Usługi atestacyjne, w tym usługi oparte o standard ISAE 3402, ISAE 3000 i inne, są usługami, w których KPMG wydaje niezależną opinię skierowaną do odbiorców raportów na temat zgodności funkcjonowania systemu kontroli wewnętrznej danej organizacji w odniesieniu do uzgodnionych kryteriów.

W KPMG rozumiemy czynniki i ryzyko związane z prowadzoną działalnością i otoczeniem rynkowym każdej firmy. Zapewniamy niezależność oraz wiedzę, która wykracza poza opinię biegłego rewidenta, umożliwiając każdej firmie lepsze zrozumienie swojej organizacji. Nasz obiektywizm pomaga zidentyfikować pojawiające się zagrożenia i opracować odpowiednie rozwiązania.

Dedykowany zespół w ramach departamentu audytu (Assurance and IT Audit) wykonuje szereg tego typu usług, które są kierowane do firm świadczących dla innych podmiotów usługi istotne z punktu widzenia ich sprawozdań finansowych (organizacje usługowe – service organizations). Dotyczy to takich firm jak:

firmy świadczące usługi IT – centra przetwarzania danych, udostępnianie aplikacji (SaaS – Software as a Service) itp.
centra usług wspólnych,
banki-powiernicy
agenci transferowi / księgowość funduszy
firmy zarządzające nieruchomościami

Raporty takie skierowane są nie tylko do danej firmy, ale również jej klientów, a także (zwłaszcza w przypadku raportów ISAE 3402) ich audytorów.

Zespół Assurance and IT Audit oferuje również usługi atestacyjne dedykowane dla firm świadczących usługi, gdzie kluczowa jest poufność lub dostępność danych, np.: usługi IT w chmurze; przetwarzanie danych HR lub przetwarzanie danych medycznych.

W ramach tych usług dostępne są raporty typu:

SOC2 (Report on Controls at a Service Organization Relevant to Security, Availability, Processing Integrity, Confidentiality or Privacy) – typu 1 i typu 2

SOC3 (Trust Services Report for Service Organizations)

Oba typy raportów są wykonywane zgodnie z Międzynarodowym Standardem Usług Atestacyjnych ISAE 3000. SOC 2 jest rozwiązaniem w przypadku przekazywania bardziej szczegółowych informacji w postaci raportu z dostępem ograniczonym do klientów danej firmy, a SOC 3 – w przypadku krótkiego raportu z nieograniczonym dostępem (np. raportu dostępnego na stronie WWW firmy).

Alternatywą do raportów SOC 2 i SOC 3 są raporty ISAE 3000 w oparciu o inne ustalone kryteria. W przypadku zainteresowania klienta wyłącznie tematem ochrony osobowych, KPMG może wykonać usługę atestacyjną dotyczącą zgodności z wymogami Rozporządzenia 2016/679 (RODO lub GDPR) kończącą się wydaniem raportu ISAE 3000 w tym obszarze.

KPMG dodatkowo świadczy usługi atestacyjne związane z raportowaniem danych pozafinansowych (ESG) – zgodnie z wytycznymi uznanych standardów międzynarodowych (GRI, ISO26000, IIRC, Accounting for Sustainability).

Audyt IT

Co/outsourcing audytu IT jest usługą, w ramach której firmy korzystają z wiedzy i umiejętności specjalistów KPMG w zakresie Audytu IT. Usługa ta pozwala na efektywny z perspektywy kosztów dostęp do umiejętności, których brakuje w wewnętrznych zespołach firmy klienta, a które są potrzebne w danym momencie.