NÚMERO

Boletín de Investigación Marzo

77 Comisión Técnica Profesional Sector Empresa Auditoría Interna 2019

Auditoría interna
La contratación de servicios con terceros y
el rol del Auditor Interno

Presentación

El siguiente boletín está enfocado en los servicios de terceros, el riesgo que implica
para el ámbito organizacional y la poca inversión que éstas destinan para la auditoria
interna de evaluación de riesgos en la contratación de servicios de terceros.

Asimismo, se resalta la importancia que tiene la contratación de servicios de terceros

en la estrategia de una organización, las cuales recaen en una serie de procedimientos
y regulaciones.

Por C.P.C. Edgar Cruz Cruz

 Índice

Presidente
I. Introducción 3
C.P.C. y P.C.FI Ubaldo Díaz Ibarra
II. Identificación de riesgos en la 3
Vicepresidente de Desarrollo y Capacitación Profesional
M.C.I. y C.P.C. Juan Carlos Bojorges Pérez contratación de servicios con terceros
Coordinador de Comisiones Fiscales III. Rol de la Auditoría Interna 8
C.P. y P.C.FI. Ricardo Paullada Nevárez
IV. Conclusiones 19
Director Ejecutivo
L.C.P. José Alfonso Zamora Martínez
V. Bibliografía 11
Comisión Técnica Profesional Sector Empresa Auditoría Interna
Presidente
C.P. Gabriel Sánchez Curiel

Vicepresidente
C.P.C. y A. Jaime Ignacio García Jiménez

Secretario
L.C.P.C. Fernando Pérez Mendoza

Coordinadora de Cursos
C.P. y M.F. María del Rocío Hernández Romero

Asesor
C.P.C. Agustín Francisco Albarrán Carranza

Integrantes
C.P. Roberto Abad Sánchez
C.P.C. Edgar Cruz Cruz
L.C. Gerardo Amando Díaz Valdez
C.P. Melquiades Gabriel Espino García
C.P. Hiram Marín Poó
C.P. Mario Enrique Mota Sevchovicius
C.P. Iván Rabell Ojeda
C.P.C. Adolfo Ramírez Fernández del Castillo
L.D. Misael Redonda Martínez
C.P.C. Arturo Salvador Reyes Figueroa
L.C.P. Mario Sánchez Martínez

Comisión Técnica Profesional Sector Empresa Auditoría Interna año VI,

núm. 77, marzo de 2019.
Boletín editado por el Colegio de Contadores Públicos de México, A.C.
Cuidado de la edición: Lic. Marcos José Alonso, Lic. María del Carmen
Gutiérrez Hernández y Lic. Aldo Plazola González. La presente
publicación tiene por objeto investigar y analizar temas de actualidad
relacionados con la Contaduría Pública y los negocios como una
aportación técnica y objetiva para los lectores. El contenido de los
artículos y colaboraciones es responsabilidad exclusiva de sus autores
y no refleja la opinión o postura del Colegio de Contadores Públicos de
México, A.C. sobre los temas abordados en dichos artículos y
colaboraciones. Se prohíbe la reproducción total o parcial del material
contenido en esta publicación sin autorización previa de los autores y el
Colegio de Contadores Públicos de México, A.C.

Colegio de Contadores Públicos de Mexico A.C., Bosque de Tabachines

No. 44, Fracc. Bosques de las Lomas, Alcaldía Miguel Hidalgo 11700.

Boletín de Investigación de la Comisión Técnica Profesional Sector Empresa Auditoría Interna 2

 I. Introducción
Cada día es mayor que las organizaciones dependan “en gran medida” de la contratación de servicios con
terceros.
Se entenderá por terceros a las personas físicas o morales contratadas por las organizaciones para
proveerles productos o servicios. Las relaciones de terceros incluyen actividades que involucran productos y
servicios subcontratados, uso de consultores independientes, acuerdos de redes, servicios de procesamiento de
pagos comerciales, servicios prestados por filiales y subsidiarias, empresas conjuntas y otros acuerdos
comerciales.
Cuando una organización confía en terceros para proveer suministros o servicios, su exposición a los riesgos
se incrementa. Y mientras el término “terceros” generalmente se utiliza en referencia a grandes trabajos —tales
como trabajo tercerizado, procesamiento de datos o manufactura— los riesgos asociados se pueden aplicar a
toda relación contractual, sin importar cuan pequeña sea ésta.
Sin embargo, a pesar de la creencia predominante de que las relaciones con terceros plantean un riesgo
significativo para las organizaciones, una gran mayoría de éstas dedica sólo una pequeña porción de sus recursos
de auditoría interna para la evaluación de riesgos de contratación de servicios con terceros. Otro aspecto por
resaltar es, quién dentro de la organización es realmente “dueño” de cada relación de terceros y la incertidumbre
respecto a qué medidas específicas se debe tomar para reducir la exposición al riesgo.
El Consejo de administración, como parte de sus responsabilidades de Gobierno corporativo, debería
preguntarle a la alta dirección sobre los riesgos de contratación de servicios con terceros y su gestión.

II. Identificación de riesgos en la contratación de servicios con terceros

El tema de los riesgos de la contratación de servicios con terceros, deben estar identificados y gestionados en
una organización.
El Consejo de administración y alta dirección deberían hacer las siguientes preguntas:

 ¿La empresa tiene un inventario completo de los terceros y sus contratos?

 ¿Los terceros que se contratan se les capacitan y firman la adherencia y cumplimiento del código de ética
y conducta de la empresa?
 ¿Se ha realizado una evaluación de los riesgos para el negocio o la marca para cada una de los terceros
que tenemos?
 ¿A quién pertenece la evaluación de riesgos?
 ¿Cuáles son los riesgos de relación clave o críticos y cuáles son los procesos que se tienen para
administrarlos?

Boletín de Investigación de la Comisión Técnica Profesional Sector Empresa Auditoría Interna 3

  ¿Quién es responsable de la gestión y el control de riesgos?
 ¿Cómo sabemos que nuestros terceros están cumpliendo con los acuerdos vigentes?
 ¿Cuáles son las políticas de la empresa relacionadas con los acuerdos de auditoría para el cumplimiento?
 ¿Cómo sabemos que los terceros están cumpliendo con las leyes y regulaciones?
 ¿Cuáles de nuestros contratos de terceros clave o declaraciones de trabajo no han sido revisados por un
abogado en los últimos tres o cinco años?
 ¿Qué procedimientos se sigue para volver a evaluar los riesgos asociados con un tercero antes de la
renovación de un contrato?
 ¿Qué tipos de riesgos se consideran en el proceso de selección o renovación?
 ¿Se consideran riesgos significativos?
 ¿Los contratos marco abordan los riesgos clave de la mayoría de los terceros?
 ¿Cómo sabemos que los informes de los que dependemos de nuestros proveedores externos son
precisos?
 ¿Se han probado los planes de continuidad del negocio con nuestras principales relaciones con terceros?
 ¿Qué tan dependientes son nuestros terceros con los subcontratistas y sus subordinados?
 ¿Qué riesgos están asociados con estas organizaciones?

La amplia gama de desafíos relacionados con los riesgos que enfrentan las organizaciones de hoy deja en claro
que un enfoque descoordinado o caso por caso para la gestión de riesgos de la contratación de servicios con
terceros ya no es adecuado, por lo que las organizaciones deberían de establecer un Programa de
Administración de Riesgos de Contratación de Servicios con Terceros.
A continuación se presenta un ejemplo de un Marco de Administración de Riesgos de Terceros:

Boletín de Investigación de la Comisión Técnica Profesional Sector Empresa Auditoría Interna 4

 Mejora del Identificación y
desempeño evaluación de
riesgos

Programa de
Administración de
Reducción Riesgos Auditoría y
de Terceros
de costo cumplimiento

Aseguramient
oy
certificación

Fuente: © Crowe Horwath LLP

En un nivel práctico, un programa exitoso de administración de riesgos de contratación de servicios con terceros
generalmente se implementa en tres etapas:

Etapa 1. Establecer la propiedad de los riesgos.

La planificación del cambio es fundamental para la gestión de riesgos exitosa de terceros en organizaciones
donde la propiedad de dicho riesgo se encuentra dispersa entre múltiples partes interesadas y propietarios. Esta
planificación requiere una coordinación interfuncional, liderazgo ejecutivo y supervisión, y metas y objetivos
claros. La misión de la mayoría de las organizaciones a menudo incluye un enfoque en el fortalecimiento de la
relación general con el tercero.
Factores de éxito:
 Establecer claramente la propiedad del riesgo.
 Obtener aportes interfuncionales de varias partes interesadas.
 Desarrollar un mapa de ruta de gestión de riesgos de la contratación de servicios con terceros.

Etapa 2. Evaluar los riesgos.

Comprender el perfil de riesgo de toda la organización ayuda a centrar los esfuerzos en las áreas de mayor riesgo,
lo que permite la asignación de recursos adecuados para abordar cláusulas específicas en un acuerdo o tipos
específicos de relaciones o categorías de riesgo. Desarrollar un panorama integral de riesgos a menudo es un

Boletín de Investigación de la Comisión Técnica Profesional Sector Empresa Auditoría Interna 5

 primer paso útil para evaluar los diversos riesgos en una relación. Este paso ayuda a evitar adoptar un enfoque
único para todos y, en su lugar, enfoca las áreas de riesgo (las que operan) y recompensa para la organización.
Factores de éxito:

 Identificar los riesgos inherentes altos o críticos de las relaciones con terceros.
 Cuantificar los riesgos identificados.
 Establecer un plan para seguir adelante.

Etapa 3. Auditar, monitorear y evaluar.

El panorama del riesgo estimula las iniciativas para auditar, inspeccionar, comparar el desempeño y los costos,
verificar y obtener seguridad o certificación.
Un programa exitoso de administración de riesgos de contratación de servicios con terceros tiene un nivel
apropiado de:

 Medición y monitoreo de riesgos.

 Medición y monitoreo del desempeño.
 Seguimiento de incidentes.
 Evaluación del valor recibido.

Estas actividades son importantes para determinar cuándo o si renegociar los términos del contrato. Las
empresas que tienen más éxito en esta función de auditoría y monitoreo son aquellas que trabajan para mejorar
los datos que tienen sobre sus terceros, de modo que puedan predecir las áreas de riesgo con mayor precisión
y automatizar el monitoreo de los terceros de manera más efectiva.
Factores de éxito:

 Personalizar la evaluación de los terceros.

 Uso de la automatización para agilizar el proceso.
 Analizar las tendencias de incidentes en los terceros.

Adicionalmente al programa de administración de riesgos de contratación de servicios con terceros, y como

parte del sistema de control interno de una organización, se debe de contar con las políticas y procedimientos
para la contratación de servicios con terceros, las cuales deberán considerar lineamientos para:

Boletín de Investigación de la Comisión Técnica Profesional Sector Empresa Auditoría Interna 6

  Autorizar la contratación de los servicios y operaciones con terceros.
 Verificar que los terceros con los que se contrate cuenten con la experiencia y capacidad técnica,
financiera, administrativa y legal necesaria para realizar los servicios y operaciones correspondientes.
 Prevenir y evitar conflictos de intereses entre empleados, funcionarios, consejeros o accionistas y los
terceros.
 Establecer planes de continuidad y contingencia para hacer frente a las posibles eventualidades derivadas
del incumplimiento por parte de los terceros.
 Definir el uso y la explotación a favor de la empresa sobre las bases de datos, producto de los servicios.
 Mantener la debida confidencialidad y seguridad de la información relativa a los servicios y operaciones,
materia de la contratación con terceros.
 Verificar que el tercero cuente con sistemas de control interno y, en caso de que la naturaleza del servicio
así lo requiera, de administración de riesgos.
 Verificar que los terceros reciban periódicamente una adecuada capacitación en relación con los servicios
contratados, considerando para ello la naturaleza y relevancia de dichos servicios.
 Definir las restricciones o condiciones respecto a la posibilidad de que el tercero subcontrate, a su vez, la
prestación del servicio.

El control y seguimiento de los servicios que las organizaciones contraten con terceros, deberán ser
considerados dentro del sistema de control interno que ejecuta la primera y segunda línea de defensa y evaluado
por auditoría interna como parte de la tercera línea de defensa, de tal forma que se asegure un control efectivo
de los servicios contratados.
Las políticas y procedimientos deberán considerar la naturaleza y relevancia de los servicios contratados.
Los contratos que se celebren con los terceros deberán prever por lo menos:

 Los términos y condiciones para garantizar el cumplimiento de los servicios contratados.

 Los términos y condiciones sobre la propiedad, salvaguarda y confidencialidad de la información y
recursos que maneje el tercero, así como cláusulas de responsabilidad a cargo del tercero, relativas a la
protección y respaldo de la información y recursos que le sean proporcionados por la empresa. Dichos
términos y condiciones deberán observar lo que las disposiciones legales, reglamentarias y
administrativas aplicables exigen a las empresas respecto en esa materia.
 Los términos y condiciones relativos a los derechos de propiedad intelectual o de propiedad industrial,
en su caso, de los servicios contratados.
 Los términos y condiciones por cuanto a la verificación del cumplimiento de los servicios contratados.

Boletín de Investigación de la Comisión Técnica Profesional Sector Empresa Auditoría Interna 7

  Los términos y condiciones en los que el tercero implementará planes de contingencia para hacer frente
a problemas en el cumplimiento de los servicios contratados.
 En su caso, los términos y condiciones en los que el tercero podrá subcontratar con otras personas la
realización de los servicios relacionados con el cumplimiento de las obligaciones convenidas.
 Los lineamientos para verificar que el tercero reciba periódicamente una adecuada capacitación e
información, en relación con los servicios contratados, considerando para ello la naturaleza y relevancia
de dichos servicios.
 Los requisitos de los procesos técnicos, operativos y de control que el tercero debe cumplir para
garantizar que la prestación del servicio contratado se haga observando lo que las disposiciones legales,
reglamentarias y administrativas aplicables exigen a las empresas respecto de dichas actividades.
 En la contratación de los servicios con terceros se deberá verificar que éstos cuenten con la experiencia,
capacidad técnica, financiera, administrativa y legal, así como con los recursos materiales, financieros y
humanos necesarios para garantizar niveles adecuados de desempeño, control, confiabilidad y
seguridad en la prestación de dichos servicios.

Las políticas y criterios que apruebe el consejo de administración, deberán prever la posibilidad de realizar
auditorías o instrumentar otros mecanismos de revisión al tercero.

III. Rol de la Auditoría Interna

Los roles y las expectativas varían con cada comité de auditoría y equipo directivo. Dicho esto, los datos sugieren
que en muchas organizaciones existe un papel más grande y más importante que los departamentos de
auditoría interna pueden desempeñar. El caso de negocio para este rol debe basarse en las habilidades del
equipo (gestión de riesgos, agregación de riesgos, controles, auditoría y garantía de inspección y mejora de
procesos).
A continuación se describen áreas donde la auditoría interna podría proporcionar un valor significativo:

 Ayudar a la administración a identificar el universo de riesgos de terceros y la clasificación de riesgos.

 Identificar, cuantificar y evaluar los riesgos para la organización que surgen de las relaciones de terceros.
 Identificar o evaluar la comprensión de la administración de cómo los terceros cumplen con las
reglamentaciones o políticas que deben estar vigentes.
 Evaluar las actividades de gestión de riesgos de terceros en la organización y la madurez relativa del
programa de gestión de riesgos de terceros relacionado con las exposiciones de riesgo en la organización.
 Comparar los enfoques de gestión de riesgos de terceros con los utilizados en el programa de gestión de
riesgos de la organización.

Boletín de Investigación de la Comisión Técnica Profesional Sector Empresa Auditoría Interna 8

  Determinar la adecuación y efectividad de las actividades de aseguramiento.
 Realizar pruebas para el cumplimiento de contratos y regulaciones o políticas.
 Confirmar que se están cumpliendo los acuerdos de niveles de servicio.
 Identificar mejoras del proceso para las interacciones de terceros.

Cada una de estas áreas proporciona una oportunidad para que la función de auditoría interna proporcione un
punto de vista objetivo sobre cómo se gestionan los riesgos de contratación de servicios con terceros. Y cada
uno puede tener un nivel diferente de interés o importancia, dependiendo de la naturaleza de los riesgos únicos
de la organización y las relaciones externas.

IV. Conclusiones
Por la importancia que tiene la contratación de servicios de terceros en la estrategia de una organización, es
fundamental que las organizaciones documenten y monitoreen adecuadamente los riesgos de terceros.
Las siguientes recomendaciones para gestionar el esfuerzo de la contratación de servicios con terceros son:

 Llevar a cabo un inventario completo de las actividades de terceros calificados por factores de riesgo,
incluyendo el valor del contrato, el potencial de corrupción, riesgo financiero y la regulación.
 Asignar un proceso adecuado y equilibrado para gestionar cada riesgo de terceros / relación identificada.
 Establecer reglas claras e inequívocas para mantener la responsabilidad de los terceros y medir el
desempeño.
 Asegurar que los controles y herramientas de evaluación de riesgos se adapten a los cambios en el perfil
de riesgo.

En muchas organizaciones, la responsabilidad de la realización de estas tareas recae en los gerentes que
gestionan los riesgos (primera y segunda líneas de defensa) y los profesionales de la auditoría interna (como
tercera línea de defensa), que trabajan en conjunto para asegurar que las muchas exposiciones de riesgo de la
organización sean identificadas y resueltas adecuadamente. Los gerentes que gestionan los riesgos establecen
controles y procedimientos para minimizar los riesgos, mientras que los auditores internos proporcionan una
evaluación objetiva de los controles, recomiendan mejoras y ofrecen garantías a la alta dirección y al Consejo de
administración.
En última instancia les corresponde a los ejecutivos, directores y comités de auditoría asegurar que la gestión
de riesgos de terceros esté en su radar.

Boletín de Investigación de la Comisión Técnica Profesional Sector Empresa Auditoría Interna 9

 Los líderes de la compañía deben entender y ser capaces de cuantificar estos riesgos para determinar si se
asignan recursos suficientes para proporcionar la seguridad de que las relaciones con terceros se gestionen
adecuadamente.
A medida que las organizaciones buscan mejorar sus capacidades, el primer lugar para comenzar es entender
dónde se encuentra la organización hoy en día para que las estrategias puedan desarrollarse y pasar a un
proceso más maduro (si es necesario).
El modelo de madurez de riesgo de terceros ayuda a las organizaciones con esta evaluación.
Independientemente de los niveles de madurez, las actividades de gestión de riesgos de terceros deben estar
claramente relacionadas con el programa general de gestión de riesgos de la organización.
Este modelo permite a una organización realizar una evaluación objetiva de los métodos y procesos de
gestión de riesgos y puede ayudarla a definir sus objetivos para el futuro.
Los atributos que se evalúan van desde la amplitud y estrategia general del programa para el riesgo de
terceros hasta características más específicas como la gobernanza, los métodos de evaluación y la
comunicación.
Usar una variación del Modelo de Madurez de Capacidad de gestión de riesgos de terceros como se muestra en
la siguiente gráfica puede ser útil en el nivel de programa de administración de riesgos de terceros, por categoría
de terceros, unidad de negocio y similares, porque no todos los terceros o los procesos comerciales requieren el
mismo nivel de madurez.

Boletín de Investigación de la Comisión Técnica Profesional Sector Empresa Auditoría Interna 10


Componente del programa
de riesgos de terceros
Gobernabilidad y Organización
Identificación y evaluación de
riesgos
Actividades de aseguramiento
V. Bibliografía
Closing the Gaps in Third-Party Risk Management, The Institute of Internal Auditors Research Foundation.
Managing a Third Party Risk Management Program, Crowe Horwath.
Circular Única de Seguros y Fianzas.
Boletín de Investigación de la Comisión Técnica Profesional Sector Empresa Auditoría Interna
Modelo de Madurez de Capacidad de Gestión de Riesgos de Terceros
Inicial
 Coordinación mínima
 Poco o ningún gobierno o
supervisión
 Falta de estándares y métodos
 Las actividades no están
vinculadas al marco de riesgos
de la organización
 Tolerancias diferentes y
niveles de evaluación de
riesgos
 Perspectiva limitada de los
niveles de riesgo en toda la
organización
 Poca o ninguna garantía sobre
asuntos de riesgo de terceros
 Enfoques de aseguramiento
diferentes en toda la
organización
Repetible
 Compromiso limitado de la
gerencia sénior con las
prácticas estándar
relacionadas con terceros
 Conciencia organizacional de
que se necesitan controles en
torno al riesgo de terceros
 Se han implementado
actividades específicas para
evaluar el riesgo, aunque
pueden diferir en toda la
organización
 Las actividades de
aseguramiento prescritas
están establecidas para
terceros clave, aunque el
enfoque puede no ser
consistente
Definido
 Las políticas están
establecidas
 Existe una organización formal
para gestionar los riesgos de
terceros (comité, grupo
central, líder ejecutivo, etc.)
 Procesos de escalamiento
definidos
 Participación significativa de la
Dirección en áreas de alto
riesgo
 Informes periódicos y
supervisión de las actividades
de gestión de riesgos
 Se han establecido métodos
formales para agregar y
monitorear los perfiles de
riesgo de terceros.
 Existe un enfoque común a
nivel empresarial con
calificaciones de riesgo
constantes
 Los procesos para gestionar
riesgos de terceros se
incorporan en los procesos
comerciales estándar
 Enfoque empresarial formal
para identificar y evaluar a
terceros, basado en el riesgo
Administrado
 Las actividades de gestión de
riesgos se integran en los
procesos operativos
 El riesgo de terceros se
gestiona de forma cuantitativa
en todas las funciones
comerciales
 El monitoreo se realiza a nivel
de la unidad de negocio y de
la empresa
 Los benchmarking / métricas
internas están disponibles
para evaluar y monitorear a
terceros clave y áreas de
riesgo relacionadas
 Las tendencias se monitorean
y las mejoras se abordan en
todo el inventario de terceros
 Actividades de aseguramiento
periódicas vinculadas a niveles
de riesgo y tolerancias
Optimizado
 Los terceros son
continuamente evaluados a
través de la organización
 Recursos asignados según sea
necesario para abordar
objetivos de terceros o riesgos
emergentes
 Alto nivel de coordinación
interfuncional en el monitoreo
de riesgos
 Indicadores avanzados de
banderas rojas
 Benchmarking con
compañeros según sea
necesario
 Actividades calculadas para
tomar o reducir riesgos
 Factores de riesgo integrados
en la toma de decisiones
sobre la relación general de
terceros
 Monitoreo en tiempo real o
automatización de actividades
de cumplimiento
 Garantía y, en última
instancia, confianza en las
actividades propias de gestión
de riesgos del tercero
11