Hoy en día, las organizaciones se enfrentan cada vez más al reto de abordar las prácticas y la presentación de informes en materia medioambiental, social y de gobernanza (ESG). Las partes interesadas, los clientes y los reguladores quieren asegurarse de que las empresas con las que interactúan e invierten comparten los mismos valores y compromisos que ellos. La esencia de los criterios ESG es la integridad de la organización. Lo que la organización se compromete a cumplir —sus obligaciones, ya sean voluntarias, reglamentarias o contractuales— es una realidad en toda la organización.
¿Qué es ESG?
El ESG abarca un amplio espectro de la conducta de una empresa:
- E = Medio ambiente: Medidas e informes sobre los valores y compromisos de la organización en relación con la gestión del mundo natural y el medio ambiente. Incluye la presentación de informes y el seguimiento de las iniciativas medioambientales de la organización en materia de cambio climático, gestión de residuos, contaminación, uso y agotamiento de recursos, gases de efecto invernadero, etc.
- S = Social: Medidas e informes sobre los valores y compromisos de la organización en relación con el trato que dispensa a las personas. Esto incluye las relaciones con los empleados y los clientes/socios, los derechos humanos (por ejemplo, la lucha contra la esclavitud), la diversidad y la inclusión, la lucha contra el acoso y la discriminación, la privacidad de las personas (tanto empleados como otras personas), las condiciones de trabajo y las normas laborales (por ejemplo, el trabajo infantil, el trabajo forzoso, la salud y la seguridad), y cómo la empresa participa y retribuye a la sociedad y a las comunidades en las que opera.
- G = Gobernanza: Mide e informa sobre la cultura y los comportamientos de la organización en el contexto y la alineación con sus valores y compromisos. Esto incluye estrategias financieras y fiscales, denuncia de irregularidades y notificación de problemas, resiliencia, lucha contra el soborno y la corrupción, seguridad, diversidad y estructura del consejo de administración/ejecutivo, y transparencia y rendición de cuentas generales.
El mayor reto ESG en las organizaciones es la empresa extendida. La organización moderna de hoy en día no se basa en muros de ladrillo y cemento ni en empleados tradicionales. La organización moderna es una red ampliada de relaciones con terceros, como proveedores, vendedores, contratistas, subcontratistas, prestadores de servicios, trabajadores temporales, corredores, agentes, distribuidores, intermediarios y socios. De hecho, al caminar por los pasillos de una organización y sentarse en las reuniones, es posible que descubra que la mitad de las personas con las que interactúa no son empleados, sino terceros. Esto se complica aún más cuando estas relaciones se anidan en relaciones de subcontratación y cadenas de suministro anidadas.
Cumplimiento de ESG
Los reguladores se centran especialmente en el cumplimiento de los criterios ESG, y estos aspectos llevan bastante tiempo presentes en la normativa. Algunos ejemplos de legislación contra el soborno y la corrupción (ABAC) son la Ley de Prácticas Corruptas en el Extranjero (FCPA) de Estados Unidos, la Ley contra el Soborno (UKBA) del Reino Unido y la Ley Sapin II de Francia. También existen leyes y normativas sobre derechos humanos, como la Ley de Prevención del Trabajo Forzoso Uigur de Estados Unidos, la Ley contra la Esclavitud Moderna del Reino Unido, la Ley de Minerales de Conflicto de Estados Unidos en virtud de la Ley Dodd Frank y la Ley de Transparencia en las Cadenas de Suministro de California. Y, por supuesto, el ESG incluye leyes relacionadas con la privacidad, como el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, el Reglamento de Protección de Datos del Consumidor (CDPR) de California y muchas más. Cada una de estas regulaciones afecta a facetas del ESG y cada una de ellas repercute en la empresa ampliada de las relaciones con terceros.
Ahora estamos viendo regulaciones ESG aún más amplias. La Unión Europea está avanzando con la Directiva sobre la diligencia debida y la responsabilidad de las empresas, que muy probablemente se convertirá en legislación definitiva este verano. Esto requiere una diligencia debida continua dentro de la organización y en todas sus relaciones con terceros para iniciativas y informes sobre medio ambiente y derechos humanos. Alemania ya ha avanzado con su ley para apoyar esto en la Ley alemana de diligencia debida, que también se finalizará este verano. La ley alemana se conoce a menudo como la Ley de Cadenas de Suministro, ya que se centra principalmente en las prácticas ESG en las relaciones de una organización con terceros.
Cómo afecta el ESG a las relaciones con terceros
La escritura está en la pared: las organizaciones deben comenzar a estructurar sus estrategias, procesos e informes ESG. Esto es especialmente importante en el contexto de la complejidad de la empresa ampliada. Algunos componentes clave que deben abordarse en la gobernanza y la gestión de riesgos de terceros son:
- Ámbito de aplicación de los criterios ESG. No existe un programa ESG único que sea adecuado para organizaciones de todos los sectores y tamaños. Aunque hay elementos comunes, los riesgos ESG en los servicios financieros son diferentes de los de una empresa petrolera. Cada organización deberá analizar su naturaleza y definir el ámbito de aplicación y el programa ESG en función de su perfil de riesgo y normativo.
- Categorización de terceros según el riesgo ESG. Para abordar los aspectos ESG en la empresa ampliada es necesario comprender claramente qué tipos de relaciones mantiene la organización, en qué partes del mundo operan estas relaciones y los riesgos que cada relación conlleva para la organización en el contexto de los aspectos ESG.
- Diligencia debida inicial. Las organizaciones necesitarán un proceso documentado y establecido para incorporar nuevas relaciones. Esto requiere validar la relación mediante comprobaciones en bases de datos ESG externas, como listas de vigilancia/sanciones, listas de personas políticamente expuestas, calificaciones de seguridad, calificaciones financieras y listas de reputación/marca. También requerirá una evaluación exhaustiva de terceros mediante un cuestionario de evaluación de incorporación y puede requerir inspecciones/auditorías in situ en algunas áreas. Como parte de este proceso, es necesario que el tercero reconozca y certifique/acepte las políticas relacionadas, como el código de conducta de la cadena de suministro/proveedores.
- Diligencia debida continua. El reto es que la diligencia debida/evaluación no es una actividad puntual, sino un proceso continuo y constante. Esto implica comprobaciones periódicas y sistemáticas de bases de datos de terceros, así como evaluaciones periódicas mediante cuestionarios e inspecciones. Las comprobaciones de bases de datos de terceros con respecto a listas pueden realizarse de forma diaria y continua, mientras que las encuestas de evaluación periódicas suelen realizarse con periodicidad anual. Sin embargo, cuando se activan indicadores de riesgo clave, como un problema detectado en un proveedor, puede ponerse en marcha una evaluación fuera de las evaluaciones periódicas.
- Informes ESG. Todo este proceso se reduce a contar con una capacidad defendible para elaborar informes ESG. La organización debe ser capaz de ofrecer una visión clara de los aspectos ESG en todas sus relaciones con terceros y de integrar esta función en los procesos más amplios de elaboración de informes y divulgación de información ESG de la organización.
La realidad es que las organizaciones modernas, con su red de relaciones con terceros, no pueden gestionar de forma realista los procesos ESG y ofrecer información oportuna con procesos manuales que gestionan esto en documentos, hojas de cálculo y correos electrónicos. Depender de procesos manuales hará que la organización se vea abrumada por la ineficiencia, la falta de información sobre los riesgos y los descuidos y omisiones. Las organizaciones necesitan una arquitectura de información y tecnología sólida para la gobernanza de terceros, la gestión de riesgos y el cumplimiento normativo, a fin de cumplir con la diligencia debida y la presentación de informes ESG en toda la empresa extendida.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
