Riesgos en procesos externalizados en Sistema de Gestión de Compliance

Riesgos en procesos externalizados en Sistema de Gestión de Compliance

Siguiendo con la serie de entradas relacionadas con la Norma ISO 19600, esta semana queremos hablarte de los Riesgos en procesos externalizados en Sistema de Gestión de Compliance.

Dentro de los sistemas de gestión de cumplimiento  (o “compliance”), cuando una organización está identificando sus riesgos de cumplimiento debe valorar todas sus actividades, productos y servicios. Ello implica considerar procesos externalizados entre los que se encuentran típicamente algunos como:

  • Transporte / distribución
  • Suministro de materias primas
  • Gestión comercial
  • Gestión de RRHH
  • Asesoría jurídica / administrativa
  • Gestión informática
  • Auditorías financieras
  • Etc.

El análisis y control de los riesgos penales de estas actividades puede suponerte una de las mayores pesadillas en la implantación de los sistemas de gestión de Cumplimiento. En  la norma ISO 19600, que algunos utilizan como referencia estos aspectos se incluyen en el apartado 8.3. (Conoce a fondo la Norma ISO 19600 y evita los delitos derivados de la RSC (4ª parte). Sistemas de gestión de compliance)

En relación con los subcontratistas y proveedores… ¿Hasta dónde alcanza nuestra responsabilidad legal? ¿Hasta dónde los riesgos empresariales?. No es sencillo de valorar.

Además, el nivel de autoridad y control que podemos tener sobre otras organizaciones suele ser limitado y las cadenas de proveedores / subcontratistas son a veces tan largas que suponen una caja de sorpresas cuando nos ponemos a indagar a fondo (sorpresas en ocasiones “desagradables”).

Suponte, por ejemplo, que has identificado como significativos riesgos de “compliance” en la red de representantes comerciales de tu empresa, y que dicha red la tenéis subcontratada (externalizados), ¿Cómo los controlas?

Tienes muchas alternativas:

  • Introducir las obligaciones de compliance en las cláusulas contractuales.
  • Establecer un código concreto de comportamiento para proveedores o más específicamente para representantes comerciales.
  • Formar a los representantes comerciales en aspectos de compliance.
  • Establecer canales de denuncia confidenciales.
  • Implantar procesos de auditoría, aunque tiene unos costes que no todas las organizaciones están dispuestas a asumir.
  • Adaptar técnicas de “mystery shopping” a nuestras necesidades.
  • Etc.

No se trata de establecer a priori una determinada metodología sino de entender que no es necesario matar moscas a cañonazos, y que en función del nivel de riesgo puedes combinar varias de estas técnicas para alcanzar una confianza “razonable” en el cumplimiento de las medidas establecidas dentro de tu sistema de gestión de cumplimiento.

Dinos si te resulta útil esta información, y cuéntanos tus experiencias en la implantación de un Sistema de Gestión de Cumplimiento (Compliance).

Si te ha gustado, no seas egoísta, compártelo!

La aldea gala y la gestión de los riesgos en la cadena de proveedores

La aldea gala y la gestión de los riesgos en la cadena de proveedores

Las cosas han cambiado mucho desde los tiempos de Panoramix y Ordenalfabetix

No nos imaginamos a Panoramix presentando excusas si la poción no sale como estaba previsto. Excusas del tipo “es que mi proveedor de muérdago se ha retrasado”. Tampoco a Ordenalfabetix justificando que el pescado no es fresco porque le falló la logística o una huelga imprevista en el puerto le impidió recibir nueva mercancía.

Cuando el vendedor del producto es a la vez el que lo fabrica o lo pesca, lo transporta y lo pone a la venta, no hay excusas que valgan.

Hoy día la cadena de proveedores que necesitan las empresas para ofrecer sus productos o servicios a los clientes puede ser “monstruosa” y a veces difícil de identificar y mucho menos de controlar. Ello genera riesgos que cualquier empresa debe analizar con rigor.

Un ejemplo. Para fabricar mi producto tengo que usar una materia prima clave y mi departamento de compras (con buen criterio) tiene establecido que al menos se trabaje con 3 proveedores diferentes. Pero ¿qué ocurre si los 3 se encuentran en la misma área geográfica de un país lejano? ¿Y si esa área tiene riesgos de tipo político o de catástrofe natural? La situación de falta de suministros generada tras el tsunami de fukujima nos enseñó que a veces hemos realizado análisis demasiado simplistas de los riesgos.

Otro ejemplo. ¿y si tenemos subcontratada toda la gestión de la información y tecnología de la empresa a una empresa externa?. ¿Hasta donde llega nuestro control de la misma? ¿Debemos conformarnos cuando alguien nos dice que tenemos la información “en la nube” y que esta es plenamente segura?

 ¿Cómo manejar estas situaciones? Desarrollando un sistema de gestión de los riesgos de la cadena de proveedores.

Un diagrama de flujo lógico podría concretarse en:

Gestión de los riesgos en la cadena de suministros

Aplicar los pasos anteriores de manera consistente y periódica (pues las condiciones internas y externas son tremendamente cambiantes) garantizaría una gestión adecuada de los riesgos y, en cierto modo” la supervivencia de las empresas a medio o largo plazo.

Si quieres saber más sobre metodologías de evaluación de cadena de suministro puedes leer una entrada nuestra de este blog: Evaluaciones de la cadena de suministro. Riesgos originados por proveedores y subcontratistas

Si lo que necesitas es ayuda con tu evaluación y gestión de riesgos, no dudes en contactar con nosotros, somos especialistas en el tema.

Imagen destacada: Manuel F. Picaud

La importancia del control de proveedores

La importancia del control de proveedores

Como ya sabéis, parte del trabajo que llevamos años realizando consiste es la implantación de sistemas de gestión. Una característica común en todos ellos es la necesidad de controlar a nuestros proveedores, tanto de productos como de servicios (subcontratación), y, por desgracia, una de las quejas más comunes de las empresas con las que hemos colaborado es … ¿y de verdad tenemos que llevar un control?, eso es otro de los «papelitos» que nos pide la ISO, y que no sirven para nada.

¿Os suenan esos comentarios?

Vamos a ver qué te pide la Norma ISO 9001 (Sistemas de Gestión de la Calidad – Requisitos), la más implantada en España. Esta Norma dice en su punto 4.7.1: “La organización debe asegurarse de que el producto adquirido cumple los requisitos de compra especificados. El tipo y alcance del control aplicado al proveedor y al producto adquirido debe depender del impacto del producto adquirido en la posterior realización del producto o sobre el producto final.” (Al decir “producto” en esta norma, también se refiere a “servicio”).

Con ese párrafo, ISO 9001:2008 nos está dando la clave de por qué es importante el control a proveedores. Si lo que compramos o subcontratamos, si el producto adquirido o servicio subcontratado va a incidir directamente en la calidad de nuestro producto o servicio, comprar o subcontratar a quien no debemos puede hundir tu empresa.

Dos ejemplos:

  1. Proveedor de mensajería: en tu organización tenéis un producto de alta calidad y muy bien valorado por el mercado, pero utilizas un servicio de mensajería que por sistema no entrega en plazo tus pedidos. ¿Crees que afecta a tu calidad?
  2. Proveedor de tuercas especializadas en una cadena de montaje de coches: si fabricas coches y las tuercas que compras no cumplen con los requisitos solicitados, ¿podrás montar bien el coche?

Son dos ejemplos muy tontos, pero muy gráficos de lo que quiero trasmitir.

Me gustaría hacerte una pregunta ¿qué crees que sale más caro, los fallos detectados por el cliente o las medidas que se toman para evitar esos fallos?  Para mi, está claro, salen mucho más caros los fallos detectados por el cliente.

Es obvio que si el producto o servicio comprado se integra en nuestro producto o servicio los controles a esos proveedores deben ser mucho más exhaustivos que si no. Está claro que si lo que tienes es una clínica de fisioterapia el proveedor de bolígrafos no afecta a tu servicio, pero el del aceite que utilizas en los masajes, sí.

¿Cómo se hace para llevar un buen control de proveedores?

No necesitas un procedimiento complicado, ni modelos de encuestas de evaluación de proveedores, ni nada parecido. Sigue un proceso como el siguiente y te será muy fácil:

Control de proveedores

 

Que cumple, sigues trabajando con él, que no… buscas otro que sí. Pero recuerda, sólo para aquellos que tengan un impacto en la realización de tu producto o en la ejecución de tu servicio.

La ISO no fue pensada para complicarte la vida, si no para darte herramientas para gestionar. Implantar un sistema de gestión te da todas las herramientas para mejorar y para demostrárselo a los demás.