INSIGHTS

Relatório SOC 2: O que toda empresa deve conhecer

insight featured image
Quando realizado de maneira adequada, um trabalho de asseguração SOC 2 (System and Organization Controls, em inglês) oferece às organizações prestadoras de serviços uma opinião independente de uma firma de auditoria confiável sobre a condição de seus processos e controles, incluindo informações relevantes sobre os seus controles internos, que podem ser compartilhadas com os seus clientes.
Contents

Ao realizar este relatório, “as organizações alcançam outro patamar em relação a solidez em seus controles internos sobre a sua prestação de serviços, e auxilia a sua área comercial na captação de novos contratos, em um mercado cada dia mais regulado e competitivo”, afirma Maikon Silva, especialista de atestação SOC da Grant Thornton Brasil. Com as mudanças de cenário e atualizações envolvendo o SOC 2, é importante que as organizações prestadoras de serviços estejam atentas e entendam os principais aspectos envolvendo essa área.

Primeiramente, o AICPA, que define as normas de asseguração para os trabalhos de SOC 2, atualizou em outubro de 2022 o seu guia para os profissionais que realizam esses trabalhos. Embora as atualizações sejam mais voltadas para auditores que realizam os trabalhos de SOC 2, um entendimento mais completo por parte dos clientes pode impedir surpresas e ajudar a prosseguirem de forma mais tranquila. Em segundo lugar, o AICPA alertou sobre o uso indevido de certas ferramentas criadas por desenvolvedores de software para melhorar a preparação das organizações prestadoras de serviços para as avaliações do relatório SOC 2.

Se essas ferramentas forem usadas inadequadamente, elas podem resultar em avaliações e emissão de relatórios que não estão em conformidade com as normas profissionais de auditoria, de acordo com um alerta do AICPA emitido em dezembro de 2022. Há o risco de que as empresas que não são firmas de auditoria e que pretendem ser capazes de realizar a asseguração utilizarem uma ferramenta que forneçam relatórios que não avaliem adequadamente a condição dos processos e controles das organizações prestadoras de serviços.

Atualizações do guia AICPA

As revisões do guia AICPA aprimoram os procedimentos que os auditores executam ao realizar a asseguração SOC 2 e visam melhorar a clareza e os processos.

Nomeado como SOC 2® Reporting on an Examination of Controls at a Service Organization Relevant to Security, Availability, Processing Integrity, Confidenciality, or Privacy, o guia atualizado reflete as lições aprendidas e as percepções obtidas pelas firmas de auditoria que realizam esses trabalhos.

O guia revisado contempla os seguintes tópicos:

  • Incorpora novas alterações das normas de asseguração;
  • Fornece orientação e clareza para as empresas em relação aos seus objetivos e como eles se relacionam com os seus compromissos firmados para a prestação de serviço e os requisitos do sistema;
  • Apresenta as principais diferenças entre as categorias “Confidencialidade” e “Privacidade” e quando é apropriado para uma organização prestadora de serviços relatar os controles incluídos nelas;
  • Fornece mais detalhes sobre como um auditor deve proceder quando uma organização de serviço está apresentando controles relacionados a outra estrutura fora dos critérios de serviços de confiança SOC 2;
  • Fornece orientação e clareza para considerações e identificações de organizações subcontratadas versus fornecedores e tipos apropriados de controles ou divulgações relacionadas ao uso de especialistas pela administração;
  • Explica como a administração, e o auditor devem manter os controles que podem ter operado fora do período especificado e como considerar a relevância dos controles que funcionaram antes do período especificado;
  • Fornece orientação sobre o uso de aplicativos e ferramentas de software pela organização prestadora de serviços (ou seja, ferramentas SOC);
  • Adicionados novos “pontos de foco” para melhor o suporte aos critérios.

Como resultado dessas mudanças, as organizações prestadoras de serviço devem revisar seus controles e divulgações em seus relatórios SOC 2 para reavaliar a adequação do projeto e a eficácia operacional do ambiente de controle.

Concentre-se nas ferramentas

De acordo com o alerta do AICPA, as ferramentas SOC 2 geralmente são comercializadas por empresas que não são firmas de auditoria para as empresas onde a administração não compreende totalmente os riscos e as atividades de controle da organização prestadora de serviços. As ferramentas são projetadas para tornar os trabalhos do SOC 2 mais eficientes e reduzir os custos da administração.

Quando os auditores confiam de forma significativa nas informações fornecidas por essas ferramentas, o trabalho pode não atender as normas profissionais de asseguração. “Existe um risco de confiança excessiva nessas ferramentas, que é então repassado aos usuários de uma organização prestadora de serviços”, afirma Forrest Frazier, sócio de atestação da Grant Thornton USA. 

Quando os prestadores de serviços de tecnologia oferecem ferramentas para emissão do relatório SOC 2 juntamente com parcerias com firmas de auditorias para fornecer uma avaliação com base nas informações geradas pela ferramenta, a firma de auditoria pode ser exposta a uma ameaça de autorrevisão que faz com que o trabalho fique além das normas profissionais de asseguração.

O AICPA também observou que alguns sites provedores de ferramentas SOC 2 listam fornecedores de auditoria que não parecem ser firmas de auditoria que possuem autorização e licenças para emitir o relatório de asseguração. De acordo com o alerta, a maioria dos clientes exigem que os trabalhos de asseguração SOC sejam realizados por firmas de auditoria devidamente autorizadas pelos órgãos competentes.

“Se alguém diz que pode fazer esses contratos por um preço muito mais barato do que as firmas de auditoria que possuem esta autorização, mas o seu trabalho não atende as normas profissionais aplicáveis, isso é uma ameaça a todo o sistema”, alerta Frazier. A principal conclusão para a administração da organização prestadora de serviços é que um fornecedor de software que não seja uma firma de auditoria que promete uma asseguração tranquila e barata pode não entregar um relatório que atenda as normas profissionais. 

Como a Grant Thornton Brasil pode auxiliar a sua empresa? 

Contamos com equipes de especialistas multidisciplinares com expertise necessária para oferecer serviços eficientes e customizados não apenas da perspectiva do SOC, mas também de auditoria, tributos e projetos de consultoria.

Acesse e conheça nossas abordagens completas