Reportes de control interno

Una solución para la tranquilidad de las operaciones empresariales

En primer lugar cada vez es más común ver que las empresas comprendan su propósito y dediquen sus esfuerzos a lo que saben hacer, entregando a terceros los procesos o sistemas donde estratégicamente es mejor negocio que lo operen otros, sin embargo, cuando entregamos a terceros sabemos que estamos poniendo en manos de otros nuestra credibilidad como empresa ocasionado por una serie de riesgos que nadie desea:

  • Indisponibilidad de los servicios prestados.
  • Perdida de confidencialidad de la información.
  • Perdida de privacidad sobre los datos personales.
  • Integridad de los datos procesados.
  • Posibles incumplimientos a nuestros clientes.
  • Entre otros.

Basado en lo anterior, las Empresas enfrentan algunas problemáticas que les obligan a fortalecer su sistema de control interno, para lo cual toman decisiones como, realizar auditorías a terceros, establecer acuerdos de servicio, seguimiento a los contratos etc. Sin embargo, en muchos casos esta labor es desgastante para la empresa.

Por otro lado, para los terceros al tener múltiples clientes, le es requerido un esfuerzo gigante al recibir las múltiples auditorias, lo cual lo obliga a desenfocarse de lo importante de la operación para lograr la atención y aprobación de sus clientes.

Recomendamos que las compañías al realizar contratos importantes, incluyan dentro de su gestion con terceros la presentación obligatoria de reportes de control interno bajo estándares internacionales, lo cual les permite los siguientes beneficios para los interesados:

Por lo tanto, son muchos las ventajas que tienen este tipo de reportes para las empresas y para los terceros (Organizaciones de servicios).

  • El ISAE 3402 (International Standard on Assurance Engagements No. 3402)  es un estándar desarrollado por el International Auditing and Assurance Standards Board (IAASB) que provee información a las Organizaciones Usuarias (Clientes, auditores y otros interesados) sobre la evaluación del sistema de control interno de los servicios delegados en organizaciones prestadoras de servicios.
  • SSAE18(Anterior SAS70 y SSAE16) (AICPA) este cuenta con la misma funcionalidad que ISAE3402 con la única diferencia que está diseñado para clientes estadounidenses.

Todos reportes mencionados anteriormente se consideran como un reporte SOC 1, sin embargo, existen otros como el SOC2 y el SOC3. A continuación observamos algunas características de los reportes mencionados para su consideración y decisión de aplicar en sus empresas o para recomendar o exigir a sus terceros (Organización de servicios).

por consiguiente los anteriores reportes, pueden ser de Tipo I o de Tipo II, el primero se emite para un momento específico en el tiempo e incluye una opinión del auditor externo a una fecha específica sobre la efectividad y aplicación del diseño del control interno (no de su operación), mientras que el segundo (Tipo II) incluye una opinión del auditor sobre la efectividad del control interno diseñado a lo largo de un período de tiempo (mínimo seis meses).

Es impotente mencionar que este tipo de reportes no corresponden a una certificación, sino a una evaluación del control interno de la organización de servicios, por lo cual los terceros deben someterse anualmente garantizando que el ambiente de control se mantiene en el tiempo.

como resultado para fortalecer sus sistema de control interno y por consiguiente aumentar sus ventas, recomendamos a las organizaciones de servicio (terceros) entender las ventajas que les otorga contar con reportes de esta naturaleza, por lo cual su visión a futuro debe ser el mejorar el control interno y no esperar las exigencias de un cliente o la perdida de una oportunidad en el mercado.

Asimismo para las empresas que subcontratan servicios, recomendamos evaluar los posibles riesgos que tienen sus operaciones y exigir para los contratos más relevantes para su operación reportes de esta naturaleza, su visión debe estar enfocada en el esfuerzo que debe realizar para su servicio y sus clientes, lo demás debe estar a cargo de terceros expertos y con ambientes de control seguros.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Llamanos

Abrir chat