As operações de tercerização não transferem o risco associado a este processo. A organização que subcontrata (entidade utilizadora) continua a ser responsável pela governação, gestão de riscos e conformidade dos processos/operações agora geridos pelo seu prestador de serviços. Os reguladores e os organismos da indústria estão concentrados em abordar os riscos decorrentes destas mudanças. Neste contexto, os prestadores de serviços (organizações de serviços) constroem confiança nos serviços executados e nos controlos associados através de relatórios de controlos do sistema e da organização (SOC).

A Deloitte oferece um diverso conjunto de serviços third-party assurance e também auxilia os clientes na selecção da opção de third-party reporting mais adequada:

• Assurance related reporting é realizado para providenciar um relatório independente sobre o ambiente de controlo interno das entidades utilizadoras para uso pela administração das organizações de serviços, entidades utilizadoras e/ou seus auditores.
  • Assurance over financial reporting — SOC 1 reporta sobre controlos que impactam o reporting financeiro das entidades utilizadoras. Normalmente realizado sob o padrão SSAE18 (emitido pela AICPA) e ISAE3402 (emitido pela IAASB).
  • Assurance over operations — ISAE3000, SOC 2, SOC 3 e relatórios SOC personalizados.
    • ISAE 3000 — Report de assurance sobre o processamento não financeiro para critérios definidos pela entidade e não padrão: controlos internos, sustentabilidade, cumprimento de leis/regulamentos, outros requisitos.
    • SOC 2 report — Report de assurance sobre processamento não financeiro assente em um ou mais Trust Service Principles, que são a segurança, a disponibilidade, a integridade de processamento, a confidencialidade e a privacidade.
    • SOC 3 report — Relatório público curto que pode ser usado para fins de marketing em processamento não financeiro com base em um ou mais Trust Service Principles.
    • Customised SOC reports para atender a requisitos específicos do sector ou do cliente, como SOC para cadeia de abastecimento, reports SOC 2+ para padrões industriais aplicáveis como NIST, ISO, CSA, GDPR, CMMC, FedRAMP e/ou outros.
• Factual reporting sobre descobertas/observações como parte de uma avaliação.
  
  • Agreed-upon procedures (AUP) report — Relatório de conclusões factuais, com base em procedimentos específicos e previamente acordados realizados sobre um “assunto” ou uma “afirmação”. Os engagements AUP são normalmente realizados utilizando a norma ISRS 4400 ou SSAE 19.
  • Readiness assessment — Avaliações de prontidão para explorar a preparação das empresas para enfrentar riscos ou necessidades associadas aos seus programas de prestadores de serviços terceirizados.

A avaliação dos controlos de TI realizada no âmbito dos programas de controlos internos das organizações é fundamental para identificar e garantir a resposta dos clientes aos riscos decorrentes da tecnologia da informação e do ecossistema digital em que operam.

A Deloitte pode apoiar os clientes em avaliações de riscos de TI e na realização de análises de design e eficácia operacional para controlos gerais de TI e controlos automatizados em vários ERPs e aplicações personalizadas. Dependendo dos requisitos específicos do cliente, isto também inclui revisões de migração de dados, revisões de controlos de interface, acesso e garantia de segregação funcional.

As funções de controladoria, tecnologia da informação e segurança de uma organização precisam ser inteligentes em termos de risco para lidar com os riscos decorrentes das mudanças tecnológicas.

A equipa de especialistas em risco de TI da Deloitte apoia os clientes na melhoria dos processos e controlos de TI, para identificar, compreender e implementar eficazmente metodologias e processos de controlos internos relevantes.

• Define — Identificar riscos relevantes e construir uma estrutura de controlos de TI para atender aos requisitos de conformidade internos e externos, por conta de mudanças de processos, aplicação de alterações ou melhorias ERP e implementação BOT.
• Optimise — Determinar a viabilidade da padronização dos controlos de TI, racionalização dos controlos, melhor uso/aproveitamento de controlos automatizados através do uso total da funcionalidade padrão do sistema, recomendar medidas de remediação eficazes com base na experiência da indústria e do sector para as lacunas identificadas.
• Embed — Desenvolver e oferecer programas de formação sobre riscos e controlos de TI, criação de procedimentos de políticas de TI, suporte para remediação de controlos, suporte a PMEs para atender a requisitos específicos do sector ou de tecnologia/ferramenta.