Чому це важливо

Компанії, намагаючись зосередитися на ключових компетенціях, зменшити витрати та швидше адаптуватись до нових вимог ринку, все частіше віддають системи, бізнес-процеси та обробку даних на аутсорсинг. У результаті виникає необхідність моніторингу ефективності взаємодії з сервісними організаціями та управління ризиками, пов'язаними з аутсорсингом. Звіти SOC1, SOC2 і SOC3 покликані забезпечити достатній рівень впевненості у надійності контролів у сервісних організаціях.

Як ми можемо допомогти

KPMG має значні досвід та знання у виконанні SOC проектів. У нас є досвідчена команда, здатна забезпечити якісне виконання робіт та своєчасне надання звітів. Ми застосовуємо перевірений «підхід без сюрпризів», щоб виконувати свої зобов'язання вчасно, в рамках визначеного бюджету, при цьому залишаючись гнучкими до ваших потреб. Ми використовуємо підхід "раннього оповіщення" у випадку, якщо виявлили серйозні недоліки контролів, які можуть стати підставою надання аудиторського висновку із застереженнями.

Що ми робимо

• Проводимо оцінку готовності сервісних організацій до проходження атестаційних аудитів SOC, яка включає огляд поточного стану та надання високорівневих спостережень та рекомендацій щодо прогалин у контрольному середовищі, які можуть вплинути на успішність проходження атестаційного аудиту. 
• У відповідності до потреб клієнтів, ми проводимо атестаційні аудити для підготовки SOC 1, SOC 2 або SOC 3 звітів, спрямованих на надання достатнього рівня впевненості щодо контролів сервісних організацій. Вибір необхідного типу звіту залежить від цілей його використання:
  • Звіт SOC1 орієнтований на ризики та контролі за формуванням фінансової звітності. Зазначений звіт замовляється організаціями для задоволення вимог третіх сторін щодо аудиту їхнього ІТ-середовища. Звіт обмежується процесами та системами, які мають відношення до формування фінансової звітності, та призначений для організацій-користувачів послуг та їхніх аудиторів.
  • Мета SOC2 – зосередитися на контролях за операційною діяльністю, с фокусом на критеріях безпеки, доступності, конфіденційності, цілісності та/або приватності. Цей звіт може застосовуватися до будь-якого процесу або системи. Він призначений для користувачів, їхніх аудиторів та визначених у звіті сторін. Якщо ви постачальник послуг (наприклад, центр обробки даних, постачальник хмарних послуг, веб-хостингу, оператор зв'язку тощо), який збирає, зберігає, передає та використовує будь-які дані клієнта, цей звіт дозволить вашим клієнтам пересвідчитися у застосуванні належних заходів безпеки та захисті їхніх даних.
  • SOC3 – це короткий звіт з високорівневим оглядом інформації, представленої у звіті SOC2 без специфічних та конфіденційних даних про системи та контролі, який може бути розповсюджений без обмежень та демонструє дійсним та потенційним клієнтам достатній рівень контролів, що вимагаються звітом типу SOC2.

Що ви отримаєте

Сервісні організації мають можливість переконати отримувачів послуг у наявності відповідних контролів за належною обробкою та захистом інформації, точністю здійснення транзакцій тощо, що може надати перевагу над конкурентами. Незалежна перевірка операційної діяльності та систем, надання зворотного зв'язку та визначення слабких місць дозволяє отримати інформацію для покращення та раціоналізації процесів сервісних організацій.