Trust & Transparency Solutions

Traditionelle und moderne Lösungen für die Kontrollberichterstattung zur Stärkung des Vertrauens der Anspruchsgruppen

Transparenz und Vertrauen, um die Compliance-Anforderungen zu erfüllen, konkurrenzfähig zu bleiben und langfristiges Wachstum zu ermöglichen

In einem Umfeld, in welchem Unternehmen auf ein komplexes Netzwerk von Dritten und deren Subunternehmen angewiesen sind, sorgen erhöhte regulatorische Anforderungen, umfassende Erwartungen an den Schutz von Personendaten sowie ein verstärkter Bedarf nach mehr Transparenz dafür, dass die Wirtschaftsprüfung über die traditionelle Prüfung der finanziellen Berichterstattung hinausgehen muss.

Transparenz gibt Unternehmen das notwendige Vertrauen, welches sie in diesem komplexen Netzwerk von Dritten, Subunternehmen und Endverbrauchern benötigen. Die Gewährleistung einer solchen Transparenz kann daher zu einem erheblichen Wettbewerbsvorteil führen, weil Prozess- und Kontrollschwächen bekannt sind und zeitnah auf diese reagiert werden kann. Dies ermöglicht zum einen eine Erhöhung der allgemeinen Betriebseffizienz und zum anderen eine Kostenreduktion, weil sich Doppelarbeit bei den operativen und Compliance-Anstrengungen vermeiden lässt.

Welcher Prüfungsstandard (Assurance Reporting Standard) passt am besten zu Ihren Anforderungen?

Prüfung eines Compliance Management Systems oder Durchführung einer Softwarezertifizierung?

SAS 980 Compliance Management System

Elements of a Compliance Management System (CMS)
  • 1. Compliance Culture
    - Principles for an adequate and effective CMS
    - Management's attitude and behaviour
  • 2. Compliance Objectives
    - Determination of key objectives to be achieved
    - Specification of compliance domains and rules to comply with
  • 3. Compliance Risks
    - Identification of significant compliance risks
    - Systematic risk identification and evaluation process
  • 4. Compliance Program
    Implementation of core principles and measures to minimize the identified risks
  • 5. Compliance Organisation
    - Roles and responsibilities
    - Organizational structure and processes
    - Resource planning
  • 6. Compliance Communication
    Inform involved employees and third-parties about the compliance program and roles / responsibilities
  • 7. Compliance Monitoring & Improvement
    - Monitor adequacy and effectiveness
    - Key requirement is an adequate documentation
    - Responsibility resides with management
Criteria, e.g.:
(against which assessment criteria are the processes, risks and controls assessed)
  • Competition and antitrust law
  • Anti-bribery law
  • Stock exchange law (e.g. provisions on insider trading or ad hoc reporting obligations)
  • Corporate governance requirements (e.g. Swiss Code of Best Practice for Corporate Governance, OECD Principles of Corporate Governance)
  • Anti-money laundering law
    Environmental law
  • Foreign trade law and export control
  • Legislation on external tax relations
  • Data protection and data security law
  • Labor law and personal rights (e.g., general anti-discrimination laws)
  • Industrial safety law
Your Benefit
(what is the benefit for your company)
  • Assurance that the CMS is adequately designed, implemented and / or operated
  • Assurance that the CMS is effective and that resources are being used efficiently
  • Increases the confidence in your organization
  • Liability reduction for the board of directors and the company
  • Maturity assessment of your compliance management
  • Strengthening of the internal and external perception of your efforts in the area(s) of compliance

SAS 870 Software Certification

Subject Matter, e.g.:
(which processes, risks and controls are assessed)
  • Information Technology General Controls, particularly the software development cycle
  • Business Process Controls

  • Any other processes and controls related to the specific purpose of the software
Criteria, e.g.:
(against which assessment criteria are the processes, risks and controls assessed)
  • Control Objectives for Information and Related Technologies (CobiT)
  • Committee of Sponsoring Organizations of the Treadway Commission (COSO)
  • ISO 27002:2013
  • Any other measurable criteria related to the specific purpose of the software
Your Benefit
(what is the benefit for your company)
  • Software certificate, which can be distributed to prospective as well as current customers.
  • Certificate confirms that software adheres to defined criteria, e.g. in the area of electronic archiving systems to the Ordinance on the Maintenance and Retention of Accounts (Accounts Ordinance; AccO - SR 221.431)

Potential Challenges

  • Certificate only confirms that software is able to meet the defined criteria in a certain version as well as in certain configuration / customizations if adequately implemented and operated
  • Subsequent versions, in case of changes, may need to be recertified.

Third-Party Assurance – Kontrolle über die Finanzberichterstattung

(ISAE 3402, SOC 1®, SSAE 18)

Durch den Einsatz von Kontrollberichten nach System and Organization Controls, SOC 1® (früher nach SAS 70, später nach SSAE 16 und aktuell nach SSAE 18) oder nach dem international anerkannten Standard ISAE 3402 bieten wir Transparenz über Funktionen, Prozesse, Technologie und Kontrollmechanismen von Unternehmen, welche die Finanztransaktionen und Finanzberichterstattungsverfahren der Kunden beeinflussen. Die Empfänger solcher Berichte sind in der Regel die Buchhaltung sowie die Interne und Externe Revision.

Third-Party Assurance – Kontrolle ohne direkten Bezug zur finanziellen Berichterstattung

(ISAE 3000, PS 950, SOC 2®)

Bei regulatorischen Entwicklungen wie DSGVO und der Regulierung im Bereich der Auslagerung sowie auch bezüglich neuer Technologien wie Blockchain und Cloud müssen Unternehmen auch Risiken adressieren, welche keinen direkten Bezug zur finanziellen Berichterstattung aufweisen.

Durch den Einsatz von Kontrollberichten (die als SOC 2® oder ISAE 3000/PS 950 bezeichnet werden und auf relevanten sowie anwendbaren Industriekontrollstandards, wie beispielsweise den Trust Service Criteria oder den Frameworks COSO und COBIT beruhen) bieten wir Unternehmen sowie internen und externen Anspruchsgruppen Transparenz mit Fokus auf operative Risiken. Der Schwerpunkt liegt dabei auf der Informationssicherheit, Datenschutz, Verfügbarkeit der Dienstleistung, Integrität und Vertraulichkeit. Die typische Nutzergruppe dieser Kontrollberichte ist breit gefächert und umfasst interne / konzerninterne Dienstleistungsempfänger (wie IT Shared Service Centers), Empfänger von ausgelagerten Dienstleistungen (wie Colocation-Services für Rechenzentren, Cloud-Dienstleister, Managed Technology/IT-Services), Aufsichtsbehörden und Kunden. In ausgewählten Fällen kann die Kontrollberichterstattung auch an die allgemeine Öffentlichkeit erfolgen.

Attestierung von spezifische Kontrolle von Lieferanten – Assurance

(SOC 2+, SOC 3, HITRUST)

Da die Anforderungen an das Vertrauen und die Transparenz in ausgewählten Branchen kontinuierlich zunehmen, bieten wir Kontrollberichterstattungen (z.B. SOC 2+ ® oder SOC 3®) für Unternehmen, die auf den aktuellsten Frameworks beruhen. So ermöglichen wir beispielsweise Attestierungen in den Sektoren Gesundheitswesen und Pharma. Als zertifizierter HITRUST-Assessor erbringen wir Dienstleistungen im Hinblick auf die Bereitschaft (Suitability), Korrektur (Remediation) und Zertifizierung (Certification). Wir unterstützen die Implementierung des HITRUST Controls Standard Framework (CSF) als Grundlage für die Sicherheits- und Datenschutzkontrollen bzw. das Compliance-Programm eines Unternehmens zur Kontrolle von Risiken im Zusammenhang mit Patientendaten.

Attestierung von Compliance-Management-Systemen

(SAS 980)

Mit der Veröffentlichung des Schweizer Prüfungsstandards (PS) 980 und den Richtlinien für Compliance-Management-Systeme (CMS) können wir Unternehmen dabei unterstützen, auf die verschiedenen Grundsätze dieses Standards einzugehen. Unsere Bereitschafts-, Gap-Analyse- und Attestierungsaktivitäten bieten Transparenz über die erforderliche Compliance-Kultur, das Ziel, das Risiko, das Gesamtprogramm sowie organisatorische Aspekte der rechtlichen und steuerlichen Aufsicht sowie der gesellschaftlichen Verantwortung von Unternehmen (Corporate Social Responsibility, CSR).

Der hohe Bedarf nach Transparenz und demzufolge Vertrauen zeigt die Wichtigkeit von robusten Kontrollen in den Bereichen Governance, Risk sowie Compliance.

Ralf HofstetterTrust and Transparency Solutions, PwC Switzerland

Was tun wir für unsere Kunden?

Wir wissen, dass unsere Kunden einen Partner benötigen, welcher Sie beim Aufbau eines robusten internen Kontrollframeworks umfassend unterstützen kann. Dieses interne Kontrollframework soll die Erwartungen der Kunden, Aufsichtsbehörden und anderer Anspruchsgruppen erfüllen. Unser erfahrenes Team führt im Einklang mit Schweizer und/oder internationalen Wirtschaftsprüfungsstandards eine unabhängige Beurteilung des Designs und der Implementierung sowie, sofern gewünscht, der Wirksamkeit des internen Kontrollframeworks unserer Kunden durch.

Für diese Herausforderungen haben wir führende Methoden entwickelt, welche die Auswirkungen auf die Unternehmen unserer Kunden minimieren. Durch Einsatz unserer bewährten Methoden sind wir in der Lage, die Erwartungen unserer Kunden zu erfüllen und in kurzer Zeit hochmoderne sowie qualitativ hochwertige Kontrollberichte zu erstellen. Möchten Sie mehr über unseren Ansatz bei der unabhängigen Beurteilung der Kontrollframeworks unserer Kunden im Einklang mit Schweizer und/oder internationalen Wirtschaftsprüfungsstandards erfahren? Klicken Sie auf die untenstehende Schaltfläche.

Mehr erfahren

Kontaktieren Sie unsere Experten

https://pages.pwc.ch/core-contact-page?form_id=7014I0000006qRyQAI&embed=true&lang=de

Kontaktieren Sie uns

Ralf Hofstetter

Ralf Hofstetter

Trust & Transparency Solutions, PwC Switzerland

Tel.: +41 58 792 5625

Cristian  Manganiello

Cristian Manganiello

Leader Controls Assurance, PwC Switzerland

Tel.: +41 58 792 56 68