Beretning om Skatteministeriets it-beredskab

17-09-2021

Beretning nr. 20/2020

Beretningen handler om Skatteministeriets it-beredskab for kritiske forretningsprocesser.  

Formålet med undersøgelsen er at vurdere, om Skatteministeriet har et tilfredsstillende it-beredskab. Rigsrevisionen besvarer følgende spørgsmål i beretningen: 

  • Har Skatteministeriet et tilstrækkeligt grundlag for at etablere et it-beredskab?
  • Har Skatteministeriet sikret, at der er implementeret tilfredsstillende it-beredskabsplaner?
  • Har Skatteministeriet koordineret it-beredskabet for it-systemerne? 

Skatteministeriet har et utilfredsstillende it-beredskab for kritiske forretningsprocesser. Konsekvensen er, at der er risiko for, at it-nedbrud og datatab medfører, at Skatteministeriet ikke kan opkræve skatter og afgifter, og at borgere og virksomheder ikke kan få udbetalt tilgodehavender fra staten. 

Rigsrevisionen har selv taget initiativ til undersøgelsen i juni 2020. 

Kort fortalt (PDF) Hele beretningen (PDF)

Statsrevisorernes bemærkning til beretningen

Den 17. september 2021 behandlede Statsrevisorerne

Beretning nr. 20/2020 om Skatteministeriets it-beredskab

Statsrevisorerne afgav beretningen til Folketinget med følgende bemærkning:

"Skatteministeriet er afhængig af en lang række it-systemer for at vareta­ge sine opgaver med at opkræve og inddrive skatter og afgifter, refunde­re moms mv. Disse opgaver løses via forret­ningsprocesser, som består af en række it-systemer, der arbejder sam­men. Større it-nedbrud og tab af data i Skatteministeriets kritiske forret­ningsprocesser og underliggende it-systemer kan have store konsekven­ser for staten, borgere og virksomheder. Det er derfor afgør­ende, at Skat­teministeriet har et dækkende it-beredskab, der hurtigt kan håndtere it-nedbrud og datatab. 

Rigsrevisionens undersøgelse omfatter 9 it-systemer, der vedrører 3 kritiske forretningspro­cess­er for personskat, moms og selskabsskat, som står for knap 80 % af statens indtægter. 

Statsrevisorerne finder Skatteministeriets it-beredskab for kritiske forretningsprocesser utilfredsstillende og utilstrækkeligt. Skatteministeriet har kun kortlagt it-beredskabet for 7 ud af ministeriets ca. 230 it-systemer, hvoraf de 45 vurderes som kritiske for ministeriets opgaveløsning. 

Det utilstrækkelige it-beredskab kan medføre, at it-nedbrud og datatab kan blive mere omfattende med risiko for, at staten ikke kan opkræve skatter og afgifter, tilbagebetale tilgodehavender eller udbeta­le løn, SU, sociale ydelser, pension mv. til borgere og virksomheder. Det vil være særdeles kritisk for en i forvejen meget udfordret skatte­forvalt­ning i Danmark.

Statsrevisorerne hæfter sig bl.a. ved følgende resultater fra undersøgelsen: 

  • Skatteministeriet har kun kortlagt it-beredskabet for 7 ud af de 45 it-systemer, som ministeriet vurderer som enten samfundskritiske eller forretningskritiske for ministeriets opgaveløsning.
  • Skatteministeriet har ikke et dækkende it-beredskab, idet ministeriet ikke har overblik over it-beredskabet for de resterende 38 kritiske it-systemer og ministeriets øvrige ca. 185 it-systemer.
  • Skatteministeriet har udarbejdet risikovurderinger af de kritiske it-sy Risikovurderingerne udgør imidlertid et utilstrækkeligt grundlag for et dækkende it-beredskab, da de bl.a. mangler vurderinger af relevante risici.
  • Skatteministeriet har reetableringsplaner for, hvordan 8 af de 9 undersøgte it-systemer skal reetableres efter nedbrud. Testene af de 8 reetableringsplaner er utilstrækkelige. Ministeriet har heller ikke koordineret kravene til fx maksimal reetableringstid og datatab i reeta­bleringsplanerne.
  • Skatteministeriet har ikke indsatsplaner for den in­terne krisestyring for 8 af de 9 undersøgte it-systemer.
  • Skatteministeriet har kun udarbejdet én nødplan på hele Skatte­forvaltningens område. Nødplanen er dog utilstrækkelig, da den kun forholder sig til nedbrud på ét af de 5 it-fagsys­temer, som er nødvendige for at opretholde forretningsprocessen. 

Statsrevisorerne finder det kritisabelt, at Skatteministeriet ikke har fastlagt, hvilken styrelse der har ansvaret for at koordinere arbejdet med it-beredskabet for kritiske forret­nings­processer på tværs af ministerområdet. 

Statsrevisorerne bemærker i den forbindelse, at Skatteministeriets organisations­struktur i styrelser ikke bør stå i vejen for den nødvendige tværgående koordination af opgaver – hverken når det gælder it-beredskab eller andre af ministeriets opgaver."

Rigsrevisionens notat af 9. december 2021

Rigsrevisionen følger i dette notat op på beretning nr. 20/2020 om Skatteministeriets it-beredskab.

Notatet er baseret på en redegørelse fra skatteministeren og handler om de initiativer, som ministeren vil iværksætte som følge af Statsrevisorernes bemærkninger og beretningens konklusioner.

Rigsrevisionen vil fortsat følge udviklingen og orientere Statsrevisorerne om: 

  • Skatteministeriets arbejde med at skabe overblik over det eksisterende it-beredskab for kritiske it-systemer
  • Skatteministeriets implementering af nødplaner og indsatsplaner
  • Skatteministeriets arbejde med at koordinere it-beredskabet på tværs af ministeriets it-systemer.

Hele notatet (PDF)

Rigsrevisionens notat af 8. maj 2023

Rigsrevisionen følger i dette notat op på beretning nr. 20/2020 om Skatteministeriets it-beredskab.

Der er i notatet fulgt op på følgende områder:  

  • Skatteministeriets arbejde med at skabe overblik over det eksisterende it-beredskab for kritiske it-systemer
  • Skatteministeriets implementering af nødplaner og indsatsplaner
  • Skatteministeriets arbejde med at koordinere it-beredskabet på tværs af ministeriets it-systemer.

Rigsrevisionen vil fortsat følge udviklingen og orientere Statsrevisorerne om: 

  • Skatteministeriets arbejde med at skabe overblik over det eksisterende it-beredskab for ministeriets kritiske it-systemer
  • Skatteministeriets implementering af nødplaner for de resterende it-systemer
  • Skatteministeriets arbejde med at koordinere kravene til maksimal reetableringstid og maksimalt datatab samt koordinering vedrørende systemafhængigheder.

Hele notatet (PDF)

Beretningshistorik