Por: CP Iván Rodríguez. Colaborador de Auditool.
En un entorno económico globalizado, un riesgo que cada vez hace más presencia en las organizaciones es la interrupción de la cadena de suministro. Bien sea que haya demoras en la recepción o entrega (en materia prima, producto en proceso o terminado), escasez de inventario, imposibilidad de transporte o cualquier otra dificultad, las deficiencias en la cadena de suministro afectan tanto a las empresas como a los consumidores. Los informes Gartner sobre los puntos de atención en el plan de auditoría de los últimos años[1], han considerado a la cadena de suministro como uno de los principales riesgos que deben tener en cuenta los auditores.
Al evaluar la cadena de suministro, el equipo de auditoría revisa los diferentes procesos y actividades que emplea una organización para llevar a sus clientes los productos y servicios que ofrece, con el propósito de identificar todas aquellas situaciones que pueden causar alguna interrupción. Si bien existen múltiples causas que originan interrupciones, algunas de ellas son más comunes o relevantes, entre las que se cuentan las siguientes[2]:
Riesgo reputacional
Cuando una organización no puede cumplir con la oportuna entrega de productos o servicios, hay un deterioro en la imagen y como consecuencia, hay riesgo reputacional. El cliente no tiene por qué saber si las fallas fueron de proveedores o miembros de la cadena de suministro. También se presenta riesgo reputacional si alguno de los proveedores incurre en alguna situación que le origine una percepción negativa y por su cercanía, contagia a la organización.
Riesgo geopolítico
Cuando las organizaciones tienen operaciones internacionales, puede ocurrir que hechos políticos tales como acuerdos comerciales, tensiones fronterizas o inestabilidad gubernamental den origen a dificultades en la operación normal de las cadenas de suministro. Como resultado, ciertos bienes o servicios pueden no estar disponibles o estar limitados, causando que la organización no pueda atender apropiadamente a sus clientes.
Riesgo de calidad
Otra de las consecuencias de las fallas o interrupciones en las cadenas de suministros es que, al sustituir proveedores, puede haber disminución en la calidad del producto o servicio. Aunque la situación pueda ser temporal mientras se efectúan los ajustes necesarios, la pérdida de calidad afecta a los clientes y puede causar daño reputacional así como disminución de ingresos.
Riesgo de ciberseguridad
Cuando se presentan incidentes de ciberseguridad en los proveedores, algunas de las consecuencias pueden ser retrasos o escasez en bienes y servicios y por tanto se afecta la cadena de suministros. Al igual que en otros casos, los clientes no tienen por qué saber dónde ocurrió la falla y solamente perciben que no tienen en acceso adecuado a los productos que piensan adquirir.
Las anteriores situaciones, junto con otros eventos pueden hacer que la organización incumpla contratos con terceros al no poder suministrar los bienes y servicios convenidos y por tanto que se vea expuesta a multas y sanciones.
En el portal auditboard[3], se plantean algunas preguntas que pueden emplearse en una auditoría de cadena de suministro. Una traducción con fines académicos se presenta a continuación:
a) Reputación:
- ¿Qué planes de respaldo existen para los proveedores críticos?
- ¿Existen proveedores "únicos" que suministren elementos críticos a la cadena de suministro?
- ¿Los proveedores están sujetos a algún estándar ético y son monitoreados para detectar titulares negativos y litigios abiertos?
b) Ciberseguridad
- ¿Se pide a los proveedores que proporcionen pruebas de controles internos de TI sólidos, tales como informes SOC?
- ¿Cuenta el proveedor con un equipo de auditoría interna que revise la ciberseguridad?
c) Exposición geopolítica
- ¿El proceso de compras considera la ubicación como un factor a la hora de elegir proveedores?
- ¿Los proveedores críticos están ubicados en ubicaciones globales de alto riesgo?
- ¿Se evalúan anualmente las ubicaciones de los proveedores para determinar el riesgo geopolítico?
d) Cumplimiento del contrato
- ¿La empresa realiza un seguimiento de la puntualidad de la entrega de los compromisos y hace un seguimiento de los retrasos?
- ¿Se incluyen cláusulas de "derecho a auditar" en los contratos con los proveedores? ¿Se ha aplicado alguna vez la cláusula?
e) Calidad
- ¿Se realizan controles de calidad de los bienes y materiales recibidos de los proveedores?
- ¿Cómo se comunican y aplican las normas de calidad?
- ¿Tienen los empleados un proceso para reportar problemas de calidad? (…)”
Los auditores, al ejecutar su trabajo, deben considerar la posibilidad de asociarse con quienes posean conocimientos suficientes sobre la cadena de suministro, en particular en los temas legales, la gestión de proveedores, centros de almacenamiento y distribución. Las recomendaciones deberán contribuir a que la organización tenga una mejor comprensión de los riesgos a los que se enfrenta y lograr mejoras tanto en su cadena de suministro como en sus procesos internos, fortaleciendo su sistema de control interno y sus resultados operativos y financieros.
[1] El informe del año 2024 puede obtenerse en la siguiente dirección: Gartner para Auditoría y Riesgos
[2] Basado en: Supply Chain Audit: Key Risks, Guidance, and Sample Questions
[3] Disponible en: Five Supply Chain Risks to Include in Your Assessment
CP Iván Rodríguez - CIE AF
Auditor y consultor, diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, diplomado en Gerencia de la Calidad. Contador público (CP) de la Pontificia Universidad Javeriana con 20 años de experiencia en diversas empresas. Tiene amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool.
Bogotá D.C., Colombia.