Beretning om Skatteministeriets it-beredskab

17-09-2021

Beretning nr. 20/2020

Beretningen handler om Skatteministeriets it-beredskab for kritiske forretningsprocesser.  

Formålet med undersøgelsen er at vurdere, om Skatteministeriet har et tilfredsstillende it-beredskab. Rigsrevisionen besvarer følgende spørgsmål i beretningen: 

  • Har Skatteministeriet et tilstrækkeligt grundlag for at etablere et it-beredskab?
  • Har Skatteministeriet sikret, at der er implementeret tilfredsstillende it-beredskabsplaner?
  • Har Skatteministeriet koordineret it-beredskabet for it-systemerne? 

Skatteministeriet har et utilfredsstillende it-beredskab for kritiske forretningsprocesser. Konsekvensen er, at der er risiko for, at it-nedbrud og datatab medfører, at Skatteministeriet ikke kan opkræve skatter og afgifter, og at borgere og virksomheder ikke kan få udbetalt tilgodehavender fra staten. 

Rigsrevisionen har selv taget initiativ til undersøgelsen i juni 2020. 

Kort fortalt (PDF) Hele beretningen (PDF)

Statsrevisorernes bemærkning til beretningen

Den 17. september 2021 behandlede Statsrevisorerne

Beretning nr. 20/2020 om Skatteministeriets it-beredskab

Statsrevisorerne afgav beretningen til Folketinget med følgende bemærkning:

"Skatteministeriet er afhængig af en lang række it-systemer for at vareta­ge sine opgaver med at opkræve og inddrive skatter og afgifter, refunde­re moms mv. Disse opgaver løses via forret­ningsprocesser, som består af en række it-systemer, der arbejder sam­men. Større it-nedbrud og tab af data i Skatteministeriets kritiske forret­ningsprocesser og underliggende it-systemer kan have store konsekven­ser for staten, borgere og virksomheder. Det er derfor afgør­ende, at Skat­teministeriet har et dækkende it-beredskab, der hurtigt kan håndtere it-nedbrud og datatab. 

Rigsrevisionens undersøgelse omfatter 9 it-systemer, der vedrører 3 kritiske forretningspro­cess­er for personskat, moms og selskabsskat, som står for knap 80 % af statens indtægter. 

Statsrevisorerne finder Skatteministeriets it-beredskab for kritiske forretningsprocesser utilfredsstillende og utilstrækkeligt. Skatteministeriet har kun kortlagt it-beredskabet for 7 ud af ministeriets ca. 230 it-systemer, hvoraf de 45 vurderes som kritiske for ministeriets opgaveløsning. 

Det utilstrækkelige it-beredskab kan medføre, at it-nedbrud og datatab kan blive mere omfattende med risiko for, at staten ikke kan opkræve skatter og afgifter, tilbagebetale tilgodehavender eller udbeta­le løn, SU, sociale ydelser, pension mv. til borgere og virksomheder. Det vil være særdeles kritisk for en i forvejen meget udfordret skatte­forvalt­ning i Danmark.

Statsrevisorerne hæfter sig bl.a. ved følgende resultater fra undersøgelsen: 

  • Skatteministeriet har kun kortlagt it-beredskabet for 7 ud af de 45 it-systemer, som ministeriet vurderer som enten samfundskritiske eller forretningskritiske for ministeriets opgaveløsning.
  • Skatteministeriet har ikke et dækkende it-beredskab, idet ministeriet ikke har overblik over it-beredskabet for de resterende 38 kritiske it-systemer og ministeriets øvrige ca. 185 it-systemer.
  • Skatteministeriet har udarbejdet risikovurderinger af de kritiske it-sy Risikovurderingerne udgør imidlertid et utilstrækkeligt grundlag for et dækkende it-beredskab, da de bl.a. mangler vurderinger af relevante risici.
  • Skatteministeriet har reetableringsplaner for, hvordan 8 af de 9 undersøgte it-systemer skal reetableres efter nedbrud. Testene af de 8 reetableringsplaner er utilstrækkelige. Ministeriet har heller ikke koordineret kravene til fx maksimal reetableringstid og datatab i reeta­bleringsplanerne.
  • Skatteministeriet har ikke indsatsplaner for den in­terne krisestyring for 8 af de 9 undersøgte it-systemer.
  • Skatteministeriet har kun udarbejdet én nødplan på hele Skatte­forvaltningens område. Nødplanen er dog utilstrækkelig, da den kun forholder sig til nedbrud på ét af de 5 it-fagsys­temer, som er nødvendige for at opretholde forretningsprocessen. 

Statsrevisorerne finder det kritisabelt, at Skatteministeriet ikke har fastlagt, hvilken styrelse der har ansvaret for at koordinere arbejdet med it-beredskabet for kritiske forret­nings­processer på tværs af ministerområdet. 

Statsrevisorerne bemærker i den forbindelse, at Skatteministeriets organisations­struktur i styrelser ikke bør stå i vejen for den nødvendige tværgående koordination af opgaver – hverken når det gælder it-beredskab eller andre af ministeriets opgaver."

Beretningshistorik