Con el paso del tiempo el BPO o tercerización de servicios a tomado auge y con mayor fuerza se ha posicionado en los diferentes mercados. Las organizaciones usuarias están optando por enfocar sus esfuerzos en identificar servicio y asignar ciertas responsabilidades a sus proveedores de servicio. El cumplimiento de regulaciones, la disminución de costos, calidad y la oportunidad de especializarse completamente en la oferta a prestar, son algunas de las razones por las cuales las empresas optan por contratar servicios de tercerización.

Según datos del Global IT – BPO outsourcing de KPMG, el valor total de los acuerdos de IT-BPO en América aumentó un 189% en 2017 en comparación con 2016, por otra parte, en Europa, Medio Oriente y África dicho crecimiento se acercó a 23%. En el escenario colombiano, según pronósticos citados en el estudio nacional del sector de tercerización de servicios, para el año 2020, se esperan por la incursión de BPO ingresos aproximados a USD 1.604, 80 millones en el subsector de Contact Center, lo que equivale a una tasa de crecimiento de 6,9%.

Este crecimiento en la externalización trae consigo algunas preocupaciones en torno a identificar la integridad, seguridad y confiabilidad en el manejo de la información, aspectos que debe ser previamente analizado por las organizaciones usuarias y tener la certeza de que el ambiente de control que ha sido diseñado y preparado por las diferentes organizaciones de servicios no generará un efecto negativo en su propio sistema de control. Para esto es necesario:

• Realizar un monitoreo saludable a sus terceros que procesan información fuente para los estados financieros;

• Identificar si existe controles en torno al programa de gestión de riesgos de Ciberseguridad;

• Conocer el nivel de seguridad y privacidad con la cual manejan la información;

• Dar respuestas a las diferentes amenazas emergentes y al amplio número de requerimientos regulatorios tanto internos como externos. (Ley SOX, circulares 007 y 005 expedidas por la Superfinanciera);

• Conocer el Marco de controles de seguridad del cliente (CSCF) para todos aquellos que utilizan la red de mensajería interbancaria.

Debido a esta preocupación, el Instituto Americano de Contadores Públicos Certificados (AICPA) en abril de 1992, creó la norma de auditoría SAS 70, bajo la cual se abrió el espectro de informar a las organizaciones usuarias y a sus auditores, acerca del control interno de la organización de servicios tomando fuerza y relevancia a partir del año 2002, cuando entra en vigor la Ley Sarbanes – Oxley Act (SOX). A partir de estas nuevas leyes la Junta Internacional de Normas de Auditoría y Aseguramiento (IAASB) expidió la International Standard on Assurance (ISAE 3402) el 15 de junio del 2011, siendo conocida como el Informe de Aseguramiento Sobre los Controles en una Organización de Servicios la cual tiene como alcance proporcionar un reporte sobre la efectividad de los controles en una organización de servicios y es de uso exclusivo de las entidades usuarias y sus auditores externos.

La ISAE 3402 trae consigo algunas diferencias frente a la norma SAS 70, algunas de ellas son:

• La ISAE 3402 tiene un alcance internacional y debe ser aplicada principalmente en países donde se adoptan las normas IFAC y no se limita netamente a la bolsa de valores norteamericana.

• La ISAE 3402 indica que la gerencia debe proveer una declaración por escrito sobre la presentación, diseño y eficacia operativa de sus controles.

• Las organizaciones de sub- servicios están sujetas a los mismos requerimientos que la organización de servicios.

Debido a la implementación de la ISAE 3402, algunos países han empezado adoptar sus propias normas como en el caso de Estados Unidos la SAS 70 se convirtió en la SSAE 18. Para el caso colombiano la Superintendencia Financiera en el año 2019, expidió las circulares externas 005 que se enfocan en evaluar las opresiones de sus procesos misionales o financieros en nube y 007, la cual exige verificar los requerimientos de seguridad y ciberseguridad.

Es preciso concluir entonces que, frente a las múltiples amenazas a las cuales estamos propensos, el uso de los informes de atestiguamiento frente a los servicios tercerizados es necesario si se quiere: conocer la efectividad del ambiente de control sobre el cual operan las transacciones de las compañías.