Aseguramiento y revisiones independientes

Nuestro enfoque

La gestión de los riesgos de proveedores externos se ha vuelto más importante, ya que las empresas tercerizan sus operaciones más críticas.

Por ejemplo, la transición a la infraestructura en nube implica que el fallo de un tercero puede dejar a una empresa incapacitada para realizar hasta las funciones básicas.

Pero si bien las tareas básicas se han externalizado, las responsabilidades quedan al margen. Las autoridades reguladoras de sectores como el financiero, han dejado claro que no se puede culpar a los contratistas por los errores que puedan cometer y que las empresas deben adoptar un enfoque riguroso y sistemático para evaluar y gestionar los riesgos derivados de la dependencia de terceros.

En Mazars ofrecemos un enfoque sólido de la gestión y el aseguramiento del riesgo de terceros a los clientes que necesitan un marco de control eficaz para sus relaciones.

Nuestro equipo internacional de especialistas cuenta con una amplia experiencia en el sector y puede recurrir a ella para garantizar que mitiga los riesgos y sigue cumpliendo sus objetivos.

Para gestionar los riesgos de terceros deben superarse tres etapas:

• Realización de revisiones del riesgo operacional de terceros y creación de un marco de riesgos
• Realización de una evaluación del riesgo de terceros
• Informes periódicos de auditoría de riesgos para garantizar la seguridad

Elaboración de Informes ISAE 34.02 y SSAE18

Estos estándares permiten al auditor de una organización de servicios realizar dos tipos diferentes de intervenciones:

SSAE 18 es la norma utilizada por los profesionales de auditoría para realizar diversos informes de atestación.

La descripción del sistema de control interno

Las normas ISAE 3402 y SSAE 18, deben incluir una descripción sobre:

• Objetivos de control y controles relacionados.
• Aspectos del marco de control interno de la organización alineado con COSO: evaluación de riesgos, información y comunicación, monitorización y el ambiente de control.
• Los tipos de servicios prestados, incluidas las diferentes clases de transacciones procesadas.
• Los controles compensatorios pertinentes de las entidades usuarias.
• Procedimientos y registros relacionados con los servicios prestados, incluido el inicio, autorización, registro, procesamiento y corrección de las transacciones.
• Cualquier cambio en el sistema durante el período cubierto por el informe.
• Hechos y condiciones relevantes adicionales a las transacciones.
• El proceso utilizado para elaborar reportes y otra información para las entidades usuarias.

Para los reportes Tipo 2, el informe sobre la descripción y la suficiencia del diseño de los controles abarca la totalidad del periodo que se examina.

Los controles en organizaciones de servicios (SOC) tipo 1, 2 y 3

Aunque el informe SOC 1 y SOC 2 son muy parecidos, el informe SOC 2 involucra específicamente a uno, o más de los 5 principales atributos del sistema:

• Seguridad: Protegido contra accesos no autorizados
• Disponibilidad: Disponible para su operación y uso, de acuerdo a los términos contratados
• Integridad en el procesamiento: El procesamiento del sistema es correcto, oportuno y autorizado
• Confidencialidad: La información está clasificada como confidencial de acuerdo a los términos contratados
• Privacidad: La información personal es recolectada, usada, retenida, divulgada y eliminada en conformidad con los criterios definidos en los Principios de Privacidad Generalmente Aceptados (GAAP), emitidos por AICPA

El nuevo requerimiento de "Aseveración" por parte del administrador

SSAE 16 e ISAE 3402 requieren de la aseveración por escrito, esto implica la asignación de responsabilidades adicionales a la administración de las organizaciones de servicios.

Algunos aspectos destacados de la aseveración son:

• Se incluirá la descripción del sistema, así como documentación del informe
• Se debe basar en criterios que la administración decida para hacer su aseveración, así como los criterios utilizados
• Un auditor de servicio no está autorizado a emitir un informe cuando no cuenta con dicha aseveración
• La administración debe tener una base razonable para su aseveración, se puede lograr con monitoreo continúo, que proporcione la evidencia para el diseño y la eficiencia operativa de los controles

¿Qué hacer para estar preparado?

• Determinar el tipo de reporte y el estándar que se va a aplicar
• Revisar la descripción actual de los sistemas y controles para validar si es adecuada. De ser necesario, implantar una gestión del control interno y de riesgos efectiva
• Revisar los estándares para obtener el conocimiento adicional acerca de los requerimientos