Ověřování třetích stran (TPA)

Kontaktujte nás

Ověřování třetích stran (TPA)


V dnešní globální ekonomice se společnosti musí řídit stále se rozšiřujícími předpisy na mezinárodní úrovni. Vzhledem k různým průmyslovým regulačním a rizikovým standardům musí organizace stále častěji prokazovat odpovídající kontroly a zabezpečení dat svých klientů, což znamená, že důvěryhodný auditor je v dnešní době důležitější než kdykoliv předtím.

Pro naše klienty realizujeme ověření poskytovaných služeb třetí stranou, či potvrzujeme nastavení jejich zavedených kontrolních postupů. Dále klientům dodáváme závěry z ověření jejich kontrolních postupů, či postupů dodavatele. Vždy připravujeme závěry co nejefektivněji na základě porozumění prostředí organizace a jeho posouzení. 

Naši specialisté na ověřování mohou společnosti nabídnout služby odpovídající přesně požadavkům klienta služeb třetích stran v souladu s platnými profesními standardy. 

SLUŽBY

  • ISO
    Norma ISO 27001 se zaměřuje na vývoj a údržbu ISMS (systému řízení bezpečnosti informací), což je zastřešující metoda řízení postupů ochrany údajů. K dosažení této normy je třeba provést posouzení rizik, určit a zavést bezpečnostní kontroly a pravidelně přezkoumávat jejich účinnost. 
  • ISAE
    ISAE 3402 je mechanismus ujištění třetí strany (především dodavatelů) v podobě SOC (Service Organisation Controls).  
  • SOC 1
    SOC se týká kontrol, které by mohly mít dopad na účetní závěrku.
  •  SOC 2

SOC 2 se týká kontrol oblasti IT. Obsahuje pět základních kritérií, na základě kterých je kontrola prováděna. 

  • SOC 2+

SOC 2+ je rozšířené ujištění kontrol IT. Obsahuje 4 přidaná kritéria oproti SOC 2.

  • SOC 3

Týká se rovněž ujištění o kontrolách IT. Oproti SOC 2 však tyto zprávy obvykle nejsou podrobné a mají obecný charakter. Ve většině případů jsou volně dostupné veřejnosti.

ISAE 3402

ISAE 3402 (International Standards for Assurance Engagements) je globální standard pro vykazování kontrol v organizacích poskytujících služby. V platnost vstoupil 15. června 2011, a to především v reakci na přijetí zákona Sarbanes-Oxley (často označovaného zkratkou SOX) po finančních skandálech společností Enron a WorldCom. Cílem zákona bylo chránit akcionáře a širokou veřejnost před účetními chybami a podvodnými praktikami.

ISAE 3402 je rozšířením a rozvojem standardu SAS 70 (Statement on Auditing Standards No. 70), který definoval standardy, jež musí auditor použít, aby mohl posoudit vnitřní kontroly organizace. SAS 70 vypracoval Americký institut certifikovaných účetních (AICPA) jako zjednodušení souboru kritérií pro auditorské standardy původně definovaných v roce 1988.

V ISAE 3402, stejně jako v jeho předchůdci SAS 70, jsou zprávy auditora klasifikovány buď jako typ I, nebo typ II. 

  • Ve zprávě typu I auditor hodnotí úsilí servisní organizace v době auditu, aby zabránil účetním nesrovnalostem, chybám a zkreslením. Auditor také hodnotí pravděpodobnost, že toto úsilí přinese v budoucnu požadované výsledky. 
  • Zpráva typu II obsahuje stejné informace jako zpráva typu I; auditor se navíc snaží zjistit účinnost dohodnutých kontrol od jejich zavedení. Zprávy typu II obvykle zahrnují údaje shromážděné za období šesti měsíců.

SOC reporting

V dnešní globální ekonomice se společnosti řídí rozšiřujícími se předpisy a novými účetními standardy jak v USA, tak na mezinárodní úrovni. S ohledem na Sarbanes-Oxleyho zákon a související regulační a rizikové standardy musí servisní organizace stále častěji prokazovat odpovídající kontrolní mechanismy a zabezpečení majetku svých klientů.

Aby mohly servisní organizace související s cloudem poskytovat uživatelským subjektům informace o kontrolách systému a organizace relevantních pro uživatelské subjekty, vydala AICPA pokyny k SOC 1, SOC 2 a SOC 3. Tyto kontrolní zprávy vypracovávají kvalifikované nezávislé účetní a zkušební firmy, které zaměstnávají certifikované osoby.

Během fáze preassessment, neboli předběžného hodnocení, se auditor seznámí s programem řízení rizik kybernetické bezpečnosti vaší organizace a porozumí mu. Poté s vámi bude spolupracovat na zmapování vašeho stávajícího programu řízení rizik podle konkrétních kritérií. V této fázi vám auditor rovněž pomůže identifikovat případné nedostatky v dokumentaci programu a navrhne správnou nápravu, aby byly nedostatky odstraněny. Cílem předběžného hodnocení je připravit organizaci na SOC kontroly, které budou následovat. Tato fáze může trvat několik měsíců, nebo může trvat i více než rok. Vše závisí na tom, v jakém stavu je program řízení rizik kybernetické bezpečnosti organizace před fází předběžného hodnocení. 

V případě, že vaše organizace nemá zavedou dokumentaci k řízení rizik kybernetické bezpečnosti, vás auditor provede vytvářením programu řízení rizik na míru vaší organizaci. 

Systémové a organizační kontroly 1 neboli SOC 1 se zaměřují na kontrolní cíle v oblasti procesů SOC 1 a dokumentují vnitřní kontroly relevantní pro audit účetní závěrky uživatelského subjektu. Je navržen speciálně tak, aby vyhovoval potřebám uživatelských a účetních subjektů, kteří provádějí audit, a je v podstatě hodnocením účinnosti vnitřních kontrol servisní organizace.  

Číst dále 

SOC 2, oficiálně Service Organization Control 2, informuje o různých organizačních kontrolách týkajících se bezpečnosti, dostupnosti, integrity zpracování, důvěrnosti nebo soukromí. Standard pro regulaci těchto pěti otázek byl vytvořen v rámci Zásad a kritérií pro důvěryhodné služby AICPA. SOC 2 se dělí na typ 1 a typ 2.  

Číst dále 

Ve světě plném neustále se vyvíjejících kybernetických hrozeb chtějí zákazníci a partneři jistotu, že společnosti, s nimiž spolupracují, berou kybernetickou bezpečnost a ochranu soukromí vážně. Proto je velmi důležité aktualizovat řízení rizik ve vaší organizaci a posílit svůj proces SOC 2. Tím prokážete, že závazek chránit data, zmírňovat rizika a udržovat krok s trendy vám není lhostejný. Zlepšení zprávy SOC 2 stanoví důvěru, která je pro vaše hospodářské výsledky zásadní a může se stát konkurenčním rozdílem při uzavírání nových obchodů. 

Většina organizací zná SOC 2, což je minimální zabezpečení požadavek pro organizace poskytující služby a zpracovávající a nebo ukládající data zákazníků v cloudu. Zaměřuje se na zabezpečení a ochranu dat zákazníků v pěti kategoriích, které jsou podrobně rozebrány v sekci SOC 2.

SOC 2+ poskytuje plnohodnotnou implementaci několika rámců, kdy dochází k významnému překrývání mezi SOC 2 TSC a kritérii ISO 27001, což klientovi umožňuje dosáhnout vyšší efektivity. SOC 2 + obsahuje také několik přidaných kritérií:  

  • ISO 27001 - Specifikuje požadavky pro vytvoření, zavedení, udržování a neustálého zlepšování informačního systému a systému řízení bezpečnosti v rámci kontextu organizace.
  • HITRUST - Poskytuje standardy pro všechny fáze přenosu a uchovávání informací o zdravotním stavu, které pomáhají zajistit integritu a důvěrnost.
  • NIST - Rámec NIST se zaměřuje na zlepšení kybernetické bezpečnosti kritické infrastruktury.
  • Cloud Controls Matrix - Cloud Control Matice je konkrétně navržena tak, aby poskytovala základní zásady zabezpečení, kterými se mají poskytovatelé a potenciální klienti cloudových služeb řídit.

Zpráva Service Organization Control 3 (SOC 3) uvádí informace týkající se vnitřních kontrol organizace služeb v oblasti bezpečnosti, dostupnosti, integrity zpracování, důvěrnosti a ochrany osobních údajů. Na těchto pět oblastí se zaměřují zásady a kritéria AICPA pro důvěryhodné služby.  

Zpráva SOC 3 obsahuje stejné informace jako zpráva SOC 2. Hlavní rozdíl mezi nimi spočívá v tom, že zpráva SOC 3 je určena široké veřejnosti. Tyto zprávy jsou kratší a neobsahují podrobnosti jako zpráva SOC 2, která je distribuována pouze určeným osobám zúčastněných stran a zpravidla na základě podepsaného NDA. Vzhledem k jejich obecnějšímu charakteru mohou být zprávy SOC 3 otevřeně sdíleny a zveřejněny na webových stránkách společnosti s pečetí označující jejich soulad. 

Hlavní kontaktní osoby

Kubíček

Tomáš Kubíček

Partner, Digital Services • Advisory
View bio
Martin Hořický

Martin Hořický

Partner • Digital Services
View bio

Články týkající se auditu