Asociación Internacional de Profesionales de la Gestión de Riesgos
Compartimos Conocimiento, Agregamos Valor
Blog

Blog

Un enfoque con base en la metodología de Controles por Organizaciones de Servicio (SOC 1)

En más de una oportunidad usted ha escuchado “…ese control funciona bien, lo lleva una compañía externa especializada. No tengo por qué preocuparme de gestionar los riesgos y controles de esa actividad. Por ello pago.”

Seguramente, más de una vez el auditor interno de su entidad le ha advertido sobre la necesidad de asegurar que ese proveedor de servicios esté realizado su trabajo de forma apropiada, con los estándares requeridos de control y administración de riesgos.

Puede haberle ocurrido, que un proveedor que maneje sus relaciones y transacciones con sus clientes haya tenido una fuga de “su información” de la base de clientes y fue a parar a manos que no sabemos cómo la usarán.

Usted no quisiera encontrarse con una noticia en los noticiarios de la mañana que su proveedor de servicios de procesamientos de datos sufrió una catástrofe, vaya a saber: inundación, incendio, o cualquier otra calamidad posible, y los datos transaccionales y de clientes de sus operaciones se han perdido, dañado o en el mejor de los casos, no puede ser accedido de momento.

Parafraseando la publicidad de la famosa trajeta de crédito, “Para esto y más…” necesitamos los reportes SOC 1. Explicaremos en qué consisten estos reportes.

Necesidades de los clientes, obligaciones de sus proveedores de servicios

En general, las organizaciones cuentan con portafolios de prestación de diversos servicios para lo que requieren el cumplimiento de altos estándares de calidad y seguridad, de forma que aseguren la integridad, confidencialidad y disponibilidad de la información procesada y genere confianza para sus clientes actuales y futuros sobre el entorno de control.

Los clientes de estas organizaciones de servicio (proveedores de servicios tercerizados en el lenguaje más común) podrían requerir evaluar los procesos y controles de los servicios que han contratado, con el fin de obtener una confiabilidad sobre el control interno de éstos y atender sus requerimientos de seguridad. Estos clientes necesitan:

  • Entender los controles sobre los procesos y su efecto en el control interno.
  • Evaluar el diseño de tales controles, bien sea a través de revisiones directas por parte de ellos mismos o de terceros.
  • Tener confianza que los controles están operando según lo esperado y que los servicios que han contratado a la organización son prestados bajo buenas prácticas de seguridad y control.

La organización de servicio en su compromiso de tener una operación efectiva y con altos estándares de calidad que respondan a las necesidades de sus clientes y les genere confiabilidad sobre los procesos que administra, se interesa en ejecutar evaluaciones independientes del control interno sobre los servicios ofrecidos a sus clientes, obteniendo reportes SOC 1, ya sea SSAE 16 ó ISAE 3402.

Informes Tipo SOC 1

A nivel internacional, la gestión de riesgo y control ha establecido estándares profesionales que sirven de guía para evaluar y reportar sobre el control interno de terceras partes. El reporte SOC 1 (Report on Controls at a Service Organization Relevant to User Entities’ Internal Control over Financial Reporting, de acuerdo al AICPA), fue diseñado para obtener seguridad razonable y no absoluta sobre la descripción y diseño de los controles y la efectividad operativa de los mismos. Para este tipo de reportes, se puede seguir la norma de Estados Unidos SSAE 16 o la norma Internacional ISAE 3402.

El propósito de este tipo de reportes, es dar a los clientes de una “organización de servicios”, información sobre los controles que pueden ser relevantes para el control interno y la gestión de riesgos asociada a los mismos.

Los clientes usan el reporte para entender el nivel de adecuación de los controles de su proveedor de servicios y el impacto que éstos tienen en su propia estructura de control interno.

En ciertas circunstancias, en los casos que aplique, los auditores internos o externos de los clientes de una organización de servicios pueden usar estos reportes con el fin de reducir la cantidad de procedimientos sustantivos de auditoría requeridos.

Los reportes SOC 1 pueden ser de dos tipos:

  • Tipo I Reporte sobre los controles implementados puestos en operación.
  • Tipo II Reporte sobre los controles implementados y pruebas para determinar que hayan operado eficazmente durante el período de tiempo definido en el alcance.

Los reportes Tipo II, son los más utilizados puesto que sirven a las organizaciones de servicios para proveer un mayor nivel de aseguramiento a sus clientes, quienes les confían la administración de servicios internos o externos.

Bajo la nomenclatura de la norma ISAE 3402 los informes Tipo I y Tipo II se conocen como Tipo A y Tipo B, respectivamente.

Beneficios de los Informes SOC 1

Son varios los beneficios que se obtienen con la emisión de reportes SOC 1, ya sea SSAE 16 o ISAE 3402, entre los que podemos mencionar:

  • Satisfacer los requerimientos de cumplimiento y auditoría de sus clientes actuales. Un reporte de este tipo es un componente potencial de sus servicios que le ayudará a su organización a lograr las metas de satisfacción de sus clientes.
  • Eliminar o reducir auditorías repetitivas por parte de los clientes, y por ende reducir los costos relacionados. Las organizaciones sin estos reportes pueden estar sujetas a pruebas por parte de los auditores internos y externos de los clientes, lo que interrumpe las operaciones y requiere la redistribución de recursos para ayudar a estos auditores.
  • Contar con un elemento diferenciador frente a sus competidores que no tengan preparado un informe similar, generando confianza y transparencia ante sus clientes sobre la implementación adecuada de medidas de seguridad y control que propendan por la integridad, confidencialidad y disponibilidad de la información de éstos.
  • Anticiparse a posibles requerimientos de un informe de esta naturaleza por parte de sus clientes actuales y futuros.

Metodología

Para el desarrollo de las actividades inmersas en la emisión de un Reporte SOC1, se sigue, en general, una metodología similar a la que se presenta en la figura anexa:

Ninguna evaluación de controles bajo metodologías SOC 1 se parece a otra. La selección del universo de riesgos y sus actividades de control, depende muchas veces de la naturaleza y variedad de servicios que son ejecutados por la Organización de Servicios, la complejidad del sector, el impacto que los mismos puedan tener en los sistemas de control interno de sus clientes, entre otros factores.

Productos de un trabajo SOC 1

Los productos a generarse en un trabajo SOC 1 puede ser como describimos seguidamente:
  • En caso de realizarse la fase de pre-evaluación, se genera un informe de hallazgos detallando las brechas de control y oportunidades de mejora resultantes para que la organización pueda tomar acción antes de la evaluación final de controles.
  • Informes de hallazgos y recomendaciones que resulten de la evaluación del diseño y operación de los controles.
  • Reporte con el contenido y capítulos especificados en los estándares, expresando la opinión acerca de:
    1. Si la descripción de los controles para los servicios ofrecidos presentan razonablemente, en todos los aspectos significativos, los aspectos de control que pueden ser relevantes para el control interno de sus clientes, que se relacionan con una auditoría de estados financieros.
    2. Si dichos controles están diseñados apropiadamente para proveer una seguridad razonable que los objetivos de control especificados serían logrados si esos controles se cumplieran satisfactoriamente y se encuentran en operación a la fecha de la revisión según se acuerde.
    3. Si los controles que fueron probados, según el alcance, estuvieran operando con efectividad suficiente para proveer una seguridad razonable, pero no absoluta, que los objetivos de control especificados en la descripción de dichas pruebas se lograron durante el período de auditoría que haya sido acordado.

Las secciones que típicamente conforman un reporte bajo la metodología SOC 1 son las siguientes:

  • Sección I Afirmación de la Administración y Opinión del Auditor Independiente
  • Sección II Descripción del Sistema – Procesos y Controles
  • Sección III Objetivos de Control, Controles Relacionados y Pruebas de efectividad
  • Sección IV Otra Información Provista por la Organización

Ejemplos de procesos administrados por Organizaciones de Servicios que pueden requerir una revisión bajo la metodología SOC 1

Pueden ser diversos los escenarios y situaciones en que los clientes de las organizaciones de servicio encargan a éstos proveedores ejecutar parcial o totalmente un proceso y sus actividades de control. También puede ser diferente el nivel del requerimiento para el cumplimiento de ciertas normas de control interno, tanto en industria o ámbito de desarrollo de negocios, que pueden incidir en gestionar los riesgos de diversa manera sobre servicios que se han tercerizado.

Lo que sigue en las figuras adjuntas son ejemplos que pueden ilustrar al lector, sobre el nivel de criticidad que podría identificarse en la evaluación de controles en diversos frentes: tecnología de la información, calidad, relaciones con clientes, valuación de portafolios de inversión, servicios de procesamiento de nómina, entre muchos otros.

Conclusiones

Las exigencias de rentabilidad, costo-beneficio y valor agregado del portafolio de productos y servicios de una organización pueden llevar a alojar fuera de la entidad, las actividades de control que se ejecutan con personas o sistemas a través de organizaciones especializadas de servicios. Estas decisiones muchas veces están muy bien pensadas y justificadas, pero otras veces trasmiten un mensaje erróneo entre los ejecutivos de la entidad sobre que el control relacionado con los servicios y procesos tercerizados ya no es un asunto de la entidad.

Un apropiado sistema de administración de riesgos corporativos debería tener en el radar estas actividades tercerizadas. Los aspectos legales de las relaciones con Organizaciones de Servicios deberían exigir la rendición de cuentas a sus clientes a través de reportes SOC 1.

Las organizaciones de servicios que se diferencian son proactivas en promover este tipo de revisiones con el fin de mostrar lo adecuado y responsable que es el manejo de los controles y riesgos que gestionan a sus clientes.

Disclaimer

Esta presentación tiene fines didácticos para cubrir objetivos informativos y no pretende ser un documento de asesoría en materia contable, financiera, fiscal, tecnológica o de cumplimiento regulatorio. No se acepta ningún reclamo por las decisiones que se tomen en relación con esta presentación que cumple fines ilustrativos y didácticos. Las decisiones que el cliente haga con base en esta documentación no están relacionadas con ninguna asesoría y las mismas son de entera responsabilidad del cliente.

Por Bismark E Rodriguez

Asociación Internacional de Profesionales de la Gestión de Riesgos

Buscar

@CKP_Training

  • Asociación Internacional de Profesionales de la Gestión de RiesgosEducación profesional en:

    Asociación Internacional de Profesionales de la Gestión de Riesgos
    Educación profesional en:

    Gestión de Riesgos
    Auditoría Interna

  • Asociación Internacional de Profesionales de la Gestión de RiesgosEducación profesional en:

    Asociación Internacional de Profesionales de la Gestión de Riesgos
    Educación profesional en:

    Gobierno Organizacional
    Procesos y Controles

  • Asociación Internacional de Profesionales de la Gestión de RiesgosEducación profesional en:

    Asociación Internacional de Profesionales de la Gestión de Riesgos
    Educación profesional en:

    Contabilidad Financiera
    Tecnología de la Información
    Certificaciones Profesionales

  • 1
  • 2
  • 3