Управление рисками третьих лиц SOC 1®, SOC 2®, SOC 3®

Уверенность и надежность


Аудит сервисных организаций

Организации, предоставляющие услуги в области аутсорсинга бизнес-функций, хостинга, облачных сервисов и других услуг благодаря опыту и глубоким знаниям в предметной области могут обеспечить клиентам возможность снижения рисков, связанных с оказываемыми услугами с помощью отчётов SOC 1®, SOC 2®.

Одним из наиболее эффективных способов, с помощью которого организации (то есть третьи стороны) могут делиться информацией об управлении рисками и об осуществлении контроля над ними на своей стороне, является отчет независимого аудитора. ДРТ предлагает ряд услуг в области аудита третьих сторон, в том числе выпуск отчетов SOC 1®, SOC2® и SOC 3® по стандартам ISAE 3402, ISAE 3000, SSAE 18, МСЗОУ 3402, МСЗОУ 3000.

Цель таких отчетов — обеспечить пользователей (клиентов) и/или их аудиторов объективной и независимой оценкой системы внутренних контролей сервисной организации (поставщика услуг).

В результате выпускается заключение в отношении определенного набора целей контроля. Тестирование проводится один раз вместо предоставления ответов на вопросы и проведения проверок каждым из клиентов.

Чем мы можем помочь

ДРТ предлагает ряд услуг по предоставлению отчетов сервисных организаций SOC 1®, SOC 2®, SOC 3® по стандартам ISAE 3402, SSAE 18, ISAE 3000, МСЗОУ 3000, МСЗОУ 3402.
  • Отчет SOC 1®
    Отчет о состоянии системы внутреннего контроля над обработкой данных, связанных с формированием финансовой отчетности организации — пользователя отчета.
  • Отчет SOC 2®
    Отчет о состоянии процессов и контрольных процедур, не влияющих на финансовую отчетность, в области безопасности, конфиденциальности, доступности, целостности обработки данных или защиты персональных данных в ходе использования сервисов или процессов.
  • Отчет SOC 2+®
    Отчет о состоянии процессов и контрольных процедур, не влияющих на финансовую отчетность, в области безопасности, конфиденциальности, доступности, целостности обработки данных или защиты персональных данных в ходе использования сервисов или процессов. Отчет также охватывает требования другого применимого стандарта, например, NIST, ISO, GDPR, HIPAA, CSA.
  • Отчет SOC 3®
    Краткий отчет о состоянии процессов и контрольных процедур, не влияющих на финансовую отчетность, в области безопасности, конфиденциальности, доступности, целостности обработки данных или защиты персональных данных в ходе использования сервисов или процессов. Отчет является публичным и может быть использован в маркетинговых целях.
  • SOC для цепочки поставок
    Отчет о состоянии системы внутреннего контроля сервисной организации, безопасности и доступности процессов и информации в цепочке поставок. Данный отчет поможет организациям «заглянуть» в процессы их поставщиков и убедиться в эффективности управления рисками в их цепочках поставок.
  • SOC для технологии блокчейн
    Отчет о состоянии системы внутреннего контроля сервисной организации, безопасности, конфиденциальности, доступности, а также целостности обработки и защиты данных в используемой технологии блокчейн.
  • Отчет ISAE 3000
    Отчет охватывает широкий круг заданий по обеспечению уверенности в отношении процессов и контрольных процедур, не влияющих на финансовую отчетность, согласно критериям, выбранным самой сервисной организацией, включая соответствие регуляторным требованиям, правилам проведения маркетинговых мероприятий и т. д.
  • Оценка готовности
    Оценка готовности компании к последующему аудиту по всем типам отчетов, упомянутым выше. Проведение «пробного» аудита для оценки слабых мест и областей для доработки и развития.

Преимущества

  • Коммерческое преимущество — возможность выделиться среди прочих сервисных организаций/конкурентов на рынке.
  • Экономия затрат — предоставление клиентам и их аудиторам отчета SOC 1® и SOC 2® позволяет сэкономить время и ресурсы на последующее проведение аудиторских процедур, что способствует более эффективному использованию ресурсов компании.
  • Широкий охват — с помощью одного отчета удовлетворяются запросы большого количества клиентов.
  • Соответствие требованиям — показатель того, что организация соответствует требованиям стандартов и регуляторным требованиям.
  • Эффективность внутренних процессов — процесс подготовки отчета позволяет более эффективно оценить существующую процессы и контрольные процедуры, а также процесс управления рисками.

Контакты

  • Андрей Сотников
    Партнер
    Управленческое консультирование
    asotnikov@delret.ru
    +7 (495) 787 06 00 (доб. 5460)
  • Татьяна Беляева

    Директор

    Управленческое консультирование

    tbelyaeva@delret.ru

    +7 (495) 787 06 00 (доб. 2382)