Ověřování kontrol v servisních organizacích
Zprávy o kontrolách v servisních organizacích (Service Organization Controls Reporting, SOCR) přináší hodnotu jak servisním organizacím, tak jejich zákazníkům, kteří chtějí mít jistotu, že kontrolní prostředí poskytovatelů splňuje celosvětově uznávané standardy.
Tým
EY patří v oblasti SOCR k nejvýznamnějším auditorům na globálním trhu. Každoročně pro více než 900 klientů z celého světa vydáváme přes 3 000 ověřovacích zpráv. S klienty v této oblasti spolupracujeme již od roku 1993 a pomáháme jim pochopit přínos, který kvalitní prověrky kontrol v servisních organizacích mají. Pokud jde o jednotlivá odvětví, jsme jedničkou pro klienty ze sektoru technologií, finančních služeb a zdravotní péče. Ověřovací zprávy zpracováváme pro bezmála polovinu největších globálních technologických společností a pro třetinu zdravotnických společností z žebříčku Russell 3000. Kromě toho spolupracujeme s téměř všemi správci aktiv z globální „top 25“.
Všechny tyto zkušenosti využíváme k tomu, abychom firmám pomohli se vypořádat se stále složitějším a rychle se měnícím prostředím. Jak zákazníci, tak regulační orgány proto vyžadují podstatně větší míru jistoty v oblastech, jako je ochrana osobních údajů nebo bezpečnost dat obecně.
A platí to i obráceně – management si většinou velmi dobře uvědomuje, že je jeho společnost stále více závislá na bezproblémovém fungování dodavatelů a ostatních obchodních partnerů. A požaduje od nich ujištění, že účinně řídí rizika, jimž jsou vystaveni, aby mohli spolehlivě fungovat i v budoucnu.
Společnosti zapojené do dodavatelského řetězce proto musí být dnes v mnohem větší míře připraveny předkládat ověřovací zprávy zpracované nezávislým auditorem, jimiž ostatním stranám doloží, že účinně řídí všechna rizika. Efektivními nástroji, které posilují důvěru mezi obchodními partnery, jsou právě zprávy SOCR, které poskytují nezávislé ujištění o tom, zda jsou kontroly v servisní organizaci navrženy tak, aby pokrývaly všechna klíčová rizika, a zda účinně fungují.
Podle zkušeností našich klientů jsou tyto nezávislé ověřovací zprávy přínosem především v následujících oblastech:
- posilují důvěru stávajících zákazníků
- lze jimi doložit kvalitu vnitřního kontrolního systému při podávání nabídky, mimo jiné posilují důvěryhodnost startupů usilujících o zakázku od velkých společností
- stačí jeden nezávislý audit, místo aby si každý zákazník dělal svůj vlastní
- je možné se nejprve zaměřit na klíčové kontroly a následně se zabývat i dalšími kontrolními činnostmi
EY používá pro provádění těchto ověřovacích zakázek širokou škálu metod vycházejících z odvětvových standardů, především:
- SOC 1 / ISAE 3402 pro procesy týkající se účetního výkaznictví
- SOC 2 / ISAE 3000 pro ostatní procesy, například pro procesy a kontroly v oblasti ochrany osobních údajů a GDPR
- SOC pro kyberbezpečnost
- SOC pro dodavatelské řetězce
- ISO 27001 pro certifikaci systému řízení bezpečnosti informací
Nezávislé ověřovací zakázky provádíme ve veřejném i soukromém sektoru, našimi klienty jsou například společnosti z následujících odvětví:
- firmy zajišťující outsourcing IT, včetně poskytovatelů cloudových služeb a SAAS aplikací (Software as a Service)
- firmy zajišťující outsourcing podnikových procesů (např. zpracování mzdové agendy a financí)
- telekomunikační společnosti
- společnosti zabývající se správou aktiv
- správci penzijních fondů
- společnosti zabývající se poskytováním zdravotní péče
- správci nemovitostí
- distribuční společnosti