FIU, Alm.del - 2024-25 - Bilag 21: Ministerredegørelser vedr. revisionen af statens regnskab for 2023, revisionen af statens forvaltning i 2023 og revisionen af virksomheder uden for statsregnskabet for 2023

Finansudvalget 2024-25
FIU Alm.del Bilag 21
Offentligt

Ministeren

Statsrevisorernes Sekretariat

Folketinget

Christiansborg

1240 København K

Ministerredegørelse til beretning 18/2023 om revision af statsregnska-

bet for 2023

Statsrevisorerne har bedt mig redegøre for de foranstaltninger og overvejelser,

som beretningen 18/2023 om revision af statsregnskabet for 2023 giver anledning

til.

Jeg tager til efterretning, at Statsrevisorerne finder det utilfredsstillende, at flere

ministerier, heriblandt Uddannelses- og Forskningsministeriet, har svagheder i sin

styring af brugerrettigheder og mangler i sin styring af it-sikkerhed.

Uddannelses- og Forskningsministeriet er opmærksom på de påpegede svaghe-

der, og nedenfor vil jeg redegøre for de iværksatte tiltag for at rette op på de påpe-

gede mangler i ministeriets regnskabsforvaltning.

Iværksatte tiltag med henblik på forbedret styring af regnskabsforvaltningen

Styring af brugerrettigheder

Uddannelses- og Forskningsstyrelsen har oplyst, at hvad angår mangler i proces-

ser for funktionsadskillelse i det undersøgte økonomisystem, er der – som det

også fremgår af beretningen – pr. februar 2024 implementeret funktionsopdelte

brugerroller. Dette tiltag udgør et supplement til eksisterende systemunderstøttede

krav om dobbeltgodkendelse ved udbetalinger.

Hvad angår manglende overblik over og kontrol af brugerrettigheder i det under-

søgte økonomisystem, er der indført halvårlig kontrol af brugerne for at sikre, at

medarbejdere udelukkende har adgange, som er begrundet i et arbejdsbetinget

behov.

Uddannelses- og Forskningsstyrelsen har desuden i september 2024 gennemført

en kortlægning af kritiske rollekombinationer på tværs af regnskabsbærende sy-

stemer, og der er udført supplerende kontrol ved sådanne kritiske kombinationer.

Der er ikke konstateret tilsigtede eller utilsigtede fejl.

I forhold til manglende kontrol af handlinger i det undersøgte økonomisystem, er

der foretaget en gennemgang af den log, der registrerer brugerhandlinger, og der

er i den forbindelse taget stilling til, hvordan loggen fremadrettet skal gennemgås.

Uddannelses- og Forskningsstyrelsen arbejder i samarbejde med Statens It på en

14. oktober 2024

Uddannelses- og

Forskningsministeriet

Bredgade 40-42

1260 København K

Tel. 3392 9700

www.ufm.dk

CVR-nr. 1680 5408

Side 1/2

FIU, Alm.del - 2024-25 - Bilag 21: Ministerredegørelser vedr. revisionen af statens regnskab for 2023, revisionen af statens forvaltning i 2023 og revisionen af virksomheder uden for statsregnskabet for 2023

teknisk løsning for, at brugere med privilegerede rettigheder ikke kan ændre i log-

gen samt en procedure for gennemgang af logning af disse brugeres handlinger,

som forventes at være tilvejebragt i december 2024.

Hvad angår brugerstyring i ministeriets lønsystemer, er der på baggrund af Rigsre-

visionens gennemgang foretaget justeringer i styring af adgange og rettigheder fra

februar 2024, således at kontroller af brugerrettigheder nu er i overensstemmelse

med vejledninger på området.

Styring af it-sikkerhed

Hvad angår manglende ledelsesgodkendelse af risikovurderinger har Uddannel-

ses- og Forskningsstyrelsen oplyst, at risikovurderingen af det undersøgte system

er afsluttet og ledelsesgodkendt i december 2023. Der er i forlængelse heraf udar-

bejdet en handlingsplan i marts 2024 med initiativer vedr. testmiljø, logs, bered-

skabsplan og personoplysninger. Handlingsplanen forventes implementeret frem

mod næste risikovurdering af systemet i fjerde kvartal 2024.

Hvad angår processer for test af reetablering af data, er der primo 2024 etableret

et testmiljø til det undersøgte økonomisystem, hvor reetablering kan testes, og der

gennemføres halvårligt tests af reetablering af data.

Der er med hensyn til processer for oprettelse og nedlæggelse af brugerrettighe-

der nedskrevet og implementeret procedurer for ændringer i brugerrettigheder pr.

februar 2024. Disse indebærer bl.a. halvårlig kontrol af rettighederne.

Uddannelses- og Forskningsstyrelsen har videre oplyst, at hvad angår adskillelse

af testmiljø og driftsmiljø, er der etableret processer, der dels sikrer en klar adskil-

lelse, således at udviklere ikke har adgang til driftsmiljøet, og som dels sikrer, at

idriftsættelse af ændringer sker efter ledelsesgodkendelse.

Der er oversendt en kopi af nærværende redegørelse til Rigsrevisionen.

Med venlig hilsen

Christina Egelund

Side 2/2