Les services liés aux contrôles des sociétés de services (SOCR) permettent aux entités de fournir des informations fiables à l’égard des contrôles internes aux clients (et à leurs auditeurs externes), aux investisseurs, à la direction, aux organismes de réglementation et aux autres parties prenantes. Ces services répondent efficacement aux besoins des clients des sociétés de services en matière d’information fiable axée sur le risque.

• Le rapport SOC 1 aide les entités (sociétés de services) qui exploitent des systèmes d’information et fournissent des services de gestion des processus d’affaires aux fins de l’information financière à renforcer la confiance envers leurs processus et contrôles de prestation au moyen d’un rapport qu’elles peuvent présenter à leurs clients et aux auditeurs externes de ceux‑ci.

• Le rapport SOC 2 et le rapport SOC 3 aident les entités à répondre aux besoins d’un vaste éventail d’utilisateurs qui veulent obtenir des renseignements et une certification à l’égard des contrôles ayant une incidence sur la sécurité, la protection des données, la confidentialité, la disponibilité et l’intégrité du traitement au sein de leurs systèmes.

• Le rapport sur les contrôles d’une société de services liés à la cybersécurité aide les entités à répondre aux besoins d’un vaste éventail d’utilisateurs qui veulent obtenir des renseignements et une certification à l’égard du programme de gestion des risques en matière de cybersécurité de leur organisation.

• Le rapport sur les contrôles d’une société de services liés à la chaîne d’approvisionnement aide les entités à répondre aux besoins des parties prenantes qui veulent obtenir des renseignements et une certification à l’égard des systèmes et contrôles de production, fabrication ou distribution de marchandises dans le but de mieux comprendre les risques liés à leurs chaînes d’approvisionnement.

Les équipes d’EY fournissent également des services d’évaluation préalable d’ébauches de documents, comme la description d’un système avant la réalisation d’une mission d’assurance limitée ou d’assurance raisonnable (p. ex. un rapport SOC).

Les services liés aux missions de procédures convenues aident les entités à présenter les résultats indépendants de tests des contrôles et d’autres procédures ayant fait l’objet d’un accord entre l’entité et les tiers à qui le rapport est destiné. Les missions de procédures convenues permettent aux entités de présenter les conclusions factuelles des tests des contrôles et d’autres procédures aux tiers à qui le rapport est destiné. Les équipes d’EY présentent sous la forme d’un rapport l’ensemble des procédures convenues entre une entité et les tiers utilisateurs du rapport ainsi que les constatations découlant de la mise en œuvre de ces procédures.

Rapport ISAE 3000 sur les procédures liées à l’audit (à l’égard des informations non financières) convenues entre l’auditeur, l’entité et les tiers concernés :

• le rapport ISAE 3000 sur les tests des contrôles porte sur l’évaluation de la capacité à mettre en œuvre les procédures et à tester les contrôles aux fins de la publication d’un rapport de certification (conformément à la norme ISAE 3000);

• le rapport ISAE 3000 sur le soutien et la formation en matière de mise en œuvre porte sur l’évaluation de la capacité à offrir une formation sur la mise en œuvre les procédures aux fins de la publication d’un rapport de certification (conformément à la norme ISAE 3000).

Les services de certification, de mise en œuvre et de formation en matière de systèmes de gestion ISO assurent la mise en œuvre et la certification des systèmes de gestion selon les normes ISO et d’autres cadres de certification établis.

EY CertifyPoint B.V., une entité EY fondée en 2002, est un organisme de certification indépendant et impartial qui a son siège aux Pays‑Bas. Par l’entremise d’EY CertifyPoint, les équipes d’EY offrent les cours Lead Implementer et Lead Auditor, ainsi que la certification du personnel d’une entité pour plusieurs normes ISO.

Les équipes d’EY aident les entités à atteindre leurs objectifs en améliorant l’efficacité et l’efficience de leurs systèmes de gestion. Les équipes d’EY gardent l’entité au cœur de la démarche en identifiant les redondances, les goulots d’étranglement et les gains d’efficacité potentiels au moyen d’une approche de certification systématique et indépendante conforme à une norme internationale reconnue.

Les normes suivantes sont prises en charge :

• ISO 9001 : Systèmes de gestion de la qualité

• ISO 14001 : Systèmes de gestion environnementale

• ISO/IEC 20000‑1 : Systèmes de gestion des services informatiques

• ISO 22301 : Systèmes de gestion de la continuité des activités

• ISO/IEC 27001 : Systèmes de gestion de la sécurité de l’information

• ISO/IEC 27017 : Contrôles de la sécurité infonuagique

• ISO/IEC 27018 : Protection des données à caractère personnel dans le nuage

• ISO/IEC 27701 : Systèmes de gestion de la protection de la vie privée

• ISO 37001 : Systèmes de gestion de la lutte contre la corruption

• ISO/IEC 42001 : Systèmes de gestion de l’intelligence artificielle

• ISO 45001 : Systèmes de gestion de la santé et de la sécurité au travail

• ISO 5000 : Gestion de l’énergie

• Évaluation selon les normes de la World Lottery Association (WLA)

• Certification CSA STAR

• NEN 7510‑1 : Systèmes de gestion de la sécurité de l’information dans le secteur de la santé

• Hébergeur de Données de Santé (HDS)

• Norme MTCS (Multi‑Tier Cloud Security) de Singapour

• Évaluation de la conformité au RGPD

• Organisme de surveillance accrédité selon le code de conduite CISPE

• Approche intégrant l’attestation ISAE3402, SOC et selon d’autres normes (p. ex., rapport d’attestation ISO/IEC 27001:2013 en combinaison avec ISAE3402)

Une évaluation des systèmes et des processus consiste notamment en une évaluation du contrôle interne dans le cadre de la mise à niveau ou de la mise en œuvre d’un système ERP (p. ex., S/4HANA de SAP), d’une application ou d’un processus. Grâce à une évaluation indépendante du contrôle interne actuel d’une entité, ou d’un état futur documenté du contrôle interne, ces services permettent de présenter à la direction des recommandations sur les pratiques exemplaires. Une évaluation de systèmes ou de processus aux fins d’une mise à niveau ou d’une mise en œuvre aide l’entité à faire ce qui suit :

• Obtenir l’assurance que les considérations relatives au contrôle interne sont prises en compte de manière adéquate.

• Acquérir une compréhension de processus d’affaires complexes.

• Relever les nouveaux risques et les lacunes dans les contrôles découlant des modifications apportées aux processus ou à la technologie et obtenir des recommandations de mesures correctives fondées sur des pratiques exemplaires.

• Tirer parti de nouvelles capacités qui permettent de mieux rentabiliser l’investissement dans les nouveaux processus ou les nouvelles technologies, y compris recenser les possibilités d’automatisation et d’amélioration en lien avec les processus, et la GRC, l’intégration, la présentation de l’information et la surveillance continue des contrôles.

Les services d’évaluation préalable d’ébauches de documents, comme la description d’un système avant la réalisation d’une mission d’assurance limitée ou d’assurance raisonnable (p. ex., un rapport SOC) aide l’entité à faire ce qui suit :

• Comprendre comment appliquer les critères d’évaluation dans le cadre du projet. 

• Comprendre les obligations d’information pour le projet (p. ex., description fournie par la direction aux fins d’un rapport SOC).

• Comprendre les procédures mises en œuvre pour évaluer les informations ou les contrôles du projet.

Les services de certification de la conformité réglementaire en matière de TI aident les entités à comprendre des lois, règlements et normes professionnelles qui évoluent rapidement, à s’y adapter et à présenter de l’information qui y est conforme. Ces services aident les entités à se conformer de manière plus efficace et durable aux exigences réglementaires et sectorielles (p. ex., secteur public, soins de santé, services financiers) en matière de technologie. Ces exigences peuvent être liées à ce qui suit :

• Réglementation de l’IA (p. ex., Loi sur l’IA de l’UE)

• Cybersécurité (p. ex., Loi sur la cyberrésilience de l’UE, cadre Cybersecurity Maturity Model Certification (CMMC), Directive sur la sécurité des réseaux et de l’information (NIS 2))

• Sécurité des données (p. ex., Loi sur les données de l’UE)

• Résilience numérique (p. ex., Loi sur les services numériques, Loi sur les marchés numériques et Loi sur la résilience opérationnelle numérique de l’UE)

• Exigences sectorielles (p. ex., HITRUST, SWIFT, TISAX)

• Contrôles des données et contrôles informatiques pour la présentation de l’information sur les questions ESG

Nous effectuons une évaluation détaillée de la maturité de vos mécanismes de gouvernance, de gestion des risques et de contrôle en matière d’IA. En nous appuyant sur notre cadre de l’IA responsable et en appliquant nos pratiques de pointe, nous vous fournissons une feuille de route grâce à laquelle vous pouvez renforcer la confiance dans vos systèmes d’IA tout au long de leur cycle de vie.

Nous vous offrons des services d’évaluation préalable et d’attestation en IA qui vous aident à évaluer votre conformité à différents cadres normatifs, comme ceux de la Digital Services Act et de la Digital Markets Act de l’Union européenne, ainsi qu’aux normes d’application volontaire, comme la norme ISO 42001 et le cadre de gestion des risques liés à l’IA du NIST.

Notre cadre de gestion de crise liée à l’IA conjugue la gestion des crises, la criminalistique numérique, l’intervention en cas d’incident et l’enquête pour gérer adéquatement les incidents découlant d’inconduites liées à l’IA et répondre aux demandes des organismes de réglementation. Nous pouvons vous aider à vous préparer à de tels événements et accroître ainsi votre confiance dans l’IA.

Nous recourons à la ludification pour stimuler la réflexion des membres du conseil et les amener à se pencher sur des questions de gouvernance en matière d’IA et de préparation aux crises liées à l’IA. Au cours de cette séance interactive, nous simulons une situation de crise liée à l’IA qui soulève d’importants enjeux, et favorisons la tenue de discussions stratégiques au sein du conseil et une gestion des risques rigoureuse.