1. Ledelsens udtalelse

Relaterede dokumenter
ISAE 3000 DK ERKLÆRING MARTS RSM plus P/S statsautoriserede revisorer

frcewtfrhousf(wpers ml

Netic A/S. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Netic A/S serviceydelser.

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup.

Front-data Danmark A/S

Tabulex ApS. Februar erklæringsår. R, s

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser

Athena Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Athenas serviceydelser April 2018

Tabulex ApS. Februar erklæringsår. R, s

EG Cloud & Hosting

Fonden Center for Autisme CVR-nr.:

Lector ApS CVR-nr.:

1. Ledelsens udtalelse

Komiteen for Sundhedsoplysning CVR-nr.:

IMS A/S ISAE 3402 TYPE 1 ERKLÆRING. CVR-nummer

Plan og Handling CVR-nr.:

GML-HR A/S CVR-nr.:

MedCom. Året Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C

GML-HR A/S CVR-nr.:

Forbrugervalg 2018 Eniig Varme Dokumentation af afstemningsresultat Udskrevet den 25. september 2018 kl. 08:00 Behandlet af: Kasper Pilman Kristensen

Timengo DPG A/S CVR-nr

MedCom. Marts Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C

Bilag til management letter om it-revision af Sundhedsdatanettet (SDN) hos MedCom 2018 J.nr juni 2018

Sotea ApS CVR-nr

Sotea ApS. Indholdsfortegnelse

KOMBIT sikkerhedspolitik

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring

IST DANMARK APS ISAE 3000 ERKLÆRING

Outforce A/S. Erklæring fra uafhængig revisor vedrørende generelle it-kontroller i tilknytning til Outforce A/S it-drift og hostingaktiviteter

DFF EDB a.m.b.a. CVR-nr.:

IDQ A/S CVR-nr.:

DFF-EDB a.m.b.a CVR nr.:

Syddansk Universitet. Institutionsrevisors protokollat om forberedende revisionsarbejder for 2018

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

OPSÆTNING AF VPN TIL KUNDER

Procedure for tilsyn af databehandleraftale

ALMENE BOLIGORGANISATIONER S P Ø R G E S K E M A Regnskabsperiode: 2015/16 Boligselskab Administrator Tilsynsførende kommune Fyns Almennyttige Boligse

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Databehandleraftale 2013

Ledelsen har sikret, at der er etableret en hensigtsmæssig itsikkerhedsorganisation

A/S it-drift og hostingaktiviteter

EG Data Inform A/S ISAE 3402-erklæring, type 2, fra uafhængig i relation til EG Data Informs driftsydelser Januar 2016

IT-sikkerhedspolitik. for Social- og Sundhedsskolen Esbjerg

Staten og Kommunernes Indkøbsservice

Maj Faxe Kommune Revision af generelle it-kontroller hos Faxe Kommune for regnskabsåret

Uafhængig revisors erklæring om aktivitet og refusionsberettigede udgifter Kommunal refusion

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Kapitel 2. Udførelse af revisionen Kapitel 3. Tjekliste ved revision Indhente beskrivelse mv. fra selskabet... 3

Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser type 2

Revision af firewall. Jesper B. S. Christensen. Sikkerhed og Revision 6/7 September 2018

Halsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune.

Faxe Kommune Revision af generelle itkontroller

Afsnit 1 any.cloud A/S ledelseserklæring. Afsnit 2 any.cloud A/S beskrivelse af hostingydelse og interne kontroller

Faxe Kommune. informationssikkerhedspolitik

ÅOK og ÅOP Side 1

Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser

2. marts Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret

It-instruks om krav til systemrevision af kørselskontorets systemanvendelse for håndtering af kørselsdata

Revisionsrapport Revision af generelle it-kontroller 2016

Version: 1.0 Maj Informationssikkerhedspolitik for Struer Statsgymnasium

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484

BUDGET-ERKLÆRINGER Budget erfa-møde

Rackhosting ApS. ISAE 3402-erklæring fra uafhængig

Holstebro Kommune. Bilag 4 Revisionsberetning vedrørende Ansvarsforhold, revisionens omfang og rapportering. (Vilkår for revisionsopgaven)

Informationssikkerhedspolitik for <organisation>

Greve Kommune. Revision af generelle it-kontroller 2011

Databeskyttelsespolitik for DSI Midgård

Udkast til svar på Rigsrevisionens rapport om it-sikkerheden på SDN [Godkendt af MedComs styregruppe den 12. februar 2016]

Ballerup Kommune Beretning om tiltrædelse som revisor

SOPHIAGÅRD ELMEHØJEN

1 Informationssikkerhedspolitik

IT-sikkerhedspolitik for Lyngby Tandplejecenter

for Athena IT-Group Erklæring fra uafhængig revisor A/S' driftsydelser

Revisors erklæringer. Jan Brødsgaard. FSR danske revisorer Side 1

Hjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune

DEN UAFHÆNGIGE REVISORS REVISIONSPÅTEGNING Til bestyrelsen i ROMU REVISIONSPÅTEGNING PÅ ÅRSREGNSKABET Konklusion Vi har revideret årsregnskabet for RO

Tilsynserklæring vedrørende vejman.dk/tilladelser og Vinterman til erstatning for fysisk eller andet. 1. maj 2019

Vejledning til brug af Bank RA Revisionsinstruks

It-revision af Sundhedsdatanettet januar 2016

ÅOK og ÅOP i Norli Pension Livsforsikring A/S

Faxe Kommune Revision af generelle itkontroller

Afgivelse og modtagelse af revisorerklæringer. Gitte Nielsen, ATP Thomas Gi Scharf, KMD Jess Kjær Mogensen, PwC

pwc EG Data Inform A/S

It-sikkerhedspolitik for Farsø Varmeværk

any.cloud A/S REVI-IT A/S statsautoriseret revisionsaktieselskab

Status baseret på MedCom s svar og handleplan vedrørende revisionsrapport om it-revision af Sundhedsdatanettet (SDN) 2015


Indholdsfortegnelse Indledning Formål Omfang Holdninger og principper... 4

SQL - Login, Role, Schema og User

IT-sikkerhedspolitik S i d e 1 9

Hillerød Kommune. It-sikkerhedspolitik Bilag 8. Kontrol og adgang til systemer, data og netværk

Rackhosting ApS

Bekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Bilag 1 Databehandlerinstruks

Præsentation af Curanets sikringsmiljø

Zentura IT A/S CVR-nr

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores

Bilag 4- Ydelsesbeskrivelse

Transkript:

www.pwc.dk Sonlinc A/S ISAE 3000-erklæring fra uafhængig revisor vedrørende udvalgte generelle it-kontroller i Sonlinc A/S og udvalgte applikationskontroller i tilknytning til SonWin Billing for perioden 1. februar 2016-31. januar 2017. Maj 2017

Indhold 1. Ledelsens udtalelse... 3 2. Uafhængig revisors erklæring med sikkerhed om beskrivelse af kontroller, deres udformning og funktionalitet... 4 3. Kontrolmål, kontroller, test og resultat heraf... 6 PwC 2

1. Ledelsens udtalelse Til vores kunder Ledelsens udtalelse vedrørende it-kontroller i tilknytning til Sonlinc A/S generelle samarbejdsvilkår Nærværende beskrivelse vedrører udvalgte generelle it-kontroller i Sonlinc A/S og udvalgte applikationskontroller i tilknytning til SonWin Billing med udgangspunkt i generelle samarbejdsvilkår. De generelle it-kontroller omfatter følgende områder: Ændringsstyring, herunder incident- og release-management hos Sonlinc A/S Den planlagte sikkerhed omkring Sonlinc A/S adgang til kundesystemer via en sikker forbindelse Applikationskontrollerne omfatter følgende områder: Transaktions- og kontrolspor, herunder datagrundlag for afstemninger til finansbogføringssystem i SonWin Billing SonWin Basis sikkerhedssystem. Beskrivelsen dækker perioden 1. februar 2016-31. januar 2017, og er udelukkende beregnet for kunder, som har anvendt SonWin Billing, og disses revisorer. Sonlinc A/S varetager udvikling og support af SonWin-applikationen. I forbindelse med udviklingen har Sonlinc A/S etableret forretningsgange for ændringsstyring, herunder incident- og release-management. For at Sonlinc A/S kan yde support, i henhold til de generelle samarbejdsvilkår, er der, via en sikker forbindelse, etableret adgang til kundens SonWin-installation. Al adgangskontrol og tildeling af rettigheder i SonWin-applikationen sker via SonWin Basis. Det er således via SonWin Basis, at SonWin Billing-data beskyttes. Endvidere er det i SonWin Basis, at den af kunden ønskede funktionsadskillelse i SonWin Billing etableres, administreres og sikres. Kunden er selv ansvarlig for, at anvende de kontrolmuligheder, som ligger i systemet, samt for datakvalitet i input og manuelle kontroller. Kunden er endvidere selv ansvarlig for opsætning og vedligeholdelse af egne brugere i systemet. Kunden er selv ansvarlig for installation og drift af SonWin-applikationen, herunder anskaffelse og vedligeholdelse af hardware og systemsoftware. Med baggrund i ovenstående vurderer Sonlinc A/S, at vi i alle væsentlige forhold har etableret effektive kontroller i overensstemmelse med de generelle samarbejdsvilkår. Herudover kan Sonlinc A/S oplyse, at der er foretaget en gennemgang, for indeværende regnskabsperiode, af Sonlinc A/S håndtering af persondata. Denne gennemgang har omfattet en analyse af Sonlinc A/S personalehåndbog og de generelle samarbejdsvilkår. Charlottenlund, den 30. maj 2017 Sonlinc A/S Kaspar Mondrup vice adm. direktør 3

2. Uafhængig revisors erklæring med sikkerhed om beskrivelse af kontroller, deres udformning og funktionalitet Til ledelsen i Sonlinc A/S samt kunder, der anvender SonWin, og disses revisorer. Omfang Vi har gennemgået ledelsens udtalelse af 30. maj 2017 vedrørende it-kontroller i tilknytning til Sonlinc A/S generelle samarbejdsvilkår. Denne erklæring, som omfatter perioden 1. februar 2016-31. januar 2017, er udelukkende beregnet for kunder, som har anvendt SonWin i perioden og disses revisor. Vores revision har omfattet følgende vedrørende SonWin: Ændringsstyring, herunder incident- og release-management Sikkerheden omkring Sonlinc A/S adgang til kundesystemer via VPN-forbindelse Transaktions- og kontrolspor, herunder datagrundlag for afstemninger til finansbogføringssystem i SonWin Billing SonWin Basis sikkerhedssystem Kontrolmål og kontroller er oplistet i afsnit 3. Sonlinc A/S ansvar Det er ledelsens ansvar at sikre tilrettelæggelsen af de aftalte kontroller og at udarbejde beskrivelse herom. Vores uafhængighed og kvalitetsstyring Vi har overholdt kravene til uafhængighed og andre etiske krav i FSR danske revisorers retningslinjer for revisors etiske adfærd (Etiske regler for revisorer), der bygger på de grundlæggende principper om integritet, objektivitet, faglig kompetence og fornøden omhu, fortrolighed og professionel adfærd. PricewaterhouseCoopers er underlagt international standard om kvalitetsstyring, ISQC 1, og anvender og opretholder således et omfattende kvalitetsstyringssystem, herunder dokumenterede politikker og procedurer vedrørende overholdelse af etiske krav, faglige standarder og krav ifølge lov og øvrig regulering. Vores ansvar Vores ansvar er på grundlag af vores handlinger at udtrykke en konklusion om Sonlinc A/S beskrivelse og vurdering samt om udformningen og funktionaliteten af kontroller, der knytter sig til de sikkerhedskrav, der er anført i kapitel 3. Vi har udført vores arbejde i overensstemmelse med ISAE 3000 DK, Andre erklæringsopgaver med sikkerhed end revision eller review af historiske finansielle oplysninger. Denne standard kræver, at vi planlægger og udfører vores handlinger for at opnå begrænset grad af sikkerhed for, at beskrivelsen i alle væsentlige henseender er retvisende, og at kontrollerne i alle væsentlige henseender er hensigtsmæssigt udformet. Den opnåede sikkerhed er begrænset i forhold til en opgave med høj grad af sikkerhed, idet vores arbejde har været begrænset til at omfatte forespørgsler til selskabets ledelse og medarbejdere, observationer samt undersøgelse af den information, vi har modtaget, og giver således mindre sikkerhed end en opgave med høj grad af sikkerhed. Vi har ikke foretaget efterprøvelse af modtagne oplysninger og skriftligt materiale, eller foretaget test af kontroller. Det er vores opfattelse, at det opnåede bevis er tilstrækkeligt og egnet til at danne grundlag for vores konklusion. PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab, Strandvejen 44, 2900 Hellerup CVR-nr. 33 77 12 31 4

Begrænsninger i kontroller hos en serviceleverandør Sonlinc A/S beskrivelse er udarbejdet for at opfylde de almindelige behov hos kunder og disses revisorer og omfatter derfor ikke nødvendigvis alle de aspekter ved kontroller i relation til SonWin, som kunder måtte anse for vigtige efter disses særlige forhold. Endvidere vil kontroller hos en serviceleverandør som følge af deres art muligvis ikke forhindre eller opdage alle fejl eller udeladelser ved behandlingen eller rapporteringen af transaktioner. Herudover er fremskrivningen af enhver vurdering af funktionaliteten til fremtidige perioder undergivet risikoen for, at kontroller hos en serviceleverandør kan blive utilstrækkelige eller svigte. Konklusion På grundlag af de udførte handlinger og det opnåede bevis er vi ikke blevet bekendt med forhold, der giver os grund til at mene, at Sonlinc A/S ikke i alle væsentlige henseender har etablerede forretningsgange og kontroller der sikrer de opstillede kontrolmål. København, den 30. maj 2017 PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab Michael Clement statsautoriseret revisor PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab, Strandvejen 44, 2900 Hellerup CVR-nr. 33 77 12 31 5

3. Kontrolmål, kontroller, test og resultat heraf Specifikke kontrolmål, implementerede kontroller, revision og resultat heraf Kontrolmål: Informationssikkerhedspolitik hos Sonlinc A/S Der er etableret passende forretningsgange og kontroller for opretholdelse af det aftalte sikkerhedsniveau ifølge driftsaftaler. Sonlinc-kontrol Skriftlig politik for informationssikkerhed Sonlinc A/S informationssikkerhedspolitik er dokumenteret og vedligeholdes ved gennemgang mindst én gang årligt. Informationssikkerhedspolitikken er godkendt af ledelsen. Kundespecifikke forhold er indarbejdet i Sonlinc A/S kvalitetsstyringssystem via håndbøger. Informationssikkerhedspolitikken er gjort tilgængelig for medarbejdere via intranettet. PwC s vurdering af udformning af kontroller Vi har inspiceret, at sikkerhedspolitikken er godkendt af ledelsen, samt at politikken som minimum er revurderet én gang årligt, og forefindes let tilgængelig for medarbejderne Resultat af vurdering PwC 6

Kontrolmål: Organisering af informationssikkerhed hos Sonlinc A/S Det organisatoriske ansvar for informationssikkerhed er passende dokumenteret og implementeret, ligesom håndtering af eksterne parter sikrer en tilstrækkelig behandling af sikkerhed i aftaler. Informationssikkerhedspolitikken vedligeholdes under hensyn til en aktuel risikovurdering. Sonlinc-kontrol Ledelsens forpligtelse i relation til informationssikkerhed Det organisatoriske ansvar for informationssikkerhed er dokumenteret og implementeret. PwC s vurdering af udformning af kontroller Vi har inspicere, at det organisatoriske ansvar for informationssikkerhed er dokumenteret. Resultat af vurdering PwC 7

Kontrolmål: Adgangsstyring hos Sonlinc A/S Der er etableret logiske adgangskontroller, som begrænser risikoen for uautoriseret adgang til netværk og servere. Der er samtidig etableret passende forretningsgange og kontroller for tildeling af, opfølgning på samt vedligeholdelse af adgangsrettigheder til systemer og netværk. Sonlinc-kontrol Brugerregistrering og administration af privilegier Alle brugere skal være registeret med et unikt bruger-id, og deres rettigheder til netværk og systemer skal være i overensstemmelse med Sonlinc A/S politikker. Endvidere skal det sikres, at rettigheder er tildelt ud fra et arbejdsbetinget behov, er godkendt og oprettet korrekt i systemerne. Evaluering af brugeradgangsrettigheder Alle adgange for nye og eksisterende brugere vedrørende systemer, netværk, databaser og datafiler bliver gennemgået af ledelsen for at sikre, at rettigheder er defineret ud fra et arbejdsbetinget behov, er godkendt og er oprettet korrekt i overensstemmelse med Sonlinc A/S politik for adgangsstyring. PwC s vurdering af udformning af kontroller har en formaliseret procedure for oprettelse, nedlæggelse og vedligeholdelse af brugere. Vi har stikprøvevis inspiceret, at proceduren følges og at nye brugeroprettelser godkendes. har en formaliseret procedure for årlig brugergennemgang. Vi har inspiceret, at den årlige gennemgang af brugere er blevet udført. Resultat af vurdering henseender har etablerede Inddragelse af adgangsrettigheder Ved medarbejderes fratrædelse bliver alle brugerrettigheder til systemer, netværk, databaser og datafiler inaktiveret. Vi har inspiceret, at Sonlinc har en formaliseret procedure for nedlæggelse af brugere. Vi har stikprøvevis inspiceret, at proceduren følges og at aftrådte medarbejdere en korrekt nedlagt i Sonlinc A/S systemer. PwC 8

Kontrolmål: Adgangsstyring hos Sonlinc A/S Der er etableret logiske adgangskontroller, som begrænser risikoen for uautoriseret adgang til netværk og servere. Der er samtidig etableret passende forretningsgange og kontroller for tildeling af, opfølgning på samt vedligeholdelse af adgangsrettigheder til systemer og netværk. Politik for anvendelse af netværkstjenester, herunder autentifikation af brugere med ekstern forbindelse Datakommunikationen er tilrettelagt på en hensigtsmæssig måde og er tilstrækkeligt sikret mod risiko for tab af autenticitet, integritet, tilgængelighed samt fortrolighed. Vi har inspiceret, at firewalls er opdaterede og hensigtsmæssigt konfigureret. Vi har inspiceret, at adgangsreglerne i firewalls er konfigureret således, at interne netværkssegmenter er korrekt opdelt samt at det interne net er beskyttet. Vi har inspiceret, at fjernadministration af firewalls foregår over kryptografisk sikre protokoller fra udvalgte hosts. Vi har observeret firewalls berørt af en svaghed grundet manglende opdatering. Vi har dog observeret, at dette forhold er udbedret d. 3. maj 2017. Sikkerheden omkring Sonlinc A/S adgang til kundesystemer via VPN-forbindelse Der er opsat procedurer for brugervedligeholdelse og brugeradgange for Sonlinc A/S adgange til kundesystemer via VPNforbindelser, og der foretages logning af netværkstrafikken. Såfremt kunden ønsker det, tilbydes det, at kunden selv kan udstyre Sonlinc-medarbejdere med individuelle brugernavne og adgangskoder, der er beskyttet af Microsofts standard PKI-infrastruktur. har en formaliseret procedure for etablering af VPN til kundenetværk. Vi har inspiceret, at kundenetværkene er adskilt fra det interne net og at kun særlig udvalgt datatrafik kan passere firewallen. Vi har inspiceret, at kun særligt udvalgte Sonlinc-brugere har mulighed for at etablere VPNforbindelser til kundenetværkene. Vi har inspiceret, at der er opsat central syslog af datatrafik fra firewalls, samt at adgang til denne log er begrænset til særligt udvalgte medarbejdere med et arbejdsbetinget behov. PwC 9

Kontrolmål: Adgangsstyring hos Sonlinc A/S Der er etableret logiske adgangskontroller, som begrænser risikoen for uautoriseret adgang til netværk og servere. Der er samtidig etableret passende forretningsgange og kontroller for tildeling af, opfølgning på samt vedligeholdelse af adgangsrettigheder til systemer og netværk. Sårbarhedsscanning af Sonlinc A/S interne netværk samt kundenetttet Der er foretaget periodisk sårbarhedsscanning af det interne net samt kundenettet, som ligger adskilt fra hinanden. Eventuelt identificerede svagheder imødegås og udbedres løbende. Vi har foretaget en afgrænset sårbarhedsscanning på Sonlinc A/S interne og eksterne netværk, og vi har efterprøvet hvorvidt det er muligt at skabe forbindelse til kundenetværket gennem det interne net. Vi har observeret forskellige forhold, af mindre væsentlig karakter, som bør adresseres. Det har dog ikke været muligt at skabe forbindelse til kundenetværket, og vi har hermed verificeret at dette ligger adskilt fra det interne net. Vi har yderligere verificeret at Sonlinc A/S fremadrettet vil arbejde med de identificerede forhold. PwC 10

Kontrolmål: Adgangsstyring SonWin Basis sikkerhedssystem Der er etableret logiske adgangskontroller, som giver mulighed for at kunder kan begrænser risikoen for uautoriseret adgang til SonWin samt etablere en passende funktionsadskillelse Sonlinc-kontrol Der er opsat procedurer for adgangsstyring for brugere i SonWin Basis sikkerhedssystemet, som understøtter en passende grad af funktionsadskillelse. PwC s vurdering af udformning af kontroller Vi har inspiceret, at SonWin applikationen indeholder personlige brugerkonti samt at applikationen indeholder historik over hvilke rettigheder en given brugerkonti har haft bagudrettet. Vi har inspiceret, at almindelige brugere i applikationen ikke kan ændre sine brugerrettigheder. har dokumenteret de fornødne brugerkonti, roller og schemas der skal oprettes i SQL databasen i forbindelse med SonWin applikationen. Vi har inspiceret, at applikationsbrugere ikke kan tilgå SQLdatabasen direkte. Resultat af vurdering Kontrolmål: Ændringsstyring, herunder incident- og release-management hos Sonlinc A/S Der er etableret passende forretningsgange og kontroller for implementering og vedligeholdelse af SonWinapplikationen. Sonlinc-kontrol Ændringsstyring for SonWinapplikationen Nye systemer og væsentlige opgraderinger bliver testet, herunder brugeraccepttest af kvalificerede medarbejdere før implementering i produktionsmiljøet. Der udføres endvidere efterfølgende test af implementeringer. Der anvendes incident- og releasemanagementsystemer, ligesom der PwC s vurdering af udformning af kontroller har en formel procedure for udførsel af test af ændringer til SonWin applikationen samt for release af ny version. Vi har stikprøvevis inspiceret, at der i forbindelse med udvikling foretages dokumenterede test af Resultat af vurdering PwC 11

Kontrolmål: Ændringsstyring, herunder incident- og release-management hos Sonlinc A/S Der er etableret passende forretningsgange og kontroller for implementering og vedligeholdelse af SonWinapplikationen. anvendes systemer til beskyttelse af kildekode. ændringer. løbende udfører regressionstest af ændringer. Vi har inspiceret, at der i forbindelse med nye version udgives release notes der inkluderer de mest væsentlige ændringer til applikationen, samt at opdateringspakken signeres. har en formaliseret procedure for håndtering af høj-prioritetssager. Kontrolmål: Transaktions- og kontrolspor, herunder datagrundlag for afstemninger til finansbogføringssystem i SonWin Billing Der er etableret passende kontroller for transaktions- og kontrolspor i SonWin Billing. Sonlinc-kontrol PwC-vurdering af design Resultat af vurdering Transaktions- og kontrolspor i for SonWin Billing SonWin Billing inkluderer et intakt transaktions- og kontrolspor således, at den enkelte regnskabspost kan spores tilbage til de grundposteringer, som regnskabsposten består af. Derfor er udlæst finansbogføringsdata et tilstrækkeligt grundlag til at sikre, at der kan foretages afstemninger mellem SonWin Billing og det af kunden anvendte finansbogføringssystem. Vi har observeret relevant personale foretage en transaktion i SonWin Billing systemet til test af intakt transaktions- og kontrolspor. Vi har inspiceret, at udlæste finansbogføringsdata sikrer et tilstrækkeligt grundlag til, at der kan foretages afstemninger mellem SonWin Billing, og det af kunden anvendte finansbogføringssystem. Det skal dog bemærkes, at sikring af et intakt kontrolspor beror på individuelle procedurer og foranstaltninger ved dataudvekslingen mellem SonWin Billing og det af kunden anvendte finansbogføringssystem. Såfremt alle nødvendige data overføres til kundens finansbogføringssystem, vil kontrolsporet i SonWin Billing sikre, at den enkelte regnskabspost kan følges tilbage til de grundposteringer, regnskabsposten består af. PwC 12

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback