Mitjançant un informe SOC realitzat per una auditora certificada independent, una companyia pot demostrar que és responsable de dur a terme un control adequat de la informació financera que gestiona, transmetent seguretat a clients i proveïdors
Avaluar el processament de les dades gestionades al Núvol mitjançant tercers per atorgar seguretat i confiança. Aquesta és la raó de ser dels informes SOC (sigles que corresponen en anglès a "service organization controls",
traduït com a "controls de sistemes i organitzacions"), la importància dels quals ha crescut en els últims anys gràcies a la digitalització de moltes activitats empresarials.
I és que la situació derivada de la pandèmia ha accelerat l'adopció per part de les companyies de noves tecnologies per poder continuar amb la seva activitat, afavorint models d'organització com ara el teletreball.
Tot i això, l'ús intensiu d'aquest tipus de tecnologies obliga les empreses a invertir recursos per controlar els riscos associats al registre, l'emmagatzematge i el processament de les dades mitjançant proveïdors. Això vol dir que han d'implementar controls adequats per garantir la seguretat, la confidencialitat, la disponibilitat i la integritat de tota la informació que es gestiona i que s'allotja al Núvol.
Qui fa els informes SOC?
Les entitats que s'ocupen de proveir serveis relacionats amb el registre, l'emmagatzematge i el processament de dades són les encarregades de lliurar als seus clients els informes SOC. Aquest tipus d'informes té com a objectiu principal dotar una organització de la seguretat que s'han implementat controls suficients per administrar la informació empresarial de manera fiable.
Destacat: Els informes SOC són emesos per una societat d'auditoria independent que té una certificació pròpia CPA
Els informes SOC són emesos per una societat d'auditoria independent que compta amb una certificació pròpia CPA i aquests garanteixen davant de la resta de stakeholders, sobretot clients, que no existeixen esquerdes per les quals es pugui escapar informació sensible ni comprometedora. De fet, la principal missió d’aquest tipus d’informes és delimitar el màxim control intern sobre la informació financera d’una altra empresa que maneja una entitat, avaluant el risc inherent que existeix sobre l’exercici de la seva activitat.
Categories d'informe SOC
Comptar amb un informe SOC independent permet a una empresa millorar la seva reputació al mercat i oferir confiança als seus clients i proveïdors. L’informe 'Understanding Service Organisation Controls (SOC): Is our information secure?' elaborat per Deloitte destaca la importància de dur a terme regularment controls i auditories que puguin demostrar a la resta dels stakeholders que es disposa de les salvaguardes adequades sobre els actius dels seus clients. I això és una cosa que els informes SOC, que gaudeixen del màxim reconeixement internacional, poden assolir.
Hi ha tres categories d'informes SOC:
- SOC 1 se centra en els controls interns relacionats amb la seguretat dels estats financers i comptables, de manera que una companyia estigui en condicions de garantir que exerceix les activitats de control suficients per satisfer les necessitats dels seus clients.
- SOC 2 avalua de manera independent tot el que fa referència als controls operatius, posant un especial èmfasi en la seguretat, la disponibilitat, la integritat dels processos, la confidencialitat i la privacitat. També sol incloure una opinió de l'auditor sobre el disseny i el funcionament dels controls definits per la companyia.
- SOC 3 és, en realitat, un informe de compliment de nivell superior que es pot compartir amb els clients però sense revelar informació confidencial, incloent-hi una avaluació del disseny i de l'efectivitat operativa dels controls de seguretat. En aquest grup, hi ha dues classes segons si se centra l'anàlisi en els protocols de seguretat interns de l'organització a escala general i de manera permanent, o si només s'aborda durant un període determinat, com, per exemple, durant la realització d'un projecte. Els informes SOC 3 solen ser més breus i menys detallats que els SOC 2.
SOC 2 i els serveis al Núvol
Els informes SOC 2 s'han convertit en un estàndard internacional per avaluar les amenaces de ciberseguretat i controls operatius d'un proveïdor. Aquests informes aborden una doble qüestió: Està segura, la informació? I com podem estar convençuts de saber-ho? L'estàndard del SOC 2 és el d'una auditoria sobre els controls interns relacionats amb la tecnologia de la informació, verificant les obligacions i els compromisos dels proveïdors de serveis IT, cloud i hosting.
La seva homologació internacional dins de normes com l’ISO/IEC 27001 li confereixen una doble utilitat per a una entitat que el contracti. D'una banda, obté una credencial davant dels clients que el seu entorn virtual és segur i fiable; de l'altra, dins de l'organització, afavoreix una comprensió més gran dels riscos per part dels empleats, facilita l'acceptació rutinària dels controls interns i promou un clima de governança positiu.
Aquests informes requereixen un esforç extern coordinat durant un període de temps per obtenir resultats fiables, ja que cal fer diferents procediments de proves en diferents moments per poder estudiar amb la màxima objectivitat l'eficiència operativa d'una entitat, assenyala BDO al document 'Why your organisation needs a SOC Report'.
Quins beneficis aporta, l'informe SOC, a una empresa?
A més de millorar la confiança en la provisió dels serveis que es tenen externalitzats, un informe SOC presenta altres avantatges per a qualsevol entitat. Per exemple, tal com asseguren des del despatx Mazars, minimitza l'impacte de les auditories, fent una avaluació de diferents àmbits relacionats amb la seguretat de manera periòdica.
Alhora, millora la gestió dels riscos, suposa un avantatge competitiu per a l'organització i optimitza els processos i els controls comercials. Des de Mazars també assenyalen que, si s'integra en l'operativitat habitual d'una empresa, pot tenir un impacte positiu com a eina de màrqueting per a possibles clients.
Segons apunten tant des de Deloitte com des de BDO, qualsevol empresa de certa envergadura que opera habitualment en entorns digitals no s'ha de preguntar si és oportú o no contractar un informe SOC, sinó que la qüestió clau és quina de les tres tipologies li interessa més de cara a validar l'eficiència i la seguretat dels processos que té encomanats a tercers. Per a aquestes dues societats auditores, la resposta és comprendre bé el mercat prioritari des del punt de vista de l'empresa, escoltar les preocupacions dels clients i determinar els beneficis a llarg termini de revelar-los la solidesa dels seus entorns mitjançant una auditoria d'aquestes característiques.
Fotografía de Mikael Blomkvist a Pexels