19. juni 2010

Farvel til revisionsstandard 3411

- Og goddag til revisionsstandard ISAE 3402

En revisorerklæring efter revisionsstandard 3411 fra en uafhængig revisor har gennem en årrække været den erklæring, it-hostingvirksomheder og andre virksomheder har fået udfærdiget for at bevise over for kunder, offentlighed eller myndighed, at virksomhedens interne kontroller håndteres efter aftale, best practice samt gældende lovgivning (f.eks. Persondataloven).

3411-erklæringen, som den i visse kredse har været benævnt, er nu på vej ud til fordel for en 3402-erklæring. Og dette er faktisk godt nok, for når vi i Danmark har haft 3411-erklæringen, har man i andre lande haft tilsvarende nationale erklæringstyper:

  • Tyskland - IDW PS 951 og GoBS
  • England - Audit and Assurance Faculty Standard (AAF) 01/06
  • USA - Statement on Auditing Standards (SAS) nr. 70
  • Canada - Canadian Institute of Chartered Accountants (CICA) 5970
  • Japan - Audit Standards Committee Report nr. 18

Nu er der så ved at komme en global standard som de forskellige lande kan/skal følge – enten ved at "adoptere" ISAE-standarden 3402, eller ved at lade den nationale revisionsstandard følge ISA 3402.

Vores egen revisionsstandard 3411 har som sådan været (og er) god nok, og de fleste revisorer, som erklærer sig efter RS 3411, har også benyttet den relevante ISO 27000 ifm. revisionsarbejdet. Så det er ikke fordi RS 3411 er mere dårlig eller bedre en f.eks. den amerikanske SAS 70. Alligevel har det været anderledes. Det har f.eks. kun været amerikanske revisorer, der har kunne afgive en SAS 70-erklæring. Så når et dansk datterselskab af en amerikansk koncern har skulle have udfærdiget en revisionserklæring omkring generelle it-kontroller, har det amerikanske moderselskab typisk udbedt sig en SAS 70-erklæring, og så har danske revisorer som udgangspunkt ikke kunne afgive denne erklæring.

Noget nyt?

Revisionsstandard 3402 dækker som udgangspunkt det samme som en 3411-erklæring, eller rettere en 3411-erklæring dækker det samme som en 3402-erklæring, for 3402-erklæringen er udvidet på få områder. Det har dog typisk ikke indflydelse på danske forhold, så revisorer, der har arbejdet med 3411-erklæringer, bør ikke have noget at frygte.

ISAE 3402 træder i kraft for erklæringer afgivet efter 15. juni 2011.

 

Denne artikel er skrevet af Martin Brogaard Nielsen, der er ledende it-revisor, CISA, samt adm. direktør i REVI-IT A/S. REVI-IT er en statsautoriseret revisionsvirksomhed, der udelukkende arbejder med it-revision og it-ledelsesrådgivning herunder gennemgang af generelle it-kontroller, erklæringsafgivelse ifm. revisionsstandard RS 315, 330, 3000 og 3402, rådgivning ifm. risikoanalyser, beredskabsplanlægning, it-sikkerhedspolitikker.

Copyright REVI-IT. Det er ikke tilladt at gengive indhold uden REVI-IT's godkendelse. Se yderligere under Ansvar & Copyright.