Звітність щодо контролів сервісних організацій (SOCR)

У галузі Консультаційні послуги

EY пропонує послуги з незалежної оцінки та атестації системи внутрішніх контроліву відповідності до провідних стандартів атестації та звітності таких як SOC 1, SOC 2, SOC 3, ISAE 3000 та ISAE 3402. Звітність щодо контролів сервісних організацій (SOCR) приносить цінність як організації, що надає послуги, так і її клієнтам, які хочуть бути впевненими, що середовище контролів їх постачальника відповідає вимогам цих всесвітньо визнаних стандартів.

Як EY може допомогти

EY є світовим лідером на ринку SOCR, щороку випускає понад 3000 звітів SOC для понад 900 клієнтів. З 1993 року ми допомагаємо нашим клієнтам зрозуміти цінність і переваги високоякісної оцінки за стандартами SOCR. Ми також є лідерами в секторах технологій, фінансових послуг і охорони здоров’я, перевіряючи 46% найбільших світових технологічних компаній, 36% компаній Russell, 3000 медичних компаній і співпрацюємо з 24 із 25 найкращих компаній глобальних менеджерів активів.

Ми використовуємо весь цей досвід, щоб допомогти компаніям вирішувати проблеми дедалі складнішого середовища, яке змінюється з безпрецедентною швидкістю. Клієнти та регулятори шукають більше гарантій у таких сферах як конфіденційність і безпека, і очікують, що керівництво компаній зможе надати їх. У свою чергу, керівництво визнає свою підвищену залежність від постачальників і партнерів і хоче бути впевненим, що ці організації керують своїми ризиками, щоб і надалі залишатися надійними постачальниками в майбутньому.

Усе це створює підвищений попит на незалежні гарантії з боку компаній у всьому ланцюжку постачання, щоб забезпечити впевненість у тому, що ризиками ефективно керують. SOCR допомагає компаніям побудувати цю довіру зі своїми партнерами, надаючи незалежні висновки про те, наскільки їхні засоби контролю ефективні і придатні для усунення ключових ризиків.

Наші клієнти повідомляють нам про переваги, що надає звітність щодо контролів сервісних організацій:

  • Побудова довіри з існуючими клієнтами
  • Демонстрація якості засобів контролю в межах тендерів на нові контракти, включаючи підвищення довіри, коли стартапи прагнуть отримати контракти з більшими організаціями
  • Проведення одного аудиту, а не кількох аудитів клієнтів
  • Зосередження на ключових елементах керування з можливістю потім випробувати інші види контролю.

Що ми робимо

Ми надаємо послуги з атестації контролів нашим клієнтам, використовуючи низку загальновизнаних систем звітності та контрольних фреймворків:

  • SOC 1 / ISAE3402

    • Звітність SOC 1 використовується для процесів пов’язаних із фінансовою звітністю
    • Стандарт розроблений для задоволення потреб організацій і бухгалтерів, які перевіряють фінансові звіти, і є оцінкою ефективності внутрішніх контролів сервісної організації
    • Існує 2 типи звітності SOC 1: Тип І (атестація контролів на певну дату) та Тип ІІ (атестація контролів за певний період часу)
  • SOC 2 / ISAE3000

    • Звітність SOC 2 використовується для процесів нефінансової звітності, включно з процесами та елементами керування конфіденційністю та GDPR
    • SOC 2 визначає критерії для керування даними клієнтів на основі п’яти ”принципів довірчого обслуговування” — безпека, доступность, цілісність обробки даних, конфіденційність та захист персональних даних
    • Існує 2 типи звітності SOC 2: Тип І (атестація контролів на певну дату) та Тип ІІ (атестація контролів за певний період часу)
  • SOC 3

    • Звітність SOC 3 використовується для процесів нефінансової звітності і призначена для широкої аудиторії (загальнодоступна)
    • На відміну від звітів SOC 2, звіти SOC 3 не містять детального опису контролів перевірених аудитором, процедур тестування та результатів процедур тестування
    • Існує 1 типи звітності SOC 3: Тип ІІ (атестація контролів за певний період часу)
  • SOC для кібербезпеки

    • Звітність SOC для кібербезпеки  використовується для атестації програм управління ризиками кібербезпеки організації
    • Існує 2 типи звітності SOC для кібербезпеки: Тип І (атестація контролів на певну дату) та Тип ІІ (атестація контролів за певний період часу)
  • SWIFT CSP

    • Звітність ISAE 3000 використовується для щорічної атестації контролів SWIFT CSP
    • Програма безпеки клієнтів (CSP) SWIFT допомагає фінансовим установам забезпечити сучасний і ефективний захист від кібератак, а також захистити цілісність ширшої фінансової мережі
    • Атестація контролів SWIFT CSP відбувається на певну дату
  • SOX (Sarbanes-Oxley Act)

    • Публічні компанії, які розміщують свої акції на американській фондовій біржі, мусять дотримуватись регуляції SOX як у фінансовій так і у сфері ІТ. Роботи функції ІТ в компаніях змінилась через SOX, оскільки регуляція змінила спосіб зберігання та обробки корпоративних електронних записів
    • Внутрішні контролі безпеки SOX вимагають практик і процесів в сфері безпеки даних і повної видимості взаємодії з фінансовими даними протягом тривалого часу
  • ETSI (European Telecommunications Standards Institute)

    • ETSI – створює і підтримує глобальні стандарти для систем, додатків і послуг у сфері інформаційно-комунікаційних технологій (ICT), які використовуються в усіх секторах промисловості та суспільства
    • ETSI розробляє стандарти в ключових глобальних технологіях, таких як: GSM, TETRA, 3G, 4G, 5G, DECT
    • Стандарт ETSI EN 319 містить вимоги щодо генерація сертифікатів криптографічних ключів, управління ними та їх видачі

Чому EY

Наша команда має величезний досвід з реалізації різноманітних проєктів зі звітності щодо контролів сервісних організацій, в тому числі щодо випуску звітності SOC 1, SOC 2 та ISAE 3000 для SWIFT CSP, а також впровадженні і тестуванні SOX контролів та контролів ETSI EN 319. Українська команда виконала більше 10 таких проєктів за останні 5 років для провідних локальних та міжнародних компаній своєї галузі (наприклад, для лідерів українського ринку у сфері ІТ та провідних міжнародних компаній у фінансовому і телекомунікаційному секторі.

Зв'яжіться з нами

Напишіть нам, щоб отримати додаткову інформацію.