Professional Documents
Culture Documents
CCPM La Contratacion de Servicios Con Terceros y El Rol Del Auditor Interno
CCPM La Contratacion de Servicios Con Terceros y El Rol Del Auditor Interno
Auditoría interna
La contratación de servicios con terceros y
el rol del Auditor Interno
Presentación
El siguiente boletín está enfocado en los servicios de terceros, el riesgo que implica
para el ámbito organizacional y la poca inversión que éstas destinan para la auditoria
interna de evaluación de riesgos en la contratación de servicios de terceros.
Presidente
I. Introducción 3
C.P.C. y P.C.FI Ubaldo Díaz Ibarra
II. Identificación de riesgos en la 3
Vicepresidente de Desarrollo y Capacitación Profesional
M.C.I. y C.P.C. Juan Carlos Bojorges Pérez contratación de servicios con terceros
Coordinador de Comisiones Fiscales III. Rol de la Auditoría Interna 8
C.P. y P.C.FI. Ricardo Paullada Nevárez
IV. Conclusiones 19
Director Ejecutivo
L.C.P. José Alfonso Zamora Martínez
V. Bibliografía 11
Comisión Técnica Profesional Sector Empresa Auditoría Interna
Presidente
C.P. Gabriel Sánchez Curiel
Vicepresidente
C.P.C. y A. Jaime Ignacio García Jiménez
Secretario
L.C.P.C. Fernando Pérez Mendoza
Coordinadora de Cursos
C.P. y M.F. María del Rocío Hernández Romero
Asesor
C.P.C. Agustín Francisco Albarrán Carranza
Integrantes
C.P. Roberto Abad Sánchez
C.P.C. Edgar Cruz Cruz
L.C. Gerardo Amando Díaz Valdez
C.P. Melquiades Gabriel Espino García
C.P. Hiram Marín Poó
C.P. Mario Enrique Mota Sevchovicius
C.P. Iván Rabell Ojeda
C.P.C. Adolfo Ramírez Fernández del Castillo
L.D. Misael Redonda Martínez
C.P.C. Arturo Salvador Reyes Figueroa
L.C.P. Mario Sánchez Martínez
La amplia gama de desafíos relacionados con los riesgos que enfrentan las organizaciones de hoy deja en claro
que un enfoque descoordinado o caso por caso para la gestión de riesgos de la contratación de servicios con
terceros ya no es adecuado, por lo que las organizaciones deberían de establecer un Programa de
Administración de Riesgos de Contratación de Servicios con Terceros.
A continuación se presenta un ejemplo de un Marco de Administración de Riesgos de Terceros:
Programa de
Administración de
Reducción Riesgos Auditoría y
de Terceros
de costo cumplimiento
Aseguramient
oy
certificación
En un nivel práctico, un programa exitoso de administración de riesgos de contratación de servicios con terceros
generalmente se implementa en tres etapas:
Identificar los riesgos inherentes altos o críticos de las relaciones con terceros.
Cuantificar los riesgos identificados.
Establecer un plan para seguir adelante.
Estas actividades son importantes para determinar cuándo o si renegociar los términos del contrato. Las
empresas que tienen más éxito en esta función de auditoría y monitoreo son aquellas que trabajan para mejorar
los datos que tienen sobre sus terceros, de modo que puedan predecir las áreas de riesgo con mayor precisión
y automatizar el monitoreo de los terceros de manera más efectiva.
Factores de éxito:
El control y seguimiento de los servicios que las organizaciones contraten con terceros, deberán ser
considerados dentro del sistema de control interno que ejecuta la primera y segunda línea de defensa y evaluado
por auditoría interna como parte de la tercera línea de defensa, de tal forma que se asegure un control efectivo
de los servicios contratados.
Las políticas y procedimientos deberán considerar la naturaleza y relevancia de los servicios contratados.
Los contratos que se celebren con los terceros deberán prever por lo menos:
Las políticas y criterios que apruebe el consejo de administración, deberán prever la posibilidad de realizar
auditorías o instrumentar otros mecanismos de revisión al tercero.
Cada una de estas áreas proporciona una oportunidad para que la función de auditoría interna proporcione un
punto de vista objetivo sobre cómo se gestionan los riesgos de contratación de servicios con terceros. Y cada
uno puede tener un nivel diferente de interés o importancia, dependiendo de la naturaleza de los riesgos únicos
de la organización y las relaciones externas.
IV. Conclusiones
Por la importancia que tiene la contratación de servicios de terceros en la estrategia de una organización, es
fundamental que las organizaciones documenten y monitoreen adecuadamente los riesgos de terceros.
Las siguientes recomendaciones para gestionar el esfuerzo de la contratación de servicios con terceros son:
Llevar a cabo un inventario completo de las actividades de terceros calificados por factores de riesgo,
incluyendo el valor del contrato, el potencial de corrupción, riesgo financiero y la regulación.
Asignar un proceso adecuado y equilibrado para gestionar cada riesgo de terceros / relación identificada.
Establecer reglas claras e inequívocas para mantener la responsabilidad de los terceros y medir el
desempeño.
Asegurar que los controles y herramientas de evaluación de riesgos se adapten a los cambios en el perfil
de riesgo.
En muchas organizaciones, la responsabilidad de la realización de estas tareas recae en los gerentes que
gestionan los riesgos (primera y segunda líneas de defensa) y los profesionales de la auditoría interna (como
tercera línea de defensa), que trabajan en conjunto para asegurar que las muchas exposiciones de riesgo de la
organización sean identificadas y resueltas adecuadamente. Los gerentes que gestionan los riesgos establecen
controles y procedimientos para minimizar los riesgos, mientras que los auditores internos proporcionan una
evaluación objetiva de los controles, recomiendan mejoras y ofrecen garantías a la alta dirección y al Consejo de
administración.
En última instancia les corresponde a los ejecutivos, directores y comités de auditoría asegurar que la gestión
de riesgos de terceros esté en su radar.
V. Bibliografía
Closing the Gaps in Third-Party Risk Management, The Institute of Internal Auditors Research Foundation.
Managing a Third Party Risk Management Program, Crowe Horwath.
Circular Única de Seguros y Fianzas.