Skatteudvalget 2017-18
SAU Alm.del
Offentligt
1962667_0001.png
13. maj 2016
J. nr. 15-3121318
Plannr. 115-041
Intern Revision
Rapport 2015
SKAT IT
Rapport om udvalgte kontroller og
funktionalitet i applikationen NTSE (Ny
TastSelv, Erhverv)
Modtager
Direktør Jesper Rønnow Simonsen, SKAT
Kopi
Direktør Karsten Juncher, SKAT IT
Departementet
Rigsrevisionen
Revision
Rådgivning
Rapportering
Rapport om kontroller og funktionalitet i NTSE
1 af 17
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962667_0002.png
Forord
Intern Revision (IR) har, jævnfør orienteringsbrev af 11. november 2015, revideret
udvalgte kontroller og funktionalitet i NTSE. Den udførte revision er en del af den
samlede revision for 2015.
Rapporten har været fremsendt i udkast til den reviderede enhed med henblik på
at sikre, at Intern Revision og den reviderede enhed har en ensartet opfattelse af
de observerede forhold. SKAT har efterfølgende udarbejdet handleplaner.
Rapporten indeholder en samlet konklusion omfattende det reviderede område. I
konklusionsafsnittet redegør vi for de observationer, som konklusionen i det
væsentligste er baseret på. Konklusionsafsnittet indeholder Intern Revisions
bedømmelse af det reviderede område samt en beskrivelse af grundlaget for
bedømmelsen. Det vil derfor almindeligvis være tilstrækkeligt at læse selve
Rapportens bilag 1 indeholder en systematisk fremstilling af de observationer, som
den udførte revision har givet anledning til. Bilaget indeholder tillige en vurdering
af de tilknyttede risici samt Intern Revisions forslag til anbefalinger, der kan
formindske de vurderede risici. Med udgangspunkt i risikovurderingerne har SKAT
udarbejdet handleplaner med henblik på at formindske de vurderede risici. Intern
Revisions anbefalinger har været anvendt som inspiration ved udarbejdelse af
handleplaner. Vi vil løbende vurdere implementeringen af SKATs handleplaner.
Rapportens bilag 2 indeholder en beskrivelse af de prioriteringer, der er anvendt
ved klassifikationen af de enkelte observationer. Bilaget indeholder herudover en
beskrivelse af koblingen mellem observationernes prioriteringer og den samlede
overordnede konklusion.
København, den 13. maj 2016
Kurt Wagner
Revisionschef
Klaus Myssen
Senior Manager
Rapport om kontroller og funktionalitet i NTSE
2 af 17
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962667_0003.png
1. Formål
Formålet med revisionen af udvalgte kontroller og funktionalitet i NTSE er at
vurdere, hvorvidt den elektroniske platform til datafangst sikrer, at datafangsten
sker korrekt, og at opfangede data videreføres fuldstændigt og uforvansket til
øvrige funktionsområder i processen.
2. Omfang
Revisionen er udført i perioden november 2015 til februar 2016 med udgangspunkt
i følgende hovedområder:
1) Systemdokumentation og brugervejledninger
2) Adgange og adgangsrettigheder til systemet
3) Funktionsadskillelse
4) Transaktions- og kontrolspor
5) Overvågning og logning
6) Nøglekontroller
IR anvender følgende model til operationel beskrivelse og kategorisering af
aktiviteterne i SKAT:
Rammevilkår for funktionsområderne
Datafangst
Kvittering
Registrering
Opgørelse
Bogføring
Opkrævning
Betaling
Inddrivelse
Regnskabsaflæggelse
Rapport om kontroller og funktionalitet i NTSE
3 af 17
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962667_0004.png
I forbindelse med denne revision har vi revideret funktionsområderne datafangst
og kvittering med fokus på moms indberetninger.
I de enkelte observationer har vi henvist til det funktionsområde, som
observationen vedrører.
Revisionen er udført af Klaus Myssen i henhold til gældende revisionsstandarder,
herunder vejledninger fra Rigsrevisionen. Revisionen er gennemført ved
interviews, test og stikprøvevis gennemgang af foreliggende materiale.
Ved revisionen har vi interviewet medarbejdere fra:
Erhvervssystemer
Digital kommunikation
Platforme og Sikkerhed
Erhverv-afgifter og registrering
3. Konklusion
På baggrund af den udførte revision er det vores samlede vurdering, at der
i
mindre omfang er behov
for ændringer i de reviderede processer.
Denne konklusion baserer vi på følgende forhold:
NTSE og tilhørende systemer benytter softwareløsninger fra Oracle, som har
begrænset support periode, eller hvor support perioden er udløbet.
Et stort antal medarbejdere, har rettigheder til at indberette moms for
virksomhederne via NTSE uden kontrol og godkendelse fra en anden
medarbejder. Der foretages endvidere ikke gennemgang af loggen over
udførte ændringer, for undersøgelse af, om der kun er udført valide
ændringer.
I forbindelse med NTSE og tilhørende systemer er der konstateret
manglende overensstemmelse mellem tildelte rettigheder i Bras og
tildelte rettigheder i Den Centrale Sikkerhedsløsning (DCS), som giver
de faktiske adgange til systemerne.
Vi har prioriteret de observerede forhold således:
Rapport om kontroller og funktionalitet i NTSE
4 af 17
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962667_0005.png
Revisionsemne
1) Systemdokumentation og brugervejledninger
2) Adgange og adgangsrettigheder til systemet
3) Funktionsadskillelse
4) Transaktions- og kontrolspor
5) Overvågning og logning
6) Nøglekontroller
I alt
Prioritet Prioritet 2
1
Middel
Høj risiko risiko
0
0
0
0
0
0
0
3
3
0
0
1
2
9
Prioritet
3/4
Lille risiko
1
0
0
0
0
1
2
I
alt
4
3
0
0
1
3
11
Prioriteterne skal ses i forhold til det reviderede område og er nærmere defineret i bilag 2.
Vi har modtaget handleplaner fra det/de reviderede direktørområde/
direktørområder. Det er vores vurdering, at implementeringen af de udarbejdede
handleplaner vil medvirke til en reduktion af de vurderede risici.
Rapport om kontroller og funktionalitet i NTSE
5 af 17
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962667_0006.png
Bilag 1: Observationer, risici og anbefalinger
Nr.
1
Observationer
Risici
Anbefalinger
Funktionsområde: Datafangst
Vi anbefaler, at procesejer foretager en fornyet
gennemgang af kontrolspørgsmålene med henblik
på en vurdering af, om det fortsat er deres
holdning, at det ikke er relevant, at systemet
overholder reglerne i SKATs sikkerhedshåndbog
for risikoejere. Alternativt skal ”ikke relevant”
begrundes.
Endvidere anbefaler vi, at risikovurderingen
gennemgås for interne sammenhænge samt
afspejler vurderingen i systembeskrivelsen.
Revisionsemne: Systemdokumentation og brugervejledninger
Manglende korrekt angivelse af de
enkelte kontrolspørgsmål øger risikoen
for, at de væsentlige risici ikke
synliggøres.
1.1
Risikovurdering
2015
Vi har den 25/2-2016 foretaget en
gennemgang af den udarbejdede
Prio.
risikovurdering af 18/1-2016.
2
Vores gennemgang viser, at risikovurderingen
fortsat ikke er godkendt og ”låst” af chefen,
således at ved en fornyet/justeret
gennemgang af området skal oprettes en ny
risikovurdering.
Endvidere er det set, at SKAT har svaret ”Ikke
relevant” i forhold til følgende spørgsmål:
Overholder systemet reglerne i SKATs
Sikkerhedshåndbog for risikoejere?
Kender system- og procesejere deres
ansvar i forhold til persondataloven?
Det er vores vurdering, at besvarelsen "ikke
relevant" til spørgsmålet "Overholder systemet
reglerne i SKATs sikkerhedshåndbog for
risikoejere" og ”Kender system- og procesejere
deres ansvar i forhold til persondataloven” ikke
Rapport om kontroller og funktionalitet i NTSE
6 af 17
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962667_0007.png
Nr.
Observationer
er anvendelig. Der foreligger endvidere ingen
begrundelse for besvarelsen.
Det fremgår af risikovurderingen, at SKAT har
svaret "JA" i afsnit 6 om ”Dataklassifikationen”,
at systemet både indeholder "private eller
følsomme data" og "Fortrolige" og "Data der er
input genererede til statsregnskabet" og er
omfattet af "Statsministeriets
sikkerhedscirkulære".
Vi har endvidere i ”Systembeskrivelsen” set, at
NTSE applikationens data ”kun” skal betragtes
som "fortrolige".
Risici
Anbefalinger
Handleplan fra Søren Kjær Jensen, Erhvervs- og Personafregningssystemer:
Systemejer vil i samarbejde med procesejer udarbejde en ny risikovurdering hvor de påpegede anbefalinger vil blive behandlet. En ny
risikovurdering vil foreligge senest 30. juni 2016.
1.2
Manglende support af anvendte Oracle Portal
2015
Vi har i systembeskrivelsen for NTSE
Prio.
Portal 10.3.5" som Portal Platform.
2
Endvidere har vi fået oplyst, at følgende
konstateret, at der anvendes "Oracle Weblogic
systemer anvender Oracle Portal version 9
eller 10:
A&D, DCS, DK-VIES, DMR, EFI, eMoms, ICS,
Manifest, OSM, Skattekontoen.
Vi har via Oracle's hjemmeside set, at "Oracle
Weblogis Portal 9.x" har været tilgængelig
frem til juli 2006, og at denne version
supporteres frem til november 2011 for de
Manglende support af anvendte
applikationer bevirker, at nye
sårbarheder ikke elimineres/rettes.
Kendte sårbarheder i anvendte
applikationer øger risikoen for misbrug,
hvilket kan påvirke fortroligheden og
integriteten af data i systemerne.
Vi anbefaler, at SKAT foretager en opgradering af
anvendte applikationer/portal til versioner, som er
omfattet af en support periode.
Rapport om kontroller og funktionalitet i NTSE
7 af 17
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962667_0008.png
Nr.
Observationer
kunder, som fortsat betaler Oracle licens. Der
har endvidere været mulighed for "Udvidet
support periode" mod yderligere betaling frem
til november 2013. Dette betyder, at der ikke
længere er support af version 9.x.
Endvidere er det via Oracle's hjemmeside set,
at "Oracle Weblogis Portal 10.3.x" har været
tilgængelig i perioden september 2008 -
februar 2010, og at denne version supporteres
frem til december 2018 for de kunder, som
fortsat betaler Oracle licens, ligeledes med
mulighed for "Udvidet support periode" mod
yderligere betaling.
Risici
Anbefalinger
Handleplan fra Johnni E Mandrup Jensen, Platforme og Sikkerhed:
Som Intern Revision har observeret, anvender SKAT ”Oracle Weblogic Portal” i forskellige versioner, i forskellige SOA systemløsninger.
Platforme og Sikkerhed har længe presset på, for at få afklaret SKATs opgraderingsstrategi og eller en ny portal-strategi, bl.a. fordi virk.dk har
krav om at SKAT bruger deres ”styling”. Det kan ikke lade sig gøre med den nuværende portal-version. I efteråret 2015 blev leveret en
version af ”SKATs styling” til virk.dk integration. I Q1 og Q2 2016 er gennemført flere workshops med Kundeservice, Arkitektur-kontoret og
SKATs leverandører, hvor strategien for SKATs portal/portaler skal fastlægges. Parallelt arbejder Platforme og Sikkerhed med en
simplificering af Oracle opgraderingsaktiviteter. Dette forelægges for flere af SKATs leverandører medio maj 2016.
Kontaktperson: Finn Ibsen / Johnni E Mandrup Jensen
Tidsfrist: Det forventes, at aktiviteten er afklaret i 2016, og kan implementeres i systemløsningerne successivt i 2016, 2017 og 2018.
Rapport om kontroller og funktionalitet i NTSE
8 af 17
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962667_0009.png
Nr.
Observationer
Risici
Manglende support af anvendte
applikationer bevirker, at nye
sårbarheder ikke elimineres/rettes.
Kendte sårbarheder i anvendte
applikationer øger risikoen for
misbrug, hvilket kan påvirke
fortroligheden og integriteten af data i
systemerne.
Anbefalinger
Vi anbefaler, at SKAT foretager en opgradering af
anvendte applikationer i relation til "Oracle
Weblogic Server" til versioner, som er omfattet af
længere support perioder.
1.3
Begrænset support af anvendte Oracle
2015
Weblogic Server 10.3.6
Vi har i systembeskrivelsen konstateret, at der
Prio.
i NTSE anvendes ”Oracle Weblogic Server
3
10.3.6”.
Vi har via Oracle's hjemmeside set, at "Oracle
Weblogis Server 10.3.6" har været tilgængelig
frem til august 2008, og at denne version
supporteres frem til januar 2014 for de kunder,
som fortsat betaler Oracle licens. Der er
mulighed for "Udvidet support periode" mod
yderligere betaling frem til januar 2017.
Handleplan fra Johnni E Mandrup Jensen, Platforme og Sikkerhed:
Som Intern Revision har observeret, anvender SKAT ”Oracle Weblogic Server” i SOA system-løsninger. Platforme og Sikkerhed arbejder
med en simplificering af Oracle opgraderingsaktiviteter. Opgraderingsaktiviteterne hænger sammen med opgradering af Oracle Weblogic
Portal.
Kontaktperson: Finn Ibsen / Johnni E Mandrup Jensen
Tidsfrist: Det forventes, at aktiviteten er afklaret i 2016, og kan implementeres i system-løsningerne successivt i 2016, 2017 og 2018.
1.4
Beredskabsplaner for forretningsprocessen
2015
Vi har konstateret, at der for
systemet
er
Prio.
beredskabsplanen i relation til NTSE systemet.
2
Vi har ikke set dokumentation for, at der er på
forretningsprocesniveau
i relation til MOMS
er udarbejdet beredskabsplaner, som er testet
og godkendt.
udarbejdet og foretaget test af
Manglende beredskabsplaner på
forretningsniveau øger risikoen for, at
der ikke er kendskab til, hvordan
forretningen skal agere i tilfælde af it-
nedbrud
Vi anbefaler, at der for væsentlige
forretningsprocesser, herunder moms,
udarbejdes og testes beredskabsplaner på
forretningsniveau.
Rapport om kontroller og funktionalitet i NTSE
9 af 17
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962667_0010.png
Nr.
Observationer
Risici
Anbefalinger
Handleplan fra Jeanette Holden Heiner, Erhverv – afgifter og registrering:
Kontoret vil udarbejde en specifik beredskabsplan og sikre test heraf på forretningsniveau. Robert M Rømer er ansvarlig for denne
handleplan.
Nr.
2
Observationer
Risici
Anbefalinger
Funktionsområde: Datafangst
Vi anbefaler, at SKAT foretager en
sammenholdelse af medarbejdere med tildelte
roller i BRAS og DCS’en, og at der skabes
overensstemmelse mellem Bras og DCS’en.
Revisionsemne: Adgange og adgangsrettigheder til systemet
Risikoen for uautoriserede ændringer i
data via NTSE øges af, at et stort antal
medarbejdere har mulighed for at
indberette data.
2.1
Sammenholdelse af Moms rettigheder fra Bras
2015
med tilsvarende rettigheder i DCS’en
Prio.
rollen ”Moms Indberetning” med den
2
tilsvarende rolle i DCS’en ”MomsPRG”.
Vi har foretaget en sammenholdelse af Bras
Gennemgangen viser, at der er 183 brugere i
Bras og 187 brugere i DCS'en, som har tildelt
rollen. Vi har konstateret 5 brugere i Bras som
ikke er i DCS'en, og 9 brugere i DCS'en som
ikke er i Bras.
Vi har endvidere foretaget en sammenholdelse
af Bras rollen ”Moms Forespørgsel” med den
tilsvarende rolle i DCS’en
”IP.NTSE.Aktør.SKAT_MOMS_SE.PRG”.
Gennemgangen viser, at der er 396 brugere i
BRAS og 390 brugere i DCS'en, som har tildelt
rollen. Vi har konstateret 7 brugere i Bras som
ikke er i DCS'en, og 1 bruger i DCS'en som
ikke er i Bras.
Rapport om kontroller og funktionalitet i NTSE
10 af 17
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962667_0011.png
Nr.
Observationer
Risici
Anbefalinger
Handleplan fra Johnni E Mandrup Jensen, Platforme og Sikkerhed:
Angående oprydningen i BRAS er status, at der løbende sker opdatering af hjælpetekster. Senest er hjælpetekster på toldområdet opdateret,
og der gennemføres p.t. sker en sammenligning af registreringer i DCS (Den Centrale Sikkerhedsløsning) og BRAS. Denne sammenligning
vil være gennemført i maj 2016.
Kontaktperson: Johan Wøldicke
Tidsfrist: Gennemføres i maj 2016
2.2
Tildeling af rollen ”Moms Indberetning”
2015
Vores gennemgang af rollen ”Moms
Prio.
fra forskellige forretningsområder har adgang:
2
Inddrivelse har 2 medarbejdere
Indsats har 10 medarbejdere
Økonomi har 3 medarbejdere
Kundeservice har 162 medarbejder, heraf
32 medarbejder i enheden ”Datafangst”.
I følge SKATs interne regler, må kun
medarbejdere i enheden ”Datafangst”
undtagelsesvis indberette moms for
virksomhederne, hvorfor kun medarbejdere fra
dette område bør have tildelt rollen.
Indberetning” i Bras viser, at medarbejderne
Risikoen for uautoriserede ændringer i
data via NTSE øges af, at et stort antal
medarbejdere har mulighed for at
indberette data.
Vi anbefaler, at SKAT foretager en gennemgang
af medarbejdere med tildelte roller i BRAS og
DCS’en, og at evt. medarbejdere uden
arbejdsbetingede behov får frataget rollerne.
Handleplan fra Jeanette Holden Heiner, Erhverv – afgifter og registrering:
Kontoret vil foretage gennemgang af de tildelte rettigheder. Dette planlægges til at skulle finde sted i september 2016, og Robert M Rømer er
ansvarlig for denne aktivitet. I denne forbindelse vil den fremskaffede kopi af logningen for brugen af systemet blive gennemgået og vurderet
sammen med denne handleplan.
Rapport om kontroller og funktionalitet i NTSE
11 af 17
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962667_0012.png
Nr.
Observationer
Risici
Manglende overensstemmelse mellem
Bras og DCS’en øger risikoen for, at
medarbejderne har flere rettigheder i
systemerne end der fremgår af Bras,
og dermed forøget risiko for, at
uautoriserede ændringer forekommer.
Anbefalinger
Vi anbefaler, at SKAT gennemgår de undersøgte
roller og skaber overensstemmelse mellem Bras
og DCS’en.
Endvidere anbefaler vi, at SKAT foretager test af,
om rollen ”DMO-Godkender” er designet som
beskrevet i rollebeskrivelsen, dvs. kan kun
godkende udbetalinger indtil 499.999 kr. Hvis der
konstateres uoverensstemmelser, bør rollen
rettes til, så den afspejler rollebeskrivelsen.
2.3
Sammenholdelse af udvalgte NTSE roller for
2015
oprettede brugere i Bras med DCS’en
Vi har indhentet udskrifter fra DCS'en og
Prio.
sammenholdt til Bras. Vi har gennemgået
2
følgende roller:
Brugere som har "DMO-Godkender" rollen
kan i NTSE (jf. rollebeskrivelsen) godkende
udbetalinger i intervallet 0-499.999 kr. Der
efterfølgende kan påvirke skattekontoen.
Der er 144 brugere, som har rollen i Bras og
176 brugere som har samme rolle i DCS.
Dermed er der flere brugere, som reelt kan
godkende udbetalinger via skattekontoen i
NTSE, end fremgår af Bras.
Brugere som har "DMO-
GodkenderAlleBeløb" rollen kan i NTSE
(jf. rollebeskrivelsen) godkende alle
udbetalinger uanset beløbsstørrelse. Der er
142 brugere, som har rollen i Bras og ingen
brugere, som har rollen i DCS. Dermed er
der ikke sammenhænge mellem Bras og
DCS.
SIR har ikke foretaget test af, om rollen "DMO-
Godkender" kan godkende udover 500.000 kr.
Men da ingen brugere i DCS er tilknyttet rollen
"DMO-GodkenderAlleBeløb" kan dette ikke
udelukkes, da der ellers ikke kan ske
godkendelse af beløb over 499.999 kr.
Rapport om kontroller og funktionalitet i NTSE
12 af 17
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962667_0013.png
Nr.
Observationer
Risici
Anbefalinger
Handleplan fra Johnni E Mandrup Jensen, Platforme og Sikkerhed:
Revisionens anbefalinger tages til efterretning, og der vil blive foretaget en gennemgang af rollerne og der bliver skabt overensstemmelse
mellem BRAS og DCS. Rollen ”DMO-Godkender” undersøges som anbefalet af revisionen.
Kontaktperson: Johan Wøldicke
Tidsfrist: Gennemgangen vil ske på baggrund af oprydningen i BRAS, pkt. 2.1 2015 i denne revision. Gennemgangen vil ske i juni måned
2016.
Nr.
3
Observationer
Revisionsemne: Funktionsadskillelse
Revisionen af området har ikke givet anledning
til bemærkninger.
Risici
Anbefalinger
Funktionsområde: Datafangst
Nr.
4
Observationer
Risici
Anbefalinger
Funktionsområde: Datafangst
Revisionsemne: Transaktions- og kontrolspor
Revisionen af området har ikke givet anledning
til bemærkninger.
Nr.
5
Observationer
Revisionsemne: Overvågning og logning
Risici
Anbefalinger
Funktionsområde: Datafangst
Rapport om kontroller og funktionalitet i NTSE
13 af 17
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962667_0014.png
Nr.
Observationer
Risici
Manglende gennemgang af logs øger
risikoen for, at det ikke opdages, hvis
en SKAT medarbejder foretager
uautoriserede ændringer i
virksomheders momsindberetning.
Anbefalinger
Vi anbefaler, at SKAT regelmæssigt foretager
gennemgang af logs og kontrol af, at SKAT
medarbejderne kun foretager valide indberetninger
eller ændringer for foranledning af virksomhederne.
5.1
Gennemgang af logs
2015
Vi har fået oplyst, at i de tilfælde hvor en
medarbejder i SKAT foretager indberetning
Prio.
eller rettelser til en virksomheds
2
momsangivelser, sker der logning af, hvilken
medarbejder som har foretaget registreringen,
og at det er muligt at genfinde disse data via
XPO-loggen.
Det er samtidig oplyst, at der ikke foretages
gennemgang af loggen for undersøgelse af,
om der kun udføres valide ændringer.
Handleplan fra Jeanette Holden Heiner, Erhverv – afgifter og registrering.
Kontoret vil gennemgå den fremskaffede kopi af XPO-log, jf handleplanen under observation 2.2.2015, og kontoret vil lave en handleplan for
en regelmæssig gennemgang af logs og kontrol af brugen af systemet. Dette forventes gjort i løbet af Q3 og Q4, og Robert M Rømer er
ansvarlig for denne aktivitet.
Nr.
6
Observationer
Revisionsemne: Nøglekontroller
Risici
Anbefalinger
Funktionsområde: Datafangst
6.1
Præsentation af menuer i NTSE
2015
Ved vores gennemgang af NTSE har vi
Prio.
4
konstateret, at virksomhederne bliver
Ingen væsentlige risici.
Vi anbefaler, at funktionaliteten i NTSE ændres, så
virksomhederne kun bliver præsenteret for de
menupunkter, som er relevante for dem.
Rapport om kontroller og funktionalitet i NTSE
14 af 17
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962667_0015.png
Nr.
Observationer
præsenteret for en "fuld" menu på velkomst
siden af NTSE.
Det kan således forekomme, at virksomheder
bliver præsenteret for menupunkter, som ikke
er relevante for dem.
Risici
Anbefalinger
6.2
Feltlængden til indberetning af beløb
2015
Vi har testet, at NTSE accepterer en
Prio.
med virksomhedernes indberetning af beløb.
2
Procesejer oplyser, at SKAT har oplevet, at
feltlængde på maksimal 10 tegn i forbindelse
enkelte store virksomheder ikke har kunnet
indberette moms, fordi det indberettede beløb
indeholder mere end 10 tegn. (inklusiv "."),
SKAT har derfor været nødt til at taste
indberetningen for virksomheden direkte i DR-
systemet.
Manglende tilstrækkelig antal tegn til
brug for indberetning øger risikoen for,
at virksomhederne ikke kan angive
korrekte beløb.
Vi anbefaler, at SKAT øger felt længden for
relevante felter fra 10 til 12 tegn. Alternativt kan
der i forbindelse med indtastningen gives en
synlig hjælpetekst om, at "Beløb kan indtastes
uden tusindtals separator".
Handleplan fra Jeanette Holden Heiner, Erhverv – afgifter og registrering.
Kontoret vil sammen med systemejer for NTSE undersøge muligheder for at øge feltlængden. Efter estimat fra vores leverandør vil
ændringen indgå i prioriteringen af ændringer til systemet på lige fod med andre ændringer. Undersøgelsen af muligheden for øgning af
felterne bliver færdig i Q2, og dernæst må det vurderes, hvad tidsfristen kan blive, da dette kræver søgning af økonomi og en prioritering af
releasen. Peter Falk Larsen og Robert M Rømer er ansvarlig for denne aktivitet.
6.3
Revisionserklæring
2015
Vi har konstateret, at det fremgår af
samarbejdsaftalen med CSC, at SKAT skal
Prio.
modtage en revisionserklæring i relation til
NTSE senest 30 dage efter årets afslutning. Vi
2
har ikke kendskab til, at SKAT har modtaget
Når der ikke indhentes en
revisionserklæring for NTSE, er der
ingen kontrol af, om leverandøren lever
op til de indgåede aftaler, og om
sikkerheden omkring systemet er
tilstrækkelig.
Vi anbefaler, at SKAT indhenter aftalte erklæring
og følger op på eventuelle bemærkninger i
erklæringen.
Rapport om kontroller og funktionalitet i NTSE
15 af 17
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962667_0016.png
Nr.
Observationer
revisionserklæringen for perioden 1.1. til 31.12.
2015.
Den generelle problemstilling vedrørende
rekvirering af revisorerklæringer er tillige
behandlet i SIR rapporten om
”Revisorerklæringer for it-systemer outsourcet til
serviceleverandører” – J.nr. 15-2368547
Risici
Anbefalinger
Handleplan fra Søren Kjær Jensen, Erhvervs- og Personafregningssystemer:
SKAT forventer efter en sidste afklaring med leverandøren at modtage en revisionserklæring primo 3. kvartal. Baseret på erklæringens
indhold vil SKAt foretage en vurdering af behovet for at iværksætte yderligere, herunder eventuelt omkostningskrævende tiltag. Det arbejde
forventes afsluttet senest ultimo Q3.
SLUT
Rapport om kontroller og funktionalitet i NTSE
16 af 17
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962667_0017.png
Bilag 2: Anvendt skala
Ved udarbejdelsen af konklusionen er følgende skala anvendt:
Intet behov for
procesændringer
Intern Revision har ikke observeret svagheder i de forretningsgange og
processer, der understøtter det reviderede område.
Prioritet 1:
Prioritet 2:
Behov for proces-
ændringer i mindre
omfang
Ingen observationer
Ingen observationer
Intern Revision har observeret enkelte svagheder i de forretningsgange og
processer, der understøtter det reviderede område.
Prioritet 1:
Prioritet 2:
Ingen observationer
Enkelte observationer
Behov for proces-
ændringer i større
omfang
Intern Revision har observeret flere svagheder i de forretningsgange og
processer, der understøtter det reviderede område. Observationerne er
hovedsageligt omfattet af prioritet 1 og 2 med flest observationer i prioritet 2.
Prioritet 1:
Prioritet 2:
Flere observationer
Flest observationer
Behov for
procesændringer i
væsentligt omfang
Intern Revision har observeret flere svagheder i de forretningsgange og
processer, der understøtter det reviderede område. Observationerne er
hovedsageligt omfattet af prioritet 1 eller 2 med flest observationer i prioritet 1.
Prioritet 1: Flest observationer
Prioritet 2: Flere observationer
Det skal bemærkes, at ovenstående beskrivelse, med hensyn til antal observationer pr.
prioritet, er vejledende i forhold til vores samlede vurdering af konklusionen.
Prioritering af de enkelte observationer:
Prioritet 1: Høj Risiko for manglende målopfyldelse:
Væsentlige svagheder i den etablerede forretningsgang/proces. Svaghederne kan
omfatte manglende interne kontroller, uhensigtsmæssig design af interne kontroller,
manglende regnskabsmæssige faciliteter. Som følge heraf er der en væsentlig øget
risiko for, at processens formål ikke realiseres. Manglende opfyldelse af processens
formål vil have store konsekvenser for virksomheden. Der bør snarest muligt
iværksættes foranstaltninger med henblik på at udbedre de observerede svagheder.
Prioritet 2: Middel risiko for manglende målopfyldelse:
Svagheder i den etablerede forretningsgang/proces. Svaghederne kan omfatte
manglende interne kontroller, uhensigtsmæssig design af interne kontroller, manglende
regnskabsmæssige faciliteter. Som følge heraf er der en øget risiko for, at processens
målopfyldelse ikke fuldtud realiseres. Manglende opfyldelse af processens formål vil
have store konsekvenser for virksomheden. Der bør iværksættes foranstaltninger med
henblik på at udbedre den observerede svaghed.
Prioritet 3: Lille risiko for manglende målopfyldelse:
Ingen svagheder i den etablerede forretningsgang/proces. Som følge heraf er der ikke
en øget risiko for, at processens formål ikke realiseres. Den reviderede proces kan dog
designes med henblik på at forbedre eksekveringen af processen. Processen vil dog
være omfattet af den risiko, der, uanset styrken af de interne kontroller, altid vil være til
stede.
Prioritet 4: Lille risiko for manglende målopfyldelse:
Ingen svagheder i den etablerede forretningsgang/proces. Som følge heraf er der ikke
en øget risiko for, at processens formål ikke realiseres. Processen vil dog være omfattet
af den risiko, der, uanset styrken af de interne kontroller, altid vil være til stede.
Rapport om kontroller og funktionalitet i NTSE
17 af 17