Skatteudvalget 2019-20
SAU Alm.del Bilag 187
Offentligt
2160933_0001.png
7. februar 2017
J. nr. 16-04723140
Plannr. 116-015
Skatteministeriets Koncernrevision
Rapport 2016
It og Data
HR og Stab
Kundeservice
It-revision
af ”Overensstemmelse med
lov-
og kontaktkrav”
Modtager
Direktør Merete Agergaard
Kopi
Direktør Claus Middelboe Andersen, It og Data
Direktør Winnie Jensen, HR & Stab
Direktør Karin Bergen, Kundeservice
Departementet
Revision
Rådgivning
Rapportering
 SAU, Alm.del - 2019-20 - Bilag 187: Revisionsrapport fra Skatteministeriets Koncernrevision om It-revision af "Overensstemmelse med lov- og kontraktkrav"
2160933_0002.png
Forord
Skatteministeriets Koncernrevision
...
har, jævnfør orienteringsbrev
. .
april
. ...... . .. .. .. .. . . . . .
af 28.
. . . ..
(SKR)
.. . ..
.. . . ... .
2016, revideret
området ”A.18 Overensstemmelse” fra ISO 27001:2013
. Den
udførte revision er en del af den samlede revision for 2016.
Rapporten har været fremsendt i udkast til de reviderede enheder med henblik på
at sikre, at SKR og de reviderede enheder har en ensartet opfattelse af de
observerede forhold. SKAT har efterfølgende udarbejdet handleplaner.
Rapporten indeholder en samlet konklusion omfattende det reviderede område. I
konklusionsafsnittet redegør vi for de observationer, som konklusionen i det
væsentligste er baseret på. Konklusionsafsnittet indeholder SKRs bedømmelse af
det reviderede område samt en beskrivelse af grundlaget for bedømmelsen. Det
vil derfor almindeligvis være tilstrækkeligt at læse selve rapporten. Såfremt der
ønskes uddybning og detaljering, henvises der til bilagene.
Rapportens bilag 1 indeholder en systematisk fremstilling af de observationer, som
den udførte revision har givet anledning til. Bilaget indeholder tillige en vurdering
af de tilknyttede risici samt SKRs forslag til anbefalinger, der kan formindske de
vurderede risici. Med udgangspunkt i risikovurderingerne har SKAT udarbejdet
handleplaner med henblik på at formindske de vurderede risici. SKRs anbefalinger
har været anvendt som inspiration ved udarbejdelse af handleplaner. Vi vil løbende
vurdere implementeringen af SKATs handleplaner.
Rapportens bilag 2 indeholder en beskrivelse af de prioriteringer, der er anvendt
ved klassifikationen af de enkelte observationer. Bilaget indeholder herudover en
beskrivelse af koblingen mellem observationernes prioriteringer og den samlede
overordnede konklusion.
København, den 7. februar 2017
Kurt Wagner
Revisionschef
Annette Kirstine Skov Pedersen
Manager
A.18 Overensstemmelse
2 af 16
 SAU, Alm.del - 2019-20 - Bilag 187: Revisionsrapport fra Skatteministeriets Koncernrevision om It-revision af "Overensstemmelse med lov- og kontraktkrav"
2160933_0003.png
1. Formål
Formålet med revisionen er at undersøge, hvorvidt SKAT har etableret procedurer
og kontroller, som er med til at forhindre overtrædelse af lov-, myndigheds- eller
kontraktkrav i relation til informationssikkerhed og andre sikkerhedskrav samt om
Informationssikkerhed er implementeret og drives i overensstemmelse med
organisationens politikker og procedurer.
2. Omfang
Revisionen er udført i perioden april til august 2016 med udgangspunkt i ISO
standarden 27001 og har omfattet emnet ”A.18 Overensstemmelse” med følgende
hovedområder:
A.18.1 Overensstemmelse med lov- og kontraktkrav, hvor det undersøges,
om etablerede kontroller forhindrer overtrædelse af lov-, myndigheds- eller
kontraktkrav i relation til informationssikkerhed og andre sikkerhedskrav.
A.18.2 Gennemgang af informationssikkerhed, hvor det undersøges, om
etablerede kontroller medvirker til at sikre, at informationssikkerhed er
implementeret og drives i overensstemmelse med organisationens politikker
og procedurer.
Lov-, myndigheds- og kontraktkrav i relation til informationssikkerhed er omfattet
af samme regler og procedurer som øvrige lov-, myndigheds- og kontraktkrav i
SKAT. I forbindelse med revisionen anvendes nedenstående model, som opdeler
processen i en række funktionsområder. Vi har i forbindelse med nærværende
revision revideret området
”Rammevilkår
for funktionsområderne”.
Rammevilkår for funktionsområderne
Datafangst
Kvittering
Registering
Opgørelse
Bogføring
Opkrævning
Betaling
Inddrivelse
Regnskabsaflæggelse
A.18 Overensstemmelse
3 af 16
 SAU, Alm.del - 2019-20 - Bilag 187: Revisionsrapport fra Skatteministeriets Koncernrevision om It-revision af "Overensstemmelse med lov- og kontraktkrav"
2160933_0004.png
ISO 27001 standarden for informationssikkerhed har været obligatorisk for
statslige myndigheder siden starten af 2014, som besluttet i Finansministeriets
plan ”Enkel administration i staten”,
og skulle være implementeret primo 2016.
Departementet er bekendt med, at SKATs implementering af ISO 27001 først vil
være gennemført ved udgangen af 2016 (j.nr. 15-1528730).
Revisionen er udført af Klaus Friis Myssen og Annette Kirstine Skov Pedersen i
henhold til gældende revisionsstandarder. Revisionen er gennemført ved
interviews og stikprøvevis gennemgang af foreliggende materiale.
Ved revisionen har vi interviewet medarbejdere fra følgende kontorer i SKAT: HR
og Stab, Forretningsprocesser, Styring og Analyse, Fonde & Koncerner Øst samt
Informationssikkerhed.
3. Konklusion
Det er vores vurdering, at der
i mindre omfang er behov
for ændringer i de
reviderede processer i relation til området
”A.18. Overensstemmelse”.
Denne vurdering baserer vi på følgende forhold:
Der er udarbejdet en lovkoordineringsproces dækkende implementering af al
ny lovgivning, herunder lovgivning relateret til informationssikkerhed, men
processen er ikke kendt i tilstrækkelig omfang blandt interessenterne.
Skabelonen
”Standard for implementering”
udfyldes ikke ensartet og
fuldstændigt, og derved vises fremdriften af implementeringen af de enkelte
lovforslag ikke.
Der mangler en formel lovkoordinering i flere fagkontorer.
Styresignalet, som vi har gennemgået, overholdt ikke de vejledende milepæle
som beskrevet i procesbeskrivelsen.
Kontoret for Informationssikkerhed har udarbejdet relevante håndbøger og
standarder, men der mangler fortsat et kendskab til, forståelse for og
efterlevelse af sikkerhedskravene i SKAT.
Disse forhold øger risikoen for overtrædelse af gældende lov-, myndighedskrav og
kontraktkrav.
Vi har udarbejdet et antal anbefalinger til styrkelse af de enkelte hovedområder.
Samtlige anbefalinger fremgår af bilag 1.
Vi har prioriteret de observerede forhold således:
A.18 Overensstemmelse
4 af 16
 SAU, Alm.del - 2019-20 - Bilag 187: Revisionsrapport fra Skatteministeriets Koncernrevision om It-revision af "Overensstemmelse med lov- og kontraktkrav"
2160933_0005.png
Nr.
A.18.1
A.18.1.1
A.18.1.2
A.18.1.3
A.18.1.4
A.18.1.5
A.18.2
A.18.2.1
A.18.2.2
A.18.2.3
Revisionsemne
Overensstemmelse med lov- og kontraktkrav
Identifikation af gældende lovgivning og kontraktkrav
Immaterielle rettigheder
Beskyttelse af registreringer
Privatlivets fred og beskyttelse af personoplysninger
Regulering af kryptografi (ej relevant)
Gennemgang af informationssikkerhed
Uafhængig gennemgang af informationssikkerhed
Overensstemmelse med sikkerhedspolitikker og-
standarder
Undersøgelse af teknisk overensstemmelse
I alt
Prio. Prio. Prio. Prio.
I alt
1
2
3
4
0
0
0
0
6
1
0
0
2
0
0
0
0
0
1
1
8
1
1
1
0
0
0
0
0
1
0
8
0
0
0
2
1
0
1
4
1
1
1
14
Prioriteterne skal ses i forhold til det reviderede område og er nærmere defineret i bilag 2.
Vi har modtaget handleplaner fra de reviderede direktørområder for nogle af
observationerne. Det er vores vurdering, at implementeringen af de udarbejdede
handleplaner vil medvirke til en reduktion af de vurderede risici.
For tre observationer er der ikke udarbejdet handleplaner. Intern revision har indsat
en tidsfrist for opfølgning på disse.
A.18 Overensstemmelse
5 af 16
 SAU, Alm.del - 2019-20 - Bilag 187: Revisionsrapport fra Skatteministeriets Koncernrevision om It-revision af "Overensstemmelse med lov- og kontraktkrav"
2160933_0006.png
Bilag 1: Observationer, risici og anbefalinger
Nr.
A.18.1
Observationer
Risici
Anbefalinger
Kontrolmål: Overensstemmelse med lov- og kontraktkrav
A.18.1.1 Identifikation af gældende lovgivning og kontraktkrav
A.18.1.1.1
Lovkoordineringsprocessen
Vi har gennemgået retningslinjer for
Prio. 2
lovkoordineringsprocessen med
medarbejdere fra
”GPS-kontoret” under
”Styring & Analyse” og fra kontoret
”Afgifter & Lovkoordinering” under
”Jura”. Vi har fået oplyst, at
retningslinjerne er under ajourføring.
Vi har ved gennemgangen konstateret,
at retningslinjerne ikke er strukturerede,
så roller, ansvar og opgaver fremgår
klart.
Vi har ved interview med medarbejderne
i ovennævnte kontorer konstateret, at
der ikke i tilstrækkelig omfang er
kendskab til den formelle
lovkoordineringsproces.
Manglende klar definition af roller,
ansvar og opgaver i den formelle
lovkoordineringsproces øger
risikoen for, at processen ikke
kendes i tilstrækkelig omfang af
relevante medarbejdere, hvilket
kan medføre manglende
efterlevelse af lov- og
kontraktkrav.
Vi anbefaler, at kontorerne for
”Afgifter &
Lovkoordinering” og
”GPS”
udarbejder en
samlet og formelt godkendt proces for de
dele af lovkoordineringsprocessen, som
indeholder snitflader mellem de to kontorer.
Den samlede proces bør indeholde
procesflowdiagrammer, med angivelse af
roller, ansvar og opgaver. Endvidere bør
relevante kontroller fremgå af
procesbeskrivelsen.
Handleplan
Afgifter & Lovkoordinering vil indgå i et samarbejde med Forretningsdata & Analyse med henblik på udarbejdelse af en samlet
lovkoordineringsproces, som indeholder klare snitflader imellem de to kontorer, både med hensyn til roller, ansvar og opgaver. Processen vil
endvidere indeholde et kontrolelement.
Kontaktperson og tidsfrist
Kristina Stenbæk (Forretningsdata & Analyse)
1)
Tidsfrist: 1. juni 2017
A.18 Overensstemmelse
6 af 16
 SAU, Alm.del - 2019-20 - Bilag 187: Revisionsrapport fra Skatteministeriets Koncernrevision om It-revision af "Overensstemmelse med lov- og kontraktkrav"
2160933_0007.png
A.18.1.1.2
Anvendte skabeloner i
lovkoordineringsprocessen
Prio. 3
I forbindelse med ændringer i
lovgivningen anvendes skabelonerne
”Høringssvar fra forretningsområderne”
og ”Standard for implementering”
i
lovkoordineringsprocessen i
”Afgifter &
Lovkoordinering”.
Vi har konstateret, at begge skabeloner
kræver angivelse af oplysninger om
forventede omkostningsskøn fordelt på
fremtidige år.
A.18.1.1.3
Kontrolbeskrivelser i processen for God
Processtyring (GPS)
Prio. 2
”GPS-kontoret”
varetager bl.a. opgaven
med at udarbejde en proces for god
processtyring (GPS). Processen skal
skabe overblik over de tiltag, der skal
gennemføres for at sikre korrekt
implementering af nye love,
lovændringer og bekendtgørelser.
”GPS-kontoret”
har udarbejdet
vejledninger og procesdiagrammer for
implementering af love og
bekendtgørelser, som også indeholder
relevante kontroller.
Vi har gennemgået kontrolbeskrivelserne
og konstateret, at der mangler en
stillingtagen til:
Hvilke risiko kontrollen skal afdække.
Dokumentation for udførelse.
Bemærkninger
Vi anbefaler, at
afdelingerne for ”Afgifter og
Lovkoordinering”
samt ”GPS-kontoret”,
(der
udarbejder proces for god processtyring
(GPS), gennemgår af de anvendte
skabeloner for at sikre, at redundante
informationer ikke forekommer.
Manglende tilstrækkelige
kontrolbeskrivelser medfører
risiko for, at kontrollen ikke
udføres ensartet og tilstrækkeligt
systematisk.
Vi anbefaler, at kontrolbeskrivelserne
suppleres med information om, hvilken
risiko kontrollen skal afdække og hvordan
udførelse af kontrollen dokumenteres.
A.18 Overensstemmelse
7 af 16
 SAU, Alm.del - 2019-20 - Bilag 187: Revisionsrapport fra Skatteministeriets Koncernrevision om It-revision af "Overensstemmelse med lov- og kontraktkrav"
2160933_0008.png
SKAT kan
ikke
tilslutte sig observationen. Det fremgår af proceskortlægningen for standard for implementering af love og bekendtgørelser, at
kontrollen varetages af end-to-end koordinatoren, og at kontrollen foretages månedligt.
Proceskortlægningen er en del af materialet, som er tilsendt Skatteministeriets Koncernrevision i løbet af revisionen.
Kontaktperson
Kenn Kammeyer Christiansen (GPS, Forretningsdata og analyse)
Intern revision:
SKAT har ikke udarbejdet handleplan.
Intern revision anser ovenstående for at være en accept af risikoen og vil følge op herpå.
Frist for implementering fastsat til: 7. februar 2017
A.18.1.1.4
Processen for implementering
Vi har fået oplyst, at kontoret
for ”Afgifter
Prio. 2
og Lovkoordinering” iværksætter
processen for implementering, når en lov
er vedtaget i Folketinget. I henhold til
denne proces fremsendes en mail til de
forretningsområder, som har afgivet
høringssvar, men ikke til de aktører, som
bliver berørt af implementeringen, og
som er anført i dokumentet "Standard for
implementering".
Manglende involvering af berørte
forretningsområder øger risikoen
for, at ikke alle relevante aktører i
SKAT bliver orienteret om den
igangværende implementering af
ny lovgivning. Herved kan
processen for implementeringen
af lovforslaget blive forsinket eller
lovforslaget implementeres ikke i
alle relevante områder i SKAT.
Vi anbefaler, at det i forbindelse med
vedtagelse af en lov kontrolleres, at alle
relevante interessenter orienteres. Til brug
herfor kan fx dokumentet
”Standard for
implementering”
benyttes, da denne
skabelon kan indeholde flere relevante
interessenter end de afdelinger, der har haft
forslaget til høring.
Handleplan
Kundeservice vil i forbindelse med punkt. A.18.1.1.6 give ansvaret til nøglepersoner i Kundeservices interne lovhøringsproces, som vil påtage sig
opgaven med at videresende orienteringsmailen fra Jura til relevante høringsparter. Disse nøglepersoner vil være placeret i Ledelsessekretariatet i
Kundeservice.
Kontaktperson og tidsfrist
Lars Tjærby Rasmussen (Ledelsessekretariat i Kundeservice)
Tidsfrist: 1. april 2017
A.18.1.1.5
Anvendelse af skabelonen
”Standard for
implementering”
Prio. 2
Vi har fået oplyst, at skabelonen løbende
skal udfyldes af en af de ansvarlige, fx
A.18 Overensstemmelse
Manglende eller mangelfuld
udfyldelse af skabelonen øger
risikoen for, at fremdriften i
implementeringen af de enkelte
lovforslag ikke kendes, og at
Vi anbefaler, at det præciseres overfor E2E-
koordinatorne, at vejledningen på området
skal følges, og at skabelonen løbende skal
udfyldes.
8 af 16
 SAU, Alm.del - 2019-20 - Bilag 187: Revisionsrapport fra Skatteministeriets Koncernrevision om It-revision af "Overensstemmelse med lov- og kontraktkrav"
2160933_0009.png
en procesejer, og kontrolleres i henhold
til GPS-processen af en
udpeget ”End-
to-End
koordinator”
(E2E) i forbindelse
med fremdrift i implementeringen.
Vi har gennemgået skabelonen og
vurderer, at denne i al væsentlighed er
designet på en hensigtsmæssig måde til
at vise fremdriften i de enkelte
implementeringer.
Vi har udtaget en stikprøve på 12
udfyldte skabeloner og efterprøvet, om
dokumentet udfyldes i
overensstemmelse med vejledningen og
om man kan se status på
implementeringen.
Gennemgangen har vist, at:
8 ud af 12 mangler angivelse af en
personlig E2E,
Der i samtlige dokumenter er
identificeret tomme statusfelter,
8 ud af 12 mangler angivelse af den
samlede status på
implementeringsaktiviteterne
2 ud af 12 mangler angivelse af
omkostningskøn
Endvidere fremgår det ikke, om E2E
løbende følger op som forventet.
Revisionen er opmærksom på, at
stikprøven er taget på et tidspunkt, hvor
processen ikke var færdigimplementeret.
lovforslaget derfor ikke
implementeres som forventet.
Endvidere anbefaler vi, at standarden
suppleres med et ”felt”,
hvori E2E kan
angive sine status bemærkninger, hvilket
samtidig synliggør, at E2E har fulgt op som
forventet.
Handleplan
Forret i gsdata & A alyse vil revidere ”Sta dard for i ple e teri g”, sa t kvalitetssikre alle procesdiagra
er og vejled i ger
herefter. Det
vurderes, at dette arbejde bør færdiggøres sideløbende med ovenstående afklaring af end-to-end koordinatorernes mandat og rolle i SKAT.
A.18 Overensstemmelse
9 af 16
 SAU, Alm.del - 2019-20 - Bilag 187: Revisionsrapport fra Skatteministeriets Koncernrevision om It-revision af "Overensstemmelse med lov- og kontraktkrav"
2160933_0010.png
Kontaktperson og tidsfrist
Kontaktperson: Kenn Kammeyer Christiansen (GPS, Forretningsdata & analyse)
Tidsfrist: 1. maj 2017.
A.18.1.1.6
Manglende lovkoordinering i kontorer,
der afgiver høringssvar
Prio. 2
Vi har fået oplyst, at afdelingen for
”Afgifter og
Lovkoordinering” ikke altid
modtager høringssvar til rette tid og i
rette kvalitet fra de kontorer eller
afdelinger, som har modtaget
høringsmateriale til gennemgang.
Det er endvidere oplyst, at der altid
modtages høringssvar fra
forretningsområdet "Indsats", hvilket
skyldes, at Indsats har en intern
"lovkoordineringsproces" bestående af et
antal medarbejdere, som har ansvar for
videreformidling af lovkoordineringen i
dette fagkontor.
Manglende lovkoordinering i de
enkelte fagkontorer øger risikoen
for, at der ikke gives svar af rette
kvalitet og til tiden i forbindelse
med det lovforberedende arbejde.
Vi anbefaler, at afdelingen for
Lovkoordinering tager initiativ til, at
forretningsområdet
”Kundeservice”, i lighed
med
”Indsats”, etablerer
en intern
lovkoordineringsproces, hvor et antal
medarbejdere får ansvaret for at koordinere
høringsmateriale internt i
forretningsområdet. Udveksling af
høringsmateriale bør endvidere ske via
”fællespostkasser”.
Handleplan
Ledelsessekretariatet i Kundeservice tager initiativ til, at der i Kundeservice - i lighed med i forretningsområdet Indsats - etableres en intern
lovkoordineringsproces, hvor et antal medarbejdere får ansvaret for at koordinere høringsmateriale internt i forretningsområdet. Den koordinerende
høringsfunktion placeres i Ledelsessekretariatet i Kundeservice.
Kontaktperson og tidsfrist
Kontaktperson: Lars Tjærby Rasmussen (Ledelsessekretariatet i Kundeservice)
Tidsfrist: 1. april 2017
A.18.1.1.7
Ændret lovforslag
Vi har fået oplyst, at den nuværende
Prio. 3
proces for lovkoordinering ikke sikrer, at
lovforslag, som har været til høring og
efterfølgende er ændret, bliver sendt
rundt til ny høring/vurdering.
Vi anbefaler, at lovkoordineringsprocessen
tilrettelægges således, at relevante
interessenter fra Standard for
implementering, i størst mulig omfang, får
kendskab til lovændringer, også efter de har
været sendt til høring.
A.18 Overensstemmelse
10 af 16
 SAU, Alm.del - 2019-20 - Bilag 187: Revisionsrapport fra Skatteministeriets Koncernrevision om It-revision af "Overensstemmelse med lov- og kontraktkrav"
2160933_0011.png
A.18.1.1.8
Styresignal i høring
Vi har gennemgået processen for
Prio. 2
Styresignaler. I processen er indarbejdet
en række milepæle, herunder skal
styresignaler udsendes i høring hos
både interne og eksterne interessenter
inden 80 dage og styresignalet skal være
offentliggjort inden 120 dage efter, at
beslutning om styresignal er truffet/dom
er afsagt. Vi har udvalgt Højesteretsdom
af 27. maj 2016 Sag 148/215 og set, at
der er udarbejdet udkast til styresignal
vedrørende ændring af praksis som
følge af dommen. Ændring af praksis vil
bl.a. berøre udførelsen af arbejdet i
afdelingen Fonde og Koncerner Øst.
Vi har af afdelingen Fonde og Koncerner
Øst fået oplyst, at styresignalet ikke har
været i høring hos dem. Vi har ligeledes
konstateret, at den vejledende milepæl
om offentliggørelse af styresignalet inden
120 dage ikke er overholdt.
Manglende overholdelse af
milepæle, herunder udsendelse
af styresignaler i høring hos
relevante fagkontorer øger
risikoen for, at der ikke indhentes
relevant faglig kommentering, og
at styresignalet derved ikke
implementeres som forventet og
inden for den vejledende milepæl.
Vi anbefaler, at de vejledende milepæle i
processen for styresignaler overholdes, og
at enhederne i SKAT høres tidligst muligt,
så relevante faglige kommentarer kan
indarbejdes og styresignalet implementeres
uden unødig forsinkelse.
Bemærkninger
Punktet bør efter SKATs opfattelse udgå af rapporten, da den manglende høring skyldtes, at der udestod afklaring af styresignalet på tidspunktet for
revisionen.
Jura har efter revisionen haft en række drøftelser med departementet i relation til fortolkningen af dommen sammenholdt med en række EU-
forordninger. Herudover har Jura afholdt møde med Rederiforeningen og den mødende advokat fra Kammeradvokaten. Kammeradvokaten har
endvidere udarbejdet et notat, hvori en række af de spørgsmål, der blev rejst under sagens behandling for Højesteret, belyses nærmere. På baggrund
heraf sendte Jura den 21. december 2016 et udkast til styresignal i høring i departementet og vil efter at have indarbejdet departementets
bemærkninger sende styresignalet i såvel ekstern som intern høring. I den forbindelse vil Fonde og koncerner Øst også blive hørt.
SKAT Jura vil fortsat holde fokus på, at milepælene for styresignaler overholdes, og at procesbeskrivelsen følges.
Kontaktperson
A.18 Overensstemmelse
11 af 16
 SAU, Alm.del - 2019-20 - Bilag 187: Revisionsrapport fra Skatteministeriets Koncernrevision om It-revision af "Overensstemmelse med lov- og kontraktkrav"
2160933_0012.png
Kontaktperson: Rikke Kure Wendel (Afgifter & Lovkoordinering)
Intern revision:
SKAT har ikke udarbejdet handleplan.
Intern revision vil følge op på processen hos Afgifter & Lovkoordinering og Fonde & Koncerner Øst.
Frist for implementering fastsat til: 1. april 2017
A.18.1.2 Immaterielle rettigheder
A.18.1.2.1
Manglende stillingtagen til beskyttelse af
immaterielle rettigheder
Prio. 2
Vi har gennemgået Håndbog for ledere,
hvor
der i afsnit 25 ”Styring
af
driftssoftware” er henvist
til lov om
ophavsret. SKAT har ikke yderligere
taget stilling til beskyttelse af
immaterielle rettigheder.
Handleplan
Informationssikkerhed vil identificere relevante lovkrav mv. til beskyttelse af immaterielle rettigheder og på baggrund heraf udarbejde krav
herfor. Kravene vil blive indarbejdet i håndbog for ledere.
Kontaktperson og tidsfrist
Kontaktperson: Bo Daugaard (Informationssikkerhed)
Frist: 1. marts 2017
Manglende stillingtagen til
beskyttelse af immaterielle
rettigheder øger risikoen for, at
disse aktiver ikke beskyttes som
forventet af ledelsen.
Vi anbefaler, at håndbogen ajourføres med
regler for beskyttelse af immaterielle
rettigheder i SKAT.
A.18.1.3 Beskyttelse af registreringer
A.18.1.3.1
Vi har konstateret, at reglerne for
klassifikation af registreringer/data
Prio. 4
fremgår af håndbogen for ledere.
Kontoret for informationssikkerhed har
oplyst, at systemejerne i samarbejde
med procesejerne årlige samt i
forbindelse med implementering af nye
systemer tager stilling til klassifikationen
og beskyttelse af registreringer/ data i
systemerne. Vores gennemgang af dette
A.18 Overensstemmelse
12 af 16
 SAU, Alm.del - 2019-20 - Bilag 187: Revisionsrapport fra Skatteministeriets Koncernrevision om It-revision af "Overensstemmelse med lov- og kontraktkrav"
2160933_0013.png
område har ikke giver anledning til
væsentlige bemærkninger.
A.18.1.4 Privatlivets fred og beskyttelse af personoplysninger
A.18.1.4.1
Vi har konstateret, at Håndbog for
medarbejdere beskriver, hvordan
Prio. 4
medarbejdere i SKAT skal beskytte
persondata. Håndbog for ledere
beskriver, hvordan processer og
systemer i SKAT skal tilrettelægges, så
de lever op til kravene om at beskytte
persondata. Kontoret for Informations-
sikkerhed har oplyst, at systemejerne i
samarbejde med procesejerne skal tage
stilling til relevant lovgivning med henblik
på at beskytte personoplysninger og
registreringer. Vores gennemgang af
dette område har ikke giver anledning til
væsentlige bemærkninger.
A.18.1.5 Regulering af kryptografi
Der er pt. ikke nogen lovgivning, der regulerer kryptografi i Danmark.
Nr.
A.18.2
Observationer
Risici
Anbefalinger
Kontrolmål: Gennemgang af informationssikkerhed
A.18.2.1 Uafhængig gennemgang af Informationssikkerhed
A.18.2.1.1
Departementet foretager årlige it-tilsyn
med SKAT og deres informationssikker-
Prio. 4
hed. Intern Revision udfører regel-
mæssigt revision, hvor formålet bl.a. er
at undersøge styring og implementering
A.18 Overensstemmelse
13 af 16
 SAU, Alm.del - 2019-20 - Bilag 187: Revisionsrapport fra Skatteministeriets Koncernrevision om It-revision af "Overensstemmelse med lov- og kontraktkrav"
2160933_0014.png
af informationssikkerhed i SKAT.
Resultatet af revisionerne rapporteres til
SKATs ledelse, og observationer og
anbefalinger til forbedringer opsamles af
Kontoret for revisionsopfølgning.
A.18.2.2 Overensstemmelse med sikkerhedspolitikker og sikkerhedsstandarder
A.18.2.2.1
Udbredelse og kendskab til
sikkerhedskrav
Prio. 2
Vi har ved interview af flere kontorchefer
i SKAT fået oplyst, at de ikke informerer
deres medarbejdere om, at de skal have
kendskab til og efterleve håndbøger og
politikker, som Kontoret for
Informationssikkerhed har udarbejdet.
Vi har ligeledes fået oplyst, at
procesejeruddannelsen, som afholdes i
efteråret, vil indeholde vejledning om
informationssikkerhed.
Manglende kendskab til,
forståelse for og efterlevelse af
interne sikkerhedspolitikker og
håndbøger og andre
sikkerhedskrav øger risikoen for,
at det faktiske sikkerhedsniveau i
SKAT er lavere end forventet af
ledelsen.
Vi anbefaler, at Kontoret for
Informationssikkerhed, som en del af deres
awareness-kampagne, oplyser alle
mellemledere/kontorchefer om, at de som
ledere har ansvar for at udbrede og
fastholde kendskabet til relevante
håndbøger og andre gældende regelsæt,
som er relevant for deres virke, herunder
sikkerhedshåndbøger.
Bemærkninger
Informationssikkerhed har gennemført en kommunikationskampagne og mener på den baggrund ikke, at der skal udarbejdes handleplan.
Kommunikationskampagnens formål var, at forøge medarbejdernes og ledernes viden om informationssikkerhed. Kommunikationen til
ledere har form af artikler på et lukket nyhedssite for ledere. Fokus er på at informere lederne om, at de har ansvar for SKATs regler bliver
efterlevet i deres respektive enheder. Dvs. at de skal sikre sig, at deres medarbejdere kender og efterlever reglerne. Kommunikationen
indeholder også vejledning og tips til, hvordan de griber denne opgave an.
Kontaktperson og tidsfrist
Kontaktperson: Bo Daugaard (Informationssikkerhed)
Intern revision:
Intern revision anser ovenstående for at være SKATs handleplan på området.
Frist for implementering fastsat til: 1. februar 2017
A.18.2.3 Undersøgelse af teknisk overensstemmelse
A.18 Overensstemmelse
14 af 16
 SAU, Alm.del - 2019-20 - Bilag 187: Revisionsrapport fra Skatteministeriets Koncernrevision om It-revision af "Overensstemmelse med lov- og kontraktkrav"
2160933_0015.png
A.18.2.3.1
Intern Revision udfører regelmæssigt
revision, hvor formålet bl.a. er at
Prio. 4
undersøge, om informationssystemerne
er i overensstemmelse med
organisationens informationssikker-
hedspolitikker og
–standarder
og om
kontroller er implementerede.
A.18 Overensstemmelse
15 af 16
 SAU, Alm.del - 2019-20 - Bilag 187: Revisionsrapport fra Skatteministeriets Koncernrevision om It-revision af "Overensstemmelse med lov- og kontraktkrav"
2160933_0016.png
Bilag 2: Anvendt skala
Ved udarbejdelsen af konklusionen er følgende skala anvendt:
Intet behov for
procesændringer
Intern Revision har ikke observeret svagheder i de forretningsgange og
processer, der understøtter det reviderede område.
Prioritet 1:
Prioritet 2:
Behov for proces-
ændringer i mindre
omfang
Ingen observationer
Ingen observationer
Intern Revision har observeret enkelte svagheder i de forretningsgange og
processer, der understøtter det reviderede område.
Prioritet 1:
Prioritet 2:
Ingen observationer
Enkelte observationer
Behov for proces-
ændringer i større
omfang
Intern Revision har observeret flere svagheder i de forretningsgange og
processer, der understøtter det reviderede område. Observationerne er
hovedsageligt omfattet af prioritet 1 og 2 med flest observationer i prioritet 2.
Prioritet 1:
Prioritet 2:
Flere observationer
Flest observationer
Behov for
procesændringer i
væsentligt omfang
Intern Revision har observeret flere svagheder i de forretningsgange og
processer, der understøtter det reviderede område. Observationerne er
hovedsageligt omfattet af prioritet 1 eller 2 med flest observationer i prioritet 1.
Prioritet 1: Flest observationer
Prioritet 2: Flere observationer
Det skal bemærkes, at ovenstående beskrivelse, med hensyn til antal observationer pr.
prioritet, er vejledende i forhold til vores samlede vurdering af konklusionen.
Prioritering af de enkelte observationer:
Prioritet 1: Høj Risiko for manglende målopfyldelse:
Væsentlige svagheder i den etablerede forretningsgang/proces. Svaghederne kan
omfatte manglende interne kontroller, uhensigtsmæssig design af interne kontroller,
manglende regnskabsmæssige faciliteter. Som følge heraf er der en væsentlig øget
risiko for, at processens formål ikke realiseres. Manglende opfyldelse af processens
formål vil have store konsekvenser for virksomheden. Der bør snarest muligt
iværksættes foranstaltninger med henblik på at udbedre de observerede svagheder.
Prioritet 2: Middel risiko for manglende målopfyldelse:
Svagheder i den etablerede forretningsgang/proces. Svaghederne kan omfatte
manglende interne kontroller, uhensigtsmæssig design af interne kontroller, manglende
regnskabsmæssige faciliteter. Som følge heraf er der en øget risiko for, at processens
målopfyldelse ikke fuldtud realiseres. Manglende opfyldelse af processens formål vil
have store konsekvenser for virksomheden. Der bør iværksættes foranstaltninger med
henblik på at udbedre den observerede svaghed.
Prioritet 3: Lille risiko for manglende målopfyldelse:
Ingen svagheder i den etablerede forretningsgang/proces. Som følge heraf er der ikke
en øget risiko for, at processens formål ikke realiseres. Den reviderede proces kan dog
designes med henblik på at forbedre eksekveringen af processen. Processen vil dog
være omfattet af den risiko, der, uanset styrken af de interne kontroller, altid vil være til
stede.
Prioritet 4: Lille risiko for manglende målopfyldelse:
Ingen svagheder i den etablerede forretningsgang/proces. Som følge heraf er der ikke
en øget risiko for, at processens formål ikke realiseres. Processen vil dog være omfattet
af den risiko, der, uanset styrken af de interne kontroller, altid vil være til stede.
A.18 Overensstemmelse
16 af 16