Definición y propósito

El propósito de un informe SOC 1 es proporcionar seguridad a los clientes y sus auditores sobre los controles establecidos en una organización de servicios que son relevantes para la información financiera. El informe tiene como objetivo evaluar el diseño y la efectividad operativa de estos controles y evaluar su efecto en los estados financieros de los clientes de la organización de servicios.

Órgano de gobierno

SOC 1 es parte de un conjunto de servicios creados y mantenidos por el Instituto Americano de Contadores Públicos Certificados (AICPA). AICPA proporciona orientación sobre cómo deben llevarse a cabo los informes SOC 1, qué debe incluirse y los criterios contra los cuales se evalúan los controles.

Última actualización

El marco SOC 1 está sujeto a actualizaciones y revisiones periódicas por parte del AICPA para asegurar su relevancia y efectividad continuas. La última actualización importante de SOC 1 ocurrió en 2016, con la introducción del estándar SSAE 18, que reemplazó al SSAE 16.

Se aplica a

Los informes SOC 1 son típicamente relevantes para las organizaciones de servicios que impactan las operaciones financieras de los usuarios. Ejemplos incluyen software de procesamiento de nóminas, plataformas de gestión de facturación, software de informes financieros y compañías fiduciarias.

Controles y requisitos

Un informe SOC 1 evalúa el diseño y la efectividad operativa de los controles de una organización de servicios que probablemente sean relevantes para el control interno de la información financiera (ICFR) de sus clientes. Estos controles varían dependiendo de los servicios que proporciona la organización y sus objetivos de control, es decir, qué aspectos de la información financiera pretenden abordar los controles. Ejemplos de objetivos de control incluyen el registro de transacciones válidas, la integridad y precisión de las transacciones, y la rapidez en la contabilización de las transacciones.

Por favor, consulte el sitio web de AICPA para recursos oficiales relacionados con los controles y requisitos de SOC 1.

Tipo de auditoría, frecuencia y duración

• Tipo de auditoría: Para obtener un informe SOC 1, las organizaciones deben someterse a una auditoría por un CPA, que implica pruebas rigurosas de los controles de la organización que están directamente relacionados con las operaciones financieras de los usuarios. Hay dos tipos de informes SOC 1: Tipo 1 y Tipo 2. Un informe de Tipo 1 evalúa el diseño de los controles en un momento específico, mientras que un informe de Tipo 2 evalúa el diseño y la efectividad operativa de los controles durante un período específico.
• Frecuencia de la auditoría: La frecuencia depende de los requisitos de los clientes y auditores de la organización de servicios. Típicamente, las organizaciones se someten a un SOC 1 anualmente al menos para proporcionar seguridad continua a los clientes y las partes interesadas, pero puede ser trimestral.
• Duración de la auditoría: La duración de una auditoría SOC 1 puede variar dependiendo del alcance de la auditoría y la complejidad de la infraestructura y operaciones de la organización de servicios. Al igual que un SOC 2®, típicamente varía desde unas pocas semanas hasta unos pocos meses.