ISAE 3402-erklæringer - Outsourcing leverandører

Outsourcing leverandørs dokumentation for sikkerhed i processer

ISAE 3402 erklæringer anvendes af outsorucing leverandører til deres kunder, når den it-drift der er outsourcet sandsynligvis er relevant i relation til kundens regnskabsaflæggelsen, dvs. typisk drift af servere, netværk og databaser der anvendes af ERP- eller økonomisystemer.

Relevante spørgsmål ifm. ISAE 3402 erklæringer:

"Ifølge kontrakt med kunden skal jeg årligt levere en ISAE 3402 erklæring – hvad gør jeg nu?"

"Vi bruger alt for lang tid på audits fra kunder og deres revisorer – kan det ikke gøres mere effektivt, så vi kun skal svare én gang på samme spørgsmål?"

Vores ydelser

I samarbejde med vores kunder fastlægger vi scopet for erklæringen med fokus på de systemer og services, hvori behandlingen af personoplysninger foretages, således at kunderne som er modtagere af erklæringen kan genkende deres behandling i beskrivelsen.

Der er vores erfaring af det bedste resultat opnås gennem høj grad af involvering af kundens organisation, hvorfor vi har udviklet denne proces:

Scoping workshop

Scoping workshop, hvor vi fastlægger hvilke dele af forretningen og hvilke systemer, processer, kontroller, kundegrupper mv., som skal omfattes af erklæringen.

Sparring ved udarbejdelse af systembeskrivelsen 

En vigtig del af erklæringen er en beskrivelse af databehandlingen og de anvendte systemer (systembeskrivelsen), og her har vi stor ekspertise i at sikre det rette niveau og indhold.

Kontrolmål og kontroller

Fastlæggelse af kontrolmål og kontroller sikrer at modtagerne får indsigt i de detaljerede kontroller, som er etableret og hvorfor.

Pre-assessment

Pre-assessment, omfatter vores initielle vurdering af design og implementering af procedurer og kontroller. En pre-assessment giver høj værdi for kunder, da de vil kunne udbedre eventuelle svagheder inden opstart af den egentlige erklæringsproces.

Test af kontroller

Test af kontroller omfatter test af og indhentning af dokumentation for kontrollernes design, implementering og operationelle effektivitet, herunder sikring af at kontroller effektivt afdækker risikoen/kontrolmålet.

ISAE 3402 type 1

ISAE 3402 type 1 anvendes typisk ved første gangs erklæringer og omfatter test af design og implementering på et givent erklæringstidspunkt.

ISAE 3402 type 2

ISAE 3402 type 2 anvendes ved periodiske erklæringer og omfatter tillige test af operationel effektivitet over en erklæringsperiode.

Hvad har vi hjulpet kunderne med?

Vi har stor erfaring med at assistere vores kunder med 3402-erklæringer:

Kundespecifik ISAE 3402 erklæring fra service bureau

Udarbejdelse af ISAE 3402 erklæring om specifikt aftalte behandlingsprocedurer og kontroller i forbindelse med udbetalinger hvor erklæringen gav sikkerhed for at udbetalingerne var fuldstændigt, nøjagtigt og rettidig gennemført på baggrund af et godkendt grundlag fra kunden.

Multikunde ISAE 3402 erklæring for startup virksomhed

Udarbejdelse af ISAE 3402 erklæring om startup virksomheds it-ydelser. Erklæringen anvendes som dokumentation for at it-ydelserne leveres på en konsistent måde i overensstemmelse med fastlagte procedurer.

Multikunde ISAE 3402 erklæring en hosting leverandør

Udarbejdelse af ISAE 3000 erklæring om hosting leverandørs standard behandlingsprocedurer og kontroller. Erklæringen anvendes til alle kunder, som køber standard hosting ydelsen.

Kontakt os

Jesper Parsberg Madsen

Partner, Risk Assurance, statsaut. revisor, PwC Denmark

Tlf: 2141 5985

Claus Hartmann Lund

Partner, Risk Assurance, PwC Denmark

Tlf: 3945 3089

Jess Kjær Mogensen

Partner, Risk Assurance, PwC Denmark

Tlf: 3945 9172

Michael Clement

Partner, Risk Assurance, PwC Denmark

Tlf: 3945 3375

Følg PwC