Casi una década después de la introducción de los Controles de Organizaciones de Servicios (SOC), sigue habiendo confusión sobre la variedad y los contextos de las auditorías SOC.
A primera vista, parece que hay tres tipos de informes SOC y, dentro de ellos, dos subtipos. Si algunos proveedores críticos o de alto riesgo proporcionan un SOC 1 y otros le ofrecen un SOC 2 o incluso un SOC 3, ¿cómo puede saber la diferencia? ¿Y cómo sabe cuándo y por qué utilizar cada uno?
Las diferencias entre SOC 1, 2 y 3
Una auditoría SOC 1 es un informe confidencial que detalla la eficacia de los controles internos de un proveedor externo que pueden ser relevantes para el control interno de su cliente sobre la información financiera.
Las auditorías SOC 1 pueden ser de tipo 1 (que se centran en los controles de un proveedor) o de tipo 2 (que evalúan el diseño y la eficacia operativa de los controles internos clave durante un período, normalmente no inferior a seis meses).
La auditoría SOC 1 se basa en la normaSSAE 18, una nueva norma de auditoría con un alcance más amplio que incluye información clave sobre terceros.
Una auditoría SOC 2 evalúa los controles internos, las políticas y los procedimientos que están directamente relacionados con la seguridad de los sistemas de los proveedores externos y terceros. El SOC 2 es un informe confidencial que determina el cumplimiento por parte del proveedor de los Criterios de Servicios de Confianza:
- Seguridad
- Disponibilidad
- Integridad del procesamiento
- Confidencialidad
- Privacidad
Un informe SOC 3 también se basa en los Criterios de Servicios de Confianza. Puede distribuirse libremente y no es confidencial. Un SOC 3 no ofrece una descripción del sistema de la organización de servicios. En su lugar, proporciona un resumen del informe del auditor.
Implementar una única fuente de información veraz.
Los informes SOC pueden tener entre 50 y 250 páginas. Si no dispone de los conocimientos o el tiempo necesarios para revisar, comprender y corroborar los numerosos hallazgos de sus informes SOC, un sistema de gestión de riesgos de proveedores (VRM) puede automatizar el trabajo por usted.
Las soluciones VRM pueden revisar los informes de auditoría de control SOC según lo presentado por su organización o solicitándolos directamente al proveedor. A continuación, un equipo proporciona un informe final que resume el análisis de riesgos y las conclusiones.
Al trabajar con una solución VRM, obtienes una única fuente de referencia, con todo lo que necesitas en un solo lugar. La evaluación y el informe final, tu revisión documentada de nuestros hallazgos y la certificación de los controles complementarios, así como los documentos del proveedor, se cargan en tus carpetas electrónicas de proveedores.
A la hora de considerar qué informes de sus proveedores externos y terceros se ajustan a las necesidades de su organización, primero debe comprender los diferentes tipos de auditorías SOC. Para obtener más información sobre las diferencias entre SOC 1, 2 y 3, descargue y lea el informe técnico «SOC 1, 2 o 3: ¿cuál es la mejor opción para usted?».
Defiéndase contra los riesgos de proveedores y empresas
Conozca nuestras soluciones VRM/ERM, las mejores de su categoría.
