Skatteudvalget 2019-20
SAU Alm.del Bilag 197
Offentligt
2161042_0001.png
Faktuel afklaring
30. maj 2018
Høringssvar
-
Anmodning om handle-
planer
3. oktober 2018
Handleplaner modtaget
-
Endelig rapport
13. december 2018
J. nr.
2017 - 44
Plannr. 117-002
Rapport 2017
Udvikling og Forenkling
Adgangsstyring
(Generelle it-kontroller)
Modtager
Andreas Berggren, Direktør for Udvikling og Forenkling
Kopi
Departementet
IIA certificeret
Revision
Rapportering
Rådgivning
 SAU, Alm.del - 2019-20 - Bilag 197: Revisionsrapport fra Skatteministeriets Koncernrevision om adgangsstyring (generelle it-kontroller)
2161042_0002.png
Forord
Skatteministeriets Koncernrevision (SKR) har, jævnfør orienteringsbrev af 21. april
2017, revideret Adgangsstyring. Den udførte revision er en del af den samlede
revision for 2017.
Rapporten har været fremsendt i udkast til de reviderede enheder med henblik på
at sikre, at SKR og den reviderede enhed har en ensartet opfattelse af de obser-
verede forhold. Udviklings- og Forenklingsstyrelsen har efterfølgende udarbejdet
handlingsplaner.
Rapporten indeholder en samlet konklusion omfattende det reviderede område. I
konklusionsafsnittet redegør vi for de observationer, som konklusionen i det væ-
sentligste er baseret på. Konklusionsafsnittet indeholder SKRs bedømmelse af det
reviderede område samt en beskrivelse af grundlaget for bedømmelsen. Det vil
derfor almindeligvis være tilstrækkeligt at læse selve rapporten. Såfremt der øn-
skes uddybning og detaljering, henvises der til bilagene.
Rapportens bilag 1 indeholder en systematisk fremstilling af de observationer, som
den udførte revision har givet anledning til. Bilaget indeholder tillige en vurdering
af de tilknyttede risici samt SKRs forslag til anbefalinger, der kan formindske de
vurderede risici. Med udgangspunkt i risikovurderingerne har Udviklings- og For-
enklingsstyrelsen udarbejdet handlingsplaner med henblik på at formindske de
vurderede risici. SKRs anbefalinger har været anvendt som inspiration ved udar-
bejdelse af handlingsplaner. Vi vil løbende vurdere implementeringen af Udvik-
lings- og Forenklingsstyrelsens handlingsplaner.
Rapportens bilag 2 indeholder en beskrivelse af de prioriteringer, der er anvendt
ved klassifikationen af de enkelte observationer. Bilaget indeholder herudover en
beskrivelse af koblingen mellem observationernes prioriteringer og den samlede
overordnede konklusion.
København, den 13. december 2018
Kurt Wagner
Koncernrevisionschef
Gunnar Kappel
Chefkonsulent
Adgangsstyring
2 af 42
 SAU, Alm.del - 2019-20 - Bilag 197: Revisionsrapport fra Skatteministeriets Koncernrevision om adgangsstyring (generelle it-kontroller)
2161042_0003.png
1. Formål
Formålet med revisionen er at vurdere, hvorvidt Udviklings- og Forenklingsstyrel-
sen har etableret betryggende procedurer for adgangsstyring, der sikrer, at syste-
mer og data kun kan tilgås og ændres af personer, der er autoriserede hertil, og
som har et arbejdsbetinget behov.
2. Omfang
Revisionen er udført i perioden maj til december 2017 med udgangspunkt i ISO
standarden 27001 og har omfattet afsnit 9
”Adgangsstyring”
med følgende hoved-
områder:
9.1 Forretningsmæssige krav til adgangsstyring
9.2 Administration af brugeradgang
9.3 Brugernes ansvar
9.4 Styring af system- og applikationsadgang
Punkterne 5-11 omhandler gennemgang af applikationerne NTSE, DIAS, 3S, Mo-
tor, PAL/PAF og Datawarehouse.
I forbindelse med revisionen anvendes nedenstående model, som opdeler proces-
sen i en række funktionsområder. Vi har i forbindelse med nærværende revision
revideret Adgangsstyring:
Rammevilkår
Ministerieinstruks
Virksomhedsinstruks
Regnskabsinstruks
Bogføringssystemer
Adgangsstyring
It-sikkerhed
Lovgivning
Processer
Funktionsområder
Datafangst
Registrering
Opgørelse
Bogføring
Opkrævning
Betaling
Inddrivelse
Ledelsesrapportering
Regnskabsaflæggelse
Revisionen er udført af Gunnar Kappel og Annette Kirstine Skov Pedersen i hen-
hold til gældende revisionsstandarder. Revisionen er gennemført ved interviews
og stikprøvevis gennemgang af foreliggende materiale. Ved revisionen har vi in-
Adgangsstyring
3 af 42
 SAU, Alm.del - 2019-20 - Bilag 197: Revisionsrapport fra Skatteministeriets Koncernrevision om adgangsstyring (generelle it-kontroller)
2161042_0004.png
terviewet medarbejdere fra Kontoret for Infrastruktur, Kontoret for Informationssik-
kerhed og Databeskyttelse, IT Center Aalborg og kontoret for Platforme samt sy-
stemejere for de applikationer, der har været udvalgt til gennemgang ved revisio-
nen. I forbindelse med gennemgangen af de udvalgte applikationer har vi taget
udgangspunkt i systemernes infodokumenter, som vi har modtages fra IT Center
Aalborg. Vi tager i den forbindelse forbehold for, hvorvidt indholdet i infodokumen-
terne afspejler de faktiske forhold omkring systemer, autorisationer og rettigheder.
3. Konklusion
Det er vores vurdering, at der
i større omfang er behov
for ændringer i de revi-
derede processer. Denne vurdering baserer vi på, at Udviklings- og Forenklings-
styrelsen ikke har:
Implementeret kontroller, der sikrer, at adgange og rettigheder i applikatio-
nerne inddrages ved medarbejdernes overførsel til et andet funktionsområde
Sikret, at der er en periodisk kontrol af almindelige og privilegerede brugerad-
gange, som ikke fremgår af BRAS
Sikret, at administratorpassword til pc’erne skiftes regelmæssigt
Sikret, at Infodokumentet, som er grundlaget for tildeling af adgange og ret-
tigheder i BRAS for en række systemer, opdateres regelmæssigt
Implementeret en periodiske afstemning af Active Directory (AD) og Den
Centrale Sikkerhedsløsning (DCS) og sikret overensstemmelse mellem disse
systemer
Implementeret overvågning af brugerhandlinger på netværket og i applikatio-
nerne
Sikret, at der ikke forekommer ubenyttede brugeradgange på netværket
Sikret, at oversigten over bruger-id med lokaladministratorrettigheder er
ajourført
Sikret, at den halvårlige kontrol af medarbejderes adgange og rettigheder i ap-
plikationerne bliver dokumenteret
Vi har prioriteret de observerede forhold således:
Nr.
1
2
3
4
5
6
7
8
9
10
Adgangsstyring
Revisionsemne
Forretningsmæssige krav til adgangsstyring
Administration af brugeradgang
Brugernes ansvar
Styring af system- og applikationsadgang
Generel gennemgang af systemer
Gennemgang af NTSE
Gennemgang af DIAS
Gennemgang af 3S
Gennemgang af Motor
Gennemgang af PAL/PAF
P1
0
2
1
2
2
0
0
0
0
1
P2
2
5
0
2
0
3
1
1
5
1
P3
3
2
3
1
1
0
1
0
2
0
P4
1
0
2
3
0
1
1
1
2
0
I alt
6
9
6
8
3
4
3
2
9
2
4 af 42
 SAU, Alm.del - 2019-20 - Bilag 197: Revisionsrapport fra Skatteministeriets Koncernrevision om adgangsstyring (generelle it-kontroller)
2161042_0005.png
11
I alt
Gennemgang af Datawarehouse
0
8
1
21
0
13
1
12
2
54
Prioriteterne skal ses i forhold til det reviderede område og er nærmere defineret i bilag 2.
Vi fremsendte rapporten 117-002 It-revision af adgangsstyring i udkast til faktuel
afklaring d. 30. maj 2018. Vi modtog ikke høringssvar fra Udviklings- og Forenk-
lingsstyrelsen, og derfor anmodede vi om handleplaner den 3. oktober 2018.
Udviklings- og Forenklingsstyrelsen har på tidspunktet for afslutning og datering
af denne rapport endnu ikke fremsendt handleplaner. Under hensyntagen til det
lange tidsforløb og under hensyntagen til at Udviklings- og Forenklingsstyrelsen
har haft mulighed for at arbejde med formulering og godkendelse af handleplaner
siden den 3. oktober 2018, afslutter vi revisionen og fremsender rapporten i en-
delig udgave.
De i rapporten anførte risici eksisterer fortsat, og Udviklings- og Forenklingssty-
relsen bør derfor efter vores vurdering stadig iværksætte handlinger, der imøde-
går risiciene. Såfremt Udviklings- og Forenklingsstyrelsen efterfølgende fremsen-
der handleplaner til rapporten, vil de blive indarbejdet i Revisionsdatabasen.
Adgangsstyring
5 af 42
 SAU, Alm.del - 2019-20 - Bilag 197: Revisionsrapport fra Skatteministeriets Koncernrevision om adgangsstyring (generelle it-kontroller)
2161042_0006.png
Bilag 1: Observationer, risici og anbefalinger
Nr.
Observationer
Risici
Anbefalinger
Funktionsområde: Adgangsstyring
1.1
Revisionsemne: Forretningsmæssige krav til adgangsstyring
2017
Retningslinjer for adgangsstyring
Vi har konstateret, at Udviklings- og Forenk-
P4
lingsstyrelsen
i ”Håndbog for ledere” og
”Håndbog for medarbejdere”
har beskrevet
retningslinjer for adgangsstyring for både al-
mindelige brugere og privilegerede brugere.
Retningslinjerne er tilpasset Udviklings- og
Forenklingsstyrelsens behov for beskyttelse
af data og informationsbehandlingssyste-
mer.
Gennemgangen har ikke givet anledning til
bemærkninger.
Nr.
Observationer
Risici
Anbefalinger
Funktionsområde: Adgangsstyring
Vi anbefaler, at Udviklings- og Forenklingssty-
relsen udarbejder konkrete procedurer for tilde-
ling, ændring, nedlæggelse og kontrol af ad-
gange og rettigheder gældende for hele Udvik-
lings- og Forenklingsstyrelsen, som indeholder:
Formål med proceduren
På hvilket grundlag proceduren iværksæt-
tes, fx ved overdragelse af projektdokumen-
tation
Beskrivelse af arbejdsgangen
6 af 42
1.2
Revisionsemne: Forretningsmæssige krav til adgangsstyring
2017
Procedurer for styring af adgange til syste- Manglende skriftlige procedurer
mer og data
medfører øget risiko for, at arbejdet
P2
Vi har konstateret, at Udviklings- og Forenk- med tildeling, ændring, nedlæggelse
lingsstyrelsen ikke har etableret procedurer og kontrol af adgange og rettigheder
til at understøtte retningslinjer for adgangs- i Udviklings- og Forenklingsstyrelsen
styring. Fx stiller afsnit 10 i
”Håndbog
for le- ikke udføres ensartet og korrekt.
dere” krav om procedurer for privilegerede
brugere. Vi har ikke modtaget dokumenta-
tion for disse procedurer, ligesom vi ikke har
Adgangsstyring
 SAU, Alm.del - 2019-20 - Bilag 197: Revisionsrapport fra Skatteministeriets Koncernrevision om adgangsstyring (generelle it-kontroller)
2161042_0007.png
Nr.
Observationer
set procedurer for behandling af adgange og
rettigheder til applikationer med følsomme
oplysninger.
Risici
Anbefalinger
Beskrivelse og opbevaring af dokumenta-
tion for udførelse af arbejdet
Udførelse af kontrol af, at proceduren føl-
ges
Ændringslog og versionsstyring af procedu-
ren
Procedurerne bør endvidere understøttes af in-
formationskampagner og tekniske løsninger.
Implementeringsdato: [Indtast dato]
Handleplan fra:
Nr.
Observationer
Risici
Anbefalinger
1.3
Revisionsemne: Forretningsmæssige krav til adgangsstyring
Funktionsområde: Adgangsstyring
2017
Observation nr. 1.1 fra opgave nr. 115-002
It-revision af adgangsstyring lukkes, og der oprettes en ny observation nr. 1.3.
P2
Dokumentation for gennemgang af admini- Manglende gennemgang af privile- Vi anbefaler, at gennemgangen af administra-
stratoradgange
gerede adgange øger risikoen for toradgange og rettigheder dokumenteres.
Vi har i observationen i 2015 anført føl- uautoriseret adgange.
gende:
Vi har konstateret, at gennemgangen af ad-
ministratoradgange på netværket (Active Di-
rectory) ikke dokumenteres. Vi er informeret
om, at de har været gennemgået og set, at
brugerlisterne har været udtrukket, hvilket
kan antyde, at de har været gennemgået.
Vi har konstateret samme forhold i 2017,
uden dog at være præsenteret for brugerli-
ster.
Adgangsstyring
7 af 42
 SAU, Alm.del - 2019-20 - Bilag 197: Revisionsrapport fra Skatteministeriets Koncernrevision om adgangsstyring (generelle it-kontroller)
2161042_0008.png
Nr.
Observationer
Handleplan fra:
Risici
Anbefalinger
Implementeringsdato: [Indtast dato]
Nr.
Observationer
Risici
Anbefalinger
Funktionsområde: Adgangsstyring
Vi anbefaler, at adgang til SharePoint uden
brug af to-faktor autentificering lukkes.
1.4
Revisionsemne: Forretningsmæssige krav til adgangsstyring
2017
Adgang til dokumenter ved fjernopkobling
Vi har konstateret, at det er muligt ved fjern-
P3
opkobling at tilgå arbejdsrelaterede doku-
menter på eksempelvis SharePoint uden
brug af to-faktor autentificering, som er både
password og sms. Det er muligt at foretage
log-on via Office365 fra PC eller telefon med
brug af w-nummer og password.
Nr.
Observationer
Risici
Anbefalinger
1.5
Revisionsemne: Forretningsmæssige krav til adgangsstyring
Funktionsområde: Adgangsstyring
2017
Observation nr. 1.2 fra opgave nr. 115-002
It-revision af adgangsstyring lukkes, og der oprettes en ny observation nr. 1.5 neden-
for.
P2
Overvågning af brugerhandlinger
Vi har i observationen i 2015 anført føl-
gende:
Brugerhandlinger på netværket og i
it-systemer registreres (logning) men bliver
ikke overvåget for at identificere eventuelle
forsøg på uautoriserede brugerhandlinger.
Manglende overvågning øger risi- Vi anbefaler, at Udviklings- og Forenklingssty-
koen for, at forsøg på uautoriserede relsen overvåger brugerhandlinger systema-
brugerhandlinger ikke opdages.
tisk fx ved at anvende alarmer på foruddefine-
rede handlingsmønstre både på netværket og
i applikationerne.
Adgangsstyring
8 af 42
 SAU, Alm.del - 2019-20 - Bilag 197: Revisionsrapport fra Skatteministeriets Koncernrevision om adgangsstyring (generelle it-kontroller)
2161042_0009.png
Nr.
Observationer
Loggen bliver udelukkende anvendt til fej-
søgning, hvis der fx er fejl i brugerrettighe-
der.
Vi har konstateret samme forhold i 2017.
Handleplan fra:
Risici
Anbefalinger
Implementeringsdato: [Indtast dato]
Nr.
Observationer
Risici
Anbefalinger
Funktionsområde: Adgangsstyring
Vi anbefaler, at Udviklings- og Forenklingssty-
relsen ud fra en vurdering af applikationernes
kritikalitet sikrer, at det for særligt kritiske appli-
kationer og især for AD log-on bliver muligt for
brugerne at se seneste log-on med tid og dato
samt mislykkede log-on forsøg. Dette vil give
den enkelte bruger relevant information ved
misbrug af brugeradgangen.
1.6
Revisionsemne: Forretningsmæssige krav til adgangsstyring
2017
Seneste log-on oplysninger
Ved log-on til SAP systemerne i Udviklings-
P3
og Forenklingsstyrelsen har brugerne mulig-
hed for at se tid og dato for seneste log-on
samt oplysninger om mislykkede log-on for-
søg siden sidste succesfulde log-on.
Vi har dog konstateret, at brugeren ikke kan
se disse oplysninger i andre applikationer og
heller ikke ved log on på AD.
Nr.
Observationer
Risici
Anbefalinger
2.1
Revisionsemne: Administration af brugeradgang
Funktionsområde: Adgangsstyring
2017
Observation nr. 2.1 fra opgave nr. 115-002
It-revision af adgangsstyring lukkes, og der oprettes en ny observation nr. 2.1
Adgangsstyring
9 af 42
 SAU, Alm.del - 2019-20 - Bilag 197: Revisionsrapport fra Skatteministeriets Koncernrevision om adgangsstyring (generelle it-kontroller)
2161042_0010.png
Nr.
P2
Observationer
Ubenyttede brugeradgange
Vi har i observationen i 2015 anført føl-
gende:
Vi har konstateret ubenyttede bru-
geradgange på netværket. 303 brugerad-
gange har ikke været anvendt i mere end 3
måneder (257 brugeradgange tilhører kon-
sulenter).
Ydermere har 174 brugeradgange ikke væ-
ret anvendt i 6 måneder og 91 adgange si-
den 2014.
Vi har ikke modtaget de nødvendige data fra
kontoret for Infrastruktur ved denne revision,
og har derfor ikke kunnet udarbejde en op-
gørelse over ubenyttede brugeradgange. Vi
fastholder og viderefører derfor observatio-
nen fra 2015.
Handleplan fra:
Risici
Der er forøget risiko for misbrug af
brugeradgange, såfremt disse ikke
bliver slettet eller inaktiveret, når der
ikke længere er et arbejdsbetinget
behov for at opretholde dem.
Anbefalinger
Vi anbefaler, at Udviklings- og Forenklingssty-
relsen etablerer en periodisk kontrol af ubenyt-
tede brugeradgange, som kan sikre, at alle ty-
per af brugeradgange slettes eller inaktiveres,
herunder også konsulent- og testadgange, når
der ikke længere er et arbejdsbetinget behov
for at opretholde dem.
Implementeringsdato: [Indtast dato]
Nr.
Observationer
Risici
Anbefalinger
Funktionsområde: Adgangsstyring
Vi anbefaler, at Udviklings- og Forenklingssty-
relsen implementerer en kontrol, der sikrer, at
medarbejdere straks slettes i AD i forbindelse
med fratrædelsen i overensstemmelse med
krav i ”Håndbog for ledere”.
10 af 42
2.2
Revisionsemne: Administration af brugeradgang
2017
Sletning af fratrådte medarbejdere
Manglende sletning eller inaktivering
Vi har konstateret, at 11 medarbejdere fort- i AD af fratrådte medarbejdere straks
P2
sat havde adgang til AD (Active Directory), efter ansættelsens ophør, øger risi-
selvom de var fratrådte i SAP HR-systemet. koen for uautoriseret adgang til appli-
kationer og data.
Adgangsstyring
 SAU, Alm.del - 2019-20 - Bilag 197: Revisionsrapport fra Skatteministeriets Koncernrevision om adgangsstyring (generelle it-kontroller)
2161042_0011.png
Nr.
Observationer
Udviklings- og Forenklingsstyrelsen har un-
der revisionen foranlediget, at de pågæl-
dende medarbejdere blev slettet i AD.
Handleplan fra:
Risici
Anbefalinger
Implementeringsdato: [Indtast dato]
Nr.
Observationer
Risici
Anbefalinger
Funktionsområde: Adgangsstyring
Vi anbefaler, at IT Center Aalborg foretager en
validering af begrundelsen, inden administrator-
adgangen tildeles.
2.3
Revisionsemne: Administration af brugeradgang
2017
Dokumentation for administratorrettighed
Når en medarbejder skal tildeles lokaladmi-
P3
nistratorrettighed på sin PC, skal anmodning
om dette ledsages af en begrundelse med
udgangspunkt i et arbejdsbegrundet behov
for denne rettighed. Vi har i en del tilfælde
konstateret, at den anførte begrundelse ikke
berettiger til en godkendelse af administra-
toradgangen.
Nr.
Observationer
Risici
Anbefalinger
Funktionsområde: Adgangsstyring
Vi anbefaler, at Udviklings- og Forenklingssty-
relsen følger op på afmeldte PC’ere og sikrer,
at afmeldte PC’ere
slettes i BRAS.
2.4
Revisionsemne: Administration af brugeradgang
2017
Brugere med lokaladministratoradgang
Hvis registreringerne i BRAS ikke af-
Vi har konstateret, at 454 medarbejdere er spejler de reelle rettigheder, giver det
P2
registreret som lokaladministratorer på de- et forkert indtryk af adgangene. Det
res egne PC’ere. Heraf er 69 medarbejdere forøger risikoen for alvorlige skader i
registreret som lokaladministratorer på mere
Adgangsstyring
11 af 42
 SAU, Alm.del - 2019-20 - Bilag 197: Revisionsrapport fra Skatteministeriets Koncernrevision om adgangsstyring (generelle it-kontroller)
2161042_0012.png
Nr.
Observationer
Risici
og
Anbefalinger
end en PC. Der er en række PC’ere, som er tilfælde af malware/spyware
udgået, men rettighederne er ikke slettet i phishingmails angreb.
BRAS. 165 PC’ere er registreret som ud-
gået, men rettighederne som lokaladmini-
strator eksisterer fortsat i BRAS.
Handleplan fra:
Implementeringsdato: [Indtast dato]
Nr.
Observationer
Risici
Anbefalinger
Funktionsområde: Adgangsstyring
Vi anbefaler, at Udviklings- og Forenklingssty-
relsen etablerer en kontrol, som følger op på til-
delte midlertidige adgange. I forbindelse med til-
delingen kan der fx sættes en opfølgningsdato.
2.5
Revisionsemne: Administration af brugeradgang
2017
Tilpasning af adgange ved organisations-
ændringer
P3
Vi har konstateret, at en enkelt medarbejder
har fået tildelt 4 forskellige W-numre. W-
numrene var tildelt i forbindelse med organi-
sationsændringer. Medarbejderen var selv
ansvarlig for at initiere sletningen medio sep-
tember 2016, hvilket ikke skete.
I forbindelse med revisionen er det nævnte
forhold bragt i orden.
Nr.
Observationer
Risici
Anbefalinger
2.6
Revisionsemne: Administration af brugeradgang
Funktionsområde: Adgangsstyring
2017
Observation nr. 2.3 fra opgave nr. 115-002
It-revision af adgangsstyring lukkes, og der oprettes en ny observation nr. 2.6
Adgangsstyring
12 af 42
 SAU, Alm.del - 2019-20 - Bilag 197: Revisionsrapport fra Skatteministeriets Koncernrevision om adgangsstyring (generelle it-kontroller)
2161042_0013.png
Nr.
P2
Observationer
Risici
Anbefalinger
Intern kontrol for tildeling af systemer og Der er forøget risiko for, at tildelte Vi anbefaler, at Udviklings- og Forenklingssty-
grupper
brugeradgange ikke fortsat er ar- relsen sikrer, at den interne kontrol for tildeling
Det fremgår af Business Objects (BO) ud-
bejdsbetingede.
af rettigheder til applikationer gennemføres og
træk fra medio november 2015, at 20 afde-
bliver tilstrækkeligt dokumenteret af alle afde-
linger ikke har dokumenteret, at de har gen-
linger minimum hvert kvartal eller ved skift af
nemført den obligatoriske halvårlige interne
arbejdsområde som angivet i kontrolbeskrivel-
kontrol for tildeling af systemer og grupper
sen.
(jf. beskrivelse af kontrol S44501000000) i
2015.
Vi har konstateret det samme forhold i 2017.
Resultatet af vores gennemgang var her, at
23 afdelinger ikke har dokumenteret, at de
har gennemført den obligatoriske halvårlige
interne kontrol (Jf. beskrivelse af kontrol 189
Sikkerhed).
Handleplan fra:
Implementeringsdato: [Indtast dato]
Nr.
Observationer
Risici
Anbefalinger
2.7
Revisionsemne: Administration af brugeradgang
Funktionsområde: Adgangsstyring
2017
Observation nr. 2.4 fra opgave nr. 115-002
It-revision af adgangsstyring lukkes, og der oprettes en ny observation nr. 2.7.
Adgangsstyring
13 af 42
 SAU, Alm.del - 2019-20 - Bilag 197: Revisionsrapport fra Skatteministeriets Koncernrevision om adgangsstyring (generelle it-kontroller)
2161042_0014.png
Nr.
P2
Observationer
Udtræk og sammenligning af brugeradgange
Det er ikke muligt for SKAT løbende at verifi-
cere brugeradgange ved at sammenholde
disse fra Den Centrale Sikkerhedsløsning
(DCS) med BRAS og/eller Active Directory,
da det udelukkende er serviceleverandøren
DXC, der kan fremsøge disse mod betaling.
Flere væsentlige it-systemer anvender DCS
bl.a. NTSE, eIndkomst og DIAS.
Vi har konstateret det samme forhold i 2017,
dog med følgende kommentar: I forbindelse
med revisionen fik Udviklings- og Forenk-
lingsstyrelsen leveret et udtræk af DCS fra
DXC. Udviklings- og Forenklingsstyrelsen
havde på revisionstidspunktet endnu ikke
gennemgået udtrækket.
Handleplan fra:
Risici
Manglende periodisk sammenhol-
delse af brugeradgange fra væsent-
lige it-systemer som fx DCS og
BRAS samt Active Directory øger ri-
sikoen for uautoriseret adgang til
applikationerne.
Anbefalinger
Vi anbefaler, at Udviklings- og Forenklingssty-
relsen periodisk sammenholder brugerad-
gange til alle væsentlige applikationer med
BRAS og/eller Active Directory.
Udviklings- og Forenklingsstyrelsen bør endvi-
dere muliggøre udtræk af brugeradgange fra
egne applikationer gennem eksempelvis ny
funktionalitet, så involvering af serviceleveran-
dører ikke er påkrævet.
Implementeringsdato: [Indtast dato]
Nr.
Observationer
Risici
Anbefalinger
2.8
Revisionsemne: Administration af brugeradgang
Funktionsområde: Adgangsstyring
2017
Observation nr. 2.5 fra opgave nr. 115-002
It-revision af adgangsstyring lukkes, og der oprettes en ny observation nr. 2.8.
P1
Inddragelse af brugeradgange
Vi har konstateret, at adgangsrettigheder
ikke er inddraget for medarbejdere, der er
flyttet mellem afdelinger eller styrelser.
Risikoen for uautoriseret adgang til
fortrolige informationer og ændring af
disse er øget, når den gældende pro-
ces for adgangsstyring tilsidesættes.
Vi anbefaler, at brugeradgange til enhver tid
styres gennem den gældende proces, som er
BRAS. Udviklings- og Forenklingsstyrelsen bør
forbedre processen for inddragelse af adgangs-
Adgangsstyring
14 af 42
 SAU, Alm.del - 2019-20 - Bilag 197: Revisionsrapport fra Skatteministeriets Koncernrevision om adgangsstyring (generelle it-kontroller)
2161042_0015.png
Nr.
Observationer
Rettighederne er tildelt direkte på mappeni-
veau uden om BRAS og/eller Active Direc-
tory og kan således ikke opfanges af eksi-
sterende kontroller.
Vi har konstateret det samme forhold i 2017.
Handleplan fra:
Risici
Anbefalinger
rettigheder for medarbejdere, der skifter ar-
bejdsopgaver. Endvidere bør Udviklings- og
Forenklingsstyrelsen etablere en kontrol, der
periodisk sikrer, at tildelte brugeradgange på
mappeniveau er i overensstemmelse med
BRAS og/eller Active Directory.
Implementeringsdato: [Indtast dato]
Nr.
Observationer
Risici
Anbefalinger
2.9
Revisionsemne: Administration af brugeradgang
Funktionsområde: Adgangsstyring
2017
Observation nr. 2.3 fra opgave nr. 114-230B
Generelle it-kontroller i relation til adgangsstyring lukkes, og der oprettes en ny
observation nr. 2.9.
P1
Revurdering af rettigheder udenfor BRAS
Vi har fået oplyst, at der ledelsesmæssigt
kun foretages en struktureret revurdering af
de brugere og rettigheder, som fremgår af
BRAS. Vi har ikke set dokumentation, som
viser, at der også sker en revurdering af bru-
gere og rettigheder, som ikke fremgår af
BRAS.
Vi har konstateret det samme forhold i 2017.
Vi henleder også opmærksomheden på le-
verandørers adgang til Udviklings- og For-
enklingsstyrelsens systemer. Se endvidere
observation 4.1.
Manglende revurdering af oprettede
brugere og deres rettigheder øger ri-
sikoen for, at det ikke opdages, hvis
en bruger har adgang til områder, der
ikke er et arbejdsbetinget behov for.
Dermed er der forøget risiko for uau-
toriseret adgang.
Vi anbefaler, at Udviklings- og Forenklingssty-
relsen udarbejder procedurer, som sikrer, at
alle brugere og deres rettigheder til alle væ-
sentlige systemer bliver revurderet i henhold til
informationssikkerhedspolitikkens regler.
Adgangsstyring
15 af 42
 SAU, Alm.del - 2019-20 - Bilag 197: Revisionsrapport fra Skatteministeriets Koncernrevision om adgangsstyring (generelle it-kontroller)
2161042_0016.png
Nr.
Observationer
Handleplan fra:
Risici
Anbefalinger
Implementeringsdato: [Indtast dato]
Nr.
Observationer
Risici
Anbefalinger
3.1
Revisionsemne: Brugernes ansvar
Funktionsområde: Adgangsstyring
2017
Observation nr. 3.1 fra opgave nr. 115-002
It-revision af adgangsstyring lukkes, og der oprettes en ny observation nr. 3.1
P3
Krav til adgangskoder
Det fremgår ikke af ”Håndbog for medarbej-
dere”, at adgangskoder ikke må nedskrives
på papir samt, at adgangskoder skal udskif-
tes ved mistanke om kompromittering.
Vi har konstateret det samme forhold i 2017.
Vi anbefaler, at ”Håndbog for medarbejdere” ud-
vides med anbefaling om ikke at nedskrive ad-
gangskoder på papir og om at skifte adgangs-
kode ved mistanke om kompromittering.
Nr.
Observationer
Risici
Anbefalinger
Funktionsområde: Adgangsstyring
3.2
Revisionsemne: Brugernes ansvar
2017
Vi har konstateret, at Udviklings- og Forenk-
lingsstyrelsen har implementeret automatisk
P4
standsning af rettighedstildeling (AD stop),
således at system- eller procesejer ved sær-
ligt kritiske rettigheder skal vurdere, om ret-
tigheden skal tildeles medarbejderen.
Adgangsstyring
16 af 42
 SAU, Alm.del - 2019-20 - Bilag 197: Revisionsrapport fra Skatteministeriets Koncernrevision om adgangsstyring (generelle it-kontroller)
2161042_0017.png
Nr.
Observationer
Gennemgangen har ikke givet anledning til
bemærkninger.
Risici
Anbefalinger
Nr.
Observationer
Risici
Anbefalinger
Funktionsområde: Adgangsstyring
Vi anbefaler, at Udviklings- og Forenklingssty-
relsen etablerer en procedure til at sikre, at op-
lysninger om systemejere og procesejere i AD
stop er opdateret.
3.3
Revisionsemne: Brugernes ansvar
2017
Ajourføring af systemejerliste
Vi har konstateret, at der ikke altid er over-
P3
ensstemmelse mellem systemejere og pro-
cesejere i infodokumenter(BRAS) og Sy-
stemoverblikket på Udviklings- og Forenk-
lingsstyrelsens intranet. For at AD stop, som
nævnt under observation 3.2, skal virke efter
hensigten skal systemejere og procesejere
anført i AD stop være opdateret med kor-
rekte informationer.
Nr.
Observationer
Risici
Anbefalinger
Funktionsområde: Adgangsstyring
Vi anbefaler, at Udviklings- og Forenklingssty-
relsen implementerer mulighed for at sætte ud-
løbsdato på rettigheder og adgange. Alternativt
3.4
Revisionsemne: Brugernes ansvar
2017
Udløbsdato for rettigheder og adgange
Vi har konstateret, at det ikke er muligt at
P3
sætte udløbsdato i BRAS på en tildelt ret-
tighed eller adgang. For eksempel ved brug
Adgangsstyring
17 af 42
 SAU, Alm.del - 2019-20 - Bilag 197: Revisionsrapport fra Skatteministeriets Koncernrevision om adgangsstyring (generelle it-kontroller)
2161042_0018.png
Nr.
Observationer
af eksterne konsulenter vil der være behov
for at kunne sætte en udløbsdato på konsu-
lentens adgang, så denne begrænses tids-
mæssigt i overensstemmelse med den ind-
gåede kontrakt.
Risici
Anbefalinger
kan der sættes en opfølgningsdato, så adgan-
gen eller rettigheden revurderes.
Nr.
Observationer
Risici
Brugere, herunder fratrådte medar-
bejdere, med privilegerede rettighe-
der øger risikoen for uautoriseret ad-
gang.
Anbefalinger
Funktionsområde: Adgangsstyring
Vi anbefaler, at Udviklings- og Forenklingssty-
relsen implementerer en løsning, hvor samme
password ikke giver adgang til alle Udviklings-
og Forenklingsstyrelsens
PC’ere. Hvis det er
nødvendigt at tilgå en PC som Admin, kan det
overvejes at geninstallere eller udskifte PC’en
for at undgå brugen af en fælles Admin konto,
hvortil også fratrådte medarbejdere kender
password.
3.5
Revisionsemne: Brugernes ansvar
2017
Administratorpassword til Udviklings- og
Forenklingsstyrelsens
PC’ere
P2
Vi har konstateret, at der til alle Udviklings-
og Forenklingsstyrelsens
PC’ere anvendes
samme password ved fjernovertagelse af en
PC. Dette password skiftes ikke. Det bety-
der, at der er en fællesbruger til alle Udvik-
lings- og Forenklingsstyrelsens PCere, hvor
password aldrig skiftes. Omfanget af medar-
bejdere med passwordet er ikke undersøgt,
men også fratrådte medarbejdere kan være
i besiddelse af passwordet, da det aldrig
skiftes.
Handleplan fra:
Implementeringsdato: [Indtast dato]
Nr.
3.6
Adgangsstyring
Observationer
Revisionsemne: Brugernes ansvar
Risici
Anbefalinger
Funktionsområde: Adgangsstyring
18 af 42
 SAU, Alm.del - 2019-20 - Bilag 197: Revisionsrapport fra Skatteministeriets Koncernrevision om adgangsstyring (generelle it-kontroller)
2161042_0019.png
Nr.
Observationer
Risici
Anbefalinger
2017
Password skift for nye medarbejdere
Ved ansættelse af medarbejdere er der
P4
tvunget password skifte ved første log-on.
Det giver medarbejderen mulighed for at
vælge personligt password i overensstem-
melse med Udviklings- og Forenklingsstyrel-
sens krav til password.
Gennemgangen har ikke givet anledning til
bemærkninger.
Nr.
Observationer
Risici
Anbefalinger
Funktionsområde: Adgangsstyring
Vi anbefaler, at Udviklings- og Forenklingssty-
relsen sikrer, alle brugere fremgår af BRAS, og
anmodning om privilegerede rettigheder skal li-
geledes foretages gennem BRAS. Privilege-
rede rettigheder bør logges og kontrolleres med
jævne mellemrum.
4.1
Revisionsemne: Styring af system- og applikationsadgang
2017
Oprettelse af brugere med privilege-
Brugere med privilegerede rettigheder
Vi har konstateret, at flere medarbejdere pri- rede rettigheder uden om den BRAS
P1
mært i Udviklings- og Forenklingsstyrelsen styrede proces øger risikoen for, at
har 2 personlige bruger-id. Det ene er et W- disse brugeradgange ikke opdages,
kontrolleres og nedlægges rettidigt.
nummer med almindelige medarbejderrela-
terede rettigheder, og det andet er et bruger-
id med administratorrettigheder. Opdelingen
mindsker skaden ved kompromittering af det
almindelige bruger-id, men den er ikke af-
spejlet i BRAS.
Handleplan fra:
Implementeringsdato: [Indtast dato]
Adgangsstyring
19 af 42
 SAU, Alm.del - 2019-20 - Bilag 197: Revisionsrapport fra Skatteministeriets Koncernrevision om adgangsstyring (generelle it-kontroller)
2161042_0020.png
Nr.
Observationer
Risici
Anbefalinger
Funktionsområde: Adgangsstyring
Vi anbefaler, at rettigheder tildeles i overens-
stemmelse med krav under afsnit 10 Adgangs-
styring i ”Håndbog for ledere”: ”Adgangsret-
tigheder er unikke for hver medarbejder og de-
les ikke”.
4.2
Revisionsemne: Styring af system- og applikationsadgang
2017
Ikke personhenførbare konti
Anvendelsen af fælleskonti øger risi-
Vi har konstateret, at AD indeholder en koen for uautoriseret adgang samt,
P2
række brugere, som ikke er personhenfør- at handlinger ikke kan henføres til
bare. Vi har bl.a. set, at følgende brugere er enkeltpersoner.
oprettet:
WSysadm01 (96 rettigheder), Wefiportal,
TopNordic, SANSTTEST, AteaFHJadm,
Wdmi01SIR.
Handleplan fra:
Implementeringsdato: [Indtast dato]
Nr.
Observationer
Risici
Anbefalinger
4.3
Revisionsemne: Styring af system- og applikationsadgang
Funktionsområde: Adgangsstyring
2017
Observation nr. 3.7 fra opgave nr. 114-230B
Generelle it-kontroller i relation til adgangsstyring lukkes, og der oprettes en ny
observation nr. 4.3.
P2
Overførsel af rettigheder fra BRAS til subsy-
stemer
SIR har kendskab til, at der foretages sam-
menholdelse mellem rettigheder i BRAS og
tildelte rettigheder i 3 subsystemer.
SIR har foretaget en enkelt stikprøve mellem
BRAS og SISY (adgangssystemet til appli-
kationen 3S) for en enkelt medarbejder og
konstateret uoverensstemmelser mellem de
rettigheder, som fremgår af BRAS og de ret-
Manglende overensstemmelse mel-
lem oplistede rettigheder i BRAS og
faktisk tildelte rettigheder i subsyste-
mer medfører, at adgangsovervåg-
ning vanskeligt kan udføres ved
hjælp af BRAS. Det medfører afledte
risici blandt andet, at risikoen bliver
øget for, at det ikke opdages, hvis en
medarbejder har rettigheder ud over
et arbejdsbetinget behov.
Vi anbefaler, at Udviklings- og Forenklingssty-
relsen foretager sammenholdelse af noterede
rettigheder i BRAS med anvendte rettigheder i
SISY og andre subsystemer, og at eventuelle
afvigelser afklares.
Adgangsstyring
20 af 42
 SAU, Alm.del - 2019-20 - Bilag 197: Revisionsrapport fra Skatteministeriets Koncernrevision om adgangsstyring (generelle it-kontroller)
2161042_0021.png
Nr.
Observationer
tigheder, som fremgår af SISY. (SISY syste-
met er ikke en del af ovennævnte 3 subsy-
stemer.)
Status 2014:
SIR har fået oplyst, at der fortsat ikke er sket
en sammenligning mellem SISY og BRAS.
Vi har konstateret det samme forhold i 2017.
Handleplan fra:
Risici
Anbefalinger
Implementeringsdato: [Indtast dato]
Nr.
Observationer
Risici
Anbefalinger
Funktionsområde: Adgangsstyring
4.4
Revisionsemne: Styring af system- og applikationsadgang
2017
Password opsætning for Udviklings- og For-
enklingsstyrelsens domæne
P4
Vi har gennemgået opsætningen af pass-
words for Udviklings- og Forenklingsstyrel-
sens domæne. Vi har konstateret, at bruger-
konti låses efter 5 forgæves forsøg. Dette er
i overensstemmelse med Udviklings- og For-
enklingsstyrelsens informationssikkerheds-
politik.
Gennemgangen har ikke givet anledning til
bemærkninger.
Adgangsstyring
21 af 42
 SAU, Alm.del - 2019-20 - Bilag 197: Revisionsrapport fra Skatteministeriets Koncernrevision om adgangsstyring (generelle it-kontroller)
2161042_0022.png
Nr.
Observationer
Risici
Anbefalinger
Funktionsområde: Adgangsstyring
4.5
Revisionsemne: Styring af system- og applikationsadgang
2017
Registrering af brugerhandlinger
Vi har gennemgået registrering af log-on for-
P4
søg og konstateret, at der både registreres
mislykkede og vellykkede log-on forsøg.
Gennemgangen har ikke givet anledning til
bemærkninger.
Nr.
Observationer
Risici
Anbefalinger
Funktionsområde: Adgangsstyring
4.6
Revisionsemne: Styring af system- og applikationsadgang
2017
Sikker log-on
Vi har konstateret, at Udviklings- og Forenk-
P4
lingsstyrelsen har beskrevet kravene til sik-
ker log-on, og disse indeholder følgende:
Hemmeligholdelse af adgangskoder
Anvendelse af minimum 8 tegn
En kombination af store og små bogsta-
ver
Anvendelse af minimum to tal og even-
tuelt et specialtegn
Vi har testet, at kravene er implementeret
ved log-on til Udviklings- og Forenklingssty-
relsens domæne.
Gennemgangen har ikke givet anledning til
bemærkninger.
Adgangsstyring
22 af 42
 SAU, Alm.del - 2019-20 - Bilag 197: Revisionsrapport fra Skatteministeriets Koncernrevision om adgangsstyring (generelle it-kontroller)
2161042_0023.png
Nr.
Observationer
Risici
Anbefalinger
4.7
Revisionsemne: Styring af system- og applikationsadgang
Funktionsområde: Adgangsstyring
2017
Observation nr. 2.1 fra opgave nr. 115-044
It-revision af TSB app lukkes, og der oprettes en ny observation nr. 4.7
P3
TastSelv-kode
Det er muligt at logge på TSB (TastSelvBor-
ger) med både NemID og TastSelv-kode.
Sikkerheden ved anvendelse af NemID er
højere end ved TastSelv-kode, da NemID
kræver to-faktor autentificering. TastSelv-
koden stiller udelukkende krav om et cpr-
nummer og en selvvalgt kode, mens NemID
også stiller krav om en ekstra kode fra et
nøglekort eller nøgleviser.
Vi har konstateret det samme forhold i 2017.
Vi anbefaler, at anvendelsen af TastSelv-kode
udelukkende begrænses til personer, der ikke
kan tildeles NemID, fx personer under 15 år eller
uden dansk cpr-nummer.
Nr.
Observationer
Risici
Anbefalinger
Funktionsområde: Adgangsstyring
Vi anbefaler, at Udviklings- og Forenklingssty-
relsen med jævne mellemrum foretager afstem-
ning af AD med BRAS og DCS for at sikre over-
ensstemmelse mellem de centrale systemer.
Privilegerede rettigheder bør logges og kontrol-
leres med jævne mellemrum.
4.8
Revisionsemne: Styring af system- og applikationsadgang
2017
Oprettelse af brugere med privilege-
Oprettelse af brugere i AD
Vi er oplyst om, at der sker en automatiseret rede rettigheder uden om den BRAS
P1
opdatering af BRAS og DCS fra AD. Vi har styrede proces øger risikoen for, at
ved afstemning af AD med BRAS og DCS disse brugeradgange ikke opdages,
kontrolleres og nedlægges rettidigt.
fundet uoverensstemmelser mellem syste-
merne. Årsagen kan være flere forhold. Der
er ingen dokumenteret proces for oprettelse
af brugere i AD. Brugere (også administrato-
rer) og rettigheder kan oprettes direkte i AD
uden kontrol.
Adgangsstyring
23 af 42
 SAU, Alm.del - 2019-20 - Bilag 197: Revisionsrapport fra Skatteministeriets Koncernrevision om adgangsstyring (generelle it-kontroller)
2161042_0024.png
Nr.
Observationer
Handleplan fra:
Risici
Anbefalinger
Implementeringsdato: [Indtast dato]
Nr.
Observationer
Risici
Anbefalinger
Funktionsområde: Adgangsstyring
Vi anbefaler, at Infodokumentet for de enkelte
applikationer opdateres regelmæssigt for at af-
spejle, hvilke rettigheder der er et arbejdsbetin-
get behov for i Udviklings- og Forenklingsstyrel-
sen. Dernæst bør brugernes rettigheder gen-
nemgås og vurderes, så rettighederne følger
det opdaterede Infodokument og er i overens-
stemmelse med et arbejdsbetinget behov.
5.1
Revisionsemne: Generel gennemgang af systemer
2017
Hvis infodokumentet ikke er opdate-
Infodokument og rettigheder
For de enkelte applikationer er der udarbej- ret, kan det ikke anvendes til kontrol
P1
det et Infodokument i forbindelse med, at ret- af adgange. Det øger risiko for, at
tighederne til systemet er oprettet og tildelt i brugere har rettigheder, som de ikke
har et arbejdsbetinget behov for og
BRAS. Infodokumentet indeholder oplysnin-
dermed for uautoriseret adgang.
ger om systemet, autorisationer, rettigheds-
navne/forklaringer. Vi har konstateret, at In-
fodokumentet ikke er ajourført, og de faktisk
tildelte rettigheder ikke er i overensstem-
melse med Infodokumentet. Dette gør sig
gældende for alle de undersøgte applikatio-
ner, NTSE, DIAS, Motor, PAL/PAF og 3S.
Handleplan fra:
Implementeringsdato: [Indtast dato]
Nr.
Observationer
Risici
Anbefalinger
Funktionsområde: Adgangsstyring
Vi anbefaler, at der foretages en afstemning/til-
retning af AD og DCS, så der er overensstem-
melse mellem de 2 systemers adgange. Vi har
noteret, at
kontoret ”Platforme”
arbejder på at
24 af 42
5.2
Revisionsemne: Generel gennemgang af systemer
2017
Hvis de faktiske brugere/rettigheder i
AD og DCS
Active Directory (AD) indeholder de faktiske AD ikke er i overensstemmelse med
P1
adgange til en række applikationer. Der sker DCS giver det en forøget risiko for at
Adgangsstyring
 SAU, Alm.del - 2019-20 - Bilag 197: Revisionsrapport fra Skatteministeriets Koncernrevision om adgangsstyring (generelle it-kontroller)
2161042_0025.png
Nr.
Observationer
Risici
Anbefalinger
en daglig opdatering mellem AD og Det Cen- medarbejdere har adgang uden at rette op på differencerne, som blandt andet
trale Sikkerhedssystem (DCS). DCS styrer have et arbejdsbetinget behov.
skyldes en ny version af DCS.
rettigheder til en række af Udviklings- og
Forenklingsstyrelsens applikationer.
Vi har konstateret, at der ikke er overens-
stemmelse mellem AD og DCS. Vi har mod-
taget udtræk fra DCS og AD den 28.9.2017.
En afstemning viser, at DCS indeholder
13.013 rettigheder, som ikke findes i AD.
Disse rettigheder er fordelt på 5.924 medar-
bejdere. Derudover indeholder DCS 835 fra-
trådte medarbejdere.
Vi har i februar 2018 foretaget en ny afstem-
ning, som viser et markant bedre billede.
DCS indeholder 1.209 rettigheder, som ikke
findes i AD, heraf er en del kursusbrugere
mv.
Handleplan fra:
Implementeringsdato: [Indtast dato]
Nr.
Observationer
Risici
Anbefalinger
Funktionsområde: Adgangsstyring
Vi anbefaler, at Udviklings- og Forenklingssty-
relsen sikrer, at adgange og rettigheder i BRAS
stemmer overens med adgange og rettigheder i
Sisy, således at BRAS effektivt kan bruges til
overvågning af adgange.
5.3
Revisionsemne: Generel gennemgang af systemer
201
Afstemning BRAS med Sisy
7
Sisy er adgangssystemet til applikationen
P3
3S.
Vi har ved afstemning af Sisy med BRAS
konstateret, at 17 bruger-id er i BRAS med i
alt 27 rettigheder, som ikke findes i Sisy.
Adgangsstyring
25 af 42
 SAU, Alm.del - 2019-20 - Bilag 197: Revisionsrapport fra Skatteministeriets Koncernrevision om adgangsstyring (generelle it-kontroller)
2161042_0026.png
Nr.
Observationer
Udviklings- og Forenklingsstyrelsen har op-
lyst, at leverandøren af Sisy lukker adgan-
gen heri, hvis den ikke er blevet benyttet i en
periode. I Sisy findes 12 bruger-id med 16
rettigheder, som ikke findes i BRAS.
Risici
Anbefalinger
Nr.
Observationer
Risici
Anbefalinger
6.1
Revisionsemne: Gennemgang af NTSE
Funktionsområde: Adgangsstyring
2017
Observation nr. 1.2 fra opgave nr. 114-530
Revision af processen for angivelse og betaling af A-skat, am-bidrag, moms og
lønsumsafgift lukkes, og der oprettes en ny observation nr. 6.1.
P2
Adgangsstyring
NTSE
Intern Revision har konstateret, at 254 med-
arbejdere i SKAT ifølge BRAS-Fc har ad-
gang til at opdatere moms og forespørge på
tidligere momsangivelser via NTSE. Det dre-
jer sig, foruden 35 medarbejdere i Data-
fangst (Betaling og Regnskab), om medar-
bejdere fordelt på 42 forskellige kontorer/af-
delinger i SKAT
En lang række af disse medarbejdere er
ansat i kontorer/enheder der ikke umiddel-
bart har opgaver med indrapportering af el-
ler kundevejledning vedr. moms.
Ved gennemgangen i 2017 har vi konstate-
ret, at 159 medarbejdere har adgang til at
opdatere og forespørge på tidligere moms-
angivelser via NTSE med adgang til
Adgangsstyring
Vi anbefaler at Udviklings- og Forenklingssty-
relsen gennemgår brugerautorisationer til
Moms
indberet i NTSE og adgangen slettes
for brugere der ikke har et arbejdsbetinget be-
hov for adgang til momsoplysninger i NTSE.
Samtidig anbefales det, at der oprettes et IKS
(obligatorisk kontrol af systemadgange) punkt
til sikring af, at det udelukkende er medarbej-
dere i Betaling og Regnskab der sidder i afde-
Samtidig er der risiko for, at der er linger, der taster angivelser, der har indrappor-
autoriseret medarbejdere, der ikke teret moms til NTSE.
har en arbejdsbetinget behov for ad-
gang til momsoplysninger.
Risiko for fejlregistrering og mang-
lende overholdelse af retningslinjer
for nota- og dokumentationspligt i
forbindelse med opdatering af
moms øges, såfremt der er brugere
med opdateringsadgang, som ikke
har arbejdsopgaver der omfatter
indrapportering af momsangivelser.
26 af 42
 SAU, Alm.del - 2019-20 - Bilag 197: Revisionsrapport fra Skatteministeriets Koncernrevision om adgangsstyring (generelle it-kontroller)
2161042_0027.png
Nr.
Observationer
MOMSPRG. 42 medarbejdere er i Data-
fangst og resten er fordelt på 34 afdelinger.
Handleplan fra:
Risici
Anbefalinger
Implementeringsdato: [Indtast dato]
Nr.
Observationer
Risici
Anbefalinger
Funktionsområde:
6.2
Revisionsemne: Gennemgang af NTSE
2017
Brugerroller NTSE
Vi har ved gennemgangen af NTSE konsta-
P4
teret, at der er oprettet en ny rettighed, som
kun giver forespørgselsadgang - Moms Fo-
respørg. Rettigheden er tildelt 543 medar-
bejdere fordelt på 7 afdelinger.
Gennemgangen har ikke givet anledning til
bemærkninger.
Nr.
Observationer
Risici
Hvis brugere tildeles rettigheder til
applikationer uden et arbejdsbetinget
behov herfor, øges risikoen for uau-
toriseret adgang.
Anbefalinger
Funktionsområde: Adgangsstyring
Vi anbefaler, at Udviklings- og Forenklingssty-
relsen definerer, hvilke forretningsområder/af-
delinger, der skal administrere TastSelv. Defi-
nitionen bør fremgå af Infodokumentet, og ret-
tighederne skal herefter rettes til i overensstem-
melse med definitionen.
27 af 42
6.3
Revisionsemne: Gennemgang af NTSE
2017
Administration af TastSelv
Vi har konstateret, at 960 medarbejdere i
P2
Udviklings- og Forenklingsstyrelsen har ad-
gang til en eller flere rettigheder til Admini-
stration af TastSelv, fx til administration af til-
Adgangsstyring
 SAU, Alm.del - 2019-20 - Bilag 197: Revisionsrapport fra Skatteministeriets Koncernrevision om adgangsstyring (generelle it-kontroller)
2161042_0028.png
Nr.
Observationer
meldinger og aktiveringskoder, massetilmel-
ding til indberetning via filoverførsel, masse-
tilmelding til PBS betaling samt administra-
tion af TSE påmindelser og NETS aftaler for
virksomheder. Medarbejderne er fordelt på
29 forskellige afdelinger, herunder Digital
forvaltning og Strategi, Drifts- og udviklings-
center, Juridisk Administration, Person, Per-
son og Datakontrol mfl.
Handleplan fra:
Risici
Anbefalinger
Implementeringsdato: [Indtast dato]
Nr.
Observationer
Risici
Der er risiko for, at adgangen er til-
delt medarbejdere, som ikke skal
hjælpe virksomheder med TastSelv
Erhverv. Hvis brugere tildeles ret-
tigheder til applikationer uden et ar-
bejdsbetinget behov herfor, øges ri-
sikoen for uautoriseret adgang.
Anbefalinger
Funktionsområde: Adgangsstyring
Vi anbefaler, at Udviklings- og Forenklingssty-
relsen definerer, hvilke forretningsområder/af-
delinger, der skal hjælpe virksomheder med
TastSelv Erhverv. Definitionen bør fremgå af
Infodokumentet, og rettighederne skal herefter
rettes til i overensstemmelse med definitionen.
6.4
Revisionsemne: Gennemgang af NTSE
2017
Hjælpe virksomheder med TastSelv Erhverv
Rettigheder til Selvbetjening er relevante for
P2
medarbejdere, der skal hjælpe virksomhe-
der på TastSelv Erhverv. Det er rettigheder
som Genaktiver TastSelv kode, oprette og
tildele rettigheder og roller til medarbejdere i
virksomhederne, se og redigere virksomhe-
dens klientoversigt, autorisere en revisor for
virksomheden, tilmelde en virksomhed til re-
visorordningen samt bestille en ny, eller op-
hæve spærring på en eksisterende TastSelv
kode.
Ovennævnte rettigheder er tildelt 605 med-
arbejdere fordelt på 26 afdelinger, herunder
Adgangsstyring
28 af 42
 SAU, Alm.del - 2019-20 - Bilag 197: Revisionsrapport fra Skatteministeriets Koncernrevision om adgangsstyring (generelle it-kontroller)
2161042_0029.png
Nr.
Observationer
Person, Juridisk Administration, Jura, Digital
Udvikling og 1 medarbejder i Spillemyndig-
heden.
Handleplan fra:
Risici
Anbefalinger
Implementeringsdato: [Indtast dato]
Nr.
Observationer
Risici
Anbefalinger
Funktionsområde:
7.1
Revisionsemne: Gennemgang af DIAS
2017
Funktionsadskillelse DIAS
I DIAS er der en forespørgselsadgang
P4
(IP.DIAS.Aktoer.KundecenterMedarbej-
der.PRG) og en opdateringsadgang
(IP.DIAS.Aktoer.SkatMedarbejder.PRG).
Det er angivet i Infodokumentet, at en med-
arbejder ikke må have begge roller.
Vi har konstateret, at forespørgselsadgan-
gen er tildelt 411 medarbejdere, og at opda-
teringsadgangen er tildelt 967 medarbej-
dere. Ingen medarbejdere har begge roller.
Gennemgangen har ikke givet anledning til
bemærkninger.
Adgangsstyring
29 af 42
 SAU, Alm.del - 2019-20 - Bilag 197: Revisionsrapport fra Skatteministeriets Koncernrevision om adgangsstyring (generelle it-kontroller)
2161042_0030.png
Nr.
Observationer
Risici
Anbefalinger
Funktionsområde: Adgangsstyring
Vi anbefaler, at adgange med vide beføjelser
begrænses, og en liste i Infodokumentet er en
god måde at styre adgangen. Vi anbefaler, at li-
sten med navngivne medarbejdere til vigtige rol-
ler gennemgås med jævne mellemrum, så listen
stemmer med de faktiske adgange.
7.2
Revisionsemne: Gennemgang af DIAS
2017
DIAS Infodokument
I Infodokumentet for DIAS er der roller med
P3
navngivne medarbejdere, som skal have de
respektive roller tildelt. IP.DIAS.Aktoer.Skat-
Procesejer.PRG giver en medarbejder ad-
gang til alle handlemuligheder i applikatio-
nen, dog undtaget administrativ funktionali-
tet.
IP.DIAS.Aktoer.SkatSystemejer.PRG giver
en medarbejder adgang til alle handlemulig-
heder i applikationen inklusive administrativ
funktionalitet.
Vi har konstateret, at der er medarbejdere,
som har fået tildelt rollerne, selvom de ikke
fremgår af Infodokumentet. Samtidig er der
medarbejdere på listen i Infodokumentet,
som ikke har rollen.
Nr.
Observationer
Risici
Anbefalinger
7.3
Revisionsemne: Administration af brugeradgang
Funktionsområde: Adgangsstyring
2017
Observation nr. 2.1 fra opgave nr. 115-043
Rapport om udvalgte kontroller og funktionalitet i applikation DIAS (Digitalisering af
Selskabsskat) lukkes, og der oprettes en ny observation nr. 7.3.
Adgangsstyring
30 af 42
 SAU, Alm.del - 2019-20 - Bilag 197: Revisionsrapport fra Skatteministeriets Koncernrevision om adgangsstyring (generelle it-kontroller)
2161042_0031.png
Nr.
P2
Observationer
DIAS proces- og systemejere i BRAS-FC
Vi har i BRAS-FC set, at der er oprettet 4 for-
skellige rettigheder til DIAS.
DIAS procesejer
DIAS systemejer
DIAS læseadgang
DIAS opdateringsadgang
Via BRAS-FC er det konstateret, at 5 perso-
ner i SKAT har ”DIAS procesejer” rettigheder.
Samtidig har vi konstateret, via Systemover-
blik, at der kun er udpeget 4 procesejere.
Vias BRAS-FC er det konstateret, at 7 perso-
ner i SKAT har ”DIAS systemejer” rettighe-
der. Samtidig har vi konstateret, via System-
overblik, at der kun er udpeget 2 systemejere.
Dermed er der tildelt rettigheder til medarbej-
dere, som ikke har et arbejdsbetinget behov.
Vi har konstateret det samme forhold i 2017
og kan knytte følgende kommentar hertil:
DIAS procesejer: Infodokumentet indeholder
en liste over procesejere, som ikke stemmer
med de faktiske medarbejdere, som har
denne rolle.
DIAS systemejer: Infodokumentet indeholder
en liste over systemejere, som ikke stemmer
med de faktiske medarbejdere, som har
denne rolle.
Handleplan fra:
Risici
Risikoen for uautoriseret adgang til
Udviklings- og Forenklingsstyrel-
sens it-systemer øges ved en mang-
lende periodisk sammenholdelse af
brugeradgange fra væsentlige it-sy-
stemer såsom DCS med BRAS
og/eller Active Directory.
Anbefalinger
Vi anbefaler, at Udviklings- og Forenklingssty-
relsen periodisk sammenholder brugerad-
gange fra alle væsentlige it-systemer med
BRAS og/eller Active Directory.
Udviklings- og Forenklingsstyrelsen bør mulig-
gøre udtræk af brugeradgange fra egne it-sy-
stemer gennem fx ny funktionalitet for it-syste-
mer, der kræver involvering af serviceleveran-
dører.
Implementeringsdato: [Indtast dato]
Adgangsstyring
31 af 42
 SAU, Alm.del - 2019-20 - Bilag 197: Revisionsrapport fra Skatteministeriets Koncernrevision om adgangsstyring (generelle it-kontroller)
2161042_0032.png
Nr.
Observationer
Risici
Såfremt rettigheder ikke tildeles i
overensstemmelse med et arbejds-
betinget behov, er der øget risiko for
uautoriseret adgang.
Anbefalinger
Funktionsområde: Adgangsstyring
Vi anbefaler, at Udviklings- og Forenklingssty-
relsen opdaterer Infodokumentet og præciserer
adgangsrettighederne, så der er i overensstem-
melse med Udviklings- og Forenklingsstyrel-
sens krav om arbejdsbetinget behov.
8.1
Revisionsemne: Gennemgang af 3S
2017
Adgange i 3S
Vi har konstateret, at rollen ”3S Selskabs-
P2
skat
– Godkender” er tildelt i alt 421 medar-
bejdere, hvoraf 3 er i HR og Stab, 6 i Inddri-
velse, 307 i Indsats og 1 i Skattankestyrel-
sen.
Rollen
”3S Selskabsskat – Indberetter” er til-
delt i alt 1.221 medarbejdere, hvoraf 10 er i
HR og Stab, 5 i IT og Data, 978 i Indsats, 1 i
Skatteankestyrelsen samt 3 i Økonomi.
Handleplan fra:
Implementeringsdato: [Indtast dato]
Nr.
Observationer
Risici
Anbefalinger
Funktionsområde: Adgangsstyring
8.2
Revisionsemne: Gennemgang af 3S
2017
Adgange i 3S
Vi har konstateret, at rollerne 3S Udbytte-
P4
skat
Procesejer 0013 samt 3S Systemejer
0013 er tildelt i overensstemmelse med info-
dokumentet samt Udviklings- og Forenk-
lingsstyrelsens krav til adgangsstyring i for-
hold til et arbejdsbetinget behov samt be-
grænsning af rettigheder.
Adgangsstyring
32 af 42
 SAU, Alm.del - 2019-20 - Bilag 197: Revisionsrapport fra Skatteministeriets Koncernrevision om adgangsstyring (generelle it-kontroller)
2161042_0033.png
Nr.
Observationer
Gennemgangen har ikke givet anledning til
bemærkninger.
Risici
Anbefalinger
Nr.
Observationer
Risici
Anbefalinger
Funktionsområde: Adgangsstyring
Adgange til Motor skal være i overensstem-
melse med Infodokumentet. Vi anbefaler, at Ud-
viklings- og Forenklingsstyrelsen gennemgår de
tildelte adgange for at vurdere, om læseadgan-
gen alene er tildelt indsats- og regnskabsmed-
arbejdere.
9.1
Revisionsemne: Gennemgang af Motor
2017
Gennemgang af brugeradgange Motor
DMR.Aktoer.SKAT_Laeseadgang.PRG
er
P3
læseadgang til det meste af Motorregistret.
Rollen er tiltænkt indsatsmedarbejdere,
regnskabsmedarbejdere mv. Vi har konsta-
teret, at rollen er tildelt 727 medarbejdere
fordelt på 25 forskellige afdelinger, herunder
Forretningsprocesser, Juridisk Administra-
tion, Erhverv, Forretnings-IT og Leverandø-
rer mv.
Nr.
Observationer
Risici
Der er risiko for, at autorisationspro-
cessen ikke resulterer i korrekte ad-
gange til medarbejderne. Det kan
medføre, at roller ikke tildeles i over-
ensstemmelse med et arbejdsbetin-
get behov, og dermed forøget risiko
for uautoriseret adgang.
Anbefalinger
Funktionsområde: Adgangsstyring
Vi anbefaler, at Udviklings- og Forenklingssty-
relsen gennemgår de tildelte rettigheder som
nummerplademedarbejder, så der skabes
overensstemmelse mellem Infodokumentet og
de faktisk tildelte adgange. Princip om funkti-
onsadskillelse skal iagttages.
9.2
Revisionsemne: Gennemgang af Motor
2017
Gennemgang af brugeradgange Motor
DMR.Aktoer.Nummerplademedarbej-
P2
der.PRG
giver adgang til ekspeditionsmedar-
bejdere, som kan registrere køretøjer, herun-
der afmeldinger og bestillinger af plader og
attester. Rollen er tildelt 575 medarbejdere
fordelt på 25 afdelinger, herunder Teknologi,
Adgangsstyring
33 af 42
 SAU, Alm.del - 2019-20 - Bilag 197: Revisionsrapport fra Skatteministeriets Koncernrevision om adgangsstyring (generelle it-kontroller)
2161042_0034.png
Nr.
Observationer
Data og Sikkerhed, Økonomifunktioner og
service, Store Selskaber, Regnskab §38,
Forretningsprocesser, Drifts- og Udviklings-
center mv. Vi har konstateret, at rollen ikke
kun er tildelt nummerplademedarbejdere.
Handleplan fra:
Risici
Anbefalinger
Implementeringsdato: [Indtast dato]
Nr.
Observationer
Risici
Anbefalinger
Funktionsområde: Adgangsstyring
Vi anbefaler, at Udviklings- og Forenklingssty-
relsen gennemgår de tildelte adgange for at vur-
dere, om adgangen alene er tildelt CRM1(Mo-
tor) medarbejdere. Opmærksomheden henle-
des på, at adgangen skal gives til den forret-
ningsmæssige del af Skatteforvaltningen og
ikke IT.
9.3
Revisionsemne: Gennemgang af Motor
2017
Gennemgang af brugeradgange Motor
DMR.Aktoer.Pladevalideringsudvalg.PRG
P3
er adgang til godkendelse af ønskenummer-
plader og historiske nummerplader. Adgan-
gen skal gives til medarbejdere, som god-
kender ønske- og historiske nummerplader
CRM1(Motor) medarbejdere. Adgangen
er tildelt 10 medarbejdere i Drifts- og Udvik-
lingscenter, 4 medarbejdere i Forretnings-IT
og Leverandører, 2 i Told og 2 i Motor.
Adgangsstyring
34 af 42
 SAU, Alm.del - 2019-20 - Bilag 197: Revisionsrapport fra Skatteministeriets Koncernrevision om adgangsstyring (generelle it-kontroller)
2161042_0035.png
Nr.
Observationer
Risici
Der er risiko for, at autorisationspro-
cessen ikke medfører adgange til de
korrekte medarbejdere. Det giver en
øget risiko for, at roller ikke tildeles i
overensstemmelse med et arbejds-
betinget behov, og dermed forøget
risiko for uautoriseret adgang.
Anbefalinger
Funktionsområde: Adgangsstyring
Vi anbefaler, at Udviklings- og Forenklingssty-
relsen gennemgår de tildelte adgange som
Fejlhåndteringsmedarbejder, så der skabes
overensstemmelse mellem Infodokumentet og
de faktisk tildelte adgange. Princip om funkti-
onsadskillelse skal iagttages.
9.4
Revisionsemne: Gennemgang af Motor
2017
Gennemgang af brugeradgange Motor
DMR.Aktoer.SKAT_Fejlhaandteringsmedar-
P2
bejder.PRG
giver adgang til at ændre på et
køretøj overalt, f.eks. plader, registreringer
og syn, men ikke til at ændre på registrerings-
afgifter. Rollen skal gives til CRM2(Motor)
medarbejdere. Når en medarbejder har
denne adgang, skal medarbejderen også
have rollen nummerplademedarbejder.
Rollen er tildelt 289 medarbejdere fordelt på
blandt andet Drifts- og Udviklingscenter, Per-
son og Datakontrol, Forretnings-IT og Leve-
randører, Regnskab §38 mm. 21 medarbej-
dere har rollen uden at have rollen nummer-
plademedarbejder. Vi har konstateret, at rol-
len ikke er tildelt i henhold til Infodokumentet
og generelle regler for funktionsadskillelse.
Handleplan fra:
Implementeringsdato: [Indtast dato]
Adgangsstyring
35 af 42
 SAU, Alm.del - 2019-20 - Bilag 197: Revisionsrapport fra Skatteministeriets Koncernrevision om adgangsstyring (generelle it-kontroller)
2161042_0036.png
Nr.
Observationer
Risici
Anbefalinger
Funktionsområde:
9.5
Revisionsemne: Gennemgang af Motor
2017
Gennemgang af brugeradgange Motor
DMR.Aktoer.Task_Force.PRG
er en rolle,
P4
som gives til få udvalgte indsatsmedarbej-
dere. Rollen giver adgang til at indsætte blo-
kering og hæve blokering af et konkret køre-
tøj. Vi har konstateret, at rollen er tildelt få
(7) medarbejdere.
Gennemgangen har ikke givet anledning til
bemærkninger.
Nr.
Observationer
Risici
Hvis roller ikke tildeles i overens-
stemmelse med et arbejdsbetinget
behov, er der øget risiko for uautori-
seret adgang.
Anbefalinger
Funktionsområde: Adgangsstyring
Vi anbefaler, at Udviklings- og Forenklingssty-
relsen gennemgår de tildelte adgange for at vur-
dere, om adgangen er tildelt fejlrettelsesmedar-
bejdere i Høje Tåstrup. I forbindelse med æn-
dringer i organisationen, skal Infodokumentet
ændres, så det er ajour.
9.6
Revisionsemne: Gennemgang af Motor
2017
Gennemgang af brugeradgange Motor
DMR.Aktoer.SKAT_Syn.PRG
giver adgang
P2
til at foretage og annullere syn af køretøjer.
Rollen er tiltænkt enkelte fejlrettelsesmedar-
bejdere i Høje Taastrup. Systemejer bliver
adviseret ved ordre om adgang. Vi har kon-
stateret, at rollen er tildelt 62 medarbejdere,
Adgangsstyring
36 af 42
 SAU, Alm.del - 2019-20 - Bilag 197: Revisionsrapport fra Skatteministeriets Koncernrevision om adgangsstyring (generelle it-kontroller)
2161042_0037.png
Nr.
Observationer
hvoraf 60 er i Motor. 16 medarbejdere er i
Registrering Høje-Tåstrup, og derudover er
der eksempelvis 12 i Styring og data, 4 i Vej-
ledning og angivelseskontrol, 2 i Import. Rol-
len er ikke tildelt i overensstemmelse med
beskrivelsen i Infodokumentet.
Handleplan fra:
Risici
Anbefalinger
Implementeringsdato: [Indtast dato]
Nr.
Observationer
Risici
Hvis roller ikke tildeles i overens-
stemmelse med et arbejdsbetinget
behov, er der øget risiko for uautori-
seret adgang.
Anbefalinger
Funktionsområde: Adgangsstyring
Vi anbefaler, at Udviklings- og Forenklingssty-
relsen gennemgår de tildelte adgange til styring
af forretningsparametre, så der skabes over-
ensstemmelse mellem Infodokumentet og de
faktisk tildelte adgange. Princip om funktions-
adskillelse skal iagttages.
9.7
Revisionsemne: Gennemgang af Motor
2017
Gennemgang af brugeradgange Motor
DMR.Aktoer.SKAT_FPV_medarbejder.PRG
P2
giver adgang til styring af forretningsparame-
terværdier i Motor og andre funktioner under
Administration. Rollen må kun tildeles Sy-
stemejer. Systemejer bliver adviseret ved or-
dre.
Vi har konstateret, at rollen er tildelt 24 med-
arbejdere, hvoraf 7 er i afdelingen Motor.
DMR.Aktoer.SKAT_FPV_medarbejder_regi-
streringsafgift.PRG
giver adgang til styring af
forretningsparameterværdier i Motor. Rollen
må kun tildeles Systemejer. Systemejer bli-
ver adviseret ved ordre.
Vi har konstateret, at rollen er tildelt 12 med-
arbejdere, hvoraf 4 er i afdelingen Motor.
Adgangsstyring
37 af 42
 SAU, Alm.del - 2019-20 - Bilag 197: Revisionsrapport fra Skatteministeriets Koncernrevision om adgangsstyring (generelle it-kontroller)
2161042_0038.png
Nr.
Observationer
Handleplan fra:
Risici
Anbefalinger
Implementeringsdato: [Indtast dato]
Nr.
Observationer
Risici
Anbefalinger
Funktionsområde:
9.8
Revisionsemne: Gennemgang af Motor
2017
Gennemgang af brugeradgange Motor
DMR.Aktoer.SKAT_Portal_Tekstredak-
P4
toer.PRG
kan redigere portaltekster. Rollen
er tiltænkt Systemejer og Procesejer i DMR.
Systemejer bliver adviseret ved ordre.
DMR.Aktoer.Systemejer.PRG
giver adgang
til at godkende månedsangivelser. System-
ejer bliver adviseret ved ordre.
Begge ovennævnte roller er tildelt de
samme 4 medarbejdere i overensstemmelse
med infodokumentet.
Gennemgangen har ikke givet anledning til
bemærkninger.
Adgangsstyring
38 af 42
 SAU, Alm.del - 2019-20 - Bilag 197: Revisionsrapport fra Skatteministeriets Koncernrevision om adgangsstyring (generelle it-kontroller)
2161042_0039.png
Nr.
Observationer
Risici
Hvis roller ikke tildeles i overens-
stemmelse med et arbejdsbetinget
behov, er der øget risiko for tilsig-
tede eller utilsigtede fejl.
Anbefalinger
Funktionsområde: Adgangsstyring
Vi anbefaler, at Udviklings- og Forenklingssty-
relsen gennemgår de tildelte adgange som fejl-
håndteringsmedarbejder, så der skabes over-
ensstemmelse mellem Infodokumentet og de
faktisk tildelte adgange. Princip om funktions-
adskillelse skal iagttages.
9.9
Revisionsemne: Gennemgang af Motor
2017
Gennemgang af brugeradgange Motor
Når en medarbejder har rollen
SKAT Fejl-
P2
håndteringsmedarbejder - registreringsafgift
skal man altid også have rollen
SKAT regi-
streringsafgift medarbejder.
Vi har efterprøvet denne regel om funktions-
adskillelse og konstateret, at 12 medarbej-
dere har rollen SKAT fejlhåndteringsmedar-
bejder
registreringsafgift uden at have rol-
len SKAT Registreringsafgift medarbejder.
Handleplan fra:
Implementeringsdato: [Indtast dato]
Nr.
Observationer
Risici
Anbefalinger
Funktionsområde: Adgangsstyring
Vi anbefaler, at fundamentale krav om funkti-
onsadskillelse implementeres for PAL/PAF.
Kravene omfatter adskillelse mellem forretning,
økonomi og IT.
10.1 Revisionsemne: Gennemgang af PAL/PAF
2017
Manglende funktionsadskillelse giver
Indberetning og afstemning af PAL/PAF
Vi har konstateret, at rettigheder til indberet- forøget risiko for utilsigtede fejl og
P1
ning af PAL og PAF er tildelt medarbejdere, misbrug.
som også har adgang til behandling af ind-
betalinger i SAP38. Samme medarbejdere
har ansvaret for afstemning af PAL/PAF.
Handleplan fra:
Implementeringsdato: [Indtast dato]
Adgangsstyring
39 af 42
 SAU, Alm.del - 2019-20 - Bilag 197: Revisionsrapport fra Skatteministeriets Koncernrevision om adgangsstyring (generelle it-kontroller)
2161042_0040.png
Nr.
Observationer
Risici
Anbefalinger
Funktionsområde: Adgangsstyring
Vi anbefaler, at Udviklings- og Forenklingssty-
relsen udarbejder et nyt info dokument. Ad-
gangskravene skal fastlægges i overensstem-
melse med basale krav til funktionsadskillelse,
arbejdsbetinget behov samt begrænses mest
muligt.
10.2 Revisionsemne: Gennemgang af PAL/PAF
2017
Indberetning af skat samt indberetning af Hvis roller ikke tildeles i overens-
kendelser og skøn til PAL
stemmelse med et arbejdsbetinget
P2
Vi har konstateret, at 57 medarbejdere har behov, er der øget risiko for tilsigtede
adgang til indberetning af skat samt indbe- eller utilsigtede fejl.
retning af kendelser og skøn til PAL. Heraf
er 42 medarbejdere fra Drifts- og Udviklings-
center, Ejendom, Forretnings-IT og Leveran-
dører, Person og Datakontrol, Juridisk Admi-
nistration, Store Selskaber samt Økonomi
og Regnskab.
Handleplan fra:
Implementeringsdato: [Indtast dato]
Nr.
Observationer
Risici
Anbefalinger
Funktionsområde: Adgangsstyring
11.1 Revisionsemne: Gennemgang af DW
2017
Rettigheder i BRAS til Datawarehouse.
Vi har konstateret, at rettigheder i BRAS til
P4
Datawarehouse er i overensstemmelse med
infodokumentet. Vi har samtidig konstateret,
at kun medarbejdere i forretningsområdet
Data og Analyse i enheden Data Manage-
ment har adgang.
Gennemgangen har ikke givet anledning til
bemærkninger.
Adgangsstyring
40 af 42
 SAU, Alm.del - 2019-20 - Bilag 197: Revisionsrapport fra Skatteministeriets Koncernrevision om adgangsstyring (generelle it-kontroller)
2161042_0041.png
Nr.
Observationer
Risici
Manglende kontrol med eksterne
medarbejderes adgang til Udvik-
lings- og Forenklingsstyrelsens sy-
stemer giver forøget risiko for uauto-
riseret adgang til systemet.
Anbefalinger
Funktionsområde: Adgangsstyring
Vi anbefaler, at Udviklings- og Forenklingssty-
relsen får et udtræk over brugere og rettigheder
i Datawarehouse systemet. Udtrækket skal af-
stemmes med adgangene i BRAS.
11.2 Revisionsemne: Gennemgang af DW
2017
Afstemning af adgange i Datawarehouse.
Vi har ikke afstemt rettigheder i Dataware-
P2
house med registreringer i BRAS, da vi ikke
har modtaget et udtræk fra Datawarehouse
systemet. Vi har heller ikke modtaget en
oversigt over eksterne medarbejdere med
adgang til Datawarehouse.
Handleplan fra:
Implementeringsdato: [Indtast dato]
Adgangsstyring
41 af 42
 SAU, Alm.del - 2019-20 - Bilag 197: Revisionsrapport fra Skatteministeriets Koncernrevision om adgangsstyring (generelle it-kontroller)
2161042_0042.png
Bilag 2: Anvendt skala
Ved udarbejdelsen af konklusionen er følgende skala anvendt:
Intet behov for pro-
cesændringer
Skatteministeriets Koncernrevision har ikke observeret svagheder i de forret-
ningsgange og processer, der understøtter det reviderede område.
Prioritet 1: Ingen observationer
Prioritet 2: Ingen observationer
Skatteministeriets Koncernrevision har observeret enkelte svagheder i de for-
retningsgange og processer, der understøtter det reviderede område.
Prioritet 1: Ingen observationer
Prioritet 2: Enkelte observationer
Skatteministeriets Koncernrevision har observeret flere svagheder i de forret-
ningsgange og processer, der understøtter det reviderede område. Observatio-
nerne er hovedsageligt omfattet af prioritet 1 og 2 med flest observationer i pri-
oritet 2.
Prioritet 1: Flere observationer
Prioritet 2: Flest observationer
Skatteministeriets Koncernrevision har observeret flere svagheder i de forret-
ningsgange og processer, der understøtter det reviderede område. Observatio-
nerne er hovedsageligt omfattet af prioritet 1 eller 2 med flest observationer i
prioritet 1.
Prioritet 1: Flest observationer
Prioritet 2: Flere observationer
Det skal bemærkes, at ovenstående beskrivelse, med hensyn til antal observationer pr.
prioritet, er vejledende i forhold til vores samlede vurdering af konklusionen.
Behov for proces-
ændringer i mindre
omfang
Behov for proces-
ændringer i større
omfang
Behov for proces-
ændringer i væ-
sentligt omfang
Prioritering af de enkelte observationer:
Prioritet 1: Høj Risiko for manglende målopfyldelse:
Væsentlige svagheder i den etablerede forretningsgang/proces. Svaghederne kan om-
fatte manglende interne kontroller, uhensigtsmæssig design af interne kontroller, mang-
lende regnskabsmæssige faciliteter. Som følge heraf er der en væsentlig øget risiko for,
at processens formål ikke realiseres. Manglende opfyldelse af processens formål vil
have store konsekvenser for virksomheden. Der bør snarest muligt iværksættes foran-
staltninger med henblik på at udbedre de observerede svagheder.
Prioritet 2: Middel risiko for manglende målopfyldelse:
Svagheder i den etablerede forretningsgang/proces. Svaghederne kan omfatte mang-
lende interne kontroller, uhensigtsmæssig design af interne kontroller, manglende regn-
skabsmæssige faciliteter. Som følge heraf er der en øget risiko for, at processens
målopfyldelse ikke fuldt ud realiseres. Manglende opfyldelse af processens formål vil
have store konsekvenser for virksomheden. Der bør iværksættes foranstaltninger med
henblik på at udbedre den observerede svaghed.
Prioritet 3: Lille risiko for manglende målopfyldelse:
Ingen svagheder i den etablerede forretningsgang/proces. Som følge heraf er der ikke
en øget risiko for, at processens formål ikke realiseres. Den reviderede proces kan dog
designes med henblik på at forbedre eksekveringen af processen. Processen vil dog
være omfattet af den risiko, der, uanset styrken af de interne kontroller, altid vil være til
stede.
Prioritet 4: Lille risiko for manglende målopfyldelse:
Ingen svagheder i den etablerede forretningsgang/proces. Som følge heraf er der ikke
en øget risiko for, at processens formål ikke realiseres. Processen vil dog være omfattet
af den risiko, der, uanset styrken af de interne kontroller, altid vil være til stede.
Adgangsstyring
42 af 42