Skatteudvalget 2017-18
SAU Alm.del
Offentligt
1962668_0001.png
23. maj 2016
J. nr. 15-3052074
Plannr. 115-043
Intern Revision
Rapport 2015
SKAT IT
Rapport om udvalgte kontroller og
funktionalitet i applikationen DIAS
(Digitalisering Af Selskabsskat)
Modtager
Direktør Jesper Rønnow Simonsen, SKAT
Kopi
Direktør Karsten Juncher, SKAT IT
Departementet
Rigsrevisionen
Rapport om kontroller og funktionalitet i DIAS
Revision
Rådgivning
Rapportering
1 af 17
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962668_0002.png
Forord
Intern Revision (IR) har, jævnfør orienteringsbrev af 6. november 2015, revideret
kontroller og funktionalitet i DIAS. Den udførte revision er en del af den samlede
revision for 2015.
Rapporten har været fremsendt i udkast til den reviderede enhed med henblik på
at sikre, at Intern Revision og den reviderede enhed har en ensartet opfattelse af
de observerede forhold. SKAT har efterfølgende udarbejdet handleplaner.
Rapporten indeholder en samlet konklusion omfattende det reviderede område. I
konklusionsafsnittet redegør vi for de observationer, som konklusionen i det
væsentligste er baseret på. Konklusionsafsnittet indeholder Intern Revisions
bedømmelse af det reviderede område samt en beskrivelse af grundlaget for
bedømmelsen. Det vil derfor almindeligvis være tilstrækkeligt at læse selve
rapporten. Såfremt der ønskes uddybning og detaljering, henvises der til bilagene.
Rapportens bilag 1 indeholder en systematisk fremstilling af de observationer, som
den udførte revision har givet anledning til. Bilaget indeholder tillige en vurdering
af de tilknyttede risici samt Intern Revisions forslag til anbefalinger, der kan
formindske de vurderede risici. Med udgangspunkt i risikovurderingerne har SKAT
udarbejdet handleplaner med henblik på at formindske de vurderede risici. Intern
Revisions anbefalinger har været anvendt som inspiration ved udarbejdelse af
handleplaner. Vi vil løbende vurdere implementeringen af SKATs handleplaner.
Rapportens bilag 2 indeholder en beskrivelse af de prioriteringer, der er anvendt
ved klassifikationen af de enkelte observationer. Bilaget indeholder herudover en
beskrivelse af koblingen mellem observationernes prioriteringer og den samlede
overordnede konklusion.
København, den 23. maj 2016
Kurt Wagner
Revisionschef
Klaus Myssen
Senior manager
Rapport om kontroller og funktionalitet i DIAS
2 af 17
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962668_0003.png
1. Formål
Formålet med revisionen af udvalgte kontroller og funktionalitet i DIAS er at
undersøge og vurdere, hvorvidt den elektroniske platform til datafangst i form af
selskabsskat sikrer, at datafangsten sker korrekt, og at opfangede data
videreføres fuldstændigt og uforvansket til øvrige funktionsområder i processen.
2. Omfang
Revisionen er udført i perioden november 2015 til februar 2016 med udgangspunkt
i følgende hovedområder:
1) Systemdokumentation og brugervejledninger
2) Adgange og adgangsrettigheder til systemet
3) Funktionsadskillelse
4) Transaktions- og kontrolspor
5) Overvågning og logning
6) Revision af nøglekontroller
IR anvender følgende model til operationel beskrivelse og kategorisering af
aktiviteterne i SKAT:
Rammevilkår for funktionsområderne
Datafangst
Kvittering
Registrering
Opgørelse
Bogføring
Opkrævning
Betaling
Inddrivelse
Regnskabsaflæggelse
Rapport om kontroller og funktionalitet i DIAS
3 af 17
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962668_0004.png
I forbindelse med denne revision har vi revideret funktionsområderne datafangst
og kvittering.
I de enkelte observationer har vi henvist til det funktionsområde, som
observationen vedrører.
Revisionen er udført af Klaus Myssen i henhold til gældende revisionsstandarder,
herunder vejledninger fra Rigsrevisionen. Revisionen er gennemført ved
interviews, test og stikprøvevis gennemgang af foreliggende materiale.
Ved revisionen har vi interviewet medarbejdere fra:
Erhvervs- og Personafregningssystemer
Selskaber og digitalisering
3. Konklusion
Det er vores vurdering, at der
i væsentligt omfang er behov
for ændringer i de
reviderede processer. Denne vurdering baserer vi på følgende forhold:
Bilag 08 til kontrakten indeholder mindstekrav til den dokumentation som
leverandøren skal udarbejde og vedligeholde som en del af etablerings- og
driftsfasen. Det fremgår af bilaget, at der mangler at blive taget stilling til,
hvad der skal foreligge af dokumentation fra leverandørens side i forbindelse
med DIAS projektet.
Der er ikke overensstemmelse mellem brugerrollerne i BRAS-FC og rollerne
i den centrale sikkerhedsløsning (DCS). Medarbejdere med tildelt
læseadgang i BRAS-FC har reelt opdateringsadgang i DIAS.
Der er en kendt fejl i DIAS, som har resulteret i, at et stort antal selskaber
(101 stk.) ikke har fået overført deres ligningsgrundlag fra DIAS til 3S. Disse
selskaber vil derfor ikke modtage årsopgørelsen.
En opdatering (Release 4.1) til DIAS er under udvikling. Opdateringen vil
indeholde væsentlige funktionsmæssige forbedringer samt rettelser af
kritiske fejl. Der er ikke afsat ressourcer til gennemførelse af nødvendige
test i forbindelse med Release 4.1 inden ændringerne implementeres i
produktion.
Vi har prioriteret de observerede forhold således:
Rapport om kontroller og funktionalitet i DIAS
4 af 17
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962668_0005.png
Revisionsemne
1) Systemdokumentation og brugervejledninger
2) Adgange og adgangsrettigheder til systemet
3) Funktionsadskillelse
4) Transaktions- og kontrolspor
5) Overvågning og logning
6) Revision af nøglekontroller
I alt
Prioritet Prioritet 2
1
Middel
Høj risiko risiko
1
0
1
0
0
2
4
3
2
0
1
0
1
7
Prioritet
3/4
Lille risiko
0
1
0
0
1
0
2
I
alt
4
3
1
1
1
3
13
Prioriteterne skal ses i forhold til det reviderede område og er nærmere defineret i bilag 2.
Vi har modtaget handleplaner fra det reviderede direktørområde. Det er vores
vurdering, at implementeringen af de udarbejdede handleplaner vil medvirke til en
reduktion af de vurderede risici.
Rapport om kontroller og funktionalitet i DIAS
5 af 17
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962668_0006.png
Bilag 1: Observationer, risici og anbefalinger
Nr.
1
Observationer
Risici
Anbefalinger
Funktionsområde: Datafangst
Vi anbefaler, at systemejer årligt udarbejder en
risikovurdering via RISK, og at der sker
regelmæssig opfølgning på konstaterede risici.
Revisionsemne: Systemdokumentation og brugervejledninger
Manglende udarbejdelse af
risikovurderinger bevirker, at ledelsen
ikke opnår kendskab til de risici som
systemet medfører, hvilke øger
risikoen for, at SKAT udsættes for
større risici end forventet af ledelsen.
1.1
Risikovurdering
2015
Vi har konstateret, at der i 2012 er udarbejdet
en risikoanalyse for DIAS. Vi har kendskab til,
Prio.
at ansvaret for driften af DIAS er overdraget
2
fra projektet til driften primo 2016.
Vi har ikke kendskab til, at der er udarbejdet
en nyere risikovurdering.
Handleplan fra Søren Kjær Jensen, Erhvervs- og Personafregningssystemer:
Systemejer tager initiativ til at sørge for, at der foretages en årlig risikovurdering.
Deadline: 2016, 2. kvartal
1.2
SKATs sikkerhedskrav til Systematic A/S
2015
Vi har indhentet kopi af bilag 10, bilag 10.01
Prio.
informationssikkerhed med Systematic er
2
aftalt.
Ud fra de indhentede bilag er det ikke muligt at
se, hvilke sikkerhedstiltag der er aftalt med
Systematic.
og bilag 10.02 fra kontrakten, hvori
Manglende tilkendegivelse af ønsket
sikkerhedstiltag øger risikoen for, at
SKAT ikke opnår det
sikkerhedsniveau, som ledelsen
ønsker.
Vi anbefaler, at de ønskede sikkerhedskrav
specificeres og synliggøres i relevante bilag til
leverandørkontrakten.
Rapport om kontroller og funktionalitet i DIAS
6 af 17
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962668_0007.png
Nr.
Observationer
Risici
Anbefalinger
Handleplan fra Søren Kjær Jensen, Erhvervs- og Personafregningssystemer:
Contract Manager fremskaffer det oprindelige udfyldte dokument.
Deadline: 2016, 2. kvartal
1.3
SKATs krav til Systematic A/S i relation til
2015
dokumentation
Prio.
”Dokumentation"
af 15/1-2013 version 1.0, der
1
indeholder bl.a. mindstekrav til dokumentation,
som leverandøren skal udarbejde og
vedligeholde som en del af etablerings- og
driftsfasen.
Vores gennemgang af bilag 08 viser, at der
ikke er taget stilling til hvilken dokumentation,
der skal foreligge fra leverandørens side i
forbindelse med DIAS projektet.
Vi har indhentet kopi af bilag 08
Manglende tilkendegivelse af ønsket
dokumentation øger risikoen for,
leverandøren ikke udarbejder og
leverer den dokumentation, som SKAT
forventer.
Vi anbefaler, at SKAT formelt tilkendegiver overfor
leverandøren via bilag 08 Dokumentation, hvilke
mindstekrav til dokumentation i forbindelse med
DIAS SKAT kræver.
Handleplan fra Søren Kjær Jensen, Erhvervs- og Personafregningssystemer:
Opgaven er igangsat pr marts måned og fortsætter til kravene for dokumentation og opbevaring af samme, er opfyldt.
Deadline: 2017, 2. kvartal
1.4
Klassificering af data i DIAS
2015
Jf.
”Håndbog for ledere” afsnit 5
er der krav
om, at de data som SKAT anvender, skal
Prio.
klassificeres.
Manglende klassificering øger risikoen
for, at beskyttelsen af data står i
misforhold til informationens betydning
for SKAT.
Vi anbefaler, at klassificeringen af data i DIAS
afklares, og at data i DIAS beskyttes i henhold til
klassifikationen.
2
Vi har fået oplyst, at data i DIAS på
nuværende tidspunkt ikke er klassificeret, og
Rapport om kontroller og funktionalitet i DIAS
7 af 17
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962668_0008.png
Nr.
Observationer
at procesejer er i dialog med
Informationssikkerhed med henblik på at få
klassificeret anvendte data.
Risici
Anbefalinger
Handleplan fra Susanne Thorhauge, Selskaber og 3. partsindberetninger.
Klassificering vil blive foretaget i forbindelse med risikovurdering, jf. punkt 1.1.
Deadline: 2016, 2. kvartal
Nr.
2
Observationer
Risici
Anbefalinger
Funktionsområde: Datafangst
Vi anbefaler, at der foretages en gennemgang af
tildelte proces- og systemejer rettigheder, og at
tildelte rettigheder afspejler et arbejdsbetinget
behov.
Revisionsemne: Adgange og adgangsrettigheder til systemet
Ved at tildele rettigheder ud over
arbejdsbetinget behov øges risikoen
for uautoriserede adgang.
2.1
DIAS proces- og systemejere i BRAS-FC
2015
Vi har i BRAS-FC set, at der er oprettet 4
Prio.
2
forskellige rettigheder til DIAS.
DIAS procesejer
DIAS systemejer
DIAS læseadgang
DIAS opdateringsadgang
Via BRAS-FC er det konstateret, at 5 personer
i SKAT har ”DIAS procesejer” rettigheder.
Samtidig har vi konstateret, via
Systemoverblik, at der kun er udpeget 4
procesejere.
Via BRAS-FC er det konstateret, at 7 personer
i SKAT har ”DIAS systemejer” rettigheder.
Samtidig har vi konstateret, via
Rapport om kontroller og funktionalitet i DIAS
8 af 17
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962668_0009.png
Nr.
Observationer
Systemoverblik, at der kun er udpeget 2
systemejere.
Dermed er der tildelt rettigheder til
medarbejdere, som ikke har et arbejdsbetinget
behov.
Risici
Anbefalinger
Handleplan fra Søren Kjær Jensen, Erhvervs- og Personafregningssystemer:
Gennemgang af tildelte rettigheder er foretaget. Det øgede antal systemejer rettigheder skyldes et øget antal medarbejdere i
systemejerfunktionen, samt tekniske medarbejder på projektet. Sidstnævnte adgange er blevet lukket.
Deadline: 2016, 2. kvartal
2.2
DIAS proces- og systemejere i Den Centrale
2015
Sikkerhedsløsning (DCS).
Prio.
rettighederne til DIAS.
2
Via BRAS-FC er det konstateret, at 5
Den Centrale Sikkerhedsløsning (DCS) styrer
medarbejdere i SKAT har ”DIAS
procesejer”
rettigheder. Vi har sammenholdt de tildelte
rettigheder i BRAS-FC med rettighederne i
DCS’en og har fundet overensstemmelse
mellem 4 personer i BRAS-FC
med DCS’en.
Endvidere er der fundet en medarbejder i
BRAS-FC, som ikke har rollen i DCS, ligesom
der fundet
en bruger i DCS’en, som ikke
fremgår af BRAS.
Via BRAS-FC er det konstateret, at 7
medarbejdere i SKAT har ”DIAS
systemejer”
rettigheder. Vi har sammenholdt de tildelte
rettigheder i BRAS-FC med rettighederne i
Manglende overensstemmelse mellem
BRAS-FC og Den centrale
sikkerhedsløsning øger risikoen for
uautoriseret adgang og umuliggør en
effektiv opfølgning på brugernes
tildelte rettigheder og adgange.
Vi anbefaler, at der foretages en regelmæssig
afstemning af brugerne med tildelte DIAS
rettigheder i BRAS-FC med de brugere som har
tildelt DIAS rettigheder i DCS’en for, at sikre en
fuldstændig og nøjagtig sammenhæng mellem
BRAS-FC
og DCS’en.
Rapport om kontroller og funktionalitet i DIAS
9 af 17
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962668_0010.png
Nr.
Observationer
DCS’en
og har fundet overensstemmelse
mellem 4 personer i BRAS-FC
med DCS’en.
Endvidere er der fundet 2 medarbejdere i
BRAS-FC, som ikke har rollen i DCS, ligesom
der er fundet en bruger i DCS’en,
som ikke
fremgår af BRAS-FC.
Risici
Anbefalinger
Handleplan fra Søren Kjær Jensen, Erhvervs- og Personafregningssystemer:
DCS systemejer bliver orienteret om problemet. Det er en sag mellem BRAS og DSC at sørge for den overensstemmelse.
Deadline: 2016, 2. kvartal
2.3
Kort tid til indtastning i DIAS
2015
Vi har via hjælpesiderne på SKAT.dk set, at
Prio.
20 min. Dette bevirker at angivelser eller
3
indtastninger af skattepligtig indkomst, som
TastSelv (DCS) har en generel time-out på ca.
Nuværende opsætning med en relativ
kort time-out medfører risiko for, at
selskaberne ikke når at indtaste alle
relevante informationer.
Vi anbefaler, at den genrelle time-out tid øges
eller, at selskaberne opnår mulighed for at
gemme sine indtastninger løbende.
ikke er gemt, mistes efter 20 min.
Vi har fået oplyst, at der er selskaber, som
grundet deres virksomhedsstruktur bliver
berørt af den generelle time-out og dermed må
gentage indtastningerne eller fremsende
oplysningerne til SKAT som efterfølgende
udfylder selvangivelsen for selskabet.
Rapport om kontroller og funktionalitet i DIAS
10 af 17
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962668_0011.png
Nr.
Observationer
Risici
Anbefalinger
Handleplan fra Søren Kjær Jensen, Erhvervs- og Personafregningssystemer:
Det er ikke muligt at øge timeout hen-over hele TSE portalen.
DIAS gemmer indtastninger i hvert niveau på selvangivelsen. Dette bevirker, at hvis man bliver timeout'et, er de oplysninger, man allerede
har tastet ind, gemt. For de sider i selvangivelsesforløbet, hvor virksomheder med store sambeskatningskredse eller lignende kan blive ramt
skal det være muligt at gemme manuelt i forløbet.
Deadline: 2016, 3. kvartal
Nr.
3
Observationer
Revisionsemne: Funktionsadskillelse
Risici
Anbefalinger
Funktionsområde: Datafangst
3.1
DIAS roller i Den Centrale Sikkerhedsløsning
2015
(DCS)
Vi har foretaget en sammenholdelse af rollerne
Prio.
i BRAS-FC
med rollerne i DCS’en.
1
Vores gennemgang viser, at
”DIAS
procesejer”
og ”DIAS
systemejer”
rollerne, som er to
forskellige roller i BRAS-FC, har samme
rettigheder i DCS’en.
Endvidere viser vores gennemgang, at
”DIAS
læseadgang”
og ”DIAS
opdateringsadgang”
rollerne, som er to forskellige roller i BRAS-FC,
har samme
rettigheder i DCS’en.
SKAT har på vores foranledning foretaget test
af ovenstående sammenblanding af roller.
Testen viser, at medarbejdere med
Den nuværende opdeling af rollerne i
DCS’en
bevirker, at den
funktionsadskillelse som kan etableres
via BRAS-FC ikke er reel, og brugerne
med læseadgang opnår
opdateringsadgange.
Sammenblanding af rollen for
procesejer og systemejer bevirker, at
systemejer har adgang til
forretningsfunktionalitet og kan
indberette en selvangivelse eller
ændre andre registreringer for
selskaber.
Vi anbefaler, at rollerne i DCS ændres således, at
de afspejler BRAS-FC rollerne og dermed giver
henholdsvis læse og opdateringsadgang, med
mulighed for funktionsadskillelse.
Rapport om kontroller og funktionalitet i DIAS
11 af 17
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962668_0012.png
Nr.
Observationer
læseadgang reelt også har
opdateringsadgang.
Risici
Anbefalinger
Handleplan fra Susanne Thorhauge, Selskaber og 3. partsindberetninger.
Procesejer har lagt yderligere udvikling af kritisk funktionalitet til DIAS i pipeline. Herunder bl.a. yderligere sikkerhedsroller, samt en
gennemgang af placeringen af systemets funktionalitet.
Deadline: 2017, 1. kvartal
Problemets årsag er identificeret og er ved at blive afklaret teknisk med henblik på rettelse.
Deadline: 2016, 3. kvartal
Nr.
4
Observationer
Risici
Anbefalinger
Funktionsområde: Datafangst
Vi anbefaler, at SKAT køber licens til det værktøj,
som muliggør analyse og opfølgning på de logfiler
(XPO-log), som DIAS genererer. Dette muliggør, at
SKAT kan foretage en selvstændig opfølgning og
fejlfinding, uden at leverandøren skal inddrages
med øvrige omkostninger til følge.
Revisionsemne: Transaktions- og kontrolspor
Manglende mulighed for gennemgang
af tabeller og logs uden inddragelse af
leverandøren øger risikoen for, at en
gennemgang ikke udføres, og at fejl
dermed ikke identificeres og rettes.
4.1
Adgang til kontrolspor
2015
Det fremgår af systembeskrivelsen, at der i
Prio.
Revisionstabeller", som indeholder
2
informationer om datamæssige ændringer;
hvem der har udarbejdet dem; hvornår de er
udført og hvad handlingerne var.
Det er vores vurdering, at dette muliggør en
sporbarhed af ændringer.
Vi har fået oplyst, at SKAT har adgang til disse
tabeller, men SKAT har ikke købt licens til det
værktøj, som skal anvendes for at vise de
records, som er i tabellerne. Dermed kan
SKAT ikke foretage en selvstændig opfølgning
på eventuelle datamæssige ændringer.
DIAS er oprettet "Skyggetabeller/
Rapport om kontroller og funktionalitet i DIAS
12 af 17
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962668_0013.png
Nr.
Observationer
Risici
Anbefalinger
Handleplan fra Søren Kjær Jensen, Erhvervs- og Personafregningssystemer:
Vi vil undersøge muligheder for at købe licens, der dækker DIAS, og pris for samme,
Deadline: 2016, 3. kvartal
Nr.
5
Observationer
Revisionsemne: Overvågning og logning
Risici
Anbefalinger
Funktionsområde: Datafangst
5.1
Anvendeligheden af logfiler
2015
Vi har fået udskrift fra logfiler i relation til DIAS.
Udskriften viser ”Hændelsesloggen” for et
Prio.
selskab.
3
Vores gennemgang af hændelsesloggen viser,
at der er en passende hændelsestekst, men at
hændelsesdato og klokkeslæt ikke vises
kronologisk, hvilket besværliggør opfølgning
og genskabelse af hændelsesforløbet.
Endvidere viser vores gennemgang af
hændelsesloggen, at informationerne om
hvem, som har gennemført en hændelse, ikke
altid er gennemsigtig og henførbar. Vores
udskrift viser, at en given hændelse er udført
af ”6ecfea-d9a4-4b96-b683-4a4dbd141225".
Manglende kronologisk visning af
registrerede logs besværliggør
genskabelse af hændelsesforløb,
ligesom anvendelse af ikke henførbare
aktører besværliggør en opfølgning.
Vi anbefaler, at anvendte logs i DIAS viser
registreringerne i kronologisk rækkefølge med det
formål at lette genskabelsen af bestemte
hændelsesforløb.
Vi anbefaler, at hændelsesloggen gør brug af
”sigende”
aktører, således at brugerne af loggen
har mulighed for at se, hvem som har udført en
given handling.
Handleplan fra Søren Kjær Jensen, Erhvervs- og Personafregningssystemer:
Arbejdet med omlægningen af billedet, der viser hændelsesloggen, er påbegyndt. SIR's anvisninger vil blive fulgt som en del af forbedringen
Deadline: 2016, 3. kvartal
Rapport om kontroller og funktionalitet i DIAS
13 af 17
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962668_0014.png
Nr.
6
Observationer
Risici
Anbefalinger
Funktionsområde: Datafangst
Vi anbefaler, at fejlen i integrationen mellem DIAS
og 3S undersøges og rettes hurtigst muligt.
Endvidere anbefaler vi, at der iværksættes en
nødplan for overførsel af berørte selskaber.
Revisionsemne: Revision af nøglekontroller
Manglende overførsel af data
(ligningsgrundlag) fra DIAS til 3S
bevirker, at berørte selskaber ikke vil
modtage en årsopgørelse med
angivelse af, hvad der skal betales i
SKAT. Ligesom indtægtsregistreringen
i SKAT vil mangle.
6.1
Fejl i integrationen mellem DIAS og 3S
2015
Vi har via Remedy konstateret, at der er
oprettet over 725 ændringsønsker (RFC) i
Prio.
relation til DIAS.
1
Vores gennemgang af ændringsønskerne i
Remedy viser, at der er 2 ændringer med
prioriteten ”2. Høj”,
som vedrører fejl i
integrationen mellem DIAS og 3S. En sag er
oprettet den 15-09-2015, og af fejlbeskrivelsen
fremgår, at fejlen har resulteret i, at et stort
antal selskaber (101 stk.) ikke har fået overført
deres ligningsgrundlag til 3S, hvorfor disse
selskaber ikke vil modtage en årsopgørelse.
Det fremgår af Remedy, at aftalte tidsfrist er
15-12-2015.
Ved revisionens afslutning var sagen fortsat
ikke løst.
Handleplan fra Søren Kjær Jensen, Erhvervs- og Personafregningssystemer:
Fejlen er løst, som en del af de løbende rettelser af fejl fundet i driften.
Deadline: Er Løst
Rapport om kontroller og funktionalitet i DIAS
14 af 17
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962668_0015.png
Nr.
Observationer
Risici
Manglende test af ændringer inden en
implementering i produktion øger
risikoen for, at DIAS ikke fungerer som
forventet efter implementeringen.
Anbefalinger
Vi anbefaler, at change processen i SKAT følges,
og at der udføres relevante:
"Uni-test" (Når udvikleren tester den
programstump, han har lavet),
"Integrationstest" (Når forretningen tester, om
ændringen kan fungerer sammen med resten
af softwaren),
"Regressionstest" (Når forretningen tester, om
ændringerne har påvirket den uændrede
software)
"User-acceptance test" (Når brugerne tester,
om layout og funktionalitet fungerer som
forventet)
for at sikrer, at forventede ændringer jvf.
kravsspecifikationen er udført som forventet.
6.2
Manglende test af ændringer.
2015
Vi har fået oplyst, at der er ved at blive udviklet
en opdatering (Release 4.1) til DIAS.
Prio.
Opdateringen vil indeholde væsentlige
1
funktionsmæssige forbedringer samt rettelser
af kritiske fejl.
Endvidere har vi fået oplyst, at der i SKAT ikke
er afsat ressourcer til udførelse af nødvendige
test i forbindelse med release 4.1 inden
ændringerne implementeres i produktion.
Handleplan fra Søren Kjær Jensen, Erhvervs- og Personafregningssystemer:
Situationen er uforandret pr d.d. Der søges fortsat om en permanent test manager ressource til at indgå i driftsteamet. Der forventes fortaget
indlån af én ressource til processejerkontoret. Vedkommende vil kunne bistå med forretningstest. Disse tiltag vil hjælpe, men ikke løse
situationen. Vi vil undersøge, om midler bevilget til eksterne ressourcer, kan konverteres til lønsum.
Release 04.00.02.02 sættes i produktion 20. maj 2016. Releasen er af SIR anført som 4.1
Deadline: 2016, 3. kvartal
6.3
Ajourføring af SLA
2015
Vi har konstateret, at der foreligger en SLA
Prio.
i SKAT og IT i SKAT.
2
Vores gennemgang af SLA'en viser, at næste
version af SLA'en skulle være udarbejdet 1.
(version 0.3 af 27/1-2015) mellem forretningen
Manglende SLA bevirker, at der kan
opstå uenighed om driften af DIAS.
Vi anbefaler, at det videre arbejde med
udarbejdelse af SLA'en fortsætter og gøres
endelig.
Rapport om kontroller og funktionalitet i DIAS
15 af 17
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962668_0016.png
Nr.
Observationer
juni 2015. Nuværende SLA mangler fortsat en
stillingtagen til en flere områder; f.eks:
Fastlæggelse/ændring af prioritering af
hændelser
Ændringer i system/service, releases og
udrulning
Beredskabsplan
Risici
Anbefalinger
Handleplan fra Søren Kjær Jensen, Erhvervs- og Personafregningssystemer:
Arbejdet genoptages efter prioritet og alignes med planerne om samarbejde mellem IT Drift og forretningen jf. Turnusanalysen
Deadline: 2016, 3. kvartal
SLUT
Rapport om kontroller og funktionalitet i DIAS
16 af 17
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962668_0017.png
Bilag 2: Anvendt skala
Ved udarbejdelsen af konklusionen er følgende skala anvendt:
Intet behov for
procesændringer
Intern Revision har ikke observeret svagheder i de forretningsgange og
processer, der understøtter det reviderede område.
Prioritet 1:
Prioritet 2:
Behov for proces-
ændringer i mindre
omfang
Ingen observationer
Ingen observationer
Intern Revision har observeret enkelte svagheder i de forretningsgange og
processer, der understøtter det reviderede område.
Prioritet 1:
Prioritet 2:
Ingen observationer
Enkelte observationer
Behov for proces-
ændringer i større
omfang
Intern Revision har observeret flere svagheder i de forretningsgange og
processer, der understøtter det reviderede område. Observationerne er
hovedsageligt omfattet af prioritet 1 og 2 med flest observationer i prioritet 2.
Prioritet 1:
Prioritet 2:
Flere observationer
Flest observationer
Behov for
procesændringer i
væsentligt omfang
Intern Revision har observeret flere svagheder i de forretningsgange og
processer, der understøtter det reviderede område. Observationerne er
hovedsageligt omfattet af prioritet 1 eller 2 med flest observationer i prioritet 1.
Prioritet 1: Flest observationer
Prioritet 2: Flere observationer
Det skal bemærkes, at ovenstående beskrivelse, med hensyn til antal observationer pr.
prioritet, er vejledende i forhold til vores samlede vurdering af konklusionen.
Prioritering af de enkelte observationer:
Prioritet 1: Høj Risiko for manglende målopfyldelse:
Væsentlige svagheder i den etablerede forretningsgang/proces. Svaghederne kan
omfatte manglende interne kontroller, uhensigtsmæssig design af interne kontroller,
manglende regnskabsmæssige faciliteter. Som følge heraf er der en væsentlig øget
risiko for, at processens formål ikke realiseres. Manglende opfyldelse af processens
formål vil have store konsekvenser for virksomheden. Der bør snarest muligt
iværksættes foranstaltninger med henblik på at udbedre de observerede svagheder.
Prioritet 2: Middel risiko for manglende målopfyldelse:
Svagheder i den etablerede forretningsgang/proces. Svaghederne kan omfatte
manglende interne kontroller, uhensigtsmæssig design af interne kontroller, manglende
regnskabsmæssige faciliteter. Som følge heraf er der en øget risiko for, at processens
målopfyldelse ikke fuldtud realiseres. Manglende opfyldelse af processens formål vil
have store konsekvenser for virksomheden. Der bør iværksættes foranstaltninger med
henblik på at udbedre den observerede svaghed.
Prioritet 3: Lille risiko for manglende målopfyldelse:
Ingen svagheder i den etablerede forretningsgang/proces. Som følge heraf er der ikke
en øget risiko for, at processens formål ikke realiseres. Den reviderede proces kan dog
designes med henblik på at forbedre eksekveringen af processen. Processen vil dog
være omfattet af den risiko, der, uanset styrken af de interne kontroller, altid vil være til
stede.
Prioritet 4: Lille risiko for manglende målopfyldelse:
Ingen svagheder i den etablerede forretningsgang/proces. Som følge heraf er der ikke
en øget risiko for, at processens formål ikke realiseres. Processen vil dog være omfattet
af den risiko, der, uanset styrken af de interne kontroller, altid vil være til stede.
Rapport om kontroller og funktionalitet i DIAS
17 af 17