Grant Thorntons afdeling for IT Risk Assurance & Advisory Services (ITRAAS) beskæftiger sig med alle de it-områder, som er relevante for Grant Thorntons kundekreds.

Vi arbejder både med at verificere og attestere serviceleverandørers it-systemer, hvad enten det gælder ISO 27001, ISO 27002, ISO 27701, GDPR, NIS2 i ISAE 3402 eller ISAE 3000 erklæringer, eller SOC1, SOC2 , ligesom vi arbejder med rådgivning for vores kunder, der ønsker at implementere disse standarder – eller bare har brug for et godt råd til, hvordan en databehandleraftale skal udarbejdes, eller hvordan et tilsyn ifm. GDPR skal tilrettelægges hos sin databehandler. 

Her på vores hjemmeside kan du læse mere om, hvilke ydelser vi har, hvordan de bedst kan tjene dig, og du kan også læse lidt om vores afdeling og referencer.

Vores rådgivning indenfor IT-revision

Hvad er IT-revisorerklæringer?

Der findes forskellige typer it-revisorerklæringer. Læs hvad forskellen på ISAE 3000 og ISAE 3402 er.

ISAE 3402 – IT-revisorerklæring

En revisorerklæring af typen ISAE 3402 dokumenterer it-forholdene hos en virksomhed og fungerer ofte som bevis for, at virksomheden lever op til lovkrav og god it-skik.

ISAE 3000 GDPR – IT-revisorerklæring

En ISAE 3000 revisorerklæring er resultatet af vores gennemgang, der beviser om jeres virksomhed overholder databeskyttelsesloven (GDPR) som databehandler.

ISAE 3000 Cyber – IT-revisorerklæring

ISAE 3000 Cyber er en it-revisorerklæring der er relevant, hvis man ønsker at vise hvilke sikringsniveau virksomheden har i forhold til cybersikkerhedsrisici.

ISAE 3000 NIS2

Hvis man er omfattet af NIS2 eller man er leverandør til NIS2-omfattede organisationer.

Forberedelsesforløb inden ISAE erklæringsarbejdet

Vi assisterer virksomheder i forløbet frem mod ISAE erklæringsarbejdet.

GAP-analyser

For it sikkerhed kan GAP bruges til at påvise hvor der bør lægges ressourcer ift. hvor man gerne ser sin organisation være fremadrettet.

IT-rådgivning

Vi rådgiver både store og små virksomheder om alt lige fra håndtering af governance, risk og compliance (GRC), til spørgsmål om GDPR, udarbejdelse af it-sikkerhedspolitikker (informationssikkerhedspolitikker), implementering af NSIS eller NIS2.

ISO 27001/2 og ISO 27701

Vi hjælper med udarbejdelse af certificering omkring informationssikkerhed, hvor ISO 27001 er den mest anerkendte internationale standard.

NIS2 – rådgivning om implementering

Virksomheder og offentlige organisationer kan være omfattet af NIS2, hvis man anses for at være en del af Danmarks kritiske infrastruktur. Vi assisterer i arbejdet henimod at blive NIS2-compliant.

NSIS – MitID/NemLog-in3

Udbydere af MitID skal have tilladelse fra Digitaliseringsstyrelsen, for at udbyde løsningen. Vi hjælper med formkrav og indhold til hvad der skal til for at blive godkendt.

It due diligence

Som it-revisorer er vi den uvildige part i it due diligence gennemgang ved virksomhedskøb, -salg eller -overtagelse. Vores detaljerede fagviden, fra det tekniske og det organisatoriske, gør, at vi ikke kun vurderer værdiansættelsen af hardwaren i virksomheden, vi vurderer mest af alt den forretningsmæssige værdi af systemerne.

Praktisk IT-sikkerhedsvurdering

Vi udarbejder praktisk IT-sikkerhedsvurdering til brug i virksomhedens it-funktion, men mest af alt til brug af direktion og bestyrelse.

IT-revisorerklæringer

Krav til at kunne vise at en organisation efterlever enten lovgivning eller hvad der er aftalt i en kontrakt imellem en kunde og en leverandør, stiger og stiger. Compliancekrav kommer både fra lovgiver, men det kommer i lige så høj grad fra et ønske i markedet.

Revisorerklæringerne benævnt ISAE 3402 og ISAE 3000 er de mest anvendte rammer for at ekstern revisor kan attestere et givent forhold, hvor fællesnævneren er, at indholdet omhandler noget om IT. Det kan enten være GDPR, en outsourcet it-serviceleverance eller andet.

Udover ISAE 3402 og ISAE 3000, arbejder vi tillige med erklæringstyper, der henvender sig mere direkte til erklæringsbruger. Det kan være en revisorerklæring baseret på ISAE 3000 ift. NemID, MitID, til STIL (styrelse for it og læring) ifm. studieadministrative systemer, SOC2 mv.

 

Forberedelsesforløb inden ISAE-erklæringsarbejde

Vi faciliterer og projektstyrer ofte forberedelsesforløbet for vores kunder, når de står for at skulle lade en revisorerklæring udarbejde. Det er vores kunder, der gør arbejdet, men vi peger dem i den rigtige retning.

 

GAP-analyser

Virksomheder kan ofte være i tvivl om, hvorvidt den efterlever, hvad der er nødvendigt, når det gælder ISO 27001 eller ISO 27002. Årsagen kan enten være, at virksomheden står foran en ISO certificering i f.eks. ISO 27001, eller det kan være, fordi den overvejer at lade sig revidere efter ISAE 3402 (ofte ISO 27002) eller ISAE 3000 (ofte målrettet GDPR eller cybersikkerhed).

Virksomheder kan også efterspørge vores GAP-analyse, fordi bestyrelsen eller direktionen har et ønske om en temperaturmåling i forhold best practice, som enten kan være nogle af de førnævnte standarder, eller en kvalitativ vurdering af, om virksomheden har en betryggende it-styring set i forhold til konkrete krav og behov, som virksomheden agerer i.

Der kan således udarbejdes GAP-analyse for mange faglige områder, men typisk vil det være:

  • ISO 27001
  • ISO 27002
  • GDPR  
  • NIS2
  • NSIS    
  • SOC2

 

Rådgivning – IT-risici

Når vi ikke agerer som auditører, fungerer vi som rådgivere. Faktisk tror vi på, at de bedste auditører også skal have erfaring som rådgivere. Vores faglige felt er ISAE-erklæringer, ISO 27001, ISO 27002, GDPR, og dermed risikoanalyser, informationssikkerhedspolitikker, persondatapolitikker, beredskabsplaner, databehandleraftaler.

Vi beskæftiger os ligeledes inden for følgende områder, og vi vægter det højt, at vi rådgiver med en pragmatisk tilgang:

  • GDPR (herunder ekstern DPO ydelse)
  • ISO 27001/2 og ISO 27701 (herunder ISO 27001 certificering)
  • NIS2
  • NSIS
  • IT due diligence
  • Praktisk IT-sikkerhedsvurdering
  • C5 kriterier (BSI i Tyskland)

Vores kernekompetence ligger i de strukturelle og lovgivningsmæssige overvejelser, vurderinger og tiltag inden for it-styring. Vores rådgivning begrænser sig derfor ikke til ovennævnte områder, men dækker bredt inden for god it-styring og it-ledelse. Vi rådgiver bl.a. en række bestyrelser om it-styring, årshjul for compliance mv., ligesom vi rådgiver en række investeringsselskaber, som har behov for at føre tilsyn med deres portefølje, for at sikre et erkendt niveau for compliance.

Martin Brogaard Nielsen 240x277
Book et møde
Martin Brogaard Nielsen

Skal vi ringe dig op?

Om Grant Thorntons IT Risk Assurance & Advisory Services 

Vi er en del af Grant Thornton International. Vi samarbejder på tværs af landegrænser, og ved at samarbejde med os, er der nem og fri adgang til professionelle i hele verden. Det er væsentligt, når der er mange forskellige compliancekrav på tværs af landegrænser, og samarbejdet gør, at vi har et unikt indblik i, hvad der er markedskonformt af compliancebeviser i de forskellige lande.

Medarbejderne i vores IT Risk Assurance & Advisory Service, er en god blanding af personer med teknisk viden, revisionsfaglig viden, og lovgivningsmæssig viden, men mest af alt med en pragmatisk tilgang til både rådgivning og it-revisionsopgaverne.

Langt de fleste er i besiddelse af en række særlige certificeringer (CISA, CRISK, CISM, CIPP/E etc.), som er relevante for vores branche, og som kun opnås ved at have en betragtelig erfaring. Herudover er langt de fleste kandidater enten med en revisionsteoretisk baggrund (cand.merc.aud), juridisk (cand.jur. eller cand.merc.jur.) eller datascience uddannelse af ITU eller Aalborg Universitet.

Vi har kunder i alle størrelser – lige fra det nye start-up, til den store internationale organisation eller statslige myndighed. 

Årligt afgiver vi mange hundrede erklæringer om ISO 27002, GDPR eller andet relevant, ligesom vi rådgiver virksomheder om it-ledelsesforhold. Vi er givet anderledes end andre, for vi går efter bolden, tænker i de rigtige løsninger for vores kunder, og mindre på timer – og antallet af mødedeltagere.

Testimonials og referencer

CGI
Siden 2013 har vi udført it-revision for CGI Danmark A/S i form af ISAE 3402 erklæringsarbejde i forhold til efterlevelse af ISO 27001/2 og rådgivning omkring implementeringen af it-ledelsessystemer.
LESSOR
Siden 1972 har LESSOR A/S leveret fleksible og pålidelige it-løsninger til private virksomheder, herunder lønsystemer, tidsregistrering, vagtplanlægning og HR-løsninger. Vi leverer ISAE 3402 og ISAE 3000 erklæringsarbejde til LESSOR A/S.
Se alle vores testimonials og referencer

Testimonials og referencer

Taxa 4x35
Med rødder tilbage til 1909 er TAXA 4x35 Danmarks største taxaselskab, og en velkendt del af Københavns bybillede. Vi assisterer TAXA 4x35 med ISAE 3000 erklæringsarbejde ift. it-instruks fra Færdselsstyrelsen.
Ordbogen
Ordbogen A/S har mere end 100 medarbejdere og driver bl.a. grammatip.com og educas.com, men er nok mest kendt for flagskibet ordbogen.com. Vi leverer rådgivningsydelser og ISAE 3000-erklæringsarbejde til Ordbogen A/S.
Se alle vores testimonials her