Avalados por :
Mientras que la contemplación previa en nuestra serie de publicaciones de blog se centraba en "Cómo auditar los procesos y controles relacionados con TI a nivel de aplicación", nos enfocaremos en el nivel de infraestructura a continuación. Dado que la responsabilidad de los procesos y controles a nivel de base de datos y sistema operativo, así como del almacenamiento físico de datos, recae únicamente en SAP SE (como proveedor de servicios), esto se realizará revisando y evaluando el informe SOC1 Tipo 2 para SAP S/4HANA Cloud, Edición Pública.
¿Qué es el informe SOC1 Tipo 2 y por qué se utiliza para la auditoría anual relacionada con TI?
El informe de Controles del Sistema y Organización (SOC) es un informe de control interno para organizaciones de servicios como SAP SE que es creado por un auditor externo. Los informes SOC están destinados a examinar los servicios proporcionados por una organización de servicios para que los clientes puedan evaluar el riesgo asociado con un servicio externalizado y si los riesgos son abordados adecuadamente por el proveedor de servicios. Los informes SOC pueden ser de Tipo 1 o Tipo 2. Un informe de Tipo 1 es una descripción de los servicios proporcionados por la gerencia y el auditor externo describe y da una opinión sobre la idoneidad de los diseños de control para garantizar que los riesgos del servicio sean abordados adecuadamente. Un informe de Tipo 2 va un paso más allá, ya que el auditor de servicios prueba y da una opinión no solo sobre los diseños de control, sino también sobre la efectividad operativa de los controles.
¿Cómo revisar y evaluar un informe SOC1 Tipo 2 como parte de la auditoría anual relacionada con TI?
Para poder confiar en un informe creado por un tercero, los auditores de TI primero deben asegurarse de que el auditor externo sea lo suficientemente creíble para realizar un análisis exhaustivo del Sistema de Control Interno del Proveedor de Servicios. En caso de que el auditor externo sea lo suficientemente creíble, un auditor de TI puede confiar en la idoneidad del contenido descrito en el informe SOC y comenzar con la revisión y evaluación del informe SOC.
Los siguientes aspectos relevantes de ejemplo deben ser considerados y evaluados de forma independiente por cada auditor de TI de acuerdo con la legislación local y los requisitos internos:
Posteriormente, es importante para el auditor de TI obtener una
comprensión extensa
del proveedor de servicios, los
servicios (naturaleza, materialidad, contenido, relación
, etc.) que son consumidos por sus clientes y si los servicios consumidos están completamente cubiertos en el informe de auditoría (por ejemplo, para el alojamiento de datos, los auditores deben asegurarse de que los centros de datos que alojan los datos para el cliente estén incluidos en el informe de auditoría).
Después de asegurar la credibilidad del Auditor de Servicios y comprender la naturaleza y grado de externalización, los auditores de TI deben verificar y evaluar de forma independiente según la legislación local si todos los aspectos relevantes de la Auditoría de TI (como parte de la auditoría anual de fin de año) están cubiertos por el informe. Los aspectos relevantes son, por ejemplo:
(
contacto@primeinstitute.com
(+51) 1641 9379
(+57) 1489 6964
© 2024 Copyright. Todos los derechos reservados.
Desarrollado por Prime Institute