movi-image-informe-soc-1
Envia'ns suggerències
Socis i Empleats
3 min del teu temps

Què és un informe SOC i per què la teva empresa en pot necessitar un

30/06/2020

L’objectiu principal d’aquests informes és delimitar el màxim control intern sobre la informació financera d’una altra empresa que fa servir una entitat. Aquest tipus de verificacions ajuden a transmetre seguretat i fiabilitat als clients

La crisi sanitària ha provocat un augment del volum de persones que teletreballen. Les normes de confinament, el compliment d’estrictes nivells de seguretat i protecció per als empleats i les mateixes necessitats de conciliació familiar, a causa del tancament de les escoles i les llars d’infants, han accelerat una tendència que en els últims anys creixia de manera sostinguda i constant: horaris més flexibles per a molts professionals que no necessiten anar a l’oficina, sinó que són més productius si gestionen ells mateixos el seu temps. No obstant això, aquesta realitat amaga alguns hàndicaps, un dels quals afecta directament el nucli operatiu de les empreses, com és l’eficiència i la seguretat de les infraestructures tecnològiques, que inclouen xarxes, equips, programes, gestió de fitxers sensibles i connexions al núvol.

Per verificar que els mecanismes de prestació de serveis contractats a subjectes externs funcionen adequadament, les empreses disposen dels informes SOC, sigla que recull en anglès el grup nominal de ‘controls d’organització de serveis’. Aquest tipus d’auditories serveixen principalment per atorgar confiança i legitimitat a totes aquelles activitats delegades per les entitats a tercers i que tenen una implicació en l’operativitat del seu negoci. Són elaborats per organitzacions alienes a l’empresa, amb una certificació pròpia, coneguda com a CPA, i serveixen per demostrar davant de la resta de stakeholders, sobretot clients, que no hi ha esquerdes per on es pugui escapar informació sensible ni comprometedora.

De fet, la missió principal d’aquesta mena d’informes és delimitar el màxim control intern sobre la informació financera d’una altra empresa que fa servir una entitat, avaluant el risc inherent que hi ha en l’exercici de la seva activitat, ja que parlem d’àrees tan crítiques com ara la gestió de nòmines, el desenvolupament i el manteniment de programari, la custòdia i l’anàlisi de dades i els serveis de connexió a xarxes, per citar només alguns exemples.

Et pot interessar: Allò que la ‘big data’ pot fer pel teu negoci

 

Estàndards precisos

Un dels grans problemes amb la utilització (i dependència) de les tecnologies per part de la gran majoria d’empreses, principalment per a temes relacionats amb la gestió d’informació, és que, tal com assegura Deloitte al paper Understanding Service Organisation Controls (SOC): Is our information secure?, gairebé de manera paral·lela, una eficiència més gran en l’intercanvi de dades provoca que els riscos associats a la corrupció en la informació s’hagin tornat més freqüents. Això esdevé un problema greu si impedeix garantir que la seva activitat compleixi els estàndards adequats de privacitat. Per aquesta raó, només a través d’auditories i controls periòdics les empreses poden demostrar a tercers que disposen de les salvaguardes adequades sobre els actius dels seus clients. I això és una cosa que els informes SOC, que gaudeixen del màxim reconeixement internacional, poden aconseguir.

Segons el tipus de document que es duu a terme hi ha tres categories:

  • El SOC 1 aborda els controls associats a la seguretat dels estats financers i està dirigit principalment als proveïdors de serveis relacionats amb informació comptable i financera.
  • El SOC 2 audita tot allò que té a veure, en general, amb la seguretat, la disponibilitat, la integritat dels processos, la confidencialitat i la privacitat.
  • El SOC 3 és, en realitat, un informe de compliment de nivell superior que es pot compartir amb els clients però sense revelar informació confidencial, incloent-hi una avaluació del disseny i l’efectivitat operativa dels controls de seguretat. En aquest grup hi ha dues classes segons si l’anàlisi se centra en els protocols de seguretat interns de l’organització a escala general i de manera permanent, o si s’aborda només durant un període determinat, com, per exemple, durant la realització d’un projecte.

 

El SOC 2 i els serveis al núvol

La importància creixent d’aquest informe sobre els altres és que acostuma a ser el més utilitzat per abordar una doble qüestió: la informació està segura? I com podem estar convençuts de saber-ho? L’estàndard del SOC 2 és el d’una auditoria sobre els controls interns relacionats amb les tecnologies de la informació, mitjançant la verificació de les obligacions i els compromisos dels proveïdors de serveis d’IT, cloud i hosting.

La seva homologació internacional dins de normes com l’ISO/IEC 27001 li confereixen una doble utilitat per a l’entitat que el contracti: d’una banda, obté una mena de credencial davant dels seus clients que el seu entorn virtual és segur i de confiança; a més, dins de l’organització, afavoreix comprensió més gran dels riscos per part dels empleats, facilita l’acceptació rutinària dels controls interns i promou un clima de governança positiu.

Aquests informes requereixen un esforç extern coordinat durant un període de temps per obtenir resultats fiables, ja que cal dur a terme diversos procediments de proves en diferents moments per poder estudiar amb la màxima objectivitat l’eficiència operativa d’una entitat, assenyala BDO al document Why your organisation needs a SOC Report.

Quins beneficis té per a una empresa

A més de millorar la confiança en el proveïment dels serveis que es tenen externalitzats, un informe SOC té molts altres avantatges per a qualsevol entitat. Per exemple, tal com asseguren des del despatx Mazars, minimitza l’impacte d’auditories, ja que fa una avaluació de diferents àmbits relacionats amb la seguretat de manera periòdica. A més, aporta una millor gestió dels riscos, suposa un avantatge competitiu per a l’organització i optimitza els processos i els controls comercials. També assenyalen que, si s’integra en l’operativitat habitual de l’empresa, pot tenir un impacte positiu com a eina de màrqueting potencial per a possibles clients.

Segons apunten tant a Deloitte com a BDO, qualsevol empresa d’una certa grandària que opera habitualment en entorns digitals no s’ha de preguntar si és oportú o no contractar un informe SOC, sinó que la qüestió clau és quina de les tres tipologies li interessa més amb vista a validar l’eficiència i la seguretat dels processos que té encomanats a tercers. Per a les dues empreses auditores, la resposta rau a comprendre bé el mercat prioritari des del punt de vista de l’empresa, escoltar les preocupacions dels seus clients i determinar els beneficis a llarg termini de revelar-los la solidesa dels seus entorns en una auditoria d’aquestes característiques.

 

-Categories i etiquetes-
up