Las empresas están subcontratando cada vez más las funciones comerciales no básicas. Sin embargo, las empresas son en última instancia responsables de su entorno de control. Esto ha llevado a mayor demanda de control de aseguramiento de actividades realizadas por terceros. KPMG entiende los riesgos y desafíos asociados con la subcontratación y puede ayudar a las empresas a satisfacer la creciente demanda de control de garantía.

KPMG proporciona una gama de servicios de certificación para ayudar a las organizaciones a satisfacer los requisitos de terceros para el examen independiente de sus Procesos, entornos informáticos, y sistemas.

Los servicios de atestación más comunes incluyen el Informes de Control de Organización de Servicios (SOC 1 y 2), que son realizado bajo las normas ISAE 3402 e ISAE 3000, respectivamente. Un examen de SOC es un ampliamente reconocido representación de que una organización de servicios ha sido a través de un examen independiente y en profundidad de sus controles internos.

ISAE 3402 – SOC1
El informe ISAE 3402 proporciona orientación para permitir una auditor independiente (auditor de servicio) para emitir una opinión en la descripción de una organización de servicios de su sistema y la idoneidad del diseño y la eficacia operativa de los controles a través de un Informe del Auditor de Servicio. Las empresas están obligadas a definir su propio control, objetivos y actividades que respondan a las necesidades de sus clientes. El informe generalmente cubre los controles generales de TI (por ejemplo, administración de seguridad, seguridad física y lógica, control de cambios, monitoreo de redes y sistemas, y desarrollo de sistemas) así como el procesamiento de transacciones, aplicación, y otros controles específicos del servicio.

ISAE 3000 – SOC2
KPMG usa los Principios y Criterios de Trust Services, un conjunto de requisitos específicos desarrollados por el AICPA e Instituto Canadiense de Contadores Públicos (CICA) para proporcionar seguridad y confianza del como el tercero procesa u opera los datos de la Compañía. Los principios y criterios son específicamente definido para seguridad, disponibilidad, confidencialidad, procesamiento, integridad y privacidad. Esto se ha hecho de forma modular de modo que un informe SOC2 puede cubrir uno o más de los principios, dependiendo en las necesidades de la organización de servicios y sus usuarios.