Som outsourcingleverandør har man en naturlig interesse i at kunne dokumentere, at de ydelser, man leverer, udføres sikkerhedsmæssigt betryggende og i overensstemmelse med den indgåede aftale med kunden.
En revisorerklæring, som er baseret på en gennemgang af it-sikkerheden hos outsourcing leverandøren, kan være den dokumentation, der er behov for. En dokumentation, som samtidig kan imødekomme de ønsker eller krav om dokumentation, du som kunde forventeligt stiller til leverandøren.
Hvad er gevinsten for outsourcingleverandøren?
Som outsourcingleverandør opnår du med udarbejdelsen af en revisorerklæring:
- at kunne tilbyde dine kunder en erklæring om sikkerhedsniveauet som udtryk for kvalitet og sikkerhed knyttet til de aftalte ydelser
- at kunne dokumentere et givent sikkerhedsniveau, hvilket er en naturlig salgsparameter og kan være afgørende for en kundes beslutnig om valg af outsourcing leverandør
- at få dokumenteret den udførte gennemgang via en rapport, som omfatter konstruktive anbefalinger til forbedringer af sikkerhedsniveauet i det omfang, der måtte være identificeret et behov herfor.
Hvad er gevinsten for den virksomhed, som har outsourcet it-drift og -udvikling?
Som kunde hos outsourcingleverandøren opnår du med revisorerklæringen i hånden dokumentation for, at din outsourcingleverandør lever op til den indgåede aftale for så vidt angår de aftalte krav til it-sikkerhed.
Hvad får du med en PwC-revisorerklæring om it-sikkerhed?
En kompetent og it-kyndig ekspert gennemgår og tester de kontroller hos outsourcingleverandøren, som skal fungere med henblik på at kunne leve op til de krav om it-sikkerhed, der er indgået aftale med leverandørens kunde om.
Gennemgangen sker systematisk og med udgangspunkt i en en tjekliste, men under hensyntagen til den mellem parterne indgåede aftale og de konkrete omstændigheder i øvrigt.
Resultatet af gennemgangen dokumenteres i en rapport, som påpeger indsatsområder og giver konstruktive anbefalinger til forbedringer af sikkerhedsniveauet, såfremt dette er påkrævet. Endvidere udarbejdes revisorerklæringen, som sammenfatter resultatet af det udførte arbejde samt grundlaget herfor.
Hvilke standarder og kriterier lægges til grund for udarbejdelse af revisorerklæringen?
Revisorerklæringen udarbejdes som udgangspunkt efter revisionstandarderne (RS 3411 eller RS 3000) eller som en SAS 70 erklæring.
Herudover lægges det it-sikkerhedsniveau, som er aftalt mellem leverandør og kunde, til grund for udarbejdelse af revisorerklæringen.
Dette niveau kan eks. være reflekteret i en it-sikkerhedspolitik, i retningslinier mv. Herudover kan det mellem parterne være aftalt, at givne it-sikkerhedsstandarder skal lægges til grund (eks. DS 484, ISO 17799, CobiT eller andre). I givet fald vil indholdet af disse standarder indgå som en del af grundlaget for afgivelse af revisorerklæringen.
