movi-image-informe-soc-1
Envíanos sugerencias
Socios y Empleados
3 min de tu tiempo

Qué es un informe SOC y por qué tu empresa puede necesitar uno

30/06/2020

El principal objetivo de estos informes es delimitar el máximo control interno sobre la información financiera de otra empresa que maneja una entidad. Este tipo de verificaciones ayuda a transmitir seguridad y fiabilidad a los clientes.

La crisis sanitaria ha provocado un aumento del volumen de personas que teletrabajan. Las normas de confinamiento, el cumplimiento de estrictos niveles de seguridad y protección para los empleados y las propias necesidades de conciliación familiar, debido al cierre de colegios y guarderías, han acelerado una tendencia que en los últimos años crecía de manera sostenida y constante: horarios más flexibles para muchos profesionales que no precisan de ir a la oficina, sino que son más productivos si gestionan ellos mismos su propio tiempo. Sin embargo, esta realidad esconde algunos hándicaps, uno de los cuales atañe directamente al núcleo operativo de las empresas, como es la eficiencia y seguridad de las infraestructuras tecnológicas, que incluyen redes, equipos, programas, gestión de archivos sensibles y conexiones a la Nube. 

Para verificar que los mecanismos de prestación de servicios contratados a sujetos externos funcionan adecuadamente, las empresas cuentan con los informes SOC, abreviatura que recoge en inglés el grupo nominal de ‘controles de organización de servicios’. Este tipo de auditorías sirven principalmente para otorgar confianza y legitimidad a todas aquellas actividades delegadas por las entidades a terceros y que tienen una implicación en la operatividad de su negocio. Son realizados por organizaciones ajenas a ella, con una certificación propia, conocida como CPA, y sirven para demostrar ante el resto de stakeholders, sobre todo clientes, que no existen grietas por donde se pueda escapar información sensible ni comprometedora.

De hecho, la principal misión de este tipo de informes es delimitar el máximo control interno sobre la información financiera de otra empresa que maneja una entidad, evaluando el riesgo inherente que existe al ejercicio de su actividad, ya que hablamos de áreas tan críticas como la gestión de nóminas, el desarrollo y mantenimiento de software, la custodia y el análisis de datos, o los servicios de conexión a redes, por citar solo algunos ejemplos.

Puede interesarte: Lo que el ‘big data’ puede hacer por tu negocio


Estándares precisos

Uno de los grandes problemas con la utilización (y dependencia) por parte de la gran mayoría de empresas de las tecnologías, principalmente para temas relacionados con la gestión de información, es que, tal como asegura Deloitte en el paper ‘Understanding Service Organisation Controls (SOC): Is our information secure?’, casi de manera paralela, la mayor eficiencia en el intercambio de datos provoca que los riesgos asociados a la corrupción en la información se hayan vuelto más frecuentes. Esto resulta un grave problema si impide que se pueda garantizar que su trabajo cumpla con los estándares adecuados de privacidad. Es por ello que solo a través de controles y auditorías periódicas pueden demostrar a terceros que disponen de las salvaguardas adecuadas sobre los activos de sus clientes. Y eso es algo que los informes SOC, que gozan del máximo reconocimiento internacional, pueden lograr.

Existen tres categorías según el tipo de documento que se lleva a cabo:

  • SOC 1 aborda los controles asociados con la seguridad de los estados financieros y está dirigido principalmente a los proveedores de servicios relacionados con información contable y financiera.
  • SOC 2 audita todo aquello que tiene que ver, en general, con seguridad, disponibilidad, integridad de los procesos, confidencialidad y privacidad.
  • SOC 3 es, en realidad, un informe de cumplimiento de nivel superior que se puede compartir con los clientes pero, sin revelar información confidencial, incluyendo una evaluación del diseño y la efectividad operativa de los controles de seguridad. En este grupo existen dos clases según si se centra el análisis en los protocolos de seguridad internos de la organización a nivel general y de manera permanente, o si se aborda sólo durante un periodo determinado, como, por ejemplo, durante la realización de un proyecto.

SOC 2 y los servicios en la Nube

La importancia creciente de este informe sobre los demás es que suele ser el más utilizado para abordar una doble cuestión: ¿Está segura la información y cómo podemos estar convencidos de saberlo? El estándar del SOC 2 es el de una auditoría sobre los controles internos relacionados con la tecnología de la información, verificando las obligaciones y compromisos de los proveedores de servicios IT, Cloud y Hosting.

Su homologación internacional dentro de normas como la ISO/IEC 27001 le confieren una doble utilidad para una entidad que lo contrate: por un lado, obtiene algo así como una credencial ante sus clientes de que su entorno virtual es seguro y confiable; además, dentro de la organización, favorece una mayor comprensión de los riesgos por parte de los empleados, facilita la aceptación rutinaria de los controles internos y promueve un clima de gobernanza positivo.

Estos informes requieren de un esfuerzo externo coordinado durante un periodo de tiempo para obtener resultados fiables, ya que es preciso realizar distintos procedimientos de pruebas en diferentes momentos para poder estudiar con máxima objetividad la eficiencia operativa de una entidad, señala BDO en el documento ‘Why your organisation needs a SOC Report’.

Qué beneficios tiene para una empresa

Además de mejorar la confianza en la provisión de los servicios que se tienen externalizados, un informe SOC presenta muchas otras ventajas para cualquier entidad. Por ejemplo, tal y como aseguran desde el despacho Mazars, minimiza el impacto de auditorías, al realizar una evaluación de distintos ámbitos relacionados con la seguridad de manera periódica. Además, aporta una mejor gestión de los riesgos, supone una ventaja competitiva para la organización y optimiza los procesos y controles comerciales. También señalan que, de integrarse en la operatividad habitual de la empresa, puede tener un impacto positivo como herramienta de marketing potencial para posibles clientes.

Según apuntan tanto desde Deloitte como en BDO, cualquier empresa de cierta envergadura que opera habitualmente en entornos digitales no debe preguntarse si es oportuno o no contratar un informe SOC, sino que la cuestión clave es cuál de las tres tipologías le interesa más de cara a validar la eficiencia y seguridad de los procesos que tiene encomendados a terceros. Para las dos firmas auditoras, la respuesta está en comprender bien el mercado prioritario desde el punto de vista de la empresa, escuchar las preocupaciones de sus clientes y determinar los beneficios a largo plazo de revelarles la solidez de sus entornos en una auditoría de estas características.

 

-Temas relacionados-
up