Por
Jesús Aisa Díez
En búsqueda de sus
objetivos, las organizaciones empresariales deben adoptar múltiples decisiones
estratégicas buscando la mejor solución para cada uno de los procesos que en
ellas tengan cabida, identificando, y finalmente aplicando, los que se
consideren que resulten más eficientes, o como mínimo más eficaces.
Entre las
alternativas por las que las empresas deben decantarse, está la correspondiente
a cómo asumir la gestión: si con medios propios o externos. Es decir, empleando
capacidad propia tanto de medios materiales como humanos o, en su defecto,
subcontratando aquellos que se consideren convenientes. Decisión en la que
intervendrán múltiples factores, pero fundamentalmente los económicos, ya que
con la externalización de actividades se busca prioritariamente reducir costes,
empleando a empresas prestadoras de servicios especialistas en el proceso
subcontratado, y por lo tanto, teóricamente, más eficaces en el desarrollo de
esa función.
Esta modalidad de
gestión no es nueva, pues se viene aplicando por las empresas desde hace ya
bastantes años, aunque últimamente se esté ampliando ésta modalidad de forma
espectacular. En este sentido, echando mano de la nostalgia y de mi experiencia
profesional, que como creo saben se basa en más de 35 años de trabajo en la
multinacional española Telefónica, podría citar que, en los años 70 del siglo
pasado, las señoritas que atendían el servicio cursado por las centralitas
manuales existentes en las poblaciones rurales, que se denominaban Centros de
Operación Manual en Régimen Familiar, no tenía vínculo laboral con la empresa, puesto
que trabajaban en situación de concesión desde su domicilio.
Posteriormente, y
cuando se inició el proceso de automatización y universalización del servicio
telefónico, creándose grandes infraestructuras en canalizaciones y tendidos de
redes, se externalizó el servicio de creación de planta externa, anteriormente
realizadas por brigadas de construcciones propias, manteniendo de momento las
de conservación, que pasados ciertos años también se subcontrataron, y así
evolucionando hasta llegar a la
deslocalización generalizada de los “call
center” de atención a los usuarios, ubicándolos en países de América latina
y Marruecos.
En el mismo sentido
también podríamos hablar de las multinacionales de la industria del textil,
donde los “Made in China, Turquía,
Bangladesh,….” son más que frecuentes. Aunque como paradigma de lo acabamos
de decir, fijémonos en dónde se fabrican las distintas partes del Boeing 787,
pudiendo observarse países de varios continentes.
Vemos pues que estas
prácticas están muy generalizadas y han supuesto grandes oportunidades para
optimizar la operativa de las empresas, mejorando así sus beneficios, pero
también, simultáneamente, han representado riesgos, pues como sabemos
oportunidades y riesgos siempre van de la mano.
Respecto de cuáles
serían los riesgos inherentes de estas externalizaciones.
En mi opinión son
múltiples. Por ejemplo:
En el caso de
servicios al cliente, se pierde la comunicación directa con los consumidores,
lo que nos aleja de ellos, así como de su percepción sobre la calidad realmente
observada. También nos encontraríamos con la amenaza de haber compartido
información, sobre todo si ésta es delicada, por no citar el facilitar el conocimiento
en detalle de nuestra actividad/ingeniería a terceras partes, que podrían compartirla
con algún competidor. Otro punto importante, es el riesgo que el contratista
adjudicatario a su vez subcontrate parte del servicio, por lo que la calidad
final del mismo se vería seriamente afectada, o la posibilidad de que exista un
incumplimiento contractual unilateral que se materialice en un abandono de sus
responsabilidades de forma sobrevenida, lo que pondría en riesgo la continuidad
temporal del servicio, etcétera.
Por tanto podríamos
concluir que la subcontratación es: (i) una práctica habitual, (ii) que resulta
indudable que aporta beneficios, y (iii) pero también ciertas amenazas que
pueden llegar a ser importantes, por lo que deben estar bien controladas.
En este sentido,
cuando las organizaciones gestionan sus riesgos, deben considerar todos los
procesos significativos, los externalizados si lo fuesen también, asegurándose
de la introducción, en cualesquiera de ellos, de los controles que se entiendan
oportunos para que los riesgos existentes estén razonablemente bien
gestionados.
Derivado de este
requerimiento gerencial, existe otro que afecta a la Unidad de Auditoría
Interna, cual es la necesidad de introducir estos procesos dentro del Universo
de Auditoría sobre el que determinar el Plan de trabajo a realizar por dicha
Unidad a lo largo de los ejercicios, para lo cual se hace imprescindible, en
primer lugar, que los contratos que se establezcan con los prestadores de
servicios incluyan las clausulas que
permitan supervisar las operaciones realizadas, así como identificar los flujos
de información que deban canalizarse entre ambas partes (contratista y
contratador).
En este sentido Auditoría
Interna debe asegurarse que los contratos suscritos con los contratistas de dichos
servicios posibiliten la adecuada supervisión del proceso, evitando que,
llegando a la conclusión de la necesidad de auditar un determinado proceso
gestionado en outsourcing, las condiciones
establecidas no lo permitan o lo imposibiliten; por lo que ya podemos hacer una
primera recomendación: Auditoría Interna
debe establecer el alcance de los trabajos de supervisión que estime necesario deberían
efectuarse en el proceso externalizado, así como las previsibles acciones a
realizar llegado el momento de auditarlo, de forma que sean tenidas en
consideración por quien suscriba el contrato de prestación de servicios o
ejecución de obras, posibilitando de este modo el ejercicio de su función en el
ámbito de la contrata, tanto en tiempo, como en forma.
Para garantizar este
objetivo, una buena práctica sería que las organizaciones dispusiesen de contratos
tipo estándar, previamente valorados por Auditoría Interna, como Unidad con responsabilidades
en su contenido, en los que aparezcan definidas
las clausulas de todo tipo que se estimen necesarias (Penalizaciones, descuentos
por volumen, requisitos para la subcontratación, capacidad de auditoría,
etcétera)
Otro aspecto
significativo que Auditoría Interna no debería olvidar, es que la verificación
del proceso in situ puede acarrearle
costes importantes, no solo económicos, sino también de adaptación al entorno,
en cuyo caso deberíamos poder apoyarnos, nosotros también, en la
subcontratación de la función auditora, pero siempre que confiemos en quien
realizará en trabajo en nuestro nombre. Para ello podemos basarnos en la norma
SAS 70, al ser una auténtica vía hacia la confianza.
Recordemos que el
reporte SAS 70 (Statement on Auditing Standards Nº. 70) es un estándar de
auditoría reconocido internacionalmente y desarrollado por el AICPA (American
Institute of Certified Public Accountants), aplicable cuando un auditor está auditando los
estados financieros de una Organización Usuaria que obtiene servicios de un
proveedor externo, y los mismos son parte de los sistemas de información de la Organización
Un reporte SAS 70 es principalmente una comunicación entre auditores. El reporte está diseñado para proveer información a los auditores de las Organizaciones Usuarias, acerca del control interno de la Organización de Servicios, describiendo la efectividad de la operatoria de los controles diseñados e implementados, emitiendo también una opinión sobre la efectividad de la operación. Esta guía puede tener dos modalidades:
El reporte de tipo 1 cuando detalla la descripción de controles de la organización de servicios en un punto específico de tiempo (por ej. 30 de Abril de 2012).
Un reporte SAS 70 es principalmente una comunicación entre auditores. El reporte está diseñado para proveer información a los auditores de las Organizaciones Usuarias, acerca del control interno de la Organización de Servicios, describiendo la efectividad de la operatoria de los controles diseñados e implementados, emitiendo también una opinión sobre la efectividad de la operación. Esta guía puede tener dos modalidades:
El reporte de tipo 1 cuando detalla la descripción de controles de la organización de servicios en un punto específico de tiempo (por ej. 30 de Abril de 2012).
El reporte de tipo 2
no sólo incluye de descripción de controles de la organización, sino que
también incluye un testing detallado
de los controles de la organización durante un período mínimo de seis meses
(por ej. 1 de enero de 2012 a 30 de Septiembre de 2012).
En resumen, dado que la utilización de empresas externas con las que desarrollar procesos productivos es en estos momentos muy frecuente, los mismos deben ser susceptibles de incluirse en los Planes de Anuales de Auditoría, supervisando su eficacia y eficiencia. En cuyo objetivo los departamentos de Auditoría Interna podrían apoyarse en la actuación de otros proveedores de aseguramiento que se encuentren capacitados para realizar esta colaboración, como se desprende del espíritu de la N. 2050 del IIA.
En resumen, dado que la utilización de empresas externas con las que desarrollar procesos productivos es en estos momentos muy frecuente, los mismos deben ser susceptibles de incluirse en los Planes de Anuales de Auditoría, supervisando su eficacia y eficiencia. En cuyo objetivo los departamentos de Auditoría Interna podrían apoyarse en la actuación de otros proveedores de aseguramiento que se encuentren capacitados para realizar esta colaboración, como se desprende del espíritu de la N. 2050 del IIA.
¿Te
ha gustado el post? ¡Dejamos saber tu opinión a través de un comentario!
No hay comentarios:
Publicar un comentario