Audit a poradenství IT rizik

Zprávy o kontrolách v servisních organizacích (Service Organization Controls Reporting, SOCR) umožňují organizacím poskytovat důvěryhodnou komunikaci zaměřenou na vnitřní kontroly zákazníkům (a jejich externím auditorům), investorům, vedení, regulátorům a dalším zainteresovaným stranám. Tyto služby efektivně naplňují potřeby zákazníků služebních organizací po důvěryhodných informacích založených na hodnocení rizik. 

• SOC 1 pomáhá subjektům (služebním organizacím), které provozují informační systémy a poskytují obchodní procesní služby podporující finanční výkaznictví, budovat důvěru a jistotu ve své dodavatelské procesy a kontroly prostřednictvím zprávy, kterou mohou předat svým zákazníkům a externím auditorům těchto zákazníků. 

• SOC 2/3 pomáhají subjektům naplnit potřeby širokého spektra uživatelů, kteří vyžadují informace a zajištění o kontrolách v organizaci, jež ovlivňují bezpečnost, soukromí, důvěrnost, dostupnost a integritu zpracování systémů dané organizace. 

• SOC pro kybernetickou bezpečnost pomáhá subjektům naplnit potřeby širokého spektra uživatelů, kteří vyžadují informace a zajištění o podnikovém programu řízení kybernetických rizik dané organizace. 

• SOC pro dodavatelský řetězec pomáhá subjektům naplnit potřeby zainteresovaných stran, které vyžadují informace a zajištění o systémech a kontrolách organizace pro výrobu, zpracování nebo distribuci zboží, aby lépe porozuměly rizikům ve svých dodavatelských řetězcích.  

Týmy EY také poskytují služby předběžného posouzení procesů (pre-assessment) formou GAP analýzy před provedením samotné atestace. 

Služby Agreed Upon Procedures (AUP) pomáhají subjektům komunikovat nezávislé výsledky testování kontrol nebo jiných postupů dohodnutých mezi subjektem a třetími stranami, které zprávu obdrží. Použití AUP umožňují subjektům předat třetím stranám nezávislá faktická zjištění týkající se testování kontrol nebo jiných postupů. Týmy EY představují a reportují soubor postupů, na kterých se subjekt a určení uživatelé zprávy ze třetích stran dohodli, a související zjištění vyplývající z těchto postupů. 

Zprávy ISAE 3000 se týkají auditorských postupů, na kterých se dohodli auditor, subjekt a případné příslušné třetí strany (vztahující se k nefinančním informacím): 

• ISAE 3000 testování kontrol – schopnost provádět postupy a testování kontrol (v souladu s normou ISAE 3000) 

• ISAE 3000 podpora implementace a školení – schopnost poskytovat školení k provádění postupů (v souladu s normou ISAE 3000) 

Služby ISO certifikace systémů řízení, implementace a školení zajišťují zavedení a certifikaci systému řízení v souladu s normami ISO a dalšími uznávanými certifikačními rámci. 

EY CertifyPoint B.V., součást EY založená v roce 2002, je akreditovaný, nezávislý a nestranný certifikační institut se sídlem v Nizozemsku. Prostřednictvím EY CertifyPoint týmy EY poskytují kurzy Lead Implementer a Lead Auditor včetně certifikace zaměstnanců organizací pro několik norem ISO. 

Týmy EY podporují subjekty při dosahování jejich cílů zlepšováním efektivity a účinnosti jejich systémů řízení. Týmy EY udržují zaměření na byznys, identifikují oblasti duplicit, úzkých míst a potenciálních zlepšení efektivity prostřednictvím systematického a nezávislého certifikačního přístupu podle celosvětově uznávané normy. 

Řeší se následující normy: 

• ISO 9001: Systémy managementu kvality 

• ISO 14001: Systémy environmentálního managementu 

• ISO/IEC 20000-1: Management poskytování IT služeb

• ISO 22301: Systémy managementu kontinuity podnikání

• ISO/IEC 27001: Management bezpečnosti informací 

• ISO/IEC 27017: Soubor postupů pro opatření bezpečnosti informací pro cloudové služby 

• ISO/IEC 27018: Informační technologie – Bezpečnostní techniky – Soubor postupů na ochranu osobně identifikovatelných informací (PII) ve veřejných cloudech vystupujících jako zpracovatelé PII 

• ISO/IEC 27701: Bezpečnostní techniky pro řízení ochrany soukromí 

• ISO 37001: Systémy protikorupčního managementu 

• ISO/IEC 42001: Systémy managementu umělé inteligence (Artificial Intelligence Management Systems)

• ISO 45001: Systém managementu bezpečnosti a ochrany zdraví při práci 

• ISO 50001: Systémy energetického managementu 

• Hodnocení podle standardů Světové loterijní asociace (WLA) 

• Certifikace CSA STAR 

• NEN 7510-1: Systém managementu bezpečnosti zdravotnických informací 

• Hébergeur de Données de Santé (HDS) 

• Víceúrovňová cloudová bezpečnost MTCS – Singapur 

• Hodnocení GDPR 

• Akreditovaný dozorový orgán dle Kodexu chování CISPE  

• Integrovaný přístup s ISAE 3402, SOC a dalšími ověřovacími zprávami, například kombinace ISO/IEC 27001 s ISAE 3402 

Hodnocení systému a procesů zahrnuje posouzení vnitřní kontroly jako součást aktualizace nebo zavedení ERP (např. SAP S/4HANA), aplikace nebo procesu. Tyto služby poskytují nezávislé posouzení aktuálního stavu organizace nebo zdokumentovaného budoucího stavu vnitřní kontroly a nabízejí doporučení osvědčených postupů pro zvážení managementem. Hodnocení aktualizace systému či procesu nebo zavedení pomáhá organizaci: 

• Získat jistotu, že aspekty vnitřní kontroly jsou adekvátně řešeny. 

• Pochopit složité obchodní procesy. 

• Identifikovat nová rizika a nedostatky v kontrolách způsobené změnami procesů nebo technologií a navrhnout opatření k nápravě založená na osvědčených postupech. 

• Umožnit organizaci využít nové možnosti, které umožňují lepší využití investic do nových procesů nebo technologií, včetně příležitostí k automatizaci a zlepšení procesů, integraci GRC, reportingu a průběžného monitorování kontrol. 

Předběžné posouzení návrhu předmětu, například popisu systému, před provedením omezeného nebo rozumného zajišťovacího angažmá (např. zprávy SOC), pomáhá organizaci: 

• Pochopit, jak aplikovat hodnoticí kritéria na předmět posouzení 

• Pochopit požadavky na zveřejnění informací o předmětu posouzení (např. popis managementu pro zprávu SOC) 

• Pochopit postupy provedené k posouzení informací o předmětu posouzení a/nebo kontrol 

Služby IT shody a regulativního zajištění pomáhají organizacím porozumět, připravit se a vykazovat plnění rychle se měnících zákonů, předpisů a profesních standardů. Tyto služby pomáhají organizaci udržitelněji a efektivněji řešit požadavky na shodu s regulacemi a specifické požadavky odvětví (např. státní správa, zdravotnictví, finanční služby). Příklady zahrnují pomoc organizacím s dodržováním požadavků souvisejících s: 

• Regulací umělé inteligence (např. AI Act) 

• Kybernetickou bezpečností (např. Cyber Resilience Act, Cybersecurity Maturity Model Certification, směrnice o síťové a informační bezpečnosti – NIS2) 

• Bezpečností dat (např. Data Act) 

• Digitální odolností (např. Digital Services Act, Digital Markets Act, Digital Operational Resilience Act) 

• Specifickými požadavky odvětví (např. HITRUST, SWIFT, TISAX) 

• Kontrolou dat a IT v ESG reportingu

EY nabízí nezávislé posouzení přístupnosti služeb, které pomáhá organizacím zajistit, aby jejich služby byly přístupné všem uživatelům, včetně osob se zdravotním znevýhodněním. Toto posouzení je prováděno v souladu s pokyny pro zpřístupnění webového obsahu (Web Content Accessibility Guidelines - WCAG), mezinárodně uznávaným standardem vyvinutým sdružením World Wide Web Consortium (W3C). Rostoucí důraz na přístupnost vyplývá z regulatorních rámců, jako je směrnice EU o přístupnosti webu (směrnice (EU) 2016/2102), a z místní legislativy – zákon č. 99/2019 Sb., ve znění zákona č. 424/2022 Sb., které vyžadují, aby dotčené organizace poskytovaly přístupný digitální obsah.

Zjistit více