ENCUENTRA TODOS LOS DOCUMENTOS DE LA FÁBRICA EN … · quién se hará cargo del servicio o proceso ex-ternalizado. El primer paso es validar la exis-tencia y calidad del proceso

El INSTITUTO DE AUDITORES INTERNOS DE ESPAÑA es una asociación profesional fundada en 1983, cuya misión es contribuir al éxito de las organizaciones impulsando la Auditoría Interna como función clave del buen gobierno. En España cuenta con más de 3.200 socios, auditores internos en las principales empresas e instituciones de todos los sectores económicos del país.

LA FÁBRICA DE PENSAMIENTO es el laboratorio de ideas del Instituto de Auditores Internos de España sobre gobierno corporativo, gestión de riesgos y Auditoría Interna, donde participan más de 150 socios y profesionales técnicos expertos.

El laboratorio trabaja con un enfoque práctico en la producción de documentos de buenas prácticas que contribuyan a la mejora del buen gobierno y de los sistemas de gestión de riesgos en organizaciones de habla hispana. Además de desarrollar contenido, fomenta el intercambio de conocimientos entre los socios.

ENCUENTRA TODOS LOS DOCUMENTOS DE LA FÁBRICA EN www.auditoresinternos.es

AUDITORÍA INTERNA BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS OBSERVATORIO SECTORIAL PRÁCTICAS DE BUEN GOBIERNO

A U D I T O R Í A I N T E R N A

LA FÁBRICA DE PENSAMIENTOINSTITUTO DE AUDITORES INTERNOS DE ESPAÑA

Octubre 2019

MIEMBROS DE LA COMISIÓN TÉCNICA

COORDINACIÓN:

José Ignacio Cabrera Cobos. TELEFÓNICA

Renato Blaskovic. BCI (CHILE)

Juan Antonio Fernández Herreros. ANDBANK

Eduardo Iglesias Cordero, CISA. LIBERBANK

Eva María López Fernández, CIA. TELEFÓNICA

Jenifer Pérez del Moral. DELOITTE

Juan José Pérez Rodríguez, CIA. CNMC

Javier Robles Prado, CISA, CRISC, CISM. MAPFRE

Eduardo Rodríguez Madariaga, CIA, CISA, CRMA. IBERDROLA

3

La externalización de los servicios es cada vez más relevante en las empresasdebido a las mejoras en la eficiencia si dicha externalización es adecuada. Ennumerosas ocasiones, para la prestación del servicio es necesario permitir aterceros el acceso a información relevante de la organización (relativa aclientes, proveedores, empleados, entre otras).

Las obligaciones y responsabilidades de las empresas respecto a la informa-ción externalizada no desaparecen ni se diluyen como consecuencia de la ex-ternalización. Es responsabilidad de estas garantizar una adecuada gestiónde los riesgos derivados del acceso por parte de terceros a dicha información,y asegurar que está siendo objeto de las medidas de control oportunas.

Este documento aborda los principales aspectos normativos que deben consi-derarse en relación con la gestión y control de la información externalizada; yrecomendaciones relativas al rol que Auditoría Interna debería desempeñaren las etapas del proceso de externalización, desde la fase de precontrata-ción hasta la finalización de la prestación del servicio.

La participación de la Dirección de Auditoría Interna en las fases del procesode externalización mediante un rol proactivo y preventivo permitirá a la orga-nización abordar de la manera más adecuada los riesgos derivados de la ex-ternalización de la información.

Confiamos en que esta publicación sirva a las organizaciones para ahondaren la importancia de la adecuada gestión de la información externalizada yayude a la Dirección de Auditoría Interna a aportar valor mediante su involu-cración activa en los procesos de externalización.

Instituto de Auditores Internos de España

5

ÍndiceINTRODUCCIÓN

ASPECTOS NORMATIVOS SOBRE EL TRATAMIENTO DE LA INFORMACIÓN EXTERNALIZADA

Normas de obligado cumplimiento .........................................................................09

Normativa recomendada ............................................................................................ 14

FASES DEL PROCESO DE EXTERNALIZACIÓN Y ROL DE AUDITORÍA INTERNA

Precontratación ............................................................................................................ 17

Contratación .................................................................................................................. 22

Monitorización .............................................................................................................. 27

Cierre ............................................................................................................................... 30

CONCLUSIONES

06

08

17

31

6

Introducción Para conseguir los objetivos empresariales,los órganos de dirección de las empresas to-

man decisiones estratégicas, diferenciando

los procesos críticos de negocio –en los que

se centran gran parte de sus recursos y capa-

cidades, acometiendo proyectos de inversión y

desarrollo intensivo– de los no críticos que,

en ocasiones, son procesos en los que la or-

ganización no posee las competencias técni-

cas necesarias para competir con garantías en

el mercado.

En ambos tipos de procesos, y cada vez con

más intensidad, se toma la decisión de exter-nalizar a proveedores de servicios, buscando

generar valor a los clientes y ganar eficiencia,

optimizando la estructura de costes de los

procesos y, por lo tanto, de la misma organi-

zación.

En las últimas décadas, la externalización de

servicios se ha incrementado de forma rele-

vante en el mundo empresarial, pasando de

ser el producto de decisiones puramente ope-

1. Prestando especial atención al grupo de Normas 1100 - Independencia y Objetividad, del Marco Internacional para laPráctica Profesional de la Auditoría Interna.

rativas focalizadas en el ahorro de costes, a

ser una herramienta estratégica focalizada en

la creación de valor para el cliente (calidad y

rapidez del servicio) y la propia organización

(mejora de la eficiencia). No obstante, esta

externalización conlleva una serie de riesgos

para la organización, de distintas dimensio-

nes:

· Identidades y accesos.

· Financiera.

· Cumplimiento regulatorio y legal.

· Datos.

· Operativa.

· Tecnológica.

· Ética y sostenibilidad.

Uno de los aspectos clave en el ámbito de la

externalización es la adecuada gestión y

control (acceso, tratamiento, almacenamiento

y comunicación) de la información que pasa

a estar bajo el ámbito operativo del provee-

dor del servicio.

Auditoría Interna debe tener un rol proactivo de cara a analizar y evaluar los modelos de con-trol existentes en la empresa, que mitiguen los riesgos asociados a la gestión de la informa-ción externalizada en terceros; o, en su caso, actuar como asesor de la Dirección si dicha es-tructura de control no está diseñada o implantada o lo está parcialmente, cumpliendo con lasnormas de independencia establecidas en el Marco Internacional para la Práctica Profesionalde la Auditoría Interna.1

¡

!

En la externalización esclave la adecuadagestión y control.

7

Los estándares son labase para controlar losriesgos asociados a la

externalización y el usoque pueden hacer los

proveedores de lainformación a todos los

niveles.

Es importante tener en cuenta el conjunto denormas legales y estándares internacionalesde control, que constituyen los pilares regula-torios de mejores prácticas y recomendacio-nes sobre los que se sustentan los modelosde control de los riesgos asociados a la exter-nalización de funciones a terceros, y tambiénel control sobre el uso que puedan hacer di-chos proveedores de servicios de la informa-ción a nivel técnico, comercial y financiero.

Otro factor relevante es el análisis de las fa-ses que conforman el proceso de externaliza-ción de funciones o procesos (precontrata-ción, contratación, monitorización y cierre).Eso incluye identificar los riesgos inherentesfocalizados sobre la gestión y el control de lainformación externalizada, así como el rol deAuditoría Interna en cada una de las fases.Este rol, preferiblemente bajo un enfoque deauditoría continua, tiene una doble perspecti-va:

· Como asesoramiento a las Direcciones im-plicadas y a la Alta Dirección.

· Como Tercera Línea de Defensa2, diseñandoy ejecutando tareas de supervisión y moni-torización de los sistemas de control aso-ciados.

El objetivo de este documento es ofrecer unaguía de buenas prácticas dentro del ámbitode los trabajos de Auditoría Interna sobre pro-

veedores de servicios que realizan tratamien-tos de la información. Se facilitan pautas e in-dicadores de valor a tener en cuenta tanto enlos procesos de análisis y evaluación de ries-gos bajo el ámbito del diseño de los Planesde Auditoría Interna, como en la fase de pla-nificación y ejecución de los trabajos de Audi-toría Interna sobre proveedores de servicios(situando la gestión y el control de la infor-mación externalizada como factores clave deriesgo).

El documento trata de responder a las si-guientes preguntas:

· ¿Cuáles son las normas legales y estánda-res internacionales de mayor relevancia so-bre los que las organizaciones desarrollanlos sistemas de control más avanzados parala gestión de riesgos de la información ex-ternalizada en terceros?

· ¿Qué riesgos son los más relevantes (desdeel punto de vista de Auditoría Interna) deri-vados del acceso, tratamiento, almacena-miento y comunicación de la informaciónexternalizada en proveedores de servicios?

· ¿Cuál debe ser el rol de Auditoría Internaen cada fase de la externalización de la in-formación, tanto desde un punto de vistade asesoramiento como de control preven-tivo (ex-ante) y detectivo (ex-post)?

· ¿En qué medida y con qué alcance debeposicionarse Auditoría Interna como actor

Precontratación Contratación Monitorización Cierre

NORMATIVA Y ESTÁNDARESDE CONTROL

ROL DE AUDITORÍA INTERNA

2. ECIIA (Confederación Europea de Institutos de Auditores Internos) y FERMA (Federación Europea de Asociaciones deGestión de Riesgos). Modelo de las Tres Líneas de Defensa para una efectiva gestión de riesgos y control, diciembre2011.

8

en las fases de precontratación, contrata-ción, monitorización y cierre?

· Desde un punto de vista de control ¿quéaspectos clave deben evaluarse al realizarla homologación de proveedores y la duediligence para evaluar el gobierno y el perfilde riesgo del potencial proveedor?

· ¿Qué información esencial debe contener lacláusula de auditoría de los contratos?

· ¿Cómo debe gestionar y qué uso puede darAuditoría Interna a los resultados de las re-visiones de expertos independientes? (Porejemplo, bajo el ámbito ISAE o normas ISO9001, ISO/IEC 27001 e ISO/IEC 20000)3.

· ¿Cómo se debe evaluar la efectividad de unmodelo de gestión y control de servicios ex-ternalizados, así como los roles y responsa-bilidades de cada una de las Tres Líneas deDefensa?

· ¿Cómo monitorizar que se alcanzan los be-neficios esperados de la externalización al

tiempo que el proveedor cumple con lasobligaciones acordadas sin incurrir en ries-gos no deseados?

· ¿Qué aspectos deben considerarse y antici-parse para garantizar una finalización delservicio ordenada y sin riesgos relevantes?

Se considera igualmente de utilidad tener co-mo referencia adicional los siguientes docu-mentos de The Global Institute of InternalAuditors relacionados con el contenido es-tructural de este documento:

· Auditing external service relationships,(2009).

· Auditing third party risk Management,(2018).

· Guía de Auditoría de Tecnología Global(GTAG) 7: Tercerización de tecnología de lainformación, (2007).

Aspectos normativos sobre el tratamiento de la información externalizada

En los últimos años se han publicado diversasnormativas que impactan, directa o indirecta-mente, en la labor del auditor interno a la ho-

ra de ejecutar trabajos de aseguramiento oconsultoría relacionados con el tratamientode la información externalizada.

3. AENOR. Tecnología de la información. Gestión del Servicio. Parte 1: Requisitos del Sistema de Gestión del Servicio(SGS). UNE-ISO/IEC 20000-1, AENOR, España, 2011.AENOR. Tecnología de la información. Técnicas de seguridad. Sistemas de Gestión de la Seguridad de la Información.Requisitos. ISO/IEC 27001:2013, AENOR, España 2013International Auditing and Assurance Standards Board. International Standard for Assurance Engagements 3402.IAASB, 2011

9

La conexión del RGPDcon Auditoría Interna es

mucho más profundaque en el caso de la leyde protección de datosvigente hasta la fecha.

NORMAS DE OBLIGADO CUMPLIMIENTO

Para este documento se han clasificado endos apartados:

a. Normativa de obligado cumplimiento: le-yes y reglamentos, circulares e instruccio-nes de organismos reguladores, etc.

b. Normas de seguimiento voluntario (reco-mendadas): normas ISO o UNE (buenasprácticas de la industria, recomendacionesde los reguladores, etc.) que, en un entor-no como el actual –donde el auditor inter-no puede encontrarse con dificultades de

acceso físico al proveedor en los casos enque éste sea de carácter multinacional oposea gran fuerza negociadora– cobranuna especial importancia al incorporarcon frecuencia terceras partes de confian-za que certifican su aplicación.

Incluir determinada normativa específica sec-torial (como el sector financiero), constituyeuna buena práctica que puede ser tomada co-mo ejemplo y trasladada adecuadamente aotros sectores.

Junto a normas de aplicación casi universalpara las organizaciones, se añaden otras queatañen a las Administraciones Públicas y alSector Financiero y de Servicios de Inversión.En todos los casos se trata de pilares regula-torios sobre los que se sustentan el control delos riesgos asociados a la externalización defunciones a terceros, y el control sobre el usoque puedan hacer dichos proveedores de ser-vicios de la información que gestionan.

Reglamento General de Protección deDatos (RGPD) y nueva LOPD

El 25 de mayo de 2018 entró en vigor el Re-glamento General Europeo de Protección deDatos, RGPD4 (GDPR, en inglés), que no re-quiere de transposición a la legislación nacio-nal al ser Reglamento y no Directiva. Es decir,es de aplicación directa y es parte del cuerponormativo de todos los Estados miembros. Suconexión con el ámbito de Auditoría Interna

(actividades de aseguramiento o consultoríade protección de datos y privacidad) es evi-dente y mucho más profunda que en el casode la legislación de protección de datos per-sonales vigente hasta la fecha. Por su especialrelevancia se recomienda al auditor interno sulectura íntegra, aunque se detallan a conti-nuación los elementos más destacados:

· Orientación a riesgos y controles: el nuevoRGPD adopta un enfoque proactivo, deanálisis y gestión de riesgo, por lo que lasorganizaciones sujetas al mismo (esencial-mente todas aquellas que gestionan datosde carácter personal, con escasas excepcio-nes como la seguridad del Estado o la polí-tica exterior) deberán llevar a cabo una se-rie de tareas, como:

- Determinar si la empresa está en un sec-tor de riesgo.

- Realizar un inventario de todos los trata-mientos de datos de carácter personal

4. Parlamento Europeo y Consejo de la Unión Europea. Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejode 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos perso-nales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protec-ción de datos).

10

que maneja la empresa, según su finali-dad.

- Identificar los datos afectados y clasifi-carlos por categorías en función de cómoafecten a los derechos y libertades de laspersonas.

- Comprobar que se tiene consentimientoexpreso y específico del propietario origi-nal del dato para su tratamiento, o quese está amparado por un interés legítimoo general.

- Comprobar que se ha informado a los ti-tulares de los datos.

- Garantizar el ejercicio de los derechos delos titulares sobre sus datos. A los cono-cidos derechos de acceso, rectificación,cancelación y oposición se añaden los deportabilidad y limitación.

- Adoptar controles (medidas de seguri-dad) organizativos y tecnológicos ade-cuados al riesgo del tratamiento en elcontexto de un sistema de gestión deriesgos.

- Hacer una evaluación de impacto de lostratamientos de datos relacionados conlos derechos y libertades de las personasfísicas (por ejemplo, los relativos al honory la intimidad), en aquellos casos en queexiste un elevado riesgo a priori.

· El Delegado de Protección de Datos (DPD),también conocido como DPO (por su acró-nimo en inglés Data Protection Officer), esuna figura de nueva creación, obligatoriapara todos los organismos públicos (excep-tuando a los tribunales de justicia) y paratodas las organizaciones privadas que tra-ten datos a gran escala, siempre que estetratamiento sea sistemático o incluya datos

de especial protección. En los tiempos delbig data, esta consideración puede aplicar-se a multitud de empresas del ámbito co-mercial.

El artículo 39 del Reglamento establece –deforma genérica, pero lo bastante explícita–las siguientes funciones del DPD:

- Informar y asesorar al responsable o alencargado y a los empleados que se ocu-pen del tratamiento de datos, sobre lasobligaciones que les incumben en virtuddel Reglamento y de otras disposicionesde protección de datos.

- Supervisar el cumplimiento de lo dispues-to en el Reglamento, en otras disposicio-nes de protección de datos de la Unión ode los Estados miembros y en las políti-cas del responsable o encargado del tra-tamiento en materia de protección dedatos personales.

- Ofrecer el asesoramiento que se le solici-te acerca de la evaluación de impacto re-lativa a la protección de datos y supervi-sar su aplicación de conformidad con elartículo 35.

- Cooperar con la autoridad de control(Agencia Española de Protección de Da-tos).

- Actuar como punto de contacto de la au-toridad de control para cuestiones relati-vas al tratamiento y realizar consultas, ensu caso, sobre cualquier otro asunto.

El DPD debe realizar su aproximación ba-sándose en la evaluación del riesgo, que lositúa en una Segunda Línea de Defensarespecto de la gestión de los riesgos aso-ciados al dato personal.

11

Según el RGPD, el delegado de protecciónde datos desempeñará sus funciones pres-

tando la debida atención a los riesgos aso-ciados a las operaciones de tratamiento.

5. Jefatura del Estado. Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, por la que se transponen al orde-namiento jurídico español las Directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, de 26 de fe-brero de 2014.

6. Parlamento Europeo y Consejo de la Unión Europea. Directiva 2014/24/UE del Parlamento Europeo y del Consejo, de26 de febrero de 2014, sobre contratación pública y por la que se deroga la Directiva 2004/18/CE.

El DPD podrá recurrir al auditor interno para trabajos de aseguramiento en materia de protec-ción de datos, como profesional habitualmente más cualificado en tal ámbito, así como traba-jos de consultoría que complementen los suyos propios. El auditor interno deberá estar atentoa tales oportunidades de colaboración con el DPD.

¡

!

No se descarta que el auditor interno reci-ba un encargo de aseguramiento para eva-luar la propia actividad del DPD –comopuede hacerlo sobre cualquier otra área dela organización– para lo que deberá fami-liarizarse con sus procedimientos y respon-sabilidades.

· Por último, es necesario mencionar la apro-bación, en diciembre de 2018, de la LeyOrgánica 3/2018, de Protección de DatosPersonales y garantía de los derechos di-gitales (nueva LOPD). Aunque en muchosaspectos se limita a matizar lo contenidoen el RGPD, hay que prestar atención espe-cial a varias cuestiones:

- El régimen sancionador que establece,adaptado a la práctica legislativa espa-ñola en la materia.

- El listado de tipos de organizaciones que,sin perjuicio de lo expresado en el RGPD,requieren el nombramiento de un DPD.

- Disposiciones específicas para tratamien-tos como sistemas de información credi-

ticia, videovigilancia, denuncias internas,etc.

- Y, de gran importancia desde el punto devista del DPD y del auditor interno, unarelación de situaciones en las que los tra-tamientos tienen mayor riesgo a priori.

Ley de Contratos del Sector Público

Aunque las estimaciones son variables, la ac-tividad del sector público como contratantepuede estar alrededor del 20% del PIB –ciframuy relevante como factor económico– y esmuy posible que Auditoría Interna tenga queestudiar procesos de contratación pública queden soporte al tratamiento externalizado deinformación, tanto desde el punto de vista delque recibe el servicio (la Administración) co-mo del que lo proporciona (el sector privadoo, en su caso, otra administración).

La Ley de Contratos del Sector Público5 es elresultado de la transposición de un conjuntode directivas europeas (la más relevante es la2014/24/UE, de 26 de febrero6, sobre contra-

El auditor interno debefamiliarizarse con el

trabajo del DPD paraevaluar su actividad en

caso de que se lerequiera.

Real Decreto 217/20087, sobre el ré-gimen jurídico de las Empresas de Ser-vicios de Inversión. Sección 4ª, Dele-gación de funciones o servicios

Se define como función esencial aquella sobrela que una deficiencia o anomalía en su eje-cución puede, bien afectar de modo conside-rable a la capacidad de la organización paracumplir permanentemente las condiciones yobligaciones que se derivan de su autoriza-

ción para operar, o bien afectar a los resulta-

dos financieros o a la solidez o continuidad

de sus servicios a la clientela.

Como condiciones para externalizar se esta-

blecen:

· Imposibilidad de delegar la responsabilidad

de la Alta Dirección, y

· no puede implicar la alteración de las rela-

ciones de la organización con su clientela.

12

tación pública), así como de un esfuerzo ge-neral en la lucha contra la corrupción y en lamodernización de la Administración Pública.

Las principales características de la nueva Leyson:

- Transposición de las Directivas afectas, aun-que tardíamente, ya que el plazo para losEstados miembros finalizó el 18 de abril de2016.

- Mejora de la eficiencia del procedimiento:generalización de la contratación electróni-ca.

- Mejora en la transparencia y freno de la co-rrupción: inclusión de partidos, sindicatos ypatronal; nuevo perfil del contratante; nue-va regulación de la selección de contratis-

tas; nueva y detallada regulación de lasprohibiciones de contratar.

- Simplificación y abaratamiento de procedi-mientos: declaración responsable a efectosde solvencia; generalización del DocumentoÚnico Europeo de Contratación.

- Inclusión de objetivos de tipo social, me-dioambiental y de I+D+i. No obstante, laComisión Nacional de los Mercados y laCompetencia advertía en su informe sobreel Proyecto de Ley que “debe valorarse conelevado rigor la introducción de objetivossecundarios que, aunque bien intenciona-dos, pueden amenazar los objetivos prima-rios de la contratación pública, incremen-tando el coste de los contribuyentes y delos usuarios”.

La existencia de nuevosprocedimientosespecíficos decontratación aconsejanal auditor interno eladecuado conocimientode la Ley de Contratos.

7. Ministerio de Economía y Hacienda. Real Decreto 217/2008, de 15 de febrero, sobre el régimen jurídico de las empre-sas de servicios de inversión y de las demás entidades que prestan servicios de inversión y por el que se modifica par-cialmente el Reglamento de la Ley 35/2003, de 4 de noviembre, de Instituciones de Inversión Colectiva, aprobado porel Real Decreto 1309/2005, de 4 de noviembre.

Aunque la nueva Ley de Contratos es en muchos aspectos continuista, las novedades mencio-nadas y la existencia de nuevos procedimientos específicos de contratación aconsejan al audi-tor interno su adecuado conocimiento. Tarea nada desdeñable, atendiendo a su imponente ta-maño –347 artículos y 53 disposiciones adicionales, 5 transitorias, 1 derogatoria, 16 finales y 6Anexos– pero que puede ser ineludible en determinados casos.

¡

!

13

Se establece la obligatoriedad de poner enmarcha mecanismos de control y supervisiónsobre las actividades delegadas:

- Adecuada evaluación de la competencia ycapacidad del proveedor, así como sus au-torizaciones legales para la prestación delos servicios.

- Establecimiento de medidas de evaluacióndel cumplimiento del servicio prestado (in-dicadores de rendimiento o “KPIs”-Key Per-formance Indicators) formalizados en unAcuerdo de Nivel de Servicio (ANS en ade-lante).

- Adecuada supervisión y gestión de riesgosde la actividad delegada, incluyendo la pro-tección de información confidencial de laorganización (se puede evaluar la inclusiónde indicadores de riesgo o “KRIs” - KeyRisk Indicators).

- Capacidad para auditar al proveedor porparte de Auditoría Interna, auditores decuentas y organismos reguladores.

- Verificación de la existencia de un Plan deContinuidad de Negocio/Recuperación de

datos/Seguridad Informática (BCP por sussiglas en inglés) por parte del proveedor.

- Capacidad operativa para resolver el con-trato por parte de la organización en casonecesario, con nulo impacto en el servicio alos clientes.

Directiva del Parlamento Europeo ydel Consejo sobre servicios de pagoen el mercado interior8

Dentro del actual contexto de cambios estruc-turales en el negocio financiero –y debido a ladisrupción provocada por la transformacióndigital– es útil poner de manifiesto la entradaen vigor a lo largo de 2019 de la conocidacomo PSD2 - Payment Service Directive 2, queestá teniendo un gran impacto en la aperturade los servicios de pago de los bancos a ter-ceras empresas, los denominados TPPS (ThirdParty Payment Service Providers). Esto va apermitir el acceso de terceros a las cuentas delos clientes del banco y el inicio de pagos ensu nombre, previa autorización del titular dela cuenta.

Para las entidades financieras y de servicios de inversión, esta nueva normativa implica un con-junto de esfuerzos tendentes a disponer de APIs9 para la conexión de terceros (acuerdos departnership con empresas fintech) de cara a obtener información de los clientes o autorizaciónde pagos. Es necesario un esfuerzo inversor para la mejora de la arquitectura de medidas decontrol y seguridad en los procesos de medios de pago de las organizaciones, y tiene especialimportancia en cuanto a focos de riesgo en el ámbito de los Planes de Auditoría Interna

¡

!8. Parlamento Europeo y Consejo de la Unión Europea. Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo

de 25 de noviembre de 2015 sobre servicios de pago en el mercado interior y por la que se modifican las Directivas2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento (UE) n o 1093/2010 y se deroga la Directiva 2007/64/CE.

9. A modo de ejemplo, hasta ahora, cuando se realiza una compra online, el comercio tiene que recurrir a una serie de in-termediarios, como los proveedores de pagos electrónicos, que a su vez se ponen en contacto con la compañía de latarjeta (por ejemplo, Visa o MasterCard) que finalmente cargan el cobro a una cuenta corriente. Sin embargo, con laentrada en vigor del PSD2 (Payment Service Directive 2), el consumidor podrá simplemente autorizar al comercio paraque ejecute pagos en su nombre a través de su cuenta bancaria. Esto es, el comercio y el banco se comunicarán ahoradirectamente utilizando una API (Application Program Interface).

Dicha Directiva –en su Sección 2, Art. 19 “Re-curso a agentes sucursales o a entidades a lasque se externalicen actividades”, puntos 6.a)y 6.b)– establece que:

· Cuando una entidad de pago pretenda ex-ternalizar funciones operativas relacionadascon los servicios de pago, deberá informarde ello a las autoridades competentes desu Estado miembro de origen.

· La externalización de funciones operativasimportantes, incluidos los sistemas informá-ticos, deberá realizarse de modo tal que no

afecte significativamente a la calidad del

control interno de la entidad de pago. Tam-

poco afectará a la capacidad de las autori-

dades competentes para controlar y hacer

un seguimiento a posteriori del cumpli-

miento por la entidad de pago de todas las

obligaciones que establece la Directiva so-

bre servicios de pago en el mercado inte-

rior.

· La externalización no dará lugar a la dele-

gación de responsabilidad por parte de la

Alta Dirección.

14

NORMATIVA RECOMENDADA

Norma ISO 2700210 - Tecnología de laInformación - Técnicas de Seguridad -Código de Prácticas para los Contro-les de Seguridad de la Información

En su capítulo 15 “Relaciones con proveedo-res”, la norma establece directrices que cons-tituyen las mejores prácticas de cara al diseñode las Políticas de Seguridad de la Informa-ción en las relaciones con proveedores de ser-vicios, estableciéndose un contenido mínimoa alto nivel. Entre las prácticas, destacan:

· Proceso de homologación de proveedores.

· Tipos de acceso a la información que sepermitirán a los proveedores.

· Procesos y procedimientos para supervisarel cumplimiento de los requisitos de seguri-dad de la información establecidos para ca-da tipo de proveedor y cada tipo de acceso,incluyendo la revisión por terceros.

· Controles de integridad y exactitud sobre lainformación externalizada o su tratamientopor parte del proveedor.

· Obligaciones aplicables al proveedor paraproteger la información de la organización.

· Gestión de incidencias y contingencias aso-ciadas al acceso de los proveedores a la in-formación de la organización, incluyendoresponsabilidades.

· Acuerdos de recuperación y contingencia,para asegurar la conservación y disponibili-dad de la información externalizada.

· Formación y concienciación del personal dela organización expuesto a la contrataciónde servicios, y/o que interactúe con perso-nal del proveedor.

· Condiciones de los contratos / ANS respec-to a requisitos y controles de seguridad dela información.

10. AENOR. Tecnología de la información. Técnicas de seguridad. Sistemas de Gestión de la Seguridad de la Información.ISO/IEC 27002:2017, AENOR, España 2017

15

Los informes sobre el grado de seguridad de los controles en una organización de servicios se-rán utilizados por las empresas usuarias y sus auditores, pues son relevantes para el control in-terno de dichas empresas al actuar como control compensatorio en ausencia de revisiones di-rectas sobre el proveedor. Auditoría Interna deberá asegurarse de la independencia y cualifica-ción del auditor externo que elabora el informe, así como de la cobertura temporal y su fre-cuencia, y de que los sistemas sobre los que se informa comprenden todos los afectos al servi-cio externalizado

¡

!

· Gestión de las migraciones necesarias de lainformación e instalaciones de tratamientode información, para garantizar que la se-guridad de la información se mantenga du-rante todo el periodo de transición.

· Diseño de acuerdos de no revelación con elproveedor, en casos de especial confiden-cialidad de la información.

· Mitigación del riesgo sobre protección deinformación cuando el acuerdo con el pro-veedor implica transferencia o acceso a lainformación a nivel internacional.

Norma ISAE 340211 – Informes sobrelos sistemas de control vinculados a laseguridad y confidencialidad de la in-formación

La norma ISAE 3402 (antes conocida comoSAS-70) es un estándar al que se sometenmuchos proveedores de servicios externaliza-dos para asegurar un nivel de control internoadecuado. Es frecuente que los proveedorescuenten con auditores externos que verifiquenel cumplimiento de este estándar de cara aproporcionar a sus clientes un nivel razonablede aseguramiento.

11. International Auditing and Assurance Standards Board. International Standard for Assurance Engagements 3402.IAASB, 2011.

12. European Banking Authority (EBA). Directrices sobre la evaluación del riesgo de TIC en el marco del proceso de revi-sión y evaluación supervisora (PRES). 11 de septiembre de 2017.

13. European Banking Authority (EBA). Directrices sobre procedimientos de gobernanza y vigilancia de productos de ban-ca minorista. 22 de marzo de 2016.

Algunas Recomendaciones de la Euro-pean Banking Authority (EBA) y delCommittee of European Banking Su-pervisors (CEBS)

· EBA 11.09.201712 - Directrices sobre laevaluación del riesgo de las Tecnologíasde la Información y la Comunicación (TIC)en el marco del proceso de revisión y eva-luación de la supervisión.

Las Directrices especifican los criterios deevaluación que las autoridades competen-

tes deberían aplicar en la evaluación super-visora del gobierno, la estrategia en materiade TIC de las entidades y en la evaluaciónsupervisora de las exposiciones al riesgo deTIC y los controles correspondientes de lasentidades.

· EBA 22.03.201613 - Directrices sobre pro-cedimientos de gobernanza y vigilanciade productos.

Cuando la totalidad o parte de las activida-des de diseño o distribución se externalicen

Los informes sobre elgrado de seguridad de

los controles actúancomo control

compensatorio enausencia de revisiones

directas sobre elproveedor.

16

a terceros –o las lleve a cabo otra entidadde cualquier otro modo– los diseñadores y,cuando sea aplicable, los distribuidores ga-rantizarán que, en dicho supuesto, se cum-plen los requisitos establecidos en la Guíadel CEBS sobre externalización.

· EBA BS 2011 116 final - Guía de la EBAsobre gobierno interno14

Establece la obligación de aprobar una po-lítica de externalización que considere elimpacto de la misma en el negocio de laentidad y los riesgos a los que se enfrenta.Esta política se revisará periódicamente yrecogerá los procedimientos de informacióny de seguimiento que deberán aplicarsedesde el comienzo hasta la finalización delacuerdo de externalización, manteniendo laresponsabilidad de los servicios y activida-des externalizados, así como de las decisio-nes de gestión que se deriven de ellos.

La política pondrá de manifiesto asimismoque los procedimientos de externalización

no impedirán la supervisión eficaz in situ oa distancia de la entidad, ni contravendránninguna restricción impuesta por los super-visores a los servicios y actividades. La polí-tica abordará también la externalización in-terna (es decir, por parte de una entidad ju-rídica independiente que forme parte delgrupo de la entidad), así como cualquiercircunstancia específica del grupo que debatenerse en cuenta.

· CEBS - Guideline on Outsourcing 14.12.200615 que quedará revocada con la entra-da en vigor el 30.09.2019 de la EBA/GL/2019/02 “Guidelines on outsourcingarrangements”.

Ambas normas toman sus fundamentos enla normativa MiFID (Market in Financial Ins-truments Directive)16 respecto al apartadode delegación de funciones en terceros (verpágina 12).

14. European Banking Authority (EBA). Guía de la Autoridad Bancaria Europea sobre gobierno interno (GL 44). 27 de sep-tiembre de 2011.

15. Committee of European Banking Supervisors (CEBS). Guidelines on Outsourcing. 14 de diciembre de 2016.

16. Parlamento Europeo y Consejo de la Unión Europea. Directive 2014/65/EU of the European Parliament and of theCouncil of 15 May 2014 on markets in financial instruments and amending Directive 2002/92/EC and Directive2011/61/EU Text with EEA relevance.

17

Una de las primeras tareas de esta fase esevaluar riesgos para decidir si el servicio escandidato para externalizar o no, basándoseen las políticas definidas por la organización.Sólo en caso afirmativo se procedería con elresto de las tareas de precontratación.

La preselección de proveedores –directa o in-directamente – está presente en toda la orga-nización, puesto que el área contratante ten-drá definida una serie de necesidades y requi-

sitos esperados para el servicio que desea

contratar, y el departamento de compras, nor-

malmente, será el encargado de realizar la

búsqueda y selección de proveedores que me-

jor se adecúen a las necesidades de la organi-

zación.

La clave en la preselección de los proveedores

es saber qué criterios utilizar para preseleccio-

narlos y revisar que éstos se cumplen.

El siguiente diagrama muestra las fases delproceso de externalización, incluyendo los ac-tores que intervienen y los principales outputs

obtenidos, que se desarrollarán a continua-ción.

Fases del proceso de externalizacióny rol de Auditoría Interna

CierreMonitorizaciónContrataciónPrecontratación

· RFI.· RFP.· Due Diligence.

ACTORES

PRODUCTOS

· Sistemas de Informa-ción.

· Seguridad de la Infor- mación.

· Compras y Gestión de proveedores.

· Auditoría Interna.· Gestión de Riesgos.· Cumplimiento Norma-

tivo.· Área solicitante de la

organización.

· Contrato.


· Compras y Gestión de proveedores.

· Asesoría Jurídica.· Auditoría Interna.· Seguridad de la Infor-

mación.· Área solicitante de la

organización.

· KPIs.· KRIs.· Facturas.



· Auditoría Interna.· Área solicitante de la

organización.

· Acuerdo de finaliza-ción del servicio.



· Asesoría Jurídica.· Auditoría Interna.· Área solicitante de la

organización.

PRECONTRATACIÓN

18

Hay que tener en cuenta qué tipo de impactotendrán los productos o servicios que ofreceny si están alineados con la productividad, cali-dad y competitividad de la organización mis-ma.

Las organizaciones deben asegurarse de queeligen al proveedor adecuado para que laalianza empresarial que se establezca puedasuponer una palanca en el logro de los objeti-vos estratégicos, siempre teniendo en cuentaque se externaliza la ejecución de procesos oactividades, pero no la propiedad del riesgo.

Por tanto, la revisión de los procesos de go-bierno para la toma de decisiones en mate-ria de externalización, análisis y gestiónprevia de riesgos y control asociados a losservicios externalizados continúan forman-do parte de la naturaleza del trabajo de Au-ditoría Interna y podrán entrar dentro de losplanes anuales.

Todo lo mencionado anteriormente está en lí-nea con el informe COSO ERM17, que indicaque –debido a que la complejidad del riesgoha cambiado y han surgido otros nuevos– elConsejo de Administración demanda más in-formación sobre los mismos.

Las organizaciones necesitan mejorar su enfo-que de gestión del riesgo para satisfacer lasexigencias de un entorno de negocio en con-tinua evolución. La integración de la gestiónde riesgos contribuye a acelerar el crecimientoy a mejorar el desempeño de las organizacio-nes, ya que, a través de este proceso, la Direc-ción comprenderá mejor cómo –al considerarde forma expresa el riesgo– se puede influiren la elección de la estrategia, identificando

sus fortalezas y debilidades a medida quecambian las condiciones, y de qué forma en-caja la estrategia con la misión y la visión dela organización.

En las decisiones de externalización, los res-ponsables de Sistemas de Información y losresponsables de Seguridad deberán valorarlos riesgos que pudieran derivarse del trata-miento de información de la empresa porterceros y, en su caso, establecer los mecanis-mos de control que pudieran mitigar dichosriesgos, documentándose, en cualquier caso,la decisión adoptada.

Una vez identificada la necesidad a cubrir, sedeben estudiar las distintas opciones queofrece el mercado y seleccionar una de ellassegún los criterios que se hayan establecidopreviamente. Además de cuestiones como elprecio, la flexibilidad de pago, referencias deotros clientes, etc., serán importantes tambiénlos aspectos relativos a la ciberseguridad. Asi-mismo, es necesario plantearse si un requisitoindispensable es que los proveedores tengansistemas de gestión certificados (calidad, se-guridad de la información, continuidad de ne-gocio, provisión de servicios TIC, etc.).

Tras decidir el proveedor que mejor se adaptaa los requisitos, se contratará el servicio aprestar. El hecho de subcontratar estos servi-cios puede implicar que estas empresas sub-contratadas puedan acceder tanto a los datoscorporativos de la organización como a los desus clientes. Antes de permitirles el acceso ala información confidencial, se deben tomarmedidas de seguridad para protegerla y nocorrer riesgos innecesarios. Su incumplimiento

La ciberseguridad es unaspecto importante acubrir en lacontratación. Es necesario plantearsesi es indispensable quelos proveedores tengansistemas de gestióncertificados.

17. Committee Of Sponsoring Organizations of the Treadway Commission (COSO). Gestión del riesgo empresarial. Inte-grando estrategia y desempeño, 2017.

19

puede llevar asociada una penalización eco-nómica, la pérdida de una oportunidad co-mercial, o daños sobre la reputación de lamarca de la organización.

Por todo ello, es importante que exista unaadecuada protección frente a robos, fugas ac-cidentales o intencionadas o tratamientos noadecuados de información.

Que el proveedor maneje la información cor-porativa con sus sistemas ubicados en instala-ciones externas puede suponer nuevos ries-gos. En esta situación, la seguridad de la in-formación dependerá de las medidas de segu-

ridad que haya implantado el proveedor. Exis-te un riesgo potencial, derivado de esta situa-ción, de que se produzcan fugas de informa-ción cuyo origen sea el proveedor.

En algunos casos, las medidas a aplicar a to-das las organizaciones derivan de la legisla-ción vigente. En otros, se trata de recomenda-ciones extraídas de normas internacionales ybuenas prácticas en materia de seguridad dela información ampliamente aceptadas, perosin carácter obligatorio, o bien medidas deaplicación sólo a organizaciones de sectoresespecíficos.

Que el proveedormaneje la información

corporativa con sussistemas ubicados en

instalaciones externaspuede suponer nuevos

riesgos.

En esta etapa juegan un papel fundamental la Primera Línea de Defensa (Compras y Gestiónde Proveedores y de Seguridad de la Información) y la Segunda Línea de Defensa (especial-mente Gestión de Riesgos y Cumplimiento), definiendo los requisitos de seguridad aplicablessegún la clasificación de la información tratada. Adicionalmente, es recomendable que el res-ponsable de gestionar la Continuidad del Negocio colabore en la definición de los parámetrosde recuperación de cada servicio, de acuerdo a los tiempos definidos por las actividades críti-cas del negocio que se apoyan sobre el servicio

¡

!

El Rol de Auditoría Interna

Es una tarea crítica que determina

quién se hará cargo del servicio o proceso ex-

ternalizado. El primer paso es validar la exis-

tencia y calidad del proceso de evaluación de

riesgos antes mencionado, de modo que cum-

pla con las políticas vigentes.

Se recomienda que Auditoría Interna asegure

que se cumplen los objetivos de control du-

rante la etapa de preselección.

En el caso de que, por normativa de empresa,

sea necesario homologar proveedores como

requisito previo a su selección, se deben veri-

ficar los siguientes objetivos de control:

• Existe una adecuada segregación de fun-

ciones en el proceso de homologación de

proveedores (aportación de documenta-

ción/aprobación del proveedor e inscripción

en el Catálogo de Proveedores) para evitar

el riesgo de seleccionar proveedores que no

cumplan con los requisitos mínimos exigi-

dos por la organización.

• Las áreas/equipos implicados conocen la

normativa interna relativa a la homologa-

ción de proveedores y están utilizando la

20

última versión vigente, especialmente la re-lativa a Seguridad de la Información.

• Los proveedores han remitido una Solicitudde Información (Request For Information -RFI) o cuestionario de homologación, pro-cedimiento que realizan algunas organiza-ciones para solicitar información a los posi-bles proveedores de productos o servicios.Esto únicamente se verificará en aquellasorganizaciones que requieran RFI o cuestio-narios de homologación a sus proveedores.La existencia de un RFI remitido por el pro-veedor permitirá evaluar:

- Las condiciones referidas a la calidad (delservicio, medios utilizados, característicastécnicas, formación de los usuarios, ...),condiciones económicas (precios, des-cuentos aplicados, plazo de pago, segu-ros asociados, recargos por aplazamientode pago) y otras condiciones (periodo devalidez de la oferta, causas de termina-ción del contrato, circunstancias que pue-den dar lugar a revisión de precios, etc).

- La capacidad de los potenciales provee-dores para cumplir con los requisitos deseguridad, para proteger los activos im-plicados en la prestación del servicio y lainformación de la organización, especial-mente cuando dicha información conten-ga datos de carácter personal. Específica-mente, se aconseja solicitar a los provee-dores los informes resultado de la últimaauditoría de seguridad de la informaciónrealizada (externa o interna) para cono-cer el estado de criticidad en el que seencuentran.

- El nivel de experiencia y madurez de latecnología utilizada para prestar los ser-vicios solicitados, si corresponde.

- Si la localización geográfica del provee-dor y de los activos que soportarán elservicio pueden suponer amenazas espe-cíficas y/o estar sujetos a legislacionesespecíficas. En este caso, se requerirá alproveedor que traslade a la organizaciónlas leyes que rigen en su emplazamientogeográfico, indicando aquellas que afec-ten directamente a la relación contrac-tual.

- Si el proveedor dispone de medidas téc-nicas y organizativas que garanticen unnivel de seguridad adecuado respecto alos datos personales, de conformidad conlo previsto en la normativa aplicable enmateria de protección de datos. En parti-cular:

· Medidas que permitan restaurar la dis-ponibilidad y el acceso a los datos per-sonales de forma rápida, en caso deincidente físico o técnico.

· Controles para garantizar la confiden-cialidad, integridad, disponibilidad yresiliencia permanentes de los siste-mas y servicios de tratamiento.

· Controles que se puedan evaluar, deforma regular, para asegurar la eficaciade las medidas técnicas y organizativasimplantadas para garantizar la seguri-dad del tratamiento de los datos.

· En los casos en que resulte necesario,evaluar la idoneidad de las medidas deseudonimización y el cifrado de datospersonales.

• Una vez auditado el proceso de homologa-ción de proveedores, y en el caso de que laorganización requiera emitir una Presenta-ción de propuestas (Request For Proposal -RFP) o Solicitud de presupuesto (Request

Se aconseja solicitar alos proveedores losinformes de la últimaauditoría de seguridadde la información paraconocer la criticidad enla que se encuentran.

21

for Quotation - RFQ) o un Pliego de Condi-ciones (en el caso de la Administración Pú-blica) –documento que contiene las bases ypremisas para que los proveedores prese-leccionados realicen sus propuestas técni-cas, funcionales, de proyecto y económi-cas– se recomienda que Auditoría Interna,como Tercera Línea de Defensa, pueda:

- Verificar si existe segregación de funcio-nes entre la determinación de necesida-des por parte del área gestora, la defini-ción/aprobación del RFP o RFQ y la selec-ción de los posibles proveedores, paragarantizar la transparencia en el procesoy en la toma de decisiones.

- Asegurar que el RFP o RFQ ha sido ela-borado según las normas vigentes en laorganización.

- Verificar la correcta cumplimentación yaprobación de los RFPs o RFQs recibidosde los proveedores preseleccionados.

- Verificar, para cada RFP o RFQ, que existedocumentación de soporte como un an-teproyecto, estudios de viabilidad, esti-mación económica y planificaciones ini-ciales.

- Verificar que la RFP o RFQ se envía a dis-tintos proveedores –si así lo establece lanormativa interna de la organización–para fomentar la concurrencia e igualdadde oportunidades y obtener condicioneslo más ventajosas posibles, a no ser queel servicio sea ofrecido en exclusiva porun único proveedor.

- Verificar que se realiza un scoring o valo-ración de los posibles proveedores, te-niendo en cuenta, entre otros, factorescomo localización, reputación, exposicióna riesgos relacionados con la informa-

ción, etc. y que se han establecido pará-metros para su puntuación antes de se-leccionarlo. En este sentido, verificar pre-viamente que se han establecido notasde corte para todos los factores a evaluary, del mismo modo, cuándo el proveedorserá excluido o penalizado.

- Verificar que, previamente a la contrata-ción de cada servicio, se han identificadolos flujos de datos que se realizarán.

- Verificar que, antes de decidir el provee-dor a seleccionar, se lleva a cabo unaDue Diligence (un análisis del proveedor)para evaluar el gobierno y el perfil deriesgo del proveedor. En este caso seránecesario comprobar:

· La experiencia del potencial proveedoren el producto/servicio que ofrece.

· La situación financiera del potencialproveedor, con el fin de evitar adjudi-caciones a proveedores con una califi-cación financiera (o rating) inferior alnivel requerido que pueda afectar ne-gativamente a la prestación del servi-cio.

· La situación legal del potencial provee-dor.

· Que el proveedor haya implantado unModelo de Gestión de Riesgos (Enter-prise Risk Management - ERM) con lamadurez adecuada y proporcionandouna respuesta y seguimiento acorde alos riesgos identificados, especialmen-te los relacionados con:

- Protección de datos.

- Ciberseguridad.

- Capacidad productiva, incluso paraasumir aumentos en la demanda.

Auditoría Interna debeverificar, entre otras,que antes de decidir

qué proveedorseleccionar se realiza

una Due Diligence paraevaluar el gobierno y

perfil de riesgo de cadauno de ellos.

22

- Calidad de los productos y servicios

ofrecidos.

- Recursos Humanos: las condiciones

laborales existentes, si sus trabaja-

dores cumplen con los requisitos le-

gales para el desempeño de sus fun-

ciones y cada trabajador cuenta con

un contrato de trabajo, si se contrata

trabajo infantil, si existe discrimina-

ción, si la entidad está al corriente

de las obligaciones de cotización la-

boral con los organismos públicos

pertinentes (Seguridad Social), etc.

- Cumplimiento de normativas antico-

rrupción relacionadas con la FCPA

(Foreign Corrupt Practices Act) y, en

general, de requisitos legales y re-

glamentarios pertinentes asociados

a buenas prácticas, como la existen-

cia de políticas y/o procedimientos

para la prevención/gestión de con-

flictos de interés con terceras partes.

- Cobertura ante contingencias, a tra-vés de la verificación de la existenciade pólizas de seguro de Responsabi-lidad Civil en vigor, etc.

- Sostenibilidad y medio ambiente.

- Instalaciones adecuadas para el de-sarrollo del servicio.

· Que el proveedor haya definido unapetito al riesgo acorde con el estable-cido por la organización que externali-za el servicio. Ello va a condicionar lasactividades de aseguramiento a reali-zar sobre el proveedor.

· Evaluar si el proveedor dispone de cer-tificados reconocidos o validados porentidades de confianza, lo que garanti-zará que la prestación cumple ciertasgarantías, como la norma ISO 9001para la calidad del servicio, ISO/IEC27001 para la seguridad de la infor-mación, o la norma ISO 20000 si elproveedor va a prestar servicios de so-porte informático.

CONTRATACIÓN

Su objetivo es la formalización y firma delacuerdo que regirá la relación entre la organi-zación y el proveedor del servicio. Es una fasecrítica, dado que aquello que no quede ade-cuadamente recogido en los contratos tiene elriesgo de convertirse en una fuente de con-flictos en el futuro.

Actores de la organización

• Compras y Gestión de Proveedores. Típi-camente liderará esta fase, elaborando, re-visando y gestionando el proceso de firma.

• Área de la organización solicitante de losservicios.

• Asesoría Jurídica. Encargada de la valida-ción legal del contrato.

• Auditoría Interna.

• Seguridad de la Información. Encargadade valorar posibles riesgos de seguridad,tanto en el ámbito lógico como físico, aso-ciados al contrato.

• Sistemas de Información. Para la revisióntécnica de las partes del contrato que así lo

23

requieran, determinando el nivel de riesgo ylos controles necesarios.

La participación de estas áreas puede realizar-se eficazmente, en el caso de servicios están-dar, mediante plantillas con cláusulas tipopreviamente aprobadas por las áreas de la or-ganización involucradas.

El rol de Auditoría Interna

Como Tercera Línea de Defensa, serecomienda que Auditoría Interna revise y ve-rifique la eficacia de los controles para asegu-rar que los contratos estén adecuadamenteformalizados y contemplen las cláusulas nece-sarias para salvaguardar los intereses de laorganización.

En el caso de servicios de especial volumeno relevancia para la organización, el rol deAuditoría Interna debería ser activo, dado queuna vez se firma un contrato suele ser com-plejo revertir situaciones. En estos casos, Au-ditoría Interna tiene una oportunidad paraaportar valor a la organización pudiendo po-sicionarse como un actor más en el procesode contratación, actuando como asesor deconfianza bajo los límites establecidos en suestatuto y/o política, revisando el contrato demanera previa a la firma y evaluando que secontemplen las medidas que permitan a la or-ganización mitigar los riesgos más frecuentes.

En el caso particular de la contratación públi-ca –y en el ámbito privado con cierta frecuen-cia– los pliegos de condiciones utilizados paralos concursos son ya parte integrante del fu-turo contrato, por lo que la implicación de Au-ditoría Interna debe ser aún más temprana.

El auditor interno tendrá en consideración–bajo su ámbito de actuación como TerceraLínea de Defensa o en su labor de asesor/con-

sultor interno de confianza, y dentro de los lí-mites establecidos en el marco normativo desu función– los siguientes puntos:

• El alcance del servicio debe estar definidode forma clara y explícita, detallando lasresponsabilidades que asume el prestadordel servicio.

• El contrato –en el caso en que el auditorinterno esté revisando acuerdos ya formali-zados– debe estar fechado para delimitarclaramente el marco temporal y firmadopor ambas partes. La fecha de firma debeser anterior al inicio de la prestación delservicio.

La custodia de los contratos debe ser ade-cuada. En caso contrario, el auditor internosugerirá que se gestionen de manera cen-tralizada.

• Verificar la participación de las áreas deCompras, Jurídica o cualquier otra involu-crada según lo establezcan los procedi-mientos internos de cada organización.

• Asegurar que exista una cláusula de confi-dencialidad que proteja a la organizaciónfrente a posibles fugas de datos o revela-ciones no autorizadas de información.

• En el caso de tratar datos personales, ydado que según lo dispuesto en el Regla-mento General de Protección de Datos(RGPD) el proveedor se erige legalmente enencargado del tratamiento por cuenta delresponsable, es necesario comprobar que elcontrato recoge explícitamente el listado deelementos que el RGPD considera obligato-rios en su artículo 28.3, asegurando al me-nos que el encargado:

- Tratará los datos personales únicamentesiguiendo instrucciones documentadasdel responsable.

Se recomienda queAuditoría Interna

verifique la eficacia delos controles para

asegurar laformalización de los

contratos, con cláusulaspara salvaguardar el

interés de laorganización.

24

- Garantizará que las personas autorizadaspara tratar datos personales se hayancomprometido a respetar su confidencia-lidad o estén obligadas a ello.

- Tomará todas las medidas necesarias deseguridad para cumplir el RGPD.

- Respetará las condiciones indicadas en elRGPD para recurrir a otro encargado deltratamiento.

- Asistirá al responsable para que puedacumplir con su obligación de responder alas solicitudes que tengan por objeto elejercicio de los derechos de los interesa-dos.

- Ayudará al responsable a garantizar elcumplimiento general de las obligacionesestablecidas en materia de seguridad porel RGPD.

- Suprimirá o devolverá todos los datospersonales una vez finalice la prestaciónde los servicios de tratamiento y suprimi-rá las copias existentes.

- Pondrá a disposición del responsable to-da la información necesaria para demos-trar el cumplimiento de las obligacionesestablecidas en el RGPD, así como parapermitir y contribuir a la realización deauditorías por parte del responsable.

• En el caso de contratos de servicios, sedebe verificar la existencia de Acuerdos deNivel de Servicio (ANS) que establezcan losumbrales a partir de los cuales el rendi-miento (medido por KPIs-Key PerformanceIndicators) del proveedor no es aceptable.El auditor interno debe entender los pará-metros por los que se rige el servicio y eva-luar el diseño de los ANS para asegurar queson medibles y razonables.

- El auditor interno evaluará la existenciade penalizaciones asociadas al incumpli-miento de los ANS. Carecer de dichasmedidas impediría exigir al proveedor elnivel de servicio deseado. En este senti-do, se recomienda incluir penalizacionesen futuras renovaciones o contratos.

El auditor interno debe ser consciente deque el objetivo de las penalizaciones serásiempre disponer de herramientas paralograr los niveles de servicio acordados y,en ningún caso, una herramienta de aho-rro de costes.

• Del mismo modo que los KPIs definen elrendimiento del servicio, valorar si en cier-tos servicios es razonable recomendar ladefinición de indicadores que midan el ni-vel de exposición a un riesgo que asume laorganización al externalizar el servicio (KRIs-Key Risk Indicators).

Por ejemplo, en el caso de externalizaciónde un servicio de administración de infraes-tructura tecnológica, el KRI podría definirsecomo el tiempo transcurrido entre la publi-cación de un parche de seguridad por partede un determinado fabricante hasta su apli-cación en la infraestructura. De forma sim-plista, y aunque la aplicación de parches noestá exenta de riesgos, la curva de nivel deriesgo crecerá con el tiempo que transcurra,pudiendo situar a la organización en un ni-vel de exposición que no coincida con elapetito al riesgo definido.

• En proyectos, se debe verificar la existenciade hitos parciales que fijen objetivos acumplir por parte del proveedor. La conse-cución de estos hitos podría afectar a la re-muneración del proveedor, lo que le moti-varía a alcanzarlos.

El objetivo de laspenalizaciones serásiempre disponer deherramientas paralograr los niveles deservicio acordados y, enningún caso, unaherramienta de ahorrode costes.

25

• En su revisión, el auditor interno debe dete-nerse en las cláusulas que definen el mode-lo de seguimiento del servicio. Habitual-mente, se establecen distintos comités enfunción de su propósito, existiendo comitésoperativos para la gestión del día a día yotros más tácticos donde se suelen tratarlos riesgos o el seguimiento de indicadoresdel servicio.

• Es frecuente que los proveedores incluyancláusulas que reducen su responsabilidad,por cantidades que suelen estar limitadas

al importe total del servicio o múltiplos de

éste. En estos casos, el auditor interno debe

advertir a la organización del riesgo que

asume, teniendo en cuenta que el RGPD fi-

ja la máxima sanción en el 4% de la factu-

ración anual del grupo empresarial al que

pertenece la organización. Este aspecto es

común en proveedores anglosajones y debe

considerarse durante la negociación del

contrato y antes de su firma, debiéndose

ser sometido al visto bueno y opinión de

área jurídica de la organización.

Se debe comprobar quehay cláusulas que

definan la legislación ala que está sometida el

contrato y el tribunalque dirimirá los

posibles conflictos.

Auditoría Interna revisará los contratos con proveedores de cultura anglosajona para analizarlas cláusulas de limitación de responsabilidad

¡!

Auditoría Interna revisará los contratos en los que es el proveedor el que facilita la plantilla delmismo. Esto suele suceder con proveedores de gran tamaño donde la organización no tienesuficiente fuerza negociadora y que ofrecen servicios muy estandarizados (commodities), o queson el único proveedor disponible (por ejemplo, en el caso de licencias o soluciones llave enmano)

¡

!

• Comprobar que existan cláusulas que defi-nan la legislación a la que está sometida elcontrato. Esto es importante cuando el pro-veedor presta el servicio desde un país dife-rente, y debe quedar explicitado qué tribu-nales dirimirán los posibles conflictos.

• Identificar que en el contrato se recojan lasexigencias en materia de seguridad de la

información definidas por la organización.Estas medidas pueden pasar por referen-cias al cuerpo normativo en materia de se-guridad de la información que el proveedordebe observar; o normas, marcos de refe-rencia y buenas prácticas en esta materiacomo, por ejemplo, la ISO/IEC 27001.

• En función del servicio externalizado, lasáreas expertas deben evaluar si la interrup-ción del servicio del proveedor puede afec-

tar la continuidad de la operación de la or-ganización. En este caso, el auditor internodebe verificar que el proveedor disponga

26

de un Plan de Continuidad de Negocio(Business Continuity Plan-BCP).

• En el caso de servicios críticos, el auditor in-terno debe comprobar que en las pruebasperiódicas del Plan de Continuidad de Ne-gocio de la organización se cuenta con lacolaboración del proveedor para que éstassean completas.

• La existencia de una cláusula de auditoríaque permita a la organización auditar la

prestación del servicio y verificar que elproveedor lo está llevando a cabo de acuer-do a lo dispuesto en el contrato.

Este es uno de los puntos más relevantes yla cláusula debe permitir a la organización:

- Acceder a las instalaciones del provee-dor para verificar que se cumplen las me-didas de seguridad establecidas y losprocedimientos acordados.

El auditor interno debecomprobar que existeuna cláusula quedetalla la transferenciade conocimiento a lafinalización del servicio.

- Acceder a cualquier información rela-cionada con la prestación del servicio,por ejemplo, registros en herramientas,accesos a datos de la organización, etc.

- Lograr un compromiso por parte del pro-veedor de solventar las deficiencias de-tectadas en las auditorías.

En la actualidad, la cláusula de auditoría es uno de los puntos que más controversia causa, de-bido a que –por ejemplo– es difícil que grandes organizaciones norteamericanas que prestanservicios en la nube permitan la entrada de auditores internos de sus clientes. Como controlcompensatorio, se debe exigir la existencia de revisiones basadas en estándares llevados a ca-bo por terceros independientes de reconocido prestigio

¡

!

Se puede establecer un ANS para la resolución de debilidades detectadas por Auditoría Internaen un plazo determinado, definiendo penalizaciones económicas asociadas al incumplimientode estos compromisos. Esto permite asegurar el compromiso del proveedor

¡

!• El auditor interno debe comprobar que

existe una cláusula que detalla la transfe-rencia de conocimiento a la finalizacióndel servicio. Se puede exigir un plan de re-versión donde estén definidos los plazos yquién asume los costes de dicho plan.

• Adicionalmente, es conveniente considerarotras cláusulas relativas a:

- El lugar de la prestación de servicio.

- La subcontratación. Se debe aclarar si sepermite o no, y en qué términos.

- La duración y condiciones de termina-ción/resolución del contrato.

- La definición de herramientas que se uti-lizarán en la prestación del servicio.

- Los requisitos de conocimiento que debeposeer el personal del proveedor y lapropia empresa.

- La garantía (tiempo de soporte tras laentrega).

- La seguridad física (opcional) en las ofici-nas del proveedor.

27

- Los mecanismos de seguridad que garan-ticen la confidencialidad de la informa-ción sujeta a las regulaciones de privaci-dad (algoritmos de cifrado, protección deinformación en medios de respaldo, con-troles de acceso, entre otros).

- Los aspectos relacionados con preven-ción de riesgos laborales y de cumpli-miento del resto de legislación laboral(especialmente en servicios calificadoscomo propia actividad18).

Es necesario supervisarde forma continua de

los acuerdos asociadosa la prestación del

servicio externalizado.

18. El artículo 42 del Estatuto de los Trabajadores hace referencia al concepto de propia actividad con el objeto de con-trolar la responsabilidad del empresario que contrata la realización de obras o servicios, correspondientes a su propiaactividad, y que “debe responder solidariamente con sus contratistas de todas las obligaciones salariales y de Seguri-dad Social contraídas con las personas trabajadoras durante la vigencia del contrato laboral”.

Tiene por objeto la supervisión continua delcumplimiento de los acuerdos contractuales yde la evolución de los riesgos asociados a laprestación del servicio externalizado, con elfin de:

• Mitigar riesgos.

• Mejorar procedimientos.

• Aplicar controles o mejorar la eficacia delos existentes.

• Resolver incidentes operativos.

• Gestionar conflictos con el proveedor.

• Validar la facturación según la actividad delservicio prestado. Si procede, adicionalmen-te incentivar al proveedor aplicando sancio-nes o bonificaciones según el grado de de-sempeño.

• Identificar alertas tempranas por tenden-cias de incumplimiento de los ANS o KRIspara lograr su oportuna corrección o even-tual evaluación del cierre del servicio.

Para mitigar adecuadamente los riesgos deri-vados de la externalización, conviene dispo-

ner de un sistema de controles generales quecubran, al menos, los siguientes procesos degestión:

• Configuración y gestión de cambios.

• Capacidad y continuidad del servicio.

• Acuerdo de Nivel de Servicio (ANS).

• Incidentes y problemas.

• Ciberseguridad.



• Seguridad de la Información. Cuando sehayan producido incidencias de seguridad ose hayan identificado riesgos relevantes alrespecto.

• Sistemas de Información. Cuando se ha-yan producido incidencias de comunicacio-nes y/o sistemas o se hayan identificadoriesgos relevantes al respecto.


MONITORIZACIÓN

28

La rápida evolución de servicios de computa-ción en la nube está acelerando y abaratandola externalización de servicios de informaciónque no sólo delegan la ejecución de tareas/operaciones en un tercero, sino también eladecuado tratamiento y protección de la in-formación asociada a los mismos. Al ceder di-cha información se derivan actividades y obli-gaciones que deben ser supervisadas por-que –aunque se transfieran a un proveedorde servicios externos– la responsabilidad delcumplimiento regulatorio y legal no se trans-fiere.

Para gestionar los riesgos derivados de laprestación del servicio externalizado, la orga-nización debe tener un programa de supervi-sión continúa basado en un modelo queidentifique, evalúe, monitorice y controle losriesgos.

Algunas de las consecuencias de una inade-cuada gestión de los riesgos pueden ser:

• Calidad de servicio deficiente con abundan-tes fallos y errores.

• Frecuentes interrupciones del servicio, ina-decuada disponibilidad.

• Incumplimiento de obligaciones regulato-rias y legales de la empresa.

• Incidencias de confidencialidad de la infor-mación.

• Tratamientos inadecuados de datos de ca-rácter personal.

• Tiempo de respuesta excesivo y retrasosfrecuentes.

• Alteración y/o pérdida de datos.

• Pobre capacidad de recuperación del servi-cio ante desastres.

• Dependencia excesiva del proveedor de ser-vicios.

• Incremento injustificado de los costes del

servicio.


Estará condicionado por lo acorda-

do durante la fase de contratación.

Cuando se acuerda que sea un tercero inde-

pendiente (al proveedor del servicio y al con-

tratante) quien realice la supervisión del cum-

plimiento por parte del proveedor, Auditoría

Interna puede aportar valor velando por la su-

pervisión adecuada de la prestación del servi-

cio por parte del tercero independiente, y ges-

tionando los riesgos y conflictos detectados.

En este escenario, Auditoría Interna no puede

auditar al proveedor del servicio pero, en oca-

siones, se le exige a este la obtención y vigen-

cia de certificaciones (Norma ISAE 3402,

ISO/IEC 27001, ISO 20000, ISO 9001, etc),

pudiendo revisar los informes de certificación,

validar las recomendaciones de mejoras de-

tectadas, y si están subsanadas o en proceso.

En caso de que se acuerde que Auditoría In-

terna puede auditar al proveedor del servicio

(no suele ser lo habitual), adicionalmente po-

drá identificar oportunidades de mejora en los

procesos y controles del proveedor. Si el servi-

cio de externalización incluye el adecuado tra-

tamiento y protección de la información, Au-

ditoría Interna podrá validar que se han iden-

tificado los activos y tratamientos de informa-

ción afectados, su nivel de criticidad (confi-

dencialidad, integridad y disponibilidad), las

regulaciones/legislaciones aplicables (por

ejemplo, el RGPD), y deberá concluir si el pro-

grama de ciberseguridad del proveedor y con-

troles asociados ofrecen una garantía razona-

ble.

Cuando un terceroindependientesupervisa elcumplimiento por elproveedor, AuditoríaInterna puede velar porla supervisión de laprestación del servicio,aunque no auditarlo.

29

Con independencia del rol de supervisión so-bre el proveedor, Auditoría Interna –bajo suámbito de actuación como Tercera Línea deDefensa o como asesor/consultor interno deconfianza, dentro de los límites establecidosen el marco normativo de su función– puedeidentificar y recomendar mejoras de controldel servicio, validando que:

• El alcance de los servicios realmente pres-tados corresponde con lo acordado en con-trato (evitando que otras contrataciones delmismo proveedor se canalicen por este ser-vicio y evitando los controles de licitaciónde Compras).

• La facturación aceptada se correspondecon el volumen de actividad del servicioprestado y las condiciones del contrato.Cuando sea aplicable, se debe validar tam-bién que se han adoptado correctamentelas sanciones o bonificaciones pertinentessegún el grado de cumplimiento del provee-dor.

• El nivel de servicio prestado por el provee-dor es monitorizado sistemáticamente y sa-tisface razonablemente las necesidades ybeneficios que motivaron la externaliza-ción.

En cualquier caso, la supervisión continua dela prestación del servicio compete a las áreaso departamentos solicitantes y, aunque Audi-toría Interna contribuya a ello, no debe asumiren ningún caso dicha supervisión en detri-mento de dichas áreas o departamentos.

El auditor interno deberá considerar los si-guientes puntos:

• Comprobar que se ha establecido el marcoformalizado de relación para el gobierno

del servicio entre las dos partes y se hanidentificado los roles, responsabilidades yfunciones (normalmente formará parte delcontrato como claúsula o anexo). Asimis-mo, revisar las actas del Comité Ejecutivo uórgano definido para el gobierno del servi-cio, verificando que se realizan con la perio-dicidad establecida.

• Realizar una evaluación global del servicioprestado y del cumplimiento de los objeti-vos de los indicadores globales y locales delmodelo de supervisión, con especial segui-miento de los ANS definidos, verificandoque se aprueban los resultados de las boni-ficaciones/penalizaciones en función delcumplimiento de los objetivos. Con la pe-riodicidad establecida en el contrato, se re-visarán los indicadores y niveles de servicio,las métricas y sus objetivos dentro del mar-co de relación establecido y que esta situa-ción queda reflejada formalmente y apro-bada por el órgano adecuado.

• Identificar y resolver los conflictos de nive-les inferiores y revisar los aspectos econó-micos del ANS, incluyendo posibles varia-ciones relevantes en los volúmenes de acti-vidad y la facturación asociada.

• Comprobar si la toma de decisiones antecambios relevantes en el servicio externali-zado se alinea con la estrategia de la orga-nización. Por ejemplo: revisando el impactoeconómico en el servicio, los cambios en laorganización (personas, procesos, funcio-nes), la evolución tecnológica, etc.

• Comprobar que existe un control para prio-rizar los esfuerzos del proveedor de acuer-do a las necesidades de la organización.Por ejemplo, comprobar si existe una herra-

Aunque AuditoríaInterna contribuya a la

supervisión continua dela prestación de un

servicio, no debeasumirla en detrimento

de las áreassolicitantes.

30

mienta para gestionar peticiones al provee-dor parametrizada por la organización.

• Comprobar que se han establecido cuadrosde mando que permitan medir el desempe-ño y que se mantiene un adecuado nivel deriesgos de acuerdo con los umbrales esta-blecidos, y que éstos se revisan periódica-mente. Especialmente, que existen procedi-mientos para medir la satisfacción de losusuarios con respecto al servicio externali-zado y se adoptan medidas según los resul-tados obtenidos.

• Comprobar que las organizaciones han es-tablecido un calendario de revisión de lascertificaciones o informes externos ya que

la cualificación del proveedor es crítica parael buen funcionamiento de los servicios ex-ternalizados y las certificaciones proporcio-nan una garantía al respecto. Este es un re-quisito que conviene exigir y mantener a lolargo de todo el ciclo de vida de los contra-tos con los proveedores externos. .

• Comprobar que se revisa con regularidad elprograma de ciberseguridad del proveedor(estructura, incidentes, escalamiento, etc.).Esto incluye verificar que existe el registrode incidentes y, en su caso, obtener eviden-cia de la gestión realizada, de la pertinentecomunicación a las organizaciones clienteafectadas y comprobar las personas decontacto.

Auditoría Interna debecomprobar que existeun calendario derevisión de lascertificaciones pues lacualificación delproveedor es crítica.

CIERREEsta fase tiene por objeto finalizar la relacióncon el proveedor del servicio externalizado y,si procede, el traspaso. Debe analizarse y con-sensuarse anticipadamente con el proveedorpara garantizar que se hace de manera orde-nada y sin riesgos relevantes para la organi-zación solicitante.

La finalización habitualmente requiere el tras-paso de la operación del servicio a otro pro-veedor o a la propia empresa (si el servicio seasume internamente). En cualquier caso, sesolapa la fase del cierre del viejo proveedorcon la fase de inicio del nuevo servicio.



• Asesoría Jurídica. Se encarga de la valida-ción legal del acuerdo de finalización del

servicio y, si procede, del periodo de garan-tía.

• Seguridad de la Información. Intervienepuntualmente cuando haya activos y trata-mientos de información asociados al servi-cio.

• Sistemas de Información. Cuando haya in-fraestructuras tecnológicas y/o aplicacionesasociadas al servicio.



El auditor interno (bajo su ámbitode actuación como Tercera Línea de Defensao como asesor/consultor interno de confianza,dentro de los límites establecidos en el marconormativo de su labor) puede desempeñar unrol proactivo durante esta fase, dado que la

31

oportunidad de aportar valor y ganar impactoe influencia en la organización es previa alcierre efectivo.

Cuando Auditoría Interna lo considere oportu-no, puede asesorar previamente al cierre deservicios relevantes, revisando el análisis deriesgo, plan de proyecto de finalización y mi-gración, y medidas identificadas para evitarun impacto en el servicio.

El auditor interno deberá tener en considera-ción:

• Las cláusulas del contrato relativas a su fi-nalización.

• Los activos y tratamientos de informaciónasociados al servicio y su adecuada migra-ción al nuevo servicio, si aplica.

• El análisis de riesgos específico del escena-rio de finalización/traspaso.

• El modelo de gobierno del proyecto asocia-do (proveedores, organizaciones y gruposde interés debidamente representados y coordinados).

• La planificación del proyecto asociado (plande coordinación único, dotación de recursosy tiempos).

• La transferencia de conocimiento del ante-rior proveedor del servicio al nuevo, si apli-ca.

• La gestión del cambio para la organizaciónsolicitante.

• El periodo paralelo de transición al nuevoservicio, la validación del nuevo servicioprevio al cierre del anterior y, si procede,plan de restablecimiento del viejo servicioante traspaso fallido al nuevo.

• La destrucción segura de los activos de in-formación de que dispone el proveedor an-terior.

• La formalización del acuerdo de finalizacióndel servicio (finiquito).

• La monitorización del periodo de garantíapor el área encargada de ello, por si suce-diera alguna contingencia que fuera atri-buible al proveedor saliente y que debierareclamarse al amparo de dicha garantía.

Antes del cierre, paraevitar impacto en el

servicio AuditoríaInterna puede revisar elanálisis de riesgo, plan

de proyecto definalización y migración

y medidasidentificadas.

ConclusionesLas organizaciones deben asegurarse de ele-

gir al proveedor de servicios adecuado para

que la alianza empresarial que se establezca

suponga el logro de los objetivos estratégicos.

La externalización de servicios delega en el

proveedor tanto la ejecución de tareas y ope-

raciones como el adecuado tratamiento y pro-tección de la información asociada. Al cederdicha información, se derivan riesgos y obli-gaciones que deben ser supervisados, consi-derando que la responsabilidad del cumpli-miento de obligaciones regulatorias y legalesno se transfiere.

32

En este sentido, los principales aspectos a te-ner en cuenta son:

• La existencia de un universo normativo(tanto legislación de obligado cumplimien-to como estándares internacionales de me-jores prácticas) que da soporte a AuditoríaInterna bajo el ámbito del análisis de ries-gos y revisión de los procesos externaliza-dos, donde la gestión de la informacióntransferida a terceros es un aspecto clavede riesgo.

Existe regulación internacional sobre losprotocolos de Auditoría Interna realizadapor expertos independientes. Son de espe-cial relevancia, entre otros, los menciona-dos RGPD, la Directiva Europea sobre Servi-cios de Pago (PSD2) y la Norma ISO 27002(Tecnología de la Información – Técnicas deSeguridad – Código de Prácticas para losControles de Seguridad de la Información).

• Auditoría Interna actúa como un asesor dealto valor tanto para las áreas intervinien-tes como para la Alta Dirección de la orga-nización.

Bajo su ámbito de actuación como TerceraLínea de Defensa o como asesor/consultorinterno de confianza, dentro de los límitesestablecidos en el marco normativo de sulabor, se posiciona como un actor necesa-rio a lo largo de todo el proceso:

- En la fase de precontratación, AuditoríaInterna se encarga de proveer asegura-miento razonable sobre el adecuado di-seño y efectividad operativa del modelode homologación de proveedores. Esta-rá en línea con los requisitos establecidosen las políticas y procedimientos bajo elámbito de los procesos de contratación

de la organización, analizando y evaluan-do los RFIs o cuestionarios de homologa-ción (en el caso de que se requiera) yRFPs o RFQs (o pliego de condiciones enel caso de la contratación pública), asícomo aquellos protocolos de Due Dili-gence de proveedores.

Asimismo, y siempre que la organizaciónlo establezca, es necesario verificar quelos criterios definidos para las valoracio-nes técnicas y económicas de las ofertasde los proveedores se han respetado,asegurando que las adjudicaciones se realizan siguiendo los procedimientos es-tablecidos.

- En la fase de contratación, un análisisincompleto de riesgos y coberturas (prin-cipalmente para aquellos servicios de es-pecial volumen y relevancia), o hasta laausencia de un análisis, podría derivar enla generación de pasivos contingentescon un potencial impacto directo en lacuenta de resultados de la organización yen su reputación. Es conveniente que loscontratos con proveedores contenganuna cláusula de auditoría que permita ala organización revisar la prestación delservicio y poder contrastar de forma físi-ca, informática y documental, que el pro-veedor está actuando y ejecutando susobligaciones dentro de los límites con-tractuales o de niveles de servicio esta-blecidos.

En aquellos casos en los que los provee-dores (por ejemplo, multinacionales deprimer nivel que prestan servicios en lanube) no permitan la entrada de audito-res de sus clientes, se debe exigir con-tractualmente –como control compensa-torio– que aporten revisiones basadas en

Es conveniente que loscontratos conproveedores contenganuna cláusula deauditoría para revisar laprestación del servicio.

33

estándares internacionales, que se lleva-rán a cabo por expertos independientesde reconocido prestigio (por ejemplo, ba-jo el ámbito ISAE).

- En la fase de monitorización, y en el ca-so de estar habilitada contractualmentepara supervisar directamente el cumpli-miento del proveedor con los requisitoscontractuales y los niveles de serviciosestablecidos, Auditoría Interna deberáevaluar la adecuación y cumplimiento deaquellos procedimientos de control, entreotros, destinados a verificar el grado decumplimiento de los indicadores acor-dados, la idoneidad del diseño de loscuadros de mando de medición del des-empeño, el cumplimiento con las bonifi-caciones/penalizaciones establecidas y laadecuada mitigación de los riesgos deseguridad, negocio y legales inherentes ala prestación del servicio por parte delproveedor.

En aquellos casos en que Auditoría Inter-na no esté habilitada para ejercer una

supervisión directa, es conveniente suparticipación en el proceso de seleccióndel experto independiente habilitado pa-ra realizar el proceso de revisión.

- La fase de cierre debe ser planificada,analizada y consensuada anticipadamen-te para garantizar que se ejecute de ma-nera ordenada y con una adecuada ges-tión de los riesgos relevantes para la or-ganización (tanto en el ámbito de protec-ción de la información como en la conti-nuidad operacional, si fuese el caso). Ha-bitualmente requiere el traspaso de laoperación del servicio a otro proveedor oa la propia empresa (si el servicio se asu-me internamente). Auditoría Interna po-drá revisar, dentro del contexto de suplan anual, si el proceso de resolucióndel contrato se ha gestionado de formaadecuada de cara a mitigar los riesgosasociados al impacto en la continuidad ycalidad en la prestación de los servicios alos clientes de la organización.

Auditoría Interna desempeña un papel proactivo, preventivo y relevante en todas las fases delproceso de externalización, lo que permite a la organización una adecuada gestión del proce-so al conocer y mitigar los riesgos derivados del mismo, convirtiéndolo en una ventaja com-petitiva

¡

!

Instituto de Auditores Internos de España

Santa Cruz de Marcenado, 33 · 28015 Madrid · Tel.: 91 593 23 45 · Fax: 91 593 29 32 · www.auditoresinternos.es

Depósito Legal: M-30202-2019

ISBN: 978-84-120500-2-8

Diseño y maquetación: desdecero, estudio gráfico

Impresión: IAG Impresión Artes Gráficas

Propiedad del Instituto de Auditores Internos de España. Se permite la reproducción total o parcial y la comunicación

pública de la obra, siempre que no sea con finalidades comerciales, y siempre que se reconozca la autoría de la obra

original. No se permite la creación de obras derivadas.

OTRAS PRODUCCIONES DE LA FÁBRICA DE PENSAMIENTO

AUDITORÍA INTERNA Y LA ÉTICA EMPRESARIAL

Asegurar el comportamiento ético en una organización requiere evaluar la

medida en que los órganos de gobierno y la alta dirección aprueban y hacen

cumplir el código de conducta y lideran su implantación, para lo que es

fundamental la participación de Auditoría Interna. Este documento presenta

los aspectos clave de un programa de ética, guías e indicadores para un

programa de auditoría interna a medida y referencias a los dilemas éticos

que plantean las nuevas tecnologías.

ENTORNO DE CONTROL. 7 PREGUNTAS QUE CUALQUIER CONSEJERO

DEBE PLANTEARSE

Analiza los siete aspectos clave que conforman el entorno de control. Con

formato de pregunta y recomendación, pretende ayudar a cualquier

Consejero en el ejercicio de sus responsabilidades en la evaluación de la

fortaleza del entorno de control.

AUDITORÍA INTERNA Y LA INFORMACIÓN NO FINANCIERA

El aseguramiento de la información no financiera es crítico para garantizar

la confianza de los grupos de interés. Este documento presenta el panorama

actual, la regulación y las tendencias en información no financiera. Una guía

imprescindible para la supervisión de dicha información por los auditores

internos y los consejos de administración, responsables últimos de toda la

información publicada.

SUPERVISIÓN DEL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS. 7

PREGUNTAS QUE UN CONSEJERO DEBE PLANTEAR

Los consejos de administración tienen un papel fundamental para supervisar

que el cumplimiento del RGPD tiene un enfoque de privacidad basado en

riesgos y proporciona una seguridad razonable de que se han destinado los

recursos necesarios para proteger los derechos y libertades de las personas

físicas. Este documento, dirigido especialmente a Consejeros, aborda siete

cuestiones a tener en cuenta para garantizar que la organización alcanza la

conformidad con el nuevo Reglamento.

Las responsabilidades de las empresas respecto a la información

externalizada no desaparecen como consecuencia de la externalización.

Es su responsabilidad garantizar la adecuada gestión de los riesgos

derivados del acceso por parte de terceros a dicha información.

Este documento aborda los principales aspectos normativos a considerar

sobre la gestión y control de la información externalizada, y recomen-

daciones relativas al rol que Auditoría Interna debería desempeñar en el

proceso de externalización, desde la fase de precontratación hasta la

finalización de la prestación del servicio.

Documents

ENCUENTRA TODOS LOS DOCUMENTOS DE LA FÁBRICA EN … · quién se hará cargo del servicio o proceso ex-ternalizado. El primer paso es validar la exis-tencia y calidad del proceso