Trust & Transparency Solutions

All Eyes on Trust - Traditionelle und moderne Lösungen für die Kontrollberichterstattung zum Aufbau von Vertrauen bei den Beteiligten

Wir helfen Ihnen, Transparenz zu schaffen und Vertrauen aufzubauen

In der heutigen komplexen Geschäftswelt, in der Unternehmen von Dritten und Subunternehmern abhängig sind, ändern sich die Anforderungen an Compliance, Datenschutz und Transparenz. Der Schlüssel zur Erfüllung der Compliance-Anforderungen, zur Erhaltung der Wettbewerbsfähigkeit und zur Förderung des langfristigen Wachstums liegt in Transparenz und Vertrauensbildung.

Transparenz fördert das Vertrauen und bietet einen Wettbewerbsvorteil, indem sie Organisationen hilft, Kontrollschwächen zu erkennen, die Effizienz zu verbessern und Kosten zu senken, indem sie überflüssige Anstrengungen bei der Einhaltung von Vorschriften und im Betrieb vermeidet.

Wir wissen, dass unsere Kunden einen Partner suchen, der sie bei der Schaffung eines soliden internen Kontrollrahmens unterstützt, der die Erwartungen der Aufsichtsbehörden und Interessengruppen erfüllt. Unser Team bewertet unabhängig Kontrollrahmen in Übereinstimmung mit Schweizer und internationalen Assurance-Standards.

Mit bewährten Methoden minimieren wir Störungen und liefern schnell hochwertige Kontrollberichte. Möchten Sie mehr über unseren Ansatz zur Bewertung von Kontrollrahmen erfahren? 

Welcher Prüfungsstandard (Assurance Reporting Standard) passt am besten zu Ihren Anforderungen?

Prüfung eines Compliance Management Systems oder Durchführung einer Softwarezertifizierung?

SAS 980 Compliance Management System

Elements of a Compliance Management System (CMS)
  • 1. Compliance Culture
    - Principles for an adequate and effective CMS
    - Management's attitude and behaviour
  • 2. Compliance Objectives
    - Determination of key objectives to be achieved
    - Specification of compliance domains and rules to comply with
  • 3. Compliance Risks
    - Identification of significant compliance risks
    - Systematic risk identification and evaluation process
  • 4. Compliance Program
    Implementation of core principles and measures to minimize the identified risks
  • 5. Compliance Organisation
    - Roles and responsibilities
    - Organizational structure and processes
    - Resource planning
  • 6. Compliance Communication
    Inform involved employees and third-parties about the compliance program and roles / responsibilities
  • 7. Compliance Monitoring & Improvement
    - Monitor adequacy and effectiveness
    - Key requirement is an adequate documentation
    - Responsibility resides with management
Criteria, e.g.:
(against which assessment criteria are the processes, risks and controls assessed)
  • Competition and antitrust law
  • Anti-bribery law
  • Stock exchange law (e.g. provisions on insider trading or ad hoc reporting obligations)
  • Corporate governance requirements (e.g. Swiss Code of Best Practice for Corporate Governance, OECD Principles of Corporate Governance)
  • Anti-money laundering law
    Environmental law
  • Foreign trade law and export control
  • Legislation on external tax relations
  • Data protection and data security law
  • Labor law and personal rights (e.g., general anti-discrimination laws)
  • Industrial safety law
Your Benefit
(what is the benefit for your company)
  • Assurance that the CMS is adequately designed, implemented and / or operated
  • Assurance that the CMS is effective and that resources are being used efficiently
  • Increases the confidence in your organization
  • Liability reduction for the board of directors and the company
  • Maturity assessment of your compliance management
  • Strengthening of the internal and external perception of your efforts in the area(s) of compliance

SAS 870 Software Certification

Subject Matter, e.g.:
(which processes, risks and controls are assessed)
  • Information Technology General Controls, particularly the software development cycle
  • Business Process Controls

  • Any other processes and controls related to the specific purpose of the software
Criteria, e.g.:
(against which assessment criteria are the processes, risks and controls assessed)
  • Control Objectives for Information and Related Technologies (CobiT)
  • Committee of Sponsoring Organizations of the Treadway Commission (COSO)
  • ISO 27002:2013
  • Any other measurable criteria related to the specific purpose of the software
Your Benefit
(what is the benefit for your company)
  • Software certificate, which can be distributed to prospective as well as current customers.
  • Certificate confirms that software adheres to defined criteria, e.g. in the area of electronic archiving systems to the Ordinance on the Maintenance and Retention of Accounts (Accounts Ordinance; AccO - SR 221.431)

Potential Challenges

  • Certificate only confirms that software is able to meet the defined criteria in a certain version as well as in certain configuration / customizations if adequately implemented and operated
  • Subsequent versions, in case of changes, may need to be recertified.

Was wir anbieten

Assurance durch Dritte - Kontrollen der Finanzberichterstattung

ISAE 3402, SOC 1®, SSAE 18

Mit Hilfe von Kontrollberichten (z. B. dem US-amerikanischen SOC 1® (früher nach SAS 70 und später nach SSAE 16, derzeit nach SSAE 18) oder dem international anerkannten ISAE 3402) schaffen wir Transparenz über die Funktionen, Prozesse, Technologien und Kontrollen von Organisationen, die sich auf die Finanztransaktionen und die Finanzberichterstattung der Kunden auswirken. In der Regel sind die traditionellen Adressaten solcher Berichte die Buchhaltungsabteilungen sowie die internen und externen Prüfer.

Assurance durch Dritte - Über die Kontrolle der Finanzberichterstattung hinaus

ISAE 3000, SAS 950, SOC 2®

Aufkommende technologische und regulatorische Entwicklungen wie Blockchain, Cloud, elektronische Gesundheitsinformationen für Patienten, GDPR und Outsourcing-Regelungen erfordern, dass Unternehmen über die Risiken im Zusammenhang mit der Finanzberichterstattung hinausgehen.

Durch die Verwendung von Kontrollberichten (bezeichnet als SOC 2® oder ISAE 3000 / SAS 950 unter Verwendung relevanter und anwendbarer Kontrollstandards der Branche, z. B. Trust Service Criteria oder COSO/CoBiT Frameworks) bieten wir Organisationen und (internen und externen) Stakeholdern Sicherheit in Bezug auf betriebliche Risikobereiche, die sich z. B. auf Informationssicherheit, Datenschutz, Serviceverfügbarkeit, Integrität und Vertraulichkeit konzentrieren. Die typische (End-)Nutzerschaft unserer Berichte ist breit gefächert und reicht von internen / konzerninternen Dienstleistungsempfängern (z.B. IT Shared Service Centern), Empfängern ausgelagerter Dienstleistungen (z.B. Rechenzentrums-Kolokationsdienste, Cloud Service Provider, Managed Technology / IT Services), Aufsichtsbehörden, Kunden und manchmal sogar der Öffentlichkeit im Allgemeinen.

Bescheinigungen über andere spezifische Anbieterkontrollen und Compliance-Management-Systeme

SOC 2+, SOC 3, HITRUST

Da die Nachfrage nach Vertrauen und Transparenz in bestimmten Branchen zunimmt, bieten wir Unternehmen Zertifizierungslösungen (z. B. SOC 2+ oder SOC 3®) an, die auf den neuesten Kontrollrahmen basieren.

So erbringen wir zum Beispiel Bescheinigungsdienstleistungen im Gesundheits-/Pharmasektor. Mit Unterstützung von PwC US bieten wir Bereitschaft, Abhilfe und Zertifizierung als zertifizierter HITRUST-Assessor. Wir helfen bei der Umsetzung des HITRUST Controls Standard Framework (CSF) als Grundlage der Sicherheits- und Datenschutzkontrollen bzw. des Compliance-Programms einer Organisation zur Kontrolle von Risiken im Zusammenhang mit Gesundheitsinformationen von Patienten.

Software-Zertifizierung - SAS 870

Die SAS 870 Software-Zertifizierung bewertet die allgemeinen Kontrollen in der Informationstechnologie und konzentriert sich dabei auf den Softwareentwicklungszyklus, die Kontrolle der Geschäftsprozesse und andere Prozesse, die für den Zweck der Software spezifisch sind. Sie wird anhand von Standards wie CobiT, COSO, ISO 27002:2013 und anderen relevanten Kriterien bewertet.

Die Zertifizierung liefert ein Software-Zertifikat, das an bestehende und potenzielle Kunden weitergegeben werden kann und bestätigt, dass die Software vordefinierte Kriterien erfüllt, wie z. B. die Einhaltung der Buchführungsverordnung für elektronische Archivierungssysteme.

Systeme zur Verwaltung der Einhaltung der Vorschriften - SAS 980

Mit der Herausgabe des Schweizer Prüfungsstandards 980 und der Richtlinien zu Compliance-Management-Systemen (CMS) sind wir in der Lage, Organisationen dabei zu unterstützen, die verschiedenen in diesem Standard dargelegten Grundsätze zu berücksichtigen. Unsere Bereitschafts-, Lückenanalyse- und Bescheinigungsaktivitäten befassen sich mit den erforderlichen Aspekten der Compliance-Kultur, des Ziels, des Risikos, des Gesamtprogramms und der Organisation des Rechts-, Steuer-, Corporate Social Responsibility (CSR)-Überwachungs- oder anderer Compliance-Management-Systeme einer Organisation.

Methodik

Unsere Methodik zur Schaffung von Transparenz und Vertrauen zwischen Leistungserbringern und Leistungsempfängern

Das PwC-Team Trust & Transparency Solutions (TTS) unterstützt Anbieter und Empfänger von ausgelagerten Dienstleistungen bei der Bewältigung regulatorischer und betriebswirtschaftlicher Anforderungen, damit sie sich auf ihr spezifisches Kerngeschäft konzentrieren können.

Unsere bewährte und führende Kontrollberichtsmethodik bietet Ihnen die folgenden Vorteile:

  • Eine einzigartige und unabhängige Perspektive auf Ihr Unternehmen.
  • Ein klarer Überblick darüber, ob die Erwartungen aller Kunden und ihrer Interessengruppen erfüllt werden.
  • Ein wirksamer interner Kontrollrahmen, der auf die Erwartungen Ihrer Kunden abgestimmt ist.
  • Eine Möglichkeit des transparenten Wissenstransfers, die die Dienstleistungsqualität Ihres Unternehmens erhöht.
  • Qualitativ hochstehende Kontrollberichte, die den schweizerischen und bei Bedarf auch den internationalen Prüfungsstandards entsprechen (wie ISAE 3402, ISAE 3000, PS 950, PS 980, SOC 1®, SOC 2®).
  • Eine Gelegenheit, sich über die neuesten "Nischen"-Kontrollberichtsstandards* zu informieren, die für die Branche und/oder das Gebiet, in dem Sie tätig sind, von Vorteil sein könnten.

Die gestiegene Nachfrage nach Vertrauen macht deutlich, wie wichtig es ist, über solide und berichtspflichtige Kontrollen in den Bereichen Governance, Risiko, Compliance, Betrieb und IT zu verfügen.

Bruno CaviezelSenior Manager, Digital Assurance & Trust

Entdecken Sie unsere Dienstleistungen

PwC bietet ein breites Spektrum an standardisierten oder bei Bedarf auch maßgeschneiderten Dienstleistungen an, um Ihre Servicequalität zu verbessern. Letztlich arbeiten wir mit dem Ziel, Vertrauen zwischen dem Anbieter und dem Empfänger ausgelagerter Dienstleistungen aufzubauen.

für Dienstleistungsunternehmen

Wir führen eine Eignungsbeurteilung durch, um die Wirksamkeit Ihrer bestehenden Kontrollen durch Befragungen und begrenzte Tests zu bewerten und Ihnen dabei zu helfen, verbesserungswürdige Bereiche zu ermitteln. Auf der Grundlage unserer Feststellungen geben wir Empfehlungen, wenn die Dokumentation oder die Wirksamkeit der Kontrollen nicht den Prüfungsanforderungen entspricht. Wir erstellen einen Kontrollbericht in Übereinstimmung mit den geltenden Standards und der PwC-Prüfungsmethodik, der ein unabhängiges Prüfungsurteil über die Konzeption (Typ 1) und die operative Wirksamkeit (Typ 2) der Kontrollen enthält. Der Bericht enthält Kontrollziele, Aktivitäten, Testverfahren und Ergebnisse. Darüber hinaus überprüfen wir Master Service Contracts und Service Level Agreements, um sicherzustellen, dass alle kritischen Bereiche angemessen berücksichtigt werden.

für Dienstleistungsempfänger

Wir helfen Dienstleistungsempfängern bei der Interpretation von Kontrollberichten, damit sie die Wirksamkeit der Kontrollsysteme ihres Dienstleistungsanbieters besser verstehen. Wir unterstützen das Management von Dienstleistern, z. B. bei der Definition von Dienstleistungsanforderungen oder der Auswahl von Dienstleistern, und führen die Überwachung durch Dritte ein, um die Qualität der Dienstleistungen durch ein effektives Risikomanagement für Dritte zu gewährleisten. Darüber hinaus führen wir Ad-hoc-Audits der ausgelagerten Dienstleistungen durch, um die Einhaltung der Richtlinien des Empfängers und der Branchenvorschriften zu gewährleisten. Wenn Dienstleister unzureichende Leistungen erbringen, ermitteln wir die Ursachen und entwickeln Aktionspläne, um Probleme zu beheben und die Ergebnisse zu verbessern.

Kontaktieren Sie unsere Experten

https://pages.pwc.ch/core-contact-page?form_id=7014I0000006qRyQAI&embed=true&lang=de

Kontaktieren Sie uns

Bruno Caviezel

Senior Manager, Digital Assurance & Trust, PwC Switzerland

+41 79 713 27 59

E-Mail

Cristian Manganiello

Partner, Digital Assurance & Trust, PwC Switzerland

+41 58 792 56 68

E-Mail