Senere ændringer til forskriften
Lovgivning forskriften vedrører
Ændrer i/ophæver
Oversigt (indholdsfortegnelse)
Bilag 1 Den eksterne systemrevisions erklæring i henhold til bekendtgørelsens § 7
Den fulde tekst

Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler

I medfør af § 199, stk. 12, og § 373, stk. 4, i lov om finansiel virksomhed, jf. lovbekendtgørelse nr. 928 af 4. august 2014, fastsættes:

Anvendelsesområde og definitioner

§ 1. Bekendtgørelsen finder anvendelse for fælles datacentraler, som i ikke uvæsentligt omfang udfører it-driftsopgaver for flere finansielle virksomheder, finansielle holdingvirksomheder, forsikringsholdingvirksomheder eller sådanne virksomheders dattervirksomheder samt for datacentraler, der udfører både væsentlig it-drift og it-udvikling for den fælles betalingsinfrastruktur, jf. stk. 2-5.

Stk. 2. En fælles datacentral er en virksomhed, hvis væsentligste aktiviteter enten omfatter

1) udførelse af de i stk. 1 nævnte it-driftsopgaver, herunder bogførings-, registrerings- og clearingsopgaver, eller

2) udførelse af de i nr. 1 nævnte opgaver samt udvikling og vedligeholdelse af systemer til de tilsluttede virksomheder.

Stk. 3. Bekendtgørelsen finder kun anvendelse for fælles datacentraler, når disse

1) overvejende er ejet af flere finansielle virksomheder, finansielle holdingvirksomheder, forsikringsholdingvirksomheder eller sådanne virksomheders dattervirksomheder i forening eller

2) er en forening, hvis medlemmer overvejende er finansielle virksomheder, finansielle holdingvirksomheder, forsikringsholdingvirksomheder eller sådanne virksomheders dattervirksomheder.

Stk. 4. Bekendtgørelsen finder ikke anvendelse for fælles datacentraler, der er dattervirksomheder i en finansiel koncern.

Stk. 5. Fælles datacentraler og datacentraler, der udfører både væsentlig it-drift og it-udvikling for den fælles betalingsinfrastruktur benævnes i denne bekendtgørelse datacentraler.

Stk. 6. Ved systemrevision forstås i denne bekendtgørelse revision af

1) generelle it-kontroller i virksomheden,

2) it-baserede brugersystemer, som datacentralerne tilbyder de tilsluttede finansielle virksomheder, finansielle holdingvirksomheder, forsikringsholdingvirksomheder eller sådanne virksomheders dattervirksomheder og

3) it-systemer, der tilbydes til udveksling af data med de til datacentralerne tilsluttede finansielle virksomheder, finansielle holdingvirksomheder, forsikringsholdingvirksomheder eller sådanne virksomheders dattervirksomheder samt andre datacentraler.

Stk. 7. Ved system-, data- og driftssikkerhed forstås i denne bekendtgørelse følgende:

1) Systemsikkerhed er resultatet af de politikker, forretningsgange og kontroller, der skal sikre pålidelige systemer, herunder at systemer er dokumenteret, godkendt, testet og sikret mod uautoriseret ændring.

2) Datasikkerhed er resultatet af de politikker, forretningsgange og kontroller, der skal sikre en pålidelig og fortrolig registrering, opbevaring, beskyttelse og brug af data, samt at ændring, sletning, fysisk eller logisk adgang til eller brug af data er godkendt og dokumenteret.

3) Driftssikkerhed er resultatet af de politikker, forretningsgange og kontroller, der skal sikre en pålidelig gennemførelse af databehandling og håndtering af fejl og mangler med henblik på, at systemer og data er tilgængelige i fornødent omfang.

Stk. 8. Ved tilsluttede virksomheder forstås de finansielle virksomheder, finansielle holdingvirksomheder, forsikringsholdingvirksomheder og sådanne virksomheders dattervirksomheder, som en fælles datacentral eller en datacentral, der udfører både væsentlig it-drift og it-udvikling for den fælles betalingsinfrastruktur, udfører de i stk. 1 og 2 nævnte opgaver for.

Den eksterne systemrevision

§ 2. I de i § 1 nævnte datacentraler vælger generalforsamlingen mindst én godkendt revisor (den eksterne systemrevision) til varetagelse af opgaverne i §§ 3-7. I datacentraler, hvor den øverste myndighed ikke er en generalforsamling, foretages valget af den øverste myndighed. Den enkelte eksterne systemrevisor skal udføre sine opgaver gennem en godkendt revisionsvirksomhed, jf. lov om godkendte revisorer og revisionsvirksomheder. Datacentralen afholder omkostningerne ved systemrevisionen.

Stk. 2. Den eksterne systemrevision vælges for et år ad gangen. Ved nyvalg skal bestyrelsen sikre, at der senest en måned efter valget sker anmeldelse herom til Finanstilsynet. Skyldes skiftet af ekstern systemrevision særlige forhold, finder § 199, stk. 6, i lov om finansiel virksomhed tilsvarende anvendelse.

Stk. 3. Bestemmelserne i lov om godkendte revisorer og revisionsvirksomheder om revisors funktionsperiode i virksomheder, der er underlagt tilsyn af Finanstilsynet, samt rapportering og uafhængighed finder tilsvarende anvendelse for den eksterne systemrevision i de i § 1 nævnte datacentraler.

Stk. 4. Bestemmelserne i lov om aktie- og anpartsselskaber om bestyrelsens og direktionens pligt til at give revisor oplysninger, adgang til at foretage undersøgelser og sørge for, at revisor får de oplysninger og den bistand, som revisor anser for nødvendig for udførelsen af sit hverv, finder tilsvarende anvendelse for den eksterne systemrevision.

Stk. 5. Bestemmelserne i lov om aktie- og anpartsselskaber om revisors ret og pligt til at være til stede og til at besvare spørgsmål på et selskabs generalforsamling finder tilsvarende anvendelse for den eksterne systemrevision på en datacentrals generalforsamling eller møde i den øverste myndighed.

§ 3. Den eksterne systemrevision skal foretage den i § 1, stk. 6, nævnte systemrevision i overensstemmelse med god revisorskik, herunder påse, om

1) betryggende kontrol- og sikringsforanstaltninger tilgodeses i tilstrækkeligt omfang ved udvikling, vedligeholdelse og drift af de af datacentralens systemer, som har relation til de tilsluttede finansielle virksomheder, og

2) de af datacentralens forretningsgange, der har relation til tilsluttede virksomheder, er tilrettelagt og fungerer på betryggende vis.

Stk. 2. Den eksterne systemrevision skal medvirke til en koordineret systemrevisionsmæssig indsats med

1) revisionen i tilsluttede virksomheder,

2) systemrevisionen i andre datacentraler, der er omfattet af denne bekendtgørelse og

3) systemrevisionen i værdipapircentraler.

Den eksterne systemrevisions protokol

§ 4. Til brug for datacentralens bestyrelse skal den eksterne systemrevision føre en særskilt systemrevisionsprotokol. Der skal i systemrevisionsprotokollen redegøres for den i årets løb udførte systemrevision, som kan danne grundlag for revisionsmæssige delkonklusioner. Systemrevisionsprotokollen skal fremlægges på ethvert bestyrelsesmøde, og enhver protokoltilførsel skal underskrives af den samlede bestyrelse og systemrevisionschefen.

Stk. 2. Ved hvert kalenderårs afslutning skal der i et årsprotokollat redegøres for arten og omfanget af de udførte revisionsarbejder og konklusionen herpå. Herunder skal den eksterne systemrevision opliste afgivne revisorerklæringer vedrørende systemrevision, som ikke er afgivet efter § 7 samt oplyse om indholdet af eventuelle forbehold eller supplerende oplysninger i disse. I et særskilt afsnit i årsprotokollatet skal den eksterne systemrevision opsummere samtlige bemærkninger, som systemrevisionen har givet anledning til at fremføre over for bestyrelsen i systemrevisionsprotokollen. Opsummeringen skal indeholde en status vedrørende de bemærkninger, der er fremført vedrørende det pågældende år samt en status vedrørende de bemærkninger, der fremgik som åbenstående i årsprotokollatet vedrørende det foregående år. Opsummeringen kan indeholde henvisninger til bemærkninger i den revisionserklæring, der skal afgives i henhold til § 7. Såfremt der anvendes henvisninger til revisionserklæringen skal selve erklæringen forelægges for datacentralens bestyrelse senest på det møde, hvor bestyrelsen behandler årsprotokollatet.

Stk. 3. Den eksterne systemrevision skal i et særskilt afsnit i årsprotokollatet oplyse om udførelse af eventuelle assistance- eller rådgivningsopgaver indenfor bekendtgørelsens anvendelsesområde.

§ 5. Har datacentralen en intern systemrevision, der opfylder bestemmelserne i §§ 9-15, kan den eksterne systemrevision aftale med systemrevisionschefen, jf. § 10, stk. 1, at oplistningen af revisorerklæringer efter § 4, stk. 2, 2. pkt., samt redegørelserne efter § 4, stk. 2, 3. og 4. pkt., alene fremgår af den interne systemrevisions årsprotokollat. Aftalen herom skal fremgå af systemrevisionsaftalen, jf. § 14.

§ 6. Det skal i årsprotokollatet oplyses, om

1) den eksterne systemrevision opfylder lovgivningens krav til revisors uafhængighed, og

2) den eksterne systemrevision har modtaget alle de oplysninger, der er anmodet om.

Stk. 2. I årsprotokollatet skal den eksterne systemrevision bekræfte, at de i § 7 nævnte erklæringer er afgivet over for de tilsluttede virksomheder. Eventuelle forbehold eller supplerende oplysninger skal i denne forbindelse gengives i protokollatet.

Stk. 3. I datacentraler, der har intern systemrevision, skal det i årsprotokollatet oplyses, om

1) de ifølge systemrevisionsaftalen, jf. § 14, aftalte opgaver er udført,

2) den interne systemrevision fungerer tilfredsstillende, og

3) den eksterne systemrevision er enig i indholdet af alle de interne systemrevisions protokoltilførsler vedrørende kalenderåret, og såfremt dette ikke er tilfældet, hvori uenigheden består.

Stk. 4. En kopi af den eksterne systemrevisions årsprotokollat skal af datacentralen sendes til Finanstilsynet hvert år inden 15. februar sammen med kopi af de erklæringer, der afgives efter § 7.

Stk. 5. Erklæringer og oplysninger efter stk. 1-3 skal, hvis de afgives uden forbehold eller supplerende oplysninger, gengives efter bekendtgørelsens ordlyd.

Erklæringer

§ 7. Den eksterne systemrevision skal hvert år inden et med datacentralen aftalt tidspunkt, jf. dog stk. 6, afgive erklæringer om system-, data- og driftssikkerheden vedrørende det forudgående kalenderår til brug for de tilsluttede virksomheder, der er omfattet af lov om finansiel virksomhed.

Stk. 2. Konklusioner i erklæringer efter stk. 1 skal afgives ordret efter bekendtgørelsens bilag 1, hvis erklæringerne afgives uden forbehold eller supplerende oplysninger. Erklæringerne udformes efter reglerne om andre erklæringer med sikkerhed i Erhvervsstyrelsens erklæringsbekendtgørelse.

Stk. 3. Det skal fremgå af erklæringens konklusion, hvorvidt revisor vurderer, at centralens samlede system-, data- og driftssikkerhed er betryggende.

Stk. 4. Hvis den eksterne systemrevision er bekendt med forhold vedrørende datacentralens generelle it-kontroller, it-baserede brugersystemer samt systemer til udveksling af data, som er i strid med lovgivningen vedrørende finansielle virksomheder, skal den eksterne systemrevision oplyse herom i et særskilt afsnit.

Stk. 5. Erklæringen efter stk. 1 og 2, samt systemrevisionschefens erklæring i henhold til § 8, skal af datacentralen uden unødigt ophold efter deres afgivelse sendes til direktionen i de pågældende virksomheder. For koncerner kan datacentralen, medmindre det vil stride mod bestemmelserne i lov om finansiel virksomhed om videregivelse af fortrolige oplysninger, aftale med moderselskabet, at erklæringerne alene sendes til moderselskabets direktion, der i så fald skal sikre, at relevante koncernvirksomheders direktioner modtager kopier.

Stk. 6. Den eksterne systemrevision skal afgive erklæringen efter stk. 1 vedrørende en periode, der tidligst slutter den 31. oktober i det pågældende kalenderår. Hvis der afgives erklæring vedrørende en anden periode end et kalenderår, skal den eksterne systemrevision ved årsskiftet tillige afgive supplerende erklæring til de tilsluttede virksomheder, der er omfattet af lov om finansiel virksomhed om, hvorvidt den samlede system-, data- og driftssikkerhed har været og fungeret betryggende i perioden frem til årsskiftet.

§ 8. Har datacentralen en intern systemrevision, der opfylder bestemmelserne i §§ 9-15, skal den interne systemrevisionschef i et særskilt dokument, til brug for de virksomheder, der er omfattet af lov om finansiel virksomhed erklære, om denne er enig i den eksterne systemrevisions erklæring.

Stk. 2. Systemrevisionschefens erklæring skal indeholde en kort beskrivelse af den udførte systemrevision samt konklusionen herpå.

Stk. 3. Eventuelle forbehold eller supplerende oplysninger skal tydeligt fremgå af erklæringen.

Den interne systemrevision

§ 9. Bestyrelsen i en datacentral kan bestemme, at der skal oprettes en intern systemrevision, jf. dog stk. 2.

Stk. 2. Datacentraler, der varetager væsentlige it-driftsopgaver, herunder bogførings-, registrerings- og clearingsopgaver for pengeinstitutter, er dog forpligtet til at oprette en intern systemrevision.

Stk. 3. Hvis en datacentral opretter en intern systemrevision, finder bestemmelserne i dette kapitel anvendelse.

§ 10. Den interne systemrevision ledes af en systemrevisionschef. Ansættelse og afskedigelse af systemrevisionschefen kan alene foretages af datacentralens bestyrelse.

Stk. 2. Systemrevisionschefen skal ved ansættelsen have deltaget i praktisk systemrevisionsarbejde i mindst 3 af de seneste 5 år.

Stk. 3. Bestyrelsen kan udpege en eller flere vicesystemrevisionschefer.

Stk. 4. Bestyrelsen kan udpege en vicesystemrevisionschef som stedfortræder for systemrevisionschefen.

Stk. 5. Bestemmelserne i stk. 1 og 2 samt §§ 11 og 12 vedrørende systemrevisionschefen finder tilsvarende anvendelse på vicesystemrevisionschefer, herunder stedfortrædere.

§ 11. Når en systemrevisionschef tiltræder, skal dette indberettes til Finanstilsynet senest 1 måned efter tiltrædelsen.

Stk. 2. Bestyrelsen skal ved indberetning til Finanstilsynet om ansættelse af systemrevisionschefen afgive en erklæring om, at systemrevisionschefen opfylder kravene efter § 10, stk. 2.

Stk. 3. Når en systemrevisionschef fratræder sin stilling, skal bestyrelsen og systemrevisionschefen senest 1 måned efter fratrædelsen sende hver sin redegørelse til Finanstilsynet om baggrunden herfor.

§ 12. Systemrevisionschefen skal have adgang til alle oplysninger, som denne finder nødvendige for systemrevisionens gennemførelse, herunder bestyrelsesprotokollater.

Stk. 2. Systemrevisionschefen og medarbejderne i den interne systemrevision må ikke deltage i andet arbejde i datacentralen end revision.

§ 13. I datacentraler, der har en intern systemrevision, skal der foreligge en funktionsbeskrivelse, som er godkendt af bestyrelsen. Funktionsbeskrivelsen skal som minimum indeholde bestemmelser om følgende:

1) Den interne systemrevisions almindelige beføjelser, ansvar og arbejdsopgaver.

2) Medarbejdernes kvalifikationer, herunder at medarbejdernes uddannelse skal godkendes af systemrevisionschefen.

3) Hvorvidt ansættelse og afskedigelse af medarbejdere i den interne systemrevision skal foretages eller godkendes af systemrevisionschefen.

4) Den interne systemrevisions budget, herunder at dette godkendes af datacentralens bestyrelse.

5) Oplysning om aftaler mellem datacentralens ledelse og den interne systemrevision om udførelse af særlige revisionsopgaver, dog med undtagelse af engangsopgaver og opgaver af midlertidig karakter, som alene behøver at fremgå af den interne systemrevisions protokol, jf. § 15.

Stk. 2. De i stk. 1, nr. 5, omtalte opgaver må ikke bevirke, at systemrevisionschefen kommer i en situation, hvor vedkommende erklærer sig eller oplyser om forhold eller dokumenter, som systemrevisionschefen eller ansatte i den interne systemrevision har udarbejdet grundlaget for.

§ 14. I datacentraler, der har en intern systemrevision, skal systemrevisionsarbejdet udføres i overensstemmelse med god revisionsskik og i henhold til en systemrevisionsaftale mellem den eksterne systemrevision og systemrevisionschefen. Systemrevisionsaftalen skal som minimum indeholde følgende:

1) En overordnet beskrivelse af, hvilke systemrevisionsopgaver der skal udføres, og hvilke af disse opgaver der påhviler henholdsvis den eksterne systemrevision og den interne systemrevision.

2) Retningslinjer for samarbejdet mellem den eksterne systemrevision og den interne systemrevision, herunder for det arbejde, den eksterne systemrevision skal udføre i forbindelse med kontrol af den interne systemrevisions arbejde.

3) En beskrivelse af hvordan og i hvilket omfang der udveksles oplysninger mellem den interne systemrevision og den eksterne systemrevision om den udførte systemrevision.

4) Retningslinjer for samarbejdet med

a) intern og ekstern revision i tilsluttede virksomheder,

b) intern og ekstern systemrevision i andre datacentraler, der er omfattet af denne bekendtgørelse, og

c) intern og ekstern systemrevision i værdipapircentraler.

Den interne systemrevisions protokol

§ 15. Til brug for datacentralens bestyrelse skal den interne systemrevision føre en systemrevisionsprotokol. Der skal i systemrevisionsprotokollen redegøres for den i årets løb udførte systemrevision, som kan danne grundlag for revisionsmæssige delkonklusioner. Systemrevisionsprotokollen skal fremlægges på ethvert bestyrelsesmøde, og enhver protokoltilførsel skal underskrives af den samlede bestyrelse.

Stk. 2. Ved hvert kalenderårs afslutning skal der i et årsprotokollat redegøres for den udførte systemrevision samt konklusionen herpå. Herunder skal den interne systemrevision opliste afgivne revisorerklæringer vedrørende systemrevision samt oplyse om indholdet af eventuelle forbehold eller supplerende oplysninger i disse. I et særskilt afsnit i årsprotokollatet skal den interne systemrevision opsummere samtlige bemærkninger, som systemrevisionen har givet anledning til at fremføre over for bestyrelsen i systemrevisionsprotokollen. Opsummeringen skal indeholde en status vedrørende de bemærkninger, der er fremført vedrørende det pågældende år samt en status vedrørende de bemærkninger, der fremgik som åbenstående i protokollatet vedrørende det foregående år.

Stk. 3. Systemrevisionschefen skal som minimum i årsprotokollatet i et særskilt afsnit bekræfte, at systemrevisionschefen ikke er kommet i en situation, hvor vedkommende erklærer sig eller oplyser om forhold eller dokumenter, som systemrevisionschefen eller ansatte i den interne systemrevision har udarbejdet grundlaget for, jf. § 13, stk. 2.

Stk. 4. I årsprotokollatet skal det tillige oplyses, om den interne systemrevision har modtaget alle de oplysninger, der er anmodet om.

Stk. 5. En kopi af den interne systemrevisions årsprotokollat skal af datacentralen sendes til Finanstilsynet hvert år inden 15. februar.

Fælles bestemmelser

§ 16. Systemrevisionen skal påse, at Finanstilsynet straks modtager meddelelse, såfremt den

1) må formode, at datacentralens samlede system-, data- og driftssikkerhed på områder omfattet af denne bekendtgørelse ikke er betryggende eller

2) bliver bekendt med, at der i datacentralen er opstået betydelige og længerevarende it-mæssige driftsproblemer vedrørende datacentralens ydelser til de tilsluttede virksomheder.

Stk. 2. I afgørelsen af, om der skal ske meddelelse til Finanstilsynet efter stk. 1, nr. 2, skal som minimum indgå

1) driftsproblemernes indvirkning på datacentralens udveksling af data med andre datacentraler og den hermed forbundne databehandling og

2) driftsproblemernes betydning for de tilsluttede virksomheders kortsigtede finansielle styring.

Stk. 3. Konstaterer den eksterne systemrevision eller den interne systemrevision forhold vedrørende en eller flere af de tilsluttede virksomheders it-anvendelse, der ikke er betryggende på områder, som er omfattet af datacentralens ydelser til virksomheden, og dette vedrører forhold, som modtagere af erklæringer efter § 7 må forventes normalt at tillægge betydning, når de træffer beslutninger om system-, data- og driftssikkerhed, skal vedkommende påse, at forholdet uden unødigt ophold meddeles skriftligt til den eller de pågældende virksomheders direktioner. Forholdet skal fremgå af den løbende systemrevisionsprotokol til datacentralens bestyrelse.

§ 17. § 74, stk. 1 og 2, samt stk. 3, 2. pkt., i lov om finansiel virksomhed finder tilsvarende anvendelse for den eksterne systemrevisions og den interne systemrevisionschefs deltagelse i og rettigheder på bestyrelsesmøder.

Videregivelse af oplysninger og tilsyn

§ 18. Fortrolige oplysninger, som den eksterne systemrevision, systemrevisionschefen og medarbejderne i systemrevisionsafdelingen modtager fra finansielle virksomheder, finansielle holdingvirksomheder, forsikringsholdingvirksomheder eller sådanne virksomheders dattervirksomheder i kraft af deres arbejde, er omfattet af § 117, stk. 1, i lov om finansiel virksomhed.

§ 19. Finanstilsynet kan pålægge den eksterne systemrevision eller systemrevisionschefen samt dennes stedfortræder at give Finanstilsynet oplysninger om datacentralens forhold.

§ 20. Finanstilsynet kan dispensere fra bestemmelserne i denne bekendtgørelse.

Overgangsbestemmelser

§ 21. De tidsfrister vedrørende den eksterne systemrevisions funktionsperiode, der henvises til i § 2, stk. 3, regnes fra første valg af ekstern systemrevisor efter ikrafttræden af Finanstilsynets bekendtgørelse nr. 254 af 10. april 2005.

Straffebestemmelser og ikrafttræden

§ 22. Overtrædelse af § 2, stk. 1 og 2, §§ 3 og 4, § 5, 2. pkt., §§ 6-8, § 9, stk. 2 og 3, § 10, stk. 1, 2 og 5, § 11, § 12, stk. 2, §§ 13-15, samt § 21 straffes med bøde.

Stk. 2. Der kan pålægges selskaber m.v. (juridiske personer) strafansvar efter reglerne i straffelovens 5. kapitel.

§ 23. Bekendtgørelsen træder i kraft den 31. december 2014.

Stk. 2. Protokoltilførsler, herunder årsprotokollater og erklæringer, udarbejdes i henhold til bekendtgørelsen fra og med dens ikrafttræden.

Stk. 3. Samtidig ophæves bekendtgørelse nr. 85 af 30. januar 2013 om systemrevisionens gennemførelse i fælles datacentraler.

§ 24. Bekendtgørelsen gælder ikke for Færøerne.

Finanstilsynet, den 21. november 2014

Ulrik Nødgaard

/ Jørn Andersen


Bilag 1

Den eksterne systemrevisions erklæring i henhold til bekendtgørelsens § 7

Det følger af bekendtgørelsens § 3, at den eksterne systemrevision skal foretages i overensstemmelse med god revisorskik. God revisionsskik indebærer blandt andet, at revisionen udføres i overensstemmelse med relevante revisionsstandarder og erklæringsstandarder. Heraf følger, at den eksterne systemrevisions erklæring til de tilsluttede virksomheder om system-, data- og driftssikkerheden, jf. bekendtgørelsens § 7, skal afgives i overensstemmelse med ISAE 3402 »Erklæringer med sikkerhed om kontroller hos en serviceleverandør«.

Hvis erklæringens konklusion kan afgives uden forbehold eller supplerende oplysninger, skal den have nedenstående ordlyd:

»Vores konklusion er udformet på grundlag af de forhold, der er redegjort for i denne erklæring. De kriterier, vi har anvendt ved udformningen af konklusionen, er de kriterier, der er beskrevet på side [xx].

Det er vores opfattelse, at

a) beskrivelsen af de generelle it-kontroller med relevans for system-, data- og driftssikkerheden for datacentralens tilsluttede finansielle virksomheder, således som de var udformet og implementeret i perioden [her angives den pågældende periode, jf. bekendtgørelsens § 7, stk. 6] i alle væsentlige henseender er retvisende, og

b) kontrollerne, som knytter sig til de kontrolmål, der er anført i beskrivelsen, i alle væsentlige henseender var hensigtsmæssigt udformet i hele perioden [her angives den pågældende periode, jf. bekendtgørelsens § 7, stk. 6]

c) de testede kontroller, som var de kontroller, der var nødvendige for at give høj grad af sikkerhed for, at kontrolmålene i beskrivelsen blev nået i alle væsentlige henseender, har fungeret effektivt i hele perioden [her angives den pågældende periode, jf. bekendtgørelsens § 7, stk. 6].

Som tillæg til ovennævnte skal vi i henhold til systemrevisionsbekendtgørelsens § 7 og baseret på a, b og c, erklære, at de generelle it-kontroller med relevans for datacentralens tilsluttede finansielle virksomheders system-, data- og driftssikkerhed efter vores opfattelse er betryggende og har fungeret betryggende i perioden [her angives den pågældende periode, jf. bekendtgørelsens § 7, stk. 6]«.