Revisionsrapport Granskning av stadens internkontrollplan samt nyckelkontroller inom ekonomiadministration och IT

Transkript

1 Revisionsrapport 3/2012 Genomförd på uppdrag av revisorerna Revisionsrapport Granskning av stadens internkontrollplan samt nyckelkontroller inom ekonomiadministration och IT Nicklas Samuelsson Magnus Nilsson Lidingö stad

2 Innehållsförteckning 1 Sammanfattande bedömning och rekommendationer Inledning Bakgrund Revisionsfrågor Granskningens inriktning och omfattning Processkontroller Generella IT-kontroller Detaljerade observationer och rekommendationer avseende processkontroller Ej genomförd stickprovskontroll av inlagda attestanter och slutattestanter Avsaknad av formell kontrollbeskrivning samt enhetligt kontrollutförande Bristfälligt kontrollutförande av utanordningslistor Brister i genomförd kontroll för periodisk granskning av användare i ekonomisystemet Agresso Detaljerade observationer och rekommendationer avseende IT-kontroller Ej uppdaterade IT-policy dokument Avsaknad av formell förändringsrutin Avsaknad av definierad process avseende testgodkännanden samt brist i spårbarhet av densamma Brister i genomförd kontroll för periodisk granskning av användare i ekonomisystemet Agresso Brist i genomgång av systemets säkerhetsparametrar... 9 Lidingö stad

3 1 Sammanfattande bedömning och rekommendationer Som ett led i granskningen av Lidingö stads räkenskaper har på uppdrag av stadens förtroendevalda revisorer granskat den interna kontrollen inom ekonomiadministrationen. Vår granskning har utgått från den internkontrollplan som staden har upprättat. Internkontrollplanen utgår från de risker som staden under tidigare år har identifierat genom riskanalyser av verksamhetens processer. Vi () har för ett urval väsentliga processer för den finansiella revisionen valt ut ett antal nyckelkontroller ut internkontrollplanen som vi har validerat för att säkerställa att kontrollen är korrekt implementerad och fungerar över tiden. Följande revisionsfrågor har legat till grund för granskningen: Är nyckelkontroller i stadens riskanalys ändamålsenligt utformade och fungerar över tid? Är IT-kontroller avseende ekonomisystemet Agresso ändamålsenligt utformade och fungerar över tid. Efter genomförd granskning är vår bedömning är att den interna kontrollen har en ändamålsenlig struktur och att majoriteten av de kontroller vi testat fungerar löpande över tid. Vi vill även framhålla att det finns en ambition att arbeta aktivt med att förbättra och utveckla den interna kontrollen inom Lidingö stad. Inom vissa områden har vi dock noterat att staden har möjlighet att förbättra eller förstärka den interna kontrollen, främst relaterat till kontrollutförande och hur detta dokumenteras. För detaljerade observationer, risker och rekommendationer, refereras till avsnitt 4 och 5. Lidingö stad 1 av 9

4 2 Inledning 2.1 Bakgrund Som ett led i granskningen av Lidingö stads räkenskaper har på uppdrag av stadens förtroendevalda revisorer granskat den interna kontrollen inom ekonomiadministrationen. Intern kontroll är en process som utformas för att ge en rimlig försäkran om att stadens mål uppnås inom följande områden: Ändamålsenlig och effektiv verksamhet Tillförlitlig ekonomisk och verksamhetsmässig rapportering Efterlevnad av tillämpliga lagar och förordningar Utgångspunkt i granskningen har varit stadens internkontrollplan. har granskat och bedömt ändamålsenligheten i stadens internkontrollplan samt bedömt om kontrollerna i internkontrollplanen är tillräckliga. Granskning avseende internkontroll för finansiell rapportering har skett utifrån stadens riskanalys för ekonomiadministrationen och arbetet med internkontrollplanen. I granskningen har nyckelkontroller inom redovisningsprocessen identifierats och bedömts. Granskningen har fokuserat på området tillförlitlig ekonomisk rapportering. Granskning och bedömning av den interna kontrollen har utförts för ett urval processer inom ekonomiadministrationen. Vidare har också granskning av ITkontroller avseende ekonomisystemet Agresso utförts. Granskningen av IT-kontroller för Agresso har fokuserat på områden som påverkar den finansiella rapporteringen enligt nedan: IT-styrning Programutveckling och förändring Åtkomstkontroll Datordrift 2.2 Revisionsfrågor Följande revisionsfrågor ska besvaras med anledning av granskningen: Är nyckelkontroller i stadens riskanalys ändamålsenligt utformade och fungerar över tid? Är IT-kontroller avseende ekonomisystemet Agresso ändamålsenligt utformade och fungerar över tid? Lidingö stad 2 av 9

5 3 Granskningens inriktning och omfattning 3.1 Processkontroller Som ett led i vår granskning av räkenskaper och förvaltning har vi genomfört en granskning av kontroller inom ett urval processer hos Lidingö stad. Uppdraget har genomförts under juni 2012 av representanter från revisionsteamet på. Rapporten är skriven i avvikelseform, vilket innebär att den endast redovisar de områden där vi identifierat förbättringspotential. för åtgärd presenteras för varje observation. Granskningen omfattar totalt 25 utvalda nyckelkontroller för räkenskapsåret Granskningen har utförts i syfte att bestämma revisionsstrategi, vilket innebär att våra observationer inte kan förväntas inkludera alla möjliga förbättringar i den kontrollen. Vårt arbete har berört de områden av nyckelkontroller som redovisas i tabellen nedan. Granskningen har främst genomförts genom intervjuer med personal från olika avdelningar och enheter hos Lidingö stad samt genomgång av dokumentation. Validering har skett genom stickprovstest av identifierade nyckelkontroller. Extern Fakturering - Avstämning från försystem till huvudbok - Avstämning av fakturerat belopp och inläst belopp - Attestering av kreditnotor Kundreskontra - Avstämning av konton för felaktiga inbetalningar - Avstämning av kundreskontra och huvudbok Kravverksamhet - Genomgång av utestående kundfordringar med avseende på reserveringsbehov Leverantörsfakturering - Leverantörskontroll innan upplägg i leverantörsregister - Kontroll av att slutattestanter, attestanter och beställare lagts in korrekt i ekonomisystemet Agresso - Analytisk kontroll av verksamhetens kostnader - Automatisk kontroll som säkerställer att attestant och slutattestant inte är densamme - Kontroll innan definitivbokföring av manuella fakturor att slutattest och attest skett av behörig person - Kontroll av att transaktioner med stora belopp har korrekt periodisering - Kontroll av daglig utbetalningsfilen innehållande dagens definitvbokförda fakturor - Avstämning mellan leverantörsreskontran och huvudbok Löner - Kontroll av att rätt person har rätt behörighet - Kontroll av att grundlistor är signerade av personalansvarig chef - Kontroll av singallistor - Kontroll av utanordningslistor - Avstämning av lönekörningen och bankfil Övriga utbetalningar - Kontroll av dubbelattestering från förvaltningarna innan utbetalning Lidingö stad 3 av 9

6 Finansiella anläggningstillgångar (AT) Hand- /Försäljningskassor Behörighetsadministration - Kontroll av innehavet i externa förvaltarens månadsrapport - Inventering av samtliga handkassor - Avstämning av kontantkassor och bokat belopp - Kontroll att konsulter stängs av efter avslutat uppdrag - Kontroll av användare som har eller har haft hög behörighet under kontrollperioden 3.2 Generella IT-kontroller Som ett led i vår granskning av räkenskaper och förvaltning har vi genomfört en granskning av generella IT-kontroller för den verksamhetskritiska applikationen Agresso (ekonomisystemet) som vi bedömt som mest relevant i den finansiella revisionen. Uppdraget har genomförts under juni Granskningen omfattar ett antal utvalda generella IT-kontroller för räkenskapsåret Granskningen har utförts i syfte att bestämma revisionsstrategi, vilket innebär att våra observationer inte kan förväntas inkludera alla möjliga förbättringar i den interna kontrollen. Vårt arbete har berört de områden av generella IT-kontroller som redovisas i tabellen nedan. Granskningen har främst genomförts genom intervjuer med Systemansvariga, Systemförvaltare och Databasadministratör hos Lidingö stad. Förutom intervjuer har Vi även utfört begränsade tekniska tester och granskat stödjande dokument och procedurer relevanta inom kontrollramverket för IT. IT-styrning (IS) Programutveckling och förändringar (PU/PF) Åtkomstkontroll (ÅK) Datordrift (DD) - Styrande dokument för IT-verksamheten finns definierade - Systemförändringar till kritiska applikationer initieras genom formell begäran - Systemförändringar till kritiska applikationer godkänns fullständigt och riktigt - Systemförändringar vilka implementeras i produktionsmiljön godkänns fullständigt och riktigt innan driftsättning - Data från äldre systemversioner konverteras fullständigt - Akuta förändringar blir godkända och av systemansvarig (eller för där avsedd representant) - Begränsad åtkomst till produktionsmiljön för utvecklare - Formella rutiner vid upplägg av nya användare eller ändringar i befintliga behörigheter - Periodisk genomgång av användare och deras respektive behörigheter - Säkerhetskonfiguration granskas i perioder för att säkerställa att rådande konfiguration följer policy - Kontroll och övervakning av åtgärder utförda av privilegierade användare - Kontroll att vitala batch jobb genomförs fullständigt och riktigt - Back up rutiner finns på plats vilka säkerställer redundans i data - Åtkomst till serverrum är begränsad Lidingö stad 4 av 9

7 4 Detaljerade observationer och rekommendationer avseende processkontroller Granskningen har resulterat i ett antal områden där vi anser att Lidingö stad har möjlighet att förbättra eller förstärka den interna kontrollen. Den övergripande bedömningen är att Lidingö stad har en intern kontrollmiljö som är tillfredställande men att det finns utrymme för förbättring av processer och vissa kontroller. 4.1 Ej genomförd stickprovskontroll av inlagda attestanter och slutattestanter I stadens internkontrollplan finns en stickprovskontroll uppsatt som har till mål att säkerställa att attestantnivåer är korrekt uppsatta i ekonomisystemet Agresso. Genom granskning noterades denna årliga stickprovskontroll ej har genomförts under verksamhetsåret 2011 eller under de två första kvartalen för verksamhetsåret Utan en regelbunden periodisk granskning av aktuella attesteringsnivåer ökar risken för att användare har behörigheter som inte är aktuella för nuvarande arbetsuppgifter, eller att personen slutat vid Lidingö stad men att behörigheter kvarstår. Därmed ökar också risken för otillbörlig åtkomst och användning av applikationen eller systemet. Vi rekommenderar att Lidingö stad utför kontrollen enligt kontrollbeskrivningen (1-2 gr/år) för att säkerställa att attestnivåer ligger korrekt gentemot den anställdas arbetsuppgifter. Vidare rekommenderas att kontrollen dokumenteras efter genomförande för att möjliggöra spårbarhet och bevis på genomförd kontroll. 4.2 Avsaknad av formell kontrollbeskrivning samt enhetligt kontrollutförande Genom intervju med två ekonomichefer har det noterats att den månatliga analytiska kontrollen som utförs avseende enheternas kostnader och intäkter inte genomförs på ett enhetligt sätt utan utförandet är beroende av vilken ekonomichef som genomför kontrollen. Bristande samstämmighet i kontrollutförandet ökar risken för att precisionen i kontrollen minskar och därmed att felaktigheter ej uppmärksammas. Vi rekommenderar at Lidingö stad att skapar en formell kontrollbeskrivning som samtliga ekonomichefer följer och utför på ett enhetligt sätt som en del av månadsbokslutet. Denna kontrollbeskrivning kan exempelvis innehålla vilka Lidingö stad 5 av 9

8 standardrapporter från Agresso som skall analyseras samt beskriva acceptabla beloppsgränser/procentuella avvikelser som skall kommenteras och dokumenteras. 4.3 Bristfälligt kontrollutförande av utanordningslistor Genom granskning noterades att flertalet enhetschefer ej signerat av utanordningslistorna för sin enhet i den digitala loggen, vilket är en obligatorisk uppgift att utföra i den processbeskrivning som distribuerats av lönechefen. Förmildrande omständighet är att stickprovskontroller redan har påbörjats för att säkerställa att attestering sker av enheternas löneutbetalning. Vidare finns det också automatiska kontroller uppsatta som stoppar eller varnar om ex. lönebelopp har stora fluktuationer i lönebelopp från en period till en annan. Avsaknad av attestering av utanordningslistor ökar risken för felaktiga lönebelopp ej upptäckts. Vi rekommenderar att Lidingö stad fullföljer den implementerade stickprovskontrollen relaterad till attestering av utanordningslistor av resp. enhetschef. Detta för att ytterligare säkerställa att detta moment blir utfört som det är beskrivet i det formaliserade arbetsflödet för lönehantering. 4.4 Brister i genomförd kontroll för periodisk granskning av användare i ekonomisystemet Agresso Genom granskning noterades att kontrollen för periodisk granskning av användarkonton i ekonomisystemet Agresso och dess samstämmighet med personalens arbetsuppgifter ej har utförts under verksamhetsåret 2011 eller för granskningsperioden så långt för verksamhetsåret Utan en regelbunden granskning av aktuella behörighetsnivåer ökar risken att användare har behörigheter som inte är aktuella för nuvarande arbetsuppgifter, eller att personen slutat vid Lidingö stad men att systembehörigheter kvarstår. Därmed ökar risken för otillbörlig åtkomst och användning av applikationen eller systemet. Vi rekommenderar att Lidingö stad håller den formella kontrollrutinen uppdaterad och att den efterföljs för att regelbundet kunna säkerställa att användare (inkl. användare med höga administrationsbehörigheter) i ekonomisystemet Agresso innehar behörigheter som motsvarar individens arbetsuppgifter samt poängtera vikten av att denna kontroll genomförs för verksamhetsåret Vidare rekommenderas att kontrollen dokumenteras efter genomförande för att möjliggöra spårbarhet och bevis på genomförd kontroll. Lidingö stad 6 av 9

9 5 Detaljerade observationer och rekommendationer avseende ITkontroller Granskningen har resulterat i ett antal områden där vi () anser att Lidingö stad har möjlighet att förbättra eller förstärka den interna kontrollen inom IT-miljön. Den övergripande bedömningen är att Lidingö stad har en kontrollmiljö som är tillfredställande men att det finns utrymme för förbättring av processer och vissa kontroller. 5.1 Ej uppdaterade IT-policy dokument Genom granskning noterades att det finns styrande dokument som gäller för hur ITverksamheten ska förhålla sig, se lista nedan. Det noterades att vissa av dessa policydokument inte är fullt uppdaterade. Dokumentnamn Uppdaterat IT-policy för Lidingö stad Informationssäkerhetspolicy för Lidingö stad Lidingö Stads IT-plattform Lidingö Stads modell för förvaltning av IT-system Avsaknad av eller icke uppdaterade formella dokument gällande riktlinjer för IT ökar risken för en IT-miljö vilken inte är upprättad i enlighet med verksamhetens krav. Vi rekommenderar att Lidingö stad säkerställer att gällande policy dokument relaterat till IT gås igenom samt vid behov uppdateras för att återspegla verksamhetens krav och behov av IT och slutligen godkänns och dateras. Datering rekommenderas även i fall då inga ändringar gjorts i dokumentet då det indikerar en kvalitetssäkring i sig. 5.2 Avsaknad av formell förändringsrutin Genom granskning noterades att det saknas genomgående formaliserade riktlinjer för hantering av förändringar. Viss typ av dokumentation finns men denna är inte genomgående för alla typer av förändringar och redovisar ex. inte vilka personer som har rätt till att beställa åtgärder till Agressos support avseende akuta förändringar samt hur mindre förändringar hanteras i verksamheten. Genom avsaknad av en formell förändringsrutin för infrastruktur och applikationer ökar risken för felaktiga förändringar i produktionsmiljön som kan påverka hela ITmiljön, information och finansiell rapportering. Lidingö stad 7 av 9

10 Vi rekommenderar att Lidingö stad utarbetar en mer dokumenterad förändringsrutin. Ändringsrutinen bör som minimum innehålla: Godkännande av förändringen Godkännande av testresultat Godkännande av driftsättning Dokumentationskrav Rutinen bör också hantera alla typer av förändringar dvs. normala och akuta för både mjuk- och hårdvara. 5.3 Avsaknad av definierad process avseende testgodkännanden samt brist i spårbarhet av densamma Genom granskning noterades att det inte finns någon formellt definierad process för hur godkännande av förändringsärenden ska hanteras från verksamheten innan implementering sker. Godkännanden av test finns men det formella godkännandet för att en förändring är klar för implementering sköts informellt via ex. eller telefon av systemansvarig direkt till berörda representanter för Agresso. Brist på dokumenterade godkännanden av förändringar försvårar kontroll över ändringar och uppföljning om fel inträffar efter produktionssättning. Om produktionssättning utförs utan tillbörliga godkännanden finns en ökad risk att felaktiga förändringar införs i produktionsmiljön avsiktligt eller oavsiktligt. Vi rekommenderar att Lidingö stad förbättrar den formella förändringsrutinen, genom att definiera krav på godkännanderutin för olika typer av förändringar till Agresso. Samtliga godkännanden bör dokumenteras och arkiveras. 5.4 Brister i genomförd kontroll för periodisk granskning av användare i ekonomisystemet Agresso Genom granskning noterades att kontrollen för periodisk granskning av användarkonton i ekonomisystemet Agresso och dess samstämmighet med personalens arbetsuppgifter ej har utförts under verksamhetsåret 2011 eller för granskningsperioden så långt för verksamhetsåret Utan en regelbunden granskning av aktuella behörighetsnivåer ökar risken att användare har behörigheter som inte är aktuella för nuvarande arbetsuppgifter, eller att personen slutat vid Lidingö Stad men att systembehörigheter kvarstår. Därmed ökar risken för otillbörlig åtkomst och användning av applikationen eller systemet. Lidingö stad 8 av 9

11 Vi rekommenderar att Lidingö stad håller den formella kontrollrutinen uppdaterad och att den efterföljs för att regelbundet kunna säkerställa att användare (inkl. användare med höga administrationsbehörigheter) i ekonomisystemet Agresso innehar behörigheter som motsvarar individens arbetsuppgifter samt poängtera vikten av att denna kontroll genomförs för verksamhetsåret Vidare rekommenderas att kontrollen dokumenteras efter genomförande för att möjliggöra spårbarhet och bevis på genomförd kontroll. 5.5 Brist i genomgång av systemets säkerhetsparametrar Genom granskning noterades att periodiska kontroller av säkerhetsparametrar inte utförts. Det är endast systemförvaltare som har tillräcklig behörighet i systemet för att kunna undersöka samt förändra säkerhetsparametrar. Lösenordsinställningar följer stadens generella ramverk vad gäller frekvens av lösenordsbyte och komplexitet. Avsaknad av periodisk genomgång av säkerhetsparametrar ökar risken för att avsiktliga eller oavsiktliga förändringar ej upptäcks vilket kan försämra den allmänna applikationssäkerheten. Vi rekommenderar att Lidingö stad tillsammans med leverantören Agresso upparbetar en gemensam process som innebär en regelbunden årlig genomgång av säkerhetsparametrar i Agresso. Utöver detta, som också noteras i observation 1, skall genomgången följa en ständigt uppdaterad formell säkerhetspolicy som bland annat finns definierad i kommunens dokument Informationssäkerhetspolicy för Lidingö stad Peter Alm Projektledare Anders Haglund Uppdragsledare Lidingö stad 9 av 9