-
Nyhed Få tilskud på op til 50.000 kr. til digitale løsningerFå tilskud på op til 50.000 kr. til rådgivning om digitale løsninger eller sikkerhedsforhold, såsom GDPR, ISAE 3402/3000-forløb, NIS2 GAP-analyse eller andet relateret gennem SMV:Digital. Ansøg fra 26. august 2024.
-
Nyhed Morten Høgh Petersen er ny partner hos Grant ThorntonGrant Thornton byder velkommen til ny partner Morten Høgh Petersen fra 1. august 2024.
-
Nyhed Ny partner: Asger Lehmann Høj bliver Tax Partner i Grant ThorntonAsger Lehmann Høj starter er ny Tax partner i Grant Thorntons skatteafdeling den 15. maj 2024. Asger Lehmann Høj får base på vores kontor i Randers.
-
Nyhed Grant Thornton modtager InterForce-skjoldetGrant Thornton fik 22. april InterForce-skjoldet, som blev overrakt til Bestyrelsesformand i Grant Thornton, Michael Winther Rasmussen.
Grant Thorntons afdeling for IT Risk Assurance & Advisory Services (ITRAAS) beskæftiger sig med alle de it-områder, som er relevante for Grant Thorntons kundekreds.
Vi arbejder både med at verificere og attestere serviceleverandørers it-systemer, hvad enten det gælder ISO 27001, ISO 27002, ISO 27701, GDPR, NIS2 i ISAE 3402 eller ISAE 3000 erklæringer, eller SOC1, SOC2 , ligesom vi arbejder med rådgivning for vores kunder, der ønsker at implementere disse standarder – eller bare har brug for et godt råd til, hvordan en databehandleraftale skal udarbejdes, eller hvordan et tilsyn ifm. GDPR skal tilrettelægges hos sin databehandler.
Her på vores hjemmeside kan du læse mere om, hvilke ydelser vi har, hvordan de bedst kan tjene dig, og du kan også læse lidt om vores afdeling og referencer.
IT-revisorerklæringer
Krav til at kunne vise at en organisation efterlever enten lovgivning eller hvad der er aftalt i en kontrakt imellem en kunde og en leverandør, stiger og stiger. Compliancekrav kommer både fra lovgiver, men det kommer i lige så høj grad fra et ønske i markedet.
Revisorerklæringerne benævnt ISAE 3402 og ISAE 3000 er de mest anvendte rammer for at ekstern revisor kan attestere et givent forhold, hvor fællesnævneren er, at indholdet omhandler noget om IT. Det kan enten være GDPR, en outsourcet it-serviceleverance eller andet.
Udover ISAE 3402 og ISAE 3000, arbejder vi tillige med erklæringstyper, der henvender sig mere direkte til erklæringsbruger. Det kan være en revisorerklæring baseret på ISAE 3000 ift. NemID, MitID, til STIL (styrelse for it og læring) ifm. studieadministrative systemer, SOC2 mv.
Forberedelsesforløb inden ISAE-erklæringsarbejde
Vi faciliterer og projektstyrer ofte forberedelsesforløbet for vores kunder, når de står for at skulle lade en revisorerklæring udarbejde. Det er vores kunder, der gør arbejdet, men vi peger dem i den rigtige retning.
GAP-analyser
Virksomheder kan ofte være i tvivl om, hvorvidt den efterlever, hvad der er nødvendigt, når det gælder ISO 27001 eller ISO 27002. Årsagen kan enten være, at virksomheden står foran en ISO certificering i f.eks. ISO 27001, eller det kan være, fordi den overvejer at lade sig revidere efter ISAE 3402 (ofte ISO 27002) eller ISAE 3000 (ofte målrettet GDPR eller cybersikkerhed).
Virksomheder kan også efterspørge vores GAP-analyse, fordi bestyrelsen eller direktionen har et ønske om en temperaturmåling i forhold best practice, som enten kan være nogle af de førnævnte standarder, eller en kvalitativ vurdering af, om virksomheden har en betryggende it-styring set i forhold til konkrete krav og behov, som virksomheden agerer i.
Der kan således udarbejdes GAP-analyse for mange faglige områder, men typisk vil det være:
- ISO 27001
- ISO 27002
- GDPR
- NIS2
- NSIS
- SOC2
Rådgivning – IT-risici
Når vi ikke agerer som auditører, fungerer vi som rådgivere. Faktisk tror vi på, at de bedste auditører også skal have erfaring som rådgivere. Vores faglige felt er ISAE-erklæringer, ISO 27001, ISO 27002, GDPR, og dermed risikoanalyser, informationssikkerhedspolitikker, persondatapolitikker, beredskabsplaner, databehandleraftaler.
Vi beskæftiger os ligeledes inden for følgende områder, og vi vægter det højt, at vi rådgiver med en pragmatisk tilgang:
- GDPR (herunder ekstern DPO ydelse)
- ISO 27001/2 og ISO 27701 (herunder ISO 27001 certificering)
- NIS2
- NSIS
- IT due diligence
- Praktisk IT-sikkerhedsvurdering
- C5 kriterier (BSI i Tyskland)
Vores kernekompetence ligger i de strukturelle og lovgivningsmæssige overvejelser, vurderinger og tiltag inden for it-styring. Vores rådgivning begrænser sig derfor ikke til ovennævnte områder, men dækker bredt inden for god it-styring og it-ledelse. Vi rådgiver bl.a. en række bestyrelser om it-styring, årshjul for compliance mv., ligesom vi rådgiver en række investeringsselskaber, som har behov for at føre tilsyn med deres portefølje, for at sikre et erkendt niveau for compliance.
Om Grant Thorntons IT Risk Assurance & Advisory Services
Vi er en del af Grant Thornton International. Vi samarbejder på tværs af landegrænser, og ved at samarbejde med os, er der nem og fri adgang til professionelle i hele verden. Det er væsentligt, når der er mange forskellige compliancekrav på tværs af landegrænser, og samarbejdet gør, at vi har et unikt indblik i, hvad der er markedskonformt af compliancebeviser i de forskellige lande.
Medarbejderne i vores IT Risk Assurance & Advisory Service, er en god blanding af personer med teknisk viden, revisionsfaglig viden, og lovgivningsmæssig viden, men mest af alt med en pragmatisk tilgang til både rådgivning og it-revisionsopgaverne.
Langt de fleste er i besiddelse af en række særlige certificeringer (CISA, CRISK, CISM, CIPP/E etc.), som er relevante for vores branche, og som kun opnås ved at have en betragtelig erfaring. Herudover er langt de fleste kandidater enten med en revisionsteoretisk baggrund (cand.merc.aud), juridisk (cand.jur. eller cand.merc.jur.) eller datascience uddannelse af ITU eller Aalborg Universitet.
Vi har kunder i alle størrelser – lige fra det nye start-up, til den store internationale organisation eller statslige myndighed.
Årligt afgiver vi mange hundrede erklæringer om ISO 27002, GDPR eller andet relevant, ligesom vi rådgiver virksomheder om it-ledelsesforhold. Vi er givet anderledes end andre, for vi går efter bolden, tænker i de rigtige løsninger for vores kunder, og mindre på timer – og antallet af mødedeltagere.