Es cierto que los informes SOC 2 de AICPA pueden incluir más de 100 páginas de criterios detallados y jerga técnica. Pero aunque no es exactamente una lectura de playa, un informe SOC 2 tiene una estructura clara y lineal que lo hace fácil de navegar.
Un informe SOC 2 guía al lector a través de los resultados de una auditoría. Detalla un sistema particular y discute si ese sistema cumple con los criterios de auditoría.
Esta es la razón por la que un informe SOC 2 es tan extenso. Normalmente cubre:
- Información detallada sobre el propósito y alcance de la auditoría
- Información sobre el sistema y controles internos
- Las perspectivas de la administración de la empresa y del auditor
¿Qué se incluye en un informe SOC 2?
Los informes SOC 2 tienen cinco secciones principales:
1. Informe del auditor
Esta primera sección de un informe SOC 2 es un resumen de la auditoría. Breve, dulce y al grano, esta sección está escrita por el auditor. Proporciona un breve resumen de todo el examen SOC, incluyendo el alcance y período de tiempo de la auditoría y la opinión final del auditor.
Para muchos, esta es la parte más importante del informe, ya que suele indicar si la organización de servicios pasó su auditoría. Aquí están los términos que usan los auditores para describir los resultados:
- No calificado: La empresa pasó su auditoría.
- Calificado: La empresa pasó, pero algunas áreas requieren atención.
- Adverso: La empresa no pasó su auditoría.
- Renuncia de opinión: El auditor no tiene suficiente información para llegar a una conclusión justa.
2. Afirmación de la gerencia
Esta es generalmente la sección más corta del informe. La afirmación de la gerencia permite a la empresa hacer declaraciones (o “afirmaciones”) sobre sus sistemas y controles organizacionales.
La mayoría de las afirmaciones de la gerencia son la manera de la empresa de decir: “estos son nuestros sistemas, estos son sus controles de seguridad, y esto es lo que pensamos de todo esto en este momento”. Esta sección también puede incluir las afirmaciones de la empresa sobre la auditoría en sí, como el marco de tiempo y el alcance.
Esta sección puede parecer redundante, pero a menudo es necesaria para crear una base legal entre la empresa y el auditor.
3. Descripción del sistema
Esta sección proporciona una visión general detallada del sistema bajo auditoría. Describe los componentes del sistema, los procedimientos y los incidentes del sistema.
Las partes comunes de una descripción del sistema incluyen:
- Alcance y requisitos del sistema
- Componentes del sistema (por ejemplo, infraestructura, personas, etc.)
- Marcos de control
- Incidentes del sistema
- Información complementaria (por ejemplo, responsabilidades del usuario, etc.)
Por supuesto, esta sección es tan detallada y compleja como el sistema que está describiendo. Por lo general, se pueden esperar entre 20 y 30 páginas de información detallada.
4. Pruebas de controles
Esta es la sección más larga de un informe SOC 2 y describe cada prueba realizada durante la auditoría.
Dado que los informes SOC 2 están orientados a la seguridad de la información, la mayoría de las pruebas que se encuentran en esta sección están relacionadas con los Criterios de Servicios de Confianza de “Seguridad”. Aquí, la seguridad se desglosa en nueve Criterios Comunes (CC).
La mayoría de los informes SOC 2 muestran las pruebas en un formato de tabla con la siguiente información:
- Criterios Comunes (CC)
- Criterios de Servicios de Confianza o objetivos de control
- Número de control
- Descripción del control por parte de la empresa
- Descripción de la prueba del auditor
- Resultados de las pruebas sobre la eficacia operativa
5. Otra información
Algunos informes de auditoría SOC 2 incluyen una sección adicional para información adicional. Por ejemplo, la respuesta de la gerencia a resultados de pruebas específicas. Las empresas pueden explicar por qué ocurrió una excepción o qué han hecho desde entonces para solucionarlo.