Det følger af bekendtgørelsens § 4, at den eksterne systemrevision skal foretages i overensstemmelse med god revisorskik. God revisorskik indebærer blandt andet, at revisionen udføres i overensstemmelse med relevante revisionsstandarder og erklæringsstandarder. Heraf følger, at den eksterne systemrevisions erklæring til de tilsluttede virksomheder om system-, data- og driftssikkerheden, jf. bekendtgørelsens § 8, skal afgives i overensstemmelse med ISAE 3402 »Erklæringer med sikkerhed om kontroller hos en serviceleverandør«.
Finanstilsynet kan tillade anvendelse af en anden erklæringsstandard end ISAE 3402.
Hvis erklæringens konklusion kan afgives uden modifikationer, skal den have nedenstående ordlyd:
»Vores konklusion er udformet på grundlag af de forhold, der er redegjort for i denne erklæring. De kriterier, vi har anvendt ved udformningen af konklusionen, er de kriterier, der er beskrevet på side [xx].
Det er vores opfattelse, at:
a) beskrivelsen af de generelle it-kontroller med relevans for system-, data- og driftssikkerheden for datacentralens tilsluttede virksomheder, således som de var udformet og implementeret i perioden [her angives den pågældende periode, jf. bekendtgørelsens § 8, stk. 9] i alle væsentlige henseender er retvisende, og
b) kontrollerne, som knytter sig til de kontrolmål, der er anført i beskrivelsen, i alle væsentlige henseender var hensigtsmæssigt udformet i hele perioden [her angives den pågældende periode, jf. bekendtgørelsens § 8, stk. 9]
c) de testede kontroller, som var de kontroller, der var nødvendige for at give høj grad af sikkerhed for, at kontrolmålene i beskrivelsen blev nået i alle væsentlige henseender, har fungeret effektivt i hele perioden [her angives den pågældende periode, jf. bekendtgørelsens § 8, stk. 9].
Som tillæg til ovennævnte skal vi i henhold til systemrevisionsbekendtgørelsens § 8 og baseret på a, b og c, erklære, at de generelle it-kontroller med relevans for datacentralens tilsluttede virksomheders system-, data- og driftssikkerhed efter vores opfattelse er betryggende og har fungeret betryggende i perioden [her angives den pågældende periode, jf. bekendtgørelsens § 8, stk. 9]«.