Tjänsteutlåtande till Fastighetsnämnden diarienummer 1710/16
|
|
- Ann-Sofie Martinsson
- för 4 år sedan
- Visningar:
Transkript
1 Tjänsteutlåtande till Fastighetsnämnden diarienummer 1710/16 Avdelningen för verksamhetsstöd Peter Kim telefon e-post: Yttrande över revisionsredogörelse 2015 Förslag till beslut Fastighetsnämnden översänder upprättat tjänsteutlåtande som eget yttrande till stadsrevisionen Ärendet Stadsrevisionen har granskat fastighetsnämndens verksamhet år Revisorernas uppdrag är att pröva om nämnden sköter verksamheten på ett ändamålsenligt och från ekonomisk synpunkt tillfredsställande sätt, om räkenskaperna är rättvisande samt om nämndens interna kontroll är tillräcklig. Årets granskning omfattar: grundläggande granskning granskning av nämndens arbete med it-system ur säkerhetssynpunkt intern kontroll i redovisningsrutiner delårsrapport och årsbokslut uppföljning av föregående års rekommendationer. Stadsrevisionen lämnar rekommendationer inom två områden 1. Exploateringsprocessen exploateringsredovisning 2. Nämndens arbete med IT-säkerhet I övrigt bedömer stadsrevisionen att nämnden bedrivit verksamheten på ett ändamålsenligt och från ekonomisk synpunkt tillfredsställande sätt, om räkenskaperna är rättvisande samt om nämndens interna kontroll är tillräcklig under verksamhetsåret Revisorerna bedömer även att räkenskaperna i allt väsentligt är rättvisande och har upprättats i enlighet med lagen om kommunal redovisning och god redovisningssed samt att nämnden följt Göteborgs stads bokslutsanvisningar. De föreslår därför att kommunfullmäktige beslutar att nämnden beviljas ansvarsfrihet för verksamhetsåret Nämnden ska lämna svar till stadsrevisionen om vilka åtgärder som gjorts eller planeras med anledning av de rekommendations som lämnats. Svaret ska lämnas senast den 23 juni Granskning av exploateringsprocessen Stadsrevisionen har 2014 granskat hur Göteborgs stad hanterar exploateringsprocessen. En del av granskningen avsåg exploateringsredovisning. Syftet med granskningen var Göteborgs Stad Fastighetskontoret, tjänsteutlåtande dnr 1710/16 1 (4)
2 att bedöma om stadens exploateringsredovisning följer god redovisningssed och därmed gällande lag. En rapport över utförd granskning har översänts till stadsledningskontoret och till fastighetskontoret med rekommendationer till åtgärder. I rapporten rekommenderar stadsrevisionen kommunstyrelsen att bland annat leda arbetet att färdigställa rutinbeskrivningen för exploateringsredovisningen, säkerställa att den följer god redovisningssed och kommunicera den internt inom staden. Stadsrevisionen konstaterar att ett arbete avseende rutinbeskrivningen pågår under ledning av stadsledningskontoret. Fastighetsnämnden är delaktig i arbetet via fastighetskontoret. Arbetet har ännu inte lett till resultat i form av en färdig rutinbeskrivning för exploateringsredovisningen i Göteborgs stad. Stadsrevisionen rekommendation om att nämnden prioriterar arbetet att under kommunstyrelsens ledning ta fram en färdig rutinbeskrivning för exploateringsredovisningen i Göteborgs stad kvarstår därför. Åtgärd med anledning av rekommendationen: Fastighetskontoret hade föregående år planerat att under ledning av stadsledningskontoret medverka till att ta fram rutinbeskrivningar för exploateringsredovisningen i Göteborgs Stad. Fastighetskontoret avser att färdigställa arbetet under 2016 men kommer i vissa punkter behöva stadsledningskontorets ställningstaganden/beslut. 2. Granskning av fastighetsnämndens arbete med IT-säkerhet Syftet med granskningen har varit att bedöma om system och arbetssätt kan anses tillförlitliga och ändamålsenliga i förhållande till gällande regelverk. Vid revisionen framkom det att det saknas rutiner för att säkerställa efterlevnad av PuL 31 och att det även saknades rutiner för att systematiskt följa upp säkerhetsarbetet hos Intraservice, som även är personuppgiftsbiträde för nämnden. Den sammanfattande slutsatsen, baserad på genomförd granskning, är att den interna kontrollen avseende informationssäkerheten inom användningen av IT-system inte är tillräcklig. Bedömningen är att följande väsentliga förbättringsområden identifierats: Avsaknad av rutiner för uppföljning av informationssäkerhetsnivån och ett strukturerat arbete för att säkerställa efterlevnad gällande hanteringen av personuppgifter. Allvarliga säkerhetsbrister i verksamhetssystemen Fabo och Markis som påverkar integritet och konfidentialitet av personuppgifter och annan information. Avsaknad av ett systematiskt informationssäkerhetsarbete, så som kontinuerlig informationsklassificering. Personuppgiftsbiträdesavtal finns inte upprättat mellan fastighetsnämnden och nämnden för intraservice. Avvikelser ifråga om krav på kontinuerlig informationsklassning och dokumentationskrav avseende skriftliga användarinstruktioner, krav på beslutad driftsdokumentation och krav på uppdaterad systemdokumentation. Avsaknad av rutiner för ändringshantering och rutiner för rapportering, loggning, åtgärdande, informationsspridning, eskalering, uppföljning och analys av incidenter. Avsaknad av en dokumenterad och formellt beslutad kontinuitetsplan. Göteborgs Stad Fastighetskontoret, tjänsteutlåtande dnr 1710/16 2 (4)
3 Stadsrevisionen rekommenderar nämnden att snarast gå igenom sin hantering av personuppgifter för att säkerställa att personuppgiftslagens 31 (se bilaga 2) avseende säkerhet för personuppgifter tillämpas avseende samtliga it-system som hanterar personuppgifter. Åtgärder med anledning av rekommendationen: Stadsrevisionen rekommenderar nämnden att snarast gå igenom hanteringen av personuppgifter för att säkerställa att personuppgiftslagens 31 avseende säkerhet för personuppgifter tillämpas avseende samtliga it-system som hanterar personuppgifter. Fastighetskontoret har påbörjat ett förbättringsarbete som bland annat omfattar nedanstående punkter: Uppdatera riskanalys avseende säkerhet för personuppgifter Ta fram en plan för intern kontroll som ska utföras av PUL-ombudet och som innehåller kontroller av: o att personuppgifter behandlas på ett lagligt och korrekt sätt och i enlighet med god sed. o att den personuppgiftsansvarige följer bestämmelserna i personuppgiftslagen och i anknytande lagstiftning. Dokumentera rutiner för personuppgiftshantering och krav på kvalifikationer, lämplighet och kunskap som den personuppgiftsansvarige (FN) ställer på den personal som behandlar personuppgifter Informera personal som behandlar personuppgifter om rutiner och krav (Stormöte) Stadsrevisionen rekommenderar nämnden att snarast upprätta personuppgiftsbiträdesavtal med nämnden för Intraservice avseende de personuppgifter som hanteras av denna nämnd. Nämnden rekommenderas vidare även att gå igenom den egna verksamhetens följsamhet mot policy och riktlinjer för tillämpning av personuppgiftslagen vid Göteborgs Stads förvaltningar och bolag för att säkerställa att inga ytterligare avvikelser mellan riktlinjen och de egna arbetssätten finns. Åtgärder med anledning av rekommendationen: Nämnden för Intraservice har inte tecknat personuppgiftsbiträdesavtal med någon av stadens förvaltningar. Intraservice ansvar för säkerheten beträffande de personuppgifter som ingår i fastighetskontorets verksamhetssystem är reglerade i Regler för kommuninterna tjänster generellt. För de externa leverantörer som ansvarar för driften av övriga av fastighetskontorets verksamhetssystem finns Personuppgiftsbiträdesavtal tecknat. Stadsrevisionen rekommenderar nämnden att åtgärda konstaterade tekniska säkerhetsbrister i de granskade verksamhetssystemen Markis och FABO. Åtgärder med anledning av rekommendationen: Fastighetskontoret har implementerat åtgärder i FABO för att avhjälpa tekniska säkerhetsbrister och utreder för närvarande åtgärder i Markis. Stadsrevisionen rekommenderar nämnden att göra en översyn av sin samlade it-miljö med avseende på följsamhet mot gällande regler och teknisk säkerhet. Åtgärder med anledning av rekommendationen: Göteborgs Stad Fastighetskontoret, tjänsteutlåtande dnr 1710/16 3 (4)
4 Fastighetskontoret genomför nu en genomlysning av samtliga system med hänsyn tagen till bland annat informationsklassning, eventuell avveckling/arkivering, behörighetshantering samt roller och ansvar. Bedömning av tidigare års granskning Bedömningen är att fastighetsnämnden omhändertagit samtliga lämnade rekommendationer vid tidigare års granskning utom rekommendationen avseende framtagande av en färdig rutinbeskrivning för exploateringsredovisningen i Göteborgs stad. Ifråga om denna rekommendation pågår ett arbete som ännu inte är färdigställt. Denna rekommendation kvarstår därför. Bilagor 1 Revisionsrapport/revisionsredogörelse PuL 31 Magnus Sigfusson Fastighetsdirektör Peter Kim Avdelningschef Göteborgs Stad Fastighetskontoret, tjänsteutlåtande dnr 1710/16 4 (4)
5
6
7 Revisionsredogörelse Stadsrevisionen Fastighetsnämnden granskning av verksamhetsåret 2015 goteborg.se/stadsrevisionen
8 2 Mars 2016 Fastighetsnämnden. Granskning av verksamhetsåret 2015 Diarienummer: 204/15 Stadsrevisionen i Göteborgs Stad Yrkesrevisor: Anders Landqvist
9 FA S T I G H E T S N Ä M N D E N 3 Innehållsförteckning Sammanfattning 4 Granskning av verksamheten 7 Grundläggande granskning 7 Granskning av fastighetsnämndens arbete med it-system ur säkerhetssynpunkt 8 Uppföljning av tidigare års granskning 11 Granskning av räkenskaper och bokslut 14 Översiktlig granskning av delårsrapport 14 Granskning av intern kontroll i redovisningsrutiner 15 Granskning av årsbokslut 16 Stadsrevisionens uppdrag och rapportering 19 Språkbruk och revisionstermer 20 Bilaga: Granskning av fastighetsnämndens användning av IT-system ur säkerhetssynpunkt - Granskningsrapport S TA D S R E V I S I O N E N
10 4 FA S T I G H E T S N Ä M N D E N Sammanfattning Nämnden ansvarar för att verksamheten bedrivs enligt gällande lagar och kommunfullmäktiges mål och riktlinjer samt att räkenskaperna är rättvisande. Revisorernas uppdrag är att pröva om nämnden sköter verksamheten på ett ändamålsenligt och från ekonomisk synpunkt tillfredsställande sätt, om räkenskaperna är rättvisande samt om nämndens interna kontroll är tillräcklig. Årets granskning av nämnden omfattar: grundläggande granskning granskning av nämndens arbete med it-system ur säkerhetssynpunkt intern kontroll i redovisningsrutiner delårsrapport och årsbokslut uppföljning av föregående års rekommendationer. Granskningen visar att delar av nämndens verksamhet har brister som behöver åtgärdas. Därför lämnar vi följande rekommendationer till nämnden: S TA D S R E V I S I O N E N
11 FA S T I G H E T S N Ä M N D E N 5 Tabell 1: Sammanställning av rekommendationer Område Granskning av exploateringsprocessen Granskning av fastighetsnämndens arbete med it-säkerhet Rekommendation Stadsrevisionen rekommenderar nämnden att prioritera arbetet att under kommunstyrelsens ledning ta fram en färdig rutinbeskrivning för exploateringsredovisningen i Göteborgs stad. (Rekommendation lämnad 2014) Stadsrevisionen rekommenderar nämnden att snarast genomgå sin hantering av personuppgifter för att säkerställa att personuppgiftslagens 31 avseende säkerhet för personuppgifter tillämpas avseende samtliga it-system som hanterar personuppgifter. Stadsrevisionen rekommenderar nämnden att snarast upprätta personuppgiftsbiträdesavtal med nämnden för Intraservice avseende de personuppgifter som hanteras av denna nämnd. Nämnden rekommenderas vidare även att genomgå den egna verksamhetens följsamhet mot policy och riktlinjer för tillämpning av personuppgiftslagen vid Göteborgs Stads förvaltningar och bolag för att säkerställa att inga ytterligare avvikelser mellan riktlinjen och de egna arbetssätten finns. Stadsrevisionen rekommenderar nämnden att åtgärda konstaterade tekniska säkerhetsbrister i de granskade verksamhetssystemen Markis och FABO. Stadsrevisionen rekommenderar nämnden att göra en översyn av sin samlade itmiljö med avseende på följsamhet mot gällande regler och teknisk säkerhet. S TA D S R E V I S I O N E N
12 6 FA S T I G H E T S N Ä M N D E N I övrigt bedömer stadsrevisionen att nämnden har bedrivit verksamheten på ett ändamålsenligt och från ekonomisk synpunkt tillfredsställande sätt samt att den interna kontrollen varit tillräcklig. Vi bedömer även att resultaträkning och balansräkning har upprättats i enlighet med lagen om kommunal redovisning och god redovisningssed samt att nämnden har följt de bokslutsanvisningar som Göteborgs Stad har gett ut. S TA D S R E V I S I O N E N
13 FA S T I G H E T S N Ä M N D E N 7 Granskning av verksamheten Nämnden ansvarar för att verksamheten bedrivs enligt gällande lagar, kommunfullmäktiges mål och riktlinjer samt att räkenskaperna är rättvisande. Revisorernas uppdrag är att pröva om nämnden sköter verksamheten på ett ändamålsenligt och från ekonomisk synpunkt tillfredsställande sätt samt om nämndens interna kontroll är tillräcklig. 1 Granskningen av verksamheten omfattar en grundläggande granskning, som är en översiktlig granskning av nämndens ledning och styrning, en fördjupad granskning samt uppföljning av tidigare års granskning. 2 Grundläggande granskning Den grundläggande granskningen syftar till att översiktligt bedöma nämndens ledning och styrning samt interna kontroll. Det innebär att revisorerna löpande följer nämndens protokoll och handlingar och informerar sig om verksamheten. Granskningen omfattar följande delar: följsamhet mot reglemente följsamhet mot kommunfullmäktiges budget följsamhet mot kommunfullmäktiges regler för budget och uppföljning följsamhet mot kommunfullmäktiges riktlinjer för intern kontroll styrning och uppföljning av verksamhet och ekonomi delegation beslutsunderlag hantering av särskilda uppdrag från kommunstyrelsen/ kommunfullmäktige nämndens implementering av GEM-projektet nämndens hantering av effekterna av lokalöversynen i Göteborgs stad nämndens utveckling av markanvisningsprocessen. 1 Uppdraget regleras i kommunallagen, 9 kap. 2 Se stadsrevisionens granskningsplan, april 2015 S TA D S R E V I S I O N E N
14 8 FA S T I G H E T S N Ä M N D E N Iakttagelser Den grundläggande granskningen visar inte på några avvikelser. Bedömning Stadsrevisionens översiktliga bedömning är att nämnden har en tillfredsställande ledning och styrning samt tillräcklig intern kontroll inom de områden som omfattats av den grundläggande granskningen. Granskning av fastighetsnämndens arbete med itsystem ur säkerhetssynpunkt Utgångspunkter i granskningen Stadsrevisionen har granskat fastighetsnämndens arbete med it-system ur säkerhetssynpunkt. Syftet med granskningen har varit att bedöma om system och arbetssätt kan anses tillförlitliga och ändamålsenliga i förhållande till gällande regelverk. Revisionskriterier har utgjorts av gällande lagar och föreskrifter inom områdena kommunalrätt, it och hantering av personuppgifter. Till detta kommer föreskrifter utfärdade av kommunfullmäktige och kommunstyrelsen i Göteborgs stad avseende säkerhet, it, personuppgiftshantering och intern kontroll. Metoden har innefattat kartläggning av it-miljön vid fastighetskontoret, dokumentstudier, stickprov/verifiering, intervjuer med ansvariga tjänstemän och testning i form av intrångsförsök i verksamhetssystem 3. Iakttagelser Granskningen har påvisat stora brister i följsamhet mot gällande regelverk för hantering av personuppgifter och it-säkerhet. Personuppgiftslagen, PuL, avser att skydda personuppgifter från åtkomst, spridning och otillåten användning. För att möta lagens krav vid 3 Stadsrevisionen har biträtts av revisionsbyrån KMPG AB i de delar av granskningen som avser stickprov/verifiering, intervjuer med ansvariga tjänstemän och testning i form av intrångsförsök i verksamhetssystem. Upprättad konsultrapport biläggs denna revisionsredogörelse. S TA D S R E V I S I O N E N
15 FA S T I G H E T S N Ä M N D E N 9 hantering av personuppgifter krävs att den som hanterar personuppgifterna också har ett tillfredställande skydd för dem. PuL kräver också att avtal alltid finns upprättade med personuppgiftsbiträden som hanterar personuppgifter för en verksamhets räkning. Fastighetsnämnden anlitar nämnden för Intraservice som personuppgiftsbiträde. Något personuppgiftsbiträdesavtal finns dock inte upprättat mellan nämnderna. Det följer av PuL 30 att skriftligt avtal ska finnas mellan personuppgiftsansvarig och personuppgiftsbiträde. Fastighetsnämnden saknar också rutiner för att systematiskt följa upp säkerhetsarbetet hos nämnden för Intraservice avseende de personuppgifter som hanteras där. Enligt PuL 31 2 st. ska en personuppgiftsansvarig som anlitar ett personuppgiftsbiträde förvissa sig om att ett personuppgiftsbiträde kan genomföra de säkerhetsåtgärder som måste vidtas i enlighet med 31 1 st. och se till att detta också görs. Konsekvenserna i denna del är att fastighetsnämnden inte efterlever personuppgiftslagen och inte heller efterlever policy och riktlinjer för tillämpning av personuppgiftslagen vid Göteborgs Stads förvaltningar och bolag. Granskning av följsamhet mot regelverk har gjorts genom insamling och analys av dokument kompletterat av intervjuer med ansvariga personer. Syftet med regelverken är ytterst att säkerställa att en verksamhet har en tillfredställande säkerhetsnivå ifråga om skydd mot åtkomst, manipulation, skada eller förlust av uppgifter och data. Medel för att uppnå detta är långtgående dokumentationskrav och tekniska applikationer i IT-miljön. Beträffande nämndens följsamhet mot stadens riktlinje för informationssäkerhet konstateras att betydelsefulla avvikelser finns mellan riktlinjens krav och den faktiska följsamheten mot kraven. Granskningen visar avvikelser ifråga om krav på kontinuerlig informationsklassning och dokumentationskrav avseende skriftliga användarinstruktioner, krav på beslutad driftsdokumentation och krav på uppdaterad systemdokumentation. Vidare saknas rutiner för ändringshantering och rutiner för rapportering, loggning, åtgärdande, informationsspridning, eskalering, uppföljning och analys av incidenter. Slutligen saknas en dokumenterad och formellt beslutad kontinuitetsplan. S TA D S R E V I S I O N E N
16 10 FA S T I G H E T S N Ä M N D E N Granskning av säkerhet och tekniska skyddsåtgärder görs vanligen genom praktiska försök att tränga in och få åtkomst till data i IT-system. Den föreliggande granskningen har innefattat sådana intrångsförsök mot de två verksamhetssystemen Markis och FABO som fastighetsnämnden ansvarar för. Intrångsförsöken har visat att allvarliga tekniska säkerhetsbrister finns i de granskade systemen. Bristerna innefattar möjlighet för användare inom fastighetskontorets organisation att uppgradera egen tilldelad behörighet och möjlighet att kringgå behörighetskontroll i systemen och därigenom obehörigen få tillgång till data. Det har också konstaterats vara möjligt att skapa separata anrop till dataservern där IT-systemen körs. Det senare innebär en särskild risk då en angripare därigenom kan ha möjlighet att nå andra verksamheters systemapplikationer som körs på samma dataserver. Det bedöms inte krävas särskilda systemverktyg eller unik kompetens för att utnyttja de redovisade bristerna. Dock krävs tillgång till stadens administrativa nätverk. Bedömning Vid en sammanvägd bedömning kan det inledningsvis konstateras att granskningen visat att fastighetsnämndens bristande följsamhet mot gällande regelverk har en viss omfattning. Ifråga om bristande följsamhet mot PuL är detta mycket allvarligt och kräver snabba åtgärder från fastighetsnämndens sida för att omhänderta. Ifråga om bristande följsamhet mot stadens riktlinjer kan det konstateras - som även diskuterats ovan - att regelverken finns för att säkerställa att en verksamhet alltid har en korrekt hantering av personuppgifter i alla delar och även upprätthåller en tillfredställande säkerhetsnivå i sin it-miljö. En verksamhet som inte följer regelverken kan i konsekvens med detta alltid befaras ha brister i sin hantering av personuppgifter och säkerhetsbrister i sin it-miljö. Ifråga om personuppgifter har granskningen konstaterat att personuppgiftsbiträdesavtal mellan fastighetsnämnden och nämnden för intraservice saknas. Detta bör upprättas snarast. Vidare bör nämnden genomgå den egna verksamhetens följsamhet mot policy och riktlinjer för tillämpning av personuppgiftslagen vid Göteborgs Stads förvaltningar och bolag för att säkerställa att inga ytterligare avvikelser mellan riktlinjen och de egna arbetssätten finns. Ifråga om it-säkerhet har granskningen konstaterat stora brister i följsamheten mot stadens riktlinje för informationssäkerhet ifråga om såväl dokumentationskrav som ifråga om krav på olika slag av rutiner. S TA D S R E V I S I O N E N
17 FA S T I G H E T S N Ä M N D E N 11 Genomförda intrångsförsök inom ramen för granskningen har också visat att allvarliga tekniska säkerhetsbrister finns i de granskade systemen. Detta måste omhändertas av nämnden. Det framstår också som i högsta grad befogat att fastighetsnämnden gör en översyn av sin samlade itmiljö med avseende på följsamhet mot gällande regler och teknisk säkerhet. Mot bakgrund av detta lämnas följande rekommendationer: Stadsrevisionen rekommenderar nämnden att snarast genomgå sin hantering av personuppgifter för att säkerställa att personuppgiftslagens 31 avseende säkerhet för personuppgifter tillämpas avseende samtliga it-system som hanterar personuppgifter. Stadsrevisionen rekommenderar nämnden att snarast upprätta personuppgiftsbiträdesavtal med nämnden för Intraservice avseende de personuppgifter som hanteras av denna nämnd. Nämnden rekommenderas vidare även att genomgå den egna verksamhetens följsamhet mot policy och riktlinjer för tillämpning av personuppgiftslagen vid Göteborgs Stads förvaltningar och bolag för att säkerställa att inga ytterligare avvikelser mellan riktlinjen och de egna arbetssätten finns. Stadsrevisionen rekommenderar nämnden att åtgärda konstaterade tekniska säkerhetsbrister i de granskade verksamhetssystemen Markis och FABO. Stadsrevisionen rekommenderar nämnden att göra en översyn av sin samlade it-miljö med avseende på följsamhet mot gällande regler och teknisk säkerhet Uppföljning av tidigare års granskning Stadsrevisionen granskade år 2013 nämndgemensamt arbete för utveckling av planprocessen (GEM) Granskningen resulterade i att följande rekommendation riktades till nämnden: Stadsrevisionen rekommenderar byggnads-, fastighets- och trafiknämnden att med utgångspunkt i de risker vi har identifierat i granskningen och tillsammans med beställarna (direktörerna) bidra till riskhanteringen och stärka den interna styrningen under implementeringen av projektets förbättringsåtgärder. S TA D S R E V I S I O N E N
18 12 FA S T I G H E T S N Ä M N D E N Stadsrevisionen granskade vidare år 2014 nämndens säkerhetsarbete. Granskningen resulterade i att vi riktade följande rekommendationer till nämnden: Stadsrevisionen rekommenderar nämnden att ge fastighetskontoret i uppdrag att så snart som möjligt slutföra det påbörjade arbetet att upprätta ett sammanhållande styrdokument för säkerhetsarbetet. Dokumentet bör spegla samtliga områden som enligt Göteborgs stads säkerhetspolicy ska inkluderas i säkerhetsarbetet. Stadsrevisionen rekommenderar nämnden att överväga att tillämpa Brå:s råd rörande säkerhetsarbete för förtroendevalda i samband med nämndens arbete. Stadsrevisionen granskade slutligen även exploateringsprocessen Granskningen resulterade i att vi riktade följande rekommendation till nämnden: Stadsrevisionen rekommenderar nämnden att prioritera arbetet att under kommunstyrelsens ledning ta fram en färdig rutinbeskrivning för exploateringsredovisningen i Göteborgs stad. Iakttagelser Beträffande rekommendationen avseende implementeringen av förbättringsåtgärderna kopplade till projektet att utveckla planprocessen (GEM), konstateras att fastighetsnämnden genomfört åtgärder för att bidra till riskhantering och stärkande av den interna styrningen under implementeringen av projektets förbättringsåtgärder. Åtgärderna består av utbildningsinsatser, framtagande av gemensamma projektmodeller för de berörda nämnderna och upphandling av nytt projektledningssystem. Beträffande rekommendationerna rörande nämndens säkerhetsarbete konstateras att nämnden givit fastighetskontoret i uppdrag att upprätta ett sammanhängande styrdokument för säkerhetsarbetet. Uppdraget har också fullgjorts av fastighetskontoret som framtagit Anvisningar för säkerhetsarbete på fastighetskontoret som behandlats och antagits av fastighetsnämnden den 20 april Styrdokumentet knyter an mot kraven i säkerhetspolicy för Göteborgs stad. Det behandlar slutligen även fördelning av ansvar för arbetsmiljö och systematiskt arbetsmiljöarbete rörande förtroendevalda. Beträffande rekommendationerna att under kommunstyrelsens ledning ta fram en färdig rutinbeskrivning för exploateringsredovisningen i Göteborgs stad konstateras att ett arbete avseende rutinbeskrivningen pågår under ledning av stadsledningskontoret. Fastighetsnämnden är delaktig i arbetet via fastighetskontoret. Arbetet har ännu inte lett till resultat i form av en färdig rutinbeskrivning för exploateringsredovisningen i Göteborgs stad. S TA D S R E V I S I O N E N
19 FA S T I G H E T S N Ä M N D E N 13 Bedömning Bedömningen är att fastighetsnämnden omhändertagit samtliga lämnade rekommendationer vid tidigare års granskning utom rekommendationen avseende framtagande av en färdig rutinbeskrivning för exploateringsredovisningen i Göteborgs stad. Ifråga om denna rekommendation pågår ett arbete som ännu inte är färdigställt. Denna rekommendation kvarstår därför. S TA D S R E V I S I O N E N
20 14 FA S T I G H E T S N Ä M N D E N Granskning av räkenskaper och bokslut Nämnden ansvarar för att räkenskaperna är rättvisande och upprättade i enlighet med gällande lagstiftning. Revisorernas uppdrag är att pröva om nämndens räkenskaper är rättvisande och upprättade i enlighet med gällande lagstiftning. Att räkenskaperna är rättvisande innebär att: - den externa redovisningen ger en rättvisande bild av resultat och ställning. - årsredovisning och delårsrapport är upprättade i enlighet med lagstiftning och god redovisningssed. Granskningen omfattar följande delar: översiktlig granskning av delårsrapport per augusti 2015 intern kontroll i redovisningsrutiner årsbokslut. Nedan redovisas resultatet av granskningen. Översiktlig granskning av delårsrapport En översiktlig granskning har genomförts av delårsrapporten per augusti Följande väsentliga avvikelser har noterats: Fastighetsnämnden har i och med övergången till Agresso övergått till att bokföra hyresfordringar utifrån fakturadatum istället för som tidigare utifrån förfallodatum. För att få en rättvisande klassificering bör nettoredovisning av hyresfordringarna ske mot förutbetalda hyresintäkter i bokslutet för augusti. Detta skulle innebära att hyresfordringarna minskar med ca 99 miljoner kronor, till ca 11 miljoner kronor. Utöver ovanstående har det inte framkommit något som tyder på några väsentliga avvikelser i fråga om huruvida delårsbokslutet är upprättat enligt god redovisningssed oförändrade redovisningsprinciper tillämpats anvisningarna följts. S TA D S R E V I S I O N E N
21 FA S T I G H E T S N Ä M N D E N 15 Granskning av intern kontroll i redovisningsrutiner Granskningen av nämndens interna kontroll i redovisningsrutiner omfattar följande delar; bokslutsprocessen intäktsprocessen löneprocessen investeringsprocessen/materiella anläggningstillgångar inköpsprocessen. Iakttagelser Resultatet av granskningen redovisas i den lägesrapport som översändes till fastighetskontoret i december Lägesrapporten innehåller revisorernas iakttagelser och bedömning tillsammans med förvaltningens kommentarer. Revisorernas bedömning innehåller förslag på förbättringsåtgärder som syftar till att stärka den interna kontrollen inom granskade rutiner. Det är därför viktigt att fastighetskontoret ser till att revisorernas förslag till förbättringsåtgärder genomförs i verksamheten. Intäktsprocessen Fastighetsnämnden har i och med övergången till Agresso övergått till att bokföra hyresfordringar utifrån fakturadatum istället för som tidigare utifrån förfallodatum. För att få en rättvisande klassificering bör nettoredovisning av hyresfordringarna ske mot förutbetalda intäkter då detta annars får väsentliga effekter på balansräkningens omslutning. Investeringsprocessen/materiella anläggningstillgångar Inom ramen för 2015 års granskning har vi följt upp den utökade revisionen som genomfördes Vi noterar att de flesta av de rekommendationer som lämnades fortfarande är aktuella. Detta gäller 4 Den utökade revisionen genomfördes inom ramen för 2014 års årliga granskning. Fastighetskontoret har erhållit kopia av refererad granskningsrapport Utökad revision avseende exploateringsprocessen i anslutning till avrapporteringen av 2014 års årliga granskning. S TA D S R E V I S I O N E N
22 16 FA S T I G H E T S N Ä M N D E N områden som faktisk redovisning, rutinbeskrivningar och intern kontroll. Göteborgs Stad har den 1 januari 2015 gått över till Agresso vilket har minskat de manuella momenten i rutinen, vilket vi ser som positivt. Vår bedömning från granskningsrapporten enligt ovan kvarstår samt tillhörande rekommendationer. I samband med vår uppföljande granskning lyfte fastighetskontoret ett antal områden där de förenklar eller önskar förenkla nämndens redovisning. Hantering av mark kopplat till allmän plats fastighetsnämnden åsätter inte ett värde på den mark som förs över till allmän plats i samband med exploatering. Fastighetsnämnden anser inte att mark som återfinns under allmän plats har något värde, detta mot bakgrund av att taxeringsvärdet som åsätts allmän plats av skatteverket är lågt. Hantering av gatukostnadsersättning fastighetsnämnden delar i dagsläget upp försäljningspriset för tomtmark mellan gatukostnadsersättning och priset för marken. Nämnden diskuterar att inte bryta loss gatukostnadsersättningen för det fall byggnation sker efter att avyttring skett. Detta då det är svårt att uppskatta exakt kostnad för utbyggnaden. Vi hänvisar även till separat rapport, Utökad revision avseende exploateringsprocessen, för ytterligare kommentarer. 5 Inga andra väsentliga iakttagelser eller händelser finns att rapportera. Bedömning Stadsrevisionens bedömning är att den interna kontrollen inom de granskade processerna i allt väsentligt är tillfredsställande. De noterade iakttagelserna bör dock som angivits ovan beaktas av nämnden i sitt fortsatta arbete att säkerställa en god intern kontroll i redovisningsarbete. Granskning av årsbokslut Granskningen av nämndens bokslut för verksamhetsåret 2015 omfattar upprättade resultaträkningar och balansräkningar. I tabellen nedan redovisas delar av nämndens resultat- och balansräkningar. 5 Se föregående not. S TA D S R E V I S I O N E N
23 FA S T I G H E T S N Ä M N D E N 17 Tabell 2: Tabell över delar av nämndens resultat- och balansräkningar Fastighetsnämnden 2015 (tkr) 2014 (tkr) Rörelsens intäkter Balansomslutning Bokslutspost* Årets resultat Utgående eget kapital * Justering eget kapital Fastighetsnämnden, transfereringar 2015 (tkr) 2014 (tkr) Rörelsens intäkter 58 0 Balansomslutning Bokslutspost* Årets resultat Utgående eget kapital * Justering eget kapital S TA D S R E V I S I O N E N
24 18 FA S T I G H E T S N Ä M N D E N Granskningen visar att: granskat material är i överensstämmelse med gällande lag och god redovisningssed nämnden har följt de bokslutsanvisningar och riktlinjer som Göteborgs Stad gett ut inrapporterat material är korrekt inga förhållanden som kan skada förtroendet för verksamheten har uppmärksammats. Inga väsentliga avvikelser i övrigt förekommer. Bedömning Stadsrevisionen bedömer resultaträkning och balansräkning har upprättats i enlighet med lagen om kommunal redovisning och god redovisningssed samt att nämnden har följt Göteborgs Stads bokslutsanvisningar 6. 6 Källa: Göteborgs Stads Ekonomihandbok S TA D S R E V I S I O N E N
25 FA S T I G H E T S N Ä M N D E N 19 Stadsrevisionens uppdrag och rapportering Den kommunala revisionen är ett lokalt demokratiskt kontrollinstrument med uppdrag att granska den verksamhet som bedrivs i kommunen. Revisorerna är förtroendevalda och utses av fullmäktige. I Göteborg är de totalt 22 stycken. Revisorerna är oberoende och granskar på fullmäktiges uppdrag och därigenom indirekt också för medborgarna. Revisorerna prövar årligen om ledamöter i kommunstyrelsen och nämnderna fullgör sitt uppdrag. Revisorerna uttalar sig årligen om nämndledamöters ansvar i en revisionsberättelse som lämnas till fullmäktige. Utöver revisionsberättelsen upprättar revisorerna även revisionsredogörelse, en för varje nämnd. I revisionsredogörelsen sammanfattas all granskning som revisorerna har genomfört i nämnden under året. Bland de valda revisorerna utser fullmäktige även lekmannarevisorer. Dessa har ett självständigt uppdrag att granska de bolag som helt eller delvis ägs av kommunen. I Göteborg utses i regel två lekmannarevisorer för varje bolag. Revisorerna genomför också särskilda granskningar som i regel rör flera nämnder och bolag. Dessa redovisas i revisionsrapporter till fullmäktige löpande under året. Revisorerna tar även varje år fram en årsredogörelse som sammanfattar all den granskning som gjorts i kommunen under det aktuella året. Revisorernas rapporter hittar du på S TA D S R E V I S I O N E N
26 20 FA S T I G H E T S N Ä M N D E N Språkbruk och revisionstermer När revisorerna har genomfört en granskning lämnar de ofta rekommendationer till de granskade nämnderna och bolagen. Ibland lämnar de även revisionskritik. Rekommendationer lämnas då revisorerna ser brister i verksamheten. Rekommendationerna syftar till att utveckla och förbättra verksamheten. Revisionskritik lämnas då revisorerna ser brister i verksamheten som är av mer allvarlig karaktär. Revisionskritik graderas genom begreppen påpekande, erinran eller anmärkning. Anmärkning är allvarligast. När det gäller nämnderna kan en anmärkning lämnas med eller utan tillstyrkan om ansvarsfrihet. Under kommande år följer revisorerna upp vilka åtgärder nämnden eller bolaget har gjort för att följa revisorernas rekommendationer. S TA D S R E V I S I O N E N
27 goteborg.se/stadsrevisionen
28 ABCD Göteborgs Stad Stadsrevisionen Granskning av fastighetsnämndens användning av IT-system ur säkerhetssynpunkt Granskningsrapport KPMG AB 26 januari 2016 Antal sidor: KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved.
29 ABCD 2016 KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved.
30 ABCD Göteborgs Stad, Stadsrevisionen Granskning av fastighetsnämndens användning av it-system ur säkerhetssynpunkt Innehåll 1. Sammanfattning 1 2. Bakgrund 3 3. Syfte och revisionsfrågor 3 4. Ansvarig nämnd 4 5. Revisionskriterier 4 6. Metod 5 7. Resultat av granskningen Uppföljning av informationssäkerhetsnivån Säkerhet för personuppgifter Dokumentation enligt Riktlinjer för informationssäkerhet Möjlighet att kringgå säkerhetsåtgärder 8 8. Bedömning revisionsfrågor och rekommendationer Bedömning revisionsfrågor Rekommendationer 9 Slutrapport - Fastighetsnämnden docx 2016 KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved.
31 ABCD Göteborgs Stad, Stadsrevisionen Granskning av fastighetsnämndens användning av it-system ur säkerhetssynpunkt 1. Sammanfattning KPMG har genomfört ett uppdrag som syftar till att bedöma om system och arbetssätt kan anses tillförlitliga och ändamålsenliga i förhållande till gällande regelverk. Informationssäkerhet får en större betydelse och avser att upprätthålla informationens konfidentialitet, integritet, tillgänglighet samt spårbarhet. De övergripande revisionsfrågorna som granskningen avsett att besvara är: Har fastighetsnämnden generellt en god följsamhet mot Göteborgs stads riktlinje för informationssäkerhet? Har fastighetsnämnden ett tillfredställande skydd mot dataintrång? Har fastighetsnämnden en tillfredställande intern kontroll över användningen av ITsystem och hanteringen av personuppgifter inom ramen för verksamheten? För att besvara revisionsfrågorna har vi genomfört intervjuer och dokumentstudier. Inom ramen för granskningen har ett test i form av intrångsförsök genomförts av verksamhetssystemen Fabo och Markis. Fastighetsnämnden ansvarar för Göteborgs Stads mark- och bostadspolitiska uppgifter. Nämndens övergripande mål är att skapa förutsättningar för att de som bor och vill bo i Göteborg skall kunna erbjudas goda bostäder i en trygg och stimulerande miljö. Fastighetskontoret arbetar i huvudsak inom fyra olika områden: mark, exploatering, förvaltning och boende. Inom avdelning för verksamhetsstöd finns bland annat IT. Verksamhetssystemet Fabo är ett skräddarsytt system för Lägenhetsbyrån på Göteborgs Fastighetskontor. Syftet med Fabo är att samla största delen av Lägenhetsbyråns verksamhet till ett gemensamt system, som alla handläggare kan komma åt. Systemet har två huvudsakliga uppgifter: 1) Anskaffningsärenden, att anskaffa bostad till hushåll, där berörd instans haft svårt att lösa bostadsfrågan. 2) Förvaltningsärenden, hantera Fastighetskontorets roll som mellanhyresvärd, dvs. hyra av bostäder av fastighetsägare i Göteborg och garanterar att hyror betalas enligt avtal. Verksamhetssystemet Markis hanterar information som rör kommunens fastighetsinnehav och det kan användas som ett informationssökningsverktyg men är framförallt ett arbetsverktyg för Fastighetskontorets handläggare. Syftet är att i ett och samma system kunna hitta och hantera all information och även ha tillgång till aktuella kartor och flygbilder. Användarna för båda verksamhetssystemen finns internt hos Fastighetskontoret och driften av systemet ligger hos Nämnden för Intraservice i Göteborgs stad. Åtkomst till systemet sker via installerade applikationer på stadens datorer KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. 1
32 ABCD Göteborgs Stad, Stadsrevisionen Granskning av fastighetsnämndens användning av it-system ur säkerhetssynpunkt Intrångsförsöket genomfördes genom att KPMG tilldelades grundläggande behörigheter i systemen och fick tillgång till en dator på plats hos Fastighetskontoret. I verksamhetssystemen identifierades totalt tre allvarliga brister där inga speciella verktyg eller någon unik kunskap krävdes för att utnyttja bristerna. Bristerna kan utnyttjas för att kringgå behörighetssystemet och påverkar integritet och konfidentialitet i systemen. Dock behöver en antagonist tillträde till Göteborgs stads administrativa nätverk. I uppdraget genomfördes 8 stickprov gällande befintlig dokumentation och vi noterar att endast två verksamhetssystem uppfyller kraven i Riktlinjer för informationssäkerhet på användarinstruktion och systemdokumentation. Fastighetskontoret har inte kunnat redovisa någon driftsdokumentation för något verksamhetssystem. Det saknas rutiner för att säkerställa efterlevnad av PUL 31 men även rutiner för att systematiskt följa upp säkerhetsarbetet hos Intraservice, som även är personuppgiftsbiträde för nämnden. KPMGs sammanfattande slutsats, baserad på genomförd granskning, är att den interna kontrollen avseende informationssäkerheten inom användningen av IT-system inte är tillräcklig. Som en del av granskningen är vår bedömning att följande väsentliga förbättringsområden identifierats: Avsaknad av rutiner för uppföljning av informationssäkerhetsnivån och ett strukturerat arbete för att säkerställa efterlevnad gällande hanteringen av personuppgifter. Allvarliga säkerhetsbrister i verksamhetssystemen Fabo och Markis som påverkar integritet och konfidentialitet av personuppgifter och annan information. Avsaknad av ett systematiskt informationssäkerhetsarbete, så som kontinuerlig informationsklassificering. För dessa områden ger KPMG följande rekommendationer: KPMG rekommenderar Fastighetsnämnden att säkerställa framtagande och implementering av rutiner för uppföljning av informationssäkerhetsnivån och uppföljning av Intraservices säkerhetsarbete enligt befintliga riktlinjer. KPMG rekommenderar Fastighetsnämnden att säkerställa att identifierade brister i verksamhetssystemen åtgärdas eller att kompenserade kontroller införs. KPMG rekommenderar Fastighetsnämnden att säkerställa att ett helhetsgrepp tas gällande informationssäkerhet och efterlevnad av befintliga riktlinjer KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. 2
33 ABCD Göteborgs Stad, Stadsrevisionen Granskning av fastighetsnämndens användning av it-system ur säkerhetssynpunkt 2. Bakgrund I 2015 års revisionsplan framgår att IT-system är ett prioriterat riskområde för granskning. I takt med utbyggnaden av IT ökar Göteborgs Stads möjligheter till effektivisering men samtidigt ökar riskerna. Stora delar av Göteborgs Stads informationsflöde hanteras med hjälp av IT-system och integrationer dem i mellan. Information ska vara en tillgång för Göteborgs Stad och dess invånare, går den förlorad eller är felaktig kan det få konsekvenser för verksamhetskritiska processer. Informationssäkerhet får därför allt större betydelse och handlar inte bara om administrativt arbete utan även om teknik. Bra informationssäkerhet ger inte bara Göteborgs Stad förtroende och borgar för effektiv informationshantering utan ger också informationen rätt skydd för att kunna upprätthålla dess konfidentialitet (sekretess), integritet (riktighet), tillgänglighet samt spårbarhet. Det är därför väsentligt att den interna kontrollen i Göteborgs Stads olika ITsystem är tillfredsställande. Fastighetsnämnden har till uppgift att förvärva, iordningställa och tillhandahålla samt sälja och upplåta mark för de ändamål, i den omfattning och på de villkor som kommunfullmäktige fastställer. Nämnden har därmed till uppgift att utöva den formella ägarrollen till kommunens fasta egendom. Fastighetsnämnden ska vidare inom sitt verksamhetsområde följa utvecklingen och ta de initiativ som erfordras vad avser mark-, bostads- och näringslivsfrågor. Verksamhetssystemet Fabo är ett skräddarsytt system för Lägenhetsbyrån på Göteborgs Fastighetskontor. Syftet med Fabo är att samla största delen av Lägenhetsbyråns verksamhet till ett gemensamt system, som alla handläggare kan komma åt. Systemet har två huvudsakliga uppgifter: 1) Anskaffningsärenden, att anskaffa bostad till hushåll, där berörd instans haft svårt att lösa bostadsfrågan. 2) Förvaltningsärenden, hantera Fastighetskontorets roll som mellanhyresvärd, dvs. hyra av bostäder av fastighetsägare i Göteborg och garanterar att hyror betalas enligt avtal. Verksamhetssystemet Markis hanterar information som rör kommunens fastighetsinnehav och det kan användas som ett informationssökningsverktyg men är framförallt ett arbetsverktyg för Fastighetskontorets handläggare. Syftet med Markis är att i ett och samma system kunna hitta och hantera all information och även ha tillgång till aktuella kartor och flygbilder. 3. Syfte och revisionsfrågor Syftet med granskningen är att bedöma om system och arbetssätt kan anses tillförlitliga och ändamålsenliga i förhållande till gällande regelverk. Granskningen ska också innefatta en bedömning av om IT-systemen understödjer nämndens arbete med intern kontroll KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. 3
34 ABCD Göteborgs Stad, Stadsrevisionen Granskning av fastighetsnämndens användning av it-system ur säkerhetssynpunkt Med informationssäkerhet avses att: Informationen i systemet är endast tillgängligt för behöriga Informationen är riktig, det vill säga att informationen inte förändras eller påverkas oönskat eller utom kontroll Informationen är alltid tillgänglig när den behövs Granskningen ska besvara följande revisionsfrågor: Har fastighetsnämnden generellt en god följsamhet mot Göteborgs stads riktlinje för informationssäkerhet? Har fastighetsnämnden ett tillfredställande skydd mot dataintrång? Har fastighetsnämnden en tillfredställande intern kontroll över användningen av ITsystem och hanteringen av personuppgifter inom ramen för verksamheten 4. Ansvarig nämnd Granskningen avser Fastighetsnämnden i Göteborgs stad 5. Revisionskriterier Revisionskriterier utgörs av gällande lagar och föreskrifter inom områdena kommunalrätt, it och hantering av personuppgifter. Till detta kommer föreskrifter utfärdade av kommunfullmäktige och kommunstyrelsen i Göteborgs stad avseende säkerhet, IT, personuppgiftshantering och intern kontroll. Bland dessa återfinns bland annat: Riktlinjer för intern kontroll i Göteborgs Stad Säkerhetspolicy för Göteborgs Stad Riktlinje för informationssäkerhet Regler gällande driftsdokumentation för IT-baserade informationssystem Regler för informationssäkerhetsansvar för chefer i Göteborgs Stad Personuppgiftslagen 1998:204 Policy och riktlinjer för tillämpning av personuppgiftslagen vid Göteborgs Stads förvaltningar och bolag Offentlighet- och sekretesslagen Arkivlagen 2016 KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. 4
35 ABCD Göteborgs Stad, Stadsrevisionen Granskning av fastighetsnämndens användning av it-system ur säkerhetssynpunkt 6. Metod Granskningen har utförts genom intervjuer, dokumentstudier och intrångsförsök. Intervjuer/dialog har främst genomförts med: Chef GIS-IT, Fastighetskontoret Personuppgiftsombud, Fastighetskontoret Kvalitetschef, Fastighetskontoret Systemtekniker, Intraservice Dokumentstudier har genomförts av en stor mängd policydokumentation inom Göteborgs Stad, samt interna riktlinjer och avtal med Intraservice. Granskning har i första hand omfattat: Riktlinjer för intern kontroll i Göteborgs Stad Riktlinjer för informationssäkerhet Säkerhetspolicy för Göteborgs Stad Behörighetsrutin och blankett Användardokumentation Systemdokumentation Information om samtycke Intrångsförsöket genomfördes genom att KPMG tilldelades grundläggande behörigheter i systemen och fick tillgång till en dator på plats hos Fastighetskontoret. Applikationerna nås från medarbetarnas datorer oavsett om man använder VPN eller är på plats, dvs. från ett nätverksperspektiv är åtkomsten densamma. Intrångsförsök har följt KPMG Globala metodik som följer OWASP Testing Guide v4 för att identifiera möjligheten att kringgå befintliga skydd KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. 5
36 ABCD Göteborgs Stad, Stadsrevisionen Granskning av fastighetsnämndens användning av it-system ur säkerhetssynpunkt 7. Resultat av granskningen 7.1 Uppföljning av informationssäkerhetsnivån Fastighetskontoret har länge haft behov av att bearbeta information i både pappers- och digitala format. Det finns inte heller tecken på ett minskat digital behov inom Geografiska informationssystem. Fastighetskontoret har vid tidigare tillfällen genomfört informationsklassificering för de informationstillgångar som i huvudsak används. Vi noterar dock att det inte finns några dokument eller protokoll som redovisar på vilka grunder en viss informationsklassificeringsnivå historiskt fastställdes. I Riktlinjer för Informationssäkerhet framgår kravet att Informationsklassning ska göras kontinuerligt av informationsägaren, ett högst rimligt krav då omvärlden och hotbilderna är dynamiska. Vi noterar att Fastighetskontoret saknar rutiner eller anvisningar för att kontinuerligt genomföra denna informationsklassning. Uppföljning av informationssäkerhetsnivån ska enligt samma riktlinjer genomföras årligen, det sker idag delvis vid rapportering av säkerhetsnivån till nämnden (enligt Säkerhetspolicy för Göteborgs stad) till nämnden men saknar det fokus som riktlinjerna påbjuder. Vi noterar vidare att Fastighetskontoret saknar rutiner eller anvisningar för att avgöra om informationssäkerhetsnivån är adekvat. Denna granskning är första gången ett verksamhetssystem/applikation analyseras för att identifiera sårbarheter inom Fastighetskontoret även om kravet är att informationssystem ska regelbundet analyseras för att identifiera sårbarheter. 7.2 Säkerhet för personuppgifter Fastighetskontoret har ett antal verksamhetssystem som behandlar personuppgifter och nämnden är ytterst personuppgiftsansvarig. Fastighetskontoret har utsett ett Personuppgiftsombud (POU) med en uppdragsbeskrivning. POU deltar vid arbetsplatsträffar för att informera om en korrekt hantering av personuppgifter och nyheter inom området. Fastighetskontorets verksamhetssystem är också registrerade i stadens PUL-databas. Vi noterad dock att det inte sker något systematiskt arbete gällande efterlevnad av PUL 31 Säkerhetsåtgärder. I det arbetet är grunden att genomföra riskanalyser för att identifiera nya risker som kan påverka integritet eller konfidentialitet av behandlade uppgifter. Datainspektionens allmänna råd: säkerhet för personuppgifter används inte som grund för att analysera avvikelser inom Fastighetskontorets behandling. Datainspektionen berör i rapporten Vägledning för eförvaltning biträdesavtal i kommunal verksamhet (s. 48): 2016 KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. 6
37 ABCD Göteborgs Stad, Stadsrevisionen Granskning av fastighetsnämndens användning av it-system ur säkerhetssynpunkt När en kommunal nämnd anlitar en annan nämnd för att utföra dess uppgifter, kan det innebära att den anlitade nämnden blir ett personuppgiftsbiträde. Datainspektionen är också tydlig med att ett personuppgiftsbiträde finns alltid utanför den egna organisationen. Vi noterar att Intraservice inte finns under Fastighetskontorets direkta ansvar, vilket ytterligare påvisar krav på biträdesavtal. Policy och riktlinjer för tillämpning av personuppgiftslagen vid Göteborgs Stads förvaltningar och bolag berör också biträdesavtal: Behandling av personuppgift kan även göras av en person utanför den egna organisationen om denne gör det på uppdrag från den personuppgiftsansvarige. I dessa fall ska personuppgiftsbiträdesavtal upprättas. Policyn ställer också krav på att det ska finnas bestämmelser hos den personuppgiftsansvarige hur länge personuppgifter ska bevaras. Vi noterar att Fastighetskontoret saknar ett biträdesavtal med Intraservice och att det inte heller sker systematiskt arbete för att säkerställa att Infraservice verkligen vidtar de säkerhetsåtgärderna som krävs. Vi noterar att det inte sker en systematisk gallring av personuppgifter, som inte längre behöver behandlas eller lagras. 7.3 Dokumentation enligt Riktlinjer för informationssäkerhet Dokumentation av IT-system är en förutsättning för en säker förvaltning och minskar risken för misstag vid bl.a. störningar och när system ska återställas. När medarbetare byter avdelning eller arbetsuppgifter underlättar dokumentation en överföring av kunskap till andra medarbetare. Stadens Riktlinjer för Informationssäkerhet ställer krav på: a. användarinstruktion b. formellt beslutad driftdokumentation c. systemdokumentation som i rimlig omfattning och grad är fullständig Vi har begärt in dokumentationen för 8 verksamhetssystem och följande matris redovisar efterlevnad. IT-System Användarinstruktion Driftsdokumentation Systemdokumentation BAB2 Nej Nej Ja FABO Ja Nej Ja Gatulån Nej Nej Nej GLAN 2000 IT-Access Nej Nej Nej admin KBH Nej Nej Nej KURT Nej Nej Nej Markis Ja Nej Ja Projektstrukt ur Nej Nej Nej 2016 KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. 7
38 ABCD Göteborgs Stad, Stadsrevisionen Granskning av fastighetsnämndens användning av it-system ur säkerhetssynpunkt Även följande krav anträffas i riktlinjerna Säkerhetsaspekter ska beaktas vid utveckling och anskaffning av informationssystem så att tillräckligt skydd uppnås. Att säkerhetsrutiner och regelverk efterlevs och motsvarar verksamhetens krav under informationssystemets hela livscykel inklusive avveckling och destruktion ska säkerställas och följas upp regelbundet. Vi noterar att den dokumentation som finns belyser funktionella säkerhetskrav men inga beskrivningar på hur ett tillräckligt skydd uppnås. 7.4 Möjlighet att kringgå säkerhetsåtgärder IT-system kan aldrig skapas utan helt brister, det man ska undvika är de enkla misstagen som även en mindre motiverad eller kompetent användare kan utnyttja. För en tillräckligt motiverat antagonist med resurser lyckas man tillslut alltid kringgå befintliga säkerhetsåtgärder. Vi har granskat två verksamhetssystem, Fabo och Markis. Två system byggda med relativt gammal teknik och som kräver att program installeras hos användaren, det räcker inte att enbart använda webbläsare. Granskningen genomfördes genom att vi tilldelades användarbehörighet och fick tillgång till en dator hos Fastighetskontoret. Tre allvarliga säkerhetsbrister har identifierats som påverkar integritet och konfidentialitet för personuppgifter i systemen Markis och Fabo. Det är möjligt att kringgå behörighetskontrollen i systemen genom att skapa separata anrop till servern. Det krävs inga specifika verktyg eller någon unik kompetens, dock behöver man ha tillträde till stadens administrativa nätverk. Enligt Intraservice används samma server även av andra nämnder, vilket ger en bred attackkälla då fler användare har nätverksåtkomst till denna server. Då observationerna kräver ytterligare förklaringar, bevis och teknisk information för åtgärder, se Bilaga 1 (Fastighetsnämnden Intrångsförsök) för detaljerad beskrivning KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. 8
39 ABCD Göteborgs Stad, Stadsrevisionen Granskning av fastighetsnämndens användning av it-system ur säkerhetssynpunkt 8. Bedömning revisionsfrågor och rekommendationer Fastighetskontoret har genomfört informationsklassificering och utsett ett personuppgiftsombud, tecken på en grundläggande vilja att skydda nämndens informationstillgångar. Positivt är att IT är ett område som berörs i den årliga säkerhetsrapporteringen och risker är identifierade. Vår bedömning utifrån respektive revisionsfråga har sammanställts nedan och sammanfattas slutligen i identifierade förbättringsområden. 8.1 Bedömning revisionsfrågor Har fastighetsnämnden generellt en god följsamhet mot Göteborgs stads riktlinje för informationssäkerhet? Vår bedömning är att nämnden saknar de dokumenterade rutiner eller anvisningar som krävs för att efterleva Göteborgs stads beslutade Riktlinjer för Informationssäkerhet gällande uppföljning och kontinuerlig informationsklassning. Nämnden anses inte efterleva dokumentationskraven i beslutade Riktlinjer för Informationssäkerhet. Det finns en risk att brister i dokumentationen försvårar daglig förvaltning men likaså framtida systemförändringar eller en övergång till modernare arkitektur. Har fastighetsnämnden ett tillfredställande skydd mot dataintrång? Vår bedömning är att de allvarliga bristerna som identifierade under intrångsförsöket påvisar att skyddet av personuppgifter inte är tillräckligt i verksamhetssystemen baserat på PUL 31 Säkerhetsåtgärder eller Göteborgs Stads Riktlinje för informationssäkerhet. Har fastighetsnämnden en tillfredställande intern kontroll över användningen av ITsystem och hanteringen av personuppgifter inom ramen för verksamheten? Vår bedömning är att nämnden saknar de dokumenterade rutiner eller anvisningar som krävs för att efterleva PUL 31 Säkerhetsåtgärder samt andra stycket gällande personuppgiftsbiträdesavtal med Intraservice. Då det saknas dokumenterade rutiner eller anvisningar för gallring av personuppgifter är det vår bedömning att nämnden inte efterlever kravet i den beslutade policyn inom Göteborgs stad. 8.2 Rekommendationer För dessa områden ger KPMG följande rekommendationer: KPMG rekommenderar Fastighetsnämnden att säkerställa att identifierade brister i verksamhetssystemen åtgärdas eller att kompenserade kontroller införs. KPMG rekommenderar Fastighetsnämnden att säkerställa framtagande och implementering av rutiner för uppföljning av informationssäkerhetsnivån och uppföljning av Intraservice säkerhetsarbete enligt befintliga riktlinjer KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. 9
40 ABCD Göteborgs Stad, Stadsrevisionen Granskning av fastighetsnämndens användning av it-system ur säkerhetssynpunkt KPMG rekommenderar Fastighetsnämnden att säkerställa att ett helhetsgrepp tas gällande informationssäkerhet och efterlevnad av befintliga riktlinjer. KPMG, som ovan Johan Björk IT-revisor 2016 KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. 10
41 ABCD Göteborgs Stad, Stadsrevisionen Granskning av fastighetsnämndens användning av it-system ur säkerhetssynpunkt A Bilagor 1. Fastighetsnämnden Intrångsförsök Fabo och Markis docx 2016 KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. 11
42 Dnr 1710/16 Bilaga 2 Personuppgiftslagen 31 Säkerhetsåtgärder 31 Den personuppgiftsansvarige skall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av a) de tekniska möjligheter som finns, b) vad det skulle kosta att genomföra åtgärderna, c) de särskilda risker som finns med behandlingen av personuppgifterna, och d) hur pass känsliga de behandlade personuppgifterna är. När den personuppgiftsansvarige anlitar ett personuppgiftsbiträde, skall den personuppgiftsansvarige förvissa sig om att personuppgiftsbiträdet kan genomföra de säkerhetsåtgärder som måste vidtas och se till att personuppgiftsbiträdet verkligen vidtar åtgärderna.
Revisionsredogörelse Stadsrevisionen. Nämnden för arbetsmarknad och vuxenutbildning granskning av verksamhetsåret goteborg.
Revisionsredogörelse Stadsrevisionen Nämnden för arbetsmarknad och vuxenutbildning granskning av verksamhetsåret 2015 goteborg.se/stadsrevisionen 2 Mars 2016 Nämnden för arbetsmarknad och vuxenutbildning.
Läs merArkivnämnden granskning av verksamhetsåret 2017
Stadsrevisionen Arkivnämnden granskning av verksamhetsåret 2017 goteborg.se/stadsrevisionen 2 Mars 2018 Arkivnämnden. Granskning av verksamhetsåret 2017 Diarienummer: 0222/17, REV 2017-00095 Stadsrevisionen
Läs merGranskningsredogörelse Stadsrevisionen. Göteborg & Co Träffpunkt AB granskning av verksamhetsåret goteborg.
Granskningsredogörelse Stadsrevisionen Göteborg & Co Träffpunkt AB granskning av verksamhetsåret 2015 goteborg.se/stadsrevisionen 2 Januari 2016 Göteborg & Co Träffpunkt AB. Granskning av verksamhetsåret
Läs merHandling 2018 nr 75. Revisionsberättelse över granskning av verksamheten för Samordningsförbundet Göteborg Hisingen för år 2017
Handling 2018 nr 75 Revisionsberättelse över granskning av verksamheten för Samordningsförbundet Göteborg Hisingen för år 2017 Till Göteborgs kommunfullmäktige Stadsrevisionen har till Göteborgs kommunfullmäktige
Läs merHandling 2017 nr 92. Revisionsberättelse över granskning av verksamheten för Samordningsförbundet Göteborg Hisingen för år 2016
Handling 2017 nr 92 Revisionsberättelse över granskning av verksamheten för Samordningsförbundet Göteborg Hisingen för år 2016 Till Göteborgs kommunfullmäktige Stadsrevisionen har till Göteborgs kommunfullmäktige
Läs merYttrande över revisionsredogörelse 2017
Fastighetskontoret Tjänsteutlåtande Utfärdat 2018-06-15 Diarienummer 1760/18 Handläggare Peter Kim Telefon: E-post: peter.kim@fastighet.goteborg.se Yttrande över revisionsredogörelse 2017 Förslag till
Läs merStadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen
Stadsrevisionen Projektplan Informationssäkerhetsarbetet i Göteborgs Stad goteborg.se/stadsrevisionen 2 PROJEKTPLAN INFORMATIONSSÄKERHETSARBETET I GÖTEBORGS STAD Informationssäkerhetsarbetet i Göteborgs
Läs merRevisionsrapport Översiktlig granskning ledningssystem för systematisk kvalitetsarbete
s revisorer Kommunstyrelsen För kännedom: Kommunfullmäktiges presidium Revisionsrapport Översiktlig granskning ledningssystem för systematisk kvalitetsarbete Revisionen har via KPMG genomfört en granskning
Läs merKommunstyrelsen Granskningsplan för 2018
Stadsrevisionen Kommunstyrelsen Granskningsplan för 2018 goteborg.se/stadsrevisionen 2 K O M M U N S T Y R E L S E N Granskningsplan för 2018 Revisorerna prövar om verksamheten sköts på ett ändamålsenligt
Läs merKommunstyrelsen Granskningsplan för 2016
Stadsrevisionen Kommunstyrelsen Granskningsplan för 2016 goteborg.se/stadsrevisionen 2 K O M M U N S T Y R E L S E N Granskningsplan för 2016 Stadsrevisionens uppdrag är att granska och pröva om kommunstyrelsens
Läs merSamordningsförbundet Norra Dalsland. Revisionsrapport Styrelsens ansvar KPMG AB. Antal sidor: 6. FörvrevRapport08.doc
ABCD Samordningsförbundet Norra Dalsland Styrelsens ansvar KPMG AB Antal sidor: 6 FörvrevRapport08.doc 2009 KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent
Läs merKungsörs kommun. Uppföljning av intern kontroll Revisionsrapport. KPMG AB Antal sidor: 8
Revisionsrapport KPMG AB Antal sidor: 8 KPMG network of independent member firms affiliated with KPMG International Cooperative Innehåll 1. Sammanfattning 1 1.1 Svar på revisionsfrågorna 1 1.2 Bedömning
Läs merABCD Samordningsförbundet Burlöv-Staffanstorp Granskning av förvaltning, bokslut och årsredovisning 2016 Revisionsbiträdesrapport KPMG AB Antal sidor: 4 2017 KPMG AB, a Swedish limited liability company
Läs merGranskning av bokslut och årsredovisning per
Granskning av bokslut och årsredovisning per 2017-12-31 Revisionsrapport 2018-03-23 2018 KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated
Läs merKoncernbokslut 2016 för Göteborgs Stadshus AB-koncernen. Förslag till beslut i styrelsen för Göteborgs Stadshus AB
Bilaga B Styrelsen 2017-02-20 Diarenummer: 0009/17 Handläggare: Berndt Sundström Tel: 031-368 54 58 E-post: berndt.sundstrom@gshab.goteborg.se Koncernbokslut 2016 för Göteborgs Stadshus AB-koncernen Förslag
Läs merRevisionsplan 2016 KUNGSBACKA KOMMUN. Antagen
Revisionsplan 2016 KUNGSBACKA KOMMUN Antagen 2016-04-11 Revisionsplan 2016 1. Uppdrag Revisionens uppdrag är att granska all verksamhet i kommunen. Det innebär att revisorerna prövar om verksamheten sköts
Läs merRevisionsplan 2019 Trollhättans Stad
Revisionsplan 2019 Trollhättans Stad Antagen 2019-04-24 Revisionsplan 2019 1. Uppdrag Revisionens uppdrag är att granska all verksamhet i kommunen. Det innebär att revisorerna prövar om verksamheten sköts
Läs merIntern kontroll och riskbedömningar. Strömsunds kommun
www.pwc.se Revisionsrapport Intern kontroll och riskbedömningar Anneth Nyqvist Mars 2017 Innehåll Sammanfattning... 2 1. Inledning... 3 1.1. Bakgrund... 3 1.2. Syfte och Revisionsfråga... 3 1.3. Kontrollmål
Läs merRevisionsrapport Övergripande granskning
Sida 1(1) Datum Revisionen Till: Styrelsen för För kännedom: Kommunstyrelsen Kommunfullmäktiges presidium Revisionsrapport KPMG har på uppdrag av kommunens revisorer, i egenskap av lekmannarevisorer i
Läs merGöteborgs Stads räkenskaper och bokslut Granskningsplan för 2017
Stadsrevisionen Göteborgs Stads räkenskaper och bokslut Granskningsplan för 2017 goteborg.se/stadsrevisionen 2 GÖTEBORGS STADS RÄKENSKAPER OCH BOKSLUT 2017 Granskningsplan för 2017 Stadsrevisionens uppdrag
Läs merInformationssäkerhetspolicy för Ystads kommun F 17:01
KS 2017/147 2017.2189 2017-06-29 Informationssäkerhetspolicy för Ystads kommun F 17:01 Dokumentet gäller för: Ystads kommuns nämnder, kommunala bolag och kommunala förbund Gäller fr.o.m. - t.o.m. 2017-08-01-tillsvidare
Läs merRevisionsredogörelse Stadsrevisionen. Byggnadsnämnden. granskning av verksamhetsåret goteborg.se/stadsrevisionen
Revisionsredogörelse Stadsrevisionen Byggnadsnämnden granskning av verksamhetsåret 2015 goteborg.se/stadsrevisionen B Y G G N A D S N Ä M N D E N 2 Mars 2016 Byggnadsnämnden. Granskning av verksamhetsåret
Läs merGranskning av bokslut och årsredovisning per
Granskning av bokslut och årsredovisning per 2016-12-31 Revisionsrapport Värnamo kommun 2017-04-10 2017 KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent
Läs merGranskning av landstingets hantering av personuppgifter
Granskning av landstingets hantering av personuppgifter Rapport nr 25/2012 Februari 2013 Susanne Hellqvist, revisor, revisionskontoret Innehåll 1. SAMMANFATTNING... 3 1.1 REKOMMENDATIONER... 4 2. BAKGRUND...
Läs merArboga kommun. Granskning av investeringsprocessen. Projektplan KPMG AB Antal sidor: 5
Granskning av investeringsprocessen Projektplan KPMG AB Antal sidor: 5 firms affiliated with KPMG International, a Swiss cooperative. All Innehåll 1. Bakgrund 1 2. Syfte och revisionsfråga 1 3. Avgränsning
Läs merMölndals stad. Revisionen. Uppföljning av tidigare granskningsrapport avseende kommunstyrelsens uppsikt över nämnder och bolag. Granskningsrapport
MÖLNDALS STAD Revisorerna 2012-03- 06 Diarienr is /kj Mölndals stad Revisionen Uppföljning av tidigare granskningsrapport avseende kommunstyrelsens uppsikt över nämnder och bolag Granskningsrapport KPMG
Läs merMotala kommun. Övergripande granskning 2015 Kommunstyrelsen. Revisionsrapport. Offentlig sektor KPMG. Antal sidor: 9
Kommunstyrelsen Revisionsrapport Offentlig sektor KPMG Antal sidor: 9 2015 KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with
Läs merIT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser
Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Östergötland Kerem Kocaer Magnus Olson-Sjölander Björn Johrén IT-specialister Eva Andlert
Läs merSamordningsförbundet Göteborg Nordost Revisionsredogörelse 2010
Samordningsförbundet Göteborg Nordost Revisionsredogörelse 2010 REVISIONSREDOGÖRELSE FÖR SAMORDNINGSFÖRBUNDET NORDOST 2010 2 Innehåll Sammanfattande bedömning sid 3 Uppföljning av föregående års granskning
Läs merÅrsrapport NU-sjukvården Diarienummer REV
Årsrapport NU-sjukvården 2017 Diarienummer REV 2017 00067 Behandlad av revisorskollegiet den 14 mars 2018 Årsrapport NU-sjukvården, 2018-02-23 2 (6) Innehåll Årets granskning... 3 Styrelsens ansvar...
Läs merGranskning av bokslut och årsredovisning per
Granskning av bokslut och årsredovisning per 2016-12-31 Revisionsrapport Markaryds kommun 2017-04-10 2017 KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent
Läs merMariestads kommun. Övergripande granskning Socialnämnden Rapport. KPMG AB 2013-03-15 Antal sidor: 3
ABCD Mariestads kommun Övergripande granskning Socialnämnden Rapport KPMG AB 2013-03-15 Antal sidor: 3 2013 KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent
Läs merDNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen
TJÄNSTESKRIVELSE Datum DNR: KS2016/918/01 2018-03-07 1 (1) Kommunstyrelsen Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Förslag till beslut Förslaget till Informationssäkerhetspolicy för
Läs merGranskningsrapport: Granskning Uppföljande granskning IT- organisation och funktion.
SKRIVELSE 2016-06-07 Kommunrevisionen Till Kommunstyrelsen Till Kommunfullmäktige, för kännedom Granskningsrapport: Granskning Uppföljande granskning IT- organisation och funktion. Vi har genomfört en
Läs merHofors kommun. Intern kontroll. Revisionsrapport. KPMG AB Mars 2011 Antal sidor: 10
Revisionsrapport KPMG AB Antal sidor: 10 Innehåll 1. Sammanfattning 1 2. Bakgrund 3 3. Syfte 3 4. Avgränsning 3 5. Revisionskriterier 4 6. Ansvarig styrelse/nämnd 4 7. Metod 4 8. Projektorganisation 4
Läs merRevisionsrapport: Översiktlig granskning av delårsrapport per
Revisorerna 1 (1) Kommunstyrelsen För kännedom: Kommunfullmäktiges presidium Revisionsrapport: Översiktlig granskning av delårsrapport per 2018-08-31 Revisorerna har uppdragit till KPMG att genomföra en
Läs merReglemente för Umeå kommuns revisorer
Reglemente för Umeå kommuns revisorer Dokumenttyp: Reglemente Dokumentansvarig: Kommunledningsstaben Beslutad av: Kommunfullmäktige Beslutsdatum: 2016-12-19 DNR: KS-2016/00834 Revisionens roll Revisorerna
Läs merAnsvarsutövande: Nämnden för arbetsmarknad, vuxenutbildning och integration Sundsvalls kommun
www.pwc.se Revisionsrapport Anders Haglund Cert. kommunal revisor Johan Lidström Revisor Ansvarsutövande: Nämnden för arbetsmarknad, vuxenutbildning och integration Sundsvalls kommun Innehållsförteckning
Läs merInformationssäkerhetspolicy. Linköpings kommun
Informationssäkerhetspolicy Linköpings kommun Antaget av: Kommunfullmäktige Status: Antaget 2016-08-30 291 Giltighetstid: Tillsvidare Linköpings kommun linkoping.se Sekretess: Öppen Diarienummer: Ks 2016-481
Läs merStadsledningskontorets system för intern kontroll
Bilaga Stadsledningskontorets system för intern kontroll Inledning I dokumentet redovisas de grundläggande lagarna och reglerna som styr den interna kontrollen samt en definition av begreppet intern kontroll
Läs merMariestads kommun. Övergripande granskning Barn- och utbildningsnämnden Rapport. KPMG AB Antal sidor: 3
ABCD Mariestads kommun Övergripande granskning Barn- och utbildningsnämnden Rapport KPMG AB 0-- Antal sidor: 0 KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent
Läs merInformationssäkerhetspolicy inom Stockholms läns landsting
LS 1112-1733 Informationssäkerhetspolicy inom Stockholms läns landsting 2013-02-01 Beslutad av landstingsfullmäktige 2013-03-19 2 (7) Innehållsförteckning 1 Inledning...3 2 Mål... 4 3 Omfattning... 4 4
Läs merRevisionen i finansiella samordningsförbund. seminarium 2014 01 14
Revisionen i finansiella samordningsförbund seminarium 2014 01 14 Så här är det tänkt Varje förbundsmedlem ska utse en revisor. För Försäkringskassan och Arbetsförmedlingen utser Försäkringskassan en gemensam
Läs merIT-säkerhet Externt och internt intrångstest
Revisionsrapport IT-säkerhet Externt och internt intrångstest Region Halland Kerem Kocaer December 2012 Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Angreppssätt... 4 Syfte och
Läs merUppföljning av tidigare granskning avseende IT-verksamheten
Ljungby kommun Revisorerna 2018-10-08 Till Kommunstyrelsen (KF:s presidium för kännedom) Uppföljning av tidigare granskning avseende IT-verksamheten KPMG har på vårt uppdrag utfört rubricerad granskning.
Läs merIT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser
Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Jönköpings län Kerem Kocaer Johan Elmerhag Jean Odgaard September 2013 Innehållsförteckning
Läs merGranskning av inköp av konsulttjänster i de kommunala bolagen
Granskning av inköp av konsulttjänster i de kommunala bolagen Revisionsrapport Antal sidor 110 2017, a Swedish limited liability company and a member firm of the KPMG network of independent member firms
Läs merAnsvarsutövande: Överförmyndarnämnden
www.pwc.se Revisionsrapport Anders Haglund Cert. kommunal revisor Johan Lidström Revisor Ansvarsutövande: Överförmyndarnämnden Mitt Sundsvalls kommun Innehållsförteckning 1. Inledning... 1 1.1. Bakgrund...
Läs merGranskningsplaner för samordningsförbunden
GRANSKNINGSPLANER ÅR 2015 1 Granskningsplaner för samordningsförbunden år 2015 Stadsrevisionens revisionsplan för år 2015 är utgångspunkt för den granskning som planeras under året. Den kompletteras med
Läs merFamiljebostäder i Göteborg AB Granskningsredogörelse 2011
Familjebostäder i Göteborg AB Granskningsredogörelse 2011 GRANSKNINGSREDOGÖRELSE FÖR FAMILJEBOSTÄDER I GÖTEBORG AB 2011 2 Innehåll Sammanfattande bedömning sid 3 Uppföljning av föregående års granskning
Läs merInformationssäkerhetspolicy för Ånge kommun
INFORMATIONSSÄKERHETSPOLICY 1 (10) Informationssäkerhetspolicy för Ånge kommun Denna informationssäkerhetspolicy anger hur Ånge kommun arbetar med informationssäkerhet och uttrycker kommunens stöd för
Läs merRevisionsredogörelse Stadsrevisionen. Park- och naturnämnden granskning av verksamhetsåret goteborg.se/stadsrevisionen
Revisionsredogörelse Stadsrevisionen Park- och naturnämnden granskning av verksamhetsåret 2015 goteborg.se/stadsrevisionen 2 Mars 2016 Park- och naturnämnden. Granskning av verksamhetsåret 2015 Diarienummer:
Läs merRevisorerna. Revisionsstrategi. Antagen
Revisorerna Revisionsstrategi 2017 2018 Antagen 2017-06-15 Innehållsförteckning 1 BAKGRUND... 3 1.1 Den kommunala revisionens uppgift utgår från fullmäktige... 3 1.2 Skillnader mellan privat och kommunal
Läs merLars Jönsson, sekreterare Miljö & byggnämndens presidium Tommy Nyberg, KPMG granskningsledare. Kommunhuset ~J;;li;:
ÄLMHUL TS KOMMUN Kommunrevisionen SAMMANTRÄDESPROTOKOLL Sammanträdesdatum Sida 1 () ) Plats och tid Beslutande Kommunhuset i Älmhult måndagen den 1 augusti 013 kl. 08.30-11.30 Ake Örnhede Lars Hellström
Läs merRiktlinjer för IT-säkerhet i Halmstads kommun
Riktlinjer för IT-säkerhet i Halmstads kommun VER 1.0 Innehåll Inledning...3 Definition av IT-säkerhet...3 Omfattning...3 Vikten av IT-säkerhet...3 Mål för IT-säkerhetsarbetet...4 Ledning och ansvar...4
Läs merGranskning av bokslut 2012 RappOIi
Värmlands läns Vårdförbund Granskning av bokslut 01 RappOIi Audjt KPMGAB Antal sidor: 6 II Rapport 0 1 V årdförbundet.docx 013 KPMG AB, a Swedish limited liahility company and a member firm oflhe KPMG
Läs merRevisionen i finansiella samordningsförbund. seminarium
Revisionen i finansiella samordningsförbund seminarium 2015 10 13 Så här är det tänkt Varje förbundsmedlem ska utse en revisor. För Försäkringskassan och Arbetsförmedlingen utser Försäkringskassan en gemensam
Läs merRiktlinjer för säkerhetsarbetet vid Uppsala universitet
Dnr UFV 2010/424 Riktlinjer för säkerhetsarbetet vid Uppsala universitet Fastställda av Universitetsdirektören 2010-03-31 Innehållsförteckning 1 Inledning 3 2 Ansvar 3 3 Underlåtelse 3 4 Definitioner 3
Läs merSamordningsförbundet Göteborg Nordost Granskningsplan för 2018
Stadsrevisionen Samordningsförbundet Göteborg Nordost Granskningsplan för 2018 goteborg.se/stadsrevisionen 2 S A M O R D N I N G S F Ö R B U N D E T G Ö T E B O R G N O R D O S T Granskningsplan för 2018
Läs merKommunal revision. Utbildning Uddevalla kommun
Kommunal revision Utbildning Uddevalla kommun 2019 01 23 Agenda Varför kommunal revision? Den kommunala revisionens uppdrag Revisionsprocessen Ett revisionsår Frågor? Sida 2 Varför kommunal revision? The
Läs merProjekt med extern finansiering styrning och kontroll
www.pwc.se Revisionsrapport Bo Rehnberg Cert. kommunal revisor Johan Lidström Revisor Projekt med extern finansiering styrning och kontroll Sollefteå kommun Innehållsförteckning 1. Sammanfattning... 1
Läs merVad är kommunal revision? Den revision som bedrivs i kommuner, landsting, regioner och kommunalförbund
Vad är kommunal revision? Den revision som bedrivs i kommuner, landsting, regioner och kommunalförbund Den här bildserien informerar om vad den kommunala revisionen är och hur den fungerar. Bilderna kan
Läs merSamordningsförbundet Göteborg Hisingen Granskningsplan för 2017
Stadsrevisionen Samordningsförbundet Göteborg Hisingen Granskningsplan för 2017 goteborg.se/stadsrevisionen 2 S A M O R D N I N G S F Ö R B U N D E T G Ö T E B O R G H I S I N G E N Granskningsplan för
Läs merAnsvarsutövande: Stadsbyggnadsnämnden
www.pwc.se Revisionsrapport Anders Haglund Cert. kommunal revisor Johan Lidström Revisor Ansvarsutövande: Stadsbyggnadsnämnden Sundsvalls kommun Innehållsförteckning 1. Inledning... 1 1.1. Bakgrund...
Läs merIdrottsnämndens system för internkontroll
Idrottsförvaltningen Avdelningen för lednings- och verksamhetsstöd Sida 1 (7) 2016-11-30 IDN 2016-12-20 Handläggare Sara Östling Telefon: 08-508 27 918 Till Idrottsnämnden Idrottsnämndens system för internkontroll
Läs merStadsrevisionen. Projektplan. Intern styrning och kontroll leverantörer. goteborg.se/stadsrevisionen
Stadsrevisionen Projektplan Intern styrning och kontroll leverantörer goteborg.se/stadsrevisionen 2 INTERN STYRNING OCH KONTROLL LEVERANTÖRER Intern styrning och kontroll leverantörer I revisionsplanen
Läs merInternt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6)
Internt penetrationstest Tierps kommun Revisionsrapport Juni 2011 Erik Norman 1(6) Innehållsförteckning 1. Sammanfattning... 3 1.1. Bakgrund... 3 1.2. Revisionsfråga... 3 2. Angreppssätt... 4 2.1. Omfattning
Läs merAnsvarsutövande: Lantmäterinämnden Sundsvalls kommun
www.pwc.se Revisionsrapport Anders Haglund Cert. kommunal revisor Johan Lidström Revisor Ansvarsutövande: Lantmäterinämnden Sundsvalls kommun Innehållsförteckning 1. Inledning... 1 1.1. Bakgrund... 1 1.2.
Läs merRevisionsrapport: Granskning av bokslut och årsredovisning per 2013-12-31
Revisorerna Direktionen Revisionsrapport: Revisionen har genom KPMG genomfört en granskning av bokslut och årsredovisning, se bifogad rapport. Revisionen önskar att direktionen lämnar synpunkter på de
Läs merAnsvarsutövande: Barn- och utbildningsnämnden Sundsvalls kommun
www.pwc.se Revisionsrapport Anders Haglund Cert. kommunal revisor Johan Lidström Revisor Ansvarsutövande: Barn- och utbildningsnämnden Sundsvalls kommun Innehållsförteckning 1. Inledning... 1 1.1. Bakgrund...
Läs merREVISIONSPLAN Beslutad av revisorerna Kommunrevisionen
REVISIONSPLAN 2018 Beslutad av revisorerna 2018-04-18 Kommunrevisionen 1. Uppdrag... 3 2. Mål... 3 3. Arbetssätt... 4 4. Samverkan kommunfullmäktige revisorskollegiet... 4 5. Inriktning... 4 6. Analys
Läs merRiktlinje för intern styrning och kontroll avseende Norrköping Rådhus AB:s bolagskoncern
Riktlinje Riktlinje för intern styrning och kontroll avseende Norrköping Rådhus AB:s bolagskoncern Beslutat av Norrköping Rådhus AB den 11 februari 2015 Enligt Kommunallagen (6 Kap 7 ) ska nämnder och
Läs merGranskning av årsredovisning
Diskussionsunderlaget redogör för hur granskning av kommunala årsredovisningar kan utföras. Förutom en redogörelse för hur granskningen genomförs finns förlag på vilka uttalanden som bör göras och hur
Läs merPolicy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1
DIARIENUMMER: KS 47/2018 FASTSTÄLLD: 2018-04-10 VERSION: 1 SENAS T REVIDERAD: GILTIG TILL: DOKUMENTANSVAR: Tills vidare Fullmäktige Policy Policy för informationssäkerhet och personuppgiftshantering i
Läs merRiktlinjer för intern kontroll
Riktlinjer för intern kontroll KS 2018-12-05 161 Dokumenttyp Riktlinjer Gäller för Samtliga förvaltningar i Bjuvs kommun Version 2 Giltighetsperiod Tillsvidare Dokumentägare Kommunchef Beslutat/antaget
Läs merArkivnämnden Granskningsplan för 2016
Stadsrevisionen Arkivnämnden Granskningsplan för 2016 goteborg.se/stadsrevisionen 2 ARKIVNÄMNDEN Granskningsplan för 2016 Stadsrevisionens uppdrag är att granska och pröva om nämndens verksamhet sköts
Läs merPolicy för informations- säkerhet och personuppgiftshantering
Policy för informations- säkerhet och personuppgiftshantering i Vårgårda kommun Beslutat av: Kommunfullmäktige för beslut: 208-04- För revidering ansvarar: Kommunfullmäktige Ansvarig verksamhet: Strategisk
Läs merReglemente för revisorerna i Vingåkers kommun
VK400S v1.0 040416 L:\Dokument\Författningssamling\Flik 3.17 Reglemente för revisorerna i Vingåkers kommun, rev 2015.doc FÖRFATTNINGSSAMLING Flik 3.17 Antaget av kommunfullmäktige 2006-11-27, 127 Gäller
Läs merReglemente för revisorerna i Knivsta kommun Antaget av Kommunfullmäktige 57,
Datum Diarienummer 2010-04-29 KS-2009/1033 Reglemente för revisorerna i Knivsta kommun Antaget av Kommunfullmäktige 57, 2010-04-29 Reglemente för revisorerna i Knivsta kommun I anslutning till allt som
Läs merUppföljning av granskning 2014 Intern kontroll. Smedjebackens kommun
www.pwc.se Revisionsrapport Uppföljning av granskning 2014 Intern kontroll Hans Gåsste Linnéa Grönvold November 2015 Innehåll Sammanfattning... 2 Inledning... 3 1.1. Bakgrund... 3 1.2. Uppdraget... 3 1.3.
Läs merGransknings-PM AB Ekerö Bostäder 2011
2012-03-29 Richard Vahul Gransknings-PM AB Ekerö Bostäder 2011 1. Sammanfattande bedömning Inom ramen för lekmannarevisorernas årliga revision genomförs viss fördjupad granskning som ett kompletterande
Läs merGranskning av delårsrapport
Revisionsrapport Granskning av delårsrapport 2012-08-31 Smedjebackens kommun Malin Liljeblad Godkänd revisor Fredrik Winter Revisor Oktober 2012 Innehållsförteckning 1 Sammanfattande bedömning 1 2 Inledning
Läs merReglemente för revisorerna i Grums kommun
REGLEMENTE FÖR REVISORERNA I GRUMS KOMMUN Datum Antagen av Kommunfullmäktige Reviderad datum Paragraf 14 1(5) Reglemente för revisorerna i Grums kommun 2(5) Reglemente för revisorerna i Grums kommun Revisionens
Läs merInformations- och IT-säkerhet i kommunal verksamhet
Informations- och IT-säkerhet i kommunal verksamhet En kommuns roll i trygghets och säkerhetsarbetet och var informations- och IT-säkerheten kommer in i detta Vad, vem och hur man kan arbeta med informations-
Läs merInformationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad
Informationssäkerhetspolicy i Borlänge kommunkoncern Beslutad av kommunfullmäktige 2012-12-18 238, reviderad 2017-09-19 153 Metadata om dokumentet Dokumentnamn Informationssäkerhetspolicy i Borlänge kommunkoncern
Läs merRevisionsrapport: Uppföljning av rapport Genomlysning av IFO
Revisorerna Socialnämnden För kännedom: Kommunstyrelsen Kommunfullmäktiges presidium Revisionsrapport: Uppföljning av rapport Genomlysning av IFO Revisionen har genom KPMG genomfört en uppföljning av rapporten
Läs merReglemente för revisorerna
Revisionens uppdrag 1 Revisorernas uppgift är att varje år granska den verksamhet som bedrivs inom nämnders, styrelsers och fullmäktigeberedningars verksamhetsområden. De granskar och prövar om verksamheten
Läs merReglemente. Reglemente för kommunrevisionen KS-221/2010. Detta reglemente gäller från och med den 1 januari 2011.
Reglemente 2010-12-20 Reglemente för kommunrevisionen KS-221/2010 Detta reglemente gäller från och med den 1 januari 2011. Reglementet ersätter det reglemente som beslutades av kommunfullmäktige den 16
Läs merInformationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting
Informationssäkerhetspolicy för Stockholms läns landsting 1 Innehållsförteckning Inledning... 3 Mål... 4 Omfattning... 4 Innebörd... 4 Ansvar... 6 Uppföljning och revidering... 7 LS 1112-1733 Beslutad
Läs merLokala regler och anvisningar för intern kontroll
Kulturförvaltningen TJÄNSTEUTLÅTANDE Diarienummer: Avdelningen för verksamhets- och ledningsstöd 2019-03-27 KN 2019/364 Handläggare: Harald Lindkvist Lokala regler och anvisningar för intern kontroll Ärendebeskrivning
Läs merwww.pwc.se Revisionsrapport Granskning av intern kontroll Joanna Hägg Tilda Lindell Tierps kommun September 2014 pwc
www.pwc.se Revisionsrapport Joanna Hägg Tilda Lindell Granskning av intern kontroll Tierps kommun pwc Innehållsförteckning 1. Sammanfattning och revisionell bedömning... 1 2. Inledning... 2 2.1. Granskningsbakgrund...
Läs merIntern kontroll och riskbedömningar. Sollefteå kommun
www.pwc.se Revisionsrapport Intern kontroll och riskbedömningar Bo Rehnberg Cert. kommunal revisor Erik Jansen November 2017 Innehåll Sammanfattning... 2 1. Inledning... 3 1.1. Bakgrund... 3 1.2. Syfte
Läs merGranskning intern kontroll
Revisionsrapport Granskning intern kontroll Kinda kommun Karin Jäderbrink Cert. kommunal revisor Innehållsförteckning 1 Sammanfattande bedömning 1 2 Bakgrund 2 2.1 Uppdrag och revisionsfråga 2 2.2 Avgränsning
Läs merREGLEMENTE FÖR REVISORERNA I TJÖRNS KOMMUN. Antaget av kommunfullmäktige , 127
REGLEMENTE FÖR REVISORERNA I TJÖRNS KOMMUN Antaget av kommunfullmäktige 2006-11-09, 127 Revisionens roll 1 Revisorerna och lekmannarevisorerna, i bolagen, (revisionen) är fullmäktiges och ytterst medborgarnas
Läs merAnsvarsutövande: Kommunstyrelsen Sundsvalls kommun
www.pwc.se Revisionsrapport Anders Haglund Cert. kommunal revisor Johan Lidström Revisor Ansvarsutövande: Kommunstyrelsen Sundsvalls kommun Innehållsförteckning 1. Inledning... 1 1.1. Bakgrund... 1 1.2.
Läs merLUDVIKA KOMMUN 1 (5) Kommunal författningssamling Revisionsreglemente. Revisionens roll
LUDVIKA KOMMUN 1 (5) Revisionsreglemente Revisionens roll 1 Revisorernas uppgift är att varje år granska den verksamhet som bedrivs inom nämnders, styrelsers och fullmäktigeberedningars verksamhetsområden.
Läs merAnsvarsutövande: Miljönämnden Sundsvalls kommun
www.pwc.se Revisionsrapport Anders Haglund Cert. kommunal revisor Johan Lidström Revisor Ansvarsutövande: Miljönämnden Sundsvalls kommun Innehållsförteckning 1. Inledning... 1 1.1. Bakgrund... 1 1.2. Revisionsfråga...
Läs merKramfors kommun. BAS-förvaltningens hyresavtal Revisionsrapport. Offentlig sektor - kommuner och landsting KPMG AB 13 november 2013 Antal sidor: 9
ABCD Kramfors kommun BAS-förvaltningens hyresavtal Revisionsrapport Offentlig sektor - kommuner och landsting KPMG AB 13 november 2013 Antal sidor: 9 Rapport BAS-förvaltningens hyresavtal 20131113.docx
Läs merInternrevisionen Förslag till revisionsplan för år 2009 Jan Sandvall Dnr B5 269/09 REVISIONSPLAN FÖR ÅR 2009
Internrevisionen Förslag till revisionsplan för år 2009 Jan Sandvall 2009-02-18 Dnr B5 269/09 REVISIONSPLAN FÖR ÅR 2009 1 Inledning Internrevisionen vid Göteborgs universitet bedrivs i enlighet med internrevisionsförordningen
Läs merIT-säkerhet Internt intrångstest
Revisionsrapport IT-säkerhet Internt intrångstest Botkyrka kommun Janne Swenson Maj 2015 Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Väsentlighets- och riskanalys... 3 Angreppssätt...
Läs mer