科技風險

服務組織控制報告（Service Organization Control Report，簡稱SOC報告或SOCR），使作為服務供應商的企業能夠向其服務使用組織（包含其外部審計人員）、投資者、管理層、監管機構等利害關係人，展示對於風險的控制現況，從SOC報告中獲得的透明度對於與所有利害關係人溝通信任並建立信心至關重要，同時有效的滿足服務使用組織對於取得服務供應商風險控管客觀評估資訊的期望。

• SOC 1關注與服務使用組織財務報告流程相關之內部控制，SOC 1報告旨在滿足服務使用組織之管理層及其內外部審計人員的需求，以評估服務供應商的控制對服務使用組織財務報告的影響，並建立對控制流程的信任與信心。
• SOC 2/3關注與資訊安全相關之安全性、可用性、處理完整性、保密性和隱私性要求，SOC 2報告旨在協助服務供應商滿足廣泛使用者對於資訊安全風險控制現況的需求。SOC 3報告則是以SOC 2報告為基礎，提供不含標準、控制和測試詳細資訊的報告，可以更自由地分發。
• SOC for Cyber 可協助企業滿足廣泛使用者的需求，這些使用者需要服務供應商網路安全風險管理計畫的資訊和保證。
• SOC for Supply Chian 可協助企業滿足利害關係人的需求，這些利害關係人需要企業的生產、製造或分銷商品的系統和控制的資訊和保證，以更好地了解其供應鏈中的風險。

安永團隊也提供預評服務，例如在執行有限或合理確信的鑑證工作（例如SOC報告）之前，對系統描述等主題事項進行初步的預先評估。

協議性程序（Agreed Upon Procedures，簡稱AUP）服務可協助企業傳達對於議定程序之控制測試獨立結果。安永團隊針對與企業或特定第三方報告使用者共同議定的一系列程序及其調查結果進行呈現和報告。

在科技採用的早期階段進行資訊科技風險評估可以識別潛在的業務風險並保護資料完整性。找出差距並採取措施減輕風險可以在實施之前增強對新系統的信心。

系統與流程評估包括對內部控制的評估，作為ERP（例如SAP S/4HANA）、應用系統或流程升級或實施的一部分。這些服務為科技或系統實施的前、中、後狀態提供內部控制及專案管理生命週期提供獨立評估，並提供領先實務建議供管理層參考。系統或流程的升級或實施評估可幫助企業：

• 確保內部控制相關考量已得到充分處理。
• 理解複雜的業務流程。
• 識別因流程或科技變更而引入的新風險和控制缺口，並基於最佳實務提供改善建議。

IT 合規與標準評估或確信查核服務幫助企業理解、準備並報告以因應快速變化的法律、法規和專業標準。這些服務協助企業以更可持續且高效的方式處理監管和特定行業（例如政府、醫療保健、金融服務）的科技合規需求。具體例子包括幫助企業遵守以下相關要求：

• 資訊安全法規（例如，上市上櫃公司資通安全管控指引、金融機構資訊系統安全基準、電子支付機構資訊系統標準及安全控管作業基準辦法、金融機構資通安全防護基準、金融機構辦理電子銀行業務安全控管作業基準、金融機構運用新興科技作業規範等）
• 個人資料保護法及施行細則
• 資訊安全成熟度模型
• 法規特定要求（例如，GDPR、HIPPA等）
• ISO/IEC 27001：資訊安全管理系統
  ISO/IEC 27017：雲服務資訊安全管理系統
  ISO/IEC 27018：雲服務個人資料保護管理系統
  ISO/IEC 27701：隱私資訊管理系統
• BS 10012：個人資訊管理系統
• 世界彩券組織（WLA）評估
• ESG報告中的數據與 IT 控制