HVAD ER EN ISAE 3402-ERKLÆRING?

En revisorerklæring af typen ISAE 3402 dokumenterer ordentlige it-forhold hos en virksomhed og fungerer som bevis for, at I lever op til lovkrav og god it-skik.

Nogle virksomheder får lavet en ISAE 3402 grundet krav fra kunder og samarbejdspartnere; andre får dem for at sende et signal om troværdighed og sikkerhed til eksisterende og potentielle kunder. Ofte er der simpelthen lovkrav om, at man inden for bestemte brancher eller services skal have en revisorerklæring, eller at man skal bruge en leverandør, som har en revisorerklæring.

Som statsautoriserede it-revisorer kan vi erklære os efter en revisionsstandard om, at ”det du siger, at du leverer, også er det, du leverer.”

Hvad omhandler ISAE 3402 erklæringen?

En ISAE 3402-erklæring giver et billede af den generelle tilstand af jeres it-organisation.

Erklæringen forholder sig til alle forretningsgange omkring it-funktionen, som er del af eller kan påvirke den finansielle rapportering: Udvikling, drift, beredskab, dokumentation, mv. Den forholder sig også til det helt lavpraktiske som fx de fysiske forhold, såsom hvordan er servere/datacenter placeret.

Når vi laver en sådan erklæring for en virksomhed, gennemgår vi dokumentation og foretager stikprøvevis kontrol af de forskellige områder, med udgangspunkt i ISO 27001/2.

Dette munder ud i en erklæring med vores observationer og eventuelt en rapport med vores vurderinger og eventuelle anbefalinger.

Hvordan forbereder vi os til erklæringsarbejdet?

Man kan sige, at revisorerklæringen er toppen af isbjerget – bag den danner jeres interne arbejdsgange, procedurer og dokumenter grundlaget for erklæringen.

Vores rolle i erklæringsafgivelsen er at gennemgå og vurdere, hvordan jeres forhold er – og derfor kan I også opleve, at der undervejs skal justeres på jeres procedurer i it-organisationen.

Vores erfaring er, at kunder undervejs i erklæringsarbejdet oplever en forbedring af deres it-organisation gennem fx dokumentation af procedurer eller en revurdering af it-sikkerhedspolitikken – fordi der skal leves op til kravene i den standard, som revisorerklæringen bygger på.

Allokering af tid og ressourcer

Under ISAE 3402 erklæringsarbejdet vil vi løbende være i kontakt med hinanden. Derfor skal der etableres en kontaktperson både hos os og hos jer.

Samtidig får vi også brug for at interviewe relevante personer i jeres it-organisation, så vi kan kort-lægge, hvordan procedurerne er hos jer, og hvordan de bliver fulgt.

Så snart vi har aftalt at etablere et samarbejde, vil vi udarbejde en tids- og procesplan, hvori vi i fællesskab fastlægger kontaktpersoner, deadlines, milepæle for arbejdet, med videre.

Opstartsmøde og dokumentation

I forlængelse af aftaleindgåelsen om erklæringsarbejdet aftaler vi et opstartsmøde. På mødet planlægger vi omfang, afklarer forventninger, og gennemgår tidsplanen.

I forbindelse med vores erklæringsarbejde får vi brug for dokumentation for jeres procedurer og foranstaltninger – dette kan med fordel medbringes til opstartsmødet. Eksempelvis:

  • Risikovurdering
  • It-sikkerhedspolitik
  • Beredskabsplan
  • Logningsstrategi
  • Procedure for backup
  • Identifikation af nøglepersoner i organisationen.

Hvordan kommer samarbejdet til at være?

Vi tror på, at det bedste resultat i erklæringsafgivelsen kommer via et tæt og personligt samarbejde med kunden. Vi skal ikke alene erklære os om forholdene hos jer, vi er også konstruktive i vores tilgang, så I ved, hvordan I kan forbedre eventuelle forhold.

Derfor står vi selvfølgelig også til rådighed undervejs, hvis I har brug for vejledning og rådgivning.