Ověřovací služby v oblasti IT: Interní kontroly a dodržování předpisů

Naše služby se zaměřují na identifikaci a mitigaci rizik, která ovlivňují interní systémy, firemní procesy, aplikace, data i třetí strany. Prostřednictvím pokročilých analytických metod a našich vlastních nástrojů pomáháme posuzovat IT a kontrolní prostředí společností operujících v nejrůznějších sektorech. Využíváme mezinárodně uznávané rámce a standardy včetně ITIL, COBIT, ISO/IEC 27001 nebo COSO Internal Control. Na základě detailního zmapování současného stavu identifikujeme slabiny a mezery v oblastech IT bezpečnosti a řízení rizik a navrhneme praktická a realizovatelná řešení, která podporují odolnost a dlouhodobou udržitelnost vašeho IT prostředí.

Podporujeme budování a optimalizaci IT funkce a interního auditu – ať už formou spolupráce s vaším interním týmem nebo prostřednictvím outsourcingu s cílem posílit vnitřní kontroly, zvýšit efektivitu procesů a zajistit soulad s regulatorními požadavky a relevantními předpisy. Nabízíme komplexní hodnocení a poradenství v oblasti IT a interního auditu, včetně revize strategie a účelu funkcí nebo alokace zdrojů a využívaných technologií pro zajištění jejich maximální přidané hodnoty.

Jedním z nejúčinnějších způsobů, jak sdělit informace o řízení rizik a interních kontrolách, je zpráva vyplývající z auditu služeb, která zahrnuje IT, finanční a/nebo obchodní procesy. Mezi ně patří ISAE 3402 report, SSAE 18 report, SOC1, SOC2 nebo SOC3 reporty – všechny se liší z hlediska rozsahu hodnocení kontrol, stejně jako získání potřebné míry jistoty. Takové auditní zprávy mohou být vydány ke konkrétnímu datu nebo pokrývat určité období. Náš tým zpracovává všechny zmíněné zprávy a pomáhá klientům s výběrem té nejvhodnější pro jejich potřeby a maximalizaci efektivity nákladů i se správným načasováním.  Zajišťujeme také posouzení připravenosti na audit. Součástí je identifikace klíčových nedostatků a doporučení nápravných opatření, která umožní lépe naplnit požadavky příslušných standardů a optimalizovat celý proces.

Trusted Information Security Assessment Exchange (TISAX) je standard informační bezpečnosti vytvořený na míru potřebám automobilovému průmyslu, kde se během celého životního cyklu vytváří a vyměňuje obrovské množství informací napříč odvětvím – vychází z ISO 27001 a zároveň obsahuje specifické požadavky zaměřené na ochranu prototypů a na dodavatelský řetězec. V oblasti získávání ověření náš tým pomáhá se samoohodnocením a naplněním požadavků vycházejících z TISAX. 

Provádíme předběžné hodnocení na základě požadavků TISAX k identifikaci případných nedostatků. Na základě osvědčených postupů a našich praktických zkušeností s TISAX připravíme konkrétní akční plán pro jejich odstranění. Zároveň pomáháme klientům mitigovat zjištěné nedostatky, a to například prostřednictvím konzultací v oblastech řízení informační bezpečnosti, postupů pro hodnocení rizik nebo ochrany osobních údajů.

Bankovní údaje jsou jedny z nejdůležitějších informací, které je třeba chránit. Právě proto mají kybernetické útoky cílené na uživatele systému SWIFT (Společnosti pro celosvětovou mezibankovní finanční telekomunikaci) tak závažné dopady a jsou považovány za mimořádně nebezpečné. Díky našim zkušenostem s posuzováním, ověřováním a s implementací bezpečnostního rámce SWIFT vám můžeme zaručit, že výsledky našich aktivit budou splňovat všechna nezbytná kritéria. Náš tým vás provede celým procesem ověření, včetně workshopů, kontroly konfigurací a dokumentace vašeho systému a revize vašeho prostředí na základě CSCF. Jedním z výstupů naší činnosti je zpráva pro vedení společnosti, kterou můžete využít například pro vlastní ověření architektury. Zároveň poskytujeme rámcové stanovisko k činnostem směřujícím k nápravě, které si vaše společnost stanovila, pomáháme navrhnout co nejefektivnější plány nápravy a poskytujeme asistenci při implementaci kontrol v rámci CSCF. 

Prostřednictvím našich služeb pro optimalizaci obchodních vztahů se zaměřujeme na regulatorní a tržní požadavky na ověření třetích stran. Oběma stranám vztahu mezi zákazníkem a dodavatelem podáváme objektivní zprávu o systému kontrol a pomáháme klientům řídit rizika v rámci širšího podniku (Extended Enterprise Risk Management, EERM) prováděním nezávislých hodnocení kontrolních postupů společnosti. To vše s cílem zajistit, že stávající kontroly a procesy odpovídají cílům managementu, a prokázat účinnost kontrol zákazníkům a jejich auditorům prostřednictvím nezávislých zpráv.

Soulad se směrnicí o platebních službách je zásadní pro finanční instituce a poskytovatele platebních služeb provozujících své služby v rámci EU. PSD2 nejenže nařizuje zpřístupnění bankovních údajů pověřeným třetím stranám, čímž podporuje hospodářskou soutěž a inovace ve finančním sektoru, ale také zavádí přísná bezpečnostní opatření pro zvýšení bezpečnosti transakcí. Dodržování požadavků PSD2 je zásadní nejen z regulatorního hlediska, nýbrž také pro udržení a rozvoj vztahů se zákazníky v rychle se vyvíjejícím prostředí digitálních financí. Náš tým poskytuje služby v oblasti gap analýz, zhodnocení současného stavu a naplnění požadavků vycházejících ze směrnice PSD2 a jejích nástupců – návrhu směrnice PSD3 a nařízení o platebních službách (Payment Service Regulation, PSR), včetně popisu oblastí nesouladu a možných nápravných kroků.