Beskæftigelsesudvalget 2023-24
BEU Alm.del Bilag 65
Offentligt
2804532_0001.png
Status på revisionsbemærkninger omtalt i revisionsprotokollatet til Udbetaling Danmarks
årsregnskab for 2022
I vedlagte skema er status på revisionsbemærkninger, der var åbne i Intern Revisions protokollat til
Udbetaling Danmarks årsregnskab for 2022, angivet.
Status er indhentet fra de relevante områder af Intern Revision og er opdateret 13. september 2023.
Observationer klassificeres efter følgende skala:
Skala
1+2 Ubetydelig/mindre
væsentlig
3 Moderat risiko
Restrisiko
Lav risiko – mindre svagheder i det interne kontrolmiljø eller ordensmæssige
forhold. Rapporteres ikke. Intern Revision følger alene op herpå ved fremtidige
revisioner af området
Moderat risiko - Dette er en svaghed i det interne kontrolsystem. De interne
kontroller fungerer ikke tilstrækkeligt effektivt til at imødegå de identificerede
risici. Den afledte risiko indebærer at rettidig behandling fra områdeledelsens
side er påkrævet.
Væsentlig risiko - Dette er en væsentlig svaghed i det interne kontrolsystem. De
interne kontroller fungerer ikke, og omgående behandling fra koncernledelsens
side er påkrævet. Kompenserende handlinger for at afdække den identificerede
risiko bør iværksættes øjeblikkeligt. Relevant bestyrelse orienteres om forholdet
og opfølgningen herpå.
Meget væsentlig risiko - Dette er et alvorligt problem i det interne kontrolsystem,
der kan lede til meget væsentlige økonomiske, omdømmemæssige eller
compliancemæssige risici, potentielt i form af indgriben udefra. Forholdet kræver
omgående behandling fra koncernledelsens og bestyrelsens side.
4 Væsentlig risiko
5 Meget væsentlig risiko
 BEU, Alm.del - 2023-24 - Bilag 65: Orientering om det overordnede resultat af tilsynet med bestyrelsen for Udbetaling Danmark i 2022
2804532_0002.png
Område
Tidlig Pension
Rapporteret i Intern
Revisions protokol af 27.
april 2023, side 357
Revisionsbemærkning
Kontrollen med månedsreguleringer af Tidlig Pension kan kun udføres af én specifik medarbejder. Der er
ikke tvivl om medarbejderens kompetencer til at løse opgaven, men da andre medarbejdere ikke ved,
hvordan opgaven løses, og der ikke foreligger skriftlige forretningsgange, kan denne medarbejder ikke
afløses, og vedkommendes arbejde kan ikke kontrolleres for utilsigtede fejl.
Status 27 april 2023
Forretningen har udarbejdet en handlingsplan, hvor det fremgår at der er udarbejdet en skriftlig
forretningsgang for gennemførsel af kontrollen, og der er udarbejdet en plan for oplæring af to nye
medarbejdere, som skal munde ud i, at disse to kan gennemføre kontrollen. Jf. planen skal de nye
medarbejdere afprøves i at gennemføre kontrollen i uge 15. Når det er dokumenteret, at de nye
medarbejdere kan gennemføre kontrollen, kan observationen lukkes.
Status 31. august 2023
Observationen er lukket. Forretningen har dokumenteret oplæringen af nye medarbejdere til at udføre
kontrollen, samt udarbejdet skriftlig forretningsgang for kontrollen.
Restris
iko
Status
Deadline:
01-05-2023
Efterlevelse af GDPR-
regler hos
leverandører, DXC
International
sygesikring
Rapporteret i Intern
Revisions protokol af 28.
april 2021, side 260
Revisionserklæringen vedrørende overholdelse af persondataforordning vedrørende International
sygesikring fra DXC Technology Danmark A/S er ikke modtaget for hverken 2018, 2019 eller 2020.
DXC anvendes til udstedelse af sygesikringsbeviser, som indeholder personfølsomme oplysninger, hvorfor
vi anbefaler, at erklæringen af forretningsmæssige årsager indhentes.
Erklæringen udestår for tredje år i træk, hvorfor vi vurderer observationen som værende af væsentlig risiko,
og det bør sikres at erklæringen indhentes, herunder bør risikoen for persondatabrud revurderes.
Status 31. august 2023
Se nedenstående bemærkning.
Der er i februar 2022 afholdt møde med leverandørerne relateret til International sygesikring, DXC og
Dedalus, omkring centrale it-sikkerheds- og it-driftstemaer, hvor den aktuelle status er gennemgået.
Deadline:
30-06-2023
Generelle IT-kontroller,
DXC International
Deadline:
30-06-2023
 BEU, Alm.del - 2023-24 - Bilag 65: Orientering om det overordnede resultat af tilsynet med bestyrelsen for Udbetaling Danmark i 2022
2804532_0003.png
Område
Sygesikring
Rapporteret i Intern
Revisions protokol af 31.
marts 2022, side 257
Revisionsbemærkning
Restris
iko
Status
Det er på baggrund heraf konstateret, at kontrollerne samlet set ikke er designet hensigtsmæssigt, og det
er således vurderingen, at status på det etablerede kontrolmiljø er ”Ikke Tilfredsstillende”.
Vi anbefaler ledelsen at vurdere, hvilken påvirkning de fejlede kontroller har på den operationelle risiko.
Status 31. marts 2022:
Vi har fået oplyst, at ledelsen har behandlet udkast til rapportering omkring ATP’s vurdering af de centrale
it-sikkerheds- og it-driftstemaer hos Dedalus, og at ledelsen i forlængelse heraf arbejder på en indstilling
om systemfornyelse og dermed sandsynligvis en udskiftning af leverandøren. En endelig godkendelse
afventer dog.
Status 28. februar 2023:
Det er besluttet, at Dedalus (tidligere DXC) ikke længere skal levere it-understøttelsen af International
sygesikring. Nyt system forventes implementeret i 1. halvår 2023.
Status 31. august 2023
Observationen er lukket. International Sygesikring har skiftet fagsystem og anvender ikke længere DXC
Notus-systemet.