-
M&A transaktioner
M&A transaktioner
-
Børsnoteringer & kapitalmarkeds-transaktioner
Børsnoteringer og andre kapitalmarkedstransaktioner
-
Private kapitaltilførsler
Private kapitaltilførsler
-
Hvad er IT-revisorerklæringer?
Der findes forskellige typer it-revisorerklæringer. Læs hvad forskellen på ISAE 3000 og ISAE 3402 er.
-
ISAE 3402 – IT-revisorerklæring
En revisorerklæring af typen ISAE 3402 dokumenterer it-forholdene hos en virksomhed og fungerer ofte som bevis for, at virksomheden lever op til lovkrav og god it-skik.
-
ISAE 3000 GDPR – IT-revisorerklæring
En ISAE 3000 revisorerklæring er resultatet af vores gennemgang, der beviser om jeres virksomhed overholder databeskyttelsesloven (GDPR) som databehandler.
-
ISAE 3000 Cyber – IT-revisorerklæring
ISAE 3000 Cyber er en it-revisorerklæring der er relevant, hvis man ønsker at vise hvilke sikringsniveau virksomheden har i forhold til cybersikkerhedsrisici.
-
Forberedelsesforløb inden ISAE erklæringsarbejdet
Vi assisterer virksomheder i forløbet frem mod ISAE erklæringsarbejdet.
-
GAP analyser
For it sikkerhed kan GAP bruges til at påvise hvor der bør lægges ressourcer ift. hvor man gerne ser sin organisation være fremadrettet.
-
IT-rådgivning
Vi rådgiver både store og små virksomheder om alt lige fra håndtering af governance, risk og compliance (GRC), til spørgsmål om GDPR, udarbejdelse af it-sikkerhedspolitikker (informationssikkerhedspolitikker), implementering af NSIS eller NIS2.
-
ISO 27001/2 og ISO 27701
Vi hjælper med udarbejdelse af certificering omkring informationssikkerhed, hvor ISO 27001 er den mest anerkendte internationale standard.
-
NIS2 – rådgivning om implementering
Virksomheder og offenlige organisationer kan være omfattet af NIS2, hvis man anses for at være en del af Danmarks kritiske infrastruktur. Vi assisterer i arbejdet hen mod at blive NIS2-compliant.
-
NSIS – MitID/NemLog-in3
Udbydere af MitID skal have tilladelse fra Digitaliseringsstyrelsen, for at udbyde løsningen. Vi hjælper med formkrav og indhold til hvad der skal til for at blive godkendt.
-
It due diligence
Som it-revisorer er vi den uvildige part i it due diligence gennemgang ved virksomhedskøb, -salg eller -overtagelse. Vores detaljerede fagviden, fra det tekniske og det organisatoriske, gør, at vi ikke kun vurderer værdiansættelsen af hardwaren i virksomheden, vi vurderer mest af alt den forretningsmæssige værdi af systemerne.
-
Praktisk IT-sikkerhedsvurdering
Vi udarbejder praktisk IT-sikkerhedsvurdering til brug i virksomhedens it-funktion, men mest af alt til brug af direktion og bestyrelse.
Der findes forskellige typer it-revisorerklæringer. Her fortæller vi om forskellen på ISAE 3000 og ISAE 3402.
Forskellige it-revisorerklæringer bruges til forskellige formål, og de kan dække alt fra et øjebliksbillede (point-in-time) til perioder på et års tid. Samtidig kan omfanget af erklæringerne variere – nogle erklæringer dækker hele it-brugen i en virksomhed, andre dækker et specifikt område, fx applikationssikkerhed, lovgivningsmæssige forhold (GDPR) eller fysiske forhold.
Der er efterhånden krav til indhentelse af revisorerklæringer i mange kontrakter mellem kunde og leverandør, når der er tale om en aftale om en art it-serviceleverance. Det ses både
- i SKI-rammeaftaler,
- i skabeloner til databehandleraftaler,
- i samhandlen mellem kommuner, stat og private leverandører
- når it-virksomheder vil levere studieadministrative it-systemer til skoler, idet der for disse systemer er krav om en ISAE 3402 og ISAE 3000 GDPR
- når virksomheder skal tilsluttes bagvedliggende systemet bag NemID og MitID
- når større virksomheder i deres standarder for kontrakter med leverandører har indbygget forhold om for leverandøren nødvendige it-revisorerklæringer
De tre mest udbredte erklæringstyper er ISAE 3000 og ISAE 3402. Fælles for dem alle er, at det er internationale erklæringsstandarder, som dermed også er gældende i udlandet.
ISAE 3000
En ISAE 3000-erklæring er en erklæring, der dækker en konkret arbejdshandling, eksempelvis databeskyttelsesforordningen (GDPR), outsourcing-bekendtgørelsen, NIS2, NSIS, NemID, SOC2, eller kontraktuelle forpligtelser overfor en bestemt kunde.
Det er altid kunden, der bestemmer omfanget/scopet for erklæringen. Er der tale om en erklæring, der skal omtale
I erklæringsforløbet tester vi det udvalgte område ved at forespørge, observere, inspicere eller genudføre en kkontrol, hvorefter vi – meget kort fortalt - giver en samlet konklusion på, hvorvidt kontrollerne har fungeret hos virksomheden.
Denne type erklæring kan afgives enten som et øjebliksbillede (type 1) eller for en bestemt periode – f.eks. et år (type 2).
I det senere år er det dette erklæringsformat, som benyttes, når en databehandler skal kunne vise sin GDPR compliance overfor sine kunder. Denne erklæringstype og formatet for denne, er udarbejdet af FSR – danske revisorer og Datatilsynet, og erklæringen kan afgives enten med høj grad af sikkerhed eller begrænset sikkerhed.
