Relatórios de Controles de Sistema e Organização (SOC) estão rapidamente se tornando uma necessidade para construir confiança e para dar segurança aos clientes (e potenciais clientes) de uma organização sobre os serviços que a organização fornece.

O número de violações e incidentes resultantes de vulnerabilidades no sistema da organização ou dos fornecedores da organização está aumentando, e muitas organizações estão procurando se proteger contra crimes cibernéticos caros.

As cibersegurança e controles internos estão ganhando mais atenção e ênfase na comunidade empresarial atual, assim como os relatórios SOC.

Curto prazo? Ouça e aprenda neste episódio do nosso podcast: Por que o relatório SOC é importante para os prestadores de serviços?

O que é um relatório SOC?

Um relatório SOC é o resultado e as conclusões de um exame SOC, que é projetado para dar garantia sobre o funcionamento dos controles internos de uma organização.

Quem pode emitir um relatório SOC?

Exames SOC são realizados por Contadores Públicos Certificados (auditores de serviços) independentes sob os padrões de certificação do American Institute of Certified Public Accountants (AICPA).

O que são controles internos?

O Comitê de Organizações Patrocinadoras da Comissão Treadway (COSO) define amplamente o controle interno como “um processo, realizado pelo conselho de administração, gerência e outro pessoal de uma entidade, destinado a fornecer uma garantia razoável em relação ao cumprimento dos objetivos relacionados às operações, relatórios e conformidade”.”

Essencialmente, os controles internos são as medidas que a sua organização coloca em prática em relação às suas próprias operações internas para aumentar a eficiência, proteger contra responsabilidade e permanecer em conformidade com regulamentos e leis.

>

Como minha organização pode obter a certificação SOC?

O termo “certificação SOC” é, na verdade, um termo errôneo resultante de uma concepção errada comum sobre relatórios SOC. As organizações frequentemente perguntam como podem tornar-se “certificadas SOC” ou “compatíveis com SOC”, mas não há certificação e não há aprovação ou reprovação com relatórios SOC.

Após a conclusão do exame SOC, é emitido um pacote de relatórios, que contém o relatório do Auditor de Serviço Independente, testes realizados pelo auditor e resultados desses testes, e a afirmação e descrição do sistema (ou narrativa dos controles) da organização de serviço.

No Relatório do Auditor de Serviço Independente, o auditor de serviço emitirá uma opinião. Se a descrição do sistema for apresentada de forma justa (SOC 1) ou de acordo com os Critérios de Descrição (SOC 2), se os controles forem adequadamente projetados e se os controles estiverem operando efetivamente (Tipo 2s), o auditor de serviços provavelmente emitirá uma “opinião não modificada”, que é normalmente o resultado preferido.

No entanto, se forem encontrados problemas significativos nos testes ou se a descrição for enganosa ou faltar informação relevante, o auditor de serviços poderá emitir uma opinião qualificada ou mesmo adversa, dependendo da abrangência dos problemas.

Quem precisa de um relatório SOC?

A decisão de ter um exame SOC realizado é normalmente motivada por solicitações ou requisitos para um relatório SOC dos clientes da organização de serviços ou clientes potenciais. Então, muito provavelmente, você saberá que precisa de um relatório SOC porque seus clientes estão pedindo um.

Para muitas empresas, solicitar um relatório SOC de seus fornecedores geralmente faz parte de bons processos de gerenciamento de fornecedores e é típico da due diligence realizada sobre os fornecedores de uma organização, a fim de abordar os riscos associados à terceirização de serviços para esse fornecedor.

É importante lembrar que enquanto seus clientes ou potenciais clientes podem terceirizar serviços, eles ainda são responsáveis por salvaguardar suas próprias informações, e os relatórios SOC são um método para eles construírem confiança em sua empresa e nos serviços que você lhes presta.

As organizações devem ter um relatório SOC se eles:

• são consideradas como uma “organização de serviços” (uma organização que presta serviços a entidades usuárias);
• são frequentemente solicitadas por clientes atuais ou potenciais para preencher um questionário detalhado sobre a segurança da organização ou sobre os controles internos em vigor para tratar de riscos que ameaçam o cumprimento de serviços contratados ou compromissos do sistema; ou
• são frequentemente solicitadas por clientes atuais ou potenciais para fornecer um relatório SOC. (Esse pode ser o fator determinante para manter os clientes atuais ou ganhar o negócio de um cliente em potencial.)

Qual é o prazo típico para ter um exame SOC concluído?

Exames SOC podem ser um processo demorado, às vezes levando vários meses ou até mesmo um ano para ser concluído, dependendo de como a organização está preparada para atender aos requisitos.

Para as organizações que já têm políticas, procedimentos e controles internos robustos em vigor, o processo pode ser definitivamente mais curto.

Se essas coisas não estiverem em vigor, normalmente recomendamos que a organização passe por uma Avaliação de Prontidão para determinar a prontidão, para identificar lacunas ou áreas para melhoria e para evitar saltar para um exame de SOC muito rapidamente. Ao fazer isso, esperamos evitar qualquer exceção ou deficiência significativa no relatório SOC quando ele for concluído.

Se a organização escolher uma abordagem proativa ou tiver um exame SOC realizado em resposta a solicitações de um, esperamos que ela também adquira um conhecimento inestimável sobre como seus processos de controle interno estão funcionando e áreas onde a melhoria é crucial.

Existem diferentes variações nos exames SOC?

Sim.

Para organizações de serviços, existem os exames SOC 1®, SOC 2® e SOC 3®. Além desses exames, a AICPA também formulou um SOC para Cybersecurity e um SOC para Supply Chain.

A AICPA marcou o SOC Suite de Serviços e opções de relatórios como segue:

SOC para Organizações de Serviços
SOC 1 Exames (Tipos 1 e 2)	Intendido a relatar sobre controles em uma organização de serviços relevantes para o controle interno de uma entidade sobre relatórios financeiros (ICFR) Tipicamente realizado sobre serviços tais como benefícios a empregados ou planos de aposentadoria, serviços financeiros/custodiários, processamento de salários, processamento de pagamentos, serviço de empréstimos, etc. Os relatórios são restritos à administração da organização de serviços, entidades usuárias e auditores usuários.
Exames ISOC 2 (Tipos 1 e 2)	Baseado nos Critérios de Serviços Fiduciários TSP 100, 2017 especificados pela AICPA e destinados a atender às necessidades de uma ampla gama de usuários para a compreensão dos controles internos relevantes para as cinco categorias de serviços fiduciários: Segurança (Critérios Comuns), Disponibilidade, Integridade de Processamento, Confidencialidade ou Privacidade Tipicamente realizado para Co-localizações de Centros de Dados, provedores de Software como Serviço (SaaS), provedores de Serviços em Nuvem, provedores de Serviços Gerenciados de TI, etc. Relatórios são restritos a entidades de usuários do sistema, parceiros de negócios, entidades de usuários potenciais e parceiros de negócios, e reguladores que tenham um entendimento da organização de serviços e seus controles. As matérias adicionais e critérios adicionais podem ser abordados nos exames SOC 2+ sobre outras estruturas de controle interno (por exemplo SOC 2+ HIPAA).
SOC 3 Exames	Realizado sobre as mesmas categorias de serviços de confiança do exame SOC 2, mas o relatório é menos detalhado e não inclui resultados de testes Desenhado para entidades que processam dados eletrônicos de consumidores usando comércio eletrônico, Software como Serviço, e outros sistemas eletrônicos, etc. Relatórios de uso geral que podem ser distribuídos livremente àqueles que não têm conhecimento suficiente para compreender os relatórios SOC 2
SOC para Cibersegurança
	Relatórios sobre o programa e entidade de gerenciamento de risco de cibersegurança de uma organização controles largos Testes de controles são realizados, mas os resultados dos testes não são incluídos no relatório. Relatórios de uso geral
SOC para a cadeia de suprimentos
	Endereçar os Critérios de Serviços de Confiança da AICPA relevantes para as categorias de Segurança, Disponibilidade, Integridade de Processamento, Confidencialidade ou Privacidade Relatórios ajudam as cadeias de fornecimento a comunicar eficazmente os controlos em vigor sobre os riscos de produção e distribuição nos seus sistemas. Desenhado para dar aos fabricantes, produtores e empresas de distribuição garantia sobre os controles de seus fornecedores.

Desde que os relatórios SOC 1 e SOC 2 são os mais exigidos pelas entidades usuárias, uma visão mais detalhada destas duas opções de relatórios é garantida.

Casos relatórios têm dois tipos: Tipo 1 e Tipo 2, que também são delineados.

O que é um relatório SOC 1?

Nos relatórios SOC 1, não há critérios especificados. A organização de serviços desenvolve e elabora os objetivos gerais de controle e os controles relacionados específicos para alcançar os objetivos de controle. A organização de serviços também é responsável pela descrição da seção do sistema do relatório.

Relatórios SOC 1 destinam-se a relatar controles em uma organização de serviços relevantes para o controle interno de uma entidade sobre relatórios financeiros (ICFR), e normalmente são realizados sobre serviços como planos de benefícios ou aposentadoria, serviços financeiros/custodiários, processamento de folha de pagamento, processamento de pagamentos, serviços de empréstimo, etc.

Os relatórios SOC 1 são restritos à administração da organização de serviços, entidades usuárias e seus auditores.

O que é um relatório SOC 2?

Nos relatórios SOC 2, a AICPA especificou os critérios dos serviços de confiança usados para avaliar os controles e fornece pontos de foco que as organizações podem usar para ajudar a determinar os controles aplicáveis e a linguagem de controle.

Os critérios dos serviços de confiança podem ser classificados em cinco categorias:

• Segurança;
• Disponibilidade;
• Integridade do processamento;
• Confidencialidade; e
• Privacidade.

Ao optar por usar os exames SOC 2, a categoria de segurança (também identificada como o “critério comum”) deve ser utilizada, e então categorias adicionais podem ser escolhidas como aplicáveis aos compromissos de serviço ou requisitos de sistema da organização.

Por exemplo, se a organização de serviços delinear em seus contratos de nível de serviço que o sistema ou plataforma de software estará disponível para seus usuários 24 horas por dia, 7 dias por semana, 365 dias por ano e que os procedimentos de continuidade de negócios e recuperação de desastres estão em vigor e testados pelo menos anualmente, a Categoria Disponibilidade seria relevante para seu relatório.

A AICPA também desenvolveu certos padrões que a organização de serviços deve usar ao preparar a descrição do sistema para os relatórios SOC 2, que estão delineados na Seção 200.

Os exames da AICPA 2 são normalmente realizados para Data Center Co-locations, Software as a Service (SaaS) providers, Cloud Service providers, Managed IT Services providers, etc.

Estes relatórios são restritos a entidades usuárias do sistema, parceiros de negócios, potenciais entidades usuárias e parceiros de negócios, e reguladores que tenham um entendimento da organização de serviços e seus controles.

Qual é a diferença entre um relatório SOC Tipo 1 e Tipo 2?

Um relatório Tipo 1 é a partir de uma data especificada e assegura que a descrição do sistema é apresentada de forma justa (relatório SOC 1) ou está de acordo com os critérios de descrição (relatório SOC 2), e que os controles são adequadamente projetados a partir da data especificada. Uma passagem pelos controles e um teste de um é realizado, mas não há nenhum teste detalhado.

Um relatório Tipo 2 é realizado durante um período especificado, normalmente não menos de seis meses. O parecer dá garantia sobre a descrição e adequação do projeto dos controles, e também sobre a eficácia operacional dos controles. O exame Tipo 2 envolve testes detalhados dos controles durante todo o período de relatório.

Como são formulados os Relatórios SOC?

Os passos para realizar um exame SOC variam, dependendo de como a organização está preparada para atender aos requisitos. Normalmente, recomendamos como auditor de serviços seguir o processo de quatro etapas descritas abaixo ao realizar um exame SOC:

SOC Examination Step 1: Conduzir uma reunião de planejamento/engenharia

O auditor de serviços se reúne com a organização de serviços para determinar o escopo do sistema ou serviços, a opção SOC mais aplicável para as necessidades da organização, e o cronograma, programação e honorários do compromisso.

ExameSOC Passo 2: Conduzir uma Avaliação de Prontidão

Reuniões são realizadas para discutir políticas, processos e procedimentos que a organização tem em vigor ou se eles têm de ser desenvolvidos ou refinados. Passos, observações e consultas sobre processos e procedimentos são realizados pelo auditor de serviços.

A organização é responsável por desenvolver objetivos de controle e controles relacionados (relatório SOC 1), ou controles específicos para atender aos critérios do relatório SOC 2; entretanto, o auditor de serviços pode compartilhar conhecimentos, dar conselhos ou recomendar linguagem de controle apropriada para auxiliar a organização nessa tarefa.

Todas as áreas de lacunas identificadas pelo auditor de serviços são relatadas à organização de serviços para que os processos e controles possam ser refinados a fim de dar uma garantia razoável de que a organização está bem preparada antes que o exame SOC seja realizado.

SOC Examination Step 3: Type 1 Examination and Reporting (SOC 1 ou SOC 2)

As organizações podem escolher que o exame Type 1 seja realizado antes de passar para o exame Type 2 para ajudar a assegurar que os controles sejam adequadamente projetados e implementados a partir de uma data especificada.

Um relatório formal ainda é emitido pelo auditor de serviço; No entanto, como não são realizados testes detalhados da eficácia operacional dos controles, os controles são simplesmente listados como parte da descrição do sistema da organização. A opinião do auditor de serviços é expressa em relação à justiça da apresentação da descrição (SOC 1) ou de acordo com o critério de descrição (SOC 2), e se os controles são adequadamente projetados.

Embora nem todas as organizações optem pela realização do Tipo 1, é definitivamente uma opção a ser considerada a fim de evitar múltiplas exceções ou deficiências que possam ocorrer ao se mudar para o Tipo 2 muito rapidamente.

SOC Examination Step 4: Type 2 examination and reporting (SOC 1 ou SOC 2)

Quando a organização opta por ter o exame Type 2 realizado, testes detalhados serão completados pelo auditor de serviço durante todo o período de relatório, conforme especificado durante o processo de planejamento.

Neste relatório, o auditor de serviços inclui uma descrição dos testes realizados, e a opinião irá novamente cobrir a justiça da apresentação da descrição (ou critério de descrição), se os controles foram adequadamente projetados e também se os controles operaram efetivamente durante o período de relatório.

Como a minha organização pode ter um exame SOC concluído para um relatório SOC?

Os profissionais de Risco, Segurança e Tecnologia da Warren Averett trabalham em estreita colaboração com as organizações prestadoras de serviços a fim de obter uma compreensão completa dos requisitos de suas partes interessadas para que possamos identificar as soluções certas para suas necessidades quando se trata de exames SOC e serviços de atestação.

Deixe um conselheiro Warren Averett contactá-lo para iniciar a conversa sobre como um relatório SOC poderia ser para a sua organização.