ISAE 3402

Tjenester

Tredjepartsrisiko

TPRM, ISAE3402, SOC1, SOC2, ISAE3000, ISRS4400, GDPR, Dora, NIS2, NSIS, MitID

Bedrifter er mer enn noen gang avhengige av et stort nettverk av leverandører for å kunne levere sine tjenester. Selv om disse partnerskapene gir mange fordeler, introduserer de også risiko og kompleksitet.

Håndtering av tredjepartsrisiko

Ettersom virksomheter streber etter å optimere driften og overholde komplekse krav i nye lover og regelverk, har behovet for å ha kontroll over sine leverandører aldri vært større.

Organisasjoner som utkontrakterer (brukerorganisasjon) må etablere hensiktsmessige prosedyrer for å håndtere risikoen ved bruk av tjenesteleverandørene, og for å sikre tilstrekkelig innsikt i de utkontrakterte aktivitetene. Organisasjoner må derfor ha tilstrekkelige rutiner for å identifisere leverandører, vurdere risiko knyttet til disse og for å følge opp leverandørene på en hensiktsmessig måte.

Med tverrfaglige team bestående av risiko-, internkontroll- og leverandøreksperter kan vi hjelpe din organisasjon med å etablere god styring og kontroll knyttet til dine tjenesteleverandører. Vi har erfaring med, blant annet, implementering av komplekse leverandørstyringssystemer, utvikling av metoder for å rangere leverandørrisiko basert på forskjellige risikokategorier, utvikling av selvevalueringsskjemaer og evaluering av besvarelser fra disse og utførelser av leverandørrevisjoner.

Tredjepartsattestasjoner

Leverandører blir oversvømt av forespørsler fra sine kunder for å kunne bevise at de leverer tjenester på en måte som er i tråd med de kravene kundene har, samt kravene som disse kundene må overholde selv, for eksempel, GDPR, DORA, NIS2, MitID, NSIS eller ande industrispesifikke krav. Leverandører blir i økende grad revidert av sine kunder, bedt om å fylle ut lange spørreskjemaer med forskjellige fokus og får krav i kontraktene sine for å utlevere forskjellige type attestasjonsrapporter.

Vi har lang erfaring med å bistå leverandører i sine prosesser for å forberede seg for å oppnå en lang rekke av forskjellige attestasjoner, samt i forhandlingene med sine kunder og forretningsforbindelser når det gjelder type, omfang og innhold av attestasjoner som skal utstedes.

Slik dokumentasjon kan utarbeides, tilpasses og forelegges hver enkelt kunde / brukerorganisasjon for å imøtekomme individuelle forespørsler eller systematiseres i standardiserte attestasjonsrapport som dekker leverandørens relevante tjenesteområder og tilhørende internkontroll. De mest vanlige attestasjonstyper vi leverer inkluderer:

  • ISAE3402 / SOC1 attestasjoner som dekker behovene for kunder og forretningsforbindelser som ønsker en uavhengig bekreftelse av prosesser og kontroller som er på plass for å sikre prosessering av finansielle informasjon
  • SOC2 attestasjoner med fokus på å gi en grundig bekreftelse av etterlevelse av krav knyttet til informasjonssikkerhet
  • Spesifikke attestasjoner som gir trygghet for etterlevelse av spesifikke krav som GDPR, DOR, NIS2, NSIS, MitID, ISA505 eller andre regler, forskrifter eller industristandarder. Disse attestasjoner bruker ofte ISAE3000 standard som rapporttype

Vi bistår også selskaper i utførelser av gap-analyser og forberedelser for disse rapporttypene.
 

Ønsker du mer informasjon?

Her ligger vedlegg om forskjellige temaer vi leverer på:

DORA

SOC2

ISAE3402-SOC1

NIS2

Kontakt

Kevin McCloskey

Kevin McCloskey

Assosiert partner

Kevin Assosiert Partner i Risk Advisory og ansvarlig for våre tjenester innen håndtering av tredjepartsrisiko og tredjepartsattestasjoner.... Mer

Sidharth Mehra

Sidharth Mehra

Senior Manager

Sid er Senior Manager i Risk Advisory og jobber med tredjepartsrisiko og tredjepartsattestasjoner.... Mer