Lær at forstå en ISAE-erklæring
Sådan bruger virksomheder i stigende grad ISAE-erklæringer som dokumentation i arbejdet med it-sikkerhed, leverandørstyring og interne kontroller.
Når du får en ISAE-erklæringsrapport på en snes sider eller mere, er det fristende at ”gemme den væk til en regnvejrsdag”.
Det bør du ikke gøre. For rapporten er et af de stærkeste beviser for, at din leverandør faktisk gør, hvad de lover på it-, drifts- og GDPR-området.
ISAE-erklæringer har længe været kendt som et klassisk revisions- og complianceværktøj. Men i takt med at virksomheder bliver mere afhængige af cloud-platforme, databehandlere og komplekse leverandørkæder, har erklæringerne fået en langt bredere rolle.
For mange ledelser er ISAE-erklæringen derfor blevet mere end et bilag til arkivet. Den bruges aktivt i dialogen med kunder, bestyrelse, revisorer og tilsynsmyndigheder.
Hvorfor ISAE-erklæringer fylder mere i dag
Historisk blev ISAE 3402 primært brugt til at dokumentere kontroller med betydning for kunders regnskaber og finansielle processer.
I dag er billedet langt bredere. Mange moderne erklæringer omfatter cloud-infrastruktur, SaaS-platforme, GDPR og databehandleransvar, adgangsstyring, beredskab samt styring af underleverandører og cyberrisici.
Dermed er ISAE-erklæringer blevet et vigtigt værktøj i arbejdet med både compliance og risikostyring.
Det gælder særligt for virksomheder, der outsourcer kritiske processer eller databehandling, men fortsat selv har ansvaret over for kunder, ejere og myndigheder.
Samspillet mellem ISAE, GDPR og NIS2
For virksomheder, der arbejder med GDPR og NIS2, spiller leverandørstyring en stadig større rolle.
Her bruges ISAE-erklæringer ofte som dokumentation for:
- sikkerhedskontroller hos leverandører
- governance og risikostyring
- håndtering af persondata
- drift, overvågning og beredskab.
Mange nyere ISAE 3000 GDPR-erklæringer er samtidig bygget op omkring standarder som ISO 27001/27002 og ISO 27701 og koblet direkte til konkrete GDPR-kontroller.
Det gør dem anvendelige i flere regulatoriske spor samtidig.
I praksis betyder det, at den samme erklæring ofte kan bruges både i GDPR-dokumentationen, som input til NIS2-risikovurderinger og i arbejdet med leverandørstyring og interne kontroller.
Cloud og databehandlerkæder gør billedet mere komplekst
En stor del af de erklæringer, virksomheder modtager i dag, handler ikke længere om klassisk hosting eller lokale servermiljøer.
De omfatter i stedet internationale cloud-platforme, SaaS-løsninger og komplekse databehandlerkæder med flere datacenterlokationer og sub-processorer.
Det betyder også, at mange erklæringer i dag er baseret på den såkaldte partielle metode, hvor underleverandører ikke nødvendigvis er omfattet direkte af revisors arbejde.
For kunderne stiller det større krav til aktiv leverandørstyring – og til forståelsen af, hvad erklæringen faktisk dækker.
Det gælder især i miljøer, hvor kritiske data, HR-processer eller centrale forretningssystemer håndteres via cloud-leverandører og internationale platforme.
ISAE som dokumentation i ESG- og CSRD-arbejdet
ISAE-erklæringer spiller også en voksende rolle i ESG- og CSRD-arbejdet.
I takt med at virksomheder arbejder mere struktureret med governance, datakvalitet og interne kontroller, bliver eksisterende ISAE-erklæringer ofte brugt som dokumentation for:
- styring af it- og cyberrisici
- interne kontrolmiljøer
- governance omkring data og leverandører
- datakvalitet og processer.
Det betyder ikke, at en ISAE-erklæring i sig selv opfylder CSRD-kravene. Men den kan være et vigtigt element i dokumentationen af virksomhedens processer, kontroller og risikostyring – særligt i relation til teknologi og data.
Derfor bør ledelsen interessere sig for ISAE-erklæringer
ISAE-erklæringer er ikke længere kun relevante for revisorer og compliancefunktioner.
I praksis bruges de i stigende grad i dialogen med bestyrelse og ledelse, kunder, samarbejdspartnere, banker og tilsynsmyndigheder.
For mange virksomheder giver erklæringerne et vigtigt indblik i sikkerhedsniveau, governance, leverandørafhængigheder og håndtering af cyber- og datarisici.
Det næste skridt handler derfor ikke nødvendigvis om flere erklæringer – men om at bruge dem mere aktivt i virksomhedens compliance-, risiko- og leverandørstyring.
For i sidste ende handler en ISAE-erklæring ikke kun om kontrol. Den handler også om tillid og dokumentation i en stadig mere kompleks digital virkelighed.
Kontakt vores erklæringseksperter
Hos Grant Thornton hjælper vi virksomheder med vurdering af ISAE-erklæringer, leverandørstyring og dokumentation af interne kontroller inden for it, GDPR og informationssikkerhed.
Du er velkommen til at kontakte vores specialister, hvis du vil drøfte, hvordan ISAE-erklæringer kan bruges mere aktivt i jeres arbejde med NIS2, cloud, cyberrisici og ESG.
