soc: ¿por que y par quien? beneficios anatomía y ... › wp-content › uploads › 2020 › 11...

25

Upload: others

Post on 29-Jan-2021

3 views

Category:

Documents


0 download

TRANSCRIPT

  • ❖ SOC: ¿Por que y par quien?❖ Resumen de un informe SOC

    ❖ Beneficios❖ Componentes❖ Anatomía y metodología del informe

    AGENDA

  • De donde surge esta necesidad?

    • El desarrollo tecnológico de la computación en la nube ha hecho que las organizaciones externalicen muchos de sus elementos de IT.

    • La proliferación de servicios prestados a través de la nube (SaaS) ha reducido las barreras de entrada para muchas empresas nuevas.

    • Las organizaciones están cada vez más interconectadas, elevando el riesgo de datos personales y / o corporativos de alto valor

    • Prácticamente todas las organizaciones brindan un servicio que implica el manejo de datos de terceros o son usuarios de estos servicios.

  • Por que la organizaciones de servicios?

    • Un número creciente de entidades se están convirtiendo en "organizaciones de servicios" que necesitan proporcionar informes de garantía sobre el manejo de la información.

    • Las organizaciones de servicios realizan funciones o tareas que, de lo contrario, un cliente necesitaría realizar por sí mismo, generalmente la tercerización de IT o la subcontratación de procesamiento de negocios.

    • Cuando la organización de servicios maneja información de terceros, se crea una necesidad de informes independientes sobre los controles en el manejo de esa información y sus riesgos.

  • Tipos de organizaciones de servicios

    • Servicios de logística y entrega segura • Comunicaciones • Servicios de registros médicos • • Servicios de TI • Tercerización de centros de datos • Proveedores de servicios de aplicaciones

    (ASP) • Computación en la nube• Procesamiento de información de la cadena

    de suministro • Servicios de análisis de mercado • Servicios de inteligencia empresarial

    • Servicios de seguridad gestionados • Servicios de alojamiento web o comercio

    electrónico • Tercerización de procesos de negocios• Administradores externos (TPA) • Instalaciones de procesamiento de reclamos • Centro de atención telefónica y centros de servicio

    al cliente • Procesadores de gestión de cuentas por cobrar,

    facturación e inventarios • Procesadores de beneficios y nóminas

  • ¿Qué es una organización de usuarios?

    • Las organizaciones de usuarios son los destinatarios de los servicios que brindan las organizaciones de servicios.

    • Las organizaciones de usuarios a menudo requieren que las organizaciones de servicios proporcionen garantías sobre las tareas y la información que se les confía.

    • Los informes de terceros son una forma en que las organizaciones de usuarios supervisan el cumplimiento de los criterios establecidos para el manejo adecuado de la información y las tareas por parte de la organización de servicios.

  • Un informe SOC es para un auditor usuarioLas normas profesionales como SSAE 18 brindan orientación para permitir que un auditor independiente (auditor de servicio) emita una opinión (afirmación escrita) sobre la descripción de los controles internos de una organización de servicios.

  • Normas profesionales internacionales vs SSAE 18 (EEUU)

    Reporte de controles para una organización de servicios

    SOC 1

    ISAE 3402SSAE 18

    (AT-C 105, 205, 320)

    SOC 2 / SOC 3

    ISAE 3000SSAE 18

    (AT-C 105, 205)

  • Norma professional SSAE 18

    Logotipo para organizaciones emisoras

    Logotipo para auditores

  • Resumen del informe SOC

    Cosas que saber| SOC 1 SOC 2 SOC 3SOC PARA

    CIBERSEGURIDAD¿Cuál es el propósito del informe?

    Proporcionar información al auditor de los estados financieros de una entidad usuaria sobre los controles en una organización de servicios que pueden ser relevantes para la información financiera.

    Brindar información a usuarios acerca de los controles en la organización de servicios acerca de la seguridad, disponibilidad, integridad, privacidad.

    Brindar a interesados la opinión de un CPA sobre los controles en la organización de servicios que pueden afectar la seguridad, disponibilidad, integridad de procesamiento, confidencialidad o privacidad de las entidades usuarias.

    Proporcionar a los usuarios previstos información útil sobre el programa de gestión de riesgos de ciberseguridad de una entidad para tomar decisiones .

    Quien son los interesados?

    Auditor de los estados financieros del de la entidad usuaria, las entidades usuarias y las organización de servicios

    La organización de servicios y otras partes con suficiente conocimiento y comprensión de la organización de servicios y su sistema

    Nadie Gerentes, directores, analistas, inversionistas y otros.

  • Resumen del informe SOC (continuación)

    Cosas que saber SOC 1 SOC 2 SOC 3 SOC PARA CIBERSEGURIDAD

    ¿Bajo qué estándares profesionales y guía de implementación se realiza el compromiso?

    AT-C sección 105, Conceptos comunes a todos los compromisos de certificación, AT-C sección 205, Exámenes y AT-C sección 320 Controles en la organización de servicios relevantes para la información financiera, en AICPA Professional Standards

    AT-C sección 105, Conceptos comunes a todos los trabajos de certificación, y AT-C sección 205, exámenes, en las normas profesionales de AICPA

    AT-C sección 105, Conceptos comunes a todos los compromisos de certificación, y AT-C sección 205, exámenes, en las normas profesionales de AICPA

    AT-C sección 105, Conceptos comunes a todos los compromisos de certificación, y AT-C sección 205, exámenes, en las normas profesionales de AICPA

    Guía de AICPA, Organizaciones de servicios: Informes sobre un examen de controles en una organización de servicios relevante para el control interno de las entidades de usuario sobre los informes financieros (SOC 1)

    La Guía AICPA que informa sobre los controles en una organización de servicio relevante para la seguridad, disponibilidad, integridad del procesamiento, confidencialidad o privacidad (SOC 2)

    Duein diciembre La guía de AICPA Informes sobre la seguridad cibernética de una entidad Programa de gestión de riesgos y controles

  • Resumen del informe SOC (continuación)Conceptos SOC 1 SOC 2 SOC 3

    SOC PARA CIBERSEGURIDAD

    ¿Quién es responsable? Una empresa que actúa como una organización de servicios que procesa datos o proporciona servicios críticos para los informes financieros de sus clientes. Por ejemplo: administradores de terceros, administradores de nóminas, organizaciones de seguros.

    La organización de servicios y otras partes especificadas con suficiente conocimiento y comprensión de la organización de servicios y su sistema.Por ejemplo: centros de datos, organizaciones de software como servicio (SaaS), proveedores de servicios gestionados

    La organización de servicios y otras partes especificadas con suficiente conocimiento y comprensión de la organización de servicios y su sistema.Por ejemplo: centros de datos, organizaciones de software como servicio (SaaS), proveedores de servicios gestionados

    Gerencia, directores, analistas, inversionistas y otros cuyas decisiones podrían ser afectado por la efectividad de el riesgo de ciberseguridad de la entidad

    ¿El informe es apropiado para uso general o está restringido a partes específicas?

    Restringido al personal de la entidad usuaria y a partes especificadas, como auditores independientes y profesionales de entidades usuarias y reguladores

    Restringido al personal de la entidad usuaria y a partes específicas, como auditores independientes y profesionales de entidades usuarias y reguladores.

    Apropiado para uso general Apropiado para uso general

  • Beneficios de los informes de terceros

    • La garantía independiente mejora la fiabilidad de las comunicaciones.

    • Un proceso de informe y un conjunto de actividades de evaluación pueden abordar múltiples objetivos

    • Sarbanes-Oxley, ISO 27001, Alianza de seguridad en la nube.

    • Puede eliminar o mitigar las auditorías internas del cliente.

    • Abordar las necesidades de prueba comunes.

    • Reduzca las pruebas redundantes de los mismos procesos y controles.

    • Expectativa competitiva.

    • Las actividades de evaluación también generan ideas de mejora de procesos.

    • Opciones de informes disponibles para clientes actuales y clientes potenciales.

  • • Asegura que los controles estén diseñados adecuadamente y en su lugar en un momento determinado.

    • Auditoría basada en procedimientos de "consulta y observación“.

    • Ideal para auditados por primera vez. Utilidad limitada para entidades de usuario.

    TIPO 1 TIPO 2• Asegura que los controles estén diseñados

    adecuadamente, en su lugar y que funcionen de manera efectiva durante un período de tiempo

    • Pruebas mucho más detalladas que implican observación, inspección y re-rendimiento.

    • Más apropiado para auditores que evalúan controles en la organización de servicios.

    • Proporciona objetivos de control de aseguramiento razonables o se cumplen los criterios especificados

  • Sistema • Personas • Procesos • Aplicaciones • Infraestructura

    Descripción del sistema• Servicios prestados • Procedimientos • Registros contables • Eventos significativos • Controles a nivel de entidad • Informes • Consideraciones de control del usuario Pruebas

    /validación existentes

    Pruebas adicionales limitadas

    Declaración escrita de la gerencia

    Informe del auditor de servicio

    Monitoreo continuo

    Afirmaciones de estados financieros de entidades de

    usuario

    Evaluación de riesgos

    La "base razonable" para que la administración afirme los controles se aplicaron de manera consistente

    Objetivos de control

  • Sistema • Personas • Procesos • Aplicaciones • Infraestructura

    Descripción del sistema• Servicios prestados • Procedimientos • Registros contables • Eventos significativos • Controles a nivel de entidad • Informes • Consideraciones de control del usuario Pruebas

    /validación existentes

    Pruebas adicionales limitadas

    Declaración escrita de la gerencia

    Informe del auditor de servicio

    Preocupaciones con respecto a la seguridad, disponibilidad, integridad del procesamiento,

    confidencialidad, privacidad.

    La "base razonable" para que la administración afirme los controles se aplicaron de manera consistente

    Control

    Criterios de servicios de confianza (incluye evaluación de riesgos)

    Indica el tema de la opinión de los auditores de

    servicios.

    Monitoreo continuo

  • Anatomía de un informe de SOC

    • ITEM

    xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx.

    1) Una afirmación por escrito de la gerencia con respecto a la descripción del sistema de la organización de servicios y la idoneidad del diseño y la efectividad operativa de los controles

    2) Aborda el tipo de informe, el período de informe, la opinión y cualquier calificación o exención de responsabilidad

    3) Descripción narrativa de forma libre de los procesos y controles proporcionados por la organización de servicios.

    4) Identifica los procedimientos (pruebas) realizados por el auditor y los resultados (para informes Tipo 2 y no para SOC para seguridad cibernética)

    5) Puede contener otra información provista por la organización de servicio (sección opcional no probada por el auditor)

    5) Otra información

    proporcionada por el cliente

    4) Criterios, controles, pruebas y

    resultados.

    3) Descripción del sistema

    2) Opinión del auditor de servicio independiente

    1) Afirmación de la gerencia

  • Fase 1: SOC Evaluación de preparación

    Fase 2: SOC Examen tipo I Fase 3: SOC Examen tipo II

    Determine los objetivos / criterios de control y los controles relacionados que se utilizarán para formar la base para el examen del informe SOC 1 y / o SOC 2 Tipo II

    Identifique las organizaciones de subservicio y el método apropiado que se utilizará con respecto a estas entidades (es decir, "método de exclusión" o el "método inclusivo")

    Seleccione las ubicaciones físicas que se incluirán dentro del alcance

    Determine el período de tiempo que se utilizará para los compromisos SOC 1 y / o SOC 2 Tipo II en años futuros

    Realice una evaluación de los controles clave para identificar deficiencias que pueden necesitar mejorarse o resolverse antes de la evaluación SOCR y la emisión de los informes finales.Proporcione recomendaciones para el tipo SOCR que mejor se adapte a las necesidades del cliente junto con recomendaciones y prácticas líderes para resolver las deficiencias de control y fortalecer el entorno de control.

    Confirme los Criterios de servicio de confianza apropiados y los controles relacionados que se utilizarán como base para el informe SOC 2 Tipo I

    Confirme que los objetivos de control y los controles relacionados son apropiados para ser utilizados como base para el informe SOC 1 Tipo I

    Proporcionar comentarios sobre la descripción del sistema por parte de la administración

    Realizar un recorrido de los controles para evaluar el diseño.

    Emitir informes SOC 1 y / o SOC 2 Tipo I

    Proporcionar recomendaciones y prácticas líderes para resolver las deficiencias de control y fortalecer el entorno de control.

    Confirme que los principios y criterios que se utilizarán para formar la base para el informe SOCR Tipo II sean apropiados

    Confirme que los objetivos de control y los controles relacionados son apropiados para ser utilizados como base para el informe SOC 1 Tipo I

    Realizar un recorrido de los controles para evaluar el diseño.

    Realizar pruebas basadas en muestras para evaluar la efectividad operativa de los controles

    Emitir informes SOC 1 y SOC 2 Tipo II

    Proporcionar recomendaciones y prácticas líderes para resolver las deficiencias de control y fortalecer el entorno de control.

  • Metodología aplicada SOC

  • Preguntas principales para organizaciones de servicios SOC

    ¿Quién puede realizar una auditoría SOC 1, 2 o 3? -Una auditoría de SOC solo puede ser realizada por un contador público certificado independiente (CPA) o empresa.

    ¿Cómo puede un proveedor de servicios prepararse para un compromiso de certificación SOC? -Un proveedor de servicios puede comenzar a definir objetivos de control e identificar actividades de control relacionadas como un primer paso en el compromiso de certificación SOC. Muchos proveedores de servicios contratarán a una empresa de servicios profesionales con experiencia tanto en auditoría financiera como en auditoría de IT para ayudar a redactar los objetivos de control y evaluación de las actividades de control existentes. Esto le permite al proveedor de servicios determinar si es necesario realizar alguna mejora con respecto al entorno de control antes del inicio del compromiso SOC real.

    ¿Cuánto cuesta un compromiso de certificación SOC? - El costo de un compromiso de SOC depende en gran medida de la cantidad de tiempo que le toma al auditor de servicio realizar los procedimientos necesarios para emitir una opinión sobre los controles puestos en operación y las pruebas de efectividad operativa.

  • Desencadenantes, condiciones y beneficios que impulsan la necesidad de un informe SOC

  • Preguntas de alcance para un informe SOC• Se utilizará el informe de terceros para complementar los controles internos de una organización de usuarios

    sobre los informes financieros? (en otras palabras ... es el informe solicitado por los auditores financieros de la organización usuaria)

    • ¿Se utilizará el informe para monitorear las actividades de la organización de servicios en cuanto a seguridad, disponibilidad, integridad de procesamiento, confidencialidad y / o privacidad?

    • ¿Será necesario que el informe sea de Tipo 1 o Tipo 2?

    • ¿Cuál es el momento en el tiempo (en el caso de un Tipo 1) o el período de cobertura (en el caso de un Tipo 2) requerido para el informe?

    • ¿Hay otras entidades involucradas en la provisión de servicios en discusión para las organizaciones de usuarios?

  • Muestra de objetivos de control – SOC 1

    • Los controles proporcionan una seguridad razonable de que el acceso lógico a programas y datos está restringido.

    • Los controles proporcionan una seguridad razonable de que los datos críticos se respaldan regularmente

    • Los controles proporcionan una garantía razonable de que los cambios en las aplicaciones internas y la infraestructura están debidamente autorizados, probados, implementados y documentados.

    • Los controles proporcionan una garantía razonable de que las cuentas de los clientes se configuran de manera completa, precisa y oportuna en los sistemas de IT de acuerdo con los acuerdos del cliente y las regulaciones aplicables, y que se valida, documenta y autoriza la documentación del cliente para la apertura y modificación de las cuentas del mismo.

    • Los controles proporcionan una garantía razonable de que los nuevos valores y los cambios en los valores están autorizados y establecidos de manera completa, precisa y oportuna.

    • Los controles proporcionan una garantía razonable de que los estados de cuenta / cartera que reflejan las posiciones de efectivo y seguridad se proporcionan a los clientes de manera completa, precisa y oportuna

  • PREGUNTAS ?

  • MUCHAS GRACIAS!!!