ISAE 3402 er en international standard, der bruges til at få en uafhængig revisorerklæring på, at virksomhedens interne kontroller fungerer, som de skal. Formålet er at give jeres kunders revisorer – og dermed kunderne selv – tryghed for, at I har styr på jeres kontrolmiljø, særligt når jeres ydelser kan påvirke kundernes finansielle rapportering.
Med andre ord er en ISAE 3402-erklæring et bevis på, at virksomheden arbejder struktureret, gennemsigtigt og med høj grad af styring. Den viser, at I kan dokumentere, hvordan I håndterer risici og kontroller.
Nedenfor får du et indblik i, hvordan du kan implementere ISAE 3402 i praksis og blive klar til revision. Fokus ligger på scope, governance, dokumentation, testbar evidens og de faldgruber, mange organisationer støder på undervejs.
Hvornår giver ISAE 3402 værdi?
ISAE 3402 bliver først relevant, når virksomhedens ydelser på en eller anden måde indgår i kundernes finansielle rapportering – fx ved drift af systemer, data eller processer der påvirker bogføring eller afstemninger.
Flere og flere organisationer bliver mødt med kravet om en ISAE 3402-erklæring fra deres kunder eller samarbejdspartnere. Årsagen er, at virksomheder i stigende grad outsourcer forretningskritiske processer, og kunderne skal kunne dokumentere over for deres egen revisor, at leverandørerne har styr på de interne kontroller, der påvirker regnskabet.
En ISAE 3402-rapport fungerer som et bevis på, at jeres kontroller er designet på en måde, så kundernes data håndteres efter hensigten. Derudover skaber den tillid i samarbejdet og styrker konkurrenceevnen i et marked, hvor governance og risikostyring bliver stadig vigtigere.
Type I vs. Type II-erklæring
Når virksomheden beslutter sig for at få en ISAE 3402-erklæring, skal I tage stilling til, om det skal være en Type I eller en Type II. Forskellen ligger i, hvor langt I er i arbejdet med jeres kontroller, og hvor meget dokumentation I kan fremlægge.
Type I er det naturlige første skridt. Her vurderer revisoren, om jeres kontroller er fornuftigt designet og implementeret på tidspunktet for revisionen. Det er et øjebliksbillede, som viser, at I har etableret de nødvendige processer og politikker. Type I bruges ofte, når man vil demonstrere fremdrift og modenhed tidligt i forløbet.
Type II er næste skridt. Her vurderer revisoren igen kontrollerne, men også den faktiske effektivitet over en længere periode – typisk seks til tolv måneder. Det kræver, at kontrollerne har været i drift i hele perioden, og at I kan dokumentere det med stikprøver.
En god tilgang er at starte med en Type I for at få bekræftet, at fundamentet er på plads, og derefter gå efter en Type II året efter.
Kernen i rapporten
En ISAE 3402-rapport består overordnet af tre elementer, som tilsammen giver overblik over virksomhedens kontrolmiljø:
1) Systembeskrivelsen
Her beskriver ledelsen virksomhedens processer, systemer og kontroller; hvordan I arbejder, og hvad erklæringen dækker. Det er rapportens fundament og udgangspunkt for revisorens test.
2) Ledelsens erklæring
Ledelsen bekræfter, at beskrivelsen er retvisende, og at kontrollerne er relevante og korrekt designet. Ved en Type II-rapport erklærer ledelsen desuden, at kontrollerne har fungeret effektivt i hele perioden.
3) Revisorerklæring
Revisoren gennemgår og tester udvalgte kontroller, vurderer eventuelle afvigelser og konkluderer, om kontrolmiljøet samlet set fungerer tilfredsstillende.
Det vigtigste er, at der er overensstemmelse mellem det, I beskriver, og det, I rent faktisk gør. Uoverensstemmelser mellem praksis og dokumentation er en af de hyppigste årsager til bemærkninger i en revision. Samtidig er dokumenteret evidens afgørende: uden bevis for, at kontrollerne er udført og kan spores, kan revisoren ikke konkludere, at de reelt fungerer.
Er ISAE 3402 det samme som ISO 27001?
Nej, ISAE 3402 og ISO 27001 er to forskellige standarder med hvert sit formål. Hvor ISO 27001 er en certificering inden for informationssikkerhed, handler ISAE 3402 om tillid til finansielle processer.
ISO 27001 har fokus på fortrolighed og tilgængelighed af data, og standarden dokumenterer virksomhedens systematiske arbejde med at beskytte information og minimere sikkerhedsrisici.
ISAE 3402 er en uafhængig revisorerklæring, som fokuserer på de kontroller, der påvirker kundernes finansielle rapportering. Hvor ISO 27001 handler om datasikkerhed generelt, handler ISAE 3402 om tillid til de processer, der understøtter regnskabet.
Mange virksomheder vælger at arbejde med begge standarder. ISO 27001 skaber et godt sikkerhedsfundament, mens ISAE 3402 giver kunder og revisorer dokumentation for, at kontrolmiljøet lever op til kravene i finansielle sammenhænge.
SE WEBINAR: Bliv revisionsklar til din ISAE 3402-erklæring
Bliv klar til revision
Et velfungerende kontrolmiljø er hele essensen af at blive klar til en ISAE 3402-erklæring. Nedenfor får du indblik i, hvordan processen kan forløbe.
1) Afgræns jeres scope
Start med at definere, hvad erklæringen skal dække. Hvilke ydelser eller processer leverer I, som kan påvirke kundernes finansielle rapportering? Det kan fx være afstemninger, fakturering, betalinger eller systemer, hvor kundedata behandles.
Kortlæg også de systemer, integrationer og eventuelle underleverandører, der indgår. Hvis andre håndterer en del af jeres drift, fx hosting eller databehandling, skal det fremgå tydeligt, hvordan I fører tilsyn med dem.
2) Definer kontrolmål og risici
Når scopet er på plads, skal I beskrive, hvad I vil sikre, og hvordan I gør det.
Et kontrolmål kan fx være at sikre fuldstændighed i rapportering eller begrænset adgang til data. Til hvert kontrolmål knyttes en eller flere konkrete kontroller – altså handlinger der skal udføres for at leve op til målet. Her bør I også fastlægge, hvor ofte kontrollerne udføres, hvem der er ansvarlig og hvilken dokumentation der skal gemmes.
3) Dokumenter systemet
Herefter udarbejdes en systembeskrivelse, som bliver en central del af selve ISAE 3402-rapporten. Den beskriver jeres organisation, processer, kontrolmiljø og IT-setup og forklarer, hvordan alt hænger sammen.
Husk også at beskrive, hvilke handlinger kunden selv skal udføre for, at jeres kontroller fungerer efter hensigten.
4) Luk eventuelle gaps
Inden revisorens besøg bør I gennemføre en gapanalyse for at se, hvor der stadig mangler kontroller eller dokumentation. Spørg jer selv:
- Har hvert kontrolmål mindst én tilknyttet kontrol?
- Er ansvarsfordelingen klar?
- Har vi tilstrækkelig dokumentation?
Fokuser på de væsentligste mangler først, og test gerne kontrollerne i en periode, så I kan opbygge evidens, før revisionen begynder.
5) Vælg erklæringstype
De fleste vælger at starte med en Type I-erklæring, hvor fokus ligger på, om kontrollerne er designet korrekt. Når de har været i drift et års tid, er det naturligt at fortsætte med Type II-erklæringen, som også vurderer, om kontrollerne har fungeret effektivt over tid.
Hvis kunderne allerede efterspørger en Type II, skal I sikre, at I kan dokumentere løbende drift fra dag ét i den periode, der skal dækkes.
6) Forbered materialet til revisor
Revisoren skal bruge dokumentation for jeres arbejde, fx politikker, procedurer, risikovurderinger, kontroljournaler og stikprøveudtræk. Saml det hele ét sted for at spare tid og reducere risikoen for bemærkninger, der skyldes manglende overblik.
Se det som en fortløbende proces
ISAE 3402 belønner disciplin og gennemsigtighed. Den bedste måde at undgå at slukke ildebrande lige inden revision er at indrette arbejdsgange og værktøjer, der gør det nemt at levere dokumentation løbende: standardiserede kontrolskabeloner, automatiske udtræk, notifikationer til de ansvarlige og et samlet system til opbevaring af data, som revisoren kan tilgå struktureret.
