Un programa de Compliance completo exige extender el perímetro de control a los proveedores, ya que éstos trabajan por cuenta de la empresa y pueden implicarla en una infracción.
Veamos un ejemplo. Una empresa encarga a un proveedor especializado la destrucción de documentos confidenciales entre los que figuran nóminas, CV, informes médicos y evaluaciones de desempeño. El proveedor certifica la destrucción, pero en realidad los tira a un vertedero o los deja en un contenedor de reciclaje de papel. Si hay una denuncia, ésta será dirigida contra la empresa, que es la que figura en los documentos y no contra el proveedor. Puede haber una posible culpa in eligendo si el proveedor ha sido seleccionado por criterios de ahorro de costes (beneficio indirecto) y no por criterios de calidad. Y también culpa in vigilando al aceptar el simple certificado de una empresa desconocida como prueba de la destrucción cuando los datos personales tratados eran de carácter reservado.
Algunas empresas siguen con la falsa creencia de que al externalizar una actividad también externalizan los riesgos asociados a ella. Piensan, por ejemplo, que al externalizar un tratamiento de datos se externalizan los riesgos de incumplimiento asociados al mismo. O que al externalizar una actividad de exportación se externalizan también los riesgos relacionados con los actos de corrupción que tengan lugar en los trámites aduaneros.
Cuando una célebre marca de lencería publicó su catálogo con papel procedente de bosques protegidos, el impacto reputacional de la infracción no fue para el proveedor que incumplió las obligaciones de trazabilidad del papel. Su nombre ni siquiera trascendió.
Los controles anticorrupción de la FCPA, de la ISO 37001 y de la UNE 19601 deben aplicarse en cascada inversa, extendiéndose hasta los niveles que sean exigibles de la cadena se suministro de una empresa. Este objetivo es prioritario en nuestra aplicación Compliance 3.0, en la que se puede obtener un mapa de riesgos de cada proveedor o socio de negocio.
Un programa de compliance que no implique a los proveedores y a los socios de negocio es un programa incompleto. En cambio, la coordinación con los proveedores en la consecución de un objetivo común de cumplimiento será algo cada vez más habitual y pondrá a las empresas sin compliance en riesgo de exclusión del mercado.
Un ejemplo de esta coordinación es el de Apple, que exige el uso de energías renovables a sus proveedores en todo el mundo y audita constantemente su proceso de producción. Aunque los objetivos no se consiguiesen al 100%, el esfuerzo realizado, el capital invertido en materia de control y las numerosas evidencias generadas a lo largo de los años facilitarían a la empresa desvincularse jurídicamente de un eventual incumplimiento del proveedor.
Si una empresa no tiene miedo al riesgo de exclusión comentado, sólo tiene que preguntarse si actualmente cumple los estándares de cumplimiento para ser proveedor de una empresa como Apple. O para ser beneficiaria de una inversión del Fondo Noruego, por citar otro clásico en materia de compliance.
