Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler m.fl. Kapitel 4

Den konsoliderede version af denne bekendtgørelsen er opdateret til i dag, idet vi har implementeret eventuelle senere ændringsbekendtgørelser i det omfang, de er trådt i kraft - se mere her.

Bekendtgørelse nr. 1581 af 22. december 2022

Kapitel 4 Erklæringer
§ 8

Den eksterne systemrevision skal hvert år inden et med datacentralen aftalt tidspunkt, jf. dog stk. 9, afgive erklæring om system-, data- og driftssikkerheden vedrørende det forudgående kalenderår til brug for de tilsluttede virksomheder.

Stk. 2 Erklæringen, jf. stk. 1, skal omfatte alle relevante forhold, herunder forhold der er omfattet af bilag 5 til bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.

Stk. 3 For hvert enkelt kontrolmål, som indgår i erklæringen efter stk. 1, skal der angives én af de følgende kategorier som opsummering på om kontrolmålet er opfyldt betryggende:

  • 1) Betryggende.

  • 2) Betryggende, men behov for nogle forbedringer.

  • 3) Ikke betryggende.

Stk. 4 Erklæringen, jf. stk. 1, skal indeholde en selvstændig oplistning af de kontroller, der er eller har været ineffektive.

Stk. 5 Konklusioner i erklæringen, jf. stk. 1, skal afgives ordret efter bekendtgørelsens bilag 1, hvis erklæringen afgives uden modifikationer. Erklæringen skal udformes efter reglerne om andre erklæringer med sikkerhed i bekendtgørelse om godkendte revisorers erklæringer.

Stk. 6 Det skal fremgå af erklæringens konklusion, hvorvidt den eksterne systemrevision vurderer, at datacentralens samlede system-, data- og driftssikkerhed er og fungerer betryggende.

Stk. 7 Hvis den eksterne systemrevision er bekendt med forhold vedrørende datacentralens generelle it-kontroller, it-baserede brugersystemer samt systemer til udveksling af data, som er i strid med lovgivningen vedrørende finansielle virksomheder, skal den eksterne systemrevision oplyse herom i et særskilt afsnit i erklæringen. Såfremt der ikke findes nogle af de nævnte forhold, skal dette ligeledes oplyses i særskilt afsnit.

Stk. 8 Erklæringen, jf. stk. 1, samt den interne systemrevisionschefs erklæring i henhold til § 9, skal af datacentralen uden unødigt ophold efter deres afgivelse sendes til direktionen i de tilsluttede virksomheder. For koncerner kan datacentralen, medmindre det vil stride mod bestemmelserne i lov om finansiel virksomhed om videregivelse af fortrolige oplysninger, aftale med moderselskabet, at erklæringerne alene sendes til moderselskabets direktion, der i så fald skal sikre, at relevante koncernvirksomheders direktioner modtager kopier.

Stk. 9 Den eksterne systemrevision skal afgive erklæringen, jf. stk. 1, vedrørende en periode, der tidligst slutter den 31. oktober i det pågældende kalenderår. Hvis der afgives erklæring vedrørende en anden periode end et kalenderår, skal den eksterne systemrevision ved årsskiftet tillige afgive supplerende erklæring til de tilsluttede virksomheder om, hvorvidt den samlede system-, data- og driftssikkerhed har været og fungeret betryggende i perioden frem til årsskiftet.

§ 9

Har datacentralen en intern systemrevision, der opfylder bestemmelserne i §§ 10-16, skal den interne systemrevisionschef i et særskilt dokument, til brug for de tilsluttede virksomheder, erklære om denne er enig i den eksterne systemrevisions erklæring.

Stk. 2 Systemrevisionschefens erklæring skal indeholde en kort beskrivelse af den udførte systemrevision samt konklusionen herpå.

Stk. 3 Eventuelle modifikationer eller fremhævelse af forhold skal tydeligt fremgå af erklæringen.