Cómo redactar una afirmación de gestión SOC 2 [Ejemplo + Plantilla]

  • August 22, 2023

Si te estás preparando para una auditoría SOC 2, sabes que requiere una gran cantidad de documentación. Uno de los documentos más importantes que tendrás que proporcionar a tu auditor es una afirmación de gestión.

¿Qué es una afirmación de gestión y para qué sirve? ¿Cómo se redacta una?

Respondemos estas preguntas a continuación, luego vamos al grano con un ejemplo de afirmación de gestión y una plantilla personalizable.

¿Qué es una afirmación de gestión SOC 2?

La afirmación de gestión es una carta de los líderes de la empresa que resume los productos y servicios de la empresa. Proporciona una serie de hechos (o "afirmaciones") de la gestión de la empresa sobre la estructura de los sistemas de TI, los controles de la organización y las organizaciones subservicio.

La mayoría de las afirmaciones de gestión son simplemente la manera en que la empresa dice: "Estos son nuestros sistemas, estos son los controles internos y así es como hemos pensado todo". Esta sección también puede incluir las afirmaciones de la gestión sobre la propia auditoría, como el periodo de evaluación y el alcance de la auditoría.

En términos simples, la afirmación de gestión le dice al auditor cómo se supone que debe funcionar todo para que pueda evaluar si eso es realmente cómo funciona. El informe final del auditor esencialmente está de acuerdo o en desacuerdo con las afirmaciones de la gestión. Es por esto que una afirmación de gestión es tan importante — y por eso necesita ser lo más precisa posible. Es la base de toda tu auditoría SOC 2.

Por ejemplo, si afirmas en tu afirmación de gestión que cada empleado recibe capacitación anual en conciencia sobre ciberseguridad, el auditor debe poder validar esa afirmación revisando documentación como certificados de finalización.

El Instituto Americano de Contadores Públicos Certificados (AICPA) describe tres propósitos para la afirmación de gestión:

  • Determina si la descripción del sistema de la organización de servicios se presenta de acuerdo con los criterios
  • Determina si los controles especificados en la descripción fueron diseñados adecuadamente
  • Aborda si los controles funcionaron adecuadamente durante un periodo de evaluación Informe Tipo II

Una afirmación de gestión puede parecer una formalidad, pero en realidad habla de un aspecto muy importante de las auditorías SOC 2: el auditor y la gestión de la organización están trabajando juntos para informar sobre los controles internos y su efectividad operativa. Al proporcionar una afirmación de gestión al auditor, los líderes de la empresa están compartiendo conocimientos valiosos sobre cómo se diseñan y operan los controles internos dentro de la organización. Esto facilita que los auditores proporcionen un informe final de auditoría que esté completamente informado, sea objetivo y amplio.

Cómo encaja la afirmación de gestión en un informe SOC 2

La afirmación de gestión es un componente importante de tu informe SOC 2 final, que guía al lector a través de los resultados de tu auditoría.

El objetivo principal de los informes SOC 2 es evaluar si un sistema particular satisface los requisitos de los Criterios de Servicios de Confianza (TSC) relevantes. Un informe SOC 2 proporciona información detallada sobre la auditoría en sí, una descripción del sistema que se está evaluando y los controles relacionados, resultados de las pruebas y las perspectivas de la gestión de la empresa.

Los informes SOC 2 incluyen cinco secciones:

  1. Informe del auditor de servicios independiente: La primera sección de un informe SOC 2 es un resumen de la auditoría proporcionado por el auditor. Proporciona una breve descripción de toda la evaluación SOC 2, incluyendo el alcance, el período de tiempo y la opinión del auditor:
    indefinidoundefinidoundefinidoundefinido
  2. Aserción de la gestión: Esta sección permite a la dirección de la empresa hacer afirmaciones sobre los sistemas y controles que están en el alcance de la auditoría SOC 2.
  3. Descripción del sistema: Mientras que la aserción de la gestión podría proporcionar una breve descripción del sistema bajo auditoría, esta sección entra en mucho más detalle sobre el sistema y el entorno de control. Cubre todo, desde componentes del sistema y estructura organizativa hasta procedimientos e incidentes del sistema.
  4. Pruebas de controles: Normalmente la sección más larga de un informe SOC 2, esta es una lista completa de las pruebas realizadas por el auditor durante el proceso de auditoría.
  5. Información adicional: Algunos informes SOC 2 pueden incluir una sección adicional para información adicional o la respuesta de la gestión a resultados de pruebas específicos.

Cómo escribir una aserción de gestión SOC 2

Debido a que cada organización es única, no hay dos documentos de aserción de gestión iguales. Mientras que una empresa puede tener una aserción de gestión concisa que cabe en una sola página de texto, la aserción de gestión de otra empresa puede extenderse a varias páginas e incluir tablas y gráficos.

Dicho esto, las Aserciones de Gestión están destinadas a ser breves y directas. Por lo general, incluyen unos pocos párrafos introductorios que describen cómo están organizados los sistemas bajo auditoría y cómo se diseñaron los controles de seguridad.

La aserción de la gestión consta de tres secciones principales:

  1. Una breve descripción del sistema de la organización de servicios
  2. Una afirmación (o “aserción”) por parte de la gestión de que sus controles internos fueron diseñados intencionalmente y de manera reflexiva para lograr los objetivos de control especificados en la descripción del sistema
  3. Una explicación de los criterios utilizados para asegurar que los controles se aplicaron de manera consistente y efectiva durante toda la duración de la ventana de auditoría

La aserción de la gestión es un documento oficial y debe presentarse en el membrete de la empresa.

Ejemplo de aserción de gestión SOC 2 + plantilla

Afirmación de la Dirección de [NOMBRE DE LA EMPRESA] con respecto a su sistema [NOMBRE DEL SISTEMA] durante el período del [DÍA, MES, AÑO] al [DÍA, MES, AÑO]

La dirección de [NOMBRE DE LA EMPRESA] ha preparado esta descripción del sistema [NOMBRE DEL SISTEMA] de [NOMBRE DE LA EMPRESA] (la “organización de servicios”) para el período del [DÍA, MES, AÑO] al [DÍA, MES, AÑO] (“descripción”). La descripción se basa en los criterios de la AICPA enumerados en la Sección 200 del documento Criterios de Descripción para una Descripción del Sistema de una Organización de Servicios en un Informe SOC 2 . Esta descripción tiene la intención de proporcionar a los usuarios del informe información sobre el sistema [NOMBRE DEL SISTEMA] que puede ser útil al evaluar los riesgos derivados de las interacciones con el sistema [NOMBRE DEL SISTEMA] de [NOMBRE DE LA EMPRESA], así como información sobre los controles que [NOMBRE DE LA EMPRESA] ha diseñado, implementado y operado para proporcionar una seguridad razonable de que se lograron sus compromisos de servicio y requisitos del sistema basándose en los Criterios de Servicios de Confianza de la AICPA relevantes para [listar los criterios de servicios de confianza aplicables (TSCs)] establecidos en la sección 100 del documento Criterios de Servicios de Confianza para Seguridad, Disponibilidad, Integridad del Procesamiento, Confidencialidad y Privacidad

[NOMBRE DE LA EMPRESA] utiliza [SERVICIO DE TERCEROS], una organización de subservicios, para proporcionar [SERVICIOS]; [SERVICIO DE TERCEROS], una organización de subservicios, para proporcionar [SERVICIOS]; [SERVICIO DE TERCEROS], una organización de subservicios, para proporcionar [SERVICIOS]. 

Esta descripción indica que los controles de la organización de subservicios complementarios están diseñados adecuadamente y operan de manera efectiva. 

Esta descripción indica que los controles complementarios de la organización de subservicios que están diseñados adecuadamente y operan de manera efectiva son necesarios, junto con los controles de [NOMBRE DE LA EMPRESA], para lograr los compromisos de servicio y requisitos del sistema de [NOMBRE DE LA EMPRESA] basándose en los Criterios de Servicios de Confianza aplicables. Esta descripción presenta los controles de [NOMBRE DE LA EMPRESA], los Criterios de Servicios de Confianza aplicables y los tipos de controles complementarios de la organización de subservicios asumidos en el diseño de los controles de [NOMBRE DE LA EMPRESA]. Esta descripción no divulga los controles reales en las organizaciones de subservicios.

Confirmamos, a nuestro leal saber y entender, que: 

a. Esta descripción presenta fielmente el sistema [NOMBRE DEL SISTEMA] de [NOMBRE DE LA EMPRESA], que fue diseñado e implementado durante el período del [DÍA, MES, AÑO] al [DÍA, MES, AÑO], de acuerdo con los criterios de descripción:

  • La descripción contiene lo siguiente: 
    1. Tipos de servicios proporcionados

    2. Componentes del sistema utilizados para proporcionar los servicios, que son: 
    -Infraestructura: Componentes físicos y de hardware del sistema
    -Software: Programas y software operativo del sistema
    -Personas: Personal que opera y utiliza el sistema
    -Procesos: Procesos automatizados y manuales involucrados en las operaciones del sistema

    3. Alcance y límites del sistema
  • La descripción no omite ni distorsiona la información relevante para el sistema de la organización de servicios, reconociendo que la descripción se prepara para satisfacer las necesidades comunes de una amplia gama de usuarios y puede no incluir, por tanto, todos los aspectos del sistema que cada usuario individual puede considerar importantes para sus propias necesidades particulares.

b. Los controles indicados en esta descripción fueron diseñados de manera adecuada durante el período del [DÍA, MES, AÑO] al [DÍA, MES, AÑO], para proporcionar una seguridad razonable de que:

  • Los compromisos de servicio y requisitos del sistema de [NOMBRE DE LA EMPRESA] se lograrían basándose en los Criterios de Servicios de Confianza aplicables
  • Sus controles operaron efectivamente durante ese periodo, y 
  • La organización de subservicios y las entidades usuarias aplicaron los controles complementarios asumidos en el diseño de los controles de [NOMBRE DE LA EMPRESA] durante ese periodo

c. Los controles indicados en la descripción operaron efectivamente durante el período del [DÍA, MES, AÑO] al [DÍA, MES, AÑO], para proporcionar una seguridad razonable de que:

  • Los compromisos de servicio y requisitos del sistema de [NOMBRE DE LA EMPRESA] se lograrían basándose en los Criterios de Servicios de Confianza aplicables si los controles complementarios de la organización de subservicios y los controles complementarios de las entidades usuarias asumidos en el diseño de los controles de [NOMBRE DE LA EMPRESA] operaron efectivamente durante ese período

¿Quieres un atajo para escribir tu propia declaración de gestión? Descarga la plantilla de Declaración de Gestión como un PDF editable.

Obtén orientación experta para prepararte para tu auditoría SOC 2

Obtener tu informe SOC 2 puede ser un proceso largo y tedioso lleno de una interminable serie de preguntas. ¿Qué tipo de informe debes elegir? ¿Cómo delimitar tu auditoría? ¿Cumplen tus políticas y controles con los requisitos de cumplimiento? ¿Cómo sabes si estás completamente preparado para una auditoría?

En Secureframe, creemos que todo el mundo debería tener un experto a su lado para responder a esas preguntas y apoyarte en cada paso del proceso de cumplimiento. Por eso asignamos a cada cliente un exauditor para ayudar con todo el proceso, desde la comprensión e implementación de los requisitos de control hasta la propia auditoría.

Conoce más sobre nuestro equipo de expertos en cumplimiento y escucha las respuestas a preguntas comunes en nuestra serie de seminarios web Secureframe Expert Insights.