Revisión y evaluación del informe SOC1 Tipo 2 para SAP S/4HANA Cloud, Edición Pública: Guía completa para auditores de TI

Mientras que la contemplación previa en nuestra serie de publicaciones de blog se centraba en "Cómo auditar los procesos y controles relacionados con TI a nivel de aplicación", nos enfocaremos en el nivel de infraestructura a continuación. Dado que la responsabilidad de los procesos y controles a nivel de base de datos y sistema operativo, así como del almacenamiento físico de datos, recae únicamente en SAP SE (como proveedor de servicios), esto se realizará revisando y evaluando el informe SOC1 Tipo 2 para SAP S/4HANA Cloud, Edición Pública.

¿Qué es el informe SOC1 Tipo 2 y por qué se utiliza para la auditoría anual relacionada con TI?

El informe de Controles del Sistema y Organización (SOC) es un informe de control interno para organizaciones de servicios como SAP SE que es creado por un auditor externo. Los informes SOC están destinados a examinar los servicios proporcionados por una organización de servicios para que los clientes puedan evaluar el riesgo asociado con un servicio externalizado y si los riesgos son abordados adecuadamente por el proveedor de servicios. Los informes SOC pueden ser de Tipo 1 o Tipo 2. Un informe de Tipo 1 es una descripción de los servicios proporcionados por la gerencia y el auditor externo describe y da una opinión sobre la idoneidad de los diseños de control para garantizar que los riesgos del servicio sean abordados adecuadamente. Un informe de Tipo 2 va un paso más allá, ya que el auditor de servicios prueba y da una opinión no solo sobre los diseños de control, sino también sobre la efectividad operativa de los controles.

¿Cómo revisar y evaluar un informe SOC1 Tipo 2 como parte de la auditoría anual relacionada con TI?

Para poder confiar en un informe creado por un tercero, los auditores de TI primero deben asegurarse de que el auditor externo sea lo suficientemente creíble para realizar un análisis exhaustivo del Sistema de Control Interno del Proveedor de Servicios. En caso de que el auditor externo sea lo suficientemente creíble, un auditor de TI puede confiar en la idoneidad del contenido descrito en el informe SOC y comenzar con la revisión y evaluación del informe SOC.

Los siguientes aspectos relevantes de ejemplo deben ser considerados y evaluados de forma independiente por cada auditor de TI de acuerdo con la legislación local y los requisitos internos:

• Estándares profesionales bajo los cuales se preparó el informe

• Tipo de informe (por ejemplo, SOC1 Tipo 2, ISAE3402, IDW PS 951 n.F.)

• Calidad general del informe

• Determinar si la gerencia ha proporcionado una declaración por escrito

Posteriormente, es importante para el auditor de TI obtener una comprensión extensa del proveedor de servicios, los servicios (naturaleza, materialidad, contenido, relación , etc.) que son consumidos por sus clientes y si los servicios consumidos están completamente cubiertos en el informe de auditoría (por ejemplo, para el alojamiento de datos, los auditores deben asegurarse de que los centros de datos que alojan los datos para el cliente estén incluidos en el informe de auditoría).

Después de asegurar la credibilidad del Auditor de Servicios y comprender la naturaleza y grado de externalización, los auditores de TI deben verificar y evaluar de forma independiente según la legislación local si todos los aspectos relevantes de la Auditoría de TI (como parte de la auditoría anual de fin de año) están cubiertos por el informe. Los aspectos relevantes son, por ejemplo:

• Revisar si el informe cubre el año fiscal completo del cliente

• Entender si se utilizan organizaciones de subcontratación , en qué grado y cuál es su impacto en el cliente

• Asegurar que los Controles Generales de TI relevantes (ITGC) estén cubiertos en el Informe de Auditoría

• Evaluación de las excepciones señaladas en el informe de auditoría en cuanto a su relevancia para la Auditoría de TI

• Valorar si las excepciones relevantes encontradas por el Auditor de Servicios fueron mitigadas adecuadamente y si tienen un impacto en los procedimientos de Auditoría de TI

• Entender si los Controles de Entidad de Usuario Complementarios (CUEC) están adecuadamente abordados y ejecutados por el cliente. Esta parte debe ser auditada directamente con el cliente.

(