Finansudvalget 2019-20
SB 19 19
Offentligt
2275953_0001.png
Statsrevisorernes Sekretariat
Folketinget
Christiansborg
1240 København K
Dato:
Sagsnr.:
Dok.:
20. oktober 2020
2020-0241-0073
1611800
Vedrørende Statsrevisorernes beretning nr. 19/2019 om revisio-
nen af statsregnskabet 2019
Statsrevisorernes Sekretariat har ved brev af 31. august 2020 fremsendt
Statsrevisorernes beretning nr. 19/2019 om revisionen af statsregnskabet for
2019 med en anmodning om, at jeg redegør for, hvilke initiativer beretnin-
gen giver anledning til, jf. § 18, stk. 2, i lov om revisionen af statens regn-
skaber m.m.
Jeg vil gerne indledningsvist kvittere for beretningen. Jeg kan med tilfreds-
hed konstatere, at Rigsrevisionen i beretningen konkluderer, at Justitsmini-
steriets regnskab er rigtigt, og at ministeriet i alle væsentlige henseender har
overholdt bevillingerne og disponeringsreglerne.
Jeg noterer mig dog samtidig, at Statsrevisorerne finder det utilfredsstil-
lende, at der på en række ministerområder er et mangelfuldt kontrolmiljø og
brugerstyring, som indebærer en unødig risiko for svig og fejl i regnskabet,
herunder at bl.a. Direktoratet for Kriminalforsorgen og Domsstolsstyrelsen
under Justitsministeriet har haft en utilstrækkelig styring af brugerrettighe-
der.
For så vidt angår Rigsrevisionens konkrete bemærkninger på de berørte om-
råder kan jeg oplyse følgende:
Utilstrækkelig it-sikkerhed i Navision Stat hos Direktoratet for Kriminalfor-
sorgen, jf. pkt. 34
Af beretningen fremgår det, at Rigsrevisionen har konstateret en række væ-
sentlige mangler i it-sikkerheden i regnskabssystemet Navision Stat hos Di-
rektoratet for Kriminalforsorgen. Det gælder særligt mangler i logningen af
 Statsrevisorerne beretning SB19/2019 - Bilag 19: Justitsministerens redegørelse af 20. oktober 2020
privilegerede rettigheder (det højeste niveau af rettigheder). Det fremgår i
forlængelse heraf, at Direktoratet for Kriminalforsorgen efter revisionen har
iværksat en række tiltag med henblik på at rette op på manglerne. Disse til-
tag er beskrevet i beretningen og indebærer bl.a., at Direktoratet for Krimi-
nalforsorgen helt har fjernet muligheden for at deaktivere superloggen samt
har nedbragt antallet af brugere med superrettigheder fra tre til to.
Direktoratet for Kriminalforsorgen har efterfølgende oplyst, at der nu end-
videre er indført en månedsvis kontrol af superloggen, og at de daglige sup-
portmedarbejdere i kriminalforsorgen ikke længere tilgår Navision som su-
perbrugere, men i stedet med supportrettigheder.
Kriminalforsorgen oplyser, at personer med superrettigheder ikke helt kan
fjernes, idet der stadig kan opstå fejl eller situationer, som kun kan afhjælpes
med superrettigheder. De to superbrugeradgange benyttes imidlertid kun i
helt særlige tilfælde. Det understreges i den forbindelse, at alle aktiviteterne
logges i superloggen, som kontrolleres månedligt.
Oprettelse af nye superbrugere skal godkendes af kontorchefen i Koncern
Regnskab og sker alene ved ændringer i opgaveporteføljen eller ved ophør
af nøglemedarbejdere.
Det fremgik også af beretningen, at der har været mangler i Direktoratet for
Kriminalforsorgens styring af it-sikkerheden hos den eksterne it-leverandør,
der drifter Navision Stat for direktoratet, ligesom direktoratet ikke har sikret,
at leverandøren foretager en tilstrækkelig logning i databasen, og at data-
baseloggen er sikret mod ændring og sletning.
Direktoratet har oplyst, at man på baggrund heraf har gennemført en opryd-
ning i leverandørens rettigheder samt modtaget dokumentation for brugere
med superrettigheder og databaseowner-rettigheder, således at leverandøren
dokumenterer årsager til adgang. Der gennemføres en halvårlig kontrol af
leverandørens arbejdsbetingede behov for adgang. Endvidere er kriminal-
forsorgen i gang med at indføre en forbedret logningsløsning, der forventes
implementeret inden udgangen af 2020.
Det fremgik videre af beretningen, at Direktoratet for Kriminalforsorgen
ikke havde testet den tekniske beredskabsplan sammen med leverandøren
eller fulgt op på, om leverandøren foretager tilstrækkelig backup og gen-
etableringstest af databasen.
2
 Statsrevisorerne beretning SB19/2019 - Bilag 19: Justitsministerens redegørelse af 20. oktober 2020
Direktoratet har oplyst, at der nu er indført dokumentation for backup i le-
verandørens månedlige driftsstatusafrapportering og igangsat et arbejde
med at få foretaget genetableringstest. Dette arbejde forventes færdigt inden
udgangen af november 2020.
For at sikre en dækkende risikovurdering af Navision Stat har Direktoratet
for Kriminalforsorgen endvidere oplyst, at Navision fremover vil indgå på
lige fod med KØLS (Klient-, Økonomi- og LønSystem) i kriminalforsor-
gens generelle it-beredskabsplan samt i kriminalforsorgens kommende risi-
kovurdering.
Utilstrækkelig it-sikkerhed i Navision Stat hos Domstolsstyrelsen, jf. pkt. 35
Rigsrevisionen har fundet væsentlige mangler i it-sikkerheden i regnskabs-
systemet Navision Stat hos Domstolsstyrelsen – særligt for så vidt angår
styrelsens styring af it-sikkerhed hos it-leverandøren.
Domsstolsstyrelsen oplyser, at man for at imødekomme Rigsrevisionens
kritik har besluttet at flytte infrastrukturen (servere, fildrev, databaser mv.)
til driftsleverandøren. Samtidig undersøger Domstolsstyrelsen mulige løs-
ninger i forhold til indkøb af applikationsdrift. Domsstolsstyrelsen vil igen-
nem krav til både drifts- og applikationsleverandør tage højde for Rigsrevi-
sionens kritikpunkter. Domstolsstyrelsen forventer at være i mål med arbej-
det inden udgangen af 2020.
Mangler i styringen af brugerrettigheder i Statens Lønsystem i 6 ministerier,
jf. pkt. 28-31
Rigsrevisionen kritiserer, at et flertal af 46 undersøgte virksomheder i seks
ministerier, herunder Justitsministeriet, har mangler i deres styring af med-
arbejdernes rettigheder i Statens Lønsystem (HR-løn og SLS). Ministerierne
og de selvejende institutioner har ikke sikret, at Finansministeriets vejled-
ning efterleves, idet 25 af virksomhederne ikke udfører en løbende kontrol
af medarbejdernes rettigheder. Derudover har 43 virksomheder konfliktende
rettigheder. Konsekvensen er, at medarbejdere uden et arbejdsbetinget be-
hov kan have adgang til lønsystemet, hvilket øger risikoen for svig og fejl i
ministeriernes regnskaber.
Rigsrevisionen konstaterer endvidere, at alle 6 undersøgte ministerier ikke
efterlever Finansministeriets vejledning ”Guide til Brugeradministration –
Løn” for en sikker brugerstyring.
3
 Statsrevisorerne beretning SB19/2019 - Bilag 19: Justitsministerens redegørelse af 20. oktober 2020
Justitsministeriets lønfællesskab
Med henblik på at sikre, at Finansministeriets vejledning ”Guide til Bruger-
administration – Løn” fremadrettet efterleves, har Justitsministeriets depar-
tement i forlængelse af Rigsrevisionens revision i foråret 2020 udarbejdet
beskrivelser af forretningsgange for brugerstyring i Justitsministeriets løn-
fællesskab iværksat kontrol heraf samt udarbejdet proces for fremadrettede
kontroller på området. Beskrivelse af forretningsgange og kontroller for bru-
gerstyring i Justitsministeriets Lønfællesskab er oversendt til Rigsrevisio-
nen den 1. maj 2020.
Justitsministeriets departement har i september 2020 gennemført supple-
rende kontrol af, om brugerne i lønsystemet fortsat har et arbejdsbetinget
behov for rettigheder i lønsystemet. Den supplerende kontrol viste, at bru-
gerne i lønsystemet generelt set fortsat har et arbejdsbetinget behov for ad-
gang til systemet – dog skulle en enkelt medarbejder i Civilstyrelsens ad-
gang slettes, da den pågældende havde fratrådt sin stilling den 31. august
2020.
Endelig har departementet sikret, at der ikke er konflikter i rettigheder i løn-
systemet, herunder ved at brugeradministrator ikke er sat op som bruger i
lønsystemet. Brugeradministrator kan således ikke indrapportere eller god-
kende løn.
Rigspolitiet
For at understøtte, at der sker en korrekt og løbende kontrol af brugerret-
tigheder i lønsystemet, har Rigspolitiet i juni 2020 udarbejdet et actioncard
for udførelse af kontrol samt indført, at den kontrolmail, der sendes i forbin-
delse med ændringer, oprettelser mv. i lønsystemet, nu tilgår en nyoprettet
fælles postkasse, hvor adgangen er begrænset til kontrollant og bestiller.
Endvidere er bestillingsprocessen blevet forbedret med et rollekatalog, en
fast bestillingsformular samt et actioncard til brugeradministrator.
Rigspolitiet har oplyst, at man for at sikre, at der ikke fremover er konflik-
tende rettigheder for Rigspolitiets kontrollant i lønsystemet, i juni 2020 har
flyttet kontrollantopgaven i lønsystemet fra en lønmedarbejder til en med-
arbejder uden lønopgaver.
Direktoratet for Kriminalforsorgen
Kriminalforsorgen har oplyst, at kriminalforsorgen siden indførelsen af BSL
(Brugerstyring Løn) har fulgt Finansministeriets retningslinjer for bruger-
styring med Bestiller, Brugeradministrator og Kontrollant, hvor to medar-
4
 Statsrevisorerne beretning SB19/2019 - Bilag 19: Justitsministerens redegørelse af 20. oktober 2020
bejdere med lønmæssige driftsopgaver har fungeret som brugeradministra-
torer. Kriminalforsorgen har dog taget til efterretning, at Rigsrevisionen har
anført, at brugeradministratorer ikke må have adgang til daglig drift. Krimi-
nalforsorgen har derfor i april 2020 ændret på dette og følger nu Rigsrevisi-
onens anbefaling, således at det er medarbejdere uden lønmæssige driftsop-
gaver, som varetager administratorrollen.
Rigsrevisionen har – ved kontrol af brugerrettigheder – konstateret, at bru-
geradministrator i flere af de undersøgte virksomheder også har ført kontrol
med egne rettigheder. Kriminalforsorgen har som følge heraf ændret pro-
cessen, således at brugeradministrator efter hver kontrol skal afrapportere
samlet til henholdsvis kontrollant og chefen for Koncern Regnskab.
Kriminalforsorgen har endvidere gennemgået loglisten for BSL (Brugersty-
ring Løn) for perioden 16. juni 2017 til 27. april 2020 med henblik på at
identificere eventuelle uregelmæssige oprettelser/ændringer. Kriminalfor-
sorgen har ikke konstateret oprettelser eller ændringer, der giver anledning
til mistanke om uregelmæssigheder.
Endelig oplyser kriminalforsorgen, at man på baggrund af Rigsrevisionens
bemærkninger har ændret afsnittet om brugeradministration i kriminalfor-
sorgens Lønkontoplan, således at oplysningerne nu er i overensstemmelse
med Rigsrevisionens anbefalinger.
Domstolsstyrelsen
Domstolsstyrelsen har oplyst, at procedurerne for kontrol af brugerstyring
(BSL) er blevet justeret, således at kontrollanten med virkning fra maj 2020
foretager fuld kontrol af alle oprettelser og ændringer mv., der foretages af
en brugeradministrator i systemet.
Afslutningsvist noterer jeg mig med tilfredshed, at sagen om specifikation
af tilgodehavender hos politiet nu kan afsluttes.
En kopi af dette brev er samtidig fremsendt elektronisk til Rigsrevisionen.
Med venlig hilsen
Nick Hækkerup
5