Informatikai bizonyosságot nyújtó szolgáltatások

A műveletek kiszervezésével a folyamathoz kapcsolódó kockázat nem hárul át. A kiszervező szervezet (felhasználó szervezet) továbbra is felelős a szolgáltató által kezelt folyamatok/műveletek irányításáért, kockázatkezeléséért és megfelelőségéért. A szabályozó hatóságok és az iparági testületek az e változásokból eredő kockázatok kezelésére összpontosítanak. Ebben az összefüggésben a szolgáltatók (szolgáltató szervezetek) a rendszer- és szervezetellenőrzési (SOC) jelentéseken keresztül építik ki a bizalmat az elvégzett szolgáltatások és a kapcsolódó ellenőrzések iránt.

A Deloitte számos harmadik féllel kapcsolatos bizonyossági szolgáltatást kínál, és segítséget nyújt az ügyfeleknek a legmegfelelőbb jelentés kiválasztásában is:

• A megbízhatósággal kapcsolatos jelentéstétel, amelyet azért vállalnak, hogy független jelentést készítsenek a felhasználó szervezetek belső kontrollkörnyezetéről, amelyet a szolgáltató szervezetek vezetése, a felhasználó szervezetek és/vagy azok könyvvizsgálói használhatnak.
  
  • Pénzügyi beszámolási folyamatra vonatkozó bizonyosság - az SOC 1 jelentések a felhasználó szervezetek pénzügyi beszámolását befolyásoló kontrollokról. Általában az SSAE18 (az AICPA által kibocsátott) és az ISAE3402 (az IAASB által kibocsátott) szabvány alapján végzik.
    
  • A működésre vonatkozó bizonyosság - ISAE3000, SOC 2, SOC 3 és egyedi SOC riportok.
    
    • ISAE 3000 - Nem pénzügyi folyamatokra vonatkozó bizonyossági jelentés a szervezet által meghatározott kritériumokra vonatkozóan, nem pedig a szabványra: belső kontrollok, fenntarthatóság, törvényeknek/rendeleteknek való megfelelés, egyéb követelmények.
      
    • SOC 2 riport - Nem pénzügyi folyamatokra vonatkozó bizonyossági jelentés a TSP (Trust Service Principle – TSP) elvek közül egy vagy több alapján, amelyek a biztonság, elérhetőség, feldolgozás integritása, bizalmasság és privacy.
      
    • SOC 3 riport - Rövid nyilvános jelentés, amely marketingcélokra használható a nem pénzügyi folyamatokról a TSP elvek közül egy vagy több alapján.
      
    • Egyedi SOC riportok az egyedi iparági vagy ügyfélkövetelményeknek való megfelelés érdekében, például SOC az ellátási lánc, SOC 2+ riportok az alkalmazandó iparági szabványok, például NIST, ISO, CSA, GDPR, CMMC, FedRAMP és/vagy más szabványok esetén.
      
• Tényszerű jelentés a megállapításokról/megfigyelésekről az értékelés részeként.
  
  • Megállapodás szerinti vizsgálatokról (AUP) készült jelentés - a tényszerű megállapításokról szóló jelentés, amely egy "tárgyban" vagy egy "állításban" elvégzett konkrét és előre egyeztetett eljárásokon alapul. Az AUP-megbízásokat jellemzően az ISRS 4400 vagy az SSAE 19 szabvány alapján végzik.
    
  • Készültségi felmérés - a vállalatok felkészültségének felmérése a kiszervezett szolgáltatói programokkal kapcsolatos kockázatok vagy igények kezelésére.
    

A szervezetek belső ellenőrzési programjainak részeként végzett IT-ellenőrzések értékelése kulcsfontosságú az ügyfél számára az információs technológiából és a digitális ökoszisztémából eredő kockázatokra való reagálás biztosítása szempontjából.

A Deloitte támogatja az ügyfeleket az informatikai kockázatértékelésekben, valamint az általános informatikai kontrollok és az automatizált kontrollok tervezési és működési hatékonysági felülvizsgálatában a különböző ERP-rendszerek és egyedi alkalmazások esetében. Az ügyfélspecifikus követelményektől függően ez magában foglalja az adatmigráció felülvizsgálatát, az interfész-kontrollok felülvizsgálatát, a hozzáférés és a funkcionális elkülönítés biztosítását is.

A szervezetek ellenőrzési, informatikai és biztonsági funkcióinak kockázati intelligenciával kell rendelkezniük ahhoz, hogy kezelni tudják a technológiai változásokból eredő kockázatokat.

A Deloitte informatikai kockázatokra specializálódott szakemberekből álló csapata támogatja az ügyfeleket az informatikai folyamatok és ellenőrzések javításában, a releváns belső ellenőrzési módszertan és folyamatok hatékony azonosítása, megértése és végrehajtása érdekében.

• Meghatározás - A releváns kockázatok azonosítása és az informatikai ellenőrzési keretrendszer kialakítása a belső és külső követelmények teljesítése érdekében, a folyamatváltozások, ERP- és alkalmazásváltozások vagy -fejlesztések, valamint a BOT bevezetése miatt.
  
• Optimalizálás - Az IT-kontrollok szabványosításának, az ellenőrzések racionalizálásának, az automatizált ellenőrzések jobb hasznosításának megvalósíthatósága a szabványos rendszerfunkciók teljes körű kihasználásával, valamint hatékony korrekciós intézkedések ajánlása az azonosított hiányosságok valamint iparági és ágazati szakértelem alapján.
  
• Beágyazás - Az informatikai kockázatokra és ellenőrzésekre vonatkozó képzési programok kidolgozása és megvalósítása, informatikai irányelvek és eljárások kidolgozása, ellenőrzések helyreállításának támogatása, kkv-k támogatása az adott iparági vagy technológiai/eszközkövetelményeknek való megfelelés érdekében.