Finansudvalget 2013-14
SB 28 17
Offentligt
1434402_0001.png
Statsrevisorernes Sekretariat
Christiansborg
1240 København K
Justitsministeren
Dato:
9. december 2014
Sagsnr.:
Dok.:
2014-0284-0164
1378944
Kære statsrevisorer
Ved brev af 2. oktober 2014 har Statsrevisorernes Sekretariatet fremsendt
Statsrevisorernes beretning nr. 28/2013 om revision af statsregnskabet for
2013 med anmodning om, at jeg redegør for, hvilke initiativer beretningen
giver anledning til.
Indledningsvist vil jeg gerne kvittere for beretningen.
Jeg kan med tilfredshed konstatere, at Rigsrevisionen i beretning nr.
28/2013 om revision af statsregnskabet for 2013 konkluderer, at Justitsmi-
nisteriets regnskab er rigtigt, og at der er sket en betryggende regnskabsaf-
læggelse på ministeriets område.
For så vidt angår Statsrevisorernes og Rigsrevisionens konkrete bemærk-
ninger, skal jeg bemærke følgende:
Ad punkt 134 om systematiske fejl i løn under fravær i politiet og ankla-
gemyndigheden
Rigsrevisionen konstaterede efter besøg omkring årsskiftet 2013/2014, at
der ikke var udbetalt særlige ydelser under fravær i politiet, når der afvik-
ledes særlige feriedage og omsorgsdage.
Rigspolitiet har oplyst, at der straks efter Rigsrevisionens afrapportering
blev igangsat et større udredningsarbejde, der har omfattet en tilbundsgå-
ende analyse af hele området.
Slotsholmsgade 10
1216 København K.
Telefon 7226 8400
Telefax 3393 3510
www.justitsministeriet.dk
[email protected]
 Statsrevisorerne beretning SB28/2013 - Bilag 17: Justitsministerens redegørelse af 9. december 2014
Arbejdet har resulteret i en ny, fremtidig metode til beregning og udbeta-
ling af særlige ydelser under betalt fravær. Moderniseringsstyrelsen har lø-
bende været inddraget i valideringen af den nye beregningsmetode. Der er
nu fastlagt en procedure for efterbetaling af den manglende udbetaling af
løn under betalt fravær.
Arbejdet har endvidere resulteret i en it-mæssig løsning, der understøtter
beregning og udbetaling. Den it-understøttende beregningsmetode er plan-
lagt til ikrafttrædelse pr. 1. januar 2015.
Rigspolitiet har endelig oplyst, at hensættelsen til efterbetalingen skete i
regnskabet for 2013, og at efterbetalingen vil ske inden udgangen af 2014.
Jeg noterer med tilfredshed, at Rigspolitiet har udarbejdet en ny metode,
der fremadrettet skal sikre en korrekt beregning og udbetaling af særlige
ydelser under betalt fravær.
Ad punkt 135 om væsentlige sårbarheder i it-driften i Rigspolitiets Kon-
cern IT
Jeg vil indledningsvist gerne understrege, at Justitsministeriet har et særligt
ansvar for at sikre en høj grad af cyber- og informationssikkerhed. Mini-
steriet har en række kritiske it-systemer på ministerområdet, herunder i
Rigspolitiet, og ministeriet håndterer dagligt personfølsomme oplysninger.
Jeg ser derfor med stor alvor på Rigsrevisionens konklusioner i forhold til
it-sikkerhed i Rigspolitiet og Statsrevisorernes efterfølgende bemærknin-
ger omkring it-sikkerhed.
Rigspolitiet har oplyst, at der er udarbejdet en handlingsplan til opfølgning
på samtlige af Rigsrevisionens anbefalinger. Rigspolitiet har endvidere op-
lyst, at der er et stort ledelsesfokus på implementeringen af handlingspla-
nen. Jeg kan endvidere oplyse, at Justitsministeriet følger implemente-
ringsarbejdet tæt.
Rigspolitiets Koncern IT’s fokusområder
Rigspolitiet har oplyst, at Koncern IT i foråret 2014 har foretaget et gen-
nemgribende strategieftersyn inden for it-sikkerhed. Fokusområderne er
konkretiseret i en række initiativer, der blandt andet indebærer øget fokus
på kontrol og opfølgning, således at der etableres det nødvendige sikker-
hedsniveau for it-systemer og data.
2
 Statsrevisorerne beretning SB28/2013 - Bilag 17: Justitsministerens redegørelse af 9. december 2014
Rigspolitiet har endvidere oplyst, at der er igangsat fire projekter vedrø-
rende sikkerhed, som vedrører henholdsvis etablering af retningslinjer og
procedurer for behandling af følsom og/eller fortrolig information, fysisk
sikring på lokationer, etablering af it-mæssige rammer til efterlevelse af
retningslinjer mv.
Adgang til politiets netværk
Rigsrevisionen anbefaler, at Rigspolitiets Koncern IT krypterer netværks-
trafikken og autentificerer netværksadgangen således, at det kun er Kon-
cern IT’s egne computere og servere, der kan tilgå det betroede netværk.
Rigspolitiet har oplyst, at teknologien, til at understøtte Rigsrevisionens
anbefaling, trinvist implementeres i første halvår af 2015 med fuld imple-
mentering i andet halvår.
Systemopdateringer
Rigsrevisionen anbefaler endvidere, at Rigspolitiets Koncern IT sikrer, at
alle systemer får installeret de nyeste sikkerhedsopdateringer i overens-
stemmelse med sikkerhedshåndbogen. Rigspolitiet har i den forbindelse
oplyst, at Rigspolitiets Koncern IT vil sikre, at alle systemer fremadrettet
får installeret de nyeste sikkerhedsopdateringer. Processen forventes af-
sluttet medio 2015.
Systematisk kontrol af medarbejdere
Rigsrevisionen finder, at Rigspolitiets Koncern IT bør foretage en regel-
mæssig kontrol med brugere, der har administratorkonti. Rigspolitiet har
hertil oplyst, at der fremadrettet gennemføres en dokumenteret månedlig
kontrol med de tildelte administratorrettigheder.
Medarbejdernes kendskab til gældende regler om logning
Endelig påpeger Rigsrevisionen, at Rigspolitiets Koncern IT’s ledelse bør
sikre og følge op på, at alle medarbejdere er bekendt med og efterlever ret-
ningslinjer og regler om logning, som fremgår af Rigspolitiets Sikkerheds-
håndbog. Rigspolitiet har oplyst, at de vil sikre, at medarbejderne er be-
kendt med gældende retningslinjer og regler på området omkring logning.
Rigspolitiet vil endvidere løbende følge op på efterlevelsen heraf.
Jeg ser med stor alvor på Rigsrevisionens kritik på dette område. Jeg ser
dog positivt på de forskellige – helt nødvendige – tiltag, som Rigspolitiet
har iværksat for at imødekomme Rigsrevisionens kritik.
3
 Statsrevisorerne beretning SB28/2013 - Bilag 17: Justitsministerens redegørelse af 9. december 2014
Ad punkt 138 om fortsat utilstrækkelig beskyttelse af følsomme person-
oplysninger i Udlændingestyrelsen
Brugerrettigheder og sporing af systemanvendelse
Rigsrevisionen påpeger i sin beretning om statsregnskabet for 2013, at Ud-
lændingestyrelsen ikke havde etableret tilstrækkelige muligheder for at
spore, hvem der har anvendt IBS-systemet og med hvilke(t) formål.
Udlængestyrelsen har oplyst, at der, for så vidt angår systemanvendelsen i
styrelsen, arbejdes på at udvikle en løsning, hvor det sikres, at styrelsen
kan trække en rapport på en given medarbejder og dermed se, hvilke æn-
dringer medarbejderen har foretaget i systemet. Udviklingen er i gang og
forventes implementeret primo 2015.
I forhold til systemanvendelsen hos operatørerne har styrelsen oplyst, at
der iværksættes en gennemgang af brugerprofilerne, hvormed det sikres, at
brugerprofilerne er i overensstemmelse med de konkrete behov og beføjel-
ser for den enkelte medarbejder.
Systemrisikovurdering
Rigsrevisionen finder endvidere i sin beretning, at Udlændingestyrelsen
mangler at udarbejde en risikovurdering af systemet, som kan danne
grundlag for at prioritere de it-sikkerhedsmæssige foranstaltninger. Ud-
lændingestyrelsen har oplyst, at styrelsen inden udgangen af 2014 vil gen-
nemføre en risikovurdering, der tager højde for kritikken.
Vejledningsmateriale
Rigsrevisionen påpeger endelig, at det foreliggende vejledningsmateriale
til brugerne i vidt omfang er upræcist og utilstrækkeligt. Udlændingesty-
relsen har oplyst, at styrelsen er i færd med at revidere det foreliggende
vejledningsmateriale. Revisionen af materialet forventes at være tilende-
bragt inden udgangen af indeværende år.
Afsluttende bemærkninger
Ad punkt 136 om politiet og anklagemyndigheden har nu rettet bogførings-
tekniske fejl fra tidligere år
Afslutningsvis kan jeg med tilfredshed konstatere, at Rigsrevisionen nu
lukker sagen om bogføringstekniske fejl vedrørende Rigspolitiets egenka-
pital, da der i Rigspolitiets årsrapport for 2013 nu er overensstemmelse
mellem bogføring i henholdsvis det omkostningsbaserede og det udgifts-
baserede regnskab.
4
 Statsrevisorerne beretning SB28/2013 - Bilag 17: Justitsministerens redegørelse af 9. december 2014
Ad punkt 137 om opfølgning på sag om manglende hjemmel til afholdelse
af merudgifter
Ligeledes har jeg med tilfredshed konstateret, at det fremgår af beretnin-
gen, at Rigsrevisionen finder det tilfredsstillende, at Justitsministeriet
fremadrettet har sikret hjemmel til afholdelse af merudgifter på hovedkon-
to: § 11.21.21. Strafferetspleje mv. samt: § 11.42.01. Sagsgodtgørelser mv.
Jeg konstaterer således med tilfredshed, at sagen efter Rigsrevisionens op-
fattelse kan afsluttes.
Ad punkt 139 om supplerende oplysning i revisionserklæringen om Det
Kriminalpræventive Råds regnskab
Endelig konstaterer jeg med tilfredshed, at Rigsrevisionen ikke har fundet
anledning til at tage forbehold i revisionserklæringen for Det Kriminal-
præventive Råds regnskab.
Kopi af denne skrivelse er fremsendt elektronisk til Rigsrevisionens orien-
tering.
Med venlig hilsen
Mette Frederiksen
5