Skatteudvalget 2017-18
SAU Alm.del
Offentligt
1962659_0001.png
10. marts 2016
J. nr. 15-1833456
Plannr. 115-007
Intern Revision
Rapport 2015
Direktørområdet SKAT IT
It-revision af ændringsstyring
Modtager
Direktør Jesper Rønnow Simonsen, SKAT
Kopi
Direktør Karsten Juncher, SKAT
Departementet
Rigsrevisionen
Revision
Rådgivning
Rapportering
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962659_0002.png
Forord
Skatteministeriets Interne Revision (SIR) har, jævnfør orienteringsbrev af 10. juni
2015, revideret området for ændringsstyring. Den udførte revision er en del af den
samlede revision for 2015.
Rapporten indeholder en samlet konklusion omfattende det reviderede område. I
konklusionsafsnittet redegør vi for de observationer, som konklusionen i det
væsentligste er baseret på. Konklusionsafsnittet indeholder Intern Revisions
bedømmelse af det reviderede område samt en beskrivelse af grundlaget for
bedømmelsen. Det vil derfor almindeligvis være tilstrækkeligt at læse selve
rapporten. Såfremt der ønskes uddybning og detaljering, henvises der til bilagene.
Rapportens bilag 1 indeholder en systematisk fremstilling af de observationer, som
den udførte revision har givet anledning til. Bilaget indeholder tillige en vurdering
af de tilknyttede risici samt Intern Revisions forslag til anbefalinger, der kan
formindske de vurderede risici. Med udgangspunkt i risikovurderingerne har SKAT
udarbejdet handleplaner med henblik på at formindske de vurderede risici.
Intern Revisions anbefalinger har været anvendt som inspiration ved udarbejdelse
af handleplaner. Vi vil løbende vurdere implementeringen af SKATs handleplaner.
Rapportens bilag 2 indeholder en beskrivelse af de prioriteringer, der er anvendt
ved klassifikationen af de enkelte observationer. Bilaget indeholder herudover en
beskrivelse af koblingen mellem observationernes prioriteringer og den samlede
overordnede konklusion.
Rapporten har været fremsendt i udkast til den reviderede enhed med henblik på
at sikre, at Intern Revision og den reviderede enhed har en ensartet opfattelse af
de observerede forhold. SKAT har efterfølgende udarbejdet handleplaner.
København, den 10. marts 2016
Kurt Wagner
Revisionschef
Klaus Myssen
Senior Manager
It-revision af ændringsstyring
2 af 16
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962659_0003.png
1. Formål
Formålet er at efterprøve, om SKAT i 2015 har etableret og sikret en korrekt og
betryggende ændringsstyringsproces for at undgå uautoriserede ændringer, fejl,
mangler og driftsforstyrrelser i forbindelse med ændring af SKATs it-systemer.
På baggrund af revisionens observationer, er eventuelle afledte risici vurderet.
2. Omfang
Revisionen er gennemført i perioden juli 2015 til januar 2016 med udgangspunkt i
ISO standarden 27001 og har omfattet emne ”A. 12.1.2 Ændringsstyring”.
Der er i forbindelse med revisionen foretaget test af ændringsstyringsprocessen
for følgende applikationer:
Importsystemet (Import)
Ny TastSelv Erhverv (NTSE)
Digitalisering Af Selskabsskat (DIAS)
eKapital
Tast Selv Borger (TSB) / SLUT-systemet (SLUT)
eIndkomst
Rammevilkår for funktionsområderne
Datafangst
Kvittering
Registrering
Opgørelse
Bogføring
Opkrævning
Betaling
Inddrivelse
Regnskabsaflæggelse
SIR anvender denne model til operationel beskrivelse og kategorisering af
aktiviteterne i SKAT.
It-revision af ændringsstyring
3 af 16
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962659_0004.png
Ved denne revision har vi revideret funktionsområdet:
Rammevilkår.
Revisionen er udført af Klaus Myssen i henhold til gældende revisionsstandarder,
herunder vejledninger fra Rigsrevisionen. Revisionen er gennemført ved
interviews, ved indsamling og stikprøvevis gennemgang af foreliggende materiale
samt ved fysisk observation.
I forbindelse med revisionen er der foretaget interviews af medarbejdere fra
afdelingerne:
Erhvervs- og Personafregningssystemer
ESDH- og Toldsystemer
It-service og Teknologi
3. Konklusion
Det er vores vurdering, at der
i større omfang er behov,
for ændringer i de
reviderede processer i relation til ”A. 12.1.2 Ændringsstyring”.
Denne vurdering baserer vi på følgende forhold:
Formålet med revisionen af område ”A.12.1.2. Ændringsstyring” er, at
undersøge om der er kontroller som sikrer, ”at ændringer af organisationen,
forretningsprocesser, informationsbehandlingsfaciliteter og –systemer, som
påvirker informationssikkerheden, styres”. Det er vores vurdering, at
SKAT
ikke har efterlevet ISO området A.12.1.2,
hvilket blandt andet skyldes
manglende anvendelse af de programmer (Remedy) som SKAT stiller til
rådighed og manglende efterlevelse af processerne for Change Management
i SKAT herunder synliggørelse og dokumentation for udførte kontroller.
Vi har prioriteret de observerede forhold således:
Prioritet 1
Høj risiko
1
0
0
0
0
0
0
1
Prioritet 2
Middel
risiko
0
1
1
1
1
1
1
6
Prioritet
3/4
Lille risiko
0
0
0
0
0
0
0
0
I
alt
2015
Revisionsområde
1. Generelt for alle systemer
2. Importsystemet (Import)
3. Ny TastSelv Erhverv (NTSE)
4. Digitalisering af Selskabsskat (DIAS)
5. eKapital
6. Tast Selv Borger (TSB) / SLUT-systemet
(SLUT)
7. eIndkomst
1
1
1
1
1
1
1
7
I alt
Prioriteterne skal ses i forhold til det reviderede område og er nærmere defineret i bilag 2.
It-revision af ændringsstyring
4 af 16
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
Vi har modtaget handleplaner fra de reviderede direktørområder. Det er vores
vurdering, at implementeringen af de udarbejdede handleplaner kan medvirke til
en reduktion af de vurderede risici.
It-revision af ændringsstyring
5 af 16
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962659_0006.png
Bilag 1: Observationer, risici og anbefalinger
Nr.
1
Observationer
Generelt for alle systemer
Risici
Anbefalinger
Funktionsområde: Rammevilkår for
funktionsområderne
1.1 Proces for Change Management:
2015
Vi har konstateret, at der er udarbejdet en
procesbeskrivelse for Change Management i SKAT.
Prio.
Af procesbeskrivelsen fremgår, at ”Alle ændringer i
1
produktion, dokumenteres og godkendes i en
Change i gældende fælles ITSM-værktøj” (IT Service
Management). Endvidere har processen til formål at:
sikre standardiserede metoder og procedurer for
at opnå en fejlfri, effektiv og hurtig håndtering af
ændringer,
alle Changes registreres således, at der kan
leveres ledelsesoverblik i form af KPI’er,
statistikker m.m. samt give mulighed for
trendanalyser,
få bedre mulighed for leverandørstyring, da det
er muligt, at trække egen dokumentation og
uddrage statistikker.
Vores gennemgang viser, at SKAT i mindre omfang
følger den fremlagte Change Management proces. I
stedet benyttes værktøjer og processer stillet til
rådighed af it-leverandørerne, hvilket giver en
uensartet og decentral styring af ændringer.
Manglende anvendelse af fælles
principper og værtøjer i SKAT, giver
en uensartet styring af
programændringer, hvilket medfører
en forøget risiko for, at SKATs ledelse
ikke kan opnå et samlet overblik over
planlagte som gennemførte
programændringer med henblik på at
kunne prioritere samt vurdere
ressourcebehovet i tilstrækkelig
omfang.
Vi anbefaler, at der generelt i forretningen sker
implementering og efterlevelse af gældende
procedurebeskrivelser for Change Management. I
den forbindelse bør det undersøges hvorvidt der er
en årsag til, at flere system-/procesejere ikke følger
gældende proces.
It-revision af ændringsstyring
6 af 16
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962659_0007.png
Nr.
Observationer
Vi er bekendt med, at afdelingen for ”It-service og
Teknologi” er ved at udarbejde nye processer på
området til implementering i 2016.
Risici
Anbefalinger
Handleplan fra SKAT -
Martin Wood, It-service og Teknologi:
Revisionens anbefalinger tages til efterretning.
I andet kvartal i 2016 implementeres et nyt fælles IT Service Management rammeværk, som omfatter både et nyt fælles værktøj (baseret på en
opdateret version af Remedy) og nye fælles processer for ”request management”, ”incident management” og ”change management”
(ændringsstyring) på tværs af SKAT.
Implementeringen inkluderer uddannelse af interessenter, som også indbefatter en beskrivelse af definerede roller for alle processer. For Change
management drejer det sig om rollerne Change requester, Change koordinator og Change godkender, herunder en beskrivelse af deres fælles
ansvar for at ændringer til SKAT’s produktionsmiljøer, bliver registret og dokumenteret i det nye konsoliderede Remedy system. En samlet
registrering af sager giver desuden mulighed for at SKAT ledelse kan danne et mere tilstrækkeligt overblik over planlagte og gennemførte
ændringer.
Efterlevelsen af de implementerede processer, herunder Change management, styrkes via fast rapportering af ændringer, KPI-rapportering og
efterfølgende opfølgning på eventuelle uautoriserede ændringer.
Både i forbindelse med uddannelsesmaterialet og de enkelte procesbeskrivelser er det tydeliggjort hvorledes principperne for change mangement
er gældende.
Samlet vurderes det, at det nye fælles IT Service Management rammeværk vil indfri anbefalingerne i rapporten fra Intern Revision
”Direktørområdet SKAT IT It-revision af ændringsstyring”
2
Importsystemet
Funktionsområde: Rammevilkår for
funktionsområderne
It-revision af ændringsstyring
7 af 16
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962659_0008.png
Nr.
Observationer
Risici
Anbefalinger
2.1
Anvendelse af Remedy (ITSM værktøj)
2015
Vores gennemgang viser, at Remedy kun benyttes i
begrænset omfang i relation i styring af ændringer i
Prio.
Importsystemet.
2
Det er f.eks. ikke muligt via Remedy at se, at
oprettelsen af et ændringsønske (RFC) er godkendt
af Change Manageren, ligesom det ikke fremgår, at
Change Manageren har godkendt ændringen til
produktion. Vi har dog modtaget kopi af referat fra
CAB (Change Advisory Board) hvoraf det fremgår,
at den pågældende RFC er godkendt til produktion.
Referatet fremgår ikke af Remedy.
Manglende anvendelse af et fælles
Vi anbefaler, at ændringer i relation til
internt ITSM værktøj øger risikoen for, Importsystemet dokumenteres og godkendes i en
en uensartet og ufuldstændig
change i Remedy.
registrering af changes.
Handleplan fra SKAT –
Ragnhild H Hargaard, ESDH- og Toldsystemer:
Revisionens anbefalinger tages til efterretning.
Generelt set bliver ændringsønsker og ændringer vurderet og kvalificeret ift. tekniske afhængigheder og forretningsmæssige sammenhænge via
samarbejdsprocesser mellem SKATs systemejere og systemleverandører.
Den varierende grad af formalisering og understøttelse af ændringsprocesessen, samt manglende registrering i SKATs centrale Remedy system,
bliver fremadrettet forbedres og ensartes i forbindelse med implementering af det nye IT Service Management rammeværk.
Som beskrevet i den reviderede udgave af Change Management processen i SKAT, foretages ændringshåndtering i et defineret samarbejde
mellem en central Change Manager og en Change Koordinator i det pågældende kontor. For at en Change Koordinator kan initiere change
processen – og dermed få godkendelse af ændringen – er det påkrævet at der oprettes en ændringsanmodning sag i Remedy systemet med de
relevante informationer for at kunne publicere ændringen. Fuld registrering af samtlige ændringer i systemejerkontorer forventes at være
implementeret senest ved udgang af Q4 2016.
Som ekstra kontrol ift opfølgning af ændringsregistreringer vil der ved større fejl og nedbrud (incidents) blive undersøgt om der har været foretaget
udokumenterede ændringer i forbindelse med den opståede fejl.
It-revision af ændringsstyring
8 af 16
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962659_0009.png
Nr.
3
Observationer
NTSE
Risici
Anbefalinger
Funktionsområde: Rammevilkår for
funktionsområderne
3.1
Anvendelse af Remedy (ITSM værktøj)
2015
Vores gennemgang viser, at Remedy kun benyttes i
begrænset omfang i relation i styring af ændringer i
Prio.
NTSE.
2
Vi har fået oplyst, at godkendelse af ændringer
(RFC) i relation til NTSE foretages på CAB-møder
(Change Advisory Board) og at der udarbejdes
konsekvensanalyser til afdækning af konflikter med
andre produktionssystemer. Endvidere er oplyst, at
der foretages test af ændringer i testmiljøet, og at
de endelige godkendelser til produktion sker via
CAB møder.
Vi har ikke modtaget dokumentation for disse
oplysninger, ligesom dokumentationen ikke ligger i
Remedy.
Manglende anvendelse af et fælles
Vi anbefaler, at ændringer i relation til NTSE
internt ITSM værktøj øger risikoen for, dokumenteres og godkendes i en change i
en uensartet og ufuldstændig
Remedy.
registrering af changes.
Handleplan fra SKAT –
Søren Kjær Jensen,
Erhvervs- og Personafregningssystemer.
Revisionens anbefalinger tages til efterretning.
Generelt set bliver ændringsønsker og ændringer vurderet og kvalificeret ift. tekniske afhængigheder og forretningsmæssige sammenhænge via
samarbejdsprocesser mellem SKATs systemejere og systemleverandører.
Den varierende grad af formalisering og understøttelse af ændringsprocesessen, samt manglende registrering i SKATs centrale Remedy system,
bliver fremadrettet forbedres og ensartes i forbindelse med implementering af det nye IT Service Management rammeværk.
Som beskrevet i den reviderede udgave af Change Management processen i SKAT, foretages ændringshåndtering i et defineret samarbejde
mellem en central Change Manager og en Change Koordinator i det pågældende kontor. For at en Change Koordinator kan initiere change
processen – og dermed få godkendelse af ændringen – er det påkrævet at der oprettes en ændringsanmodning sag i Remedy systemet med de
It-revision af ændringsstyring
9 af 16
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962659_0010.png
Nr.
Observationer
Risici
Anbefalinger
relevante informationer for at kunne publicere ændringen. Fuld registrering af samtlige ændringer i systemejerkontorer forventes at være
implementeret senest ved udgang af Q4 2016.
Som ekstra kontrol ift opfølgning af ændringsregistreringer vil der ved større fejl og nedbrud (incidents) blive undersøgt om der har været foretaget
udokumenterede ændringer i forbindelse med den opståede fejl.
4
DIAS
Funktionsområde: Rammevilkår for
funktionsområderne
Vi anbefaler, at ændringer i relation til DIAS
Manglende anvendelse af et fælles
internt ITSM værktøj øger risikoen for, dokumenteres og godkendes i en change i
en uensartet og ufuldstændig
Remedy.
registrering af changes.
4.1
Anvendelse af Remedy (ITSM værktøj)
2015
Vores gennemgang viser, at Remedy kun benyttes i
begrænset omfang i relation i styring af ændringer i
Prio.
DIAS.
2
Vi har dog i Remedy set, at det er tilkendegivet
hvem, som skal agere Change Manager. Det er
ikke muligt at se, hvem som fungerer som Change
koordinator. Det er endvidere oplyst, at
godkendelse af ændringer (RFC) i relation til DIAS
foretages på CAB-møder (Change Advisory Board),
hvilket ikke fremgår af Remedy. Ligesom det ikke
fremgår af Remedy, at ændringen er godkendt til
produktion.
Handleplan fra SKAT –
Søren Kjær Jensen,
Erhvervs- og Personafregningssystemer.
Revisionens anbefalinger tages til efterretning.
Generelt set bliver ændringsønsker og ændringer vurderet og kvalificeret ift. tekniske afhængigheder og forretningsmæssige sammenhænge via
samarbejdsprocesser mellem SKATs systemejere og systemleverandører.
Den varierende grad af formalisering og understøttelse af ændringsprocesessen, samt manglende registrering i SKATs centrale Remedy system,
bliver fremadrettet forbedres og ensartes i forbindelse med implementering af det nye IT Service Management rammeværk.
It-revision af ændringsstyring
10 af 16
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962659_0011.png
Nr.
Observationer
Risici
Anbefalinger
Som beskrevet i den reviderede udgave af Change Management processen i SKAT, foretages ændringshåndtering i et defineret samarbejde
mellem en central Change Manager og en Change Koordinator i det pågældende kontor. For at en Change Koordinator kan initiere change
processen – og dermed få godkendelse af ændringen – er det påkrævet at der oprettes en ændringsanmodning sag i Remedy systemet med de
relevante informationer for at kunne publicere ændringen. Fuld registrering af samtlige ændringer i systemejerkontorer forventes at være
implementeret senest ved udgang af Q4 2016.
Som ekstra kontrol ift opfølgning af ændringsregistreringer vil der ved større fejl og nedbrud (incidents) blive undersøgt om der har været foretaget
udokumenterede ændringer i forbindelse med den opståede fejl.
5
eKapital
Manglende anvendelse af et fælles
internt ITSM værktøj øger risikoen for
en uensartet og ufuldstændig
registrering af changes.
Funktionsområde: Rammevilkår for
funktionsområderne
Vi anbefaler, at ændringer i relation til eKapital
dokumenteres og godkendes i en change i
Remedy.
5.1
Anvendelse af Remedy (ITSM værktøj)
2015
Vi har fået oplyst, at Remedy ikke benyttes til
styring af ændringer i relation til eKapital.
Prio.
2
Vi har dog set dokumentation for, at de undersøgte
ændringer er indstillet og behandlet på CAB møder,
og at den ene ændring er afvist, og den anden
ændring er godkendt. Ligeledes har vi set
korrespondance, hvoraf det fremgår, at der er
udført test, og accept af, at ændringen kan flyttes til
produktion.
Dokumentationen foreligger primært som en del af
den mail-korrespondance, som er udvekslet med
leverandøren.
Handleplan fra SKAT –
Søren Kjær Jensen,
Erhvervs- og Personafregningssystemer.
Revisionens anbefalinger tages til efterretning.
It-revision af ændringsstyring
11 af 16
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962659_0012.png
Nr.
Observationer
Risici
Anbefalinger
Generelt set bliver ændringsønsker og ændringer vurderet og kvalificeret ift. tekniske afhængigheder og forretningsmæssige sammenhænge via
samarbejdsprocesser mellem SKATs systemejere og systemleverandører.
Den varierende grad af formalisering og understøttelse af ændringsprocesessen, samt manglende registrering i SKATs centrale Remedy system,
bliver fremadrettet forbedres og ensartes i forbindelse med implementering af det nye IT Service Management rammeværk.
Som beskrevet i den reviderede udgave af Change Management processen i SKAT, foretages ændringshåndtering i et defineret samarbejde
mellem en central Change Manager og en Change Koordinator i det pågældende kontor. For at en Change Koordinator kan initiere change
processen – og dermed få godkendelse af ændringen – er det påkrævet at der oprettes en ændringsanmodning sag i Remedy systemet med de
relevante informationer for at kunne publicere ændringen. Fuld registrering af samtlige ændringer i systemejerkontorer forventes at være
implementeret senest ved udgang af Q4 2016.
Som ekstra kontrol ift opfølgning af ændringsregistreringer vil der ved større fejl og nedbrud (incidents) blive undersøgt om der har været foretaget
udokumenterede ændringer i forbindelse med den opståede fejl.
6
TSB/SLUT
Funktionsområde: Rammevilkår for
funktionsområderne
Manglende anvendelse af et fælles
Vi anbefaler, at ændringer i relation til TSB/SLUT
internt ITSM værktøj øger risikoen for, dokumenteres og godkendes i en change i
en uensartet og ufuldstændig
Remedy.
registrering af changes.
6.1
Anvendelse af Remedy (ITSM værktøj)
2015
Vores gennemgang viser, at Remedy ikke benyttes
til styring af ændringer i relation til TSB/SLUT.
Prio.
2
Vi har dog set dokumentation for godkendelse af
kravsspecifikationer, udførte tests og godkendelse
af ændring til produktion. Det er endvidere set, at
der laves risiko og konsekvensvurderinger.
Dokumentationen foreligger som en del af den mail-
It-revision af ændringsstyring
12 af 16
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962659_0013.png
Nr.
Observationer
korrespondance som er foretaget med
leverandøren.
Vi har ikke modtaget dokumentation for disse
oplysninger, ligesom dokumentationen ikke ligger i
Remedy.
Risici
Anbefalinger
Handleplan fra SKAT –
Søren Kjær Jensen,
Erhvervs- og Personafregningssystemer.
Revisionens anbefalinger tages til efterretning.
Generelt set bliver ændringsønsker og ændringer vurderet og kvalificeret ift. tekniske afhængigheder og forretningsmæssige sammenhænge via
samarbejdsprocesser mellem SKATs systemejere og systemleverandører.
Den varierende grad af formalisering og understøttelse af ændringsprocesessen, samt manglende registrering i SKATs centrale Remedy system,
bliver fremadrettet forbedres og ensartes i forbindelse med implementering af det nye IT Service Management rammeværk.
Som beskrevet i den reviderede udgave af Change Management processen i SKAT, foretages ændringshåndtering i et defineret samarbejde
mellem en central Change Manager og en Change Koordinator i det pågældende kontor. For at en Change Koordinator kan initiere change
processen – og dermed få godkendelse af ændringen – er det påkrævet at der oprettes en ændringsanmodning sag i Remedy systemet med de
relevante informationer for at kunne publicere ændringen. Fuld registrering af samtlige ændringer i systemejerkontorer forventes at være
implementeret senest ved udgang af Q4 2016.
Som ekstra kontrol ift opfølgning af ændringsregistreringer vil der ved større fejl og nedbrud (incidents) blive undersøgt om der har været foretaget
udokumenterede ændringer i forbindelse med den opståede fejl.
7
eIndkomst
Funktionsområde: Rammevilkår for
funktionsområderne
It-revision af ændringsstyring
13 af 16
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962659_0014.png
Nr.
Observationer
Risici
Anbefalinger
7.1
Anvendelse af Remedy (ITSM værktøj)
2015
Vores gennemgang viser, at Remedy kun benyttes i
begrænset omfang i relation i styring af ændringer i
Prio.
eIndkomst.
2
Vi har fået oplyst, at SKAT primært benytter
leverandørens ændringsstyringsværktøj til
registrering og håndtering af ændrings ønsker
(RFC). Vores gennemgang viser også, at Remedy
er udfyldt meget sporadisk.
Vi har dog set dokumentation for udarbejdelse af
konsekvensvurderinger, udførelse af test og endelig
godkendelse af ændring til produktion.
Dokumentation som ikke fremgår af Remedy.
Manglende anvendelse af et fælles
Vi anbefaler, at ændringer i relation til eIndkomst
internt ITSM værktøj øger risikoen for, dokumenteres og godkendes i en change i
en uensartet og ufuldstændig
Remedy.
registrering af changes.
Handleplan fra SKAT –
Søren Kjær Jensen,
Erhvervs- og Personafregningssystemer.
Revisionens anbefalinger tages til efterretning.
Generelt set bliver ændringsønsker og ændringer vurderet og kvalificeret ift. tekniske afhængigheder og forretningsmæssige sammenhænge via
samarbejdsprocesser mellem SKATs systemejere og systemleverandører.
Den varierende grad af formalisering og understøttelse af ændringsprocesessen, samt manglende registrering i SKATs centrale Remedy system,
bliver fremadrettet forbedres og ensartes i forbindelse med implementering af det nye IT Service Management rammeværk.
Som beskrevet i den reviderede udgave af Change Management processen i SKAT, foretages ændringshåndtering i et defineret samarbejde
mellem en central Change Manager og en Change Koordinator i det pågældende kontor. For at en Change Koordinator kan initiere change
processen – og dermed få godkendelse af ændringen – er det påkrævet at der oprettes en ændringsanmodning sag i Remedy systemet med de
relevante informationer for at kunne publicere ændringen. Fuld registrering af samtlige ændringer i systemejerkontorer forventes at være
implementeret senest ved udgang af Q4 2016.
It-revision af ændringsstyring
14 af 16
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962659_0015.png
Nr.
Observationer
Risici
Anbefalinger
Som ekstra kontrol ift opfølgning af ændringsregistreringer vil der ved større fejl og nedbrud (incidents) blive undersøgt om der har været foretaget
udokumenterede ændringer i forbindelse med den opståede fejl.
SLUT
It-revision af ændringsstyring
15 af 16
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962659_0016.png
Bilag 2: Anvendt skala
Ved udarbejdelsen af konklusionen er følgende skala anvendt:
Intet behov for
procesændringer
Intern Revision har ikke observeret svagheder i de forretningsgange og
processer, der understøtter det reviderede område.
Prioritet 1:
Prioritet 2:
Behov for proces-
ændringer i mindre
omfang
Ingen observationer
Ingen observationer
Intern Revision har observeret enkelte svagheder i de forretningsgange og
processer, der understøtter det reviderede område.
Prioritet 1:
Prioritet 2:
Ingen observationer
Enkelte observationer
Behov for proces-
ændringer i større
omfang
Intern Revision har observeret flere svagheder i de forretningsgange og
processer, der understøtter det reviderede område. Observationerne er
hovedsageligt omfattet af prioritet 1 og 2 med flest observationer i prioritet 2.
Prioritet 1:
Prioritet 2:
Flere observationer
Flest observationer
Behov for
procesændringer i
væsentligt omfang
Intern Revision har observeret flere svagheder i de forretningsgange og
processer, der understøtter det reviderede område. Observationerne er
hovedsageligt omfattet af prioritet 1 eller 2 med flest observationer i prioritet 1.
Prioritet 1: Flest observationer
Prioritet 2: Flere observationer
Det skal bemærkes, at ovenstående beskrivelse, med hensyn til antal observationer pr.
prioritet, er vejledende i forhold til vores samlede vurdering af konklusionen.
Prioritering af de enkelte observationer:
Prioritet 1: Høj Risiko for manglende målopfyldelse:
Væsentlige svagheder i den etablerede forretningsgang/proces. Svaghederne kan
omfatte manglende interne kontroller, uhensigtsmæssig design af interne kontroller,
manglende regnskabsmæssige faciliteter. Som følge heraf er der en væsentlig øget
risiko for, at processens formål ikke realiseres. Manglende opfyldelse af processens
formål vil have store konsekvenser for virksomheden. Der bør snarest muligt
iværksættes foranstaltninger med henblik på at udbedre de observerede svagheder.
Prioritet 2: Middel risiko for manglende målopfyldelse:
Svagheder i den etablerede forretningsgang/proces. Svaghederne kan omfatte
manglende interne kontroller, uhensigtsmæssig design af interne kontroller, manglende
regnskabsmæssige faciliteter. Som følge heraf er der en øget risiko for, at processens
målopfyldelse ikke fuldtud realiseres. Manglende opfyldelse af processens formål vil
have store konsekvenser for virksomheden. Der bør iværksættes foranstaltninger med
henblik på at udbedre den observerede svaghed.
Prioritet 3: Lille risiko for manglende målopfyldelse:
Ingen svagheder i den etablerede forretningsgang/proces. Som følge heraf er der ikke
en øget risiko for, at processens formål ikke realiseres. Den reviderede proces kan dog
designes med henblik på at forbedre eksekveringen af processen. Processen vil dog
være omfattet af den risiko, der, uanset styrken af de interne kontroller, altid vil være til
stede.
Prioritet 4: Lille risiko for manglende målopfyldelse:
Ingen svagheder i den etablerede forretningsgang/proces. Som følge heraf er der ikke
en øget risiko for, at processens formål ikke realiseres. Processen vil dog være omfattet
af den risiko, der, uanset styrken af de interne kontroller, altid vil være til stede.
It-revision af ændringsstyring
16 af 16