Rapport Intern Revision. It-revision af ændringsstyring. Direktørområdet SKAT IT. Modtager Direktør Jesper Rønnow Simonsen, SKAT

Relaterede dokumenter
Rapport Intern Revision. Rapport om kontroller og funktionalitet i eindkomst. SKAT Kundeservice & Økonomi

Rapport Intern Revision. Revisorerklæringer for it-systemer outsourcet til serviceleverandører. SKAT Kundeservice og Økonomi

Rapport Intern Revision. Rapport om kontroller og funktionalitet i TastSelvBorger. SKAT Kundeservice & Økonomi

Rapport Intern Revision. Processen for den ordinære forskudsopgørelse og Forskudssystemets funktionalitet. Kundeservice, Økonomi

Digital vejledning til selvangivelsen

Rapport Intern Revision. Processen for den ordinære årsopgørelse og SLUT-systemets funktionalitet. Kundeservice, Økonomi

Rapport Intern Revision. SKATs administration af opkrævningsdebitorer. Modtager Direktør Jesper Rønnow Simonsen

Rapport Intern Revision. Juridisk/kritisk revision af projekt Organiseret svig med negativ moms Indsats

Rapport Intern Revision. Revision af Lønprocessen. Økonomi. Modtager Jesper Rønnow Simonsen. Revision Rådgivning Rapportering

Rapport Intern Revision. Rapport om kontroller og funktionalitet i ekapital. SKAT Kundeservice & Økonomi

Rapport Intern Revision. Indkøb og Udbud i Koncernservice. Overvågning og styring af indkøbsområdet. Modtager Departementschef Jens Brøchner

Erklæring. Intern Revision. Erklæring om revision af SKATs 9 regnskab for regnskabsåret Modtager Departementschef Jens Brøchner

Bilag: Oversigt over rapporteringer

RSI change management proces

Rapport Intern Revision. Undersøgelse af inddrivelsesprocessen for Personlige fordringer (FL ) Inddrivelse

Videoknudepunktet (VDX) UDKAST Danske Regioner

2. marts Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret

Rapport Intern Revision. It-revision af SAP 38 Basis. Direktørområdet SKAT IT. Modtager Departementschef Jens Brøchner, Skatteministeriet

It-revision af Sundhedsdatanettet januar 2016

UDKAST: Sundhedsdatanettet (SDN) Danske Regioner

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ledelsen har sikret, at der er etableret en hensigtsmæssig itsikkerhedsorganisation

Proces for Problem Management

Rapport Intern Revision. Forældelse af fordringer. Inddrivelse. Modtager Departementschef Jens Brøchner. Revision Rådgivning Rapportering

Proces for Change Management

Region Midtjylland Proces for Change Management

REVISIONSRAPPORT Børne- og Ungdomsforvaltningen

Tilsynet med Statens Administration

Informationssikkerhedspolitik for Horsens Kommune

Rapport Intern Revision. Sandsynliggørelse af moms. Skat 9. Modtager Direktør Jesper Rønnow Simonsen. Revision Rådgivning Rapportering

Faxe Kommune. informationssikkerhedspolitik

Mål- og resultatplan

Eksempel Kontrolrapport 2017 Rapportering til Forretningsudvalget

OPTION TIL RM OG RN BILAG 8 TIL KONTRAKT OM EPJ/PAS ÆNDRINGSHÅNDTERING

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

REVISIONSRAPPORT Beskæftigelses- og Integrationsforvaltningen. Børneattester

Kontrakt om Videreudvikling, Vedligeholdelse og Support af IMK2- systemet. Bilag 12 - Ændringshåndtering

Leverandørstyring: Stil krav du kan måle på

Service Requests: En anmodning om information, rådgivning eller adgang til en it-service. F.eks. nulstille password, bestille en ny bruger o.l.

Proces for Incident Management

Ballerup Kommune 2017

MedCom Systemforvaltning (SDN/VDX/KIH) Danske Regioner

Udkast til svar på Rigsrevisionens rapport om it-sikkerheden på SDN [Godkendt af MedComs styregruppe den 12. februar 2016]

Finansministerens redegørelse vedrørende Statsrevisorernes bemærkninger til Rigsrevisionens beretning om revision af statsregnskabet for 2013

Faxe Kommune Revision af generelle itkontroller

UDKAST: MedCom Systemforvaltning (SDN/VDX/KIH) Danske Regioner

LinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK

Erklæring og revisionsberetning om revision af IT-Universitetet i Københavns årsrapport for Marts 2011

Politik for informationssikkerheddatabeskyttelse

Bekendtgørelse om revision af Udbetaling Danmarks årsregnskaber

Systemforvaltning for SDN Temadag om SDN og VDX den 9. november Peder Illum, konsulent,

Kontrakt om Drift, Videreudvikling, Support af tilskuds- og kontroladministrative

Overordnet It-sikkerhedspolitik

Proces for Problem Management

Gældende formulering Ny formulering Bemærkning. kommunens eksterne revisors udførelse af (1) den lovpligtige revision

TID: Den 13. september 2017 kl MedCom, Mødelokale D, Forskerparken 10, 5230 Odense M

Skanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017

Revisionsrapport Revision af vederlag for 2017

Målbillede for kontraktstyring. Juni 2018

Status baseret på MedCom s svar og handleplan vedrørende revisionsrapport om it-revision af Sundhedsdatanettet (SDN) 2015

Rapport Intern Revision. Indsats. SKATs opfølgning på sager om svig og uregelmæssigheder (Told) Modtager Direktør Jesper Rønnow Simonsen

Notat til Statsrevisorerne om tilrettelæggelsen af en større undersøgelse af Skatteministeriets økonomistyring. September 2014

Overordnet Informationssikkerhedspolitik

Vejledning om funktionsbeskrivelse for intern revision

Notat 28. marts Koncept for ledelsestilsyn

Bilag 14 Ændringshåndtering

Proces for Problem Management

Rigsrevisionens notat om beretning om SKATs systemmodernisering

Ledelsens vejledning

Intern Revision. Københavns Kommune. Revisionsbetænkning for Møde i Økonomiudvalget, den 29. oktober Kurt Wagner

IT-SIKKERHEDSPOLITIK UDKAST

Ledelsestilsyn på børne- og ungeområdet

Uden velfungerende processer ingen tillid. Mats Berger Direktør, Service & Support Forum

For så vidt angår Statsrevisorernes og Rigsrevisionens konkrete bemærkninger, skal jeg bemærke følgende:

Bilag 11 Ændringshåndtering

Revisionsrapport Revision af vederlag for 2018

frcewtfrhousf(wpers ml

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

Ballerup Kommune Politik for databeskyttelse

Udkast. Statsrevisoratet Christiansborg Prins Jørgens Gård København K

Samrådsspørgsmål E Ministeren bedes redegøre for forløbet vedrørende svindlen med refusion vedrørende

MÅLING AF INFORMATIONSSIKKERHED

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

ISO/IEC 27001:2013. Ledelsessystem for informationssikkerhed (ISMS) Niels Madelung, Chefkonsulent

Administrationens kommentarer til revisionens afsluttende beretning for regnskab 2010

Sorø Event & Turist. CVR-nummer

Revision i årets løb for 2016 på områderne omfattet af statsrefusion

Bilag Rapport om løbende årsrevision ved Professionshøjskolen. December 2016

Overordnet Informationssikkerhedsstrategi. for Odder Kommune

Bilag til dagsordenspunkt "Revisionsberetninger for regnskabsåret 2011"

Hjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune

Revisionsprotokollat af 4. december 2009

Landskabsarkitekternes Forening. Revisionsprotokollat til årsregnskab 2014

ITIL Foundation-eksamen

Rapport om temarevisionen for 2015 ved Danmarks Tekniske Universitet. Juni 2016

Rigsrevisionens notat om beretning om styring af it-sikkerhed hos it-leverandører

Organisering og styring af informationssikkerhed. I Odder Kommune

IT-sikkerhedspolitik S i d e 1 9

Rapport Intern Revision. EFI-funktionernes overensstemmelse med lovgivningen vedrørende udlæg. Inddrivelse

Notat til Statsrevisorerne om beretning om SKATs forvaltning af restancer. April 2015

Transkript:

Skatteudvalget 2017-18 (Omtryk - 02-11-2018 - Bilag tilføjet) SAU Alm.del - endeligt svar på spørgsmål 556 Offentligt 10. marts 2016 J. nr. 15-1833456 Plannr. 115-007 Intern Revision Rapport 2015 Direktørområdet SKAT IT Modtager Direktør Jesper Rønnow Simonsen, SKAT Kopi Direktør Karsten Juncher, SKAT Departementet Rigsrevisionen Revision Rådgivning Rapportering

Forord Skatteministeriets Interne Revision (SIR) har, jævnfør orienteringsbrev af 10. juni 2015, revideret området for ændringsstyring. Den udførte revision er en del af den samlede revision for 2015. Rapporten indeholder en samlet konklusion omfattende det reviderede område. I konklusionsafsnittet redegør vi for de observationer, som konklusionen i det væsentligste er baseret på. Konklusionsafsnittet indeholder Intern Revisions bedømmelse af det reviderede område samt en beskrivelse af grundlaget for bedømmelsen. Det vil derfor almindeligvis være tilstrækkeligt at læse selve rapporten. Såfremt der ønskes uddybning og detaljering, henvises der til bilagene. Rapportens bilag 1 indeholder en systematisk fremstilling af de observationer, som den udførte revision har givet anledning til. Bilaget indeholder tillige en vurdering af de tilknyttede risici samt Intern Revisions forslag til anbefalinger, der kan formindske de vurderede risici. Med udgangspunkt i risikovurderingerne har SKAT udarbejdet handleplaner med henblik på at formindske de vurderede risici. Intern Revisions anbefalinger har været anvendt som inspiration ved udarbejdelse af handleplaner. Vi vil løbende vurdere implementeringen af SKATs handleplaner. Rapportens bilag 2 indeholder en beskrivelse af de prioriteringer, der er anvendt ved klassifikationen af de enkelte observationer. Bilaget indeholder herudover en beskrivelse af koblingen mellem observationernes prioriteringer og den samlede overordnede konklusion. Rapporten har været fremsendt i udkast til den reviderede enhed med henblik på at sikre, at Intern Revision og den reviderede enhed har en ensartet opfattelse af de observerede forhold. SKAT har efterfølgende udarbejdet handleplaner. København, den 10. marts 2016 Kurt Wagner Revisionschef Klaus Myssen Sen ior Manager 2 af 16

1. Formål Formålet er at efterprøve, om SKAT i 2015 har etableret og sikret en korrekt og betryggende ændringsstyringsproces for at undgå uautoriserede ændringer, fejl, mangler og driftsforstyrrelser i forbindelse med ændring af SKATs it-systemer. På baggrund af revisionens observationer, er eventuelle afledte risici vurderet. 2. Omfang Revisionen er gennemført i perioden juli 2015 til januar 2016 med udgangspunkt i ISO standarden 27001 og har omfattet emne A. 12.1.2 Ændringsstyring. Der er i forbindelse med revisionen foretaget test af ændringsstyringsprocessen for følgende applikationer: Importsystemet (Import) Ny TastSelv Erhverv (NTSE) Digitalisering Af Selskabsskat (DIAS) ekapital Tast Selv Borger (TSB) / SLUT-systemet (SLUT) eindkomst Rammevilkår for funktionsområderne Datafangst Kvittering Registrering Opgørelse Bogføring Opkrævning Betaling Inddrivelse Regnskabsaflæggelse SIR anvender denne model til operationel beskrivelse og kategorisering af aktiviteterne i SKAT. 3 af 16

Ved denne revision har vi revideret funktionsområdet: Rammevilkår. Revisionen er udført af Klaus Myssen i henhold til gældende revisionsstandarder, herunder vejledninger fra Rigsrevisionen. Revisionen er gennemført ved interviews, ved indsamling og stikprøvevis gennemgang af foreliggende materiale samt ved fysisk observation. I forbindelse med revisionen er der foretaget interviews af medarbejdere fra afdelingerne: Erhvervs- og Personafregningssystemer ESDH- og Toldsystemer It-service og Teknologi 3. Konklusion Det er vores vurdering, at der i større omfang er behov, for ændringer i de reviderede processer i relation til A. 12.1.2 Ændringsstyring. Denne vurdering baserer vi på følgende forhold: Formålet med revisionen af område A.12.1.2. Ændringsstyring er, at undersøge om der er kontroller som sikrer, at ændringer af organisationen, forretningsprocesser, informationsbehandlingsfaciliteter og systemer, som påvirker informationssikkerheden, styres. Det er vores vurdering, at SKAT ikke har efterlevet ISO området A.12.1.2, hvilket blandt andet skyldes manglende anvendelse af de programmer (Remedy) som SKAT stiller til rådighed og manglende efterlevelse af processerne for Change Management i SKAT herunder synliggørelse og dokumentation for udførte kontroller. Vi har prioriteret de observerede forhold således: Revisionsområde Prioritet 1 Høj risiko Prioritet 2 Middel risiko Prioritet 3/4 Lille risiko 1. Generelt for alle systemer 1 0 0 1 2. Importsystemet (Import) 0 1 0 1 3. Ny TastSelv Erhverv (NTSE) 0 1 0 1 4. Digitalisering af Selskabsskat (DIAS) 0 1 0 1 5. ekapital 0 1 0 1 6. Tast Selv Borger (TSB) / SLUT-systemet (SLUT) I alt 2015 0 1 0 1 7. eindkomst 0 1 0 1 I alt 1 6 0 7 Prioriteterne skal ses i forhold til det reviderede område og er nærmere defineret i bilag 2. 4 af 16

Vi har modtaget handleplaner fra de reviderede direktørområder. Det er vores vurdering, at implementeringen af de udarbejdede handleplaner kan medvirke til en reduktion af de vurderede risici. 5 af 16

Bilag 1: Observationer, risici og anbefalinger 1 Generelt for alle systemer Funktionsområde: Rammevilkår for funktionsområderne 1.1 2015 Prio. 1 Proces for Change Management: Vi har konstateret, at der er udarbejdet en procesbeskrivelse for Change Management i SKAT. Af procesbeskrivelsen fremgår, at Alle ændringer i produktion, dokumenteres og godkendes i en Change i gældende fælles ITSM-værktøj (IT Service Management). Endvidere har processen til formål at: sikre standardiserede metoder og procedurer for at opnå en fejlfri, effektiv og hurtig håndtering af ændringer, alle Changes registreres således, at der kan leveres ledelsesoverblik i form af KPI er, statistikker m.m. samt give mulighed for trendanalyser, få bedre mulighed for leverandørstyring, da det er muligt, at trække egen dokumentation og uddrage statistikker. Vores gennemgang viser, at SKAT i mindre omfang følger den fremlagte Change Management proces. I stedet benyttes værktøjer og processer stillet til rådighed af it-leverandørerne, hvilket giver en uensartet og decentral styring af ændringer. Manglende anvendelse af fælles principper og værtøjer i SKAT, giver en uensartet styring af programændringer, hvilket medfører en forøget risiko for, at SKATs ledelse ikke kan opnå et samlet overblik over planlagte som gennemførte programændringer med henblik på at kunne prioritere samt vurdere ressourcebehovet i tilstrækkelig omfang. Vi anbefaler, at der generelt i forretningen sker implementering og efterlevelse af gældende procedurebeskrivelser for Change Management. I den forbindelse bør det undersøges hvorvidt der er en årsag til, at flere system-/procesejere ikke følger gældende proces. 6 af 16

Vi er bekendt med, at afdelingen for It-service og Teknologi er ved at udarbejde nye processer på området til implementering i 2016. Handleplan fra SKAT - Martin Wood, It-service og Teknologi: Revisionens anbefalinger tages til efterretning. I andet kvartal i 2016 implementeres et nyt fælles IT Service Management rammeværk, som omfatter både et nyt fælles værktøj (baseret på en opdateret version af Remedy) og nye fælles processer for request management, incident management og change management (ændringsstyring) på tværs af SKAT. Implementeringen inkluderer uddannelse af interessenter, som også indbefatter en beskrivelse af definerede roller for alle processer. For Change management drejer det sig om rollerne Change requester, Change koordinator og Change godkender, herunder en beskrivelse af deres fælles ansvar for at ændringer til SKAT s produktionsmiljøer, bliver registret og dokumenteret i det nye konsoliderede Remedy system. En samlet registrering af sager giver desuden mulighed for at SKAT ledelse kan danne et mere tilstrækkeligt overblik over planlagte og gennemførte ændringer. Efterlevelsen af de implementerede processer, herunder Change management, styrkes via fast rapportering af ændringer, KPI-rapportering og efterfølgende opfølgning på eventuelle uautoriserede ændringer. Både i forbindelse med uddannelsesmaterialet og de enkelte procesbeskrivelser er det tydeliggjort hvorledes principperne for change mangement er gældende. Samlet vurderes det, at det nye fælles IT Service Management rammeværk vil indfri anbefalingerne i rapporten fra Intern Revision Direktørområdet SKAT IT 2 Importsystemet Funktionsområde: Rammevilkår for funktionsområderne 7 af 16

2.1 2015 Prio. 2 Anvendelse af Remedy (ITSM værktøj) Vores gennemgang viser, at Remedy kun benyttes i begrænset omfang i relation i styring af ændringer i Importsystemet. Det er f.eks. ikke muligt via Remedy at se, at oprettelsen af et ændringsønske (RFC) er godkendt af Change Manageren, ligesom det ikke fremgår, at Change Manageren har godkendt ændringen til produktion. Vi har dog modtaget kopi af referat fra CAB (Change Advisory Board) hvoraf det fremgår, at den pågældende RFC er godkendt til produktion. Referatet fremgår ikke af Remedy. Manglende anvendelse af et fælles internt ITSM værktøj øger risikoen for, en uensartet og ufuldstændig registrering af changes. Vi anbefaler, at ændringer i relation til Importsystemet dokumenteres og godkendes i en change i Remedy. Handleplan fra SKAT Ragnhild H Hargaard, ESDH- og Toldsystemer: Revisionens anbefalinger tages til efterretning. Generelt set bliver ændringsønsker og ændringer vurderet og kvalificeret ift. tekniske afhængigheder og forretningsmæssige sammenhænge via samarbejdsprocesser mellem SKATs systemejere og systemleverandører. Den varierende grad af formalisering og understøttelse af ændringsprocesessen, samt manglende registrering i SKATs centrale Remedy system, bliver fremadrettet forbedres og ensartes i forbindelse med implementering af det nye IT Service Management rammeværk. Som beskrevet i den reviderede udgave af Change Management processen i SKAT, foretages ændringshåndtering i et defineret samarbejde mellem en central Change Manager og en Change Koordinator i det pågældende kontor. For at en Change Koordinator kan initiere change processen og dermed få godkendelse af ændringen er det påkrævet at der oprettes en ændringsanmodning sag i Remedy systemet med de relevante informationer for at kunne publicere ændringen. Fuld registrering af samtlige ændringer i systemejerkontorer forventes at være implementeret senest ved udgang af Q4 2016. Som ekstra kontrol ift opfølgning af ændringsregistreringer vil der ved større fejl og nedbrud (incidents) blive undersøgt om der har været foretaget udokumenterede ændringer i forbindelse med den opståede fejl. 8 af 16

3 NTSE Funktionsområde: Rammevilkår for funktionsområderne 3.1 2015 Prio. 2 Anvendelse af Remedy (ITSM værktøj) Vores gennemgang viser, at Remedy kun benyttes i begrænset omfang i relation i styring af ændringer i NTSE. Vi har fået oplyst, at godkendelse af ændringer (RFC) i relation til NTSE foretages på CAB-møder (Change Advisory Board) og at der udarbejdes konsekvensanalyser til afdækning af konflikter med andre produktionssystemer. Endvidere er oplyst, at der foretages test af ændringer i testmiljøet, og at de endelige godkendelser til produktion sker via CAB møder. Vi har ikke modtaget dokumentation for disse oplysninger, ligesom dokumentationen ikke ligger i Remedy. Manglende anvendelse af et fælles internt ITSM værktøj øger risikoen for, en uensartet og ufuldstændig registrering af changes. Vi anbefaler, at ændringer i relation til NTSE dokumenteres og godkendes i en change i Remedy. Handleplan fra SKAT Søren Kjær Jensen, Erhvervs- og Personafregningssystemer. Revisionens anbefalinger tages til efterretning. Generelt set bliver ændringsønsker og ændringer vurderet og kvalificeret ift. tekniske afhængigheder og forretningsmæssige sammenhænge via samarbejdsprocesser mellem SKATs systemejere og systemleverandører. Den varierende grad af formalisering og understøttelse af ændringsprocesessen, samt manglende registrering i SKATs centrale Remedy system, bliver fremadrettet forbedres og ensartes i forbindelse med implementering af det nye IT Service Management rammeværk. Som beskrevet i den reviderede udgave af Change Management processen i SKAT, foretages ændringshåndtering i et defineret samarbejde mellem en central Change Manager og en Change Koordinator i det pågældende kontor. For at en Change Koordinator kan initiere change processen og dermed få godkendelse af ændringen er det påkrævet at der oprettes en ændringsanmodning sag i Remedy systemet med de 9 af 16

relevante informationer for at kunne publicere ændringen. Fuld registrering af samtlige ændringer i systemejerkontorer forventes at være implementeret senest ved udgang af Q4 2016. Som ekstra kontrol ift opfølgning af ændringsregistreringer vil der ved større fejl og nedbrud (incidents) blive undersøgt om der har været foretaget udokumenterede ændringer i forbindelse med den opståede fejl. 4 DIAS Funktionsområde: Rammevilkår for funktionsområderne 4.1 2015 Prio. 2 Anvendelse af Remedy (ITSM værktøj) Vores gennemgang viser, at Remedy kun benyttes i begrænset omfang i relation i styring af ændringer i DIAS. Vi har dog i Remedy set, at det er tilkendegivet hvem, som skal agere Change Manager. Det er ikke muligt at se, hvem som fungerer som Change koordinator. Det er endvidere oplyst, at godkendelse af ændringer (RFC) i relation til DIAS foretages på CAB-møder (Change Advisory Board), hvilket ikke fremgår af Remedy. Ligesom det ikke fremgår af Remedy, at ændringen er godkendt til produktion. Manglende anvendelse af et fælles internt ITSM værktøj øger risikoen for, en uensartet og ufuldstændig registrering af changes. Vi anbefaler, at ændringer i relation til DIAS dokumenteres og godkendes i en change i Remedy. Handleplan fra SKAT Søren Kjær Jensen, Erhvervs- og Personafregningssystemer. Revisionens anbefalinger tages til efterretning. Generelt set bliver ændringsønsker og ændringer vurderet og kvalificeret ift. tekniske afhængigheder og forretningsmæssige sammenhænge via samarbejdsprocesser mellem SKATs systemejere og systemleverandører. Den varierende grad af formalisering og understøttelse af ændringsprocesessen, samt manglende registrering i SKATs centrale Remedy system, bliver fremadrettet forbedres og ensartes i forbindelse med implementering af det nye IT Service Management rammeværk. 10 af 16

Som beskrevet i den reviderede udgave af Change Management processen i SKAT, foretages ændringshåndtering i et defineret samarbejde mellem en central Change Manager og en Change Koordinator i det pågældende kontor. For at en Change Koordinator kan initiere change processen og dermed få godkendelse af ændringen er det påkrævet at der oprettes en ændringsanmodning sag i Remedy systemet med de relevante informationer for at kunne publicere ændringen. Fuld registrering af samtlige ændringer i systemejerkontorer forventes at være implementeret senest ved udgang af Q4 2016. Som ekstra kontrol ift opfølgning af ændringsregistreringer vil der ved større fejl og nedbrud (incidents) blive undersøgt om der har været foretaget udokumenterede ændringer i forbindelse med den opståede fejl. 5 ekapital Funktionsområde: Rammevilkår for funktionsområderne 5.1 2015 Prio. 2 Anvendelse af Remedy (ITSM værktøj) Vi har fået oplyst, at Remedy ikke benyttes til styring af ændringer i relation til ekapital. Vi har dog set dokumentation for, at de undersøgte ændringer er indstillet og behandlet på CAB møder, og at den ene ændring er afvist, og den anden ændring er godkendt. Ligeledes har vi set korrespondance, hvoraf det fremgår, at der er udført test, og accept af, at ændringen kan flyttes til produktion. Manglende anvendelse af et fælles internt ITSM værktøj øger risikoen for en uensartet og ufuldstændig registrering af changes. Vi anbefaler, at ændringer i relation til ekapital dokumenteres og godkendes i en change i Remedy. Dokumentationen foreligger primært som en del af den mail-korrespondance, som er udvekslet med leverandøren. Handleplan fra SKAT Søren Kjær Jensen, Erhvervs- og Personafregningssystemer. Revisionens anbefalinger tages til efterretning. 11 af 16

Generelt set bliver ændringsønsker og ændringer vurderet og kvalificeret ift. tekniske afhængigheder og forretningsmæssige sammenhænge via samarbejdsprocesser mellem SKATs systemejere og systemleverandører. Den varierende grad af formalisering og understøttelse af ændringsprocesessen, samt manglende registrering i SKATs centrale Remedy system, bliver fremadrettet forbedres og ensartes i forbindelse med implementering af det nye IT Service Management rammeværk. Som beskrevet i den reviderede udgave af Change Management processen i SKAT, foretages ændringshåndtering i et defineret samarbejde mellem en central Change Manager og en Change Koordinator i det pågældende kontor. For at en Change Koordinator kan initiere change processen og dermed få godkendelse af ændringen er det påkrævet at der oprettes en ændringsanmodning sag i Remedy systemet med de relevante informationer for at kunne publicere ændringen. Fuld registrering af samtlige ændringer i systemejerkontorer forventes at være implementeret senest ved udgang af Q4 2016. Som ekstra kontrol ift opfølgning af ændringsregistreringer vil der ved større fejl og nedbrud (incidents) blive undersøgt om der har været foretaget udokumenterede ændringer i forbindelse med den opståede fejl. 6 TSB/SLUT Funktionsområde: Rammevilkår for funktionsområderne 6.1 2015 Prio. 2 Anvendelse af Remedy (ITSM værktøj) Vores gennemgang viser, at Remedy ikke benyttes til styring af ændringer i relation til TSB/SLUT. Vi har dog set dokumentation for godkendelse af kravsspecifikationer, udførte tests og godkendelse af ændring til produktion. Det er endvidere set, at der laves risiko og konsekvensvurderinger. Dokumentationen foreligger som en del af den mail- Manglende anvendelse af et fælles internt ITSM værktøj øger risikoen for, en uensartet og ufuldstændig registrering af changes. Vi anbefaler, at ændringer i relation til TSB/SLUT dokumenteres og godkendes i en change i Remedy. 12 af 16

korrespondance som er foretaget med leverandøren. Vi har ikke modtaget dokumentation for disse oplysninger, ligesom dokumentationen ikke ligger i Remedy. Handleplan fra SKAT Søren Kjær Jensen, Erhvervs- og Personafregningssystemer. Revisionens anbefalinger tages til efterretning. Generelt set bliver ændringsønsker og ændringer vurderet og kvalificeret ift. tekniske afhængigheder og forretningsmæssige sammenhænge via samarbejdsprocesser mellem SKATs systemejere og systemleverandører. Den varierende grad af formalisering og understøttelse af ændringsprocesessen, samt manglende registrering i SKATs centrale Remedy system, bliver fremadrettet forbedres og ensartes i forbindelse med implementering af det nye IT Service Management rammeværk. Som beskrevet i den reviderede udgave af Change Management processen i SKAT, foretages ændringshåndtering i et defineret samarbejde mellem en central Change Manager og en Change Koordinator i det pågældende kontor. For at en Change Koordinator kan initiere change processen og dermed få godkendelse af ændringen er det påkrævet at der oprettes en ændringsanmodning sag i Remedy systemet med de relevante informationer for at kunne publicere ændringen. Fuld registrering af samtlige ændringer i systemejerkontorer forventes at være implementeret senest ved udgang af Q4 2016. Som ekstra kontrol ift opfølgning af ændringsregistreringer vil der ved større fejl og nedbrud (incidents) blive undersøgt om der har været foretaget udokumenterede ændringer i forbindelse med den opståede fejl. 7 eindkomst Funktionsområde: Rammevilkår for funktionsområderne 13 af 16

7.1 2015 Prio. 2 Anvendelse af Remedy (ITSM værktøj) Vores gennemgang viser, at Remedy kun benyttes i begrænset omfang i relation i styring af ændringer i eindkomst. Manglende anvendelse af et fælles internt ITSM værktøj øger risikoen for, en uensartet og ufuldstændig registrering af changes. Vi anbefaler, at ændringer i relation til eindkomst dokumenteres og godkendes i en change i Remedy. Vi har fået oplyst, at SKAT primært benytter leverandørens ændringsstyringsværktøj til registrering og håndtering af ændrings ønsker (RFC). Vores gennemgang viser også, at Remedy er udfyldt meget sporadisk. Vi har dog set dokumentation for udarbejdelse af konsekvensvurderinger, udførelse af test og endelig godkendelse af ændring til produktion. Dokumentation som ikke fremgår af Remedy. Handleplan fra SKAT Søren Kjær Jensen, Erhvervs- og Personafregningssystemer. Revisionens anbefalinger tages til efterretning. Generelt set bliver ændringsønsker og ændringer vurderet og kvalificeret ift. tekniske afhængigheder og forretningsmæssige sammenhænge via samarbejdsprocesser mellem SKATs systemejere og systemleverandører. Den varierende grad af formalisering og understøttelse af ændringsprocesessen, samt manglende registrering i SKATs centrale Remedy system, bliver fremadrettet forbedres og ensartes i forbindelse med implementering af det nye IT Service Management rammeværk. Som beskrevet i den reviderede udgave af Change Management processen i SKAT, foretages ændringshåndtering i et defineret samarbejde mellem en central Change Manager og en Change Koordinator i det pågældende kontor. For at en Change Koordinator kan initiere change processen og dermed få godkendelse af ændringen er det påkrævet at der oprettes en ændringsanmodning sag i Remedy systemet med de relevante informationer for at kunne publicere ændringen. Fuld registrering af samtlige ændringer i systemejerkontorer forventes at være implementeret senest ved udgang af Q4 2016. 14 af 16

Som ekstra kontrol ift opfølgning af ændringsregistreringer vil der ved større fejl og nedbrud (incidents) blive undersøgt om der har været foretaget udokumenterede ændringer i forbindelse med den opståede fejl. SLUT 15 af 16

Bilag 2: Anvendt skala Ved udarbejdelsen af konklusionen er følgende skala anvendt: Intet behov for procesændringer Intern Revision har ikke observeret svagheder i de forretningsgange og processer, der understøtter det reviderede område. Prioritet 1: Prioritet 2: Ingen observationer Ingen observationer Behov for procesændringer i mindre omfang Behov for procesændringer i større omfang Intern Revision har observeret enkelte svagheder i de forretningsgange og processer, der understøtter det reviderede område. Prioritet 1: Prioritet 2: Ingen observationer Enkelte observationer Intern Revision har observeret flere svagheder i de forretningsgange og processer, der understøtter det reviderede område. Observationerne er hovedsageligt omfattet af prioritet 1 og 2 med flest observationer i prioritet 2. Prioritet 1: Flere observationer Prioritet 2: Flest observationer Behov for procesændringer i væsentligt omfang Intern Revision har observeret flere svagheder i de forretningsgange og processer, der understøtter det reviderede område. Observationerne er hovedsageligt omfattet af prioritet 1 eller 2 med flest observationer i prioritet 1. Prioritet 1: Flest observationer Prioritet 2: Flere observationer Det skal bemærkes, at ovenstående beskrivelse, med hensyn til antal observationer pr. prioritet, er vejledende i forhold til vores samlede vurdering af konklusionen. Prioritering af de enkelte observationer: Prioritet 1: Høj Risiko for manglende målopfyldelse: Væsentlige svagheder i den etablerede forretningsgang/proces. Svaghederne kan omfatte manglende interne kontroller, uhensigtsmæssig design af interne kontroller, manglende regnskabsmæssige faciliteter. Som følge heraf er der en væsentlig øget risiko for, at processens formål ikke realiseres. Manglende opfyldelse af processens formål vil have store konsekvenser for virksomheden. Der bør snarest muligt iværksættes foranstaltninger med henblik på at udbedre de observerede svagheder. Prioritet 2: Middel risiko for manglende målopfyldelse: Svagheder i den etablerede forretningsgang/proces. Svaghederne kan omfatte manglende interne kontroller, uhensigtsmæssig design af interne kontroller, manglende regnskabsmæssige faciliteter. Som følge heraf er der en øget risiko for, at processens målopfyldelse ikke fuldtud realiseres. Manglende opfyldelse af processens formål vil have store konsekvenser for virksomheden. Der bør iværksættes foranstaltninger med henblik på at udbedre den observerede svaghed. Prioritet 3: Lille risiko for manglende målopfyldelse: Ingen svagheder i den etablerede forretningsgang/proces. Som følge heraf er der ikke en øget risiko for, at processens formål ikke realiseres. Den reviderede proces kan dog designes med henblik på at forbedre eksekveringen af processen. Processen vil dog være omfattet af den risiko, der, uanset styrken af de interne kontroller, altid vil være til stede. Prioritet 4: Lille risiko for manglende målopfyldelse: Ingen svagheder i den etablerede forretningsgang/proces. Som følge heraf er der ikke en øget risiko for, at processens formål ikke realiseres. Processen vil dog være omfattet af den risiko, der, uanset styrken af de interne kontroller, altid vil være til stede. 16 af 16

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback