Skatteudvalget 2017-18
SAU Alm.del
Offentligt
1962600_0001.png
19. maj 2015
J. nr.
14-0192167
Plannr. 114-270
Intern Revision
Rapport 2014
Direktørområde Inddrivelse
Direktørområde it
It-revision af SAP 38 udvalgte processer
Modtager
Departementschef Jens Brøchner
Kopi
Direktør Jesper Rønnow Simonsen
Direktør Jens Sørensen
Direktør Jan Topp Rasmussen
Revision
Rådgivning
Rapportering
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962600_0002.png
Forord
Intern Revision (IR) har, jævnfør orienteringsbrev af 22. januar 2014, revideret
udvalgte processer i SAP 38. Den udførte revision er en del af den samlede
revision for 2014.
Rapporten indeholder en samlet konklusion omfattende det reviderede område. I
konklusionsafsnittet redegør vi for de observationer, som konklusionen i det
væsentligste er baseret på. Konklusionsafsnittet indeholder Intern Revisions
bedømmelse af det reviderede område samt en beskrivelse af grundlaget for
bedømmelsen. Det vil derfor almindeligvis være tilstrækkeligt at læse selve
rapporten. Såfremt der ønskes uddybning og detaljering, henvises der til bilagene.
Rapportens bilag 1 indeholder en systematisk fremstilling af de observationer, som
den udførte revision har givet anledning til. Bilaget indeholder tillige en vurdering
af de tilknyttede risici samt Intern Revisions forslag til anbefalinger, der kan
formindske de vurderede risici. Med udgangspunkt i risikovurderingerne har SKAT
udarbejdet handleplaner med henblik på at formindske de vurderede risici.
Intern Revisions anbefalinger har været anvendt som inspiration ved udarbejdelse
af handleplaner. Vi vil løbende vurdere implementeringen af SKATs handleplaner.
Rapportens bilag 2 indeholder en beskrivelse af de prioriteringer, der er anvendt
ved klassifikationen af de enkelte observationer. Bilaget indeholder herudover en
beskrivelse af koblingen mellem observationernes prioriteringer og den samlede
overordnede konklusion.
Rapporten har været fremsendt i udkast til den reviderede enhed med henblik på
at sikre, at Intern Revision og den reviderede enhed har en ensartet opfattelse af
de observerede forhold. SKAT har efterfølgende udarbejdet handleplaner.
København, den 19. maj 2015
Kurt Wagner
Revisionschef
Klaus Myssen
Revisor
It-revision af SAP 38 udvalgte processer
2 af 10
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962600_0003.png
1. Formål
Formålet med revisionen har været at vurdere, hvorvidt interne it-kontroller i
brugersystemet SAP 38 er med til at sikre en fuldstændig, nøjagtig og rettidig
behandling af godkendte transaktioner på udvalgte områder.
2. Omfang
Revisionen er gennemført i perioden februar til november 2014, og har omfattet en
gennemgang af følgende områder i produktionsmiljøet for SAP 38:
1. Opsætning og anvendelse af SAP
2. Finans modulet i SAP (Financial Accounting)
3. Systemdokumentation af brugersystemet
4. Adgang til brugersystemet og informationer
5. Funktionsadskillelse i forbindelse med betalingsforslag.
6. Behandling af inddata
7. Systemets funktioner
8. Behandling af uddata
9. Import af data via hovedrutine 510 fra mainframe systemer hos CSC.
10. Vurdering af transaktions- og kontrolspor
11. Logning og overvågning
Revisionen er udført i henhold til gældende revisionsstandarder, herunder
vejledninger fra Rigsrevisionen. Revisionen er gennemført ved interviews, og
stikprøvevis gennemgang af foreliggende materiale samt ved egne analyser af
data i SAP 38.
Ved revisionen har vi interviewet medarbejdere fra:
Betalings- og Inddrivelsessystemer
Betaling og Regnskab
Revisionen er udført af Jens Lundgaard og Klaus Myssen
Vi har i forbindelse med revisionen, stillet spørgsmål i relation til styringen af
eksterne brugere. Vi har rykket for svar, men har ved afslutningen af revisionen
fortsat ikke modtaget svar på vores spørgsmål. Endvidere har vi anmodet om
rettigheder til at kunne revidere området for efterlevelse af persondataloven i
relation til logning af forespørgsler på følsomme data i SAP38. Vi har ikke kunnet
få disse rettigheder.
Vi skal gøre opmærksom på indgået aftale i henhold til rigsrevisorlovens §9 om
den interne revision inden for Skatteministeriets område, afsnit 8. Hvoraf det
fremgår, at: ”Den interne revision har adgang til alle oplysninger, dokumenter,
It-revision af SAP 38 udvalgte processer
3 af 10
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962600_0004.png
registreringer, beholdninger, it-systemer mv., som efter den interne revisions skøn
er af betydning for løsningen af dens opgaver. Sådan adgange skal gives hurtigst
muligt. Intern revision kan fastsætte en frist herfor.”
3. Konklusion
På baggrund af den udførte revision på de undersøgte områder, er det vores
samlede vurdering, at it-kontrollerne som er med til at sikre en fuldstændig,
nøjagtig og rettidig behandling af godkendte transaktioner i SAP38 er på et
ikke
helt tilfredsstillende niveau.
Denne konklusion baserer vi på følgende forhold:
Vi har ved vores gennemgang af udvalgt dokumentation i Solution Manager i
relation til SAP 38 konstateret, at der findes procesbeskrivelser for udvalgte
områder. Vi har dog ikke identificeret beskrivelser af implementerede
kontroller til understøttelse af korrekte data.
Vi har ved vores gennemgang af konsulentbrugerne i BrasFC konstateret, at
de rettigheder som konsulenterne er tildelt i SAP 38, ikke fremgår af BrasFC.
Vi har prioriteret de observerede forhold således:
Prioritet 1
Kritisk for
forretningen
0
0
0
1
0
0
0
0
0
Prioritet 2
Væsentlig
for
forretningen
0
0
1
0
0
0
0
0
0
Prioritet 3
Mindre
betydning for
forretningen
0
0
0
0
0
0
0
0
0
Revisionsemne
I
alt
0
0
1
1
0
0
0
0
0
1) Opsætning og anvendelse af SAP
2) FI-modulet i SAP (Financial
Accounting)
3) Systemdokumentation af
brugersystemer
4) Adgang til brugersystemer og
informationer
5) Funktionsadskillelse i forbindelse
med betalingsforslag
6) Behandling af inddata
7) Systemets funktioner
8) Behandling af uddata
9) Import af data via hovedrutine 510
fra mainframe systemer hos CSC
It-revision af SAP 38 udvalgte processer
4 af 10
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962600_0005.png
10) Vurdering af transaktions- og
kontrolspor
11) Logning og overvågning
I alt
0
0
1
0
0
1
0
0
0
0
0
2
Prioriteringerne skal ses i forhold til det reviderede område og er nærmere defineret i bilag
2.
Vi har modtaget handleplaner fra de reviderede direktørområder. Det er vores
vurdering, at implementeringen af de udarbejdede handleplaner kan medvirke til
en reduktion af de vurderede risici.
It-revision af SAP 38 udvalgte processer
5 af 10
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962600_0006.png
Bilag 1: Observationer, risici og anbefalinger
Nr.
1
Observationer
Opsætning og anvendelser af SAP
Revisionen af dette område har ikke givet
anledning til væsentlige bemærkninger.
Risici
Anbefalinger
2
FI-modulet i SAP (Financial Accounting)
Revisionen af dette område har ikke givet
anledning til væsentlige bemærkninger.
3
3.1. fra
2014
Systemdokumentation af brugersystemer
Manglende beskrivelser af
programmerede kontroller, øger
risikoen for at der ikke er fornøden
kendskab til det opsatte kontrolmiljøet
i det anvendte SAP miljø.
Vi anbefaler, at der sker identificering og
dokumentation af implementerede
programmerede kontroller i Solution Manager af
såvel anvendte standardkontroller og egen
udviklede kontroller.
Anvendelige og ajourførte
systembeskrivelser/systemdokumentation
Vi har ved vores gennemgang af udvalgt
Prioritet
dokumentation i Solution Manager i relation til
2
SAP 38 konstateret, at der findes
procesbeskrivelser for udvalgte områder. Vi
har dog ikke identificeret beskrivelser af
implementerede kontroller til understøttelse af
korrekte data.
Handleplan fra Betalings- og Inddrivelsessystemer, Henrik Koudal:
SKAT er enig. Betalings- og Inddrivelsessystemer vil i forbindelse med nyudvikling og ændring af eksisterende programmer stille krav til
leverandøren om at også at dokumentere de implementerede kontroller. Kravet vil blive beskrevet i en proces inden den 30. juni 2015.
4
Adgang til brugersystemer og informationer
It-revision af SAP 38 udvalgte processer
6 af 10
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962600_0007.png
Nr.
4.1. fra
2014
1
Observationer
Risici
Manglende anvendelse af de
processer og procedurer som SKAT
har opsat til styring af brugerne og
deres adgange til systemerne øger
risikoen for, at brugerne tildeles andre
rettigheder end forventet og dermed
muligheden for uautoriserede
ændringer.
Anbefalinger
Vi anbefaler, at de rettigheder som specificeres i
BrasFC er i overensstemmelse med de faktisk
tildelte rettigheder i SAP38.
Rettigheder til konsulentbrugere
SIR har fået oplyst, at konsulentbrugere til
SAP38 oprettes og tildeles rettigheder i
Prioritet
BrasFC i lighed med SKAT brugere.
Vi har ved vores gennemgang af
konsulentbrugerne i BrasFC konstateret, at de
rettigheder som konsulenterne er tildelt i SAP
38, ikke fremgår af BrasFC.
Handleplan fra Betalings- og Inddrivelsessystemer, Henrik Koudal:
SKAT er enig. Betalings- og Inddrivelsessystemer vil inden den 30. oktober 2015 opdatere BrasFC, så der er overensstemmelse mellem
konsulentbrugerens rettigheder i SAP38 og BrasFC.
5
Funktionsadskillelse i forbindelse med betalingsforslag
Revisionen af dette område har ikke givet
anledning til væsentlige bemærkninger.
6
Behandling af inddata
Revisionen af dette område har ikke givet
anledning til væsentlige bemærkninger.
7
Systemets funktioner
Revisionen af dette område har ikke givet
anledning til væsentlige bemærkninger.
8
Behandling af uddata
It-revision af SAP 38 udvalgte processer
7 af 10
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962600_0008.png
Nr.
Observationer
Revisionen af dette område har ikke givet
anledning til væsentlige bemærkninger.
Risici
Anbefalinger
9
Import af data via hovedrutine 510 fra mainframe systemer hos CSC.
Revisionen af dette område har ikke givet
anledning til væsentlige bemærkninger.
10
Vurdering af transaktions- og kontrolspor
Revisionen af dette område har ikke givet
anledning til væsentlige bemærkninger.
11
Logning og overvågning
Revisionen af dette område har ikke givet
anledning til væsentlige bemærkninger.
(SLUT)
It-revision af SAP 38 udvalgte processer
8 af 10
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962600_0009.png
Bilag 2: Anvendte skala
Ved vurderingen i konklusionen er følgende skala anvendt:
Meget
tilfredsstillende
Intern Revision har ikke konstateret svagheder i de forretningsgange og
processer, der understøtter de reviderede område. Samtlige observationer kan
henføres til prioritet 3.
Prioritet 1: Ingen observationer
Prioritet 2: Ingen observationer
Prioritet 3: Samtlige observationer
Tilfredsstillende
Intern Revision har observeret enkelte svagheder i de forretningsgange og
processer, der understøtter det reviderede område. Størstedelen af
observationerne er omfattet af prioritet 3. Enkelte observationer med prioritet 2
kan dog forekomme. Samlet set udgør de implementerede forretningsgange et
”tilfredsstillende” grundlag for administration af området.
Prioritet 1: Ingen observationer
Prioritet 2: Enkelte observationer
Prioritet 3: Hovedparten af observationer
Ikke helt
tilfredsstillende
Intern Revision har observeret flere svagheder i de forretningsgange og
processer, der understøtter det reviderede område. Størstedelen af
observationer er omfattet af prioritet 2 eller 3 med hovedvægten på prioritet 2.
Enkelte observationer i prioritet 1 kan dog forekomme. Samlet set medfører
svaghederne, at de implementerede forretningsgange udgør ”et ikke helt
tilfredsstillende” grundlag for administration af området. Der er som følge heraf
en forøget risiko for
Væsentlig fejlinformation i regnskaber og ledelsesrapportering
Manglende overholdelse af gældende lovgivning
Manglende overholdelse af interne regler og retningslinjer
Manglende overholdelse af overordnede politikker
Manglende iagttagelse af ”skyldige økonomiske hensyn”
Prioritet 1: Enkelte observationer
Prioritet 2: Hovedparten af observationer
Prioritet 3: Et mindre antal observationer
Ikke
tilfredsstillende
Intern Revision har observeret flere væsentlige svagheder i de
forretningsgange og processer, der understøtter det reviderede område.
Størstedelen af observationerne er omfattet af prioritet 1 eller 2 med
hovedvægten på prioritet 1. Enkelte observationer i prioritet 3 kan forekomme.
Samlet set medfører svaghederne, at de implementerede forretningsgange
udgør et ”ikke tilfredsstillende grundlag” for administration af området. Der er
som følge heraf en væsentlig forøget risiko for:
Væsentlig fejlinformation i regnskaber og ledelsesrapportering
Manglende overholdelse af gældende lovgivning
Manglende overholdelse af interne regler og retningslinjer
Manglende overholdelse af overordnede politikker
Manglende iagttagelse af ”skyldige økonomiske hensyn”
Manglende realisering af forretningsmålene for det reviderede område.
Prioritet 1: Hovedparten af observationer
Prioritet 2: Et mindre antal observationer
Prioritet 3: Enkelte observationer
It-revision af SAP 38 udvalgte processer
9 af 10
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962600_0010.png
Prioritet skal ses i forhold til det reviderede område og er defineret således:
1.
Kritisk for forretningen:
Væsentlig svaghed i de etablerede forretningsgange/processer.
Svagheden kan omfatte manglende interne kontroller, uhensigtsmæssig design af interne
kontroller, manglende regnskabsmæssige faciliteter. Der er en væsentlig forøget risiko for, at
processens målopfyldelse ikke realiseres som følge af den konstaterede svaghed. Der bør
straks iværksættes foranstaltninger med henblik på at udbedre de observerede svagheder.
2.
Væsentlig for forretningen:
Svaghed i de etablerede forretningsgange/processer. Svagheden
kan omfatte manglende interne kontroller, uhensigtsmæssig design af interne kontroller,
manglende regnskabsmæssige faciliteter. Der er forøget risiko for, at processens
målopfyldelse ikke realiseres i fuldt omfang som følge af den konstaterede svaghed. Der bør
iværksættes foranstaltninger med henblik på at udbedre de observerede svagheder.
3.
Mindre betydning for forretningen:
Ingen væsentlige svagheder i de etablerede
forretningsgange/processer. Det er dog muligt at designe de enkelte processer på en mere
hensigtsmæssig måde, således at eksekveringen forbedres.
It-revision af SAP 38 udvalgte processer
10 af 10