Preguntas frecuentes para (SOCR) SOC 2, SOC 3, SSAE18 e ISAE3402.

Si a su compañía le están exigiendo tener un reporte de control interno tipo ISAE3402, SSAE18, SOC2 o SOC3, en este blog encontrará lo necesario para entender para que lo requiere y que debe hacer para tenerlo.

Qué es una organización de servicios?

Una organización de servicio es toda aquella empresa o entidad que presta los servicios a terceros a través de modalidad de Outsourcing tales como: servicios de software en la nube (SaaS), callcenters, centro de datos, BPOs (Business Process Outsourcing) etc.

Mayor información en “American Institute of Certified Public Accountants (AICPA)

¿Cuál es la preocupación de los clientes (Beneficiarios de los reportes SORC)?

Debido que hoy día, la entrega de servicios a terceros especializados es el pan de cada día en las operaciones empresariales se ha venido desvelando un nuevo universo de riesgos para la empresa que tercerizas procesos o sistemas, tales como:

  • Suspensión parcial o total del servicio orecido afectando a sus clientes
  • Divulgación de información confidencial de sus clientes
  • Procesamiento erróneo o incompleto de datos afectando la integridad y confidencialidad de la información.
  • Incumplimiento regulatorio del tercero que afecte a sus clientes.
  • Toma de decisiones irracionales que pudieran afectar la prestación del servicio de los clientes por la ausencia de un adecuado ambiente de control.
  • Pérdida o robo de información de sus clientes.

Cómo controlar a una organización de servicios para evitar me afecte?

Existen dos formas de ejercer control sobre una organización de servicios:

  • Auditarlos directamente: suele ser complejo basado en los modelos de contratación en los cuales se dificulta poder ejercer la auditoria a un tercero, y para el tercero podría ser muy complejo por la múltiples auditorias que recibiría de sus clientes en un año, lo cual se convierte en una justificación para impedir realizar una auditoría detallada (presto el servicio o me dedico a atender las múltiples auditorias que solicitan los clientes.)
  • Efectuar un reporte especializado tipo SOC 2, SOC 3, SSAE18 e ISAE3402(SOC1): Es la forma más sencilla para la organización del servicio y más segura y practica para los clientes de la organización de servicios.

Cuál es el proceso para tener un reporte SOC 2, SOC 3, ¿SSAE18 e ISAE3402(SOC1)?

Las organizaciones de servicios que desean realizar un reporte de control interno se les sugiere realicen una preparación para presentarse en una primera evaluación, por lo cual se sugiere seguir el siguiente proceso.

  1. Preevaluación: La organización de servicio se somete a una preevaluación realizada por una firma especialista la cual le ayuda con:
    1. Organizar su ambiente de control según el marco de control interno COSO.
    2. Identificar sus riesgos frente a la prestación de los servicios ofrecidos
    3. Identificar los controles actuales y documentarlos adecuadamente
    4. Efectuar pruebas a los controles para evaluar su funcionamiento, identificar las brechas y proponer las mejoras que sean requeridas.
    5. Preparar la descripción de la empresa y los servicios ofrecidos
    6. Apoyar la implementación de controles compensatorios sobre los controles primarios.
    7. Preparar y organizar a la organización de servicio frente a los nuevos cambios en sus operaciones al contar con un reporte de este tipo.
  • Implementación: La organización de servicio según preevaluación entra en una etapa de preparación para garantizar la implementación de los controles y la operación correcta de los mismos en un periodo mínimo de 6 meses.
  • Evaluación: La organización de servicios, luego de su preparación se somete a la evaluación por parte del auditor de servicio contratado, quien emite un reporte de control interno según necesidad (SOC 2, SOC 3, ¿SSAE18 e ISAE3402(SOC1))

¿Cuáles son los beneficios para la organización de servicios de contar con un reporte de este tipo?

  • Generar confianza y transparencia en el ambiente de control ante sus clientes sobre la implementación adecuada de medidas de seguridad y control que propendan por la integridad, confidencialidad y disponibilidad de la información de los clientes o relacionado con procesos generales o de operaciones tecnológicas.
  • Satisfacer los requerimientos de cumplimiento y auditoría tanto interna como externa solicitados por los clientes, permitiendo reducir los esfuerzos de atención de múltiples auditorias en un año.
  • Anticiparse a posibles requerimientos de un informe de esta naturaleza por parte de sus clientes actuales y futuros, convirtiéndose en una ventaja competitiva para mantener clientes y atraer nuevos negocios
  • Atención a preocupaciones sobre TI que manifiestan los distintos órganos de gobierno corporativo en las empresas, así como de reguladores nacionales y extranjeros (PCAOB, CNBV, CNSF, CONSAR, entre otros).

¿Cada cuándo se debe ejecutar este tipo de reportes y cuál es el periodo mínimo de evaluación?:

El periodo mínimo de evaluación para este tipo de reportes es de 6 meses y debe ejecutarse anualmente para cubrir el periodo deseado

¿Cuáles son las características de este tipo de reportes?

Mayor información en “American Institute of Certified Public Accountants (AICPA)

¿Cómo puedo recibir ayuda?

En Bogotá y toda Colombia Next Audit & Consulting brinda asesoría y acompañamiento para preparar al cliente y ejecutar reportes SOC1 (SSE18 / ISAE3402), SOC2 y SOC3 a través de nuestras alianzas estratégicas (Firmas internacionales). En la actualidad somos líderes en el acompañamiento para la preparación de este tipo de reportes( SOC1 (SSE18 / ISAE3402), SOC2 y SOC3) en Colombia

 Que son los planes de beneficios para las organizaciones de servicio que ofrece NEXT?

Apoyamos a nuestros clientes a tener un servicio de pago mensual y de ahorro para su reporte, el cual va según alcance   el cual incluye:

  • Acompañamiento en la preparación (puesta a punto)
  • Auditorias periódicas para garantizar el cumplimiento de los controles y garantizar los buenos resultados.
  • Trámite para la ejecución del reporte por parte de firma internacional (Auditor de servicio)

Deseas cotizar un servicio?

Si deseas ser contactado por algunos de nuestros consultores, déjanos tus datos en el siguiente formulario y te contactaremos en el menor tiempo posible, o utiliza nuestros canales directos a través del Chat, llamada telefónica o WhatsApp

 He leído y Acepto las finalidades del uso de mis datos personales expuestos en  Políticas de privacidad  

Llamanos

Abrir chat