Labor del auditor en una organización que presta servicios de tercerización

Los auditores pueden ser contratados en empresas dedicadas a la tercerización de operaciones y servicios; aunque este tipo de acuerdos comerciales es avalado por la ley, pueden dar lugar al encubrimiento de irregularidades. En este editorial mencionamos qué debe tener en cuenta el auditor.

Algunas entidades deciden tercerizar operaciones o contratar servicios externos para mejorar su funcionamiento. Algunos ejemplos habituales de actividades en las que se recurre a este proceso son: las labores de nómina y contratación (regularmente ejecutadas a través de outsourcing, temporales o cooperativas de trabajo); en el caso de las empresas manufactureras algunas operaciones de fabricación (a través de la contratación de una maquila); o en las copropiedades la tercerización de labores de mantenimiento y vigilancia.

NIA 402

Independiente del caso, como la forma en la que el tercero ejecute las operaciones contratadas por la entidad puede llegar a afectar la información de la misma e incluso traerle problemas judiciales de gran trascendencia, es usual que las empresas contraten auditores para que verifiquen las operaciones, procesos, registros contables y, en general, la información emitida por las empresas que prestan dichos servicios a fin de identificar la importancia relativa de estos. La NIA 402 Consideraciones de auditoría relativas a una entidad que utiliza una organización de servicios, presenta los lineamientos que debe seguir el auditor para cumplir con estos fines.

ISAE 3402

Por su parte, la ISAE 3402 Informes de aseguramiento sobre los controles en las organizaciones de servicios, expone una serie de principios y lineamientos que el auditor debe tener en cuenta al emitir su informe al respecto de dicho proceso de aseguramiento. Para entender los lineamientos de esta norma deben estudiarse los siguientes conceptos:

• Entidad usuaria: es la entidad que terceriza las operaciones a través de contratos con organizaciones de servicios (outsourcing o tercero).
• Organización de servicios: es una organización externa a la entidad, con la cual se contrata la prestación de servicios. En razón a esto, es objeto de estudio de encargos de auditoría y aseguramiento.

Objetivos

El objetivo de esta norma es describir los aspectos que debe tener en cuenta el auditor para elaborar el informe de las operaciones de una organización de servicios que espera compartir dicho informe con cualquier entidad usuaria. así, por ejemplo, el auditor debe obtener una seguridad razonable de que la organización de servicios presenta en la descripción de su sistema de operaciones una información fiel y congruente de acuerdo a la manera en la que ha ejecutado dicho sistema; que dicha descripción concuerda con las operaciones realizadas en el período, es decir, que dicho sistema fue aplicado en todo el período; y que la aplicación del sistema le puede brindar una seguridad razonable a la entidad usuaria sobre el alcance de los logros y metas propuestas para la organización de servicios.

Evaluación por parte del auditor

El auditor debe evaluar si:

• Está lo suficientemente capacitado para realizar el encargo
• La organización de servicios va a brindar toda la información requerida sobre las operaciones, es decir, evidenciar que la organización de servicios conoce y se compromete con la responsabilidad de indicar cómo realizó las operaciones, cuál es su sistema de operaciones y bajo qué criterios fue diseñado
• La organización de servicios o algún miembro de esta ha realizado alguna restricción que no le permita cumplir con el objetivo del encargo.

Al evaluar el sistema de operaciones, este y los criterios sobre los cuales fue diseñado deben contener al menos:

• Una descripción de los tipos de servicios prestados o las transacciones procesadas.
• Los procedimientos realizados, herramientas y tecnología utilizada para cumplir con el servicio.
• Los documentos soporte de la operación: como informes, registros contables, información sobre partidas específicas y corrección de errores.
• El proceso que es utilizado para la emisión de información financiera.
• Aspectos relacionados con la operación que no tienen que ver directamente con la información financiera, sino con la gestión y control interno (valoración de riesgo, actividades de control, seguimiento).
• Los objetivos de control y los controles diseñados para alcanzar dichos objetivos.

El auditor debe verificar la información, controles y sistema de operaciones de la organización de servicios, para esto puede incluir entre sus procedimientos:

• Verificar la eficacia operativa a través de pruebas de control (realizar una muestra para verificar facturas, ventas u operaciones no registradas, realizar arqueos sorpresivos, analizar existencias físicas, verificar inventario obsoleto, etc.).
• Tener en cuenta la naturaleza de las entidades usuarias y si la forma en la que la organización de servicios cumple con las funciones asignadas puede afectarlas o no.
• Leer los contratos y las cláusulas de los mismos a fin de identificar las responsabilidades de la organización de servicios.
• Observar atentamente las actividades realizadas por los colaboradores de la organización de servicios.
• Revisar los manuales de políticas, procedimientos, diagramas de funciones, entre otra información relacionada con las actividades de la entidad.
• Realizar muestras que le permitan evidenciar si los controles de la entidad funcionan adecuadamente.
• Indagar al personal clave, el cual el auditor considera relevante en el cumplimiento de las actividades relacionadas con entidades usuarias.

Material relacionado:

• [Análisis] Falsos modelos de tercerización laboral ¿Se identifica con alguno?
• [Análisis] NIA 402 Consideraciones relativas a entidades que utilizan organizaciones de servicios
• [Análisis] Vinculación de personal a través del outsourcing