Szolgáltatások
Informatikai bizonyosságot nyújtó szolgáltatások
Az érdekelt felek bizalmának kiépítése a digitális ökoszisztémában
Segítünk a szervezeteknek az IT-hez és az új technológiákhoz kapcsolódó kockázatok megértésében, valamint a szabályozási és kiterjesztett vállalati követelményekhez kapcsolódó ellenőrzésekkel kapcsolatos bizonyosság megszerzésében.
Csapatunk az IT-infrastruktúra, az ERP-k, az egyedi fejlesztésű alkalmazások, a szolgáltatási szervezetek ellenőrzései és a fejlődő digitális technológiák terén széles körű szakértelemmel, valamint iparági és ágazatspecifikus képességekkel is rendelkezik. Szolgáltatások széles skáláját kínáljuk, többek között:
A műveletek kiszervezésével a folyamathoz kapcsolódó kockázat nem hárul át. A kiszervező szervezet (felhasználó szervezet) továbbra is felelős a szolgáltató által kezelt folyamatok/műveletek irányításáért, kockázatkezeléséért és megfelelőségéért. A szabályozó hatóságok és az iparági testületek az e változásokból eredő kockázatok kezelésére összpontosítanak. Ebben az összefüggésben a szolgáltatók (szolgáltató szervezetek) a rendszer- és szervezetellenőrzési (SOC) jelentéseken keresztül építik ki a bizalmat az elvégzett szolgáltatások és a kapcsolódó ellenőrzések iránt.
A Deloitte számos harmadik féllel kapcsolatos bizonyossági szolgáltatást kínál, és segítséget nyújt az ügyfeleknek a legmegfelelőbb jelentés kiválasztásában is:
- A megbízhatósággal kapcsolatos jelentéstétel, amelyet azért vállalnak, hogy független jelentést készítsenek a felhasználó szervezetek kontrollkörnyezetéről, amelyet a szolgáltató szervezetek vezetése, a felhasználó szervezetek és/vagy azok könyvvizsgálói használhatnak.
- Pénzügyi beszámolási folyamatra vonatkozó bizonyosság - az SOC 1 jelentések a felhasználó szervezetek pénzügyi beszámolását befolyásoló kontrollokról. Általában az SSAE18 (az AICPA által kibocsátott) és az ISAE3402 (az IAASB által kibocsátott) szabvány alapján végzik.
- A működésre vonatkozó bizonyosság - ISAE3000, SOC 2, SOC 3 és egyedi SOC riportok.
- ISAE 3000 - Nem pénzügyi folyamatokra vonatkozó bizonyossági jelentés a szervezet által meghatározott kritériumokra vonatkozóan, nem pedig a szabványra: fenntarthatóság, törvényeknek/rendeleteknek való megfelelés, egyéb követelmények.
- SOC 2 riport - Nem pénzügyi folyamatokra vonatkozó bizonyossági jelentés a TSP (Trust Service Principle – TSP) elvek közül egy vagy több alapján, amelyek a biztonság, elérhetőség, feldolgozás integritása, bizalmasság és privacy.
- SOC 3 riport - Rövid nyilvános jelentés, amely marketingcélokra használható a nem pénzügyi folyamatokról a TSP elvek közül egy vagy több alapján.
- Egyedi SOC riportok az egyedi iparági vagy ügyfélkövetelményeknek való megfelelés érdekében, például SOC az ellátási lánc, SOC 2+ riportok az alkalmazandó iparági szabványok, például NIST, ISO, CSA, GDPR, CMMC, FedRAMP és/vagy más szabványok esetén.
- ISAE 3000 - Nem pénzügyi folyamatokra vonatkozó bizonyossági jelentés a szervezet által meghatározott kritériumokra vonatkozóan, nem pedig a szabványra: fenntarthatóság, törvényeknek/rendeleteknek való megfelelés, egyéb követelmények.
- Pénzügyi beszámolási folyamatra vonatkozó bizonyosság - az SOC 1 jelentések a felhasználó szervezetek pénzügyi beszámolását befolyásoló kontrollokról. Általában az SSAE18 (az AICPA által kibocsátott) és az ISAE3402 (az IAASB által kibocsátott) szabvány alapján végzik.
- Tényszerű jelentés a megállapításokról/megfigyelésekről az értékelés részeként.
- Megállapodás szerinti vizsgálatokról (AUP) készült jelentés - a tényszerű megállapításokról szóló jelentés, amely egy "tárgyban" vagy egy "állításban" elvégzett konkrét és előre egyeztetett eljárásokon alapul. Az AUP-megbízásokat jellemzően az ISRS 4400 vagy az SSAE 19 szabvány alapján végzik.
- Készültségi felmérés - a vállalatok felkészültségének felmérése a kiszervezett szolgáltatói programokkal kapcsolatos kockázatok vagy igények kezelésére.
- Megállapodás szerinti vizsgálatokról (AUP) készült jelentés - a tényszerű megállapításokról szóló jelentés, amely egy "tárgyban" vagy egy "állításban" elvégzett konkrét és előre egyeztetett eljárásokon alapul. Az AUP-megbízásokat jellemzően az ISRS 4400 vagy az SSAE 19 szabvány alapján végzik.
A szervezetek ellenőrzési programjainak részeként végzett IT-ellenőrzések értékelése kulcsfontosságú az ügyfél számára az információs technológiából és a digitális ökoszisztémából eredő kockázatokra való reagálás biztosítása szempontjából.
A Deloitte támogatja az ügyfeleket az informatikai kockázatértékelésekben, valamint az általános informatikai kontrollok és az automatizált kontrollok tervezési és működési hatékonysági felülvizsgálatában a különböző ERP-rendszerek és egyedi alkalmazások esetében. Az ügyfélspecifikus követelményektől függően ez magában foglalja az adatmigráció felülvizsgálatát, az interfész-kontrollok felülvizsgálatát, a hozzáférés és a funkcionális elkülönítés biztosítását is.
A szervezetek ellenőrzési, informatikai és biztonsági funkcióinak kockázati intelligenciával kell rendelkezniük ahhoz, hogy kezelni tudják a technológiai változásokból eredő kockázatokat.
A Deloitte informatikai kockázatokra specializálódott szakemberekből álló csapata támogatja az ügyfeleket az informatikai folyamatok és ellenőrzések javításában, a releváns ellenőrzési módszertan és folyamatok hatékony azonosítása, megértése és végrehajtása érdekében.
- Meghatározás - A releváns kockázatok azonosítása és az informatikai ellenőrzési keretrendszer kialakítása a külső követelmények teljesítése érdekében, a folyamatváltozások, ERP- és alkalmazásváltozások vagy -fejlesztések, valamint a BOT bevezetése miatt.
- Optimalizálás - Az IT-kontrollok szabványosításának, az ellenőrzések racionalizálásának, az automatizált ellenőrzések jobb hasznosításának megvalósíthatósága a szabványos rendszerfunkciók teljes körű kihasználásával, valamint hatékony korrekciós intézkedések ajánlása az azonosított hiányosságok valamint iparági és ágazati szakértelem alapján.
- Beágyazás - Az informatikai kockázatokra és ellenőrzésekre vonatkozó képzési programok kidolgozása és megvalósítása, informatikai irányelvek és eljárások kidolgozása, ellenőrzések helyreállításának támogatása, kkv-k támogatása az adott iparági vagy technológiai/eszközkövetelményeknek való megfelelés érdekében.