ISAE3402 REVISORERKLÆRING

Virksomheder, som behandler økonomidata for kunder kan med stor fordel få lavet en ISAE3402 revisorerklæring. Den beviser overfor kunderne at man har ordentlige IT-forhold og lever op til lovkrav om god IT-skik. databehandleraftaler.

Facts om ISAE3402

ISAE3402 er en international anerkendt revisionsstandard, som benyttes til revision af sikkerheden i ITsystemer. Den er især beregnet til virksomheder, som behandler økonomidata for kunder, men dækker også andre former for databehandling – dog ikke persondata.

DOKUMENTER & LINKS

100% styr på GPDR og IT-sikkerhed

At få en ISAE3402 er ganske omfattende og kræver at man har styr på IT-sikkerheden i virksomheden og i de services, som man leverer. Den viser overfor kunderne at ”det man siger man gør” – rent faktisk også er det man gør. Altså at man laver backup, opdaterer systemer, sletter testdata osv.

Krav fra kunder og samarbejdspartnere

Mange offentlige og private virksomheder, stiller krav om at leverandøren kan fremvise en ISAE3402 revisorerklæring. Også selvom man ikke behandler deres økonomidata. Det gør de typisk ved at den er skrevet ind i deres databehandler-aftale eller hosting kontrakt mv.

Værdien af en ISAE3402

Virksomheder med en ISAE3402 revisorerklæring har politikker, procedurer og kontroller på plads og efterlever dem i det daglige arbejde. Det har en revisor skrevet under på. Man fremstår derfor som en professionel virksomhed, som tager informationssikkerhed alvorligt.

Store krav til organisation og ledelse

Det er ikke nemt at lave forarbejdet til en ISAE3402 revisorerklæring. Det kræver opbygning af en sikkerhedsorganisation i virksomheden og at der indføres politikker, procedurer og kontroller. Bagefter skal man sikre at de overholdes alle ugens dage, året rundt. 

Sikkerhedsorganisationen skal være forankret i ledelsen da ansvaret altid placeres her. Ledelsen kan vælge at uddelegere opgaver men har stadig det overordnede ansvar. Deltager ledelsen ikke aktivt i at politikker, procedurer og kontroller overholdes risikerer man at revisorerklæringen falder til jorden ved
næste revision.

ULRIK HOLM NIELSEN

Tel. +45 46 97 50 60

Vi hjælper med at komme hurtigt i mål

Det er ressourcekrævende at blive klar til revision. Vi har hjulpet flere virksomheder med ISAE3000 og har derfor stor erfaring med processen. Samtidigt har vi  alle de nødvendige dokumenter. De skal blot tilrettes og implementeres i virksomheden. Det afkorter processen og gør det billigere at komme i mål.

Vi samarbejder med BDO

Vi samarbejder med BDO omkring ISAE3000 og ISAE3402 revisorerklæringer. Det gør klargøring til revision nemmere, da vi i forvejen kender kravene, BDO stiller til virksomheden og kan sikre at de er opfyldt før revisionen. BDO er verdens femte største revisionsselskab med over 80.000 ansatte, og er anerkendt af virksomheder
worldwide.

Vi tilbyder:

  • Gap-analyse – analyse af modenhed i forhold til kravene i ISAE3402.

  • Projektledelse – styring af alle projektets faser.

  • Politikker, procedurer og kontroller – udarbejdelse af alle dokumenter.

  • Hjælp til revision – vi deltager i revisionen som jeres rådgiver.

  • Hjælp til implementering – systemer og værtøjer til styring af IT-sikkerhed.

  • Undervisning – vi underviser medarbejdere i IT-sikkerhed.

SPØRGSMÅL OG SVAR

Hvorfor lave en ISAE3000?


Mange offentlige institutioner, og private virksomheder, stiller i stigende grad krav om, at man har en ISAE3000 revisorerklæring hvis man behandler deres persondata. Det vil typisk fremgå af den databehandle som man indgår. Har man ikke erklæringen, er der risiko for at bliver fravalgt som leverandør.




Hvad er formålet med ISAE3000?


Formålet med ISAE3000 er at dokumentere, at man lever op til databeskyttelsesforordningens (GDPR) regler om behandling af persondata.




Skal ISAE3000 omfatte hele virksomheden?


Det behøver den ikke. Hvis man f.eks. har en webshop, eller yder en service på Internettet, der behandler persondata kan man vælge, at kun dette skal indgå i revisionen. Det er selvfølgeligt hensigtsmæssigt at man har 100% styr på virksomhedens egen GDPR (behandling af medarbejderdata osv.) men det behøver ikke, at indgå i revisorerklæringen.




Hvordan foregår revisionen?


Når man har implementeret de nødvendige politikker, procedurer og kontroller (og bevist at de virker i praksis) tilkalder man det uvildige revisionsselskab, som man har indgået samarbejde med.

De fremsender en materialeliste over de dokumenter som de skal bruge til revisonen. Man sender herefter dokumenterne, så de kan forbedrede revisionen.

Efterfølgende sender revisionsselskabet en eller flere IT-revisorer ud til din virksomheden (afhængig af omfang). De bruger normalt 2-3 dage på at lave stikprøver, stille spørgsmål og danne sig et indtryk af at "det man har siger man gør faktisk også er det man gør".
Når IT-revisorerne er færdige kan der være opfølgende spørgmål, som skal afklares inden man får den endelige ISAE3000 revisionserklæring.




Kan man selv udføre revisionen?


Nej - revisionen skal udføres af et uvildigt revisionsselskab. Man kan derimod selv modne (klargøre) virksomheden til revisonen. Det forudsætter at man har tid og ressourcer til opgaven. Vi kan hjælpe med de fornødne skabeloner, og råd og vejledning, hvis virksomheden selv vil stå for processen.




Hvad er forskellen på ISAE3000 Type 1 og Type 2?


Øjebliksrevision (Type 1):
Dette er den første revision som gennemføres i virksomheden. Her kigger IT-revisorerne på det arbejde, som man har gennemørt for at overholde kravene i ISAE3000. Det svarer til, at man bygger en bil og viser at den kan starte.

Perioderevision (Type 2):
Den efterfølgende revision dækker en periode - f.eks. et år. Her kigger IT-revisionerne på om man har overholdt, det som man har beskrevet i Type 1. Det svarer til at man viser at bilen man byggede er driftssikker, har fået skiftet olie osv.




Hvordan vedligeholder man sin ISAE3000?


Man vedligeholder sin ISAE3000 ved, at overholde det man har beskrevet i sine politikker, procedurer og kontroller.

For at sikre, at politikker og procedurer bliver overholdt følger man sine kontroller. Det kan f.eks. være en kontrol af at alle databehandleraftaler er up-to-date og valide, at der er genenmført backup, at medarbejderne har modtaget træning i GDPR og IT-sikkehed osv.
Ved næste revision vil IT-revisoren bede om dokumentation for, at alle kontroller er gennemført og udtage stikprøver.




Kan e-ducators lave vores revision?


Nej - det skal gøres af en uafhængig revisor. Vi samarbejder med BDO men hjælper også gerne hvis i f.eks. benytter PcW, Revi-IT, Beierholm eller andre revisionsselskaber.

Vores opgave er at hjælpe med klargøre (modne) virksomheden til revision. Vi er jeres sparringspartner i forhold til IT-revisorerne og får tingene til at glide nemmere da vi taler samme sprog som dem.

Vi deltager gerne i hele processen og i den endelige revision.




Kan e-ducators vedligeholde vores ISAE3000?


Vi hjælper gerne med at vedligeholde jeres ISAE3000. Det kan f.eks. være ved at gennemføre kontroller, opdatere dokumenter, undervise medarbejdere i GDPR og IT-sikkerhed, gennemføre DPIA osv.




Hvorfor bruge e-ducators?


Vi har gennemført ISAE3000 for en række virksomheder og har derfor stor erfaring med processen samt alle nødvendige dokumenter, for at komme hurtigere i mål.





HVORFOR VÆLGE OS?

Vi er vant til at arbejde med governance, risk og compliance og har en pragmatisk tilgang til opgaven. Samtidigt taler vi et sprog, som alle kan forstå.