Statsrevisorerne beretning SB18/2023 - Bilag 9: Justitsministerens redegørelse af 11. oktober 2024 om beretning nr. 18/2023 om revision af statsregnskabet

Beskæftigelsesudvalget 2024-25
SB 18 9
Offentligt

Beretning Nr. 18 Justitsministerens redegørelse af 11. oktober 2024 om beretning nr. 18/2023 om revision af statsregnskabet

Statsrevisorernes Sekretariat

Folketinget

Christiansborg

1240 København K

Danmark

Dato:

Dok.:

11. oktober 2024

3397140

Ministerredegørelse vedrørende Rigsrevisionens beretning nr. 18/2023

om revision af statsregnskabet for 2023

Statsrevisorernes Sekretariat har ved brev af 14. august 2024 fremsendt

Statsrevisorernes beretning nr. 18/2023 om revision af statsregnskabet for

2022 med en anmodning om, at jeg redegør for, hvilke initiativer beretnin-

gen giver anledning til, jf. § 18, stk. 2, i lov om revisionen af statens regn-

skaber m.m.

Jeg noterer mig, at Rigsrevisionen vurderer, at statsregnskabets § 11. Justits-

ministeriet er rigtig i alle væsentlige henseender, og at Justitsministeriet har

overholdt bevillingerne i alle væsentlige henseender, bortset fra virknin-

gerne af de forhold, der er beskrevet i erklæringens

afsnit ”Grundlag for

konklusion med forbehold”.

Først og fremmest skal jeg beklage, at Rigsrevisionen har været nødsaget til

at tage et forbehold for rigtigheden af regnskabet for §11. Justitsministeriet.

Dette er naturligvis ikke tilfredsstillende. Jeg har derfor bedt den ansvarlige

myndighed om at redegøre for, hvilke initiativer kritikken har givet anled-

ning til.

I Rigsrevisionens beretning indgår yderligere to sager på Justitsministeriets

område. Jeg har også for disse to sager bedt de relevante myndigheder om

at redegøre for, hvilke initiativer denne kritik har givet anledning til.

1. Indtægter fra bøder indgår i forkert regnskabsår

Det fremgår af Rigsrevisionens beretning, at Rigspolitiet ikke har sikret, at

indtægter fra bøder indregnes i det korrekte regnskabsår. Konsekvensen er,

at indtægter fra bøder på mindst 587 mio. kr. indgår i forkerte regnskabsår.

Slotsholmsgade 10

1216 København K.

T +45 7226 8400

www.justitsministeriet.dk

[email protected]

Side 1/5

Statsrevisorerne beretning SB18/2023 - Bilag 9: Justitsministerens redegørelse af 11. oktober 2024 om beretning nr. 18/2023 om revision af statsregnskabet

Jeg konstaterer, at Rigspolitiet har beklaget fejlen og taget initiativer til at

miniminere risikoen for, at lignende fejl gentager sig.

Rigspolitiet har her ud over oplyst, at den konkrete fejl beror på et særligt

stort sagskompleks på mere end en halv mia. kr., der skulle have været bog-

ført i regnskabsåret for 2022 og ikke i 2023, hvilket samlet set har givet

anledning til Rigsrevisionens forbehold for regnskabsåret 2023 på Justits-

ministeriets område.

Rigspolitiet har videre oplyst, at den regnskabsmæssige fejl er opstået, fordi

it-systemet, som anvendes til at registrere og opkræve bøder, er et ældre

sagsbehandlingssystem, som ikke er designet til at understøtte regnskabsaf-

læggelsen i det korrekte år. Det betyder, at systemet automatisk indregner

bødeindtægter i regnskabet, når opkrævningen påbegyndes, og ikke så snart

staten kan gøre krav gældende.

Jeg hæfter mig ved, at Rigspolitiet har oplyst, at fejlene med indregning i

forkert regnskabsår som udgangspunkt ikke har betydning for selve opkræv-

ningen hos politiet eller en eventuel senere inddrivelse hos Gældsstyrelsen.

For så vidt angår konkrete initiativer har Rigspolitiet oplyst, at politiet vil

håndtere de regnskabstekniske problemer, som den nuværende it-understøt-

telse medfører, ved at undgå, at der opstår efterslæb på sagsbehandlingen

–

i særdeleshed omkring årsafslutningen. Derudover har Rigspolitiet oplyst,

at der vil blive udarbejdet et forbedret dataudtræk af ikke-sagsbehandlede

bøder, således at store sagskomplekser med væsentlig regnskabsmæssige

betydning kan identificeres og håndteres i det korrekte regnskabsår.

Det er Rigspolitiets vurdering, at initiativerne med at etablere et forbedret

dataoverblik sammenholdt med en løbende prioritering af store bødekrav,

er en håndterbar løsning

–

uden en omfattende it-udvikling

–

som vil redu-

cere risikoen for, at indtægter fra exceptionelt store bødekrav indregnes i det

forkerte regnskabsår. Jeg forventer, at de nye initiativer kan indgå som en

del af årsafslutningen i år, således denne type fejl kan undgås for regnskabet

for 2024.

2. Svagheder i styringen af brugerrettigheder i flere ministerier

De fremgår videre af beretningen at Justitsministeriet, som et af 14 revide-

rede ministerier, har svagheder i styringen af brugerrettigheder. På Justits-

ministeriets område fremgår, at det ikke i tilstrækkeligt omfang kontrolleres,

Side 2/5

Statsrevisorerne beretning SB18/2023 - Bilag 9: Justitsministerens redegørelse af 11. oktober 2024 om beretning nr. 18/2023 om revision af statsregnskabet

hvilke brugeradgange der bliver oprettet, ændret og lukket i lønsystemerne,

og at en bruger med udvidede rettigheder dermed potentielt kan oprette en

brugeradgang og lukke den igen uden at blive opdaget.

Ved en beklagelig fejl har ministeriet ikke været opmærksom på, at Finans-

ministeriet (Statens Administration) i november 2021 reviderede deres vej-

ledning til Brugerstyring Løn, således at det i modsætning til tidligere nu

bl.a. henstilles, at rollen som brugeradministrator varetages af en person,

som ikke er løn- eller HR-medarbejder. Derudover anbefales det, at rollerne

som henholdsvis bestiller, kontrollant og brugeradministrator er fordelt på

tre forskellige personer.

Jeg kan oplyse, at ministeriet i april 2024 har foretaget ændringer i bruger-

styringen med henblik på at følge de ændrede anbefalinger i vejledningen.

Rollen som brugeradministrator er derfor blevet fjernet fra den HR-medar-

bejder, som hidtil har varetaget denne, og er i stedet tildelt en medarbejder,

som hverken er løn- eller HR-medarbejder. Herudover er rollerne som be-

stiller og kontrollant nu fordelt på to personer. Rollerne i lønsystemet for

Justitsministeriets Lønfællesskab er dermed fordelt i overensstemmelse med

Finansministeriet vejledning.

Det fremgår videre af beretningen, at Justitsministeriet mangler funktions-

adskillelse, idet en bruger i Datatilsynet siden marts 2023 og frem til februar

2024, har haft adgang til uberettiget at oprette og udbetale løn til sig selv og

andre. Datatilsynet har oplyst, at fejlen skyldes, at den pågældende medar-

bejder har haft en dobbeltrolle som både HR-løn Ekspert og HR-Løn Kon-

trollant. Rollen som HR-Løn Ekspert er nu slettet. Datatilsynet har endvi-

dere oplyst, at man har foretaget en kontrol af, om medarbejderen har god-

kendt egne inddatarapporter i perioden. Datatilsynet har konstateret, at dette

ikke er tilfældet.

3. Mangler i it-styringen

Endelig fremgår det, at fire reviderede ministerier har mangler i deres sty-

ring af it-sikkerheden i forretningskritiske systemer. På Justitsministeriets

område er der tale om et it-system hos politiet.

Det fremgår

for det første,

at Justitsministeriet ikke har en opdateret og le-

delsesgodkendt risikovurdering af det pågældende system. Rigspolitiet op-

lyser hertil, at man har nedsat en tværgående arbejdsgruppe, som har til

Side 3/5

Statsrevisorerne beretning SB18/2023 - Bilag 9: Justitsministerens redegørelse af 11. oktober 2024 om beretning nr. 18/2023 om revision af statsregnskabet

formål at udarbejde en risikovurdering af it-systemet. Rigspolitiet forventer

at færdiggøre risikovurderingen ved udgangen af fjerde kvartal 2024.

Det fremgår

for det andet,

at Justitsministeriet ikke har sikret en tilstrække-

lig plan for reetablering eller backup og test af det reviderede system. Rigs-

politiet har oplyst, at de nu har foretaget de første backup og test af backup

af databasen for systemet. Derudover har Rigspolitiet nedsat en arbejds-

gruppe, som har til formål at udarbejde en proces for backup og test af

backup i forbindelse med årshjulsaktiviteter for systemet. Det forventes, at

arbejdsgruppen vil være færdig med arbejdet i 4. kvartal 2024.

Rigspolitiet har desuden primo 2024 implementeret en proces, hvor syste-

mets database sikkerhedsopdateres hver måned, og at der løbende imple-

menteres sikkerhedsopdateringer af systemet, så snart disse lanceres af le-

verandøren. Derudover har Rigspolitiet drøftet nødprocedurer med Statens

Administration efter overdragelsen af regnskabsopgaver i 2023 med henblik

på at aftale en hensigtsmæssig procedure samt søge inspiration fra andre

statslige kunder. Nødproceduren for it-systemet er udarbejdet og trådte i

kraft i 2. kvartal 2024.

Det fremgår

for det tredje,

at Justitsministeriet har mangler i kontrollen af

tildelte rettigheder til teknisk personale. Rigspolitiets har oplyst, at man ar-

bejder med at efterleve Rigsrevisionens anbefalinger samt at efterlevelsen

af gældende retningslinjer for tildeling af privilegerede rettigheder er blevet

skærpet. Rigspolitiets har derudover indarbejdet en regelmæssig og doku-

menteret tilsynsproces af privilegerede adgangsrettigheder i årshjulet for sy-

stemet. Den første årshjulskontrol forventes afsluttet i 3. kvartal 2024.

For det fjerde

fremgår, at Justitsministeriet har mangler ift. regelmæssig

gennemgang og beskyttelse af logs. Rigspolitiet har hertil oplyst, at man har

taget Rigsrevisionens anbefalinger vedr. beskyttelse af logs til efterretning

og har sat log-håndtering og gennemgang ind i årshjulet for det pågældende

it-system. Derudover har Rigspolitiet besluttet at it-systemet skal have sin

eget logningsopsætning for at sikre beskyttelsen af loggen og har på den

baggrund nedsat en arbejdsgruppe, som skal udarbejde en logningsstrategi

for systemet. Dette arbejde er pågående og forventes afsluttet i 4. kvartal

2024, hvorefter den første gennemgang af database-loggen vil blive gen-

nemført.

Side 4/5

Statsrevisorerne beretning SB18/2023 - Bilag 9: Justitsministerens redegørelse af 11. oktober 2024 om beretning nr. 18/2023 om revision af statsregnskabet

For det femte

fremgår, at der er mangler i styringen af it-sikkerheden i

Justitsministeriet, vedrørende bl.a. adgangsstyring og et datacenter, der er

sårbart over for bl.a. indtrængende vand. Det fremgår, at dette også tidligere

har været kritiseret af Rigsrevisionen.

Rigspolitiet oplyser, at Rigspolitiet, særligt siden 2018, løbende har indført

en række tiltag for at forbedre situationen og der er stadig initiativer i gang.

Disse lokale mitigerende tiltag har forhindret kritiske driftsudfordringer om-

kring politiets datacentre ved strømafbrydelser, skybrud mv. og bedre over-

vågning, alarmering og beredskab understøtter en effektiv håndtering, skulle

noget pludseligt og uventet opstå. Sideløbende med de mitigerende tiltag, er

der etableret et nyt og moderniseret datacenter-setup, og en lang række af

politiets fagsystemer er allerede migreret dertil, hvorfor risikoen for nedbrud

er mindsket. Arbejdet med at migrere politiets fagsystemer pågår og forven-

tes afsluttet i løbet af 2025.

Derudover har Rigspolitiet udarbejdet en ny proces for tildeling af adgange

til medarbejdere og foretaget en oprydning i eksisterende adgange, samt im-

plementeret et halvårligt tilsyn med adgangskontrollen, som sidst blev gen-

nemført i august 2024.

En kopi af dette brev er fremsendt elektronisk til Rigsrevisionen.

Med venlig hilsen

Peter Hummelgaard

Side 5/5