SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren

Skatteudvalget 2017-18
SAU Alm.del
Offentligt

5. februar 2016

J. nr. 15-2496382

Plannr. 115-055

Intern Revision

Rapport 2015

Direktørområdet SKAT IT

It-revision af SAP PS Basis

Modtager

Direktør Jesper Rønnow Simonsen, SKAT

Kopi

Direktør Karsten Juncher, SKAT

Departementet

Rigsrevisionen

Revision

Rådgivning

Rapportering

It-revision af SAP PS Basis

1 af 17

SAU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 556: Spm. om at oversende kopi af alle væsentlige rapporteringer fra Intern Revision til Skatteministeriets departement i årene 2015, 2016, 2017 og 2018, til skatteministeren

Forord

Intern Revision (IR) har, jævnfør orienteringsbrev af 11. september 2015, revideret

SAP PS Basis. Den udførte revision er en del af den samlede revision for 2015.

Rapporten indeholder en samlet konklusion omfattende det reviderede område. I

konklusionsafsnittet redegør vi for de observationer, som konklusionen i det

væsentligste er baseret på. Konklusionsafsnittet indeholder Intern Revisions

bedømmelse af det reviderede område samt en beskrivelse af grundlaget for

bedømmelsen. Det vil derfor almindeligvis være tilstrækkeligt at læse selve

rapporten. Såfremt der ønskes uddybning og detaljering, henvises der til bilagene.

Rapportens bilag 1 indeholder en systematisk fremstilling af de observationer, som

den udførte revision har givet anledning til. Bilaget indeholder tillige en vurdering

af de tilknyttede risici samt Intern Revisions forslag til anbefalinger, der kan

formindske de vurderede risici. Med udgangspunkt i risikovurderingerne har SKAT

udarbejdet handleplaner med henblik på at formindske de vurderede risici.

Intern Revisions anbefalinger har været anvendt som inspiration ved udarbejdelse

af handleplaner. Vi vil løbende vurdere implementeringen af SKATs handleplaner.

Rapportens bilag 2 indeholder en beskrivelse af de prioriteringer, der er anvendt

ved klassifikationen af de enkelte observationer. Bilaget indeholder herudover en

beskrivelse af koblingen mellem observationernes prioriteringer og den samlede

overordnede konklusion.

Rapporten har været fremsendt i udkast til den reviderede enhed med henblik på

at sikre, at Intern Revision og den reviderede enhed har en ensartet opfattelse af

de observerede forhold. SKAT har efterfølgende udarbejdet handleplaner.

København, den 5. februar 2016

Kurt Wagner

Revisionschef

Henrik Fruelund Møller

Revisor

It-revision af SAP PS Basis

2 af 17

1. Formål

Formålet med revisionen har været at vurdere, hvorvidt interne it-kontroller kan

medvirke til at opretholde informationernes integritet og sikkerheden af data, som

SAP PS behandler i relation til punktafgifter og selskabsskat.

På baggrund af revisionens observationer, er eventuelle afledte risici vurderet.

2. Omfang

Revisionen er gennemført i perioden september 2015 til november 2015 og har

omfattet en gennemgang af følgende områder af produktionsmiljøet for SAP PS:

Opsætning og anvendelse af SAP

Parametre og tabeller

Password og login

Brugere

Profiler i SAP

Egenudviklede programmer

Væsentlige transaktioner

Batchkørsler

Ændringsstyring

SIR anvender denne model til

operationel

beskrivelse

kategorisering af aktiviteterne i

SKAT.

I forbindelse med denne revision

har

revideret

følgende

funktionsområde:

Rammevilkår for

funktionsområderne

I de enkelte observationer har vi

henvist til, hvilket

funktionsområde, som

observationen vedrører.

Datafangst

Kvittering

Registering

Opgørelse

Bogføring

Opkrævning

Betaling

Inddrivelse

Regnskabsaflæggelse

SAP-specifikke begreber er defineret i bilag 3.

Revisionen er udført af Henrik Fruelund Møller i henhold til gældende

revisionsstandarder, herunder vejledninger fra Rigsrevisionen. Revisionen er

It-revision af SAP PS Basis

3 af 17

gennemført ved skriftlig henvendelse til systemejer og stikprøvevis gennemgang

af foreliggende materiale samt ved egne analyser af data i SAP PS.

Ved revisionen har vi interviewet medarbejdere fra Betalings- og

Inddrivelsessystemer under direktørområdet ”IT”.

3. Konklusion

På baggrund af den udførte revision af de undersøgte områder, er det vores

vurdering, at der

i større omfang er behov,

for ændringer af de reviderede

processer vedrørende de interne it-kontroller for SAP PS i relation til opret-

holdelsen af informationers integritet og sikkerheden af data. Denne vurdering

baserer vi på følgende forhold:

•

Der er 36 dialogbrugere som har adgang til transaktionskoden ”SE38”

hvilket giver mulighed for at oprette, ændre samt afvikle programmer i SAP

38 uden om gældende proces for ændringsstyring, hvilket forøger risikoen

for uautoriserede ændringer af systemet.

Der er en stor del af egenudviklede programmer i SAP PS der ikke er

tilknyttet en transaktionskode, hvilket bevirker at adgangen til disse

programmer ikke kan styres via autorisationer. Dette øger risikoen for

uautoriserede ændringer.

Der er ikke indlagt autorisationstjek i alle egenudviklede programmer, hvilket

øger risikoen for uautoriseret adgang til at afvikle egenudviklede

programmer.

Der er et stort antal brugeradgange til SAP PS der aldrig har været benyttet

eller ikke har været benyttet i lang tid, hvilket indikerer at der er tildelt

brugeradgange uden et arbejdsbetinget behov. Der er ikke indarbejdet en

kontrol af brugeradgange, der sikrer at brugeradgange, der ikke benyttes

gennem længere tid, nedlægges.

•

I bilag 1 er medtaget en række ”grønne” observationer hvor der er lille eller

ingen svagheder for informationernes integritet eller sikkerhed i systemet, disse

er medtaget for helhedsvurderingens skyld og fordi flere af disse er væsentligt

forbedret siden sidste revision af SAP PS.

Herudover skal oplyses at alle øvrige undersøgte kontrolpunkter i denne

revision er fundet effektive og derfor ikke har givet anledning til bemærkninger.

Vi har prioriteret de observerede forhold således:

It-revision af SAP PS Basis

4 af 17

Revisionsområde

1. Opsætning og anvendelse

2. Parametre og tabeller

3. Password og login

4. Brugere

5. Profiler i SAP

6. Egenudviklede programmer

7. Væsentlige transaktioner

8. Batchkørsler

9. Ændringsstyring

I alt

Prioritet 1

Høj Risiko

Prioritet 2

Middel risiko

Prioritet 3/4

Lille risiko

alt

2015

Prioriteterne skal ses i forhold til det reviderede område og er nærmere defineret i bilag 2.

Vi har modtaget handleplaner fra det reviderede direktørområde. Det er vores

vurdering, at implementeringen af de udarbejdede handleplaner kan medvirke til

en reduktion af de vurderede risici.

It-revision af SAP PS Basis

5 af 17

Bilag 1: Observationer, risici og anbefalinger

Observationer

1.1.

2015

Prio.

Opsætning og anvendelse

Opdatering af databasen (MSSQL)

Det er konstatere, at databasen afvikles på en SQL

Server 2008 R2 med Service Packs 3 svarende til

release 10.50.6000.

Via Microsofts’ hjemmeside er det set, at der den 9/2-

2015 er frigivet en hotfix (et stykke kode, som retter fejl)

samt en sikkerhedsopdatering den 14/7-2015, som

fortsat mangler at blive implementeret i SAP PS.

Manglende implementering

af væsentlige opdateringer,

herunder

sikkerhedsopdateringer og

support pakker, øger risikoen

for, at kendte sårbarheder og

svagheder i ERP systemet

kan misbruges.

Risici

Anbefalinger

Funktionsområde:

Rammevilkår for funktionsområderne

Vi anbefaler, at der løbende foretages en

vurdering af frigivne systemopdateringer,

og at væsentlige opdateringer herunder

sikkerhedsopdateringer implementeres.

2015 Handleplan fra Betalings- og Inddrivelsessystemer, Bente Kristensen:

Betalingssystemer er enig. Patchning af SAPPS er bestilt og vil bliver gennemført inden udgangen af juni måned 2016

2.1.

2015

Prio.

Parametre og tabeller

Flere logons på samme tid.

Vi har undersøgt parameteren

”login/disable_multi_gui_login” og har konstateret, at den

er tildelt værdien ”0”, hvilket muliggør, at samme

Muligheden for at samme

dialogbruger kan være logget

på flere terminaler samtidig

bevirker, at brugeren kan

”låne” sit login til andre

Funktionsområde:

Rammevilkår for funktionsområderne

Vi anbefaler, at værdien for parameteren

”login/disable_multi_gui_login” ændres fra

”0” til ”1” således, at en dialogbruger ikke

It-revision af SAP PS Basis

6 af 17

dialogbruger kan være logget på flere terminaler

samtidig.

Vi har foretaget test af ovenstående opsætning og kan

konstatere, at SAP fremkommer med en advarsel om, at

flere logons i produktionsmiljøet med samme bruger-id

ikke er i overensstemmelse med SAP-

licensbetingelserne.

medarbejdere, hvilket øger

risikoen for uautoriserede

adgange. Ligesom en

anvendelse af flere logins fra

samme dialogbruger er i strid

med licensrettighederne.

kan være logget på SAP PS fra flere

terminaler samtidigt.

2015 Handleplan fra Betalings- og Inddrivelsessystemer, Bente Kristensen:

Betalingssystemer er enig. Inden udgangen af februar 2016 vil parameteren blive ændret, så det som standard ikke vil blive muligt at have flere

logons på samme tid.

3.1.

2015

Prio.

Password og login

Regelmæssigt skift af password

Vi har konstateret, at der foretages automatisk password

synkronisering mellem Active Directory (AD) og SAP PS.

Vi forventer derfor, at password i SAP PS skifter efter

reglerne i AD.

Vi har foretaget en gennemgang af samtlige

dialogbrugere og har konstateret, at der er 15 gyldige

NNIT dialogbrugere, som ikke har skiftet password som

forventet inden for 90 dage, jf. kravet fra

informationsikkehed.

2015 Handleplan fra Betalings- og Inddrivelsessystemer, Bente Kristensen:

Manglende regelmæssigt

password skift øger risikoen

for uautoriseret adgang.

Funktionsområde:

Rammevilkår for funktionsområderne

Vi anbefaler, at alle gyldige dialogbrugere

skifter password i henhold til password

reglerne.

It-revision af SAP PS Basis

7 af 17

Betalingssystemer har i 1. halvår af 2015 ikke gennemført housekeeping opgaven med at sikre at der sker regelmæssig skift af password, pga

manglende ressourcer. Opgaven er genoptaget i september 2015, da der blev ansat en medarbejder til disse opgaver. Betalingssystemer har fokus

på at opgaven bliver gennemført fremadrettet.

4.1.

2015

Prio.

Brugere

Gennemgang af oprettede brugere, som ikke har været logget

på.

Vi har foretaget en gennemgang pr. 18-09-2015 af

dialogbrugerne og konstateret, at 311 dialogbrugere aldrig har

anvendt deres adgang til SAP PS og 450 dialogbrugere ikke

har anvendt deres adgange i mere end 3 måneder.

Ved en tilsvarende revision af SAP PS i 2014 var resultatet

stort set det samme. Den gang var SKAT enig i Intern

Revisions anbefaling til dette punkt og anførte i deres

handleplan, at de inden 1. november 2015 ville gennemgå

adgangene og sikre at det alene er brugere med

arbejdsbetinget behov, der har adgang til produktionsmiljøet.

Vi har forespurgt systemejer om der er sket ændringer af

processen siden sidste år og har fået besked om, at en

medarbejder hos systemejer manuelt gennemgår inaktive

brugere af SAP PS en gang om måneden.

Vores gennemgang viser at dette ikke foretages.

At 761 brugeradgange enten

aldrig er benyttet eller ikke har

været anvendt i længere tid,

indikerer at der er tildelt

brugeradgange uden

arbejdsbetinget behov. Dette

medfører en forøget risiko for

uautoriseret adgang til

systemet.

Funktionsområde:

Rammevilkår for funktionsområderne

Vi anbefaler, at der foretages en revurdering af

oprettede brugere, som ikke regelmæssigt har

været logget på SAP PS.

2015 Handleplan fra Betalings- og Inddrivelsessystemer, Bente Kristensen:

It-revision af SAP PS Basis

8 af 17

Betalingssystemer har i 1. halvår af 2015 ikke gennemført housekeeping opgaven med at gennemgå brugere, der ikke har været logget på, pga

manglende ressourcer. Opgaven er genoptaget i september 2015, da der blev ansat en medarbejder til disse opgaver. Betalingssystemer har fokus

på at opgaven bliver gennemført fremadrettet.

5.1.

2015

Profiler i SAP

Adgang til udviklingsprofilen

Funktionsområde:

Rammevilkår for funktionsområderne

Udviklingsprofilen S_Develop bør kun i

nødstilfælde tildeles og anvendes i

produktionsmiljøet, da den er designet til

udviklingsmiljøet.

Standardudviklingsprofilen S_Develop er designet til

udviklingsmiljøet, men er indeholdt i egenudviklede roller, der

Prio.3

kan ændre produktionsmiljøet.

Vi har dog konstateret, at produktionsmiljøet er låst, hvorfor

ændringer via S_Develop kun kan gennemføres, når der låses

op under specielle omstændigheder fx i forbindelse med en

transitionsfase eller større opgraderinger.

SKAT oplyser i deres handleplan efter revisionen af SAP PS i

2014, at SKAT var enig i observationen, men at de accepterer

risikoen, da S_Develop alene er indarbejdet i roller, der er

tildelt systemejere, driftsleverandøren og tekniske brugere

2015 Handleplan fra Betalings- og Inddrivelsessystemer, Bente Kristensen:

Betalingssystemer har i 1. halvår af 2015 ikke gennemført housekeeping opgaven med at gennemgå brugere, der ikke har været logget på, pga

manglende resssourcer. Opgaven er genoptaget i september 2015, da der blev ansat en medarbejder til disse opgaver. Betalingssystemer har fokus

på at opgaven bliver gennemført fremadrettet.

Egenudviklede programmer

Funktionsområde:

It-revision af SAP PS Basis

9 af 17

Rammevilkår for funktionsområderne

6.1.

2015

Prio.

Transaktionskoder til egenudviklede programmer

Vi har pr. 30-09-2015 konstateret at 225 programmer ud af

3.280 egenudviklede programmer er tilknyttet en

transaktionskode.

Dermed er der 3.055 egenudviklede programmer der ikke er

tilknyttet en transaktionskode. Dette betyder, at egenudviklede

programmer skal startes af et andet program eller via

transaktionskoderne SA38 eller SE38, som ikke bør anvendes i

produktionsmiljøer.

Ved revision i 2014 oplyste SKAT at de var er enige i at

manglende tilknytning af en transaktionskode til egenudviklede

programmer bevirker, at adgangen til programmer ikke kan

styres via autorisationer. Dette øger risikoen for uautoriserede

ændringer.

Desuden oplyste SKAT, at Betalings- og Inddrivelsessystemer

inden 30. juni 2015 vil beskrive processer der sikrer, at der ved

nyudvikling af programmer vil blive tilknyttet transaktionskoder

til egenudviklede programmer.

For allerede udviklede programmer ville Betalings- og

Inddrivelsessystemer, inden 1. november 2015, gennemgå de

programmer der er aktive og tilknytte transaktionskoder til

disse egenudviklede programmer.

Procesejer har den 13.11.2015 på forespørgsel oplyst at

procesbeskrivelsen vil fremgå af samarbejdshåndbogen med

Manglende tilknytning af en

transaktionskode til

egenudviklede programmer

bevirker, at adgangen til

programmer ikke kan styres via

autorisationer. Dette øger

risikoen for uautoriserede

ændringer.

Vi anbefaler, at SKAT følger ”SAP Development

Guidelines” på området og tilknytter

transaktionskoder til egenudviklede

programmer.

It-revision af SAP PS Basis

10 af 17

NNIT (Novo Nordisk IT), Denne forventes godkendt primo

december 2015.

Endvidere fremgår det af svaret at arbejdet med at tilknytte

transaktionskoder til allerede udviklede programmer først

forventes afsluttet inden 31. december 2015.

2015 Handleplan fra Betalings- og Inddrivelsessystemer, Bente Kristensen:

Processen er beskrevet i samarbejdshåndbogen med leverandøren og der er taget stilling til, at allerede udviklede programmer vil få tilknyttet en

transaktionskode, efterhånden som der sker ændringer i programmerne. Samarbejdshåndbogen blev godkendt i december 2015.

6.2.

2015

Prio.

Rettigheder til at programmere

Vi har konstateret, at 36 dialogbrugere kan oprette, ændre og

afvikle programmer via transaktionskoden SE38 i

produktionsmiljøet.

Vi har konstateret, at 1 af de 36 dialogbrugere, som

organisatorisk placeret i Betaling og regnskab.

Endvidere har vi konstateret, at 3 af 36 dialogbrugere aldrig har

været logget på SAP PS. Det er vores vurdering at tildelingen

derfor ikke baseret på et arbejdsbetinget behov og at disse

derfor ikke bør have adgang til at ændre programmer i

produktionsmiljøet.

Brugere, der har adgang til

SE38 øger risikoen for

uautoriserede ændringer.

Vi anbefaler, at ingen dialogbrugere opnår

adgang til transaktionskoden SE38.

2015 Handleplan fra Betalings- og Inddrivelsessystemer, Bente Kristensen:

Betalingssystemer har gennemgået brugere, der har adgang til SE38. Adgangen er blevet begrænset til systemejere og udvalgte medarbejdere hos

leverandøren. De medarbejdere, der ikke anvender deres adgang, vil i forbindelse med housekeeping opgaven, bliver låst. Adgangen vil blive tildelt,

når der på ny opstår et arbejdsmæssigt behov.

6.3.

2015

Afvikling af programmer

Vi har konstateret, at 36 dialogbrugere kan afvikle programmer

via transaktionskoden SA38 i produktionsmiljøet.

Brugere, der har adgang til

SA38, kan afvikle alle

programmer i

produktionsmiljøet, hvilket kan

Vi anbefaler, at der etableres transaktionskoder

til installerede programmer, således at ingen

brugere opnår adgang til at afvikle programmer

It-revision af SAP PS Basis

11 af 17

Prio.

Betalings- og Inddrivelsessystemer har i deres handleplan til

revision fra 2014 anført at de inden 1. november 2015 vil

gennemgå adgange og sikre, at det alene er brugere med

arbejdsbetinget behov, der har adgang til at afvikle

programmer. Da 2 brugere aldrig har brugt deres

brugeradgang ser denne handleplan ikke ud til at være

gennemført.

påvirke sikkerheden samt

medføre fejl i finansielle data.

i produktionsmiljøet via transaktionskoden

SA38.

2015 Handleplan fra Betalings- og Inddrivelsessystemer, Bente Kristensen:

I samarbejdshåndbogen med leverandøren er det beskrevet at der skal tilknyttes en transaktionskode ved udvikling af nye programmer. Der er taget

stilling til at allerede udviklede programmer vil få tilknyttet en transaktionskode, efterhånden som der sker ændringer i programmerne.

Samarbejdshåndbogen blev godkendt i december 2015. Betalingssystemer har som en kompenserende handling gennemgået brugere, der har

adgang til SA38. Adgangen er blevet begrænset til systemejere og udvalgte medarbejdere hos leverandøren. De medarbejdere, der ikke anvender

deres adgang, vil i forbindelse med housekeeping opgaven, bliver låst.

6.4.

2015

Prio.

Autorisationstjek i egenudviklede programmer

Der er konstateret nyudviklede programmer i 2015, og ikke alle

har indlagt autorisationstjek.

Betalings- og Inddrivelsessystemer har oplyst, at de arbejder

på, at få alle processer på plads med NNIT, der begyndte som

leverandør i december 2014 – Det har resulteret i en større

gennemgang af ændringsprocessen, herunder krav til udvikling

af nye programmer. Dette arbejdet bliver dokumenteret i

samarbejdshåndbogen med NNIT.

Det er oplyst, at opgaven med at ændre aktive programmer er i

gang og der forventes et godkendt notat inden 31.december

2015.

Manglende autorisationstjek

øger risikoen for uautoriseret

adgang til at afvikle

egenudviklede programmer.

Vi anbefaler, at SAP ”best Practice” på området

følges, og at der etableres autorisationscheck i

egenudviklede programmer.

2015 Handleplan fra Betalings- og Inddrivelsessystemer, Bente Kristensen:

Processen er beskrevet i samarbejdshåndbogen med leverandøren. Betalingssystemer vil for de allerede udviklede programmer, få indbygget et

autorisationscheck, efterhånden som der sker ændringer i z-programmerne. Samarbejdshåndbogen blev godkendt i december 2015.

It-revision af SAP PS Basis

12 af 17

Væsentlige transaktioner

Området har ikke givet anledning til væsentlige

bemærkninger.

Funktionsområde:

Rammevilkår for funktionsområderne

8.1.

2015

Prio.

Batchkørsler

Adgang til styring af baggrundsjob

Vores gennemgang viser, at der er

163 dialogbrugere, som via SM35 kan ”release” og ”delete”

batch input

•

36 dialogbrugere, som via SM36 eller SM64 kan ”release”

og ”delete” schedulerede baggrund job.

•

36 dialogbrugere, som via SM37 kan ”release” og ”delete”

baggrundsjob (Batch job)

Systemejer er blevet bedt om at fremvise en behovsvurdering

til dette punkt.

Den 13.11.2015 har systemejer svaret at opgaven med at sikre

at det alene er brugere med et arbejdsbetinget behov, der har

adgang til at styre batchkørsler er nedprioriteret. Opgaven

forventes først at være løst i juni 2016.

•

Funktionsområde:

Rammevilkår for funktionsområderne

Vi anbefaler, at kun brugere med et

arbejdsbetinget behov, får autorisationer til

transaktionerne SM35, SM36 og SM37.

It-revision af SAP PS Basis

13 af 17

9.1.

2015

Prio.

Ændringsstyring

Importerede ændringsønsker (transporter) i SAP PS

Det er konstateret, at der er 102 ændringer, som er lagt i

produktion i perioden 01.01.2015 til 31.12.2015.

Vores gennemgangen viser følgende:

•

1 Atos-bruger står som ejer af 1 ændring udført i maj 2015

2 NNIT-Xbasis brugere står som ejer af 2 ændringer

7 NNIT-Xkon brugere står som ejer af 54 ændringer

1 NNIT-XPI bruger står som ejer af 8 ændringer

2 SKAT-brugere står som ejer af 22 ændringer

4 brugere er ikke registreret i SAP PS, men står som ejer af

15 ændringer. Det er følgende brugere: w18777;

NNIT_RDZC; NNIT_HBT og TNS.

Et stort antal brugere med

adgang til at importere

ændringsønsker, øger risikoen

for uautoriserede ændringer.

Vi anbefaler, at SKAT foretager en

gennemgang af ændringerne til verifikation af,

at kun godkendte ændringer er lagt i produktion.

Endvidere anbefaler vi, at SKAT tager stilling til,

hvilke type NNIT konsulenter, som må

importere ændringsønsker i SAP PS.

Vores gennemgang viser, at der er i 2015 er mange forskellige

personer som har lagt ændringer i produktion. Bl.a. er der

udført ændringer af en ATOS bruger efter driften er overdraget

til NNIT. Endvidere er der foretaget ændringer af NNIT-XPI

brugere som er udviklere hos NNIT, ligesom der er 15

transporter som er udført af brugere som ikke kan identificeres

i SAP PS.

2015 Handleplan fra Betalings- og Inddrivelsessystemer, Bente Kristensen:

I forbindelse med overgang til nye leverandør primo 2015 har Betalingssystemer arbejdet på at få etableret en ændringsproces, herunder processen

for at transporter til produktion. En detaljeret beskrivelse af ændringsprocessen er implementeret i november 2015. Betalingssystemer følger løbende

op på at processen bliver overholdt. Om Atos bruger: Der blev oprettet og frigivet en transport til test, da Atos var leverandør. Transporten blev afvist

af SKAT. NNIT overtager herefter opgaven, og løser den, men den oprindelige bruger fra Atos står teknisk stadig som ejer af transporten.

9.2.

2015

Test og godkendelse af ændringer

Manglende dokumentation

for ændringer og test

Vi anbefaler, at processen omfattende

dokumentationen af udførte tests og

It-revision af SAP PS Basis

14 af 17

Prio.

Vi har via stikprøver foretaget en gennemgang af SAP

PS ændringer for perioden 01.01.2015 til 31.12.2015.

Gennemgangen viser, at SKAT har forbedret processen

og dokumentationen i Remedy i forbindelse med

ændringer. Ved vores gennemgang fandt vi dog en

ændring (RQC0013534) som ikke indeholder

dokumentation for udført test, ligesom

ændringsdokumentet ikke er udfyldt i tilstrækkeligt

omfang.

bevirker, at der kan opstå

tvivl om, hvorvidt en ændring

er godkendt.

anvendelse af ”Ændringsdokumentet”

konkretiseres med henblik på at styrke

dokumentationen af området.

2015 Handleplan fra Betalings- og Inddrivelsessystemer, Bente Kristensen:

I forbindelse med overgang til nye leverandør primo 2015 har Betalingssystemer arbejdet på at etablere en ændringsproces, der sikrer at de

nødvendige godkendelser sker. En detaljeret beskrivelse af ændringsprocessen er implementeret i november 2015. Betalingssystemer følger

løbende op på at processen bliver overholdt.

SLUT

It-revision af SAP PS Basis

15 af 17

Bilag 2: Anvendt skala

Ved udarbejdelsen af konklusionen er følgende skala anvendt:

Intet behov for

procesændringer

Intern Revision har ikke observeret svagheder i de forretningsgange og

processer, der understøtter det reviderede område.

Prioritet 1:

Prioritet 2:

Behov for proces-

ændringer i mindre

omfang

Ingen observationer

Intern Revision har observeret enkelte svagheder i de forretningsgange og

processer, der understøtter det reviderede område.

Prioritet 1:

Prioritet 2:

Ingen observationer

Enkelte observationer

Behov for proces-

ændringer i større

omfang

Intern Revision har observeret flere svagheder i de forretningsgange og

processer, der understøtter det reviderede område. Observationerne er

hovedsageligt omfattet af prioritet 1 og 2 med flest observationer i prioritet 2.

Prioritet 1:

Prioritet 2:

Flere observationer

Flest observationer

Behov for

procesændringer i

væsentligt omfang

Intern Revision har observeret flere svagheder i de forretningsgange og

processer, der understøtter det reviderede område. Observationerne er

hovedsageligt omfattet af prioritet 1 eller 2 med flest observationer i prioritet 1.

Prioritet 1: Flest observationer

Prioritet 2: Flere observationer

Det skal bemærkes, at ovenstående beskrivelse, med hensyn til antal observationer pr.

prioritet, er vejledende i forhold til vores samlede vurdering af konklusionen.

Prioritering af de enkelte observationer:

Prioritet 1: Høj Risiko for manglende målopfyldelse:

Væsentlige svagheder i den etablerede forretningsgang/proces. Svaghederne kan

omfatte manglende interne kontroller, uhensigtsmæssig design af interne kontroller,

manglende regnskabsmæssige faciliteter. Som følge heraf er der en væsentlig øget

risiko for, at processens formål ikke realiseres. Manglende opfyldelse af processens

formål vil have store konsekvenser for virksomheden. Der bør snarest muligt

iværksættes foranstaltninger med henblik på at udbedre de observerede svagheder.

Prioritet 2: Middel risiko for manglende målopfyldelse:

Svagheder i den etablerede forretningsgang/proces. Svaghederne kan omfatte

manglende interne kontroller, uhensigtsmæssig design af interne kontroller, manglende

regnskabsmæssige faciliteter. Som følge heraf er der en øget risiko for, at processens

målopfyldelse ikke fuldtud realiseres. Manglende opfyldelse af processens formål vil

have store konsekvenser for virksomheden. Der bør iværksættes foranstaltninger med

henblik på at udbedre den observerede svaghed.

Prioritet 3: Lille risiko for manglende målopfyldelse:

Ingen svagheder i den etablerede forretningsgang/proces. Som følge heraf er der ikke

en øget risiko for, at processens formål ikke realiseres. Den reviderede proces kan dog

designes med henblik på at forbedre eksekveringen af processen. Processen vil dog

være omfattet af den risiko, der, uanset styrken af de interne kontroller, altid vil være til

stede.

Prioritet 4: Lille risiko for manglende målopfyldelse:

Ingen svagheder i den etablerede forretningsgang/proces. Som følge heraf er der ikke

en øget risiko for, at processens formål ikke realiseres. Processen vil dog være omfattet

af den risiko, der, uanset styrken af de interne kontroller, altid vil være til stede.

It-revision af SAP PS Basis

16 af 17

Bilag 3: Definition af SAP-specifikke begreber

Begreb

Autorisationer

Definition

Defineres pr. bruger og omfatter rettigheder i SAP fx til at læse og/eller ændre

data. Brugere tildeles typisk profiler/roller, som består af en række

autorisationer.

Verificerer om en bruger har de relevante autorisationer/rettigheder til at udføre

en given handling fx afvikle et program.

Er programmer, der kører automatisk i baggrunden og behandler typisk store

datamængder i bestemte intervaller fx import eller eksport af data mellem

systemer.

Er en fysisk person med eget brugernavn og adgangskode. Brugere tildeles

roller.

Er tabeller, som vedrører en enkelt klient fx test (QST) eller produktion (PRD).

Er tabeller, som vedrører flere klienter fx test (QST) og produktion (PRD).

Indeholder rettigheder, som bevirker, at brugerne opnår en række

autorisationer til at benytte SAP systemet. En profil kan indeholde en eller flere

roller.

Omfatter funktionalitet udviklet i programmeringssproget ABAP, som kan

afvikles i SAP til fx at fremvise, ændre og/eller slette data.

Indeholder rettigheder, som bevirker, at brugeren opnår en række

autorisationer til at benytte SAP systemet.

Transaktionskoden giver mulighed for at afvikle programmer eller rapporter.

Profilen har alle eksisterende autorisationer i SAP og således ubegrænsede

rettigheder i systemet.

Profilen har relevante autorisationer til opgradering af SAP miljøet

Transaktionskoden giver mulighed for at oprette, ændre og afvikle programmer

eller rapporter.

Brugere, som SAP er født med og kan tilgås af fysiske personer, såfremt

adgangskoden er kendt.

Omfatter sikkerhedsindstillinger, der kan anvendes til at konfigurere systemet.

”s_tcode” omfatter kommandoer, der giver adgang til skærmbilleder i SAP.

Omfatter ændringer til SAP.

Er en profil, der giver mulighed for at ændre SAP.

UMR er en liste/tabel, som indeholder alle oplysninger om alle brugere i SAP,

herunder, hvilke roller brugerne har.

Autorisationstjek

Batchkørsler

Dialogbrugere

Klientafhængige

tabeller

Klientuafhængige

tabeller

Profiler

Programmer

Roller

SA38

SAP_ALL

SAP_NEW

SE38

Standardbrugere

Systemparametre

Transaktionskoder

Transporter

Udviklingsprofiler

User Master Record

It-revision af SAP PS Basis

17 af 17