SOC 1
Avanzando con nuestro entendimiento de los reportes para organizaciones de servicio, en el presente boletín hablaremos a profundidad del reporte SOC1 el cual es considerado un informe sobre los Controles en una Organización de Servicio que son relevantes para el control interno de las entidades usuarias sobre la información financiera. Para esto comprendamos que son:
- Organización de servicios:
Es la entidad que presta los servicios a terceros a través de modalidad de Outsourcing, servicios software en la nube (SaaS), call centers, BPOs etc. Los cuales son llamados a ejecutar los reportes SOCR como el SOC1, SOC2 y SOC3, para otorgar tranquilidad a cliente y sus auditores
- Auditor de servicio:
El auditor de servicio es el responsable de auditar de forma independiente a la organización de servicios emitiendo los reportes SOCR.
El Informe SOC1 era conocido anteriormente como el estándar SAS70 (o SSAE 16) el cual podría ser Tipo I (Evaluación del diseño de los controles) o tipo II (Evaluación de la operatividad de los controles). Sin embargo, desde el 1 de mayo de 2017 es ejecutado bajo la guía SSAE18.
A continuación, mostraremos una serie de cambios clave realizados en el estándar de auditoría a lo largo del tiempo:
Diferencias entre SAS 70, SSAE 16 e ISAE 3042:
Se requiere que la Administración de la Organización del Servicio proporcione al auditor del servicio una afirmación por escrito sobre lo siguiente, cuando realice un trabajo Tipo I o Tipo II, que el auditor del servicio luego dará fe de:
- La imparcialidad de la presentación de la descripción del sistema de la organización de servicios.
- La idoneidad del diseño de los controles para lograr los objetivos de control relacionados en la descripción.
- La efectividad operativa de esos controles para lograr los objetivos de control relacionados establecidos en la descripción (solo Tipo II)
Durante el proceso de comprensión de la organización de servicios, se requerirá que el Auditor de Servicios obtenga información suficiente que permita identificar que los riesgos de la organización de servicios no se presenten o que los objetivos de control establecidos en la descripción no se hayan logrado.
El SSAE18 agrega un conjunto adicional de requisitos para mejorar aún más el estándar SSAE 16 como, por ejemplo:
Requiere la inclusión de una sección de la evaluación del control interno a través de la evaluación de 17 principios establecidos en el modelo de control interno COSO, el cual también fue adicionado para el reporte SOC2.
Requiere la realización de una evaluación de riesgos detallada basada en los objetivos de control definidos en el informe y según el servicio ofrecido por la organización de servicios.
Los últimos cambios están destinados a brindar al usuario final una imagen más clara de las organizaciones de sub servicio de su proveedor y las responsabilidades del usuario final (controles complementarios de la entidad usuaria (Cliente), lo que ayudará a proporcionar un mayor nivel de seguridad y comprensión para todos involucrados.
Además del informe SOC 1 que está restringido a los controles relevantes para una auditoría de los estados financieros de una entidad usuaria, los informes SOC 2 y SOC 3 se han creado para abordar los controles relevantes para las operaciones y el cumplimiento.
Informe SOC 2 (Principios de los servicios de confianza o seguridad):
El informe de Control de organización de servicios SOC 2 se realizará de acuerdo con AT 101 y se basará en los Principios de los servicios de confianza en relación con la seguridad, la disponibilidad, la integridad del procesamiento, la confidencialidad y la privacidad de la información. Este reporte tiene la capacidad de probar e informar sobre el diseño de los controles (reporte Tipo I) y la efectividad de la operatividad de la ejecución de los controles ( Tipo II) de una organización de servicios (al igual que SOC 1 / SSAE 18)
Informe SOC 3 – WebTrust y SysTrust – El Informe SOC 3 también se basa en los Principios del Servicio de Confianza y seguridad que ilustramos en el SOC2 y se realiza bajo AT-C 205, la diferencia es que un Informe SOC 3 se puede distribuir libremente (uso general) y solo informa si la entidad ha cumplido los criterios de los Servicios de confianza o no (sin descripción de las pruebas y resultados u opinión sobre la descripción del sistema o servicio)
*Mayor información en “American Institute of Certified Public Accountants (AICPA)“
Cuántas actualizaciones ha tenido el SOC1?
El SOC 1 surgió del informe original SAS 70, que, una vez que se emitió SSAE 16 en abril de 2010, el nombre del informe formal se cambió a SOC 1 (pero emitido bajo la guía SSAE 16) y entró en vigencia a partir de junio de 2011. SSAE 18 se emitió en mayo de 2017.
Abel Cupajita Rueda
Lawyer Partner & CEO at Sescol Tax & Legal
Nelson Camargo
IT Risk Consultant Partner at Next Audit