Service Organization Control (SOC)
Service Organization Control (SOC)
Brindamos el servicio de reporte de aseguramiento sobre los controles de una organización
Brindamos el servicio de reporte de aseguramiento sobre los controles de una organización
Actualmente, la tercerización de los servicios se ha posicionado cada vez más en los mercados mundiales. Las empresas están optando por generar valor a sus clientes a través de sus servicios y por ello, asignan ciertas responsabilidades a otras. Algunas de las razones por las cuales optan por contratar servicios de tercerización son la disminución de los costos, la calidad del servicio y la oportunidad de especializarse completamente en el servicio a prestar. Sin embargo, las empresas son en última instancia responsables de su entorno de control.
En este complejo escenario, las organizaciones están buscando un medio para establecer un ambiente de confianza para llevar a cabo sus operaciones. En este contexto, los marcos de presentación de informes de terceros, como el control de la organización de servicios (SOC 1, SOC 2, SOC 3 y SOC Cybersecurity), la declaración sobre las normas para los compromisos de certificación (SSAE18) y la norma internacional sobre los compromisos de garantía (ISAE3402), han ganado una amplia aceptación.
KPMG brinda el servicio de reporte de aseguramiento sobre los controles de una organización de servicios con un equipo de trabajo especializado para garantizar su ambiente de control. Así mismo, ha desarrollado una metodología que permite realizar un mapeo de controles a través de múltiples marcos de control. Entendiendo el panorama actual de las empresa, KPMG presta el servicio presencial y de forma remota.
Service Organization Controls (SOC)
SOC 1
Enfocado a riesgos y controles sobre el reporte financiero, especificados por el proveedor de servicios, aplicable cuando el proveedor ejecuta el procesamiento de transacciones financieras o soporta sistemas que procesan transacciones financieras.
SOC 2 / SOC 3
Enfocado a controles operacionales relacionados con:
• Seguridad.
• Disponibilidad.
• Integridad de procesamiento.
• Confidencialidad.
• Privacidad.
Aplicable cuando las organizaciones requieren comunicar a las partes interesadas (gerencia, directores, inversores, analistas, socios comerciales y otros) el diseño y la eficacia de sus programas de gestión de riesgos de ciberseguridad.
¿Por qué deberías aplicarlo
- Alta demanda del uso de servicios tercerizados.
- Cumplimiento de la norma internacional de auditoría (NIA) 402, circular externa 005 y 007 de la Superintendencia Financiera de Colombia.
- Respuesta a las diferentes amenazas emergentes, y el amplio número de requerimientos regulatorios.
- Las compañías siguen siendo responsable de su ambiente de control.
¿Cuáles son los Beneficios?
- Entender el tipo de efectividad de controles de su organización de servicio.
- Monitoreo saludable a terceros que procesan información fuente para sus estados financieros.
- Conocer el nivel de seguridad y privacidad con la cual manejan su información.
- Efectividad del plan de continuidad y nivel de recuperabilidad de su información.
- Conocer la efectividad del programa de gestión de riesgos de su organización.
¿Qué es la ISAE 3402 / SSAE 18?
La ISAE 3402 es un estándar de aseguramiento global, que entró en vigencia el 15 de junio de 2011, para reportar sobre los controles de una organización que brinda servicios tercerizados.
A partir de la ISAE 3402, cada país diseñó la norma local para cumplir con los requerimientos específicos de sus legislaciones internas. Este es el caso de Estados Unidos con el SSAE–18.
Contáctenos
- Encontrar ubicación de oficinas kpmg.findOfficeLocations
- kpmg.emailUs
- Redes sociales @ KPMG kpmg.socialMedia