Controles del Sistema y de la Organización (SOC)

Las empresas confían cada vez más en terceros para aumentar la eficiencia, reducir costos y mejorar el rendimiento. Sin embargo, trabajar con organizaciones externas conlleva toda una serie de riesgos que no existían en el pasado. Las autoridades reguladoras de sectores como el financiero, han dejado claro que no se puede culpar a los contratistas por los errores que puedan cometer y que las empresas deben adoptar un enfoque riguroso y sistemático para evaluar y gestionar los riesgos derivados de la dependencia de terceros.

El creciente uso de proveedores de servicios externos ha aumentado la preocupación sobre la exposición al riesgo empresarial. Los accionistas, los comités de control, la Alta Dirección, los inversionistas y los reguladores exigen a las organizaciones que evalúen y gestionen los riesgos empresariales. Por ello, las organizaciones se enfrentan a riesgos difíciles de identificar, gestionar y controlar. Aunque se externalice un servicio, el riesgo permanecerá en la organización. 

Esto ha llevado a las organizaciones a exigir que los proveedores de servicios externos presenten Reportes de Sistemas y Controles Organizacionales de Servicios (SOC) o informes de auditoría de los servicios. Los informes de aseguramiento de terceros (Third Party Assurance - TPA) ayudan a los prestadores de servicios a generar confianza en sus procesos y controles de prestación de servicios a través de la certificación de un auditor público independiente.

¿Cómo podemos ayudarle?

Nuestro equipo internacional de especialistas cuenta con una amplia experiencia en el sector y puede recurrir a ella para garantizar que los riesgos sean mitigados y cumplan con sus objetivos.

Mazars es contratada como auditor independiente por el usuario o la entidad prestadora de servicios. Los compromisos de TPA los realiza el auditor del servicio para proporcionar un informe independiente sobre el entorno de control interno del proveedor. Este informe está destinado a los directivos de la organización proveedora de servicios (subcontratista), los usuarios (clientes, posibles clientes) y/o sus auditores, reduciendo así la necesidad de que los clientes realicen sus propias auditorías.

Nuestra metodología brinda una alta calidad en la resolución de la evaluación SOC 1, SOC 2 y SOC 3 a un costo muy competitivo. Le brindaremos guía y soporte en las diferentes opciones que se encuentran disponibles para ofrecer un reporte que proporcione confianza y transparencia sobre su ambiente de control.

Estrategia SOC_ESP_VF

Los Controles en Organizaciones de Servicios (SOC 1, SOC 2 y SOC 3)

SOC 1

Informe de los controles en una organización de servicios alrededor de la información financiera del usuario. Nuestros clientes deben tener confianza sobre aquellos procesos que afectan a los estados financieros. Este reporte busca demostrar la productividad y eficacia del control interno sobre la información financiera. 

SOC 2

Informe de los controles en una organización de servicios alrededor de la seguridad, disponibilidad, integridad en el procesamiento, confidencialidad o privacidad. El sentirse seguro sobre el ambiente de control de la información, es un activo invaluable para ofrecer a los clientes.

SOC 3 

Informe que brinda a los clientes confiabilidad sobre el reporte SOC 2. Normalmente, el reporte SOC 3 puede ser libremente compartido y publicado en internet. Este reporte muestra un poco de la opinión del auditor, así como narrativa para ganar contexto sobre la organización y la infraestructura de TI relevante, esto no quiere decir que no requiere de test de auditoría, más bien se realiza para poder brindar certeza en los ambientes de control descritos en el SOC 2. Este reporte no contiene gran detalle sobre los controles, es por eso que puede ser fácilmente distribuido.

¿Qué informe SOC necesita mi organización?

Preguntas clave SOC_ESP

¿Qué hacer para estar preparado?

  • Determinar el tipo de reporte y el estándar que se va a aplicar.
  • Revisar la descripción actual de los sistemas y controles para validar si es adecuada. De ser necesario, fortalecer la gestión del control interno y de riesgos.
  • Revisar los estándares para obtener el conocimiento adicional acerca de los requerimientos.
Beneficios_SOC_ESP

¿Quiere saber más?