Fra den 1. oktober 2015 har en systemrevisionsbekendtgørelse fastsat de standarder og krav, som ministeriet stiller til institutionernes studieadministrative it-systemer for de gymnasiale uddannelser og almene voksenuddannelser. Bekendtgørelsen er udvidet den 1. juli 2016 til at omfatte erhvervsuddannelserne, den 1. juli 2018 til at omfatte arbejdsmarkedsuddannelserne samt den 1. januar 2019 til at omfatte forberedende grunduddannelse i forbindelse med, at institutionerne har fået frit valg af studieadministrative systemer til administration af disse uddannelser.
Systemrevisionen skal sikre, at der er dokumentation for, at de systemer, som institutionerne anvender, opfylder ministeriets krav. Det sker i form af en revisionserklæring udarbejdet af en statsautoriseret eller registreret revisor på baggrund af en systemrevision hos den enkelte leverandør.
Revisionen af de studieadministrative it-systemer skal foretages i overensstemmelse med den internationale revisionsstandard ISAE 3402, som anvendes som dansk standard i forbindelse med revision af it-serviceydelser. Revisionen sker på grundlag af kontrolmål og krav udarbejdet af ministeriet, som fremgår af bekendtgørelsen. Det skal fremgå af systemrevisionserklæringen, hvilke uddannelsesområder der er omfattet af den gennemførte systemrevision.
Hvis leverandøren af det studieadministrative system behandler personoplysninger i systemet på institutionernes vegne, skal systemrevisionserklæringen fra den 1. januar 2021 desuden omfatte en ISAE 3000-erklæring med høj grad af sikkerhed, som skal være udarbejdet i overensstemmelse med den internationale revisionsstandard ISAE 3000, og som skal dokumentere, at behandlingen af personoplysninger i systemet er i overensstemmelse med gældende databeskyttelsesregler.
Institutionerne kan kun anvende et studieadministrativt system, hvis systemet er omfattet af en systemrevisionserklæring uden modifikationer. En systemrevisionserklæring har virkning i 2 år fra revisors underskrivelse af erklæringen.
Systemrevision af de studieadministrative it-systemer sker i henhold til gældende bekendtgørelse og gældende grænsefladebeskrivelser. Efterfølgende ændringer i bekendtgørelse og tilhørende grænsefladebeskrivelser skal indarbejdes i de studieadministrative it-systemer, men der skal ikke gennemføres en ny revision som følge heraf. Systemer, der er revideret i henhold til en gældende systemrevisionsbekendtgørelse, skal kun systemrevideres på ny inden for 2 års-perioden, hvis systemet ønskes anvendt til nye uddannelsesområder som ikke før har været omfattet af systemrevisionen.
De ovennævnte standarder opererer begge med to erklæringstyper. Den ene, Type 1, udarbejdes i forhold til en given dato, mens den anden, Type 2, udarbejdes for en periode fra seneste forudgående revisionstidspunkt til det aktuelle revisionstidspunkt. I forbindelse med systemrevisionen skal både ISAE 3402-erklæringen og ISAE 3000-erklæringen være Type 2. Hvis en revision af et system omfatter understøttelse af et eller flere uddannelsesområder, som ikke tidligere har været omfattet af systemrevision, foregår revisionen i forhold til disse områder som en Type 1-baseret revision, da der ikke vil være tale om nogen forudgående periode for understøttelsen.
Her på siderne finder du blandt andet link til gældende systemrevisionsbekendtgørelse inkl. it-instruks med kontrolmål og kontroller, beskrivelser af og henvisninger til de anvendte revisionsstandarder, henvisninger til regelgrundlaget på området samt links til gældende beskrivelser af grænseflader mellem de studieadministrative systemer og centrale systemer.