Estamos en la era de la ‘empresa extendida’. Hoy en día es prácticamente imposible pensar una organización que opere en un ecosistema aislado. Desde la infraestructura en la nube y la administración de nóminas hasta la logística y el servicio al cliente, la tercerización de servicios ha sido el motor de la agilidad y la competitividad de las empresas. Pero esta hiperdependencia tiene una verdad irremontable: puedes externalizar el servicio, pero jamás puedes externalizar la responsabilidad del riesgo.

Para los líderes de Auditoría Interna, los Directores de Auditoría (CAE) y la Alta Gerencia, el entorno ha cambiado drásticamente. Las fallas de proveedores ya no son solo interrupciones operativas; también provocan crisis reputacionales, brechas de cumplimiento y debilidades estratégicas, según experiencias recientes. Es en este contexto crítico donde el Instituto de Auditores Internos (IIA) ha dado un paso contundente y adelante a través del Marco Internacional para la Práctica Profesional (MIPP) actualizado.

En el primer artículo de nuestra serie sobre la gestión de riesgos de terceros (TPRM), vamos a ver cómo las Nuevas Normas Globales de Auditoría Interna (NOGAI) y el recién requerido Requisito Temático sobre Terceras Partes están cambiando el papel de Auditoría Interna. Hoy ha pasado de ser un mero revisor de contratos a un asesor estratégico insustituible en la gobernanza de la cadena de suministro.

El cambio de paradigma

Con la actualización del marco del IIA se incorporaron los “Requisitos Temáticos”, que constituyen requisitos obligatorios para los servicios de aseguramiento. El Requisito Temático sobre Terceras Partes establece una base mínima obligatoria para evaluar cómo las organizaciones gobiernan, administran y vigilan sus relaciones con terceros.

Lo más revelador de este lineamiento es que es de alcance. El IIA deja claro que el concepto de “tercera parte” no se limita al proveedor directo (vendor). Incluye a los contratistas, consultores, proveedores de servicios tercerizados e incluso a los descendientes (subcontratistas de cuarto u otros niveles). Esa profundidad es crucial, ya que muchas de las filtraciones de ciberseguridad o violaciones éticas más recientes han venido del subcontratista del subcontratista, y no del proveedor principal.

Además, el requerimiento nos obliga a contemplar un espectro de riesgos mucho más amplio que el riesgo financiero u operativo tradicional. Al planificar, debe tener en cuenta Auditoría Interna:

• Riesgos estratégicos y de reputación: ¿El error de la otra persona afecta la misión de la organización o destruye la confianza del cliente?
• Riesgos éticos y de sostenibilidad (ESG): Conflictos de intereses, pagos de sobornos o consecuencias adversas para el medio ambiente y las comunidades locales por parte del proveedor.
• Riesgos de ciberseguridad y privacidad: Fuga de datos confidenciales compartidos con terceros.
• Riesgos geopolíticos: Disputas comerciales, sanciones o inestabilidad política en el país de origen del proveedor.

La gobernanza como pilar fundamental

De conformidad con el Dominio III (Gobierno de la Función de Auditoría Interna) y el Principio 9 (Planificar estratégicamente) de las NOGAI, el CAE debe ajustar su trabajo a los riesgos más críticos del Consejo. El requisito por temáticas nos obliga a iniciar nuestras evaluaciones mediante la auditoría de la gobernanza del programa de terceros.

¿Y esto qué significa en la práctica? La Auditoría Interna no debe ir directamente a comprobar un determinado Acuerdo de Nivel de Servicio (SLA) sin antes cerciorarse de que la “casa está en orden”. Las evaluaciones de gobernanza deben estar enfocadas en cuatro requerimientos mínimos establecidos por el IIA:

1. Un enfoque formal y estratégico: ¿Hay un proceso claro, estandarizado y basado en el riesgo para decidir si se debe contratar a un tercero, con un análisis costo-beneficio? La decisión de tercerizar no puede ser algo improvisado, tiene que estar alineada estratégicamente.
2. Políticas y Procedimientos robustos: ¿Existen lineamientos para gestionar a los proveedores a través de su ciclo de vida? Estas políticas deben ser coherentes con el cumplimiento normativo aplicable.
3. Roles y responsabilidades definidos (El modelo de las tres líneas): La Auditoría Interna debe evaluar que esté perfectamente claro quién elige, quién gestiona el día a día, quién supervisa y quién remite los problemas del proveedor. El personal que está a cargo de esta gestión debe someterse a evaluaciones periódicas de sus competencias.
4. Protocolos de comunicación con las partes interesadas: ¿La Alta Gerencia y el Consejo están siendo informados de manera oportuna sobre el estado de los proveedores críticos (priorizados por riesgo)? Las actas de los comités deben contener discusiones sobre las vulnerabilidades y riesgos de terceros.

Auditando el ciclo de vida del tercero

El Requisito Temático y su Guía de Usuario nos proveen de una hoja de ruta clara para la definición de etapas de la relación con el tercero. Auditoría Interna debe organizar sus revisiones en torno a este ciclo de vida:

• Selección: En este punto, comprobamos la debida diligencia. ¿Se hizo un escrutinio de la estabilidad financiera, antecedentes penales, protocolos de ciberseguridad y alineación ética (ESG) del proveedor previo a su selección?
• Contratación: La auditoría debe confirmar que los contratos contengan cláusulas esenciales tales como el “derecho a auditoría” (right-to-audit) que cubra a las cuartas partes, los requisitos de notificación de brechas de datos, y los acuerdos de nivel de servicio (SLA) claros con sanciones.
• Incorporación (onboarding): Empieza en el momento de la firma del contrato. Los sistemas del tercero, ¿son compatibles y seguros para integrar con los nuestros? ¿Ha evaluado sus planes de continuidad del negocio (PCN)?
• Supervisión continua: Este es el “talón de Aquiles” de muchas organizaciones. Firmar el contrato y luego olvidarse es una receta para el desastre. La auditoría debe evaluar cómo la gerencia monitorea el desempeño del SLA en tiempo real, cómo rastrea la continuidad de la estabilidad financiera y cómo verifica que los controles de ciberseguridad del proveedor (por ejemplo, informes SOC 2) permanezcan vigentes con el tiempo.
• Desvinculación (offboarding): Quizás la fase más ignorada. ¿Qué sucede al final del contrato o cuando se despide al proveedor? La auditoría debe verificar los procesos para confirmar que se devuelvan o destruyan totalmente los datos de la organización y se revoquen de forma inmediata los accesos a los sistemas e instalaciones físicas.

Elevando el valor: El rol estratégico del CAE

Este requisito temático es una magnífica oportunidad para que el Director de Auditoría Interna (CAE) coloque a su equipo como un asesor de confianza. Al informar al Consejo (vía el Comité de Auditoría) sobre la gestión de terceros, el CAE no debe limitarse a comunicar hallazgos aislados, sino que debe ofrecer una “conclusión global” (según Norma 11.3 de las NOGAI) acerca de la salud del ecosistema de proveedores.

Si la organización tiene una baja madurez en TPRM, es deber del CAE elevar este riesgo estratégico, fomentando conversaciones sinceras con la Alta Gerencia sobre las exposiciones no cubiertas. Es aquí donde Auditoría Interna trasciende la conformidad y protege de manera tangible el valor a largo plazo de la compañía.

El riesgo de terceros no va a desaparecer; más bien, la complejidad de las cadenas de suministro y la dependencia de los ecosistemas en la nube solo crecerán. Aceptar los lineamientos del nuevo Requisito Temático del IIA no es solo una cuestión de cumplir con la norma, es una forma de proteger la estrategia del negocio.

En la siguiente entrega, abandonamos la gobernanza y nos adentramos en la ejecución táctica. Vamos a explorar cómo integrar de forma práctica marcos como COSO e ISO con las expectativas del Dominio V de las NOGAI, para efectuar pruebas de control en entornos externalizados. ¡No te lo pierdas!