SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren

Skatteudvalget 2017-18
SAU Alm.del
Offentligt

7. januar 2016

J. nr. 15-0347559

Plannr. 115-001

Intern Revision

Rapport 2015

HR, Stab og It

Personalesikkerhed

Modtager

Direktør Jesper Rønnow Simonsen

Kopi

Direktør Karsten Juncher

Direktør Winnie Jensen

Departementet

Rigsrevisionen

Revision

Rådgivning

Rapportering

SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren

Forord

Intern Revision (IR) har, jævnfør orienteringsbrev af 24. februar 2015, revideret

området for ”Personalesikkerhed”. Den udførte revision er en del af den samlede

revision for 2015.

Rapporten indeholder en samlet konklusion omfattende det reviderede område. I

konklusionsafsnittet redegør vi for de observationer, som konklusionen i det

væsentligste er baseret på. Konklusionsafsnittet indeholder Intern Revisions

bedømmelse af det reviderede område samt en beskrivelse af grundlaget for

bedømmelsen. Det vil derfor almindeligvis være tilstrækkeligt at læse selve

rapporten. Såfremt der ønskes uddybning og detaljering, henvises der til bilagene.

Rapportens bilag 1 indeholder en systematisk fremstilling af de observationer, som

den udførte revision har givet anledning til. Bilaget indeholder tillige en vurdering

af de tilknyttede risici samt Intern Revisions forslag til anbefalinger, der kan

formindske de vurderede risici. Med udgangspunkt i risikovurderingerne har SKAT

udarbejdet handleplaner med henblik på at formindske de vurderede risici.

Intern Revisions anbefalinger har været anvendt som inspiration ved udarbejdelse

af handleplaner. Vi vil løbende vurdere implementeringen af SKATs handleplaner.

Rapportens bilag 2 indeholder en beskrivelse af de prioriteringer, der er anvendt

ved klassifikationen af de enkelte observationer. Bilaget indeholder herudover en

beskrivelse af koblingen mellem observationernes prioriteringer og den samlede

overordnede konklusion.

Rapporten har været fremsendt i udkast til den reviderede enhed med henblik på

at sikre, at Intern Revision og den reviderede enhed har en ensartet opfattelse af

de observerede forhold. SKAT har efterfølgende udarbejdet handleplaner.

København, den 7. januar 2016.

Kurt Wagner

Revisionschef

Klaus Myssen

Senior Manager

A.7 Personalesikkerhed

2 af 14

1. Formål

Formålet med revisionen har været at undersøge og vurdere, om SKAT har

procedurer, rutiner og kontroller til sikring af en tilfredsstillende

personalesikkerhed.

2. Omfang

Revisionen er udført i perioden marts til maj 2015 med udgangspunkt i ISO

standarden 27001 og har omfattet emne ”A.7 Personalesikkerhed” med følgende

hovedområder:

•

A.7.1 Før ansættelsen

•

A.7.2 Under ansættelsen

•

A.7.3 Ansættelsesforholdets ophør eller ændring

SIR anvender denne model til

operationel

beskrivelse

kategorisering af aktiviteterne i

SKAT.

I forbindelse med denne revision

har

revideret

følgende

funktionsområde:

•

Rammevilkår for

funktionsområderne

I de enkelte observationer har vi

henvist til, hvilket

funktionsområde, som

observationen vedrører.

Datafangst

Kvittering

Registering

Opgørelse

Bogføring

Opkrævning

Betaling

Inddrivelse

Regnskabsaflæggelse

ISO 27001 standarden for informationssikkerhed har været obligatorisk for

statslige myndigheder siden starten 2014 og skal være implementeret primo 2016.

Departementet er bekendt med, at SKATs implementering af ISO 27001 først vil

være gennemført ved udgangen af 2016 (j.nr. 15-1528730).

Revisionen er udført i henhold til gældende revisionsstandarder, herunder

vejledninger fra Rigsrevisionen. Revisionen er gennemført ved interviews, og

stikprøvevis gennemgang af foreliggende materiale.

Ved revisionen har vi interviewet medarbejdere fra Koncernservice, IT, HR og

Indkøb.

Revisionen er udført af Klaus Myssen og Jens Lundgaard.

A.7 Personalesikkerhed

3 af 14

3. Konklusion

Det er vores vurdering, at der

i større omfang er behov,

for ændringer i de

reviderede processer i relation til ”A.7 Personalesikkerhed”.

Denne vurdering baserer vi på følgende forhold:

•

Formålet med hovedområde ”A.7.1. Før ansættelsen” er, at undersøge om

der er kontroller som sikrer, ”at medarbejdere og kontrahenter forstår deres

ansvar og er egnede til de roller, de er tiltænkt”. Det er vores vurdering, at

formålet ikke er opnået,

hvilket blandt andet skyldes en manglende

screening og verifikation af de påstande som ansøgerne fremsætter i

forbindelse med en ansættelsessamtalen eller ansøgningen.

Formålet med hovedområde ”A.7.2. Under ansættelsen” er, at undersøge

om der er kontroller som sikrer, ”at medarbejdere og kontrahenter er

bevidste om og lever op til deres informationssikkerhedsansvar”. Det er

vores vurdering, at

formålet er opnået,

i relation til interne medarbejdere i

SKAT.

Formålet er ikke opnået

i relation til eksterne medarbejdere,

vikarer og konsulenter.

Formålet med hovedområde: ”A.7.3. Ansættelsesforholdets ophør eller

ændring” er, at undersøge om der er kontroller som sikrer, ”om

organisationens interesser beskyttes som led i ansættelsesforholdets

ændring eller ophør”. Det der vores vurdering, at

formålet er opnået.

Der

er dog konstateret en svaghed grundet den manglende synliggørelse af, at

tavshedspligten også er gældende efter ansættelsens ophør.

•

Vi har udarbejdet et antal anbefalinger til styrkelse af de enkelte hovedområder.

Samtlige anbefalinger fremgår af bilag 1. Den væsentligste anbefaling er følgende:

•

I forbindelse med vores gennemgang af "Rammekontrakten om it-

konsulentbistand" og en gennemgang af "Bilag 9.a sikkerhed-generelt" til

brug for it-driftsleverandører", er der ikke identificeret afsnit som klart og

tydeligt omtaler eventuelle konsekvenser, hvis konsulenterne og

medarbejderne

hos

it-leverandørerne

ikke

efterlever

SKATs

informationssikkerhedspolitik. (se evt. anbefaling A.7.2.3.1. i bilag 1)

A.7 Personalesikkerhed

4 af 14

Vi har prioriteret de observerede forhold således:

Prioritet 1

Høj risiko

Prioritet 2

Prioritet 3/4

Middel risiko Lille risiko

I alt

Revisionsemne

A.7.1. Før ansættelsen

A.7.2. Under ansættelsen

A.7.3. Ansættelsesforholdets ophør

eller ændringer

I alt

Prioriteterne skal ses i forhold til det reviderede område og er nærmere defineret i bilag 2.

Vi har modtaget handleplaner fra de reviderede direktørområder. Det er vores

vurdering, at implementeringen af de udarbejdede handleplaner vil medvirke til en

reduktion af de vurderede risici.

A.7 Personalesikkerhed

5 af 14

Bilag 1: Observationer, risici og anbefalinger

Nr.

A.7.1

A.7.1.1

Observationer

Kontrolmål: Før ansættelsen

Risici

Anbefalinger

Funktionsområde:

Rammevilkår for funktionsområderne

Screening

Manglende screening af jobkandidater

øger risikoen for, at det ikke opdages,

hvis en jobkandidat angiver urigtige

oplysninger i forbindelse med

ansøgningsprocessen.

Vi anbefaler, at SKAT altid i et vist omfang

udfører verifikation af jobkandidaternes baggrund

afhængig af den stilling som søges, gældende for

såvel fremtidige SKAT medarbejdere og

midlertidige eksterne medarbejdere. Ligeledes

anbefaler vi, at det fremgår af

arbejdsgangsbeskrivelsen, hvilke kriterier og

verifikationsbedømmelser som skal lægges til

grund samt hvem, hvordan og hvornår der skal

ske screening af jobkandidaterne.

A.7.1.1.1

Baggrundsverifikation af ansøgere

Prio. 2

Vi har indhentet arbejdsgangsbeskrivelser

for rekruttering og ansættelser som er

gennemgået. Man kan ikke af materialet se,

krav og kriterier for udførelse af

baggrundsverifikation af en jobkandidats

baggrund.

Samtidig har vi fået oplyst, at der som

sådan ikke udføres verifikation af

jobkandidaters baggrund og at det er op til

den som interviewer at afgøre om, der skal

benyttes referencer.

Handleplan fra HR Partnere og rekruttering:

Revisionen blev foretaget, lige da HR-Partnere og Rekruttering var blevet oprettet. Afdelingen har derfor foretaget en lang række

ændringer på eget initiativ i mellemtiden - herunder implementering af en opdateret rekrutterings- og ansættelsesproces. Det gør, at en del

af anbefalingerne allerede er implementeret.

Af den seneste udgave af rekruttering- og ansættelsesproces fremgår det, at rekrutteringspartneren aftaler med ansættende leder i hvilket

omfang, der skal tages referencer på udvalgte slutkandidater - dog med iagttagelse af følgende:

•

Der skal tages en reference i hver ansættelse, såfremt det er muligt

•

Som hovedregel bør der kun tages reference på én enkelt slutkandidat

A.7 Personalesikkerhed

6 af 14

Nr.

Observationer

•

Risici

Anbefalinger

Skal gøres på ledere, special- og chefkonsulenter samt IT-specialister

På ledere bør der tages to referencer – som hovedregel én reference fra en tidligere medarbejder og én fra en chefkollega eller

overordnet.

I den nye proces er der et link til en spørgeguide, som indeholder de punkter, der bør spørges ind til i forbindelse med

baggrundsverifikation.

Rekrutteringspartnerne har ansvaret for at tage referencer, og referencetagning foretages normalt telefonisk i tidsrummet mellem 2.

samtale og at den endelige kandidat udvælges.

Ud over referencer vil der blive foretage yderligere verifikationer, hvilket Rigsrevisionen også anbefaler. Der bliver indført et

oplysningsskema, hvor medarbejderen bl.a. udfylder tidligere ansættelsesforhold (inkl. ansættelsesdatoer). Oplysningsskemaet indeholder

en tro- og love erklæring, som medarbejderen underskriver.

Ansvarlig person: Anders R. Andersen

A.7.1.1.2

Bilag til leverandørkontrakter

Prio.3

Vi har gennemgået seneste

udbudsmateriale til brug for

leverandørkontrakter "bilag 9.c Sikkerhed

Revisionskrav" version 2.4 og kan se, at

SKAT som standard ikke ønsker området

(8.1.2) "Screening" revideret og rapporteret

i forbindelse med en evt. revisorerklæring.

Manglende revision af og rapportering

på "Screeningsproces" hos væsentlige

leverandører og deres medarbejdere

øger risikoen for, at denne proces ikke

udføres som forventet af SKAT.

Vi anbefaler, at udbudsmaterialet ændres

således, at SKAT som standard tilkendegiver, at

de ønsker området for "Screening" i forbindelse

med personalesikkerhed hos leverandøren

revideret og rapporteret i eventuelle aftalte

revisorerklæringer.

A.7.1.2

Ansættelsesvilkår og betingelser

Manglende orientering af

medarbejderne i relation til

informationssikkerhed øger risikoen

for, at disse medarbejdere ikke agerer

som forventet.

Vi anbefaler, at eksterne konsulenter / vikarer får

udleveret en "Velkomstpakke", når arbejdet i

A.7.1.2.1

Velkomstpakke til eksterne konsulenter

Prio.2

Vi har konstateret, at SKAT indhenter

underskrevet tavshedserklæring fra

eksterne konsulenter / vikarer i SKAT i

A.7 Personalesikkerhed

7 af 14

Nr.

Observationer

forbindelse med udlevering af adgangskort

til SKAT.

Vi har ikke kendskab til, hvorvidt eksterne

konsulenter og vikarer indkaldes til fælles

orienteringsmøde i relation til

informationssikkerhed i lighed med interne

medarbejdere i SKAT.

Risici

Anbefalinger

SKAT påbegyndes. Pakken bør som minimum

indeholde:

* Tavshedserklæring til straks underskrivelse

* SKATs politik for informationssikkerhed med

tilhørende dokumenter

* Underskriftsblanket, som dokumenterer, at

konsulenten har læst og forstået det udleverede

materiale og som skal underskrives og afleveres

til SKAT senest 5 arbejdsdage efter arbejde

påbegyndelse.

Handleplan fra Sikkerhed:

Der er stor forskel på typerne af eksterne konsulenter. Der er f.eks. en række konsulenter, der har deres daglige gang i SKAT og som har

fået tildelt et ”medarbejdernummer” og et adgangskort. Andre konsulenter kommer og rådgiver forretningen til et enkelt møde og andre

igen møder aldrig fysisk op på SKATs adresser. Det er derfor nødvendigt at analysere behovet for ”velkomstpakke” i forhold til hver enkelt

gruppes behov og de kontrakter der er indgået med de eksterne konsulenter.

Sikkerhed igangsætter en analyse af hvordan velkomstpakken målrettes de enkelte typer af eksterne konsulenter og vikarer.

Tidsplan: 1. kvartal 2016

Ansvarlig person: Jeanette Sporleder Ebbesen

A.7.1.2.2

Straffeattester fra eksterne konsulenter

Prio.2

Vi har ikke set dokumentation for, at der

indhentes eller kontrolleres, at de eksterne

konsulenter har afgivet en straffeattest, som

gennemgås af SKAT.

Ved ikke at indhente straffeattester fra

konsulenter, er der risiko for, at SKAT

benytter konsulenter, som er straffet

for forhold som SKAT mener, ikke er

foreneligt med jobbet som konsulent i

SKAT.

Vi anbefaler, at SKAT indføjer i kontrakter med

konsulenter, at der ved påbegyndelse af arbejdet

i SKAT skal fremvises en straffeattest, og at den

efterfølgende vil blive vurderet af SKAT.

A.7 Personalesikkerhed

8 af 14

Nr.

Observationer

Risici

Anbefalinger

Handleplan fra IT-styring og aftaler samt Indkøb og Udbud:

SKAT vil indføje en klausul i it-konsulentkontrakterne om, at der ved påbegyndelse af arbejdet i SKAT skal fremvises straffeattest, og at

den efterfølgende vil blive vurderet af SKAT. Reguleringen forventes at kunne iværksættes fra august 2016, hvor SKAT forventer at have

indgået nye rammeaftaler for it-konsulentanskaffelser.

Tidsplan: August 2016

Ansvarlig person: Lone Munch Thorsen

A.7.1.2.3

Opbevaring af underskrevet

Prio.3

tavshedserklæring

Vi har konstateret, at underskrevet

tavshedserklæringer fra eksterne

konsulenter, bliver opbevaret fysisk i en

mappe i receptionen som står fremme i

åbningstiden, og låses inden efter lukketid.

Fysisk opbevaring af underskrevet

tavshedserklæringer øger risikoen for

manglende efterlevelse af

persondataloven, ligesom der er risiko

for manglende aktering i Captia.

Vi anbefaler, at underskrevet

tavshedserklæringer, fra eksterne konsulenter

akteres og kontrolleres for læsbarhed i Captia

hvorefter den fysiske kopi destrueres.

A.7.1.2.4

Opbevaring af bilag i relation til

Prio.3

sikkerhedsgodkendelser.

Vi har fået oplyst, at relevant materiale,

såsom samtykkeerklæring,

tavshedserklæring samt indstillingsbilag

scannes ind og akteres i Captia, og at den

fysiske dokumentation herefter gemmes i

aflåst og fastboltret pengeskab i 6 mdr.

hvorefter det fysiske materiale destrueres.

Fysisk opbevaring af dokumenter i

relation til sikkerhedsgodkendelser

øger risikoen for brud på

fortroligheden og manglende

efterlevelse af persondataloven,

ligesom der er risiko for manglende

aktering i Captia.

Vi anbefaler, at når den enkelte sag om

sikkerhedsgodkendelse er afsluttet og indscannet

og kontrolleret i Captia, sker der umiddelbart efter

makulering af de fysiske dokumenter.

A.7.1.2.5

Ajourføring af procesflowdiagrammer

Prio.3

Vi har fået oplyst, at der findes

procesflowdiagrammer, som viser hvordan

Manglende ajourførte

procesflowdiagrammer for

ansættelsesområdet, øger risikoen for

at der ikke er kendskab til de

SIR anbefaler, at der i forbindelse med

etableringen af enheden ”HR partnere og

rekrutteringsenhed” samt evt. ved tilpasning af

processerne omkring rekruttering, sker

A.7 Personalesikkerhed

9 af 14

Nr.

Observationer

ansættelsesprocessen skal udføres.

Diagrammerne er ikke ajourført i

overensstemmelser med de faktiske

ansættelsesprocesser.

Risici

processer som benyttes i forbindelse

med ansættelsen, hvilket kan medføre

risiko for ansættelse af medarbejdere

som ikke opfylder ønskede krav.

Anbefalinger

udarbejdelse og vedligeholdelse af

procesflowdiagrammer som viser processen og

de forskellige aktører i ansættelsesprocessen,

endvidere anbefaler vi, at det fremgår af

procesflowdiagrammet, hvilke kontroller som er

en del af processen.

A.7.2

Kontrolmål: Under ansættelsen

Funktionsområde:

Rammevilkår for funktionsområderne

A.7.2.1

Ledelsesansvar

Området har ikke givet anledning til

bemærkninger.

A.7.2.2

Bevidsthed om, uddannelse og træning i informationssikkerhed

Manglende udbredelse af, og

kendskab til SKAT'

informationssikkerhed øger risikoen

for at den ikke efterleves, hvilket

påvirker risikoen for uønskede

hændelser, og dermed risiko for, at

informationssikkerhed ikke anvendes

som forudsat af ledelsen.

Vi anbefaler, at alle organisationens

medarbejdere årligt, herunder eksterne

konsulenter og medarbejdere hos leverandører

som udfører arbejde for SKAT, løbende

uddannes, trænes og bevidstgøres om SKAT

informationssikkerhed samt regelmæssigt holdes

ajour med SKAT’ politikker og procedurer, i det

omfang det er relevant for deres jobfunktion.

A.7.2.2.1

Awarenessprogram

Prio. 2

Vi har fået oplyst, at der i 2014 ikke har

eksisteret et systematisk

awarenessprogram hvor medarbejderne

løbende er blevet gjort opmærksom på

informationssikkerhedsforhold.

Det er oplyst, at der primo 2015 er etableret

et awarenessprogram, hvor der kvartalsvis

udtages 400 interne medarbejdere samt

alle nyansatte, som elektronisk skal

besvare et antal udvalgte

A.7 Personalesikkerhed

10 af 14

Nr.

Observationer

sikkerhedsspørgsmål. SKAT følger op på

besvarelserne og medarbejderens leder

orienteres om resultatet. Ud fra det oplyste,

er eksterne konsulenter eller medarbejdere

hos leverandørerne ikke omfattet af dette

awarenessprogram.

Handleplan fra Sikkerhed:

Risici

Anbefalinger

Fra 2016 vil der kvartalsvist blive udtaget 400 medarbejdere samt alle nye medarbejdere og alle elever til at gennemføre en

sikkerhedstest. Sikkerhed vil afdække muligheden for at øge antallet af medarbejdere, der årligt skal gennemføre test og tillige undersøge

muligheden for at udbrede testen til andre og eksterne personalegrupper.

Tidsplan: 1. kvartal 2016

Ansvarlig person: Jeanette Sporleder Ebbesen

A.7.2.3

Sanktioner

Manglende klar og specifik

tilkendegivelse af konsekvenserne,

hvis en konsulent eller en it-

driftsleverandørs medarbejder ikke

efterlever SKATs

informationssikkerhed, øger risikoen

for, at det ikke vil have konsekvenser

for leverandøren, grundet en evt.

manglende efterlevelse og

Vi anbefaler, at teksten i rammekontrakterne

ændres således, at det eksplicit og synligt

fremgår, at det kan have konsekvenser, hvis

eksterne konsulenter eller it-driftsleverandørernes

medarbejder ikke efterlever SKATs

Informationssikkerhed.

A.7.2.3.1

Konsekvens ved manglende efterlevelse

Prio. 1

Vi har i forbindelse med vores gennemgang

af "Rammekontrakten om it-

konsulentbistand" og en gennemgang af

"Bilag 9.a sikkerhed-generelt" til brug for it-

driftsleverandører", ikke identificeret afsnit

som klart og tydeligt omtaler eventuelle

konsekvenser, hvis konsulenterne og

medarbejderne hos it-leverandørerne ikke

A.7 Personalesikkerhed

11 af 14

Nr.

Observationer

efterlever SKATs

informationssikkerhedspolitik.

Risici

synliggørelse af krav til

leverandørerne.

Anbefalinger

Handleplan fra Sikkerhed og IT-styring og aftaler:

Sikkerhed og IT-styring og aftaler vil i samarbejde foretage en revurdering af ”Rammekontrakten om it-konsulentbistand" og "Bilag 9.a

sikkerhed-generelt" for så vidt angår om disse skal indeholde klausuler om konsekvenser for konsulenterne og medarbejderne hos it-

leverandørerne såfremt disse ikke efterlever SKATs informationssikkerhedspolitik.

Tidsplan: 1. kvartal 2016

Ansvarlig person: Jeanette Sporleder Ebbesen og Lone Munch

A.7.3

Kontrolmål: Ansættelsesforholdets ophør eller ændring

Funktionsområde:

Rammevilkår for funktionsområderne

A.7.3.1

Ansættelsesforholdets ophør eller ændring.

Manglende synliggørelse af krav i

forbindelse med ansættelsen som

også er gældende efter ansættelsens

ophør øger risikoen for, at tidligere

medarbejder ikke efterlever gældende

lovgivning.

Vi anbefaler, at skabelonen til

"Tavshedserklæring" ændres således, at ansvar

og forpligtelser, som stadig gælder efter

ansættelsens ophør gøres synligt og bliver

indeholdt i medarbejderens eller kontrahentens

ansættelsesvilkår og -betingelser.

A.7.3.1.1

Tavshedsforpligtelse efter ansættelsen

Prio. 2

Vi har indhentet og gennemgået SKATs

standardskabelon for "Tavshedserklæring".

Det fremgår ikke eksplicit i dokumentet, at

tavshedsforpligtelsen også gælder efter

ansættelsen.

A.7 Personalesikkerhed

12 af 14

Nr.

Observationer

Risici

Anbefalinger

Handleplan fra HR Partnere og rekruttering:

Der er ved at blive udarbejdet nye skabeloner til ansættelseskontrakter for hele Skatteministeriets område. Tavshedserklæringen bliver

indarbejdet i de nye skabeloner, hvor det vil fremgå, at tavshedspligten også gælder efter fratrædelse.

Tidsplan: De nye skabeloner forventes implementeret i december 2015.

Ansvarlig person: Anders R. Andersen

A.7.3.1.2

”Når du stopper i SKAT”

Prio. 2

Vi har indhentet og gennemgået

dokumentet "Når du stopper i SKAT".

Dokumentet gives til alle som stopper med

at arbejde i SKAT og beskriver i korte træk

forhold i relation til opsparet ferie, fleks,

pension Tire/lisy og praktiske forhold i

relation til aflevering af ting.

Man kan ikke af dokumentet læse, at der på

nogen måde sker orientering af

medarbejderen i relation til

informationssikkerhedsansvar og

forpligtelser.

Handleplan fra Personale 1:

Manglende orientering i relation til

"informationssikkerhedsansvar og

forpligtelser" i forbindelse med endt

ansættelse i SKAT øger risikoen for, at

medarbejderne ikke har kendskab til

hvilke krav og forpligtelser de har som

tidligere medarbejdere i SKAT.

Vi anbefaler, at dokumentet "Når du stopper i

SKAT" ajourføres med oplysninger om hvad

SKAT stiller af krav til tidligere medarbejdere i

relation til "informationssikkerhedsansvar og

forpligtelser" samt i relation til tavshedspligt.

Det vil blive indføjet i bilaget ”Når du stopper i SKAT”, at tavshedspligten også gælder efter fratræden. Det ændrede bilag vil blive

implementeret i december 2015.

Ansvarlig person: Mette Herner

SLUT

A.7 Personalesikkerhed

13 af 14

Bilag 2: Anvendt skala

Ved udarbejdelsen af konklusionen er følgende skala anvendt:

Intet behov for

procesændringer

Intern Revision har ikke observeret svagheder i de forretningsgange og

processer, der understøtter det reviderede område.

Prioritet 1: Ingen observationer

Prioritet 2: Ingen observationer

Intern Revision har observeret enkelte svagheder i de forretningsgange og

processer, der understøtter det reviderede område.

Prioritet 1: Ingen observationer

Prioritet 2: Enkelte observationer

Intern Revision har observeret flere svagheder i de forretningsgange og

processer, der understøtter det reviderede område. Observationerne er

hovedsageligt omfattet af prioritet 1 og 2 med flest observationer i prioritet 2.

Prioritet 1: Flere observationer

Prioritet 2: Flest observationer

Intern Revision har observeret flere svagheder i de forretningsgange og

processer, der understøtter det reviderede område. Observationerne er

hovedsageligt omfattet af prioritet 1 eller 2 med flest observationer i prioritet 1.

Prioritet 1: Flest observationer

Prioritet 2: Flere observationer

Behov for proces-

ændringer i mindre

omfang

Behov for proces-

ændringer i større

omfang

Behov for

procesændringer i

væsentligt omfang

Det skal bemærkes, at ovenstående beskrivelse, med hensyn til antal observationer pr.

prioritet, er vejledende i forhold til vores samlede vurdering af konklusionen.

Prioritering af de enkelte observationer:

Prioritet 1: Høj Risiko for manglende målopfyldelse:

Væsentlige svagheder i den etablerede forretningsgang/proces. Svaghederne kan

omfatte manglende interne kontroller, uhensigtsmæssig design af interne kontroller,

manglende regnskabsmæssige faciliteter. Som følge heraf er der en væsentlig øget

risiko for, at processens formål ikke realiseres. Manglende opfyldelse af processens

formål vil have store konsekvenser for virksomheden. Der bør snarest muligt

iværksættes foranstaltninger med henblik på at udbedre de observerede svagheder.

Prioritet 2: Middel risiko for manglende målopfyldelse:

Svagheder i den etablerede forretningsgang/proces. Svaghederne kan omfatte

manglende interne kontroller, uhensigtsmæssig design af interne kontroller, manglende

regnskabsmæssige faciliteter. Som følge heraf er der en øget risiko for, at processens

målopfyldelse ikke fuldtud realiseres. Manglende opfyldelse af processens formål vil

have store konsekvenser for virksomheden. Der bør iværksættes foranstaltninger med

henblik på at udbedre den observerede svaghed.

Prioritet 3: Lille risiko for manglende målopfyldelse:

Ingen svagheder i den etablerede forretningsgang/proces. Som følge heraf er der ikke

en øget risiko for, at processens formål ikke realiseres. Den reviderede proces kan dog

designes med henblik på at forbedre eksekveringen af processen. Processen vil dog

være omfattet af den risiko, der, uanset styrken af de interne kontroller, altid vil være til

stede.

Prioritet 4: Lille risiko for manglende målopfyldelse:

Ingen svagheder i den etablerede forretningsgang/proces. Som følge heraf er der ikke

en øget risiko for, at processens formål ikke realiseres. Processen vil dog være omfattet

af den risiko, der, uanset styrken af de interne kontroller, altid vil være til stede.

A.7 Personalesikkerhed

14 af 14