Skatteudvalget 2017-18
SAU Alm.del
Offentligt
1962595_0001.png
6. maj 2015
J. nr. 14-5074955
Plannr. 114-03
Intern Revision
Rapport 2014
Direktørområdet SKAT IT
It-revision af SAP PS Basis
Modtager
Departementschef Jens Brøchner, Skatteministeriet
Kopi
Direktør Jesper Rønnow Simonsen, SKAT
Direktør Jan Topp Rasmussen, SKAT IT
Revision
Rådgivning
Rapportering
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962595_0002.png
Forord
Skatteministeriets Interne Revision (SIR) har, jævnfør orienteringsbrev af 25.
november 2014, revideret SAP PS Basis. Den udførte revision er en del af den
samlede revision for 2014.
Rapporten indeholder en samlet konklusion omfattende det reviderede område. I
konklusionsafsnittet redegør vi for de observationer, som konklusionen i det
væsentligste er baseret på. Konklusionsafsnittet indeholder Intern Revisions
bedømmelse af det reviderede område samt en beskrivelse af grundlaget for
bedømmelsen. Det vil derfor almindeligvis være tilstrækkeligt at læse selve
rapporten. Såfremt der ønskes uddybning og detaljering, henvises der til bilagene.
Rapportens bilag 1 indeholder en systematisk fremstilling af de observationer, som
den udførte revision har givet anledning til. Bilaget indeholder tillige en vurdering
af de tilknyttede risici samt Intern Revisions forslag til anbefalinger, der kan
formindske de vurderede risici. Med udgangspunkt i risikovurderingerne har SKAT
udarbejdet handleplaner med henblik på at formindske de vurderede risici.
Intern Revisions anbefalinger har været anvendt som inspiration ved udarbejdelse
af handleplaner. Vi vil løbende vurdere implementeringen af SKATs handleplaner.
Rapportens bilag 2 indeholder en beskrivelse af de prioriteringer, der er anvendt
ved klassifikationen af de enkelte observationer. Bilaget indeholder herudover en
beskrivelse af koblingen mellem observationernes prioriteringer og den samlede
overordnede konklusion.
Rapporten har været fremsendt i udkast til den reviderede enhed med henblik på
at sikre, at Intern Revision og den reviderede enhed har en ensartet opfattelse af
de observerede forhold. SKAT har efterfølgende udarbejdet handleplaner.
København, den 6. maj 2015
Kurt Wagner
Revisionschef
Aliriza Özden
Manager
It-revision af SAP PS Basis
2 af 14
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962595_0003.png
1. Formål
Formålet med revisionen har været at vurdere, hvorvidt interne it-kontroller kan
medvirke til at opretholde informationernes integritet og sikkerheden af data, som
SAP PS behandler i relation til punktafgifter og selskabsskat.
På baggrund af revisionens observationer, er eventuelle afledte risici vurderet.
2. Omfang
Revisionen er gennemført i perioden december 2014 til februar 2015 og har
omfattet en gennemgang af følgende områder af produktionsmiljøet for SAP PS:
1.
2.
3.
4.
5.
6.
7.
8.
Opsætning og anvendelse af SAP
Parametre og tabeller
Password og login
Brugere
Profiler i SAP
Egenudviklede programmer
Væsentlige transaktioner
Batchkørsler
SAP-specifikke begreber er defineret i bilag 3.
Revisionen er udført af Aliriza Özden i henhold til gældende revisionsstandarder,
herunder vejledninger fra Rigsrevisionen. Revisionen er gennemført ved
interviews og stikprøvevis gennemgang af foreliggende materiale samt ved egne
analyser af data i SAP PS.
Ved revisionen har vi interviewet medarbejdere fra Betalings- og
Inddrivelsessystemer.
It-revision af SAP PS Basis
3 af 14
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962595_0004.png
3. Konklusion
På baggrund af den udførte revision af de undersøgte områder, er det vores
samlede vurdering, at de interne it-kontroller for SAP PS er på et
ikke helt
tilfredsstillende
niveau i relation til opretholdelsen af informationers integritet og
sikkerheden af data.
Denne konklusion baserer vi på følgende forhold, som er vurderet kritisk for
forretningen:
Transaktionskoden SE38 giver mulighed for at oprette, ændre samt afvikle
programmer og er designet til udviklingsmiljøet, men 41 dialogbrugere har
adgang til SE38 i produktionsmiljøet. Dette giver mulighed for at ændre i
produktionsmiljøet udenom gældende proces for ændringsstyring, hvilket
forøger risikoen for uautoriserede ændringer af systemet.
Vi har prioriteret de observerede forhold således:
Prioritet 1
Kritisk for
forretningen
0
0
0
0
0
1
0
0
1
Prioritet 2
Væsentlig for
forretningen
0
1
0
2
0
3
2
0
8
Prioritet 3
Mindre betydning
for forretningen
0
0
0
0
1
0
2
1
4
I
alt
0
1
0
2
1
4
4
1
13
Revisionsområde
1. Opsætning og anvendelse
2. Parametre og tabeller
3. Password og login
4. Brugere
5. Profiler i SAP
6. Egenudviklede programmer
7. Væsentlige transaktioner
8. Batchkørsler
I alt
Prioriteterne skal ses i forhold til det reviderede område og er nærmere defineret i bilag 2.
Vi har modtaget handleplaner fra det reviderede direktørområde. Det er vores
vurdering, at implementeringen af de udarbejdede handleplaner kan medvirke til
en reduktion af de vurderede risici.
It-revision af SAP PS Basis
4 af 14
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962595_0005.png
Bilag 1: Observationer, risici og anbefalinger
Nr.
1
Observationer
Opsætning og anvendelse
Risici
Anbefalinger
Observation, risiko og anbefaling for opdatering af SAP PS er omfattet af rapport 11422 med titlen ”It-revision af systemopdateringer”.
Revisionen af dette område har ikke givet anledning til andre observationer.
2
2.1
Parametre og tabeller
Et stort antal ubenyttede
brugeradgange medfører forøget risiko
for, at styringen af sikkerheden
vanskeliggøres.
Vi anbefaler, at rettigheder til at foretage
ændringer på følgende områder begrænses til
brugere med arbejdsbetinget behov til
produktionsmiljøet:
1) Systemparametre (RZ10)
2) Klientafhængige tabeller (SM30 eller SM31)
3) Klientuafhængige tabeller (SM30 eller SM31).
Ændring af systemparametre og tabeller i
produktionsmiljøet
2014
Vi har konstateret, at 8 af 35 dialogbrugere
ikke har arbejdsbetinget behov til at ændre:
Prio.
1) systemparametre
2
2) i klientafhængige tabeller
3) i klientuafhængige tabeller.
7 af de 8 dialogbrugeres adgange har aldrig
været anvendt. Ydermere har en
konsulent/udvikler fra leverandøren adgang til
produktionsmiljøet.
Handleplan fra Bente Kristensen, Betalings- og Inddrivelsessystemer:
SKAT er enig. Betalings- og Inddrivelsessystemer vil inden 1. november 2015 gennemgå adgange og sikre, at det alene er brugere med
arbejdsbetinget behov, der har adgang til at ændre systemparametre og tabeller i produktionsmiljøet.
It-revision af SAP PS Basis
5 af 14
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962595_0006.png
Nr.
3
Observationer
Password og login
Risici
Anbefalinger
Revisionen af dette område har ikke givet anledning til væsentlige observationer.
4
4.1
Brugere
At ca. 700 brugeradgange enten aldrig
er benyttet eller ikke har været
anvendt i længere tid, indikerer at der
er tildelt brugeradgange uden
arbejdsbetinget behov. Dette medfører
en forøget risiko for uautoriseret
adgang til systemet.
Vi anbefaler, at oprettede brugeradgange
gennemgås for en vurdering af, om de fortsat har
et arbejdsbetinget behov for adgang jf. punkt
11.2.4 i sikkerhedspolitikken. SKAT bør etablere
en kontrol, der sikrer, at brugeradgange, som ikke
har været anvendt i længere tid, nedlægges.
Ubenyttede brugeradgange i
produktionsmiljøet
2014
Vi har foretaget en gennemgang pr. 22-01-
2015 af dialogbrugere og konstateret, at 297
Prio.
dialogbrugere aldrig har anvendt deres adgang
til SAP PS. Ydermere har vi konstateret, at
2
adgange for 394 dialogbrugere ikke er anvendt
i mere end 3 måneder.
Handleplan fra Bente Kristensen, Betalings- og Inddrivelsessystemer:
SKAT er enig. Betalings- og Inddrivelsessystemer vil inden 1. november 2015 gennemgå adgange og sikre at det alene er brugere med
arbejdsbetinget behov, der har adgang til produktionsmiljøet.
Standardbrugere i produktionsmiljøet
Vi har konstateret, at standardbrugeren DDIC,
2014
som anvendes til installation samt opgradering
af SAP, er tildelt privilegerede rettigheder via
Prio.
profilerne SAP_ALL og SAP_NEW.
4.2
Tilgangen til SAP_ALL og SAP_NEW
via DDIC forøger risikoen for
uautoriserede ændringer i
produktionsmiljøet.
Vi anbefaler, at DDIC-brugeren får fjernet sine
privilegerede rettigheder. Alternativt, at brugeren
holdes låst og kun åbnes, når der er behov for
det.
2
Handleplan fra Bente Kristensen, Betalings- og Inddrivelsessystemer:
SKAT er enig i observationen, men accepterer risikoen, da DDIC-brugeren anvendes i transportsystemet. Transportsystemet anvendes i
forbindelse med ændringer i systemet. Risikoen minimeres ved, at DDIC-brugeren er sat op som systembruger.
It-revision af SAP PS Basis
6 af 14
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962595_0007.png
Nr.
5
5.1
Observationer
Profiler i SAP
Adgang til udviklingsprofilen
Standardudviklingsprofilen S_Develop er
Risici
Anbefalinger
2014
designet til udviklingsmiljøet, men er indeholdt i
egenudviklede roller, der kan ændre
Prio.
produktionsmiljøet.
3
Vi har dog konstateret, at produktionsmiljøet er
låst, hvorfor ændringer via S_Develop kun kan
gennemføres, når der låses op under specielle
omstændigheder fx i forbindelse med en
transitionsfase eller større opgraderinger.
Brugere, der har adgang til
udviklingsprofilen via tildelte roller, kan
ændre i produktionsmiljøet udenom
gældende proces for ændringsstyring,
hvilket øger risikoen for uautoriserede
ændringer, når produktionsmiljøet ikke
er låst.
Udviklingsprofilen S_Develop bør kun i
nødstilfælde tildeles og anvendes i
produktionsmiljøet, da den er designet til
udviklingsmiljøet.
Handleplan fra Bente Kristensen, Betalings- og Inddrivelsessystemer:
SKAT er enig i observationen, men accepterer risikoen, da S_Develop alene er i roller, der er tildelt systemejere, driftsleverandøren og
tekniske brugere.
6
6.1
Egenudviklede programmer
Manglende tilknytning af en
transaktionskode til egenudviklede
programmer bevirker, at adgangen til
programmer ikke kan styres via
autorisationer. Dette øger risikoen for
uautoriserede ændringer.
Vi anbefaler, at SKAT følger ”SAP Development
Guidelines” på området og tilknytter
transaktionskoder til egenudviklede programmer.
Transaktionskoder til egenudviklede
programmer
2014
Vi har konstateret, at 2.776 egenudviklede
programmer ikke er tilknyttet en
Prio.
transaktionskode. Dette betyder, at
egenudviklede programmer skal startes af et
2
andet program eller via transaktionskoderne
SA38 eller SE38, som ikke bør anvendes i
produktionsmiljøer.
It-revision af SAP PS Basis
7 af 14
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962595_0008.png
Nr.
Observationer
Risici
Anbefalinger
Handleplan fra Bente Kristensen, Betalings- og Inddrivelsessystemer:
SKAT er enig. Betalings- og Inddrivelsessystemer vil inden 30. juni 2015 sikre, at en beskrevet proces sikrer, at der ved nyudvikling af
programmer vil blive tilknyttet transaktionskoder til egenudviklede programmer.
For allerede udviklede programmer vil Betalings- og Inddrivelsessystemer, inden 1. november 2015, gennemgå de programmer der er aktive
og tilknytte transaktionskoder til disse egenudviklede programmer.
Rettigheder til at programmere
Vi har konstateret, at 41 dialogbrugere kan
2014
oprette, ændre og afvikle programmer via
transaktionskoden SE38 i produktionsmiljøet.
Prio.
Endvidere har vi konstateret, at 12 af 41
1
dialogbrugere enten aldrig har logget på SAP
PS eller er konsulenter/udviklere fra
leverandøren, som ikke bør have adgang til
produktionsmiljøet.
6.2
Brugere, der har adgang til SE38 i
produktionsmiljøet, kan ændre
systemet udenom gældende proces
for ændringsstyring, hvilket øger
risikoen for uautoriserede ændringer.
Vi anbefaler, at SKAT følger ”SAP Development
Guidelines” på området og sikrer, at ingen
dialogbrugere opnår adgang til at ændre
programmer i produktionsmiljøet via
transaktionskoden SE38, da den er designet til
udviklingsmiljøet. Kun godkendte udviklere bør
have adgang til SE38 i udviklingsmiljøet.
Handleplan fra Bente Kristensen, Betalings- og Inddrivelsessystemer:
SKAT er enig. Betalings- og Inddrivelsessystemer vil inden 1. november 2015 gennemgå adgange og sikre, at det alene er brugere med
arbejdsbetinget behov, der har adgang til at programmere.
Afvikling af programmer
Vi har konstateret, at 36 dialogbrugere kan
2014
afvikle programmer via transaktionskoden
SA38 i produktionsmiljøet. 7 af 36
Prio.
dialogbrugere har ikke arbejdsbetinget behov
for adgang til SA38, da deres brugeradgange i
2
SAP PS aldrig har været anvendt.
6.3
Brugere, der har adgang til SA38, kan
afvikle alle typer af programmer i
produktionsmiljøet og påvirke
sikkerheden samt stabiliteten af
systemet.
Vi anbefaler, at SKAT følger ”SAP Development
Guidelines” på området og sikrer, at der etableres
transaktionskoder til installerede programmer,
således at ingen brugere opnår adgang til at
afvikle programmer i produktionsmiljøet via
transaktionskoden SA38.
It-revision af SAP PS Basis
8 af 14
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962595_0009.png
Nr.
Observationer
Risici
Anbefalinger
Handleplan fra Bente Kristensen, Betalings- og Inddrivelsessystemer:
SKAT er enig. Betalings- og Inddrivelsessystemer vil inden 1. november 2015 gennemgå adgange og sikre, at det alene er brugere med
arbejdsbetinget behov, der har adgang til at afvikle programmer.
Autorisationstjek i egenudviklede programmer
Vi har gennemgået 30 tilfældige
2014
egenudviklede programmer ud af en
population på 3.000 og undersøgt, hvorvidt
Prio.
programmerne via autorisationstjek
forespørger, om den bruger, der afvikler
2
programmet, også er autoriseret til at afvikle
programmet. Vores gennemgang viste, at der
ikke benyttes autorisationstjek i egenudviklede
programmer.
6.4
Manglende autorisationstjek øger
risikoen for uautoriseret adgang til at
afvikle egenudviklede programmer.
Vi anbefaler, at ”SAP Development Guidelines” på
området følges, og at der etableres
autorisationstjek (AUTHORITY-CHECK OBJECT)
i egenudviklede programmer.
Handleplan fra Bente Kristensen, Betalings- og Inddrivelsessystemer:
SKAT er enig. Betalings- og Inddrivelsessystemer vil inden 30. juni 2015 sikre en beskrevet proces, der sikrer, at der ved nyudvikling af
programmer vil blive indlagt autorisationstjek. For allerede udviklede programmer vil Betalings- og Inddrivelsessystemer, inden 1. november
2015, gennemgå de programmer, der er aktive og vurdere konsekvenserne for ændring af disse egenudviklede programmer.
7
7.1
Væsentlige transaktioner
Brugere uden arbejdsbetinget behov til
at ændre UMR øger risikoen for
uautoriseret ændring af
brugerrettigheder.
Vi anbefaler, at kun brugere med et
arbejdsbetinget behov tildeles autorisationer til
transaktionskoden SU01, som giver mulighed for
at ændre, slette eller tilføje brugerrettigheder via
UMR.
Ændring af brugerrettigheder
Vi har konstateret, at 6 af 18 dialogbrugere
2014
ikke har arbejdsbetinget behov for at oprette,
ændre, slette eller tilføje profiler til ”User
Prio.
Master Record” (UMR). De 6 dialogbrugeres
adgange har enten aldrig været anvendt eller
2
ikke anvendt i mere end 10 måneder.
It-revision af SAP PS Basis
9 af 14
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962595_0010.png
Nr.
Observationer
Risici
Anbefalinger
Handleplan fra Bente Kristensen, Betalings- og Inddrivelsessystemer:
SKAT er enig. Betalings- og Inddrivelsessystemer vil inden 1. november 2015 gennemgå adgange og sikre, at det alene er brugere med
arbejdsbetinget behov, der har adgang til at ændre brugerrettigheder.
Administration af brugerrettigheder
Vi har konstateret, at 81 dialogbrugere har
2014
adgang til at åbne og/eller låse UMR og
derigennem ændre brugerrettigheder.
7.2
Et stort antal brugere, der kan
administrere brugerrettigheder, øger
risikoen for uautoriseret ændring af
brugerrettigheder.
Vi anbefaler, at kun brugere med et
arbejdsbetinget behov får autorisationer til
transaktionskoden SU01 for at åbne UMR, som
muliggør ændring af brugerrettigheder.
Prio.
Handleplan fra Bente Kristensen, Betalings- og Inddrivelsessystemer:
2
SKAT er enig. Betalings- og Inddrivelsessystemer vil inden 1. november 2015 gennemgå adgange og sikre, at det alene er brugere med
arbejdsbetinget behov, der har adgang til administration af brugerrettigheder.
Vedligeholdelse af nummerrækkefølge
Vi har konstateret, at 7 ud af 14 dialogbrugere
2014
ikke har arbejdsbetinget behov for adgang til at
vedligeholde nummerrækkefølgen i SAP PS.
Prio.
Adgange for de 7 brugere har aldrig været
anvendt til at logge på systemet.
3
7.3
Brugere uden arbejdsbetinget behov
øger risikoen for uautoriseret
vedligeholdelse af
nummerrækkefølgen i systemet,
hvilket giver mulighed for at omgå
retningslinjer for fortløbende
nummerering.
Vi anbefaler, at kun brugere med et
arbejdsbetinget behov får autorisationer til at
vedligeholde nummerrækkefølgen via
transaktionskoden SNUM.
Handleplan fra Bente Kristensen, Betalings- og Inddrivelsessystemer:
SKAT er enig. Betalings- og Inddrivelsessystemer vil inden 1. november 2015 gennemgå adgange og sikre, at det alene er brugere med
arbejdsbetinget behov, der har adgang til at vedligeholde nummerrækkefølge.
Indstillinger for styring af transporter i
produktionsmiljøet
2014
Vi har konstateret, at der er 36 dialogbrugere,
som har adgang til at ændre
Prio.
standardindstillinger for
systemændringer/transporter.
3
7.4
Et stort antal brugere med adgang til at
ændre indstillinger for styring af
transporter øger risikoen for
uautoriserede ændringer direkte i
produktionsmiljøet udenom gældende
proces for ændringsstyring.
Vi anbefaler, at kun brugere med et
arbejdsbetinget behov får autorisationer til at
ændre indstillinger for styring af transporter via
transaktionskoden SE06 (Set Up Transport
Organizer).
It-revision af SAP PS Basis
10 af 14
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962595_0011.png
Nr.
Observationer
Risici
Anbefalinger
Handleplan fra Bente Kristensen, Betalings- og Inddrivelsessystemer:
SKAT er enig. Betalings- og Inddrivelsessystemer vil inden 1. november 2015 gennemgå adgange og sikre, at det alene er brugere med
arbejdsbetinget behov, der har adgang til at ændre parametre for styring af transporter i produktionsmiljøet.
8
8.1
Batchkørsler
Et stort antal brugere med adgang til at
styre batchkørsler, øger risikoen for
uautoriserede ændringer af
batchkørsler.
Vi anbefaler, at kun brugere med et
arbejdsbetinget behov til at styre batchkørsler, får
autorisationer til transaktionerne:
SM35: Batch Input Monitoring
SM36: Schedule Background Job
SM37: Background Monitoring
SM64: Manage Background Processing Events
Styring af batchkørsler
Vi har konstateret, at batchkørsler kan frigives
2014
eller slettes af:
156 dialogbrugere via SM35
Prio.
36 dialogbrugere via SM36
3
36 dialogbrugere via SM37
Endvidere kan batchkørsler administreres af
36 dialogbrugere via SM64.
Handleplan fra Bente Kristensen, Betalings- og Inddrivelsessystemer:
SKAT er enig. Betalings- og Inddrivelsessystemer vil inden 1. november 2015 gennemgå adgange og sikre, at det alene er brugere med
arbejdsbetinget behov, der har adgang til at styre batchkørsler. Antallet vil dog, ud fra et forretningsmæssig behov, være relativt højt, da
brugere skal have adgang til at frigive og slette batchkørsler. Det er programmæssigt sikret, at brugerne alene kan frigive og slette egne
batchjobs.
It-revision af SAP PS Basis
11 af 14
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962595_0012.png
Bilag 2: Anvendte skala
Ved vurderingen i konklusionen er følgende skala anvendt:
Meget
tilfredsstillende
Intern Revision har ikke konstateret svagheder i de forretningsgange og
processer, der understøtter de reviderede område. Samtlige observationer kan
henføres til prioritet 3.
Prioritet 1: Ingen observationer
Prioritet 2: Ingen observationer
Prioritet 3: Samtlige observationer
Tilfredsstillende
Intern Revision har observeret enkelte svagheder i de forretningsgange og
processer, der understøtter det reviderede område. Størstedelen af
observationerne er omfattet af prioritet 3. Enkelte observationer med prioritet 2
kan dog forekomme. Samlet set udgør de implementerede forretningsgange et
”tilfredsstillende” grundlag for administration af området.
Prioritet 1: Ingen observationer
Prioritet 2: Enkelte observationer
Prioritet 3: Hovedparten af observationer
Ikke helt
tilfredsstillende
Intern Revision har observeret flere svagheder i de forretningsgange og
processer, der understøtter det reviderede område. Størstedelen af
observationer er omfattet af prioritet 2 eller 3 med hovedvægten på prioritet 2.
Enkelte observationer i prioritet 1 kan dog forekomme. Samlet set medfører
svaghederne, at de implementerede forretningsgange udgør ”et ikke helt
tilfredsstillende” grundlag for administration af området. Der er som følge heraf
en forøget risiko for
Væsentlig fejlinformation i regnskaber og ledelsesrapportering
Manglende overholdelse af gældende lovgivning
Manglende overholdelse af interne regler og retningslinjer
Manglende overholdelse af overordnede politikker
Manglende iagttagelse af ”skyldige økonomiske hensyn”
Prioritet 1: Enkelte observationer
Prioritet 2: Hovedparten af observationer
Prioritet 3: Et mindre antal observationer
Ikke
tilfredsstillende
Intern Revision har observeret flere væsentlige svagheder i de
forretningsgange og processer, der understøtter det reviderede område.
Størstedelen af observationerne er omfattet af prioritet 1 eller 2 med
hovedvægten på prioritet 1. Enkelte observationer i prioritet 3 kan forekomme.
Samlet set medfører svaghederne, at de implementerede forretningsgange
udgør et ”ikke tilfredsstillende grundlag” for administration af området. Der er
som følge heraf en væsentlig forøget risiko for:
Væsentlig fejlinformation i regnskaber og ledelsesrapportering
Manglende overholdelse af gældende lovgivning
Manglende overholdelse af interne regler og retningslinjer
Manglende overholdelse af overordnede politikker
Manglende iagttagelse af ”skyldige økonomiske hensyn”
Manglende realisering af forretningsmålene for det reviderede område.
Prioritet 1: Hovedparten af observationer
Prioritet 2: Et mindre antal observationer
Prioritet 3: Enkelte observationer
It-revision af SAP PS Basis
12 af 14
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962595_0013.png
Prioritet skal ses i forhold til det reviderede område og er defineret således:
1.
Kritisk for forretningen:
Væsentlig svaghed i de etablerede forretningsgange/processer.
Svagheden kan omfatte manglende interne kontroller, uhensigtsmæssig design af interne
kontroller, manglende regnskabsmæssige faciliteter. Der er en væsentlig forøget risiko for, at
processens målopfyldelse ikke realiseres som følge af den konstaterede svaghed. Der bør
straks iværksættes foranstaltninger med henblik på at udbedre de observerede svagheder.
2.
Væsentlig for forretningen:
Svaghed i de etablerede forretningsgange/processer. Svagheden
kan omfatte manglende interne kontroller, uhensigtsmæssig design af interne kontroller,
manglende regnskabsmæssige faciliteter. Der er forøget risiko for, at processens
målopfyldelse ikke realiseres i fuldt omfang som følge af den konstaterede svaghed. Der bør
iværksættes foranstaltninger med henblik på at udbedre de observerede svagheder.
3.
Mindre betydning for forretningen:
Ingen væsentlige svagheder i de etablerede
forretningsgange/processer. Det er dog muligt at designe de enkelte processer på en mere
hensigtsmæssig måde, således at eksekveringen forbedres.
It-revision af SAP PS Basis
13 af 14
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962595_0014.png
Bilag 3: Definition af SAP-specifikke begreber
Begreb
Autorisationer
Definition
Defineres pr. bruger og omfatter rettigheder i SAP fx til at læse og/eller ændre
data. Brugere tildeles typisk profiler/roller, som består af en række
autorisationer.
Verificerer om en bruger har de relevante autorisationer/rettigheder til at udføre
en given handling fx afvikle et program.
Er programmer, der kører automatisk i baggrunden og behandler typisk store
datamængder i bestemte intervaller fx import eller eksport af data mellem
systemer.
Er en fysisk person med eget brugernavn og adgangskode. Brugere tildeles
roller.
Er tabeller, som vedrører en enkelt klient fx test (QST) eller produktion (PRD).
Er tabeller, som vedrører flere klienter fx test (QST) og produktion (PRD).
Indeholder rettigheder, som bevirker, at brugerne opnår en række
autorisationer til at benytte SAP systemet. En profil kan indeholde en eller flere
roller.
Omfatter funktionalitet udviklet i programmeringssproget ABAP, som kan
afvikles i SAP til fx at fremvise, ændre og/eller slette data.
Indeholder rettigheder, som bevirker, at brugeren opnår en række
autorisationer til at benytte SAP systemet.
Transaktionskoden giver mulighed for at afvikle programmer eller rapporter.
Profilen har alle eksisterende autorisationer i SAP og således ubegrænsede
rettigheder i systemet.
Transaktionskoden giver mulighed for at oprette, ændre og afvikle programmer
eller rapporter.
Brugere, som SAP er født med og kan tilgås af fysiske personer, såfremt
adgangskoden er kendt.
Omfatter sikkerhedsindstillinger, der kan anvendes til at konfigurere systemet.
”s_tcode” omfatter kommandoer, der giver adgang til skærmbilleder i SAP.
Omfatter ændringer til SAP.
Er en profil, der giver mulighed for at ændre SAP.
UMR er en liste/tabel, som indeholder alle oplysninger om alle brugere i SAP,
herunder, hvilke roller brugerne har.
Autorisationstjek
Batchkørsler
Dialogbrugere
Klientafhængige
tabeller
Klientuafhængige
tabeller
Profiler
Programmer
Roller
SA38
SAP_ALL
SE38
Standardbrugere
Systemparametre
Transaktionskoder
Transporter
Udviklingsprofiler
User Master Record
It-revision af SAP PS Basis
14 af 14