background

Un ejemplo real de un informe SOC 2

  • soc-2angle-right
  • Un ejemplo real de un informe SOC 2

Ver un ejemplo real de cómo podría verse un informe SOC 2 puede ser increíblemente útil al prepararse para una auditoría.

Aquí hay un ejemplo de informe SOC 2 de ABC Company, una plataforma de soluciones de gestión de capital.

¿Qué es un informe SOC 2?

Un informe SOC 2 proporciona resultados detallados de una auditoría SOC 2. También contienen una gran cantidad de información sobre la postura de seguridad de su empresa, específicamente en relación con los estándares de seguridad cubiertos por SOC 2.

Informes y estándares SOC

Comprender los conceptos básicos de SOC 2 puede ayudarlo a comprender mejor la estructura del informe.

Desarrollados por el Instituto Americano de Contadores Públicos Certificados (AICPA), los informes SOC 2 están diseñados específicamente para auditorías relacionadas con controles de seguridad y privacidad.

Los informes SOC también se clasifican como Tipo I o Tipo II, dependiendo de si la auditoría SOC se llevó a cabo en un momento específico (Tipo I) o de manera continua (Tipo II).

Controles cubiertos por SOC

Los “controles” se refieren a políticas, procedimientos o procesos utilizados para mitigar el riesgo.

Un control de seguridad, por ejemplo, podría ser el uso de autenticación multifactor para prevenir inicios de sesión no autorizados. Los informes SOC utilizan los Criterios de Servicios de Confianza:

  1. Seguridad: Cortafuegos, autenticación multifactor, etc.
  2. Disponibilidad: Recuperación ante desastres, monitoreo del rendimiento, etc.
  3. Confidencialidad: Control de acceso, encriptación, etc.
  4. Integridad del procesamiento: Monitoreo de procesos, control de calidad, etc.
  5. Privacidad: Encriptación, control de acceso, etc.

Un informe SOC 2 evalúa qué tan bien una organización de servicios ha implementado estos controles de seguridad.

Estructura del informe SOC 2

El objetivo principal de los informes SOC 2 es discutir si un sistema particular cumple con los criterios de auditoría. Un informe SOC 2 debe proporcionar información detallada sobre la auditoría en sí, el sistema y las perspectivas de la administración.

Los informes SOC 2 incluyen:

  • Informe del auditor
  • Afirmación de la administración
  • Descripción del sistema
  • Pruebas de controles
  • Otra información

1. Informe del auditor

La primera sección de un informe SOC 2 es un resumen de la auditoría proporcionado por el auditor. Breve, dulce y directo al punto, esta sección debe proporcionar un breve resumen de todo el examen SOC, incluidos el alcance, el período y la opinión del auditor.

Para muchos, la parte más importante de esta sección es la opinión del auditor, que indica si la organización de servicios cumple con los requisitos SOC 2. Aquí, los auditores a veces usan términos especiales para describir los resultados.

Estos son:

  • Sin salvedades: La empresa aprobó su auditoría.
  • Con salvedades: La empresa aprobó, pero algunas áreas requieren atención.
  • Adversa: La empresa no aprobó su auditoría.
  • Abstención de opinión: El auditor no tiene suficiente información para emitir una conclusión justa.

2. Afirmación de la administración

La declaración de gestión permite a la empresa hacer afirmaciones sobre los sistemas y controles auditados.

La mayoría de las declaraciones de gestión son simplemente la forma en que la empresa dice: “estos son nuestros sistemas, estos son sus controles y esto es lo que pensamos al respecto en este momento.” Esta sección también puede incluir las afirmaciones de la empresa sobre la propia auditoría, como el período y el alcance de la auditoría.

Esta sección podría parecer algo redundante, pero a menudo es necesaria para crear una base legal entre la empresa y el auditor.

3. Descripción del sistema

Aunque la declaración de gestión podría proporcionar una breve descripción del sistema, esta sección entra en más detalle. Cubre todo, desde los componentes del sistema hasta los procedimientos y incidentes del sistema.

Partes comunes de una descripción del sistema incluyen:

  • Alcance y requisitos del sistema
  • Componentes del sistema (por ejemplo, infraestructura, personas, etc.)
  • Marcos de control
  • Incidentes del sistema
  • Información complementaria (por ejemplo, responsabilidades del usuario, etc.)

Por supuesto, esta sección solo es tan detallada y compleja como el sistema mismo. Un sistema simple puede necesitar solo una descripción simple, y viceversa.

4. Pruebas de controles

Sin duda, la parte más larga de cualquier informe SOC 2, esta sección es una colección completa de cada prueba realizada durante la auditoría.

La mayoría de los informes SOC 2 presentan las pruebas en un formato de tabla con la siguiente información:

  • Criterios (CC)
  • Categoría de servicios de confianza u objetivos de control
  • Número de control
  • Descripción del control por parte de la empresa
  • Descripción de la prueba por parte del auditor
  • Resultados de la prueba

A diferencia de otras secciones, solo necesitas leer las pruebas que son relevantes para los controles que te interesan. En otras palabras, piensa en esta sección como una enciclopedia en lugar de una novela.

5. Otra información

Algunos informes SOC 2 pueden incluir una sección adicional para información adicional o la respuesta de la gestión a resultados de pruebas específicos. En el ejemplo a continuación, la empresa ABC utilizó esta sección para proporcionar comentarios sobre las pruebas donde los auditores señalaron excepciones.

Ejemplo de informe SOC 2

Como empresa fintech, el negocio de ABC Company depende de mantener seguros los datos de sus clientes. Su informe SOC 2, descrito a continuación, muestra cómo lo hacen a través del estándar establecido por los Criterios de Servicios de Confianza del AICPA.

Si bien muchos informes SOC 2 tienen más de 100 páginas de documentación, nos enfocaremos en resaltar algunas de las áreas más accionables.

Sección I: Informe del auditor

De todas las páginas de este informe, esta sección es la más leída. El auditor de la empresa proporciona un resumen detallado de la auditoría, comenzando con un esquema del propósito y una breve descripción del sistema.

Aquí hay un fragmento del ejemplo de descripción del sistema SOC 2:

Este texto proporciona una comprensión general de la tecnología de ABC Company. El resto de la sección proporciona descripciones breves de:

  • Responsabilidades del auditor
  • Responsabilidades de la gestión
  • Limitaciones de la auditoría
  • Opinión del auditor

La opinión del auditor es la parte a la que la mayoría de las personas se dirigen cuando reciben su informe por primera vez. Aquí es donde el auditor comparte los resultados de la auditoría.

Este informe revela que los controles de ABC Company “operaron eficazmente” durante el período de la auditoría. Esto significa que la empresa pasó la auditoría y cumple con SOC 2. A pesar del resultado positivo, los auditores aún pueden haber encontrado oportunidades de mejora. Los detalles sobre esa información se encuentran más adelante en el informe.

Sección II: Declaración de gestión

En esta sección, la gestión de ABC Company proporciona su propia descripción del sistema. Esto confirma que están en la misma página con su firma de auditoría.

La gestión también afirma que sus controles de seguridad están “diseñados adecuadamente” y “operaron eficazmente”.

Sección III: Descripción del sistema

Las secciones anteriores proporcionan un resumen del sistema, pero esta sección entra en mucho mayor detalle.

La descripción del sistema incluye al personal involucrado, junto con sus roles y responsabilidades. Finalmente, los componentes y controles del sistema se agrupan con sus respectivos Criterios Comunes.

Sección IV: Pruebas de controles

Aunque esta es, por mucho, la sección más larga del informe, es la más fácil de leer. Resume el procedimiento general de auditoría y muestra pruebas individuales en formato de tabla.

Esta prueba revisa los controles internos de la empresa ABC bajo los criterios del Entorno de Control (CC1). El auditor verifica si la empresa "demuestra un compromiso con la integridad y los valores éticos" (Criterios de Servicios de Confianza) revisando los controles relacionados con las políticas de seguridad de la información.

Específicamente, el auditor preguntó al personal de la empresa ABC si las políticas de seguridad son revisadas (1.1a) o reconocidas por los nuevos empleados (1.1b). El auditor observó que 1 de cada 45 nuevos empleados no reconoció las políticas. 2 de cada 45 nuevos empleados solo las revisaron mucho después de aceptar el trabajo.

Sección V: Otra información

Aunque muchos informes SOC 2 terminan en este punto, algunos informes proporcionan respuestas de la administración a las excepciones notadas en las pruebas. Aquí, la empresa ABC reconoce que algunos nuevos empleados no revisaron las políticas de seguridad y se compromete a verificar con mayor frecuencia.

angle-right¿Qué cubre un informe SOC 2?Validez del Informe SOC 2angle-right

SOC 2 Overview

Report Structures

Audit Process, Timeline, & Costs

How to Prepare for an Audit

Automatización del Cumplimiento SOC 2

Recursos y Herramientas SOC 2