Aseguramiento y revisiones independientes

Gestión y garantía de riesgos de terceros.
Las empresas confían cada vez más en terceros para aumentar la eficiencia, reducir costos y mejorar el rendimiento. Sin embargo, trabajar con organizaciones externas conlleva toda una serie de riesgos que no existían en el pasado.
En Mazars, podemos ayudarle a evaluar y gestionar los riesgos asociados con terceras partes, de modo que su organización pueda centrarse en cumplir sus objetivos corporativos.

Nuestro enfoque

La gestión de los riesgos de proveedores externos se ha vuelto más importante, ya que las empresas tercerizan sus operaciones más críticas.

Por ejemplo, la transición a la infraestructura en nube implica que el fallo de un tercero puede dejar a una empresa incapacitada para realizar hasta las funciones básicas.

Pero si bien las tareas básicas se han externalizado, las responsabilidades quedan al margen. Las autoridades reguladoras de sectores como el financiero, han dejado claro que no se puede culpar a los contratistas por los errores que puedan cometer y que las empresas deben adoptar un enfoque riguroso y sistemático para evaluar y gestionar los riesgos derivados de la dependencia de terceros.

En Mazars ofrecemos un enfoque sólido de la gestión y el aseguramiento del riesgo de terceros a los clientes que necesitan un marco de control eficaz para sus relaciones.

Nuestro equipo internacional de especialistas cuenta con una amplia experiencia en el sector y puede recurrir a ella para garantizar que mitiga los riesgos y sigue cumpliendo sus objetivos.

Para gestionar los riesgos de terceros deben superarse tres etapas:

Realización de revisiones del riesgo operacional de terceros y creación de un marco de riesgos
Realización de una evaluación del riesgo de terceros
Informes periódicos de auditoría de riesgos para garantizar la seguridad

Elaboración de Informes ISAE 34.02 y SSAE18

Estos estándares permiten al auditor de una organización de servicios realizar dos tipos diferentes de intervenciones:

Tipo 1

Evalúa la objetividad en la descripción del sistema de control interno, así como la suficiencia únicamente en el diseño de los controles para alcanzar los objetivos de control descritos, para una fecha específica.

Tipo 2

Informa sobre la objetividad en la descripción del sistema de control interno, así como sobre la suficiencia en el diseño y la eficacia en la operación de los controles.

SSAE 18 es la norma utilizada por los profesionales de auditoría para realizar diversos informes de atestación.

La descripción del sistema de control interno

Las normas ISAE 3402 y SSAE 18, deben incluir una descripción sobre:

Objetivos de control y controles relacionados.
Aspectos del marco de control interno de la organización alineado con COSO: evaluación de riesgos, información y comunicación, monitorización y el ambiente de control.
Los tipos de servicios prestados, incluidas las diferentes clases de transacciones procesadas.
Los controles compensatorios pertinentes de las entidades usuarias.
Procedimientos y registros relacionados con los servicios prestados, incluido el inicio, autorización, registro, procesamiento y corrección de las transacciones.
Cualquier cambio en el sistema durante el período cubierto por el informe.
Hechos y condiciones relevantes adicionales a las transacciones.
El proceso utilizado para elaborar reportes y otra información para las entidades usuarias.

Para los reportes Tipo 2, el informe sobre la descripción y la suficiencia del diseño de los controles abarca la totalidad del periodo que se examina.

Los controles en organizaciones de servicios (SOC) tipo 1, 2 y 3

1/ SOC1

Informe sobre los controles en una organización de servicios alrededor de la información financiera del usuario.

2/ SOC2

Informe sobre los controles en una organización de servicios alrededor de la seguridad, disponibilidad, integridad en el procesamiento, confidencialidad o privacidad.

3/ SOC3

Informe sobre la confianza en organizaciones de servicios, comúnmente conocidos como SysTrust.

Aunque el informe SOC 1 y SOC 2 son muy parecidos, el informe SOC 2 involucra específicamente a uno, o más de los 5 principales atributos del sistema:

Seguridad: Protegido contra accesos no autorizados
Disponibilidad: Disponible para su operación y uso, de acuerdo a los términos contratados
Integridad en el procesamiento: El procesamiento del sistema es correcto, oportuno y autorizado
Confidencialidad: La información está clasificada como confidencial de acuerdo a los términos contratados
Privacidad: La información personal es recolectada, usada, retenida, divulgada y eliminada en conformidad con los criterios definidos en los Principios de Privacidad Generalmente Aceptados (GAAP), emitidos por AICPA

El nuevo requerimiento de "Aseveración" por parte del administrador

SSAE 16 e ISAE 3402 requieren de la aseveración por escrito, esto implica la asignación de responsabilidades adicionales a la administración de las organizaciones de servicios.

Algunos aspectos destacados de la aseveración son:

Se incluirá la descripción del sistema, así como documentación del informe
Se debe basar en criterios que la administración decida para hacer su aseveración, así como los criterios utilizados
Un auditor de servicio no está autorizado a emitir un informe cuando no cuenta con dicha aseveración
La administración debe tener una base razonable para su aseveración, se puede lograr con monitoreo continúo, que proporcione la evidencia para el diseño y la eficiencia operativa de los controles

¿Qué hacer para estar preparado?

Determinar el tipo de reporte y el estándar que se va a aplicar
Revisar la descripción actual de los sistemas y controles para validar si es adecuada. De ser necesario, implantar una gestión del control interno y de riesgos efectiva
Revisar los estándares para obtener el conocimiento adicional acerca de los requerimientos

Contacto

César Octavio González Gamboa Consulting senior manager - Mexico City

Detailed profile

Rodrigo Enrique Romero Rodríguez Consulting Lead Partner - Mexico City