Casebeskrivelse
I Sundhedsdatastyrelsen har man indført en governance-model for arbejdet med revisionserklæringer for at sikre opfølgning på revisionserklæringer, og at systemansvarlige er bevidste om, hvilken betydning anmærkningerne kan have for deres system. Hertil er der også et fokus på opfølgningen på anmærkninger.
Få mere værdi ud af leverandørens revisionserklæringer
I datastyrelsen arbejder man meget systematisk og grundigt med revisionserklæringer. Man har en ekspert i revision ansat i sikkerhedsafdelingen og har opbygget en governance-model for behandling af erklæringerne.
Erklæringer bliver vurderet i forhold til deres egnethed, og anmærkninger bliver analyseret og rapporteret til relevante systemejere.
Revisionserklæringers egnethed og dens resultat
En revisionserklæring rummer kontrolbeskrivelser, beskrivelse af den test, revisor har udført, resultatet af testen og eventuelle anmærkninger.
Hvis erklæringen skal kunne bruges til noget, er det vigtigt, at kontrolbeskrivelserne faktisk modsvarer de krav, man har stillet til leverandøren. Dette kontrolleres i Sundhedsdatastyrelsen.
Dernæst skal revisorens test give en tilfredsstillende grad af evidens for, at kontrollen er effektiv. For eksempel er det, at en procedure er dokumenteret ikke evidens for, at den faktisk udføres. Det er derfor vigtigt at nærlæse præcis, hvad revisor reelt har undersøgt.
Sidst men ikke mindst kan testen falde negativt ud, og revisoren skriver derefter en observation om dette, som indgår i erklæringen. I givet fald er kontrollen ikke effektiv, og man bør sikre sig, at leverandøren retter op på problemet.
Sikkerhedsafdelingen analyserer og rapporterer - systemejeren følger op
I Sundhedsdatastyrelsen får systemejerne gennem denne strukturerede tilgang kvalificeret hjælp til at fortolke revisionserklæringerne og får dermed værdifuldt input til deres leverandørstatusmøder og -opfølgning.
På den måde bliver revisionserklæringen et nyttigt værktøj og ikke bare en afkrydsning i årsplanen.