Solutions en matière de confiance et de transparence

Des solutions de rapports de contrôles traditionnelles et modernes pour instaurer un lien de confiance avec les parties prenantes – All Eyes on Trust

Featured - 4 items

Comprendre les standards de rapports

Vous êtes perdus dans la variété des standards de rapports ?

RGPD et contrôles de confidentialité des données

Comment être en conformité avec le RGPD ? (article en français)

HITRUST et les données médicales des patients

Protéger les données des patients avec HITRUST (article en anglais)

Directives EBA en matière d’externalisation

Répondre aux exigences EBA (article en anglais)

Garantir la transparence et créer un lien de confiance pour répondre aux exigences de conformité, rester compétitif et soutenir la croissance à long terme

Dans un environnement où les organisations dépendent d’un réseau complexe de tiers et de leurs sous-traitants, le renforcement de la surveillance réglementaire, les attentes élevées en matière de confidentialité des données ainsi que l’exigence globale de transparence accrue créent un besoin d’assurance allant au-delà du reporting traditionnel qui consiste « simplement » à les états financiers.

La transparence peut fournir aux organisations la confiance qu’elles recherchent, dans ce réseau complexe composé de tiers, de sous-traitants et de leurs clients finaux. Ainsi, une telle transparence peut se traduire par un avantage concurrentiel important qui permet de prendre en compte les faiblesses des processus et des contrôles (y compris la prise de mesures pour y remédier) et d’améliorer l’efficacité opérationnelle globale. Les conditions sont ainsi réunies pour réduire les coûts en évitant la duplication des efforts opérationnels et de conformité.

Mission d'assurance des systèmes de management de la compliance ou l’audit de progiciels?

Compliance Management System
Software Certification

SAS 980 Compliance Management System

Elements of a Compliance Management System (CMS)

1. Compliance Culture
- Principles for an adequate and effective CMS
- Management's attitude and behaviour
2. Compliance Objectives
- Determination of key objectives to be achieved
- Specification of compliance domains and rules to comply with
3. Compliance Risks
- Identification of significant compliance risks
- Systematic risk identification and evaluation process
4. Compliance Program
Implementation of core principles and measures to minimize the identified risks
5. Compliance Organisation
- Roles and responsibilities
- Organizational structure and processes
- Resource planning
6. Compliance Communication
Inform involved employees and third-parties about the compliance program and roles / responsibilities
7. Compliance Monitoring & Improvement
- Monitor adequacy and effectiveness
- Key requirement is an adequate documentation
- Responsibility resides with management

Criteria, e.g.:
(against which assessment criteria are the processes, risks and controls assessed)

Competition and antitrust law
Anti-bribery law
Stock exchange law (e.g. provisions on insider trading or ad hoc reporting obligations)
Corporate governance requirements (e.g. Swiss Code of Best Practice for Corporate Governance, OECD Principles of Corporate Governance)
Anti-money laundering law
Environmental law
Foreign trade law and export control
Legislation on external tax relations
Data protection and data security law
Labor law and personal rights (e.g., general anti-discrimination laws)
Industrial safety law

Your Benefit
(what is the benefit for your company)

Assurance that the CMS is adequately designed, implemented and / or operated

Assurance that the CMS is effective and that resources are being used efficiently

Increases the confidence in your organization

Liability reduction for the board of directors and the company

Maturity assessment of your compliance management

Strengthening of the internal and external perception of your efforts in the area(s) of compliance

SAS 870 Software Certification

Subject Matter, e.g.: (which processes, risks and controls are assessed)	Information Technology General Controls, particularly the software development cycle Business Process Controls Any other processes and controls related to the specific purpose of the software
Criteria, e.g.: (against which assessment criteria are the processes, risks and controls assessed)	Control Objectives for Information and Related Technologies (CobiT) Committee of Sponsoring Organizations of the Treadway Commission (COSO) ISO 27002:2013 Any other measurable criteria related to the specific purpose of the software
Your Benefit (what is the benefit for your company)	Software certificate, which can be distributed to prospective as well as current customers. Certificate confirms that software adheres to defined criteria, e.g. in the area of electronic archiving systems to the Ordinance on the Maintenance and Retention of Accounts (Accounts Ordinance; AccO - SR 221.431)
Potential Challenges	Certificate only confirms that software is able to meet the defined criteria in a certain version as well as in certain configuration / customizations if adequately implemented and operated Subsequent versions, in case of changes, may need to be recertified.

Attestations sur les contrôles liés au reporting financier

(ISAE 3402, SOC 1®, SSAE 18)

En vous accompagnant pour vos rapports des contrôles (p. ex., ISAE 3402 à l’échelle internationale ou, pour les États-Unis, SOC 1®, anciennement SAS 70 puis SSAE 16 ou 18), nous apportons de la transparence aux fonctions, processus, technologies et contrôles des organisations ayant un impact sur les transactions financières de vos clients et sur les processus de reporting financier. Typiquement, les destinataires traditionnels de ces rapports sont les départements comptables des parties prenantes et leurs auditeurs internes et externes.

Attestations allant au-delà des contrôles liés au reporting financier

(ISAE 3000, NAS 950, SOC 2®)

Les technologies émergentes et les évolutions réglementaires (blockchain, cloud, données relatives à la santé des patients, RGPD, réglementation liée à l’externalisation) imposent aux organisations de porter un regard au-delà des risques liés au reporting financier.

En utilisant les rapports de contrôles (tels que SOC 2® ou ISAE 3000 / SAS 950 à des standards de contrôle pertinentes dans le secteur, p. ex. les ’Trust Services Principles’ (TSP) ou les référentiels COSO/CoBiT), nous donnons aux organisations et aux parties prenantes (internes et externes) de l’assurance dans les domaines liés à la gestion des risques opérationnels, comme par exemple la (cyber-)sécurité, la confidentialité (des données), la disponibilité des services, l’intégrité et la confidentialité. L’éventail des destinataires (finaux) typiques de nos rapports est très large. Il va des destinataires de services internes / intra-groupe (p. ex. les centres de services informatiques partagés) aux destinataires de services externalisés (p. ex. les centres de données mutualisés, les fournisseurs de services cloud, etc.), en passant par les autorités réglementaires, les clients et parfois même le grand public.

Autres attestations de contrôles pour sous-traitants

(SOC 2+, SOC 3, HITRUST)

Alors que la demande de confiance et de transparence augmente dans de nombreux domaines d'activités, nous fournissons aux organisations des attestations (p. ex. SOC 2+ ou SOC 3®) basées sur les meilleures pratiques en termes d’environnements de contrôle.
Par exemple, nous fournissons des attestations dans le secteur de la santé / pharmaceutique. Avec le soutien de notre réseau, nous effectuons la vérification de l’état de préparation («readiness check»), assurons le suivi des mesures correctives et établissons la certification en tant qu’auditeur certifié HITRUST. Nous vous assistons pour la mise en œuvre du contrôle HITRUST, qui constitue le fondement d’un programme de contrôle de la sécurité et de la confidentialité / conformité d’une organisation pour le contrôle des risques liés aux informations sur la santé des patients.

Attestations pour systèmes de gestion de la conformité

(SAS 980, PS 980, NAS 980)

Nous sommes en mesure d’aider les organisations à appliquer les différents principes mis en exergue dans Norme d’Audit Suisse 980 et les directives relatives aux systèmes de gestion de la conformité. Nos activités de «readiness check», d’analyse d’écart et d’attestation portent sur la culture de conformité requise, les objectifs, les principaux risques, le programme global et les aspects de la responsabilité juridique, fiscale et sociale d’une organisation.

Les besoins grandissants en matière de confiance par la transparence montrent qu’il est important d’avoir des contrôles internes robustes dans les domaines de la gouvernance, de la gestion des risques et de la conformité.

Ralf HofstetterTrust and Transparency Solutions, PwC Switzerland

Que faisons-nous pour nos clients ?

Nous comprenons que nos clients veulent un partenaire commercial capable de les aider à élaborer un cadre de contrôle interne robuste qui réponde aux attentes de leurs clients, des autorités réglementaires et d’autres parties prenantes. Notre équipe évalue de manière indépendante l’efficacité du cadre de contrôle interne pour le compte de nos clients, conformément aux normes d’audit suisses et/ou internationales.

Nous avons développé des méthodologies de pointe qui minimisent l’impact sur les activités de nos clients. En appliquant nos méthodologies éprouvées, nous sommes en mesure de répondre aux attentes de nos clients et de mettre en place en peu de temps des rapports de contrôle de qualité élevée. Comment envisageons-nous l’évaluation indépendante des environnements de contrôle de nos clients conformément aux normes d’audit suisses et/ou internationales ? Vous souhaitez en savoir plus ? Cliquez sur le bouton ci-dessous.