IT Revision og Rådgivning Vi er både it-revisorer, it-sikkerhedskonsulenter, GDPR-rådgivere og DPO’er.

Grant Thorntons afdeling for IT Risk Assurance & Advisory Services (ITRAAS) beskæftiger sig med alle de it-områder, som er relevante for Grant Thorntons kundekreds.

Vi arbejder både med at verificere og attestere serviceleverandørers it-systemer, hvad enten det gælder ISO 27001, ISO 27002, ISO 27701, GDPR, NIS2 i ISAE 3402 eller ISAE 3000 erklæringer, eller SOC1, SOC2 , ligesom vi arbejder med rådgivning for vores kunder, der ønsker at implementere disse standarder – eller bare har brug for et godt råd til, hvordan en databehandleraftale skal udarbejdes, eller hvordan et tilsyn ifm. GDPR skal tilrettelægges hos sin databehandler. 

Her på vores hjemmeside kan du læse mere om, hvilke ydelser vi har, hvordan de bedst kan tjene dig, og du kan også læse lidt om vores afdeling og referencer.

IT-revisorerklæringer

Krav til at kunne vise at en organisation efterlever enten lovgivning eller hvad der er aftalt i en kontrakt imellem en kunde og en leverandør, stiger og stiger. Compliancekrav kommer både fra lovgiver, men det kommer i lige så høj grad fra et ønske i markedet.

Revisorerklæringerne benævnt ISAE 3402 og ISAE 3000 er de mest anvendte rammer for at ekstern revisor kan attestere et givent forhold, hvor fællesnævneren er, at indholdet omhandler noget om IT. Det kan enten være GDPR, en outsourcet it-serviceleverance eller andet.

Udover ISAE 3402 og ISAE 3000, arbejder vi tillige med erklæringstyper, der henvender sig mere direkte til erklæringsbruger. Det kan være en revisorerklæring baseret på ISAE 3000 ift. NemID, MitID, til STIL (styrelse for it og læring) ifm. studieadministrative systemer, SOC2 mv.

Forberedelsesforløb inden ISAE-erklæringsarbejde

Vi faciliterer og projektstyrer ofte forberedelsesforløbet for vores kunder, når de står for at skulle lade en revisorerklæring udarbejde. Det er vores kunder, der gør arbejdet, men vi peger dem i den rigtige retning.

GAP analyser

Virksomheder kan ofte være i tvivl om, hvorvidt den efterlever, hvad der er nødvendigt, når det gælder ISO 27001   eller ISO 27002. Årsagen kan enten være, at virksomheden står foran en ISO certificering i f.eks. ISO 27001, eller det kan være, fordi den overvejer at lade sig revidere efter ISAE 3402 (ofte ISO 27002) eller ISAE 3000 (ofte målrettet GDPR eller cybersikkerhed).

Virksomheder kan også efterspørge vores GAP-analyse, fordi bestyrelsen eller direktionen har et ønske om en temperaturmåling i forhold best practice, som enten kan være nogle af de førnævnte standarder, eller en kvalitativ vurdering af, om virksomheden har en betryggende it-styring set i forhold til konkrete krav og behov, som virksomheden agerer i.

Der kan således udarbejdes GAP-analyse for mange faglige områder, men typisk vil det være:

• ISO 27001
• ISO 27002
• GDPR  
• NIS2
• NSIS    
• SOC2

Rådgivning – IT risici

Når vi ikke agerer som auditører, fungerer vi som rådgivere. Faktisk tror vi på, at de bedste auditører også skal have erfaring som rådgivere. Vores faglige felt er ISAE-erklæringer, ISO 27001, ISO 27002, GDPR, og dermed risikoanalyser, informationssikkerhedspolitikker, persondatapolitikker, beredskabsplaner, databehandleraftaler.

Vi beskæftiger os ligeledes inden for følgende områder, og vi vægter det højt, at vi rådgiver med en pragmatisk tilgang:

• GDPR (herunder ekstern DPO ydelse)
• ISO 27001/2 og ISO 27701 (herunder ISO 27001 certificering)
• NIS2
• NSIS
• IT due diligence
• Praktisk IT-sikkerhedsvurdering
• C5 kriterier (BSI i Tyskland)

Vores kernekompetence ligger i de strukturelle og lovgivningsmæssige overvejelser, vurderinger og tiltag inden for it-styring. Vores rådgivning begrænser sig derfor ikke til ovennævnte områder, men dækker bredt inden for god it-styring og it-ledelse. Vi rådgiver bl.a. en række bestyrelser om it-styring, årshjul for compliance mv., ligesom vi rådgiver en række investeringsselskaber, som har behov for at føre tilsyn med deres portefølje, for at sikre et erkendt niveau for compliance.