17 jun Lær at forstå en ISAE 3402 erklæring
17. juni 2020
En ISAE 3402 erklæring fylder ofte 20-30 sider, er skrevet på et ubehjælpsomt sprog, og indeholder ingen smileyer, så hvordan finder man ud af hvad det betyder? Få hjælp til at forstå indholdet af en ISAE 3402 erklæring her.
Hvor kringlet er det?
Hvis man som kunde har outsourcet en væsentlig aktivitet, hvor man har brug for at få verificeret at der er processer til at understøtte en vigtig/kritisk driftssituation, bør man efterspørge en ISAE 3402.
Hvor der må helst ikke være nedetid, hvor man skal kunne genoprette slettede filer, hvor procedurer om drift, logning, backup, nødstrøm, ændringshåndtering, log osv., skal fungere, så er det ISAE 3402 erklæringsrapporter, der kan påvise at I lever op til lovkrav og god it-skik.
Når man så står med en erklæringsrapport i hånden, er det ikke uvæsentligt at man også forstår hvad den siger. Det hjælper vi dig med, i den her artikel.
”Uafhængig revisors erklæring om… ” Sådan starter de fleste ISAE 3402 erklæringer. Eller erklæringsrapporter, som de rettelig bør benævnes, for det vi oftest blot kalder ’ISAE 3402’ omhandler 4-5 kapitler som kan stå for sig selv. Derfor erklæringsrapporter.
En ISAE 3402 erklæringsrapport indeholder:
- Forside
- Indholdsfortegnelse
- Virksomhedens beskrivelse af sit system (systembeskrivelse / kontrolbeskrivelse)
- Ledelsens udtalelse
- Revisors erklæring
- Skemaer med detailspecifikationer af de gennemgåede forhold
Der kan også være endnu et kapitel til erklæringsrapporten, men det er ikke så ofte det benyttes. Et kapitel bagerst, som indeholder virksomhedens redegørelse til de af revisor fundne forhold.
Forside (1) og indholdsfortegnelse (2)
Det giver næsten sig selv. Forsiden kan dog løfte noget af sløret for hvad erklæringsrapporten omhandler, for enten kan indholdet omhandle hele virksomhedens ydelse mod alle sine kunder, dele af virksomhedens ydelser, og/eller en konkret ydelse til en konkret kunde. Det er også på forsiden, at det typisk står anført, om der er tale om en type 1 eller type 2-erklæring (type 1 betyder at der er tale om et øjebliksbillede, og type 2 betyder at revisor udtaler sig om en periode).
ISAE 3402 er en erklæringsstandard, hvor omfanget, eller indholdet, kan være mange ting. Teoretisk set burde alle ISAE 3402 erklæringer omhandle hvad der ligger til grund for finansielle transaktioner (f.eks. bogholderisystemer, transaktioner mellem butikskassesystemer med integration til økonomisystem osv.), men det er noget historik der gør, indholdet af disse erklæringer omhandler it-driftsleverancer (hvilket måske er under en forandring). Typisk en hostingleverance (drift), eller drift eller udvikling af en applikation (f.eks. et online bogholderisystem).
ISAE 3402-erklæringsstandarden skal således alene ses som en instruks til revisor om hvordan vedkommende skal tilrettelægge sit arbejde, herunder hvor mange stikprøver der skal tages, hvilken sikkerhed der skal være for konklusionerne (altså hvor vægtigt et bevis revisor skal indhente), hvordan formuleringerne skal være osv. Det faglige indhold, så at sige, altså om det underliggende kontrolrammesæt skal være ISO 27001, applikationskontroller eller andet, det afklares i den konkrete situation. Men typisk er det dog kontroller ud fra standarden ISO 27001 (specifikt: Annex A som er lig med ISO 27002), der benyttes.
Erklæringen kommer i overordnet to varianter: En type 1 og en type 2. Type 1 erklæringen betyder, at erklæringsrapporten er et øjebliksbillede. Type 2 betyder, at erklæringsrapporten omhandler en periode – typisk 12 måneder. Dette er en væsentlig forskel, og typisk vil en virksomhed, der skal have udarbejde en ISAE 3402 starte med en type 1, for derpå at fortsætte med type 2 erklæringer med 12 måneders interval. Det er op til den reviderede virksomhed, givet i samspil med sine kunder og sit marked, at vurdere om perioden skal være kalenderåret (forudsat der er tale om en periode på 12 måneder).
Virksomhedens systembeskrivelse/kontrolbeskrivelse (3)
I dette kapitel i erklæringsrapporten findes– typisk 5-10 sider – prosa, der beskriver virksomhedens ydelse, og vigtigst, virksomhedens beskrivelse af de tiltag der er gjort for at leve op til det man nu end skal leve op til. Det er her læser vil kunne finde frem til hvilket rammeværktøj som virksomheden benytter til strukturering af sit arbejde (f.eks. ISO 27001), hvordan virksomheden arbejder med underleverandører, hvilke politikker der er implementeret, hvilke procedurer virksomheden arbejder efter, med hvilken frekvens beredskabet testes osv.
Det er også i dette kapitel, at virksomheden beskriver om der er sket væsentlige ændringer i perioden (hvis type 2), for det kan være nyttigt for erklæringsmodtager (altså dem der modtager virksomhedens ydelse). Det er også i dette kapitel, at virksomheden beskriver såkaldte komplementerende kontroller. Dette er revisorsprog for hvilke forhold i virksomhedens ydelse, som kunderne selv er ansvarlige for. Det kan være meget relevant at være helt klar på, om brugeradgangen til en webløsning, som virksomheden udbyder, fordres håndteret af virksomheden eller kunden. Forhåbentlig er der ikke tvivl om disse komplementerende kontroller, for det bør være alment kendt mellem kunde og leverandør, og sikkert også benævnt i både en kommerciel kontrakt og forretningsvilkår, men der er alligevel en sådan overskrift blot for at være sikker på, at noget ikke falder mellem to stole.
Et væsentligt forhold, som man skal være opmærksom på generelt set er, om de forhold der er nævnt i kontrolbeskrivelsen nu også lever op til hvad man som ydelsesmodtager (kunde) forventer. Det bør selvfølgelig være sådan, at virksomheden ikke skriver noget som varierer fra den kommercielle aftale der er mellem virksomheden og dens kunder, men er der forskel, og er arbejdet med erklæringsrapporten baseret på virksomhedens generelle leverance, og ikke kundespecifikke ydelse, er det væsentligt at læse og forstå hvad virksomheden skriver i sin kontrolbeskrivelse. Revisor kan jo have påset og i øvrigt være enig i, at den reviderede virksomhed tager backup én gang dagligt og at backup’en gemmes i 30 dage, men hvis erklæringsmodtager har en aftale med virksomheden om at der skal tages backup hver time og backup skal gemmes i ét år, vil det jo ikke fremgå som en såkaldt afvigelse. Derfor skal erklæringsmodtager være meget opmærksom på at læse og forstår kontrolbeskrivelsen i sammenhæng med den kommercielle aftale, der er mellem de to parter.
ISAE 3402-erklæringsstandarden giver ligesom type 1 og type 2, mulighed for, at revisor har afgivet sin konklusion baseret det man kalder partiel-metoden eller helhedsmetoden. Når helhedsmetoden benyttes, betyder det helt simplificeret, at erklæringsrapporten dækker hele den leverance, som virksomheden beskriver i sin kontrolbeskrivelse. Altså inklusive underleverandørers leverance (f.eks. cloud-leverandører, leverandører af fysisk lokalitet til serverdrift etc.). Partiel-metoden bliver mere og mere anvendt som indtoget af store cloud-leverandører sker, for her afgrænses arbejdet ved ikke at omfatte hvad virksomheden har videre-outsourcet.
Se derfor efter om der er anvendt partielmetoden eller helhedsmetoden. Er der ikke nævnt noget herom, er erklæringen afgivet efter helhedsmetoden.
Ledelsens udtalelse (4)
I dette afsnit, som oftest fylder 1-2 sider, bekræfter den ansvarlige ledelsesfunktion (typisk en direktør eller en leder af den leverede ydelse), hvordan virksomheden har tilrettelagt arbejdet med de områder der er relevant i erklæringsrapporten.
Det vil også være her – med reference til partiel- og helhedsmetoden benævnt i foregående kapitel – at virksomheden beskriver omfanget af hvad de har bedt revisor attestere.
Formelt set er det sådan, at ledelsens udtalelse bekræfter det beskrevne i virksomhedens kontrolbeskrivelse, så den underskrift der sættes på udtalelsen, har en vis vægt.
Revisors erklæring (5)
I dette afsnit findes revisors bekræftelse (eller det modsatte) af om det, som virksomheden har beskrevet sin kontrolbeskrivelse, er retvisende. Retvisende er nøgleordet, for revisor giver ingen 100% garanti for, at alt i virksomheden foregår som det skal. Revisors underskrift er en bekræftelse af, at forholdene i al væsentlighed efter revisors faglige bedømmelse er OK.
Som nævnt under punktet for kontrolbeskrivelse (3), er det væsentligt at se efter om revisor har tilrettelagt sit arbejde baseret på helhedsmetoden eller partiel-metoden (se uddybning ovenfor). Er der i de indledende afsnit ikke benævnt noget om brug af partiel-metoden, vil erklæringen være baseret på helhedsmetoden.
Se også efter om revisor har opnået såkaldt ’høj grad af sikkerhed’ eller ’begrænset sikkerhed’. Dette betyder ret beset, i hvor høj grad revisor er gået i dybden i de enkelte punkter og har udvalgt tilstrækkeligt antal stikprøver. ISAE 3402 erklæringsstandarden giver faktisk ikke mulighed for at revisor benytter sig af mindre end ’høj grad af sikkerhed’, men vi har set visse erklæringer der fejlagtigt er udført med ’middel sikkerhed’.
En god portion af de øvrige sætninger og afsnit i revisors erklæring baserer sig på en række formkrav og formalia i forhold til nationale og internationale standarder. Dette beskrives ikke yderligere i dette dokument, idet det vil være for omfangsrigt. Erklæringen skal dog omhandle en række beskrivelser af hvilke betingelser revisionen har været omfattet af, hvorvidt revisor har fundet anledning til at mene at der er indhentet tilstrækkeligt bevis for at kunne udtale sig osv.
Et meget væsentligt afsnit i revisors erklæring i en ISAE 3402 erklæring, er konklusionsafsnittet. Formelt set og på revisorsprog, kan revisor afgive sin konklusion enten bekræftende (uden bemærkninger), med en modificeret konklusion (der er har været væsentlige afvigelser, og dermed med et forbehold) eller med såkaldt manglende konklusion. For sidstnævnte har revisor ikke kunne opnå tilstrækkeligt grundlag i sin revision, til at kunne udtale sig. Ikke udover at kunne udtale, at revisor ikke kan udtale sig. Så at sige.
I forhold til revisors konklusion, kan det også nævnes på anden vis: Er der i erklæringen et afsnit med en overskrift der er benævnt ’Konklusion’ er der tale om en “blank” påtegning. Revisor kan bekræfte, at det som virksomheden udtaler sig om i systembeskrivelsen/kontrolbeskrivelsen, dækker i al væsentlighed det som revisor i sin revision har fundet. Er overskriften erstattet med ’Modificeret konklusion’ eller ’Konklusion med forbehold’, er der væsentlige forhold der ikke er tilstrækkelige. Er overskriftet benævnt ’Manglende konklusion’ er der noget helt galt. Hvad der end er ’væsentligt’, jf. førnævnte, skal dog afvejes i det enkelte tilfælde. Det kan være væsentligt for visse erklæringsmodtagere og mindre væsentlig for andre. I det næste kapitel (se herunder) kan læser finde yderligere information om de fundne forhold udover hvad der er nævnt i revisorerklæring.
En revisorerklæring skal naturligvis underskrives, og det er alene godkendte revisorer, dvs. statsautoriserede eller registrerede revisorer der må underskrive en revisorerklæring. Der må gerne være en medunderskriver, men én af underskriverne skal være godkendt revisor. I visse tilfælde, hvilket det er hos REVI-IT, underskriver både en statsautoriseret revisor og en certificeret it-revisor (CISA). Dette understreger det samlede kompetenceniveau for den afgivne erklæring.
Skemaer med detailspecifikationer over gennemgåede forhold (6)
I langt de fleste tilfælde, vil erklæringsrapporten være ledsaget af en lang række skemaer. Det er her revisor har noteret hvilke helt overordnede kontrolmål og implementerede kontroller, som er gennemgået.
Typisk vil revisor have beskrevet hvilken metode der er benyttet for at udføre arbejdet, og herefter følger skemaerne. Der bør være en relativ lige linje mellem alle disse punkter og kontrolbeskrivelsen, og typisk vil kontroller være beskrevet i skemaets venstre kolonne. I den næste kolonne vil revisor havde beskrevet sine arbejdshandlinger for at kontrollere det enkelte punkt, og i den følgende kolonne vil revisor skrive hvis der har været afvigelser.
En sætning som: ’Ingen afvigelser konstateret’ vil typisk være listet ned gennem rækkerne, og det betyder, at revisor ikke har fundet fejl eller andet der afviger i forhold til virksomhedens måde at arbejde på for det enkelte punkt.
Er der afvigelser behøver det ikke nødvendigvis være en katastrofe, for visse afvigelser kan betyde mere for visse kunder og mindre for andre kunder. Et spørgsmål kunne jo så være, hvornår revisor afvejer om afvigelser nævnt her er så vægtige, så det ændrer på den overordnede konklusion i revisors erklæring? Her er det afgørende og springende punkt, at revisor kan have fundet afvigelser som led i sin revision, men ikke afvigelser der er væsentlige nok til at de konkrete kontrolmål ikke er opnået. Er det tilfældet, vil revisor ikke vægte disse afvigelser til at skulle have konsekvens for den overordnede konklusion i revisors erklæring.
Virksomhedens redegørelse (7)
I særlige tilfælde kan virksomheden have brug for, efter revisor har fremvist sine konklusioner, at redegøre for de findings, som revisor har konstateret. Det kan være, at virksomheden føler behov for at beskrive at der er sket så væsentlige organisatoriske ændringer i revisionsperioden, så rette fokus på dokumentation af ajourføring af sikkerhedspolitik, ikke er sket – og at der efter revisionsperiodens afslutning er udarbejdet en handlingsplan for at findings håndteres.
Det er ikke så ofte at dette kapitel er med, men det er en måde at kommunikere fra virksomhed til erklæringsmodtager. Bemærk, at revisor ikke i sin erklæring refererer eller tager hensyn til dette kapitel.
Hvad er en ISAE 3402 ikke?
En garanti for at alt er godt. Det er en sådan erklæringsrapport ikke. Det er heller ikke en certificering, sådan som en ISO 27001 certificering er (læs dog mere om hvad en ISO 27001 certificering er på REVI-CERT’s hjemmeside). Erklæringen omhandler heller ikke noget om GDPR.
Tjekliste
Som modtager af en ISAE 3402 erklæringsrapport, skal man således være opmærksom på en række punkter. Sammenfattet er de væsentligste her:
Forside:
- Type 1 eller type 2 (øjebliksbillede eller periode), og går type-angivelsen igen i både ledelsens udtalelse og revisors erklæring?
- Er der anført en specifik kunde eller er erklæringen generel for virksomhedens ydelse
Indholdsfortegnelse:
- Ingen formalia
Virksomhedens systembeskrivelse/ kontrolbeskrivelse:
- Kundespecifik eller generisk beskrivelse af generel ydelse, og passer beskrivelsen på erklæringsmodtagers behov?
- Partiel eller helhedsmetode?
- Er der en beskrivelse af komplmenterende kontroller (erklæringsmodtagers eget ansvar)?
Ledelsens udtalelse:
- Partiel eller helhedsmetode?
- Er angivelse af revisionsperiode lige med hvad der er angivet på forside (ikke et krav) og revisors erklæring?
- Dato for underskrift skal være samme som dato for revisors underskrift
Revisors erklæring:
- Refererer revisor til omfanget beskrevet i virksomhedens kontrolbeskrivelse?
- Partiel eller helhedsmetode?
- Type 1 eller 2? Og er angivelse af dato/datointerval samme som angivet i ledelsens udtalelse (og på forside etc.)?
- Har revisor afgivet erklæring med såkaldt høj grad eller begrænset sikkerhed?
- Har revisor afgivet modificeret konklusion eller “blank” påtegning? Se efter om overskriften er benævnt ’Konklusion’ eller ’Modificeret konklusion’/’Konklusion med forbehold’. .
- Har revisor gjort en fremhævelse i afsnit i kapitlet, hvor særlige forhold benævnes med reference til en oplysning i ledelsens udtalelse? Se efter overskriften ’Fremhævelser’.
- Dato for underskrift skal være samme som dato på ledelsens udtalelse
- Er underskriver statsautoriseret revisor eller registreret revisor?
Skemaer med detailspecifikationer over gennemgåede forhold:
- Vurdér forhold hvor revisor ikke har skrevet en sætning såsom ’Ingen afgivelser konstateret’.
- Vurdér de beskrevne metoder som revisor har benyttet for at opnå sin konklusion.
Virksomhedens redegørelse:
- Vurdér om denne redegørelse i tilstrækkelig grad imødekommer de afvigelser som revisor har fundet.
Der er utallige andre forhold der er relevante, herunder en række øvrige formalia for specielt revisors erklæring. Ovennævnte er de mest væsentlige set ud fra erklæringsmodtagers perspektiv.
Se mere om ISAE 3402, erklæringsprocessen og ISO 27002 her.
Til skimmeren: De tre hurtige svar
- ISAE 3000 handler (typisk) om GDPR og beskyttelse af persondata.
- ISAE 3402 handler (typisk) om vigtig driftssituation: Altså, der må helst ikke være nedetid, sletter vi nogle filer, skal de kunne komme tilbage igen, procedurer om drift, logning, backup, nødstrøm, ændringshåndtering, log osv., skal fungere
- ISAE 3402 tager udgangspunkt i processer og fysiske forhold, ISAE 3000 GDPR tager udgangspunkt i data.