Junto con las preocupaciones legales y de seguridad, las consideraciones éticas son un componente cada vez más crucial de la gestión de riesgos de terceros.

Al garantizar que los terceros participen en prácticas de empleo justas y legales para evitar fabricantes dañinos para el medio ambiente, las empresas no solo están haciendo lo correcto, sino que también están reduciendo el riesgo y mejorando su reputación.

PrivSec Third-Party Risk explorará la dimensión ética de la gestión de la cadena de suministro y considerará cómo asegurarse de que sus proveedores de servicios externos estén a la altura de sus valores.

 

Transcripción

Robert Bateman:

Hola. Bienvenido de nuevo a PrivSec Focus: Riesgo de terceros. Soy Robert Bateman. Soy el jefe de contenido aquí en GRC World Forums y su anfitrión para hoy. Antes de comenzar la próxima sesión, otro gran agradecimiento a nuestros patrocinadores ProcessUnity y ServiceNow, y un recordatorio para hacer preguntas mediante la función de chat. Y entre sesiones, puede navegar por la plataforma, hay muchos recursos en grcworldforums.com y también puede ver nuestras páginas de patrocinadores, todo usando esa barra de menú a su izquierda. Ahora, en nuestra próxima sesión, nos ocuparemos de la gestión de la cadena de suministro para las próximas dos sesiones. Manteniendo una cadena de suministro ética, Merilyne Davies, quien es directora global de privacidad y oficial de protección de datos en RX Global, la organiza. Voy a entregar a Merilyne ahora.

Merilyne Davies:

Buenas tardes a todos. gracias Y como dice Rob, soy Merilyne Davies directora global de privacidad y protección de datos para Reed Exhibitions. Y les doy la bienvenida a todos a nuestra sesión sobre el mantenimiento de una cadena de suministro ética. Estoy encantado de que me acompañe hoy un panel de expertos que nos ayudarán a todos a comprender mucho más esta área. Entonces, comenzaremos con presentaciones rápidas. Regine Bonneau de RB Advisory es la primera, Regine.

Regine Bonneau:

Impresionante. Buenos días a todos. Gracias por tenerme. Soy Regine Bonneau, soy directora ejecutiva fundadora de RB Advisory, tengo experiencia en ingeniería. Riesgo de terceros, la cadena de suministro es un aspecto muy clave e importante para nuestros clientes. Hacemos asesoría y consultas de la industria de la salud, finanzas, DOD, energía y agua. Entonces, cuando miras eso para el sector público, ¿cómo comienzas a administrar todo eso? Así que estamos aquí para ayudar y esperamos con ansias la sesión.

Merilyne Davies:

Increíble. Gracias, Regina. Y paso a André Paris de Fakos.

André H. Paris:

Hola a todos. Mi nombre es André. Soy socio gerente de Fakos, una firma consultora de cumplimiento y privacidad de datos. También soy profesor en el campo de GRC. Escribí un libro que se tradujo al idioma inglés como Ética y transparencia, un camino hacia el cumplimiento. Es un gran valor estar aquí con todos ustedes.

Merilyne Davies:

Increíble. Fantástico. Gracias André. Y finalmente, a Brian Myers de Beckage. Gracias, Brian.

Brian Myers:

Bien. Hola, soy Brian Myers. Soy abogado de Beckage, un bufete de abogados con sede en los Estados Unidos. También nos centramos en la tecnología, la privacidad de los datos y el cumplimiento y los litigios en materia de ciberseguridad. Y somos muy conscientes de que la cadena de suministro de terceros es muy crítica para todos nuestros clientes, especialmente en todos los entornos en los que trabajamos. Muy feliz de contribuir aquí hoy.

Merilyne Davies:

Fantástico. Bueno, va a ser una gran sesión hoy. Entonces, si algún delegado tiene alguna pregunta, envíela a través del chat privado y se la plantearé al panel a medida que avancemos. Pero comenzaremos, miembros del panel, a hablar sobre los estándares éticos de la cadena de suministro, que pueden variar, por supuesto, de una organización a otra, pero también desde la perspectiva de la jurisdicción. Entonces, ¿puede darnos una idea de cómo aconseja a sus clientes sobre cómo podrían navegar en esta área? Y cómo se ve bien, ciertamente lo que ha visto en las tendencias que siguen sus organizaciones y clientes. Entonces, si me permite, ¿puedo plantearle eso a André primero?

André H. Paris:

Bien gracias. Como firma de consultoría, siempre asesoramos a nuestros clientes para que accedan al riesgo inherente a los vendedores, proveedores y otros terceros con los que la empresa hace negocios. Entonces, por ejemplo, si su organización está en la industria de la moda y la confección, la empresa siempre deberá evaluar si sus proveedores respetan las leyes laborales y la dignidad de las personas que trabajan con ellos. Y desafortunadamente, como todos sabemos, tuvimos un caso relativamente reciente aquí en Brasil, en el que Zara, una empresa española, tuvo un problema relacionado con el trabajo forzoso en su cadena de suministro. Y por eso tuvo un gran daño reputacional, no solo aquí en Brasil, sino también en la negociación de sus acciones en la bolsa española. Y por ello, también aconsejamos a nuestros clientes que después de identificar qué terceros les aportan mayor riesgo en cuanto a aspectos éticos, también deben implementar algunos controles para mitigar el riesgo que se detectó.

André H. Paris:

Entonces, por ejemplo, también les recomendamos que implementen algunas cláusulas contractuales que traten cuestiones éticas y la más conocida de ellas es, sin duda, la ley anticorrupción y antisoborno. Creo que está muy consolidado, no introducir este tipo de cláusulas en su contrato, pero aún podemos encontrar alguna. También es una buena práctica realizar un procedimiento de diligencia debida continuo previo a la celebración de un contrato de una relación comercial con un tercero. Requerir que el tercero lea y cumpla con un código de conducta de la empresa en otros procedimientos y políticas relevantes también es una mejor práctica que compartimos con nuestros clientes. Y en ocasiones también aconsejamos que se dé por terminada la relación que se entabló con un tercero si el tercero no comparte los mismos valores éticos que nuestro cliente, por ejemplo.

Merilyne Davies:

Absolutamente. Y en ese punto con respecto a la debida diligencia en curso, etcétera, Brian, ¿hay algo que pueda agregar a eso, que haya visto que ha sido una gran práctica sobre cómo podríamos implementar la debida diligencia una vez que el contrato esté vigente? ?

Brian Myers:

Sí, creo que André estaba haciendo un gran comentario, que los códigos de conducta son un mecanismo que realmente puede usar para ayudar a promover una conducta ética en su cadena de suministro. Y el código de conducta es una gran oportunidad para que su organización anote, estas son las cosas que valoramos desde un punto de vista ético, y estas son nuestras prioridades, y esto es lo que esperamos de nuestros socios. Y puede incluirlos en sus contratos, y tiene derechos contractuales basados en lo que permanecerán esos códigos de conducta. También hay grandes oportunidades para incluir cosas que ayuden a su diligencia debida, como establecer inspecciones o auditorías anuales o algún otro período de tiempo, que puede consultar y verificar con sus proveedores, sus terceros y ver qué hacen. están haciendo y obtener una actualización sobre dónde están, porque todas las organizaciones están cambiando con el tiempo.

Brian Myers:

Por lo tanto, siempre es bueno volver a consultar con la gente. Y también un código de conducta es algo que no tiene que permanecer en su contrato. Puedes publicar eso. Y sabemos que para muchas organizaciones, su base de clientes espera ver medidas ESG y otras actividades en ese espacio. Y su código de conducta es solo una oportunidad de ser algo que puede publicar en su comunidad y decir, esto es lo que hacemos. Y esto es lo que estamos tratando de promover dentro de nuestro propio ecosistema. Y es solo otra gran pieza de marketing para su empresa.

Merilyne Davies:

Absolutamente. Y ciertamente, según nuestra experiencia, tiende a mejorar la industria. Entonces, donde la gente sigue, yo puedo seguir su ejemplo, y luego se convierte también en una expectativa de los clientes. En tu experiencia, Regine, en cuanto a cómo asesoras a tus clientes en este espacio, ¿has visto que cada vez más empresas publican sus códigos de conducta en cuanto a lo que Brian y André han estado hablando en términos de que esto es promocionarse como una empresa ética? proveedor, sino también elevando más la industria y las expectativas de sus clientes?

Regine Bonneau:

Sí. Así que creo que este problema comenzó hace mucho tiempo, hace un par de años con Kathie Lee y su línea de ropa. Me disculpo, Kathie, no quería mencionar eso, pero cuando estás viendo eso, si estás mirando eso, aquí es donde mucho de esto es más frecuente. Prevaleciente en ese tipo de industria. Entonces, lo que hemos estado viendo también aquí es que creó un impulso, no solo en ciertas industrias, sino en todas las industrias, lo requiere porque sabemos que subcontratamos mucho. Subcontratamos servicios en el mundo de la seguridad en el que me enfoco mucho, lo que también se ha convertido en una preocupación para algunos clientes, dependiendo de quiénes son sus terceros y qué les brindan apoyo. Entonces, dicho esto, siempre les digo que es una cosa extra, una capa extra.

Regine Bonneau:

Entonces, el código de conducta siempre ha sido una publicación porque ahora se esperaba. Es algo que las empresas estaban haciendo para diferenciarse, pero ahora se está convirtiendo en la norma. Y luego ahora realmente se está realineando, volviendo a aplicar, alineando y actualizando ese código de conducta para mostrar este avance en este espectro verde. ¿Cómo minimizas tu huella de carbono? Lo ha visto en grandes organizaciones y en el lado estadounidense y en todo el mundo, porque ahora se está convirtiendo en la norma. Y todos estamos viendo que el calentamiento global no es un mito. lo estamos viendo Y cuando lo miras, toca a estos tres. Así que estamos aquí en el tercero. La seguridad es otro aspecto. Eres como, bueno, ¿quién está a cargo de eso? ¿Es la seguridad en el departamento la que guiará eso y se asegurará de que se realice su proceso de diligencia debida porque hay un aspecto que puede seguir, una vez que pasa al medio ambiente?

Regine Bonneau:

Pero lo que buscamos hacer, en realidad lo mencionamos como parte de la conversación, como parte de ese proceso de diligencia debida y luego asignamos a otro grupo para que realmente investigue. Creo que Brian y André mencionaron, ¿verdad? De la misma manera que hacemos una evaluación regular, una evaluación anual anual, esto es lo mismo, es otra aplicación, otra información que está solicitando. Y me encanta el hecho de que siempre digo confiar, pero verificar, corregir, es esa fuente. Confío en que eso es lo que estamos haciendo de vez en cuando, también lo verificaré, no solo mediante la documentación, sino que si estamos haciendo negocios, exponga cómo se ve eso para mí también, porque esto es lo que representamos. . Y debido a esa alineación, entonces es más fácil para las empresas cómo se ve bien el proceso. Estamos siguiendo los mismos pasos. Sin embargo, agregamos ese esfuerzo porque entendemos el factor humano, el impacto que tiene en el clima y mucho dentro de la tecnología.

Regine Bonneau:

Bueno, ¿qué impacto tiene? Tiene un impacto porque cambias la física y la química y no vemos eso más allá de eso, excepto esa plataforma de software que se está moviendo. ¿Qué carbono está exponiendo afuera? Entonces, lo que realmente parece bueno es pasar por ese proceso que ya conoce, alinear la iniciativa de su empresa y la empresa con la que está haciendo negocios, no mostrarlos, sino hablar, tener una conversación, comprender su concepto. Sí, próximos pasos. ¿Cuál es el próximo paso que se alineará con el suyo y ahora limitará un poco su riesgo de reputación con el que se le asociará de cualquier manera que se forme? Y debido a ese factor, todos realmente se han movido. Hemos visto a más empresas haciendo eso, dando lo mejor de sí, incluso la tecnología que están sacando a la luz, el impacto social positivo. Así que todo eso es parte de ese movimiento. ¿Cuál es la tecnología de impacto social que se está haciendo ahora? Así que sí, están los mismos pasos, pero la alineación y esa buena conducta y la alineación con ellos es la clave para ellos.

Merilyne Davies:

Estupendo. Gracias. Y debo decir que navegando por esto para nuestra organización, si estamos usando pequeñas y medianas empresas donde están completando la documentación de diligencia debida que mencionó, Regine, en realidad, a menudo tienen dificultades para completar estos documentos de diligencia debida. Y, a veces, incluso la terminología a la que estamos acostumbrados a manejar tanto en privacidad, seguridad, controles ambientales, etcétera, como en las evaluaciones de sanciones de diligencia debida, les resulta difícil completarla. Entonces, sería genial saber del panel, ¿cómo apoyamos a nuestras pymes para que completen estos documentos de diligencia debida para que obtengamos la información que necesitamos para completar nuestras evaluaciones? Y si me permite, ¿puedo decirle eso a Brian primero?

Brian Myers:

Sí, creo que es importante dejarles claro todo el tiempo que esto es algo sobre lo que te tomas en serio, para que sean conscientes de que es algo a lo que deben estar preparados para responder. Que no se sorprendan cuando surja durante el proceso de diligencia debida. Y establezca la expectativa de que es algo a lo que desea dedicar una cierta cantidad de tiempo. Y que está bien que le dediquen tiempo, que no se sientan apurados. Entonces, cuando estableces ese tono en la sala, que este es un asunto serio y que queremos que se le dé la debida consideración, creo que eso ayuda a establecer el tono en la conversación y que saben que vale la pena comprometerse, tal vez una o dos personas adicionales y el tiempo que sea necesario para asegurarse de que realmente se responda de manera seria. Creo que establecer la expectativa es probablemente una de las mejores cosas que puede hacer para ayudar a facilitar eso.

Merilyne Davies:

Gracias. Y André, ¿alguna idea sobre eso?

André H. Paris:

Perfecto. Como dijo Brian, es un tema muy importante. Y creo que no es inusual, especialmente en el campo de la privacidad de datos, pero es algo relativamente nuevo aquí en Brasil. Y tenemos muchos problemas con respecto a la comprensión de lo que estamos exigiendo de nuestros terceros. Y también es un problema en sí mismo si el tercero tiene algunos problemas, comprender cuáles son todos estos conceptos que les pedimos que respondan y brinden información que indique que es posible que no cumplan con nuestra ley de protección de datos como lo haríamos nosotros. gusta que sea Por lo tanto, debemos tener un poco de paciencia aquí en Brasil y preguntarles cuándo aún no cumplen con nuestra ley de protección de datos, que al menos le digan a la empresa que está haciendo la debida diligencia, cuándo cumplirán, cuándo lo harán. implementar un problema de privacidad.

André H. Paris:

Y la empresa debe buscar pruebas cuando llegue el momento de que pudieron implementar el programa de privacidad. Y entre ese tiempo, la empresa también debe buscar alternativas. Miremos a mis competidores proveedores de proveedores, si cumplen con nuestras leyes de protección de datos o cualquier otra ley que el tercero esté sujeto a la diligencia debida. Entonces, la empresa debe al menos establecer un tiempo para que el tercero cumpla y también estar siempre buscando alternativas o competidores con los que tal vez haga negocios.

Merilyne Davies:

Eso es muy agradable. Regine, ¿tienes algo más que añadir a lo que acaba de poner André?

Regine Bonneau:

¿Tienes tiempo? No solo [diafonía 00:18:24] Tenemos estas conversaciones todo el tiempo. Es solo esa cosa extra. Así que especialmente ese mercado que acaba de elegir, la pequeña empresa. Primero, solo están manejando su negocio, en realidad lo están haciendo. Así que eso es increíble, sí. A continuación, eres como la ciberseguridad. ¿De qué estamos hablando? Bueno, usar la tecnología, eso de usar, de eso se trata. Pero no veo si no necesitas verlo, no te preocupes. Así que estamos mirando, estamos en ese nivel. Y todo ahora, a medida que comprendemos qué es eso, entonces tienes privacidad de datos, todas estas cosas. Y les digo, dije, bueno, siempre ha estado ahí. Simplemente nunca lo pusimos como parte de nuestra práctica porque eso no fue lo primero que se nos vino a la mente. Entonces, en realidad, esto se ha dicho desde el principio, no creo que pueda hacer esto, pero tenemos que hacerlo, mantenerlo simple.

Regine Bonneau:

Está esta cosa, decimos, mantenlo simple, estúpido, como esa cosa del beso. El CEO es la persona que lo impulsa todo. Y luego, tal vez algunos de ellos tengan una junta. Entonces eso inicia esa conversación cuando cosas como esos cambios que suceden para que todos los demás los sigan tienen que provenir de la empresa en su conjunto. Y ahora si no estás en lo cierto, ¿cómo puedes actuar? Eso requiere ser correcto porque no sabes lo que estás buscando. Así que arreglemos lo que tenemos que hacer aquí, porque hemos mencionado que, en general, los estándares, esos códigos de conducta, alinean a la empresa. Y les digo, las regulaciones siempre van a estar ahí. Han estado allí antes de que nacieras. Pero, sin embargo, ¿cuál es tu deber fiduciario con lo que consideras fiel a ti mismo y lo que proporcionas fuera?

Regine Bonneau:

Entonces, si existió una regulación, debe hacerlo porque, en un aspecto, si duplica el tiempo que tanto le costó ganar, y este es el tiempo que no puede recuperar. Entonces, realmente se trata de hablar sobre el riesgo y alinearlo correctamente y llevarlo a un nivel que entiendan. Entonces hablas con el director ejecutivo, el tipo de finanzas, el abogado, hay un abogado en la sala. Entonces, ¿cuál es ese factor de idioma que estamos trayendo a la mesa y realineando y ayudándolos a entender eso? Y como mencioné, la privacidad de datos ahora se está convirtiendo en el rumor. Lo llamo zumbido porque eso es lo que es. Sí. La ciberseguridad se convirtió en la palabra de moda y todos están saltando sobre ella. Ahora tienen datos sobre privacidad y les digo, muchachos, no es nada nuevo. Ahora estamos eligiendo el tema, es como un proceso de 100 pasos. Cada año hay uno que sale a la luz tan pronto como agarramos el otro. Así que estamos construyendo capas de seguridad, capas de orientación y estándares.

Regine Bonneau:

Así que aquí está el primero, pasemos la base por seguridad. Así que ahora, ¿qué significa eso? Parte de esa familia de control, los datos son parte de ella, ¿adivina qué? Lo has estado coleccionando durante mucho tiempo. Así que echemos un vistazo más profundo a lo que estás recopilando. ¿Que es lo que necesitas? Entonces, cuando digo que lo simplifiques, es como, bueno, este TPRM debe estar en este formato y lo están viendo muy bien, ¿qué significan TP y R y M? Porque otras personas también usan la cadena de suministro de idiomas. Entonces, ¿cómo tenemos un título común? Y ahora lo cifran un poco más en profundidad y luego lo traen a lo que están haciendo como empresa. Bien, entonces, ¿cuál es la información que está recopilando? ¿Por qué recopila esa información? E incluso vaya a una oración más profunda sobre a quién está sirviendo al final, porque ahora usted es el tercero, luego hay un cuarto y un quinto, que ahora son sus proveedores.

Regine Bonneau:

¿Y ahora a quién están apoyando? Y todos dijimos esto, así que si solo tiene cumplimiento, solo proceso en su lugar y puesta como empresa, como un todo, entonces ahora puede traducir eso a esos requisitos. Y lo estamos viendo día tras día. Recibo cuestionarios todo el tiempo, eso es increíble. Puedo responderlas. ¿Necesitas algún documento? No. ¿Hablas en serio? Bueno. No hay problema. Oportunidad. Así es que sigue adelante y André mencionó algo, todos vemos que hay una guía estricta, que tienes que hacer. Si se sienta y tiene una conversación, aprenderá que lo están haciendo, excepto que no está documentado y el proceso debe ser un poco maduro. Y luego ahora pueden decir, hola chicos, han estado haciendo esto. Aquí hay uno rápido. Ha estado haciendo esto, pero aquí está el formato real, los factores de compensación, lo mismo en seguridad.

Regine Bonneau:

Y el lado de la tecnología es lo mismo que están suministrando. ¿Qué está haciendo ahora que ahora puede ayudarlo a medida que avanza con el plan de acción correctivo y su cronograma y al implementar las medidas correctas? Así que estamos haciendo esto, limitemos un poco el compromiso, limitemos un poco el acceso, porque todo se reduce al control de acceso. Si podemos limitar quién tiene esto, entonces comenzamos en el camino correcto. Pero son buenas conversaciones para tener. Y decimos, lo mantenemos simple en el sentido de que entendamos lo que has estado haciendo. ¿Dónde estás ahora? ¿Adónde vas? ¿Qué significa eso realmente para usted como empresa? Desafortunadamente, la privacidad de los datos es para todos, no puedes escapar de ella. Simplemente entiende lo que funciona mejor para ti y lo pones en su lugar.

Regine Bonneau:

Y el tiempo de respuesta, ¿quién está a cargo? ¿Quién va a ser esa persona líder allí? Y nuevamente, una gran cosa que decir para las pequeñas empresas y todos se dan la vuelta y miran al dueño del negocio porque ese es el responsable. Y eso es lo primero que hay que decir, pero sí, es realmente otra capa que puse, mira, esta es otra capa encima, pero esto es lo que estamos aquí para hacer. No tienen tiempo para salir y entender y traerlo a la mesa y ahora aplicarlo. Estamos aquí para brindar esa orientación y comunicarnos con las personas adecuadas, ahora que también puede impulsarlo para ellos. Así que mucho de eso es educación.

Regine Bonneau:

La educación siempre va a ser clave. Y luego, aquí están las personas que tiene a su alrededor que pueden ayudarlo en ese sentido y cómo se aplica a usted como empresa en el futuro. Y como dijeron André y Brian, no necesitamos que lo hagas hoy. Será genial, pero sabemos que eso no puede suceder. Sin embargo, al tenerlo al frente y al frente, y como parte de la conversación, cada pequeño paso cuenta para lo que necesita lograr. Y a veces necesitamos hacerlo rápido, porque está entre sobrevivir o no y en la línea de tiempo. Entonces, si todo esto entra en juego, pero conversaciones divertidas además de la otra.

Merilyne Davies:

[interferencia 00:25:41] Nuestro enfoque ha ido al punto de Brian antes, es haber sido público acerca de cuáles son nuestros estándares, pero en realidad es trabajar con la industria con nuestros competidores. Así que esto es más que un problema de Reed Exhibitions. Este es un problema de la industria. Entonces, si tenemos claro cuáles son los estándares como industria en torno a la privacidad, la ciberseguridad, el impacto ambiental, etcétera. Y cualquier suministro que desee trabajar con la industria tiene muy claro qué es lo que esperamos de ellos. Y para las empresas más pequeñas que operan en nuestra industria, se guían por la guía que los jugadores más grandes como nosotros les estamos ayudando a seguir.

Merilyne Davies:

Porque no tienen los recursos internos para crear cosas desde cero. Estarían mirando mucho a los jugadores más grandes y yendo a los puntos que se hicieron anteriormente, esto es parte de los beneficios de ser públicos sobre los estándares que seguimos, porque beneficiamos a las empresas más pequeñas y medianas que deseamos trabajar con. Porque ellos son los que tienen la innovación principalmente, los dos muchachos en el garaje que crean esta maravillosa herramienta.

Regine Bonneau:

Ahora estamos usando hoy. ¿Sabes que? Comentario rápido. Y como mencionaste antes, lo que dijiste es perfecto. Lo que estamos haciendo ahora es tomar algo que era para cierto sector en el ámbito comercial, lo estamos aplicando porque ahora estamos utilizando empleados subcontratados en otros países debido a las finanzas, todo esto. Esa financiación, la reducción de costos, cuál es el CapEx, OPEX, todos estos hermosos acrónimos que tenemos. Entonces, ¿cómo lo movemos de una industria? Entonces, estás viendo más de lo científico, en su mayoría ese tipo de industrias fueron las que realmente estaban siendo examinadas sobre esos problemas climáticos, problemas ambientales. Pero ahora también se están extendiendo a los proveedores y obteniendo… Así que ahora es ese cambio. Además, no sé, yo no hago nada de eso. Genial. Pero eso no es de lo que estamos hablando, ¿cómo se aplica a ti en ese sentido? Tan perfecto sentido. Y como industria, como luz guía, digo que debemos dejar esa clasificación muy clara y definirla en toda la industria y también en lo que haces como negocio.

Merilyne Davies:

Eso es [inaudible 00:28:18] gracias. Y estaba leyendo las preguntas que los datos publicaron aquí, supongo, y el tema general ha sido sobre cuál es su consejo sobre las organizaciones que intentan navegar en esta área en jurisdicciones donde esto podría ser particularmente desafiante. Donde esto no esté legislado o donde pueda haber algunos problemas con ciertas sanciones, etcétera. ¿Cómo aconseja a las empresas que navegan por eso? Entonces, si me permite, ¿puedo ponerle eso a Brian primero?

Regine Bonneau:

¿Derecho legal?

Brian Myers:

Bien, sí. Y esa es la realidad del mundo global, que lo legal es muy… No es una pregunta clara. Incluso dentro de una jurisdicción, puede ser confuso, pero luego, cuando introduces otras jurisdicciones, se vuelve aún más confuso. Nuevamente, creo que esto es una buena indicación de la oportunidad y el valor que existe en sus códigos de conducta porque pueden hacer esos… Esa puede ser su forma de decir que este es mi estándar universal para todas las jurisdicciones. Y ese código de conducta va a estar informado, por supuesto, por lo que usted considera que son algunos de los mejores ejemplos de estándares legales y las jurisdicciones en las que opera. Y eso le da la oportunidad de llevarlos a otras jurisdicciones en las que están operando y pueden usarlos para educar también a terceros que tal vez operen en otras jurisdicciones que no estén tan familiarizados con algunos de esos estándares.

Brian Myers:

Y eso crea una buena oportunidad para ayudarlo a hacer eso y mantener cierta coherencia sobre cómo hace negocios en diferentes jurisdicciones, en diferentes partes del mundo. Así que creo que esa es otra… Hay una lista indescriptible de valores que puedes sacar de un código de conducta bien elaborado. Simplemente se mantiene responsable, donde sea que esté haciendo negocios, para asegurarse de que está siguiendo estos estándares en todas sus jurisdicciones y que puede hacer que sus terceros también sigan esos mismos estándares.

Merilyne Davies:

Absolutamente. Sí. Buen punto. Y André, ¿algo que añadir a eso?

André H. Paris:

Sí. Perfecto. Como dijo Brian, este problema de jurisdicción es muy preocupante. Por ejemplo, el campo de las cuestiones de soborno y corrupción. Sabemos que algunas jurisdicciones son tolerantes con los pagos de facilitación aquí en Brasil. Sé que en el Reino Unido y los EE. UU. no somos tolerantes con los pagos de facilitación, pero en algunas jurisdicciones puede hacerlo. Pero usted, como empresa global, debe saber dónde está aterrizando y evaluar a los terceros con los que trabajará. Y eso estará representando a su empresa, eso estará actuando en su nombre, hemos puesto autoridades para obtener la licencia y todo lo que se necesita para operar en ese nuevo país.

André H. Paris:

Por lo tanto, debe evaluar, debe compartir los valores que están presentes en su código de conducta, como dijo Brian. Y si puedes, también debes evaluar la comprensión del tercero de tu código de conducta. Porque puedes ver leer mi código de conducta, estos son mis valores. Y dicen, está bien, lo leeremos, nunca leeremos. Entonces, tal vez una prueba con alguna prueba de aprehensión para comprender cuánto del contenido realmente comprendieron. Y al menos tienes una evidencia de que traté mucho de compartir mis valores. Quizás no sea suficiente en cuanto a sanciones, pero al menos mitigará la sanción aplicada.

Merilyne Davies:

Absolutamente. Y en términos de diligencia debida con eso, usted dice que tenemos nuestro código de conducta y exigimos que todos lo sigan. Pero en jurisdicciones donde esto realmente no existe o tal vez es solo un toque ligero, ¿cómo llevaría a cabo su diligencia debida? Asegurándose de que sí, está bien, eso podría no ser un supuesto o un requisito en esa jurisdicción local, pero ¿cómo se asegura de que están siguiendo los requisitos de su código de conducta? ¿Qué piensas, André, en términos de cómo asesoras a tus clientes sobre eso, navegando en esa área complicada en particular?

André H. Paris:

Perfecto. Cuando tratamos con jurisdicciones muy riesgosas como el ejemplo que compartimos, hacemos una inmersión profunda en el tercero. Así que les enviamos la lista de verificación. Y luego pedimos pruebas de las respuestas que se dieron. Y también buscamos fuentes de información independientes para verificar también si la evidencia proporcionada es correcta, como algunas noticias o procedimientos regulatorios o judiciales en el tercer país, de los que el tercero puede ser parte. Y también podemos, como también mencionó Brian, hacer auditorías locales para ver si todo lo que hay por ahí se desconecta con la realidad que estamos viendo en el tercero. Y también podemos entrevistar a algunos empleados de esta empresa para tratar de darnos cuenta de que sabemos que no siempre pueden ser tan honestos como quisieras en las respuestas, pero es otra acción. Otra cautela que podemos tomar para intentar como máximo garantizar que el tercero comparta los mismos valores éticos que la empresa que tiene nuestro cliente.

Merilyne Davies:

Ese es un muy buen punto. Debido a que tengo que decir en mi experiencia, es realmente importante revisar las respuestas que se dan en todas sus evaluaciones. Porque normalmente, especialmente en las grandes organizaciones globales, tienes un equipo de compras, tienes un equipo legal, tenemos un equipo de ciberseguridad, tienes un equipo de privacidad y tendremos nuestras propias evaluaciones diferentes. Pero en realidad lo que estamos haciendo en Reed Exhibitions es consolidar todo eso. Y así obtenemos visibilidad de lo que se proporciona al tercero en cada etapa. Y, por lo tanto, nos damos cuenta de que a veces brindan diferentes respuestas dependiendo de a quién creen que lee la audiencia. Y hay una inconsistencia y es desde una perspectiva de privacidad, lo estamos leyendo junto con lo que declararon públicamente en su política de privacidad, aviso de privacidad, lo que dijeron en sus términos y condiciones en su contrato, y también como su evaluación de diligencia debida. Porque si hay una inconsistencia allí, eso es algo que desea detectar antes de poner la firma en el contrato. Entonces, sí, ¿alguna idea sobre eso, Regine, en realidad en términos de si lo has visto tú mismo y?

Regine Bonneau:

No, me alegro de que estés haciendo… De hecho, acabas de mencionarlo porque esa fue una de las cosas que pude hacer para sentarme y leer cada uno de estos de diferentes departamentos y revisarlos. Y digo, esta es la parte divertida. Los mapeamos juntos y es como, está bien, ¿estás loco? Bueno. Bueno no hay problema. Y también a la documentación, como dijiste, es diferente, la respuesta es diferente, pero consolidarla y tenerla en una pista es la clave. Y es por eso que estamos promoviendo para terminar. Y ahora también estamos reestructurando eso para algunos de nuestros clientes para optimizar el proceso, obtener esa información. Y también, como mencionó, no solo el factor de comunicación entre cada uno de estos departamentos es muy clave cuando busca y responde a la pregunta de cómo evalúa realmente a estas empresas y el medio ambiente debido a las sanciones o el alto nivel de el riesgo.

Regine Bonneau:

Tal vez no solo el proveedor, pero ahora estás lidiando con un aspecto político que tampoco está bajo su control, cosas fuera de control. Y eso lo estamos viendo hoy. Y luego todos estamos sufriendo eso hoy desde la cadena de suministro de lo que está sucediendo desde COVID hasta aquí, hasta el final de hoy aquí. Así que estoy muy interesado en lo que van a hacer con todos estos suministros que están atascados. Especialmente preferibles o lo que no lo es. Pero todos mencionamos aquí, su código de conducta es muy importante y aplicarlo, siempre digo, vaya con el más estricto de todos. Si estamos mirando GDPR y dije, estado aquí por mucho tiempo, solo nos estamos comunicando con los clientes. Cuando las empresas están discutiendo, ¿qué debemos hacer? Dije, bueno, lo mejor que debe hacer es ir con lo más estricto, y luego ser un poco ágil y lo suficiente como para que se ajuste al lugar al que se dirige y luego pueda agregarlo.

Regine Bonneau:

Y legal es tu mejor amigo. Siempre digo eso. Legal es tu mejor amigo. También son mis mejores amigos, porque esos son los chicos a los que voy primero. Ni siquiera voy al tipo de finanzas porque si legal dice que sí, finanzas definitivamente dirá que sí, porque el riesgo está ahí. Y construye un equipo fuera de tu equipo. Siempre escuchamos sobre el consejo interno del consejo externo, pero incluso en cada una de las cosas que hacemos, también tenemos contrapartes con las que colaboramos fuera de eso, porque esos van a ser el equipo [inaudible 00:38:38] que va a dar usted exactamente lo que se necesita. Pero has dicho exactamente lo que iba a decir antes. Solo digo que sí, esta es la tendencia que estoy viendo, que también estamos promoviendo debido a lo diferente, y para que estés al tanto de eso, estamos usando soluciones que en realidad están enviando piezas a los diferentes grupos. de las personas que están a cargo.

Regine Bonneau:

Y, por supuesto, el sesgo siempre es clave. Y no obtendrás eso hasta que vayas y me lo muestres. Soy el show and tell person. Y en ese sentido, y mira, si no está, ¿cómo lo arreglamos? ¿Cómo lo volvemos a colocar? Pero si. Entonces, definitivamente, todos estos comentarios que se han hecho y la orientación son muy importantes a medida que voy con el estricto y retrocedo. Si obtiene demasiados datos e información que quizás ni siquiera necesite, no tiene nada que hacer, simplemente optimícelos. Haz las cosas más fáciles. Y luego ahora puedes avanzar hacia lo que realmente necesitas hacer. Y como dijo André, estoy tomando tu línea, está bien, André, donde como empresa global, especialmente tú tienes el respaldo y no estamos tratando con PYME que se ven obligadas a hacerlo con o sin recursos, como empresa global. compañía, necesitas saber dónde estás, dónde pones los pies. Estoy tomando esa línea y es clave. Es muy importante. Es clave porque ya no se usa.

Merilyne Davies:

Sí, estupendo. Y Brian, ¿alguna idea sobre eso, lo que los muchachos ya han dicho?

Brian Myers:

Sí. Creo que una cosa que es importante es tener siempre un nivel saludable de escepticismo sobre lo que te dicen tus terceros y simplemente pensarlo bien, por tu parte, dicen que lo están haciendo de esta manera. ¿Tiene sentido? ¿Qué implicaría eso realmente de su parte? ¿Cuánto personal llevarían? ¿Tienen tanto personal? ¿Hay tiempos de respuesta consistentes con todas las cosas que dicen que están haciendo? Este tipo de ejercicios de pensamiento te ayudarán a descubrir cuáles son las preguntas que deberías hacerles, las cosas que deberías mirar, corroborar evidencia para decir, está bien, creo que nos están diciendo lo que están haciendo, o podría indicarte algunas banderas rojas.

Brian Myers:

Así que creo que tienes que ser… No se trata solo de hacer las preguntas correctas. Se trata de ser proactivo por su parte y pensar en lo que podría estar pasando aquí. ¿Cuál es el reino de las posibilidades, averiguar cuáles crees que son más probables y luego hacer qué tipo de investigación necesitas para saber qué está pasando realmente? Y luego tomas la acción correcta a partir de ahí. Por lo tanto, solo se necesita un poco de la frecuencia que tenga sentido, solo reevaluar, tener una mirada honesta a las cosas y ver si necesita recalibrar antes de la rutina.

Merilyne Davies:

Brillante. Absolutamente. Bueno, estamos en los últimos tres minutos, pero sería genial recibir algunos comentarios finales de ustedes. Específicamente, también si pudiéramos dirigir a la gente a una gestión de riesgos de terceros o algún tipo de cosa que alguien pueda saltar como una buena práctica para leer más, sería genial. Entonces, Brian, si me permites, podemos ir contigo primero. Eso sería maravilloso.

Brian Myers:

Lo siento. Algo me distrajo por un segundo. [diafonía 00:42:35]

Merilyne Davies:

La pregunta es solo en los comentarios finales. ¿Y hay algún lugar al que le recomendaría a la gente que vaya a algún tipo de estándar, ya sea internacional o lo que sea, al que le recomendaría que vaya para obtener orientación y solo el comienzo?

Brian Myers:

Sí. Creo que, uno, empieza con tus compañeros. Creo que verá que muchos de sus pares están haciendo cosas similares, sus organizaciones de pares. Hemos hablado de códigos de conducta, muchas empresas los tienen publicados. Mencionamos que es el tipo de norma. Así que mire lo que están haciendo otras organizaciones. Especialmente los que están dentro o cerca de su campo y puede extraer de allí qué cosas está viendo que son comunes. Qué cosas se destacan, qué cosas parecen empujar más en una dirección interesante y eso te dirá algo sobre ti, sobre lo que te destaca y lo que parece interesante. Y eso puede decirle los hilos que desea empujar hacia abajo y para su organización. Así que creo que es un gran lugar para comenzar.

Merilyne Davies:

Gracias a ti y André, a ti.

André H. Paris:

Perfecto. Creo que las empresas siempre deben prestar atención a las expectativas de sus grupos de interés. Entonces, si está en la industria cosmética y sus clientes exigen más productos gratuitos de calidad, debe escucharlos. Y también debes exigir que tus terceros también cumplan con estas expectativas. Entonces, creo que un aspecto clave para la diligencia debida es siempre escuchar las expectativas de las partes interesadas, sus demandas, porque como dijimos en nuestro panel, no solo es importante cumplir los requisitos legislativos, sino también el aspecto ético que puede no ser aún legislación. Así que también siga las expectativas de sus partes interesadas.

Merilyne Davies:

Gracias. Y Regine, ¿tienes alguna interferencia corta 00:44:49? bastante rápido

Regine Bonneau:

No no. Creo que Brian y André también lo mencionaron, pero lo único que André acaba de mencionar y lo anoté es el aspecto interno. ¿Cuál es su propia moral y ética? Porque realmente, incluso si alguien te dice que tienes que hacerlo, ¿adivina qué? Nueve de cada 10 vas a ir con los atajos. Creo que aquí es donde has visto que muchas empresas se están reevaluando. Lo llaman realineamiento cultural, reunir todo eso porque antes de que te adaptes y veas que lo estoy haciendo, lo vas a hacer. Tienes que ser realmente la persona que dice que eso es lo que haces a diario. es parte de ti Y luego lo vas a lograr.

Regine Bonneau:

Como dije, les digo a todos que lo que haces detrás de la puerta es más importante que lo que haces afuera. Así que mira realmente dentro de ti mismo. Pero debido a que esto es de lo que estamos hablando, más de la ética, es por eso que estamos enfocados en eso. Pero aparte de eso, la regulación de las normas están ahí fuera. Su proceso para su tercero es el mismo proceso. Tiene SIG de la evaluación de acciones, tiene ciertas cosas que puede usar para hacerlo. Pero compañeros, su código de conducta, miren lo que están haciendo todos, pero la ética comienza con ustedes.

Merilyne Davies:

Brillante. Muchas gracias panel, grandes ideas allí. Ha sido un verdadero placer hablar contigo hoy y maravilloso. Gracias.

Regine Bonneau:

Gracias por tenernos.

Robert Bateman:

Muchas gracias a Merilyne y al panel allí, sesión realmente interesante, las cosas se están volviendo mucho más complicadas en la gestión de la cadena de suministro, hay mucho que considerar ahora. En solo tres minutos, tenemos nuestra próxima sesión. Vamos a ir directamente a eso realmente. Así que quédese donde está y lo veré en un par de minutos para nuestra sesión sobre prevención de ataques a la cadena de suministro de software.

Foro Mundial PrivSec

Parte de Digital Trust Europe Series: se llevará a cabo durante mayo, junio y julio de 2022, visitando cinco ciudades importantes;

Bruselas  | Estocolmo   | Londres   | Dublín  | Ámsterdam

El Foro Mundial PrivSec es un evento presencial de dos días, parte de la serie Digital Trust Europe. La protección de datos, la privacidad y la seguridad son elementos esenciales de la composición operativa de cualquier organización exitosa. Hacer estas cosas bien puede generar confianza en las partes interesadas y llevar cualquier negocio al siguiente nivel.

El Foro Mundial PrivSec reunirá a una variedad de oradores de empresas e industrias de renombre mundial, además de líderes intelectuales y expertos que compartirán estudios de casos y sus experiencias, para que los profesionales de todos los campos puedan escuchar, aprender y debatir.

ENCUENTRA MÁS

PrivSec World Forum

Topics

Maintaining an Ethical Supply Chain