1. Forside
  2. Fagligt
  3. Revision
  4. Valg af erklæringsstandarder for servicelevera...

07. august 2025

Revision Revision og erklæringsopgaver - Standarder mv - Andre erklæringer med sikkerhed

Valg af erklæringsstandarder for serviceleverandører

Serviceleverandører oplever at blive mødt med krav om erklæringer om serviceleverandørens ydelser, kontroller og procedurer efter standarder, der ikke er hensigtsmæssige eller relevante for den ønskede rapportering. Denne artikel beskriver forskellene mellem relevante erklæringsstandarder for serviceleverandører – ISAE 3000, ISAE 3402 og ISRS 4400 – og hvornår de bør anvendes.

Billede af Tina Juul

Tina Juul Fagkonsulent
gvwh@sfe.qx 4187 0832

Formål og forudsætning for en revisorerklæring

En revisorerklæring har til formål at sikre troværdighed og skabe tillid mellem serviceleverandøren og erklæringens modtager ved at give en uafhængig erklæring om serviceleverandørens ydelser, kontroller eller processer. Forudsætningen for en revisorerklæring er, at der foreligger et 3-partsforhold: en serviceleverandør, serviceleverandørens revisor og brugerne af erklæringen, typisk serviceleverandørens kunder. En revisorerklæring er ikke beregnet til interne forhold, f.eks. hvis en virksomhed ønsker revisors vurdering af interne processer uden intention om ekstern rapportering.

Erklæringsstandarder

En erklæringsstandard fastlægger, hvordan revisor skal planlægge, udføre og rapportere sit arbejde. De internationale erklæringsstandarder stiller ikke krav til indholdet af de processer og kontroller, som serviceleverandøren rapporterer om. Det er serviceleverandørens ansvar – eventuelt i samarbejde med dennes kunde – at definere erklæringsemnet og afgrænse omfanget af erklæringen.

Når serviceleverandører skal rapportere om deres udførelse af kontroller og procedurer, er der generelt tre internationale erklæringsstandarder, der kan vælges mellem: ISAE 3000, ISAE 3402 og ISRS 4400. Endvidere omtales de amerikanske SOC (System and Organization Controls) erklæringer i oversigten nederst i artiklen.

ISAE 3000 - Andre erklæringsopgaver med sikkerhed end revision eller review af historiske finansielle oplysninger er den overordnede standard i ISAE-erklæringsserien og anvendes på områder, hvor der ikke er en specifik standard. ISAE 3000 er fleksibel og kan tilpasses, så det rette erklæringsemne fremgår klart og kan anvendes f.eks. til erklæringer om GDPR, cybersikkerhed, generelle it-kontroller, applikationskontroller, NIS2 og DORA mv.

Ligeledes anvendes den til selskabsretlige erklæringer som vurderingsberetninger, kreditorerklæringer mv., hvor der oftest er tale om, at revisor erklærer sig om et specifikt forhold på erklæringstidspunktet. ISAE 3000-standarden giver mulighed for at afgive erklæringer med høj grad af sikkerhed eller begrænset sikkerhed. FSR – danske revisorer har tidligere beskrevet forskellene i grader af sikkerhed ved valg af f.eks. GDPR-erklæring. Graden af sikkerhed er styrende for omfanget og typen af revisors testhandlinger - hvilket ligeledes ses i afsnittet: Grader af sikkerhed i erklæringer. Ved afgivelse af en ISAE 3000-erklæring skal revisor tydeligt afgrænse den periode, erklæringen vedrører, i overensstemmelse med erklæringsemnet og modtagernes behov.

Hvis erklæringen omhandler kontroller, processer eller overholdelse af specifikke kriterier over tid, skal perioden afgrænses, f.eks. et regnskabsår eller en anden relevant tidsramme. Erklæringen kan også vedrøre et specifikt forhold pr. en given dato, og da skal erklæringen afgrænses til den specifikke dato. En ISAE 3000-erklæring udarbejdes med henblik på et eller flere bestemte formål og kan, når det er relevant, begrænses til specifikke brugere. Ved begrænsning skal revisor oplyse i erklæringen, at erklæringen kun må anvendes af de definerede brugere til det eller de bestemte formål. Hvis erklæringen skal anvendes offentligt, skal den være udarbejdet med dette formål for øje og være egnet til offentlig brug. Dette kræver, at de anvendte kriterier er klart definerede, alment forståelige og fri for detaljer, der kan misforstås eller anvendes uhensigtsmæssigt af uvedkommende.

ISAE 3402 - Erklæringsopgaver med sikkerhed om kontroller hos en serviceleverandør er en specifik standard i ISAE-erklæringsserien, hvor anvendelsesområdet er fastlagt. Erklæringsopgaver udføres alene med henblik på at afgive en erklæring, der skal benyttes af serviceleverandørens kunder og deres revisorer. Erklæringen vedrører kontroller hos serviceleverandøren, som leverer en ydelse, der sandsynligvis er relevant for serviceleverandørens kunders interne kontrol, der vedrører regnskabsaflæggelsen.

ISAE 3402 anvendes derfor alene til typer af services, der understøtter kundernes finansielle rapportering, f.eks. generelle it-kontroller relateret til kundernes ERP-system, andre systemer og applikationskontroller, der er relevante for kundernes regnskabsaflæggelse, herunder lagersystemer, point-of-sales-systemer, lønsystemer mv., outsourcede manuelle eller semi-manuelle processer, der er relevante for kundernes regnskabsaflæggelse.

ISAE 3402 kan derfor ikke anvendes til områder som GDPR, cybersikkerhed, NIS2, DORA eller generelle it-kontroller for systemer, der ikke vedrører finansiel rapportering.

En ISAE 3402-erklæring afgives kun med høj grad af sikkerhed og kan afgives både som type 1- og 2-erklæring. Type 1 omhandler, om serviceleverandørens kontroller er hensigtsmæssigt designet og implementeret på en specifik dato. Erklæringen bekræfter ikke, om kontrollerne har fungeret effektivt over tid. Type 2 omhandler, om kontrollerne er hensigtsmæssigt designet og implementeret, og om de har fungeret effektivt over en specificeret periode (typisk 6-12 måneder).

ISRS 4400 - International standard on related services 4400 (revised) agreed-upon procedures engagements anvendes, når serviceleverandøren og dennes kunde aftaler arbejdshandlinger, som revisor skal udføre. Ved ISRS 4400 er erklæringsemnet ikke begrænset - det er de aftalte arbejdshandlinger, der sætter rammen. Det eneste krav er, at arbejdshandlingerne skal være objektivt målbare, så revisor undgår skøn eller vurderinger. ISRS 4400 adskiller sig ved, at revisor ikke selv tilrettelægger arbejdshandlingerne, hvilket muliggør, at arbejdshandlingerne er fuldt ud tilpasset modtagerens specifikke behov og fokuserer på de kontrolaktiviteter eller forhold, som modtageren ønsker belyst. Selvom erklæringen afgives uden grad af sikkerhed, ligger dens styrke og fordel i den skræddersyede tilgang. Det betyder, at revisor rapporterer objektivt om de faktuelle resultater af præcist de arbejdshandlinger, modtageren har ønsket udført, og derfor afgiver revisor ikke en samlet konklusion. Her er det modtageren selv, som skal drage konklusionen.

Forholdene, der skal testes, kan være pr. en bestemt dato eller for en periode, men ISRS 4400 opererer ikke med typer, som ISAE 3402 gør. ISRS 4400 er særligt velegnet til rapportering om specifikke compliancekrav, hvor der f.eks. er fastsat krav om, hvilke tests revisor skal udføre.

For at vurdere, om en ISRS-rapportering er egnet til brug for rapportering, bør revisor sikre, at modtageren har de nødvendige kompetencer til både at definere relevante og dækkende arbejdshandlinger, der opfylder modtagerens behov for rapportering samt modtagerens evner til selv at drage egne konklusioner herpå.

Grader af sikkerhed i erklæringer

De forskellige erklæringsstandarder giver modtageren forskellige grader af sikkerhed – høj, begrænset eller ingen sikkerhed. Valget af graden af sikkerhed er ikke nødvendigvis et spørgsmål om højere værdi for modtageren, men om hvilket arbejde og hvilken rapportering der bedst dækker modtagerens behov. F.eks. giver ISRS 4400 en rapport uden sikkerhed, men kan tilpasses modtagerens specifikke behov.

Nedenstående tabel giver et overblik over forskellene mellem typerne af arbejdshandlinger og konklusioner, og ikke af specifikke arbejdshandlinger eller korrekt formulerede konklusioner. Konklusionen skal altid tilpasses til den valgte erklæring og være udformet passende efter gældende erklæringsstandard.

Eksempler på konklusioner kan ses i standarderne her: Oversigt over standarder.

Valg af erklæring

ISAE 3000, ISAE 3402 og ISRS 4400 har hver deres specifikke formål og anvendelse. Valget af den rette erklæring afhænger i høj grad af behovet hos modtageren, erklæringsemnet og de konkrete krav og kriterier til rapporteringen.

ISAE 3000 er ideel, når kriterierne er klart definerede og alment forståelige, og når der ønskes en begrænset eller høj grad af sikkerhed om overholdelse af specifikke krav.

ISAE 3402 er specialiseret til interne kontroller hos serviceleverandøren og bruges til at understøtte kundernes finansielle rapportering.

ISRS 4400 giver fleksibilitet, da den kan skræddersys til specifikke aftalte arbejdshandlinger.

Valget af erklæringsstandard beror altid på en konkret vurdering af erklæringens formål, brugernes behov og de omstændigheder, der gør sig gældende for serviceleverandøren og modtageren, herunder de kriterier og/eller aftalte arbejdshandlinger, som revisors arbejde beror på. Det er afgørende, at serviceleverandøren og modtageren har en dialog, som sikrer fælles forståelse af erklæringens formål og rammer. En velovervejet vurdering sikrer, at den valgte erklæring opfylder modtagerens behov og skaber størst mulig værdi for modtageren.

Nedenfor ses en samlet oversigt over forskelle ved de tre standarder:

Var artiklen værdifuld for dig?:

Del til:

Ajour! Revision

Bliv opdateret på seneste udvikling i regler og praksis inden for revisors sædvanlige arbejdsopgaver.

Tilmeld dig
Revisorregulering

Vær sikker på, at du er opdateret på kvalitetsområdet, herunder det seneste nye inden for tilsynet med revisorer.

Tilmeld dig

Medlemsfordele

Faglige nyheder
Rabat på kurser
Arrangementer og events
1 person forklarer en anden at hvis du er ansat i en medlemsvirksomhed, så kan du blive interessemedlem gratis
Læs mere