信息技术与鉴证服务

外包业务并不能转移与该流程相关的风险。外包组织（用户机构）仍然要对当前由服务提供商管理的流程（或业务）的管治、风险管理和合规负责。监管机构和行业组织均专注于化解这类变化所带来的风险。在这种情况下，服务提供商（服务机构）就所提供的服务和相关控制取得系统和组织控制（SOC）报告，能够建立信任和信心。

德勤提供各种第三方鉴证服务，并协助客户选择最合适的第三方报告方案：

• 鉴证报告，就用户机构内部控制环境，出具独立报告，供服务机构管理层、用户机构和（或）其审计师使用。
  
  • 财务报告流程鉴证——就用户机构财务报告流程控制，出具SOC 1报告。通常按照SSAE18（由AICPA发布）和ISAE3402（由IAASB发布）标准执行。
    
  • 运营鉴证——ISAE3000、SOC 2、SOC 3以及定制SOC报告。
    
    • ISAE 3000——按照机构定制标准，出具财务信息审阅以外的鉴证报告，包括内部控制、可持续性、法律法规合规等方面。
    • SOC 2报告——基于一项或多项信任服务原则，出具财务信息审阅以外的鉴证报告，信件服务原则包括安全性、可用性、审阅完整性、机密性和隐私性。
    • SOC 3报告——基于一项或多项信任服务原则，出具可用于营销用途的财务信息审阅以外的简短公开报告。
    • 定制SOC报告，满足具体行业或客户要求，例如，供应链SOC、NIST、ISO、CSA、GDPR、CMMC、FedRAMP等适用行业标准的SOC 2+报告等。
      
• 评估所包括的调查结果或观察结果相关事实报告。
  
  • 执行商定程序（AUP）报告——基于就任何“主题”或“判定”执行的特定预先商定程序，出具的事实调查结果报告。通常，依据ISRS 4400或SSAE 19标准，履行AUP业务约定书。
  • 准备情况评估——考察企业应对外包服务项目有关风险或需求的准备情况。
    

在组织内部控制方案中，信息技术控制评估对于识别信息技术及组织所处数字生态系统带来的风险，并保证客户能够应对这类风险，至关重要。

德勤能够在下列方面向客户提供支持：信息技术风险评估，以及对各种ERP及定制应用程序的信息技术一般性控制和自动控制进行设计和运行有效性审查。根据客户的具体要求，还可以支持数据迁移审查、接口控制审查、访问和功能分化鉴证。

为化解技术变革带来的风险，组织的控制、信息技术与安全等职能部门在应对风险时必须实现智能化。

德勤信息技术风险服务专业团队可以在改进信息技术流程与控制方面向客户提供支持，以有效识别、了解并实施相关内部控制方法和流程。

• 界定——识别由于流程变革、ERP和应用程序更改或升级，以及BOT实施带来的相关风险，并建立信息技术控制体系，以满足内外部合规要求。

• 优化——确定信息技术控制标准化的可行性、控制的合理化，通过充分利用标准系统功能，更好地使用或利用自动控制，对于发现的差距，根据行业和部门专业知识，提出有效补救措施。

• 巩固——制定并提供下列相关培训项目：信息技术风险与控制、信息技术决策程序扩展、控制的补救措施支持、中小企业支持，以满足特定行业或技术（或工具）要求。