Identificarse


0
Comparte:

Ratio: 5 / 5

Inicio activadoInicio activadoInicio activadoInicio activadoInicio activado
 

 

Por: CP Iván Rodríguez. Colaborador de Auditool 

La utilidad de los informes SOC

En las actuales circunstancias en que la mayoría de las áreas de contabilidad de las organizaciones trabajan de forma remota, los aplicativos o el software de contabilidad basado en la nube se ha convertido en una herramienta vital. Muchos contadores están usando aplicativos en la nube desde que comenzó la pandemia COVID-19. En este entorno, los informes de controles de sistema y organización (SOC) son críticos para evaluar la fiabilidad de los proveedores de software.

Aún, en el caso en que una organización no esté en proceso de adquisición de una nueva solución de contabilidad basada en la nube, los informes SOC, siguen siendo primordiales para los controles internos de una organización. Es importante asegurarse de que cualquier cambio en los controles que los proveedores tienen en su lugar, sean probados y esten bien documentado en el informe SOC.

Los cambios en los controles son inevitables, pero una organización que emplee una solución tecnológica querrá asegurarse de que esos cambios estén bien documentados y probados, porque el fallo de control puede conducir en última instancia a errores o deficiencias de control interno dentro de los estados financieros que se generen al usar la herramienta.

Los tipos de informes SOC

Los informes SOC, fueron desarrollado por el Instituto Americano de Contables Públicos Certificados (American Institute of Certified Public Accountants – AICPA por sus siglas en inglés) y corresponden a informes de auditoría emitidos por una firma de contadores, que presentan una opinión sobre los controles de una organización de servicios.

Los informes SOC son importantes para evaluar a los proveedores, toda vez que los usuarios no tienen control, ni visibilidad sobre el código y los aspectos técnicos que hacen que el sistema funcione. Los clientes, auditores e inversores de una empresa necesitan saber que están utilizando proveedores de software con controles confiables. El informe SOC muestra la fiabilidad de los controles sobre los servicios que el proveedor está proporcionando a la empresa.

Hay tres tipos diferentes de informes SOC, cada uno con sus propias áreas de enfoque y alcance. Para la mayoría de los productos centrados en la contabilidad, es probable que una empresa reciba un informe SOC 1. Los informes SOC 1, se centran en los controles de una organización de servicios sobre los informes financieros.

Hay dos tipos de informes SOC 1: Tipo 1 y Tipo 2. El informe SOC 1 Tipo 1, es una evaluación de los controles financieros de una organización a partir de una fecha específica. El informe SOC 1 Tipo 2, también cubre los controles internos de una organización de servicios sobre la presentación de informes financieros, pero las pruebas se realizan durante un período de tiempo (como seis meses o un año). Dado que cubre un período de tiempo frente a un punto en el tiempo, el informe tipo 2 es más riguroso y contiene más información sobre la eficacia de los controles del proveedor. Para una empresa que depende de los controles de la organización de servicios, este informe SOC 1 Tipo 2 es preferible porque demuestra que los controles funcionaban eficazmente en la organización de servicios durante todo el período. Esta confianza permite a muchos usuarios identificar los controles que se producen en la organización del servicio y documentar esos controles dentro de la estructura de control interno de su entidad.

Los informes SOC 2 y SOC 3 se centran en los controles de una organización de servicios con respecto a la seguridad, disponibilidad, integridad del procesamiento, confidencialidad o privacidad. Hay dos tipos de informes SOC 2: tipo 1, que es una evaluación de si existen controles; y tipo 2, una evaluación de la eficacia de los controles. La diferencia clave entre los informes SOC 2 y SOC 3, es que los informes SOC 3 son menos detallados, pueden distribuirse a un grupo más grande y no incluyen una descripción de las pruebas de controles y resultados del auditor de servicios.

Para el software centrado en la contabilidad y el cumplimiento, un informe SOC 1 Tipo 2 es ideal, debido a su enfoque en los controles sobre la presentación de informes financieros durante un período de tiempo. Sin embargo, los informes SOC 2 o 3 pueden ser suficientes para sistemas utilizados para funciones distintas de los informes financieros como, la gestión de proyectos.

El auditor y los informes SOC

Al tener a su disposición un informe SOC, bien sea que reciba uno como parte de una evaluación de alguna organización o proveedor de la misma, hay elementos importantes que deben ser tenidos en cuenta:

  • Emisor de informe:

Para cumplir con los criterios de la AICPA, los informes SOC deben ser emitidos por una empresa debidamente autorizada para el efecto. Para garantizar que su informe es imparcial, la empresa debe ser un auditor que sea completamente independiente del proveedor. La empresa también debe tener experiencia en tecnología de la información. Un informe SOC es una evaluación centrada en la seguridad de la información y los controles internos, no en una auditoría financiera. Hay que comprobar si el informe SOC de un proveedor fue emitido por una empresa que posee certificaciones como auditor de sistemas de información o en control de sistemas de riesgo e información. Estas certificaciones, demuestran el nivel de conocimiento necesario para evaluar adecuadamente al proveedor.

  • Opinión del auditor:

Los informes de auditoría independientes proporcionarán uno de los tres tipos de dictámenes de auditoría: no calificado, calificado o adverso. En raras ocasiones, una empresa de auditoría podría emitir una exención de responsabilidad y una opinión.

Idealmente, el informe SOC de un proveedor recibe una opinión no calificada, lo que significa que el proveedor cumple o excede los criterios de evaluación sin modificación. Puede haber excepciones, pero no son lo suficientemente importantes como para justificar una opinión calificada. Una opinión no calificada es consistente con un dictamen de auditoría limpio.

Se emite un dictamen calificado en caso de que el proveedor no cumpla con todos los criterios de evaluación, pero los problemas encontrados por el auditor no se consideran graves. Estos asuntos deben documentarse para su examen en el informe de los SOC.

Se emite un dictamen adverso cuando un proveedor incumplió materialmente uno o varios criterios de evaluación. Y finalmente, se proporciona una exención de opinión cuando la firma CPA no proporciona una opinión debido a datos insuficientes.

  • Objetivos del control:

Al elaborarse un informe SOC, los objetivos de control se definen para un conjunto de controles en una organización de servicios. Dichos objetivos son determinados por la organización del servicio, y deben alinearse con las necesidades del usuario para las funciones realizadas por el software. Por ejemplo, un objetivo de control puede ser si el proveedor garantiza que el acceso a programas, sistemas y datos esté restringido a individuos autorizados. El proveedor trabajará con el auditor para probar las actividades de control (como la configuración de contraseñas, los niveles de acceso de usuario, etc.) y evaluar si proporcionan una garantía razonable de que el proveedor está gestionando eficazmente el acceso al sistema.

El informe SOC del proveedor debe contener un desglose detallado de cada objetivo de control, las actividades de control que se probaron y la evaluación del auditor de su eficacia. Para los usuarios finales, también es importante evaluar cualquier control complementario de la entidad de usuario que el proveedor de software espera que la organización de usuarios ponga en marcha para que los controles de organización de servicio sean eficaces.

 

 

CP Iván Rodríguez -

Auditor y Consultor, Diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, Diplomado en Gerencia de la Calidad, Contador Público de la Pontificia Universidad Javeriana, con 20 años de experiencia en diversas empresas. Amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool

Bogotá DC, Colombia


Regístrese para que pueda comentar este documento

Auditool.org

Es la Red Global de Conocimientos en Auditoría y Control Interno que le permite a los Auditores, tener acceso a metodologías de trabajo fundamentadas en buenas prácticas internacionales, entrenamiento en línea, listas de chequeo, modelos de papeles de trabajo, modelos de políticas, herramientas para la gestión de riesgos, entre otras. Permitiendo mejorar las prácticas de trabajo, ahorrando tiempo, creando y protegiendo valor en las organizaciones.
Este sitio web almacena cookies en su ordenador. Estas cookies se utilizan para recopilar información sobre cómo interactúa con nuestro sitio web y nos permiten recordarle. Utilizamos esta información para mejorar y personalizar su experiencia de navegación y para análisis y métricas sobre nuestros visitantes tanto en este sitio web como en otros medios. Para obtener más información sobre las cookies que utilizamos, consulte nuestra Política de privacidad.

Si rechaza, su información no será rastreada cuando visite este sitio web. Se utilizará una sola cookie en su navegador para recordar su preferencia de no ser rastreada.