Inspirationsdag. 9. november 2015

Transkript

1 Inspirationsdag 9. november 2015

2 Tidsplan Velkomst kl Effektivisering Løn, indkøb og undgåelse af faldgruber PAUSE ca. kl Moms og afgifter Nye styringssignaler og vigtig info SKAT Øget bevågenhed på overholdelse af regler 2015 Deloitte 2

3 Tidsplan PAUSE ca. kl Cyber security og EU Persondata forordning Vigtige forholdsregler at overveje Generelle forhold Nye bekendtgørelser mv. Afrunding ca. kl Deloitte 3

4 Sektoren stå overfor mange forandringer 2015 Deloitte 4

5 Effektiviseringer 2015 Deloitte 5

6 Effektiv lønadministration 2015 Deloitte 6

7 Lønområdet muligheder for effektivisering 1. Hvor står vi? 2. Hvilke muligheder har vi, og hvilke begrænsninger er vi underlagt? 3. Hvor skal vi gerne hen? 2015 Deloitte 7

8 Lønområdet muligheder for effektivisering Hvor står vi? Historisk: 2003: SLS erstatter SCL 2009: ØS-LDV Ud fra et lønadministrativt perspektiv skete den store teknologiske revolution med implementeringen af ØS-LDV, men der skete ikke rigtigt noget.. Baseret på vores lønrevisioner for tidligere år vil vi (lettere unuanceret) påstå, at lønadministrationen er ens: På tværs af institutionstyper På tværs af størrelse På tværs af geografi.og over tid 2015 Deloitte 8

9 Lønområdet muligheder for effektivisering Hvilke muligheder har vi, og hvilke begrænsninger er vi underlagt? Hvordan kan det så være, at selve lønadministrationen stort set er uændret siden 2003? Vores vurdering (råt for usødet): ØS-LDV kan ikke rigtigt tilbyde noget nyt Må vi ændre noget? Er det ikke lovbestemt fra ministeriets side. eller endnu værre fra revisor? 1. Teknologisk 2.Lovgivningsmæssigt Vi gør som sidste år, Vil ikke lave fejl Føler sig fanget i administrative procedurer Manglende lyst/mod til at udfordre ledelsen 3. Ledelse/ personale Medarbejdersammensætningen i lønadministrationerne Manglende helikopterperspektiv 2015 Deloitte 9

10 Lønområdet muligheder for effektivisering Hvilke muligheder har vi, og hvilke begrænsninger er vi underlagt? 1. Teknologiske forhold ØS-LDV giver muligheder for at lave et utal af analyser. Eneste begrænsning: Dataene skal være registreret i SLS (eller Navision) Ved brug af kuberne i ØS-LDV kan der ved hjælp af pivottabeller laves enkle men effektive analyser, idet alle dimensionerne er variable Vi oplever fortsat skoler, der efter 6 år fortsat ikke har været inde i kuberne, men alene benytter sig af de standardudtræk, som stilles til rådighed Vores påstand: Det er ikke teknologien, der sætter begrænsningerne 2015 Deloitte 10

11 Lønområdet muligheder for effektivisering Hvilke muligheder har vi, og hvilke begrænsninger er vi underlagt? 2. Lovgivningsmæssige forhold Moderniseringsstyrelsen har vist vejen med udgivelse af flere vejledninger omkring effektiv lønkontrol (foråret 2015): SLS/Loenkontrol I disse vejledninger kommer det endegyldige bevis på, at institutionerne selv (men meget gerne sammen med revisionen?) kan tilrettelægge forretningsgangene: Fra Lønkontrol Koncept og rammer s. 3: Så skal I blot have taget revisor i ed. Vi vil meget gerne være med til at diskutere de enkelte kontrollers vigtighed eller om der findes alternativer Deloitte 11

12 Lønområdet muligheder for effektivisering Hvilke muligheder har vi, og hvilke begrænsninger er vi underlagt? 3. Ledelsesmæssige/personalemæssige forhold Spørgsmål der skal stilles: Når vi bevæger os væk fra det kendte (de indarbejdede procedurer) og anvender begreber som væsentlighed og risiko, så påtager vi os vel mere ansvar? Er vi villige til det? Er vi som institution og ansvarlige herfor parate til at acceptere uvæsentlige fejl i lønadministrationen? Har vi de personalemæssige ressourcer til at kunne løfte? Dvs. når vi som ledelse viser vejen, kan vi så forvente, at en mere risikorettet tilgang forstås og accepteres? Hvis vi kunne finde én arbejdsdag om måneden hos én medarbejder til at lave tematiserede kontroller hvilke andre kontroller eller processer ville dermed overflødiggøres? 2015 Deloitte 12

13 Lønområdet muligheder for effektivisering Hvor skal vi gerne hen? Månedsvis budgetopfølgning på afdelingsniveau Tematiserede kontroller/analyser Gennemgang af månedsvise afvigelsesanalyser på personniveau Effektiv kontrol af inddata Effektiv brugeradministration 2015 Deloitte 13

14 Lønområdet muligheder for effektivisering Hvilke konkrete områder, kan der effektiviseres på? Afhængig af institutionens konkrete forhold. Der bør derfor laves en helt simpel analyse af, hvilke opgaver lønmedarbejderne bruger tiden på. Selv om der er forskellige organiseringer (fordeling af opgaver mellem Løn, HR og Økonomi ), så er der stadig stor forskel på effektiviteten, dvs. hvor mange administrative medarbejdere pr. årsværk. Er der lavthængende frugter? Kørselsgodkendelse er efterhånden elektronisk mange steder Gennemgang af Uddata 198 (foretages fortsat næsten alle steder) Ferieregistrering og opfølgning herpå (få placeret ansvaret, hvor det hører hjemme, dvs. hos afdelingsledelserne) 2015 Deloitte 14

15 Effektive indkøb 2015 Deloitte 15

16 Effektive indkøb

17 Rammer og processer understøtter ikke effektive indkøb Rigsrevisionens beretning om indkøb på videregående uddannelsesinstitutioner I august 2015 blev Rigsrevisionens beretning om indkøb på videregående uddannelsesinstitutioner offentliggjort. Den indeholder en række kritikpunkter og anbefalinger. Udvalgte kritikpunkter Udvalgte anbefalinger Manglende efterlevelse af gældende lovgivning Utilstrækkelig konkurrenceudsættelse Krav og vejledninger til udbud og egne aftaler Konkurrenceudsættelseskrav ud fra væsentlighed Uklare indkøbspolitikker og retningslinjer Tydelig rolle- og ansvarsfordeling Forsømmelse af styring og opfølgning Dokumentation og rapportering af disponering Compliance er af kritisk betydning for at effektivisere indkøb 2015 Deloitte 17

18 Rigsrevisionens kritik set i jeres perspektiv Spørgsmål og åben diskussion R e f l e k t e r e r R i g s r e v i s i o n e n s k r i t i k j e r e s s i t u a t i o n? 2015 Deloitte 18

19 Hvad vurderer indkøbschefer selv er de største udfordringer? Resultater fra Deloittes årlige globale CPO survey I besvarelser de seneste to år angiver indkøbschefer på tværs af lande og sektorer lignende udfordringer, der forhindrer dem i at realisere strategier og målsætninger for effektive indkøb. Udfordringerne omfatter især manglende ressourcer, kompetencer og samspil med resten af organisationen de har alle stor betydning for at sikre compliance og indkøbsoptimering Deloitte 19

20 Compliance er ikke simpelt Spørgsmål og åben diskussion H v a d b e t y d e r c o m p l i a n c e f o r j e r? 2015 Deloitte 20

21 Compliance har både internt og eksternt fokus Compliance begrebet har udviklet sig gennem tiden og spænder nu vidt Kontrakter Strategi Uddannelsesplaner Forskningsbevillinger EU-lovgivning Prisstruktur CSR Politikker Markedsføring/branding Processer Dansk lovgivning Toplister (aftalevarer) Miljømål 2015 Deloitte 21

22 Fokusområder for at løse udfordringerne Helhedsindsats er nødvendig for at fremme effektive og sparsommelige indkøb Organisering og medarbejdere Rollefordeling og kompetencer Processer Samarbejde og retningslinjer Løftestænger for indkøbsoptimering Teknologi Systemunderstøttede processer Strategi Indkøbsfunktionens strategier og målsætninger skal afstemmes med institutionens overordnede strategi og øvrige målsætninger. Organisering og medarbejdere De rette kompetencer skal være tilstede både centralt og decentralt. Rollefordelingen på indkøbsområdet skal afspejle dette. Processer og samarbejde Indkøbsfunktionen skal være en uundværlig partner der udvikler udbudsstrategi for alle kategorier, sikrer effektive strømlinede processer, klare retningslinjer for indkøb og strategisk samarbejde både internt og eksternt. Teknologi Data- og systemunderstøttelse er fremtrædende i nutidens og fremtidens indkøb. Indkøbsværktøjer reducerer manuelle processer, professionaliserer konkurrenceudsættelse og tilvejebringer data til analyse og rapportering. Styring og opfølgning Indkøbsfunktionen skal styre og følge op på indkøb ved at etablere nøje udvalgte KPI er og systematisk rapportering af faktiske indkøb på kollektivt og individuelt niveau Deloitte 22

23 Effektive interne kontroller 2015 Deloitte 23

24 Økonomiske uregelmæssigheder Fejl og mangler i lønadministrationen Kontrolovervejelser

25 Uregelmæssigheder i fokus i Statsregnskabet for Deloitte 25

26 Og fejl og mangler i lønadministrationen 2015 Deloitte 26

27 Og medierne er nådesløse 2015 Deloitte 27

28 Case Lad der blive lys Deloitte 28

29 Baggrunden Uddannelsesinstitution i DK - projektleder med ansvar for tilrettelæggelse af uddannelsesforløb Omgåelse af udbudspolitikker (opsplitning) Allokering af opgaver til selskaber, hvor man havde økonomiske interesser Allokering af opgaver til selskaber med nærtstående leverandører Misbrug af midler til private indkøb af designerlamper og møbler Rejseafregninger for private rejser og ophold, hele tiden under grænsen for godkendelse (kr ) 2015 Deloitte 29

30 Interne kontroller - overvejelser 2015 Deloitte 30

31 Interne kontroller 2015 Deloitte 31

32 Programmerede og manuelle kontroller 2015 Deloitte 32

33 Eksempel på kontrol i en HR-proces 2015 Deloitte 33

34 Analytics kan også tages i brug til at identificere kontrolfejl 2015 Deloitte 34

35 10 faldgruber for intern kontrol 2015 Deloitte 35

36 Moms og afgifter 2015 Deloitte 36

37 Agenda - Moms Opgørelse af omsætning i SKAT-momsbrøken Taxametertilskud fra UVM Uddannelsespladser solgt til kommuner/jobcentre Udlagt undervisning Skal der faktureres med moms? Underleverandørydelser Salg af længerevarende kurser mv Deloitte 37

38 Praksisændring taxametertilskud SKM SKAT Styresignal fra SKAT SKAT ændrer praksis pr. 1. januar 2016 Erhvervsskoler skal medregne taxametertilskud som momsfri omsætning ved opgørelse af den delvise momsfradragsret Konsekvenser af SKATs praksisændring Fradragsretten for moms hos SKAT reduceres Øget momsrefusion fra UVM Risiko for øget egenfinansiering Momsreguleringsforpligtelser Retten til godtgørelse af energiafgifter reduceres øgede omkostninger 2015 Deloitte 38

39 Praksisændring taxametertilskud SKM SKAT Styresignal fra SKAT Hvilke skoler/uddannelsesinstitutioner er omfattet? SKATs styresignal: Praksisændringen gælder for taxametertilskud ydet til erhvervsskoler i henhold til lov om institutioner for erhvervsrettet uddannelse. SKATs Juridisk Vejledning: Styresignalet tager ikke direkte stilling til andre tilskud til eksempelvis uddannelsesinstitutioner. Endelig afklaring af den momsmæssige vurdering af øvrige former for tilskud forventes fastlagt i efterfølgende praksis. Det er imidlertid SKATs vurdering, at også andre offentlige tilskud, som gives på taksameter lignende vilkår, kan omfattes af principperne i EU-domstolens dom (.), og dermed også af praksisændringen Deloitte 39

40 Praksisændring taxametertilskud SKM SKAT Styresignal fra SKAT Hvilke skoler/uddannelsesinstitutioner er omfattet? Erhvervsskoler - Ja Produktionsskoler -? Professionshøjskoler -? Erhvervsakademier -? Universiteter - Nej 2015 Deloitte 40

41 Uddannelsespladser betalt af kommuner/jobcentre SKM SR Bindende svar fra Skatterådet Skatterådet bekræfter, at taxametertilskud, som erhvervsskole modtager fra kommuner mv. til elever i aktivering, ikke skal medregnes som omsætning Taxametertilskud til aktiverede, der deltager i ordinære undervisningsforløb er ikke omsætning Betaling for særlige aktiverings -forløb er omsætning Har taxametertilskud fra kommuner / jobcentre været medregnet som momsfri omsætning, er der mulighed for at genoptage moms og energiafgifter tre år tilbage På baggrund af styresignalet om taxametertilskud må det antages, at taxametertilskud modtaget fra kommuner skal medregnes som omsætning fra 1. januar Deloitte 41

42 Udlagt undervisning SKM SR Bindende svar fra Skatterådet Skatterådet kan ikke bekræfte, at den betaling, der tilfalder den udførende skole, ikke er omsætning Betalingen, som den udførende skole modtager fra den godkendte skole, er betaling for en modydelse og derfor omsætnin Den udførende skole skal medregne betalingen som momsfri omsætning Vær opmærksom på om begge parter er offentlige institutioner inden for samme ministerium, så ikke omsætning Den del af taxametertilskuddet, som den godkendte skole beholder til dækning af tilsynsopgave mv. ikke omsætning 2015 Deloitte 42

43 Praksisændring - underleverandørydelser SKM SKAT Styresignal fra SKAT Momsfritagelse af underleverandørydelser Praksis frem til 1. september 2015: Underleverandørydelser er momspligtige Praksis fra 1. september 2015: Leverancer af lærerkræfter er momspligtige Leverancer af undervisningsydelser som underleverandør til andre uddannelsesinstitutioner er momsfritaget Leverancer af censorydelser til andre uddannelsesinstitutioner er momsfrie Vær opmærksom på, om begge parter er offentlige institutioner inden for samme ministerium ikke omsætning Mulighed for ekstraordinær genoptagelse tilbage til 15. juli Deloitte 43

44 Praksisændring Kurser af længere varighed SKM SKAT Styresignal fra SKAT Skal salg af momspligtige kurser til udenlandske kunder pålægges dansk moms? Praksis frem til 1. januar 2016: Stedet hvor kurset afholdes er afgørende Praksis fra 1. januar 2016: Salg af kurser af kortere, sammenhængende varighed : Stedet, hvor kurset afholdes, er afgørende; Afholdes kurset i Danmark dansk moms uanset, hvor kunden kommer fra Salg af andre kurser: Kundens hjemsted er afgørende; Dansk kunde Faktura med dansk moms Kunde fra EU eller 3. land Faktura uden moms 2015 Deloitte 44

45 Praksisændring Kurser af længere varighed SKM SKAT Styresignal fra SKAT Kurser af kortere, sammenhængende varighed Kurser der ikke overstiger den tidsmæssige udstrækning af almindeligt forekommende konferencer og seminarer Kortere varighed ; SKAT oplyser ikke tidsmæssig grænse. Omfatter dog kursus på 5 dage Sammenhængende ; mellemliggende weekenddage eller helligdage medfører ikke, at kursusforløbet anses for afbrudt. Andre kurser (kurser af længere varighed) Kurser der overstiger den tidsmæssige udstrækning af almindeligt forekommende konferencer og seminarer Ikke-sammenhængende kursusforløb Undervisning af blot én enkelt person, eller Undervisning af én enkelt virksomheds medarbejdere i denne virksomheds lokaler 2015 Deloitte 45

46 SKAT regler og vigtig info 2015 Deloitte 46

47 Agenda Hvorfor er det vigtigt at have styr på administrationen af løn? Skattefri befordringsgodtgørelser (km-penge) Rejseudlæg Elektroniske bilag til brug for refusion Personalegoder status på beskatning og indberetning 2015 Deloitte 47

48 Hvorfor er det vigtigt at have styr på administrationen af løn? 2015 Deloitte 48

49 Sanktioner Alle fejl og mangler i indberetning af oplysninger til SKAT (eindkomst) anses som udgangspunkt for en grov overtrædelse af skattelovgivningen og kan medføre administrative bøder Manglende indeholdelse af skatter og forsætlig / grov overtrædelse af indberetningspligter kan medfører hæftelse og bødestraf 2015 Deloitte 49

50 Administrative bøder Dvs. selv en forglemmelse eller sjuskeri vedrørende følgende kan medføre bødestraf: Alle former for løn, honorarer, bonus m.m. (A- og B-indkomst) Indeholdelse af skatter (AM-bidrag og A-skat) Alle skattepligtige personalegoder (værdi på min kr.) Skattefri rejse- og befordringsgodtgørelse 2015 Deloitte 50

51 Administrative bøder SKAT har hjemmel til at udskrive store bøder til virksomheder, der ikke overholder deres indberetningspligt! Bøderne kan udskrives pr. overtrædelse (som anses for groft uagtsomt eller med fortsæt) og fastsættes som udgangspunkt helt objektivt ud fra antal ansatte i virksomheden: 1-4 ansatte Bøde kr ansatte Bøde kr ansatte Bøde kr ansatte Bøde kr ansatte Bøde kr Deloitte 51

52 Befordringsgodtgørelse Skattemæssige regler 2015 Deloitte 52

53 Skattefri befordringsgodtgørelse Der kan udbetales skattefri befordringsgodtgørelse for erhvervsmæssig kørsel i egen bil til ansatte (A-indkomstmodtagere) samt i visse tilfælde til f.eks. bestyrelsesmedlemmer m.fl. uanset om de modtager vederlag eller ej Der kan ikke udbetales skattefri befordringsgodtgørelse til honorarmodtagere (B-indkomst) eller til ulønnet medhjælp Udbetaling af godtgørelser til honorarmodtagere m.fl. skal indberettes som B-indkomst: Med statens takster særskilt indberetning, felt 38 Ellers indberetning som honorar, felt Deloitte 53

54 Skattefri befordringsgodtgørelse Erhvervsmæssig kørsel: Befordring mellem sædvanlig bopæl og arbejdsplads i indtil 60 arbejdsdage inden for 12 måneder Befordring mellem arbejdspladser Befordring inden for samme arbejdsplads 2015 Deloitte 54

55 Skattefri befordringsgodtgørelse Skattefri befordringsgodtgørelse kan udbetales med følgende satser (2015): 3,70 kr./km indtil km / år (for samme arbejdsgiver) 2,05 kr./km ud over km / år Det er tidspunktet for kørslen, der er afgørende for, hvilken sats der skal anvendes (og ikke udbetalingstidspunktet) 2015 Deloitte 55

56 Skattefri befordringsgodtgørelse, betingelser Arbejdsgiver har indberetningspligt Særskilt felt, Indkomst Der skal udarbejdes et bogføringsbilag indeholdende: Modtagerens navn, adresse og CPR-nr. Kørslens dato, erhvervsmæssige formål, mål og eventuelle delmål Antal kørte kilometer, de anvendte satser og beregning af godtgørelsen Reg. nr.? Arbejdsgivers kontrolpligt Der er ikke krav om at oplyse reg.nr. eller dokumentation for egen bil Men kravene bør fremgår af interne retningslinjer, så medarbejderen er bekendt hermed og står inde for, at de er opfyldt! Qua Rigsrevisionsberetningen, skal der udstedes kørselsbemyndigelser 2015 Deloitte 56

57 Rejseudgifter- skattemæssige regler 2015 Deloitte 57

58 Skat - Rejseregler - Udlæg efter regning Medarbejderen afholder rejseudgifter for arbejdsgiveren Ingen minimumskrav til rejsens varighed Refusion sker mod aflevering af originalbilag til arbejdsgiveren Ingen refusion af private indkøb Ingen reduktion af bruttoløn 2015 Deloitte 58

59 Elektroniske (original) bilag? Udlæg efter regning Ifølge seneste praksis så accepterer SKAT nu efter omstændighederne også scannede eller kopierede udgiftsbilag eller dokumenter, der i øvrigt beviser eller sandsynliggør, at en udgift er afholdt for arbejdsgiveren. Hidtil har det heddet sig, at refusion som udlæg efter regning skulle ske mod aflevering af originale eksterne udgiftsbilag Dette har de seneste år skabt nogen tvivl og usikkerhed fordi mange bilag i dag er elektroniske, og mange systemer til administration af f.eks. Rejseafregning m.m. har lagt op til, at bilag kan kopieres, scannes eller sendes som billede fra f.eks. en telefon Usikkerheden har bestået i, at hvis arbejdsgiver refunderer en medarbejder udgifter, uden at der foreligger dokumentation sidestilles det med udbetaling af et skattepligtigt kontant beløb (altså løn) 2015 Deloitte 59

60 Personalegoder Beskatning og indberetning 2015 Deloitte 60

61 Personalegoder, Indberetningspligt for arbejdsgiver Indberetningspligt for arbejdsgiver (med værdi): Hvis værdien overstiger kr. (2015 og 2016) For særlige goder kun hvis værdien overstiger kr. for 2015 (5.800 kr. for 2016) Arbejdsgiver har ingen pligt til at kontrollere overholdelse af bagatelgrænserne. Blot hvert enkelt gode ligger inden for beløbsgrænsen på kr. eller kr. Medarbejderen har pligt til at selvangive den fulde værdi af alle goder, hvis bagatelgrænsen overskrides inden for året. Bagatelgrænsen omfatter ikke: Kontanter og gavekort. Skattepligtige goder med særskilt indberetning (bil, bolig, telefoni, mm.) 2015 Deloitte 61

62 Cybersecurity og EU persondata forordning 2015 Deloitte 62

63 Informationssikkerhed Luke Herbert

64 Agenda Hvorfor har vi computere? Hvorfor er sikkerhed vigtigt? Hvad vil det sige, at en computer er sikker? Hvorfor er computere ikke sikre? Hvem angriber? Hvilke trends ser Deloitte? Hvad kan man gøre? Persondataloven 2015 Deloitte 64

65 Hvorfor har vi computere? 2015 Deloitte 65

66 Computere øger effektivitet USA s produktivitetsvækst under Elektrificering ( ) [1915 = 100] IT ( ) [1995 = 100] 2015 Deloitte 66

67 Computere er overalt En moderne bil har typisk omkring 50 computere 2015 Deloitte 67

68 ...og der kommer flere Koncept fra MIT af en mobiltelefon i din krop 2015 Deloitte 68

69 Milliarder Internet of Things Køretøjer Forbruger Generiske produkter Vertikale produkter Samlet Forventet antal internet of things enheder online [Gartner Nov 2014] 2015 Deloitte 69

70 Hvorfor er sikkerhed vigtigt? 2015 Deloitte 70

71 Kunders tillid er din license to operate Forbrugerbekymring 92% af internetbrugere i USA er bekymrede for deres private data. Dette er steget fra 89% i Forbrugertillid Forretningspåvirkning 55% af alle internetbrugere i USA stoler på, at internetvirksomheder passer på deres private data. Dette er en nedgang fra 57% i % af alle internetbrugere i USA siger, de undgår virksomheder, som de ikke føler beskytter deres private data ordentligt. Dette er uændret fra [TRUSTe, Inc. (2014)] 2015 Deloitte 71

72 Hvad vil det sige at en computer er sikker? 2015 Deloitte 72

73 Rimelige krav Lovlige brugere af systemet kan lave det, som de skal, når de skal og Ulovlige brugere kan ikke lave noget som helst, når som helst 2015 Deloitte 73

74 Store konsekvenser Sikkerhedsbrud Nedetid / Operationel Stop Bøder Legal Finansielle tab Manglende overholdelse af compliance krav Tab of IP Nedsat / tabte salg Tabt tillid Omdømme skade 2015 Deloitte 74

75 Hvorfor er computere ikke sikre? 2015 Deloitte 75

76 Computere er Turing maskiner 2015 Deloitte 76

77 Eksempel Et lille computer program (Turing maskine) 2015 Deloitte 77

78 Eksempel Et lille computer program (Turing maskine) På 5 linjer kan man implicit kode et matematikproblem Fermats sidste sætning (1637) (også kaldet Fermat-Wiles-sætningen efter 1994) 2015 Deloitte 78

79 Eksempel Beviset: 223 Sider 2015 Deloitte 79

80 Eksempel Beviset: 223 Sider Understøttende Teori: 492 Sider 2015 Deloitte 80

81 Konklusion Man kan ikke bygge en Turing maskine Deloitte 81

82 Konklusion Man kan ikke bygge en Turing maskine 1 If you think technology can solve your security problems, then you don't understand the problems and you don't understand the technology - Bruce Schneier 2015 Deloitte 82

83 Hvem angriber? 2015 Deloitte 83

84 Elite hackere? 2015 Deloitte 84

85 Zero Cool [Hackers 1995] 2015 Deloitte 85

86 Commerciel Cybercrime Ydelse Ransomeware (crypto-locker) Exploit Kit Dedicated Server Pris (USD) 10 (eksekverbar) (kildekode) 500 (eksekverbar) 250,000 (kildekode) 1 (basic) (bulletproof 1Gbps / måned) Fake website + deployment 5-20 Blackhat SEO Spamming Pay-per-Install Botnet (fuld kontrol) DDos Service Consulting 80 (20,000 spammed back links) (1,000,000 mails) 100(RU) - 150(UK) (1000 inficeret) 500 (2000 bots/dag - 40% online) 10 (time) til 1200 (måned) 350 (time) til 100,000 (uge) RAND Corporation 2014 undersøgelse af cybercrimetjenester 2015 Deloitte 86

87 Commerciel Cybercrime...med kundeservice McDumpals [Maj 2014] 2015 Deloitte 87

88 Hvilke trends ser Deloitte? 2015 Deloitte 88

89 Angrebsmønstre ændrer sig Angrebsvektorer skifter fra teknologi til mennesker Angrebsvektorer ligner i stigende grad normal opførelse Mere intelligente upersonlige angreb Flere målrettede angreb Forsyningskæde / partner forgiftning

90 Tid er kritisk Forskellen er at kunne reagere på få minutter: ikke flere dage Dag 0 0 Skræddersyede malware forbigår din virksomheds antivirus-løsning Dag 1 Malware begynder at sende følsomme dokumenter over internettet Følsomme oplysninger fortsætter med at blive transmitteret over flere dage PR kan hverken benægte eller bekræfte omfanget af et sikkerhedsbrud, når medierne får øje på historien CEO informeres om at følsomme oplysninger bliver lækket til ukendte modtagere og at disse oplysninger ikke kan erstattes Rygtet spredes via sociale medier om et større brud på sikkerheden. Sikkerhedsholdet får besked og undersøger sagen Dag 7 Dag 8 Dag 9 Dag 10 Omdømme er beskadiget, og hoveder ruller Sikkerhedsovervågnings - indberetninger om unormale mønstre 2015 Deloitte min +2 timer Berørte maskiner isoleres og udskiftes, og databruddet begrænses +6 timer Dag 2 Forretningen fortsætter med at trives Attack metode identificeres, beviser indsamles og afleveres til politiet, for at forfølge hackerne PR er orienteret i tilfælde af mediedækning og intelligence deles med industriens peers

91 6 essentielle sandheder omkring Cyber Risk 1Ingen industri er immun 2 Cyberskader er ikke kun finansielle 3 Asymmetrisk 4 angriber / forsvarer forhold Traditionelle kontroller er nødvendige, men ikke tilstrækkelige 5 Myndigheder og regeringer er centrale interessenter med stadigt stigende fokus 6 Alt kan ikke beskyttes ligeligt 2015 Deloitte 91

92 Hvad kan man gøre? 2015 Deloitte 92

93 Vejen frem Indhent intelligence Omdan intelligence til handlevisende information Oversæt information til handling 2015 Deloitte 93

94 Deloittes skridt til robust sikkerhed Sikkerhed er en proces Trusler & Innovation Reager & Retablere Kerne Forretning Risici & Risikoappetit Opbyg Awareness Modenhed & Ambition 2015 Deloitte 94

95 Persondataloven 2015 Deloitte 95

96 Persondatalovens personoplysninger Udgangspunktet er den danske implementering af persondatadirektivet 95/46 Almindelige oplysninger: navn, adresse, telefonnummer. Følsomme oplysninger: race, etnicitet, politisk, religiøs eller filosofisk overbevisning, fagforening, helbred, seksualitet. Private oplysninger: strafbare forhold, sociale problemer, rent private forhold. Personnummer - privat Fortrolige oplysninger: oplysninger, der efter den almindelige opfattelse i samfundet bør kunne forlanges unddraget offentlighedens kendskab Deloitte 96

97 Udfordringer ved den gældende lovgivning Persondatadirektivet Alle EU-landenes nationale lovgivning er forskellig på trods af det fælles fundament et patchwork-tæppe af lovgivning foldet ud over Europa - svært at navigere i Persondatadirektivet er vedtaget i 1995 og er derfor ikke opdateret til den teknologiske udvikling siden Direktivet sikrer ikke den ønskede harmonisering eller den fornødne gennemslagskraft, som er påkrævet for at sikre borgernes/forbrugernes ret til databeskyttelse i forhold til bl.a. sociale medier, profilering, cloud computing osv. Manglende harmonisering betyder store håndhævelsesforskelle hos de enkelte nationale databeskyttelsesmyndigheder 2015 Deloitte 97

98 EU-persondataforordning Har været på vej siden januar 2012 Forordningen er endnu ikke vedtaget, men forventes vedtaget december 2015 Fundamenter i forordningen Fundament nr. 1 ét kontinent, én lovgivning med effektive sanktioner: senest EU Parlamentets beslutning om at fastsætte bøder på op til 1mio. eller op til 2% af den årlige, globale omsætning. Fundament nr. 2 ikke-europæiske virksomheder skal følge den europæiske databeskyttelseslovgivning, hvis de ønsker at operere på det europæiske marked. Fundament nr. 3 retten til at slette data. Den enkelte borger har den største interesse i at kunne bestemme over behandlingen af sine data og dermed at vælge at udnytte retten eller ej. Fundament nr. 4 one-stop-shop for virksomheder og borgere. Virksomheder skal følge tilsynsmyndigheden i det land, hvor hovedkontoret er hjemmehørende. Borgere skal kun henvende sig til Datatilsynet i eget hjemland og på eget sprog Deloitte 98

99 Detaljer om EU-persondataforordning Detaljerede krav til den interne organisation, f.eks.: Udnævnelse af en databeskyttelsesansvarlig Gennemførelse af Privacy Impact Assessment (drøftes) Dokumentation og bevis for, at de valgte foranstaltninger til beskyttelse af data er effektive Beskyttelsen skal dække hele datas livscyklus Privacy by design Minimumssikkerhedskrav til behandling af personoplysninger Styrkelse af håndhævelsesbeføjelser for databeskyttelsesmyndigheder Flere klagemuligheder for registrerede borgere 2015 Deloitte 99

100 Mere information For mere information Deloitte 100

101 Generelle forhold 2015 Deloitte 101

102 Generelle forhold 2015 Deloitte 102

103 Ny systemrevisionsbekendtgørelse 1. Ny bekendtgørelse med krav til skolernes studieadministrative it-systemer for de gymnasiale uddannelser og almene voksenuddannelser: 2. Fremover skal der være dokumentation for, at de systemer, som institutionerne anvender, opfylder ministeriets krav. Det sker i form af en revisionserklæring udarbejdet af en statsautoriseret eller registreret revisor på baggrund af en systemrevision hos den enkelte leverandør. 3. Bekendtgørelsen udvides til også at omfatte erhvervsuddannelserne, når disse i 2016 får frit valg af studieadministrative systemer. 4. Revisionen af de studieadministrative it-systemer skal foretages i overensstemmelse med den internationale revisionsstandard ISAE 3402 (Type 2), som anvendes som dansk standard i forbindelse med revision af itserviceydelser. Revisionen sker på grundlag af kontrolmål udarbejdet af ministeriet, der fremgår af bekendtgørelsen. 5. Institutionerne kan kun anvende et studieadministrativt system, hvis systemet er omfattet af en systemrevisionserklæring uden forbehold. Kravene til institutionernes studieadministrative systemer skal være opfyldt senest den 1. april En systemrevisionserklæring har virkning i 2 år fra revisors underskrivelse af erklæringen. 6. På STILs hjemmeside findes links til bekendtgørelsen inkl. it-instruks med kontrolmål, en beskrivelse af ISAE 3402-revisionsstandarden, regelgrundlaget på området samt gældende beskrivelser af grænseflader for de studieadministrative systemer. Desuden findes på stil.dk et oversigtsdokument, der beskriver sammenhængen mellem kontrolmål, regelgrundlag og grænsefladebeskrivelse samt en disposition/skabelon til leverandørbeskrivelse af systemet. De sidstnævnte to dokumenter kan anvendes af leverandører i forbindelse med systemrevisionen Deloitte 103

104 Bekendtgørelse om krav til studieadministrative it-systemer for de gymnasiale uddannelser og almene voksenuddannelser 1. Bekendtgørelsen gælder for uddannelsen til studentereksamen, uddannelsen til højere forberedelseseksamen, uddannelsen til højere handelseksamen, uddannelsen til højere teknisk eksamen, almen voksenuddannelse, forberedende voksenundervisning og ordblindeundervisning for voksne ved: 1) institutioner for erhvervsrettet uddannelse, og 2) institutioner for almengymnasiale uddannelser og almen voksenuddannelse --o0o--- Bekendtgørelsen træder i kraft den 1. oktober Kravet i 5, stk. 1, til institutionens studieadministrative it-systemer skal være opfyldt senest den 1. april Deloitte 104

105 Bekendtgørelse om krav til studieadministrative itsystemer 2. Bekendtgørelsen omfatter institutionens studieadministrative it-systemer, der håndterer data: 1) til systemer til opkrævning af betaling for aktivitet omfattet af lov om betaling for visse uddannelsesaktiviteter i forbindelse med lov om en aktiv beskæftigelsesindsats m.m., 2) fra og til CØSA 3) fra og til ØS 8) til Ungedatabasen 9) til UddannelsesGuiden 10) fra og til XPRS, og 11) fra og til UU-centre om brobygning og introduktionskurser 4) til STIL Statistik, herunder Datavarehus og Danmarks Statistik 5) til Eksamensdatabasen 6) fra Optagelse.dk 7) til US Deloitte 105

106 Bekendtgørelse om krav til studieadministrative it-systemer Fælles studieadministrative it-systemer, som institutionerne eller grupper af institutioner skal anvende efter ministeren for børn, undervisning og ligestillings bestemmelse, er ikke omfattet af denne bekendtgørelse. It-instruks: Institutionens studieadministrative it-systemer skal opfylde kontrolmålene i Itinstruks om krav til systemrevision af studieadministrative it-systemer for de gymnasiale uddannelser og almene voksenuddannelser, jf. bilag 1 til bekendtgørelsen Deloitte 106

107 Systemrevisionserklæring Skolerne kan kun anvende et studieadministrativt it-system, hvis systemet er omfattet af en systemrevisionserklæring uden forbehold, jf. stk. 2 og 3, der er offentliggjort efter 6. En systemrevisionserklæring består af en revisorerklæring udarbejdet og underskrevet af en statsautoriseret eller registreret revisor. Erklæringen skal være udarbejdet i overensstemmelse med standarden ISAE 3402 som en type 2-erklæring og dokumentere, at det studieadministrative it-system overholder kravene i den i 4 nævnte it-instruks. Standarden ISAE 3402 findes på hjemmesiden for Styrelsen for It og Læring på adressen En systemrevisionserklæring har virkning i 2 år fra revisors underskrivelse af revisorerklæringen. Styrelsen for It og Læring offentliggør en oversigt over de studieadministrative it-systemer, hvor styrelsen har modtaget en systemrevisionserklæring uden forbehold. En systemrevisionserklæring kan sendes til Styrelsen for It og Læring af en institution, der ønsker at bruge systemet, eller af den leverandør, der vil stille systemet til rådighed for en eller flere institutioner. En institution, der anvender et studieadministrativt it-system, der er med på den i 6, stk. 1, nævnte oversigt, men hvor der senest 14 dage før udløbet af erklæringen, jf. 5, stk. 4, ikke foreligger en ny systemrevisionserklæring uden forbehold, skal rette henvendelse til Styrelsen for It og Læring Deloitte 107

108 Systemrevisionsbekendtgørelsen Her er link til systemrevisionsbekendtgørelsen: Link til oversigt på ministeriets hjemmeside med yderligere oplysninger: Deloitte 108

109 Nye krav om systemrevision hos administrative fællesskaber For applikationer og infrastruktur, der som led i et administrativt fællesskab, jf. 33 a i lov om institutioner for erhvervsrettet uddannelse og 2 i lov om institutioner for almengymnasiale uddannelser og almen voksenuddannelse mv. med dertil hørende bekendtgørelser, stilles til rådighed for andre institutioner, påhviler det den institution, der stiller applikation og infrastruktur til rådighed at indhente en ISAE 3402 type 2-erklæring. Erklæringen skal foreligge senest den 1. oktober det pågældende regnskabsår Deloitte 109

110 Formålet med standardisering af protokollater Sikre en effektiv og ensartet opfølgning på revisionsbemærkninger og anbefalinger Sikre sammenlignelighed mellem skolerne og et mere ensartet og effektivt tilsyn Hjælpe revisorerne med at have fokus på og sikre beskrivelse af de væsentligste områder Forberedelse af anvendelse af tekstanalyseværktøjer i Styrelsens tilsyn Sikre, at bestyrelsen får hurtigt overblik over resultatet af revisionen på de væsentligste områder 2015 Deloitte 110

111 Nye krav til indhold i revisionsprotokollatet Der kommer i revisionsbekendtgørelserne hjemmel til at kræve, at revisionsprotokollaterne skal indeholde en række standardafsnit med krav til formulering af overskriften på de obligatoriske standardafsnit. Rækkefølgen af afsnit i revisionsprotokollatet er fortsat valgfrit. Overskriften på obligatoriske standardafsnit skal anvendes. Under de enkelte standardafsnit er eksempler på tekst valgfri og medtaget som inspiration i ny vejledning. I revisortjeklisten skal anføres afsnit eller sidenummer på de enkelte standardafsnit i revisionsprotokollatet Deloitte 111

112 Nye krævede standardoverskrifter i revisionsprotokollater Overordnede kommentarer og risikofaktorer Opfølgning på bemærkninger og anbefalinger fra sidste års revisionsprotokollat Årets bemærkninger og anbefalinger af særlig betydning for årsregnskabet eller forvaltningen Tilsynssager hos styrelsen mv. Finansiel revision Juridisk kritisk revision Forretningsgange og interne kontroller, dispositioner, registreringer og regnskabsaflæggelse Den generelle it-sikkerhed på det administrative område Statstilskud Gennemgang af forretningsgange for indmeldelse, fraværsregistrering og udmeldelse Afgivelse af erklæring om de gennemførte aktiviteter og elevindberetninger Afstemning af modtagne tilskud, herunder aktiviteter (årselever) Løn Gennemgang af forretningsgange for lønstamdata (personalesager) Gennemgang af forretningsgange for lønudbetalinger Gennemgang af forretningsgange vedrørende arbejdstid 2015 Deloitte Andre væsentlige områder Forvaltningsrevision Økonomistyring, herunder løbende opfølgning og rapportering til bestyrelsen Budget for det kommende regnskabsår Det finansielle beredskab Sparsommelighed Produktivitet Effektivitet 112

113 Forventet ny revisionsbekendtgørelse Forventet ny revisionsbekendtgørelse - flere institutionstyper samles i en bekendtgørelse - Enkelte lempelser og forenklinger - Kortere revisortjekliste - Krav om standardoverskrifter i protokollater - Øgede krav til adm fællesskaber 2015 Deloitte 113

114 Andre særlige opmærksomhedspunkter Indtægtsdækket virksomhed Formålskontering Målrapportering Bestyrelses-/ledelsesrapporterning 2015 Deloitte 114

115 Afslutning 2015 Deloitte

116 Oplægsholdere Revision Revision Navn Lars Hillebrand Navn Uffe Jensen Stilling: Partner Stilling: Senior Manager Kontor: København/Slagelse Kontor: København Mobil: Mobil: SKAT Indirect Tax SKAT Indirect Tax Navn Lone Friis Navn Karsten D. Løvschall Stilling: Partner Stilling: Manager Kontor: København Kontor: København Mobil: Mobil: Deloitte 116

117 Oplægsholdere DC GSO ERS CRS Navn Stilling: Kristian Juhl Nielsen Senior Manager Navn Stilling: Luke Herbert Manager Kontor: København Kontor: København Mobil: Mobil: Tax Global Mobility ERS RCS Navn Stilling: Niels Sonne Director Navn Stilling: Peter Brock Madsen Director Kontor: København Kontor: København Mobil: Mobil: Deloitte 117

118 Deloitte Touche Tohmatsu Limited Deloitte er en betegnelse for Deloitte Touche Tohmatsu Limited, der er et britisk selskab med begrænset ansvar, og dets netværk af medlemsfirmaer. Hvert medlemsfirma udgør en separat og uafhængig juridisk enhed. Vi henviser til for en udførlig beskrivelse af den juridiske struktur i Deloitte Touche Tohmatsu Limited og dets medlemsfirmaer Deloitte Statsautoriseret Revisionspartnerselskab. Medlem af Deloitte Touche Tohmatsu Limited