Statsrevisorerne beretning SB28/2013 - Bilag 21: Finansministerens redegørelse af 11. december 2014

Finansudvalget 2013-14
SB 28 21
Offentligt

Statsrevisorernes sekretariat

Christiansborg

DK-1240 København K

Finansministeren

11. december 2014

Finansministerens redegørelse vedrørende Statsrevisorernes

bemærkninger til Rigsrevisionens beretning om revision af

statsregnskabet for 2013

I det følgende redegøres for de foranstaltninger og overvejelser, som

Rigsrevisionens beretning til Statsrevisorerne om revision af statsregnskabet for

2013 og Statsrevisorernes bemærkninger giver anledning til.

Tværgående emner

FM bør uddybe sin vejledning til virksomhederne

Rigsrevisionen har undersøgt fratrædelsesaftaler i staten og har på den baggrund

anbefalet, at der i Finansministeriets personaleadministrative vejledning (PAV)

foretages en uddybning af den skriftlige vejledning til virksomhederne om

adgangen til at indgå fratrædelsesaftaler.

Moderniseringsstyrelsen har oplyst mig om, at en uddybning af afsnittet i PAV om

adgangen til at indgå aftalt fratræden forventes indsat ved den næste PAV-revision

i sommeren 2015. Formålet med vejledningen vil være at give virksomhederne en

beskrivelse af forhold, der bør indgå i overvejelserne, når spørgsmålet om

eventuel indgåelse af en aftalt fratræden samt fastlæggelse af vilkårene i en sådan

aftale skal vurderes. Beskrivelsen skal understøtte virksomhedernes forpligtelse til

at udøve sparsommelig forvaltning af lønmidlerne.

Ledelsesinformationen er bedst i de ministerier, der har et samlet koncept

Jeg tager Rigsrevisionens bemærkning om, at Finansministeriets

ledelsesinformation til brug for departementets interne styring, til brug for

departementets tilsyn samt koncernens overordnede ledelse har det rette omfang

og den rette relevans, til efterretning.

Jeg noterer mig også, at Rigsrevisionen finder, at ingen af de seks gennemgåede

ministerområder – hvoraf Finansministeriet er det ene – havde en tilstrækkelig

ledelsesinformation

kobling

mellem

økonomi

opgaver.

Finansministeriet – Christiansborg Slotsplads 1 – 1218 København K – T 33 92 33 33 – E [email protected] – www.fm.dk

Statsrevisorerne beretning SB28/2013 - Bilag 21: Finansministerens redegørelse af 11. december 2014

Side 2 af 6

Moderniseringsstyrelsen har dertil oplyst mig, at Finansministeriet fortsat vil have

fokus på videreudvikling af relevant ledelsesinformation.

Gennemgang af § 7. Finansministeriet

Opfølgning på forsinket regnskabsaflæggelse og uklare snitflader

Rigsrevisionen har fulgt op på sagen om forsinkede regnskabsaflæggelser fra 2012

og finder det tilfredsstillende, at alle Finansministeriets årsrapporter fra 2013 er

afgivet rettidigt, hvilket jeg også bemærker med tilfredshed.

Moderniseringsstyrelsen har vedrørende snitflader tilkendegivet, at de forventer, at

beskrivelsen af opgavesplittet mellem Koncernøkonomi og koncernens

institutioner foreligger senest i februar 2015.

Rigsrevisionen finder det ikke tilfredsstillende, at Finansministeriets

Koncernrevisions afsluttende notater var fremsendt i endelig form knap en måned

forsinket i forhold til deadline 1. maj 2014.

Finansministeriets Koncernrevision har oplyst, at der er taget initiativer til at

overholde Rigsrevisionens fremrykkede deadline, herunder i forhold til lettere

rapportering og mere løbende udførelse af revision. Der følges op på disse

initiativer i bl.a. Finansministeriets driftsledelse.

Mangelfuld håndtering af ændret regnskabspraksis og konstaterede fejl i årsrapporter fra flere

virksomheder

Rigsrevisionen finder, at ændringerne i regnskabspraksis burde være oplyst og

behandlet i henhold til det gældende regelsæt. Jeg noterer mig, at Rigsrevisionen

vurderer, at uanset de konstaterede fejls væsentlighed for regnskabernes rigtighed,

bør oplysninger om større og konstaterede fejl omtales i årsrapporten. Jeg tager

Rigsrevisionens bemærkninger til efterretning.

Moderniseringsstyrelsen har i den anledning oplyst mig, at Finansministeriets

Koncernøkonomi vil sikre en ensartet regnskabspraksis i virksomhederne i

Finansministeriets koncern i 2014, således at Finansministeriets Økonomisk

Administrative Vejledning følges uden afvigelser og dispensationer.

Medarbejdere i Statens Administration havde fuld råderet over pensionssystemet

Rigsrevisionen har konstateret væsentlige svagheder i kontrollerne i

pensionssystemet i 2013 og påpeget fejlen i marts 2014. Rigsrevisionen fandt det

desuden ikke tilfredsstillende, at Statens Administration i august 2014 fortsat ikke

havde kontrolleret indtastningerne i systemet.

Jeg noterer mig, at Rigsrevisionen har bemærket Statens Administrations

efterfølgende ændringer, herunder at man to gange har gennemgået de 146

indtastninger i pensionssystemet, og at man også har dokumenteret

Statsrevisorerne beretning SB28/2013 - Bilag 21: Finansministerens redegørelse af 11. december 2014

Side 3 af 6

gennemgangen, og at Rigsrevisionen finder Statens Administrations ændringer i

kontrolrutinerne nødvendige. Statens Administration har i den forbindelse

tilkendegivet, at man fortsat vil følge denne fremgangsmåde for at undgå

uretmæssige udbetalinger.

Fortsat manglende funktionsadskilt kontrol ved Økonomiservicecentrets udbetaling af tilskud

mv. via den generiske integrationssnitflade.

Rigsrevisionen finder det ikke tilfredsstillende, at der stadig ikke er tilvejebragt en

funktionsadskilt kontrol til grunddokumentation fra kunderne, som kan sikre

korrekt udbetaling af tilskud via den generiske integrationssnitflade (GIS), selvom

Statens Administration blev gjort opmærksom herpå i 2012.

Statens Administration har oplyst mig, at status for implementeringen af den

systemunderstøttede kontrol af udbetalinger via GIS på nuværende tidspunkt er:



At identifikationen nu er afsluttet, og der i alt er identificeret 50

datastrømme, hvoraf 11 vurderes at være uaktuelle.

At der således er identificeret 39 aktive GIS-datastrømme i ØSC-regi, der

fører til udbetaling. Heraf er 21 implementeret og i drift. 18 datastrømme

er således udestående – heraf er hovedparten i implementeringsproces og

ventes afsluttet snarest. Ejerne af de datastrømme, der betegnes som

udestående, er kontaktet igen i oktober 2014 med henblik på, at de skal

sikre, at de datastrømme tilpasses kravene, der understøtter automatiseret

betalingskontrol.

At Statens Administration forventer at have implementeret automatiseret

betalingskontrol for alle 39 datastrømme senest medio 2015.

At der i 2015 gennemføres manuelle kontroller af de datastrømme, der

ikke pr. 1. januar 2015 er systemunderstøttet, og at denne manuelle

kontrol foretages på baggrund af en systematiseret, risikobaseret tilgang.

Manuel kontrol for datastrømme vil fortsætte indtil datastrømme er

systemunderstøttet og kan overgå til automatisk betalingskontrol.



For så vidt angår de automatiserede datastrømme har Statens Administration

endvidere oplyst, at man sammen med Moderniseringsstyrelsen har iværksat et

fælles arbejde, som sikrer en bagudrettet afdækning af GIS-datastrømme for 2013

og 2014. Det forventes, at der ultimo 2015 er foretaget stikprøver af samtlige

datastrømme for årene 2013-2014 ud fra en systematiseret, risikobaseret tilgang.

Arbejdet med løsning af udfordringen omkring udbetalinger gennem GIS har stor

fokus og bevågenhed i Finansministeriets koncern.

Modernisering af forældede it-systemer i Statens Administration forløber planmæssigt

Rigsrevisionen konstaterer, at Statens Administration har implementeret

selvbetjeningsløsninger for studielånssystemet som lovet i 1. kvartal 2014.

Statsrevisorerne beretning SB28/2013 - Bilag 21: Finansministerens redegørelse af 11. december 2014

Side 4 af 6

Jeg finder det tilfredsstillende, at moderniseringen af forældede it-systemer

forløber planmæssigt.

Manglende oplysning om ændret regnskabspraksis for håndtering af softwarelicenser i Statens It.

Rigsrevisionen finder det uheldigt, at Statens It ikke har foretaget de foreskrevne

korrektioner af primosaldi for aktiver og passiver i regnskabet for 2013 i

forbindelse med den ændrede regnskabspraksis for håndtering af årlige

licensbetalinger.

Jeg tager til efterretning, at Rigsrevisionen finder, at sagen kan afsluttes fra og med

2013. Jeg kan i den forbindelse oplyse, at Finansministeriets Koncernøkonomi har

udarbejdet retningslinjer for, hvordan der periodiseres i virksomhederne i

Finansministeriets koncern, således at en gentagelse af problemstillingen kan

undgås.

Ikke tilstrækkelig forbedring af it-sikkerheden i Statens It

Jeg finder det tilfredsstillende, at Rigsrevisionen vurderer, at den samlede

sikkerhedsplan for 2014/2015 samt Statens Its ISO27001-certificering samlet set

kan medvirke til at fastholde fokus på arbejdet med at forbedre it-sikkerheden.

Ligeledes finder jeg det tilfredsstillende, at Rigsrevisionen vurderer, at Statens Its

sikkerhedsopdatering af servere og infrastruktur på de fælles løsninger via SIA-

platformen (Statens it-arbejdsplads) fungerer tilfredsstillende.

Jeg noterer mig dog også, at Rigsrevisionen finder, at der på visse områder fortsat

er væsentlige svagheder i it-sikkerheden. Statens It har på disse områder oplyst

mig om:



At dele af den tekniske beredskabsplan testes inden udgangen af 2014

samt at der udarbejdes en løbende plan for test af den tekniske

beredskabsplan.

At der er igangsat et pilotprojekt med Konkurrence- og forbrugerstyrelsen

med henblik på at etablere en ressourceeffektiv metode, som kunderne

kan benytte til at sikre, at deres fagsystemsoftware sikkerhedsopdateres

løbende. Erfaringerne fra dette projekt kan overføres til den øvrige

kundekreds.

At man har udarbejdet et overblik over servere og databaser, der bør

sikkerhedsopdateres. Overblikket er udarbejdet på kundeniveau og blev

fremsendt til kunderne i november 2014. Statens It vil i samarbejde med

kunderne lægge en plan for de afledte sikkerhedsopdateringer.

At vejledningsmateriale og koncept for databehandleraftaler foreligger og

blev præsenteret for Statens Its kunder på en workshop i oktober 2014.

Derudover tilbyder Statens It den enkelte kunde rådgivning i forbindelse

med udarbejdelse af databehandleraftalerne.



Statsrevisorerne beretning SB28/2013 - Bilag 21: Finansministerens redegørelse af 11. december 2014

Side 5 af 6



At man har udarbejdet en rådgivningspakke til kunderne vedrørende

overgangen til ISO27001. Denne er præsenteret på et gå-hjem-møde i

oktober 2014. Desuden blev der afholdt workshops for alle kunderne i

efteråret 2014.

At man løbende følger op på Rigsrevisionens observationer, herunder

manglende beskyttelse af databaser og systemsoftware samt mangelfuld

efterkontrol af backupkørsler. Dette gennemføres i samarbejde med

kunderne som en del af sikkerhedsplanen for 2014/2015.

Rigsrevisionen finder, at Statens It bør være mere opsøgende overfor kunderne og

oplyse dem om de risici, der er forbundet med ikke at få testet reetablering af

væsentlige fagapplikationer og med manglende sikkerhedsopdatering. Statens It

har oplyst mig om, at den løbende dialog med kunderne er blevet skærpet bl.a.

med etableringen af fire komiteer, hvor kunderne er repræsenteret på

kontorchefniveau. Emnerne drøftes således bl.a. på de kvartalsvise møder i

Teknikkomiteen samt i Informationssikkerhedskomiteen. Derudover er der

løbende dialog mellem kunderne og deres it-driftspartner med udgangspunkt i den

månedlige driftsrapportering.

Rigsrevisionen finder, at forbedringerne af it-sikkerheden fortsat ikke er

tilstrækkelige, ligesom fremdriften på området ikke har været tilstrækkelig. Jeg kan

dertil oplyse, at Statens It vil fortsætte den tætte dialog med Rigsrevisionen og

kunderne om forbedring af it-sikkerheden.

Jeg vil endelig henlede opmærksomheden på, at Statsrevisorerne i deres

bemærkninger til Rigsrevisionens beretning om revision af statsregnskabet for

2013 under punktet ”Ministeriernes opfølgning på tidligere bemærkninger”

bemærker, at ”Statens It endnu ikke har fulgt tilstrækkeligt op de væsentlige

svagheder i it-sikkerheden, som Rigsrevisionen påpegede ved revisionen af

statsregnskabet for 2008”. Jeg skal til dette for en god ordens skyld bemærke, at

Statens It først blev etableret i 2010, og at bemærkningen – som det også anføres i

beretningen under punkterne 23 hhv. 97 – adresserer, at Rigsrevisionen har fulgt

en sag om implementeringen af Statens It siden revisionen af statsregnskabet for

2008, og de seneste to år har peget på mangler ved it-sikkerheden i Statens It.

Rigsrevisionen udtaler på den baggrund en kritik af manglende fremdrift på

baggrund af den nævnte periode. Jeg henviser i den forbindelse til gennemgangen

ovenfor.

Manglende færdiggørelse af en fællesoffentlig standard for styring af it-sikkerheden i Statens It.

Rigsrevisionen afventer Statens Its evaluering af de fælles offentlige standarder for

informationssikkerhed, it-risikoanalyse og -vurdering samt it-beredskab, der kan

støtte virksomhederne ved tilslutning til Statens It. Statens It har oplyst mig om, at

der i oktober og november 2014 blev afholdt workshops med de kunder, der

ønskede det. På baggrund af disse workshops vil Statens It foretage en evaluering

Statsrevisorerne beretning SB28/2013 - Bilag 21: Finansministerens redegørelse af 11. december 2014

Side 6 af 6

af det udarbejdede aftale- og vejledningsmateriale. Evalueringen foreligger inden

udgangen af 2014.

Jeg fremsender også et eksemplar af min redegørelse til Rigsrevisionen.

Med venlig hilsen

Bjarne Corydon