Sistema y organización de los reportes de control (SOC)

Muchas instituciones externalizan sus operaciones empresariales y de TI para centrarse en sus principales objetivos, por lo que casi todas ellas recurren a algún tipo de subcontratación. En la actualidad, el panorama de la externalización se ha reconfigurado y las organizaciones de este tipo se han convertido en parte integral del ecosistema. Clientes, socios, agentes, afiliados, vendedores y proveedores de servicios componen actualmente el ecosistema, muchos de ellos con operaciones en todo el mundo. Gracias a ello, las empresas tienen acceso a una amplia gama de soluciones, lo que crea nuevas e interesantes oportunidades de mercado.

Al mismo tiempo, el creciente uso de proveedores de servicios externos ha aumentado la preocupación sobre la exposición al riesgo empresarial. Los accionistas, los comités de control, la Alta Dirección, los inversionistas y los reguladores exigen a las organizaciones que evalúen y gestionen los riesgos empresariales. Por ello, las organizaciones se enfrentan a riesgos difíciles de identificar, gestionar y controlar. Aunque se externalice un servicio, el riesgo permanecerá en la organización.

Esto ha llevado a las organizaciones a exigir que los proveedores de servicios externos presenten Reportes de Sistemas y Controles Organizacionales de Servicios (SOC) o informes de auditoría de los servicios. Los informes de aseguramiento de terceros (Third Party Assurance - TPA) ayudan a los prestadores de servicios a generar confianza en sus procesos y controles de prestación de servicios a través de la certificación de un auditor público independiente.

Normalmente, Mazars es contratada como auditor independiente por el usuario o la entidad prestadora de servicios. Los compromisos de TPA los realiza el auditor del servicio para proporcionar un informe independiente sobre el entorno de control interno del proveedor de servicios. Este informe está destinado a los directivos de la organización proveedora de servicios (subcontratista), los usuarios (clientes, posibles clientes) y/o sus auditores, reduciendo así la necesidad de que los clientes realicen sus propias auditorías.

Existen dos tipos de informes

Informes acerca de los controles que influyen en la información financiera sobre los clientes

Generalmente se realiza conforme a la norma SSAE18, publicada por el American Institute of Certified Public Accountants (AICPA), también denominada SOC 1, y la norma ISAE3402, publicada por el International Auditing and Assurance Standards Board (IAASB).

Verificación de la información no financiera

Los informes SOC 2 y SOC 3 se basan en los criterios de seguridad, confidencialidad, disponibilidad, integridad de procesamiento y privacidad de los servicios fiduciarios del AICPA, y en la norma ISAE 3000, Assurance Engagements Other than Audits or Reviews of Historical Financial Information, emitida por la Federación Internacional de Contables (IFAC).

SOC 1, SOC 2 y SOC 3

SOC 1. Tener certeza sobre el ambiente de control es sumamente importante para demostrar a nuestros clientes y sus auditores que pueden confiar en el procesamiento de las diferentes transacciones.

Este reporte brinda la confianza necesaria que nuestros clientes deben tener en sus auditores sobre aquellos procesos de información que afectan a los estados financieros así como los controles de los mismos. De igual manera busca demostrar la productividad y eficacia del ambiente de control.

SOC 2. El sentirse seguro sobre el ambiente de control de la información, es un activo invaluable para ofrecer a los clientes.

La competencia de servicios de outsourcing tales como Cloud Computing (SaaS), procesamiento de datos, y almacenaje de data, continúa incrementando, hay una amplia lista para poder asegurar la información de los riesgos asociados al usar nuestros servicios.

El reporte SOC 2 nos deja saber cómo es que la organización tiene implementados controles para garantizar nuestro compromiso y los requerimientos del sistema para la protección en áreas de seguridad, disponibilidad, integridad, confidencial y/o privacidad.

Este reporte muestra un poco de la opinión del auditor, así como narrativa para ganar contexto sobre la organización y la infraestructura de TI relevante, esto no quiere decir que no requiere de test de auditoría, más bien se realiza para poder brindar certeza en los ambientes de control descritos en el SOC 2, este reporte no contiene gran detalle sobre los controles, es por eso que puede ser fácilmente distribuido.

Cómo podemos ayudarle

Nuestra metodología brinda una alta calidad en la resolución de la evaluación SOC, a un costo muy competitivo y bajo nivel de error. Las habilidades de nuestros auditores independientes le van a ayudar a su organización, a navegar y manejar las diferentes complejidades que se pueden presentar en los informes SOC.

Le brindaremos guía y soporte en las diferentes opciones que se encuentran disponibles para ofrecer un reporte que brinde confianza y transparencia sobre su ambiente de control.