SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren

Skatteudvalget 2017-18
SAU Alm.del
Offentligt

13. maj 2016

J. nr. 15-3134986

Plannr. 115-046

Intern Revision

Rapport 2015

SKAT Kundeservice & Økonomi

Rapport om kontroller og

funktionalitet i eKapital

Modtager

Direktør Jesper Rønnow Simonsen, SKAT

Kopi

Direktør Merete Agergaard, Kundeservice

Direktør Karsten Juncher, Økonomi

Departementet

Rigsrevisionen



Revision

Rådgivning

Rapportering

Rapport om kontroller og funktionalitet i eKapital

1 af 15

SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren

Forord

Intern Revision (IR) har, jævnfør orienteringsbrev af 13. november 2015, revideret

kontroller og funktionalitet i eKapital. Den udførte revision er en del af den samlede

revision for 2015.

Rapporten har været fremsendt i udkast til den reviderede enhed med henblik på

at sikre, at Intern Revision og den reviderede enhed har en ensartet opfattelse af

de observerede forhold. SKAT har efterfølgende udarbejdet handleplaner.

Rapporten indeholder en samlet konklusion omfattende det reviderede område. I

konklusionsafsnittet redegør vi for de observationer, som konklusionen i det

væsentligste er baseret på. Konklusionsafsnittet indeholder Intern Revisions

bedømmelse af det reviderede område samt en beskrivelse af grundlaget for

bedømmelsen. Det vil derfor almindeligvis være tilstrækkeligt at læse selve

rapporten. Såfremt der ønskes uddybning og detaljering, henvises der til bilagene.

Rapportens bilag 1 indeholder en systematisk fremstilling af de observationer, som

den udførte revision har givet anledning til. Bilaget indeholder tillige en vurdering

af de tilknyttede risici samt Intern Revisions forslag til anbefalinger, der kan

formindske de vurderede risici. Med udgangspunkt i risikovurderingerne har SKAT

udarbejdet handleplaner med henblik på at formindske de vurderede risici. Intern

Revisions anbefalinger har været anvendt som inspiration ved udarbejdelse af

handleplaner. Vi vil løbende vurdere implementeringen af SKATs handleplaner.

Rapportens bilag 2 indeholder en beskrivelse af de prioriteringer, der er anvendt

ved klassifikationen af de enkelte observationer. Bilaget indeholder herudover en

beskrivelse af koblingen mellem observationernes prioriteringer og den samlede

overordnede konklusion.

København, den 13. maj 2016

Kurt Wagner

Revisionschef

Aliriza Özden

Manager

Rapport om kontroller og funktionalitet i eKapital

2 af 15

1. Formål

Formålet med revisionen af kontroller og funktionalitet i eKapital er at vurdere,

hvorvidt den elektroniske platform til datafangst i form af eKapital sikrer, at

datafangsten sker korrekt, og at opfangede data videreføres fuldstændig og

uforvansket til øvrige funktionsområder i processen.

2. Omfang

Revisionen af kontroller og funktionalitet i eKapital, som er udført i perioden

november 2015 til februar 2016, har omhandlet følgende hovedområder:

Systemdokumentation og brugervejledninger

Adgange og adgangsrettigheder til systemet

Funktionsadskillelse

Transaktions- og kontrolspor

Logning og overvågning

Nøglekontroller

eKapital omfatter 17 forskellige systemer, og revisionen har omfattet de

væsentligste, som er:



URTE: System til indberetning af renteudgifter

IRTE: System til indberetning af renteindtægter

PANT: System til indberetning af prioritetslån

CPS: System til indberetning af pensionsordninger

AKFA: System til indberetning af A-kasse bidrag og faglige kontingenter

AKSA: System til indberetning af aktiesalg og -køb

UDBY: System til indberetning af aktieudbytte

IFPA: System til indberetning af køb, salg, beholdning og udbytte vedr.

beviser og aktier i investeringsforeninger og -selskaber

Rapport om kontroller og funktionalitet i eKapital

3 af 15

Intern Revision anvender følgende model til operationel beskrivelse og

kategorisering af aktiviteterne i SKAT:

I forbindelse med denne revision har vi revideret et område, som udgør en del af

Rammevilkår for funktionsområderne

Datafangst

Kvittering

Registrering

Opgørelse

Bogføring

Opkrævning

Betaling

Inddrivelse

Regnskabsaflæggelse

funktionsområderne

”datafangst” og ”kvittering”.

Revisionen er udført af Aliriza Özden i henhold til gældende revisionsstandarder,

herunder vejledninger fra Rigsrevisionen. Revisionen er gennemført ved

interviews, og stikprøvevis gennemgang af foreliggende materiale i samarbejde

med medarbejdere fra Økonomi/IT og Kundeservice.

3. Konklusion

Det er vores vurdering, at der

i væsentlig omfang er behov

for ændring af

kontroller og funktionalitet i eKapital. Denne vurdering baserer vi på følgende

forhold:



Adgangsrettigheder uden arbejdsbetinget behov:

Vi har konstateret, at

mange medarbejdere i SKAT har rettighed til at opdatere data i eKapital uden

at have et arbejdsbetinget behov herfor. Tildelingen af adgangsrettigheder til

medarbejdere, der ikke er tiltænkt en rolle i eKapital, medfører en forøget risiko

for, at der kan forekomme fejlindberetninger.

Forældede indberetningsmetoder:

Indberetningspligtige fremsender

generelt data ved sikker filoverførsel (FTPS). Dog anvendes forældede

indberetningsmetoder i større omfang såsom fysiske blanketter og medier (fx

CD-rom). Forældede indberetningsmetoder kræver manuel behandling hos

medarbejdere i SKAT og leverandører. Dette forøger risikoen for indlæsning af

fejloplysninger i eKapital grundet øget andel af manuelt arbejde i hele

indberetningsprocessen.

Manuel rapportering:

Leverandøren CSC sender løbende mails til SKAT

indeholdende en status på, hvilke indberetninger der har fejlet fx ved



Rapport om kontroller og funktionalitet i eKapital

4 af 15

indlæsning af fysiske medier. Disse mails bliver udarbejdet af

driftsmedarbejdere hos CSC og er ikke automatisk genereret af systemer, der

overvåger driften. Leverandørens manuelle rapportering af status på

indberetninger forøger risikoen for, at fejlbehæftede indberetninger bliver

overset og ikke rapporteret.

Vi har prioriteret de observerede forhold således:

Revisionsemne

1) Systemdokumentation og

brugervejledninger

2) Adgange og adgangsrettigheder

til systemet

3) Funktionsadskillelse

4) Transaktions- og kontrolspor

5) Logning og overvågning

6) Nøglekontroller

I alt

Prioritet 1

Høj risiko

Prioritet 2

Middel risiko

Prioritet 3/4

Lille risiko

alt

Prioriteterne skal ses i forhold til det reviderede område og er nærmere defineret i bilag 2.

Vi har modtaget handleplaner fra de reviderede direktørområder. Det er vores

vurdering, at implementeringen af de udarbejdede handleplaner vil medvirke til en

reduktion af de vurderede risici.

Supplerende bemærkninger fra Selskaber og 3.partsindberetninger:

Vi er overordnet set enige i Intern Revisions konklusion om, at der behov for

ændringer i funktionaliteten i eKapital. Derfor er der også planlangt en

modernisering af eKapitals delsystemer, hvoraf første fase i moderniseringen er

igangsat.

eKapital omfatter, på grund af en gammel systemportefølje, mange manuelle

handlinger, der medfører øget risiko i processerne. Disse risici søges så vidt muligt

imødekommet ved kontrolforanstaltninger og kompenserende handlinger, jf.

beskrivelse i handleplanerne nedenfor. En del af de påpegede risici kan imidlertid

kun effektivt minimeres ved systemmodernisering.

I forbindelse med GPS (God processtyring i SKAT), vil der blive foretaget en

gennemgang af vores processer, bl.a. med henblik på at revurdere behov for

kontroller og overvågning i processen. Vi vil endvidere påse, at der foreligger

arbejdsgangsbeskrivelser for væsentlige manuelle processer.

Denne revisionsrapport med handleplaner vil blive drøftet på kvartalsmøde (i GPS-

regi), således at det sikres, at alle i processen (end-to-end) inddrages.

Rapport om kontroller og funktionalitet i eKapital

5 af 15

Bilag 1: Observationer, risici og anbefalinger

Nr.

Observationer

Risici

Anbefalinger

Funktionsområde: Datafangst/kvittering

Revisionsemne: Systemdokumentation og brugervejledninger

Ingen bemærkninger til revisionsemnet.

Nr.

Observationer

Risici

Anbefalinger

Funktionsområde: Datafangst

En oprydning af adgangsrettigheder i eKapital-

systemerne bør foretages, og det bør sikres, at

medarbejdernes rettigheder i systemerne til enhver

tid er arbejdsbetingede.

Det bør endvidere sikres, at rettighederne, både

isoleret set og i kombination, ikke tilsidesætter

funktionsadskillelse og/eller udgør en risiko for

uautoriseret adgang til systemerne.

Revisionsemne: Adgange og adgangsrettigheder til systemet

Tildelingen af adgangsrettigheder til

medarbejdere, der ikke er tiltænkt en

rolle i processen vedrørende

administration af eKapital, medfører en

forøget risiko for, at der kan

forekomme fejlindberetninger.

2.1

Tildeling af adgangsrettigheder

2015

Vi har foretaget en stikprøvekontrol af

Prio.

mange medarbejdere i SKAT (738 stk.) har

rettighed til at opdatere data i systemet uden

adgangsrettigheder i URTE og konstateret, at

at have et arbejdsbetinget behov herfor. Vi er

af IT Center Høje Taastrup informeret om, at

rettighederne tidligere var tilknyttet stedkoder

(en adresse eller afdeling tilhørende SKAT),

men at interne flytninger af medarbejdere og

opgaver har medført, at rettighedsstyringen i

eKapital er blevet vanskelige at kontrollere.

Interne kontroller for gennemgang af

rettigheder bidrager ikke til at minimere

risikoen i tilstrækkelig omfang (jf. revisionen

”115002 Adgangsstyring”).

Rapport om kontroller og funktionalitet i eKapital

6 af 15

Nr.

Observationer

Risici

Anbefalinger

Handleplan fra Susanne Thorhauge

–

Kundeservice, Forretningsprocesser, Selskaber og 3. partsindberetninger:

Selskaber og 3.partsindberetninger er enige i den beskrevne risiko i forhold til de tildelte brugerrettigheder i URTE (indberetning

renteudgifter). Selskaber og 3.partsindberetninger er desuden enige i, at de generelle interne kontroller vedr. brugerrettigheder ikke i

tilstrækkelig grad medvirker til at sikre, at gældende autorisationer er udtryk for et arbejdsbetinget behov. Dette er dog en general

problemstilling, som ikke kan løses hos Kundeservice alene. Det er Selskaber og 3.partsindberetningers opfattelse, at der bør sættes fokus

på den problemstilling hos IT-service og Informationssikkerhed i Økonomi, der er ansvarlig for kontrolpunktet.

På baggrund af den observerede risiko, vil vi iværksætte følgende tiltag:

1. Opfølgning på nuværende rettigheder

Procesejer vil i samarbejde med systemejer foretage en gennemgang af tildelte brugerrettigheder med

opdateringsadgang til alle eKapitals systemer, med henblik på at få slettet adgange til brugere, der ikke har et

arbejdsbetinget behov.

Tidsfrist: 1.10.2016.

2. Fremadrettet overvågning

I erkendelse af at de generelle interne kontroller vedrørende tildelte brugerrettigheder ikke er tilstrækkelig, vil

Selskaber og 3. partsindberetning iværksætte en periodisk opfølgning på tildelte rettigheder til eKapitals

systemer, således at det sikres, at der ikke påny opstår samme problem med for mange tildelinger.

Tidsfrist: Procedure tilrettelagt og beskrevet 31.12.2016.

3. Analyse af brugerroller og autorisationsgrupper

Procesejer vil i samarbejde med systemejer foretage en gennemgang af brugerroller og autorisationsgrupper

vedr. eKapitals systemer, for at vurdere om roller og autorisationsgrupper bør grupperes anderledes, herunder

Rapport om kontroller og funktionalitet i eKapital

7 af 15

Nr.

Observationer

Risici

Anbefalinger

om der skal indlægges begrænsninger i adgangen til for nærmeste leder at autorisere medarbejdere til

opdateringsadgang i eKapitalsystemerne.

Tidsfrist: Analyse gennemført 31.12.2016.

Kontaktperson:

Anette Engmose

Tidsfrist:

1.10.2016 og 31.12.2016

Nr.

Observationer

Revisionsemne: Funktionsadskillelse

Risici

Anbefalinger

Funktionsområde: Datafangst/kvittering

Ingen bemærkninger til revisionsemnet.

Nr.

Observationer

Risici

Anbefalinger

Funktionsområde: Datafangst

Revisionsemne: Transaktions- og kontrolspor

Omfattet af observation 5.1.

Nr.

Observationer

Revisionsemne: Logning og overvågning

Risici

Anbefalinger

Funktionsområde: Datafangst

5.1

Overvågning af brugerhandlinger

2015

Brugerhandlinger i eKapital bliver

registreret/logget af leverandøren CSC og

opsamlet i systemet XpoLog. Vi har

Manglende overvågning af loggen

øger risikoen for, at medarbejdere, der

ikke er tiltænkt en rolle i eKapital-

systemerne, alligevel kan gennemføre

SKAT bør definere kritiske brugerhandlinger i

eKapital ud fra en risikovurdering. De kritiske

brugerhandlinger bør identificeres og overvåges

periodisk, fx ved stikprøvevis gennemgang af

Rapport om kontroller og funktionalitet i eKapital

8 af 15

Nr.

Observationer

Risici

ændringer, og uden at det kan

opdages.

Anbefalinger

loggen og/eller alarmer på bestemte

handlingsmønstre.

Prio.

konstateret, at loggen er omfattende, og at

SKAT har adgang til XpoLog, men ikke

overvåger loggen systematisk.

Handleplan fra Susanne Thorhauge

–

Kundeservice, Forretningsprocesser, Selskaber og 3. partsindberetninger:

Selskaber og 3.partsindberetninger er enige i, at den manglende overvågning af brugerloggen sammenholdt med de mange brugeradgange

udgør en risiko.

Logfilerne for eKapital er meget omfattende, og det kræver stor teknisk indsigt i den bagvedliggende kode, for at kunne sammenstille

udvalgte informationer fra de mange logfiler, til ét samlet transaktions- og kontrolspor i Xpolog. SKAT har ikke den fornødne indsigt i dette

område, og anvender derfor ikke Xpolog som mulighederne er i dag, da der vil være for stor risiko for, at de logudtræk SKAT sammenstiller,

ikke vil være retvisende.

Procesejer vil foranledige, at der igangsættes et analysearbejde med deltagere fra systemejer, arkitekt, informationssikkerhed og eventuelt

leverandøren. Analysearbejdet skal identificere og definere kritiske brugerhandlinger i eKapital, og opstille forslag til, hvordan disse

brugerhandlinger kan overvåges via standard logudtræk. På baggrund af analysen vil der blive indhentet omkostningsskøn og taget stilling til

hvilken udvikling af overvågningsmekanismer der skal igangsættes.

Kontaktperson:

Anette Engmose og Kim Løhde

Tidsfrist:

31.12.2016

Nr.

Observationer

Revisionsemne: Nøglekontroller

Risici

Anbefalinger

Funktionsområde: Datafangst

Indberetninger via fysiske medier bør i højere grad

erstattes af FTPS (filoverførsler), NTSE

(NyTastSelvErhverv) eller tilsvarende sikrede

elektroniske overførsler.

6.1

Forældede indberetningsmetoder

2015

Indberetningspligtige fremsender generelt data

Forældede indberetningsmetoder

kræver manuel behandling hos

ved sikker filoverførsel (FTPS). Dog anvendes

medarbejdere i SKAT og leverandører.

forældede indberetningsmetoder såsom fysiske Dette forøger risikoen for indlæsning af

medier i større omfang til indberetninger i AKFA. fejloplysninger i eKapital grundet øget

Rapport om kontroller og funktionalitet i eKapital

9 af 15

Nr.

Observationer

Risici

Anbefalinger

Prio.

Fysiske medier anvendes også til indlæsning af andel af manuelt arbejde i hele

data i URTE.

indberetningsprocessen, da data fx

Endvidere indberetter virksomhederne data via

fysiske blanketter, som medarbejdere i SKAT

taster manuelt ind i eKapital-systemerne.

Det bør ikke være muligt at indberette via fysiske

blanketter. Alternativt bør disse erstattes af

også skal konverteres af en

elektroniske blanketter, som automatisk kan

tredjepartsvirksomhed (Strålfors), før de indlæses efter godkendelse fra SKAT.

indlæses hos SKATs leverandør (CSC).

Handleplan fra Susanne Thorhauge

–

Kundeservice, Forretningsprocesser, Selskaber og 3. partsindberetninger:

SKAT arbejder løbende på at få indberettere til at anvende FTPS frem for fysiske medier. Således modtages nu 93,8 % af alle indberetninger

til eKapital via elektroniske kanaler. For indberetninger til AKFA (fagforeningskontingenter) og URTE (renteudgifter) kommer henholdsvis 37,8

Rapport om kontroller og funktionalitet i eKapital

10 af 15

% og 92% af indberetningerne via elektroniske kanaler. Indberetning via blanketter udgør under 0,01 % af indberetningerne til AKFA og

URTE.

En fuldstændig udfasning af de fysiske medier, forudsætter at alle eKapitals indberetningsløsninger moderniseres, hvilket kommer til at ske

over en årrække afhængig af SKATs prioritering af økonomi og ressourcer.

Pt. er SKAT i gang med at modernisere de 4 rentesystemer. Det moderniserede rentesystem vil blive taget i brug ved indberetningen for 1.

kvartal 2017. I det moderniserede system bliver der mulighed for indberetning via FTPS, via en system–til–systemløsning og via Webservice

med fil-upload eller enkeltindberetning.

Der er ikke lagt en endelig tidsplan for, hvornår de øvrige eKapitalsystemer er moderniseret, men Selskaber og 3.partsindberetninger vil

udarbejde en indstilling til prioritetsrækkefølge i modernisering af eKapitals systemer til Moderniseringsprogrammet.

Intern Revision har anført at de forældede indberetningskanaler, der kræver manuel håndtering, forøger risikoen for indlæsning af

fejloplysninger i eKapital.

Selskaber og 3.partsindberetninger gør opmærksom på, at indberetninger via de fysiske medier gennemgår de samme valideringer som

øvrige indberetninger. Den indberetningspligtige får en kvittering på de indberettede oplysninger, herunder en fejlliste på afviste data, og har

derved mulighed for at sikre sig, at de data der er leveret også er modtaget i SKATs systemer.

Det er Selskaber og 3. partsindberetningers opfattelse, at indberetning vi fysiske medier giver følgende risici:

1. Manglende indlæsning af data leveret på fysiske medier

2. Dobbeltindlæsning af data leveret på fysiske medier

3. Brud på integriteten af data indberettet via fysiske medier (hvis Strålfors ændrer filerne)

Med henblik på at reducere ovenstående risici har SKAT allerede iværksat følgende tiltag:

Ad 1) Indberetningspligtige, der indberettede året før, rykkes af eKapitalcentret, såfremt der ikke er modtaget data. Rykkerproceduren har

afdækket omkring 15-20 manglende eller forsinkede indlæsninger af data leveret på fysiske medier.

Rapport om kontroller og funktionalitet i eKapital

11 af 15

Nr.

Observationer

Risici

Anbefalinger

Ad 2) Både CSC og SKAT (eKapitalcentret) overvåger, om der modtages 2 fuldstændig identiske filer.

Ad 3) I forbindelse med videremeldingen kontrollerer SKAT, at det antal rækker der er anført i slutindividet stemmer overens med det antal

rækker der er læst i filen. Ved uoverensstemmelse kontaktes den indberetningspligtige. Kontroller medvirker efter vores opfattelse i nogen

grad til at sikre, at der ikke er sket forvanskning af data ved indlæsning hos Strålfors.

Der er i april 2016 udarbejdet en instruks for konvertering af medier, bl.a. for at præcisere overfor Strålfors, at de ikke må ændre i fx start-

eller slutindividerne for at løse eventuelle indlæsningsproblemer med filerne. Desuden præciseres det, at Strålfors ikke må rette henvendelse

direkte til den indberetningspligtige, hvis der er problemer med filerne. Kontakten til de indberetningspligtige skal gå via SKAT. Instruks er

vedhæftet som bilag til handleplanen.

Indtil systemerne er moderniseret, ser SKAT ikke mulighed for at reducere risikoen yderligere og vælger at acceptere den residualrisiko, der

er forbundet med indberetning via fysiske medier. Med de nuværende indberetningsfaciliteter i eKapital, kan man ikke med rimelighed

påtvinge de indberetningspligtige en omstilling til indberetning via FTPS.

Kontaktperson: Susanne Thorhauge

Tidsfrist:

Skønnes til 31.12.2020

Det er hensigten at modernisere alle eKapitals delsystemer, men der kan pt. ikke oplyses en endelig tidsplan for, hvornår alle delsystemer er

moderniseret og indberetning via fysiske medier helt udfaset.

6.2

Manuel videremelding

2015

Fysiske og elektroniske indberetninger

Prio.

data valideres maskinelt. Både fejlede og ikke

fejlede indberetninger i indgangstesten

gennemløber en indgangstest, hvor både fil og

Den manuelle gennemgang af

indberetninger og videremelding

forøger risikoen for, at fejlbehæftede

indberetninger bliver overset og

videresendt!

Virksomheder, der indberetter fejlbehæftede

oplysninger, bør automatisk blive orienteret efter fil-

og data-validering i indgangstesten.

Indberetninger, uden fejlbehæftede oplysninger,

bør blive valideret og videresendt maskinelt.

vurderes og videremeldes manuelt af eKapital-

centret hos SKAT. Videremeldingen omfatter i

det væsentligste, at SKAT manuelt godkender

en indberetning til videresendelse eller afviser

Rapport om kontroller og funktionalitet i eKapital

12 af 15

Nr.

Observationer

denne, således at den indberetningspligtige får

mulighed for at lave en omlevering.

Risici

Anbefalinger

Handleplan fra Susanne Thorhauge

–

Kundeservice, Forretningsprocesser, Selskaber og 3. partsindberetninger:

Selskaber og 3.partsindberetninger er enige i, at den manuelle videremelding bør afskaffes og erstattes af en automatisk valideringsfunktion.

Dette vil blive foretaget i takt med at eKapitals systemer moderniseres. Der er endnu ikke lagt en endelig tidsplan for, hvornår alle eKapitals

systemer vil være moderniseret.

I den moderniserede renteløsning, der tages i brug ved indberetningen af 1. kvartal 2017, bliver der etableret en valideringsfunktion, der

afløser den nuværende manuelle videremelding.

Som kommentar til den beskrevne risiko vil SKAT supplere med, at såfremt fejlbehæftede indberetninger videremeldes, vil fejlbehæftede

indberetninger blive rapporteret til den indberetningspligtige på en fejlliste. Den indberetningspligtige skal herefter foretage en fornyet

indberetning af fejlede indberetninger. SKAT følger op på at genindberetning foretages, både via indberetningskontrollen i eKapital-centret og

via Indsats.

Det er SKATs opfattelse, at risikoen ved manuel videremelding primært ligger i, at indberetningsprocessen bliver delt op. Det kan give et

uhensigtsmæssigt arbejdsflow hos den indberetningspligtige og øger dermed muligheden for, at genindberetning af fejlede indberetninger

nedprioriteres og dermed forsinkes. Funktionaliteten i eKapital-systemerne til fejlretning er ikke optimal, og det er derfor vanskeligt, både for

SKAT og for den indberetningspligtige, at få et samlet overblik over status på fejlrettelse. Dette vanskeliggør en effektiv opfølgningsproces

Det er Selskaber og 3.partsindberetningers vurdering, at det ikke er muligt at iværksætte handlinger, der reducerer risikoen ved manuel

videremelding, bortset fra en automatisering af processen ved systemmodernisering.

Kontaktperson: Susanne Thorhauge

Tidsfrist:

Skønnes til 31.12.2020

Det er hensigten at modernisere alle eKapitals delsystemer, men der kan pt. ikke oplyses en endelig tidsplan for, hvornår alle eKapitals

delsystemer er moderniseret, og den manuelle videremelding dermed kan erstattes af en automatisk valideringsfunktion.

Rapport om kontroller og funktionalitet i eKapital

13 af 15

Nr.

Observationer

Risici

Leverandørens manuelle rapportering

af status på indberetninger forøger

risikoen for, at fejlbehæftede

indberetninger bliver overset og ikke

rapporteret!

Anbefalinger

En ændring af eKapital bør understøtte, at

virksomheder, der indberetter fejlbehæftede

oplysninger, bliver orienteret automatisk.

Endvidere bør SKAT understøtte, at den manuelle

overvågning og rapportering hos leverandøren kan

automatiseres ved fx at fjerne muligheden for, at

virksomheder kan anvende forældede

indberetningsmetoder.

6.3

Manuel rapportering

2015

Leverandøren CSC sender løbende mails til

SKAT indeholdende en status på, hvilke

Prio.

indberetninger der har fejlet fx ved indlæsning

af fysiske medier. Disse mails bliver

udarbejdet af driftsmedarbejdere hos CSC og

er ikke automatisk genereret af systemer, der

overvåger driften.

Handleplan fra Susanne Thorhauge

–

Kundeservice, Forretningsprocesser, Selskaber og 3. partsindberetninger:

Selskaber og 3.partsindberetninger er enige i, at manuelle processer bør afskaffes og erstattes af automatisk rapportering, jf. det ovenfor

anførte om afskaffelse af fysiske medier og manuel videremelding. Dette vil ske i takt med at eKapitals systemer moderniseres. Der er endnu

ikke lagt en tidsplan for hvornår alle eKapitals systemer vil være moderniseret.

Processen i dag er således, at alle indberetninger (uanset medie) bliver videresendt, både de godkendte og de afviste.

Uanset om CSC skriver en kommentar hertil eller ej, vil eKapital-centret altid se fordelingen mellem godkendte og afviste indberetninger og

tage stilling til om virksomheden skal kontaktes for omlevering, eller data skal videremeldes, så den indberetningspligtige modtager både

kvitteringsliste og fejllister.

Det er Selskaber og 3.partsindberetningers vurdering, at det ikke er muligt at iværksætte handlinger, der reducerer risikoen ved manuel

rapportering, bortset fra en automatisering af processen ved systemmodernisering.

Kontaktperson: Susanne Thorhauge

Tidsfrist:

Skønnes til 31.12.2020

Det er hensigten at modernisere alle eKapitals delsystemer, men der kan pt. ikke oplyses en endelig tidsplan for, hvornår alle eKapitals

delsystemer er moderniseret, og den manuelle videremelding dermed kan erstattes af en automatisk valideringsfunktion.

Rapport om kontroller og funktionalitet i eKapital

14 af 15

Bilag 2: Anvendt skala

Ved udarbejdelsen af konklusionen er følgende skala anvendt:

Intet behov for

procesændringer

Intern Revision har ikke observeret svagheder i de forretningsgange og

processer, der understøtter det reviderede område.

Prioritet 1:

Prioritet 2:

Behov for proces-

ændringer i mindre

omfang

Ingen observationer

Intern Revision har observeret enkelte svagheder i de forretningsgange og

processer, der understøtter det reviderede område.

Prioritet 1:

Prioritet 2:

Ingen observationer

Enkelte observationer

Behov for proces-

ændringer i større

omfang

Intern Revision har observeret flere svagheder i de forretningsgange og

processer, der understøtter det reviderede område. Observationerne er

hovedsageligt omfattet af prioritet 1 og 2 med flest observationer i prioritet 2.

Prioritet 1:

Prioritet 2:

Flere observationer

Flest observationer

Behov for

procesændringer i

væsentligt omfang

Intern Revision har observeret flere svagheder i de forretningsgange og

processer, der understøtter det reviderede område. Observationerne er

hovedsageligt omfattet af prioritet 1 eller 2 med flest observationer i prioritet 1.

Prioritet 1: Flest observationer

Prioritet 2: Flere observationer

Det skal bemærkes, at ovenstående beskrivelse, med hensyn til antal observationer pr.

prioritet, er vejledende i forhold til vores samlede vurdering af konklusionen.

Prioritering af de enkelte observationer:

Prioritet 1: Høj Risiko for manglende målopfyldelse:

Væsentlige svagheder i den etablerede forretningsgang/proces. Svaghederne kan omfatte

manglende interne kontroller, uhensigtsmæssig design af interne kontroller, manglende

regnskabsmæssige faciliteter. Som følge heraf er der en væsentlig øget risiko for, at

processens formål ikke realiseres. Manglende opfyldelse af processens formål vil have

store konsekvenser for virksomheden. Der bør snarest muligt iværksættes foranstaltninger

med henblik på at udbedre de observerede svagheder.

Prioritet 2: Middel risiko for manglende målopfyldelse:

Svagheder i den etablerede forretningsgang/proces. Svaghederne kan omfatte manglende

interne kontroller, uhensigtsmæssig design af interne kontroller, manglende

regnskabsmæssige faciliteter. Som følge heraf er der en øget risiko for, at processens

målopfyldelse ikke fuldtud realiseres. Manglende opfyldelse af processens formål vil have

store konsekvenser for virksomheden. Der bør iværksættes foranstaltninger med henblik på

at udbedre den observerede svaghed.

Prioritet 3: Lille risiko for manglende målopfyldelse:

Ingen svagheder i den etablerede forretningsgang/proces. Som følge heraf er der ikke en

øget risiko for, at processens formål ikke realiseres. Den reviderede proces kan dog

designes med henblik på at forbedre eksekveringen af processen. Processen vil dog være

omfattet af den risiko, der, uanset styrken af de interne kontroller, altid vil være til stede.

Prioritet 4: Lille risiko for manglende målopfyldelse:

Ingen svagheder i den etablerede forretningsgang/proces. Som følge heraf er der ikke en

øget risiko for, at processens formål ikke realiseres. Processen vil dog være omfattet af den

risiko, der, uanset styrken af de interne kontroller, altid vil være til stede.

Rapport om kontroller og funktionalitet i eKapital

15 af 15