Salte para o conteúdo principal

IT & Specialised Assurance Services

Construir a confiança dos stakeholders num ecossistema digital

  

Ajudamos as organizações a compreender os riscos associados a TI e a tecnologias emergentes e a obter garantia sobre os controlos pertencentes aos requisitos corporativos internos, regulatórios e estendidos.

A nossa equipa possui um diverso conjunto de competências em infraestrutura de TI, ERPs, aplicações customizadas, controlos de organização de serviços e tecnologias digitais em evolução, juntamente com capacidades específicas da indústria e do setor.

Oferecemos um diverso conjunto de serviços

As operações de tercerização não transferem o risco associado a este processo. A organização que subcontrata (entidade utilizadora) continua a ser responsável pela governação, gestão de riscos e conformidade dos processos/operações agora geridos pelo seu prestador de serviços. Os reguladores e os organismos da indústria estão concentrados em abordar os riscos decorrentes destas mudanças. Neste contexto, os prestadores de serviços (organizações de serviços) constroem confiança nos serviços executados e nos controlos associados através de relatórios de controlos do sistema e da organização (SOC).

A Deloitte oferece um diverso conjunto de serviços third-party assurance e também auxilia os clientes na seleção da opção de third-party reporting mais adequada:

  • Assurance related reporting é realizado para providenciar um relatório independente sobre o ambiente de controlo interno das entidades utlizadoras para uso pela administração das organizações de serviços, entidades utlizadoras e/ou seus auditores.
    • Assurance over financial reporting - SOC 1 reporta sobre controlos que impactam o reporting financeiro das entidades utilizadoras. Normalmente realizado sob o padrão SSAE18 (emitido pela AICPA) e ISAE3402 (emitido pela IAASB).
    • Assurance over operations - ISAE3000, SOC 2, SOC 3 e relatórios SOC personalizados.
      • ISAE 3000 — Report de assurance sobre o processamento não financeiro para critérios definidos pela entidade e não padrão: controlos internos, sustentabilidade, cumprimento de leis/regulamentos, outros requisitos.
      • SOC 2 report — Report de assurance sobre processamento não financeiro baseado em um ou mais Trust Service Principles, que são segurança, disponibilidade, integridade de processamento, confidencialidade e privacidade.
      • SOC 3 report — Relatório público curto que pode ser usado para fins de marketing em processamento não financeiro com base em um ou mais Trust Service Principles.
      • Customised SOC reports para atender a requisitos específicos do setor ou do cliente, como SOC para cadeia de abastecimento, reports SOC 2+ para padrões industriais aplicáveis como NIST, ISO, CSA, GDPR, CMMC, FedRAMP e/ou outros.
  • Factual reporting sobre descobertas/observações como parte de uma avaliação.
    • Agreed-upon procedures (AUP) report — Relatório de conclusões factuais, com base em procedimentos específicos e previamente acordados realizados sobre um “assunto” ou uma “afirmação”. Os engagements AUP são normalmente realizados utilizando a norma ISRS 4400 ou SSAE 19.
    • Readiness assessment — Avaliações de prontidão para explorar a preparação das empresas para enfrentar riscos ou necessidades associadas aos seus programas de prestadores de serviços terceirizados.

A avaliação dos controlos de TI realizada no âmbito dos programas de controlos internos das organizações é fundamental para identificar e garantir a resposta dos clientes aos riscos decorrentes da tecnologia da informação e do ecossistema digital em que operam.

A Deloitte pode apoiar os clientes em avaliações de riscos de TI e na realização de análises de design e eficácia operacional para controlos gerais de TI e controlos automatizados em vários ERPs e aplicações personalizadas. Dependendo dos requisitos específicos do cliente, isto também inclui revisões de migração de dados, revisões de controlos de interface, acesso e garantia de segregação funcional.

As funções de controladoria, tecnologia da informação e segurança de uma organização precisam ser inteligentes em termos de risco para lidar com os riscos decorrentes das mudanças tecnológicas.

A equipa de especialistas em risco de TI da Deloitte apoia os clientes na melhoria dos processos e controlos de TI, para identificar, compreender e implementar eficazmente metodologias e processos de controlos internos relevantes.

  • Define – Identificar riscos relevantes e construir uma estrutura de controlos de TI para atender aos requisitos de conformidade internos e externos, por conta de mudanças de processos, aplicação de alterações ou melhorias ERP e implementação BOT.
  • Optimise – Determinar a viabilidade da padronização dos controlos de TI, racionalização dos controlos, melhor uso/aproveitamento de controlos automatizados através do uso total da funcionalidade padrão do sistema, recomendar medidas de remediação eficazes com base na experiência da indústria e do setor para as lacunas identificadas.
  • Embed – Desenvolver e oferecer programas de formação sobre riscos e controlos de TI, criação de procedimentos de políticas de TI, suporte para remediação de controlos, suporte a PMEs para atender a requisitos específicos do setor ou de tecnologia/ferramenta.