Beskæftigelsesudvalget 2021-22
BEU Alm.del Bilag 126
Offentligt
2514353_0001.png
Status på revisionsbemærkninger omtalt i revisionsprotokollatet til Udbetaling Danmarks
årsregnskab for 2020.
I vedlagte skema er status på revisionsbemærkninger, der var åbne i Intern Revisions protokollat til
Udbetaling Danmarks årsregnskab for 2020, angivet.
Status er indhentet fra de relevante områder af Intern Revision og er opdateret 27. september 2021.
Revisionsbemærkninger er klassificeret efter følgende skala:
Skala
1+2 Ubetydelig/mindre
væsentlig
3 Moderat risiko
Restrisiko
Lav risiko – mindre svagheder i det interne kontrolmiljø eller ordensmæssige
forhold. Rapporteres ikke. Intern Revision følger alene op herpå ved fremtidige
revisioner af området
Moderat risiko - Dette er en svaghed i det interne kontrolsystem. De interne
kontroller fungerer ikke tilstrækkeligt effektivt til at imødegå de identificerede
risici. Den afledte risiko indebærer at rettidig behandling fra områdeledelsens
side er påkrævet.
Væsentlig risiko - Dette er en væsentlig svaghed i det interne kontrolsystem. De
interne kontroller fungerer ikke, og omgående behandling fra koncernledelsens
side er påkrævet. Kompenserende handlinger for at afdække den identificerede
risiko bør iværksættes øjeblikkeligt. Relevant bestyrelse orienteres om forholdet
og opfølgningen herpå.
Meget væsentlig risiko - Dette er et alvorligt problem i det interne kontrolsystem,
der kan lede til meget væsentlige økonomiske, omdømmemæssige eller
compliancemæssige risici, potentielt i form af indgriben udefra. Forholdet kræver
omgående behandling fra koncernledelsens og bestyrelsens side.
4 Væsentlig risiko
5 Meget væsentlig risiko
 BEU, Alm.del - 2021-22 - Bilag 126: Orientering om tilsynsbrev til bestyrelsen for Udbetaling Dan- mark vedr. regnskabsåret 2020, fra beskæftigelsesministeren
2514353_0002.png
Område
Efterlevelse af GDPR-
regler hos
leverandører, DXC
International
sygesikring
Rapporteret i Intern
revisions protokol af 28.
april 2021
Revisionsbemærkning
Revisionserklæringen vedrørende overholdelse af persondataforordning vedrørende International
sygesikring fra DXC Technology Danmark A/S er ikke modtaget for hverken 2018, 2019 eller 2020.
DXC anvendes til udstedelse af sygesikringsbeviser, som indeholder personfølsomme oplysninger, hvorfor
vi anbefaler, at erklæringen af forretningsmæssige årsager indhentes.
Erklæringen udestår for tredje år i træk, hvorfor vi vurderer observationen som værende af væsentlig risiko,
og det bør sikres at erklæringen indhentes, herunder bør risikoen for persondatabrud revurderes.
Status september 2021:
Ledelsen oplyser, at det anvendte system er en del af et forretningsområde, som DXC har overdraget til
Dedalus. ATP har modtaget tilbud vedrørende erklæringer for GITC og applikationskontroller fra Dedalus,
men det har på nuværende tidspunkt ikke været muligt at få et tilbud på GDPR erklæringer. ATP er derfor
fortsat i dialog med Dedalus.
Restris
iko
Status
Åben
Deadline 01-04-2022
 BEU, Alm.del - 2021-22 - Bilag 126: Orientering om tilsynsbrev til bestyrelsen for Udbetaling Dan- mark vedr. regnskabsåret 2020, fra beskæftigelsesministeren
2514353_0003.png
Område
Opfølgning på
systemerklæringer fra
DXC SAL
Rapporteret i Intern
revisions protokol af 28.
april 2021
Revisionsbemærkning
Systemerklæringerne (GITC, Applikation samt GDPR) fra DXC for 2020 vedrørende SAL indeholder forbehold i
GITC-erklæringen, samt flere fejlede kontrolmål i alle tre erklæringer.
Forretningen har udarbejdet en plan for hvordan kontrolmål fremadrettet kan styrkes, men der udarbejdes ikke en
vurdering af, hvilken indflydelse forholdene har på den operationelle risiko frem til kontrolmål bliver opfyldt, og der
er således ikke udført kompenserende handlinger for at afdække de forretningsmæssige risici. Vi anbefaler, at der
etableres en proces som sikrer en vurdering af hvilken indflydelse de fejlede kontrolmål har og på hvilke
ordninger, således at relevante kompenserende handlinger kan blive implementeret og udført rettidigt.
Status 5. oktober 2021:
Processen og ansvar for håndtering af revisionserklæringer fra DXC er gennemgået og præciseret, således at
opfølgningen nu foretages i overensstemmelse med den proces, der generelt er etableret for håndtering af
revisionserklæringer i ATP og Udbetaling Danmark.
Der er herudover foretaget en gennemgang af manglerne i erklæringerne for 2020, og forretningen vurderer, at
der ikke har været forhold af kritisk karakter. Gennemgangen har omfattet dialog med DXC og DXC’s revisor og
der er i den forbindelse lukket flere forhold, rapporteret i erklæringerne.
Der har været afholdt møder med DXC om planlægningen af erklæringsarbejdet for 2021, herunder sikring af at
alle relevante kontrolmål medtages.
Status
Lukket
Barsel, udbetaling af
ydelser
Rapporteret i Intern
revisions protokol af 28.
april 2021
Vi vurderer, at ledelsen har fulgt op på forholdet, som dermed lukkes overfor bestyrelsen.
Vi har sammen med Drifts- og Projektrisiko konstateret, at rollen "effektueringsplanseditor" i barselssystemet
(UDKBA) er blevet tilknyttet rollen "Domæneansvarlig" i TIM systemet, der anvendes ved tildeling af roller og
rettigheder i ATP. Dette indebærer, at alle med rollen "Domæneansvarlig" i TIM har fået rettigheder i UDKBA til at
ændre i effektueringsplaner og dermed ændre i udbetalinger udenom de forretningsmæssige regler, der er
indbygget i systemet. Normal proces for tildeling af rettigheder til "effektueringsplanseditor" er, at disse gives i en
separat TIM rolle og kun i en begrænset periode. Derudover skal der foretages efterfølgende opfølgning på
udførte handlinger via rettigheder til redigering effektueringsplaner. Ved at tilføje disse kritiske rettigheder til rollen
"Domæneansvarlig" er de normale kontrolprocedurer omgået.
Status 5. oktober 2021:
Rettigheder er tilpasset, så rollen ”domæneansvarlig” ikke kan godkende ændringer på sager, herunder
udbetalinger, i systemet. Forholdet er derfor lukket.
Lukket