Cumplimiento de la Ley de Prácticas Corruptas en el Extranjero (FCPA)

Desarrolle y perfeccione los componentes clave de suprograma de gestión de riesgos de proveedores (SRM), incluyendo:

• Políticas, normas, sistemas y procesos de gobierno
• Funciones y responsabilidades claras (por ejemplo, RACI)
• Lógica de clasificación y categorización de proveedores
• Umbrales de puntuación de riesgo basados en los niveles de tolerancia al riesgo de su organización.
• Mapeo de proveedores indirectos para comprender el ecosistema ampliado de su organización.
• Determinar las evaluaciones y fuentes adecuadas de datos de supervisión continua (por ejemplo, empresariales, reputacionales, financieros).
• Indicadores clave de rendimiento (KPI) e indicadores clave de riesgo (KRI)
• Requisitos de cumplimiento y presentación de informes contractuales en relación con los niveles de servicio.
• Informes sobre riesgos y partes interesadas internas
• Estrategias de mitigación y remediación de riesgos

Estos criterios deben constituir la base de un programa de gestión de riesgos de proveedores basado en las mejores prácticas, que no solo incluya la diligencia debida para cumplir los requisitos de la LkSG, sino que también sea extensible a otras categorías de riesgo, comola ciberseguridad.

Evalúe las prácticas de los proveedores mediante unaplataforma centralizadaque permite el cálculo automático de los riesgos basándose en las respuestas de los proveedores frente a los umbrales de riesgo aceptables, la carga de pruebas justificativas y el respaldo de un flujo de trabajo y recomendaciones de corrección e informes integrados, todo lo cual facilita el cumplimiento de los requisitos y plazos de presentación de informes.

Valide los resultados de la evaluación anual de diligencia debida coninformación continuasobre la reputación, los medios de comunicación adversos y las noticias negativas, las medidas reglamentarias y legales, las sanciones y mucho más. Correlacione la información obtenida del seguimiento continuo con los resultados de las evaluaciones periódicas para obtener informes de riesgos más unificados. La consolidación de toda la información en un «panel único» optimizará sus esfuerzos de análisis de riesgos.

Revise la información reciente sobre el negocio y la reputación, los documentos legales, las puntuaciones ESG, las sanciones y otra información relacionada como parte de las evaluaciones de nuevos proveedores. Consolide toda la información en un único perfil de proveedor al que puedan acceder todos los equipos de la organización, en lugar de tener que manejar múltiples fuentes de información diferentes. Alinee la recopilación de información con procesos más ampliosde gestión de RFxpara obtener revisiones más holísticas de los proveedores.

Incluya disposiciones enlos contratos con los proveedoresy realice un seguimiento del progreso de los informes de los proveedores a lo largo del tiempo. Integre la contratación en su proceso de evaluación de riesgos de los proveedores. Para ello, centralice todos los procesos de distribución, negociación, conservación y revisión de contratos y aproveche el flujo de trabajo a lo largo del ciclo de vida del contrato con el proveedor. De este modo, resultará mucho más sencillo informar sobre las medidas de control contractual, comolos indicadores clave de rendimiento (KPI) y los indicadores clave de riesgo (KRI).

Utilizando los resultados de las evaluaciones de los proveedores, haga recomendaciones al proveedor, solicite aclaraciones sobre las políticas y esté preparado para informar de cualquier infracción a las autoridades. Las soluciones de gestión de riesgos de los proveedores incluirán sugerencias de corrección integradas para los proveedores. Es importante seguir este paso, ya que es esencial para la presentación de informes obligatorios.

Si resulta necesario rescindir la relación con un proveedor, asegúrese de automatizar las evaluaciones finales del contrato ylos procedimientos de bajapara reducir el riesgo de exposición de su organización tras la finalización del contrato. Las tareas clave que deben abordarse en este caso son las siguientes:

• Informe sobre el acceso al sistema, la destrucción de datos, la gestión de accesos, los pagos finales y mucho más.
• Almacene y gestione de forma centralizada documentos y certificaciones, como acuerdos de confidencialidad, acuerdos de nivel de servicio, declaraciones de trabajo y contratos.
• Asignar los resultados de la evaluación a un marco normativo para simplificar la presentación de informes finales.

Identifique las relaciones de subcontratación de cuarta y enésima parte en su ecosistema de proveedores. Realice una evaluación basada en cuestionarios de sus proveedores o analice de forma pasiva la infraestructura pública del proveedor. El mapa de relaciones resultante muestra las dependencias ampliadas que podrían exponer a su organización a riesgos. Los proveedores descubiertos a través de este proceso deben ser supervisados continuamente para identificar riesgos ESG, comerciales y de sanciones.

Crear y mantener una base de datos centralizada de proveedores para cumplir con los requisitos de información de la Ley. La base de datos debe incluir perfiles completos de los proveedores y proporcionar acceso basado en funciones a los contactos de la empresa, la documentación, los datos demográficos, las conexiones con terceros y cuartos, y la información sobre riesgos.

Almacene y distribuya de forma centralizada los documentos sobre políticas de proveedores, los resultados de las evaluaciones, las conclusiones de los controles y las medidas correctivas para el diálogo y la certificación en el momento de la presentación de informes. Amplíe la visibilidad a los auditores externos que puedan estar examinando sus procesos de diligencia debida y asesorando sobre los requisitos de presentación de informes anuales.