Meget er nyt, meget skal defineres (primært hos Digitaliseringsstyrelsen), og specielt nok mange kommuner arbejder lige nu med at overveje, hvorvidt klassifikationen skal være ’Høj’ eller ’Betydelig’; om IdP-løsningen skal være hostet eller implementeres lokalt. Og så er der arbejdet med at definere nye politikker, dokumentationer og meget andet.
Udover alt dette arbejde, skal den pågældende organisation godkendes af en statsautoriseret eller registreret revisor, for at kunne tage løsningen i brug. Endnu er der ikke sket godkendelser af nogen organisationer, i kraft af det nuværende stadie for implementeringen dels af støttesystemerne hos Digitaliseringsstyrelsen, og dels implementeringen i de omkringliggende organisationer. Men rammen er defineret, og i slutningen af denne artikel viser vi et udsnit af dokumentationskravene, som organisationen skal kunne fremvise for en revisor.
Revisors erklæring
Selve revisorerklæringen afgives efter revisionsstandarden ISAE 3000, som vi også har omtalt i denne artikel. Den skal afgives med såkaldt høj sikkerhed, og den skal indsendes til Digitaliseringsstyrelsen med reference til, hvorvidt organisationen har implementeret politikker, procedurer og tekniske løsninger, der modsvarer niveauerne Betydelig eller Høj.
Processen helt overordnet for NSIS-godkendelser
En identifikationsløsning (IdP), eller en broker-løsning på niveauerne Betydelig og Høj, kan først benyttes, når Digitaliseringsstyrelsen har godkendt løsningen. Dette gør de som nævnt på baggrund af en revisorerklæring, der bekræfter en lang række implementerede politikker, procedurer, arbejdsrutiner og tekniske forhold.
Uanset om organisationen implementerer en teknisk løsning hos sig selv eller remote/hostet, skal arbejdsprocesserne beskrives i en række politikker og procedurer. Det er klart, at hvis en løsning drives hostet hos en underleverandør, vil den tekniske beskrivelse ikke være en umiddelbar del af organisationens egen beskrivelse, men formodes være indeholdt i den pågældende underleverandørs selvstændige revisorerklæring.
Vi ser de bedste resultater med arbejdet generelt, når hele NSIS-projektet deles op i tre faser:
- Foranalyse og afdækning af mangler set i forhold til krav (NSIS, Digitaliseringsstyrelsens vejledninger og bekendtgørelser, revisionskrav mv.)
- Udarbejdelse af politikker, procedurer og implementering af tekniske løsninger
- Revision og afgivelse af erklæring mhp. godkendelse hos Digitaliseringsstyrelsen.
Bemærk, at det er relevant at inddrage revisor eller anden rådgiver meget tidligt i processen for at sikre, at kravene, herunder specielt revisionskravene, tolkes korrekt i den konkrete situation, så ubehagelige overraskelser ikke først konstateres og afdækkes i ovennævnte fase 3.
Revisionen og afgivelse af ISAE 3000 NSIS
Med reference til Digitaliseringsstyrelsens revisionsinstruks, hvor et udsnit af denne vises til slut i denne artikel, vil revisionen omhandle de helt konkrete forhold, der er relevante hos den specifikke organisation. Specielt mange kommuner vil have en holdning til, at situationen hos dem er helt lig andre kommuner. Men vær her opmærksom på, at selvom det samme tekniske setup er valgt i en sammenlignelig kommune, vil organiseringen (de konkrete arbejdsrutiner om fx hvem der godkender nye brugere etc.) givet ikke være det samme. Det er derfor væsentligt at tilpasse helt særegne processer til sine politikker og procedurer, så revisor kan påse de konkrete forhold.
En revisionsproces som denne vil foregå ved, at revisor efterspørger dokumentation for relevante forhold. Det kan være beskrivelse, politikker, årshjul, procedurer, samarbejdsaftaler med leverandører, lister over godkendte brugere, og meget andet. Som så ofte med revisionsprocesser, er processen meget iterativ, dvs. med flere tilbageløb, hvor revisor adspørger og efterprøver flere gange inden for det samme emne.
Hvis der i NSIS-løsningen er tale om en hostet løsning, hvor f.eks. IdP-løsningen drives af ekstern underleverandør, vil det være forventeligt, at en sådan har sin egen særskilte revisorerklæring, og denne vil kunne benyttes i den overordnede revisionsproces, hvilket alt andet lige vil spare hver organisation for særligt den tekniske gennemgang.
Så snart revisor og organisationen har færdiggjort al materialeudveksling og drøftelser af findings, afgiver revisor sin erklæring. Det er denne erklæring, som organisationen skal indsende til Digitaliseringsstyrelsen med henblik på godkendelse.
Det kan lyde enkelt, men som ofte gemmer der sig en række detaljer til afklaring, og det er ofte her, det viser sig, at dokumentationskravene ikke er blevet efterlevet. Dette understreger den tidligere pointe om at inddrage revisor eller anden rådgiver tidligt i forløbet, for at sikre, at politikker, beskrivelser, dokumentationer mv. ikke skal skrives om.
I Grant Thornton arbejder vi med flere leverandører af NSIS-løsninger, og med organisationer der arbejder hen mod en godkendelse hos Digitaliseringsstyrelsen, så vi står selvfølgelig klar med råd og vejledning, samt naturligvis afgivelse af revisorerklæring.
I denne pdf viser vi et udsnit af, hvad revisor skal gennemgå ift. NSIS (revisionsinstruks).
Se de fulde revisionskrav på dette link.