SSAE Nº 18 SOC Reporte Para Organizaciones de Servicio
Estos informes están destinados a satisfacer las necesidades de una amplia gama de usuarios que necesitan información detallada y técnica acerca de los controles en una organización de servicios relevantes para la seguridad, disponibilidad y procesamiento de la integridad de los sistemas que la organización de servicios utiliza para procesar los datos de los usuarios. confidencialidad y privacidad de la información procesada por estos sistemas. Estos informes pueden desempeñar un papel importante en:
- Supervisión de la organización
- Programas de gestión de proveedores
- Procesos internos de gobierno corporativo y gestión del riesgo
- Supervisión regulatoria
Una auditoría de Sistema y Control de Organización (SOC) es un examen realizado por una firma independiente.
El objetivo primario de una auditoría de SOC es proporcionar transparencia relacionada con la estructura de control interno de una organización de servicios y proporcionar garantías sobre el diseño y la efectividad operativa de los controles existentes.
Una auditoría SOC no es una certificación. No hay una calificación de aprobación / falla que viene con una auditoría SOC; más bien la salida es un informe de auditoría publicado que incluye cualquier excepción de control o falla.
Existen dos tipos de informes: Un informe de tipo 2 sobre la descripción de la administración del sistema de una organización de servicios y la idoneidad del diseño y la efectividad operativa de los controles; y un informe de tipo 1 sobre la descripción de la administración del sistema de una organización de servicios y la idoneidad del diseño de los controles.
SOC 1Evaluación AT 320 |
SOC 2Evaluación AT 105 (Bajo Circular 34) |
SOC 3Con base en AT 105 e ISAE 3000 |
Standard: SSAE Nº 18 Propósito: Informe sobre los controles relacionados con los estados financieros. Tipo de Reporte: Tipo 1 y Tipo 2. Uso: para atender las necesidades de auditoría de estados financiero. Restringido. |
Standard: SSAE Nº 18 Propósito: Informe sobre los controles relacionados con la continuidad, seguridad y sus operaciones. Tipo de Reporte: Tipo 1 y Tipo 2. Uso: Riesgo y gobierno corporativo, clientes y socios comerciales, y otras partes interesadas. Puede ser restringido. |
Standard: SSAE Nº 18 Propósito: Informe sobre los controles relacionados con el cumplimiento o las operaciones. Tipo de Reporte: Tipo 2. Uso: Fomentar la confianza pública. Generalmente no restringido. |