ISAE 3402-erklæringer

En ISAE 3402-erklæring er en revisorerklæring, I som IT-leverandør kan bruge til at dokumentere overfor jeres kunder – og potentielle kunder – at I har dokumenterede procedurer og kontroller, samt at I som ledelse har en effektiv og fuldstændig opfølgning på disse kontroller.

Hvad er en ISAE 3402-erklæring?

En ISAE 3402-erklæring kan I bruge overfor en eller flere kunder, hvor I som serviceleverandør er forpligtiget til at bevise jeres overholdelse af krav i de indgåede kontrakter. En ISAE 3402-erklæring er en speciel udformet ISAE-erklæring, der udtaler sig om kontrollerne hos en serviceleverandør. Hvilken service der er tale om, defineres af kunden, hvilket vi vil forklare nærmere nedenfor.

ISAE 3402-erklæringen udføres af en revisor og består af en række faste afsnit, som dækker jeres og revisors ansvar, beskrivelse af ydelsen eller systemet, som er blevet revideret samt en gennemgang af de procedurer, foranstaltninger og kontroller, som er blevet testet.

Der er to typer ISAE 3402-erklæringer, som enten kan laves for et givent tidspunkt (Type I) eller en periode (Type II). For at kunne afgive en Type II erklæring er det et krav, at vi som revisor har kendskab og adgang til jeres kontroller i hele perioden.

En ISAE 3402-erklæring kan kun afgives med høj grad af sikkerhed, hvilket betyder, at vi udover gennemgang af dokumentation også tester effektiviteten af jeres kontroller. Dermed får kunderne og I det bedste feedback og sikkerhed i konklusionen.

Hvorfor få en ISAE 3402-erklæring? 

Der kan være flere grunde til at få udarbejdet en ISAE 3402-erklæring. Først og fremmest er en ISAE 3402-erklæring en bekræftelse af, at det I som leverandør siger at I gør – gør I rent faktisk. Derudover er ISAE 3402-erklæringen en god mulighed for jer til at få foretaget en revision af jeres interne procedurer og kontroller. Desuden er erklæringen en mulighed for jer til at få verificeret, at jeres kontrolmiljø er optimeret og at de ressourcer, I bruger for at sikre jeres leverancer, bliver brugt fornuftigt.

For offentlige virksomheder og myndigheder er det ofte et krav, at deres underleverandører kan præsentere en ISAE 3402-erklæring. Ligeledes kan det være af betydning for jeres kunder, at I kan fremvise en ISAE 3402-erklæring, da de services, I leverer, kan være kritiske for kunden eller have påvirkning på deres evne til at fremvise et regnskab.

Der er også den fordel, at I med en ISAE 3402-erklæring kan sikre jer, at alle jeres kunder får svar på deres spørgsmål om jeres sikkerhed i de leverede services, og I dermed kan spare en tidskrævende opgave med at besvare alle kunders henvendelser. Med en ISAE 3402-erklæring kan I som ledelse ensrette svarene og tilfredsstille jeres kunders behov for afklaring.

Hvad kræver det at få en ISAE 3402-erklæring?

Der er flere krav til jer som virksomhed, hvis I skal have udarbejdet en ISAE 3402-erklæring. Først skal I have overblik over, hvilke services og ydelser, der skal være dækket af erklæringen. Dette fremgår typisk af de kontrakter og leverancebeskrivelser, I har med jeres kunder, men der kan også være flere interne processer, systemer og kontroller, der skal være med i scope.

Dette scope med tilhørende beskrivelser skal samles i en ’system-’ eller ’ydelsesbeskrivelse’, der i tilstrækkelig grad kan gøre læseren af ISAE 3402-erklæringen i stand til at se, hvilke services og ydelser, som erklæringen dækker samt de kontroller, der er implementeret hos jer til at sikre fortrolighed, integritet og tilgængelighed af disse ydelser eller services.

Ud over beskrivelsen skal I også have dokumenteret politikker, processer og kontroller så vi kan se, at det I skriver er i overensstemmelse med det, I har lovet kunderne, og at jeres processer og kontroller er designet, implementeret og udført effektivt.

Hvis I ikke føler jer sikre på, om I er klar til en revision, så hjælper vi gerne og sørger via dialog for at få vejledt jer til en god revision og et godt resultat. Inden en revision vil vi altid tage en indledende samtale, hvor vi sammen kan blive klogere på, om I er klar til revisionen og hvis ikke, hvad der skal til, for at I bliver klar. Vi hjælper desuden gerne med vejledninger og skabeloner eller kan afholde en workshop med jer, så vi sikrer, at I er bedst muligt forberedt på revisionen. Hvis vi skal hjælpe med at udarbejde materiale eller rådgive yderligere, vil I få tilknyttet en rådgiver, som så ikke deltager i den efterfølgende revision for at sikre revisionens uafhængighed.

Processen for en ISAE 3402-erklæring

Når vi skal lave en erklæring for jer, starter vi typisk med et indledende møde, hvor vi kan lære hinanden at kende, og I kan stille spørgsmål. Herefter planlægger vi tidspunkt for selve revisionen – længden af denne afhænger af, hvor stor og kompleks jeres virksomhed er, om vi har revideret jer før og andre relevante faktorer. Under revisionen vil vi gennemgå jeres dokumentation og stille spørgsmål, hvormed I også vil have mulighed for at forklare processer og uddybe dokumenter hvis nødvendigt. Efter selve revisionen vil vi bruge noget tid på at processere den dokumentation vi har modtaget og udarbejde selve ISAE 3402-erklæringen. Herefter modtager I erklæringen i udkast og til endelig underskrift.

Hos Grant Thornton gør vi meget ud af, at revisionen skal være en god og lærerig oplevelse for jer. Derfor fortrækker vi også, at vi kan sidde sammen og tale om jeres virksomhed, procedurer og kontroller I stedet for at vi bare sidder på vores kontor og læser alle jeres dokumenter. Det giver os både en bedre forståelse for jer og jeres virksomhed, og samtidig kan I nemmere stille spørgsmål undervejs og blive klogere på, hvordan I fx kan lave mere effektive kontroller og procedurer. For os skal en erklæring gerne være en mulighed for jer til at forbedre jer – og ikke bare en løftet pegefinger og en lang rapport.

Kontakt os for at komme i gang

Hvis I mener, at en ISAE 3402-erklæring er noget for jer, er I velkomne til at tage fat i os for en uforpligtende indledende samtale om jeres ønsker og behov. Vi sidder klar med gode råd og vejledning, så I kan få en erklæring, som I kan være stolte af.

I er altid velkommen til at kontakte Head of IT Audit & Advisory, Anders Grønning-Kjærgaard på telefon +45 35 27 50 53 og mail anders.kjaergaard@dk.gt.com eller IT revisor (CIPP/E), Camilla Immerkær telefon +45 35 27 50 90 og mail camilla.immerkaer@dk.gt.com.

Head of IT Audit & Advisory

Anders Grønning-Kjærgaard