La tendencia a tercerizar servicios crece, y los riesgos inherentes al manejo de la información confidencial de las compañías, y de los datos personales sensibles de sus empleados, requieren un nivel de diligencia acorde. Aún cuando el nivel tecnológico de la compañía sea alto, son las personas quienes finalmente manejan sus datos y su seguridad.

Por este motivo es importante entender que, en la contratación de proveedores y contratistas, también conocidos como “terceros”, el nivel de prevención y cuidado afecta no solamente a los empleados del proveedor; sino también a aquellos subcontratados por el propio proveedor o sus cuartas partes (4th parties), los llamados empleados invisibles.

Con base en mejores prácticas de compliance sugerimos considerar algunas medidas en la contratación de los terceros.

1. Diseña una matriz de riesgo

Establecer un lenguaje claro con los proveedores sobre los programas de background checks es clave. Es importante que, desde el inicio, la compañía tenga claros los alcances de verificación que diferentes puestos y responsabilidades requieren. Para ello, sirve una matriz de riesgo, que ayudará a entender cuáles son los peligros de cada posición para la reputación de la compañía y qué nivel de verficación requiere. Será mucho más facil establecer programas de background checks para los proveedores cuando internamente está bien definido el nivel de diligencia.

2. Estandariza los alcances de verificación

Es fácil entender cuál es el alcance de la verificación exigible a los empleados del proveedor de servicios: el mismo que observa ya la propia compañía para sus propios empleados. La cuestión se centra en el cuidado y vigilancia de la información sensible de la compañía, que será también procesada o manejada de alguna manera por estos proveedores; y en la información sensible de los propios empleados de la compañía. Además, la prevención para temas de seguridad interna, debe ser equiparable cuando empleados de terceros accedan a las instalaciones o interactúen con empleados o clientes de la compañía.

3. Exige “contratos espejo”

Es importante que este nivel de diligencia quede claramente plasmado en un contrato que obligue al proveedor. El contrato puede exigir del proveedor incluso la aplicación de un programa de background checks con su propio socio de screening, de manera que la prevención sea más eficaz y la operación más segura. En estos casos se sugiere que, en el contrato maestro con el socio de screening, las compañías negocien a priori tarifas para sus terceros. Determinar un contrato preciso permitirá a los terceros crear a su vez contratos espejo. De este modo se podrá blindar el nivel de verificación también con los proveedores subcontratados y de sus empleados. Éstos podrían representar un alto nivel de riesgo para la seguridad de la compañía y de su información.

4. Audita el proceso con tu socio de background checks

Una buena comunicación con el socio de background checks será clave para vigilar el cumplimiento de los estándares de prevención establecidos en los contratos con los proveedores. Por ejemplo, si el puesto de un “empleado invisible” requiere el alcance de verificación de un nivel directivo o gerencial, el socio de background checks podrá advertir directamente al cliente si alguno de estos proveedores intenta alterar o requerir un nivel diferente de profundidad en la verificación. Asimismo, el cliente podrá supervisar el volumen de verificaciones requerido por sus proveedores y cotejarlo con el número de empleados que le prestan servicio. Cuando el volumen de servicios tercerizados es alto, una buena práctica de prevención es la remediación. Es decir, no solamente la verificación de los candidatos que podrían incorporarse a la compañía del proveedor sino la de sus empleados, de acuerdo con un programa semestral o anual.

No verificar a los empleados invisibles puede generar estos riesgos:

  • El vacío legal de responsabilidad con respecto a estos empleados podría hacerte a ti responsable por un mal manejo de información personal sensible de tus propios candidatos o empleados.
  • El acceso a tus instalaciones por personal empleado y no verificado (invisible), podría entrañar riesgos de seguridad.
  • Aumentará tu riesgo de robo de información o de activos por los que nadie es capaz de responder.
  • El descontrol de un alto nivel de rotación podría afectar la calidad y eficacia de tus servicios.

 

*David Robillard es presidente y socio fundador de MultiLatin Background Screening