué hacen, y si cumplen o no con tu propio código ético. Todo eso es lo que es fundamentalmente importante en este tipo de entorno. Creedme, habrá más leyes. Es solo que , hasta entonces, sigue habiendo exposición. Sigue habiendo riesgo de responsabilidad. Y lo que hay que hacer es volver a lo básico.

Brenda: Una de nuestras frases de marketing que les encanta es «volver a lo básico».

Tracy: Sí. Es la verdad.

Brenda: Entonces, hablando del aumento de la población de proveedores en el nivel n. Y, con ese aumento, viene el aumento de la IA en el ámbito de los recursos humanos. Entonces, además de los muchos otros lugares de los que hablabas, ¿cuál es la situación actual de la legislación en los Estados Unidos y cuáles son los riesgos legales y las estrategias de mitigación de riesgos que las empresas en la línea podrían imponer o empezar a utilizar?

Tracy: Bueno, eso es todo. Empecemos por el panorama general. A diferencia de lo que ocurre con los criterios ESG en Estados Unidos, aquí realmente no hay barreras de protección. Me refiero a que hay que fijarse en las políticas y disposiciones sobre privacidad de datos, ya sea a nivel estatal o específico de cada sector. Se analizan las regulaciones cibernéticas que muchos estados han adoptado, así como las regulaciones federales y las agencias reguladoras estatales. Se analiza si se cumple con esas regulaciones. Entonces, ¿cómo se almacenan los datos? ¿Cómo se utilizan los datos? Pero incluso ahí, con el uso que se hace de esos datos, existe un enorme riesgo de exposición, solo por la eficacia del software de IA que se utiliza. Por ejemplo, estudio tras estudio, es ampliamente conocido que existe un alto riesgo de resultados sesgados y de inteligencia artificial, especialmente cuando se realizan evaluaciones de riesgos o se utilizan análisis predictivos y se toman decisiones automatizadas en ese ámbito. Es casi como una trifecta para una buena demanda colectiva, porque si se puede demostrar que el software tiene sesgos y resultados sesgados, y que está tomando decisiones críticas sobre la concesión de préstamos al usuario final, un consumidor, ahí es donde radica la exposición, y ese consumidor se ve privado de un beneficio económico o de una oportunidad. Esa es la clásica demanda colectiva por prácticas engañosas. Y no importa que el comprador de ese software, el usuario de la IA, no esté familiarizado con la aplicación o su mecánica o con la forma en que se introdujeron los datos. Se les considerará responsables por utilizar ese servicio. Entonces, ¿qué se puede hacer? Ahora hay todo tipo de ... hay todo tipo de tecnología que permite probar ese... ese algoritmo. Hay toda una serie de normas que exigen transparencia en el funcionamiento de ese sistema. Las pruebas, ya sabes, las pruebas son de vital importancia en este ámbito. ¿Se comprueba de forma rutinaria si hay resultados dispares? ¿Se supervisa qué tipo de datos se introducen? Ya sabes, el principio de «si entra basura, sale basura». Y si no se toman medidas de precaución para ver bien, ¿cómo se están introduciendo esos datos? ¿Quién los está introduciendo? ¿Cómo se están probando? Todo eso nos lleva de vuelta a la diligencia debida. Por lo tanto, si no se toman esas medidas proactivas y se utiliza la IA a ciegas, se está en peligro. Se está expuesto.

Brenda: Sí, estoy de acuerdo. ¿Qué opinas, Alpa?

Alba: No, quiero decir, mira, estoy de acuerdo con Tracy. Eh, mira, la IA está haciendo avances significativos, ¿verdad? Y especialmente en muchas secciones diferentes, ya sea en el ámbito de los recursos humanos, eh, o en el de la gestión de la cadena de suministro. Eh, pero una de las cosas que has dicho, lo fundamental es realmente comprender los datos y los algoritmos, ¿verdad? Porque si no lo haces con precisión, habrá un impacto significativo desde el punto de vista legal, desde el punto de vista de la reputación, eh, y luego desde el punto de vista operativo. Eh, una de las cosas para las que estamos utilizando la IA, y la mayoría de las empresas hacen lo mismo, es para gestionar un volumen significativo de datos, pero seguimos contando con el toque humano para revisarlos y analizarlos correctamente, de modo que tengamos una segunda opinión que comprenda realmente lo que hemos programado y que los algoritmos y las reglas establecidas funcionen de manera eficiente. También creo que, como sabes, los utilizamos mucho en el ámbito de los recursos humanos, donde en el pasado nos olvidábamos de notificar al solicitante un problema importante desde el punto de vista legal, Tracy, y entonces venían todas estas personas diciendo que nono se les había notificado que se utilizaba un enfoque de IA y que habían sido seleccionados. Una vez que se ha utilizado la IA desde la perspectiva del vídeo de la entrevista, ¿se obtuvo el consentimiento adecuado del solicitante y, lo que es más importante, incluso después de que el solicitante fuera seleccionado , se destruyó ese vídeo una vez finalizado el proceso? Muchas veces, la industria dice: «Bueno, tenemos los datos, no los hemos destruido» o «Nopruebas de haberlos destruido, ¿cuántos días son, 30 días, 60 días? Así que creo que, como ya he dicho,transformará la tecnología, pero tenemos que ser extremadamente cautelosos, como dice Tracy, porque si no utilizamos esta información con precisión, podría haber un impacto significativo en la organización y la industria, así que, de nuevo, por muy buenas que sean estas tecnologías, seamos muy conscientes de cómo las utilizamos, asegurémonos de que entendemos los datos, los algoritmos y el proceso. Y no puede estar totalmente automatizado, ¿verdad? Sigue siendo necesario que haya personas que analicen esa información y proporcionen a los usuarios, como yo lo llamo, suficiente información y notificaciones para que sean conscientes del tipo de datos que están utilizando.

Brenda: Sí. Si volvemos a lo básico en cuanto al riesgo de terceros, a veces hay plataformas que pueden introducir configuraciones, añadir etiquetas, realizar ajustes y enviar evaluaciones de relevancia, pero sigue siendo necesario contar con ese contacto humano para asegurarse de que se están aplicando los principios éticos adecuados y de que no se están tomando decisiones basadas únicamente en las respuestas recibidas o en el análisis continuo de amenazas que dice: «Oh, este proveedor en concreto va a ser arriesgado porque tiene todo esto que está sucediendo en el mundo real». Desde una perspectiva ética, hay que decir que estamos aquí para ayudarte a proteger tu espacio de seguridad. Sabemos que esto existe. ¿Cómo podemos solucionarlo contigo?

Alba: También dijo que se trata de conectar los puntos, ¿verdad? Porque, aisladamente, ese evento podría desencadenar algo, pero si se piensa de manera holística en la relación de la empresa con ese render, podría no ser correcto, así que creo quetambién es como tú has dicho: ¿cómo analizas esa información? Tomas una instantánea y piensas que es un problema enorme o podría ser al revés, podría no serlo, y tienes que entrar con la perspectiva humana diciendo que esto es nuestro pan de cada día, nuestro negocio principal, y que esto podría ponernos en peligro de forma significativa, así que creo que es ser capaz de tener eso, así que estoy de acuerdo contigo, Brenda.

Tracy: Solo quiero añadir otra cosa que es de vital importancia. Y que está relacionada con el reconocimiento de Alpa de que proporcionar notificaciones es fundamental. Esas notificaciones deben estar redactadas en un inglés sencillo. ¿De acuerdo? Si son incomprensibles, no te proporcionarán la protección que buscas. Ya hemos pasado por esto antes con la financiación al consumo y, ya sabes, los requisitos de divulgación que se aplican en ese ámbito. Ya hemos pasado por leyes que llevan bastante tiempo en vigor y que hablan de la necesidad de que estas notificaciones a los consumidores en general estén redactadas en un inglés sencillo.

Brenda: De acuerdo. Y dicho esto, hay algunas situaciones con las que hemos tenido que lidiar, como el teletrabajo, por ejemplo. ¿Cómo afectan la ética, la diversidad y el cumplimiento normativo o los criterios ESG, o qué tipo de técnicas hemos tenido que tener en cuenta en función de ese cambio en el vector de riesgo? En cuanto al teletrabajo, ¿qué le dirías a Alba sobre lo que podríamos hacer un poco mejor o incluso por primera vez?

Alba: En cuanto a eso, creo que todos tuvimos que adaptarnos muy rápidamente debido al confinamiento, ya que todo el mundo tenía que trabajar desde casa, independientemente de si eras operador bursátil o analista, así que creo que lo primero es adaptarse rápidamente y disponer de la infraestructura adecuada para poder hacerlo. Creo que lo segundo era simplemente una cuestión de oferta y demanda. Te diré que en algunas de nuestras oficinas no teníamos suficientes ordenadores portátiles al principio del confinamiento y, literalmente, enviamos ordenadores de sobremesa a diferentes lugares solo para que la gente pudiera trabajar desde casa, pero una vez que conseguimos el hardware, creo que se trata de poder supervisar el software y a las personas que hay detrás, y ya sabes quemuy, muy difícil, y una de las cosas que me parece es que ahora hemos invertido mucho más en algunos de estos proveedores que están mirando nuestra dirección IP, que en realidad están mirando, ya sabes, tu acceso diario. ¿Estás tocando datos confidenciales y tenemos los protocolos adecuados o medidas de seguridad adicionales, no solo el token RCSA, sino que APA debería examinar realmente los datos de todas las liquidaciones comerciales que se producen hoy en día, dado que ella está realmente en la gobernanza de terceros, ¿verdad? Bueno, como Ala solía estar en el negocio, tenía ese acceso, pero ahora está en la gobernanza de terceros. Por lo tanto, creo que realmente hay que reevaluar desde cero a cada uno de los empleados, analizando sus accesos y lo que realmente están utilizando. Así que creo que eso nos lleva de vuelta a lo básico, como hemos comentado. La segunda cosa que creo que hemos aprendido es que mucha gente utiliza sus portátiles personales, y ¿han mantenido al día las actualizaciones de los programas antivirus? Porque ahora las organizaciones se exponen a más riesgos cuando la gente utiliza sus portátiles personales y, digamos, no han comprado el software antivirus o antimalware. Así que creo que debemos ser muy cautelosos en cómo lo gestionamos. Creo que una de las cosas que estamos haciendo es decir que no se pueden utilizar los ordenadores portátiles personales. Todo el mundo tiene que utilizar un dispositivo de la empresa. Creo que ahora se ha puesto en marcha una supervisión adicional, ¿verdad? Así que ahora no solo supervisamos el acceso a la VPN, sino también todo el software. En el pasado, cuando estabas en la oficina, era muy difícil que la gente se llevara los datos y los compartiera. Ahora, como estás en tu casa, la gente se muestra un poco reacia. Es muy fácil para alguien tomar esa información por teléfono y hablar con ellos. Pueden hacer una foto con su iPhone y compartirla. Entonces, ¿cómo nos aseguramos de que los datos que presentamos tengan filtros de pantalla adicionales para que, cuando intenten tomar fotos, no les permita tomar esa información? Como organización, tuvimos que adaptarnos muy rápidamente para asegurarnos de proteger los datos que tenemos y el riesgo asociado a ellos. ¿Lo hemos logrado al 100 %? No, no lo estamos. Pero lo cierto es que todos estamos aprendiendo muy rápido. Como yo digo, es como beber de una manguera contra incendios. Pero estamos intentando aprovecharlo al máximo. ¿Cuáles son algunas de las tecnologías que podemos utilizar para prevenir el riesgo que podría afectarnos como organización?

Brenda: ¿Y tú, Tracy, desde el punto de vista legal?

Tracy: Entonces, volveré a lo básico.

Brenda: Sí.

Tracy: Volvamos a lo básico. Envíen recordatorios sobre cuáles son los buenos protocolos y las buenas prácticas de gestión de la información. También impartan formación de arriba abajo. Sé que en mi organización todos tenemos que realizar una formación obligatoria en una fecha determinada, reconociendo que hay terceros que tienen protocolos sobre el intercambio de información a través de dispositivos personales. Sabiendo cuáles son esos protocolos, cuando trabajamos con instituciones financieras, ni siquiera quieren que les enviemos datos utilizando nuestros dispositivos personales. Así que, como abogados, obviamente manejamos información confidencial. Hay que tener en cuenta quién está presente cuando se utiliza y se accede a esa información. Asegurarse de que los datos que se imprimen se guardan con cierta seguridad y se destruyen cuando ya no son necesarios. Por lo tanto, recomendamos volver a lo básico, pero es alentador saber que se están realizando evaluaciones. Sabemos que nos encontramos en un entorno diferente. Por lo tanto, es necesario realizar otra evaluación de 360 grados para ver exactamente cuál es la situación de la organización.

Alba: Y como has dicho, la formación es fundamental, ¿verdad? Porque ahora hay más oportunidades para los hackers, ¿no? Incluso con los correos electrónicos de phishing, ¿verdad? Tienes un pedido de un paquete, abres el correo electrónico y entonces obtienen tu dirección IP. Por lo tanto, es importante poder formar a los empleados de forma diferente en función del entorno actual, ya que todo el mundo está trabajando desde casa. ¿Cómo nos aseguramos de que están seguros y cómo los formamos? Creo que, como has dicho, Tracy, la formación es fundamental y hay que cambiarla, ¿verdad? No se puede simplemente reinstaurar la que había hace un par de años. Hay que cambiar esos procesos diciendo: «Sabéis cuáles son algunas de las diferentes formas en que la gente puede atacar vuestros sistemas centrales o incluso, como has dicho, los programas informáticos».

Tracy: Y déjame decirte que ahora mismo nos encontramos en circunstancias extraordinarias, y eso se tendrá en cuenta, pero si, por ejemplo, un problema llega a conocimiento de una organización y se deja sin resolver durante un periodo prolongado de tiempo, es entonces cuando surge la responsabilidad y la exposición, porque a menudo la culpabilidad y la responsabilidad se evalúan a través del conocimiento y la acción.

Brenda: Probablemente tengamos tiempo para una pregunta más y yo tengo dos. Así que voy a combinarlas porque quiero dar al panel la oportunidad de responder a las preguntas del público. Voy a dirigirla primero a Tracy. ¿Qué papel específico desempeñan los consejos de administración en las estrategias de mitigación de riesgos y qué reclamaciones se pueden presentar contra esos consejos de administración?

Tracy: Entonces, eh... La junta directiva y su estructura son fundamentales para toda nuestra conversación porque ahí es donde recae la responsabilidad. Eh... Son el órgano supremo al que se le exige rendir cuentas por los actos de una corporación. He dicho que una corporación es en realidad una persona ficticia. Entonces, ¿quién es responsable de esa ficción? Es la junta directiva. Toda la responsabilidad recae en ellos. Ellos serán responsables de tener el conocimiento, la experiencia, la lealtad inquebrantable que forma parte de sus obligaciones fiduciarias tanto con la propia entidad como con los accionistas. El ejercicio de esas obligaciones determinará exactamente qué enfoque y qué tipo de misión adoptará la empresa. Quiero decir quecon el ESG y lo que se denomina factores no económicos, existe todo un debate sobre si es congruente con la misión corporativa de estar orientada a los beneficios adoptar algunos de estos factores. Bueno, ya sabes, con una empresa que cotiza en bolsa, casi te ves obligado a hacer un análisis para ver exactamente cómo la diversidad y la inclusión, por ejemplo, influyen en los resultados. Entonces, ¿por qué es tan importante? Porque es la junta directiva la que tiene que asegurarse de que la dirección ha diseñado y desarrollado una estrategia global y que, una vez adoptada esa estrategia, existen políticas y procedimientos para implementarla y garantizar que los responsables, es decir, los directivos, rindan cuentas. Entonces, ¿cuál es el incentivo? Porque si los miembros del consejo de administración no cumplen individualmente con estas obligaciones fiduciarias de estar bien informados, ser leales y supervisar lo que hace la dirección, si fallan de alguna manera , pueden ser demandados por incumplimiento de sus obligaciones fiduciarias. Suena aterrador porque lo es. Cuando digo que pueden ser demandados, me refiero a que son personalmente responsables, es decir, que sus propios activos personales están en juego. Ahora bien, hay factores atenuantes. Ya sabes, se habla de la regla del criterio empresarial, que dice que si se actúa con la debida diligencia para cumplir con estas obligaciones fiduciarias, incluso si se comete un error y la decisión resulta ser errónea, el tribunal no te considerará responsable porque actuabas en el mejor interés de la empresa. Sin embargo, siempre hay un área gris, ¿actuaste con lealtad absoluta hacia la empresa? ¿Hiciste las preguntas adecuadas? ¿Hiciste lo suficiente? ¿Te aseguraste de contratar y retener al gerente adecuado? ¿El consejo estaba compuesto por suficientes expertos como para tomar decisiones informadas? Es muy importante que el consejo no solo evalúe a la organización, sino que también se evalúe a sí mismo para asegurarse de que tiene los medios necesarios para cumplir con esas obligaciones fiduciarias. La cobertura DNO está ahí, obviamente, y proporciona cierta protección, pero no toda, ya que también hay exclusiones. Por eso digo que es importante que la junta directiva participe, porque, en última instancia, será la responsable. Hay algunas decisiones cotidianas en las que la junta directiva ni siquiera tiene que participar, porque no es responsable del día a día. Pero puedo decirles que, en lo que respecta a ESG, a la ciberseguridad y a la privacidad de los datos, estos son tan importantes que, como saben, ahora se está pensando en nombrar directores de sostenibilidad y asegurarse de que se reciben informes periódicos sobre estos factores y sobre la situación de la empresa en cuanto al cumplimiento de esos parámetros.

Brenda: Ayuda para ti también.

Alba: Sí. No, mira, no podría estar más de acuerdo con Tracy, ¿verdad? Creo que una de las cosas que estoy viendo es que ahora hay muchos más puestos en la junta directiva para el comité de ética, ¿verdad? Um, que estaba ahí. Creo que está llegando más CISO porque, como has dicho, ahora la junta directiva tiene esa responsabilidad y ¿tienen el talento adecuado o las personas que pueden evaluar algunos de los riesgos de ciberseguridad o los riesgos operativos o de cumplimiento? Así que creo que la composición de la junta directiva está cambiando porque, como has dicho, son responsables y dicen: «Un momento, necesito a alguien que realmente entienda, ya sabes, la ética, el elemento cibernético, el riesgo medioambiental, y que pueda guiarnos para asegurarnos de que la empresa sigue esos procesos». Así que creo que, como has dicho, veremos cada vez más oportunidades en la junta directiva para todos los riesgos y terceros, y especialmente en materia de ética y diversidad, porque van a ser responsables.

Brenda: Genial. Veo que Amanda se ha conectado porque es hora de la ronda de preguntas y respuestas, pero antes de que empiece, a veces no tengo la oportunidad de darles las gracias a ambos por sus amplios conocimientos. Ha sido un placer y un honor, y estoy deseando ver qué preguntas tenemos. Así que, adelante, Amanda.

Amanda: Gracias. Muchas gracias a los dos. Ha sido increíble. Tenemos una pregunta para la encuesta antes de pasar a las preguntas y respuestas. La voy a lanzar para que todos puedan participar, si es posible, y dice: «¿Está pensando en ampliar o establecer un programa de riesgos de terceros en 2021?». Aquí han escuchado por primera vez la importancia de supervisar continuamente a sus proveedores. Así que también pensamos en eso cuando hacemos este tipo de preguntas. La dejaré abierta durante un rato. La primera pregunta que recibí fue al principio de la sesión. Puede que parezca que se dirige a ustedes desde el principio, pero es de Dorothy Rodríguez. Dorothy, si nos estás escuchando y quieres que te la haga de otra manera, por favor, intervén. Ella dijo: «Hace 10 años, trabajaba en la gestión de riesgos de terceros para una empresa de fabricación en la que estas eran nuestras principales preocupaciones. Sin embargo, toda la fabricación se realizaba en el extranjero. ¿Se está hablando de lo que se exige ahora a los proveedores en Estados Unidos o se está pasando también a las nuevas industrias de servicios? No sé si alguien puede hacerse una idea de lo que ella pregunta, que la fabricación podría estar un poco por delante, supongo que es hacia lo que se dirigen, podría ser correcto, porque si pensamos en cada industria, la industria sanitaria frente a la industria financiera frente a la industria automovilística, todas tenemos una trayectoria muy diferente y el impacto, así que la fabricación podría tener, quiero decir, de nuevo, no tengo la aclaración de la pregunta, lo que, pero mira, está cambiando el camino y lo vemos ahora más que nunca. Así que, bueno, creo que depende de la industria, pero al final todos somos responsables, ya que no importa la industria, tienes que entender qué negocio estás operando, en qué ubicación y si te sientes cómodo con el cumplimiento ético y la diversidad de cómo dirigen ese negocio, así es como respondería basándome en la pregunta que se ha planteado.

Amanda: Bueno, espero que eso haya ayudado a Dorothy.

Tracy: Adelante. Solo añadiría a los comentarios de Alpa que... bueno, fíjate en tu sector. Quiero decir que esa es la guía. Puede que no haya podido mencionarlo durante... bueno, ya sabes, nuestra charla, pero esos estándares del sector se incorporarán a la demanda. Así que no pienses que es algo voluntario. Es un aparte. Puedo hacerlo si quiero. Sabes que, cuando no hay una ley y el tribunal está tratando de determinar si, de alguna manera, has creado una situación de riesgo para el demandado que le haya causado un perjuicio, va a tener en cuenta el estándar de la industria. Así que, aunque no podamos decir aquí y ahora con certeza si los fabricantes se ven afectados por, ya sabes, ESG y, eh, la diversidad, mira a tus competidores, mira los estándares de la industria, acude a tus asociaciones industriales y todos ellos tendrán una posición al respecto, ya sabes, de una forma u otra. Y si no se ajusta a los criterios ESG, busque la discriminación, busque la diversidad. Esas palabras clave son fundamentales en el marco de los criterios ESG cuando hablamos de este tema.

Alba: Como ha dicho Tracy, incluso los reguladores, ¿verdad? Porque, como has dicho, los reguladores también van a decir dentro de tu sector que ellos están haciendo X, ¿estás alineado o cumples con algo similar, así que no es como si...

Alba: Creo que es un paso más allá de lo que dijo Tracy, es decir, mirar a tus compañeros del sector, mirar lo que hacen algunos consorcios, pero los reguladores también vendrán a ti al ver las mejores prácticas dentro de ese sector y luego se asegurarán de que te asocies o te alinees con esas mejores prácticas generales.

Tracy: Permítanme añadir solo una cosa, y no quiero quitar tiempo a otras preguntas, pero...

Tracy: si estás regulado por la FTC. Si estás regulado por una agencia estatal local, apúntate a su lista de correo. Publican información todos los días, ¿vale? Sobre directrices, sus opiniones, comentarios de diferentes presentaciones. Apúntate a la lista de correo.

Amanda: Es una decisión inteligente. Estoy de acuerdo. La siguiente pregunta es: ¿cómo identificar o recibir notificaciones sobre los cambios ambientales relacionados con los proveedores externos para facilitar la supervisión continua?

Alba: Mira, hay muchos servicios disponibles. Ya sabes, hay tarjetas de puntuación de seguridad, hay Supply Wisdom, hay un montón de ellos y creo que se basan en tu riesgo y tus criterios. También depende de cómo los supervises como organización, ya que mucha de esta información está disponible a través de las redes sociales y Google, pero hay que tener mucho cuidado porque parte de esta información puede no ser precisa, puede haber valores atípicos o información falsificada, y no conviene tomar una decisión sin la debida diligencia y comprensión. Por lo tanto, una cosa que recomiendo encarecidamente, especialmente si se trata de proveedores críticos, es estar en contacto con ellos mensualmente, quincenalmente, o con la frecuencia que se desee establecer, porque las personas que conocen sus negocios son las que realmente lo hacen día tras día, así que si se tiene un enfoque proactivo en el que se está constantemente en contacto con estos proveedores y se comprende su cartera, su apetito de riesgo y lo que están haciendo en ese ámbito. Creo que esa es una forma de supervisión continua, porque te sientes bastante cómodo con esos proveedores y con su forma de operar. Así que creo que ese es un ejemplo que daría y, como he dicho, hay un montón de proveedores a los que puedes recurrir y que te cobran por servicios de supervisión continua.

Amanda: La prevalencia es una de ellas.

Alba: Sí.

Amanda: La prevalencia es una de ellas. Ahí lo tienes.

Brenda: Publicidad descarada. Descarada.

Alba: pluginial creditwise, échale un vistazo.

Brenda: Bien merecido.

Tracy: ganado. Tracy, ¿tienes algo que añadir a esta pregunta? Eh, no. Me hago eco de lo que ha dicho Alpa al respecto. Eh, realmente se trata de construir relaciones de confianza. Quiero decir, ahora se oye hablar mucho más de este tema que nunca. Y parte de ello se debe a que todos estamos intentando, supongo, aprovechar las ventajas y utilizar los recursos que ofrece la tecnología. Y para monetizar la gran cantidad de datos disponibles, solo hay que establecer una relación de confianza con las partes con las que se hace negocios.

Brenda: Sí, estoy de acuerdo.

Amanda: Tengo otra pregunta que creo que es lo suficientemente amplia como para ocupar el resto del tiempo que nos queda aquí, pero me gustaría pedirles a ambos que miren por un momento en su bola de cristal y me digan cómo ven el papel de la ética, el cumplimiento normativo y la diversidad en el riesgo de terceros a finales de este año o más adelante.

Alba: Le dije a Tracy: «¿Quieres ir primero o...?»

Tracy: Sí, yo voy primero. Creo que vamos a ver... Creo que vamos a ver una convergencia en torno a los estándares, los objetivos y las métricas. No creo que sea un análisis complicado. Creo que es simplemente algo nuevo. Es una perspectiva diferente a través de la cual se espera que todos hagamos negocios, y el mercado está pasando por, ya sabes, dolores de crecimiento. Así que creo que veremos una convergencia de estándares. Creo que veremos un aumento de la regulación, especialmente en el ámbito climático. Espero que veamos más diversidad en este ámbito. Creo que es inevitable que suceda debido al argumento comercial, que ahora creo que está ampliamente aceptado, de que la mayor diversidad genera una mayor rentabilidad. Por lo tanto, creo que veremos un enfoque más estandarizado en este ámbito.

Alba: Y creo que, como has dicho, las regulaciones serán más estrictas, las leyes, pero creo que las organizaciones serán muy selectivas a la hora de elegir con quién operan y, si no cumples con esos criterios de ética, diversidad y cumplimiento, creo que sabes que no vas a estar en el juego por mucho tiempo, ¿verdad? Sabes quevas a quedar anticuado o vas a ser un dinosaurio, es un hecho, así que creo que la mayoría de las organizaciones tendrán que incorporar esto, es lo correcto para nuestra sociedad y, especialmente, como has dicho, va a ser muy importante para el clima y el medio ambiente, pero creo que se va a centrar más incluso en la pobreza y los derechos humanos, debido a las leyes laborales y al impacto de la trata de personas, verás mucho de ese impacto y, como has dicho, terremotos, olas de calor, el agua, que sabemos que va a ser un bien muy preciado. Así que veremos muchas más cosas y creo que la gente va a ser mucho más responsable, pero no podrán culpar a las organizaciones ni esconderse detrás de, ya sabes, la gestión de su cadena de suministro u otros procesos, ¿verdad? No se tratará solo de los resultados, sino de los resultados y de cómo se está ayudando a la sociedad en general.

Tracy: Y permítanme añadir que, con los datos disponibles, la responsabilidad es tan accesible que, bueno, ya saben, no hay escapatoria. Ya saben, no se puede simplemente maquillar la situación. Hay que predicar con el ejemplo.

Amanda: Sí. Los tiempos están cambiando y tendrás que hacerlo. Estoy de acuerdo. Bueno, muchas gracias a todos. Se nos ha acabado el tiempo por hoy. Estamos justo a punto de empezar la hora. Siempre lo hago mal. Pero Tracy,

Brenda: Gracias, Brenda. Gracias por darme la oportunidad de estar con este increíble panel. Tracy, ha sido fabuloso. Muchas gracias y os deseo a todos que estéis bien.

Amanda: Sí, ya hemos recibido comentarios sobre lo fantástico que ha sido y la gente está pidiendo la grabación. Así que, como recordatorio para todos, se ha grabado. La recibiréis mañana en vuestro buzón de correo electrónico. Gracias a todos de nuevo por participar y hasta la próxima.

Brenda: Adiós.

Tracy: Adiós.

Amanda: Adiós.