Explicación de los Informes de Controles de Sistemas y Organizaciones (SOC): Cómo crear confianza en los servicios que presta

Posted by admin Articles

Los informes de controles de sistemas y organizaciones (SOC) se están convirtiendo rápidamente en una necesidad para crear confianza y dar garantías a los clientes (y posibles clientes) de una organización sobre los servicios que ésta presta.

El número de violaciones e incidentes resultantes de las vulnerabilidades en el sistema de una organización o de los proveedores de la organización está aumentando, y muchas organizaciones están buscando protegerse contra la costosa ciberdelincuencia.

A medida que la ciberseguridad y los controles internos están ganando más atención y énfasis en la comunidad empresarial de hoy, también lo están los informes SOC.

¿Tiene poco tiempo? Escuche y aprenda en este episodio de nuestro podcast: ¿Por qué son importantes los informes SOC para los proveedores de servicios?

¿Qué es un informe SOC?

Un informe SOC es el resultado y las conclusiones de un examen SOC, que está diseñado para dar garantías sobre el funcionamiento de los controles internos de una organización.

¿Quién puede emitir un informe SOC?

Los exámenes SOC son realizados por Contadores Públicos Certificados independientes (auditores de servicios) bajo las normas de atestación del Instituto Americano de Contadores Públicos Certificados (AICPA).

¿Qué son los controles internos?

El Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO) define ampliamente el control interno como «un proceso, llevado a cabo por el consejo de administración de una entidad, la dirección y otro personal, diseñado para proporcionar una seguridad razonable sobre la consecución de los objetivos relacionados con las operaciones, la información y el cumplimiento.»

Esencialmente, los controles internos son las medidas que su organización pone en marcha en relación con sus propias operaciones internas para aumentar la eficiencia, proteger contra la responsabilidad y permanecer en el cumplimiento de las regulaciones y leyes.

¿Cómo puede mi organización obtener la certificación SOC?

El término «certificación SOC» es en realidad un término erróneo resultante de una idea equivocada común sobre los informes SOC. Las organizaciones preguntan con frecuencia cómo pueden obtener la «certificación SOC» o el «cumplimiento de las normas SOC», pero no existe una certificación ni un aprobado o un suspenso con los informes SOC.

Una vez completado el examen SOC, se emite un paquete de informes que contiene el informe del auditor de servicios independiente, las pruebas realizadas por el auditor y los resultados de esas pruebas, y la afirmación y descripción del sistema (o la narrativa de los controles) de la organización de servicios.

Dentro de ese informe del auditor de servicios independiente, el auditor de servicios emitirá una opinión. Si la descripción del sistema se presenta de manera justa (SOC 1) o de acuerdo con los Criterios de Descripción (SOC 2), los controles están adecuadamente diseñados y los controles están operando de manera efectiva (Tipo 2), el auditor de servicios probablemente emitirá una «opinión sin modificaciones», que suele ser el resultado preferido.

Sin embargo, si hay problemas significativos encontrados en las pruebas o la descripción es engañosa o falta información relevante, el auditor de servicios podría emitir una opinión calificada o incluso adversa, dependiendo de la generalización de los problemas.

¿Quién necesita un informe SOC?

La decisión de realizar un examen SOC suele ser impulsada por las solicitudes o requisitos de un informe SOC de los clientes o posibles clientes de la organización de servicios. Por lo tanto, lo más probable es que sepa que necesita un informe SOC porque sus clientes se lo piden.

Para muchas empresas, solicitar un informe SOC a sus proveedores suele formar parte de los buenos procesos de gestión de proveedores y es típico de la diligencia debida que se realiza sobre los proveedores de una organización para abordar los riesgos asociados a la subcontratación de servicios a ese proveedor.

Es importante recordar que, aunque sus clientes o posibles clientes puedan subcontratar servicios, siguen siendo responsables de salvaguardar su propia información, y los informes SOC son un método para que puedan confiar en su empresa y en los servicios que les presta.

Las organizaciones deberían tener un informe SOC si:

  • se consideran una «organización de servicios» (una organización que presta servicios a entidades usuarias);
  • son solicitadas con frecuencia por clientes actuales o potenciales para que completen un cuestionario detallado sobre la seguridad de la organización o sobre los controles internos existentes para hacer frente a los riesgos que amenazan la consecución de los servicios contratados o los compromisos del sistema; o
  • son solicitadas con frecuencia por clientes actuales o potenciales para que suministren un informe SOC. (Esto podría ser el factor determinante para mantener a los clientes actuales o ganar el negocio de un cliente potencial.)

¿Cuál es el plazo típico para que se complete un examen SOC?

Los exámenes SOC pueden ser un proceso largo, que a veces tarda varios meses o incluso un año en completarse, dependiendo de lo preparada que esté la organización para cumplir los requisitos.

Para aquellas organizaciones que ya cuentan con políticas, procedimientos y controles internos sólidos, el proceso puede ser definitivamente más corto.

Si esas cosas no están en su lugar, normalmente recomendamos que la organización pase por una evaluación de preparación para determinar la preparación, para identificar las brechas o áreas de mejora y para evitar saltar a un examen SOC demasiado rápido. De este modo, se espera evitar cualquier excepción o deficiencia significativa en el informe SOC cuando se complete.

Ya sea que la organización elija un enfoque proactivo o tenga un examen SOC realizado en respuesta a las solicitudes de uno, en última instancia esperamos que también obtenga un conocimiento invaluable sobre lo bien que están funcionando sus procesos de control interno y las áreas en las que la mejora es crucial.

¿Existen diferentes variaciones de exámenes SOC?

Sí.

Para las organizaciones de servicios, existen los exámenes SOC 1®, SOC 2® y SOC 3®. Además de estos exámenes, el AICPA también ha formulado un SOC para la Ciberseguridad y un SOC para la Cadena de Suministro.

El AICPA ha marcado el conjunto de servicios SOC y las opciones de informes como sigue:

SOC para Organizaciones de Servicios
Exámenes SOC 1 (Tipos 1 y 2)
  • Destinados a informar sobre los controles en una organización de servicios relevantes para el control interno de una entidad sobre la información financiera (ICFR)
  • Típicamente realizados sobre servicios tales como planes de beneficios para empleados o de jubilación, servicios financieros/de custodia, procesamiento de nóminas, procesamiento de pagos, servicio de préstamos, etc.
  • Los informes se limitan a la dirección de la organización de servicios, a las entidades usuarias y a los auditores de los usuarios.
ExámenesSOC 2 (Tipos 1 y 2)
  • Basado en el TSP 100, 2017 Trust Services Criteria especificado por el AICPA y destinado a satisfacer las necesidades de una amplia gama de usuarios para la comprensión de los controles internos pertinentes a las cinco categorías de servicios fiduciarios: Seguridad (Criterios Comunes), Disponibilidad, Integridad de Procesamiento, Confidencialidad o Privacidad
  • Típicamente se realiza para Co-ubicaciones de Centros de Datos, proveedores de Software como Servicio (SaaS), proveedores de Servicios en la Nube, proveedores de Servicios de TI Gestionados, etc.
  • Los informes están restringidos a las entidades usuarias del sistema, a los socios comerciales, a las posibles entidades usuarias y socios comerciales, y a los reguladores que tienen un conocimiento de la organización de servicios y sus controles.
  • En los exámenes SOC 2+ sobre otros marcos de control interno (por ejemplo, SOC 2+ HIPAA).
Exámenes SOC 3
  • Realizados sobre las mismas categorías de servicios de confianza que el examen SOC 2, pero el informe es menos detallado y no incluye los resultados de las pruebas
  • Diseñados para entidades que procesan datos electrónicos de consumidores utilizando el comercio electrónico, el software como servicio y otros sistemas electrónicos, etc.
  • Informes de uso general que pueden distribuirse libremente a quienes no tienen conocimientos suficientes para entender los informes SOC 2
SOC de Ciberseguridad
  • Informar sobre el programa de gestión de riesgos de ciberseguridad de una organización y los controles a nivel de toda la entidad

    • .controles de toda la entidad

  • Se realizan pruebas de los controles pero los resultados de las pruebas no se incluyen en el informe.
  • Informes de uso general
SOC para la Cadena de Suministro
  • Aborda los Criterios de Servicios de Confianza del AICPA relevantes para las categorías de Seguridad, Disponibilidad, Integridad de Procesamiento, Confidencialidad o Privacidad
  • Los informes ayudan a las cadenas de suministro a comunicar eficazmente los controles existentes sobre los riesgos de producción y distribución en sus sistemas.
  • Diseñados para dar a los fabricantes, productores y empresas de distribución garantías sobre los controles de sus proveedores.

Dado que los informes SOC 1 y SOC 2 son los más demandados por las entidades usuarias, se justifica una visión más detallada de estas dos opciones de informes.

Ambos informes son de dos tipos: Tipo 1 y Tipo 2, que también se reseñan.

¿Qué es un informe SOC 1?

En los informes SOC 1, no hay criterios especificados. La organización de servicios desarrolla y redacta los objetivos de control generales y los controles relacionados específicos para lograr los objetivos de control. La organización de servicios también es responsable de la descripción de la sección del sistema del informe.

Los informes SOC 1 tienen como objetivo informar sobre los controles en una organización de servicios relevantes para el control interno de una entidad sobre la información financiera (ICFR), y normalmente se realizan sobre servicios tales como planes de beneficios para empleados o de jubilación, servicios financieros/de custodia, procesamiento de nóminas, procesamiento de pagos, servicio de préstamos, etc.

Los informes SOC 1 están restringidos a la dirección de la organización de servicios, a las entidades usuarias y a sus auditores.

¿Qué es un informe SOC 2?

En los informes SOC 2, el AICPA ha especificado los criterios de servicios fiduciarios utilizados para evaluar los controles y proporciona puntos de enfoque que las organizaciones pueden utilizar para ayudar a determinar los controles aplicables y el lenguaje de control.

Los criterios de servicios de confianza pueden clasificarse en cinco categorías:

  • Seguridad;
  • Disponibilidad;
  • Integridad de los procesos;
  • Confidencialidad; y
  • Privacidad.

Cuando se opta por utilizar los exámenes SOC 2, se debe utilizar la categoría de seguridad (también identificada como los «criterios comunes»), y luego se pueden elegir las categorías adicionales que sean aplicables a los compromisos de servicio o requisitos del sistema de la organización.

Por ejemplo, si la organización de servicios describe en sus acuerdos de nivel de servicio que el sistema o la plataforma de software estará disponible para sus usuarios las 24 horas del día, los 365 días del año, y que los procedimientos de continuidad del negocio y de recuperación de desastres se aplican y se prueban al menos anualmente, la categoría de disponibilidad sería relevante para su informe.

El AICPA también ha desarrollado ciertas normas que la organización de servicios debe utilizar al preparar la descripción del sistema para los informes SOC 2, que se describen en los Criterios de Descripción (DC) Sección 200.

Los exámenes SOC 2 se realizan normalmente para Co-ubicaciones de Centros de Datos, proveedores de Software como Servicio (SaaS), proveedores de Servicios en la Nube, proveedores de Servicios de TI Gestionados, etc.

Estos informes están restringidos a las entidades usuarias del sistema, a los socios comerciales, a las posibles entidades usuarias y socios comerciales, y a los reguladores que tienen un conocimiento de la organización de servicios y sus controles.

¿Cuál es la diferencia entre un informe SOC de Tipo 1 y de Tipo 2?

Un informe de Tipo 1 es a partir de una fecha especificada y asegura que la descripción del sistema se presenta de manera justa (informe SOC 1) o está de acuerdo con los criterios de descripción (informe SOC 2), y que los controles están adecuadamente diseñados a partir de la fecha especificada. Se realiza un recorrido por los controles y la prueba de uno de ellos, pero no hay pruebas detalladas.

Un informe de Tipo 2 se realiza sobre un periodo determinado, normalmente no inferior a seis meses. El dictamen ofrece garantías sobre la descripción y la idoneidad del diseño de los controles, así como sobre la eficacia operativa de los mismos. El examen de Tipo 2 implica la realización de pruebas detalladas de los controles durante todo el período del informe.

¿Cómo se formulan los informes SOC?

Los pasos para llevar a cabo un examen SOC varían, dependiendo de lo preparada que esté la organización para cumplir los requisitos. Normalmente, recomendamos, como auditor de servicios, seguir el proceso de cuatro pasos que se describe a continuación al realizar un examen SOC:

Examen SOC Paso 1: Realizar una reunión de compromiso/planificación

El auditor de servicios se reúne con la organización de servicios para determinar el alcance del sistema o de los servicios, la opción SOC más aplicable para las necesidades de la organización y el calendario, la programación y los honorarios del compromiso.

Paso 2 del examen SOC: realizar una evaluación de la preparación

Se celebran reuniones para discutir las políticas, los procesos y los procedimientos que la organización tiene en marcha o si deben desarrollarse o perfeccionarse. El auditor de servicios realiza recorridos, observaciones y preguntas sobre los procesos y procedimientos.

La organización es responsable de desarrollar los objetivos de control y los controles relacionados (informe SOC 1), o los controles específicos para cumplir con los criterios del informe SOC 2; sin embargo, el auditor de servicios puede compartir conocimientos, dar consejos o recomendar un lenguaje de control apropiado para ayudar a la organización en esta tarea.

Cualquier área de carencia identificada por el auditor de servicios se comunica a la organización de servicios para que los procesos y controles puedan ser refinados con el fin de dar una seguridad razonable de que la organización está bien preparada antes de que se realice el examen SOC.

Examen SOC Paso 3: Examen de Tipo 1 y presentación de informes (SOC 1 o SOC 2)

Las organizaciones pueden optar por realizar el examen de Tipo 1 antes de pasar al examen de Tipo 2 para ayudar a garantizar que los controles estén adecuadamente diseñados e implementados a partir de una fecha determinada.

El auditor de servicios sigue emitiendo un informe formal; sin embargo, dado que no se realizan pruebas detalladas de la eficacia operativa de los controles, éstos simplemente se enumeran como parte de la descripción del sistema de la organización. La opinión del auditor de servicios se manifiesta con respecto a la imparcialidad de la presentación de la descripción (SOC 1) o de acuerdo con los criterios de descripción (SOC 2), y si los controles están diseñados adecuadamente.

Aunque no todas las organizaciones eligen que se realice el Tipo 1, es definitivamente una opción a considerar para evitar múltiples excepciones o deficiencias que podrían ocurrir por pasar al Tipo 2 demasiado rápido.

Examen de Tipo 4: Examen de Tipo 2 y presentación de informes (SOC 1 o SOC 2)

Cuando la organización elige que se realice el examen de Tipo 2, el auditor de servicios completará las pruebas detalladas durante todo el período de presentación de informes, tal como se especificó durante el proceso de planificación.

En este informe, el auditor de servicios incluye una descripción de las pruebas realizadas, y la opinión cubrirá de nuevo la imparcialidad de la presentación de la descripción (o los criterios de descripción), si los controles están adecuadamente diseñados, y también si los controles funcionaron eficazmente durante el período del informe.

¿Cómo puede mi organización obtener un examen SOC completado para un informe SOC?

Los profesionales de Riesgo, Seguridad y Tecnología de Warren Averett trabajan estrechamente con las organizaciones proveedoras de servicios con el fin de obtener un conocimiento profundo de los requisitos de sus partes interesadas para que podamos identificar las soluciones adecuadas para sus necesidades cuando se trata de exámenes SOC y servicios de atestación.

Haga que un asesor de Warren Averett se ponga en contacto con usted para iniciar la conversación sobre cómo podría ser un informe SOC para su organización.

Este blog se publicó originalmente el 16 de diciembre de 2019 y se actualizó por última vez el 3 de noviembre de 2020.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.