Site Search Site Search

Menu

Послуги

Menu

Директива ЄС про корпоративну звітність зі сталого розвитку (CSRD)

Обране

Податкові та юридичні огляди

Дослідження інвестиційних можливостей відбудови України: стратегічний підхід для інвесторів

Завантажуємо результати

Рішення довіри

Ваш підхід і стратегія управління ризиками може стати тим фактором, що визначає баланс між уникненням краху і використанням конкуретних можливостей

  • 45%

    CEO, які менше впевнені у життєздатності своєї компанії, вживають заходів з докорінної трансформації бізнес-моделі свого бізнесу

  • 30%

    CEO відповіли, що недостатня підтримка з боку внутрішніх зацікавлених сторін становить помірний або значний виклик на шляху до забезпечення більшої екологічної сталості діяльності компанії

  • 76%

    CEO вжили принаймні один захід, який мав великий або дуже великий вплив на бізнес-модель компанії

    Джерело: Проведене PwC глобальне опитування з управління ризиками за 2023 рік

Багато організації отримують низку критично важливих послуг і підтримку від сторонніх організацій, включно з хостингом або веденням фінансової і нефінансової інформації, наданням критичних бізнес-функцій і реалізацією масштабних інфраструктурних ініціатив. 

Залишитися конкурентоспроможною організації допоможе встановлення відносин з численними клієнтами і постачальниками, які дозволяють отримати доступ до спеціалізованих рішень і навичок. Проте ця перевага тягне за собою і виклики, пов'язані з захистом репутаційних, фінансових, операційних потреб і комплаєнс потреб, що посилюються по мірі збільшення залежності від третіх осіб.

Керівництво, наглядова рада й акціонери вашої організації вимагають впевненості у процедурах контролю і ресурсах комплаєнс постачальників і сервісних організацій. Вони очікують, що в організації впроваджено процеси ефективного нагляду за відносинами з третіми особами.

Глобалізація і технології - основна рушійна сила бізнесу сьогодення, яка має потенціал або наразити ваше підприємство на безпрецедентний масив ризиків, або стрімко спрямувати його до безпрецедентних можливостей. Детальне розуміння цих ризиків дозволить перетворити їх на каталізатор зростання і вирватися з тенет невизначеності.

SOC 1 reporting

A client or potential client may ask for a SOC 1 report. This allow them to understand and rely on the robustness of the internal controls in your organisation. Having this report to hand provides considerable competitive advantage.

A SOC 1 report is often requested as part of a contract for services or in response to an RFP. Sometimes it will be requested to allow your client to continue to outsource their business to you.

We can work with you to select the right reporting framework for your business and your stakeholders.

SOC 2 reporting

A SOC 2 report examines the IT controls in place in an organisation. Clients need to be able to trust service providers who hold their data, and a clean SOC 2 report delivers that assurance. It focuses on controls relating to security, processing integrity, confidentiality and privacy.

Organisations that hold client data or confidential information use SOC 2 reporting to give their clients reassurance that their data is safe and secure. This reporting is especially useful for SaaS and cloud-computing companies, and organisations who hold confidential client information.

Through a range of assurance reporting services—including SOC 1, SOC 2,  ISAE 3402, ISAE 3000—we can help you report on your control environment objectively and accurately.

SOC report components and types

SOC 1, SOC 2, SOC 3
 

Report components

The list of components can be tailored for each report depending on the specific SOC report your company needs. The table below presents a comparison of SOC report options depending on its content.

  • The auditor's opinion on service organisation control
  • System description of the control environment
  • A written assertion by the service organisation of the accurate system description, controls and their operation as of the date / over the period (depending on the report type)
    • Objectives of control
    • Trust Service Principles developed by the American Institute of Certified Public Accountants (AICPA)
  • Description of the tests of controls performed by the auditor
  • Outcomes of the testing of controls performed:
    • for Type I - tests of design as of the date;
    • for Type II - tests of design and operating effectiveness for the period.
  • Other information disclosed by the service organisation
     
The standards met

SSAE 18, ISAE 34022

Target audience of the report
  • Owners and management of the service organisation, clients of the service organisation and auditors of the clients’ financial statements.
  • Owners and management of the service organisation, clients of the service organisation.
  • No restrictions, may be posted to the service organisation's website.

SOC 2 reports are generally quite similar in structure with SOC 1 reports. SOC 3 reports contain less detail as they are intended for unrestricted audiences. SOC 1/2 reports may represent an assessment of control design at a point in time1, while SOC3 reports may represent an assessment of the design and operating effectiveness of control over time1.

1. There may be two types of SOC reports:

Type I report covers the design of controls and the outcomes of internal control assessment as of the reporting date. This type of report will be useful if the organisation’s internal control system has undergone significant change or lacks a sufficient operating history to establish effectiveness.

Type II report covers the design and operating effectiveness of controls over a period of time (typically 6 months or longer).

2. What standards are applied in preparation of a SOC report?

In today’s world, there is an effective way to provide assurance to your clients and other stakeholders that an effective control environment is in place by performing an independent assessment of control and issuing a System and Organization Controls report  (SOC, previously Service Organization Controls) in accordance with SSAE 18 and ISAE 3402.

SSAE 18 – Statement on Standards for Attestation Engagements 18 (SSAE 18) – a US standard issued by the American Institute of Certified Public Accountants (AICPA).

ISAE 3402 - International Standard on Assurance Engagements ISAE 3402 issued by the International Auditing and Assurance Standards Board (IAASB)

Діагностика системи внутрішнього контролю
  • діагностика процедур контролю у бізнес-процесах й інформаційних системах, включаючи оцінку ефективності дизайну і достатності процедур контролю для досягнення цілей;
  • аналіз ризиків, карта ризиків, матриці ризиків і процедур контролю;
  • аналіз та оцінка корпоративної політики, процедур, положень і оптимальності опису бізнес-процесів;
  • перевірка дотримання принципу розподілу обов'язків і процедур контролю обмеженого доступу у бізнес-процесах та інформаційних системах;
  • внутрішній бенчмаркинг - порівняльний аналіз бізнес-процесів і процедур контролю інших департаментів організації;
  • зовнішній бенчмаркинг - порівняльний аналіз бізнес-процесів і процедур контролю інших компаній галузі, а також світової кращої практики.

Діагностика дозволяє отримати чітку картину поточного стану бізнес-процесів і системи внутрішнього контролю і визначити напрямки подальшої оптимізації.

Впровадження процедур внутрішнього контролю
  • опис фактичних бізнес-процесів у системи внутрішнього контролю, створення матриць процедур контролю;
  • встановлення ефективних процедур контролю над підготовкою фінансової звітності для попередження зловживань і забезпечення точності;
  • впровадження заходів з підтвердження розподілу обов'язків і процедур контролю доступу для попередження несанкціонованих дій;
  • регулярна оцінка ризиків й актуалізація процедур контролю у відповідності до змін в умовах роботи бізнесу.

Ефективне впровадження процедур внутрішнього контролю (особливо у відповідності до вимог закону Сарбейнса-Окслі) забезпечує дієвий нагляд за підготовкою фінансової звітності, захист від шахрайства, точність інформації й адаптацію до умов ведення бізнесу, що постійно змінюються, завдяки безперервній оцінці й аудиту.


Ефективна система внутрішнього контролю дозволяє покращити результати організації. Так, вона надає розумну впевненість у достовірності фінансової й операційної інформації, дотриманні вимог регуляторів, покращує контроль над активами організації (у тому числі за рахунок скорочення ймовірності шахрайства). При виконанні цих завдань система внутрішнього контролю спрощує корпоративне управління підвищує довіру інвесторів у скорочує витрати, зокрема, на зовнішній аудит.

Ми готові допомогти вам у створенні ефективної системи внутрішнього контролю, яка відповідає моделі корпоративного управління, допомагає зменшити або попередити ризики і досягти цілей.

Інтенсивність змін сучасних умов роботи бізнесу вимагає від компаній управляти і використовувати можливості проактивного управління ризиками підприємством, поєднуючи інноваційні і проактивні заходи корпоративного управління, управління ризиками і комплаєнс (GRC) у комплексну програму ризиків підприємства яка дозволяє використовувати конкурентні можливості і задовольняти очікування зацікавлених сторін.

PwC пропонує вашому бізнесу наступні послуги у сфері управління ризиками підприємства:
  • Діагностика моделі управління ризиками підприємства
  • Оцінка ризиків підприємства бізнес-рівня та аналіз потенційних  ризиків
  • Аналіз співпраці між підрозділами управління ризиками і комплаєнс
  • Розробка й аналіз планів міграції ризиків

Компанії, які розкривають у  своїх звітах точну інформацію про свою модель управління ризиками і контролю, підвищують довіру до себе і прозорість. На ці звіти покладаються клієнти й аудитори. Також вони надають вашим клієнтам, регуляторам та іншим зацікавленим сторонам впевненість, так необхідну в епоху безпрецедентних змін.

Компоненти та типи SOC-звітів

Залежно від того, який саме SOC-звіт потрібен вашій компанії, можна окремо визначити перелік компонентів кожного з них. В таблиці нижче наведене порівняння варіантів SOC-звіту в залежності від його змісту.

SOC 1  SOC 2  SOC 3
Компоненти звіту
  •  Аудиторський висновок щодо засобів контролю в сервісній організації

  • Опис системи внутрішнього контролю сервісної організації

  • Письмове підтвердження від сервісної організації щодо достовірності опису системи, засобів контролю та їх функціонування на дату / протягом періоду (залежно від типу звіту)
  • Цілі контролю

  • Принципи надійності сервісів (Trust Service Principles, розроблені Американським інститутом сертифікованих бухгалтерів AICPA)

 

  • Опис тестів засобів контролю, проведених аудитором
  • Результати тестування для засобів контролю:
    • для Типу І  - тестування дизайну на дату;
    • для Типу ІІ – тестування дизайну та операційної ефективності за період.
  • Інша інформація, яку надає сервісна організація

 

Яким стандартам відповідає
SSAE 18, ISAE 34022

Для кого призначений звіт
  • Власники та керівництво сервісної організації, клієнти сервісної організації та аудитори фінансової звітності клієнтів
  • Власники та керівництво сервісної організації, клієнти сервісної організації
  • Нема обмежень, може бути розміщений на сайті сервісної організації

В цілому, структура звіту SOC 2 має багато спільного зі структурою звіту SOC 1. Звіт SOC 3 містить менш деталізовану інформацію з огляду на те, що він призначений для необмеженого кола осіб. Звіти SOC 1 /2 можуть бути підготовлені у вигляді оцінки дизайну засобів контролю на певний момент часу1, SOC 3 - у вигляді оцінки дизайну та операційної ефективності засобів контролю за певний проміжок часу1

1. SOC-звіти можуть бути двох типів:

  • Звіт типу I містить інформацію про дизайн контрольних процедур та результат оцінки системи внутрішнього контролю станом на звітну дату. Звіт цього типу буде корисним у випадку, якщо система внутрішнього контролю в організації  зазнала значних змін або відсутня достатня історія її функціонування для перевірки ефективності.
  • Звіт типу II містить інформацію про дизайн та операційну ефективність контрольних процедур за проміжок часу (зазвичай півроку або більше).

2. Які стандарти застосовуються при складанні SOC-звіту?

В сучасному світі існує ефективний спосіб запевнити своїх клієнтів та інші зацікавлені сторони в наявності ефективного контрольного середовища – незалежна оцінка засобів контролю та підготовка звіту System and Organization Controls (SOC, раніше Service Organization Controls) відповідно до стандартів SSAE 18 та ISAE 3402.

  • SSAE 18 – Положення із стандартів проведення атестацій №18 (SSAE 18) – американський стандарт, випущений Американським інститутом сертифікованих бухгалтерів (AICPA).
  • ISAE 3402 – Міжнародний стандарт із підтвердження достовірності інформації ISAE 3402, випущений Комітетом із міжнародних стандартів аудиту та підтвердження достовірності інформації (IAASB).

Ми можемо надати широкий спектр звітів із надання впевненості, зокрема, SOC 1, SOC 2, ISAE 3402, ISAE 3000, які допоможуть вам об'єктивно і достовірно звітувати про свою систему контролю.

PwC  допомагає організаціям розробляти та впроваджувати ефективні програми безперервності бізнесу, які гарантують продовження критично важливих операцій навіть у разі непередбачуваних подій. Ми пропонуємо широкий спектр послуг BCM, зокрема:

Оцінка ризиків: ми допоможемо вам визначити й оцінити ризики переривання бізнесу, щоб ви могли розробити план їх пом’якшення. 

Розробка плану: ми допоможемо вам розробити програму безперервності бізнесу, яка відповідає вашим конкретним потребам і цілям. 

Впровадження та тестування: ми допоможемо вам реалізувати вашу програму безперервності бізнесу та переконаємося, що вона працює належним чином. 

Навчання та підвищення обізнаності: ми допоможемо вам навчити ваших співробітників програмі безперервності бізнесу та підвищити їхню обізнаність щодо важливості BCM. 

Підтримка та оновлення: ми надаватимемо постійну підтримку та допомогу в оновленні вашої програми безперервності бізнесу відповідно до поточних потреб вашого бізнесу.

Ландшафт ризиків є динамічним, невизначеним і непередбачуваним, а рівень ризиків, з якими сьогодні стикаються організації, вищі, ніж будь-коли раніше. Наша хмарна платформа Connected Risk Engine для оцінки зрілості дає вам чітке розуміння ключових ризиків, що впливають на вашу організацію в різних бізнес-сферах, підрозділах і країнах. Connected Risk Engine забезпечує послідовний глобальний підхід до оцінки зрілості ризику та порівняльного аналізу. Завдяки цілісному огляду вашого бізнесу та статистичним даним у реальному часі ви зможете прогнозувати, готуватися, діяти та адаптуватися до деяких із найнагальніших проблем, з якими сьогодні стикається ваш бізнес. 

Наша платформа дає змогу порівнювати різні організації між собою та в різних галузях, наприклад, для банківської справи та ринків капіталу PwC Cyber Security Maturity Framework(система оцінки зрілості кібербезпеки) найбільш актуальна структура, для центрального чи національного уряду буде найбільш корисною Technology Maturity Assessment framework(система оцінки технологічної зрілості)

про платформу Connected Risk Engine

Внутрішній аудит

Управління ризиками підприємства з одночасним підвищенням ефективності бізнесу

детальніше про внутрішній аудит

Рішення довіри

Ваш підхід і стратегія управління ризиками може стати тим фактором, що визначає баланс між уникненням краху і використанням конкуретних можливостей

детальніше про рішення довіри

Кібербезпека

Баланс безпеки, конфіденційності та можливісті сміливо рухатися вперед

детальніше про кібербезпеку

Дані й аналітика

Впевненість, що ґрунтується на розумних даних

детальніше про дані й аналітику

{{filterContent.facetedTitle}}

PwC у соцмережах

Обов'язкові для заповнення поля відмічені зірочкою(*)

Надаючи свою електронну адресу, ви погоджуєтеся, що ознайомилися з політикою Конфіденційності і надаєте згоду на обробку нами ваших персональних даних. Ви можете відкликати згоду будь-коли, надіславши нам повідомлення.

Згорнути
Послуги Галузі Дослідження Публікації Прес-центр Про нас Кар'єра Oфіси Зв'язатися з нами

© 2015 - 2025 PwC. Всі права захищені. PwC – це фірма-учасник/фірми-учасниці мережі PwC, а в деяких випадках – міжнародна мережа PwC. Кожна фірма мережі є самостійною юридичною особою. Докладніша інформація на веб-сторінці www.pwc.com/structure.