Komiteen har fått spørsmål fra et medlem vedrørende revisors innsynsrett vurdert opp mot hensynet til personvern (se spørsmål 1 i vedlegg). Komiteen opplever at medlemmene i stor grad håndterer dette på en god måte.
Revisors innsynsrett (koml. § 24-2) er avgjørende for å få utført lovpålagt revisjon.
Det er derfor revisors nødvendighetsvurdering som avgjør omfanget av innsynet, inklusive innsyn i personopplysninger som kommunen oppbevarer. Komiteen viser til Kommentarer til RSK 001 Standard for forvaltningsrevisjon og RSK 002 Standard for eierskapskontroll punkt 16 – 19 for ytterligere veiledning.
Videre har samme medlem stilt spørsmål om hva som er tilstrekkelig dokumentasjon i forvaltningsrevisjon/eierskapskontroll vurdert opp imot dokumentasjonens innhold av personopplysninger (se spørsmål 2 i vedlegg).
Utgangspunktet for revisor vil være Forskrift om kontrollutvalg og revisjon § 21.
Komiteen er av den oppfatning at tilstrekkelig dokumentasjon fra en forvaltningsrevisjon må vurderes konkret i det enkelte tilfelle. Dette gjelder uavhengig av om det er data uten personopplysninger, data som inneholder personopplysninger eller data som inneholder særlige kategorier personopplysninger (sensitive). Samme vurdering bør også gjøres med hensyn til annen informasjon underlagt taushetsplikt.
Det avgjørende er å vurdere dokumentasjonens betydning for å underbygge revisors vurderinger og konklusjoner. Et viktig hensyn i vurderingen, for å minimere dokumentasjon, bør være hvorvidt det er sannsynlig at dokumentasjonen vil kunne innhentes/utleveres fra kommunen på et senere tidspunkt. Dersom det er informasjon fra arkiv, saksbehandlingssystem og registre som kan ansees å være sikre og stabile, så vil dette minimere et behov for at revisor skal oppbevare samme dokumentasjon.
Les hele informasjon 2024/1 m/vedlegg her >>