SOC1
SOCR
nelson.camargo@nextayc.com -
4:55 pm

Si le están exigiendo tener un reporte de control interno SOC 1 (SSAE18 – ISAE3402), SOC 2 o SOC 3, en este blog encontrará lo necesario para entender los conceptos base y lo que requiere y que debe hacer para tenerlo.

Qué es una organización de servicios?

Una organización de servicio es toda aquella empresa o entidad que presta los servicios a terceros a través de modalidad de Outsourcing tales como: servicios de software en la nube (SaaS), call centers, centro de datos, BPOs (Business Process Outsourcing) etc.

Mayor información en “American Institute of Certified Public Accountants (AICPA)

¿Cuál es la preocupación de los clientes (Beneficiarios de los reportes SOCR)?

Debido que hoy día, la entrega de servicios a terceros especializados es el pan de cada día en las operaciones empresariales se ha venido desvelando un nuevo universo de riesgos para la empresa que tercerizas procesos o sistemas, tales como:

  • Suspensión parcial o total del servicio orecido afectando a sus clientes
  • Divulgación de información confidencial de sus clientes
  • Procesamiento erróneo o incompleto de datos afectando la integridad y confidencialidad de la información.
  • Incumplimiento regulatorio del tercero que afecte a sus clientes.
  • Toma de decisiones irracionales que pudieran afectar la prestación del servicio de los clientes por la ausencia de un adecuado ambiente de control.
  • Pérdida o robo de información de sus clientes.

Cómo controlar a una organización de servicios para evitar me afecte?

Existen dos formas de ejercer control sobre una organización de servicios:

  • Auditarlos directamente: suele ser complejo basado en los modelos de contratación en los cuales se dificulta poder ejercer la auditoria a un tercero, y para el tercero podría ser muy complejo por la múltiples auditorias que recibiría de sus clientes en un año, lo cual se convierte en una justificación para impedir realizar una auditoría detallada (presto el servicio o me dedico a atender las múltiples auditorias que solicitan los clientes.)
  • Efectuar un reporte especializado tipo SOC 2, SOC 3, SSAE18 e ISAE3402(SOC1): Es la forma más sencilla para la organización del servicio y más segura y practica para los clientes de la organización de servicios.

Cuál es el proceso para tener un reporte SOC 2, SOC 3, ¿SSAE18 e ISAE3402(SOC1)?

Las organizaciones de servicios que desean realizar un reporte de control interno se les sugiere realicen una preparación para presentarse en una primera evaluación, por lo cual se sugiere seguir el siguiente proceso.

  1. Preevaluación: La organización de servicio se somete a una preevaluación realizada por una firma especialista la cual le ayuda con:
    1. Organizar su ambiente de control según el marco de control interno COSO.
    2. Identificar sus riesgos frente a la prestación de los servicios ofrecidos
    3. Identificar los controles actuales y documentarlos adecuadamente
    4. Efectuar pruebas a los controles para evaluar su funcionamiento, identificar las brechas y proponer las mejoras que sean requeridas.
    5. Preparar la descripción de la empresa y los servicios ofrecidos
    6. Apoyar la implementación de controles compensatorios sobre los controles primarios.
    7. Preparar y organizar a la organización de servicio frente a los nuevos cambios en sus operaciones al contar con un reporte de este tipo.

Implementación

  • La organización de servicio según preevaluación entra en una etapa de preparación para garantizar la implementación de los controles y la operación correcta de los mismos en un periodo mínimo de 6 meses.

Evaluación

  • La organización de servicios, luego de su preparación se somete a la evaluación por parte del auditor de servicio contratado, quien emite un reporte de control interno según necesidad (SOC 2, SOC 3, ¿SSAE18 e ISAE3402(SOC 1))

¿Cuáles son los beneficios para la organización de servicios de contar con un reporte de este tipo?

  • Generar confianza y transparencia en el ambiente de control ante sus clientes sobre la implementación adecuada de medidas de seguridad y control que propendan por la integridad, confidencialidad y disponibilidad de la información de los clientes o relacionado con procesos generales o de operaciones tecnológicas.
  • Satisfacer los requerimientos de cumplimiento y auditoría tanto interna como externa solicitados por los clientes, permitiendo reducir los esfuerzos de atención de múltiples auditorias en un año.
  • Anticiparse a posibles requerimientos de un informe de esta naturaleza por parte de sus clientes actuales y futuros, convirtiéndose en una ventaja competitiva para mantener clientes y atraer nuevos negocios
  • Atención a preocupaciones sobre TI que manifiestan los distintos órganos de gobierno corporativo en las empresas, así como de reguladores nacionales y extranjeros (PCAOB, CNBV, CNSF, CONSAR, entre otros).

¿Cada cuánto se debe ejecutar este tipo de reportes y cuál es el periodo mínimo de evaluación?:

El periodo mínimo de evaluación para este tipo de reportes es de 6 meses y debe ejecutarse anualmente para cubrir el periodo deseado

¿Cuáles son las características de este tipo de reportes?

SOC 2 y SOC 1
Mayor información en “American Institute of Certified Public Accountants (AICPA)

¿Cómo puedo recibir ayuda?

En Bogotá y toda Colombia Next Audit & Consulting brinda asesoría y acompañamiento para preparar al cliente y ejecutar reportes SOC 1 (SSE18 / ISAE3402), SOC 2 y SOC 3 a través de nuestras alianzas estratégicas (Firmas internacionales). En la actualidad somos líderes en Latinoamérica en el acompañamiento para la preparación de este tipo de reportes en Colombia

Somos expertos en Latinoamérica en la preparación y suministro de Reporte SOC 2 / ISAE3402 / SSAE18

Si requieres ayuda para prepárate en SOC 1 en Panamá, SOC 2 en al Salvador, SOC 3 Honduras, SOC1 en Nicaragua, SOC1 en república dominicana, SSAE18 en Costa Rica, SOC2 En Guatemala, SOC2 en Belice, SOC2 en Cuba, SOC2 Venezuela, ISAE3402 En ecuador, SSAE18 En Jamaica, SSAE18 en Puerto Rico Next Audit tiene la solución como expertos en la materia, guiándote paso a paso al cumplimiento de tu objetivo

Si requieres ayuda para prepárate en ISAE3402en Panamá, ISAE3402en al Salvador, ISAE3402Honduras, ISAE3402 en Nicaragua, ISAE3402en república dominicana, ISAE3402en Costa Rica, ISAE3402 en Guatemala, ISAE3402en Belice, ISAE3402en Cuba, ISAE3402 Venezuela, SOC2 En ecuador, ISAE3402En Jamaica, SOC1 en Puerto Rico. Next Audit tiene la solución como expertos en la materia, guiándote paso a paso al cumplimiento de tu objetivo

Que son los planes de beneficios para las organizaciones de servicio que ofrece NEXT?

Apoyamos a nuestros clientes a tener un servicio de pago mensual y de ahorro para su reporte, el cual va según alcance  el cual incluye:

  • Acompañamiento en la preparación (puesta a punto)
  • Auditorias periódicas para garantizar el cumplimiento de los controles y garantizar los buenos resultados.
  • Trámite para la ejecución del reporte por parte de firma internacional (Auditor de servicio)

Quieres ver algunas de nuestras experiencias sobre el servicio?

Algunas experiencia – Next Audit & Consulting (nextayc.com)

Deseas cotizar un servicio?

Si deseas ser contactado por algunos de nuestros consultores, déjanos tus datos en el siguiente formulario y te contactaremos en el menor tiempo posible, o utiliza nuestros canales directos a través del Chat, llamada telefónica o WhatsApp





    Riesgos
    Control interno
    Auditoría
    Tecnología
    ISAE3402SOC 3SOC2SSAE18
    Llámanos