Radiografía del Compliance en la empresa española. Reflexiones desde la realidad. Capitulo II

La gestión del riesgo con terceras partes, entendida en su acepción más amplia y transversal, engloba un conjunto de elementos críticos que deben ser adecuadamente abordados por la organización. Esta complejidad contribuye a explicar no solo que este ámbito sea percibido como el más crítico, sino también que se identifique como aquel que requiere una mayor involucración por parte de la Función de Cumplimiento.

Entre los principales factores que pudieran sustentar esta valoración cabe destacar los siguientes:

Una elevada heterogeneidad en los métodos de identificación y calificación de los inductores de riesgo asociados a las terceras partes, en función de la tipología de riesgo analizada. En este sentido en una misma organización pudieran coexistir metodologías diferenciadas —y no siempre alineadas entre sí— para la evaluación de los riesgos que las terceras partes pueden generar para la organización en ámbitos tales como: (i) integridad y corrupción, (ii) sostenibilidad, (iii) medio ambiente y derechos humanos, (iv) solvencia técnica o financiera y (v) seguridad de la información.
Asimismo, para determinados ámbitos de riesgo, podría darse la circunstancia de que exista una insuficiente diferenciación en los criterios, elementos y herramientas empleados para las labores de diligencia, análisis y evaluación de terceras partes, sin que se asegure en todos los casos una adecuada correspondencia entre el nivel de profundidad y rigor aplicado en dichas diligencias y el grado de riesgo asociado a las distintas categorías de terceros.
Por último, no puede descartarse que, en determinados contextos, los procesos de diligencia presenten un grado de integración limitado en los flujos operativos de la organización, pudiendo gestionarse en ocasiones de forma parcialmente desvinculada de los sistemas corporativos; así como una necesidad de mejora en la definición y formalización de los roles y responsabilidades de las distintas áreas involucradas en la evaluación y gestión de los riesgos asociados a terceras partes.
Ante estas circunstancias, las organizaciones pueden considerar la conveniencia de llevar a cabo un ejercicio transversal e integral orientado a identificar, en un sentido lo más amplio posible, los riesgos que las terceras partes pueden generar para la organización y respecto de los cuales se pretenda articular un proceso estructurado de evaluación y control.

Sobre la base de dicho análisis, resultaría necesario definir un catálogo claro y homogéneo de riesgos, así como establecer los inductores que permitan identificar y clasificar a aquellas terceras partes que representan una exposición más significativa para la organización, de acuerdo con un enfoque basado en el riesgo.

Estos inductores podrán variar en función de la naturaleza del riesgo analizado y deberán servir como fundamento para la definición de medidas de diligencia proporcionales, aplicando mayores niveles de rigor y profundidad en aquellos supuestos en los que la exposición al riesgo sea más elevada. Todo ello debería apoyarse en herramientas tecnológicas adecuadas y encontrarse debidamente integrado en los procesos operativos y de negocio de la organización.

Asimismo, los modelos de gestión del riesgo de terceras partes deberían articularse conforme a una serie de principios fundamentales, entre los que cabe destacar: un enfoque claramente basado en riesgos; la trazabilidad, repetibilidad y explicabilidad de las diligencias realizadas; una adecuada segregación de funciones en la evaluación y gestión de estos riesgos; y un claro establecimiento y asignación de roles y responsabilidades entre las distintas áreas involucradas.

La inteligencia artificial se ha consolidado como un elemento recurrente en las agendas de prácticamente todos los foros especializados en materia de cumplimiento. No obstante, resulta oportuno reflexionar sobre el papel efectivo que la Función de Cumplimiento está desempeñando actualmente en las organizaciones en relación con esta materia, que, con carácter general, tiende a circunscribirse al desarrollo de códigos, políticas o principios de uso ético de la inteligencia artificial.

Esta aproximación, si bien necesaria, podría resultar insuficiente para abordar de forma integral los riesgos asociados a la adopción y uso de sistemas de inteligencia artificial, lo que explicaría la percepción creciente de la necesidad de una mayor y más activa involucración de la Función de Cumplimiento en este ámbito.

Esta mayor involucración podría justificarse por la concurrencia de tres circunstancias principales, directamente vinculadas al rol que la Función de Cumplimiento está llamada a desempeñar en este ámbito.

• En primer lugar, el uso de herramientas de inteligencia artificial está alterando de forma significativa el perfil de exposición a riesgos tradicionalmente vinculados al ámbito del cumplimiento, como los riesgos de integridad, privacidad, discriminación, toma de decisiones automatizadas o control interno.
• En segundo lugar, la entrada en vigor del Reglamento Europeo de Inteligencia Artificial introduce un marco normativo específico y exigente que, por su propia naturaleza, puede integrarse dentro del ámbito del cumplimiento “normativo”. En particular, el reglamento impone obligaciones organizativas y de control destinadas a asegurar su cumplimiento, acompañadas de un régimen sancionador especialmente relevante, con multas que pueden alcanzar hasta el 7 % de la cifra de negocio anual consolidada.
• En tercer lugar, el eventual despliegue por parte de las organizaciones de un sistema estructurado de cumplimiento en materia de inteligencia artificial —que incluya la identificación y evaluación de riesgos o casos de uso, la definición y evaluación de medidas de mitigación, el establecimiento de una estructura de gobernanza y responsabilidades, así como mecanismos de supervisión periódica, trazable y orientada a la mejora continua— podría razonablemente recaer en la Función de Cumplimiento. Dicha función cuenta ya con experiencia contrastada en el diseño, supervisión y mantenimiento de sistemas de cumplimiento complejos y transversales, como el sistema de cumplimiento penal.

En este contexto, las organizaciones deberán plantearse la idoneidad de desplegar un sistema de estas características que permita no solo garantizar un uso ético de la inteligencia artificial, sino también asegurar el cumplimiento efectivo de los requerimientos regulatorios aplicables, minimizando así el riesgo de sanciones o impactos significativos para la organización.

De forma complementaria, resulta relevante precisar que el despliegue de sistemas de gestión de cumplimiento en materia de inteligencia artificial no exige, necesariamente, un conocimiento técnico especializado en dicha tecnología por parte de la Función de Cumplimiento. En este sentido, el valor añadido de esta función no radica en el dominio técnico de los modelos o herramientas de inteligencia artificial, sino en su conocimiento metodológico y en los criterios que permiten diseñar, articular y supervisar sistemas de cumplimiento complejos, transversales y basados en riesgos.

Así, la aportación esencial de la Función de Cumplimiento se centra en la definición del marco metodológico del sistema —identificación y evaluación de riesgos o casos de uso, diseño de controles, establecimiento de una estructura de gobernanza, asignación clara de roles y responsabilidades, así como mecanismos de supervisión, trazabilidad y mejora continua—, todo ello bajo principios de independencia, autonomía y autoridad del responsable del sistema.

Por el contrario, el conocimiento técnico específico en materia de inteligencia artificial deberá residir, de forma natural, en aquellas áreas de la organización que desarrollan, implantan o utilizan esta tecnología, correspondiendo a la Función de Cumplimiento coordinarse con dichas áreas desde una posición de supervisión independiente, sin asumir funciones operativas ni técnicas que podrían comprometer su independencia.