ISAE-revisorerklæringer

Effektiv proces for ISAE 3000/3402-revisorerklæringer i samarbejde med Beierholm Godkendt Revisionspartnerselskab

Dokumentér jeres informationssikkerhed med de populære ISAE-erklæringer

Unitas tilbyder revisorerklæringer baseret på gængse standarder som ISAE 3000 og ISAE 3402. Disse erklæringer leveres i samarbejde med Beierholm Godkendt Revisionspartnerselskab.

Klik på grafikken for at forstørre illustrationen.

Læs videre nedenfor om den enkelte erklæringer og hvilke sammenhænge, de bedst finder anvendelse samt processen for at få udarbejdet en erklæring.

Vidste du at..?

ISAE-erklæringer baseret på 3000-standarden dækker over flere varianter?

1

ISAE 3000 er den typisk erklæring ifm. GDPR-efterlevelse.

2

ISAE 3402 er den typiske erklæring ifm. IT-tjenesteleverandører fx hosting.

3

NIS 2 har ikke sin egen erklæring endnu. Indtil videre består en ISAE NIS 2-erklæring af ISAE 3000 tillagt 10 kontroller fra ISAE 3402.

ISAE 3000 – revisorerklæring med sikkerhed​

ISAE står for International Standard on Assurance Engagements, og sætter standarden for hvorledes der skal gennemføres revisorerklæringer med sikkerhed og anvendes typisk i GDPR-sammenhæng.

Formålet med en ISAE 3000 revision er at give en uafhængig vurdering af et specifikt emne eller erklæring baseret på fastlagte kriterier. ISAE 3000 anvendes meget ofte til at revidere overholdelsen af krav i en databehandleraftale, men kan også anvendes til andre formål.

Erklæringen er typisk udarbejdet af en it-revisor og efterfølgende godkendt og underskrevet af en statsautoriseret revisor.

Unitas tilbyder at tilrettelægge al dokumentationen og gennemføre kontrollerne i form af en intern audit, således den endelige dokumentation ligger klar til den statsautoriserede revisor for godkendelse.

Da Unitas råder over it-revisorer med lang erfaring og de rette certificeringer (CISA, CDPSE), sikrer dette at både tilrettelæggelse, gennemførelse og udarbejdelse af revisorerklæringen er i erfarne hænder, og I kan derfor spare mange penge og optimere processen ved at vælge denne model.

Slutresultatet er en endelig erklæring med den statsautoriserede revisors underskrift. Endvidere udarbejder Unitas en klar handlingsplan for de evt. udeståender, der måtte være som resultat af revisionen.

Har I behov for en GDPR-compliance-rapport med særligt fokus på udvalgte områder, tilbyder vi også uvildige inspektionsrapporter. Se mere i afsnittet Den individuelle og uvildige inspektionsrapport.

Som dataansvarlig bør organisationen selv løbende kontrollere overholdelsen af databeskyttelsesforordningen for at kunne dokumentere, at GDPR efterleves. En effektiv måde at gøre dette på er gennem en ISAE 3000-erklæring, som tydeligt viser troværdighed og sikkerhed overfor interessenter, kunder og samarbejdspartnere. Med en sådan erklæring kan organisationen påvises, at GDPR-overholdelse ikke blot er en påstand, men en realitet, verificeret af en uafhængig tredjepart.

Derudover er det muligt, at en ISAE 3000-erklæring kræves af en eller flere kunder, som en del af deres tilsyn med deres databehandlere. Ofte er dette krav indskrevet i databehandleraftalen.

Revisionen kan omfatte en bred vifte af områder som:

    • Compliance: Overholdelse af love, regulativer og aftaler.

    • IT-sikkerhed: Evaluering af kontroller relateret til informationssikkerhed og databeskyttelse.

    • Kvalitetsstyringssystemer: Vurdering af implementering og effektivitet af kvalitetskontroller.

ISAE 3402 er en underspecialisering af ISAE 3000 erklæringen. Formålet med revisionen er at give en uafhængig vurdering af, hvorvidt serviceorganisationens interne kontroller er designet og fungerer effektivt. Dette er især relevant for virksomheder, der outsourcer væsentlige forretningsprocesser til tredjepart.

Erklæringen er typisk udarbejdet af en it-revisor og efterfølgende godkendt og underskrevet af en statsautoriseret revisor.

Unitas tilbyder at tilrettelægge al dokumentationen og gennemføre kontrollerne i form af en intern audit, således den endelige dokumentation ligger klar til den statsautoriserede revisor for godkendelse. Dette fremmer typisk behandlingstiden væsentligt, da forberedelserne til den statsautoriseret revisors arbejde er optimeret.

Da Unitas råder over it-revisorer med lang erfaring og de rette certificeringer (CISA), sikrer dette at både tilrettelæggelse, gennemførelse og udarbejdelse af revisorerklæringen er i erfarne hænder, og I kan derfor spare mange penge og optimere processen ved at vælge denne model.

Slutresultatet er en endelig erklæring med den statsautoriserede revisors underskrift. Endvidere udarbejder Unitas en klar handlingsplan for de evt. udeståender, der måtte være som resultat af revisionen.

Revisionen omfatter typisk følgende elementer:

     

      • Risikovurdering: Identifikation og vurdering af risici forbundet med de processer og systemer, som serviceorganisationen anvender.

      • Kontrolaktiviteter: Evaluering af de kontrolaktiviteter, der er designet til at mitigere de identificerede risici.

      • Test af kontroller: Udførelse af tests for at vurdere, om kontrollerne fungerer som påtænkt.

      • Rapportering: Udarbejdelse af en rapport, som beskriver revisionens resultater, herunder en beskrivelse af kontrollerne, de udførte tests og eventuelle fundne svagheder eller mangler.

    Den tilsvarende ISAE 3402 rapport anvendes typisk af jeres kunder og deres revisorer som en del af deres egen vurdering af risiko og kontrolmiljø. Rapporten giver kunderne sikkerhed for, at serviceorganisationen har etableret passende interne kontroller, der kan understøtte en pålidelig finansiel rapportering.

    SOC 1, 2 og 3 erklæringer

    SOC (Service Organization Control) erklæringer, bygger på amerikanske revisionsstandarder udgivet af AICPA (American Insititute of Certified Public Accountants).

    Der er mange ligheder mellem SOC og ISAE, og deres formål er det samme – at bidrage til brugerens tillid til det materiale en leverandør fremlægger.

    SOC 2 er den erklæring der oftest efterspørges herhjemme fra amerikanske leverandører, eller som amerikanske kunder efterspørger fra danske leverandører.

    SOC 2 bygger på en række TSC (Trust Services Criteria) der dækker over: Sikkerhed, tilgængelighed, fortrolighed, privacy, og integritet. Disse kriterier kan opfyldes ved at anvende anerkendte standarder som eksempelvis ISO27000/1 og NIST SP 800-53.

    Oftest kan en ISAE 3000 erklæring benyttes til passende dokumentation over for amerikanske leverandører uden det dog er en garanti herfor. Læs mere om ISAE 3000 ovenfor i de tidligere afsnit.

    Unitas kan tilbyde at tilrettelægge dokumentation og foretage intern audit i relation til SOC krav, så det er klar for et internationalt repræsenteret revisionsselskab at foretage selve revision og erklæring.

    Alt materiale udfærdiges på engelsk og kan suppleres at et formelt dokument der beskriver hvorledes erklæringen opfylder de relevante TSC.

    Både ISAE 3000 og ISAE 3402 erklæringer kan udfærdiges som hhv. type I eller type II

    Type I erklæring: Vurderer designet og implementeringen af de relevante kontroller på en bestemt dato. Den giver således en status på et givent tidspunkt og anvendes som regel som en førstegangserklæring, eller i forbindelse med en ny ydelse der kun lige er lanceret.

    Type II erklæring: Vurderer både design, implementering og effektiviteten af kontrollerne over en given periode, typisk 12 og mindst 6 måneder. Dette giver et mere dynamisk billede af, hvordan kontrollerne fungerer over tid og anvendes som regel som en del af den løbende opfølgning ved leverandører, eller som tilsyn med databehandlere.

    En ISAE3000 erklæring kan udtrykke enten begrænset sikkerhed (limited assurance) eller høj grad af sikkerhed (reasonable assurance) og er et udtryk for hvor omfattende revisors tests og undersøgelser har være for at nedbringe risikoen for at afvigelser ikke er blevet erkendt:

    • Begrænset sikkerhed: Giver en moderat grad af sikkerhed, hvor revisor formulerer en negativ konklusion, typisk “intet er kommet til vores kendskab, der giver anledning til at tro, at det fremlagte materiale ikke er retvisende”.
    • Høj grad af sikkerhed: Giver en høj grad af sikkerhed, hvor revisor formulerer en positiv konklusion, baseret på omfattende tests og vurderinger, typisk: ”vi kan med høj grad af sikkerhed konkludere at det fremlagte materiale i alt væsentlighed er retvisende”.

    Processen for en ISAE-revision omfatter følgende trin:

    1. Planlægning og forberedelse: Definition af opgavens omfang og mål, identifikation af de relevante kriterier og standarder samt aftale om revisionsmetodikken med klienten.
    2. Risikovurdering: Identifikation og vurdering af risici forbundet med det specifikke område, der skal vurderes. Dette indebærer en forståelse af konteksten og kontrolmiljøet.
    3. Kontrolaktiviteter og vurdering: Evaluering af de kontroller, der er designet til at håndtere de identificerede risici. Dette inkluderer en gennemgang af dokumentation og procedurer.
    4. Tilrettelæggelse af testhandlinger: Under hensyn til de evaluerede kontroller, tilrettelægges de testhandlinger der vurderes at være nødvendige for kunne opnå passende sikkerhed for at kontrollerne er implementeret og fungerer effektivt.
    5. Udførelse af tests: Implementering af tests og revisionsprocedurer for at indsamle bevis for, at kontrollerne fungerer effektivt og som beskrevet. Dette kan omfatte interviews, inspektion af dokumenter samt observation og genudførsel af procedurer og kontroller.
    6. Konklusion og rapportering: Udarbejdelse af revisorerklæringen, der beskriver revisionsarbejdet, herunder formål, omfang, metodologi, fund og konklusioner. Revisor udtrykker en konklusion baseret på det indsamlede bevis. Derudover rapporteres der til klienten om de observationer der er gjort under revisionen, således at viden om mulige uhensigtsmæssigheder eller svagheder i procedurer og kontrolmiljø kan adresseres.

    Kontakt os hvis du ønsker at høre mere om en optimeret og effektiv ISAE erklæringsproces.

    Kontakt Unitas – din partner i sikkerhed og compliance​

    Unitas leverer pålidelig rådgivning inden for compliance, IT- og informationssikkerhed. Med en pragmatisk tilgang hjælper vi virksomheder i regulerede brancher med at håndtere sikkerhed og driftsansvar effektivt. Kontakt os for en snak om, hvordan vi kan hjælpe dig.

    Formular til kontaktside

    Vi kaster om os med viden...

    Bestil dit gratis materiale her og modtag det om et par minutter i din indbakke. Tjek for en sikkerheds skyld din SPAM-folder om nødvendigt.

    Få tilsendt materiale bestilt på hjemmesiden

    Med på en læser? Tilmeld dig Unitas’ nyhedsbrev

    Tilmeldingsformular til nyhedsbrev

    UNITAS sårbarhedsscanning