Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk Miracle A/S ISAE 3402 Type 2 Uafhængig revisors erklæring angående generelle it-kontroller relateret til Change Management i perioden 1. august til 31. december 2014 Medlem af Deloitte Touche Tohmatsu Limited
Deloitte 1 Indholdsfortegnelse Side 1. Uafhængig revisors erklæring 1 2. Udsagn fra Miracle A/S 4 3. Systembeskrivelse fra Miracle A/S 6 3.1 Introduktion 6 3.2 Beskrivelse af Miracle A/S ydelser 6 3.3 Ansvar og organisering hos Miracle A/S 7 3.4 Risikostyring hos Miracle A/S 8 3.5 Kontrolframework, kontrolstruktur og kriterier for kontrolimplementering 8 3.6 Etableret kontrolmiljø 8 3.6.1 Change Management 8 3.6.2 Konvertering af data 12 3.7 Supplerende information omkring det etablerede kontrolmiljø 12 3.7.1 Forhold, som skal iagttages af kunderne og disses revisorer 12 4. Information distribueret af Deloitte 14 4.1 Introduktion 14 4.2 Kontrolmiljøelementer 14 4.3 Test af effektivitet 14 4.4 Kontrolmål og kontrolaktiviteter 15 4.4.1 Styring af underleverandører 16 4.4.2 Change Management 17 4.4.3 Datakonvertering 19 5. Miracle A/S kommentarer til den udførte revision 20 5.1. Formalisering og kontrol med ændringsprocedurer 20 5.2. Test af applikationer I forbindelse med ændringer 20
Deloitte 1 1. Uafhængig revisors erklæring Til ledelsen hos Miracle A/S, Miracle A/S kunder og deres revisorer Omfang Vi har fået til opgave at erklære os vedrørende Miracle A/S udsagn i afsnit 2 samt de tilhørende beskrivelser af system- og kontrolmiljøet i afsnit 3 for Miracle A/S omfattende design, implementering og effektivitet af kontroller anført i beskrivelsen. Miracle A/S beskrivelse omhandler de kontroller, som er etableret til sikring af ændringsstyring (Change Management), herunder udvikling og vedligeholdelse. Denne erklæring er udarbejdet efter partielmetoden og omfatter således ikke driftsrelaterede opgaver i Change Management processerne, idet disse varetages af Miracle Hosting A/S. Derudover kan Miracle indgå samarbejde med eksterne softwareudviklere omkring praktisk kodning af applikationer. Miracle A/S ansvar Miracle A/S er ansvarlig for udarbejdelse af efterfølgende udsagn samt beskrivelse af system- og kontrolmiljøet, jf. afsnit 3. Miracle A/S er endvidere ansvarlig for sikring af beskrivelsens fuldstændighed og nøjagtighed, herunder sikring af en korrekt fremstilling og præsentation af udsagn og beskrivelse i denne erklæring. Det er endvidere Miracle A/S ansvar at levere de ydelser, som beskrivelsen omfatter, og at udforme, designe samt implementere effektive kontroller for at opnå de identificerede kontrolmål. Miracle A/S er ikke ansvarlig for de arbejdshandlinger og kontroller, som efter det fastsatte procesflow varetages af kunderne selv i forbindelse med ændringer i applikationer. Oplysningerne i afsnit 5 Miracle A/S kommentarer til den udførte revision er ikke en del af beskrivelsen af system- og kontrolmiljøet. Information i afsnit 5 har således ikke været genstand for de procedurer, der udføres af Deloitte ved gennemgangen af beskrivelsen i afsnit 3. Revisors ansvar Det er vores ansvar, baseret på vores handlinger, at udtrykke en konklusion om Miracle A/S beskrivelse samt om design, implementering og effektivitet af kontroller, relateret til de kontrolmål, der er anført i deres beskrivelse. Vi har udført vores arbejder i henhold til International Standard on Assurance Engagements 3402, Assurance Reports on Controls at a Service Organization, udgivet af International Auditing and Assurance Standards Board. Denne standard kræver, at vi opfylder etiske
Deloitte 2 krav samt planlægger og udfører vores handlinger med henblik på at opnå en høj grad af sikkerhed for, at beskrivelsen i alle væsentlige henseender er dækkende, og kontrollerne er hensigtsmæssigt designet og implementeret. En erklæringsopgave med sikkerhed for beskrivelsen, design og effektivitet af kontroller hos Miracle A/S omfatter udførelse af procedurer med henblik på at opnå bevis for Miracle A/S beskrivelse af sit systemmiljø, samt for kontrollernes design og effektivitet. De valgte handlinger afhænger af revisors vurdering, herunder vurdering af risikoen for, at beskrivelsen ikke fremstår dækkende, og at kontroller ikke er hensigtsmæssigt udformet. En erklæringsopgave med sikkerhed af denne type omfatter endvidere vurdering af den samlede præsentation af beskrivelsen, hensigtsmæssigheden af de heri anførte kontrolmål og hensigtsmæssigheden af de kriterier, som serviceleverandøren har specificeret og beskrevet i afsnit 2. Det er vores opfattelse, at det opnåede bevis er tilstrækkeligt og egnet til at danne grundlag for vores konklusion. Begrænsninger i kontroller hos en serviceleverandør Miracle A/S beskrivelse er udarbejdet med henblik på at imødekomme kravene fra en bred vifte af kunder og disses revisorer og kan derfor ikke omfatte alle aspekter af kontrol i et system, som den enkelte kunde anser som værende vigtigt for eget kontrolmiljø. Kontroller i en servicevirksomhed kan heller ikke i sagens natur forhindre eller opdage alle fejl eller udeladelser i proces- eller rapporteringstransaktioner. Derudover er forskydningen af effektivitetsvurdering udsat for den risiko, at kontroller i en servicevirksomhed kan blive utilstrækkelige eller fejle. Endvidere vil en anvendelse af vores konklusion på efterfølgende perioders transaktioner være undergivet en risiko for, at der foretages ændringer af systemer eller kontroller, eller i virksomhedens overholdelse af de beskrevne politikker og procedurer, hvorved vor konklusion muligvis ikke længere vil være gældende.
Deloitte 3 Konklusion Vores konklusion er udformet på grundlag af de forhold, der er redegjort for i denne erklæring. De kriterier, vi har anvendt ved udformningen af konklusionen, er de kriterier, der er beskrevet i afsnit 4. Det er vores opfattelse, at: a) beskrivelsen af Miracle A/S Change Management procedurer, således som de var udformet og implementeret i perioden fra 01.08.2014 til 31.12.2014, i alle væsentlige henseender er dækkende b) kontrollerne, der knytter sig til de kontrolmål, der er anført i beskrivelsen, i alle væsentlige henseender var hensigtsmæssigt udformet i perioden fra 01.08.2014 til 31.12.2014, og c) de testede kontroller, som var de kontroller, der var nødvendige for at give høj grad af sikkerhed for, at kontrolmålene i beskrivelsen blev nået i alle væsentlige henseender, har fungeret effektivt i hele perioden fra 01.08.2014 til 31.12.2014. Beskrivelse af test af kontroller De specifikke kontroller, der blev testet samt arten, den tidsmæssige placering og resultatet af disse tests fremgår af afsnit 4. Tiltænkte brugere og formål Denne erklæring, beskrivelse af system- og kontrolmiljø i afsnit 4 samt vores test af kontroller i afsnit 4 er udelukkende tiltænkt kunder, der har anvendt Miracle A/S ydelser i relation til Change Management, og disses revisorer, som har tilstrækkelig forståelse til at overveje den sammen med anden information, herunder information om kundernes egne kontroller, når de vurderer risici for væsentlige fejlinformationer i deres regnskaber. Aarhus, den 27. januar 2015 Deloitte Statsautoriseret Revisionspartnerselskab Steen Gellert-Kristensen statsautoriseret revisor Henrik Roed Svendsen director, CISA, CGEIT
Deloitte 4 2. Udsagn fra Miracle A/S Dette udsagn og efterfølgende beskrivelse i afsnit 3 er udarbejdet til brug for de kunder, der har anvendt Miracle A/S ydelser omkring Change Management på applikationer, og deres revisorer, som har en tilstrækkelig forståelse til at overveje beskrivelsen sammen med anden information, herunder information om kontroller, som kunderne selv har anvendt, når de opnår en forståelse af kundernes informationssystemer, som er relevante for regnskabsaflæggelsen. Miracle A/S bekræfter, at: (a) Den medfølgende beskrivelse i afsnit 3 giver en retvisende beskrivelse af Miracle A/S Change management flow og kontroller omkring de etablerede procedurer. Kriterierne for dette udsagn var, at den medfølgende beskrivelse: (i) redegør for, hvordan arbejdsprocesserne var udformet og implementeret, herunder redegør for: at der er defineret en risikovurderingsproces til identifikation af risici i og omkring de leverede ydelser at der med udgangspunkt i risici er fastsat kontrolmål og kontroller til imødegåelse af de identificerede risici at de beskrevne arbejdsprocesser og kontroller er implementeret at der er etableret ledelsesmæssige overvågningskontroller til sikring af, at kontroller er effektive (ii) indeholder relevante oplysninger om ændringer i Miracle A/S Change Management processer i perioden fra 01.08.2014 til 31.12.2014 (iii) ikke udelader eller forvansker information, der er relevant for omfanget af de beskrevne processer, under hensyntagen til at beskrivelsen er udarbejdet for at opfylde de almindelige behov hos en bred kreds af kunder og deres revisorer, og derfor ikke kan omfatte ethvert aspekt ved systemet, som den enkelte kunde måtte anse for vigtigt efter deres særlige forhold.
Deloitte 5 (b) de kontroller, der knytter sig til de kontrolmål, der er anført i medfølgende beskrivelse, var hensigtsmæssigt udformet og fungerede effektivt i hele perioden fra 01.08.2014 til 31.12.2014. Kriterierne for dette udsagn, var, at: (i) de risici, som truede opnåelsen af de kontrolmål, der er anført i beskrivelsen, var identificeret, og (ii) de identificerede kontroller ville, hvis anvendt som beskrevet, give høj grad af sikkerhed for, at de pågældende risici ikke forhindrer opnåelsen af de anførte kontrolmål (iii) kontrollerne var anvendt konsistent som udformet, herunder at manuelle kontroller blev udført af personer med passede kompetence og beføjelser i hele perioden fra 01.08.2014 til 31.12.2014
Deloitte 6 3. Systembeskrivelse fra Miracle A/S 3.1 Introduktion Denne beskrivelse er udfærdiget med henblik på at levere information til brug for Miracles kunder og disses revisorer i overensstemmelse med kravene i den danske revisionsstandard ISAE 3402 for erklæringsopgaver om kontroller hos serviceleverandører. Beskrivelsen omfatter informationer om system- og kontrolmiljøet, der er etableret i forbindelse med Miracles leverance af serviceydelser på ændringsstyring (Change Management), herunder udvikling og vedligeholdelse. Nærværende beskrivelse indeholder beskrivelser af de anvendte procedurer til sikring af en betryggende afvikling af systemer. Formålet er at give tilstrækkelige informationer til, at kundernes revisorer selvstændigt kan vurdere afdækningen af risici for væsentlige kontrolsvagheder i kontrolmiljøet for perioden fra 01.08.2014 til 31.12.2014. 3.2 Beskrivelse af Miracle A/S ydelser Miracle blev stiftet i 2001 og leverer i dag en bred vifte af it-konsulentydelser til mere end 250 danske kunder og har en samlet omsætning på DKK 151 mio. Miracles kerneydelser er konsulentvirksomhed, hosting og projektudvikling inden for Microsoft, JBoss og Oracle. Vores mangeårige erfaring med store it-projekter sætter os i stand til at garantere meget høj kvalitet, sikkerhed og leverancestabilitet. Vi er omkring 150 fastansatte medarbejdere, alle med solid teoretisk baggrund og praktisk erfaring inden for bl.a. udvikling, projektledelse, arkitektur, database og infrastruktur. Miracle har indarbejdet udviklingsprocesser og fokuseret målrettet på it-projektudvikling siden 2005. Miracle forholder sig løbende til opbygning af gode processer inden for projektledelse, procesledelse, teknologiledelse, kompetencestyring samt styring og gennemførelse af it-projekter. Miracle har indarbejdet metoder, værktøjer og processer fra PRINCE2, DS484/ISO27001, ISAE3402, ITIL, de agile udviklingsmetoder Scrum, XP og Lean for løbende at udvikle og modne virksomheden. Miracle ser kvalitetsstyring som en løbende vurderingsproces integreret med løsningsvalg, dokumentation, projektledelse og de forskellige processer, der er i forbindelse med vedligehold, videreudvikling og support. Den bruges til at kontrollere og sikre udviklingsprocessen, kvaliteten i produktet samt at tidsplaner og budgetter overholdes, og produktet implementeres korrekt hos kunden. Kvalitetsstyring skal identificere processuelle svagheder, rette op på de identificerede svagheder og kontinuerligt forbedre dem.
Deloitte 7 3.3 Ansvar og organisering hos Miracle A/S Miracle er organiseret som følger: Direktionen (Executive Management Board) i Miracle, som er den øverst ansvarlige for Change Management-processen, sørger for, at der til stadighed er etableret procedurer og systemer, der understøtter overholdelsen af den til enhver tid gældende Change Management-proces. Sikkerhedsniveauet skal være målbart og kontrollabelt, hvor dette overhovedet er muligt, og være udtryk for "best practice" inden for de enkelte kontrolaktiviteter på de serviceområder, som tilbydes kunderne. Endvidere har Miracle etableret en Projekt- og proces -gruppe (P&P) bestående af 8 personer (udviklingsdirektør for Miracle Development East Mikkel Schrøder, 1 projektchef, 4 projektledere og 2 QA-medarbejdere), som arbejder med processer og modning af virksomheden, herunder udarbejdelse af procedurer, processer, artefakter og dokumentation. Der afholdes månedlige møder og rapporteres til direktionen. Det er endvidere arbejdsgruppens ansvar at sikre P&P-projektets formidling og forankring i hele virksomheden og hos alle medarbejdere. P&P er ansvarlig for overordnede målsætninger for implementering af Change Management-processerne. Det er projektchefen, som er ansvarlig for udarbejdelse og implementering af relevante kontroller til efterlevelse af Change Managementprocessen.
Deloitte 8 3.4 Risikostyring hos Miracle A/S Risikostyring i Miracles projektorganisation foretages på projektniveau. I projektindstillingsfasen udarbejdes der, afhængig af projektets karakter, dels en sikkerhedsvurdering, dels en vurdering af særlige risici og usikkerheder. Dette sker efter en foruddefineret proces. På operationelt projektniveau gennemføres løbende risikostyring. Der arbejdes efter en fast projektstyringsmodel, hvor ansvaret for projektrelateret risikostyring gennemføres af projektlederen, som ofte vælger at inddrage projektdeltagere, eksterne partnere og eventuelle styregruppemedlemmer i processen. 3.5 Kontrolframework, kontrolstruktur og kriterier for kontrolimplementering Miracles Change Management-proces omfatter alle systemer og ydelser, der tilbydes kunderne, medmindre andet er aftalt med kunden. Det fortsatte arbejde med tilpasning og forbedring af Miracles sikringsforanstaltninger sker løbende i samarbejde med højt kvalificerede specialister. Fastsættelse af kriterier for kontrolimplementering hos Miracle tager udgangspunkt i DS-484 og ISO- 27001. På basis af dette kontrol-framework er relevante kontrolområder og kontrolaktiviteter implementeret ud fra "best practice" for minimering af risici på de serviceydelser, som leveres af Miracle. Med udgangspunkt i den valgte kontrolmodel indgår følgende kontrolområder i det samlede kontrolmiljø: Change Management-proces 3.6 Etableret kontrolmiljø Change Management-processen og etablerede kontroller er beskrevet detaljeret i det følgende afsnit. 3.6.1 Change Management Formål Der gennemføres en betryggende håndtering af changes til it-services ud fra de indgåede aftaler med kunder, herunder at Miracle A/S kontrollerer, at dette sker til normal fuldførelse og med forventet resultat ved at følge Miracles definerede Change Management-proces. Formålet er at sikre, at kundens ændringsønsker (Request For Change (RFC)) og udførelse af disse behandles kontrolleret, at services tilpasses kundens forretningsmæssige krav, og at den overordnede forretningsmæssige risiko for kunden vurderes.
Deloitte 9 Anvendte procedurer og kontroller Miracle bruger ITIL som rammeværk til styring af Change Management. Miracles Change Management-proces gennemløber følgende trin: 1. Til sikring af, at alle changes behandles efter ensartede principper, har Miracle etableret vidensdelings- og projektstyringsværktøjerne Confluence og JIRA, som understøtter, at relevante informationer registreres for at efterleve selskabets fastsatte processer. Miracles medarbejdere er instrueret i, at alle RFC er og changes skal registreres i de anvendte systemer. 2. Kundens change-ansvarlige (styregruppe/change Advisory Board (CAB), rolle, person eller gruppe, defineret af kunden) vurderer RFC s påvirkning på projektets formål, gevinster, økonomi, risici og tidsramme. RFC tildeles en urgency (hvor meget ændringen haster) og en impact (hvor stor er ændringens indvirkning på forretningen). Vurdering af påvirkning på nævnte parametre og urgency/impact dokumenteres på den oprettede RFC i JIRA. Relevant dokumentation, som kræver opdatering i forbindelse med ændringen, vedhæftes RFC. 3. Accept eller afvisning af RFC i JIRA: a. Hvis der er påvirkning af scope, økonomi eller tidsramme ud over projektets mandat, skal der altid hentes accept fra kundens change-ansvarlige/cab. b. Ændringer inden for projektets mandat skal godkendes af projektledelsen. Godkendelsesproceduren er understøttet af JIRA issue-typen Request for change. Oprettelse af change kan ikke påbegyndes, før RFC er godkendt i JIRA. Kun udvalgte brugere har rettigheder til at godkende en RFC i JIRA. Accept eller afvisning af RFC skal begrundes i en kommentar på RFC. 4. Hvis RFC accepteres, skal den indarbejdes i projektplanen og beslutningen kommunikeres til projektets interessenter. Håndtering af konflikter i denne forbindelse vil typisk være defineret i kontrakten for hver kunde og hvert projekt. Er det ikke tydeligt defineret i kontrakten, må kundens og Miracles projektledelse sammen forsøge at skabe enighed. Er dette ikke muligt, eskaleres der til projektets styregruppe, som kan vurdere og vedtage eventuelle bodsmål. 5. Changen udvikles i Miracles projektorganisation, som arbejder efter Miracles projektmodel. Miracle kvalitetssikrer den udviklede change ved at udføre test på testmiljø. 6. Dokumentation opdateres i forbindelse med udvikling af changen (Configuration Items (CI s) for de af changen berørte komponenter, kode og øvrige dokumentation til drift og support) som
Deloitte 10 en del af Miracles Definition of done (DOD) for udviklingsopgaver, som findes i Miracles projektmodel. 7. Der oprettes en change på baggrund af RFC i projektets changelog. Miracle bruger typisk Confluence/JIRA til denne dokumentation. Det er projektlederens ansvar at sikre, at alle changes er oprettet i JIRA og kan findes i projektets changelog. Changen tildeles en prioritet, som afspejler ændringens urgency og impact (nedarves fra RFC til Change). 8. Testplan for implementeret change udarbejdes af Miracle og godkendes af kundens changeansvarlige. 9. Kundens change-ansvarlige skal godkende den udviklede change (typisk ved at udføre User Acceptance Test (UAT)) og den fastsatte fallbackplan, inden changen implementeres. Der er mulighed for, at man på individuelle forhold kan aftale changes, som af kunden er forhåndsgodkendte, og som derfor ikke er underlagt change-processen, hvad angår kundevendt godkendelse. 10. Implementering aftales med kundens change-ansvarlige, og change implementeres på produktionsmiljø i det med kunden aftalte servicevindue. 11. Opfølgning på changen, hvor effekten af changen og change-forløbet dokumenteres og kommunikeres til projektledelsen. Ledelsen i Applikations Support håndterer changes indrapporteret via Servicedesken ved at rette henvendelse til projektlederen, som er ansvarlig for, at de indkomne ændringsønsker prioriteres i samarbejde med kunden, tildeles ressourcer, og at Change Management-processen gennemføres i overensstemmelse med de indgåede kundeaftaler. Tidspunkt for udførelse af kontrol Såfremt der er indgået aftale med kunden om, at projektet følger Miracles Change Managementproces, udføres processen løbende for alle de oprettede ændringsønsker (RFC) og changes. Der udføres løbende kontrol med, at processen følges, og minimum en gang om måneden laves stikprøvekontrol på, at processen er fulgt for gennemførte changes. CAB (eller kundens change-ansvarlige og Miracles projektleder, hvis der ikke er etableret CAB), samles efter en bestemt mødefrekvens, typisk en gang om ugen, for at behandle indkomne RFC er. RFC erne gennemgås for korrekt udfyldelse, og ved godkendelse fastsættes gennemførselstidspunkt og dato. Desuden foretages review og opsamling på gennemførte changes siden sidste møde. Dermed
Deloitte 11 sikres, at der planlægges og følges op i samarbejde med kunden og ud fra kundens ønsker. Det kan aftales med den enkelte kunde, at godkendelse af minor changes kan gennemføres via e-mail til CABgruppen/kundens change-ansvarlige, så changen ikke skal afvente næste formelle møde. Dette for at sikre fleksibilitet i det omfang, kunden ønsker det. Hvem udfører kontrollen? Håndteringen af Change Management udføres og kontrolleres af projektlederen. Projektchef og ansvarlig for P&P er ansvarlig for løbende at kontrollere, at den overordnede Change Management-proces overholdes. Miracles projektleder er ansvarlig for: At godkende/afvise RFC er, som ligger inden for projektets mandat At indarbejde RFC er i projektplanen og formidle dette til projektets interessenter At alle changes er oprettet i projektets changelog Udvikling af change At der udarbejdes testplaner for planlagte changes At der udarbejdes fallback-plan Miracles/kundens implementeringsansvarlige er ansvarlige for: At implementere changes At følge op på implementering af changes umiddelbart efter implementering og rapportere til projektledelsen CAB/kundens change-ansvarlige er ansvarlige for: At vurdere RFC s påvirkning af projektets formål, gevinster, økonomi, risici og tidsramme At godkende/afvise RFC er, som ligger ud over projektets mandat At godkende testplaner for planlagte changes At udføre UAT af changes At godkende fallback-plan for planlagte changes At godkende changes endeligt inden implementering Kontroldokumentation? Dokumentation for RFC er findes i projektets RFC-log i Miracles JIRA. Dokumentation for changes findes i projektets changelog i Miracles JIRA.
Deloitte 12 Projektplan, testplan, fallback-plan og øvrig dokumentation findes i Miracles Confluence. 3.6.2 Konvertering af data Miracle sikrer, at det i forbindelse med udviklingsaktiviteter vurderes, om der er behov for konvertering af data fra eksisterende systemer. Er dette tilfældet, skal der udarbejdes en plan for konverteringen, og denne skal indarbejdes i projektplanen. Der udarbejdes en risikoanalyse for konverteringsopgaven, som vurderes af kunden og af den teknisk ansvarlige hos Miracle. Af risikoanalysen skal fallback-plan fremgå pr. identificeret risiko. Planen baserer sig på den analyse, der foreligger i RFC ens beskrivelse af den forretningsmæssige begrundelse for ændringen. Ud fra den foretagne analyse afgøres det, om der er behov for at lave en ekstra backup forud for udførelse af Change. Backup af data forud for udførelse af change foretages med de værktøjer, der anvendes på installationen op til udførelsen af changen. Sikring mod datatab/korruption af data under konvertering sker ved gennemførelse af funktionalitetstest og stikprøvekontrol af konverterede data i pre-prod-miljøet. Disse tests skal udarbejdes af domæneeksperter. Disse bør afspejle såvel forretning som applikation, middleware og databaser. 3.7 Supplerende information omkring det etablerede kontrolmiljø 3.7.1 Forhold, som skal iagttages af kunderne og disses revisorer Levering af serviceydelser Ovenstående systembeskrivelse af kontroller er baseret på Miracle A/S standardaftalebetingelser for change management. Kundernes egne revisorer bør vurdere, om denne erklæring kan anvendes og selv afdække eventulle andre risici, der vurderes som væsentlige for aflæggelse af kundernes årsregnskaber. Involvering af kunderne Kunderne deltager aktivt i Change Management-processerne f.eks. i styregrupper, ved prioritering af ændringsønsker og ved test af ny funktionalitet. Kunderne er selv ansvarlig for at sikre relevante personer til disse opgaver, herunder sikre, at opgaverne behørigt dokumenteres og godkendes. Endvidere kan der være typer af ændringer, som er forhåndsgodkendt af kunderne. I disse situationer vil arbejdshandlingerne omkring godkendelse og test hos Miracle A/S ikke blive udført. Dette sker primært i relation til ændringer, som har karakter af at være vedligeholdelse af applikationen. Det er således op til kundernes revisorer at vurdere kriterierne for hvilke ændringer, der kan forhåndsgod-
Deloitte 13 kendes, og de risici det medfører i relation til det samlede kontrolmiljø omkring aflæggelse af kundernes årsregnskab.
Deloitte 14 4. Information distribueret af Deloitte 4.1 Introduktion Denne oversigt er udformet med henblik på at informere kunder om de kontroller hos Miracle A/S, som kan påvirke behandling af regnskabsmæssige transaktioner og samtidig informere om effektiviteten af de kontroller, vi har efterprøvet. Kontroller, som udføres af Miracle Hosting A/S, som er sub serviceleverandør til Miracle A/S, er ikke omfattet af denne oversigt, idet erklæringen er udarbejdet efter partielmetoden, Den henvises til særlig erklæring omkring Miracle Hosting A/S serviceydelser. Nærværende afsnit har, når det kombineres med en forståelse og vurdering af kontrollerne i kundernes forretningsprocesser, til hensigt at hjælpe kundernes revisor med dels at planlægge revisionen af årsregnskabet, dels at vurdere risici for fejl i kundernes regnskaber, som muligvis påvirkes af kontroller hos Miracle A/S. Vores test af Miracle A/S kontroller er begrænset til de kontrolmål og relaterede kontroller, som vi har nævnt i nedenstående testskema i denne del af rapporten, og er ikke udvidet til at omfatte alle de kontroller, som måtte fremgå af ledelsens systembeskrivelse, ligesom kontroller, udført hos Miracle A/S kunder, ikke er omfattet af vores erklæring. Sidstnævnte forudsættes gennemgået og vurderet af kundernes egne revisorer. Endelig kan der hos kunderne være etableret kompenserende kontroller, som bevirker, at kontrolsvagheder, nævnt i denne rapport, minimeres til et revisionsmæssigt acceptabelt niveau. Denne vurdering kan alene foretages af kundernes revisorer. 4.2 Kontrolmiljøelementer Vores test af kontrolmiljøet inkluderede forespørgsler hos relevant ledelse, tilsynsførende og personale samt inspektion af Miracle A/S dokumenter og registreringer. Kontrolmiljøet er vurderet med hensyn til at bestemme karakteren, timingen og omfanget af kontrollers implementering. 4.3 Test af effektivitet Vores test af kontrollers effektivitet inkluderer de tests, som vi betragter som nødvendige for at evaluere, hvorvidt de udførte kontroller og overholdelsen af disse er tilstrækkelige til at give en høj, men ikke absolut, overbevisning om, at de specificerede kontrolmål blev opnået i løbet af perioden 01.08.2014 til 31.12.2014. Vores test af kontrollernes effektivitet er udformet til at dække et repræsentativt antal af transaktioner i løbet af perioden 01.08.2014 til 31.12.2014 for hver kontrol, jf. ne-
Deloitte 15 denfor, som er designet til at opnå de specifikke kontrolmål. I udvælgelsen af specifikke tests har vi overvejet (a) karakteren af de testede områder, (b) typerne af tilgængelig dokumentation, (c) karakteren af revisionsmålene, der skal opnås, (d) det vurderede kontrolrisikoniveau og (e) testens forventede effektivitet. 4.4 Kontrolmål og kontrolaktiviteter I nedenstående skema er de testede kontrolmål og kontroller anført, ligesom vi har beskrevet, hvilke revisionshandlinger der er udført og resultatet af disse handlinger. I det omfang vi har konstateret væsentlige kontrolsvagheder, har vi anført dette.
Deloitte 16 4.4.1 Styring af underleverandører Kontrolmål: Anvendelse af underleverandører administreres hensigtsmæssigt for at minimere sandsynligheden for forstyrrelser, uautoriserede ændringer og fejl. Kontrolaktivitet Etableret kontrol hos Miracle A/S Udførte revisionshandlinger Konklusion 4.3.1.1 Serviceleverancer Såfremt der anvendes sub serviceleverandører som en del af change-processen, skal disse efterleve Miracles fulde koncept for change-management og underlægges kontroller omkring kvalitet og overvågning på samme måde, som hvis opgaven udføres af interne funktioner hos Miracle. 4.3.1.2 Overvågning og vurdering af ekstern leverandør Serviceleverandører underlægges Miracles Change Management-proces, herunder også overvågning af at denne følges. Vi har gennemgået Change Management-processen og konstateret, at eventuelle serviceleverandører underlægges de anførte krav og kontroller i Change Management-processen. Vi har stikprøvevis konstateret, at sub serviceleverandører har efterlevet den aftalte proces. Vi har gennemgået Change Management-processen og konstateret, at eventuelle serviceleverandører underlægges de anførte krav og kontroller i Change Management-processen Ingen væsentlige bemærkninger. Ingen væsentlige bemærkninger. 4.3.1.3 Styring af ændringer i ekstern leverandørs leverancer Såfremt der anvendes serviceleverandører som en del af change-processen, er serviceleverandører underlagt Miracles RFC-koncept og skal efterleve denne standard. Vi har gennemgået og vurderet Miracle A/S ledelseskontrol af sub serviceleverandører. Vi har gennemgået Change Management-processen og konstateret, at eventuelle serviceleverandører underlægges de anførte krav og kontroller i Change Management-processen. Ingen væsentlige bemærkninger. Vi har vurderet det anvendte workflow for RFC og kontrolleret, at dette også omfatter involvering af sub serviceleverandører.
Deloitte 17 4.4.2 Change Management Kontrolmål: Nye applikationer og databaser og modifikationer til eksisterende applikationer og databaser implementeres hensigtsmæssigt og fungerer i overensstemmelse med ledelsens forventninger. Kontrolaktivitet Etableret kontrol hos Miracle A/S Udførte revisionshandlinger Konklusion 4.3.2.1 Formalisering og kontrol med ændringsprocedurer Miracle har fastsat formelle procedurer for Change Management. Disse er gældende for alle ændringer og baseres på en RFC-model. Godkendelse sker i styrende organer i form af CAB møder. Vi har gennemgået den etablerede Change Management-proces og vurderet indhold af denne. Vi har fulgt workflow et i processen og konstateret, at relevant dokumentation og systemunderstøttelse forefindes. Vi har observeret, at der ikke formelt afholdes systematiske CAB møder med kunderne som anført i proceduren. 4.3.2.2 Beskyttelse af testdata på systemer 4.3.2.3 Adgangskontrol til kildekode Test- og produktions-miljøer styres af Miracle Hosting og adgang til data, herunder testdata, styres af Miracle Hosting, der fungerer som ekstern leverandør for Miracle A/S, og dennes udviklingsprojekter. Indhold af testdata fastsættes af de ansvarlige for gennemførelse af test. Miracle har adgang til kildekoden i udviklings- og testmiljøer, men ikke i produktionsmiljøet. Adgang til kildekode i produktionsmiljøet varetages af Miracles Hosting-miljø. Vi har gennemgået Miracles-procedurer for månedlig overvågning (egen kontrol) af efterlevelse af Change Managementprocessen i organisation. Vi har for perioden 01.08.2014 til 31.12.2014 stikprøvevis udtaget nogle sager og kontrolleret, at processer er overholdt, og at der foreligger dokumentation for at de i processen anført kontroller er udført. Vi har vurderet adgang til udviklings-, test- og produktionsmiljøer og påset, at disse er adskilt. Det er oplyst, at testdata udvælges således, at disse understøtter de test, som skal gennemføres. Vi har vurderet proces for tildelt adgang til kildekode samt kontrolleret, at der benyttes adskilte brugerprofiler til udviklings-, test- og produktionsmiljøer. Vi har konstateret, at der afholdes møder mv. med kunderne på ad hoc basis, således at prioritering og godkendelse af ændringer eksisterer. Ingen væsentlige bemærkninger. Ingen væsentlige bemærkninger. Vi har via udtræk fra kildekodesystemet vurderet tildelt adgang ud fra oplyste forhold omkring arbejdsbetinget behov.
Deloitte 18 Kontrolaktivitet Etableret kontrol hos Miracle A/S Udførte revisionshandlinger Konklusion 4.3.2.4 Test af applikationer I forbindelse med ændringer I den anvendte Change Management-model er der indarbejdet retningslinjer for test af ændringer, forinden disse implementeres til produktionsmiljøerne. Ud fra en risikovurdering af konsekvenserne for fejl i ændringer fastsættes omfang og dybde af test. Vi har gennemgået den etablerede Change Management-proces og vurderet indholdet af denne. Vi har fulgt workflow et i processen og konstateret, at relevant dokumentation og systemunderstøttelse forefindes. Vi har for perioden 01.08.2014 til 31.12.2014 stikprøvevis udtaget nogle sager og kontrolleret at testprocessen er overholdt, og at der foreligger dokumentation for gennemført test i det omfang test skal gennemføres. Ingen væsentlige bemærkninger. Vi har dog konstateret, at processen på enkelte typer af ændringer ikke følger den fastsatte proces omkring godkendelse og test, da disse typer af ændringer er forhåndsgodkendt af Miracles kunder.