Control Interno

Por: CP Iván Rodríguez. Colaborador de Auditool  

Anteriormente las grandes empresas poseían, administraban y controlaban directamente la mayoría de sus recursos. Posteriormente ha venido surgiendo la tercerización o subcontratación surgió como una maniobra estratégica, táctica y operativa. Algunas de las razones para subcontratar son:

• Reducir y controlar costos
• Mejorar el enfoque de la empresa
• Obtener acceso a nueva tecnología
• Compartir riesgos

Esta práctica de subcontratación es usada por todo tipo de empresas, desde el sector financiero hasta tiendas minoristas. Hay una confianza en los terceros para proporcionar productos y servicios de manera efectiva y eficiente. Sin embargo, el vincular terceros a una compañía puede introducir una larga lista de riesgos que pueden causar graves daños al bienestar financiero y reputacional de una organización.

De acuerdo con una encuesta elaborada por la firma Deloitte en años recientes, denominada Third-party governance and risk management, Extended enterprise risk management global survey, los riesgos más críticos al encuestar 170 organizaciones fueron los siguientes:

• Interrupción en el servicio al cliente debido a la acción de terceros.
• Incumplimiento de la normativa o ley por parte de terceros.
• Daño reputacional.
• Desglose de la cadena de suministro.
• Fraude/exposición financiera.
• Fallo de viabilidad financiera de un tercero que afecta a la entrega de un bien/servicio.

La exposición al riesgo comienza cuando las organizaciones dan a proveedores externos acceso a sus instalaciones, redes y datos, a menudo con mucho menos cuidado y preocupación de lo que reservan para los proveedores directos. Cuando se materializa un riesgo en uno de los proveedores externos, la compañía puede experimentar consecuencias financieras, reputacionales, regulatorias, operativas y estratégicas devastadoras. Aunque el proveedor de servicios sea quien cometió el error o es responsable de una u otra manera, la compañía igualmente sufrirá las consecuencias y los clientes la harán responsable. En otras palabras, un servicio se puede externalizar, pero la propiedad del riesgo no.

Frente a este panorama, las compañías deberían examinar adecuadamente a los proveedores externos, pero ello no siempre ocurre por razones como las siguientes:

• El examen supera la capacidad operativa de la compañía
• Otras tareas tienen mayor prioridad.
• Existe la expectativa de que el propio tercero esté tomando las medidas necesarias para gestionar el riesgo.
• Se comparten los datos con diversos terceros, creando una grave complejidad a la que muchas organizaciones simplemente no pueden hacer frente.
• Hay incertidumbre sobre cómo implementar una estrategia de gestión de riesgos (VRM) de proveedor que funcione y el verdadero costo.
• No hay voluntad en la alta dirección.

Esta situación ha hecho que sea necesario considerar el riesgo de terceros dentro del análisis general de riesgos de una empresa. Es así como surgen VRM y TPRM, que se definen a continuación: 

La gestión de riesgos del proveedor (Vendor Risk Management – VRM por sus siglas en inglés), es el proceso de examinar a los proveedores, para asegurarse de que no representan un riesgo inaceptable para la compañía, tae como la amenaza de una violación de datos, la posibilidad de una interrupción en el negocio o algún otro impacto negativo en el desempeño comercial. La gestión de riesgos del proveedor es específica de los terceros a los que se adquieren bienes y servicios.

La gestión de riesgos de terceros (Third Party Risk Management – TPRM por sus siglas en inglés) es el proceso de análisis y control de los riesgos que se presentan en una empresa, sus datos, sus operaciones y sus finanzas por parte de terceros. Dichos terceros son empresas o personas que no son clientes, con las que ha establecido una relación para externalizar ciertas actividades operativas o para obtener productos o servicios. Bien pueden ser proveedores, socios comerciales, contratistas y consultores. Algunos ejemplos son: el contratista que proporciona servicios de marketing, los proveedores de alimentos que abastecen la cafetería del lugar de trabajo o la empresa que almacena los datos de la compañía en la nube. Si bien VRM es específico para los proveedores, TPRM es el proceso de investigación de todos sus terceros. TPRM es un paraguas que cubre VRM, así como otros tipos de gestión de riesgos de terceros, tales como la gestión de riesgos de proveedores de TI, cumplimiento antisoborno y anticorrupción y gestión de riesgos de contratos, entre otros.

El objetivo de un programa de TPRM es identificar, clasificar y categorizar el riesgo asociado con cada parte externa con la que una organización tiene una relación. La gestión de riesgos de terceros también se lleva a cabo para evaluar el comportamiento continuo de cada tercero y para monitorear el riesgo que pueden representar para su organización.

En el proceso VRM se evalúan socios y proveedores para asegurarse de que cumplen con ciertas condiciones y expectativas, que normalmente se detallan dentro del contrato de proveedor e incluyen temas como la seguridad de la información y los requisitos de cumplimiento normativo. Por ejemplo, puede especificar la frecuencia con la que debe realizarse una auditoría de proveedor o los requisitos de complejidad de contraseña para cualquier persona que acceda a los datos.

El proceso TPRM a menudo comienza con un proceso VRM y a medida que las organizaciones crecen y maduren, identificarán la necesidad de abordar riesgos específicos y frecuentemente dispares que presenta una creciente lista de terceros. El riesgo gestionado con TPRM incluye riesgo financiero y operativo. El ciberespacio y la conectividad relacionada agregan riesgos nuevos, tales como la continuidad del negocio, la seguridad de los datos y el riesgo de cumplimiento normativo. En ese sentido, los objetivos de TPRM pueden incluir, por ejemplo, evaluar las consecuencias de la violación de datos, reducir el riesgo de fallas operativas en una cadena de suministro, monitorear continuamente la estabilidad financiera del proveedor y evaluar el riesgo de gobernanza y divulgación regulatoria.

En términos generales, cualquier proceso TPRM Incorpora personas (organización), procesos (operaciones) y tecnología (sistemas de información). Para abordar la exposición al riesgo, la empresa contratante considera al proveedor como el objetivo de evaluación en el momento de la incorporación y también de forma continua. Para ello:

• Establece disposiciones contractuales (normalmente, en el acuerdo de nivel de servicio) para abordar los compromisos relacionados con el riesgo.
• Combina el perfil de riesgo del proveedor con el perfil de riesgo del compromiso
• Se prepara para el monitoreo dinámico y la evaluación de riesgos basados ​​en eventos internos / externos
• Implementa y utiliza enfoques de monitoreo tradicionales e innovadores para el monitoreo continuo de los factores de riesgo identificados.
• Aprovecha las soluciones tecnológicas para integrar las adquisiciones, el rendimiento y la gestión de riesgos en una plataforma unificada

Como se aprecia, el tema del proceso TPRM es amplio y requiere que los auditores profundicen en el tema, toda vez que en un entorno globalizado e interconectado, los riesgos de terceros pueden impactar a cualquier organización, por lo que hay que tener las previsiones necesarias.

CP Iván Rodríguez

Auditor y Consultor, Diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, Diplomado en Gerencia de la Calidad, Contador Público de la Pontificia Universidad Javeriana, con 20 años de experiencia en diversas empresas. Amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool

Bogotá DC, Colombia