Skatteudvalget 2017-18
SAU Alm.del
Offentligt
1962670_0001.png
17. maj 2016
J. nr. 15-3134984
Plannr. 115-045
Intern Revision
Rapport 2015
SKAT Kundeservice & Økonomi
Rapport om kontroller og
funktionalitet i eIndkomst
Modtager
Direktør Jesper Rønnow Simonsen, SKAT
Kopi
Direktør Merete Agergaard, Kundeservice
Direktør Karsten Juncher, Økonomi
Departementet
Rigsrevisionen
Revision
Rådgivning
Rapportering
Rapport om kontroller og funktionalitet i eIndkomst
1 af 10
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962670_0002.png
Forord
Intern Revision (IR) har, jævnfør orienteringsbrev af 13. november 2015, revideret
kontroller og funktionalitet i eIndkomst. Den udførte revision er en del af den
samlede revision for 2015.
Rapporten har været fremsendt i udkast til den reviderede enhed med henblik på
at sikre, at Intern Revision og den reviderede enhed har en ensartet opfattelse af
de observerede forhold. SKAT har efterfølgende udarbejdet handleplaner.
Rapporten indeholder en samlet konklusion omfattende det reviderede område. I
konklusionsafsnittet redegør vi for de observationer, som konklusionen i det
væsentligste er baseret på. Konklusionsafsnittet indeholder Intern Revisions
bedømmelse af det reviderede område samt en beskrivelse af grundlaget for
bedømmelsen. Det vil derfor almindeligvis være tilstrækkeligt at læse selve
rapporten. Såfremt der ønskes uddybning og detaljering, henvises der til bilagene.
Rapportens bilag 1 indeholder en systematisk fremstilling af de observationer, som
den udførte revision har givet anledning til. Bilaget indeholder tillige en vurdering
af de tilknyttede risici samt Intern Revisions forslag til anbefalinger, der kan
formindske de vurderede risici. Med udgangspunkt i risikovurderingerne har SKAT
udarbejdet handleplaner med henblik på at formindske de vurderede risici. Intern
Revisions anbefalinger har været anvendt som inspiration ved udarbejdelse af
handleplaner. Vi vil løbende vurdere implementeringen af SKATs handleplaner.
Rapportens bilag 2 indeholder en beskrivelse af de prioriteringer, der er anvendt
ved klassifikationen af de enkelte observationer. Bilaget indeholder herudover en
beskrivelse af koblingen mellem observationernes prioriteringer og den samlede
overordnede konklusion.
København, den 17. maj 2016
Kurt Wagner
Revisionschef
Aliriza Özden
Manager
Rapport om kontroller og funktionalitet i eIndkomst
2 af 10
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962670_0003.png
1. Formål
Formålet med revisionen af kontroller og funktionalitet i eIndkomst er at
undersøge og vurdere, hvorvidt den elektroniske platform til datafangst i form af
eIndkomst sikrer, at datafangsten sker korrekt, og at opfangede data videreføres
fuldstændig og uforvansket til øvrige funktionsområder i processen.
2. Omfang
Revisionen af kontroller og funktionalitet i eIndkomst, som er udført i perioden
november 2015 til februar 2016, har omhandlet følgende hovedområder:
1)
2)
3)
4)
5)
6)
Systemdokumentation og brugervejledninger
Adgange og adgangsrettigheder til systemet
Funktionsadskillelse
Transaktions- og kontrolspor
Logning og overvågning
Revision af nøglekontroller
Intern Revision anvender følgende model til operationel beskrivelse og
kategorisering af aktiviteterne i SKAT:
Rammevilkår for funktionsområderne
Datafangst
Kvittering
Registrering
Opgørelse
Bogføring
Opkrævning
Betaling
Inddrivelse
Regnskabsaflæggelse
I forbindelse med denne revision har vi revideret et område, som udgør en del af
funktionsområderne
”datafangst” og ”kvittering”.
Revisionen er udført af Aliriza Özden i henhold til gældende revisionsstandarder,
herunder vejledninger fra Rigsrevisionen. Revisionen er gennemført ved
interviews, og stikprøvevis gennemgang af foreliggende materiale i samarbejde
med medarbejdere fra Kundeservice og Økonomi/IT.
Rapport om kontroller og funktionalitet i eIndkomst
3 af 10
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962670_0004.png
3. Konklusion
Det er vores vurdering, at der
i større omfang er behov
for ændring af kontroller
og funktionalitet i eIndkomst. Denne vurdering baserer vi på følgende forhold:
Det er muligt for virksomheder at indberette en for høj A-skat eller et for højt
AM-bidrag for virksomhedernes medarbejdere. Dette med henblik på, at
virksomhedernes medarbejdere modtager en udbetaling i form af
overskydende skat svarende til forskellen mellem det for høje indberettede
beløb og det faktiske skattebeløb. Virksomheder kan endvidere indberette for
lave eller fiktive indkomster på ansatte for en periode, således at de ansatte
bliver berettiget til offentlige ydelser på svigagtigt grundlag.
Indkomstforhold bliver indberettet gennem systemet eIndkomst-Indberetning
og stillet til rådighed i eIndkomst-Udstilling for eksterne interessenter såsom
kommuner, der beregner sociale ydelser for borgere baseret på data fra
eIndkomst-Udstilling. Vi har fået oplyst af SKAT, at indkomstoplysningerne i
eIndkomst-Udstilling ikke til enhver tid er i overensstemmelse med
eIndkomst-Indberetning, hvorfor der er forøget risiko for, at SKAT stiller
fejlbehæftede indkomstoplysninger til rådighed for eksterne interessenter.
Vi har prioriteret de observerede forhold således:
Revisionsemne
1) Systemdokumentation og
brugervejledninger
2) Adgange og adgangsrettigheder
til systemet
3) Funktionsadskillelse
4) Transaktions- og kontrolspor
5) Logning og overvågning
6) Revision af nøglekontroller
I alt
Prioritet 1
Høj risiko
0
1
0
0
0
1
2
Prioritet 2
Middel risiko
0
0
0
0
1
2
3
Prioritet 3/4
Lille risiko
1
1
1
2
1
2
8
I
alt
1
2
1
2
2
5
13
Prioriteterne skal ses i forhold til det reviderede område og er nærmere defineret i bilag 2.
Vi har modtaget handleplaner fra de reviderede direktørområder. Det er vores
vurdering, at implementeringen af de udarbejdede handleplaner vil medvirke til en
reduktion af de vurderede risici.
Rapport om kontroller og funktionalitet i eIndkomst
4 af 10
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962670_0005.png
Bilag 1: Observationer, risici og anbefalinger
Nr.
1
Observationer
Risici
Anbefalinger
Funktionsområde: Datafangst/kvittering
Revisionsemne: Systemdokumentation og brugervejledninger
Ingen bemærkninger til revisionsemnet.
Nr.
2
Observationer
Risici
Anbefalinger
Funktionsområde: Datafangst
a)
En kontrol bør løbende identificere de
virksomheder, som ikke har indbetalt indberettet
indeholdt A-skat, og hvor virksomhedens
medarbejdere samtidigt skal modtage et beløb
svarende til overskydende skat fx fra for sent
indkomne oplysninger. Før udbetaling af
overskydende skat bør det for de identificerede
virksomheder undersøges, hvorvidt grundlaget for
udbetaling af overskydende skat til
virksomhedernes medarbejdere reelt er til stede fx
ved at undersøge, om rettelserne er til tidligere
perioder.
b)
Med henblik på at reducere risikoen for, at fejlagtig
information om borgernes skattepligtige forhold
stilles til rådighed for andre offentlige instanser, bør
Revisionsemne: Adgange og adgangsrettigheder til systemet
a)
Der er en øget risiko for, at SKAT kan
udbetale overskydende skat til
personer, som ikke er berettigede til at
modtage disse beløb.
b)
Endvidere er der øget risiko for, at
andre offentlige instanser kan udbetale
ydelser på et fejlagtigt grundlag.
2.1
Indberetning af fiktive indkomster
2015
a)
Prio.
Virksomhederne kan for de enkelte
medarbejdere indberette et beløb for indeholdt
1
A-skat, der er for højt i forhold til det beløb, der
bør indeholdes med udgangspunkt i de
faktiske indkomstmæssige forhold. De
indeholdelsespligtige virksomheder kan
herefter undlade at indbetale det indberettede
beløb. De involverede medarbejdere kan
herefter modtage differencen mellem det
Rapport om kontroller og funktionalitet i eIndkomst
5 af 10
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962670_0006.png
Nr.
Observationer
indberettede beløb og det faktisk indeholdte
beløb i form af overskydende skat.
b)
Virksomheder kan endvidere indberette for
lave eller fiktive indkomster på ansatte for en
periode, således at de ansatte bliver berettiget
til offentlige ydelser.
Risici
Anbefalinger
SKAT etablere en kontrol, der sikrer, at for lave
eller fiktive indkomster for ansatte identificeres.
Denne kontrol kan med fordel særskilt rettes mod
udvalgte brancher, hvor risikoen for besvigelser er
forøget.
Handleplan fra Susanne Thorhauge
Kundeservice, Forretningsprocesser, Selskaber og 3. partsindberetninger:
Tidsfrist: Nyt valideringssystem november 2016. Kontaktperson: Kathrine Storm.
Undersøgelse af stikprøver i samarbejde med KVIE, iværksættes inden november 2016.
Nyt validerings-system implementeres, hvor det vil blive muligt at designe valideringer til styrkelse af inddatakontrollen. Der iværksættes
straks et samarbejde i forbindelse med produktionsmøder mhp. at afdække mulige, relevante og hensigtsmæssige valideringer, der kan øge
sikkerheden.
I samarbejde med KVIE vil procesejer stikprøvevis undersøge rettelser vedr. gamle år, hvor der straks dannes en årsopgørelse, der medfører
udbetaling. Hvis det viser sig at rettelse til gamle år er en kilde til misbrug af systemet, vil det blive vurderet, om der er behov for udbygning af
valideringsløsningen.
Det undersøges desuden, om der kan etableres en grænse for rettelser, også ved flere ændringer foretaget af indberetter (findes i dag på
lønmodtagers rettelser).
Nr.
3
Observationer
Revisionsemne: Funktionsadskillelse
Risici
Anbefalinger
Funktionsområde: Datafangst/kvittering
Ingen bemærkninger til revisionsemnet.
Rapport om kontroller og funktionalitet i eIndkomst
6 af 10
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962670_0007.png
Nr.
4
Observationer
Risici
Anbefalinger
Funktionsområde: Datafangst/kvittering
Revisionsemne: Transaktions- og kontrolspor
Ingen bemærkninger til revisionsemnet.
Nr.
5
Observationer
Revisionsemne: Logning og overvågning
Risici
Anbefalinger
Funktionsområde: Datafangst
5.1
Overvågning af brugerhandlinger
2015
Brugerhandlinger i eIndkomst bliver
registreret/logget af leverandøren IBM. Det er
Prio.
muligt for SKAT at gennemføre
2
stikprøvekontrol af 10 automatiske
transaktioner for seneste tre måneder i
eIndkomst. SKAT har dog ikke direkte adgang
til at overvåge den udvidede log, men skal
rekvirere denne hos IBM ved behov.
Manglende overvågning af den
udvidede log øger risikoen for, at
medarbejdere, der ikke er tiltænkt en
rolle i eIndkomst, alligevel kan
gennemføre ændringer, og uden at det
kan opdages.
SKAT bør have adgang til den udvidede log og
overvåge brugerhandlinger i eIndkomst
systematisk og i større omfang fx ved stikprøvevis
gennemgang af loggen og/eller alarmer på
bestemte handlingsmønstre.
Handleplan fra Susanne Thorhauge
Kundeservice, Forretningsprocesser, Selskaber og 3. partsindberetninger:
Tidsfrist: Maj 2016. Kontaktperson: Kathrine Storm.
Risikoen minimeres i forbindelse med udvidelse af forespørgeadgangen til eIndkomst. Udvidelsen vil betyde, at det kun er medarbejdere med
et arbejdsmæssigt behov (som dermed er tiltænkt en rolle i eIndkomst), der får adgang til at opdatere (ændre) i eIndkomst. For de
medarbejdere, der har adgang til at opdatere i eIndkomst, gennemføres der mindst én gang årligt stikprøvevis kontrol med opdateringer
(tilfældigt udvalgt). Procesejer mener dermed, at risikoen er tilfredsstillende afdækket.
Rapport om kontroller og funktionalitet i eIndkomst
7 af 10
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962670_0008.png
Nr.
6
Observationer
Risici
Anbefalinger
Funktionsområde: Datafangst
Der bør gennemføres ændringer i eIndkomst med
henblik på at tilsikre, at indkomstoplysningerne til
enhver tid er i overensstemmelse med de
grundlæggende indberetninger.
Revisionsemne: Revision af nøglekontroller
Der er forøget risiko for, at SKAT stiller
fejlbehæftede indkomstoplysninger til
rådighed for eksterne interessenter via
eIndkomst-Udstilling.
6.1
Overensstemmelse mellem indberettede
2015
indkomstforhold og eIndkomst-Udstilling
Indkomstforhold bliver indberettet gennem
Prio.
systemet eIndkomst-Indberetning og stillet til
rådighed i eIndkomst-Udstilling for eksterne
1
interessenter såsom kommuner, der beregner
sociale ydelser for borgere baseret på data fra
eIndkomst-Udstilling. Vi har fået oplyst af SKAT,
at indkomstoplysningerne i eIndkomst-Udstilling
ikke til enhver tid er i overensstemmelse med
eIndkomst-Indberetning.
Handleplan fra Susanne Thorhauge
Kundeservice, Forretningsprocesser, Selskaber og 3. partsindberetninger:
Tidsfrist: 18 måneder/ tidligst Q4 2017. Kontaktperson: Kathrine Storm.
SKAT er enig i observationen. Der er udfærdiget forslag til afstemningsprocedurer, der kan minimere de kendte risici for udstilling og levering
af fejlagtige og ufyldestgørende data fra eIndkomst Udstilling, men det har indtil nu ikke været muligt at få stillet økonomi til rådig for løsningen.
Change Request forelægges igen for SKATs Change Board CAB på kommende møde. Bevilges der midler til afstemningen, vil
implementeringen kunne ske 12 til 15 måneder efter igangsætning af opgaven.
6.2
Manglende tjek af feltafhængigheder
2015
Der foretages tjek af feltafhængigheder i
Prio.
hvor det fx beregnes, om A-skatten og AM-
2
bidraget udgør mere end 58% af A-
indberetningskanalen
”online
indberetning”,
indkomsten. Denne validering sikrer mod, at
virksomhederne indberetter for meget A-skat,
som derefter udbetales til medarbejderen.
Virksomhederne har udover
”online
indberetning” mulighed for at anvende
Risikoen for indberetning af forkerte
indkomstoplysninger og efterfølgende
udbetaling af det overskydende beløb,
er forøget, især ved anvendelsen af
”online
fil upload”, da alle
virksomheder kan anvende denne
indberetningsfacilitet.
Den validering af indeholdt A-skat og AM-bidrag,
der foretages i indberetningsfaciliteten
”online
indberetninger”, bør udvides til også at omfatte
indberetningsfaciliteterne
”Sterling
filtransport
service”,
”online
fil upload” og
”Message
Queue”.
Rapport om kontroller og funktionalitet i eIndkomst
8 af 10
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962670_0009.png
Nr.
Observationer
indberetningsfaciliteterne
IBMs ”Sterling
filtransport service”, ”online fil upload” og
”Message Queue”. Disse
indberetningskanaler
indeholder ikke tilsvarende feltevaluering, som
er indeholdt i
”online
indberetning”.
Risici
Anbefalinger
Handleplan fra Susanne Thorhauge
Kundeservice, Forretningsprocesser, Selskaber og 3. partsindberetninger:
Tidsfrist: November 2016. Kontaktperson: Kathrine Storm.
Der implementeres nye valideringstyper i eIndkomst således, at det også bliver muligt at opsætte dynamiske valideringer på filindberetninger.
Procesejer vil herefter iværksætte dynamiske valideringer på filindberetninger ud fra en nærmere vurdering af behov og konsekvens.
6.3
Helhedsorienteret risikovurdering
2015
Procesejer har oplyst, at de ikke har kendskab
Prio.
Kundeservice, også aktivt anvendes i Indsats.
2
Samtidig har Kundeservice ikke kendskab til
de risici, Indsats har identificeret.
til om de risici, som er identificeret i
Der er øget risiko for, at der ikke
arbejdes systematisk med de
identificerede risici på tværs af hele
processen.
SKAT bør iværksætte tiltag med henblik på, at den
samlede viden om risici bliver inddraget ved den
overordnede risikovurdering.
Handleplan fra Susanne Thorhauge
Kundeservice, Forretningsprocesser, Selskaber og 3. partsindberetninger:
Tidsfrist: Kvartalsmøder Q2. Kontaktperson: Kathrine Storm.
Som led i God Proces Styring (GPS) i SKAT faciliterer procesejer-kontoret, at der fra april 2016 afholdes månedlige produktionsmøder med
deltagelse fra Datafangst, KVIE og Indsats, hvor aktuelle problemstillinger kan drøftes direkte mellem Kundeservice og Indsats. Der er
ligeledes aftalt en proces, hvor tunge sager identificeret i Kundeservice, kan oversendes til Indsats.
Samtidig afholdes der Kvartalsmøder, hvor aktuelle problemstillinger, hvis løsning involverer flere fagområder, løftes. Procesejer vil
foranledige, at Indsats snarest muligt inviteres til kvartalsmøde med henblik på udveksling af oplysninger vedr. planlagte tiltag og kendte risici.
Desuden er der på underdirektørniveau iværksat afholdelse af fællesmøder mellem Indsats og Kundeservice med deltagelse af alle relevante
kontorchefer og funktionsleder. Første møde er afholdt i april 2016.
Rapport om kontroller og funktionalitet i eIndkomst
9 af 10
 SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren
1962670_0010.png
Bilag 2: Anvendt skala
Ved udarbejdelsen af konklusionen er følgende skala anvendt:
Intet behov for
procesændringer
Intern Revision har ikke observeret svagheder i de forretningsgange og
processer, der understøtter det reviderede område.
Prioritet 1:
Prioritet 2:
Behov for proces-
ændringer i mindre
omfang
Ingen observationer
Ingen observationer
Intern Revision har observeret enkelte svagheder i de forretningsgange og
processer, der understøtter det reviderede område.
Prioritet 1:
Prioritet 2:
Ingen observationer
Enkelte observationer
Behov for proces-
ændringer i større
omfang
Intern Revision har observeret flere svagheder i de forretningsgange og
processer, der understøtter det reviderede område. Observationerne er
hovedsageligt omfattet af prioritet 1 og 2 med flest observationer i prioritet 2.
Prioritet 1:
Prioritet 2:
Flere observationer
Flest observationer
Behov for
procesændringer i
væsentligt omfang
Intern Revision har observeret flere svagheder i de forretningsgange og
processer, der understøtter det reviderede område. Observationerne er
hovedsageligt omfattet af prioritet 1 eller 2 med flest observationer i prioritet 1.
Prioritet 1: Flest observationer
Prioritet 2: Flere observationer
Det skal bemærkes, at ovenstående beskrivelse, med hensyn til antal observationer pr.
prioritet, er vejledende i forhold til vores samlede vurdering af konklusionen.
Prioritering af de enkelte observationer:
Prioritet 1: Høj Risiko for manglende målopfyldelse:
Væsentlige svagheder i den etablerede forretningsgang/proces. Svaghederne kan
omfatte manglende interne kontroller, uhensigtsmæssig design af interne kontroller,
manglende regnskabsmæssige faciliteter. Som følge heraf er der en væsentlig øget
risiko for, at processens formål ikke realiseres. Manglende opfyldelse af processens
formål vil have store konsekvenser for virksomheden. Der bør snarest muligt
iværksættes foranstaltninger med henblik på at udbedre de observerede svagheder.
Prioritet 2: Middel risiko for manglende målopfyldelse:
Svagheder i den etablerede forretningsgang/proces. Svaghederne kan omfatte
manglende interne kontroller, uhensigtsmæssig design af interne kontroller, manglende
regnskabsmæssige faciliteter. Som følge heraf er der en øget risiko for, at processens
målopfyldelse ikke fuldtud realiseres. Manglende opfyldelse af processens formål vil
have store konsekvenser for virksomheden. Der bør iværksættes foranstaltninger med
henblik på at udbedre den observerede svaghed.
Prioritet 3: Lille risiko for manglende målopfyldelse:
Ingen svagheder i den etablerede forretningsgang/proces. Som følge heraf er der ikke
en øget risiko for, at processens formål ikke realiseres. Den reviderede proces kan dog
designes med henblik på at forbedre eksekveringen af processen. Processen vil dog
være omfattet af den risiko, der, uanset styrken af de interne kontroller, altid vil være til
stede.
Prioritet 4: Lille risiko for manglende målopfyldelse:
Ingen svagheder i den etablerede forretningsgang/proces. Som følge heraf er der ikke
en øget risiko for, at processens formål ikke realiseres. Processen vil dog være omfattet
af den risiko, der, uanset styrken af de interne kontroller, altid vil være til stede.
Rapport om kontroller og funktionalitet i eIndkomst
10 af 10