Inspirationsdag 9. november 2015
Tidsplan Velkomst kl. 13.00 Effektivisering Løn, indkøb og undgåelse af faldgruber PAUSE ca. kl. 14.00 Moms og afgifter Nye styringssignaler og vigtig info SKAT Øget bevågenhed på overholdelse af regler 2015 Deloitte 2
Tidsplan PAUSE ca. kl. 14.50 Cyber security og EU Persondata forordning Vigtige forholdsregler at overveje Generelle forhold Nye bekendtgørelser mv. Afrunding ca. kl. 15.50 2015 Deloitte 3
Sektoren stå overfor mange forandringer 2015 Deloitte 4
Effektiviseringer 2015 Deloitte 5
Effektiv lønadministration 2015 Deloitte 6
Lønområdet muligheder for effektivisering 1. Hvor står vi? 2. Hvilke muligheder har vi, og hvilke begrænsninger er vi underlagt? 3. Hvor skal vi gerne hen? 2015 Deloitte 7
Lønområdet muligheder for effektivisering Hvor står vi? Historisk: 2003: SLS erstatter SCL 2009: ØS-LDV Ud fra et lønadministrativt perspektiv skete den store teknologiske revolution med implementeringen af ØS-LDV, men der skete ikke rigtigt noget.. Baseret på vores lønrevisioner for tidligere år vil vi (lettere unuanceret) påstå, at lønadministrationen er ens: På tværs af institutionstyper På tværs af størrelse På tværs af geografi.og over tid 2015 Deloitte 8
Lønområdet muligheder for effektivisering Hvilke muligheder har vi, og hvilke begrænsninger er vi underlagt? Hvordan kan det så være, at selve lønadministrationen stort set er uændret siden 2003? Vores vurdering (råt for usødet): ØS-LDV kan ikke rigtigt tilbyde noget nyt Må vi ændre noget? Er det ikke lovbestemt fra ministeriets side. eller endnu værre fra revisor? 1. Teknologisk 2.Lovgivningsmæssigt Vi gør som sidste år, Vil ikke lave fejl Føler sig fanget i administrative procedurer Manglende lyst/mod til at udfordre ledelsen 3. Ledelse/ personale Medarbejdersammensætningen i lønadministrationerne Manglende helikopterperspektiv 2015 Deloitte 9
Lønområdet muligheder for effektivisering Hvilke muligheder har vi, og hvilke begrænsninger er vi underlagt? 1. Teknologiske forhold ØS-LDV giver muligheder for at lave et utal af analyser. Eneste begrænsning: Dataene skal være registreret i SLS (eller Navision) Ved brug af kuberne i ØS-LDV kan der ved hjælp af pivottabeller laves enkle men effektive analyser, idet alle dimensionerne er variable Vi oplever fortsat skoler, der efter 6 år fortsat ikke har været inde i kuberne, men alene benytter sig af de standardudtræk, som stilles til rådighed Vores påstand: Det er ikke teknologien, der sætter begrænsningerne 2015 Deloitte 10
Lønområdet muligheder for effektivisering Hvilke muligheder har vi, og hvilke begrænsninger er vi underlagt? 2. Lovgivningsmæssige forhold Moderniseringsstyrelsen har vist vejen med udgivelse af flere vejledninger omkring effektiv lønkontrol (foråret 2015): http://www.modst.dk/systemer/statens-loensystem- SLS/Loenkontrol I disse vejledninger kommer det endegyldige bevis på, at institutionerne selv (men meget gerne sammen med revisionen?) kan tilrettelægge forretningsgangene: Fra Lønkontrol Koncept og rammer s. 3: Så skal I blot have taget revisor i ed. Vi vil meget gerne være med til at diskutere de enkelte kontrollers vigtighed eller om der findes alternativer. 2015 Deloitte 11
Lønområdet muligheder for effektivisering Hvilke muligheder har vi, og hvilke begrænsninger er vi underlagt? 3. Ledelsesmæssige/personalemæssige forhold Spørgsmål der skal stilles: Når vi bevæger os væk fra det kendte (de indarbejdede procedurer) og anvender begreber som væsentlighed og risiko, så påtager vi os vel mere ansvar? Er vi villige til det? Er vi som institution og ansvarlige herfor parate til at acceptere uvæsentlige fejl i lønadministrationen? Har vi de personalemæssige ressourcer til at kunne løfte? Dvs. når vi som ledelse viser vejen, kan vi så forvente, at en mere risikorettet tilgang forstås og accepteres? Hvis vi kunne finde én arbejdsdag om måneden hos én medarbejder til at lave tematiserede kontroller hvilke andre kontroller eller processer ville dermed overflødiggøres? 2015 Deloitte 12
Lønområdet muligheder for effektivisering Hvor skal vi gerne hen? Månedsvis budgetopfølgning på afdelingsniveau Tematiserede kontroller/analyser Gennemgang af månedsvise afvigelsesanalyser på personniveau Effektiv kontrol af inddata Effektiv brugeradministration 2015 Deloitte 13
Lønområdet muligheder for effektivisering Hvilke konkrete områder, kan der effektiviseres på? Afhængig af institutionens konkrete forhold. Der bør derfor laves en helt simpel analyse af, hvilke opgaver lønmedarbejderne bruger tiden på. Selv om der er forskellige organiseringer (fordeling af opgaver mellem Løn, HR og Økonomi ), så er der stadig stor forskel på effektiviteten, dvs. hvor mange administrative medarbejdere pr. årsværk. Er der lavthængende frugter? Kørselsgodkendelse er efterhånden elektronisk mange steder Gennemgang af Uddata 198 (foretages fortsat næsten alle steder) Ferieregistrering og opfølgning herpå (få placeret ansvaret, hvor det hører hjemme, dvs. hos afdelingsledelserne) 2015 Deloitte 14
Effektive indkøb 2015 Deloitte 15
Effektive indkøb
Rammer og processer understøtter ikke effektive indkøb Rigsrevisionens beretning om indkøb på videregående uddannelsesinstitutioner I august 2015 blev Rigsrevisionens beretning om indkøb på videregående uddannelsesinstitutioner offentliggjort. Den indeholder en række kritikpunkter og anbefalinger. Udvalgte kritikpunkter Udvalgte anbefalinger Manglende efterlevelse af gældende lovgivning Utilstrækkelig konkurrenceudsættelse Krav og vejledninger til udbud og egne aftaler Konkurrenceudsættelseskrav ud fra væsentlighed Uklare indkøbspolitikker og retningslinjer Tydelig rolle- og ansvarsfordeling Forsømmelse af styring og opfølgning Dokumentation og rapportering af disponering Compliance er af kritisk betydning for at effektivisere indkøb 2015 Deloitte 17
Rigsrevisionens kritik set i jeres perspektiv Spørgsmål og åben diskussion R e f l e k t e r e r R i g s r e v i s i o n e n s k r i t i k j e r e s s i t u a t i o n? 2015 Deloitte 18
Hvad vurderer indkøbschefer selv er de største udfordringer? Resultater fra Deloittes årlige globale CPO survey I besvarelser de seneste to år angiver indkøbschefer på tværs af lande og sektorer lignende udfordringer, der forhindrer dem i at realisere strategier og målsætninger for effektive indkøb. Udfordringerne omfatter især manglende ressourcer, kompetencer og samspil med resten af organisationen de har alle stor betydning for at sikre compliance og indkøbsoptimering. 2015 Deloitte 19
Compliance er ikke simpelt Spørgsmål og åben diskussion H v a d b e t y d e r c o m p l i a n c e f o r j e r? 2015 Deloitte 20
Compliance har både internt og eksternt fokus Compliance begrebet har udviklet sig gennem tiden og spænder nu vidt Kontrakter Strategi Uddannelsesplaner Forskningsbevillinger EU-lovgivning Prisstruktur CSR Politikker Markedsføring/branding Processer Dansk lovgivning Toplister (aftalevarer) Miljømål 2015 Deloitte 21
Fokusområder for at løse udfordringerne Helhedsindsats er nødvendig for at fremme effektive og sparsommelige indkøb Organisering og medarbejdere Rollefordeling og kompetencer Processer Samarbejde og retningslinjer Løftestænger for indkøbsoptimering Teknologi Systemunderstøttede processer Strategi Indkøbsfunktionens strategier og målsætninger skal afstemmes med institutionens overordnede strategi og øvrige målsætninger. Organisering og medarbejdere De rette kompetencer skal være tilstede både centralt og decentralt. Rollefordelingen på indkøbsområdet skal afspejle dette. Processer og samarbejde Indkøbsfunktionen skal være en uundværlig partner der udvikler udbudsstrategi for alle kategorier, sikrer effektive strømlinede processer, klare retningslinjer for indkøb og strategisk samarbejde både internt og eksternt. Teknologi Data- og systemunderstøttelse er fremtrædende i nutidens og fremtidens indkøb. Indkøbsværktøjer reducerer manuelle processer, professionaliserer konkurrenceudsættelse og tilvejebringer data til analyse og rapportering. Styring og opfølgning Indkøbsfunktionen skal styre og følge op på indkøb ved at etablere nøje udvalgte KPI er og systematisk rapportering af faktiske indkøb på kollektivt og individuelt niveau. 2015 Deloitte 22
Effektive interne kontroller 2015 Deloitte 23
Økonomiske uregelmæssigheder Fejl og mangler i lønadministrationen Kontrolovervejelser
Uregelmæssigheder i fokus i Statsregnskabet for 2014 2015 Deloitte 25
Og fejl og mangler i lønadministrationen 2015 Deloitte 26
Og medierne er nådesløse 2015 Deloitte 27
Case Lad der blive lys. 2015 Deloitte 28
Baggrunden Uddannelsesinstitution i DK - projektleder med ansvar for tilrettelæggelse af uddannelsesforløb Omgåelse af udbudspolitikker (opsplitning) Allokering af opgaver til selskaber, hvor man havde økonomiske interesser Allokering af opgaver til selskaber med nærtstående leverandører Misbrug af midler til private indkøb af designerlamper og møbler Rejseafregninger for private rejser og ophold, hele tiden under grænsen for godkendelse (kr. 10.000) 2015 Deloitte 29
Interne kontroller - overvejelser 2015 Deloitte 30
Interne kontroller 2015 Deloitte 31
Programmerede og manuelle kontroller 2015 Deloitte 32
Eksempel på kontrol i en HR-proces 2015 Deloitte 33
Analytics kan også tages i brug til at identificere kontrolfejl 2015 Deloitte 34
10 faldgruber for intern kontrol 2015 Deloitte 35
Moms og afgifter 2015 Deloitte 36
Agenda - Moms Opgørelse af omsætning i SKAT-momsbrøken Taxametertilskud fra UVM Uddannelsespladser solgt til kommuner/jobcentre Udlagt undervisning Skal der faktureres med moms? Underleverandørydelser Salg af længerevarende kurser mv. 2015 Deloitte 37
Praksisændring taxametertilskud SKM2015.466.SKAT Styresignal fra SKAT SKAT ændrer praksis pr. 1. januar 2016 Erhvervsskoler skal medregne taxametertilskud som momsfri omsætning ved opgørelse af den delvise momsfradragsret Konsekvenser af SKATs praksisændring Fradragsretten for moms hos SKAT reduceres Øget momsrefusion fra UVM Risiko for øget egenfinansiering Momsreguleringsforpligtelser Retten til godtgørelse af energiafgifter reduceres øgede omkostninger 2015 Deloitte 38
Praksisændring taxametertilskud SKM2015.466.SKAT Styresignal fra SKAT Hvilke skoler/uddannelsesinstitutioner er omfattet? SKATs styresignal: Praksisændringen gælder for taxametertilskud ydet til erhvervsskoler i henhold til lov om institutioner for erhvervsrettet uddannelse. SKATs Juridisk Vejledning: Styresignalet tager ikke direkte stilling til andre tilskud til eksempelvis uddannelsesinstitutioner. Endelig afklaring af den momsmæssige vurdering af øvrige former for tilskud forventes fastlagt i efterfølgende praksis. Det er imidlertid SKATs vurdering, at også andre offentlige tilskud, som gives på taksameter lignende vilkår, kan omfattes af principperne i EU-domstolens dom (.), og dermed også af praksisændringen. 2015 Deloitte 39
Praksisændring taxametertilskud SKM2015.466.SKAT Styresignal fra SKAT Hvilke skoler/uddannelsesinstitutioner er omfattet? Erhvervsskoler - Ja Produktionsskoler -? Professionshøjskoler -? Erhvervsakademier -? Universiteter - Nej 2015 Deloitte 40
Uddannelsespladser betalt af kommuner/jobcentre SKM2015.280.SR Bindende svar fra Skatterådet Skatterådet bekræfter, at taxametertilskud, som erhvervsskole modtager fra kommuner mv. til elever i aktivering, ikke skal medregnes som omsætning Taxametertilskud til aktiverede, der deltager i ordinære undervisningsforløb er ikke omsætning Betaling for særlige aktiverings -forløb er omsætning Har taxametertilskud fra kommuner / jobcentre været medregnet som momsfri omsætning, er der mulighed for at genoptage moms og energiafgifter tre år tilbage På baggrund af styresignalet om taxametertilskud må det antages, at taxametertilskud modtaget fra kommuner skal medregnes som omsætning fra 1. januar 2016 2015 Deloitte 41
Udlagt undervisning SKM2015.253.SR Bindende svar fra Skatterådet Skatterådet kan ikke bekræfte, at den betaling, der tilfalder den udførende skole, ikke er omsætning Betalingen, som den udførende skole modtager fra den godkendte skole, er betaling for en modydelse og derfor omsætnin Den udførende skole skal medregne betalingen som momsfri omsætning Vær opmærksom på om begge parter er offentlige institutioner inden for samme ministerium, så ikke omsætning Den del af taxametertilskuddet, som den godkendte skole beholder til dækning af tilsynsopgave mv. ikke omsætning 2015 Deloitte 42
Praksisændring - underleverandørydelser SKM2015.569.SKAT Styresignal fra SKAT Momsfritagelse af underleverandørydelser Praksis frem til 1. september 2015: Underleverandørydelser er momspligtige Praksis fra 1. september 2015: Leverancer af lærerkræfter er momspligtige Leverancer af undervisningsydelser som underleverandør til andre uddannelsesinstitutioner er momsfritaget Leverancer af censorydelser til andre uddannelsesinstitutioner er momsfrie Vær opmærksom på, om begge parter er offentlige institutioner inden for samme ministerium ikke omsætning Mulighed for ekstraordinær genoptagelse tilbage til 15. juli 2011 2015 Deloitte 43
Praksisændring Kurser af længere varighed SKM2015.611.SKAT Styresignal fra SKAT Skal salg af momspligtige kurser til udenlandske kunder pålægges dansk moms? Praksis frem til 1. januar 2016: Stedet hvor kurset afholdes er afgørende Praksis fra 1. januar 2016: Salg af kurser af kortere, sammenhængende varighed : Stedet, hvor kurset afholdes, er afgørende; Afholdes kurset i Danmark dansk moms uanset, hvor kunden kommer fra Salg af andre kurser: Kundens hjemsted er afgørende; Dansk kunde Faktura med dansk moms Kunde fra EU eller 3. land Faktura uden moms 2015 Deloitte 44
Praksisændring Kurser af længere varighed SKM2015.611.SKAT Styresignal fra SKAT Kurser af kortere, sammenhængende varighed Kurser der ikke overstiger den tidsmæssige udstrækning af almindeligt forekommende konferencer og seminarer Kortere varighed ; SKAT oplyser ikke tidsmæssig grænse. Omfatter dog kursus på 5 dage Sammenhængende ; mellemliggende weekenddage eller helligdage medfører ikke, at kursusforløbet anses for afbrudt. Andre kurser (kurser af længere varighed) Kurser der overstiger den tidsmæssige udstrækning af almindeligt forekommende konferencer og seminarer Ikke-sammenhængende kursusforløb Undervisning af blot én enkelt person, eller Undervisning af én enkelt virksomheds medarbejdere i denne virksomheds lokaler 2015 Deloitte 45
SKAT regler og vigtig info 2015 Deloitte 46
Agenda Hvorfor er det vigtigt at have styr på administrationen af løn? Skattefri befordringsgodtgørelser (km-penge) Rejseudlæg Elektroniske bilag til brug for refusion Personalegoder status på beskatning og indberetning 2015 Deloitte 47
Hvorfor er det vigtigt at have styr på administrationen af løn? 2015 Deloitte 48
Sanktioner Alle fejl og mangler i indberetning af oplysninger til SKAT (eindkomst) anses som udgangspunkt for en grov overtrædelse af skattelovgivningen og kan medføre administrative bøder Manglende indeholdelse af skatter og forsætlig / grov overtrædelse af indberetningspligter kan medfører hæftelse og bødestraf 2015 Deloitte 49
Administrative bøder Dvs. selv en forglemmelse eller sjuskeri vedrørende følgende kan medføre bødestraf: Alle former for løn, honorarer, bonus m.m. (A- og B-indkomst) Indeholdelse af skatter (AM-bidrag og A-skat) Alle skattepligtige personalegoder (værdi på min. 1.100 kr.) Skattefri rejse- og befordringsgodtgørelse 2015 Deloitte 50
Administrative bøder SKAT har hjemmel til at udskrive store bøder til virksomheder, der ikke overholder deres indberetningspligt! Bøderne kan udskrives pr. overtrædelse (som anses for groft uagtsomt eller med fortsæt) og fastsættes som udgangspunkt helt objektivt ud fra antal ansatte i virksomheden: 1-4 ansatte Bøde kr. 5.000 5-19 ansatte Bøde kr. 10.000 20-49 ansatte Bøde kr. 20.000 50-99 ansatte Bøde kr. 40.000 100 + ansatte Bøde kr. 80.000 2015 Deloitte 51
Befordringsgodtgørelse Skattemæssige regler 2015 Deloitte 52
Skattefri befordringsgodtgørelse Der kan udbetales skattefri befordringsgodtgørelse for erhvervsmæssig kørsel i egen bil til ansatte (A-indkomstmodtagere) samt i visse tilfælde til f.eks. bestyrelsesmedlemmer m.fl. uanset om de modtager vederlag eller ej Der kan ikke udbetales skattefri befordringsgodtgørelse til honorarmodtagere (B-indkomst) eller til ulønnet medhjælp Udbetaling af godtgørelser til honorarmodtagere m.fl. skal indberettes som B-indkomst: Med statens takster særskilt indberetning, felt 38 Ellers indberetning som honorar, felt 36 2015 Deloitte 53
Skattefri befordringsgodtgørelse Erhvervsmæssig kørsel: Befordring mellem sædvanlig bopæl og arbejdsplads i indtil 60 arbejdsdage inden for 12 måneder Befordring mellem arbejdspladser Befordring inden for samme arbejdsplads 2015 Deloitte 54
Skattefri befordringsgodtgørelse Skattefri befordringsgodtgørelse kan udbetales med følgende satser (2015): 3,70 kr./km indtil 20.000 km / år (for samme arbejdsgiver) 2,05 kr./km ud over 20.000 km / år Det er tidspunktet for kørslen, der er afgørende for, hvilken sats der skal anvendes (og ikke udbetalingstidspunktet) 2015 Deloitte 55
Skattefri befordringsgodtgørelse, betingelser Arbejdsgiver har indberetningspligt Særskilt felt, Indkomst Der skal udarbejdes et bogføringsbilag indeholdende: Modtagerens navn, adresse og CPR-nr. Kørslens dato, erhvervsmæssige formål, mål og eventuelle delmål Antal kørte kilometer, de anvendte satser og beregning af godtgørelsen Reg. nr.? Arbejdsgivers kontrolpligt Der er ikke krav om at oplyse reg.nr. eller dokumentation for egen bil Men kravene bør fremgår af interne retningslinjer, så medarbejderen er bekendt hermed og står inde for, at de er opfyldt! Qua Rigsrevisionsberetningen, skal der udstedes kørselsbemyndigelser 2015 Deloitte 56
Rejseudgifter- skattemæssige regler 2015 Deloitte 57
Skat - Rejseregler - Udlæg efter regning Medarbejderen afholder rejseudgifter for arbejdsgiveren Ingen minimumskrav til rejsens varighed Refusion sker mod aflevering af originalbilag til arbejdsgiveren Ingen refusion af private indkøb Ingen reduktion af bruttoløn 2015 Deloitte 58
Elektroniske (original) bilag? Udlæg efter regning Ifølge seneste praksis så accepterer SKAT nu efter omstændighederne også scannede eller kopierede udgiftsbilag eller dokumenter, der i øvrigt beviser eller sandsynliggør, at en udgift er afholdt for arbejdsgiveren. Hidtil har det heddet sig, at refusion som udlæg efter regning skulle ske mod aflevering af originale eksterne udgiftsbilag Dette har de seneste år skabt nogen tvivl og usikkerhed fordi mange bilag i dag er elektroniske, og mange systemer til administration af f.eks. Rejseafregning m.m. har lagt op til, at bilag kan kopieres, scannes eller sendes som billede fra f.eks. en telefon Usikkerheden har bestået i, at hvis arbejdsgiver refunderer en medarbejder udgifter, uden at der foreligger dokumentation sidestilles det med udbetaling af et skattepligtigt kontant beløb (altså løn) 2015 Deloitte 59
Personalegoder Beskatning og indberetning 2015 Deloitte 60
Personalegoder, Indberetningspligt for arbejdsgiver Indberetningspligt for arbejdsgiver (med værdi): Hvis værdien overstiger 1.100 kr. (2015 og 2016) For særlige goder kun hvis værdien overstiger 5.700 kr. for 2015 (5.800 kr. for 2016) Arbejdsgiver har ingen pligt til at kontrollere overholdelse af bagatelgrænserne. Blot hvert enkelt gode ligger inden for beløbsgrænsen på 1.100 kr. eller 5.700 kr. Medarbejderen har pligt til at selvangive den fulde værdi af alle goder, hvis bagatelgrænsen overskrides inden for året. Bagatelgrænsen omfatter ikke: Kontanter og gavekort. Skattepligtige goder med særskilt indberetning (bil, bolig, telefoni, mm.) 2015 Deloitte 61
Cybersecurity og EU persondata forordning 2015 Deloitte 62
Informationssikkerhed Luke Herbert
Agenda Hvorfor har vi computere? Hvorfor er sikkerhed vigtigt? Hvad vil det sige, at en computer er sikker? Hvorfor er computere ikke sikre? Hvem angriber? Hvilke trends ser Deloitte? Hvad kan man gøre? Persondataloven 2015 Deloitte 64
Hvorfor har vi computere? 2015 Deloitte 65
Computere øger effektivitet USA s produktivitetsvækst under Elektrificering (1890-1940) [1915 = 100] IT (1970-2012) [1995 = 100] 2015 Deloitte 66
Computere er overalt En moderne bil har typisk omkring 50 computere 2015 Deloitte 67
...og der kommer flere Koncept fra MIT af en mobiltelefon i din krop 2015 Deloitte 68
Milliarder Internet of Things 25 20 15 10 5 0 2013 2014 2015 2020 Køretøjer Forbruger Generiske produkter Vertikale produkter Samlet Forventet antal internet of things enheder online [Gartner Nov 2014] 2015 Deloitte 69
Hvorfor er sikkerhed vigtigt? 2015 Deloitte 70
Kunders tillid er din license to operate Forbrugerbekymring 92% af internetbrugere i USA er bekymrede for deres private data. Dette er steget fra 89% i 2013. Forbrugertillid Forretningspåvirkning 55% af alle internetbrugere i USA stoler på, at internetvirksomheder passer på deres private data. Dette er en nedgang fra 57% i 2013. 89% af alle internetbrugere i USA siger, de undgår virksomheder, som de ikke føler beskytter deres private data ordentligt. Dette er uændret fra 2013. [TRUSTe, Inc. (2014)] 2015 Deloitte 71
Hvad vil det sige at en computer er sikker? 2015 Deloitte 72
Rimelige krav Lovlige brugere af systemet kan lave det, som de skal, når de skal og Ulovlige brugere kan ikke lave noget som helst, når som helst 2015 Deloitte 73
Store konsekvenser Sikkerhedsbrud Nedetid / Operationel Stop Bøder Legal Finansielle tab Manglende overholdelse af compliance krav Tab of IP Nedsat / tabte salg Tabt tillid Omdømme skade 2015 Deloitte 74
Hvorfor er computere ikke sikre? 2015 Deloitte 75
Computere er Turing maskiner 2015 Deloitte 76
Eksempel Et lille computer program (Turing maskine) 2015 Deloitte 77
Eksempel Et lille computer program (Turing maskine) På 5 linjer kan man implicit kode et matematikproblem Fermats sidste sætning (1637) (også kaldet Fermat-Wiles-sætningen efter 1994) 2015 Deloitte 78
Eksempel Beviset: 223 Sider 2015 Deloitte 79
Eksempel Beviset: 223 Sider Understøttende Teori: 492 Sider 2015 Deloitte 80
Konklusion Man kan ikke bygge en Turing maskine 1 2015 Deloitte 81
Konklusion Man kan ikke bygge en Turing maskine 1 If you think technology can solve your security problems, then you don't understand the problems and you don't understand the technology - Bruce Schneier 2015 Deloitte 82
Hvem angriber? 2015 Deloitte 83
Elite hackere? 2015 Deloitte 84
Zero Cool [Hackers 1995] 2015 Deloitte 85
Commerciel Cybercrime Ydelse Ransomeware (crypto-locker) Exploit Kit Dedicated Server Pris (USD) 10 (eksekverbar) - 100 (kildekode) 500 (eksekverbar) 250,000 (kildekode) 1 (basic) - 1000 (bulletproof 1Gbps / måned) Fake website + deployment 5-20 Blackhat SEO Email Spamming Pay-per-Install Botnet (fuld kontrol) DDos Service Consulting 80 (20,000 spammed back links) 10-100 (1,000,000 mails) 100(RU) - 150(UK) (1000 inficeret) 500 (2000 bots/dag - 40% online) 10 (time) til 1200 (måned) 350 (time) til 100,000 (uge) RAND Corporation 2014 undersøgelse af cybercrimetjenester 2015 Deloitte 86
Commerciel Cybercrime...med kundeservice McDumpals [Maj 2014] 2015 Deloitte 87
Hvilke trends ser Deloitte? 2015 Deloitte 88
Angrebsmønstre ændrer sig Angrebsvektorer skifter fra teknologi til mennesker Angrebsvektorer ligner i stigende grad normal opførelse Mere intelligente upersonlige angreb Flere målrettede angreb Forsyningskæde / partner forgiftning
Tid er kritisk Forskellen er at kunne reagere på få minutter: ikke flere dage Dag 0 0 Skræddersyede malware forbigår din virksomheds antivirus-løsning Dag 1 Malware begynder at sende følsomme dokumenter over internettet Følsomme oplysninger fortsætter med at blive transmitteret over flere dage PR kan hverken benægte eller bekræfte omfanget af et sikkerhedsbrud, når medierne får øje på historien CEO informeres om at følsomme oplysninger bliver lækket til ukendte modtagere og at disse oplysninger ikke kan erstattes Rygtet spredes via sociale medier om et større brud på sikkerheden. Sikkerhedsholdet får besked og undersøger sagen Dag 7 Dag 8 Dag 9 Dag 10 Omdømme er beskadiget, og hoveder ruller Sikkerhedsovervågnings - indberetninger om unormale mønstre 2015 Deloitte 90 +10min +2 timer Berørte maskiner isoleres og udskiftes, og databruddet begrænses +6 timer Dag 2 Forretningen fortsætter med at trives Attack metode identificeres, beviser indsamles og afleveres til politiet, for at forfølge hackerne PR er orienteret i tilfælde af mediedækning og intelligence deles med industriens peers
6 essentielle sandheder omkring Cyber Risk 1Ingen industri er immun 2 Cyberskader er ikke kun finansielle 3 Asymmetrisk 4 angriber / forsvarer forhold Traditionelle kontroller er nødvendige, men ikke tilstrækkelige 5 Myndigheder og regeringer er centrale interessenter med stadigt stigende fokus 6 Alt kan ikke beskyttes ligeligt 2015 Deloitte 91
Hvad kan man gøre? 2015 Deloitte 92
Vejen frem Indhent intelligence Omdan intelligence til handlevisende information Oversæt information til handling 2015 Deloitte 93
Deloittes skridt til robust sikkerhed Sikkerhed er en proces Trusler & Innovation Reager & Retablere Kerne Forretning Risici & Risikoappetit Opbyg Awareness Modenhed & Ambition 2015 Deloitte 94
Persondataloven 2015 Deloitte 95
Persondatalovens personoplysninger Udgangspunktet er den danske implementering af persondatadirektivet 95/46 Almindelige oplysninger: navn, adresse, telefonnummer. Følsomme oplysninger: race, etnicitet, politisk, religiøs eller filosofisk overbevisning, fagforening, helbred, seksualitet. Private oplysninger: strafbare forhold, sociale problemer, rent private forhold. Personnummer - privat Fortrolige oplysninger: oplysninger, der efter den almindelige opfattelse i samfundet bør kunne forlanges unddraget offentlighedens kendskab. 2015 Deloitte 96
Udfordringer ved den gældende lovgivning Persondatadirektivet Alle EU-landenes nationale lovgivning er forskellig på trods af det fælles fundament et patchwork-tæppe af lovgivning foldet ud over Europa - svært at navigere i Persondatadirektivet er vedtaget i 1995 og er derfor ikke opdateret til den teknologiske udvikling siden Direktivet sikrer ikke den ønskede harmonisering eller den fornødne gennemslagskraft, som er påkrævet for at sikre borgernes/forbrugernes ret til databeskyttelse i forhold til bl.a. sociale medier, profilering, cloud computing osv. Manglende harmonisering betyder store håndhævelsesforskelle hos de enkelte nationale databeskyttelsesmyndigheder 2015 Deloitte 97
EU-persondataforordning Har været på vej siden januar 2012 Forordningen er endnu ikke vedtaget, men forventes vedtaget december 2015 Fundamenter i forordningen Fundament nr. 1 ét kontinent, én lovgivning med effektive sanktioner: senest EU Parlamentets beslutning om at fastsætte bøder på op til 1mio. eller op til 2% af den årlige, globale omsætning. Fundament nr. 2 ikke-europæiske virksomheder skal følge den europæiske databeskyttelseslovgivning, hvis de ønsker at operere på det europæiske marked. Fundament nr. 3 retten til at slette data. Den enkelte borger har den største interesse i at kunne bestemme over behandlingen af sine data og dermed at vælge at udnytte retten eller ej. Fundament nr. 4 one-stop-shop for virksomheder og borgere. Virksomheder skal følge tilsynsmyndigheden i det land, hvor hovedkontoret er hjemmehørende. Borgere skal kun henvende sig til Datatilsynet i eget hjemland og på eget sprog. 2015 Deloitte 98
Detaljer om EU-persondataforordning Detaljerede krav til den interne organisation, f.eks.: Udnævnelse af en databeskyttelsesansvarlig Gennemførelse af Privacy Impact Assessment (drøftes) Dokumentation og bevis for, at de valgte foranstaltninger til beskyttelse af data er effektive Beskyttelsen skal dække hele datas livscyklus Privacy by design Minimumssikkerhedskrav til behandling af personoplysninger Styrkelse af håndhævelsesbeføjelser for databeskyttelsesmyndigheder Flere klagemuligheder for registrerede borgere 2015 Deloitte 99
Mere information For mere information http://www2.deloitte.com/dk/da/services/risk.html 2015 Deloitte 100
Generelle forhold 2015 Deloitte 101
Generelle forhold 2015 Deloitte 102
Ny systemrevisionsbekendtgørelse 1. Ny bekendtgørelse med krav til skolernes studieadministrative it-systemer for de gymnasiale uddannelser og almene voksenuddannelser: 2. Fremover skal der være dokumentation for, at de systemer, som institutionerne anvender, opfylder ministeriets krav. Det sker i form af en revisionserklæring udarbejdet af en statsautoriseret eller registreret revisor på baggrund af en systemrevision hos den enkelte leverandør. 3. Bekendtgørelsen udvides til også at omfatte erhvervsuddannelserne, når disse i 2016 får frit valg af studieadministrative systemer. 4. Revisionen af de studieadministrative it-systemer skal foretages i overensstemmelse med den internationale revisionsstandard ISAE 3402 (Type 2), som anvendes som dansk standard i forbindelse med revision af itserviceydelser. Revisionen sker på grundlag af kontrolmål udarbejdet af ministeriet, der fremgår af bekendtgørelsen. 5. Institutionerne kan kun anvende et studieadministrativt system, hvis systemet er omfattet af en systemrevisionserklæring uden forbehold. Kravene til institutionernes studieadministrative systemer skal være opfyldt senest den 1. april 2016. En systemrevisionserklæring har virkning i 2 år fra revisors underskrivelse af erklæringen. 6. På STILs hjemmeside findes links til bekendtgørelsen inkl. it-instruks med kontrolmål, en beskrivelse af ISAE 3402-revisionsstandarden, regelgrundlaget på området samt gældende beskrivelser af grænseflader for de studieadministrative systemer. Desuden findes på stil.dk et oversigtsdokument, der beskriver sammenhængen mellem kontrolmål, regelgrundlag og grænsefladebeskrivelse samt en disposition/skabelon til leverandørbeskrivelse af systemet. De sidstnævnte to dokumenter kan anvendes af leverandører i forbindelse med systemrevisionen. 2015 Deloitte 103
Bekendtgørelse om krav til studieadministrative it-systemer for de gymnasiale uddannelser og almene voksenuddannelser 1. Bekendtgørelsen gælder for uddannelsen til studentereksamen, uddannelsen til højere forberedelseseksamen, uddannelsen til højere handelseksamen, uddannelsen til højere teknisk eksamen, almen voksenuddannelse, forberedende voksenundervisning og ordblindeundervisning for voksne ved: 1) institutioner for erhvervsrettet uddannelse, og 2) institutioner for almengymnasiale uddannelser og almen voksenuddannelse --o0o--- Bekendtgørelsen træder i kraft den 1. oktober 2015. Kravet i 5, stk. 1, til institutionens studieadministrative it-systemer skal være opfyldt senest den 1. april 2016. 2015 Deloitte 104
Bekendtgørelse om krav til studieadministrative itsystemer 2. Bekendtgørelsen omfatter institutionens studieadministrative it-systemer, der håndterer data: 1) til systemer til opkrævning af betaling for aktivitet omfattet af lov om betaling for visse uddannelsesaktiviteter i forbindelse med lov om en aktiv beskæftigelsesindsats m.m., 2) fra og til CØSA 3) fra og til ØS 8) til Ungedatabasen 9) til UddannelsesGuiden 10) fra og til XPRS, og 11) fra og til UU-centre om brobygning og introduktionskurser 4) til STIL Statistik, herunder Datavarehus og Danmarks Statistik 5) til Eksamensdatabasen 6) fra Optagelse.dk 7) til US2000 2015 Deloitte 105
Bekendtgørelse om krav til studieadministrative it-systemer Fælles studieadministrative it-systemer, som institutionerne eller grupper af institutioner skal anvende efter ministeren for børn, undervisning og ligestillings bestemmelse, er ikke omfattet af denne bekendtgørelse. It-instruks: Institutionens studieadministrative it-systemer skal opfylde kontrolmålene i Itinstruks om krav til systemrevision af studieadministrative it-systemer for de gymnasiale uddannelser og almene voksenuddannelser, jf. bilag 1 til bekendtgørelsen. 2015 Deloitte 106
Systemrevisionserklæring Skolerne kan kun anvende et studieadministrativt it-system, hvis systemet er omfattet af en systemrevisionserklæring uden forbehold, jf. stk. 2 og 3, der er offentliggjort efter 6. En systemrevisionserklæring består af en revisorerklæring udarbejdet og underskrevet af en statsautoriseret eller registreret revisor. Erklæringen skal være udarbejdet i overensstemmelse med standarden ISAE 3402 som en type 2-erklæring og dokumentere, at det studieadministrative it-system overholder kravene i den i 4 nævnte it-instruks. Standarden ISAE 3402 findes på hjemmesiden for Styrelsen for It og Læring på adressen www.stil.dk. En systemrevisionserklæring har virkning i 2 år fra revisors underskrivelse af revisorerklæringen. Styrelsen for It og Læring offentliggør en oversigt over de studieadministrative it-systemer, hvor styrelsen har modtaget en systemrevisionserklæring uden forbehold. En systemrevisionserklæring kan sendes til Styrelsen for It og Læring af en institution, der ønsker at bruge systemet, eller af den leverandør, der vil stille systemet til rådighed for en eller flere institutioner. En institution, der anvender et studieadministrativt it-system, der er med på den i 6, stk. 1, nævnte oversigt, men hvor der senest 14 dage før udløbet af erklæringen, jf. 5, stk. 4, ikke foreligger en ny systemrevisionserklæring uden forbehold, skal rette henvendelse til Styrelsen for It og Læring. 2015 Deloitte 107
Systemrevisionsbekendtgørelsen Her er link til systemrevisionsbekendtgørelsen: https://www.retsinformation.dk/forms/r0710.aspx?id=174053 Link til oversigt på ministeriets hjemmeside med yderligere oplysninger: http://stil.dk/it-og-administration/administrative-systemer/studieadministration/systemrevision 2015 Deloitte 108
Nye krav om systemrevision hos administrative fællesskaber For applikationer og infrastruktur, der som led i et administrativt fællesskab, jf. 33 a i lov om institutioner for erhvervsrettet uddannelse og 2 i lov om institutioner for almengymnasiale uddannelser og almen voksenuddannelse mv. med dertil hørende bekendtgørelser, stilles til rådighed for andre institutioner, påhviler det den institution, der stiller applikation og infrastruktur til rådighed at indhente en ISAE 3402 type 2-erklæring. Erklæringen skal foreligge senest den 1. oktober det pågældende regnskabsår. 2015 Deloitte 109
Formålet med standardisering af protokollater Sikre en effektiv og ensartet opfølgning på revisionsbemærkninger og anbefalinger Sikre sammenlignelighed mellem skolerne og et mere ensartet og effektivt tilsyn Hjælpe revisorerne med at have fokus på og sikre beskrivelse af de væsentligste områder Forberedelse af anvendelse af tekstanalyseværktøjer i Styrelsens tilsyn Sikre, at bestyrelsen får hurtigt overblik over resultatet af revisionen på de væsentligste områder 2015 Deloitte 110
Nye krav til indhold i revisionsprotokollatet Der kommer i revisionsbekendtgørelserne hjemmel til at kræve, at revisionsprotokollaterne skal indeholde en række standardafsnit med krav til formulering af overskriften på de obligatoriske standardafsnit. Rækkefølgen af afsnit i revisionsprotokollatet er fortsat valgfrit. Overskriften på obligatoriske standardafsnit skal anvendes. Under de enkelte standardafsnit er eksempler på tekst valgfri og medtaget som inspiration i ny vejledning. I revisortjeklisten skal anføres afsnit eller sidenummer på de enkelte standardafsnit i revisionsprotokollatet. 2015 Deloitte 111
Nye krævede standardoverskrifter i revisionsprotokollater Overordnede kommentarer og risikofaktorer Opfølgning på bemærkninger og anbefalinger fra sidste års revisionsprotokollat Årets bemærkninger og anbefalinger af særlig betydning for årsregnskabet eller forvaltningen Tilsynssager hos styrelsen mv. Finansiel revision Juridisk kritisk revision Forretningsgange og interne kontroller, dispositioner, registreringer og regnskabsaflæggelse Den generelle it-sikkerhed på det administrative område Statstilskud Gennemgang af forretningsgange for indmeldelse, fraværsregistrering og udmeldelse Afgivelse af erklæring om de gennemførte aktiviteter og elevindberetninger Afstemning af modtagne tilskud, herunder aktiviteter (årselever) Løn Gennemgang af forretningsgange for lønstamdata (personalesager) Gennemgang af forretningsgange for lønudbetalinger Gennemgang af forretningsgange vedrørende arbejdstid 2015 Deloitte Andre væsentlige områder Forvaltningsrevision Økonomistyring, herunder løbende opfølgning og rapportering til bestyrelsen Budget for det kommende regnskabsår Det finansielle beredskab Sparsommelighed Produktivitet Effektivitet 112
Forventet ny revisionsbekendtgørelse Forventet ny revisionsbekendtgørelse - flere institutionstyper samles i en bekendtgørelse - Enkelte lempelser og forenklinger - Kortere revisortjekliste - Krav om standardoverskrifter i protokollater - Øgede krav til adm fællesskaber 2015 Deloitte 113
Andre særlige opmærksomhedspunkter Indtægtsdækket virksomhed Formålskontering Målrapportering Bestyrelses-/ledelsesrapporterning 2015 Deloitte 114
Afslutning 2015 Deloitte 115 115
Oplægsholdere Revision Revision Navn Lars Hillebrand Navn Uffe Jensen Stilling: Partner Stilling: Senior Manager Kontor: København/Slagelse Kontor: København Mobil: +45 40 28 36 48 Mobil: +45 30 93 44 83 E-mail: ihillebrand@deloitte.dk E-mail: ufjensen@deloitte.dk SKAT Indirect Tax SKAT Indirect Tax Navn Lone Friis Navn Karsten D. Løvschall Stilling: Partner Stilling: Manager Kontor: København Kontor: København Mobil: +45 22 20 22 02 Mobil: +45 30 93 51 02 E-mail: lfriis@deloitte.dk E-mail: kloevschall@deloitte.dk 2015 Deloitte 116
Oplægsholdere DC GSO ERS CRS Navn Stilling: Kristian Juhl Nielsen Senior Manager Navn Stilling: Luke Herbert Manager Kontor: København Kontor: København Mobil: +45 30 93 46 89 Mobil: +45 60 64 49 86 E-mail: kjnielsen@deloitte.dk E-mail: lherbert@deloitte.dk Tax Global Mobility ERS RCS Navn Stilling: Niels Sonne Director Navn Stilling: Peter Brock Madsen Director Kontor: København Kontor: København Mobil: +45 23 31 31 71 Mobil: +45 40 55 62 61 E-mail: nsonne@deloitte.dk E-mail: petermadsen@deloitte.dk 2015 Deloitte 117
Deloitte Touche Tohmatsu Limited Deloitte er en betegnelse for Deloitte Touche Tohmatsu Limited, der er et britisk selskab med begrænset ansvar, og dets netværk af medlemsfirmaer. Hvert medlemsfirma udgør en separat og uafhængig juridisk enhed. Vi henviser til www.deloitte.com/about for en udførlig beskrivelse af den juridiske struktur i Deloitte Touche Tohmatsu Limited og dets medlemsfirmaer. 2015 Deloitte Statsautoriseret Revisionspartnerselskab. Medlem af Deloitte Touche Tohmatsu Limited