Artigo

Como atestar a eficácia no controle de dados dos seus clientes?

Se a sua empresa é responsável por armazenar ou gerenciar aplicativos e dados, você poderá receber uma solicitação dos seus clientes quanto a atestação da eficácia dos seus controles internos relacionados à proteção de dados, disponibilidade, integridade de processamento, confidencialidade e privacidade.

Essa atestação é normalmente fornecida aos clientes por meio da emissão do que é chamado de relatório de auditoria SOC 2 ou SOC 3.

Alterações importantes entraram em vigor em 15 de dezembro de 2018, que exigem que todos os relatórios de auditoria SOC 2 e SOC 3 emitidos após essa data estejam em conformidade com 2017 Trust Service Criteria.

 

Quais empresas são impactadas?

Essas mudanças afetarão as empresas que já estão realizando as auditorias SOC 2 e SOC 3 para o benefício de seus clientes, bem como aquelas que estão prontas para iniciar essas auditorias.
Isso ocorre principalmente porque o “2017 Trust Services Criteria” apresenta objetivos de controle muito mais restritos em relação à segurança cibernética, enquanto aumenta simultaneamente a flexibilidade em torno dos objetivos de segurança e privacidade.

 

Principais alterações:

Embora os novos critérios incluam novas alterações, algumas das mudanças mais notáveis incluem:

  • Melhor alinhamento com os 17 princípios da estrutura de controlo interno do COSO 2013, com a intenção de ter o novo Trust Services Criteria como uma forma de orientação complementar à estrutura do COSO com um enfoque mais amplo e abrangente da entidade;
  • Critérios adicionais para garantir que diversos riscos de segurança cibernética e fraude corporativa sejam considerados, bem como riscos específicos para fornecedores e parceiros de negócios;
  • Critérios adicionais relacionados à disponibilidade, integridade de processamento, confidencialidade e categorias de avaliação de privacidade;
  • Critérios específicos para auxiliar a administração e seus auditores a avaliar se os controles foram adequadamente projetados e operados de forma eficaz;
  • Novos requisitos de divulgação para gerenciamento (incluindo citações dos compromissos de serviço específicos e requisitos do sistema para atender às necessidades do cliente, bem como maior transparência ao relatar incidentes do sistema para entidades de usuários).


Como a Grant Thornton pode ajudar?

Como essas significativas alterações resultam em um aumento no número de controles que poderiam estar no escopo da auditoria SOC 2 e SOC 3, pode haver lacunas no sistema de controle existente. A Grant Thornton pode auxiliar a sua empresa na identificação e determinação de novos controles para serem implantados, realizando uma avaliação tempestiva e criando um roteiro estratégico para avançar.

Também podemos ajudá-lo, atualizando a descrição do gerenciamento do sistema de controle interno e garantindo que as divulgações apropriadas sejam consistentemente realizadas e efetivamente comunicadas a todos os seus clientes.

No atual ambiente de negócios, todos desejam trabalhar com empresas comprometidas com a redução de riscos à privacidade de dados, confidencialidade e outros princípios de confiança.

Ao tomar medidas para atender aos requisitos do 2017 Trust Services Criteria atualizados, você não apenas aumentará a força de seus sistemas de controle, mas também dos clientes que confiam em você.

Possuímos profissionais especializados em auditoria SOC 2 e SOC 3. Portanto, independentemente de você estar realizando um controle pela primeira vez ou procurando aprimorar os já existentes, podemos apoiá-lo em todas as etapas do processo.

Para saber mais sobre os nossos serviços e soluções, entre em contato conosco.

Veja também