Third Party Assurance Services

Ámbitos de aplicación 

En un mundo cada vez más globalizado y con entornos impredecibles, las organizaciones optan con frecuencia por externalizar determinados procesos o actividades que le permitan actuar con mayor flexibilidad y agilidad frente a factores externos e internos cambiantes, adecuando su estrategia y procesos a dichos factores.

No obstante, la externalización de determinados procesos conlleva diferentes tipologías de riesgos, según el caso, que las organizaciones deben prevenir y mitigar. En este contexto, los Servicios de Aseguramiento a terceros (Third Party Assurance) ofrecen una garantía sobre el correcto funcionamiento de los mecanismos de control implementados en la organización prestadora de servicios externalizados, aplicando metodologías, estándares o normas internacionales de referencia, como por ejemplo el ISAE 3402 o SSAE 18.

La aportación de valor de los Servicios de Aseguramiento no se limita únicamente al cliente de un servicio, sino también al propio proveedor del mismo, ya que la certificación, bajo estándares mencionados anteriormente como un ISAE 3402, ISAE 3000, o SSAE 18, sobre el entorno de control implementado para la realización o prestación de un servicio a sus clientes supone una ventaja competitiva frente a organizaciones similares, ofreciendo no solo un servicio especializado sino también generando confort y tranquilidad a sus clientes sobre la correcta ejecución de dichos servicios reduciendo o mitigando los posibles riesgos asociados.

En cuanto al ámbito de aplicación, podemos destacar los siguientes procesos o servicios que, por los riesgos inherentes asociados y el impacto potencial en los clientes de dichos servicios, se pueden ver más beneficiados por los informes de aseguramiento:.

• Procesos con impacto financiero (gestión de la facturación, gestión de nóminas, gestión de cobros, servicios contables, etc.).
• Procesos tecnológicos (Cloud Computing) o IT (seguridad informática, herramientas de gestión, etc.).
• Servicios logísticos y gestión de existencias, almacenaje, etc.
• Gestión de la privacidad de datos.
• Etc.

Nuestros Servicios relativos a Third Party Assurance

Desde nuestra área de Risk & Advisory Services (RAS) damos respuesta a las necesidades que las organizaciones puedan tener en materia del Third Party Assurance, ofreciendo un abanico de servicios especializados, para los que disponemos de un amplio equipo multidisciplinar, con reconocida experiencia y formación en la materia. 

Nuestros principales servicios son:

Ámbito Información Financiera:

• Elaboración de informes SOC 1 Tipo I y Tipo II, bajo estándares ISAE 3402 y SSAE 18.
• Evaluación de Sistemas de Control Interno sobre Información Financiera (SOX/SCIIF).

Ámbito Tecnológico:

• Realización de auditorías de certificación de conformidad respecto a los requisitos del Esquema Nacional de Seguridad (ENS). 
• Auditorías de cumplimiento de los requerimientos de la normativa de protección de datos. Ver servicio Privacidad.

Ámbito regulatorio:

• Verificación de los Estados de Información No Financiera de la Organización, conforme a las directrices recogidas en la Ley 11/2018.
• Realización del Examen anual de Experto Externo sobre los procedimientos y órganos de control en materia de prevención del blanqueo de capitales y de la financiación del terrorismo.

Other Assurance:

• Ejecución de revisiones y auditorías de cumplimiento de compromisos entre partes (monitoring trustee), así como sobre clausulados contractuales con terceros (contract compliance).

Normativa de referencia

En función del ámbito de control son numerosas las normativas y marcos de referencia que establecen directrices sobre los modelos de control y gestión de riesgos a aplicar por las Organizaciones, y que deberían ser objeto de una evaluación posterior por un tercero independiente, entre los que destacan, entre otros:

Ámbito Información Financiera:

• Directiva europea 2006/43 y 2006/46
• Ley de Sociedades de Capital
• Circular 5/2013 y 2/2018 de la CNMV

Ámbito Tecnológico:

• Reglamento (UE) 2016/679- Reglamento General de Protección de Datos
• LOPDGDD (Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales)
• Esquema Nacional de Seguridad (Real Decreto 3/2010 y Real Decreto 951/2015)

Ámbito regulatorio:

• Ley 11/2018 de 28 de diciembre de Información No Financiera y Diversidad
• Ley 10/2010 de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo
• Real Decreto 304/2014 por el que se aprueba el Reglamento de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo
• Real Decreto Ley 11/2018 de 31 de agosto de transposición de la Directiva de la Unión Europea en materia de prevención de blanqueo de capitales

Publicaciones

Ámbito información Financiero

• "Informe Third Party Attestation"

Ámbito Tecnológico:

• “Nueva Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales”
• “What asset managers need to know about soc reports”

Ámbito regulatorio: 

• “Guía sobre la Ley de Información No Financiera y Diversidad”

Artículos

Ámbito Información Financiera:

• Gestión de riesgos sobre servicios externalizados. Third party assurance
•  “Why plan sponsors should read their service providers’ soc reports”
• "Integración de la información no financiera en los sistemas de control interno"

Ámbito Tecnológico:

•  “Privacy & security: el nuevo marco internacional de referencia”
• “ENS: el marco de seguridad de referencia made in Spain”
• “El ángulo muerto si no se realizan auditorías a medida de GDPR”

Ámbito regulatorio:

• “Información no financiera: challenge 2020”
• “El reto de la información no financiera”
• “Fifth EU money laundering directive - final changes”

 Other Assurance:

• “Contract Management - How to get comfort that your contracting processes are efficient and effective?”