Vi arbejder både med at verificere og attestere serviceleverandørers it-systemer, hvad enten det gælder ISO 27001, ISO 27002, ISO 27701, GDPR, NIS2 i ISAE 3402 eller ISAE 3000 erklæringer, eller SOC1, SOC2 , ligesom vi arbejder med rådgivning for vores kunder, der ønsker at implementere disse standarder – eller bare har brug for et godt råd til, hvordan en databehandleraftale skal udarbejdes, eller hvordan et tilsyn ifm. GDPR skal tilrettelægges hos sin databehandler.
Her på vores hjemmeside kan du læse mere om, hvilke ydelser vi har, hvordan de bedst kan tjene dig, og du kan også læse lidt om vores afdeling og referencer.
Der findes forskellige typer it-revisorerklæringer. Læs hvad forskellen på ISAE 3000 og ISAE 3402 er.
En ISAE 3000 revisorerklæring er resultatet af vores gennemgang, der beviser om jeres virksomhed overholder databeskyttelsesloven (GDPR) som databehandler.
Vi assisterer virksomheder i forløbet frem mod ISAE erklæringsarbejdet.
Vi rådgiver både store og små virksomheder om alt lige fra håndtering af governance, risk og compliance (GRC), til spørgsmål om GDPR, udarbejdelse af it-sikkerhedspolitikker (informationssikkerhedspolitikker), implementering af NSIS eller NIS2.
Virksomheder og offentlige organisationer kan være omfattet af NIS2, hvis man anses for at være en del af Danmarks kritiske infrastruktur. Vi assisterer i arbejdet henimod at blive NIS2-compliant.
Som it-revisorer er vi den uvildige part i it due diligence gennemgang ved virksomhedskøb, -salg eller -overtagelse. Vores detaljerede fagviden, fra det tekniske og det organisatoriske, gør, at vi ikke kun vurderer værdiansættelsen af hardwaren i virksomheden, vi vurderer mest af alt den forretningsmæssige værdi af systemerne.
En revisorerklæring af typen ISAE 3402 dokumenterer it-forholdene hos en virksomhed og fungerer ofte som bevis for, at virksomheden lever op til lovkrav og god it-skik.
ISAE 3000 Cyber er en it-revisorerklæring der er relevant, hvis man ønsker at vise hvilke sikringsniveau virksomheden har i forhold til cybersikkerhedsrisici.
For it sikkerhed kan GAP bruges til at påvise hvor der bør lægges ressourcer ift. hvor man gerne ser sin organisation være fremadrettet.
Vi hjælper med udarbejdelse af certificering omkring informationssikkerhed, hvor ISO 27001 er den mest anerkendte internationale standard.
Udbydere af MitID skal have tilladelse fra Digitaliseringsstyrelsen, for at udbyde løsningen. Vi hjælper med formkrav og indhold til hvad der skal til for at blive godkendt.
Vi udarbejder praktisk IT-sikkerhedsvurdering til brug i virksomhedens it-funktion, men mest af alt til brug af direktion og bestyrelse.
Der findes forskellige typer it-revisorerklæringer. Læs hvad forskellen på ISAE 3000 og ISAE 3402 er.
En revisorerklæring af typen ISAE 3402 dokumenterer it-forholdene hos en virksomhed og fungerer ofte som bevis for, at virksomheden lever op til lovkrav og god it-skik.
En ISAE 3000 revisorerklæring er resultatet af vores gennemgang, der beviser om jeres virksomhed overholder databeskyttelsesloven (GDPR) som databehandler.
ISAE 3000 Cyber er en it-revisorerklæring der er relevant, hvis man ønsker at vise hvilke sikringsniveau virksomheden har i forhold til cybersikkerhedsrisici.
Vi assisterer virksomheder i forløbet frem mod ISAE erklæringsarbejdet.
For it sikkerhed kan GAP bruges til at påvise hvor der bør lægges ressourcer ift. hvor man gerne ser sin organisation være fremadrettet.
Vi rådgiver både store og små virksomheder om alt lige fra håndtering af governance, risk og compliance (GRC), til spørgsmål om GDPR, udarbejdelse af it-sikkerhedspolitikker (informationssikkerhedspolitikker), implementering af NSIS eller NIS2.
Vi hjælper med udarbejdelse af certificering omkring informationssikkerhed, hvor ISO 27001 er den mest anerkendte internationale standard.
Virksomheder og offentlige organisationer kan være omfattet af NIS2, hvis man anses for at være en del af Danmarks kritiske infrastruktur. Vi assisterer i arbejdet henimod at blive NIS2-compliant.
Udbydere af MitID skal have tilladelse fra Digitaliseringsstyrelsen, for at udbyde løsningen. Vi hjælper med formkrav og indhold til hvad der skal til for at blive godkendt.
Som it-revisorer er vi den uvildige part i it due diligence gennemgang ved virksomhedskøb, -salg eller -overtagelse. Vores detaljerede fagviden, fra det tekniske og det organisatoriske, gør, at vi ikke kun vurderer værdiansættelsen af hardwaren i virksomheden, vi vurderer mest af alt den forretningsmæssige værdi af systemerne.
Vi udarbejder praktisk IT-sikkerhedsvurdering til brug i virksomhedens it-funktion, men mest af alt til brug af direktion og bestyrelse.
Krav til at kunne vise at en organisation efterlever enten lovgivning eller hvad der er aftalt i en kontrakt imellem en kunde og en leverandør, stiger og stiger. Compliancekrav kommer både fra lovgiver, men det kommer i lige så høj grad fra et ønske i markedet.
Revisorerklæringerne benævnt ISAE 3402 og ISAE 3000 er de mest anvendte rammer for at ekstern revisor kan attestere et givent forhold, hvor fællesnævneren er, at indholdet omhandler noget om IT. Det kan enten være GDPR, en outsourcet it-serviceleverance eller andet.
Udover ISAE 3402 og ISAE 3000, arbejder vi tillige med erklæringstyper, der henvender sig mere direkte til erklæringsbruger. Det kan være en revisorerklæring baseret på ISAE 3000 ift. NemID, MitID, til STIL (styrelse for it og læring) ifm. studieadministrative systemer, SOC2 mv.
Vi faciliterer og projektstyrer ofte forberedelsesforløbet for vores kunder, når de står for at skulle lade en revisorerklæring udarbejde. Det er vores kunder, der gør arbejdet, men vi peger dem i den rigtige retning.
Virksomheder kan ofte være i tvivl om, hvorvidt den efterlever, hvad der er nødvendigt, når det gælder ISO 27001 eller ISO 27002. Årsagen kan enten være, at virksomheden står foran en ISO certificering i f.eks. ISO 27001, eller det kan være, fordi den overvejer at lade sig revidere efter ISAE 3402 (ofte ISO 27002) eller ISAE 3000 (ofte målrettet GDPR eller cybersikkerhed).
Virksomheder kan også efterspørge vores GAP-analyse, fordi bestyrelsen eller direktionen har et ønske om en temperaturmåling i forhold best practice, som enten kan være nogle af de førnævnte standarder, eller en kvalitativ vurdering af, om virksomheden har en betryggende it-styring set i forhold til konkrete krav og behov, som virksomheden agerer i.
Der kan således udarbejdes GAP-analyse for mange faglige områder, men typisk vil det være:
Når vi ikke agerer som auditører, fungerer vi som rådgivere. Faktisk tror vi på, at de bedste auditører også skal have erfaring som rådgivere. Vores faglige felt er ISAE-erklæringer, ISO 27001, ISO 27002, GDPR, og dermed risikoanalyser, informationssikkerhedspolitikker, persondatapolitikker, beredskabsplaner, databehandleraftaler.
Vi beskæftiger os ligeledes inden for følgende områder, og vi vægter det højt, at vi rådgiver med en pragmatisk tilgang:
Vores kernekompetence ligger i de strukturelle og lovgivningsmæssige overvejelser, vurderinger og tiltag inden for it-styring. Vores rådgivning begrænser sig derfor ikke til ovennævnte områder, men dækker bredt inden for god it-styring og it-ledelse. Vi rådgiver bl.a. en række bestyrelser om it-styring, årshjul for compliance mv., ligesom vi rådgiver en række investeringsselskaber, som har behov for at føre tilsyn med deres portefølje, for at sikre et erkendt niveau for compliance.
Vi er en del af Grant Thornton International. Vi samarbejder på tværs af landegrænser, og ved at samarbejde med os, er der nem og fri adgang til professionelle i hele verden. Det er væsentligt, når der er mange forskellige compliancekrav på tværs af landegrænser, og samarbejdet gør, at vi har et unikt indblik i, hvad der er markedskonformt af compliancebeviser i de forskellige lande.
Medarbejderne i vores IT Risk Assurance & Advisory Service, er en god blanding af personer med teknisk viden, revisionsfaglig viden, og lovgivningsmæssig viden, men mest af alt med en pragmatisk tilgang til både rådgivning og it-revisionsopgaverne.
Langt de fleste er i besiddelse af en række særlige certificeringer (CISA, CRISK, CISM, CIPP/E etc.), som er relevante for vores branche, og som kun opnås ved at have en betragtelig erfaring. Herudover er langt de fleste kandidater enten med en revisionsteoretisk baggrund (cand.merc.aud), juridisk (cand.jur. eller cand.merc.jur.) eller datascience uddannelse af ITU eller Aalborg Universitet.
Vi har kunder i alle størrelser – lige fra det nye start-up, til den store internationale organisation eller statslige myndighed.
Årligt afgiver vi mange hundrede erklæringer om ISO 27002, GDPR eller andet relevant, ligesom vi rådgiver virksomheder om it-ledelsesforhold. Vi er givet anderledes end andre, for vi går efter bolden, tænker i de rigtige løsninger for vores kunder, og mindre på timer – og antallet af mødedeltagere.
