Outsourcingvirksomheden kan anvende tredjepartscertificeringer, tredjepartsrevisionsrapporter og interne revisionsrapporter stillet til rådighed af leverandøren, hvis betingelserne i nr. 1-7 er opfyldte:
-
1) Outsourcingvirksomheden vurderer, at revisionsplanen for den outsourcede proces, tjenesteydelse eller aktivitet er tilstrækkelig.
-
2) Outsourcingvirksomheden sikrer, at anvendelsesområdet for certificeringen eller revisionsrapporten omfatter de centrale systemer og nøglekontroller, som outsourcingvirksomheden har udpeget, og at certificeringen eller revisionsrapporten overholder relevante myndighedskrav.
-
3) Outsourcingvirksomheden vurderer indholdet af certificeringerne eller revisionsrapporterne løbende og verificerer, at de ikke er forældede.
-
4) Outsourcingvirksomheden er tilfreds med egnetheden hos den eller de parter, der udfører certificeringen eller revisionen.
-
5) Outsourcingvirksomheden sikrer, at certificeringerne og revisionerne udføres i henhold til anerkendte relevante branchestandarder og omfatter test af nøglekontrollernes operationelle effektivitet.
-
6) Outsourcingvirksomheden har kontraktuel ret til at kræve, at certificeringernes eller revisionsrapporternes anvendelsesområde udvides til andre relevante systemer og kontroller.
-
7) Outsourcingvirksomheden bevarer den kontraktuelle ret til at skønne, om der skal udføres egne revisionshandlinger for så vidt angår kritisk eller vigtig outsourcing.
Stk. 2 Anvender outsourcingvirksomheden tredjepartscertificeringer, tredjepartsrevisionsrapporter eller interne revisionsrapporter stillet til rådighed af leverandøren, skal den sikre, at outsourcingvirksomheden kan opfylde sine regulatoriske forpligtelser.
Stk. 3 Outsourcingvirksomheden må for kritisk eller vigtig outsourcing ikke over tid udelukkende forlade sig på tredjepartscertificeringer, tredjepartsrevisionsrapporter eller interne revisionsrapporter, der er stillet til rådighed af leverandøren.