Que son?
Entendamos sobre los reportes SOC1 compliance o SOC 2 Complaince
SOC 1- ISAE 3402 (International Standard on Assurance Engagements No. 3402):
Es un estándar desarrollado por el International Auditing and Assurance Standards Board (IAASB) que provee información a las Organizaciones Usuarias (Clientes, auditores y otros interesados) sobre la evaluación del sistema de control interno de los servicios delegados en organizaciones prestadoras de servicios.
SOC 1 –SSAE18:
Corresponde al estándar definido por American Institute of Certified Public Accountants (AICPA) para clientes estadounidenses y se enfoca en la evaluación de controles que puedan soportar la evaluación para conclusiones y opiniones sobre la auditoria financiera.
Reporte SOC 2:
El Informe de organización de servicios (SOC 2) se realizará de acuerdo con el estándar AT-C 205 y con base en los criterios de Servicios de Confianza o seguridad. El informe SOC2 se centra en los controles de informes no financieros de una empresa en relación con la seguridad, la disponibilidad, la integridad del procesamiento, la confidencialidad y la privacidad de la información.
Reporte SOC3
Al igual que el SOC 2 , se basa en los criterios de servicios de Confianza y seguridad y se realiza bajo le estándar AT101, la diferencia es que un Informe SOC 3 se puede distribuir libremente (uso general) y solo informa si la entidad ha logrado los criterios de confianza y seguridad o no (sin descripción de pruebas , resultados u opinión sobre la descripción del servicio). La falta de un informe detallado requiere que se realice un SOC 3 como Tipo II, a diferencia del SOC 1y SOC 2 donde hay una opción de Tipo I. Los informes SOC 3 se pueden emitir en uno o varios principios de Servicios de confianza (seguridad, disponibilidad, integridad de procesamiento, confidencialidad y privacidad) y permitir que la organización coloque un sello en su sitio web una vez que se complete con éxito.
Cuáles son los beneficios de contar con un reporte de este tipo?
- Generar confianza y transparencia en el ambiente de control ante sus clientes sobre la implementación adecuada de medidas de seguridad y control que propendan por la integridad, confidencialidad y disponibilidad de la información de los clientes o relacionado con procesos generales o de operaciones tecnológicas.
- Satisfacer los requerimientos de cumplimiento y auditoría tanto interna como externa solicitados por los clientes, permitiendo reducir los esfuerzos de atención de múltiples auditorias en un año.
- Anticiparse a posibles requerimientos de un informe de esta naturaleza por parte de sus clientes actuales y futuros, convirtiéndose en una ventaja competitiva para mantener clientes y atraer nuevos negocios
- Atención a preocupaciones sobre TI que manifiestan los distintos órganos de gobierno corporativo en las empresas, así como de reguladores nacionales y extranjeros (PCAOB, CNBV, CNSF, CONSAR, entre otros).
Quiénes requieren este tipo de reportes?
Empresas prestadoras de servicios bajo modalidad de outsourcing, Co-Sourcing o software como servicio (SaaS) , algunos de estos pueden ser (Datacenter, Callcenter, servicios en la nube, software en arrendamiento, procesos de negocios, etc.)
Cuáles son las características de este tipo de reportes?

¿Cuáles son los tipos de reporte existentes?
Existen dos tipos de reportes ISAE 3402 / SSAE18 (SOC1) y SOC2. En ambos tipos de reporte, la organización de servicios provee una descripción de los servicios provistos, procedimientos, eventos significativos, esquemas de reporte, cambios ocurridos durante el periodo auditado, y su conclusión sobre el ambiente de control de la compañía y el diseño de los controles asociados a los servicios delegados por sus clientes, para el reporte SOC3 no es posible la evaluación única del diseño (Tipo I), es requerido evaluar la operatividad (Tipo II)
Reporte Tipo I: Se emite para un momento específico en el tiempo e incluye una opinión del auditor externo a una fecha específica sobre la efectividad y aplicación del diseño del control interno (no de su operación).
Reporte Tipo II: En adición a la información incluida en un reporte tipo I, el tipo II incluye una opinión del auditor sobre la efectividad del control interno diseñado a lo largo de un período de tiempo (mínimo seis meses).
Cual es el tiempo mínimo de operatividad de los controles que exige este tipo de reportes?
El tiempo mínimo requerido para la evaluación Tipo 2 (Operatividad) es de 6 meses, es decir este es el periodo de tiempo que evaluaría el auditor del servicio.
Cómo podemos ayudar?
Ofrecemos servicios para la preparación y evaluación de reportes ISAE3402 /SSAE18 (SOC1), SOC2 y SOC3 atendiendo en Bogotá y todo el territorio nacional, Somos expertos (Experiencia de más de 6 años en esta espacialidad.)
Las siguientes son las etapas en las que podríamos ayudar a nuestros potenciales clientes

Los procesos más comunes evaluados para este tipo de reportes son:
Los procesos que ilustramos a continuación corresponden principalmente a los que son sujeto de evaluación, estos son definidos según el tipo de reporte, servicio ofrecido por la organización de servicio y riegos asociados al mismo.

Comments are closed