Revisor skal udføre it-revision af ind- og udbetalingssystemer, systemer der videregiver medlemsoplysninger fra en a-kasse til en anden, økonomisystemer samt øvrige væsentlige systemer, der anvendes i sagsbehandlingen, herunder digital kommunikation med myndigheder, andre a-kasser og a-kassens medlemmer, jf. kravene i bekendtgørelse om digital kommunikation i arbejdsløshedsforsikringen.
Stk. 2 Revisor skal som led i it-revisionen kontrollere, at a-kassen har udarbejdet og ajourført forretningsgange, beskrivelser af it-systemet og it-sikkerhedspolitikker i overensstemmelse med kravene i bekendtgørelse om krav til a-kassernes kontrol og administration eller anden tilsvarende anerkendt beskrivelsesmåde.
Stk. 3 Revisor skal som led i it-revisionen kontrollere, om a-kassen har fulgt de foreliggende forretningsgange og procedurer om anvendelse af systemerne, herunder følgende:
-
1) Revisor skal som led i revisionen opnå forståelse af, hvordan a-kassen har reageret på risici, der opstår i forbindelse med anvendelse af it samt vurdere, hvorvidt de implementerede kontroller sikrer opretholdelse af informationernes fortrolighed, integritet, autenticitet (uafviselighed) og tilgængelighed. Dette omfatter såvel kontroller i de anvendte applikationer samt de generelle it-kontroller.
-
2) Revisor skal, hvis it-anvendelsen varetages af andre a-kasser eller af tredjepart, kontrollere, at a-kassen har indhentet en tilfredsstillende revisorattesteret tredjepartserklæring efter den aktuelt gældende revisionsstandard ISAE 3402, "Erklæringer med sikkerhed om kontroller hos en serviceleverandør", der dækker hele regnskabsåret.
-
3) Revisor skal, hvis it-anvendelsen varetages af andre a-kasser eller af tredjepart, når a-kassen har indhentet revisorattesterede tredjepartserklæringer efter revisionsstandard ISAE 3402, inddrager erklæringernes beskrivelse af kontroller i tilrettelæggelsen af det samlede kontrolmiljø. Revisor skal videre forholde sig til tilstrækkeligheden af det samlede kontrolmiljø for a-kassens administration af ydelser, øvrige ind- og udbetalinger, regnskab mv.
Stk. 4 Styrelsen for Arbejdsmarked og Rekruttering kan fravige krav om tredjepartserklæring efter stk. 3, nr. 2 og eventuelt give påbud om at indhente revisorerklæring efter en anden revisionsstandard, hvis forhold ved et it-system eller ved a-kassens it-miljø i øvrigt betyder, at en tredjepartserklæring efter ISAE 3402 ikke er nødvendig eller ikke er tilstrækkelig til at sikre, at a-kassen sikrer opretholdelse af informationers fortrolighed, integritet, autencitet eller tilgængelighed.