Revisão e avaliação do relatório SOC1 Tipo 2 para o SAP S/4HANA Cloud, Edição Pública: Guia completo para auditores de TI

Enquanto a contemplação anterior em nossa série de postagens de blog se concentrou em "Como auditar os processos e controles relacionados à TI a nível de aplicação", vamos nos concentrar no nível de infraestrutura a seguir. Uma vez que a responsabilidade pelos processos e controles em nível de banco de dados e sistema operacional, bem como pelo armazenamento físico de dados, recai exclusivamente sobre a SAP SE (como provedor de serviços), isso será feito revisando e avaliando o relatório SOC1 Tipo 2 para o SAP S/4HANA Cloud, Edição Pública.

O que é o relatório SOC1 Tipo 2 e por que é usado para a auditoria anual relacionada à TI?

O relatório de Controles do Sistema e Organização (SOC) é um relatório de controle interno para organizações de serviços como a SAP SE, criado por um auditor externo. Os relatórios SOC têm o objetivo de examinar os serviços fornecidos por uma organização de serviços para que os clientes possam avaliar o risco associado a um serviço terceirizado e se os riscos são adequadamente abordados pelo provedor de serviços. Os relatórios SOC podem ser do Tipo 1 ou Tipo 2. Um relatório do Tipo 1 é uma descrição dos serviços fornecidos pela gestão, e o auditor externo descreve e dá uma opinião sobre a adequação dos projetos de controle para garantir que os riscos do serviço sejam adequadamente abordados. Um relatório do Tipo 2 vai além, pois o auditor de serviços testa e dá uma opinião não apenas sobre os projetos de controle, mas também sobre a eficácia operacional dos controles.

Como revisar e avaliar um relatório SOC1 Tipo 2 como parte da auditoria anual relacionada à TI?

Para confiar em um relatório criado por um terceiro, os auditores de TI devem primeiro garantir que o auditor externo seja suficientemente credível para realizar uma análise abrangente do Sistema de Controle Interno do Provedor de Serviços. Caso o auditor externo seja considerado suficientemente credível, um auditor de TI pode confiar na adequação do conteúdo descrito no relatório SOC e iniciar a revisão e avaliação do relatório SOC.

Os seguintes aspectos relevantes de exemplo devem ser considerados e avaliados de forma independente por cada auditor de TI, de acordo com a legislação local e os requisitos internos:

• Padrões profissionais sob os quais o relatório foi preparado

• Tipo de relatório (por exemplo, SOC1 Tipo 2, ISAE3402, IDW PS 951 n.F.)

• Qualidade geral do relatório

• Determinar se a gestão forneceu uma declaração por escrito

Posteriormente, é importante para o auditor de TI obter uma compreensão abrangente do provedor de serviços, os serviços (natureza, materialidade, conteúdo, relação , etc.) que são consumidos por seus clientes e se os serviços consumidos estão totalmente cobertos no relatório de auditoria (por exemplo, para hospedagem de dados, os auditores devem garantir que os data centers que hospedam os dados para o cliente estejam incluídos no relatório de auditoria).

Após assegurar a credibilidade do Auditor de Serviços e compreender a natureza e o grau de terceirização, os auditores de TI devem verificar e avaliar de forma independente, de acordo com a legislação local, se todos os aspectos relevantes da Auditoria de TI (como parte da auditoria anual de fim de ano) estão abrangidos pelo relatório. Os aspectos relevantes são, por exemplo:

• Verificar se o relatório cobre o ano fiscal completo do cliente

• Compreender se são utilizadas organizações de subcontratação , em que medida e qual é o impacto no cliente

• Garantir que os Controles Gerais de TI relevantes (ITGC) estejam cobertos no Relatório de Auditoria

• Avaliação das exceções apontadas no relatório de auditoria quanto à sua relevância para a Auditoria de TI

• Avaliar se as exceções relevantes encontradas pelo Auditor de Serviços foram mitigadas adequadamente e se têm impacto nos procedimentos de Auditoria de TI

• Compreender se os Controles de Entidade de Usuário Complementares (CUEC) estão adequadamente abordados e executados pelo cliente. Esta parte deve ser auditada diretamente com o cliente.

(