Antes de contestar esta pregunta vale la pena conocer quiénes y cómo participan los personajes de esta película:
- Organización usuaria: es aquella entidad que tiene subcontratado algún proceso de negocio con un tercero (organización de servicios).
- Auditor independiente de organización usuaria: es aquel auditor independiente que tiene como tarea auditar los estados financieros de la organización usuaria.
- Organización de servicios: es un tercero que ejecuta, administra y/o monitorea actividades de procesos de negocio específicos de una organización usuaria.
- Auditor independiente de organización de servicios: es el auditor que lleva a cabo la revisión de aquellos objetivos de control o controles de la organización de servicios.
Una organización usuaria al contratar a un tercero transfiere el riesgo de aquellos procesos que este administra, los más comunes pueden ser: nómina, programación de sistemas, almacenamiento de datos, soporte de sistemas, cobranza, etcétera.
La clave se encuentra en la palabra “transferir”. Al respecto, es importante señalar que al transferir el riesgo, la organización usuaria no se deslinda de esa responsabilidad, para una auditoría de estados financieros la organización de servicios se convierte en una extensión de la organización usuaria y debe ser tratada a detalle.
Mientras más procesos se encuentren tercerizados, mayor impacto tendrá la opinión que refleje el reporte de la organización de servicios en los estados financieros de la organización usuaria.
Por ejemplo, en una institución financiera, que mantiene tercerizado el proceso de cobranza, la cual se convierte en un ingreso con un gran impacto en los estados financieros de la organización usuaria, existen dos opciones:
- Exigir a la organización de servicios un reporte Tipo II (SAS 70, ISAE 3402, etc.) que contenga la opinión del control interno de los procesos tercerizados provisto por el auditor independiente de la organización de servicios.
- Que los auditores independientes de la organización usuaria revisen los controles de los procesos tercerizados en responsabilidad de la organización de servicios. Sin excepción, los procesos tercerizados deben estar cubiertos y ser tomados en cuenta para la auditoría de los estados financieros de la organización usuaria.
Los reportes de organización de servicios que son funcionales para una auditoría de estados financieros son los reportes: SAS 70 e ISAE 3402 del Tipo II. Es muy importante considerar el periodo que están cubriendo para definir una estrategia de auditoría efectiva y eficiente.
En conclusión, el impacto de las organizaciones de servicios en los estados financieros de una organización usuaria es proporcional a los procesos de negocio significativos que se encuentran tercerizados. Para evaluar el control interno de los procesos tercerizados se debe contar con un reporte SAS 70 o ISAE 3402 Tipo II; o bien, el auditor independiente de la organización usuaria puede llevar a cabo una revisión a la organización de servicios en aquellos controles que considere necesarios.
Lic. David Rodrigo Martínez Zamora
Gerente Asesoría – Ernst & Young México
Especialista en Reportes de Organización de Servicios
Fuente: Revista Contaduría Pública www.contaduriapublica.org.mx del Instituto Mexicano de Contadores Públicos www.imcp.org.mx