Compartir a través de


Sarbanes-Oxley Act of 2002 (SOX) (Ley Sarbanes-Oxley de 2002, SOX)

Introducción a SOX

La Ley Sarbanes-Oxley de 2002 (SOX) es una ley federal estadounidense administrada por la Comisión de Bolsa y Valores (SEC). Entre otras cosas, SOX requiere que las empresas que cotizan públicamente tengan estructuras de control internas adecuadas para validar que sus estados financieros reflejen sus resultados financieros con precisión. SOX está fuertemente influenciado por los procesos internos del cliente, especialmente cuando se trata de controles para la generación de informes financieros. Por ejemplo, los requisitos de SOX implican controles internos del cliente para la preparación y revisión de los estados financieros, y especialmente controles que afectan a la precisión, integridad, eficacia y divulgación pública de cambios importantes relacionados con la creación de informes financieros.

La SEC no define ni impone un proceso de certificación SOX. En su lugar, proporciona directrices generales para que las empresas que cotizan públicamente determinen cómo cumplir los requisitos de informes de SOX.

Microsoft y SOX

Los clientes de servicios en la nube de Microsoft sujetos al cumplimiento de la ley de Sarbanes-Oxley (SOX) pueden usar la atestación soc 1 de tipo 2 que Microsoft recibió de una empresa de auditoría independiente al abordar sus propias obligaciones de cumplimiento de SOX. Esta atestación es adecuada para informar sobre los controles internos sobre la generación de informes financieros.

Aunque no hay ninguna certificación o validación sox para los proveedores de servicios en la nube, Microsoft puede ayudar a los clientes a cumplir sus obligaciones sox. Por ejemplo, SOX requiere controles internos para la preparación y revisión de los estados financieros, especialmente los controles que afectan a la precisión, integridad, eficacia y divulgación pública de cambios importantes relacionados con la creación de informes financieros. Para ayudar a las empresas, Microsoft mantiene una atestación soc 1 de tipo 2 adecuada para informar sobre estos controles en una amplia cartera de servicios que se pueden usar para crear una amplia gama de aplicaciones. Se basa en la Declaración sobre Estándares de Compromisos de Atestación 18 (SSAE 18) del Instituto Americano de Contadores Públicos Certificados (AICPA) y el Estándar Internacional sobre Compromisos de Garantía No. 3402 (ISAE 3402). (Esta atestación sustituyó a SAS 70).

El informe de auditoría, elaborado por una empresa de auditoría de terceros, atestigua que los controles de Microsoft se diseñaron correctamente, en funcionamiento en una fecha especificada y funcionando de forma eficaz durante un período de tiempo especificado. Los clientes pueden revisar los informes para obtener información sobre los objetivos de control de Microsoft y la eficacia de sus controles, y obtener acceso a controles complementarios.

En Microsoft, compartimos la responsabilidad del cumplimiento con nuestros clientes. Proporcionamos los detalles sobre nuestros programas de cumplimiento, que puede comprobar en los informes de auditoría de SOC. En última instancia, sin embargo, depende de usted determinar si nuestros servicios cumplen con las leyes y regulaciones específicas aplicables a su negocio. Por ejemplo, hay controles de seguridad relacionados con SOX, como el acceso de los usuarios a los recursos en la nube, que son su responsabilidad: su organización debe desarrollar la auditoría adecuada de estos controles como parte del cumplimiento de SOX.

Servicios y plataformas en la nube dentro de Microsoft

  • Azure
  • Dynamics 365
  • Intune
  • Office 365
  • El servicio de nube de Power BI (como servicio independiente o incluido en un plan o conjunto de aplicaciones de Office 365)

Azure, Dynamics 365 y SOX

A medida que la adopción de la nube gana impulso, los clientes están explorando cada vez más cómo migrar aplicaciones y cargas de trabajo sujetas a las obligaciones de cumplimiento de SOX a la nube. Aunque no hay ninguna certificación o validación sox para los proveedores de servicios en la nube, Azure puede ayudarle a cumplir sus obligaciones sox.

Si está sujeto a obligaciones de cumplimiento de SOX, debe revisar la atestación de Tipo 2 de SOC 1 de Azure, que se realiza de acuerdo con lo siguiente:

  • SSAE No. 18, Attestation Standards: Clarification and Recodification, which includes AT-C section 320, Reporting on an Examination of Controls at a Service Organization Relevant to User Entities' Internal Control over Financial Reporting (AICPA, Professional Standards).
  • SOC 1 Informes sobre un examen de controles en una organización de servicio relevante para el control interno de las entidades de usuario sobre los informes financieros (Guía de AICPA).

El estándar AICPA SSAE 18 reemplazó a SAS 70 y es adecuado para informar sobre los controles en una organización de servicio pertinentes para los controles internos de las entidades de usuario sobre la creación de informes financieros. Esta es la auditoría formal en la que puede confiar para las revisiones de terceros de los proveedores de servicios tecnológicos al cumplir sus propias obligaciones de cumplimiento específicas del sector para los recursos implementados en Azure. Incluye el dictamen del auditor sobre la eficacia del control para lograr los objetivos de control relacionados durante el período de supervisión especificado.

Office 365 y SOX

entornos de Office 365

Microsoft Office 365 es una plataforma en la nube multiempresa a hiperescala y una experiencia integrada de aplicaciones y servicios disponibles para los clientes de varias regiones de todo el mundo. La mayoría de los servicios de Office 365 permiten a los clientes especificar la región en la que se encuentran los datos de sus clientes. Microsoft puede replicar los datos del cliente en otras regiones dentro de la misma área geográfica (por ejemplo, Estados Unidos) para fomentar la resistencia de los datos, pero Microsoft no replicará los datos del cliente fuera del área geográfica elegida.

En esta sección se tratan los siguientes entornos de Office 365:

  • Software cliente (cliente): Software cliente comercial que se ejecuta en dispositivos cliente.
  • Office 365 (comercial): El servicio en la nube público comercial de Office 365 disponible a nivel mundial.
  • Office 365 Government Community Cloud (GCC): El servicio en la nube GCC de Office 365 está disponible para el Gobierno federal de los Estados Unidos, así como para los gobiernos estatales, locales y tribales, y los contratistas que mantienen o procesan datos en nombre del Gobierno de los Estados Unidos.
  • Office 365 Government Community Cloud - High (GCC High): el servicio en la nube GCC High de Office 365 está diseñado de acuerdo con los controles de nivel 4 de las directrices sobre requisitos de seguridad del Departamento de Defensa (DoD) y admite información federal y de defensa regulada rigurosamente. Este entorno lo usan las agencias federales, la Base Industrial de Defensa (DIB) y los contratistas gubernamentales.
  • Office 365 DoD (DoD): el servicio en la nube del DoD de Office 365 está diseñado de acuerdo con los controles de nivel 5 de las directrices sobre requisitos de seguridad del DoD y admite estrictas regulaciones federales y de defensa. Este entorno es para uso exclusivo del Departamento de Defensa de EE. UU.

Use esta sección para ayudarle a cumplir sus obligaciones relativas al cumplimiento en los sectores regulados y en los mercados globales. Para averiguar qué servicios están disponibles en qué regiones, consulte la información de disponibilidad internacional y el artículo Dónde se almacenan los datos del cliente de Microsoft 365. Para más información sobre el entorno de nube de Office 365 Administración Pública, consulte el artículo Nube de Office 365 Administración Pública.

Su organización es totalmente responsable de garantizar el cumplimiento de todas las leyes y normativas aplicables. La información proporcionada en esta sección no constituye asesoramiento legal. Debe consultar a asesores legales para cualquier pregunta relacionada con el cumplimiento normativo de su organización.

Aplicabilidad y servicios dentro Office 365

Use la siguiente tabla para determinar la aplicabilidad de los servicios y la suscripción de Office 365:

Aplicabilidad Servicios incluidos
Comercial Aumento Loop, Texto alternativo automático, Azure Information Protection, Servicios de conversión binaria, Bookings, Delve, Elemento de documento, Editor, Exchange Online, Forms, Insert Online Media, Insights, Kaizala, Microsoft Analytics, Microsoft Booking, Microsoft Graph, Microsoft Teams, MyAnalytics, Office 365 Cloud App Security, Office 365 Grupos, OneDrive para la Empresa, Planner, Power Apps, PowerApps, Power Automate, Power BI, PowerPoint Designer, PowerPoint Online Document Service, SharePoint Online, Skype Empresarial, StaffHub, Stream, Sway, To-Do, Web Rendering Service, Viva Engage

Auditorías, informes y certificados

Informes soc 1 de tipo 2 para:

  • Azure y Power BI
  • Dynamics 365
  • Office 365

Preguntas frecuentes

¿Cómo puedo usar el cumplimiento de Microsoft SOX para facilitar el proceso de cumplimiento de mi organización?

Al migrar las aplicaciones y los datos a los servicios en la nube de Microsoft cubiertos, puede basarse en las atestaciones y certificaciones que microsoft posee. Los informes de auditores independientes atestiguan la eficacia de los controles que Microsoft ha implementado para ayudar a mantener la seguridad y privacidad de los datos. Sin embargo, usted es totalmente responsable de garantizar el cumplimiento de su organización con todas las leyes y regulaciones aplicables.

Recursos