Saltar al contenido

Cómo los comités de auditoría pueden mantener el riesgo de terceros bajo control

Tiempo de dolor de cabeza, auditoría interna. Los socios comerciales, proveedores, distribuidores, contratistas y proveedores de servicios -todos ellos los llamados terceros que ayudan a muchas organizaciones a funcionar- conllevan riesgos que la auditoría interna, y posteriormente los comités de auditoría, normalmente deben evaluar.

Y estos terceros pueden tener sus propias relaciones con terceros que amplían aún más los riesgos. También pueden estar fuera de los Estados Unidos, operando bajo leyes y éticas comerciales diferentes.

Cómo los comités de auditoría pueden mantener el riesgo de terceros bajo control
Cómo los comités de auditoría pueden mantener el riesgo de terceros bajo control

El último informe de la Serie de Excelencia del Comité de Auditoría de PwC, Supervisión de los riesgos de terceros, ofrece una visión de las cuestiones de evaluación y las mejores prácticas para evaluar estos riesgos. Probablemente no sorprenda que el manejo y la evaluación de los riesgos de terceros a menudo recaiga en la auditoría interna, que, a su vez, es competencia del comité de auditoría.

La razón por la que estos socios, proveedores, distribuidores, contratistas y prestadores de servicios son tan importantes es que su riesgo se incluye en categorías como el soborno, las preocupaciones medioambientales, la salud y la seguridad y las leyes laborales. Y esas áreas, señala el informe, pueden no estar completamente cubiertas por los controles internos «convencionales» o como sea que una organización particular evalúe sus riesgos.

Es más, una cuestión clave unifica estos riesgos: Los terceros se rigen por contratos. Esos contratos establecen las obligaciones, los riesgos y los recursos de todos los implicados. Y deben estar bajo el sistema general de control interno de una organización. Lo que significa, por supuesto, que los abogados tienen que estar involucrados.

En el informe se menciona especialmente la importancia de la revisión jurídica. «Evaluar si el abogado de la empresa está suficientemente involucrado en el entorno de control de riesgos de terceros. Y si comprenden la importancia de su papel», dice el informe.

La auditoría interna o el comité de auditoría debe determinar si los contratos prevén derechos de auditoría de seguridad y notificaciones de infracciones.

Eso se debe a que casi cualquier empresa tiene algún grado de riesgo que involucra a terceros, señala el informe, afirmando que «esencialmente, cualquier organización que tenga acceso a la IP o a la red corporativa de su empresa, que proporcione la infraestructura de TI a la empresa, o que sea de alguna manera un participante en la ‘cadena de valor’ de la empresa, crea un riesgo de terceros que debe ser gestionado de alguna manera».

Aquí hay una instantánea de lo que debe ser abordado:

  • Inventario de las relaciones con terceros.
  • Se debe dar prioridad a las relaciones con terceros más importantes. Comprender el papel de la auditoría interna en la fiscalización de esos terceros en cuanto a los riesgos, así como en la prevención y detección de fraudes. Considerar la posibilidad de utilizar programas informáticos de vigilancia del fraude, según el informe.
  • Asigne una calificación de riesgo para cada tipo de riesgo y una calificación de riesgo general para cada tercero. Por ejemplo, los riesgos pueden incluir el soborno, los ingresos, la ciberseguridad, el medio ambiente, la piratería o cualquier otro que sea pertinente para una organización específica. Discuta si y por qué se están utilizando terceros en «puntos calientes de la corrupción», afirma el informe. ¿Sabe la empresa a qué información crítica pueden acceder los terceros? ¿Se accede sólo a la información necesaria?
  • Averiguar quién en la administración es responsable de la gestión del riesgo. ¿Tiene esta persona la visibilidad adecuada en la empresa para ser la más efectiva? ¿Cuál es su actitud sobre el cumplimiento? El informe sugiere explorar si la compañía ejerce sus derechos de auditar, terminar y monitorear el cumplimiento de manera continua.
  • ¿De quién depende ese gerente? ¿A todo el consejo? ¿El comité de auditoría?
  • ¿Con qué frecuencia se presentarán informes sobre cada relación con terceros?

Como dice el informe, los riesgos nunca terminan. Las relaciones existentes con terceros no sólo requieren revisiones rutinarias, sino que se incorporarán nuevos vendedores y proveedores y la tecnología de la empresa cambiará para crear nuevas relaciones. Y todo ello puede requerir cambios si se producen fusiones o adquisiciones.