Attestation & Certification (ATC)

Risikomanagement

Mit einer zunehmend komplexeren Organisationslandschaft steigen auch die Anforderungen an die Sicherheit von Unternehmen entlang der gesamten Lieferkette. Wir helfen Ihrem Unternehmen dabei, Vertrauen bei Partnern aufzubauen – durch eine unabhängige Beurteilung Ihres internen Kontrollsystems.

So unterstützen wir Sie

Unternehmen stehen vor immer größeren Herausforderungen in einer immer komplexer werdenden Organisationslandschaft, die sich in beispiellosem Tempo ändert. Kunden und Aufsichtsbehörden suchen nach mehr Absicherung bspw. in Bereichen wie Datenschutz und IT-Sicherheit und erwarten, dass das Unternehmensmanagement hier Antworten geben kann. Das Management erkennt seinerseits die zunehmende Abhängigkeit von seinen Lieferanten und Partnern und will sichergehen, dass diese Organisationen ihren Risiken mit einem effektiven Kontrollsystem begegnen.

All dies führt zu erhöhten Anforderungen an die unabhängige Sicherheit von Unternehmen in der gesamten Lieferkette, um alle Parteien davon zu überzeugen, dass Risiken effektiv gemanagt werden. Unser Team hilft Ihrem Unternehmen dabei, dieses Vertrauen bei Ihren Partnern aufzubauen, indem es eine unabhängige Meinung darüber abgibt, inwieweit Ihr internes Kontrollsystem auf die Hauptrisiken von ausgelagerten Diensten und Prozessen ausgerichtet ist und ob es effektiv funktioniert.

Wir helfen Ihnen bei der Zertifizierung nach gängigen Standards und Rahmenwerken und prüfen, inwieweit neu etablierte Prozesse und Kontrollen effektiv Ihre Geschäftsziele als Dienstleister unterstützen. So schaffen wir für Ihre Kunden eine Vertrauensbasis in Ihre Systeme, (ausgelagerten) Prozesse und etablierten Kontrollen durch eine unabhängige Berichterstattung.

Unsere Services im Überblick: 

  • Assurance für das Financial Reporting (ISAE3402 / PS 951)

    An Dienstleister ausgelagerte Services sind oftmals relevant für den Jahresabschluss und werden von Dienstleistern in eigener Verantwortung und gegenüber deren Kunden als „Block-Box“ erbracht. Dennoch benötigen auslagernde Unternehmen belastbare Nachweise, ob sie sich auf die erbrachten Services verlassen können und die Risiken ausreichend berücksichtigt sind.

    Was EY für Sie tun kann

    EY führt weltweit Beratungen und Prüfungen der Angemessenheit und Wirksamkeit von Kontrollen durch. Ausgehend von unserem Prüfungsansatz, der die Erarbeitung eines transparenten Kontrollsets, Prüfungsplanes und Prüfungsberichtes vorsieht, erhalten Sie detaillierte Empfehlungen für die gezielte Verbesserungsvorschläge für Ihre Prozesse. Unsere Branchenexperten verfügen über Berufs- und Projekterfahrung innerhalb verschiedenster Sektoren. Unsere Kenntnisse in den fachlichen als auch technischen Gegebenheiten heben erhebliche Synergien und ermöglichen eine effiziente Ableitung und Umsetzung geforderter Maßnahmen.

    ISAE 3402 / PS 951 Prüfung: Wir führen Prüfungen gemäß relevanter Prüfstandards wie ISAE 3402 & PS 951 für Sie durch und erstellen Prüfberichte, die als Compliance-Nachweis für Kunden dienen. Bei multiplen parallel laufenden Prüfungen hat sich unser Ansatz einer integrierten Prüfung bei unseren Mandanten etabliert. So können aus einer Prüfung mehrere verschiedenen Prüfberichte und sogar Zertifikate hervorgehen. Beispielweise kann eine Kombination aus ISAE 3402, SOC 2, C5 und ISO 27001 in einer einzelnen Prüfung abgehandelt werden.

    ISAE 3402 / PS 951 Consulting: Wir unterstützen unsere Mandanten bei der Identifizierung relevanter Prüfstandards, Systemgrenzen, Kundenanforderungen und Risiken in Bezug auf Produkt- und Servicebereitstellung für eine passgenaue individuell zugeschnittene Risikoanalyse. Ferner unterstützen wir Sie bei der Definition von Kriterien und Kontrollzielen, die auf den bereitgestellten Service zugeschnitten sind und integrieren diese in Ihre Unternehmensprozesslandschaft. Bei Ressourcenengpässen agieren wir als Ihre verlängerte Werkbank und planen, verwalten und schließen externe ISAE 3402 / PS 951 Prüfungen für Sie ab. Darüber hinaus unterstützen wir Sie bei der Bewertung von Kundenverträgen auf Compliance- und Serviceverpflichtungen sowie bei der Berichterstattung von Serviceorganisationen.

  • Belastbarer Nachweis über Sicherheit, Verfügbarkeit, Vertraulichkeit, Integrität und Datenschutz (SOC 2)

    IT-Services werden zahlreich und umfänglich an Dienstleister ausgelagert, doch werden die zugesagten Qualitäten in Bezug auf Sicherheit, Verfügbarkeit, Vertraulichkeit, Integrität und Datenschutz auch eingehalten? 

    SOC 2 Berichte (Service Organization Controls Report) dokumentieren die tatsächliche Einhaltung der zugesagten Servicequalitäten und relevanten gesetzlichen Vorgaben – und das in einer Tiefe, die ausreichend für Investitionsentscheidungen ist.

    Was EY für Sie tun kann

    EY hat langjährige und umfassende Erfahrung in der Durchführung von SOC 2-Prüfungen im nationalen und internationalen Umfeld. Daneben helfen wir Ihnen bei der Vorbereitung von SOC-2-Prüfungen mittels SOC 2-Readiness-Assessments und beim Aufbau und bei der Implementierung von geeigneten Kontrollen.

    SOC 2-Berichte stellen eine sehr gute Grundlage dar, um Ihre Compliance auch im regulatorischen Umfeld zu demonstrieren. Aufbauend auf den durchgeführten Prüfungshandlungen für einen SOC 2-Bericht können wir für Sie zu Marketingzwecken einen SOC 3-Bericht erstellen, den Sie zum Beispiel auf Ihrer Website publizieren können.

    SOC 2 Prüfung: Wir führen Prüfungen gemäß der relevanten Standards für Sie durch und erstellen Prüfberichte, die als Compliance-Nachweis für Kunden dienen. Bei multiplen parallel laufenden Prüfungen hat sich unser Ansatz einer integrierten Prüfung bei unseren Mandanten etabliert. So können aus einer Prüfung mehrere verschiedenen Prüfberichte und sogar Zertifikate hervorgehen. Beispielweise kann eine Kombination aus ISAE 3402, SOC 2, C5 und ISO 27001 in einer einzelnen Prüfung abgehandelt werden.

    SOC 2 Consulting: Wir unterstützen unsere Mandanten bei der Identifizierung und Interpretation der vorgegebenen Kriterien, Festlegung der Systemgrenzen, Identifizierung der Kundenanforderungen und Risiken in Bezug auf Produkt- und Servicebereitstellung und damit bei der Erstellung einer individuell zugeschnittenen Risikoanalyse. Ferner unterstützen wir Sie bei der passgenauen Anwendung der vorgegebenen Kriterien auf den bereitgestellten Service und bei der Integration ggf. Notwendiger Umsetzungsmaßnahmen in Ihre Unternehmensprozesslandschaft. Bei Ressourcenengpässen agieren wir als Ihre verlängerte Werkbank und planen, verwalten und schließen externe SOC 2 Prüfungen für Sie ab. Darüber hinaus unterstützen wir Sie bei der Bewertung von Kundenverträgen auf Compliance- und Serviceverpflichtungen sowie bei der Berichterstattung von Serviceorganisationen.

  • Supply Chain Management Assurance

    Viele Unternehmen beziehen Vor- oder Zwischenprodukte von Lieferanten oder nutzen Logistikunternehmen, um ihre Güter zu transportieren. Hierdurch werden nicht nur die zeitlichen Abhängigkeiten in der Produktionskette komplexer. Da die beziehenden Unternehmen keine Kontrolle über die Produktion ihrer Lieferanten haben und damit die Qualität von Vor- und Zwischenprodukten nur eingeschränkt bewerten können, sind sie z. B. zusätzlichen Qualitätsrisiken ausgesetzt, die in teuren Rückrufaktionen und nachfolgend durchgesetzten Preisabschlägen resultieren (das ökonomische Zitronenproblem).

    Auch das in Diskussion stehende Lieferkettengesetz verlangt von den Unternehmen, sich entlang der gesamten Lieferkette an Menschenrechte und Umweltstandards zu halten.

    Je komplexer eine Lieferkette, desto grösser deren Risiken. Auch mit zunehmender digitaler Vernetzung steigen die Risiken von globalen Lieferketten. Unternehmen mit internationalen Produktions- und Vertriebsstrukturen werden dem Anspruch nach mehr Transparenz in der Lieferkette gerecht werden müssen. Das American Institute of Certified Public Accountants (AICPA) hat aus diesem Grund einen Berichtsstandard für das Risikomanagement von Lieferketten vorgestellt.

    Was EY für Sie tun kann

    SOC for Supply Chain (SOC für die Lieferkette) ist eine Berichterstattung über eine Untersuchung von Kontrollen, die für Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und / oder Datenschutz in einem Produktions-, Fertigungs- oder Vertriebssystem relevant sind.

    Mithilfe eines von EY erstellten SOC for Supply Chain Prüfberichts, kann ein Unternehmen:

    • belegen, dass Prozesse und interne Kontrollmechanismen eingeführt wurden, die die Lieferkettenrisiken feststellen, einschätzen, adressieren und verringern.
    • auf die unabhängigen Anfragen von aktuellen oder zukünftigen Kunden antworten und vermeiden, dass es selbst oder ein Lieferkettenpartner mehrfach geprüft werden muss,
    • vorgeschriebene Nachweispflichten im Rahmen des geplanten Lieferkettengesetzes nachkommen,
    • beweisen, dass Produkte und Informationen innerhalb der Lieferkette sicher und verfügbar sind, und
    • das Vertrauen von Lieferkettenpartnern stärken.

    EY kann Sie außerdem dabei unterstützen, die Einhaltung bestimmter Vorgaben in regulierten Sektoren (z. B. in der Medikamentenherstellung) nachzuweisen.

  • Europäische-Datenschutz-Grundverordnung (DSGVO)-Assurance

    Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung der Europäischen Union, mit der die Regeln zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht werden. Sie gilt nicht nur für Unternehmen, die geschäftsmäßig Daten verarbeiten, sondern grundsätzlich für alle Unternehmen. Verstöße gegen diese Verordnung werden durch Aufsichtsbehörden mit hohen Geldbußen sanktioniert.

    Was EY für Sie tun kann

    Unternehmen sollten nicht nur selbst wissen, wie konform ihre Verarbeitungsprozesse von personenbezogenen Daten mit den datenschutzrechtlichen Vorgaben sind. Diese Informationen werden teilweise auch von Geschäftspartnern, Aufsichtsbehörden, Versicherungen oder anderen Stakeholdern eingefordert. Insbesondere im Fall von Datenlecks ist die Ausrichtung der Geschäftsprozesse an rechtlichen Vorgaben und deren grundsätzliche Einhaltung ein Kriterium für die Festlegung von Strafen.

    Als weltweiter Marktführer im Bereich Third Party Assurance haben wir jahrelange Erfahrung darin, die Compliance von Prozessen bzw. eines internen Kontrollumfelds mit Vorgaben wie der DSGVO zu bewerten und deren Einhaltung anhand akzeptierter Standards zu untersuchen. Dies umfasst auch und insbesondere Fragestellungen bei IT-gestützten Verfahren, wie z. B. Privacy by Design.

    Die Ergebnisse der Untersuchung werden nicht nur für Ihre internen Zwecke detailliert aufbereitet, sondern können in standardisierten Berichtsformaten zusammengefasst werden, die Sie an Geschäftspartner, Aufsichtsbehörden oder andere Stakeholder zum Nachweis der Compliance weitergeben können.

  • NIS2 (UmsuCG) und KRITIS-Assurance

    Mit dem IT-Sicherheitsgesetz von 2016 wurden Betreiber kritischer Infrastrukturen gesetzlich zur Informationssicherheit ihrer maßgeblichen Systeme, Komponenten und Prozesse verpflichtet. EY begleitet Unternehmen bei der Erfüllung dieser Anforderungen durch Pre-Assessments sowie Audits und unterstützt Sie in der Nachweispflicht gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI).

    Die im Jahr 2023 veröffentlichte NIS2 Direktive erweitert die Gesetzgebung durch einen ganzheitlichen Ansatz, der über den Anlagenbezug hinaus die gesamte Infrastruktur eines Unternehmens bewertet und Unternehmen verpflichtet ihre Netzwerk- und Informationssysteme, durch angemessene und effektive Risikomanagementmaßnahmen, zu schützen. EY begleitet Unternehmen bei der Bewertung ihrer Betroffenheit und Readiness gegenüber den NIS2 Anforderungen.

    Was EY für Sie tun kann

    KRITIS:

    Betreiber kritischer Infrastrukturen sowie Unternehmen, die von NIS2 betroffen sind oder Unternehmen, die sich mehr Transparenz über den Stand der Informationssicherheit ihrer eigenen kritischen Infrastruktur wünschen, finden mit EY einen Partner, der über langjährige Erfahrung im Bereich IT-Audit und Informationssicherheit sowie die notwendige Branchenkompetenz verfügt.

    Unsere Spezialisten führen bereits seit Beginn der gesetzlichen Nachweispflicht KRITIS-Prüfungen und -Bewertungen für Branchenführer in den Sektoren IT & Telekommunikation, Transport & Verkehr, Energie, Gesundheit sowie Finanzen & Versicherungen durch.

    Assurance-Audit für KRITIS-Betreiber: Das Audit für KRITIS-Betreiber dient der Erfüllung der gesetzlichen Nachweispflicht gemäß BSIG §8a (3) (zukünftig §39Abs.1 NIS2UmSuCG). Neben der Erfüllung dieser Nachweispflicht durch die Erstellung der notwendigen BSI-Formulare erhalten Sie einen Auditbericht, der Ihnen einen detaillierten Einblick über den Grad der Informationssicherheit für ihre betriebene kritische Infrastruktur bietet.

    Pre-Assessment für KRITIS-Betreiber: Zur Vorbereitung auf ein KRITIS-Audit oder bei der erstmaligen Überschreitung des relevanten Schwellenwerts liefert das Pre-Assessment gezielt Verbesserungspotenziale im Bereich der Informationssicherheit Ihrer kritischen Systeme.

    KRITIS Unterstützung: Das NIS2UmsuCG erweitert den Kreis der Unternehmen in mehr Sektoren, welche Anforderungen an die IT-Sicherheit und Meldepflichten von IT-Sicherheitsvorfällen umsetzten müssen. EY unterstützt Sie bei einer ersten Einschätzung der Betroffenheit und begleitet Sie auf dem Weg zur Erfüllung der Anforderungen.

    KRITIS-Check für alle Unternehmen: Auch Unternehmen außerhalb der KRITIS-Relevanz betreiben IT-Systeme, die als kritische Infrastruktur für den erfolgreichen Fortbestand des Unternehmens selbst gelten. EY liefert Ihnen die maximale Transparenz der Reife Ihrer Informationssicherheit, die Sie benötigen, um das digitale Herz Ihres Unternehmens optimal zu schützen.

    NIS2:

    NIS2 Betroffenheitsanalyse: Unternehmen müssen definierte Kriterien zur Größe und operierenden Sektor erfüllen, um von NIS2 betroffen zu sein. EY unterstützt Sie bei einer ersten Einschätzung und sofern gewünscht einer rechtlichen Beratung zur Betroffenheit und begleitet Sie auf dem Weg zur Erfüllung der Anforderungen.

    NIS2 Reconnaissance und Gap Analyse: Zur Erfüllung der Anforderungen führt EY eine Analyse der Anwendungsbereiche und Auswertung der vorgelegten Nachweise durch, um gezielte Verbesserungspotenziale zur Erfüllung der NIS2 Anforderungen zu identifizieren.

    NIS2 Remediation und Monitoring Support: EY unterstützt sie direkt bei der Implementierung von Maßnahmen für die Konformität mit NIS2 oder begleitet Sie während der Umsetzungsphase mit projektbegleitenden Prüfungen mit regelmäßigen Statusberichten zum NIS2 Erfüllungsstand.

    NIS2 Assurance: Um die Konformität mit der NIS2-Richtlinie zu gewährleisten, unterstützen wir Sie durch ein Readiness Assessment, einer Attestierung und Zertifizierung.

    NIS2 Training & Workshop: Um Ihr Unternehmen auf die Anforderungen von NIS2 vorzubereiten, bietet EY Trainings und Workshops zur Fortbildung von Mitarbeitern und Executives an.

  • BSI Cloud Computing Compliance Criteria Catalogue (BSI C5)

    Das Angebot von und die Bedeutung von Diensten in der Cloud nimmt kontinuierlich zu. Allerdings ist für Nutzer von Cloud-Diensten nicht transparent, wie „sicher“ und zuverlässig der Dienst zur Verfügung gestellt wird.

    Mit dem Cloud Computing Compliance Criteria Catalogue (C5) hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Kriterienkatalog erstellt, der Mindestanforderungen an die Informationssicherheit für Cloud-Dienste beschreibt. Das Ziel ist eine transparente Darstellung der Informationssicherheit eines Cloud-Dienstes auf Basis einer standardisierten Prüfung.

    Was EY für Sie tun kann

    Mithilfe eines C5-Prüfungsberichts kann die Einhaltung der vom BSI definierten Mindestanforderungen an die Informationssicherheit für den erbrachten Cloud-Dienst nachgewiesen werden.

    C5 Prüfung: Wir führen Prüfungen gemäß des C5-Katalogs des BSI für Sie durch und erstellen Prüfberichte, die als Compliance-Nachweis für Kunden dienen oder zur Konformität mit neuen gesetzlichen Regelungen (bspw. Digital-Gesetz). Bei multiplen parallel laufenden Prüfungen hat sich unser Ansatz einer integrierten Prüfung bei unseren Mandanten etabliert. So können aus einer Prüfung mehrere verschiedenen Prüfberichte und sogar Zertifikate hervorgehen. Beispielweise kann eine Kombination aus ISAE 3402, SOC2, C5 und ISO27001 in einer einzelnen Prüfung abgehandelt werden.

    C5 Consulting: Wir unterstützen unsere Mandanten bei der Identifizierung relevanter Prüfstandards, Systemgrenzen, Kundenanforderungen und Risiken in Bezug auf Produkt- und Servicebereitstellung für eine passgenaue individuell zugeschnittene Risikoanalyse. Ferner unterstützen wir Sie bei der Definition von Kriterien und Kontrollzielen, die auf den bereitgestellten Service zugeschnitten sind und integrieren diese in Ihre Unternehmensprozesslandschaft. Bei Ressourcenengpässen agieren wir als Ihre verlängerte Werkbank und planen, verwalten und schließen externe C5 Prüfungen für Sie ab. Darüber hinaus unterstützen wir Sie bei der Bewertung von Kundenverträgen auf Compliance- und Serviceverpflichtungen sowie bei der Berichterstattung von Serviceorganisationen.

  • Trusted Information Security Assessment Exchange (TISAX)

    Der Verband der Automobilindustrie e. V. (VDA) hat einen harmonisierten und international anerkannten bzw. geforderten Ansatz zur Beurteilung von Information-Security-Management-Systemen (ISMS) in der automobilen Lieferantenkette entwickelt und etabliert. Seit 2016 ist ENX als Governing Body für TISAX tätig und entwickelt den TISAX-Prozess sowie anzuwendende Kriterien in enger Zusammenarbeit mit dem VDA und den sogenannten Assessment-Providern weiter. EY ist die erste Wirtschaftsprüfungsgesellschaft, die als offizieller TISAX-Assessment-Provider zugelassen wurde. Seitdem begleiten wir mittelständische und große Lieferanten für die Automobilindustrie in der Vorbereitung auf TISAX-Assessments oder als TISAX-Assessment-Provider.

    Die Anforderung von Erstausrüstern (OEM) zum Nachweis angemessener ISMS-Reife kann verpflichtenden Charakter annehmen und zum geschäftskritischen Kriterium für Lieferanten werden. Seit 2018 wird TISAX auch von Automobilverbänden anderer Länder sowie in anderen Industrien anerkennend wahrgenommen – die weitere Verbreitung des Ansatzes ist absehbar.

    Was EY für Sie tun kann

    Lieferanten für die Automobilindustrie sind gehalten, eine der Schutzbedarfsanalyse entsprechende Governance und Informationssicherheit über ihren definierten Verantwortungsbereich zu etablieren und nachzuweisen.

    Das globale EY-Netzwerk stellt ein enormes Asset bei der weltweiten Erbringung unserer TISAX-Services dar. Gemeinsam führen wir TISAX-Assessment bzw. TISAX Consulting auf der ganzen Welt in allen zuliefernden Industrien durch – vom produzierenden Gewerbe über Engineering und Media bis zu IT-Dienstleistungen.

    TISAX-Readiness-Support: Zur Vorbereitung auf ein TISAX-Assessment sollte der ISMS-Gedanke auf allen Ebenen hinreichend etabliert sein. Wir unterstützen Mandanten beispielsweise mit spezifischen Workshops, TISAX-Wissenstransfer oder durch ein Readiness- oder Gap-Assessment hinsichtlich des Aufbaus und der Implementierung des jeweiligen ISMS. Unter Wahrung der prüferischen Unabhängigkeit können wir Mandanten TISAX-Coaching anbieten und bei der Qualitätssicherung helfen.

    TISAX-Assessments: Als TISAX-Prüfer begleiten wir Mandanten von der erforderlichen Registrierung über die Definition des Umfangs bis hin zum eigentlichen Assessment und, sofern erforderlich, weiter bis zum Abschluss von Nachprüfungen. Die Gültigkeit eines TISAX-Labels beträgt drei Jahre.

    TISAX-Consulting: OEMs und Tier1-Lieferanten haben ebenfalls Unterstützungsbedarf bei der internen Implementierung von TISAX. Angefangen von der Schutzbedarfsanalyse des Business Owner über Governance & Legal bis zum Einkauf werden Prozesse hinsichtlich TISAX-Kriterien analysiert, angepasst und intern sowie extern kommuniziert.

    Unsere Branchenkenntnisse im Automobilbereich, unsere langjährige TISAX-Erfahrung und der interdisziplinäre Beratungsansatz kombiniert mit unserem globalen Netzwerk haben uns zum weltweit anerkannten TISAX-Berater gemacht.

  • Identity & Access Management Assurance and Compliance Advisory (IAM)

    Ein wesentliches Kernelement der Informationssicherheit sowie des internen Kontrollsystems (IKS) von Organisationen stellt der sorgfältige und effektive Umgang mit digitalen Identitäten, Accounts, Rollen und Berechtigungen dar. Mitarbeitende, Dienstleister, Partner, Kunden und technische Identitäten sollen zur richtigen Zeit den richten Zugriff mit den richtigen Funktionsumfängen auf die richtigen Daten und Informationen des Unternehmens erhalten. Gemäß geltender Sparsamkeitsgrundsätze („Need-to-Know-Prinzip“ und „Least-Privilege-Prinzip“) und Funktionstrennungserfordernissen sind zu weitreichende Berechtigungen für Identitäten insbesondere vor dem Hintergrund der Informationssicherheit, aber auch gemäß geltender regulatorischer, aufsichtsrechtlicher sowie interner Vorgaben zu vermeiden.

    Der konforme, kontrollierte und prozesstreue Umgang mit (digitalen) Identitäten im Zuge ihres Lebenszyklus (Joiner, Mover, Leaver) sowie die bedarfsgerechte Vergabe von Zugängen (Authentisierung) und Zugriffen (Autorisierung) auf IT-Assets (Systeme, Anwendungen, IT-Infrastrukturkomponenten) sind somit die wesentlichen Bestandteile eines effektiven Identity & Access Managements (IAM).

    IAM-Methoden, Prozesse und Kontrollen zu designen, in der unternehmensspezifischen Governance zu verankern und in der Folge zielführend, effektiv und effizient umzusetzen, kann Einfluss auf die gesamte Organisation haben.

    Was EY für Sie tun kann

    Als vertrauensvoller Partner mit marktführendem Know-How im Bereich der Identity & Access Management Methoden, Prozesse und Kontrollen unterstützt EY Sie bei dem Aufsatz oder der Weiterentwicklung Ihrer IAM Governance. Hierbei nutzen wir unsere umfassende Erfahrung aus dem Umfeld der Abschlussprüfungen und kombinieren diese mit unseren methodischen und regulatorischen Kenntnissen. Hierauf aufbauend unterstützen wir Sie bei der operativen Verankerung des Identity & Access Managements sowie verwandter Kontrolldisziplinen, wie einem Privileged Access Management PAM und der Verknüpfung mit einem ausgeprägtem Security Information and Event Management (SIEM).

    Hierbei behalten wir kontinuierlich die hausinternen Vorgaben und regulatorischen Anforderungen im Blick, priorisieren und integrieren alle Maßnahmen stets unter dem Aspekt der Risikoorientierung und haben ausnahmslos die Organisation und Ihre Mitarbeitenden im Fokus. Denn nur mit Akzeptanz eines jeden Einzelnen kann IAM nachhaltig im Unternehmen verankert werden. Diese Grundlage bringt das „Trust“ ins IAM!

  • Data Governance

    Daten sind die Grundlage und Treiber für die allermeisten Produkt- und Dienstleistungsinnovationen und ebenso essenziell für sämtliche internen Unternehmensprozesse.

    Mit dem exponentiellen Wachstum der Möglichkeiten von KI-Anwendungen wird der Wert von Daten nochmals signifikant zunehmen. Zum Beispiel benötigen KI-Systeme große Mengen an qualitativ hochwertigen Daten, um Muster zu erkennen, zu lernen und intelligente Entscheidungen zu treffen. Ohne Daten können KI-Modelle nicht trainiert, getestet und verbessert werden.

    Was EY für Sie tun kann

    Angesichts der essenziellen Bedeutung von Daten für Unternehmen ist es unser Ziel bei EY, Sie dabei zu unterstützen, das Potenzial Ihrer Datennutzung auszuschöpfen und gleichzeitig die damit verbundenen Risiken zu minimieren. Risiken wie die Verletzung von gesetzlichen Anforderungen oder der Verlust bzw. die Kompromittierung von Daten durch zunehmende Cyberangriffe können das Vertrauen in eine Organisation empfindlich schädigen. Sie können auch kostspielige Produktionsausfälle nach sich ziehen.

    Bei unserem ganzheitlichen Ansatz ziehen wir bei EY bei Bedarf die unterschiedlichen Fachexperten aus Bereichen wie EY Law, Technology Risk und Forensics zusammen und schaffen somit die rechtliche, technische und organisatorische Basis dafür, Daten innerhalb von Unternehmen und des digitalen Ökosystems korrekt, konsistent, sicher und gemäß gesetzlichen Vorschriften zu strukturieren. Ziel ist es, die Daten für diverse Anwendungsbereiche nutzbar zu machen. Diese reichen von der Grundlagenarbeit zur Einhaltung gesetzlicher Vorschriften – beispielsweise der neuen europäischen KI-Verordnung, der Datenschutz-Grundverordnung (DSGVO) oder der EU-Richtlinie zum Corporate Sustainability Reporting Directive – bis hin zur Beschleunigung digitaler Innovationen durch den Abbau von Datensilos.

    Mit einer effektiven Data Governance-Strategie können Organisationen:

    • Vertrauen in ihre Daten stärken: Gewährleisten Sie die Integrität und Zuverlässigkeit Ihrer Daten.
    • Risiken minimieren: Schützen Sie sich vor rechtlichen Konsequenzen und Cyberbedrohungen.
    • Wert maximieren: Nutzen Sie Ihre Datenbestände optimal, um wettbewerbsfähig zu bleiben und Innovationen voranzutreiben.

    Bei EY verstehen wir die Komplexität und die Herausforderungen, die mit der Verarbeitung von Daten einhergehen. Unsere Experten sind darauf spezialisiert, Ihnen eine maßgeschneiderte Data Governance-Strategie zu bieten, die Ihren spezifischen Bedürfnissen entspricht. Gemeinsam können wir sicherstellen, dass Ihre Daten nicht nur geschützt, sondern auch eine treibende Kraft für den Erfolg Ihres Unternehmens sind.

  • ESG Reporting

    Nach Umsetzung der EU-Richtlinie zur Nachhaltigkeitsberichterstattung von Unternehmen (Corporate Sustainability Reporting Directive (CSRD), werden auch kleine und mittelgroße Unternehmen verpflichtet sein, sich Nachhaltigkeitsziele zu setzen, eine Nachhaltigkeits­berichterstattung einzuführen und diese prüfen zu lassen. Der effiziente Umgang mit der Vielschichtigkeit und Komplexität dieser Berichterstattung erfordert einerseits den Einsatz von entsprechenden IT-Systemen, andererseits besteht insbesondere bei Scope 3 Emissionen eine Abhängigkeit von Daten, die von externen Unternehmen ggf. über Schnittstellen zur Verfügung gestellt werden.

    Was EY für Sie tun kann

    Da der Einsatz von IT-Systemen in der externen Berichterstattung gängige Praxis ist, führt EY seit vielen Jahren Prüfung von IT-Systemen im Zusammenhang mit Risiken für die externe Berichterstattung von Unternehmen durch. Neben der Erfahrung, welche Risiken durch den Einsatz IT Systemen vorhanden sind und wie diese effektiv mitigiert werden, unterstützt EY mit einem Team von Experten zahlreiche Unternehmen bei der Einführung einer Nachhaltigkeitsberichterstattung.

    Mit unseren Kenntnissen in diesem Umfeld können wir Sie dabei unterstützen, ein effektives Kontrollumfeld für IT-Systeme bezogen auf die Nachhaltigkeitsberichterstattung einzuführen, ein existierendes Umfeld zu verbessern oder dieses unabhängig zu überprüfen, um für interne Zwecke eine Einschätzung Ihres Status Quos zu erhalten

    Service Provider oder Unternehmen in der Supply Chain, die Daten an vor- oder nachgelagerte Unternehmen für deren Nachhaltigkeitsberichterstattung zuliefern müssen, können wir mit einschlägigen Compliance Berichten unterstützen, um die Korrektheit und Verlässlichkeit dieser Daten nachvollziehbar zu stärken.

  • Zertifizierungen

    Gerne zertifizieren wir Sie über unsere zentrale Zertifizierungsstelle – EY Certify Point – nach gängigen ISO-Standards wie Informationssicherheit (ISO27001), Qualität (ISO9001), IT Service Management (ISO20000), Business Continuity Management (ISO22301), Umweltmanagement (ISO14001) und AI-Management (ISO 42001).

Kontaktieren Sie uns

Neugierig geworden? Schreiben Sie uns.