A crescente dependência da terceirização para alcançar lucros e eficiência também leva a um crescimento na desconfiança ao compartilhar informações confidenciais com outras pessoas. Clientes, funcionários e entidades reguladoras exigem maior transparência nas práticas de proteção de dados.
Relatórios de confirmação, como os relatórios SOC (Service Organization Controls – Controles da organização de serviços), são essenciais para consolidar essa confiança, demonstrando a existência de controles adequados em operação para proteger informações financeiras e sigilosas. Setores como o de tecnologia da informação e os financeiros utilizam o relatório SOC para garantir a eficácia de seus controles. Em contrapartida, setores emergentes como a FinTech e a logística também adotam essas técnicas de documentação.
Os relatórios SOC promovem a confiança e a transparência, promovem a eficiência e promovem a eficácia, para a diminuição dos custos de conformidade e para o cumprimento das obrigações contratuais, além de tratar de forma proativa os riscos presentes.
Como surgiu os relatórios SOC?
O SOC se originou nos anos 70, quando o AICPA (American Institute of Certified Public Accountants – Instituto Americano de Contadores Públicos Certificados) lançou o SOC 2 juntamente com o SAS 1 (Statement on Auditing Standards – Declaração sobre Normas de Auditoria), que definiu de maneira oficial as funções e obrigações dos auditores independentes.
Com o passar do tempo, foram introduzidos novos padrões SAS, culminando no SAS 70 em 1992. Os CPAs (Certified Public Accountants – Contadores Públicos Certificados) começaram a empregar este padrão na década de 1990 para avaliar a efetividade dos controles financeiros internos das empresas, ampliando sua utilização para abranger a segurança da informação.
Depois disso, com o aumento da terceirização de serviços como processamento de folha de pagamento e computação em nuvem, tornou-se crucial assegurar a segurança desses serviços por meio de auditorias de confiança.
Em 2010, o SOC 2 foi formalmente introduzido, com o lançamento do SSAE 16 (Statement on Standards for Attestation Engagement – Declaração sobre Padrões para Engajamento de Certificação) pelo AICPA. Esse novo padrão resultou nos relatórios do SOC, que incluíram o SOC 2, além do SOC 1 e SOC 3.
Em maio de 2017, o AICPA substituiu o SSAE 16 pelo SSAE 18, para simplificar alguns aspectos confusos, abrangendo assim todos os relatórios SOC 1, SOC 2 e SOC 3.
Mas o que é um SOC report?
Os relatórios SOC são estruturas de avaliação de controles internos de uma organização de serviço, estabelecidas pelo AICPA. Existem três tipos de relatórios SOC: SOC 1, SOC 2 e SOC 3
- SOC1: avalia os controles que afetam os relatórios financeiros, como os relacionados a folha de pagamento e processamento de pagamentos.
- SOC2: avalia os controles internos de forma mais abrangente, com ênfase na segurança da informação. Inclui testes e resultados do auditor.
- SOC3: o relatório SOC 3 está disponível para consulta pública e oferece às partes interessadas uma visão sobre os controles da organização de serviço ligados à segurança, disponibilidade, integridade do processamento e/ou privacidade. Sempre se baseia nos resultados de uma avaliação SOC 2 Tipo II para elaborar o relatório de auditoria SOC 3.
Tipos de Relatório I e II: As conclusões de auditoria SOC 1 e SOC 2 podem ser classificadas como Tipo I ou Tipo II. A distinção é que o Tipo I é uma análise pontual dos controles, enquanto o Tipo II é uma análise da efetividade desses controles ao longo de um período, geralmente seis meses ou mais.
Quais os benefícios?
Os relatórios SOC têm o potencial de auxiliar as organizações na avaliação e gestão dos riscos ligados aos fornecedores que prestam um serviço terceirizado, assim como:
- Fomentar confiança e transparência entre as partes interessadas, tanto internas quanto externas;
- Melhorar a eficiência, ao mesmo tempo que diminui os custos de conformidade e o tempo dedicado a auditorias e questionários de fornecedores;
- Cumprir as obrigações contratuais e atender às preocupações do mercado com relatórios adaptáveis e personalizados;
- Gerenciar proativamente os riscos em toda a organização.
Somente confiar no resultado dos controles do SOC é suficiente?
A resposta é não! Pois, os CUECs (Complementary User Entity Controls – Controles complementares de entidade de usuário)são uma parte crucial de qualquer relatório de auditoria SOC. Quase todos os relatórios de auditoria SOC, incluindo SOC 1, SOC 2 e SOC 3, dependem de CUECs.
CUECs e organizações de serviços
Os CUECs são essenciais nos relatórios SOC, pois garantem a eficácia do ambiente de controle. A ausência de CUECs em um relatório torna-o incompleto, podendo gerar complicações na auditoria. Geralmente, os CUECs são listados em seções específicas do relatório, logo após a descrição do sistema de controles.
As organizações de serviço devem identificar os CUECs relacionados aos serviços prestados, definindo claramente os serviços, objetivos de controle e responsabilidades das entidades usuárias. Essa identificação deve ser documentada e comunicada às entidades, incorporando os CUECs ao relatório anual. Além disso, à medida que novos controles e serviços são implementados, os CUECs devem ser atualizados para que as entidades usuárias estejam cientes de suas responsabilidades de controle interno.
CUECs e entidades de usuário
Se sua organização é uma entidade de usuário que interage com organizações de serviço que recebem relatórios SOC 1, SOC 2 ou SOC 3, é fundamental entender os diferentes tipos de Controles Complementares de Entidade de Usuário (CUECs) e seu funcionamento. Os CUECs variam conforme o tipo de relatório, a organização de serviço e o setor.
As entidades de usuário devem revisar os relatórios SOC das organizações de serviço que utilizam, identificando todos os CUECs relevantes. Após essa identificação, é crucial documentar os controles específicos implementados para cada CUEC. Esse mapeamento assegura que os controles das entidades de usuário sejam eficazes e atendam aos requisitos dos CUECs, permitindo que confiem nos sistemas de controle das organizações de serviços.
