Podpoříme vás v přípravě na atestační (SOC) audity a dle potřeby zajistíme samotný audit dle požadovaného standardu. Pomůžeme vám dosáhnout souladu s relevantními požadavky a zajistíme bezpečné a stabilní IT prostředí, které zvýší důvěryhodnost vaší společnosti.

Firmy stále častěji outsourcují systémy IT, procesy a data, aby snížily náklady, urychlily inovace a zaměřily se na klíčové kompetence. Tím zvyšují potřebu efektivního řízení rizik a dodavatelských vztahů. Zprávy SOC1, SOC2 a SOC3 prostřednictvím transparentního reportingu poskytují zákazníkům jistotu o fungování kontrol v servisních organizacích.

Společnosti, kterým jsme úspěšně pomohli, nejčastěji řešily tyto otázky a výzvy:

Jak nastavit interní IT kontroly pro dosažení jejich maximální účinnosti, splnitelnosti a efektivity

Jak podpořit důvěru klientů v naše produkty/služby

Je naše společnost připravena na SOC2 audit?

Jaké kontroly implementovat, abychom naplnili Trust Services Criteria

Co obnáší SOC audit? Kolik času zabere a jak jím úspěšně projít?

Různé typy SOC reportů (Type I, Type II assurance), jejich specifika

Jak nejlépe nastavit kontroly v souladu se standardem SOC2

Jak sepsat SOC report, nadefinovat a popsat interní kontroly

Nastavení roadmapy pro implementaci SOC kontrol

Dlouhodobá spolupráce v oblasti SOC auditů (SOC audit je zpravidla potřeba provádět periodicky a v průběhu let je možné dosahovat časových úspor)

„Point in time“ SOC report (Type I) na úrovni návrhu a implementace kontrol k určitému datu

„Period of time“ SOC report (Type II) na úrovni testování provozní spolehlivosti kontrol za určité období

Asistence s přípravou SOC reportu, návrhem a popisem kontrol

Příprava na SOC2 certifikaci („Readiness assessment“)

Revize kontrolního frameworku

Efektivní SOC1/SOC2/SOC3 audit

SOC1 audit dle ISAE3402

Provedli jsme audit obecných IT kontrol (GITC) a IT aplikačních kontrol (ITAC), které souvisí s finančním výkaznictvím. Testování zahrnovalo kontroly v systému spravovaném v České republice, ale prováděné kromě ČR i entitami několika zemí v CEE regionu, i mimo něj. Výsledný ISAE 3402 pokrýval testování ve všech dotčených zemí.

SOC2 audit dle ISAE3000

Provedli jsme SOC2 Type II audit, který zahrnoval testování návrhu, implementace i provozní efektivity příslušných kontrol. Pokryli jsme oblast IT bezpečnosti (common criteria), důvěrnosti, dostupnosti, procesní integrity a ochrany soukromí.

Revize připravenosti („readiness assessment“ or „diagnostic review“) na SOC2 audit

Při revizi připravenosti na SOC2 audit jsme v několika workshopech vysvětlili jednotlivé kontrolní cíle a požadavky pro plný scope Trust Services Criteria (kontroly v oblasti bezpečnosti, důvěrnosti, dostupnosti, procesní integrity a ochrany soukromí). Prostřednictvím rozhovorů a vyžádané dokumentace k implementovaným kontrolám jsme zhodnotili aktuální stav připravenosti. Klientovi jsme poskytli vzorové kontroly a diskutovali příklady jejich designu v jeho prostředí. Dále jsme zmapovali kontrolní cíle na standard ISO/IEC 27001. Po dodání návrhu kontrol ze strany klienta jsme provedli revizi a návrh změn. Připravili jsme zprávu pro vedení společnosti shrnující provedené kroky a diskutovaný harmonogram (roadmapu) následujících kroků.