• Serviceleverandører

Serviceleverandører

Ved outsourcing af aktiviteter til en serviceleverandør har virksomheden et behov for at få dokumenteret, at serviceleverandørens informationssikkerhed omkring de leverede ydelser er fyldestgørende og betryggende og i overensstemmelse med kundekontrakten. 

Vi har stor erfaring med at afgive uafhængige revisorerklæringer for serviceleverandører, der opfylder dette behov. Vi besidder dybe faglige kompetencer inden for alle tekniske platforme og sikkerhedsstandarder, ligesom vi har et dybtgående kendskab til en række af de serviceres, der leveres til den private og offentlige sektor. Foruden at afgive erklæringen, vil vi i forbindelse med revisionen meddele vores eventuelle observationer og komme med forslag til, hvorledes informationssikkerhedsniveauet kan højnes eller effektiviseres.

En serviceleverandørs ydelser kan eksempelvis bestå i at varetage virksomhedens bogføring eller lønadministration. Ydelserne kan også være levering af fysisk plads til virksomhedens udstyr i et driftscenter (housing), levering af services inden for infrastruktur (IaaS) og/eller platform (PaaS), eller levering af applikationer og anden software (SaaS).

ISAE 3402 eller ISAE 3000?

Når serviceleverandørens ydelser har betydning for kunders bogføring og regnskab, fx drift af økonomistyringssystemer eller udførelse af lønservices, skal vores uafhængige revisorerklæring afgives efter den internationale erklæringsstandard ISAE 3402. Vi udtaler os her med høj grad af sikkerhed om, at serviceleverandørens beskrivelse af sine ydelser og systemer er retvisende, at serviceleverandørens generelle it-kontroller og/eller applikationskontroller er hensigtsmæssigt udformet, og at disse kontroller har fungeret tilfredsstillende i en given periode. En sådan erklæring har ikke blot stor betydning for virksomheden, men også for dens revisor, der skal anvende erklæringen i revisionen.

I alle andre tilfælde, end dem, der er omfattet af ISAE 3402, afgiver vi vores uafhængige revisorerklæring i henhold til den internationale erklæringsstandard ISAE 3000. Vi udtaler os her med høj grad af sikkerhed om serviceleverandørens indførte kontroller i forhold til for eksempel bestemmelser i bogføringsloven eller persondataloven, vilkår i Service Level Agreement (SLA) eller krav i standard for informationssikkerhed.

I henhold til ISRS 4400 om aftalte arbejdshandlinger er det desuden muligt, at vi udfører revisionslignende arbejdshandlinger for de krav og specifikke kontroller, som vi, virksomheden og serviceleverandøren er blevet enige om. Vi erklærer os her alene om de faktiske resultater af de aftalte arbejdshandlinger, herunder om fundne fejl og undtagelser.