Den 17. september 2021 behandlede Statsrevisorerne
Beretning nr. 20/2020 om Skatteministeriets it-beredskab
Statsrevisorerne afgav beretningen til Folketinget med følgende bemærkning:
"Skatteministeriet er afhængig af en lang række it-systemer for at varetage sine opgaver med at opkræve og inddrive skatter og afgifter, refundere moms mv. Disse opgaver løses via forretningsprocesser, som består af en række it-systemer, der arbejder sammen. Større it-nedbrud og tab af data i Skatteministeriets kritiske forretningsprocesser og underliggende it-systemer kan have store konsekvenser for staten, borgere og virksomheder. Det er derfor afgørende, at Skatteministeriet har et dækkende it-beredskab, der hurtigt kan håndtere it-nedbrud og datatab.
Rigsrevisionens undersøgelse omfatter 9 it-systemer, der vedrører 3 kritiske forretningsprocesser for personskat, moms og selskabsskat, som står for knap 80 % af statens indtægter.
Statsrevisorerne finder Skatteministeriets it-beredskab for kritiske forretningsprocesser utilfredsstillende og utilstrækkeligt. Skatteministeriet har kun kortlagt it-beredskabet for 7 ud af ministeriets ca. 230 it-systemer, hvoraf de 45 vurderes som kritiske for ministeriets opgaveløsning.
Det utilstrækkelige it-beredskab kan medføre, at it-nedbrud og datatab kan blive mere omfattende med risiko for, at staten ikke kan opkræve skatter og afgifter, tilbagebetale tilgodehavender eller udbetale løn, SU, sociale ydelser, pension mv. til borgere og virksomheder. Det vil være særdeles kritisk for en i forvejen meget udfordret skatteforvaltning i Danmark.
Statsrevisorerne hæfter sig bl.a. ved følgende resultater fra undersøgelsen:
- Skatteministeriet har kun kortlagt it-beredskabet for 7 ud af de 45 it-systemer, som ministeriet vurderer som enten samfundskritiske eller forretningskritiske for ministeriets opgaveløsning.
- Skatteministeriet har ikke et dækkende it-beredskab, idet ministeriet ikke har overblik over it-beredskabet for de resterende 38 kritiske it-systemer og ministeriets øvrige ca. 185 it-systemer.
- Skatteministeriet har udarbejdet risikovurderinger af de kritiske it-sy Risikovurderingerne udgør imidlertid et utilstrækkeligt grundlag for et dækkende it-beredskab, da de bl.a. mangler vurderinger af relevante risici.
- Skatteministeriet har reetableringsplaner for, hvordan 8 af de 9 undersøgte it-systemer skal reetableres efter nedbrud. Testene af de 8 reetableringsplaner er utilstrækkelige. Ministeriet har heller ikke koordineret kravene til fx maksimal reetableringstid og datatab i reetableringsplanerne.
- Skatteministeriet har ikke indsatsplaner for den interne krisestyring for 8 af de 9 undersøgte it-systemer.
- Skatteministeriet har kun udarbejdet én nødplan på hele Skatteforvaltningens område. Nødplanen er dog utilstrækkelig, da den kun forholder sig til nedbrud på ét af de 5 it-fagsystemer, som er nødvendige for at opretholde forretningsprocessen.
Statsrevisorerne finder det kritisabelt, at Skatteministeriet ikke har fastlagt, hvilken styrelse der har ansvaret for at koordinere arbejdet med it-beredskabet for kritiske forretningsprocesser på tværs af ministerområdet.
Statsrevisorerne bemærker i den forbindelse, at Skatteministeriets organisationsstruktur i styrelser ikke bør stå i vejen for den nødvendige tværgående koordination af opgaver – hverken når det gælder it-beredskab eller andre af ministeriets opgaver."