Forskellige it-revisorerklæringer bruges til forskellige formål, og de kan dække alt fra et øjebliksbillede (point-in-time) til perioder på et års tid. Samtidig kan omfanget af erklæringerne variere – nogle erklæringer dækker hele it-brugen i en virksomhed, andre dækker et specifikt område, fx applikationssikkerhed, lovgivningsmæssige forhold (GDPR) eller fysiske forhold.
Der er efterhånden krav til indhentelse af revisorerklæringer i mange kontrakter mellem kunde og leverandør, når der er tale om en aftale om en art it-serviceleverance. Det ses både
De tre mest udbredte erklæringstyper er ISAE 3000 og ISAE 3402. Fælles for dem alle er, at det er internationale erklæringsstandarder, som dermed også er gældende i udlandet.
En ISAE 3000-erklæring er en erklæring, der dækker en konkret arbejdshandling, eksempelvis databeskyttelsesforordningen (GDPR), outsourcing-bekendtgørelsen, NIS2, NSIS, NemID, SOC2, eller kontraktuelle forpligtelser overfor en bestemt kunde.
Det er altid kunden, der bestemmer omfanget/scopet for erklæringen. Er der tale om en erklæring, der skal omtale
I erklæringsforløbet tester vi det udvalgte område ved at forespørge, observere, inspicere eller genudføre en kkontrol, hvorefter vi – meget kort fortalt - giver en samlet konklusion på, hvorvidt kontrollerne har fungeret hos virksomheden.
Denne type erklæring kan afgives enten som et øjebliksbillede (type 1) eller for en bestemt periode – f.eks. et år (type 2).
I det senere år er det dette erklæringsformat, som benyttes, når en databehandler skal kunne vise sin GDPR compliance overfor sine kunder. Denne erklæringstype og formatet for denne, er udarbejdet af FSR – danske revisorer og Datatilsynet, og erklæringen kan afgives enten med høj grad af sikkerhed eller begrænset sikkerhed.
