Skatteudvalget 2017-18
SAU Alm.del
Offentligt
1962606_0001.png
11. maj 2015
J. nr. 14-3796088
Plannr. 114410
Intern Revision
Rapport 2014
Direktørområde SKAT IT
It-revision af SAP DMO Basis
Modtager
Departementschef Jens Brøchner
Kopi
Direktør Jesper Rønnow Simonsen, SKAT
Direktør Jan Topp Rasmussen, SKAT
Revision
Rådgivning
Rapportering
SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962606_0002.png
Forord
Intern Revision (SIR) har jævnfør orienteringsbrev af 26. august 2014 revideret de
generelle it kontroller i SAP DMO. Den udførte revision er en del af den samlede
revision for 2014.
Rapporten indeholder en samlet konklusion omfattende det reviderede område. I
konklusionsafsnittet redegør vi for de observationer, som konklusionen i det
væsentligste er baseret på.
Rapportens bilag 1 indeholder en systematisk fremstilling af de observationer, som
den udførte revision har givet anledning til. Bilaget indeholder tillige en vurdering
af de tilknyttede risici samt Intern Revisions forslag til anbefalinger, der kan
formindske de vurderede risici. Med udgangspunkt i risikovurderingerne har SKAT
udarbejdet handleplaner med henblik på at formindske de vurderede risici.
Intern Revisions anbefalinger har været anvendt som inspiration ved udarbejdelse
af handleplaner. Vi vil løbende vurdere implementeringen af SKATs handleplaner.
Rapportens bilag 2 indeholder en beskrivelse af de prioriteringer, der er anvendt
ved klassifikationen af de enkelte observationer. Bilaget indeholder herudover en
beskrivelse af koblingen mellem observationernes prioriteringer og den samlede
overordnede konklusion.
Rapporten har været fremsendt i udkast til den reviderede enhed med henblik på
at sikre, at Intern Revision og den reviderede enhed har en ensartet opfattelse af
de observerede forhold. SKAT har efterfølgende udarbejdet handleplaner.
København, den 11. maj 2015
Kurt Wagner
Revisionschef
Klaus Myssen
It-revisor
It-revision af SAP DMO Basis
2 af 14
SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962606_0003.png
1. Formål
Formålet med revisionen har været at vurdere, hvorvidt interne it-kontroller i
relation til SAP DMO, kan medvirke til at opretholde informationernes integritet og
sikkerhed af data.
2. Omfang
Revisionen er udført i perioden august til november 2014 og har omfattet en
gennemgang af følgende områder:
1. Opsætning og anvendelse af SAP
2. Parametre og tabel vedligeholdelse
3. Bruger administration
4. Password og login
5. Brugere
6. Profiler i SAP
7. Egenudviklede programmer
8. Adgang til væsentlige transaktioner
9. Batch – kørsler
10. Change Management
SAP-specifikke begreber er defineret i bilag 3.
Revisionen er udført i henhold til gældende revisionsstandarder, herunder
vejledninger fra Rigsrevisionen. Revisionen er gennemført ved interviews, og
stikprøvevis gennemgang af foreliggende materiale samt ved egne analyser af
data i SAP DMO.
Ved revisionen har
Inddrivelsessystemer.
vi
interviewet
medarbejdere
fra
Betalings-
og
Revisionen er udført af Jens Lundgaard.
3. Konklusion
På baggrund af den udførte revision på de undersøgte områder, er det vores
samlede vurdering, at de interne it-kontroller for SAP DMO er på et
ikke helt
tilfredsstillende niveau.
Denne konklusion baserer vi på følgende forhold:
Vi har konstateret, at der modtages revisionserklæringer fra
driftsleverandøren, indeholdende væsentlige forhold, som der bør rettes op
på. Det er oplyst, at ingen i SAP DMO projektet har fulgt op på disse forhold,
It-revision af SAP DMO Basis
3 af 14
SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962606_0004.png
men
SKATs
driftsorganisation
vil
igangsætte
en
opfølgning.
Vi har konstateret, at kvaliteten af anvendte password i forbindelse med
dialogbrugeres adgang til SAP DMO ikke er i overensstemmelse med
minimumskravene i SKATs politik for informationssikkerhed.
Vi har konstateret, at der er 9 batchbrugere som har tilknyttet SAP_ALL
profilen, hvormed disse batchbrugere har rettigheder til alt i SAP DMO.
Vi har konstateret, at to systembrugere har tilknyttet profilen ”SAP_NEW” og
dermed har udvidede rettigheder til at ændre og foretage opgraderinger i
SAP DMO.
Vi har prioriteret de observerede forhold således:
Prioritet 1
Kritisk for
forretningen
Revisionsemne \ Prioritet
1)
Opsætning
Prioritet 2
Væsentlig for
forretningen
Prioritet 3
Mindre betydning
for forretningen
I alt
2
0
2
1
0
2
1
2
0
0
og
tabel
1
0
0
1
0
2
0
0
0
0
1
0
2
0
0
0
1
2
0
0
0
0
0
0
0
0
0
0
0
0
anvendelse af SAP
2)
Parametre
og
vedligeholdelse
3)
Bruger administration
4)
Password og login
5)
Brugere
Profiler i SAP
7) Egenudviklede
programmer
8) Adgang til væsentlige
transaktioner
9) Batch – kørsler
10) Change Management
I alt
4
6
0
10
Prioriteringerne skal ses i forhold til det reviderede område og er nærmere
defineret i bilag 2.
Vi har modtaget handleplaner fra de reviderede direktørområder. Det er vores
vurdering, at implementeringen af de udarbejdede handleplaner kan medvirke til
en reduktion af de vurderede risici.
It-revision af SAP DMO Basis
4 af 14
SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962606_0005.png
Bilag 1: Observationer, risici og anbefalinger
Nr.
1
Observationer
Opsætning og anvendelse af SAP
Risici
Anbefalinger
2014
Revisionserklæring fra driftsleverandør
1.1
Vi har modtaget seneste ISAE 3000DK
revisionserklæring, om ”CSC Danmark A/S’ Global
Prio
Infrastructure Sercvices’ datacenter omfattende
1
informationsteknologi- og infrastrukturservices for
SKAT’s Debitormotor” for perioden 1. september
2013 til 31. december 2013.
Revisionserklæringen peger på alvorlige forhold
hos driftsleverandøren, som der bør rettes op på.
Ifølge projektlederen for udviklingsprojektet af
DMO, er der ingen i projektet, som har set på
revisorerklæringen, og det er først ved denne
revisions opstart, at SKATs normale
driftsorganisation er blevet opmærksom på
indholdet af revisionserklæringen.
Vi har efter revisionens afslutning fået kendskab til,
at SKAT har modtaget en revisionserklæring for
2014. Denne erklæring er ikke medtaget i
rapporten.
SKATs driftsorganisation har orienteret SIR om, at
de vil igangsætte en opfølgning.
Manglende gennemgang og
opfølgning på modtagne
revisionserklæringer fra
serviceleverandørerne øger
risikoen for, at sikkerheden hos
leverandøren er en anden end
forventet af SKAT.
Vi anbefaler, at SKAT løbende gennemgår og følger
op på revisionserklæringerne fra
serviceleverandører.
Eventuelle bemærkninger i revisionserklæringen bør
afklares mellem serviceleverandøren og SKAT.
It-revision af SAP DMO Basis
Side 5 af 14
SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962606_0006.png
Nr.
Observationer
Risici
Anbefalinger
Handleplan fra Betalings- og Inddrivelsessystemer, Henrik Koudal:
SKAT er enig. Revisionsrapporten for 2014 er gennemgået og der er fulgt op på med leverandøren og iværksat de nødvendige
handlingsplaner. Punktet anses som værende afsluttet.
2
Parametre og tabel vedligeholdelse
Antallet af dialogbrugere (70
stk.) indebærer en risiko for, at
en del af disse brugere ikke har
et arbejdsbetinget behov. Dette
medfører en afledt risiko for fejl
og uautoriserede ændringer.
Vi anbefaler, at rettighederne til at kunne foretage
ændringer af klient afhængige og uafhængige
tabeller begrænses mest muligt og kun tildeles
personer med et reelt arbejdsbetinget behov.
2014
Klient afhængige og uafhængige tabeller
2.1
Adgang til at rette i tabeller giver ret til at ændre i
systemets opsætning, funktioner og data.
Prio.
Vi har konstateret, at 70 dialogbrugere har
2
rettigheder til at ændre i:
Klient afhængige tabeller
Klient uafhængige tabeller
Ændringer udføres ved at benytte
transaktionskoderne SM30 og SM31.
Handleplan fra Betalings- og Inddrivelsessystemer, Henrik Koudal:
SKAT er enig. Inden 1. november 2015 vil Betalings- og Inddrivelsessystemer sammen med systemleverandøren, gennemgå adgange og sikre
at det alene er brugere med arbejdsbetinget behov, der har adgang til at vedligeholde klientafhængige og uafhængige tabeller.
3
Bruger administration
Såfremt der er brugere som er
oprettet udenfor BrasFC er der
forøget risici for at disse brugere
kan tilgå og rette i fortrolige
oplysninger uden at SKAT er
vidende herom.
Vi anbefaler, at leverandørens medarbejdere i lighed
med SKATs medarbejdere og konsulenter oprettes
og styres i BrasFC og administreres af SKAT.
2014
Administration af brugeradgange
3.1
Vi har fået oplyst, at SKATs medarbejdere og
konsulent adgange oprettes og styres via BrasFC.
Prio.
2
Det er samtidig oplyst, at leverandørens
medarbejdere oprettes direkte i SAP udenom
BrasFC, hvorfor leverandørens medarbejdere og
It-revision af SAP DMO Basis
6 af 14
SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962606_0007.png
Nr.
Observationer
deres rettigheder ikke er omfattet af SKATs interne
kontroller.
Risici
Anbefalinger
Handleplan fra Betalings- og Inddrivelsessystemer, Henrik Koudal:
SKAT er enig, men accepterer risikoen. Administrationen af brugeradgange, kontraktuelt, varetages af leverandøren.
2014
SAP DMO autorisationer i BrasFC
3.2
For ar sikre, at it-systemet understøtter den
ønskede funktionsadskillelse i de etablerede
Prio.
processer i systemet, er det vigtigt at der er en
2
oversigt over hvad den enkelte rolle giver adgang til
og om der er roller, som kan konflikte med
hinanden og dermed ikke må tildeles samme
person.
Der er oprettet en rollematrix for de roller, der er
etableret for DMO. Det fremgår ikke af
rollematrixen, om den enkelte rolle er kritisk, eller
om den er kritisk i sammenhæng med andre roller.
Manglende synliggørelse af roller, deres
afhængigheder af hinanden, og om de er kritiske i
sig selv eller i sammenhæng med andre, gør det
umuligt for personalelederen at vurdere, om en
medarbejder skal have den ønskede rolle, ligesom
det vanskeliggør den efterfølgende kontrol.
Rollematrixen indeholder ikke de SAP
standardroller, som kan tildeles.
Der er risiko for, at en bruger får
tildelt en kombination af roller,
som bevirker, at brugeren får
flere rettigheder end tiltænkt.
Vi anbefaler, at den udarbejdede rollematrix udvides til
at omfatte alle de roller, der kan tildeles, og at der for
hver rolle udarbejdes en beskrivelse af:
Målgruppe/hvem rollen bør tildeles
hvad den giver ret til
hvilke kombinationer rollen ikke må indgå i
om rollen kun må gives periodevis
om tildeling af rollen vil medføre fuld logning med
opfølgning på gennemførte handlinger.
Handleplan fra Betalings- og Inddrivelsessystemer, Henrik Koudal:
SKAT er enig. Betalings- og Inddrivelsessystemer vil inden 31. december 2015 uddybe beskrivelsen i rollematrixen for DMO og sikre at alle
roller, der kan tildeles er medtaget.
It-revision af SAP DMO Basis
7 af 14
SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962606_0008.png
Nr.
4
Observationer
Password og login
Risici
Anbefalinger
2014
Opsætning af login parametre
4.1
Vi har konstateret, at kvaliteten af anvendte
password i forbindelse med dialogbrugers adgang
Prio.
til SAP DMO ikke er i overensstemmelse med
1
minimumskravene i SKATs politik for
informationssikkerhed. Observationen gælder:
Antal af store og små bogstaver
Anvendelsen af specialtegn
Passwords udløber aldrig
Ved ikke at følge SKATs
sikkerhedspolitik er der risiko
for, at sikkerhedsniveauet er
lavere end forventet af ledelsen.
Vi anbefaler, at password opsætningen i SAP DMO
som minimum følger SKATs politik for
informationssikkerhed.
Handleplan fra Betalings- og Inddrivelsessystemer, Henrik Koudal:
SKAT er enig. Autorisationer til DMO tildeles fra en anden løsning, LPDA. Betalings- og Inddrivelsessystemer, vil inden den 31. oktober 2015
følge op på driftsleverandøren, for at sikre at password overholder SKATS informationssikkerhedspolitik.
5
Brugere
Revisionen af dette område har ikke givet
anledning til væsentlige bemærkninger.
6
Profiler i SAP
Vi anbefalinger, at der udarbejdes konkrete
roller/profiler til de specifikke batchbrugere som kun
dækker deres arbejdsbetingede behov.
2014
Anvendelse af SAP_ALL profilen
Tildeling af for vide rettigheder
6.1
øger risikoen for uautoriserede
Vi har konstateret, at der er 9 batchbrugere som
ændringer.
har tilknyttet SAP_ALL profilen. Dermed afvikles
Prio
disse baggrundsjob med størst mulige rettigheder.
1
Handleplan fra Betalings- og Inddrivelsessystemer, Henrik Koudal:
SKAT er enig. Inden 1. november 2015 vil Betalings- og Inddrivelsessystemer sammen med systemleverandøren, gennemgå rollerne og sikre
at batchbrugerne alene der dækker de arbejdsbetingede behov.
It-revision af SAP DMO Basis
8 af 14
SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962606_0009.png
Nr.
Observationer
Risici
Anvendelse af profilen
SAP_NEW i produktionsmiljøet
øger risikoen for uautoriserede
ændringer, da profilen
indeholder udvidede rettigheder
til brug for opgraderinger i SAP.
Anbefalinger
Vi anbefaler at ”SAP_NEW” profilen kun tildeles
midlertidig til systembrugere i forbindelse med
opgradering af SAP, og profilen bør fratages når
opgraderingen er udført.
2014
Anvendelse af SAP_NEW profilen
6.2
Vi har konstateret, at der er to systembrugere, som
har tilknyttet SAP_NEW profilen i
Prio
produktionsmiljøet:
1
BS_BTACH og
IP_SRV_USER
”SAP_NEW” er en standard profil, som kun bør
bruges i forbindelse med opgraderinger.
Handleplan fra Betalings- og Inddrivelsessystemer, Henrik Koudal:
SKAT er enig. Inden 1. november 2015 vil Betalings- og Inddrivelsessystemer sammen med systemleverandøren, gennemgå konsekvensen af
at fjerne SAP_NEW profilen på de 2 systembrugere og udarbejde en løsning, der indebærer at SAP_NEW profilen kun anvendes i forbindelse
med opgraderinger.
7
Egenudviklede programmer
Manglende tilknytning af en
transaktionskode til
egenudviklede programmer,
bevirker at adgangen til
programmet ikke kan styres på
autorisationsniveau, hvilket øger
risikoen for uautoriserede
adgang samt risikoen for at
medarbejdere har rettigheder
som de ikke har behov for.
Vi anbefaler, at SKAT følger ”SAP Development
Guidelines” på området og tilknytter
transaktionskoder til egenudviklede programmer.
2014
Efterlevelse af ”SAP best practice”
7.1
Vi har konstateret, at der er 3.025 egenudviklede
programmer (starter med ”Z”), af disse er der kun
Prio
76 programmer som kan kaldes via en
2
transaktionskode.
Der findes dermed 2.949 programmer som ikke har
tilknyttet nogen transaktionskode, og som dermed
skal startes af et andet program eller via
transaktionskoden SA38 eller SE38.
Handleplan fra Betalings- og Inddrivelsessystemer, Henrik Koudal:
SKAT er enig. Betalings- og Inddrivelsessystemer vil inden 30. juni 2015 sikre at bliver beskrevet en proces, der sikre at der ved nyudvikling af
programmer vil blive tilknyttet transaktionskoder til egenudviklede programmer. For allerede udviklede programmer vil Betalings- og
It-revision af SAP DMO Basis
9 af 14
SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962606_0010.png
Nr.
Observationer
Risici
Anbefalinger
Inddrivelsessystemer, inden 1. november 2015, gennemgå de programmer der er aktive og tilknyttet transaktionskoder til disse egenudviklede
programmer.
8
Adgang til væsentlige transaktioner
Et stort antal dialogbrugere med
adgang til at vedligeholde
profiler/roller udgør en risiko for
uautoriseret ændringer.
Vi anbefaler, at rettigheder til at
oprette/generere/ændre roller og profiler kun tildeles
brugere, hvor der er et arbejdsbetinget behov.
2014
Adgang til at anvende profilgenerator (PFCG)
8.1
Vi har konstateret, at der er 28 dialogbrugere, som
har adgang til at anvende PFCG med rettighederne
Prio
"Create or Generate". Dermed kan disse
2
medarbejdere oprette og ændre i profiler og roller.
Handleplan fra Betalings- og Inddrivelsessystemer, Henrik Koudal:
SKAT er enig. Inden 1. november 2015 vil Betalings- og Inddrivelsessystemer sammen med systemleverandøren, gennemgå adgange og sikre
at det alene er brugere med arbejdsbetinget behov, der har adgang til profilgeneratoren.
2014
Transaktionskoderne SA38 og SE38
8.2
Der er 46 dialogbrugere, som har rettighed til at
benytte SA38 og SE38 i produktionsmiljøet.
Prio
Dialogbrugerne består af:
2
31 brugere fra CSC
5 brugere fra CIBER
10 brugere fra SKAT
Heraf er der 2 ikke personhenførbare
dialogbrugere:
CSCADMIN
SAPSUPPORT
Brugere, der har adgang til
SE38 i produktionsmiljøet, kan
ændre systemet uden om
gældende proces for
ændringsstyring, hvilket øger
risikoen for uautoriserede
ændringer.
Vi anbefaler, at ingen medarbejdere har adgang til
SA38/SE38 i produktionsmiljøet, da
transaktionskoderne er forbeholdt udviklere.
Eventuelle ændringer eller tilpasninger af
programmer bør ske i udviklingsmiljøer og følge de
formelle ud-rulningsprocedurer.
Ligeledes anbefaler vi, at der ikke oprettes, ikke
personhenførbare dialogbrugere.
Handleplan fra Betalings- og Inddrivelsessystemer, Henrik Koudal:
SKAT er enig. Inden 1. november 2015 vil Betalings- og Inddrivelsessystemer sammen med systemleverandøren, gennemgå adgange og sikre
at det alene er brugere med arbejdsbetinget behov, der har adgang til SA38 og SE38.
It-revision af SAP DMO Basis
10 af 14
SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962606_0011.png
Nr.
9
Observationer
Batch - kørsler
Revisionen af dette område har ikke givet
anledning til væsentlige bemærkninger.
Risici
Anbefalinger
10
Change Management
Revisionen af dette område har ikke givet
anledning til væsentlige bemærkninger.
It-revision af SAP DMO Basis
11 af 14
SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962606_0012.png
Bilag 2: Anvendt skala
Ved vurderingen i konklusionen er følgende skala anvendt:
Meget
tilfredsstillende
Intern Revision har ikke konstateret svagheder i de forretningsgange og
processer, der understøtter det reviderede område. Samtlige observationer
kan henføres til prioritet 3.
Prioritet 1: Ingen observationer
Prioritet 2: Ingen observationer
Prioritet 3: Samtlige observationer
Tilfredsstillende
Intern Revision har observeret enkelte svagheder i de forretningsgange og
processer, der understøtter det reviderede område. Størstedelen af
observationerne er omfattet af prioritet 3. Enkelte observationer med prioritet 2
kan dog forekomme. Samlet set udgør de implementerede forretningsgange et
”tilfredsstillende” grundlag for administration af området.
Prioritet 1: Ingen observationer
Prioritet 2: Enkelte observationer
Prioritet 3: Hovedparten af observationer
Ikke helt
tilfredsstillende
Intern Revision har observeret flere svagheder i de forretningsgange og
processer, der understøtter det reviderede område. Størstedelen af
observationer er omfattet af prioritet 2 eller 3 med hovedvægten på prioritet 2.
Enkelte observationer i prioritet 1 kan dog forekomme. Samlet set medfører
svaghederne, at de implementerede forretningsgange udgør ”et ikke helt
tilfredsstillende” grundlag for administration af området. Der er som følge heraf
en forøget risiko for
Væsentlig fejlinformation i regnskaber og ledelsesrapportering
Manglende overholdelse af gældende lovgivning
Manglende overholdelse af interne regler og retningslinjer
Manglende overholdelse af overordnede politikker
Manglende iagttagelse af ”skyldige økonomiske hensyn”
Prioritet 1: Enkelte observationer
Prioritet 2: Hovedparten af observationer
Prioritet 3: Et mindre antal observationer
Ikke
tilfredsstillende
Intern Revision har observeret flere væsentlige svagheder i de
forretningsgange og processer, der understøtter det reviderede område.
Størstedelen af observationerne er omfattet af prioritet 1 eller 2 med
hovedvægten på prioritet 1. Enkelte observationer i prioritet 3 kan forekomme.
Samlet set medfører svaghederne, at de implementerede forretningsgange
udgør et ”ikke tilfredsstillende grundlag” for administration af området. Der er
som følge heraf en væsentlig forøget risiko for:
Væsentlig fejlinformation i regnskaber og ledelsesrapportering
Manglende overholdelse af gældende lovgivning
Manglende overholdelse af interne regler og retningslinjer
Manglende overholdelse af overordnede politikker
Manglende iagttagelse af ”skyldige økonomiske hensyn”
Manglende realisering af forretningsmålene for det reviderede område.
Prioritet 1: Hovedparten af observationer
Prioritet 2: Et mindre antal observationer
Prioritet 3: Enkelte observationer
It-revision af SAP DMO Basis
12 af 14
SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962606_0013.png
Prioritet skal ses i forhold til det reviderede område og er defineret således:
1.
Kritisk for forretningen:
Væsentlig svaghed i de etablerede forretningsgange/processer.
Svagheden kan omfatte manglende interne kontroller, uhensigtsmæssig design af interne
kontroller, manglende regnskabsmæssige faciliteter. Der er en væsentlig forøget risiko for, at
processens målopfyldelse ikke realiseres som følge af den konstaterede svaghed. Der bør
straks iværksættes foranstaltninger med henblik på at udbedre de observerede svagheder.
2.
Væsentlig for forretningen:
Svaghed i de etablerede forretningsgange/processer. Svagheden
kan omfatte manglende interne kontroller, uhensigtsmæssig design af interne kontroller,
manglende regnskabsmæssige faciliteter. Der er forøget risiko for, at processens
målopfyldelse ikke realiseres i fuldt omfang som følge af den konstaterede svaghed. Der bør
iværksættes foranstaltninger med henblik på at udbedre de observerede svagheder.
3.
Mindre betydning for forretningen:
Ingen væsentlige svagheder i de etablerede
forretningsgange/processer. Det er dog muligt at designe de enkelte processer på en mere
hensigtsmæssig måde, således at eksekveringen forbedres.
It-revision af SAP DMO Basis
13 af 14
SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962606_0014.png
Bilag 3: Definition af SAP-specifikke begreber
Begreb
Autorisationer
Definition
Defineres pr. bruger og omfatter rettigheder i SAP fx til at læse og/eller ændre
data. Brugere tildeles typisk profiler/roller, som består af en række
autorisationer.
Verificerer om en bruger har de relevante autorisationer/rettigheder til at udføre
en given handling fx afvikle et program.
Er programmer, der kører automatisk i baggrunden og behandler typisk store
datamængder i bestemte intervaller fx import eller eksport af data mellem
systemer.
Er en fysisk person med eget brugernavn og adgangskode. Brugere tildeles
roller.
Er tabeller, som vedrører en enkelt klient fx test (QST) eller produktion (PRD).
Er tabeller, som vedrører flere klienter fx test (QST) og produktion (PRD).
Indeholder rettigheder, som bevirker, at brugerne opnår en række
autorisationer til at benytte SAP systemet. En profil kan indeholde en eller flere
roller.
Omfatter funktionalitet udviklet i programmeringssproget ABAP, som kan
afvikles i SAP til fx at fremvise, ændre og/eller slette data.
Indeholder rettigheder, som bevirker, at brugeren opnår en række
autorisationer til at benytte SAP systemet.
Transaktionskoden giver mulighed for at afvikle programmer eller rapporter.
Profilen har alle eksisterende autorisationer i SAP og således ubegrænsede
rettigheder i systemet.
Transaktionskoden giver mulighed for at oprette, ændre og afvikle programmer
eller rapporter.
Brugere, som SAP er født med og kan tilgås af fysiske personer, såfremt
adgangskoden er kendt.
Omfatter sikkerhedsindstillinger, der kan anvendes til at konfigurere systemet.
”s_tcode” omfatter kommandoer, der giver adgang til skærmbilleder i SAP.
Omfatter ændringer til SAP.
Er en profil, der giver mulighed for at ændre SAP.
UMR er en liste/tabel, som indeholder alle oplysninger om alle brugere i SAP,
herunder, hvilke roller brugerne har.
Autorisationstjek
Batchkørsler
Dialogbrugere
Klientafhængige
tabeller
Klientuafhængige
tabeller
Profiler
Programmer
Roller
SA38
SAP_ALL
SE38
Standardbrugere
Systemparametre
Transaktionskoder
Transporter
Udviklingsprofiler
User Master Record
It-revision af SAP DMO Basis
14 af 14