Skatteudvalget 2021-22
SAU Alm.del Bilag 262
Offentligt
2603824_0001.png
8. februar 2022
Sags nr. 2021-4847
Revision af supplerende 2nd line
kontrol af den kvartalsvise kontrol
af brugeradgange
Modtagere:
Informationssikkerhed, Udviklings - og Forenklingsstyrelsen
Kopi:
Direktionssekretariatet, Udviklings- og Forenklingsstyrelsen
Revisionsopfølgning, Udviklings- og Forenklingsstyrelsen
Økonomistyring, Departementet
Rapport 2021
Skatteministeriets Koncernrevision
Revision
Rådgivning
Rapportering
SAU, Alm.del - 2021-22 - Bilag 262: Rapporter fra Skatteministeriets Koncernrevision
2603824_0002.png
Forord
Skatteministeriets Koncernrevision (SKR) har, jævnfør orienteringsbrev af 20. august 2021, revideret
Udviklings- og Forenklingsstyrelsens (UFST) implementering af den supplerende 2nd line kontrol,
som ligger i forlængelse af den obligatoriske kvartalsvise 1st line kontrol (IKS-kontrol nr. 672) af bru-
geradgange.
Rapporten har været fremsendt i udkast til den reviderede enhed for at sikre, at den reviderede en-
hed og SKR har en ensartet opfattelse af observationerne.
Rapporten indeholder en samlet konklusion for det reviderede område.
Rapportens bilag 1 indeholder en oversigt over de observationer, som revisionen har givet anledning
til og de hertil hørende risici og anbefalinger.
Rapportens bilag 2 indeholder en beskrivelse af den skala, som er anvendt ved udarbejdelsen af den
samlede konklusion og en beskrivelse af den skala, som er anvendt ved prioriteringen af de enkelte
risici. Herunder beskrives sammenhængen mellem den samlede konklusion, og prioriteringen af de
enkelte risici.
København, den 8. februar 2022
Jørn Haagensen
Kontorchef
Torben Kolding
Chefkonsulent
4
Revision
Rådgivning
SAU, Alm.del - 2021-22 - Bilag 262: Rapporter fra Skatteministeriets Koncernrevision
1. Formål
Koncernrevision (SKR) er af ISK i UFST blevet anmodet om at foretage en vurdering af Udviklings- og
Forenklingsstyrelsens (UFST) supplerende 2nd line kontrol. Kontrollen er indført med det formål at
øge kvaliteten af den obligatoriske kvartalsvise kontrol af brugeradgange.
Den obligatoriske kvartalsvise kontrol hedder IKS-kontrol nr. 672 ”Tildeling af systemer og adgange”
og er en 1st line kontrol.
I det omfang 2nd line kontrollen ikke er designet eller implementeret effektivt i Skatteforvaltningen,
er det aftalt med ISK, at SKR udarbejder forslag til kontrolinstruks og foretager stikprøvevis test af
kontrollen hos enkelte personalelederne.
2. Omfang / Afgrænsning
Revisionen har omfattet en vurdering af designet og effektiviteten af den implementerede 2nd line
kontrol.
Vi har vurderet følgende elementer af den interne kontrol i processen:
1.
2.
3.
Kontrolmiljøet
Ikke omfattet af revisionen
Risikovurdering
Ikke omfattet af revisionen
Kontrolaktiviteter
Vurdering af den etablerede supplerende 2nd line kontrol
Gennemførelse af 2nd line kontrollen
Information og kommunikation
Ikke omfattet af revisionen
Overvågning af aktiviteter
Ikke omfattet af revisionen
4.
5.
Revisionen er gennemført i perioden oktober – november 2021 og er udført via en stikprøve på 20
ud af 585 enheder, som har udført den obligatoriske kvartalsvise kontrol af brugeradgange for 2. kvar-
tal 2021.
Revisionen har omfattet følgende områder:
Vurdering af design og effektivitet af den etablerede supplerende 2nd line kontrol
Gennemførelse af den supplerende 2nd line kontrol af personaleledernes obligatoriske kvar-
talsmæssige 1st line kontrol af brugeradgange
Analyse af de i stikprøven tildelte brugeradgange
Revisionen er udført i overensstemmelse med SKR’s funktionsbeskrivelse og er udført af Torben
Vandborg Kolding og Viggo Jollmann.
3
SAU, Alm.del - 2021-22 - Bilag 262: Rapporter fra Skatteministeriets Koncernrevision
2603824_0004.png
Revision af supplerende 2nd line kontrol af den kvartalsvise kontrol af brugeradgange
3. Konklusion
Det er vores samlede vurdering, at der,
i større omfang
er behov for ændringer i de reviderede pro-
cesser i relation til 2nd line kontrollen.
Denne vurdering baserer vi på følgende forhold:
ISK’s 2nd line kontrol omfatter ikke en vurdering af kvaliteten af personaleledernes kvartals-
vise gennemgang af brugeradgange og medvirker derfor ikke til at øge kvaliteten af 1st line
kontrollen.
Ved vores gennemgang blev der identificeret 4 rettigheder uden arbejdsbetinget behov
som burde have været slettet. Vi har fået oplyst, at de pågældende rettigheder er slettet
efterfølgende.
Vi har prioriteret de identificerede risici således:
Elementerne i Intern kontrol
1. Kontrolmiljøet
2. Risikovurdering
3. Kontrolaktiviteter
4. Information og kommunikation
5. Overvågning af aktiviteter
I alt
Elementer der ikke er undersøgt, er markeret med ”-”
Prioritet 1
Høj risiko
-
-
1
-
-
1
Middel risiko
-
-
2
-
-
2
Prioritet 2
Lille risiko
-
-
0
-
-
0
Prioritet 3
I alt
-
-
3
-
-
3
Prioriteringen skal ses i forhold til det gennemgåede område og er nærmere defineret i bilag 2.
4
Revision
Rådgivning
SAU, Alm.del - 2021-22 - Bilag 262: Rapporter fra Skatteministeriets Koncernrevision
2603824_0005.png
Revision af supplerende 2nd line kontrol af den kvartalsvise kontrol af brugeradgange
Bilag 1: Observationer, risici og anbefalinger
Nr.
3.1
2021
Prio. 1
Observationer
Kontrolaktiviteter
Vurdering af den af UFST implementerede supplerende kontrol
IKS-kontrol nummer 672 er den kvartalsvise 1st line kontrol der er blevet ud-
ført af 585 personaleledere i Skatteforvaltningens syv styrelser for 2. kvartal
2021.
Vi har kendskab til, at Informationssikkerhedskontorets supplerende 2nd
line kontrol i første halvår 2021 har omfattet gennemgang af brugerrettighe-
der i systemerne DMO, e-Indkomst og SAP38. Gennemgangen har haft fokus
på kritiske rettigheder med udgangspunkt i systemernes info-dokumenter.
Kontrollen omfatter ikke en vurdering af indberettet dokumentation af per-
sonaleledernes kvartalsvise gennemgang af brugeradgange og medvirker
derfor ikke til at øge kvaliteten af 1st line kontrollen.
Risici
Såfremt den implementerede supple-
rende kontrol ikke udføres med udgangs-
punkt i den obligatoriske kvartalsvise 1st
line kontrol, er der risiko for at kontrollen
ikke vil medvirke til at øge kvaliteten af den
udførte 1st line kontrol.
Anbefalinger
Vi anbefaler, at den supplerende kontrol
tager udgangspunkt i den dokumentation,
som er udarbejdet af de enkelte persona-
leledere i 1st line kontrollen for alle enhe-
der i Skatteforvaltningen.
3.2
2021
Prio. 2
Vurdering af kvaliteten af udvalgte enheders 1st line kontrol
Grundet den manglende kvalitet i den etablerede 2nd line kontrol har SKR
udtaget og vurderet en stikprøve på 20 personalelederenes dokumentation
fra 1st line kontrollen, fordelt på alle styrelser i Skatteforvaltningen.
Ved gennemgangen er der bl.a. konstateret følgende:
Manglende vurdering af permanent tildeling af lokal administrator
rettigheder
Manglede dokumentation for at medarbejderne har foretaget vur-
dering af eget arbejdsbetinget behov for tildelte rettigheder
Manglende dokumentation for at personalelederen har foretaget
vurdering af arbejdsbetinget behov for tildelte rettigheder til med-
arbejderne
Manglede opfølgning på den udførte kon-
trol øger risikoen for, at det ikke bliver op-
daget, såfremt kvaliteten af den udførte
kontrol ikke er tilfredsstillende.
Endvidere kan afvigelser fra den vedtagne
kontrolinstruks medføre risiko for, at fejl i
de tildelte brugerrettigheder ikke bliver
fundet og rettet.
Vi anbefaler, at 2nd line kontrollen bliver
designet med henblik på at øge kvaliteten
af 1st line kontrollen, herunder at der bliver
spurgt ind til tildeling af væsentlige/kritiske
roller og rettigheder, og således at det bli-
ver opdaget, hvis 1st line kontrollen mang-
ler dokumentation for vurdering af ar-
bejdsbetinget behov.
3
SAU, Alm.del - 2021-22 - Bilag 262: Rapporter fra Skatteministeriets Koncernrevision
2603824_0006.png
Nr.
Observationer
Manglende efterfølgende sletning af rettigheder selvom brugeren
har gjort opmærksom på, at der ikke længere er et arbejdsbetinget
behov
Risici
Anbefalinger
Ved gennemgangen har vi foretaget interviews af syv personaleledere, hvor
der blev spurgt ind til 15 specifikke rettigheder. I den forbindelse blev der
identificeret 4 rettigheder uden arbejdsbetinget behov som burde have væ-
ret slettet. Vi har fået oplyst, at de pågældende rettigheder er slettet efterføl-
gende.
3.3
2021
Prio. 2
Anvendelse af stedfortrædere i 1st line kontrollen
I stikprøven på 20 personaleledere viser dokumentationen, at der i 10 til-
fælde bliver anvendt stedfortrædere, som foretager indsamling og rapporte-
ring, på vegne af personalelederne.
Dokumentationen viser, at stedfortræderen i fire tilfælde ikke har foretaget
en selvstændig vurdering af, om medarbejderne har et arbejdsbetinget be-
hov.
Såfremt stedfortræderen ikke foretager en
vurdering af medarbejdernes arbejdsbe-
tingede behov er der risiko for, at medar-
bejdere har adgange som de ikke har be-
hov for.
Vi anbefaler, at der i de tilfælde hvor der
bliver anvendt stedfortrædere, at stedfor-
træderen foretager en selvstændig vurde-
ring af medarbejderens arbejdsbetingede
behov og at vurderingen fremgår af doku-
mentationen i SAP38.
4
Revision
SAU, Alm.del - 2021-22 - Bilag 262: Rapporter fra Skatteministeriets Koncernrevision
2603824_0007.png
Revision af supplerende 2nd line kontrol af den kvartalsvise kontrol af brugeradgange
Bilag 2: Anvendte skalaer
Ved udarbejdelsen af den samlede konklusion er følgende skala anvendt:
Nr.
Observationer
Intet behov for
procesændrin-
ger
SKR har observeret mindre svagheder i de processer, der er omfattet af revisionen.
Prioritet 1:
Prioritet 2:
Ingen observationer
Ingen observationer
Behov for pro-
ces- ændringer i
mindre omfang
SKR har observeret enkelte svagheder i de processer, der er omfattet af revisionen.
Prioritet 1:
Prioritet 2:
Ingen observationer
Enkelte observationer
Behov for pro-
ces-ændringer i
større omfang
SKR har observeret flere svagheder i de processer, der er omfattet af revisionen.
Observationerne er primært prioritet 1 og 2, med flest prioritet 2 observationer.
Prioritet 1:
Prioritet 2:
Flere observationer
Flest observationer
Behov for pro-
ces-ændringer i
væsentligt om-
fang
SKR har observeret flere svagheder i de processer, der er omfattet af revisionen.
Observationerne er primært prioritet 1 og 2, med flest prioritet 1 observationer.
Prioritet 1:
Prioritet 2:
Flest observationer
Flere observationer
2
Ved prioriteringen af de enkelte risici er følgende skala anvendt:
Prioritet 1:
SKR har konstateret væsentlige svagheder i den interne kontrol. Svaghederne bør udbedres snarest
muligt.
Prioritet 2:
SKR har konstateret svagheder i den interne kontrol. Svaghederne bør udbedres. Tidsfristen for ud-
bedringen er længere end for prioritet 1.
Prioritet 3:
SKR har konstateret mindre svagheder i den interne kontrol. Svaghederne bør udbedres ved lejlighed.
2
7