Ekstra sikkerhed i it-systemerne IndFak og RejsUd

15-03-2021
Systemer

Økonomistyrelsens it-systemer sikrer som standard et stærkt kontrolmiljø. Nu får fakturahåndteringssystemet Indfak og rejseafregningssystemet RejsUd en supplerende teknisk funktionsadskillelse i godkendelsesprocesserne, der skærper sikkerheden, uanset lokale opsætninger.

Hver dag indkøber de statslige institutioner store mængder af varer og tjenesteydelser. Økonomistyrelsens fællesstatslige systemer sikrer som standardopsætning en funktionsadskillelse, hvor mindst to personer er involveret i godkendelsesprocessen. Det modvirker muligheden for svindel, når medarbejdere i staten foretager forskellige transanktioner.

Økonomistyrelsen arbejder imidlertid hele tiden med at optimere kontrolprocesserne i de fællesstatslige it-systemer. Derfor er it-systemerne IndFak, der håndterer indkøb og faktura, og RejsUd til rejse- og udlægsafregninger den 10. marts blevet opdateret med supplerende funktionsadskillelse i godkendelsesprocesserne. Det reducerer finansielle risici yderligere, uanset hvordan institutionerne har valgt at sætte systemerne op lokalt.

Skærpet sikkerhed i forhold til slut-godkender

Susanne Termark-Hansen arbejder som produktspecialist med IndFak og RejsUd og har været med til at implementere løsningerne:

Overordnet handler systemopdateringen om, hvordan et vareindkøb eller en af-regning godkendes. Både IndFak og RejsUd er i forvejen baseret på 4-øjne-princippet, der sikrer, at minimum to personer godkender en transaktion. Nu har vi imidlertid styrket den systemmæssige opsætning i IndFak og RejsUd således, at medarbejderen, der slutgodkender, har de rigtige bemyndigelser og ikke kan være den samme som den, der modtager en vare eller opretter en afregning.

Institutionerne må muligvis fintune godkendelsesprocesser

For medarbejderne, der benytter IndFak, betyder den skærpede og supplerende funktionsadskillelse, at it-systemet automatisk skaber den nødvendige sikkerhed for, at den sidste, der godkender en faktura, altid er forskellig fra den sidste vare-modtager uanset eventuelle lokale systemopsætninger.

For medarbejderne, der bruger RejsUd, betyder den skærpede og supplerende funktionsadskillelse, at det ikke længere er muligt for en medarbejder med godkenderrettigheder at godkende rejse- og udlægsafregninger, hvis medarbejderen også samtidig har oprettet af afregningen. Ligeledes kan en sekretær med godkenderrettigheder heller ikke længere slutgodkende en afregning, som vedkommende har oprettet på vegne af eksempelvis en medarbejder eller en leder.

Med indførelsen af den supplerende funktionsadskillelse vil nogle institutioner muligvis skulle ændre på deres interne godkendelsesprocesser. Til gengæld vil systemopdateringerne for både IndFak og RejsUd bidrage til at styrke sikkerheden omkring udbetalinger.