IT and specialized assurance services

Comment nous pouvons vous aider :

Certification de tiers

L’impartition des activités ne transfère pas le risque associé au processus. L’organisation qui fait de l’impartition (entité utilisatrice) demeure responsable de la gouvernance, de la gestion des risques et de la conformité des processus et des opérations qui sont maintenant gérées par son fournisseur de services. Les organismes de réglementation et les organismes sectoriels se concentrent sur la réponse aux risques liés à ces changements. Dans ce contexte, les fournisseurs de services (sociétés de services) renforcent la confiance à l’égard des services fournis et des contrôles connexes grâce aux rapports sur les contrôles des systèmes et de l’organisation (rapports SOC).

Deloitte offre une gamme de services de certification de tiers et aide les clients à choisir l’option de présentation de l’information des tiers la plus appropriée :

Rapports liés à la certification

Nous fournirons un rapport indépendant sur l’environnement de contrôle interne des entités utilisatrices à l’intention de la direction des organisations de services, des entités utilisatrices ou de leurs auditeurs.

• Certification du processus de présentation de l’information financière – rapport SOC 1 portant sur les contrôles ayant une incidence sur la présentation de l’information financière des entités utilisatrices; habituellement exécuté en vertu de la norme SSAE18 (publiée par l’AICPA) et de la norme ISAE3402 (publiée par l’IAASB).
  
• Certification des opérations – ISAE 3000, SOC 2, SOC 3 et rapports SOC personnalisés :
  
  • ISAE 3000 – rapport de certification portant sur le traitement non financier relativement aux critères définis par l’entité plutôt que par la norme : contrôles internes, durabilité, conformité aux lois et règlements et autres exigences;
    
  • Rapport SOC 2 – rapport de certification portant sur le traitement non financier en fonction d’un ou de plusieurs des principes des services Trust, soit la sécurité, l’accessibilité, l’intégrité du traitement, la confidentialité et la protection des renseignements personnels;
    
  • Rapport SOC 3 – court rapport public pouvant être utilisé à des fins de marketing portant sur le traitement non financier en fonction d’un ou de plusieurs des principes des services Trust;
    
  • Rapports SOC personnalisés – rapports visant à répondre aux exigences particulières d’un secteur ou d’un client, comme les rapports SOC liés à la chaîne d’approvisionnement ainsi que les rapports SOC 2+ pour les normes sectorielles applicables telles que NIST, ISO, CSA, RGPD, CMMC, FedRAMP ou autres.
    

Rapports factuels

Nous présenterons en détail nos constatations et observations dans le cadre d’une évaluation.

• Rapport sur les procédures convenues – rapport sur les constatations factuelles fondé sur des procédures précises convenues initialement et mises en œuvre en fonction d’un sujet précis ou d’une assertion du client. Les missions de procédures convenues sont habituellement exécutées selon les normes ISRS 4400 ou SSAE 19.
  
• Évaluation de la préparation – rapport visant à explorer la préparation d’une entreprise à répondre aux risques ou aux besoins associés aux programmes des fournisseurs de services impartis.
  

Certification des contrôles de TI

• Évaluation dans le cadre des programmes de contrôles internes de l’organisation afin de déterminer et d’assurer la réponse appropriée aux risques découlant des TI et de l’écosystème numérique.
  
• Évaluation des risques liés aux TI.
  
• Examens de la conception et de l’efficacité opérationnelle des contrôles généraux de TI et des contrôles automatisés dans divers PGI et applications personnalisées.
  
• Examens de la migration des données et des contrôles d’interface et certification de l’accès et de la séparation fonctionnelle.
  

Services-conseils en contrôles des TI

• Amélioration des processus et des contrôles des TI afin de repérer, de comprendre et de mettre en œuvre efficacement la méthodologie et les processus des contrôles internes pertinents.
  
• Renseignements sur les risques liés aux fonctions de contrôle, de technologie de l’information et de sécurité afin d’atténuer les risques découlant des changements technologiques.
  
  • Définition des risques pertinents et création d’un cadre de contrôles des TI pour répondre aux exigences internes et externes de conformité en tenant compte des modifications ou des améliorations apportées aux processus, aux PGI et aux applications, ainsi que du déploiement de robots.
    
  • Optimisation en déterminant la faisabilité de la normalisation des contrôles des TI, de la rationalisation des contrôles et de l’amélioration de l’utilisation des contrôles automatisés grâce à l’utilisation des fonctionnalités standards des systèmes dans leur intégralité ainsi que recommandation de mesures correctives efficaces en fonction de l’expertise sectorielle pour combler les lacunes relevées.
    
  • Intégration de programmes de formation sur les risques et les contrôles des TI, l’élaboration de procédures relatives aux politiques des TI, le soutien à la correction des contrôles et le soutien aux experts pour répondre aux exigences particulières du secteur ou des technologies et outils.