4. Drift og opfølgning

Når man er gået i drift, skal myndigheden afholde regelmæssige leverandørmøder, hvor der i fællesskab følges op på rapportering af de aftalte leverancer, som myndigheden modtager fra leverandøren. Dette kan fx være opfølgning på leverandørens driftsrapport, hvor servicemål fremgår.

 Billedet illustrerer Fase 4: Opfølgning

Hvor ofte der afholdes leverandørmøder afhænger af leverancens kritikalitet, og om der er tale om et nyt eller etableret leverandørforhold. I en implementeringsfase kan der fx være behov for ugentlige statusmøder, hvor status gennemgås. Hvorimod der i en stabil driftssituation kan være behov for fx to årlige møder for mindre systemløsninger, eller månedlige leverandørmøder for større forretningskritiske it-løsninger, hvor status og optimeringstiltag kan gennemgås.

Opfølgning skal foretages på den aftalte rapportering, samt løbende sikkerhedshændelser, afvigelser, ændringer og revisionsanmærkninger.

Case:

I Sundhedsdatastyrelsen har man indført en governance-model for arbejdet med revisionserklæringer for at sikre opfølgning på revisionserklæringer, og at systemansvarlige er bevidste om, hvilken betydning anmærkningerne kan have for deres system. Hertil er der også et fokus på opfølgningen på anmærkninger.

Case: Brug af revisionserklæringer i Sundhedsdatastyrelsen

Få mere værdi ud af leverandørens revisionserklæringer

I datastyrelsen arbejder man meget systematisk og grundigt med revisionserklæringer. Man har en ekspert i revision ansat i sikkerhedsafdelingen og har opbygget en governance-model for behandling af erklæringerne.
Erklæringer bliver vurderet i forhold til deres egnethed, og anmærkninger bliver analyseret og rapporteret til relevante systemejere.

Revisionserklæringers egnethed og dens resultat

En revisionserklæring rummer kontrolbeskrivelser, beskrivelse af den test, revisor har udført, resultatet af testen og eventuelle anmærkninger.
Hvis erklæringen skal kunne bruges til noget, er det vigtigt, at kontrolbeskrivelserne faktisk modsvarer de krav, man har stillet til leverandøren. Dette kontrolleres i Sundhedsdatastyrelsen.
Dernæst skal revisorens test give en tilfredsstillende grad af evidens for, at kontrollen er effektiv. For eksempel er det, at en procedure er dokumenteret ikke evidens for, at den faktisk udføres. Det er derfor vigtigt at nærlæse præcis, hvad revisor reelt har undersøgt.
Sidst men ikke mindst kan testen falde negativt ud, og revisoren skriver derefter en observation om dette, som indgår i erklæringen. I givet fald er kontrollen ikke effektiv, og man bør sikre sig, at leverandøren retter op på problemet.

Sikkerhed analyserer og rapporterer - systemejeren følger op

I Sundhedsdatastyrelsen får systemejerne gennem denne strukturerede tilgang kvalificeret hjælp til at fortolke revisionserklæringerne og får dermed værdifuldt input til deres leverandørstatusmøder og -opfølgning.
På den måde bliver revisionserklæringen et nyttigt værktøj og ikke bare en afkrydsning i årsplanen.