Skatteudvalget 2019-20
SAU Alm.del Bilag 198
Offentligt
2161054_0001.png
Faktuel afklaring
10. april 2018
Høringssvar
-
Anmodning om
handleplaner
22. juni 2018
Handleplaner modtaget
-
Endelig rapport
10. september 2018
J. nr.
2017 - 45
Plannr. 117-003
Rapport 2017
Udvikling og Forenkling
It-revision af ændringsstyring
Modtager
Andreas Berggreen, Direktør for Udvikling og Forenkling
Kopi
Departementet, Skatteministeriet
IIA certificeret
Revision
Rapportering
Rådgivning
 SAU, Alm.del - 2019-20 - Bilag 198: Revisionsrapport fra Skatteministeriets Koncernrevision om it-revision af ændringsstyring
2161054_0002.png
Forord
Skatteministeriets Koncernrevision (SKR) har, jævnfør orienteringsbrev af 5. maj
2017, revideret ændringsstyring. Den udførte revision er en del af den samlede
revision for 2017.
Rapporten har været fremsendt i udkast til den reviderede enhed med henblik på
at sikre, at SKR og den reviderede enhed har en ensartet opfattelse af de
observerede forhold. SKAT har efterfølgende udarbejdet handlingsplaner.
Rapporten indeholder en samlet konklusion omfattende det reviderede område. I
konklusionsafsnittet redegør vi for de observationer, som konklusionen i det
væsentligste er baseret på. Konklusionsafsnittet indeholder SKRs bedømmelse af
det reviderede område samt en beskrivelse af grundlaget for bedømmelsen. Det
vil derfor almindeligvis være tilstrækkeligt at læse selve rapporten. Såfremt der
ønskes uddybning og detaljering, henvises der til bilagene.
Rapportens bilag 1 indeholder en systematisk fremstilling af de observationer, som
den udførte revision har givet anledning til. Bilaget indeholder tillige en vurdering
af de tilknyttede risici samt SKRs forslag til anbefalinger, der kan formindske de
vurderede risici. Med udgangspunkt i risikovurderingerne har SKAT udarbejdet
handlingsplaner med henblik på at formindske de vurderede risici. SKRs anbe-
falinger har været anvendt som inspiration ved udarbejdelse af handlingsplaner. Vi
vil løbende vurdere implementeringen af SKATs handlingsplaner.
Rapportens bilag 2 indeholder en beskrivelse af de prioriteringer, der er anvendt
ved klassifikationen af de enkelte observationer. Bilaget indeholder herudover en
beskrivelse af koblingen mellem observationernes prioriteringer og den samlede
overordnede konklusion.
København, den 10. september 2018
Kurt Wagner
Koncernrevisionschef
Gunnar Kappel
Chefkonsulent
It-revision af ændringsstyring
2 af 13
 SAU, Alm.del - 2019-20 - Bilag 198: Revisionsrapport fra Skatteministeriets Koncernrevision om it-revision af ændringsstyring
2161054_0003.png
1. Formål
Formålet med revisionen er at vurdere, hvorvidt SKAT har etableret betryggende
procedurer for ændringsstyring af it-systemer, som sikrer, at implementerede
ændringer er autoriserede, testede og godkendte.
2. Omfang
Revisionen er udført i perioden maj til december 2017 med udgangspunkt i ISO
standarden 27001 og har omfattet afsnit 12.1.2
”Ændringsstyring”
med følgende
hovedområder:
Ændringer af organisation, forretningsprocesser,
informationsbehandlingsfaciliteter og
systemer, som påvirker
informationssikkerheden, skal styres.
Udviklings-, test- og driftsmiljøer bør adskilles for at nedsætte risikoen for
uautoriseret adgang til eller ændringer af driftsmiljøet.
Revisionen er udført af Gunnar Kappel og Aliriza Özden i henhold til gældende
revisionsstandarder. Vi har indsamlet og stikprøvevist gennemgået samt vurderet
det foreliggende materiale. Ved revisionen har vi interviewet medarbejdere fra
SKATs kontor for Service Management og Styring samt systemejere for it-
systemerne NTSE, DIAS, 3S, PAL/PAF, Motor og Datawarehouse.
Kontoret for Service Management og Styring har haft ansvaret for at koordinere
revisionen hos SKAT.
Ved revisionen anvendes nedenstående model, som opdeler processen i en række
funktionsområder. Vi har ved denne revision revideret rammevilkåret
”It-
sikkerhed”. Det reviderede område er fremhævet med gråt i figuren:
Rammevilkår
Ministerieinstruks
Virksomhedsinstruks
Regnskabsinstruks
Bogføringssystemer
Adgangsstyring
It-sikkerhed
Lovgivning
Funktionsområder
Datafangst
Registrering
Opgørelse
Bogføring
Opkrævning
Betaling
Inddrivelse
Ledelsesrapportering
Regnskabsaflæggelse
It-revision af ændringsstyring
3 af 13
 SAU, Alm.del - 2019-20 - Bilag 198: Revisionsrapport fra Skatteministeriets Koncernrevision om it-revision af ændringsstyring
2161054_0004.png
3. Konklusion
Det er vores vurdering, at der
i mindre omfang er behov
for ændringer i de
reviderede processer. Denne vurdering baserer vi på følgende forhold:
SKAT benytter ikke de centrale forretningsgange for ændringsstyring for alle
gennemgåede it-systemer. Endvidere registrerer SKAT ændringerne i
ITSM/Remedy (værktøj til styring af bl.a. ændringer) uensartet og for nogle
systemer med tidsmæssig forskydning. Det betyder, at den centrale proces for
ændringsstyring ikke følges med risiko for en uensartet og decentral styring.
Vi har ikke modtaget dokumentation for, at ændringer til Datawarehouse-
løsningen er autoriserede, testede og godkendte.
Vi har prioriteret de observerede forhold således:
Nr.
1
2
3
4
I alt
Revisionsemne
Generelle forhold for ændringsstyring
Politik, procedurer og regler
Adskilte funktioner og miljøer
Autorisation, test og godkendelse
P1
0
0
0
1
1
P2
1
0
0
1
2
P3
1
1
0
0
2
P4
2
1
1
2
6
I alt
4
2
1
4
11
Prioriteterne skal ses i forhold til det reviderede område og er nærmere defineret i bilag 2.
Vi fremsendte rapporten 117-003 It-revision af Ændringsstyring i udkast til faktuel
afklaring d. 10. april 2018. Vi modtog ikke høringssvar fra SKAT, og derfor
anmodede vi om handleplaner d. 22. juni.
SKAT har på tidspunktet for afslutning og datering af denne rapport endnu ikke
fremsendt handleplaner. Under hensyntagen til det lange tidsforløb, og under
hensyntagen til at SKAT har haft mulighed for at arbejde med formulering og
godkendelse af handleplaner siden 22. juni, afslutter vi revisionen og fremsender
rapporten i endelig udgave.
De i rapporten anførte risici eksisterer fortsat, og SKAT bør derfor, efter vores
vurdering, stadig iværksætte handlinger, der imødegår risiciene. Såfremt SKAT
efterfølgende fremsender handleplaner til rapporten, vil de blive indarbejdet i
Revisionsdatabasen.
It-revision af ændringsstyring
4 af 13
 SAU, Alm.del - 2019-20 - Bilag 198: Revisionsrapport fra Skatteministeriets Koncernrevision om it-revision af ændringsstyring
2161054_0005.png
Bilag 1: Observationer, risici og anbefalinger
Nr.
Observationer
Risici
Anbefalinger
Funktionsområde: Rammevilkår
1.1
Revisionsemne: Generelle forhold for ændringsstyring
2017
Central proces for ændringsstyring
Vi har konstateret, at SKAT har etableret en
P4
central proces for ændringsstyring forankret
i kontoret for Service Management og
Styring som ansvarlig for Change
Management.
Endvidere har vi konstateret, at SKATs
”Håndbog
for ledere” indeholder dækkende
krav til ændringsstyring. Håndbogen
beskriver de krav, der skal overholdes for at
beskytte SKATs data bedst muligt.
Gennemgangen har ikke givet anledning til
bemærkninger.
It-revision af ændringsstyring
5 af 13
 SAU, Alm.del - 2019-20 - Bilag 198: Revisionsrapport fra Skatteministeriets Koncernrevision om it-revision af ændringsstyring
2161054_0006.png
Nr.
Observationer
Risici
Anbefalinger
Funktionsområde: Rammevilkår
Vi anbefaler, at SKAT sikrer, at alle ændringer
dokumenteres i SKATs ITSM/Remedy værktøj.
En tilstrækkelig dokumentation bør omfatte en
tidsmæssig afspejling af det faktiske forløb og
udgøre et fyldestgørende grundlag for en
central
styring
af
ændringer
samt
ledelsesrapportering.
1.2
Revisionsemne: Generelle forhold for ændringsstyring
2017
Decentral styring af ændringer
Hvis alle ændringer ikke registreres
Vi har stikprøvevist efterprøvet SKATs tidsmæssigt korrekt, kan det medføre
P2
ændringsstyring. Vi har for perioden 1. en uensartet og decentral styring af
januar til 31. december 2017 gennemgået ændringer,
som
ikke
er
i
30 ændringer fra systemerne NTSE, DIAS, overensstemmelse med SKATs
3S, PAL/PAF og Motor.
centrale proces for ændringsstyring.
For så vidt angår ændringer i systemet 3S Samtidig øges risikoen for fejl i
har vi konstateret, at ændringer er registreret ledelsesrapporteringen.
i ITSM/Remedy efter, at ændringerne har
fundet sted.
For 3S, DIAS og Motor anvender SKAT
primært processer og værktøjer fra
leverandørerne og sekundært SKATs
centrale forretningsgang for ændringsstyring
samt SKATs ITSM/Remedy værktøj. Det
medfører en uensartet registrering i
ITSM/Remedy.
Handlingsplan fra [Angiv implementeringsansvarligt funktionsområde eller kontor]:
Implementeringsdato: [Indtast dato]
It-revision af ændringsstyring
6 af 13
 SAU, Alm.del - 2019-20 - Bilag 198: Revisionsrapport fra Skatteministeriets Koncernrevision om it-revision af ændringsstyring
2161054_0007.png
Nr.
Observationer
Risici
Anbefalinger
Funktionsområde: Rammevilkår
Vi anbefaler, at risikoniveauet afspejler den
reelle risiko for ændringer i overensstemmelse
med
ændringsprocedurerne
samt
den
overordnede risikovurdering for systemet.
1.3
Revisionsemne: Generelle forhold for ændringsstyring
2017
Risikovurdering af ændringer
Risikoniveauet for en ændring er afgørende
P3
for, om der skal afholdes CAB-møde
(Change Advisory Board) og for, om der skal
foreligge en back-out plan.
Vi har for DIAS, 3S og Motorsystemerne
vurderet, at ovennævnte CAB-møder ikke i
alle tilfælde er afholdt i forhold til ændringens
karakter.
Dette beror øjensynligt på SKAT’s vurdering
af, at de omfattede ændringer ikke er
særskilt risikobetonede.
Det skal dog bemærkes, at ændringsforslag,
der er karakteriseret ved en impact svarende
til extensive/significant må antages at
medføre en større sandsynlighed for
uønskede hændelser og derved påvirke den
samlede risiko i opadgående retning.
It-revision af ændringsstyring
7 af 13
 SAU, Alm.del - 2019-20 - Bilag 198: Revisionsrapport fra Skatteministeriets Koncernrevision om it-revision af ændringsstyring
2161054_0008.png
Nr.
Observationer
Risici
Anbefalinger
Funktionsområde: Rammevilkår
1.4
Revisionsemne: Generelle forhold for ændringsstyring
2017
Implementering af værktøj til styring af
ændringer
P4
Vi har vurderet implementeringen af
værktøjet ITSM/Remedy, som anvendes til
styring af ændringer. For systemerne NTSE,
DIAS, 3S, PAL/PAF og Motor, der benytter
ITSM/Remedy til styring af ændringer, har vi
konstateret, at værktøjet er implementeret i
overensstemmelse med krav fra SKATs
”Håndbog for ledere” og
den centrale proces
for ændringsstyring. Ved anvendelse af
værktøjet
sikres
det
bl.a.,
at
informationssikkerhedskrav
opfyldes,
relevante personer informeres, og der
udarbejdes back out-planer.
Gennemgangen har ikke givet anledning til
bemærkninger.
Nr.
Observationer
Risici
Anbefalinger
Funktionsområde: Rammevilkår
Vi anbefaler, at SKATs
”Håndbog for ledere”
stiller krav om benyttelsen af den centrale
proces
for
ændringsstyring
og
styringsværktøjet ITSM/Remedy.
2.1
Revisionsemne: Politik, procedurer og regler
2017
Forankring i politik og retningslinjer
Vi har konstateret, at SKATs
”Håndbog for
P3
ledere” ikke
stiller krav om benyttelsen af
den centrale proces for ændringsstyring og
styringsværktøjet ITSM/Remedy.
It-revision af ændringsstyring
8 af 13
 SAU, Alm.del - 2019-20 - Bilag 198: Revisionsrapport fra Skatteministeriets Koncernrevision om it-revision af ændringsstyring
2161054_0009.png
Nr.
Observationer
Risici
Anbefalinger
Funktionsområde: Rammevilkår
2.2
Revisionsemne: Politik, procedurer og regler
2017
Krav om adskillelse af it-miljøer
Vi har konstateret, at
SKATs ”Håndbog
for
P4
ledere” i et selvstændigt afsnit stiller krav om
adskillelse mellem udviklings-, test- og
driftsmiljøer for at sikre korrekt og sikker
drift.
Gennemgangen har ikke givet anledning til
bemærkninger.
Nr.
Observationer
Risici
Anbefalinger
Funktionsområde: Rammevilkår
3.1
Revisionsemne: Adskilte funktioner og miljøer
2017
Adskilte it-miljøer
Gennemgangen af adskilte it-miljøer viser,
at der er etableret adskillelse for
applikationer
omfattet
af
følgende
revisionsrapporter:
Datawarehouse:
117-006 It-revision af
Datawarehouse
PAL/PAF:
117-019 It-revision af PAL/PAF
NTSE:
117-022 It-revision af NTSE
DIAS:
117-023 It-revision af DIAS
3S:
117-024 It-revision af 3S
Motor:
117-026 It-revision af Motor
It-revision af ændringsstyring
9 af 13
 SAU, Alm.del - 2019-20 - Bilag 198: Revisionsrapport fra Skatteministeriets Koncernrevision om it-revision af ændringsstyring
2161054_0010.png
Nr.
Observationer
Risici
Anbefalinger
Funktionsområde: Rammevilkår
3.2
Revisionsemne: Adskilte funktioner og miljøer
2017
Adskilte funktioner
Vi har ved gennemgang af stikprøver for 3S,
P4
DIAS,
NTSE,
PAL/PAF
og
Motor
konstateret, at der er etableret en
hensigtsmæssig
funktionsadskillelse
mellem
SKAT
og
leverandørerne.
Funktionsadskillelsen omfatter:
SKATs anmodning om ændringer
Leverandørens estimering af ændringer
SKATs autorisation til udvikling
Leverandørens udvikling af ændringer
SKATs efterprøvning/test af ændringer
Leverandørens
idriftsættelse
af
ændringer
SKATs godkendelse af idriftsættelse.
Vores
vurdering
af
leverandørens
udvikleradgange til driftsmiljøet er omfattet
af revisionsrapporterne omtalt under
observation 3.1.
Gennemgangen har ikke givet anledning til
bemærkninger.
It-revision af ændringsstyring
10 af 13
 SAU, Alm.del - 2019-20 - Bilag 198: Revisionsrapport fra Skatteministeriets Koncernrevision om it-revision af ændringsstyring
2161054_0011.png
Nr.
Observationer
Risici
Anbefalinger
Funktionsområde: Rammevilkår
4.1
Revisionsemne: Autorisation, test og godkendelse
2017
Autorisation til udvikling
Vi har stikprøvevis gennemgået ændringer
P4
for NTSE, DIAS, 3S, Motor og PAL/PAF og
konstateret, at SKAT har autoriseret
ændringer til udvikling hos leverandørerne.
Gennemgangen har ikke givet anledning til
bemærkninger.
Nr.
Observationer
Risici
Anbefalinger
Funktionsområde: Rammevilkår
Vi anbefaler, at SKAT udarbejder krav til,
hvorledes test af ændringer skal dokumenteres
i overensstemmelse med den centrale proces
til styring af ændringer.
Krav til dokumentationen bør bl.a. omfatte,
hvilke ændringer der er kritiske at teste, og i
hvilket
omfang
de
skal
testes.
Dokumentationen
bør
foreligge
i
ITSM/Remedy.
4.2
Revisionsemne: Autorisation, test og godkendelse
2017
Krav til dokumentation af test
Såfremt der ikke er udarbejdet
Vi har konstateret, at SKAT ikke har detaljerede krav til test af ændringer
P2
udarbejdet detaljerede krav til, hvorledes og dokumentation af testen, er der
test af ændringer skal dokumenteres, forøget risiko for, at ændringer ikke
herunder dokumentation af hvilke ændringer bliver testet og dokumenteret i
der er kritiske at teste, og i hvilket omfang de tilstrækkeligt omfang.
skal testes.
Handlingsplan fra [Angiv implementeringsansvarligt funktionsområde eller kontor]:
Implementeringsdato: [Indtast dato]
It-revision af ændringsstyring
11 af 13
 SAU, Alm.del - 2019-20 - Bilag 198: Revisionsrapport fra Skatteministeriets Koncernrevision om it-revision af ændringsstyring
2161054_0012.png
Nr.
Observationer
Risici
Anbefalinger
Funktionsområde: Rammevilkår
4.3
Revisionsemne: Autorisation, test og godkendelse
2017
Idriftsættelse af ændringer
Vi har stikprøvevis gennemgået ændringer
P4
for NTSE, DIAS, 3S, Motor og PAL/PAF og
konstateret, at der er sket godkendelse af
ændringerne i produktion.
Gennemgangen har ikke givet anledning til
bemærkninger.
Nr.
Observationer
Risici
Anbefalinger
Funktionsområde: Rammevilkår
Vi anbefaler, at ændringer til Datawarehouse-
løsningen følger SKATs centrale proces for
ændringsstyring,
krav fra ”Håndbog for ledere”
og styres via SKATs værktøj til ændringsstyring
(ITSM/Remedy). Endvidere bør SKAT sikre, at
styringen af ændringer til Datawarehouse-
løsningen dokumenteres i tilstrækkelig omfang.
4.4
Revisionsemne: Autorisation, test og godkendelse
2017
Styring af ændringer for Datawarehouse
Manglende
dokumentation
af,
For Datawarehouse-løsningen har vi ikke hvordan
ændringer
til
P1
modtaget dokumentation for autorisation af Datawarehouse-løsningen er styret,
ændringer til udvikling, afprøvning af øger risikoen for, at der bliver idriftsat
ændringer i testmiljø og idriftsættelse af ændringer
uden
forudgående
ændringer i produktionsmiljø.
autorisation, test og godkendelse,
hvilket kan påvirke fortroligheden,
integriteten og tilgængeligheden af
løsningen.
Handlingsplan fra [Angiv implementeringsansvarligt funktionsområde eller kontor]:
Implementeringsdato: [Indtast dato]
It-revision af ændringsstyring
12 af 13
 SAU, Alm.del - 2019-20 - Bilag 198: Revisionsrapport fra Skatteministeriets Koncernrevision om it-revision af ændringsstyring
2161054_0013.png
Bilag 2: Anvendt skala
Ved udarbejdelsen af konklusionen er følgende skala anvendt:
Intet behov for
procesændringer
Skatteministeriets Koncernrevision har ikke observeret svagheder i de
forretningsgange og processer, der understøtter det reviderede område.
Prioritet 1: Ingen observationer
Prioritet 2: Ingen observationer
Skatteministeriets Koncernrevision har observeret enkelte svagheder i de
forretningsgange og processer, der understøtter det reviderede område.
Prioritet 1: Ingen observationer
Prioritet 2: Enkelte observationer
Skatteministeriets Koncernrevision har observeret flere svagheder i de
forretningsgange og processer, der understøtter det reviderede område.
Observationerne er hovedsageligt omfattet af prioritet 1 og 2 med flest
observationer i prioritet 2.
Prioritet 1: Flere observationer
Prioritet 2: Flest observationer
Skatteministeriets Koncernrevision har observeret flere svagheder i de
forretningsgange og processer, der understøtter det reviderede område.
Observationerne er hovedsageligt omfattet af prioritet 1 eller 2 med flest
observationer i prioritet 1.
Prioritet 1: Flest observationer
Prioritet 2: Flere observationer
Det skal bemærkes, at ovenstående beskrivelse, med hensyn til antal observationer pr.
prioritet, er vejledende i forhold til vores samlede vurdering af konklusionen.
Prioritering af de enkelte observationer:
Prioritet 1: Høj Risiko for manglende målopfyldelse:
Væsentlige svagheder i den etablerede forretningsgang/proces. Svaghederne kan
omfatte manglende interne kontroller, uhensigtsmæssig design af interne kontroller,
manglende regnskabsmæssige faciliteter. Som følge heraf er der en væsentlig øget
risiko for, at processens formål ikke realiseres. Manglende opfyldelse af processens
formål vil have store konsekvenser for virksomheden. Der bør snarest muligt
iværksættes foranstaltninger med henblik på at udbedre de observerede svagheder.
Prioritet 2: Middel risiko for manglende målopfyldelse:
Svagheder i den etablerede forretningsgang/proces. Svaghederne kan omfatte
manglende interne kontroller, uhensigtsmæssig design af interne kontroller, manglende
regnskabsmæssige faciliteter. Som følge heraf er der en øget risiko for, at processens
målopfyldelse ikke fuldt ud realiseres. Manglende opfyldelse af processens formål vil
have store konsekvenser for virksomheden. Der bør iværksættes foranstaltninger med
henblik på at udbedre den observerede svaghed.
Prioritet 3: Lille risiko for manglende målopfyldelse:
Ingen svagheder i den etablerede forretningsgang/proces. Som følge heraf er der ikke
en øget risiko for, at processens formål ikke realiseres. Den reviderede proces kan dog
designes med henblik på at forbedre eksekveringen af processen. Processen vil dog
være omfattet af den risiko, der, uanset styrken af de interne kontroller, altid vil være til
stede.
Prioritet 4: Lille risiko for manglende målopfyldelse:
Ingen svagheder i den etablerede forretningsgang/proces. Som følge heraf er der ikke
en øget risiko for, at processens formål ikke realiseres. Processen vil dog være omfattet
af den risiko, der, uanset styrken af de interne kontroller, altid vil være til stede.
Behov for proces-
ændringer i mindre
omfang
Behov for proces-
ændringer i større
omfang
Behov for
procesændringer i
væsentligt omfang
It-revision af ændringsstyring
13 af 13