Kapitel 5 Revision af it-systemer
Revisor skal udføre it-revision af ind- og udbetalingssystemer, systemer der videregiver medlemsoplysninger fra en a-kasse til en anden, økonomisystemer samt øvrige væsentlige systemer, der anvendes i sagsbehandlingen, herunder digital kommunikation med myndigheder, andre a-kasser og a-kassens medlemmer, jf. kravene i bekendtgørelse om digital kommunikation i arbejdsløshedsforsikringen.
Stk. 2 Revisor skal som led i it-revisionen kontrollere, at a-kassen har udarbejdet og ajourført forretningsgange, beskrivelser af it-systemet og it-sikkerhedspolitikker i overensstemmelse med kravene i bekendtgørelse om krav til a-kassernes kontrol og administration eller anden tilsvarende anerkendt beskrivelsesmåde.
Stk. 3 Revisor skal som led i it-revisionen kontrollere, om a-kassen har fulgt de foreliggende forretningsgange og procedurer om anvendelse af systemerne, herunder følgende:
-
1) Revisor skal som led i revisionen opnå forståelse af, hvordan a-kassen har reageret på risici, der opstår i forbindelse med anvendelse af it samt vurdere, hvorvidt de implementerede kontroller sikrer opretholdelse af informationernes fortrolighed, integritet, autenticitet (uafviselighed) og tilgængelighed. Dette omfatter såvel kontroller i de anvendte applikationer samt de generelle it-kontroller.
-
2) Revisor skal, hvis it-anvendelsen varetages af andre a-kasser eller af tredjepart, kontrollere, at a-kassen har indhentet en tilfredsstillende revisorattesteret tredjepartserklæring efter den aktuelt gældende revisionsstandard ISAE 3402, "Erklæringer med sikkerhed om kontroller hos en serviceleverandør", der dækker hele regnskabsåret.
-
3) Revisor skal, hvis it-anvendelsen varetages af andre a-kasser eller af tredjepart, når a-kassen har indhentet revisorattesterede tredjepartserklæringer efter revisionsstandard ISAE 3402, inddrager erklæringernes beskrivelse af kontroller i tilrettelæggelsen af det samlede kontrolmiljø. Revisor skal videre forholde sig til tilstrækkeligheden af det samlede kontrolmiljø for a-kassens administration af ydelser, øvrige ind- og udbetalinger, regnskab mv.
Stk. 4 Styrelsen for Arbejdsmarked og Rekruttering kan fravige krav om tredjepartserklæring efter stk. 3, nr. 2 og eventuelt give påbud om at indhente revisorerklæring efter en anden revisionsstandard, hvis forhold ved et it-system eller ved a-kassens it-miljø i øvrigt betyder, at en tredjepartserklæring efter ISAE 3402 ikke er nødvendig eller ikke er tilstrækkelig til at sikre, at a-kassen sikrer opretholdelse af informationers fortrolighed, integritet, autencitet eller tilgængelighed.
Hvis dele af a-kassens it-anvendelse varetages af andre a-kasser eller af tredjepart skal revisor til sikring af, at Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesforordningen) og databeskyttelsesloven overholdes, påse, at a-kassen har indhentet revisorattesterede tredjepartserklæringer efter den aktuelt gældende revisionsstandard ISAE 3000 med sikkerhed om beskrivelsen af kontroller rettet mod databeskyttelse og behandling af personoplysninger, der dækker hele regnskabsåret og udarbejdes med høj grad af sikkerhed.
Stk. 2 Styrelsen for Arbejdsmarked og Rekruttering kan fravige krav om tredjepartserklæring efter stk. 1 og eventuelt give påbud om at indhente revisionserklæring efter en anden revisionstandard. Krav om tredjepartserklæring efter stk. 1 kan fraviges, hvis tredjepartserklæringen ikke er nødvendig eller ikke er tilstrækkelig til at sikre, at a-kassen overholder databeskyttelsesforordningen og databeskyttelsesloven.