SOC1

Que son?

Entendamos sobre los reportes SOC 1 compliance o SOC 2 Complaince

SOC 1- ISAE 3402 (International Standard on Assurance Engagements No. 3402):

Es un estándar desarrollado por el International Auditing and Assurance Standards Board (IAASB) que provee información a las Organizaciones Usuarias (Clientes, auditores y otros interesados) sobre la evaluación del sistema de control interno de los servicios delegados en organizaciones prestadoras de servicios.

SOC 1 –SSAE18:

Corresponde al estándar definido por American Institute of Certified Public Accountants (AICPA) para clientes estadounidenses y se enfoca en la evaluación de controles que puedan soportar la evaluación para conclusiones y opiniones sobre la auditoria financiera.

Reporte SOC 2:

 El Informe de organización de servicios (SOC 2)  se realizará de acuerdo con el estándar  AT-C 205 y con base en los criterios de Servicios de Confianza o seguridad.  El informe SOC 2 se centra en los controles de informes no financieros de una empresa en relación con la seguridad, la disponibilidad, la integridad del procesamiento, la confidencialidad y la privacidad de la información.

Reporte SOC3

 El informe SOC 3, al igual que el SOC 2, se basa en criterios de confianza y seguridad. Se realiza bajo el estándar AT101. La principal diferencia es que el SOC 3 puede distribuirse libremente (uso general) y solo indica si se han alcanzado o no los criterios de confianza y seguridad, sin detalles de pruebas, resultados o opinión sobre la descripción del servicio. La ausencia de un informe detallado implica que el SOC 3 debe ser Tipo II, a diferencia de las opciones Tipo I en los SOC 1 y SOC 2. Los informes SOC 3 pueden abarcar uno o varios principios de Servicios de Confianza, como seguridad, disponibilidad, integridad de procesamiento, confidencialidad y privacidad. Esto permite a la organización colocar un sello en su sitio web tras completar exitosamente el informe.

Cuáles son los beneficios de contar con un reporte de este tipo?

  • Generar confianza y transparencia en el ambiente de control ante sus clientes sobre la implementación adecuada de medidas de seguridad y control que propendan por la integridad, confidencialidad y disponibilidad de la información de los clientes o relacionado con procesos generales o de operaciones tecnológicas.
  • Satisfacer los requerimientos de cumplimiento y auditoría tanto interna como externa solicitados por los clientes, permitiendo reducir los esfuerzos de atención de múltiples auditorias en un año.
  • Anticiparse a posibles requerimientos de un informe de esta naturaleza por parte de sus clientes actuales y futuros, convirtiéndose en una ventaja competitiva para mantener clientes y atraer nuevos negocios
  • Atención a preocupaciones sobre TI que manifiestan los distintos órganos de gobierno corporativo en las empresas, así como de reguladores nacionales y extranjeros (PCAOB, CNBV, CNSF, CONSAR, entre otros).

Quiénes requieren este tipo de reportes?

Empresas que ofrecen servicios en modalidades como outsourcing, Co-Sourcing o Software como Servicio (SaaS) pueden beneficiarse de nuestros servicios. Ejemplos incluyen Datacenters, Callcenters, servicios en la nube, software en arrendamiento y procesos de negocios, entre otros

Cuáles son las características de este tipo de reportes?

¿Cuáles son los tipos de reporte existentes?

Los reportes ISAE 3402/SSAE18 (SOC1) y SOC2 son fundamentales. En ellos, se detallan los servicios, procedimientos y eventos relevantes. Estos reportes cubren cambios y conclusiones sobre control interno y diseño de controles para servicios a clientes. En contraste, el reporte SOC3 requiere evaluar tanto el diseño (Tipo I) como la operatividad (Tipo II).

Reporte Tipo I: Se centra en un momento específico. Evalúa la efectividad y aplicación del diseño de control interno a una fecha determinada.

Reporte Tipo II: Amplía el Tipo I. Incluye la efectividad del control interno durante un periodo (mínimo seis meses).

Cual es el tiempo mínimo de operatividad de los controles que exige este tipo de reportes?

El tiempo mínimo requerido para la evaluación Tipo 2 (Operatividad) es de 6 meses, es decir este es el periodo de tiempo que evaluaría el auditor del servicio.

Cómo podemos ayudar?

Brindamos servicios de preparación y evaluación de reportes ISAE3402/SSAE18 (SOC1), SOC2 y SOC3. Operamos en Bogotá y en todo el territorio nacional. Contamos con más de 6 años de experiencia en esta especialidad.

Las siguientes son las etapas en las que podríamos ayudar a nuestros potenciales clientes

Reporte SOC 1 y SOC 2

Los procesos más comunes evaluados para este tipo de reportes son:

Los procesos que ilustramos a continuación corresponden principalmente a los que son sujeto de evaluación, estos son definidos según el tipo de reporte, servicio ofrecido por la organización de servicio y riegos asociados al mismo.

Reporte SOC 1 y SOC 2

Quieres ver algunas de nuestras experiencias sobre el servicio?

Algunas experiencia – Next Audit & Consulting (nextayc.com)

Deseas cotizar un servicio?





    Llámanos