Ya sea que haya decidido optar por un informe SOC 2 Tipo I o Tipo II, deberá someterse a una auditoría anual para mantener el cumplimiento y recibir un informe renovado. ¿Qué puede hacer para proporcionar seguridad a sus clientes entre los períodos de revisión de auditoría?

Aquí es donde una carta de puente puede ser una adición útil a su conjunto de herramientas de cumplimiento.

¿Qué es una Carta de Puente?

Una carta de puente (también conocida como carta de brecha) llena el vacío entre el final del período de auditoría de su último informe SOC 2 y la fecha actual.

Supongamos que su organización completó un informe SOC 2 que cubre el 30 de septiembre de 2020 - 1 de octubre de 2021. Pero el fin del año fiscal de su organización es el 31 de diciembre de 2021.

Puede proporcionar a los clientes una carta de puente que indique que no ha habido cambios significativos en sus controles entre el 1 de octubre y el 31 de diciembre. O si ha habido cambios materiales, explique cuáles son y asegure a los clientes que no afectarían los resultados de su informe SOC 2.

Las cartas de puente normalmente no cubren un período de más de tres meses. Una carta de puente no reemplaza un informe SOC 2 actualizado, pero puede ser una herramienta útil para proporcionar seguridad a los clientes entre auditorías.

¿Qué se Incluye en una Carta de Puente para SOC 2?

Una carta de puente típicamente incluye:

  • Las fechas de inicio y finalización del período de auditoría del informe más reciente de SOC 2
  • Una explicación de cualquier cambio en los sistemas o controles de la organización desde la auditoría, si los hay. O, una declaración de que la organización no está al tanto de ningún cambio material que pueda alterar la opinión del auditor en su último informe SOC 2.
  • Una declaración de que la carta de puente se relaciona únicamente con la organización y no puede ser utilizada por ninguna otra entidad.

¿Quién Emite una Carta de Puente?

Las cartas de puente son emitidas y firmadas por la administración de la organización y enviadas directamente a los clientes.

La firma de CPA que realizó la auditoría SOC no está involucrada.

¿Por qué?

Supongamos que la empresa cambió su infraestructura en la nube después de que terminó su ventana de auditoría. El auditor ya no puede certificar que el entorno del cliente opera de la misma manera.

Ejemplo de Carta de Puente SOC 2

Estimado cliente de ABC Company,

ABC Company retiene a SOC 2 CPA Firm para emitir informes SOC 2 Tipo II semestrales para sus Servicios de Alojamiento de Aplicaciones. Actualmente, ABC Company emite dos informes de doce meses con fechas de finalización del 31 de marzo y del 30 de septiembre respectivamente. El período de pruebas cubierto por el informe más reciente fue del 1 de abril, 2021 al 30 de septiembre, 2021.

Esta carta confirma que, para el período desde 1 de octubre de 2021 hasta la fecha de esta carta, no ha habido cambios materiales en el sistema de controles internos que creemos afectarían negativamente las conclusiones alcanzadas en el informe SOC 2 Tipo II que ha recibido anteriormente.

Esta carta no pretende ser un sustituto del informe SOC 2 Tipo II de 2021 ABC Company, ni proporcionarle una certificación de los controles internos de ABC Company, ni sugerir que ABC Company haya realizado una evaluación separada de sus controles con el propósito de producir esta carta.

Sinceramente,

Gerencia de ABC Company

Email: management@abccompany.com

Teléfono de oficina: 123-456-7890

Preguntas Frecuentes

¿Qué es una carta puente SOC 2 Tipo 2?

Una carta puente SOC 2 Tipo 2 es un documento que cubre la brecha entre el último informe SOC 2 Tipo II de una organización y la fecha actual. Los clientes pueden solicitarlo si hay una brecha entre el período de auditoría del informe SOC 2 de la organización y su propio cierre de año fiscal o calendario.

¿Los informes SOC 2 tienen cartas puente?

No, los informes SOC 2 no tienen cartas puente. Los informes SOC 2 se basan en una firma de contabilidad y auditoría independiente y externa que evalúa la efectividad del diseño y operativa de los procesos, procedimientos y controles de una organización durante un período de tiempo específico. Las cartas puente están destinadas a cubrir la brecha entre el período de auditoría del último informe SOC 2 y el siguiente.

¿Quién proporciona una carta puente SOC 2?

Las cartas puente son emitidas y firmadas por la gerencia de la organización. Ellos proporcionan la carta puente directamente a los clientes. El auditor que realizó la auditoría SOC 2 de la organización no proporciona una carta puente porque no puede dar fe de la idoneidad del diseño o la efectividad operativa de los controles de la organización fuera del período de auditoría del informe.

¿Se requieren cartas puente?

Las cartas puente no son necesarias, pero pueden servir como garantía para los clientes y prospectos de que su organización está manteniendo sus procesos, procedimientos y controles de seguridad y cualquier otro Criterios de Servicios de Confianza aplicables entre las auditorías SOC 2.