-
Nyhed Grant Thornton modtager InterForce-skjoldetGrant Thornton fik 22. april InterForce-skjoldet, som blev overrakt til Bestyrelsesformand i Grant Thornton, Michael Winther Rasmussen.
-
Artikel Hvad er en whistleblowerordning?Vi gennemgår, hvad en whisteblowerordning er, hvad ordningens formål er, og hvem der er omfattet af whistleblowerloven.
-
Nyhed Grant Thornton udgiver årsrapport for 2023Grant Thorntons årsrapport for 2023 er udkommet. Læs mere om årets begivenheder, som i høj grad vidner om stor vækst.
-
Nyhed Sådan forbereder du din virksomhed på NIS2-direktivetNIS2-direktivet skal være implementeret i oktober 2024. Vi ser nærmere på, hvilken betydning det har for din virksomhed, og hvordan du bedst forbereder du dig.
Der findes forskellige typer it-revisorerklæringer. Her fortæller vi om forskellen på ISAE 3000 og ISAE 3402.
Forskellige it-revisorerklæringer bruges til forskellige formål, og de kan dække alt fra et øjebliksbillede (point-in-time) til perioder på et års tid. Samtidig kan omfanget af erklæringerne variere – nogle erklæringer dækker hele it-brugen i en virksomhed, andre dækker et specifikt område, fx applikationssikkerhed, lovgivningsmæssige forhold (GDPR) eller fysiske forhold.
Der er efterhånden krav til indhentelse af revisorerklæringer i mange kontrakter mellem kunde og leverandør, når der er tale om en aftale om en art it-serviceleverance. Det ses både
- i SKI-rammeaftaler,
- i skabeloner til databehandleraftaler,
- i samhandlen mellem kommuner, stat og private leverandører
- når it-virksomheder vil levere studieadministrative it-systemer til skoler, idet der for disse systemer er krav om en ISAE 3402 og ISAE 3000 GDPR
- når virksomheder skal tilsluttes bagvedliggende systemet bag NemID og MitID
- når større virksomheder i deres standarder for kontrakter med leverandører har indbygget forhold om for leverandøren nødvendige it-revisorerklæringer
De tre mest udbredte erklæringstyper er ISAE 3000 og ISAE 3402. Fælles for dem alle er, at det er internationale erklæringsstandarder, som dermed også er gældende i udlandet.
ISAE 3000
En ISAE 3000-erklæring er en erklæring, der dækker en konkret arbejdshandling, eksempelvis databeskyttelsesforordningen (GDPR), outsourcing-bekendtgørelsen, NIS2, NSIS, NemID, SOC2, eller kontraktuelle forpligtelser overfor en bestemt kunde.
Det er altid kunden, der bestemmer omfanget/scopet for erklæringen. Er der tale om en erklæring, der skal omtale
I erklæringsforløbet tester vi det udvalgte område ved at forespørge, observere, inspicere eller genudføre en kkontrol, hvorefter vi – meget kort fortalt - giver en samlet konklusion på, hvorvidt kontrollerne har fungeret hos virksomheden.
Denne type erklæring kan afgives enten som et øjebliksbillede (type 1) eller for en bestemt periode – f.eks. et år (type 2).
I det senere år er det dette erklæringsformat, som benyttes, når en databehandler skal kunne vise sin GDPR compliance overfor sine kunder. Denne erklæringstype og formatet for denne, er udarbejdet af FSR – danske revisorer og Datatilsynet, og erklæringen kan afgives enten med høj grad af sikkerhed eller begrænset sikkerhed.