ISAE 3402 er en international standard, som anvendes til revision og erklæringsopgaver med høj grad af sikkerhed om kontroller hos serviceleverandører, herunder it-serviceleverandører. Revisionserklæringerne anvendes af brugervirksomheder (serviceleverandørens kunder) og disses revisorer.

Standarden fastsætter rammerne for, hvordan serviceleverandørens revisor skal udføre sit arbejde og afgive erklæringer, herunder hvordan revisor opnår en høj grad af sikkerhed i forhold til, at leverandørens beskrivelse af sit system er retvisende, at leverandørens kontroller er hensigtsmæssigt udformet, og at kontrollerne har fungeret effektivt. Der skal være sammenhæng mellem de kontroller, revisor reviderer, og kontrollernes formål (kontrolmål), herunder de risici, som kontrollerne søger at imødegå.

Standarden opererer med to typer af erklæringer: Den ene (Type 1) udarbejdes i forhold til en given dato, mens den anden (Type 2) udarbejdes for en periode, normalt på mindst seks måneder. I forbindelse med systemrevision af studieadministrative systemer skal anvendes en Type 2-erklæring. En Type 2-erklæring omfatter revisors konklusion på, om serviceleverandørens beskrivelse er retvisende i forhold til de kontroller, der var udformet og implementeret for en given periode, om kontrollerne var hensigtsmæssigt udformede for perioden, og om kontrollerne fungerede effektivt i hele perioden.

Erklæringen består af tre dele:

  • Serviceleverandørens beskrivelse af systemet
  • Serviceleverandørens udsagn om beskrivelse og kontroller
  • Revisors erklæring om leverandørens udsagn med henvisning til beskrivelsen

Beskrivelsen skal overordnet omtale serviceleverandørens ydelser samt i detaljer indeholde kontrolmål og tilknyttede kontroller, så brugervirksomhedernes revisorer kan opnå en forståelse af ydelserne og kontrollerne. Udsagnet skal indeholde en bekræftelse af, at beskrivelsen er retvisende, samt en udtalelse om, at kontrollerne var hensigtsmæssigt udformede og fungerede effektivt i hele perioden. Endelig skal serviceleverandøren beskrive politikker og procedurer, ligesom kontrolmål, identificerede risici og kontroller skal være veldokumenterede.

En dansksproget udgave af standarden er ikke frit tilgængelig via nettet, men kan anskaffes bl.a. ved henvendelse til Karnov Group, www.karnovgroup.dk. Der henvises til den engelsksprogede udgave af standarden under Læs mere.

Sidst opdateret: 30. juni 2017