Finansudvalget 2024-25
FIU Alm.del Bilag 21
Offentligt
2927180_0001.png
Statsrevisorernes Sekretariat
Folketinget
Christiansborg
1240 København K
Danmark
Dato:
Dok.:
11. oktober 2024
3397140
Ministerredegørelse vedrørende Rigsrevisionens beretning nr. 18/2023
om revision af statsregnskabet for 2023
Statsrevisorernes Sekretariat har ved brev af 14. august 2024 fremsendt
Statsrevisorernes beretning nr. 18/2023 om revision af statsregnskabet for
2022 med en anmodning om, at jeg redegør for, hvilke initiativer beretnin-
gen giver anledning til, jf. § 18, stk. 2, i lov om revisionen af statens regn-
skaber m.m.
Jeg noterer mig, at Rigsrevisionen vurderer, at statsregnskabets § 11. Justits-
ministeriet er rigtig i alle væsentlige henseender, og at Justitsministeriet har
overholdt bevillingerne i alle væsentlige henseender, bortset fra virknin-
gerne af de forhold, der er beskrevet i erklæringens
afsnit ”Grundlag for
konklusion med forbehold”.
Først og fremmest skal jeg beklage, at Rigsrevisionen har været nødsaget til
at tage et forbehold for rigtigheden af regnskabet for §11. Justitsministeriet.
Dette er naturligvis ikke tilfredsstillende. Jeg har derfor bedt den ansvarlige
myndighed om at redegøre for, hvilke initiativer kritikken har givet anled-
ning til.
I Rigsrevisionens beretning indgår yderligere to sager på Justitsministeriets
område. Jeg har også for disse to sager bedt de relevante myndigheder om
at redegøre for, hvilke initiativer denne kritik har givet anledning til.
1. Indtægter fra bøder indgår i forkert regnskabsår
Det fremgår af Rigsrevisionens beretning, at Rigspolitiet ikke har sikret, at
indtægter fra bøder indregnes i det korrekte regnskabsår. Konsekvensen er,
at indtægter fra bøder på mindst 587 mio. kr. indgår i forkerte regnskabsår.
Slotsholmsgade 10
1216 København K.
T +45 7226 8400
www.justitsministeriet.dk
[email protected]
Side 1/5
FIU, Alm.del - 2024-25 - Bilag 21: Ministerredegørelser vedr. revisionen af statens regnskab for 2023, revisionen af statens forvaltning i 2023 og revisionen af virksomheder uden for statsregnskabet for 2023
Jeg konstaterer, at Rigspolitiet har beklaget fejlen og taget initiativer til at
miniminere risikoen for, at lignende fejl gentager sig.
Rigspolitiet har her ud over oplyst, at den konkrete fejl beror på et særligt
stort sagskompleks på mere end en halv mia. kr., der skulle have været bog-
ført i regnskabsåret for 2022 og ikke i 2023, hvilket samlet set har givet
anledning til Rigsrevisionens forbehold for regnskabsåret 2023 på Justits-
ministeriets område.
Rigspolitiet har videre oplyst, at den regnskabsmæssige fejl er opstået, fordi
it-systemet, som anvendes til at registrere og opkræve bøder, er et ældre
sagsbehandlingssystem, som ikke er designet til at understøtte regnskabsaf-
læggelsen i det korrekte år. Det betyder, at systemet automatisk indregner
bødeindtægter i regnskabet, når opkrævningen påbegyndes, og ikke så snart
staten kan gøre krav gældende.
Jeg hæfter mig ved, at Rigspolitiet har oplyst, at fejlene med indregning i
forkert regnskabsår som udgangspunkt ikke har betydning for selve opkræv-
ningen hos politiet eller en eventuel senere inddrivelse hos Gældsstyrelsen.
For så vidt angår konkrete initiativer har Rigspolitiet oplyst, at politiet vil
håndtere de regnskabstekniske problemer, som den nuværende it-understøt-
telse medfører, ved at undgå, at der opstår efterslæb på sagsbehandlingen
i særdeleshed omkring årsafslutningen. Derudover har Rigspolitiet oplyst,
at der vil blive udarbejdet et forbedret dataudtræk af ikke-sagsbehandlede
bøder, således at store sagskomplekser med væsentlig regnskabsmæssige
betydning kan identificeres og håndteres i det korrekte regnskabsår.
Det er Rigspolitiets vurdering, at initiativerne med at etablere et forbedret
dataoverblik sammenholdt med en løbende prioritering af store bødekrav,
er en håndterbar løsning
uden en omfattende it-udvikling
som vil redu-
cere risikoen for, at indtægter fra exceptionelt store bødekrav indregnes i det
forkerte regnskabsår. Jeg forventer, at de nye initiativer kan indgå som en
del af årsafslutningen i år, således denne type fejl kan undgås for regnskabet
for 2024.
2. Svagheder i styringen af brugerrettigheder i flere ministerier
De fremgår videre af beretningen at Justitsministeriet, som et af 14 revide-
rede ministerier, har svagheder i styringen af brugerrettigheder. På Justits-
ministeriets område fremgår, at det ikke i tilstrækkeligt omfang kontrolleres,
Side 2/5
FIU, Alm.del - 2024-25 - Bilag 21: Ministerredegørelser vedr. revisionen af statens regnskab for 2023, revisionen af statens forvaltning i 2023 og revisionen af virksomheder uden for statsregnskabet for 2023
hvilke brugeradgange der bliver oprettet, ændret og lukket i lønsystemerne,
og at en bruger med udvidede rettigheder dermed potentielt kan oprette en
brugeradgang og lukke den igen uden at blive opdaget.
Ved en beklagelig fejl har ministeriet ikke været opmærksom på, at Finans-
ministeriet (Statens Administration) i november 2021 reviderede deres vej-
ledning til Brugerstyring Løn, således at det i modsætning til tidligere nu
bl.a. henstilles, at rollen som brugeradministrator varetages af en person,
som ikke er løn- eller HR-medarbejder. Derudover anbefales det, at rollerne
som henholdsvis bestiller, kontrollant og brugeradministrator er fordelt på
tre forskellige personer.
Jeg kan oplyse, at ministeriet i april 2024 har foretaget ændringer i bruger-
styringen med henblik på at følge de ændrede anbefalinger i vejledningen.
Rollen som brugeradministrator er derfor blevet fjernet fra den HR-medar-
bejder, som hidtil har varetaget denne, og er i stedet tildelt en medarbejder,
som hverken er løn- eller HR-medarbejder. Herudover er rollerne som be-
stiller og kontrollant nu fordelt på to personer. Rollerne i lønsystemet for
Justitsministeriets Lønfællesskab er dermed fordelt i overensstemmelse med
Finansministeriet vejledning.
Det fremgår videre af beretningen, at Justitsministeriet mangler funktions-
adskillelse, idet en bruger i Datatilsynet siden marts 2023 og frem til februar
2024, har haft adgang til uberettiget at oprette og udbetale løn til sig selv og
andre. Datatilsynet har oplyst, at fejlen skyldes, at den pågældende medar-
bejder har haft en dobbeltrolle som både HR-løn Ekspert og HR-Løn Kon-
trollant. Rollen som HR-Løn Ekspert er nu slettet. Datatilsynet har endvi-
dere oplyst, at man har foretaget en kontrol af, om medarbejderen har god-
kendt egne inddatarapporter i perioden. Datatilsynet har konstateret, at dette
ikke er tilfældet.
3. Mangler i it-styringen
Endelig fremgår det, at fire reviderede ministerier har mangler i deres sty-
ring af it-sikkerheden i forretningskritiske systemer. På Justitsministeriets
område er der tale om et it-system hos politiet.
Det fremgår
for det første,
at Justitsministeriet ikke har en opdateret og le-
delsesgodkendt risikovurdering af det pågældende system. Rigspolitiet op-
lyser hertil, at man har nedsat en tværgående arbejdsgruppe, som har til
Side 3/5
FIU, Alm.del - 2024-25 - Bilag 21: Ministerredegørelser vedr. revisionen af statens regnskab for 2023, revisionen af statens forvaltning i 2023 og revisionen af virksomheder uden for statsregnskabet for 2023
formål at udarbejde en risikovurdering af it-systemet. Rigspolitiet forventer
at færdiggøre risikovurderingen ved udgangen af fjerde kvartal 2024.
Det fremgår
for det andet,
at Justitsministeriet ikke har sikret en tilstrække-
lig plan for reetablering eller backup og test af det reviderede system. Rigs-
politiet har oplyst, at de nu har foretaget de første backup og test af backup
af databasen for systemet. Derudover har Rigspolitiet nedsat en arbejds-
gruppe, som har til formål at udarbejde en proces for backup og test af
backup i forbindelse med årshjulsaktiviteter for systemet. Det forventes, at
arbejdsgruppen vil være færdig med arbejdet i 4. kvartal 2024.
Rigspolitiet har desuden primo 2024 implementeret en proces, hvor syste-
mets database sikkerhedsopdateres hver måned, og at der løbende imple-
menteres sikkerhedsopdateringer af systemet, så snart disse lanceres af le-
verandøren. Derudover har Rigspolitiet drøftet nødprocedurer med Statens
Administration efter overdragelsen af regnskabsopgaver i 2023 med henblik
på at aftale en hensigtsmæssig procedure samt søge inspiration fra andre
statslige kunder. Nødproceduren for it-systemet er udarbejdet og trådte i
kraft i 2. kvartal 2024.
Det fremgår
for det tredje,
at Justitsministeriet har mangler i kontrollen af
tildelte rettigheder til teknisk personale. Rigspolitiets har oplyst, at man ar-
bejder med at efterleve Rigsrevisionens anbefalinger samt at efterlevelsen
af gældende retningslinjer for tildeling af privilegerede rettigheder er blevet
skærpet. Rigspolitiets har derudover indarbejdet en regelmæssig og doku-
menteret tilsynsproces af privilegerede adgangsrettigheder i årshjulet for sy-
stemet. Den første årshjulskontrol forventes afsluttet i 3. kvartal 2024.
For det fjerde
fremgår, at Justitsministeriet har mangler ift. regelmæssig
gennemgang og beskyttelse af logs. Rigspolitiet har hertil oplyst, at man har
taget Rigsrevisionens anbefalinger vedr. beskyttelse af logs til efterretning
og har sat log-håndtering og gennemgang ind i årshjulet for det pågældende
it-system. Derudover har Rigspolitiet besluttet at it-systemet skal have sin
eget logningsopsætning for at sikre beskyttelsen af loggen og har på den
baggrund nedsat en arbejdsgruppe, som skal udarbejde en logningsstrategi
for systemet. Dette arbejde er pågående og forventes afsluttet i 4. kvartal
2024, hvorefter den første gennemgang af database-loggen vil blive gen-
nemført.
Side 4/5
FIU, Alm.del - 2024-25 - Bilag 21: Ministerredegørelser vedr. revisionen af statens regnskab for 2023, revisionen af statens forvaltning i 2023 og revisionen af virksomheder uden for statsregnskabet for 2023
2927180_0005.png
For det femte
fremgår, at der er mangler i styringen af it-sikkerheden i
Justitsministeriet, vedrørende bl.a. adgangsstyring og et datacenter, der er
sårbart over for bl.a. indtrængende vand. Det fremgår, at dette også tidligere
har været kritiseret af Rigsrevisionen.
Rigspolitiet oplyser, at Rigspolitiet, særligt siden 2018, løbende har indført
en række tiltag for at forbedre situationen og der er stadig initiativer i gang.
Disse lokale mitigerende tiltag har forhindret kritiske driftsudfordringer om-
kring politiets datacentre ved strømafbrydelser, skybrud mv. og bedre over-
vågning, alarmering og beredskab understøtter en effektiv håndtering, skulle
noget pludseligt og uventet opstå. Sideløbende med de mitigerende tiltag, er
der etableret et nyt og moderniseret datacenter-setup, og en lang række af
politiets fagsystemer er allerede migreret dertil, hvorfor risikoen for nedbrud
er mindsket. Arbejdet med at migrere politiets fagsystemer pågår og forven-
tes afsluttet i løbet af 2025.
Derudover har Rigspolitiet udarbejdet en ny proces for tildeling af adgange
til medarbejdere og foretaget en oprydning i eksisterende adgange, samt im-
plementeret et halvårligt tilsyn med adgangskontrollen, som sidst blev gen-
nemført i august 2024.
En kopi af dette brev er fremsendt elektronisk til Rigsrevisionen.
Med venlig hilsen
Peter Hummelgaard
Side 5/5