HERVE COMITE

Auditoría Interna

Las terceras partes en auditoría interna

Detalles
Categoría de nivel principal o raíz: Blog
Auditoría Interna

Por: CP Iván Rodríguez. Colaborador de Auditool

En un panorama empresarial cada vez más interconectado, las organizaciones dependen en gran medida de terceros – tales como proveedores, contratistas y consultores - para el desarrollo de sus operaciones. Sin embargo, esta externalización introduce complejidades y riesgos que pueden comprometer los objetivos estratégicos, la reputación y el cumplimiento normativo. En relación con este desafío, el Instituto de Auditores Internos (The Institute of Internal Auditors - IIA) ha publicado recientemente un documento denominado   "Requisito Temático sobre Terceras Partes[1]", el cual hace parte del Marco Internacional para la Práctica Profesional (IPPF). Este requisito, dado a conocer el pasado septiembre de 2025, complementa las Normas Globales de Auditoría Interna y establece expectativas mínimas obligatorias para la evaluación de riesgos asociados a estas relaciones externas.

El propósito principal del IIA con el nuevo documento es proporcionar una base mínima para la auditoría de temas específicos de riesgo, tales como las relaciones con terceros, ya que se asegura consistencia, calidad y fiabilidad en los servicios de auditoría interna. Toda vez que estos requisitos son obligatorios, complementan las normas globales y deben aplicarse en conjunto con ellas, elevando así la profesión en su conjunto. Este documento se aplica en tres escenarios principales: cuando el trabajo sobre terceras partes está incluido en el plan de auditoría interna; cuando se identifica el tema durante la ejecución de un compromiso; o cuando surge una solicitud de trabajo fuera del plan original. Los auditores internos deben evaluar la aplicabilidad de cada requisito, documentar las justificaciones para cualquier exclusión, y priorizar según el perfil de riesgo de la organización. La conformidad es evaluada durante las revisiones de calidad, y aunque es obligatoria para servicios de aseguramiento, se recomienda para servicios de consultoría. En esencia, este marco además de mitigar riesgos fortalece la capacidad de la auditoría interna para asesorar a la alta dirección en la gestión de dependencias externas.

Una tercera parte, en el contexto del documento, se define como cualquier persona, grupo o entidad externa con la que la organización principal (la que contrata) establece una relación comercial para obtener productos, servicios o soluciones, formalizada mediante contratos, acuerdos u otros medios. Este término abarca vendedores, proveedores, contratistas, subcontratistas, proveedores de servicios externalizados, agencias y consultores. Importante destacar que la responsabilidad última por los riesgos recae siempre en la organización principal, incluso al delegar actividades. El requisito no cubre relaciones indirectas (como con reguladores o fideicomisarios) ni internas (como empleados), permitiendo flexibilidad para adaptar la definición al contexto sectorial mediante juicio profesional. Este alcance amplio asegura que las evaluaciones aborden el ciclo de vida completo de la relación: selección, contratación, incorporación, supervisión y desvinculación, minimizando impactos como incumplimientos éticos o interrupciones operativas.

Un auditor sabe (o debe saber que) trabajar con terceros introduce una variedad de riesgos que deben identificarse, evaluarse y gestionarse a lo largo de todo el ciclo de vida. El documento clasifica estos riesgos en categorías clave, priorizándolos por impacto potencial en los objetivos organizacionales:

  • Estratégicos: Capacidad para cumplir la misión y objetivos, incluyendo repercusiones de fusiones o adquisiciones.
  • Reputacionales: Daños a la confianza de clientes, consumidores o stakeholders, como incidentes ambientales.
  • Éticos: Conflictos de interés, sobornos o corrupción.
  • Operacionales: Seguridad física e informática, interrupciones de servicio o fallos en la consecución de metas.
  • Financieros: Insolvencia de terceros o fraudes.
  • Regulatorios: Cumplimiento de leyes locales, nacionales e internacionales.
  • Ciberseguridad y TI: Filtraciones de datos o falta de soporte a operaciones críticas.
  • Jurídicos: Disputas contractuales o litigios.
  • ESG y Sostenibilidad: Impactos ambientales, sociales o de gobernanza.
  • Geopolíticos: Sanciones, disputas comerciales o inestabilidad política.

Toda vez que estos riesgos no son estáticos; deben evaluarse continuamente, considerando factores como la criticidad del servicio o el valor financiero involucrado. La guía de usuario enfatiza la priorización basada en análisis de riesgo, utilizando herramientas como cuestionarios para clasificar terceros en niveles alto, moderado o bajo. Como parte de su trabajo, los auditores internos deben examinar el gobierno de las relaciones con terceros, incluyendo la supervisión del consejo de administración. Esto implica verificar:

  • Un enfoque formal para decidir contrataciones, con criterios para evaluar recursos necesarios y viabilidad.
  • Políticas y procedimientos claros para gestionar relaciones y riesgos a lo largo del ciclo de vida, revisados periódicamente y alineados con normativas.
  • Funciones y responsabilidades definidas, asegurando competencias adecuadas mediante formación y evaluación ética.
  • Protocolos de comunicación con partes interesadas (alta dirección, compras, jurídico, TI, etc.), priorizando información sobre riesgos y cumplimiento de terceros de alto riesgo.

El propósito de estas evaluaciones es fomentar un entorno de control robusto, alineado con el Modelo de las tres líneas, y promover la colaboración interfuncional para una toma de decisiones informada. La gestión de riesgos debe ser estandarizada y exhaustiva, abordando todas las categorías relevantes. Por ello, los auditores deben verificar:

  • Procesos completos con funciones definidas, supervisión de cumplimiento y medidas correctivas.
  • Identificación y evaluación periódica de riesgos para clasificar y priorizar terceros, incluyendo descendentes, con revisiones ante cambios.
  • Respuestas adecuadas (mitigación, aceptación, etc.), aplicadas, monitoreadas y ajustadas según la clasificación.
  • Mecanismos para escalar problemas, evaluando opciones como remedio o terminación de relaciones si no se resuelven.

La guía adicionalmente destaca el uso de comités dedicados y reevaluaciones periódicas, integrando el apetito de riesgo organizacional para una gestión dinámica.

Una lectura más profunda y detallada muestra que el documento sobre terceras partes ofrece un marco estructurado y consistente para evaluar gobierno, riesgos y controles, asegurando que las organizaciones gestionen efectivamente sus dependencias externas sin comprometer sus objetivos. Al priorizar por riesgo y documentar exhaustivamente, los auditores internos cumplen con estándares globales y agregan valor estratégico, promoviendo transparencia y responsabilidad. 

[1] Puede consultarse en: El IIA Global publica un nuevo Requisito Temático sobre Terceras Partes

 

CP Iván Rodríguez - CIE AF

Auditor y consultor, diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, diplomado en Gerencia de la Calidad. Contador público (CP) de la Pontificia Universidad Javeriana con 20 años de experiencia en diversas empresas. Tiene amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool.

Bogotá DC, Colombia.

Escribir un comentario

Enviar
× Progressive Web App | Add to Homescreen

Para instalar esta Web App en su iPhone/iPad presione el ícono. Progressive Web App | Share Button Y luego Agregar a la pantalla de inicio.

Desconectado