No todos los informes SOC 2 son iguales. Utilice esta herramienta interactiva para evaluar rápidamente la calidad y la fiabilidad de cualquier informe SOC 2 antes de aceptarlo en su programa de riesgo de proveedores.
Criterios basados en la rúbrica SOC 2 Quality Guild, una iniciativa abierta impulsada por la comunidad para establecer indicadores de calidad para los informes SOC 2.
Abra el informe SOC 2 que está revisando y luego analice cada una de las señales de calidad que se indican a continuación. Para cada señal, elija una opción:
El informe cumple con esta señal de calidad.
Se ha detectado una señal de alerta. Requiere atención.
No aplicable o no se puede determinar.
Califica cada señal para ver tu puntuación.
¿El auditor es una firma de contadores públicos certificados inscrita en el Programa de Revisión por Pares de la AICPA?
El auditor debe ser una firma de contadores públicos certificados (CPA) registrada en el Programa de Revisión por Pares de la AICPA. Los contadores públicos certificados (CPA) que firman sin afiliación a una firma o las firmas no registradas indican que la auditoría puede no ser legítima o estar sujeta a la supervisión adecuada.
Busque el nombre y la firma de la empresa en la parte inferior de la sección 1. Verifique el registro en nasba.org (junta estatal) y aicpa.org (revisión por pares). Si no puede confirmar el registro, rechace el informe y solicite uno a una empresa debidamente acreditada.
¿El informe está libre de marcas fuertes de plataformas GRC que no sean del auditor o de la empresa auditada?
El marcado uso de la marca de una plataforma GRC (no del auditor ni de la empresa auditada) a lo largo de todo el informe sugiere que la plataforma generó automáticamente el contenido sin una personalización o un criterio suficiente por parte del auditor independiente.
Revise todo el informe en busca de logotipos y marcas. Solo deben aparecer la empresa auditora y la empresa auditada. Si existe una marca de la plataforma de cumplimiento, examine con mayor detenimiento los procedimientos de prueba y considere si la auditoría incluyó una verificación independiente genuina o si se trató de una generación automática de informes.
¿La empresa auditora tiene una reputación creíble en el sector?
Algunas empresas son conocidas en el sector por tomar atajos, competir a la baja en los precios o elaborar informes basados en plantillas. Otras son conocidas por sus auditorías rigurosas y minuciosas. La reputación es un indicador de la calidad probable.
Busque el nombre de la empresa en G2, Gartner Peer Insights o LinkedIn para ver reseñas y debates. Pregunte a su red TPRM si alguien tiene experiencia con este auditor. Si encuentra patrones de problemas de calidad, téngalo en cuenta en su evaluación y solicite más pruebas complementarias.
¿Contiene la sección 1 todos los párrafos exigidos por la AICPA?
Las normas de la AICPA exigen párrafos específicos: «Ámbito», «Opinión» y, para el Tipo 2, «Descripción de las pruebas de los controles». La ausencia o incorrección de estos párrafos indica que el auditor desconoce las normas o ha tomado atajos.
Revise la sección 1 en busca de párrafos etiquetados. Para el tipo 2, compruebe que haya un párrafo que haga referencia a las pruebas en la sección 4. Compruebe que la opinión indique claramente si los controles se diseñaron adecuadamente y funcionan con eficacia. La falta de lenguaje específico o el uso de lenguaje genérico es una señal de alerta estructural: documéntelo y remítalo a un superior antes de aceptarlo.
¿Las descripciones de las pruebas muestran lo que realmente se examinó en lugar de vagas frases hechas?
Las descripciones vagas de las pruebas, como «evidencia revisada» o «evidencia inspeccionada», no aportan información sobre lo que realmente se examinó. Busque descripciones que indiquen que la prueba se volvió a realizar u observar. Las descripciones específicas, como «se inspeccionaron 35 revisiones trimestrales de acceso durante el período y se verificó la aprobación del gerente y la eliminación oportuna», demuestran un mayor rigor en las pruebas.
Seleccione entre 5 y 7 controles críticos para su caso de uso y lea sus procedimientos de prueba línea por línea. Busque: qué pruebas se examinaron, cuántas muestras, de qué períodos de tiempo y qué se verificó específicamente. Si los procedimientos son intercambiables, marque estos controles y solicite pruebas directas al proveedor.
¿Las muestras son lo suficientemente grandes y están distribuidas a lo largo de todo el período de auditoría?
Comprobar 5 elementos una vez al inicio del periodo para un control diario ofrece una garantía débil. Comprobar 40 elementos distribuidos a lo largo de 12 meses ofrece una mayor confianza. La metodología de la muestra revela la exhaustividad de la verificación de la eficacia.
Para los controles críticos, cuente las muestras y compruebe los plazos. Para los controles técnicos (MFA, cifrado), busque pruebas de configuración y pruebas generadas por el sistema. Para los controles periódicos (revisiones trimestrales), verifique que se hayan probado todas las instancias. Las muestras pequeñas (5-10) o la agrupación al final del período son una limitación; téngalo en cuenta y considere la posibilidad de realizar una verificación directa.
¿La sección 3 menciona productos, infraestructura y estructura organizativa reales?
La sección 3 debe nombrar productos reales, componentes de la pila tecnológica, proveedores de infraestructura y estructura organizativa. Las palabras de moda genéricas que podrían describir a cualquier empresa sugieren que el auditor no se involucró con el entorno real.
Busque detalles específicos: AWS/Azure/GCP, herramientas SaaS específicas, ubicaciones de centros de datos, organigramas, diagramas de arquitectura. Si parece un texto de marketing que podría pegarse en cualquier empresa, es probable que el auditor no haya profundizado. Compárelo con lo que sabe sobre la pila tecnológica real del proveedor.
¿Los controles especifican quién, qué, cuándo y cómo, o solo son declaraciones vagas?
Los controles vagos como «La dirección mantiene la seguridad» no te dicen lo que realmente está sucediendo. Los controles claros especifican lo que sucede, quién lo hace, con qué frecuencia y qué lo hace eficaz.
Lea las descripciones de los controles para comprobar su especificidad. Correcto: «El equipo de seguridad revisa el acceso a la producción trimestralmente, valida la justificación comercial con los gerentes y elimina los accesos injustificados en un plazo de 24 horas». Incorrecto: «El acceso se revisa periódicamente». Si los controles son siempre vagos, no se puede evaluar su relevancia; solicite al proveedor la documentación real sobre los controles.
¿Los controles se ajustan de manera lógica a los criterios de servicios de confianza que pretenden abordar?
Cada control se asigna a los criterios de servicios de confianza (como CC6.1 para el acceso lógico). Las asignaciones ilógicas, como «reuniones anuales» asignadas a controles de acceso técnico, sugieren que el auditor no reflexionó críticamente sobre lo que realmente logran los controles.
Compruebe aleatoriamente 10 asignaciones de controles. Pregunte: ¿este control aborda de forma lógica este criterio? Si los controles técnicos se asignan a categorías incorrectas o se utilizan controles blandos para requisitos técnicos estrictos, el alcance no se ha definido cuidadosamente. Documente las asignaciones cuestionables y compruebe si esas áreas están bien diseñadas.
¿La declaración de la dirección está presente, completa y firmada por los responsables de la empresa?
La dirección debe afirmar formalmente que la descripción de su sistema es precisa, que los controles están diseñados adecuadamente y (Tipo 2) que funcionan con eficacia. Las afirmaciones incompletas o ausentes significan que la dirección no ha asumido la responsabilidad de su entorno de control según las normas de la AICPA.
Busque la declaración de la dirección en la sección 1 o en una sección separada. Compruebe que incluye todos los elementos necesarios y que está firmada por los responsables de la empresa. Si falta, está incompleta o no está firmada, el informe no cumple con los estándares básicos; solicite una versión completa antes de continuar con su evaluación.
Esta lista de verificación le indica dónde buscar. ISMS Copilot le explica qué significa y qué debe hacer a continuación.
Pega una descripción de control, un procedimiento de prueba o un extracto completo de la Sección 4 en ISMS Copilot y pídele que evalúe la calidad según los estándares SOC 2 / AICPA. Es el ChatGPT de GRC, creado por profesionales del cumplimiento normativo para profesionales del cumplimiento normativo.
Comience gratis. No se requiere tarjeta de crédito.
Las señales de calidad utilizadas en esta herramienta se basan en la rúbrica SOC 2 Quality Signals, creada y mantenida por el SOC 2 QualityGuild , una iniciativa comunitaria de colaboración colectiva cuyo objetivo es establecer directrices generalmente aceptadas para evaluar la calidad de los informes SOC 2. La rúbrica original se publica bajo la licencia Creative Commons Attribution-ShareAlike 4.0 International (CC BY-SA 4.0).
De conformidad con dicha licencia, esta adaptación interactiva realizada por ISMS Copilot también se comparte bajo CC BY-SA 4.0. No hemos modificado el contenido de las señales, solo las hemos reformateado en una lista de verificación interactiva con un mecanismo de puntuación.
© 2026 SOC 2 Quality Guild (rúbrica original). Herramienta interactiva de ISMS Copilot. Con licencia CC BY-SA 4.0.
Esta herramienta se proporciona únicamente con fines informativos y educativos. No constituye asesoramiento legal, de auditoría ni profesional. ISMS Copilot no está afiliado, respaldado ni asociado formalmente con SOC 2 Quality Guild, AICPA ni ninguna empresa de auditoría. Los resultados de este verificador no sustituyen el criterio profesional. Consulte siempre a un profesional cualificado cuando tome decisiones sobre la gestión de riesgos de los proveedores.
