Las auditorías SOC 2 solo pueden ser realizadas por una firma o agencia de CPA licenciada y acreditada por el Instituto Americano de Contadores Públicos Certificados (AICPA).
Además, el auditor o la firma de auditoría debe ser un CPA completamente independiente, lo que significa que no tienen ninguna relación con la organización de servicios que están auditando.
El AICPA exige que los auditores SOC:
- Cumplan con los estándares profesionales del AICPA
- Se adhieran a la guía más reciente para planificar, ejecutar y supervisar procedimientos de auditoría
- Se sometan a revisiones de pares que avalen sus credenciales y la validez de sus auditorías
¿Qué hace un auditor SOC 2?
El cumplimiento de SOC 2 requiere una auditoría externa realizada por un auditor de seguridad de la información. Estos expertos en SOC 2 evaluarán qué tan efectivo es su programa de seguridad y determinarán si sus controles internos cumplen con los requisitos de sus Criterios de Servicios de Confianza (TSC) elegidos.
Dependiendo del período de tiempo que cubra su informe y si está buscando un informe SOC 2 Tipo 1 o SOC 2 Tipo 2, su auditor pasará desde unas pocas semanas hasta unos pocos meses trabajando con su equipo antes de producir un informe SOC 2.
Probablemente comenzarán preguntando a los actores clave sobre las políticas y procesos de su empresa, el enfoque de gestión de riesgos, la infraestructura de TI y los controles de seguridad.
A continuación, el auditor revisará la evidencia sobre su entorno de control. Utilizan esta documentación para comprender mejor el diseño de los controles y evaluar su efectividad operativa.
Después de la evaluación, el auditor creará un informe de atestación detallado que resumen los resultados y la opinión final del auditor. Una opinión no cualificada significa que su organización de servicios cumple con los requisitos de SOC 2.
El informe de auditoría cubre los hallazgos del auditor, incluyendo una descripción del alcance de la auditoría, los resultados de las pruebas y una lista de cualquier problema de ciberseguridad que hayan descubierto durante la auditoría, así como sus recomendaciones para mejoras o requisitos de remediación. También incluye una afirmación de la gestión, que permite a su organización hacer declaraciones (o “afirmaciones”) sobre sus propios sistemas y controles.
Algunas firmas de auditoría ofrecen servicios adicionales para ayudarlo a prepararse, como un análisis de brechas o una evaluación de preparación para SOC 2. Estos pueden ser particularmente útiles si se está preparando para su primera auditoría, ya que brindan información adicional sobre si los controles de su organización de servicios y los sistemas de seguridad de datos están donde deben estar para una auditoría exitosa.
Cómo elegir una firma de CPA para su auditoría SOC 2
Elegir un auditor es un paso crucial en el proceso de auditoría SOC 2 del AICPA, aunque las empresas a menudo lo pasan por alto.
Un auditor debe tener experiencia clara en la realización de auditorías SOC y debe poder señalar ejemplos de informes que hayan generado en el pasado. Idealmente, deben tener experiencia trabajando con su tipo específico de organización de servicios.
La mayoría de las organizaciones de servicios realizan entrevistas con varios auditores antes de contratar a uno.
Solo recuerda que no solo estás seleccionando a un auditor basado en sus calificaciones — también estás eligiendo a una persona con la que trabajarás desde unas pocas semanas hasta un año.
Los mejores auditores SOC 2 son tus socios en el proceso de cumplimiento.
Es importante asegurarse de que sus personalidades y prioridades sean compatibles.
Aquí hay algunos consejos para ayudarte a seleccionar un auditor SOC 2: