miércoles, 30 de enero de 2013

Auditoría de los Procesos externalizados o deslocalizados

Por Jesús Aisa Díez

En búsqueda de sus objetivos, las organizaciones empresariales deben adoptar múltiples decisiones estratégicas buscando la mejor solución para cada uno de los procesos que en ellas tengan cabida, identificando, y finalmente aplicando, los que se consideren que resulten más eficientes, o como mínimo más eficaces.

Entre las alternativas por las que las empresas deben decantarse, está la correspondiente a cómo asumir la gestión: si con medios propios o externos. Es decir, empleando capacidad propia tanto de medios materiales como humanos o, en su defecto, subcontratando aquellos que se consideren convenientes. Decisión en la que intervendrán múltiples factores, pero fundamentalmente los económicos, ya que con la externalización de actividades se busca prioritariamente reducir costes, empleando a empresas prestadoras de servicios especialistas en el proceso subcontratado, y por lo tanto, teóricamente, más eficaces en el desarrollo de esa función.

Esta modalidad de gestión no es nueva, pues se viene aplicando por las empresas desde hace ya bastantes años, aunque últimamente se esté ampliando ésta modalidad de forma espectacular. En este sentido, echando mano de la nostalgia y de mi experiencia profesional, que como creo saben se basa en más de 35 años de trabajo en la multinacional española Telefónica, podría citar que, en los años 70 del siglo pasado, las señoritas que atendían el servicio cursado por las centralitas manuales existentes en las poblaciones rurales, que se denominaban Centros de Operación Manual en Régimen Familiar, no tenía vínculo laboral con la empresa, puesto que trabajaban en situación de concesión desde su domicilio.

Posteriormente, y cuando se inició el proceso de automatización y universalización del servicio telefónico, creándose grandes infraestructuras en canalizaciones y tendidos de redes, se externalizó el servicio de creación de planta externa, anteriormente realizadas por brigadas de construcciones propias, manteniendo de momento las de conservación, que pasados ciertos años también se subcontrataron, y así evolucionando  hasta llegar a la deslocalización generalizada de los “call center” de atención a los usuarios, ubicándolos en países de América latina y Marruecos.

En el mismo sentido también podríamos hablar de las multinacionales de la industria del textil, donde los “Made in China, Turquía, Bangladesh,….” son más que frecuentes. Aunque como paradigma de lo acabamos de decir, fijémonos en dónde se fabrican las distintas partes del Boeing 787, pudiendo observarse países de varios continentes.
            


Vemos pues que estas prácticas están muy generalizadas y han supuesto grandes oportunidades para optimizar la operativa de las empresas, mejorando así sus beneficios, pero también, simultáneamente, han representado riesgos, pues como sabemos oportunidades y riesgos siempre van de la mano.
Respecto de cuáles serían los riesgos inherentes de estas externalizaciones.

En mi opinión son múltiples. Por ejemplo:

En el caso de servicios al cliente, se pierde la comunicación directa con los consumidores, lo que nos aleja de ellos, así como de su percepción sobre la calidad realmente observada. También nos encontraríamos con la amenaza de haber compartido información, sobre todo si ésta es delicada, por no citar el facilitar el conocimiento en detalle de nuestra actividad/ingeniería a terceras partes, que podrían compartirla con algún competidor. Otro punto importante, es el riesgo que el contratista adjudicatario a su vez subcontrate parte del servicio, por lo que la calidad final del mismo se vería seriamente afectada, o la posibilidad de que exista un incumplimiento contractual unilateral que se materialice en un abandono de sus responsabilidades de forma sobrevenida, lo que pondría en riesgo la continuidad temporal del servicio, etcétera.

Por tanto podríamos concluir que la subcontratación es: (i) una práctica habitual, (ii) que resulta indudable que aporta beneficios, y (iii) pero también ciertas amenazas que pueden llegar a ser importantes, por lo que deben estar bien controladas.

En este sentido, cuando las organizaciones gestionan sus riesgos, deben considerar todos los procesos significativos, los externalizados si lo fuesen también, asegurándose de la introducción, en cualesquiera de ellos, de los controles que se entiendan oportunos para que los riesgos existentes estén razonablemente bien gestionados.

Derivado de este requerimiento gerencial, existe otro que afecta a la Unidad de Auditoría Interna, cual es la necesidad de introducir estos procesos dentro del Universo de Auditoría sobre el que determinar el Plan de trabajo a realizar por dicha Unidad a lo largo de los ejercicios, para lo cual se hace imprescindible, en primer lugar, que los contratos que se establezcan con los prestadores de servicios  incluyan las clausulas que permitan supervisar las operaciones realizadas, así como identificar los flujos de información que deban canalizarse entre ambas partes (contratista y contratador).

En este sentido Auditoría Interna debe asegurarse que los contratos suscritos con los contratistas de dichos servicios posibiliten la adecuada supervisión del proceso, evitando que, llegando a la conclusión de la necesidad de auditar un determinado proceso gestionado en outsourcing, las condiciones establecidas no lo permitan o lo imposibiliten; por lo que ya podemos hacer una primera recomendación: Auditoría Interna debe establecer el alcance de los trabajos de supervisión que estime necesario deberían efectuarse en el proceso externalizado, así como las previsibles acciones a realizar llegado el momento de auditarlo, de forma que sean tenidas en consideración por quien suscriba el contrato de prestación de servicios o ejecución de obras, posibilitando de este modo el ejercicio de su función en el ámbito  de la contrata, tanto  en tiempo, como en forma.

Para garantizar este objetivo, una buena práctica sería que las organizaciones dispusiesen de contratos tipo estándar, previamente valorados por Auditoría Interna, como Unidad con responsabilidades en su contenido, en los  que aparezcan definidas las clausulas de todo tipo que se estimen necesarias (Penalizaciones, descuentos por volumen, requisitos para la subcontratación, capacidad de auditoría, etcétera)

Otro aspecto significativo que Auditoría Interna no debería olvidar, es que la verificación del proceso in situ puede acarrearle costes importantes, no solo económicos, sino también de adaptación al entorno, en cuyo caso deberíamos poder apoyarnos, nosotros también, en la subcontratación de la función auditora, pero siempre que confiemos en quien realizará en trabajo en nuestro nombre. Para ello podemos basarnos en la norma SAS 70, al ser una auténtica vía hacia la confianza.

Recordemos que el reporte SAS 70 (Statement on Auditing Standards Nº. 70) es un estándar de auditoría reconocido internacionalmente y desarrollado por el AICPA (American Institute of Certified Public Accountants),  aplicable cuando un auditor está auditando los estados financieros de una Organización Usuaria que obtiene servicios de un proveedor externo, y los mismos son parte de los sistemas de información de  la Organización

Un reporte SAS 70 es principalmente una comunicación entre auditores. El reporte está diseñado para proveer información a los auditores de las Organizaciones Usuarias, acerca del control interno de la Organización de Servicios, describiendo la efectividad de la operatoria de los controles diseñados e implementados, emitiendo también una opinión sobre la efectividad de la operación. Esta guía puede tener dos modalidades:

El reporte de tipo 1 cuando detalla la descripción de controles de la organización de servicios en un punto específico de tiempo (por ej. 30 de Abril de 2012).

El reporte de tipo 2 no sólo incluye de descripción de controles de la organización, sino que también incluye un testing detallado de los controles de la organización durante un período mínimo de seis meses (por ej. 1 de enero de 2012 a 30 de Septiembre de 2012).

En resumen, dado que la utilización de empresas externas con las que desarrollar procesos productivos es en estos momentos muy frecuente, los mismos deben ser susceptibles de incluirse en los Planes de Anuales de Auditoría, supervisando su eficacia y eficiencia. En cuyo objetivo los departamentos de Auditoría Interna podrían apoyarse en la actuación de otros proveedores de aseguramiento que se encuentren capacitados para realizar esta colaboración, como se desprende del espíritu de la N. 2050 del IIA.

¿Te ha gustado el post? ¡Dejamos saber tu opinión a través de un comentario!

No hay comentarios:

Publicar un comentario