ISAE 3000 og ISAE 3402 – de mest almindelige erklæringer

Der findes flere typer it-revisorerklæringer, der bruges til forskellige formål og virksomheder. De kan også omfatte forskellige tidsperioder. 

Erklæringerne har dog det til fælles, at de er internationale erklæringsstandarder. Derfor fungerer de også som dokumentation over for kunder og samarbejdspartnere i udlandet.

To af de mest almindelige it-revisorerklæringer er: 

• ISAE 3000 – Databehandlererklæring
• ISAE 3402 – Generelle it-kontroller

ISAE 3000 – Databehandlererklæring

Som revisorer udtaler vi os her med høj grad af sikkerhed om de tekniske og organisatoriske sikkerhedsforanstaltninger, I som databehandlere har indført for at beskytte de oplysninger, I håndterer på vegne af jeres kunder.

ISAE 3402 – Generelle it-kontroller

Denne erklæring afgiver vi, hvis din virksomhed er it-serviceleverandør – det kan fx være hosting, drift af en it-funktion, opbevaring af data for kunder eller levering af Software as a Service (SaaS). En ISAE 3402-erklæring giver et billede af den generelle tilstand af jeres styring af informationssikkerheden og spænder bredt – fra de it-relaterede forretningsgange, der kan påvirke den finansielle rapportering til den fysiske placering af jeres servere. Udgangspunktet for vores arbejde er ISO 27001, den internationale ledelsesstandard for informationssikkerhed.

Et øjebliksbillede (type 1) eller en periodeerklæring (type 2)

Erklæringerne bliver udarbejdet som enten et øjebliksbillede (type 1) eller en periodeerklæring (type 2).

Et øjebliksbillede: Denne erklæring handler om, hvordan jeres kontroller er udformet (designet) og implementeret. Som it-revisorer udfører vi en række handlinger, så vi kan udtale os med høj grad af sikkerhed om, hvorvidt jeres beskrivelse af ydelserne og kontroller i alle væsentlige henseender er retvisende, og om kontrollerne i alle væsentlige henseender er udformet hensigtsmæssigt.

Periodeerklæring: Denne erklæring handler om jeres udformning (design), implementering og effektivitet af beskrevne kontroller i en specifik periode, typisk 12 måneder. Også her udfører vi som it-revisorer en række handlinger, så vi med høj grad af sikkerhed kan udtale os om, hvorvidt jeres beskrivelser af ydelser og kontroller er retvisende i alle væsentlige henseender. Vi efterprøver også, om kontrollerne er udformet hensigtsmæssigt, og om kontrollerne i alle væsentlige henseender har fungeret effektivt i perioden.

Læs mere om it-revisorerklæringer:

• Forside: It-revision
• Hvad er en it-revisorerklæring?
• ISAE 3000 og ISAE 3402
• Hvorfor vælge en it-revisorerklæring?
• Hvordan får jeg en it-revisorerklæring?

Vil du vide mere?

Det kan godt være komplekst at afgøre, om man skal have den ene eller den anden erklæring, og der er også flere faktorer, der spiller ind. Derfor anbefaler vi, at du søger råd og vejledning, før du træffer en beslutning om at få eller ikke få en it-revisorerklæring.

Vil du vide mere om de forskellige erklæringstyper, hvad de kræver, og hvordan de kan løfte sikkerhed og kvalitet i din virksomhed, så kontakt os for et uforpligtende sparringsmøde.