Cuando hablamos de Compliance muchas veces tendemos a limitar este concepto a los riesgos derivados de actividades o incumplimientos que puedan realizarse dentro de nuestra organización; para ello, establecemos una serie de políticas que hacemos llegar a nuestros empleados y sobre las que les formamos, unos controles para garantizar que éstos cumplen con lo establecido, etc…

Sin embargo, no podemos dejar de lado la importancia que tiene en el día a día de una empresa su necesaria relación con otras partes. Estas personas (físicas o jurídicas) con las que interactúa nuestra empresa también pueden ser una vía de comisión de conductas no deseadas (bien ilícitos penales, bien actitudes contrarias a nuestro código de conducta o acciones que puedan perjudicar la imagen que buscamos crear) y, por tanto, constituyen un área de riesgos a identificar, evaluar, controlar y mitigar.

¿Cuándo debemos llevar a cabo procedimientos de diligencia debida? Debería procederse a ello cuando, una vez analizado el riesgo inherente a la relación en cuestión, éste suponga una amenaza a considerar, bien por la importancia de esa relación o bien por el posible impacto que pudiera generar (o por ambas) para el sostenimiento y viabilidad de nuestro negocio (es decir, cuando el riesgo sea superior a “bajo”).

¿Qué sujetos deberían ser objeto de este procedimiento? Por un lado, con aquellos integrados dentro de la organización, como pueda ser a la hora de contratar al personal adecuado (sobre todo en según qué puestos de responsabilidad, o especialmente vulnerables a ciertos riesgos). Por otro, con aquellos que tengan una relación de forma externa a la empresa, como sería el caso de:

• Clientes (diligencia debida “upstream”), en donde englobaríamos los procedimientos de KYC (know your costumer)
• Socios de negocio: debiendo definirse políticas de aprobación de relaciones de negocio con terceros, y de supervisión de éstas.
• Proveedores (diligencia debida “downstream”), donde cobran especial relevancia, junto con los procedimientos de alta de proveedores, las auditorías que deben realizarse a los mismos.

¿En qué fases podemos dividir los procedimientos de diligencia debida? En toda relación con otra parte hay tres “puntos críticos” donde debemos poner especial atención:

• En la selección de esta parte: a la hora de contratar a un directivo, unos servicios de un proveedor, etc… es conveniente realizar un ejercicio de investigación previo para conocer sus antecedentes y tener el máximo conocimiento sobre él, para asegurarnos de que está alienado con nuestra cultura de compliance.
• En la formalización del contrato: Pudiendo, según la relación que se pretende formalizar, establecer en el clausulado unas pautas, límites u obligaciones que necesariamente deben ser asumidos por esta parte (sería, por ejemplo, el caso de reflejar por contrato que el proveedor de servicios de compromete a cumplir con nuestro código ético o nuestra política anticorrupción).
• En el seguimiento de la relación: reevaluando periódicamente el riesgo, examinando los posibles cambios en las circunstancias, realizando formaciones para “refrescar” o actualizar los objetivos de compliance establecidos así como las vías para alcanzarlos o, algo especialmente relevante en el caso de los proveedores, realizando las correspondientes auditorías.