El contexto actual de incertidumbre, así como los factores cambiantes a los que se enfrenta cualquier Organización, ha derivado en una tendencia creciente hacia la externalización de determinados procesos, especialmente de back office y servicios tecnológicos. Esta tendencia hacia la externalización de procesos y funciones relevantes obliga a la Organizaciones a reforzar la gestión de los riesgos asociados a dichos procesos s, donde cobra especial relevancia la función de aseguramiento de terceros (“Third Party Assurance”) y los Informes SOC.

En un mundo globalizado, donde cualquier evento es conocido casi al momento y los tiempos de respuesta se acortan, es necesario que las organizaciones estén más preparadas que nunca tanto para abordar escenarios y factores cambiante como para realizar una gestión activa y continua de los riesgos a los que se enfrenta.

A este hecho se una la coyuntura actual derivada de la crisis sanitaria que nos deja un escenario de incertidumbre global, que por un lado genera retos (y oportunidades) de carácter económico, laboral, tecnológico, etc., y por otro, provoca cambios constantes en los factores internos y externos que afectan a la misma. Este escenario ha conducido a las organizaciones a establecer modelos de gestión más flexibles y adaptables a una realidad cambiante, para poder dar respuesta a dichos retos que se generan a corto plazo, los cuáles pueden llegar a poner en peligro la continuidad o supervivencia del negocio o la sociedad.

La adopción de dichos modelos de gestión flexibles y adaptables se traduce en una tendencia creciente en el mercado hacia la externalización de determinados procesos o actividades que permiten a la Organización actuar con mayor eficiencia y agilidad, y disponer de manera inmediata de recursos con alto nivel de especialización en materias y procesos tan dispares como la protección de datos, venta de productos o gestión de cobros.

Sin duda, con ello se consigue esa capacidad de respuesta ágil y casi inmediata, pero también supone asumir riesgos que de no gestionarse correctamente pueden generar un impacto para la Organización. Por ejemplo, la externalización de un servicio de almacenamiento en la nube permite a una compañía trabajar en remoto a todos sus empleados con pleno acceso a la información. Sin embargo, la empresa contratante del servicio ha de tener la certeza de que el proveedor gestiona los riesgos de forma eficiente (en este caso protección de la información, controles de accesos, etc.), ya que en caso de que el entorno de control definido por el proveedor no sea adecuado tener graves consecuencias, según la criticidad de las funciones externalizadas y de la naturaleza del servicio (financiero, tecnológico, operativo, etc.) en la Organización.

Por tanto, parece razonable que las compañías receptoras de servicios externalizados gestionen dichos riesgos de terceros, e intenten garantizar que el proveedor dispone de un correcto entorno de control referente a las actividades y responsabilidades delegadas.

Además, organizaciones y reguladores internacionales como la Autoridad Bancaria Europea (EBA) ya están solicitando a las entidades bajo su supervisión sistemas y modelos de control y gestión de riesgos de los servicios externalizados, así como la existencia de comités de gobierno de la externalización.

En este contexto, los Servicios de Aseguramiento a terceros (“Third Party Assurance”) ofrecen una garantía sobre el correcto funcionamiento de los mecanismos de control implementados en la organización prestadora de servicios externalizados, aplicando metodologías y estándares o normas internacionales de referencia (ISAE 3402, ISAE 3000, SSAE18, etc.), que permiten garantizar a través de la opinión por parte de un experto independiente aspectos claves tales como:

• Correcto diseño de los controles que configuran el entorno de control del proveedor del servicio en torno a los procesos o actividades externalizados por parte del cliente.
• Eficiencia de dichos controles en la mitigación de los riesgos asociados (teniendo en cuenta el apetito al riesgo).

Los resultados se plasman en los denominados Informes SOC, cuyas principales tipologías son las siguientes, en función del tipo de riesgos o impacto potencial que pudiera suponer para el cliente:

• SOC 1: se trata de informes de aseguramiento sobre el entorno de control de empresas prestadoras de servicios que pudieran tener impacto potencial en los estados financieros de la Organización receptora de dichos servicios (funciones de recobro, facturación, contabilización, etc.). El Informe SOC 1 se realiza siguiendo las normas de referencia ISAE 3402 (en el entorno europeo principalmente) y SSAE 18 (normalmente circunscrito al ámbito norteamericano).
• SOC 2 y Privacy Attestation: son informes de aseguramiento enfocados a garantizar la seguridad disponibilidad, integridad, confidencialidad y privacidad de datos e información de la propia Organización que es gestionada por los proveedores del servicio. Dichos informes se realizan en base a la norma ISAE 3000.

Por otro lado, este tipo de informes de aseguramiento no solo resultan de interés para las organizaciones que tienen externalizados determinados procesos, sino también para las compañías que prestan dichos servicios externalizados a sus clientes, dado que son una fuente de garantía ante los potenciales clientes asegurando un entorno de control adecuado en el ejercicio de las funciones y responsabilidades asumidas como proveedor de servicios, lo que puede suponer una ventaja competitiva al ofrecer no solo un buen servicio a sus clientes si no también el confort y tranquilidad de disponer de un entorno de control y seguridad adecuado.

Pablo Aragoneses

Senior manager en el área de Risk Advisory Services

• By BDO
• 22/04/2021
• Third Party Assurance, gestión de los riesgos, externalización, informes SOC