IT-revision som krav

Offentlige myndigheder samt banker og forsikringsselskaber er selv omfattet af krav om IT-revision og er samtidig blandt de virksomheder, som kræver, at deres underleverandører af IT-drift, databehandling o.l. kan dokumentere, at IT-processerne planlægges og afvikles på sikker og forsvarlig vis. Sikkerhedsbekendtgørelsen, som er en udmøntning af dele af persondataloven, giver et godt bud på, hvad sikker og forsvarlig IT-drift og databehandling er. Den benyttes af offentlige myndigheder og til en vis grad også af private virksomheder.

 

IT-revision som valg

Flere og flere virksomheder i IT-branchen vælger at lade deres IT-processer revidere. Det er typisk virksomheder, hvor en vigtig del af forretningsgrundlaget og brandet er, at IT-processerne er på plads, og at det kan dokumenteres. Flertallet af disse virksomheder ser desuden en fordel i at bruge IT-revisionen som en del af deres markedsføring. Der kan også være tale om en branchespecifik certificeringsordning, som er baseret på IT-revision, som f.eks. DCC’s (Danish Cloud Community) Cloudcertifikatet.

Beierholm tilbyder alle former for IT-revision

Beierholm tilbyder den komplette vifte inden for IT-revision. Vi har, hvad du søger, hvad enten IT-revision er et krav eller et valg.

  • Erklæringer: ISAE 3402 & 3000 samt ISRS 4400DK. Internationale revisorerklæringer, der kan danne ramme for de fleste IT-revisionsopgaver. Læs mere om erklæringer
     
  • Danish Cloud Community (DCC): Brancheforeningen af IT-hostere har udviklet deres egen certificeringsordning med udgangspunkt i ISAE 3402. Beierholm viser vej gennem certificeringen. Læs mere om DCC
     
  • IT-Kontroller: IT-revision som en del af den finansielle revision. Er virksomhedens IT- og applikationskontroller effektive? I rollen som IT-revisorer samarbejder vi også med andre revisionsfirmaer, som ikke selv har denne kompetence. Læs mere om IT-kontroller

 

Erklæringer

Revisorerklæringerne bruges primært af serviceleverandører, dvs. virksomheder, som står for IT-drift, afvikler IT-systemer eller behandler data for andre virksomheder. Afgørende for kundevirksomhederne er, om de indkøbte services er væsentlige for virksomhedens drift, og at der derfor er behov for sikkerhed for, at services leveres som aftalt. Leverer man IT-services til offentlige myndigheder, skal man være opmærksom på, at det er et lovfæstet krav, at kvaliteten af ydelsen kan dokumenteres. Mange private aftagere af IT-services i den finansielle sektor har valgt at underlægge sig selv de samme krav, som stilles til offentlige myndigheder, mens mange private aftagere i andre brancher af egen drift vælger at kræve revisorerklæringer, fordi de indkøbte services er væsentlige for virksomhedens drift.

 

ISAE 3402, 3000 & ISRS 4400DK

Beierholm udfærdiger revisorerklæringer i henhold de internationale standarder, dvs. erklæringer i IS++ familien. Erklæringsafgivelsen sker bl.a. i forbindelse med outsourcing af virksomhedens it-drift til en professionel serviceleverandør.

Revisorerklæring om generelle it-kontroller, applikationskontroller mv., som har relevans for de ydelser, som serviceleverandører leverer til deres kunder, ofte i forbindelse med outsourcing af it. ISAE 3402 erklæringer kan have forskellige referencerammer, oftest anvendes ISO27001 + 2 (regelsæt for styring af it-sikkerhed).

ISAE 3000

Bruges til andre kontroller hos serviceleverandører end dem, som er dækket af ISAE 3402, f.eks. kontrol af behandling af personoplysninger, SLA’er eller aftale om outsourcing.

ISRS 4400

Revisorerklæring om aftalte arbejdshandlinger. Revisor giver ikke en overordnet konklusion, men udfører og rapporterer resultatet af specifikke handlinger, som er aftalt med kunden. 

 

Danish Cloud Community (DCC) Cloudcertifikatet

Danish Cloud Community, (tidligere kendt under navnet BFIH), har siden 2012 lanceret en certificeringsordning for hosting virksomheder. Cloudcertifikatet for IT-hostere har mulighed for at bruge brancheforeningens kvalitetsmærke i deres markedsføring. Et væsentligt element i certificeringsordningen er, at it-hosteren skal få udarbejdet en revisorerklæring ud fra ISAE 3402 samt en ISRS 4400-erklæring, som dækker en række specifikke områder. 

 

Kyndig hjælp til Cloudcertifikatet

Beierholm tilbyder DCC-medlemmer at udfærdige de krævede revisorerklæringer samt at bistå i processen frem mod certificering. Vores rolle i processen kan være meget begrænset, typisk når it-hosteren i forvejen arbejder med revisorerklæringer og kvalitetssikring, eller vi kan spille en større rolle, hvis det er første gang, virksomheden skal have udarbejdet en revisorerklæring. 

Medlem af DCC’s advisory board

Beierholm har samarbejdet med DCC om design af kvalitetsmærket, siden foreningen blev startet, og vi deltager nu i foreningens advisory board med det formål at medvirke til kvalitetsmærkets fortsatte udvikling. Det betyder selvsagt, at vores kunder blandt it-hostere med os får en samarbejdspartner, der ved, hvad det handler om. Vi kender jeres virkelighed, og vi ved, hvad der skal til for at blive certificeret.

 

Revision af IT-kontroller 

IT-revision er for mange virksomheder en naturlig del af den risikobaserede revision. Det gælder, når virksomhedens IT-systemer vurderes at kunne udgøre en risiko for virksomhedens muligheder for at opretholde en normal drift eller aflægge sit regnskab. I de tilfælde skal revisor vælge at lade revision af virksomhedens interne IT-kontroller eller applikationskontroller indgå i den samlede finansielle revision. Virksomhedens generelle IT-kontroller omfatter de politikker og processer, som virksomheden har etableret omkring sine IT-systemer. Applikationskontrollerne er kontroller i selve IT-systemerne, som har til formål at kontrollere, at systemet fungerer efter hensigten.

Digitalisering øger behov for IT- kontroller

Hos Beierholm oplever vi et stigende behov for revision af de interne IT-kontroller. Det skyldes naturligvis den øgede digitalisering og dermed stigende kompleksitet i IT-løsningerne, som finder sted i stort set alle typer virksomheder og brancher.

IT-revision er for mange virksomheder en naturlig del af den risikobaserede revision. Det gælder, når virksomhedens IT-systemer vurderes at kunne udgøre en risiko for virksomhedens muligheder for at opretholde en normal drift eller aflægge sit regnskab. I de tilfælde skal revisor vælge at lade revision af virksomhedens interne IT-kontroller eller applikationskontroller indgå i den samlede finansielle revision. Virksomhedens generelle IT-kontroller omfatter de politikker og processer, som virksomheden har etableret omkring sine IT-systemer. Applikationskontrollerne er kontroller i selve IT-systemerne, som har til formål at kontrollere, at systemet fungerer efter hensigten. 

Kvalitetskontrol i Beierholm

Som revisorvirksomhed har vi naturligvis en effektiv og grundig kvalitetskontrol – vi tager vores egen medicin. Vi er en del det internationale RSM-netværk, og vi indgår i netværkets fælles kvalitetskontrolordning. Vi er også underlagt Revisortilsynet, der fører tilsyn med alle danske godkendte revisionsvirksomheder.

Beierholms IT-revisorer repræsenterer det bedste af to verdener: Vi har et indgående praktisk og teoretisk kendskab til IT-systemer og processerne omkring dem. Og så mestrer vi naturligvis det klassiske revisorhåndværk, om nødvendigt med råd og vejledning fra vores statsautoriserede revisorkolleger i Beierholm. Vi lægger i det hele taget vægt på den praktiske anvendelighed af vores arbejde: Vores ydelser og vores rådgivning skal være til nytte i vores kunders virkelighed og dagligdag. 

Kontakt os - vi er klar til at hjælpe