Beskæftigelsesudvalget 2022-23 (2. samling)
BEU Alm.del Bilag 81
Offentligt
2671446_0001.png
Status på revisionsbemærkninger omtalt i revisionsprotokollatet til Udbetaling Danmarks
årsregnskab for 2021
I vedlagte skema er status på revisionsbemærkninger, der var åbne i Intern Revisions protokollat til
Udbetaling Danmarks årsregnskab for 2021, angivet.
Status er indhentet fra de relevante områder af Intern Revision og er opdateret 20. september 2022.
Observationer klassificeres efter følgende skala:
Skala
1+2 Ubetydelig/mindre
væsentlig
3 Moderat risiko
Restrisiko
Lav risiko – mindre svagheder i det interne kontrolmiljø eller ordensmæssige
forhold. Rapporteres ikke. Intern Revision følger alene op herpå ved fremtidige
revisioner af området
Moderat risiko - Dette er en svaghed i det interne kontrolsystem. De interne
kontroller fungerer ikke tilstrækkeligt effektivt til at imødegå de identificerede
risici. Den afledte risiko indebærer at rettidig behandling fra områdeledelsens
side er påkrævet.
Væsentlig risiko - Dette er en væsentlig svaghed i det interne kontrolsystem. De
interne kontroller fungerer ikke, og omgående behandling fra koncernledelsens
side er påkrævet. Kompenserende handlinger for at afdække den identificerede
risiko bør iværksættes øjeblikkeligt. Relevant bestyrelse orienteres om forholdet
og opfølgningen herpå.
Meget væsentlig risiko - Dette er et alvorligt problem i det interne kontrolsystem,
der kan lede til meget væsentlige økonomiske, omdømmemæssige eller
compliancemæssige risici, potentielt i form af indgriben udefra. Forholdet kræver
omgående behandling fra koncernledelsens og bestyrelsens side.
4 Væsentlig risiko
5 Meget væsentlig risiko
 BEU, Alm.del - 2022-23 (2. samling) - Bilag 81: Orientering om tilsyn med Udbetaling Danmark 2021
2671446_0002.png
Område
Efterlevelse af GDPR-
regler hos
leverandører, DXC
International
sygesikring
Rapporteret i Intern
revisions protokol af 28.
april 2021
Revisionsbemærkning
Revisionserklæringen vedrørende overholdelse af persondataforordning vedrørende International sygesikring fra
DXC Technology Danmark A/S er ikke modtaget for hverken 2018, 2019 eller 2020.
DXC anvendes til udstedelse af sygesikringsbeviser, som indeholder personfølsomme oplysninger, hvorfor vi
anbefaler, at erklæringen af forretningsmæssige årsager indhentes.
Erklæringen udestår for tredje år i træk, hvorfor vi vurderer observationen som værende af væsentlig risiko, og det
bør sikres at erklæringen indhentes, herunder bør risikoen for persondatabrud revurderes.
Status 31. marts 2022:
Se nedenstående bemærkning.
Status september 2022:
Se nedenstående bemærkning.
Restrisiko
Status
Oprindelig
deadline:
30-06-2023
Aktuel deadline:
31-05-2023
Generelle IT-kontroller,
DXC International
Sygesikring
Rapporteret i Intern
revisions protokol af 31.
marts 2022
Der er i februar 2022 afholdt møde med leverandørerne relateret til International Sygesikring, DXC og Dedalus,
omkring centrale it-sikkerheds- og it-driftstemaer, hvor den aktuelle status er gennemgået.
Det er på baggrund heraf konstateret, at kontrollerne samlet set ikke er designet hensigtsmæssigt, og det er således
vurderingen, at status på det etablerede kontrolmiljø er ”Ikke Tilfredsstillende”.
Vi anbefaler ledelsen at vurdere, hvilken påvirkning de fejlede kontroller har på den operationelle risiko.
Status 31. marts 2022:
Vi har fået oplyst, at ledelsen har behandlet udkast til rapportering omkring ATP’s vurdering af de centrale it-
sikkerheds- og it-driftstemaer hos Dedalus, og at ledelsen i forlængelse heraf arbejder på en indstilling om
systemfornyelse og dermed sandsynligvis en udskiftning af leverandøren. En endelig godkendelse afventer dog.
Status september 2022:
Det er besluttet, at Dedalus ikke længere skal levere it-understøttelsen af International Sygesikring. Nyt system
forventes implementeret i 1. halvår 2023.
Oprindelig
deadline:
30-06-2023
Aktuel deadline:
31-05-2023
 BEU, Alm.del - 2022-23 (2. samling) - Bilag 81: Orientering om tilsyn med Udbetaling Danmark 2021
2671446_0003.png
Område
Opfølgning på
erklæring vedrørende
applikationskontroller,
NNIT UDK Barsel
Rapporteret i Intern
revisions protokol af 31.
marts 2022
Revisionsbemærkning
Erklæringen vedrørende applikationskontroller fra NNIT på UDK Barsel indeholder forbehold for, at samme data kan
overføres flere gange.
Vi anbefaler, at der foretages en analyse og vurdering af eventuelle konsekvenser af forholdet, herunder af behov for
kompenserende handlinger, og at der udarbejdes og gennemføres en løsning, der lukker forholdet.
Status 31. marts 2022:
Forretningen vil analysere risici i relation til forhold omtalt i erklæringen og årsagen til forbeholdet og ud fra dette
etablere de nødvendige tiltag for udbedring heraf samt følge op med leverandøren for at sikre deres opfølgning.
Forholdet forventes endeligt afklaret 31. december 2022.
Status september 2022:
Forholdet er fortsat under afklaring, men forventes på plads indenfor den angivne deadline.
Restrisiko
Status
Oprindelig
deadline:
31-12-2022
Aktuel deadline:
31-12-2022