CAPTURE
BlogOperaciones · Procedimientos y cumplimiento
Operaciones · Procedimientos y cumplimiento

SOC 2: procedimientos listos para auditoría sin sprint de documentación

Un auditor de SOC 2 no quiere páginas bonitas de Notion. Quiere la prueba de que el control corrió. Una guía grabada por el dueño del proceso, con clics fechados, es la evidencia más limpia que la mayoría de los auditores ven en el año.

Portrait of Elliot Bensabat
Escrito por
Elliot Bensabat
Co-founder, Capture
Publicado
Precios verificados
mayo de 2026
Pila de tarjetas de guía con líneas de pasos fechados conectando a un objetivo central, ilustración editorial brutalista que sugiere procedimientos que producen su propia evidencia de auditoría
Los números
Biblioteca reconstruida
6 semanas
21 procedimientos, dueños capacitados
Cobertura de auditoría
100%
Controles con evidencia de pantalla
Hallazgos post-auditoría
0
3
Sobre documentación, auditoría previa
Cierre de auditoría
2 semanas antes
Versus la ventana planeada
En 60 segundos

Lo esencial.

Una auditoría SOC 2 rara vez tropieza con los controles. Tropieza con la prueba. Los equipos sí tienen los controles puestos. Lo que no saben es demostrar que están corriendo. La salida cabe en una regla: cada dueño de proceso graba su flujo una sola vez, la grabación trae fechas y capturas de pantalla, y el mismo artefacto sirve como procedimiento de uso diario y como pieza de evidencia en la semana de auditoría. Seis semanas, 21 procedimientos, fintech B2B de 38 personas, Series A: 100% de los controles cubiertos, cero docs redactados desde una página en blanco.

01 · Sección

El hueco de documentación SOC 2 del que nadie te avisa

La mayoría de las fintech en etapa temprana preparan SOC 2 enchufando una plataforma de cumplimiento (Vanta, Drata, Secureframe) y dedicando seis semanas a las políticas. Las políticas son la parte fácil. La plataforma plantilla el noventa por ciento.

El hueco aparece en el fieldwork. El auditor pide la prueba de que un control específico corrió durante el periodo auditado. No la política. La ejecución. Con ejemplos.

Revisión de accesos (CC6.3): pide la última revisión trimestral, la lista de usuarios revisados y las acciones tomadas. El equipo sí la hizo. La evidencia es una captura guardada en el Drive de alguien que más o menos coincide con el calendario de la política.

Gestión del cambio (CC8.1): pide el recorrido de cómo una modificación de código se revisa y se despliega en producción. El equipo tiene el proceso. El recorrido se vuelve un ingeniero senior frente a un pizarrón treinta minutos en plena auditoría.

Gestión de proveedores (CC9.2): pide cómo se da de alta un nuevo subprocesador y la prueba de la evaluación. El equipo lo hizo. La evidencia es una página de Notion con cinco pestañas, la mitad describiendo al proveedor anterior.

No son huecos de política. Son huecos de evidencia. Taparlos en plena semana de auditoría cuesta alrededor de cuarenta horas de tiempo senior por control. Para un equipo chico preparando SOC 2, esa es la cuenta que sorprende a todos en el primer ciclo.

El reflejo de "reescribir los procedimientos" empeora la cosa. Dieciocho procedimientos a dos horas cada uno son treinta y seis horas de redacción para documentación que se vuelve obsoleta dos meses después. Los Trust Services Criteria de SOC 2 publicados por la AICPA son claros: la prueba es el artefacto del trabajo, no la descripción del trabajo. La investigación de NN/g sobre cómo los lectores escanean en pantalla refuerza el mismo punto desde el otro lado: nadie va a leer la página bonita de todos modos.

02 · Sección

Lo que el auditor quiere de verdad, versus lo que el equipo redacta

La evaluación de una evidencia pasa por tres pruebas.

1. ¿El proceso corrió durante el periodo auditado? Una página bonita de Notion no responde a esto. Una grabación fechada sí. Un registro de clics sí. Una captura del sistema en vivo, con fecha, sí. El auditor no busca una descripción. Busca un rastro.

2. ¿El proceso es repetible? Un Loom único de enero de 2024 no es evidencia repetible. Una guía que dice "Dueño: Lupita; última actualización: abril 2026; revisión de accesos Q1 adjunta" sí. El auditor quiere saber que el mismo proceso corrió en Q1, Q2, Q3 y Q4 del periodo.

3. ¿El proceso se puede operar sin su autor? Aquí es donde la mayoría se cae. La CFO grabó el procedimiento, después se fue, y la CFO que la reemplaza no lo corre igual. Los auditores le llaman "dependencia de persona clave" y lo marcan bajo CC1.4.

La página bonita de Notion no pasa ninguna de las tres. La guía grabada por el dueño pasa las tres. Cuando una fintech B2B de 38 personas reconstruyó su biblioteca de procedimientos en seis semanas para SOC 2, la nota del auditor cabía en una frase: "la evidencia SOC 2 más limpia que vi este año". Veintiún guías, grabadas por los dueños, con fechas y capturas integradas. En el lado de datos personales, el INAI y la LFPDPPP esperan una lógica equivalente sobre el aviso de privacidad y los derechos ARCO: la prueba de ejecución pesa más que la descripción.

Pregunta del auditor
Muéstrame la revisión de accesos del Q1
Respuesta floja
"Aquí está la política"
Respuesta sólida
"Aquí está la revisión grabada con fechas, la lista de usuarios al 31 de marzo y las desactivaciones hechas"
Pregunta del auditor
¿Cómo llega un cambio de código a producción?
Respuesta floja
"Un ingeniero senior le da el recorrido al auditor"
Respuesta sólida
"Aquí está el procedimiento grabado con evidencia de pantalla de los checks de CI, la review del PR y el paso de despliegue"
Pregunta del auditor
¿Qué pasa cuando se añade un subprocesador?
Respuesta floja
"Aquí está la página de Notion"
Respuesta sólida
"Aquí está la guía de alta de proveedor grabada y la prueba de las últimas tres evaluaciones"
03 · Sección

El patrón: procedimiento grabado por el dueño del proceso

El patrón que produjo 100% de cobertura corre sobre una sola regla: el dueño del proceso graba el procedimiento, no un equipo central de documentación.

Tres razones.

1. La grabación captura el proceso real. Un redactor central que entrevista al dueño produce una descripción. El dueño que corre su flujo produce el flujo. El auditor nota la diferencia de inmediato.

2. El loop de mantenimiento es corto. Cuando el proceso cambia (herramienta nueva, aprobador nuevo, umbral nuevo), el dueño regraba el paso afectado en dos minutos. Un redactor central es un cuello de botella que rompe el loop dentro del primer trimestre.

3. La responsabilidad se vuelve auditable. El criterio CC1.4 de SOC 2, dentro del marco de SOC para Organizaciones de Servicio de la AICPA, exige responsabilidades definidas. Un procedimiento con dueño nombrado, localizable para demostrar el proceso, satisface CC1.4 directo. Una página de Notion sin dueño no.

El armado cabe en cuatro pasos.

Paso 1. Listar los controles del alcance SOC 2. La mayoría de las empresas tiene entre quince y treinta controles dentro del alcance de un Type 2. Cada control necesita un dueño y un procedimiento.

Paso 2. Asignar un dueño por control. El dueño es la persona que corre el proceso hoy. No la dueña de la política. No la persona que escribió la política. La persona que clica el flujo real cuando este corre. Para Revisión de Accesos suele ser el lead de IT, no el CISO. Para Gestión de Proveedores suele ser Operaciones, no Legal.

Paso 3. Cada dueño graba el procedimiento una vez. El primero toma veinticinco minutos. El tercero, diez. El dueño corre su proceso como un día normal, comenta el razonamiento y se detiene cuando el proceso termina. Salida: una guía con fechas, capturas de pantalla y audio del narrador si el auditor lo pide.

Paso 4. Regrabar el paso afectado cuando el proceso cambia. Mismo patrón que en la documentación de onboarding de clientes: cambia un paso, se regraba ese paso. La biblioteca se mantiene al día sin sprint de documentación.

La herramienta usada en el caso fue una extensión de Chrome que graba clics y capturas en automático. Otras herramientas funcionan; el modelo operativo pesa más que la herramienta. Lo que no funciona son las páginas de Notion monolíticas sin dueño.

04 · Sección

Cómo grabar la evidencia sobre la marcha

El patrón anterior produce procedimientos. La pedida de la semana de auditoría es el procedimiento más la prueba de ejecución reciente. El truco está en lograr que sean el mismo artefacto.

Tres patrones para grabar evidencia sobre la marcha.

1. Fechar la corrida. Cada grabación produce un artefacto fechado. Cuando la revisión de accesos corre en Q1, el dueño graba la sesión. La misma grabación sirve como procedimiento para Q2 y como evidencia para Q1. A los auditores les encanta porque procedimiento y prueba son el mismo objeto, trazable a una fecha.

2. Capturar la vista del dato, no el camino del código. La evidencia que pide el auditor es el dato que vio el operador, no los pasos que dio. Una grabación de revisión de accesos captura la lista de usuarios como aparece en el IDP, las asignaciones de rol y las desactivaciones. Esa es la evidencia. La secuencia de clics es el procedimiento.

3. Exportar PDF marcado para el paquete de evidencia. La mayoría de las plataformas de auditoría aceptan PDF o HTML. Capture y herramientas similares exportan PDF marcados con fechas, conteo de clics y capturas paso a paso. El dueño exporta cada guía como PDF y la sube a la carpeta de auditoría. Sin compilación de evidencia aparte.

El efecto compuesto es la sorpresa. La primera auditoría exige más trabajo porque la biblioteca se está construyendo. La segunda toma una fracción del tiempo: la biblioteca existe, los dueños conocen el gesto de grabar y el paquete de evidencia se arma solo desde el set de procedimientos vivos. La investigación de NN/g sobre legibilidad y comprensión explica por qué un PDF estructurado y escaneable cierra mejor que cualquier página densa: el auditor también escanea.

Si el equipo todavía no escogió la herramienta de documentación para el esfuerzo SOC 2, el análisis de las mejores alternativas a Scribe en 2026 cubre los siete candidatos que los auditores ven con más frecuencia en los paquetes de evidencia. Si la pregunta es por dónde empezar, los procedimientos del alcance SOC 2 son la prioridad. Para el lado cliente, la guía de cómo documentar el flujo de onboarding de clientes lleva el mismo patrón al revenue side.

05 · Sección

La checklist de la semana de auditoría

A siete días del kickoff, la biblioteca debe responder cualquier pregunta estándar del auditor sin que un senior escriba contenido nuevo. La checklist de abajo es la que cierra la auditoría dos semanas antes de tiempo.

  1. Cada control tiene un dueño nombrado en la metadata del procedimiento. El "quién corre esto" se lee en el artefacto, no en la cabeza de alguien.
  2. Cada procedimiento fue regrabado o refrescado en los últimos seis meses. Más allá de eso, el auditor empuja.
  3. La última corrida está fechada y cae dentro del periodo auditado. Q1 grabada en Q2, bien. Enero sin actualización en Q3, no.
  4. El procedimiento y la evidencia son el mismo artefacto. El PDF del paquete es la guía con la que opera el equipo. Sin brecha entre política y práctica.
  5. La metadata de grabación es auditable. Conteo de clics, fechas y audio del narrador (si se piden) son exportables. El auditor verifica que la grabación viene del sistema real, no de una recreación.
  6. La biblioteca tiene una página índice única. El auditor pide la lista maestra y el equipo manda una sola URL.

Como contraste, la semana de auditoría que no cierra a tiempo tiene al menos cuatro de estos puntos faltando. Lo más común son los puntos 3 y 4 (frescura y paridad procedimiento-evidencia).

Para el COO del caso, el alcance SOC 2 cabía en tres líneas: la responsabilidad es auditable, la evidencia de pantalla es auditable y regrabar un paso va más rápido que reescribir una página de wiki. Tres líneas, veintiún controles, auditoría cerrada dos semanas antes de la fecha planeada. Para los temas de datos personales que se entrelazan con SOC 2 (registros de tratamiento, subprocesadores, derechos ARCO), la misma lógica vale del lado del INAI bajo la LFPDPPP, y el comparativo de Tango para equipos de operaciones IT muestra cómo aplicarla a la mesa de ayuda de IT cuando esta también queda dentro del alcance.

Es la evidencia SOC 2 más limpia que vi este año. Una guía con clics fechados es prueba. Una página de Notion es una intención.
Auditor SOC 2, encargo fintech B2B Series A
FAQ

Preguntas frecuentes.

¿El patrón funciona para SOC 2 Type 1 o solo para Type 2?

Los dos. Type 1 es una prueba en un punto en el tiempo, así que los procedimientos deben quedar grabados en la fecha de la prueba. Type 2 es una prueba sobre periodo y ahí el patrón compone: cada corrida trimestral se vuelve la evidencia del periodo previo y el procedimiento del siguiente. La mayoría de los equipos construye la biblioteca para Type 2 porque la inversión por control se amortiza sobre toda la ventana.

¿En qué se diferencia esto de usar Vanta, Drata o Secureframe?

Las plataformas de cumplimiento (Vanta, Drata, Secureframe) cubren los templates de políticas, el monitoreo de controles y la recolección de evidencia desde sistemas conectados (cloud, IDP, ticketing). No generan los procedimientos. El método de grabar primero llena ese hueco. Los equipos suelen correr la plataforma de cumplimiento para el monitoreo y una herramienta de guías para los procedimientos. Las dos juntas producen el paquete listo para auditoría.

¿Y para ISO 27001 o las obligaciones del INAI bajo la LFPDPPP?

Mismo patrón. ISO 27001 es más pesado en documentación que SOC 2, lo que vuelve aún más rentable el enfoque de dueño-graba: la carga compone con el conteo de controles. La LFPDPPP en México no exige una auditoría tipo SOC 2, pero el INAI sí pide demostrar la ejecución del aviso de privacidad y el ejercicio de derechos ARCO. Un procedimiento grabado con la pantalla del flujo ARCO es la prueba más limpia que se puede dejar en el expediente. El método es agnóstico al framework.

¿Cómo manejamos los procedimientos que tocan datos sensibles (PII, financieros)?

Dos enfoques. Primero, la redacción: la mayoría de las herramientas de guía permiten difuminar o enmascarar una zona de pantalla. Con Capture, el dueño pone una caja de redacción sobre la zona PII antes de publicar. Segundo, captura en sandbox: se graba el procedimiento contra un ambiente de staging con datos sintéticos. Los auditores aceptan ambos siempre que el procedimiento corresponda al proceso de producción y la redacción o el sandbox queden documentados. Del lado LFPDPPP, el INAI espera la misma lógica de minimización para datos personales.

¿Cuánto se tarda en construir la biblioteca desde cero?

La fintech B2B de 38 personas del caso produjo veintiún procedimientos en seis semanas, con un dueño por procedimiento y una sesión de grabación por dueño por semana. El patrón escala: un equipo de 60 personas con treinta procedimientos cierra en la misma ventana de seis semanas porque el trabajo va en paralelo entre dueños. El cuello de botella es la disponibilidad de los dueños, no el tiempo de grabación. La grabación misma toma veinticinco minutos para el primer procedimiento y baja a diez minutos al tercero.

Siguiente paso

¿Sus procedimientos ya doblan como evidencia de auditoría?

Capture graba el procedimiento, captura la evidencia de pantalla y exporta un PDF marcado para el paquete de auditoría. Extensión de Chrome gratis, sin registro. Cada dueño graba una vez, la biblioteca se actualiza paso por paso.

Instalar la extensión de Chrome
Seguir leyendo
Documentación de workflow · Comparativo

Alternativa a Tango para equipos de operaciones IT en 2026

Una scale-up mexicana de 220 personas convirtió sus veinte tickets recurrentes en guías Capture. El volumen Tier-1 cayó 35% en ocho semanas. El resto es aritmética del asiento.

Documentación de workflow · Guía práctica

Cómo documentar un flujo de onboarding de clientes en 2026

La mayoría de los docs de onboarding mueren en ocho semanas porque nadie los regraba cuando la UI cambia. La salida no es un mejor redactor. Es un método recording-first que toma diez minutos por actualización.

Documentación de workflow · Marco de trabajo

La regla de los 12 pasos: por qué la longitud predice el fracaso

Casi todo equipo de documentación escribe guías más largas de lo que debería. La longitud se acumula en su contra, y 12 pasos es el techo operativo arriba del cual el porcentaje de finalización se cae.

Pruébalo

Graba un workflow.

Extensión de Chrome gratuita. Sin registro.

Agregar a Chrome Más artículos