Tehnološki rizik

EY pruža usluge IT revizije kako bi organizacijama omogućio učinkovito prepoznavanje, razumijevanje, procjenu, upravljanje i ublažavanje rizika povezanih s implementacijom i korištenjem informacijskih tehnologija.

Kako povjerenje u kvalitetu podatka koji proizlaze iz informacijskih sustava postaje sve važnije društveno pitanje, razumijevanje rizika povezanih s primjenom informacijske tehnologije ključno je za ubrzanje poslovne učinkovitosti i postizanje održivog rasta. Sposobnost razumijevanja ovih rizika omogućuje premošćivanje često prisutnog jaza u znanju između poslovnih korisnika i IT-a, što predstavlja jednu od temeljnih snaga EY timova. Specijalizirano znanje iz područja informacijske tehnologije ključno je za provedbu visokokvalitetnih revizija te identifikaciju rizika i kontrola. Također, EY timovi pomažu donositeljima odluka u izgradnji povjerenja i transparentnosti kroz neovisnu komunikaciju o kontrolama i regulatornoj usklađenosti, usmjerenu prema klijentima, investitorima, menadžmentu, regulatornim tijelima i drugim relevantnim dionicima.

Kako EY može pomoći

EY timovi provode IT revizijske postupke visoke kvalitete, uz dubinsko razumijevanje utjecaja tehnologije na poslovne i IT procese. Naš pristup provjeri kontrola, predstavlja temelj naše misije – zaštita organizacija i investitora te jačanje povjerenja na tržištu. EY stručnjaci provode revizije informacijskih tehnologija, temeljene na razumijevanju utjecaja tehnologije na poslovne i IT procese. Naši stručnjaci provode revizijske postupke visoke kvalitete uz očuvanje neovisnosti, integriteta, objektivnosti i profesionalnog skepticizma. Time doprinose stvaranju održive i dugoročne vrijednosti.

EY-ovi multidisciplinarni timovi, koji posjeduju dubinsko stručna znanja za rješavanje složenih izazova, primjenjuju EY metodologiju za upravljanje rizicima, kao i okvire poput ISO, NIST, COBIT te koriste napredne interne alate i najnovija znanja kako bi osigurali dosljednu razinu usluge. EY stručnjaci doprinose klijentima da bolje razumiju rizike povezane s informacijskom tehnologijom kako bi mogli donijeti adekvatno strateški utemeljene odluke.

Usluge IT revizije uključuju:

Procjenu IT rizika
Reviziju IT procesa i kontrola
Revizija aplikacija / ERP sustava
Revizija regulatornih okvira kibernetičke i digitalne otpornosti

Usluge usklađenosti s regulatornim okvirima kibernetičke i digitalne otpornosti pomažu organizacijama da razumiju, pripreme se i učinkovito izvještavaju u skladu s dinamičnim zakonodavnim, regulatornim i stručnim okvirima. Kroz strukturirani pristup, EY usluge pomažu organizacijama da dugoročno i učinkovito usklade svoje tehnološke sustave s regulatornim i sektorskim zahtjevima (pr. financijske usluge, javni sektor, zdravstvo).

Primjeri uključuju podršku u usklađivanju s regulatornim okvirima koji se odnose na:

kibernetičku sigurnost,
digitalnu otpornost,
skigurnost podataka,
regulaciju umjetne inteligencije,
sektorske zahtjeve,
kontrole podataka i IT sustava u izvještavanju o ESG-u.
Samoprocjena kibernetičke sigurnosti predstavlja ključni proces u kojem organizacije procjenjuju svoje sigurnosne mjere, politike i prakse kako bi identificirale potencijalne ranjivosti i unaprijedile svoju ukupnu sigurnost. Proces omogućuje organizacijama da odrede trenutni stupanj zrelosti sa zakonskim okvirom. Što organizacijama omogućuje proaktivno upravljanje rizicima i poboljšanje sposobnosti obrane od potencijalnih prijetnji.

Sukladno Uredbi o kibernetičkoj sigurnosti, subjekti mogu angažirati vanjske suradnike koji posjeduju relevantna znanja i iskustvo iz područja kibernetičke sigurnosti za provedbu samoprocjene. Dok je samoprocjenu potrebno provoditi najmanje jednom u dvije godine, a o provedenim samoprocjenama izvještavati središnje državno tijelo za kibernetičku sigurnost.

EY stručnjaci, s dokazanim iskustvom u području kibernetičke sigurnosti, mogu biti vaš pouzdan partner u procesu provedbe samoprocjene.
Usluge eksternalizirane funkcije interne IT revizije omogućuju organizacijama uvide u trenutno stanje internih kontrola koje može pomoći u upravljanju rizicima s ciljem povećanje vrijednosti, kvalitete i učinkovitosti interne revizije. Naše razumijevanje IT rizika i internih kontrola može pomoći funkcijama interne revizije da poboljšaju svoju izvedbu i vrijednost koju pružaju.
Zahtjevi digitalne otpornosti vezani za upravljanje rizicima trećih strana (TPRM) postalo je ključno za sve financijske subjekte. Odgovornost za upravljanje IKT rizicima prenosi se na neovisne kontrolne funkcije, čime se osigurava razdvajanje upravljačkih, kontrolnih i revizijskih funkcija.

EY stručni tim pruža usluge neovisne provedbe nadzora trećih strana. Nadzor trećih strana uključuje provedbu neovisne revizije s ciljem identifikacije učinkovitosti upravljanja kontrola. Rezultati neovisne provedene revizije mogu pomoći organizacijama u procesu procjene i upravljanju rizicima s vanjskim partnerima.
Usluge neovisnih izvještaja internih kontrola omogućuje organizacijama da prenesu rezultate testiranja kontrola ili drugih postupaka trećim stranama. EY timovi izvještavaju o skupu postupaka dogovorenih između organizacije i specificiranih korisnika izvještaja.

ISAE 3000 obuhvaća izvještaje o provedenim postupcima i rezultatima testiranja kontrola dogovorenim između revizora, organizacije i relevantnih trećih strana (vezano uz nefinancijske informacije).
SOCR usluge (Service Organization Control Reporting) omogućuju organizacijama da svojim klijentima (i njihovim vanjskim revizorima), investitorima, menadžmentu, regulatorima i drugim dionicima pružanje pouzdanih informacija o internim kontrolama. Ove usluge učinkovito odgovaraju na potrebe klijenata za pouzdanim informacijama koje se temelje na procjeni rizika.

SOC 1 omogućuje organizacijama koje upravljaju informacijskim sustavima i pružaju usluge u području financijskog izvještavanja da kroz strukturirani izvještaj potvrde pouzdanost svojih procesa i kontrola, čime jačaju povjerenje klijenata i njihovih vanjskih revizora.
SOC 2/3 pomaže organizacijama da odgovore na zahtjeve korisnika koji zahtijevaju informacije i potvrdu o kontrolama koje koje osiguravaju sigurnost, zaštitu privatnosti, povjerljivost, dostupnost i integritet obrade podataka unutar sustava organizacije.
SOC za kibernetičku sigurnost pomaže organizacijama da zadovolje potrebe korisnika koji zahtijevaju informacije i potvrdu o programu upravljanja kibernetičkom sigurnošću i rizicima na razini cijele organizacije.
SOC za opskrbni lanac omogućuje organizacijama da dokumentirano potvrde pouzdanost svojih procesa i kontrola u opskrbnom lancu, čime se dionicima pruža uvid u potencijalne rizike povezane s proizvodnjom i distribucijom.

EY timovi također nude usluge prethodne analize nacrta, poput opis sustava, kako bi se osigurala kvalitetna priprema prije provedbe angažmana s ograničenom ili razumnom razinom sigurnosti (npr. SOC izvještaj).
Procjena adekvatnosti sustava i procesa uključuje analizu internih kontrola kao dio procesa nadogradnje ili implementacije ERP sustava (pr. SAP S/4HANA), aplikacije ili poslovnog procesa. Ove usluge omogućuju organizacijama da kroz neovisnu procjenu trenutačnih ili planiranih kontrola dobiju strateške preporuke koje podržavaju razvoj, optimizaciju i upravljanje rizicima u skladu s najboljim praksama. Procjena nadogradnje ili implementacije sustava ili procesa pomaže organizaciji da:

stekne sigurnost da su aspekti internih kontrola adekvatno obuhvaćeni,
identificira nove rizike i nedostatke u kontrolama koje su nastale zbog promjena u procesu ili tehnologiji te dobije preporuke za njihovo otklanjanje temeljem najboljih praksi,
iskoristi nove funkcionalnosti koje omogućuju optimizaciju postojećih ili implementaciju novih procesa i tehnologija, uključujući mogućnosti automatizacije procesa, poboljšanja, integracije GRC-a te izvještavanje i kontinuirano praćenje kontrola.

Karijere u IT reviziji

Bez obzira kada se pridružite i koliko dugo ostanete, iznimno EY iskustvo traje cijeli život.

Tim

Josip Kolarec

Senior Manager u EY Hrvatska

Stručnjak za reviziju i analizu rizika u informacijskim sustavima, kibernetičku sigurnost i digitalnu otpornost.

Zagreb, Croatia

EY se odnosi na globalnu organizaciju, a može se odnositi na jednu ili više tvrtki članica Ernst & Young Global Limited, od kojih je svaka posebna pravna osoba. Ernst & Young Global Limited, britanska tvrtka ograničena jamstvom, ne pruža usluge klijentima.