Rapport Intern Revision. Revisorerklæringer for it-systemer outsourcet til serviceleverandører. SKAT Kundeservice og Økonomi

Relaterede dokumenter
Rapport Intern Revision. It-revision af ændringsstyring. Direktørområdet SKAT IT. Modtager Direktør Jesper Rønnow Simonsen, SKAT

Rapport Intern Revision. Rapport om kontroller og funktionalitet i eindkomst. SKAT Kundeservice & Økonomi

Rapport Intern Revision. Rapport om kontroller og funktionalitet i TastSelvBorger. SKAT Kundeservice & Økonomi

Rapport Intern Revision. Processen for den ordinære forskudsopgørelse og Forskudssystemets funktionalitet. Kundeservice, Økonomi

Rapport Intern Revision. Processen for den ordinære årsopgørelse og SLUT-systemets funktionalitet. Kundeservice, Økonomi

Digital vejledning til selvangivelsen

Rapport Intern Revision. SKATs administration af opkrævningsdebitorer. Modtager Direktør Jesper Rønnow Simonsen

Rapport Intern Revision. Revision af Lønprocessen. Økonomi. Modtager Jesper Rønnow Simonsen. Revision Rådgivning Rapportering

Rapport Intern Revision. Juridisk/kritisk revision af projekt Organiseret svig med negativ moms Indsats

Rapport Intern Revision. Rapport om kontroller og funktionalitet i ekapital. SKAT Kundeservice & Økonomi

Bilag: Oversigt over rapporteringer

Rapport Intern Revision. Indkøb og Udbud i Koncernservice. Overvågning og styring af indkøbsområdet. Modtager Departementschef Jens Brøchner

Erklæring. Intern Revision. Erklæring om revision af SKATs 9 regnskab for regnskabsåret Modtager Departementschef Jens Brøchner

Rapport Intern Revision. Undersøgelse af inddrivelsesprocessen for Personlige fordringer (FL ) Inddrivelse

Rapport Intern Revision. Forældelse af fordringer. Inddrivelse. Modtager Departementschef Jens Brøchner. Revision Rådgivning Rapportering

Tilsynet med Statens Administration

Rapport Intern Revision. Sandsynliggørelse af moms. Skat 9. Modtager Direktør Jesper Rønnow Simonsen. Revision Rådgivning Rapportering

Sorø Event & Turist. CVR-nummer

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

REVISIONSRAPPORT Børne- og Ungdomsforvaltningen

2. marts Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret

REVISIONSRAPPORT Beskæftigelses- og Integrationsforvaltningen. Børneattester

Resultatkontrakt 2013

Komplementarselskabet Motala II ApS Revisionsprotokollat til årsregnskabet for 2013

Skatteudvalget SAU Alm.del Bilag 200 Offentligt

Optikerforeningen. CVR-nummer

Landskabsarkitekternes Forening. Revisionsprotokollat til årsregnskab 2014

For så vidt angår Statsrevisorernes og Rigsrevisionens konkrete bemærkninger, skal jeg bemærke følgende:

REVISIONSPROTOKOLLAT FOR REGNSKABSÅRET 1/ / Andelsselskabet Fjelsted Vandværk Jægersmindevej Harndrup. CVR. nr.

Udkast. Statsrevisoratet Christiansborg Prins Jørgens Gård København K

Finansministerens redegørelse vedrørende Statsrevisorernes bemærkninger til Rigsrevisionens beretning om revision af statsregnskabet for 2013

Revisionsprotokollatet

FOA FAG OG ARBEJDE, SILKEBORG - SKANDERBORG REVISIONSPROTOKOLLAT. af 4. juni 2015, side vedrørende årsregnskab for 2014

Faxe-Hallerne Den selvejende institution for Faxe og omegn Rådhusvej Faxe. CVR-nr.: Revisionsprotokollat for regnskabsåret 2012

Faxe Ladeplads Fiskerihavn A.M.B.A. Favrbyvej Faxe Ladeplads. CVR-nr.: Revisionsprotokollat for regnskabsåret 2012

Gældende formulering Ny formulering Bemærkning. kommunens eksterne revisors udførelse af (1) den lovpligtige revision

Kunsten Museum of Modern Art

Notat til Statsrevisorerne om beretning om forebyggelse af hackerangreb. Februar 2014

Rigsrevisionens notat om beretning om SKATs systemmodernisering

Referat af revisornetværksmødet den 27. oktober 2015

Styrelsen indskærper, at formalia i forbindelse med indberetningen for 2012 efterleves.

Revisionsprotokollatet

Foreningen Andelsgaarde. Sofievej Hellerup CVR Rapportering til selskabets øverste ledelse

Bilag til dagsordenspunkt "Revisionsberetninger for regnskabsåret 2011"

KULTURHISTORISK MUSEUM RANDERS

Rapport Intern Revision. EFI-funktionernes overensstemmelse med lovgivningen vedrørende udlæg. Inddrivelse

Notat til Statsrevisorerne om tilrettelæggelsen af en større undersøgelse af Skatteministeriets økonomistyring. September 2014

Notat til Statsrevisorerne om beretning om revisionen af statsregnskabet for Marts 2011

Eksempel Kontrolrapport 2017 Rapportering til Forretningsudvalget

Skatteudvalget SAU alm. del - Bilag 38. Offentligt. Finansudvalget FIU alm. del - 9 Bilag 2. Offentligt. Til Folketingets Finansudvalg

Rapport Intern Revision. It-revision af SAP 38 Basis. Direktørområdet SKAT IT. Modtager Departementschef Jens Brøchner, Skatteministeriet

Seminar for revisorer på 20-området 5. maj 2015

Uddybende statistik for henvendelser til Borger- og retssikkerhedschefen i 2016

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores

RIGSREVISIONEN København, den 16. november 2005 RN A307/05

Aarhus Idrætsfond. Revisionsprotokollat om udkast til årsrapport for 2014

Revision i forbindelse med status for Revisionsrapport. Indledning

REVISIONSRAPPORT Socialforvaltningen Administration af betalingskommuneoplysninger

Dyssegårdskirken. Revisionsprotokollat af Årsregnskab for vedrørende STATSAUTORISERET REVISIONSPARTNERSELSKAB

Styrelsen for Arbejdsmarked og Rekruttering (STAR) har den 17. april 2019 fremsendt ovennævnte decisionsskrivelse.

Bilag til dagsordenspunkt "Revisionsberetninger for regnskabsåret 2015"

Bekendtgørelse om revision af Udbetaling Danmarks årsregnskaber

Tilbud på revision af [navn på SI]

PEDERSEN. Den selvejende institution Hyttefadet

Deloitte. Holstebro-Struer Trafikhavn. Revisionsprotokollat til arsrapport Telefon Telefax www, de loitte.

Mål- og resultatplan

Knabstrup Vandværk a.m.b.a. CVR-nummer

Intern Revision. Københavns Kommune. Revisionsbetænkning for Møde i Økonomiudvalget, den 29. oktober Kurt Wagner

Bilag 1. Redegørelse til Ministeriet for Børn, Ligestilling, Integration og Sociale Forhold for 2013

Regnskabserklæring til revisor for Business Faxe Copenhagen. Efter anmodning skal jeg afgive nedenstående erklæring i forbindelse med jeres:

FORENINGEN TÅRS HALLEN UDSKRIFT AF REVISIONSPROTOKOL SIDE 4-7 VEDRØRENDE ÅRSREGNSKABET 2015

Danske Forsikringsfunktionærers Landsforening

Skatteudvalget SAU Alm.del Bilag 97 Offentligt Samråd i Skatteudvalget

Foreningen af Døgn- og Dagtilbud for udsatte børn og unge

K/S Karlstad Bymidte

Gylling Vandværk A.m.b.a. Gylling 8300 Odder. CVR-nr.:

Holstebro Kommune. Bilag 4 Revisionsberetning vedrørende Ansvarsforhold, revisionens omfang og rapportering. (Vilkår for revisionsopgaven)

Sorø Erhvervs- og Turistråd

K/S Karlstad Bymidte Revisionsprotokollat til årsrapport for 2016

Bilag 6, Vejledning til udfyldelse af bilag 1-4 Indholdsfortegnelse

Revisionsprotokollat af 4. december 2009

Kunsten Museum of Modern Art

Vestegnens Brandvæsen I/S. Revisionsprotokollat om udkast for årsregnskab 2013

Deloitte. Holstebro-Struer Trafikhavn. Revisionsprotokollat til årsrapport 2013

IBDO DEN SELVEJENDE INSTITUTION SDR. BJERT MENIGHEDSBØRNEHAVE REVISIONS PROTOKOL SIDE VEDRØRENDE ÅRSREGNSKABET 2017 CVR-NR.

P. Holm ApS Revisionsprotokollat til årsregnskabet for 2014/15. Penneo dokumentnøgle: 5ZKQN-DF48I-WZIZP-PPTQL-2W05T-GN30E

Revisionsprotokollat for regnskabsåret 2014

Uddybende statistik for henvendelser til Borger- og retssikkerhedschefen i 2017

AB Strandparken 1. Revisionsprotokollat af 10. januar (side 11-14)

Erklæring og revisionsberetning om revision af IT-Universitetet i Københavns årsrapport for Marts 2011

Regnskabserklæring til revisor for Gedser Fjernvarme A.m.b.a. Efter anmodning skal jeg afgive nedenstående erklæring i forbindelse med jeres:

December Notat til Statsrevisorerne om beretning om bilsyn efter liberaliseringen i 2005

Revisionsrapport Revision af vederlag for 2018

Årsrapport 2008 for Handels Aps Panoptikon

Sankt Mortens Sogns Menighedsråd

Business Faxe Copenhagen

Notat til Statsrevisorerne om uregelmæssigheder i projektforvaltningen. Menneskerettigheder. Februar 2012

Revisionsrapport Revision af vederlag for 2017

Ballerup Kommune 2017

It-revision af Sundhedsdatanettet januar 2016

Transkript:

Skatteudvalget 2017-18 (Omtryk - 02-11-2018 - Bilag tilføjet) SAU Alm.del - endeligt svar på spørgsmål 556 Offentligt 17. maj 2016 J. nr. 15-2368547 Plannr. 115-010 Intern Revision Rapport 2015 SKAT Kundeservice og Økonomi Revisorerklæringer for it-systemer outsourcet til serviceleverandører Modtager Direktør Jesper Rønnow Simonsen, SKAT Kopi Direktør Merete Agergaard, Kundeservice Direktør Karsten Juncher, Økonomi Departementet Rigsrevisionen Revision Rådgivning Rapportering

Forord Intern Revision (IR) har, jævnfør orienteringsbrev af 14. september 2015 revideret revisorerklæringer for it-systemer outsourcet til serviceleverandører. Den udførte revision er en del af den samlede revision for 2015. Rapporten har været fremsendt i udkast til den reviderede enhed med henblik på at sikre, at Intern Revision og den reviderede enhed har en ensartet opfattelse af de observerede forhold. SKAT har efterfølgende udarbejdet handleplaner. Rapporten indeholder en samlet konklusion omfattende det reviderede område. I konklusionsafsnittet redegør vi for de observationer, som konklusionen i det væsentligste er baseret på. Konklusionsafsnittet indeholder Intern Revisions bedømmelse af det reviderede område samt en beskrivelse af grundlaget for bedømmelsen. Det vil derfor almindeligvis være tilstrækkeligt at læse selve rapporten. Såfremt der ønskes uddybning og detaljering, henvises der til bilagene. Rapportens bilag 1 indeholder en systematisk fremstilling af de observationer, som den udførte revision har givet anledning til. Bilaget indeholder tillige en vurdering af de tilknyttede risici samt Intern Revisions forslag til anbefalinger, der kan formindske de vurderede risici. Med udgangspunkt i risikovurderingerne har SKAT udarbejdet handleplaner med henblik på at formindske de vurderede risici. Intern Revisions anbefalinger har været anvendt som inspiration ved udarbejdelse af handleplaner. Vi vil løbende vurdere implementeringen af SKATs handleplaner. Rapportens bilag 2 indeholder en beskrivelse af de prioriteringer, der er anvendt ved klassifikationen af de enkelte observationer. Bilaget indeholder herudover en beskrivelse af koblingen mellem observationernes prioriteringer og den samlede overordnede konklusion. København, den 17. maj 2016 Kurt Wagner Revisionschef Aliriza Özden Manager 2 af 9

1. Formål Formålet med revisionen er at undersøge og vurdere, hvorvidt SKAT rekvirerer revisorerklæringer for alle væsentlige og risikofyldte it-systemer, som er outsourcet til it-serviceleverandører. 2. Omfang Revisionen har omfattet væsentlige og risikofyldte it-systemer, der understøtter processen for aflæggelse af 9 og 38 regnskaberne. Revisionen, der er udført i perioden medio september medio november 2015, har omfattet interview med en række nøglemedarbejdere, og har bl.a. bestået af følgende aktiviteter: 1) Identifikation af væsentlige og risikofyldte it-systemer: 3S, BE, CKR-K, COR, CPS, CSR komplekset, CWB, D-COR, DIAS, DMI, DMO, DMR, DR, ECS, EFI, e-indkomst komplekset, EMCS, EROS, ES, Forskud, ICS, KOBRA, KR-L, NTSE, PAF, PAL, Quota, R75, RCO, SAP38, SAPIntern, SLS komplekset, SLUT komplekset 2) Identifikation af It-serviceleverandører, som drifter væsentlige og risikofyldte systemer: CSC, CGI, Systematic, Netcompany, Konsortiet (KMD, Cap. Affecto), IBM, European Dynamics, KMD og NNIT 3) Rekvirering og gennemgang af revisorerklæringer 4) Vurdering af type og periode for revisorerklæringer 5) Udarbejdelse af observationer, risici og anbefalinger 3 af 9

I forbindelse med revisionen anvendes nedenstående model, som opdeler processen i en række funktionsområder. Vi har i forbindelse med nærværende revision revideret rammevilkår for funktionsområderne. Det reviderede område er fremhævet med gråt i figuren: Rammevilkår for funktionsområderne Datafangst Kvittering Registering Opgørelse Bogføring Opkrævning Betaling Inddrivelse Regnskabsaflæggelse Revisionen er udført af Henrik Friis-Pedersen og Aliriza Özden ved interviews, og stikprøvevis gennemgang af foreliggende materiale i samarbejde med medarbejdere fra Kundeservice og Økonomi/IT. 4 af 9

3. Konklusion Det er vores vurdering, at der i væsentligt omfang er behov for ændringer i de reviderede processer. Denne vurdering baserer vi på følgende forhold: SKAT rekvirerer ikke revisorerklæringer, som giver specifik sikkerhed for alle væsentlige og risikofyldte it-systemer, der er outsourcet til itserviceleverandører. Vi har prioriteret de observerede forhold således: Revisionsemne 1. Sikkerhed gennem systemspecifikke revisorerklæringer 2. Risikovurdering af væsentlige itsystemer Prioritet 1 Høj risiko Prioritet 2 Middel risiko Prioritet 3/4 Lille risiko I alt 2 0 0 2 0 1 0 1 3. Overblik over revisorerklæringer 0 1 0 1 I alt 2 2 0 4 Prioriteterne skal ses i forhold til det reviderede område og er nærmere defineret i bilag 2. Vi har modtaget handleplaner fra de reviderede direktørområder. Det er vores vurdering, at implementeringen af de udarbejdede handleplaner vil medvirke til en reduktion af de vurderede risici. 5 af 9

Bilag 1: Observationer, risici og anbefalinger 1 Revisionsemne: Sikkerhed gennem systemspecifikke revisorerklæringer Rammevilkår for funktionsområderne 1.1 2015 Prio. 1 Rekvirering af revisorerklæringer Vi har konstateret, at SKAT ikke rekvirerer revisorerklæringer, som giver specifik sikkerhed for it-driften af alle væsentlige og risikofyldte it-systemer, som er outsourcet til itserviceleverandører. Det er vores vurdering, at løbende møder vedr. drift og informationssikkerhed samt månedlige driftsrapporter ikke giver tilstrækkelig sikkerhed for driften af SKATs itsystemer. Manglende revisorerklæringer medfører en forøget risiko for, at SKAT ikke får mulighed for at iværksætte kompenserende handlinger, såfremt de væsentligste og mest risikofyldte systemer ikke håndteres forsvarligt og i overensstemmelse med: Aftalegrundlaget mellem SKAT og itserviceleverandør Regnskabsinstruksens afsnit 3.5 Drift, vedrørende rekvirering af revisorerklæringer Vi anbefaler, at SKAT for de væsentlige og risikofyldte it-systemer outsourcet til serviceleverandører, rekvirerer systemspecifikke revisorerklæringer af typen ISAE 3402, type 2. I disse revisorerklæringer erklærer serviceleverandørens revisor sig om, hvorvidt en række væsentlige kontroller rettet specifikt mod SKATs it-systemer hos serviceleverandøren, har fungeret tilfredsstillende i en given periode. Revisorerklæringer bør således kombineres med løbende driftsmøder og månedlige driftsrapporter. Dette medfører en afledt risiko for en mindre grad af sikkerhed på it-området. Handleplan fra Claus Middelboe Andersen Økonomi, IT Services: I 2011 fravalgte Direktionen at indhente en revisorerklæring fra CSC. Dette blev besluttet af følgende årsager: - Revisorerklæringer på alle de systemer CSC drifter, ville medføre omkostninger i millionklassen. - Etablering af sikkerhedsfora og månedlige driftsmøder med leverandører blev vurderet til, at ville give en direkte kontakt og i højere grad give en løbende føling med, om leverandøren lever op til sikkerhedskravene - En årlig temperaturmåling i form af en revisorerklæring giver kun i begrænset omfang indsigt i leverandørens daglige håndtering af sikkerhedsspørgsmål. - Leverandøren udleverer endvidere kopi af diverse erklæringer, certificeringer m.v., som allerede foreligger. På drifts- og sikkerhedsmøderne rapporteres om sikkerhedsrelaterede incidents og changes, fremadrettede forbedringer af it sikkerheden, adgangsrettigheder, dataintegritet (gennemgang af adgangslogs), samt sikkerhedsangreb. Da ovenstående direktionsbeslutning har nogle år bag sig, har Direktør Karsten Juncher anmodet om, at der foretages en fornyet vurdering af beslutning. Dette arbejde blev igangsat medio marts og forventes afsluttet inden sommerferien (ultimo juni 2016). Flemming Gert Poulsen er tovholder og med i arbejdsgruppen sammen med Kundeservice. 6 af 9

1 Revisionsemne: Sikkerhed gennem systemspecifikke revisorerklæringer Rammevilkår for funktionsområderne 1.2 2015 Prio. 1 Revisorerklæringer for CSC Classic systemer Vi har konstateret, at SKAT ikke rekvirerer specifikke revisorerklæringer vedr. CSC Classic systemer fra it-serviceleverandøren CSC, som drifter mere end 20 væsentlige og risikofyldte systemer. Risikoen er, at SKAT ikke opnår tilstrækkelig sikkerhed for, om it-driften af væsentlige og risikofyldte systemer håndteres forsvarligt og i overensstemmelse med aftalegrundlaget mellem SKAT og CSC. Vi anbefaler, at SKAT for alle væsentlige og risikofyldte CSC Classic systemer outsourcet til CSC, rekvirerer systemspecifikke revisorerklæringer af typen ISAE 3402 type 2. Handleplan fra Claus Middelboe Andersen Økonomi, IT Services: I 2011 fravalgte Direktionen at indhente en revisorerklæring fra CSC. Dette blev besluttet af følgende årsager: - Revisorerklæringer på alle de systemer CSC drifter, ville medføre omkostninger i millionklassen. - Etablering af sikkerhedsfora og månedlige driftsmøder med leverandører blev vurderet til, at ville give en direkte kontakt og i højere grad give en løbende føling med, om leverandøren lever op til sikkerhedskravene - En årlig temperaturmåling i form af en revisorerklæring giver kun i begrænset omfang indsigt i leverandørens daglige håndtering af sikkerhedsspørgsmål. - Leverandøren udleverer endvidere kopi af diverse erklæringer, certificeringer m.v., som allerede foreligger. På drifts- og sikkerhedsmøderne rapporteres om sikkerhedsrelaterede incidents og changes, fremadrettede forbedringer af it sikkerheden, adgangsrettigheder, dataintegritet (gennemgang af adgangslogs), samt sikkerhedsangreb. Da ovenstående direktionsbeslutning har nogle år bag sig, har Direktør Karsten Juncher anmodet om, at der foretages en fornyet vurdering af beslutning. Dette arbejde blev igangsat medio marts og forventes afsluttet inden sommerferien (ultimo juni 2016). Flemming Gert Poulsen er tovholder og med i arbejdsgruppen sammen med Kundeservice. 2 Revisionsemne: Risikovurdering af væsentlige it-systemer Rammevilkår for funktionsområderne 2.1 2015 Manglende risikovurderinger Vi har konstateret, at der ikke er udarbejdet risikovurdering for følgende væsentlige og risikofyldte it-system Digitalisering af Risikoen er, at SKAT ikke har et samlet overblik over risici for alle væsentlige og risikofyldte it-systemer, og at dette øger risikoen for utilstrækkelig fokus på kritiske Vi anbefaler, at SKAT indfører en proces, der sikrer en systematisk risikovurdering af alle SKATs itsystemer, inden hele it-systemer eller væsentlige dele af it-systemer idriftsættes. 7 af 9

Prio. 2 Selskabsskat (DIAS), inden dele af systemet blev idriftsat. Vi har dog noteret os, at der foreligger en udfyldt risikotjekliste anvendt i projektet. Risikotjeklisten vurderer dog ikke systemet på samme parametre som SKATs standardiserede risikovurderinger gør i RISKsystemet. systemer både ved normal it-drift, og i tilfælde af it-driftsnedbrud m.m. Handleplan fra Anna Sofie Bahnson Witzgall Kundeservice, Digital udvikling, Projektledelse: Metode tager initiativ til et møde mellem procesejer (Sikkerhed) og kompetenceejer for projektledere i IT (Projekt- og programledelse), hvor det kan aftales, hvordan procesejer kan implementere og følge op på processen, herunder hvilke krav projektlederne skal opfylde. Mødet finder sted i Q1 2016. 3 Revisionsemne: Overblik over revisorerklæringer Rammevilkår for funktionsområderne 3.1 2015 Prio. 2 Manglende overblik over revisorerklæringer Vi har konstateret, at SKAT ikke har etableret et samlet overblik over de revisorerklæringer, der rekvireres, og at der ikke er placeret et entydigt ansvar for processen med rekvirering af revisorerklæringer. Vi har fået oplyst, at SKAT fremadrettet vil indarbejde oplysninger fra revisorerklæringer i Systemoverblik. Risikoen er, at SKAT ikke opnår et samlet overblik over revisorerklæringerne, hvilket kan medføre, at der ikke løbende følges op på eventuelle bemærkninger i erklæringerne. Vi anbefaler, at SKAT indfører en proces, der sikrer en systematisk løbende: opfølgning på, at alle revisorerklæringer indhentes opfølgning på eventuelle bemærkninger i revisorerklæringerne. Handleplan fra Jacob Krause Schütz - Kundeservice, Digital udvikling, Projekt- og Porteføljestyring: Projekt- og Porteføljestyring tager initiativ til et møde med Underdirektør for Forretningsprocesser og Underdirektør for Digital Udvikling, hvor der kan aftales en proces for etablering af overblik og opfølgning på indhentede revisorerklæringer samt en fremtidig ansvarsfordeling af opgaven. Mødet finder sted i Q2 2016. 8 af 9

Bilag 2: Anvendt skala Ved udarbejdelsen af konklusionen er følgende skala anvendt: Intet behov for procesændringer Intern Revision har ikke observeret svagheder i de forretningsgange og processer, der understøtter det reviderede område. Prioritet 1: Prioritet 2: Ingen observationer Ingen observationer Behov for procesændringer i mindre omfang Behov for procesændringer i større omfang Intern Revision har observeret enkelte svagheder i de forretningsgange og processer, der understøtter det reviderede område. Prioritet 1: Prioritet 2: Ingen observationer Enkelte observationer Intern Revision har observeret flere svagheder i de forretningsgange og processer, der understøtter det reviderede område. Observationerne er hovedsageligt omfattet af prioritet 1 og 2 med flest observationer i prioritet 2. Prioritet 1: Flere observationer Prioritet 2: Flest observationer Behov for procesændringer i væsentligt omfang Intern Revision har observeret flere svagheder i de forretningsgange og processer, der understøtter det reviderede område. Observationerne er hovedsageligt omfattet af prioritet 1 eller 2 med flest observationer i prioritet 1. Prioritet 1: Flest observationer Prioritet 2: Flere observationer Det skal bemærkes, at ovenstående beskrivelse, med hensyn til antal observationer pr. prioritet, er vejledende i forhold til vores samlede vurdering af konklusionen. Prioritering af de enkelte observationer: Prioritet 1: Høj Risiko for manglende målopfyldelse: Væsentlige svagheder i den etablerede forretningsgang/proces. Svaghederne kan omfatte manglende interne kontroller, uhensigtsmæssig design af interne kontroller, manglende regnskabsmæssige faciliteter. Som følge heraf er der en væsentlig øget risiko for, at processens formål ikke realiseres. Manglende opfyldelse af processens formål vil have store konsekvenser for virksomheden. Der bør snarest muligt iværksættes foranstaltninger med henblik på at udbedre de observerede svagheder. Prioritet 2: Middel risiko for manglende målopfyldelse: Svagheder i den etablerede forretningsgang/proces. Svaghederne kan omfatte manglende interne kontroller, uhensigtsmæssig design af interne kontroller, manglende regnskabsmæssige faciliteter. Som følge heraf er der en øget risiko for, at processens målopfyldelse ikke fuldtud realiseres. Manglende opfyldelse af processens formål vil have store konsekvenser for virksomheden. Der bør iværksættes foranstaltninger med henblik på at udbedre den observerede svaghed. Prioritet 3: Lille risiko for manglende målopfyldelse: Ingen svagheder i den etablerede forretningsgang/proces. Som følge heraf er der ikke en øget risiko for, at processens formål ikke realiseres. Den reviderede proces kan dog designes med henblik på at forbedre eksekveringen af processen. Processen vil dog være omfattet af den risiko, der, uanset styrken af de interne kontroller, altid vil være til stede. Prioritet 4: Lille risiko for manglende målopfyldelse: Ingen svagheder i den etablerede forretningsgang/proces. Som følge heraf er der ikke en øget risiko for, at processens formål ikke realiseres. Processen vil dog være omfattet af den risiko, der, uanset styrken af de interne kontroller, altid vil være til stede. 9 af 9

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback