Для взаимоотношений между различными участниками бизнес-сообщества очень важно доверие. PwC проводит независимую оценку на соответствие SOC1/SOC2/SOC3 (SOC – System and Organization Controls), с использованием стандартов ISAE3402, SSAE18, благодаря которой клиенты будут полностью уверены в качестве предоставляемых вами услуг.
Оценка в соответствии со стандартами SOC1/SOC2/SOC3 полезна в том случае, если вы предлагаете услуги другим компаниям или технологические решения для управления данными ваших клиентов, например предоставляете своим клиентам ИТ-инфраструктуру или облачные решения (SaaS, PaaS, IaaS). Отчеты SOC1/SOC2/SOC3 помогут вам подтвердить наличие надежной контрольной среды и твердых обязательств по обеспечению защиты клиентских данных, то есть получить конкурентное преимущество на рынке.
Мы предлагаем следующие виды услуг:
- Аудит по стандартам SOC1 (ISAE 3402, SSAE-18, МСЗОУ 3402)
- Оценка нефинансовых процессов и данных в соответствии со стандартами SOC2 и SOC3
- Программа управления рисками третьих сторон (TPRM)
Аудит по стандартам SOC1 (ISAE 3402, SSAE-18, МСЗОУ 3402)
Оценка по стандарту System and Organization Controls 1 (SOC1), включающему стандарты ISAE 3402, SSAE-18 и МСЗОУ 3402, представляет собой аудит системы контроля за обработкой данных, связанных с формированием финансовой отчетности. Результатом независимой оценки будет аудиторское заключение, позволяющее клиентам, аудиторам компании-клиента и другим заинтересованным сторонам понять, какие механизмы контроля действуют в вашей организации и насколько эффективно они функционируют.
Мы можем подготовить два варианта отчета SOC1:
- Отчет SOC1 type 1 (тип 1) – содержит информацию о дизайне контрольных процедур и результат оценки системы внутреннего контроля по состоянию на дату проверки. Отчет этого типа полезен в случае, если систему внутреннего контроля в организации значительно изменили и нет достаточной истории ее функционирования, чтобы проверить ее эффективность.
- Отчет SOC1 type 2 (тип 2) – содержит информацию о дизайне и об операционной эффективности контрольных процедур за период времени (полгода или более). Отчет этого типа исключает или значительно сокращает потребность аудитора компании-клиента в проведении дополнительных процедур тестирования механизмов контроля в вашей организации. В итоге вы экономите время, средства и ресурсы.
Оценка нефинансовых процессов и данных в соответствии со стандартами SOC2 и SOC3
Независимая оценка нефинансовых процессов и данных с использованием принципов Trust Services в соответствии со стандартами SOC2 и SOC3 (SOC – System and Organization Controls) обеспечит необходимый уровень уверенности клиентов в качестве предоставляемых вами услуг и продуктов.
Проверяется соответствие механизмов контроля принципам Trust Services, а именно следующим критериям:
- безопасность (Security),
- доступность (Availability),
- целостность обрабатываемых данных (Processing Integrity),
- конфиденциальность (Confidentiality),
- защита персональных данных (Privacy).
Можно проверить соответствие как отдельным принципам, так и их сочетаниям, в зависимости от аспектов, в отношении которых клиенту необходим независимый аудит.
Отчеты SOC2/SOC3 могут быть двух типов:
- Отчет SOC2/SOC3 type 1 (тип 1) – содержит информацию о дизайне контрольных процедур и результат оценки системы внутреннего контроля по состоянию на дату проверки. Отчет этого типа полезен в случае, если систему внутреннего контроля в организации значительно изменили и нет достаточной истории ее функционирования, чтобы проверить ее эффективность.
- Отчет SOC2/SOC3 type 2 (тип 2) – содержит информацию о дизайне и об операционной эффективности контрольных процедур за период времени (полгода или более).
Программа управления рисками третьих сторон (TPRM)
Программа управления рисками третьих сторон (Third Party Risk Management, или TPRM) позволяет контролировать виды деятельности и риски, связанные с привлечением третьих сторон и партнеров.
Она помогает определять и нанимать третьи стороны и партнеров, которые способны соблюдать договорные и регулятивные обязательства. При этом TPRM способствует достижению финансовых и операционных целей компании. Данный алгоритм непрерывного управления рисками, связанными с наиболее важными внешними поставщиками услуг, доказал свою эффективность на практике.
На базовом уровне программа TPRM позволяет снизить уязвимость к рискам и повысить прозрачность работ, выполняемых третьими сторонами. Если нужно повысить эффективность существующей программы управления рисками третьих сторон или построить такую программу с нуля, специалисты PwC готовы предложить вам комплекс следующих услуг:
- Диагностика программы. Оценка текущего управления рисками третьих сторон, выявление несоответствий нормативным требованиям и примерам передовой практики.
- Дорожная карта (план) внедрения преобразований. Разработка описания целевого состояния и соответствующей дорожной карты, включая ожидаемые трудозатраты и расходы.
- Построение/перестроение функции. Проектирование, внедрение новой или улучшенной программы TPRM и управление ею.
- Внедрение вспомогательных технологий. Интеграция процессов с новыми или действующими технологическими платформами.
- Стратификация третьих сторон. Определение риска, связанного с услугами аутсорсинга и третьими сторонами; присвоение ему оценки, в соответствии с которой организация принимает надлежащие меры.
- Оценка третьих сторон. Проведение оценки на местах, удаленно и в формате самооценки.
- Управление программой. Аутсорсинг или частичный аутсорсинг программы управления рисками третьих сторон, включая планирование, исполнение, корректировку, мониторинг и отчетность.
Контакты
Contact us
Салават Калибеков
Партнер, руководитель практики по расширенным услугам доверия PwC Евразия, PwC Kazakhstan
Тел: +7 717 255 0707
Данияр Касенов
Старший Менеджер, услуги в области анализа и извлечения данных, услуги по повышению доверия к контрагентам и процессам, Алматы, PwC Kazakhstan
Тел: +7 727 330 3200 (вн. 3865)
