Revisionsrapport. 1 Inledning. Revision av uppbördsprocessen Moms. Skatteverket 171 94 Solna. Datum Dnr 2012-02-03 32-2011-0544



Relevanta dokument
Granskning av generella IT-kontroller för ett urval system vid Skatteverket 2017

Revisionsrapport Granskning av generella ITkontroller för ett urval av system vid Skatteverket 2018

Granskning av generella IT-kontroller för ett urval system vid Skatteverket

Granskning av generella IT-kontroller för PLSsystemet

Riksrevisionen. Granskning av uppbördsprocessen moms med fokus på IT-risker. Skatteverket

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina

Revision av den interna kontrollen kring uppbördssystemet REX

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

Skatteverkets årsredovisning 2012 samt granskning av uppbördsprocesser

Revisionsrapport. Genomförande av Kvalitetsmätning. Inledning Tullverket Box Stockholm.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Revisionsrapport Rutiner och intern styrning och kontroll 2016

Revisionsrapport. Lantmäteriverket - Skydd mot mutor och annan otillbörlig påverkan. Sammanfattning

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Revisionsrapport Karolinska Institutet Stockholm

Nr Iakttagelse Risk Risknivå Försäkringskassans svar till Riksrevisionen dnr

Granskning av Försvarshögskolan 2010

Revisionsrapport. Skogsstyrelsens delårsrapport Sammanfattning Skogsstyrelsen Jönköping.

Revisionsrapport avseende granskning av Folke Bernadotteakademin

Revisionsrapport Kammarkollegiet Box STOCKHOLM

Revisionsrapport. Sveriges Lantbruksuniversitets årsredovisning Sammanfattning

Revisionsrapport. Styrelsen för internationellt utvecklingssamarbete årsredovisning Datum Dnr

Revisionsrapport Årsredovisning 2017

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Revisionsrapport. Riksrevisionens granskning av Sveriges riksbank Inledning

Revisionsrapport. Revisionsrapport rörande löpande granskning av Polisen Granskning av ekonomiadministration slutsatser

Revisionsrapport. IT-revision Solna Stad ecompanion

Migrationsverket årsredovisning 2013

Finansinspektionens författningssamling

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Sollentuna kommun. Generella IT kontroller Visma Affärslösningar. Detaljerade observationer och rekommendationer. November 2017

Revisionsrapport. Granskning av nystartsjobb. Ramtiden felaktigt beräknad. Arbetsförmedlingen STOCKHOLM

Revisionsrapport. Örebro universitets årsredovisning Sammanfattning. Förordning om intern styrning och kontroll

Nr Iakttagelse Risk Risknivå Pensionsmyndighetens svar till Riksrevisionen , dnr VER

Revisionsrapport. Intern styrning och kontroll i upphandlings- och inköpsprocessen. Sammanfattning

Finansinspektionens författningssamling

Revisionsrapport. Skatteverkets årsredovisning 2010

Revisionsrapport. Revision vid Sveriges lantbruksuniversitet 2010

Granskning av IT intern kontroll

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Revisionsrapport. Årsredovisning för Linköpings universitet Sammanfattning. Linköpings universitet LINKÖPING

Revisionsrapport. Löpande granskning av Försvarsmakten Sammanfattning. Försvarsmakten Stockholm

Revisionsrapport. Linköpings Universitets årsredovisning Sammanfattning

Länsstyrelsen i Kronobergs läns hantering av länsstyrelsernas samordnade löneservice

Bolagsspecifika resultat Sektion 3. Page 1

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Revisionsrapport. Löpande granskning Sammanfattning. Lantmäteriet Gävle Datum Dnr

Revisionsrapport Årsredovisning 2016

Kronofogdemyndigheten

BESLUT. Ärendet Egeninitierad verksamhetstillsyn av vårdgivarens informationssäkerhet

Riktlinjer för IT-säkerhet i Halmstads kommun

Region Skåne Granskning av IT-kontroller

Ramavtalsupphandlingar inom IT-området

Intern styrning och kontroll vid Sameskolstyrelsen samt årsredovisningen 2012

Regler och riktlinjer för intern styrning och kontroll vid KI

Finansinspektionens författningssamling

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola Sammanfattning

Granskning av intern styrning och kontroll vid Statens servicecenter

Uppföljning av tidigare granskningar

Region Gotland. Generella IT kontroller Visma och HR Plus. Detaljerade observationer och rekommendationer. Februari 2017

Upplands Väsby kommun

Botkyrka Kommun. Revisionsrapport. Generella IT kontroller Aditro och HRM. Detaljerade observationer och rekommendationer.

Sänk kostnaderna genom a/ ställa rä/ krav och testa effektivt

Naturvårdsverket Revisionsrapport Årsredovisning 2015

Revisionsrapport Rutiner och intern styrning och kontroll inom redovisning 2017

Revisionsberättelse för Riksdagens ombudsmän 2016

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

Revisionsrapport. Löpande granskning av Försvarsmakten Sammanfattning. 2. Lönerutin Datum Dnr

Revisionsrapport. Granskning av beslut i ärenden angående internrevisionen vid Länsstyrelsen i Skåne län. Sammanfattning

Intern styrning och kontroll i upphandlings- och inköpsprocessen

Övergripande granskning av ITverksamheten

Revisionsberättelse för Statens Skolverk 2016

Revisionsrapport. Brister i den interna styrningen och kontrollen vid Försäkringskassan samt årsredovisning Inledning och sammanfattning

Växjö kommun. Övergripande säkerhetsgranskning. säkerhet avseende externt och internt dataintrång. Informationssäkerhetsspecialister:

Rapport från internrevisionen

Överlämnande av revisionsberättelse för Konsumentverkets årsredovisning för 2016

Revisionsrapport. Uppföljande granskning av internkontrollen i samlingarna. 1. Sammanfattning

Revisionsberättelse för Migrationsverket 2016

Uppföljningsrapport IT-revision 2013

Löpande granskning av rutin för upphandling

Revisionsberättelse för Linköpings universitet 2016

Tyresö kommun. Generella IT kontroller Economa och Heroma. Detaljerade observationer och rekommendationer. Juni 2017

Revisionsberättelse för Myndigheten för samhällsskydd och beredskap 2016

Revisionsrapport. Löpande granskning 2009

Riksrevisionens granskning av Sveriges riksbank 2003

Miljö- och hälsoskyddsnämndens plan för intern kontroll 2014

Tillsyn av åtgärder för skydd av behandlade. uppgifter i butiks- och återförsäljarledet.

Revisionsberättelse för Statens historiska museer 2017

Revisionsberättelse för Affärsverket svenska kraftnät 2017

Revisionsberättelse för Regionala etikprövningsnämnden i Göteborg 2016

Revisionsberättelse för Pensionsmyndigheten 2016

Landstingets ärende- och beslutsprocess

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Revisionsberättelse för Luftfartsverket 2016

Revisionsrapport. Rådet för Europeiska socialfonden i Sverige årsredovisning Sammanfattning

Revisionsrapport. Sidas årsredovisning 2009 samt brister i den interna styrningen och kontrollen. 1. Inledning och sammanfattning

Revisionsberättelse för Statens jordbruksverk 2017

Revisionsrapport Årsredovisning 2015

SOCIALFÖRVALTNING DNR SN MONIKA FERNLUND SID 1/4 AVDELNINGSCHEF

Revisionsrapport. Intern kontroll i ekonomi- och personaladministration samt Redovisning av utlandsinsatser

Transkript:

Revisionsrapport Skatteverket 171 94 Solna Datum Dnr 2012-02-03 32-2011-0544 Revision av uppbördsprocessen Moms 1 Inledning Riksrevisionen har som ett led i den årliga revisionen av Skatteverket granskat uppbördsprocessen Moms. Granskningen har omfattat handläggning av momsdeklarationer från att de inkommit till Skatteverket till dess att de förs över till Skattekontosystemet samt generella IT-kontroller som behörighetshantering och programförändringsrutiner. Momsdeklarationerna hanteras i applikationen MOMS AG som är Skatteverkets IT-system för moms- och arbetsgivaravgiftsdeklarationer. MOMS AG hanterar årligen cirka 3,6 miljoner momsdeklarationer. Utgående moms uppgick 2010 till cirka 465 miljarder kronor och ingående moms uppgick till cirka 235 miljarder kronor. I granskningen av handläggning av momsdeklarationer i IT-miljön och behörighetshantering har Riksrevisionen biträtts av Ernst & Young. Granskningen har resulterat i iakttagelser vilka Riksrevisionen vill fästa Skatteverkets uppmärksamhet på i denna revisionsrapport. Riksrevisionen önskar information senast 2012-03-02 med anledning av iakttagelserna i rapporten. Riksrevisionen 114 90 Stockholm [Nybrogatan 55] Tel 08-5171 40 00 Fax 08-5171 41 00 www.riksrevisionen.se 1 [ 7 ]

Innehåll 1 Inledning... 1 2 Sammanfattning... 3 2.1 Utvecklare har tillgång till produktionsmiljön... 3 2.2 Avsaknad av dokumentation och enhetlighet vid kontrollförändringar... 3 3 Bristande kontroll i hanteringen av programförändringar... 3 4 Dokumenterad riskanalys har inte upprättats för momsprocessen... 4 5 Statisk företagsfördelning då ärenden fördelas... 4 6 Avsaknad av kontroll som begränsar rollfördelningen för arbetsledare... 4 7 Bristande process för regelbunden uppföljning och kvalitetssäkring av handläggarnas beslut... 5 8 Servicehandläggare ingår inte i Skatteverkets behörighetsöversyn... 5 9 Utvecklare har tillgång till produktionsmiljön... 6 10 Avsaknad av dokumentation och enhetlighet vid kontrollförändringar... 6 2 [ 7 ]

2 Sammanfattning Riksrevisionen vill särskilt framhålla följande av de i rapporten upptagna iakttagelserna. 2.1 Utvecklare har tillgång till produktionsmiljön Två utvecklare har tillgång och möjlighet att även ändra data i produktionsdatabasen för applikationen MOMS AG. Ansvaret för att utveckla och ändra i produktionsmiljön bör hållas åtskilt. 2.2 Avsaknad av dokumentation och enhetlighet vid kontrollförändringar Förändringar av händelsekontroller och urvalskontroller är bristfälligt dokumenterade vilket innebär ökad risk för att icke godkända eller otillräckligt testade kontroller förs in i produktionsmiljön. Detta kan leda till fel i kontrollen av deklarationsärenden. 3 Bristande kontroll i hanteringen av programförändringar Granskningen av programförändringar i MOMS AG visar att Skatteverket huvudsakligen har två typer av programförändringar; utvecklingsärenden samt underhållsärenden. Utvecklingsärenden avser programförändringar som syftar till att förändra funktionaliteten i MOMS AG baserat på lagkrav eller förändrade behov från verksamheten. Underhållsärenden avser programförändringar som genomförs för att anpassa systemet efter nya tekniska förutsättningar eller för att åtgärda uppmärksammade tekniska brister i systemet. De två typerna av programförändringar hanteras olika hos Skatteverket vad gäller dokumentation och testning. Skatteverket har inte dokumenterat vilka rutiner och dokumentation som skall upprättas för de olika typerna av programförändringar. Det är inte heller dokumenterat vem som fattar beslut om att inleda utvecklingen av de olika typerna av programförändringar. Bristande kontroll i hanteringen av programförändringar kan innebära ökad risk för att ej godkända och bristfälligt testade funktioner förs in i produktionsmiljön vilket kan leda till bristande kontroller och instabil funktionalitet. Skatteverket rekommenderas att dokumentera rutiner för hantering av programförändringar. Rutinerna bör samordnas med rutiner som rekommenderas för kontrollförändringar. 3 [ 7 ]

4 Dokumenterad riskanalys har inte upprättats för momsprocessen Granskningen visar att Skatteverket inte har upprättat någon dokumenterad riskanalys som beskriver riskerna i flödet från inkommen deklaration till överföring till Skattekontosystemet. Avsaknad av en dokumenterad riskanalys kan medföra att inte samtliga risker minskas genom kontrollåtgärder. Skatteverket rekommenderas att upprätta riskanalyser för samtliga processer som har väsentlig påverkan på verksamheten och årsredovisningen. 5 Statisk företagsfördelning då ärenden fördelas 1 Arbetsledare på skattekontoren konstruerar och kopplar grundfördelningen av företag till skattekontorets handläggare. I grundfördelningen finns en slutsiffra som talar om vilka företag som handläggaren ska hantera. Slutsiffran är en siffra mellan 0 9 som matchas med den tionde siffran i ärendets organisationsnummer. En handläggare kan inneha en eller flera slutsiffror. Slutsiffran är ofta oförändrad under längre perioder vilket innebär att en handläggare i förväg vet vilka företag som den ska handlägga. Att en och samma handläggare hanterar samma företag under en längre period kan leda till mindre noggrann granskningsinsats då handläggaren ska utreda företagets ärenden. Vilket i sin tur ökar risken för felaktiga beslut. Det finns också en ökad risk för bedrägeri eftersom det sker begränsad rotation av vilken handläggare som granskar ärenden. Skatteverket är medvetet om fördelningsproblemen och har meddelat att en ny version av ärendefördelningssystemet kommer att implementeras. Den nya versionen av systemet kommer att innehålla en dynamisk företagsfördelning där fördelningen till handläggare förändras löpande. Skatteverket rekommenderas att fortsätta arbetet med att uppgradera fördelningsapplikationen. 6 Avsaknad av kontroll som begränsar rollfördelningen för arbetsledare 1 Ärendefördelningen på skattekontoren baseras bland annat på handläggarnas roller i systemet, till exempel momshandläggare. Det är arbetsledaren för aktuellt skattekontor som kopplar roller i bemärkelsen, vilka deklaranter som kan behandlas av en handläggare. 1 Bilaga 1 s. 30. 4 [ 7 ]

Riksrevisionen har noterat att arbetsledare kan koppla roller till handläggare som arbetar på skattekontor som inte ingår i arbetsledarens ansvar. Risken för felaktig tilldelning av roller ökar. Som i sin tur ökar risken för felaktiga beslut från handläggaren genom att handläggaren kan komma att hantera ärenden som den inte har kompetens för eller där de har egenintresse. Skatteverket rekommenderas att implementera en kontroll som begränsar möjligheten för en arbetsledare att koppla roller till handläggare som inte arbetar på aktuellt skattekontor. Alternativt utvärdera för- och nackdelar med att centralisera processen för rollfördelning. 7 Bristande process för regelbunden uppföljning och kvalitetssäkring av handläggarnas beslut 2 Riksrevisionen har noterat att det hos Skatteverket saknas rutiner för att kvalitetssäkra handläggarnas arbete på individnivå. Skatteverket har begränsade möjligheter att följa upp varför en handläggare väljer att godkänna en momsdeklaration dels ur legal synpunkt men också tekniskt i systemet. God intern kontroll förutsätter att det i efterhand går att spåra ärendets handläggning och beslut. Det finns annars risk för att handläggare godkänner momsdeklarationer felaktigt vid till exempel tung arbetsbelastning Skatteverket rekommenderas att utvärdera om det går att införa möjlighet att granska orsaker till en momsdeklarations handläggning och följa upp detta regelbundet. Vid resultat att det är genomförbart behöver också systemstöd för uppföljning utvecklas. 8 Servicehandläggare ingår inte i Skatteverkets behörighetsöversyn 2 Servicehandläggare är en arbetsroll som en handläggare kan inneha då personen arbetar på ett servicekontor som hanterar ärenden från flera myndigheter. Riksrevisionen har noterat att de personer som har arbetsrollen servicehandläggare inte ingått i Skatteverkets behörighetsöversyn. Vi har blivit informerade av Skatteverket att servicehandläggarna ingår i en separat rutin för uppföljning av behörigheter som det gemensamma myndighetssamarbetet skapat och underhåller. En otillräcklig behörighetsprocess för styrning av åtkomst till Skatteverkets IT-system kan innebära ökad risk för obehörig åtkomst till program eller information. 2 Bilaga 1 s. 31. 5 [ 7 ]

Riksrevisionen rekommenderar Skatteverket att i den årliga översynen inkludera ett kontrollsteg som säkerställer att servicehandläggare i MOMS AG är behöriga. 9 Utvecklare har tillgång till produktionsmiljön 3 Riksrevisionen har noterat att två stycken utvecklare har tillgång och möjlighet att ändra data i produktionsdatabasen för MOMS AG. Ansvar för kritiska moment såsom systemadministration, hantering av drift och utveckling samt implementering av programversioner i produktionsmiljö bör hållas åtskilda. Skatteverket har meddelat att de ändringar som de två utvecklarna utför i produktionsdatabasen är tekniska rättelser av data exempelvis på grund av teknisk låsning i databasen eller misstag av någon handläggare. Ändringar kan även avse parametervärden/konstanter, nyckeltal och formella kontroller. Alla ändringar loggas och sparas. Åtkomst till loggfilerna är begränsade och skilda från utvecklarna. Generellt så medges användare med hög behörighet obegränsad åtkomst till IT-system. Risken för medvetna eller omedvetna fel som att förvanska eller radera kritisk information i MOMS AG ökar då den höga behörigheten tillåter att befintliga kontroller kan kringgås. En enskild utvecklare kan till exempel på egen hand genomföra icke godkända förändringar eller ändra kritiska inställningar. Skatteverket rekommenderas säkerställa att ansvar mellan kritiska moment såsom systemadministration, hantering av drift och utveckling samt implementering av programversioner i produktionsmiljö är åtskilda. Riksrevisionen rekommenderar att Skatteverket granskar loggarna regelbundet och säkerställer att utvecklarnas aktivitet varit befogad. 10 Avsaknad av dokumentation och enhetlighet vid kontrollförändringar 4 Riksrevisionen har noterat att förändringsrutiner och förändringar i villkoren för de formella kontrollerna, indatakontrollerna och urvalskontrollerna är bristfälligt dokumenterade vilket innebär bristande intern kontroll. Bristande kontroll av kontrollförändringar innebär ökad risk för att icke godkända eller otillräckligt testade kontroller förs in i produktionsmiljön. Detta kan leda till fel vid automatisk kontroll av deklarationsärenden. 3 Bilaga 1 s. 32. 4 Bilaga 1 s. 33. 6 [ 7 ]

Riksrevisionen rekommenderar Skatteverket att dokumentera kontrollförändringsrutinen och kommunicera den till samtliga berörda. Dokumentet bör minst omfatta följande punkter: - Vem som är behörig att godkänna beställning av kontrollförändringar - Vem som är behörig att beställa förändring av Urvalsprojektet - Hur test av förändringar görs och av vem inklusive acceptanstestning - Att separat utvecklings/test och produktionsmiljö etableras - Hur migrering av förändringen till produktionsmiljön utförs och av vem - Att systemdokumentation uppdateras enligt gjorda förändringar - Hur brådskande förändringar (emergency changes) hanteras och dokumenteras - Hur ändamålsenlig ansvarsfördelning inom processen upprätthålls. Utvecklingspersonal bör till exempel inte migrera förändringar till produktionsmiljön. Ansvarig revisor Lars Nordstrand har beslutat i detta ärende. Granskningsledare Jonas Björkdahl har varit föredragande. Lars Nordstrand Jonas Björkdahl Bilaga 1 Ernst & Young AB, Granskning av uppbördsprocessen moms med fokus på IT-risker Skatteverket 7 [ 7 ]

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss