ISAE 3402

ISAE3402 Revisorerklæring

Outsourcing med sikkerhed

Når man som virksomhed vil outsource dele eller hele aktiviteter til en IT-leverandør er det vigtigt at få dokumenteret, at leverandørens informations sikkerhed omkring de leverede ydelser er fyldestgørende, forsikrende og i overensstemmelse med den indgåede kontrakt. 

Hos NEM It-solutions arbejder vi aktivt med kvalitetssikring af vore ydelser, så i som kunde hos os, er velinformeret om kvaliteten af ydelserne, samt om hvordan ydelserne kommer virksomheden til gode i den travle hverdag. Derved er I som kunde hos os, sikret et højt sikkerhedsniveau.

NEM It-Solutions A/S får udført en ISAE 3402 årligt.

En revisorerklæring af typen ISAE 3402 giver et billede af den generelle tilstand af it-organisationen, dokumenterer ordentlige it-forhold og fungerer som bevis for, at vi hos NEM It-Solutions A/S lever op til lovkrav og god it-skik. Erklæringen er udarbejdet af BDO Danmark, som er en uafhængig statsautoriseret revisions virksomhed, der gennemgår vores dokumentation og stikprøvevis foretager kontrol af de forskellige områder, med udgangspunkt i ISO 27001/2.

Beskrivelse af ISAE 3402
ISAE er en forkortelse for ”International Standard for Assurance Engagements” og ISAE 3402 er en international standard, som anvendes til revision og erklæringsopgaver for at opnå en høj grad af sikkerhed for interne kontroller hos serviceleverandører, herunder it-serviceleverandører. Revisions-erklæringerne anvendes af brugervirksomheder (serviceleverandørens kunder) og disses revisorer. ISAE 3402 er endvidere en SOC1 rapport indenfor ”Service Organization Control (SOC) reports”.

Standarden fastsætter rammerne for, hvordan serviceleverandørens revisor skal udføre sit arbejde og afgive erklæringer, herunder hvordan revisor opnår en høj grad af sikkerhed i forhold til, at leverandørens beskrivelse af sit system er retvisende, at leverandørens kontroller er hensigtsmæssigt udformet, og at kontrollerne har fungeret effektivt. Der skal være sammenhæng mellem de kontroller, revisor reviderer, og kontrollernes formål (kontrolmål), herunder de risici, som kontrollerne søger at imødegå.

Erklæringen består af tre dele:

  • Serviceleverandørens beskrivelse af systemet
  • Serviceleverandørens udsagn om beskrivelse og kontroller
  • Revisors erklæring om leverandørens udsagn med henvisning til beskrivelsen
    Beskrivelsen skal overordnet omtale serviceleverandørens ydelser samt i detaljer indeholde kontrolmål og tilknyttede kontroller, så brugervirksomhedernes revisorer kan opnå en forståelse af ydelserne og kontrollerne. Udsagnet skal indeholde en bekræftelse af, at beskrivelsen er retvisende, samt en udtalelse om, at kontrollerne var hensigtsmæssigt udformede og fungerede effektivt i hele perioden. Endelig skal serviceleverandøren beskrive politikker og procedurer, ligesom kontrolmål, identificerede risici og kontroller skal være veldokumenterede.

 

læs vores ISAE3402 revisor erklæring her