Når du modtager en ISAE-erklæring fra en leverandør, er det fristende bare at arkivere den. Men erklæringen er ofte et af de vigtigste beviser på, at leverandøren faktisk gør det, de lover, når det gælder it-drift, datasikkerhed og interne kontroller.
Det gælder især i en tid, hvor mange virksomheder er afhængige af cloud-løsninger, SaaS-platforme og eksterne databehandlere.
For at få reel værdi af erklæringen skal du kunne læse den – uden nødvendigvis selv at være revisor.
Denne artikel giver en praktisk introduktion til de to mest almindelige typer erklæringer: ISAE 3402 og ISAE 3000 GDPR.
Hvad er forskellen på ISAE 3402 og ISAE 3000 GDPR?
Selvom erklæringerne ofte ligner hinanden i opbygning, bruges de til forskellige formål.
ISAE 3402 – serviceorganisationskontrol
ISAE 3402 bruges typisk, når en leverandørs ydelser kan påvirke kundens regnskab eller interne kontroller.
Det gælder f.eks.:
- løn- og HR-løsninger
- økonomi- og ERP-systemer
- brancheplatforme med finansielle data
- it-drift med betydning for finansielle processer.
Erklæringen dokumenterer, at relevante kontroller er designet og fungerer som beskrevet.
ISAE 3000 GDPR – databeskyttelse og GDPR
ISAE 3000 GDPR bruges primært af databehandlere til at dokumentere efterlevelse af GDPR og databeskyttelsesloven.
Her vurderer revisor bl.a.:
- adgangsstyring og logning
- kryptering og netværkssikkerhed
- dataminimering og sletning
- håndtering af brud på persondatasikkerheden
- styring af underleverandører og sub-processorer.
I praksis bygger mange erklæringer på standarder som ISO 27001 og ISO 27701.
Sådan er en ISAE-erklæring bygget op
Uanset om du står med en ISAE 3402 eller ISAE 3000 GDPR, vil rapporten typisk indeholde:
- ledelsens udtalelse
- revisors erklæring
- system- og kontrolbeskrivelse
- kontrolmål og testresultater
- eventuelle observationer eller forbehold.
Strukturen er ofte ens på tværs af erklæringstyper. Det gør det lettere at genkende opbygningen, selvom emnet skifter fra finansielle kontroller til GDPR eller informationssikkerhed.
De vigtigste dele, du bør læse
Ledelsens udtalelse
Her beskriver leverandøren, hvilke systemer, processer og kontroller erklæringen omfatter.
Det er også her, du kan se:
- hvilke ydelser der er omfattet
- hvilke datacentre og platforme der bruges
- om der anvendes underleverandører eller sub-processorer.
Læs altid dette afsnit op imod jeres kontrakt og databehandleraftale.
Revisors konklusion
Konklusionen er et af de vigtigste afsnit i rapporten.
Her fremgår det, om:
- revisor afgiver en blank konklusion
- der er forbehold eller væsentlige observationer
- eller om der mangler tilstrækkeligt grundlag.
Hvis der er væsentlige afvigelser, bør de vurderes konkret i forhold til jeres risici og anvendelse af løsningen.
System- og kontrolbeskrivelsen
Dette er rapportens kerne.
Her beskrives bl.a.:
- organisation og ansvar
- sikkerhedsprocesser
- backup og beredskab
- adgangsstyring
- håndtering af leverandører
- kontroller omkring drift og data.
Det er ofte her, du bedst kan vurdere, om kontrolniveauet matcher jeres forventninger og krav.
Helhedsmetode eller partiel metode?
Et vigtigt punkt i mange erklæringer er, om de er baseret på helhedsmetoden eller partiel metode.
Ved helhedsmetoden omfatter revisors arbejde både leverandøren og relevante underleverandører.
Ved partiel metode omfatter erklæringen kun leverandørens egne kontroller, mens underleverandører håndteres via deres egne erklæringer og certificeringer.
I moderne cloud- og SaaS-løsninger ser man ofte partiel metode. Det betyder, at kunden selv skal være mere opmærksom på leverandørkæden.
Tjekliste: Fem spørgsmål du bør stille
Når du modtager en ISAE-erklæring, kan du med fordel starte med disse spørgsmål:
1. Hvad er scope?
Dækker erklæringen den konkrete løsning, vi bruger – eller kun dele af den?
2. Matcher kontrollen vores aftale?
Stemmer beskrivelserne overens med kontrakt, SLA og databehandleraftale?
3. Hvad siger revisors konklusion?
Er der forbehold, begrænset sikkerhed eller væsentlige observationer?
4. Dækker erklæringen hele leverandørkæden?
Er der tale om helhedsmetode eller partiel metode?
5. Kan erklæringen bruges i vores dokumentation?
Kan den bruges i arbejdet med GDPR, leverandørstyring eller interne kontroller?
Hvad betyder det i praksis?
En ISAE-erklæring er ikke bare dokumentation til arkivet.
Brugt rigtigt kan den give værdifuld indsigt i:
- leverandørens modenhed
- sikkerhedsniveau
- governance og processer
- risici i leverandørkæden
- og kvaliteten af interne kontroller.
For mange virksomheder er erklæringen derfor blevet et vigtigt værktøj i både leverandørstyring, compliance og risikostyring.
Kontakt os
Er I i tvivl om, hvordan en ISAE 3402- eller ISAE 3000 GDPR-erklæring skal læses og vurderes i praksis?
Hos Grant Thornton hjælper vi virksomheder med vurdering af ISAE-erklæringer, leverandørstyring og dokumentation af interne kontroller inden for it, GDPR og informationssikkerhed.
Du er velkommen til at kontakte os for en uforpligtende samtale.
