ISAE 3402-standarden
ISAE 3402 er en international standard, som anvendes til revision og erklæringsopgaver med høj grad af sikkerhed om kontroller hos serviceleverandører, herunder it-serviceleverandører. Revisionserklæringerne anvendes af brugervirksomheder (serviceleverandørens kunder) og disses revisorer.
Standarden fastsætter rammerne for, hvordan serviceleverandørens revisor skal udføre sit arbejde og afgive erklæringer, herunder hvordan revisor opnår en høj grad af sikkerhed i forhold til, at leverandørens beskrivelse af sit system er retvisende, at leverandørens kontroller er hensigtsmæssigt udformet, og at kontrollerne har fungeret effektivt. Der skal være sammenhæng mellem de kontroller, revisor reviderer, og kontrollernes formål (kontrolmål), herunder de risici, som kontrollerne søger at imødegå.
Standarden opererer med to typer af erklæringer: Den ene (Type 1) udarbejdes i forhold til en given dato, mens den anden (Type 2) udarbejdes for en periode, normalt på mindst seks måneder. I forbindelse med systemrevision af studieadministrative systemer skal anvendes en Type 2-erklæring. En Type 2-erklæring omfatter revisors konklusion på, om serviceleverandørens beskrivelse er retvisende i forhold til de kontroller, der var udformet og implementeret for en given periode, om kontrollerne var hensigtsmæssigt udformede for perioden, og om kontrollerne fungerede effektivt i hele perioden.
Erklæringen består af tre dele:
- Serviceleverandørens beskrivelse af systemet
- Serviceleverandørens udsagn om beskrivelse og kontroller
- Revisors erklæring om leverandørens udsagn med henvisning til beskrivelsen
Beskrivelsen skal overordnet omtale serviceleverandørens ydelser samt i detaljer indeholde kontrolmål og tilknyttede kontroller, så brugervirksomhedernes revisorer kan opnå en forståelse af ydelserne og kontrollerne. Udsagnet skal indeholde en bekræftelse af, at beskrivelsen er retvisende, samt en udtalelse om, at kontrollerne var hensigtsmæssigt udformede og fungerede effektivt i hele perioden. Endelig skal serviceleverandøren beskrive politikker og procedurer, ligesom kontrolmål, identificerede risici og kontroller skal være veldokumenterede.
Erklæringen omfatter revisors konklusion på, om serviceleverandørens beskrivelse er retvisende i forhold til de kontroller, der var udformet og implementeret for en given periode, om kontrollerne var hensigtsmæssigt udformede for perioden, og om kontrollerne fungerede effektivt i hele perioden.
ISAE 3000-standarden
ISAE 3000 er en international standard, som anvendes til andre erklæringsopgaver med sikkerhed end revision eller review af historiske finansielle oplysninger hos serviceleverandører. ISAE 3000-sikkerhedserklæringer med fokus på databeskyttelse og behandling af personoplysninger anvendes af serviceleverandørens kunder og disses revisorer i de tilfælde, hvor serviceleverandøren behandler personoplysninger på kundens vegne.
En ISAE 3000-sikkerhedserklæring har til formål at dække den dataansvarliges (kundens) behov for indsigt i og sikring af databehandlerens (leverandørens) behandling af de personoplysninger, som den dataansvarlige (kunden) er ansvarlig for. Erklæringen konkluderer på effektiviteten af de procedurer og kontroller, som databehandleren har etableret for at sikre en betryggende databeskyttelse og behandling af personoplysningerne. I forbindelse med systemrevision af studieadministrative systemer skal en ISAE 3000-sikkerhedserklæring være udformet som en Type 2-erklæring.
Det er en forudsætning for udarbejdelsen af en ISAE 3000-sikkerhedserklæring, at der foreligger en databehandleraftale mellem serviceleverandøren og dennes kunder. I systemrevisionsbekendtgørelsen stilles der krav om, at en sådan aftale overholder kravene i databeskyttelsesforordningens artikel 28, stk. 3.
Brancheforeningen FSR – danske revisorers Cybersikkerhedsudvalg har udarbejdet en erklæringsskabelon, som foreningens medlemmer kan anvende som udgangspunkt for erklæringer om design, implementering og effektivitet af de kontroller, som databehandlere udfører rettet mod databeskyttelse og behandling af personoplysninger. Erklæringsskabelonen er opbygget, så den overordnet følger strukturen fra ISAE 3402.
Links til standarderne
Under "Læs mere" henvises der til de gældende engelsksprogede versioner af standarderne på International Federation of Accountants’ hjemmeside samt til en dansksproget version af den gældende ISAE 3000-standard på FSR – danske revisorers hjemmeside.
Læs mere
- International Standard on Assurance Engagements (ISAE) 3402 – Assurance Reports on Controls at a Service Organization (pdf)(ifac.org)
- ISAE 3000 (Revised), Assurance Engagements other than Audits or Reviews of Historical Financial Information (pdf)(ifac.org)
- ISAE 3000 (ajourført), Andre erklæringsopgaver med sikkerhed end revision eller review af historiske finansielle oplysninger (pdf)(fsr.dk)