Technology Risk

Gjennom våre SOCR-tjenester (Service Organization Control Reporting) hjelper vi virksomheter å formidle pålitelig informasjon om internkontroll til kunder (og deres eksterne revisorer), investorer, ledelse, tilsynsmyndigheter og andre interessenter. Tjenestene dekker selskapers behov for risikobasert og troverdig informasjon.

• SOC 1 hjelper leverandører som drifter IT-systemer og leverer forretningsprosesser knyttet til finansiell rapportering å bygge tillit til egne rutiner og kontroller, gjennom en rapport som kan deles med kunder og deres eksterne revisorer.
• SOC 2/3 hjelper virksomheter med å gi interessenter trygghet for at selskapets systemer ivaretar sikkerhet, personvern, konfidensialitet, tilgjengelighet og integritet i databehandlingen.
• SOC for Cyber hjelper virksomheter å imøtekomme behovene til et bredt spekter av brukere som trenger informasjon og trygghet rundt selskapets helhetlige program for styring av cybersikkerhetsrisiko. 
• SOC for Supply Chain hjelper virksomheter å gi interessenter innsikt og sikkerhet når det gjelder selskapets systemer og kontroller for produksjon, fremstilling eller distribusjon av varer, slik at de bedre kan forstå risikoene i verdikjeden.

Vi tilbyr også forhåndsvurderingstjenester, for eksempel gjennomgang av et utkast til en systembeskrivelse, før gjennomføring av oppdrag med begrenset eller høy grad av sikkerhet (for eksempel en SOC-rapport).

AUP-tjenester (Agreed-Upon Procedures) hjelper virksomheter med å formidle uavhengige resultater fra kontrolltester eller andre prosedyrer som er avtalt mellom virksomheten og eksterne mottakere av rapporten. AUP-oppdrag gjør det mulig å dokumentere faktiske funn på en pålitelig måte. EY-teamene presenterer og rapporterer både de avtalte prosedyrene og de tilhørende funnene.

AUP-tjenester (Agreed Upon Procedures) hjelper virksomheter med å formidle uavhengige resultater fra kontrolltester eller andre prosedyrer som er avtalt mellom virksomheten og mottakere av rapporten. Slike oppdrag gjør det mulig å kommunisere objektive funn fra de avtalte prosedyrene til de aktuelle tredjepartene. Vi presenterer og rapporterer både de avtalte prosedyrene og funnene som følger av disse.

ISAE 3000 brukes til rapportering om revisjonsrelaterte handlinger som revisor, virksomheten og eventuelle relevante tredjeparter har avtalt – knyttet til ikke-finansiell informasjon:

• ISAE 3000 – kontrolltesting: gjennomføring av prosedyrer og kontrolltester som resulterer i en attestasjonsrapport i samsvar med ISAE 3000-standarden.
• ISAE 3000 – implementeringsstøtte og opplæring: opplæring i hvordan prosedyrene utføres, som leder til en attestasjonsrapport i samsvar med ISAE 3000-standarden.
  

Tjenestene innen ISO Management System Certification, Implementation and Training tilbyr implementering og sertifisering av ledelsessystemer i henhold til ISO-standarder og andre etablerte sertifiseringsrammeverk.

EY CertifyPoint B.V., et EY-selskap grunnlagt i 2002, er et akkreditert, uavhengig og upartisk sertifiseringsinstitutt med hovedkontor i Nederland. Gjennom EY CertifyPoint tilbyr vi kurs for Lead Implementer og Lead Auditor, inkludert sertifisering av virksomhetens ansatte for flere ISO-standarder.

Våre team støtter virksomheter i å nå sine mål ved å forbedre effektiviteten og kvaliteten i styringssystemene deres. Med virksomheten i sentrum identifiseres overlappende prosesser, flaskehalser og potensielle effektivitetsgevinster gjennom en systematisk og uavhengig sertifiseringsprosess basert på globalt anerkjente standarder.

Følgende standarder blir behandlet:

• ISO 9001: Kvalitetsstyringssystem
• ISO 14001: Miljøstyringssystem
• ISO/IEC 20000-1: Styringssystem for IT-tjenester
• ISO 22301: Styringssystem for virksomhetskontinuitet
• ISO/IEC 27001: Styringssystem for informasjonssikkerhet
• ISO/IEC 27017: Sikkerhetskontroller i nettskyen
• ISO/IEC 27018: Beskyttelse av personlig identifiserbar informasjon i nettskyen
• ISO/IEC 27701: System for håndtering av personverninformasjon
• ISO 37001: Styringssystem for bekjempelse av bestikkelser
• ISO/IEC 42001: Styringssystem for kunstig intelligens
• ISO 45001: Styringssystem for helse og sikkerhet på arbeidsplassen
• ISO 50001: Energihåndtering
• World Lottery Association (WLA) sine vurderinger
• CSA STAR-sertifisering
• NEN 7510-1: Styringssystem for helseinformasjonssikkerhet
• Hébergeur de Données de Santé (HDS)
• Multi-Tier Cloud Security (MTCS - Singapore)
• GDPR-vurdering
• CISPE Code of Conduct-akkreditert kontrollorgan
• Integrert tilnærming med ISAE3402, SOC og andre attestasjonsrapporter, for eksempel en kombinasjon av ISO/IEC 27001:2013 med ISAE3402
  

En system- og prosessvurdering omfatter en gjennomgang av internkontroll i forbindelse med oppgradering eller implementering av et ERP-system (for eksempel SAP S/4HANA), en applikasjon eller en prosess. Tjenestene gir en uavhengig vurdering av virksomhetens nåværende tilstand eller et dokumentert fremtidig internkontrolloppsett, og gir anbefalinger basert på beste praksis for ledelsens vurdering. En system- eller prosessoppgradering eller implementeringsvurdering hjelper virksomheten med å:

• Stole på at hensynet til internkontroll er tilstrekkelig ivaretatt.
• Forstå komplekse forretningsprosesser.
• Identifisere nye risikoer og kontrollgap som oppstår ved endringer i prosesser eller teknologi, samt gi anbefalinger for utbedring basert på beste praksis.
• Utnytte nye funksjonaliteter som gir bedre avkastning på investeringer i prosesser eller teknologi, inkludert muligheter for prosessautomatisering, forbedring og integrasjon av styring, risiko og etterlevelse (GRC), rapportering og kontinuerlig kontrollovervåking.

En forhåndsvurdering av et utkast til emne, for eksempel en systembeskrivelse, før gjennomføring av et oppdrag med begrenset eller høy grad av sikkerhet (for eksempel en SOC-rapport), hjelper virksomheten med å:

• Forstå hvordan evalueringskriteriene skal anvendes på emnet.
• Forstå krav til opplysninger om emnet (for eksempel ledelsens beskrivelse i en SOC-rapport).
• Forstå hvilke prosedyrer som utføres for å vurdere informasjonen om emnet og/eller kontrollene.

Tjenestene innen IT Compliance and Regulatory Assurance hjelper virksomheter med å forstå, forberede seg på og rapportere i henhold til lover, forskrifter og profesjonelle standarder som er i rask utvikling. De støtter virksomheter i å oppfylle krav til regelverk og sektorspesifikke standarder (for eksempel innen offentlig sektor, helsevesen og finans) på en mer bærekraftig og effektiv måte.Eksempler på dette kan være å hjelpe virksomheter med å overholde krav knyttet til:

• KI-regelverk: For eksempel KI-forordningen.
• Cybersikkerhet: Som Cyber Resilience Act, Cybersecurity Maturity Model Certification, og NIS2-direktivet.
• Datasikkerhet: For eksempel GDPR.
• Digital motstandsdyktighet: Som forordningen om digitale tjenester, digitale markeder og digital operasjonell motstandsdyktighet.
• Sektorspesifikke krav: For eksempel HITRUST, SWIFT, TISAX.
• Data- og IT-kontroller i ESG-rapportering.