Hvilke revisionsstandarder er relevante for din virksomhed i forbindelse med outsourcing af IT-opgaver?
Af Bender von Haller Dragsted

Stadig flere virksomheder vælger at få udarbejdet en erklæring fra en uafhængig revisor i forbindelse med outsourcing af IT-opgaver for at sikre, at den eksterne leverandør lever op til de aftalte betingelser i outsourcingaftalen. Virksomheden kan derved undgå, at den daglige styring af og kontrol med IT-sikkerhedsniveauet går tabt.

Virksomheder benytter sig i stigende grad af it-outsourcing. Dermed kan virksomhederne fokusere på deres kernekompetencer, ligesom der ofte vil være økonomiske fordele forbundet med outsourcing af IT-opgaver til en ekstern leverandør.

Outsourcing af IT-opgaver kan dog også betyde, at den daglige styring af og kontrol med IT-sikkerhedsniveauet går tabt, og det kan være svært for virksomheden efterfølgende at sikre og dokumentere, at den eksterne leverandør lever op til de aftalte betingelser i outsourcingaftalen.

Derfor kan leverandøren få uarbejdet en revisionserklæring til eget og / eller til brug overfor leverandørens kunder vedrørende de generelle it- og applikationskontroller mv. i forbindelse med de ydelser, der leveres. Som kunde med en revisorerklæring i hånden opnås derved dokumentation for, at leverandøren lever op til den indgåede aftale for så vidt angår de aftalte krav til it-sikkerhed.

Leverandøren kan tilmed have en særskilt interesse i at få udarbejdet en revisorerklæring, både for at benytte denne overfor eksisterende kunder, men også i salgsøjemed overfor nye kunder. Leverandøren har en naturlig interesse i at kunne dokumentere, at de ydelser, der leveres, udføres sikkerhedsmæssigt betryggende og i overensstemmelse med den indgåede aftale med kunden.

Der findes mange forskellige revisionsstandarder, men revisionserklæringer vedrørende IT-sikkerhed udarbejdes som udgangspunkt efter revisionsstandarderne RS 3411, RS 3000, SAS 70 eller ISO 27001 og 27002.

Danske kunder vil normalt efterspørge en erklæring baseret på revisionsstandard 3411, mens udenlandske og især amerikanske kunder ofte vil efterspørge en erklæring uarbejdet i henhold til den amerikanske revisionsstandard SAS70.

RS 3411 – Erklæringsopgaver om generelle IT- og applikationskontroller mv.

RS3411 kan anvendes ved opgavetyper, hvor der ønskes erklæring om generelle it-kontroller, applikationskontroller eller lignende.

Generelle it-kontroller sikrer behørig og effektiv drift af informationssystemer.

Applikationskontroller sikrer at bogføringen og andre regnskabsdata er pålidelige.  

En 3411 erklæring kan gennemføres som en Type A eller en Type B erklæring. Det er aftalen mellem kunden og leverandøren, som afgør, hvilken type, der skal udarbejdes. Begge erklæringstyper vedrører udformning og implementering af intern kontrol. Derudover er en Type B-erklæring en udvidelse, som tillige vedrører funktionalitet og test.

Derfor anvendes en Type A-erklæring især i forbindelse med aftaleindgåelse med en serviceleverandør og/eller idriftsætning af nye systemer. En Type B-erklæring kan anvendes især som grundlag for reduktion af kontrolrisikoen.

Indholdet i en revisorerklæring

Revisor undersøger bl.a. om der er etableret

• Passende forretningsgange og kontroller vedrørende drift, systemudvikling mv.
• Fornøden beskyttelse mod skader forårsaget af fx brand, vandskade, strømafbrydelse, tyveri eller hærværk.
• Tilstrækkelige procedurer for sikkerhedskopiering og beredskabsplaner.

Revisor skal redegøre for eventuelle kontroller, som ikke er udført som forventet og som udgør eller kan udgøre en svaghed og dertil redegøre for konsekvenserne heraf.

SAS70

SAS70 er den amerikanske revisionsstandard og krav om sådan erklæring kommer typisk fra en amerikansk kunde, der er børsnoteret i USA.

Der er visse ligheder mellem RS 3411 og SAS70 erklæringen, men SAS70 erklæringen er reelt en egentlig rapport og væsentlig mere omfangsrig og kompleks end den danske RS 3411 erklæring. Derudover er der en række specifikke amerikanske krav til omfanget af revisors arbejde mv.

Hvis I vil vide mere eller ønsker vejledning om erklæringsopgaver i forbindelse med generelle it-kontroller og applikationskontroller, IT-sikkerhedspolitik og implementering af DS484 er I meget velkomne til at kontakte Bender - von Haller – Dragsted på telefon + 45 72 24 12 12

Relaterede artikler (0):

Eksterne links: (0):