Por: CP Iván Rodríguez. Colaborador de Auditool
El auditor y los proveedores de servicios de terceros
Para las compañías, la contratación de proveedores de servicios externos puede proporcionar economías de escala, ahorros de costos, mayor productividad y otros beneficios. Sin embargo, estas relaciones también pueden reducir el control de una organización sobre su producto o servicio, lo que hace que el proceso de gestión de riesgos de terceros sea mucho más importante.
Cuando los proveedores de servicios externos clave no cumplen con las expectativas de servicio o fallan por completo, el daño operativo y de reputación resultante para sus clientes puede ser significativo e incluso mayor que cualquier fallo propio. Los ejecutivos y las juntas de las compañías suelen confiar en los auditores para garantizar que los riesgos, tanto propios como de terceros asociados, se identifiquen y evalúen, que existan controles internos apropiados y que se genere inteligencia de riesgos oportuna para impulsar una toma de decisiones informada.
Ahora bien, generalmente las organizaciones no suelen evaluar los riesgos de su proveedor y le dejan la responsabilidad principal de evaluar los riesgos y definir los controles respectivos, para el servicio externo contratado y se indica en el contrato que el tercero resuelve los problemas que se presentan. Aunque esto podría funcionar en teoría, puede no ser conveniente en el mundo real. Los incidentes de proveedores de servicios de terceros están aumentando, a menudo con visibilidad pública inmediata.
La auditoría, por su parte, proporciona seguridad sobre los controles internos de su organización. Con el advenimiento de la externalización y los riesgos asociados, el papel de la auditoría se amplió para proporcionar garantías en relación con los riesgos de terceros, incluida la garantía sobre los controles internos de los proveedores de servicios externos. De hecho, en algunos contratos con terceros se incluyen cláusulas de derecho a auditoría y, aunque no siempre se ejecutan, si permiten a las áreas de auditoría realizar visitas in situ y obtener información para evaluar los controles en locales de terceros.
Los organismos profesionales también se han pronunciado al respecto y se han emitido normativas para tratar el riesgo de terceros. Ya hace algún tiempo, por ejemplo, en enero de 2015, la Junta de Normas de Auditoría y Aseguramiento de Australia (Auditing and Assurance Standards Board – AUASB por sus siglas en inglés55) emitió ASAE 3150 Assurance Engagements on Controls y algunas organizaciones comenzaron a confiar en estos informes para garantizar que los riesgos de terceros se estaban gestionando adecuadamente. El AICPA ha establecido por su parte los informes de control de organización de servicio (System and Organization Controls - SOC por sus siglas en inglés). Estos son algunos ejemplos al respecto.
Desde la órbita de su competencia, la auditoría puede proporcionar garantías de que los riesgos asociados con los proveedores de servicios externos se están identificando, evaluando y respondiendo adecuadamente. Para el efecto, puede adelantar líneas de acción como las siguientes:
- Auditar el marco de gestión de riesgos de terceros
- Auditar el proceso de gestión de riesgos de terceros
- Incluir la gestión de riesgos de terceros en las auditorías de procesos
- Realizar auditorías de terceros si está previsto en los contratos
Sería deseable que la organización contara con un marco de gestión de riesgos de terceros adecuado. Si bien no hay reglas establecidas sobre cómo debería ser, es importante que esté alineado con el marco general de gestión de riesgos de la organización. Por ejemplo, podría emplearse el modelo COSO 2017 de la siguiente manera:
Gobernanza y cultura
Un centro dedicado a la gestión de riesgos de terceros puede proporcionar información sobre todas las relaciones con terceros en toda la organización, el control sobre el proceso de su incorporación y la supervisión continua de sus relaciones. El responsable puede ser el jefe de adquisiciones, el director de operaciones o un órgano de gobierno. Alternativamente, la gestión de proveedores de servicios de terceros puede estar descentralizada y cada gerente de negocio puede ser responsable de las relaciones de terceros en su área.
Estrategia y Objetivos
La organización debe tener una estrategia documentada con respecto a terceros. Debe identificar los riesgos inherentes de los servicios y cómo seleccionará, evaluará y supervisará a sus proveedores de servicios externos. El apetito por el riesgo de la organización sirve de base para determinar qué proveedores de servicios externos están comprometidos y en qué términos, y también sirve como base para el monitoreo continuo.
Rendimiento
La organización puede mantener un registro de relaciones con terceros. Esto puede ser tan simple como el empleo de una hoja de cálculo y se permita estudiarlos segmentados según su perfil de riesgo, así como evaluar sus relaciones con las diferentes áreas de la organización, junto con detalles de la naturaleza de cada relación.
Revisión y evaluación
Se revisa el desempeño de la gestión de riesgos de terceros, así como el marco de gestión de riesgos de terceros según sea necesario, basados en el rendimiento y los resultados obtenidos.
Información, comunicación y presentación de informes
Hay derecho de acceso a la información mediante las cláusulas de auditoría que se incluyen en los contratos y su ejecución de forma periódica.
La comunicación sobre la gestión de riesgos de terceros debe ser a través, arriba y abajo de la organización. El estado de los proveedores de servicios externos críticos para la organización debe ser visible al más alto nivel.
Los informes de riesgos de terceros alimentan los procesos de informes de riesgos empresariales.
El Apéndice G de la Guía de prácticas de AII Auditoría de terceros - Gestión de riesgos de octubre de 2018[1], da una orientación detallada sobre cómo llevar a cabo una auditoría interna de un marco de gestión de riesgos de terceros y de un proceso de gestión de riesgos de terceros.
Cada vez que el papel de la actividad de auditoría interna sea proporcionar seguridad independiente de que la organización está gestionando el riesgo de una manera que es coherente, los requisitos reglamentarios aplicables y el logro de sus objetivos.
La guía citada comprende un marco para realizar una auditoría interna de gestión de riesgos de terceros. Ilustrando un trabajo de auditoría interna que cubre la gestión de riesgos de terceros y puede realizarse utilizando cualquiera de estos cuatro enfoques:
- Auditar el marco de gestión de riesgos de terceros (por ejemplo, apetito por el riesgo, gobernanza, metodología).
- Auditar el proceso de gestión de riesgos de terceros (por ejemplo, auditoría de adquisiciones).
- Auditar un componente del proceso de riesgo de terceros (por ejemplo, auditoría de contratos).
- Incluir la gestión de riesgos de terceros en una auditoría de proceso o producto (por ejemplo, una auditoría de nómina incluiría la evaluación de los procesos de gestión de riesgos de terceros utilizados para el procesamiento de la nómina de terceros).
Es conveniente que los auditores revisen la normatividad técnica, en particular en el tema de proveedores de servicios, debido a su gran auge.
[1] Supplemental Guidance: Auditing Third-party Risk Management, del IIA Global
CP Iván Rodríguez
Auditor y Consultor, Diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, Diplomado en Gerencia de la Calidad, Contador Público de la Pontificia Universidad Javeriana, con 20 años de experiencia en diversas empresas. Amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool
Bogotá DC, Colombia