EY se refiere a la organización global, y puede referirse a una o más, de las firmas miembro de Ernst & Young Global Limited, cada una de las cuales es una entidad legal independiente. Ernst & Young Global Limited, una compañía británica limitada por garantía, no brinda servicios a los clientes.
Búsquedas recientes
Resumen
En un entorno empresarial cada vez más complejo y regulado, la confianza en los controles internos de las Organizaciones de Servicio es fundamental para garantizar la integridad de la información financiera y la protección de datos sensibles. Este artículo explora la relevancia de los informes SOC (Service Organization Control) y en su contexto como interactúa la norma ISAE 3402 (International Standard on Assurance Engagements 3402) como herramientas clave para la evaluación de controles internos. Se analizan las características, similitudes y diferencias entre los distintos tipos de informes SOC, así como las responsabilidades en el marco de la norma ISAE 3402.
En una perspectiva, con un enfoque más amplio, se busca proporcionar una comprensión de cómo estas herramientas contribuyen a la transparencia y confianza en las Organizaciones de Servicio.
Introducción
La globalización y la digitalización han transformado la manera en que las organizaciones operan, llevando a un aumento en la externalización de funciones críticas. En este contexto, la necesidad de garantizar la efectividad de los controles internos se ha vuelto más relevante que nunca. Los informes SOC y la norma ISAE 3402 emergen como respuestas a esta necesidad, proporcionando marcos de referencia para la evaluación de controles internos en Organizaciones de Servicio.
Resulta relevante establecer que una Organización de Servicio es una entidad que proporciona servicios a otras organizaciones o individuos, a menudo gestionando funciones críticas como procesamiento de datos, almacenamiento de información, o mismos servicios de tecnología de la información. Estas organizaciones pueden incluir proveedores de servicios en la nube, centros de datos, empresas de contabilidad, pagos a proveedores, procesamiento de tarjetas y otros que manejan información sensible o realizan funciones que impactan la operación de una Entidad Usuaria.
Por su parte, Entidad Usuaria es una organización o individuo que utiliza los servicios proporcionados por una Organización de Servicio. Estas entidades dependen de la efectividad de los controles internos de la Organización de Servicio para garantizar la integridad, seguridad y disponibilidad de la información y los servicios o procesos que reciben. La confianza en los controles de una Organización de Servicio es fundamental para que la Entidad Usuaria pueda operar de manera eficiente y segura.
A través de este artículo, se revisan conceptualmente los tipos más comunes de informes SOC y su aplicación en la evaluación de controles internos de las Organizaciones de Servicio. De igual forma, se revisa en general la norma ISAE 3402 y su impacto en la gestión de riesgos y la confianza en la información financiera que afecta a una Entidad Usuaria. Finalmente, un aspecto no menor, es que desarrolla las principales responsabilidades de las respectivas Direcciones de las Entidades Usuarias y de las Organizaciones de Servicio.
Informes SOC: Una Visión General
Los informes SOC son emitidos por un Auditor Externo independiente sobre los controles internos de una Organización de Servicio. Este tipo de informes son fundamentales, pues buscan acrecentar la transparencia y la confianza respecto a los controles internos. En general, se presentan clasificados en función a su alcance y el objetivo para el cual fueron encargados.
En primer lugar, el informe SOC 1 evalúa el diseño y la efectividad de los controles internos de una Organización de Servicio que afectan la información financiera de una Entidad Usuaria. Se presenta en dos tipos posibles:
- Tipo I, se enfoca en el diseño de los controles implementados en la Organización de Servicio, en un momento específico. En este tipo de Informes el Auditor Externo independiente no evalúa ni concluye acerca de la operación de los controles durante el periodo de revisión, y
- Tipo II, evalúa el diseño, la efectividad y operación de los controles a lo largo de un período determinado. Este tipo de informes es esencial para la integridad de los estados financieros de la Entidad Usuaria, que utiliza una Organización de Servicio, y están siendo impactados en forma significativa por los controles internos implementados en ésta última sobre la información financiera de la primera.
A modo de entendimiento práctico, se menciona como ejemplo una Entidad Usuaria que contrata a la Organización de Servicio para que procese la nómina de salarios, posteriormente recibe información de la liquidación y el pago de dicha nómina, para finalmente integrarla a la contabilidad de la Entidad Usuaria. Existen innumerables ejemplos, sin embargo en la medida que los procesos de la Entidad Usuaria, transferidos a una Organización de Servicio, adquieren mayor complejidad debido a sus características transaccionales o el nivel de automatización que adoptan, el riesgo que asume la Entidad Usuaria se acrecienta.
Los informes Tipo II, normalmente, incluyen una descripción de los controles, la evaluación de su diseño y efectividad, así como los resultados o conclusiones de las pruebas de controles, realizadas por el Auditor Externo independiente.
Por otro lado, los informes SOC 2 evalúan los controles internos de una Organización de Servicio en relación con los principios de confianza: seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad de los sistemas de información. Este tipo de informes no se refieren a la información financiera, sino más bien aborda la infraestructura tecnológica en general. Al igual que SOC 1, se presenta en dos tipos:
- Tipo I, analiza el diseño de los controles en un momento específico e incluye una descripción de estos controles y una evaluación de su diseño, sin evidencia de efectividad operativa.
- Tipo II, evalúa la efectividad u operación a lo largo de un período determinado de los controles involucrado. Este informe es crucial para garantizar la protección de datos y la confianza en la gestión de servicios.
Norma ISAE 3402: Un Marco para la Evaluación de Controles Internos.
En el marco de los informes SOC, la norma ISAE 3402 es un estándar internacional que se centra en las consideraciones para este tipo de reportes, así como también en la efectividad de los controles internos en las Organizaciones de Servicio. Esta norma es fundamental para garantizar la integridad y exactitud de los estados financieros de las empresas que utilizan estos servicios, incluyendo las responsabilidades clave de la Gerencia de las Organizaciones de Servicios, algunas de las cuales se mencionan a continuación:
- Establecimiento de Controles: establecer y mantener un sistema de control interno adecuado, asegurando que los controles sean apropiados para mitigar los riesgos operativos de los procesos que afectan a la Entidad Usuaria de los servicios.
- Evaluación Continua: evaluar continuamente la efectividad de estos controles es crucial, lo que involucra la realización de revisiones periódicas y auditorías internas para identificar oportunidades de mejora.
- Comunicación con Entidades Usuarias: ofrecer información clara sobre los controles internos, entregando informes de auditoría dentro de los parámetros referidos por la norma ISAE 3402.
Por otro lado, explora el Rol que tiene el Auditor Externo independiente al momento de evaluar los controles implementados en la Organización de Servicio, incluyendo en general:
- Comprensión de Servicios: comprender en profundidad los servicios ofrecidos y los controles internos relevantes existentes en la Organización de Servicio.
- Pruebas de Controles: ejecutar las pruebas de controles es un componente esencial del trabajo del auditor, permitiendo determinar si los controles existentes en la Organización de Servicio están funcionando según lo esperado.
- Comunicación de Resultados: comunicar los resultados de su evaluación y las pruebas realizadas a los controles implementados en la Organización de Servicio.
Consideraciones que debe contemplar la Dirección de las Entidades Usuarias
La contratación de una Organización de Servicio es una práctica común en el entorno empresarial actual, donde las empresas buscan optimizar costos y mejorar la eficiencia operativa. Sin embargo, esta decisión conlleva una serie de responsabilidades significativas para la Dirección de la Entidad Usuaria, especialmente desde la perspectiva del control interno.
En primer lugar, se debe realizar una evaluación exhaustiva de los riesgos asociados con la contratación de una Organización de Servicio. Esto implica identificar y analizar los riesgos potenciales que podrían afectar la operación y la integridad de la información de la Entidad Usuaria. La Dirección debe considerar factores como la naturaleza de los servicios prestados, la sensibilidad de los datos involucrados y la reputación de la Organización de Servicio. Esta evaluación debe ser un proceso continuo, revisándose periódicamente para adaptarse a cambios en el entorno operativo.
Asimismo, una vez que se han identificado los riesgos, la Dirección debe llevar a cabo un proceso riguroso de selección de proveedores. Esto incluye la revisión de la experiencia, las credenciales y las certificaciones de la Organización de Servicio. Debe asegurarse de que el proveedor tenga controles internos robustos y una sólida cultura de cumplimiento. Además, es recomendable solicitar informes de auditoría, como los informes SOC 1 y/o SOC 2, según corresponda, que proporcionan una visión clara de los controles y procesos de la Organización de Servicio.
Por otro lado, es responsable de negociar y establecer acuerdos contractuales claros y detallados con la Organización de Servicio. Estos contratos deben incluir cláusulas que especifiquen las expectativas en cuanto a la calidad del servicio, los niveles de seguridad, la confidencialidad de los datos y los procedimientos de respuesta ante incidentes. Es fundamental que el contrato contemple mecanismos de supervisión y auditoría que permitan a la entidad usuaria evaluar el desempeño del proveedor de manera continua.
Una vez que se ha establecido la relación con la Organización de Servicio, la Dirección debe implementar un sistema de supervisión y monitoreo efectivo. Esto implica realizar revisiones periódicas del desempeño del proveedor, así como auditorías internas y externas independientes para evaluar la efectividad de los controles internos, y debe permanecer alerta ante cualquier cambio en el entorno operativo de la Organización de Servicio que pueda afectar la calidad del servicio o la seguridad de los datos.
Finalmente, la Dirección debe estar preparada para responder a cualquier incidente que pueda surgir en relación con la Organización de Servicio. Esto incluye la implementación de un plan de respuesta ante incidentes que contemple la identificación, contención y recuperación de situaciones adversas. La Dirección debe trabajar en estrecha colaboración con la organización de servicios para garantizar que se sigan los procedimientos adecuados y se minimicen los impactos negativos.
Consideraciones Finales
Los informes SOC y la norma ISAE 3402 son herramientas esenciales para evaluar y brindar confianza en los controles internos de las Organizaciones de Servicio. La colaboración y comunicación efectiva entre la Gerencia de las Organizaciones de Servicio y la Dirección de las Entidades Usuarias son esenciales para mantener la confianza en la información financiera y en la gestión de riesgos en un entorno cuyas amenazas y riesgos adquieren cada vez más una creciente complejidad.
En nuestro país, la implementación de los marcos técnicos de referencia, como ISAE 3402, aún son muy poco frecuentes, sin embargo, en la medida que la integración operacional de las compañías se vuelve cada vez más común, apoyados en una evolución tecnológica con mayores complejidades, desafíos y oportunidades, resulta importante evaluar los riesgos asociados en cada caso y con base a los mismos, adoptar estándares probados internacionalmente.
