C.P.C. Rafael García Gómez
Socio de Auditoría
Deloitte
ragarcia@deloitemx.com

En el entorno actual de nuestra profesión nos encontramos con retos específicos, de acuerdo con la industria o tipo de transacciones que debemos auditar, ya que nuestra labor incluye la identificación de los riesgos de error material que pueden darse en el entorno del negocio que afecta los estados financieros, derivados de las operaciones de las compañías auditadas

Qué sucede cuando, una o varias transacciones o procesos son realizados por un tercero? ¿Hasta dónde se encuentra delimitada nuestra responsabilidad? ¿Cuál debería ser el alcance de revisión de estas transacciones? Trataremos de forma práctica, en el presente escrito, atender algunos de estos y otros cuestionamientos que surgen en el proceso de auditoría, en relación con las organizaciones de servicios.

Planteamientos
Dentro de nuestro proceso de auditoría debemos tomar en cuenta que una compañía puede utilizar una organización de servicios, para ejecutar transacciones y responsabilizarse del registro y procesos de estas transacciones, así como de la generación de información de las mismas, por ejemplo, los call centers, que levantan pedidos, reciben cobros, procesan devoluciones, etcétera.
Con esto debemos estar conscientes de que ciertas políticas, procedimientos y registros mantenidos por la organización de servicios pueden ser relevantes para nuestra auditoría de los estados financieros, más aún si dichas políticas o procesos son relevantes en la generación de información financiera o soportan tramos importantes de los controles de la compañía.
De la reflexión anterior podemos desprender que, en alguna medida, la incorporación de organizaciones de servicios en ciertos procesos puede generar riesgos de error material en los estados financieros, pero, ¿qué factores deberíamos considerar?
A continuación se presentan algunos:

• La naturaleza de los servicios proporcionados por la organización de servicios.
• Los términos del contrato y la relación entre la compañía y la organización de servicios.
• El grado de interacción entre los sistemas en la organización de servicios y los de la compañía.
• El control interno de la compañía relevante para las actividades de la organización de servicios, como:
  • Los controles que se aplican a las transacciones procesadas por la organización de servicios.
  • Cómo identifica y administra la entidad los riesgos relativos al uso de la organización de servicios.
• La capacidad y fortaleza financiera de la organización de servicios, incluyendo el posible efecto de la falta de la organización de servicios en la compañía.
• La información sobre la organización de servicios. Por ejemplo, la información en los manuales del usuario y técnicos.
• La información disponible sobre los controles relevantes para el sistema de información de las organizaciones de servicios, como sus controles generales de la computadora y los controles de aplicación.
• Los saldos de cuenta materiales de los estados financieros y los errores potenciales que se afectan por el uso de una organización de servicios.
• El riesgo inherente asociado con esas cuentas y errores potenciales.

De la evaluación de estos factores debemos concluir si los procesos llevados a cabo por la organización de servicios son críticos; por ende, si de ellos se pueden desprender riesgos materiales, en cuyo caso el gran reto será identificar las actividades de control que deberíamos considerar para evaluar, y una vez identificadas concluir si podemos depositar confianza en ellos. Ahora bien, estos controles pudieran encontrarse bajo una de las siguientes circunstancias:

• Que el control sea realizado por la compañía auditada.
• Que el control fuera ejecutado por la organización de servicios.
• Que el control fuera realizado de manera conjunta o que se complementara entre ambas compañías.

Dependiendo de cada circunstancia, para el auditor se genera una complicación práctica que no es sencilla de identificar y mucho menos de solventar, me refiero a que si el control es ejecutado por la organización de servicios, ¿debería realizar mi evaluación de los controles de la organización de servicios, aun cuando dicha organización no sea mi cliente o el ente sobre el cual se está reportando? Pareciera que esta interrogante no requiere de un conocimiento técnico de auditoría relevante para ser resuelta, el simple sentido común me conduce de forma natural, creo que sí debemos realizar trabajo de auditoría alrededor de dichos controles, incluso cuando no sea la entidad a ser auditada; sin embargo, ¿qué tan práctico puede resultar esto? ¿Cómo puede llevarse a cabo de la forma más eficiente?
Para esta circunstancia, podemos considerar la existencia de informes a terceros emitidos por los auditores de la organización de servicios, auditores internos o agencias regulatorias, como medio para obtener información sobre el control interno de la organización de servicio y sobre su operación y eficacia.
Ahora bien, si no podemos obtener una comprensión de la organización de servicios que sea suficiente para nuestro compromiso de auditoría respecto a la compañía que estamos auditando, deberíamos: solicitar que la organización de servicios haga que sus auditores realicen dichos procedimientos de evaluación del riesgo para proporcionarnos la información necesaria, o visitar a la organización de servicios para obtener la información. Es decir, si determinamos que es forzoso visitar una organización de servicios, también es indispensable avisar a la compañía para que permita el acceso a la información requerida.

Informe de terceros
Si bien podemos utilizar el informe del auditor de una organización de servicios, también debemos hacer indagaciones respecto a la competencia profesional de ese auditor en el contexto de asignación específica emprendida por el auditor de la organización de servicios.
Al utilizar el informe del auditor de una organización de servicios, debemos considerar la naturaleza y contenido de ese informe, además del alcance de trabajo realizado por el auditor de la organización de servicios, así como evaluar la utilidad y razonabilidad de los informes emitidos por el auditor de dicha organización.
Asimismo, este informe puede indicar una conclusión respecto a lo adecuado del diseño e implementación de los controles de la organización de servicios o una opinión respecto a su eficacia operativa.
Cuando el informe del auditor de la organización de servicios contiene una conclusión,  respecto a lo adecuado del diseño e implementación de los controles de la organización de servicios, no utilizaríamos el informe como evidencia sobre la eficacia operativa de los controles.
Por otra parte, cuando el informe del auditor de la organización de servicios contiene una conclusión, respecto a la eficacia operativa de los controles, esta puede proporcionarnos evidencia relativa al diseño e implementación de los controles o de la eficacia operativa de los controles.
Si estamos planeando utilizar el informe como evidencia en cuanto a la eficacia operativa de los controles, deberíamos considerar si los controles probados por el auditor de la organización de servicios son relevantes para las transacciones de la entidad, saldos de cuenta y revelaciones y errores potenciales relacionados, y si las pruebas de los controles del auditor de la organización de servicios y los resultados de las mismas son adecuados para nuestros propósitos.
Algunas consideraciones clave, respecto a lo anterior, son: la extensión del periodo cubierto por las pruebas del auditor de la organización de servicios, el tiempo desde la realización de esas pruebas y el alcance de las pruebas de la eficacia operativa del auditor de la organización de servicios.

Conclusión
Auditar las transacciones y/o procesos clave realizados por las organizaciones de servicios, en sí mismo es un reto para el desarrollo de nuestro trabajo e incluso casi siempre representa un lugar más donde la identificación y evaluación de riesgos se convierten en una actividad en la que el juicio profesional y experiencia, serán, tal vez, lo único que pueda ayudarnos a mitigar estos riesgos.