REVISORERKLÆRINGER

Revisorerklæringer efter revisionsstandard ISAE 3402 (tidl.RS 3411), revisionsstandard ISAE 3000 og ISRS 4400.

Flere og flere virksomheder, der leverer “forretningsservice” (typisk it-outsourcingvirksomheder), vælger at få udarbejdet en eller flere revisorerklæringer omkring virksomhedens leverance. Populært sagt er det sådan, at vi som statsautoriserede revisorer kan erklære os efter revisionsstandard ISAE 3402 (tidl. revisionsstandard RS 3411), om, at “hvad du siger, du leverer, er også det, du leverer”. Dette vil ofte være en gevinst for fx it-outsourcingvirksomheder, idet flere og flere af denne type kunder afkræver en sådan.

Finansielle virksomheder samt en række offentlige instanser er herudover afkrævet at vælge leverandører der kan præsentere en revisionserklæring. Dette er typisk inden for it-outsourcingområdet.

En erklæring giver virksomheden mulighed for:

  • At kunne tilbyde kunder en erklæring om sikkerhedsniveauet som udtryk for kvalitet og sikkerhed knyttet til de aftalte ydelser
  • At kunne dokumentere et givent sikkerhedsniveau, hvilket er et naturligt salgsparameter og kan være afgørende for en kundes beslutning om valg af outsourcing-leverandør
  • At få dokumenteret den udførte gennemgang via en rapport, som omfatter konstruktive anbefalinger til forbedringer af sikkerhedsniveauet i det omfang, der måtte være identificeret et behov herfor
  • At givne it-sikkerhedsstandarder lægges til grund for vurderingen, eks. DS 484, ISO 27001/27002, God it-skik, CobIT eller andre
  • At kunne signalere overfor omverden, at virksomheden har ladet uafhængige revisorer gennemgå virksomhedens forhold, hvilket i mange tilfælde kan medvirke positivt i virksomhedens markedsføring.

Vi erklærer os efter de danske revisionsstandarder (RS) 315, 330 og 3000 samt den internationale (og dansk adopterede) ISAE 3402, som alle på hver sin måde er bundet op på førnævnte detailstandarder inden for it-sikkerhed og kontrolmiljø.

Tidligere eksisterede en national standard, der dækker den nuværende ISAE 3402, der hed RS 3411. Revisor erklærede sig omkring generelle it-kontroller, og det kunne ske efter en type-A eller en type-B, som henholdsvis var med begrænset grad af sikkerhed eller høj grad af sikkerhed. ISAE 3402 kan også afgives efter to typer – en type-I eller en type-II – men modsat RS 3411 er både type-I og type-II med høj grad af sikkerhed. Forskellen er overordnet, at hvor revisor erklærer sig om en periode (typisk ét år) ved en type-II gennemgang, erklærer revisor sig alene om forholdene på tidspunktet for erklæringsafgivelse ved en type-I gennemgang.

Særlige revisorerklæringer

Vi assisterer herudover ved en række øvrige erklæringsafgivelser, hvor der er tale om et specifikt regelsæt eller lovgrundlag. Vi har løst erklæringsopgaver såsom:

  • MS VPA (revisor erklæring til Microsoft ifm. Microsoft Vendor Privacy Assurance Program)
  • AMS (revisorerklæring til den danske Arbejdsmarkedsstyrelse ifm. Anden Aktørs adgang til Arbejdsmarkedsportalen for overholdelse af Persondataloven (registerloven) og tilhørende Sikkerhedsbekendtgørelse)
  • OIS (Den Offentlige Informations Server – revisorerklæring til Erhvervs- og Byggestyrelsen ifm. datadistributørs adgang til OIS).

Produktblade

Du kan læse mere om de forskellige revisorerklæringer i vores produktblade om emnet: 

Du kan også downloade pdf’er fra ovenstående links.

 

ISO-standard 
for erklæringer

Vores erklæringsarbejde tager udgangspunkt i den internationale standard ISO27001/2. Denne standard opstiller krav til ledelsessystemer for informationssikkerhed. Normalt tænker man umiddelbart på it i denne forbindelse, men ISO-standarden rækker ud over det, og dækker eksempelvis også fysiske rammer, dokumenter, og medarbejdernes kompetencer – da disse også har indflydelse på informationssikkerheden. 

LÆS MERE