Las empresas están subcontratando cada vez más muchas de sus funciones, lo que hace que el riesgo sea más complicado de gestionar. La subcontratación, que puede ser beneficiosa para las empresas que carecen de ancho de banda o de conocimientos especializados, no es necesariamente el problema. Lo que hay que recordar es que no se transfiere el riesgo cuando se transfiere el trabajo.
La buena noticia es que el riesgo se puede gestionar aprovechando los marcos bien aceptados, paso a paso. Una vez implantados, los marcos pueden ayudar a identificar y abordar los riesgos inherentes al trabajo con un tercer proveedor de servicios y determinar si los costos de la subcontratación son superados por sus correspondientes beneficios.

A través de este proceso, el argumento queda claro y documentado en cuanto a si se subcontrata la fabricación de un widget, se facilita el movimiento del producto o se proporciona un seguro.
Marco COSO 2013
Este marco es útil cuando la administración comienza a esbozar y aplicar un plan para identificar, evaluar, responder y vigilar el riesgo. La misión del COSO (Comité de Organizaciones Patrocinadoras de la Comisión Treadway) 2013 Internal Control-Integrated Framework es desarrollar una guía para ayudar a las organizaciones a minimizar el riesgo estableciendo procesos y mejorando los controles.
Si bien el marco puede parecer básico y lógico, es sorprendente la frecuencia con que no se establecen controles para vigilar la actividad de terceros en particular. Echemos un vistazo rápido a los cinco componentes y sus 17 principios subyacentes que abordan el riesgo de terceros dentro del marco:
- Entorno de control
- Evaluación del riesgo
- Actividades de control
- Información y comunicación
- Actividades de vigilancia
Algunos de los puntos de enfoque de cada uno de los 17 principios se refieren directamente a la incorporación de terceros proveedores y deben aplicarse a su relación de trabajo con los proveedores de servicios externos. El riesgo de no hacerlo es simplemente demasiado grande. Aunque los 17 principios se desglosan en 87 puntos de enfoque que proporcionan una inmersión más profunda en el marco, a continuación se destacan los puntos clave de los cinco componentes.
Ambiente de Control
Los funcionarios y la junta de una organización no sólo deben dar el ejemplo a través de sus directivas, acciones y comportamiento, sino que también están encargados de establecer un proceso formal de conducta. Es responsabilidad de la dirección establecer el tono en la cima utilizando estos principios:
Normas de conducta. Establecer un código de conducta que se aplique a todos, incluidos los terceros asociados. La administración debe comunicarlo a los proveedores e incluirlo en los contratos de los proveedores.
Supervisión. Disponer de un proceso para evaluar el desempeño de los individuos y equipos en lo que se refiere a las normas de conducta, incluyendo el desempeño de los de sus terceros.
Estructura, autoridad y responsabilidad. Las responsabilidades para mantener el marco del COSO se desglosan por posición dentro de la organización. A través de todo ello, es importante liderar con el ejemplo.
Rendición de cuentas. Los problemas y las desviaciones de las normas deben identificarse y solucionarse de forma rápida y coherente. Todos, incluidos los proveedores externos, deben ser responsables de su desempeño.
Evaluación del riesgo
El riesgo para la reputación es la mayor preocupación cuando se confía en terceros porque no se sabe lo que no se sabe, y es mucho más grande que si se reciben los aparatos a tiempo o no.
Revise los contratos periódicamente para asegurarse de que satisfacen sus necesidades y expectativas, ya que los tiempos de transición pueden significar lapsos en los controles. Reevalúe cuando haya cambios en los entornos reglamentarios, económicos y físicos en los que opera su organización, así como cambios en su modelo de negocios o liderazgo.
Actividades de control
La realización de actividades de control ayuda a crear respuestas para abordar y mitigar el riesgo. Una gran parte de esto son los controles de la tecnología. Para proteger los activos de una entidad de las amenazas externas, la dirección debe diseñar y aplicar estos controles de manera que los entornos informáticos se restrinjan adecuadamente sólo a los usuarios autorizados y que el procesamiento de los datos sea completo, preciso y válido.
Información y Comunicación
Los controles internos son inútiles si no tienes un medio para comunicarlos. La dirección y la junta directiva necesitan facilitar un flujo de información bidireccional abierto y honesto para que los empleados, los proveedores y la dirección puedan cumplir sus respectivos papeles según lo establecido por las normas de conducta.
En el caso de la denuncia de un fraude, se necesitan líneas directas anónimas para que los posibles denunciantes sientan que es seguro informar de las banderas rojas cuando los canales normales se averían. Por ejemplo, los problemas de calidad basados en la actividad de terceros deben ser descubiertos en el almacén y comunicados hacia arriba. Si sus clientes son la primera palabra en cuestiones de control de calidad, es posible que usted ya esté hundido.
Actividades de vigilancia
Sólo se puede mitigar el riesgo si se puede identificar, evaluar qué controles funcionan y cuáles no, y luego hacer ajustes. Mientras se contrata su trabajo, los proveedores de servicios externos deben considerarse parte de su organización y estar sujetos a los mismos controles y evaluaciones.
La línea de comunicación también debe estar abierta externamente para los accionistas, socios, propietarios, reguladores, clientes y analistas financieros, entre otros. Esto permite comunicar información pertinente a la junta, ya sea mediante evaluaciones realizadas por partes externas o mediante denuncias anónimas transmitidas a través de líneas telefónicas directas de denuncia accesibles a las personas de dentro y fuera de la organización.
El riesgo está en todas partes, y son las organizaciones que lo reconocen y lo abordan con cuidado las que tienen más posibilidades de mitigarlo.