Hoje em dia é praticamente impossível uma empresa que não contrate prestadores de serviços para executar uma parte de suas operações. A terceirização, seja com o objetivo de reduzir custos ou por uma série de outros fatores, há muito tempo se se tornou comum no mundo dos negócios. Em meio à dependência cada vez maior de sistemas e do crescimento das tecnologias emergentes, como computação em nuvem e redes sociais, a atenção também se volta para temas como disponibilidade, segurança e privacidade (LGPD – Lei Geral de Proteção de Dados).
À medida que as empresas estão se tornando cada vez mais interconectadas, cresce a necessidade de haver confiabilidade e transparência. Por exemplo, as empresas que utilizam tecnologia de última geração para manter a competitividade talvez considerem a contratação de um fornecedor de serviços nessa área, para se manter na vanguarda em termos de inovação. Mesmo empresas start-ups adotam a terceirização visando se concentrar no que fazem melhor, enquanto contratam outros para cuidar de processos de TI ou de processos de Back Office de suas operações.
Muitos de vocês já ouviram falar de relatórios elaborados de acordo com a norma americana SAS 70. Durante muitos anos, esse tipo de relatório foi considerado a regra predominante e a marca registrada dos controles internos sobre a elaboração de relatórios financeiros nas empresas prestadoras de serviços (sendo de TI ou não).
Embora destinados à comunicação entre auditores e com foco nos controles internos relacionados com a elaboração de relatórios de demonstrações financeiras, com o passar do tempo, houve uma distorção no papel e no escopo dos relatórios elaborados de acordo com a norma SAS (“Statement on Auditing Standards”) 70, considerando a realidade do mercado. Tornou-se frequente o fato de prestadores de serviços divulgarem que tinham “certificação SAS 70” ou que haviam passado no “exame da norma SAS 70” quando, na realidade, essas afirmações não eram corretas. Na verdade, a sigla SAS 70 não designa uma certificação nem um exame.
Relatórios de controles aplicáveis a prestadores de serviços (Service Organization Controls – SOC)
Visando à simplificação das opções de relatórios de controles de prestadores de serviços e o fornecimento de meios para prestadores de serviços e seus clientes customizarem um relatório de acordo com suas necessidades, o American Institute of Certified Public Accountants (AICPA) desenvolveu relatórios de controles denominados SOC1, SOC2 e SOC3.
SOC1: O relatório SOC1, também conhecido como SSAE 16, que substituiu o relatório SAS 70, aborda especificamente os controles internos do prestador de serviços relevantes para as demonstrações financeiras dos seus clientes e visa estabelecer basicamente uma comunicação entre os auditores das empresas prestadoras de serviços e das suas empresas clientes.
SOC2: O o relatório SOC2 fornece opções que abordam outros controles, além dos relevantes para elaboração das demostrações financeiras. Ele cobre aspectos de TI de interesse primordial para os prestadoras de serviços e seus clientes, como privacidade, disponibilidade, confidencialidade, integridade no processamento e segurança.
SOC3: O relatório SOC3 pode ter uma distribuição mais ampla do que o SOC2; contudo, ele não deve incluir uma descrição detalhada dos testes realizados pelo auditor do prestador de serviços nem de seus resultados.
É importante observar que as designações SOC1, SOC2 e SOC3 não criaram nada de novo. Elas tratam efetivamente de relatórios elaborados segundo normas do AICPA (American Institute of Certified Public Accountants) com escopo e utilização definidos.
Referências
http://sas70.com/sas70_overview.html
Informações sobre o autor
Dennis Silva é Arquiteto de Segurança da Informação com +10 anos trabalhando com Tecnologia da Informação e iniciou sua carreira em uma das Big Four como auditoria de sistemas.
Trabalhou como Coordenador de Segurança da Informação na maior empresa de desenvolvimento de software na América Latina. Anteriormente, atuou como consultor de Segurança da Informação e seu objetivo principal era identificar e avaliar os riscos de Segurança da Informação inerentes ao negócio e identificar os controles existentes através de testes de invasão na infraestrutura interna/externa, aplicações Web e ERPs com SAP e TOTVS.
Responsável pela implementação da certificação ISO/EIC 27001:2013 na maior empresa de desenvolvimento de software da América Latina, potencializando a principal oferta de comercialização do software em nuvem como serviço (SaaS) em datacenter próprio.