Disminuya los riesgos de la tercerización de las actividades de control

Anuncio
Disminuya los riesgos de la
tercerización de las actividades de control
En más de una ocasión hemos escuchado frases de seguridad como: “ese control lo maneja una
compañía externa especializada. No debemos preocuparnos por gestionar los riesgos”; y seguramente,
en más de una oportunidad, el auditor ha advertido sobre la necesidad de asegurar que ese proveedor
esté realizando su trabajo de forma apropiada, con los estándares de control y administración de riesgos
requeridos… Sin que nadie se detenga a revisarlos.
Es allí cuando ocurren situaciones de mal manejo o pérdida de la información. Es allí cuando nos damos
cuenta de que necesitamos los reportes SOC 1.
Las necesidades de los clientes son las obligaciones de sus proveedores de servicios
Toda organización que pretenda generar confianza en sus clientes actuales y futuros, debe garantizar
que cuenta con un portafolio de servicios que cumple con altos estándares de calidad y seguridad. De
esta manera certifican la integridad, confidencialidad y disponibilidad de la información que procesen.
Los clientes de estas organizaciones de servicio podrían requerir evaluar los procesos y controles de los
servicios que han contratado, con el fin de obtener una confiabilidad sobre el control interno de éstos y
atender sus requerimientos de seguridad. Por lo que necesitarán:
 Entender los controles sobre los procesos y su efecto en el control interno.
 Evaluar el diseño de tales controles, a través de revisiones directas o de terceros.
 Confiar en que los controles están operando y que los servicios que han contratado son
prestados bajo buenas prácticas de seguridad y control.
Y es por todo lo anteriormente mencionado que en su compromiso por tener una operación efectiva y
con altos estándares de calidad, los prestadores de estos servicios se interesarán por ejecutar
evaluaciones independientes control interno sobre sus servicios: obteniendo reportes SOC 1.
Informes Tipo SOC 1
A nivel internacional, la gestión de riesgo y control ha establecido estándares profesionales que sirven
de guía para evaluar y reportar sobre el control interno de terceras partes: El reporte SOC 1 (Report on
Controls at a Service Organization Relevant to User Entities’Internal Control over Financial Reporting, de
acuerdo al AICPA).
Disminuya los riesgos de la
tercerización de las actividades de control
El propósito: dar a los clientes de una “organización de servicios” información sobre los controles que
pueden ser relevantes para el control interno y la gestión de riesgos asociada a los mismos. En ciertas
circunstancias, cuando aplique, los auditores internos o externos de los clientes de una organización de
servicios pueden usar estos reportes con el fin de reducir la cantidad de procedimientos sustantivos de
auditoría requeridos.
Los reportes SOC 1 pueden ser de dos tipos:
 Tipo I – Reporte sobre los controles implementados puestos en operación.
 Tipo II – Reporte sobre los controles implementados y pruebas para determinar que hayan
operado eficazmente durante el período de tiempo definido en el alcance.
Los reportes Tipo II, son los más utilizados puesto que sirven a las organizaciones de servicios para
proveer un mayor nivel de aseguramiento a sus clientes, quienes les confían la administración de
servicios internos o externos.
Beneficios de los Informes SOC 1 –
 Satisfacer requerimientos de cumplimiento y auditoría: un reporte de este tipo es un
componente potencial de sus servicios que le ayudará a lograr las metas de satisfacción de
sus clientes.
 Eliminar o reducir auditorías repetitivas por parte de los clientes (y en consiguiente reducción
de costos): las organizaciones sin estos reportes pueden estar sujetas a pruebas por parte de
los auditores internos y externos de los clientes, lo que interrumpe las operaciones y requiere
la redistribución de recursos para ayudar a estos auditores.
 Contar con un elemento diferenciador frente a sus competidores: genera confianza entre sus
clientes.
 Anticiparse a posibles requerimientos de un informe de esta naturaleza por parte de sus
clientes actuales y futuros.
Disminuya los riesgos de la
tercerización de las actividades de control
Metodología
Para el desarrollo de las actividades inmersas en la emisión de un Reporte SOC1, se sigue, en general,
una metodología similar a la que se presenta en la figura anexa.
Ninguna evaluación de controles bajo metodologías SOC 1 se parece a otra. La selección del universo de
riesgos y sus actividades de control, depende muchas veces de la naturaleza y variedad de servicios que
son ejecutados por la Organización de Servicios, la complejidad del sector, el impacto que los mismos
puedan tener en los sistemas de control interno de sus clientes, entre otros factores.
Bismark Rodríguez
Socio de EY LAFSA
Descargar