Attestation & Certification (ATC)

Risikomanagement

Mit einer zunehmend komplexeren Organisationslandschaft steigen auch die Anforderungen an die Sicherheit von Unternehmen entlang der gesamten Lieferkette. Wir helfen Ihrem Unternehmen dabei, Vertrauen bei Partnern aufzubauen – durch eine unabhängige Beurteilung Ihres internen Kontrollsystems.

So unterstützen wir Sie

Unternehmen stehen vor immer größeren Herausforderungen in einer immer komplexer werdenden Organisationslandschaft, die sich in beispiellosem Tempo ändert. Kunden und Aufsichtsbehörden suchen nach mehr Absicherung bspw. in Bereichen wie Datenschutz und IT-Sicherheit und erwarten, dass das Unternehmensmanagement hier Antworten geben kann. Das Management erkennt seinerseits die zunehmende Abhängigkeit von seinen Lieferanten und Partnern und will sichergehen, dass diese Organisationen ihren Risiken mit einem effektiven Kontrollsystem begegnen.

All dies führt zu erhöhten Anforderungen an die unabhängige Sicherheit von Unternehmen in der gesamten Lieferkette, um alle Parteien davon zu überzeugen, dass Risiken effektiv gemanagt werden. Unser Team hilft Ihrem Unternehmen dabei, dieses Vertrauen bei Ihren Partnern aufzubauen, indem es eine unabhängige Meinung darüber abgibt, inwieweit Ihr internes Kontrollsystem auf die Hauptrisiken von ausgelagerten Diensten und Prozessen ausgerichtet ist und ob es effektiv funktioniert.

Wir helfen Ihnen bei der Zertifizierung nach gängigen Standards und Rahmenwerken und prüfen, inwieweit neu etablierte Prozesse und Kontrollen effektiv Ihre Geschäftsziele als Dienstleister unterstützen. So schaffen wir für Ihre Kunden eine Vertrauensbasis in Ihre Systeme, (ausgelagerten) Prozesse und etablierten Kontrollen durch eine unabhängige Berichterstattung.

Unsere Services im Überblick: 

  • Assurance für das Financial Reporting (SOC 1)

    An Dienstleister ausgelagerte Services sind oftmals relevant für den Jahresabschluss und werden von Dienstleistern in eigener Verantwortung und gegenüber deren Kunden als „Block-Box“ erbracht. Dennoch benötigen auslagernde Unternehmen belastbare Nachweise, ob sie sich auf die erbrachten Services verlassen können und die Risiken ausreichend berücksichtigt sind.

    Was EY für Sie tun kann

    Mithilfe eines von EY erstellten Prüfberichts nach nationalen und internationalen Prüfungsstandards (SOC 1, ISAE 3402, IDW PS 951, SSAE 18) wird untersucht, ob die implementierten Maßnahmen und Kontrollen in der Serviceerbringung den Anforderungen einer Jahresabschlussprüfung genügen. Diese Prüfungsberichte werden in der Regel für Services erstellt, die mehrere Kunden eines Dienstleisters beauftragt haben. Damit können sich inhaltlich wiederholende Prüfungen durch die Kunden eines Dienstleisters vermieden werden.

    Auch unterstützen wir beim Aufbau eines geeigneten internen Kontrollsystems, das die Anforderungen der Prüfungen zu SOC 1, ISAE 3402, IDW PS 951 und SSAE 18 erfüllt. 

  • Belastbarer Nachweis über Sicherheit, Verfügbarkeit, Vertraulichkeit, Integrität und Datenschutz (SOC 2)

    IT-Services werden zahlreich und umfänglich an Dienstleister ausgelagert, doch werden die zugesagten Qualitäten in Bezug auf Sicherheit, Verfügbarkeit, Vertraulichkeit, Integrität und Datenschutz auch eingehalten? 

    SOC-2-Berichte (Service Organization Controls Report) dokumentieren die tatsächliche Einhaltung der zugesagten Servicequalitäten und relevanten gesetzlichen Vorgaben – und das in einer Tiefe, die ausreichend für Investitionsentscheidungen ist.

    Was EY für Sie tun kann

    EY hat mehrjährige Erfahrung in der Durchführung von SOC-2-Prüfungen im nationalen und internationalen Umfeld. Daneben helfen wir Ihnen bei der Vorbereitung von SOC-2-Prüfungen mittels SOC-2-Readiness-Checks und beim Aufbau und bei der Implementierung von geeigneten Kontrollen.

    SOC-2-Berichte differenzieren Sie deutlich von anderen Serviceprovidern und stellen eine sehr gute Grundlage dar, um Ihre Compliance auch im regulatorischen Umfeld zu demonstrieren. Aufbauend auf den durchgeführten Prüfungshandlungen für einen SOC-2-Bericht können wir für Sie zu Marketingzwecken einen SOC-3-Bericht erstellen, den Sie auf ihrer Website publizieren können.

  • Supply Chain Management Assurance

    Viele Unternehmen beziehen Vor- oder Zwischenprodukte von Lieferanten oder nutzen Logistikunternehmen, um ihre Güter zu transportieren. Hierdurch werden nicht nur die zeitlichen Abhängigkeiten in der Produktionskette komplexer. Da die beziehenden Unternehmen keine Kontrolle über die Produktion ihrer Lieferanten haben und damit die Qualität von Vor- und Zwischenprodukten nur eingeschränkt bewerten können, sind sie z. B. zusätzlichen Qualitätsrisiken ausgesetzt, die in teuren Rückrufaktionen und nachfolgend durchgesetzten Preisabschlägen resultieren (das ökonomische Zitronenproblem).

    Auch das in Diskussion stehende Lieferkettengesetz verlangt von den Unternehmen, sich entlang der gesamten Lieferkette an Menschenrechte und Umweltstandards zu halten.

    Was EY für Sie tun kann

    Mithilfe eines von EY erstellten Prüfberichts, der die implementierten Maßnahmen und Kontrollen in der Produktion zur Einhaltung von vorgegebenen Qualitätsstandards, Menschenrechten oder Umweltstandards bewertet, prüft und bestätigt, können Lieferanten Vertrauen herstellen oder ggf. vorgeschriebenen Nachweispflichten im Rahmen des geplanten Lieferkettengesetzes nachkommen.

    EY kann Sie außerdem dabei unterstützen, die Einhaltung bestimmter Vorgaben in regulierten Sektoren (z. B. in der Medikamentenherstellung) nachzuweisen.

  • Europäische-Datenschutz-Grundverordnung (DSGVO)-Assurance

    Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung der Europäischen Union, mit der die Regeln zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht werden. Sie gilt nicht nur für Unternehmen, die geschäftsmäßig Daten verarbeiten, sondern grundsätzlich für alle Unternehmen. Verstöße gegen diese Verordnung werden durch Aufsichtsbehörden mit hohen Geldbußen sanktioniert.

    Was EY für Sie tun kann

    Unternehmen sollten nicht nur selbst wissen, wie konform ihre Verarbeitungsprozesse von personenbezogenen Daten mit den datenschutzrechtlichen Vorgaben sind. Diese Informationen werden teilweise auch von Geschäftspartnern, Aufsichtsbehörden, Versicherungen oder anderen Stakeholdern eingefordert. Insbesondere im Fall von Datenlecks ist die Ausrichtung der Geschäftsprozesse an rechtlichen Vorgaben und deren grundsätzliche Einhaltung ein Kriterium für die Festlegung von Strafen.

    Als weltweiter Marktführer im Bereich Third Party Assurance haben wir jahrelange Erfahrung darin, die Compliance von Prozessen bzw. eines internen Kontrollumfelds mit Vorgaben wie der DSGVO zu bewerten und deren Einhaltung anhand akzeptierter Standards zu untersuchen. Dies umfasst auch und insbesondere Fragestellungen bei IT-gestützten Verfahren, wie z. B. Privacy by Design.

    Die Ergebnisse der Untersuchung werden nicht nur für Ihre internen Zwecke detailliert aufbereitet, sondern können in standardisierten Berichtsformaten zusammengefasst werden, die Sie an Geschäftspartner, Aufsichtsbehörden oder andere Stakeholder zum Nachweis der Compliance weitergeben können

  • IT-Sicherheitsgesetz(KRITIS)-Assurance

    Mit dem IT-Sicherheitsgesetz wurden Betreiber kritischer Infrastrukturen gesetzlich zur Informationssicherheit ihrer maßgeblichen Systeme, Komponenten und Prozesse verpflichtet. EY begleitet Unternehmen bei der Erfüllung dieser Anforderungen durch Pre-Assessments sowie Audits und unterstützt Sie in der Nachweispflicht gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI).

    Was EY für Sie tun kann

    Betreiber kritischer Infrastrukturen oder Unternehmen, die sich mehr Transparenz über den Stand der Informationssicherheit ihrer eigenen kritischen Infrastruktur wünschen, finden mit EY einen Partner, der über langjährige Erfahrung im Bereich IT-Audit und Informationssicherheit sowie die notwendige Branchenkompetenz verfügt.

    Unsere Spezialisten führen bereits seit Beginn der gesetzlichen Nachweispflicht KRITIS-Prüfungen und -Bewertungen für Branchenführer in den Sektoren IT & Telekommunikation, Transport & Verkehr, Energie, Gesundheit sowie Finanzen & Versicherungen durch.

    Assurance-Audit für KRITIS-Betreiber: Das Audit für KRITIS-Betreiber dient der Erfüllung der gesetzlichen Nachweispflicht gemäß BSIG §8a (3). Neben der Erfüllung dieser Nachweispflicht durch die Erstellung der notwendigen BSI-Formulare erhalten Sie einen Auditbericht, der Ihnen einen detaillierten Einblick über den Grad der Informationssicherheit für ihre betriebene kritische Infrastruktur bietet.

    Pre-Assessment für KRITIS-Betreiber: Zur Vorbereitung auf ein KRITIS-Audit oder bei der erstmaligen Überschreitung des relevanten Schwellenwerts liefert das Pre-Assessment gezielt Verbesserungspotenziale im Bereich der Informationssicherheit Ihrer kritischen Systeme.

    KRITIS 2.0 Unterstützung: Mit dem IT-Sicherheitsgesetz 2.0 wird der Kreis der „KRITIS-Unternehmen“ noch einmal erweitert. EY unterstützt Sie bei einer ersten Einschätzung der Betroffenheit und begleitet Sie auf dem Weg zur Erfüllung der Anforderungen.

    KRITIS-Check für alle Unternehmen: Auch Unternehmen außerhalb der KRITIS-Relevanz betreiben IT-Systeme, die als kritische Infrastruktur für den erfolgreichen Fortbestand des Unternehmens selbst gelten. EY liefert Ihnen die maximale Transparenz der Reife Ihrer Informationssicherheit, die Sie benötigen, um das digitale Herz Ihres Unternehmens optimal zu schützen.

  • BSI Cloud Computing Compliance Criteria Catalogue (BSI C5)

    Das Angebot von und die Bedeutung von Diensten in der Cloud nimmt kontinuierlich zu. Allerdings ist für Nutzer von Cloud-Diensten nicht transparent, wie „sicher“ und zuverlässig der Dienst zur Verfügung gestellt wird.

    Mit dem Cloud Computing Compliance Criteria Catalogue (C5) hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Kriterienkatalog erstellt, der Mindestanforderungen an die Informationssicherheit für Cloud-Dienste beschreibt. Das Ziel ist eine transparente Darstellung der Informationssicherheit eines Cloud-Dienstes auf Basis einer standardisierten Prüfung.

    Was EY für Sie tun kann

    Mithilfe eines C5-Prüfungsberichts kann die Einhaltung der vom BSI definierten Mindestanforderungen an die Informationssicherheit für den erbrachten Cloud-Dienst nachgewiesen werden. Zur Vorbereitung einer C5-Prüfung führen wir nach Bedarf ein Pre-Assessment durch, um Ihnen einen detaillierten Einblick über den Grad der Erfüllung der C5-Kriterien zu geben.

    Unabhängig von einer Prüfung unterstützen wir Sie mit unserer langjährigen Erfahrung dabei, Maßnahmen und Kontrollen mit Bezug auf Ihren Cloud-Dienst zu identifizieren, die helfen, die BSI-C5-Kriterien zu erfüllen. 

  • Trusted Information Security Assessment Exchange (TISAX)

    Der Verband der Automobilindustrie e. V. (VDA) hat einen harmonisierten und international anerkannten bzw. geforderten Ansatz zur Beurteilung von Information-Security-Management-Systemen (ISMS) in der automobilen Lieferantenkette entwickelt und etabliert. Seit 2016 ist ENX als Governing Body für TISAX tätig und entwickelt den TISAX-Prozess sowie anzuwendende Kriterien in enger Zusammenarbeit mit dem VDA und den sogenannten Assessment-Providern weiter. EY ist die erste Wirtschaftsprüfungsgesellschaft, die die Akkreditierung zum TISAX-Assessment-Provider erlangt. Seitdem begleiten wir mittelständische und große Lieferanten für die Automobilindustrie in der Vorbereitung auf TISAX-Assessments oder als TISAX-Assessment-Provider.

    Die Anforderung von Erstausrüstern (OEM) zum Nachweis angemessener ISMS-Reife kann verpflichtenden Charakter annehmen und zum geschäftskritischen Kriterium für Lieferanten werden. Seit 2018 wird TISAX auch von Automobilverbänden anderer Länder sowie in anderen Industrien anerkennend wahrgenommen – die weitere Verbreitung des Ansatzes ist absehbar.

    Was EY für Sie tun kann

    Lieferanten für die Automobilindustrie sind gehalten, eine der Schutzbedarfsanalyse entsprechende Governance und Informationssicherheit über ihren definierten Verantwortungsbereich zu etablieren und nachzuweisen.

    Das globale EY-Netzwerk stellt ein enormes Asset bei der weltweiten Erbringung unserer TISAX-Services dar. Gemeinsam führen wir TISAX-Assessment bzw. TISAX Consulting auf der ganzen Welt in allen zuliefernden Industrien durch – vom produzierenden Gewerbe über Engineering und Media bis zu IT-Dienstleistungen.

     

    TISAX-Readiness-Support: Zur Vorbereitung auf ein TISAX-Assessment sollte der ISMS-Gedanke auf allen Ebenen hinreichend etabliert sein. Wir unterstützen Mandanten beispielsweise mit spezifischen Workshops, TISAX-Wissenstransfer oder durch ein Readiness- oder Gap-Assessment hinsichtlich des Aufbaus und der Implementierung des jeweiligen ISMS. Unter Wahrung der prüferischen Unabhängigkeit können wir Mandanten TISAX-Coaching anbieten und bei der Qualitätssicherung helfen.

    TISAX-Assessments: Als TISAX-Prüfer begleiten wir Mandanten von der erforderlichen Registrierung über die Definition des Umfangs bis hin zum eigentlichen Assessment und, sofern erforderlich, weiter bis zum Abschluss von Nachprüfungen. Die Gültigkeit eines TISAX-Labels beträgt drei Jahre.

    TISAX-Consulting: OEMs und Tier1-Lieferanten haben ebenfalls Unterstützungsbedarf bei der internen Implementierung von TISAX. Angefangen von der Schutzbedarfsanalyse des Business Owner über Governance & Legal bis zum Einkauf werden Prozesse hinsichtlich TISAX-Kriterien analysiert, angepasst und intern sowie extern kommuniziert.

    Unsere Branchenkenntnisse im Automobilbereich, unsere langjährige TISAX-Erfahrung und der interdisziplinäre Beratungsansatz kombiniert mit unserem globalen Netzwerk haben uns zum weltweit anerkannten TISAX-Berater gemacht.

  • Zertifizierungen

    Gerne zertifizieren wir Sie über unsere zentrale Zertifizierungsstelle – EY Certify Point – nach gängigen ISO-Standards wie Informationssicherheit (ISO27001), Qualität (ISO9001), IT Service Management (ISO20000), Business Continuity Management (ISO22301) und Umweltmanagement (ISO14001). 

Kontaktieren Sie uns

Neugierig geworden? Schreiben Sie uns.