Disminuya los riesgos de la tercerización de las actividades de control En más de una ocasión hemos escuchado frases de seguridad como: “ese control lo maneja una compañía externa especializada. No debemos preocuparnos por gestionar los riesgos”; y seguramente, en más de una oportunidad, el auditor ha advertido sobre la necesidad de asegurar que ese proveedor esté realizando su trabajo de forma apropiada, con los estándares de control y administración de riesgos requeridos… Sin que nadie se detenga a revisarlos. Es allí cuando ocurren situaciones de mal manejo o pérdida de la información. Es allí cuando nos damos cuenta de que necesitamos los reportes SOC 1. Las necesidades de los clientes son las obligaciones de sus proveedores de servicios Toda organización que pretenda generar confianza en sus clientes actuales y futuros, debe garantizar que cuenta con un portafolio de servicios que cumple con altos estándares de calidad y seguridad. De esta manera certifican la integridad, confidencialidad y disponibilidad de la información que procesen. Los clientes de estas organizaciones de servicio podrían requerir evaluar los procesos y controles de los servicios que han contratado, con el fin de obtener una confiabilidad sobre el control interno de éstos y atender sus requerimientos de seguridad. Por lo que necesitarán: Entender los controles sobre los procesos y su efecto en el control interno. Evaluar el diseño de tales controles, a través de revisiones directas o de terceros. Confiar en que los controles están operando y que los servicios que han contratado son prestados bajo buenas prácticas de seguridad y control. Y es por todo lo anteriormente mencionado que en su compromiso por tener una operación efectiva y con altos estándares de calidad, los prestadores de estos servicios se interesarán por ejecutar evaluaciones independientes control interno sobre sus servicios: obteniendo reportes SOC 1. Informes Tipo SOC 1 A nivel internacional, la gestión de riesgo y control ha establecido estándares profesionales que sirven de guía para evaluar y reportar sobre el control interno de terceras partes: El reporte SOC 1 (Report on Controls at a Service Organization Relevant to User Entities’Internal Control over Financial Reporting, de acuerdo al AICPA). Disminuya los riesgos de la tercerización de las actividades de control El propósito: dar a los clientes de una “organización de servicios” información sobre los controles que pueden ser relevantes para el control interno y la gestión de riesgos asociada a los mismos. En ciertas circunstancias, cuando aplique, los auditores internos o externos de los clientes de una organización de servicios pueden usar estos reportes con el fin de reducir la cantidad de procedimientos sustantivos de auditoría requeridos. Los reportes SOC 1 pueden ser de dos tipos: Tipo I – Reporte sobre los controles implementados puestos en operación. Tipo II – Reporte sobre los controles implementados y pruebas para determinar que hayan operado eficazmente durante el período de tiempo definido en el alcance. Los reportes Tipo II, son los más utilizados puesto que sirven a las organizaciones de servicios para proveer un mayor nivel de aseguramiento a sus clientes, quienes les confían la administración de servicios internos o externos. Beneficios de los Informes SOC 1 – Satisfacer requerimientos de cumplimiento y auditoría: un reporte de este tipo es un componente potencial de sus servicios que le ayudará a lograr las metas de satisfacción de sus clientes. Eliminar o reducir auditorías repetitivas por parte de los clientes (y en consiguiente reducción de costos): las organizaciones sin estos reportes pueden estar sujetas a pruebas por parte de los auditores internos y externos de los clientes, lo que interrumpe las operaciones y requiere la redistribución de recursos para ayudar a estos auditores. Contar con un elemento diferenciador frente a sus competidores: genera confianza entre sus clientes. Anticiparse a posibles requerimientos de un informe de esta naturaleza por parte de sus clientes actuales y futuros. Disminuya los riesgos de la tercerización de las actividades de control Metodología Para el desarrollo de las actividades inmersas en la emisión de un Reporte SOC1, se sigue, en general, una metodología similar a la que se presenta en la figura anexa. Ninguna evaluación de controles bajo metodologías SOC 1 se parece a otra. La selección del universo de riesgos y sus actividades de control, depende muchas veces de la naturaleza y variedad de servicios que son ejecutados por la Organización de Servicios, la complejidad del sector, el impacto que los mismos puedan tener en los sistemas de control interno de sus clientes, entre otros factores. Bismark Rodríguez Socio de EY LAFSA