Sollentuna kommun. Generella IT kontroller Visma Affärslösningar. Detaljerade observationer och rekommendationer. November 2017

Transkript

1 Sollentuna kommun Generella IT kontroller Visma Affärslösningar Detaljerade observationer och rekommendationer November 2017 Fredrik Dreimanis Johan Jelbring Jesper Östling

2 Innehållsförteckning Sammanfattning av granskningen... 3 Bakgrund och omfattning...4 Detaljerade observationer och rekommendationer av 13

3 Sammanfattning av granskningen I samband med revisionsplaneringen för Sollentuna kommun har en risk- och väsentlighetsanalys genomförts där system samt applikationer kopplat till den finansiella rapporteringen bedömts som kritiska. Baserat på detta har en granskning av applikationen Visma Affärslösningar (ekonomisystem) genomförts. Granskningen har genomförts under oktober 2017 av Johan Jelbring (PwC) och Jesper Östling (PwC) under ledning av Fredrik Dreimanis (PwC). Granskningen har genomförts i syfte att bedöma processer, rutiner och den interna kontrollen kopplat till Visma Affärslösningar. Baserat på genomförd granskning bedöms Sollentuna kommun ha grundläggande processer och rutiner på plats gällande förvaltning av Visma Affärslösningar. Exempelvis finns det rutiner på plats för uppdatering av applikationen. I samband med granskningen noterades dock ett antal områden där Sollentuna kommun har möjlighet att förbättra och förstärka den interna kontrollen. I huvudsak berör våra observationer avsaknaden av processer, rutiner och kontroller kopplade till hanteringen användare och behörigheter i Visma Affärslösningar. Baserat på granskningen noterades totalt sex observationer, vi rekommenderar att Sollentuna Kommun i första hand bör fokusera på följande områden: Uppdatering av förvaltningsplan för Visma Affärslösningar, Utvecklare med tillgång till produktionsmiljö, Avsaknad av rutin för periodisk granskning av användare, Avsaknad av formaliserad och dokumenterad rutin för hantering av behörigheter. För mer information avseende observationer se sektion Detaljerade observationer och rekommendationer. Med vänlig hälsning, Fredrik Dreimanis Senior Manager, PwC Johan Jelbring Senior Associate, PwC 3 av 13

4 Bakgrund och omfattning I samband med revisionsplaneringen för Sollentuna kommun har en risk- och väsentlighetsanalys genomförts där system samt applikationer kopplat till den finansiella rapporteringen bedömts som kritiska. Granskningen tar sin utgångspunkt i SKYREVS s utkast till vägledning för redovisningsrevision i kommuner och landsting 1. Baserat på denna analys har applikationen Visma Affärslösningar (ekonomisystem) granskats i syfte att bedöma rutiner avseende förvaltning och intern kontroll. Granskningen har baserats på generella IT-kontroller (ITGC) inom domäner som specificeras i nedanstående tabell. Granskningen avser perioden 1 januari till 31 oktober 2017 för ITGC domänerna i tabellen nedan: ITGC Domän Kontrollområde IT-styrning/Förvaltning Policy och styrande dokument, Roller och ansvar, Gränssnitt mellan IT och verksamhet, IT organisation och kontroll över IT, Förståelse för applikationerna och IT-miljön. Förändringshantering Rutin och process gällande förändringar till kritiska applikationer, Testning av nya förändringar, Godkännande av förändringar innan produktionssättning. Åtkomsthantering Process för uppläggning, ändring och borttagning av behörigheter, Periodisk granskning av behörigheter, Hantering av säkerhetsinställningar, Loggning och översyn av loggar, Hantering av priviligierade användare. 1 Vägledningen baseras på ISA, International Standards on Auditing och behandlar ett antal förhållanden som kräver särskilda tillämpningsanvisningar. Syftet är att utveckla god revisionssed för redovisningsrevision i kommunal sektor. 4 av 13

5 ITGC Domän Datordrift Backup hantering och återläsning, Hantering av batch jobb, Katastrof- och kontinuitetshantering, Hantering av tredjepartsleverantör. Kontrollområde Granskningen baseras på intervjuer med nyckelpersoner hos Sollentuna kommun och granskning av underliggande dokumentation. Följande personer har varit involverade i granskningen: Åsa Joffs (Förvaltningsledare), Agneta Sandström (System-/redovisningscontroller, Redovisningsenheten), Mikael Sörlander (Redovisningschef), Jakob Bergman (Förvaltningsledare IT). Vårt arbete har utförts in enlighet med PwC s revisionsmetodik och under oktober månad i Sollentuna kommuns lokaler, Stockholm. 5 av 13

6 Detaljerade observationer och rekommendationer Observationerna i denna rapport har graderats efter bedömd väsentlighet, graderingen illustreras med hjälp av definitionerna i nedan tabell. Även om graderingen ofrånkomligen är subjektiv och innehåller inslag av bedömningar och ställningstaganden kan definitionerna vara vägledande. Hög (H) Medium (M) Låg (L) Kritisk, omedelbar åtgärd. Visar på en brist med stor påverkan på system, processer och eller intern kontroll att det kan medföra att Sollentuna kommun exponeras för betydande förluster eller väsentliga fel i den finansiella rapporteringen. Otillräcklig, bör diskuteras av ledningen. Visar på en brist, som ensam eller i kombination med andra brister kan påverka funktionaliteten/integriteten i system, processer och kontroller samt den finansiella rapporteringen. Mindre avvikelse. visar en brist som inte har någon väsentlig påverkan på system, processer och kontroller men som indikerar en möjlighet till förbättrad effektivitet och/eller verkningsgrad av processer och kontroller Tabellen nedan visar en sammanfattning av de observationer som identifierats under årets granskning med relaterad riskgradering baserad på dess väsentlighet. 6 av 13

7 Ref # Område Applikation Observation Risknivå 1. IT-styrning/Förvaltning Visma Affärslösningar 2. Åtkomsthantering Visma Affärslösningar 3. Åtkomsthantering Visma Affärslösningar 4. Åtkomsthantering Visma Affärslösningar 5. Datordrift Visma Affärslösningar 6. Datordrift Visma Affärslösningar Avsaknad av uppdaterad förvaltningsplan. Utvecklare med tillgång till produktionsmiljö. Avsaknad av rutin för periodisk granskning av användare. Avsaknad av granskning av priviligierade användares aktivitet. Avsaknad av rutin för återläsningstest. Avsaknad av larmfunktion för automatiska batchjobb. Låg Hög Medium Medium Låg Låg För mer information och detaljer gällande respektive observation se tabell på nästkommande sida. 7 av 13

8 Observation Risk Rekommendation 1. Avsaknad av uppdaterade förvaltningsplan. (L) Under granskningen noterades att förvaltningsplan inklusive instruktioner och riktlinjer för applikationen Visma Affärslösningar inte var uppdaterad. Exempelvis saknades uppdaterad dokumentation gällande: Riskanalys, Rutiner gällande behörighetshantering, Beskrivning av backuphantering, Kontinuitet och katastrofhantering. Dock noterades att Sollentuna kommun arbetar med att definiera och implementera en förvaltningsmodell, i samband med detta kommer dokumentation gällandeförvaltningen av applikationen Visma Affärslösningar att uppdateras. Vidare noterades att det finns rutiner och processer för hur förändringar och uppdateringar ska hanteras. Avsaknad av en uppdaterad förvaltningsdokumentation ökar risken för att kritiska applikationer inte hanteras i enlighet med verksamhetens krav. Kritiska applikationer som inte hanteras i enlighet med verksamhetens krav kan påverka kritisk data och tillgänglighet för verksamheten. Kommunens kommentar: Vi håller med PwC rekommendation och kommer fortsätta påbörjat arbete. PwC rekommenderar att Sollentuna kommun fortsätter arbetet med förvaltningsplanen för applikationen Visma Affärslösningar. Förvaltningsplanen bör som minimum, men inte begränsat till, innehålla följande: Riskanalys, Definition av roller och ansvar kopplat till förvaltningen av applikationen, Rutiner för uppdatering och förändring av applikationen, Rutiner för hantering av behörigheter i applikationen, Instruktion och beskrivning av de loggningar som genomförs i applikationen, Beskrivning av backuphantering, Kontinuitet och katastrofhantering. Vidare rekommenderas att en rutin upprättas där förvaltningsplanen revideras årligen inklusive genomgång av riskanalysen. Dokumentationen bör dateras och signeras av ansvarig förvaltningsledare i syfte att skapa spårbarhet i genomförda aktiviteter och stärka den interna kontrollen. 8 av 13

9 Observation Risk Rekommendation 2. Utvecklare med tillgång till produktionsmiljö. (H) Det noterades under granskningen att utvecklare har direkt tillgång till produktionsmiljön för applikationen Visma Affärslösningar. Utvecklare med åtkomst till produktionsmiljön ökar risken för felaktiga och/eller bedrägliga förändringar till kritiska funktioner. Felaktiga och/eller bedrägliga förändringar till kritiska funktioner kan påverka kritisk data. PwC rekommenderar att Sollentuna kommun undersöker möjligheten att begränsa och/eller ta bort åtkomst för utvecklare till produktionsmiljön. Exempelvis kan tidsbegränsad åtkomst vid kritiska händelser tilldelas utvecklare (dvs. utvecklare får endast åtkomst vid en given tidpunkt kopplat till exempelvis ett utvecklingsärende). Finns inte möjligheten att ta bort utvecklare i produktionsmiljön rekommenderar vi att kompenserande kontroller implementeras för att säkerställa att aktiviteter utförda av utvecklare är fullständiga och riktiga samt inte påverkar kritisk information. Exempelvis kan en riskanalys genomföras av kritisk data i applikationen, loggfunktioner aktiveras för övervakning av data och en rutin implementeras där en användare periodisk granskar dessa loggar. Användare bör inte ha åtkomst till applikationen och/eller högre behörighet i syfte att säkerställa oberoende granskning av förändringar till kritisk data. Kommunens kommentar: Vi har en pågående diskussion med Visma om hanteringen av olika åtkomster för att reducera risken enligt ovan. 9 av 13

10 Observation Risk Rekommendation 3. Avsaknad av rutin för periodisk granskning av användare. (M) Under granskningen noterades att ingen formaliserad kontroll finns på plats gällande periodisk granskning av användare i applikationen Visma Affärslösningar. Avsaknad av periodisk granskning av behörigheter ökar risken för felaktig åtkomst till kritiska applikationer och system. Felaktig åtkomst till applikationer och system ökar risken för felaktig och/eller bedräglig åtkomst till kritisk data vilket kan påverka den finansiella rapporteringen. PwC rekommenderar att Sollentuna kommun implementerar en rutin där användare i applikationen Visma Affärslösningar granskas regelbundet. Granskningen bör, som minimum, genomföras en gång per år och säkerställa att användare har behörighet till systemet i enlighet med sina arbetsuppgifter. Underlag och dokumentation av granskningen bör arkiveras i syfte att skapa spårbarhet av genomförd kontroll och stärka den interna kontrollen. Kommunens kommentar: Vi kommer se över/implementera rutin för detta. 10 av 13

11 Observation Risk Rekommendation 4. Avsaknad av granskning av priviligierade användares aktivitet. (M) I samband med granskningen noterades att ingen formell process finns på plats för uppföljning och/eller övervakning av aktivitet som är utförd av användare med priviligierade åtkomst (dvs. hög behörighet) i applikationen Visma Affärslösningar. Dock noterades att loggning är aktiverad i systemet och uppföljning kan genomföras (dvs. spårbarhet i transaktioner finns på plats) vid incidenter, dock sker ingen aktiv uppföljning. Avsaknad av processer och rutiner för uppföljning av priviligierade användares aktivitet ökar risken för felaktig och/eller bedrägliga transaktioner. Felaktiga och/eller bedrägliga transaktioner kan påverka data och funktioner som är kritiska för den finansiella rapporteringen. PwC rekommenderar att Sollentuna kommun implementerar processer och rutiner för uppföljning av priviligierade användares aktivitet i syfte att validera fullständighet och riktighet i transaktioner och förändringar. Exempelvis kan en riskanalys genomföras av kritisk data i applikationen, loggfunktioner aktiveras för övervakning av data och en rutin implementeras där en användare periodisk granskar dessa loggar. Användare bör inte ha åtkomst till applikationen och/eller högre behörighet i syfte att säkerställa oberoende granskning av förändringar till kritisk data. Underlag och dokumentation från genomförd uppföljning eller granskning bör arkiveras i syfte at skapa spårbarhet i genomförd kontroll och stärka den interna kontrollen. Kommunens kommentar: Vi kommer se över/implementera lämplig rutin för detta. 11 av 13

12 Observation Risk Rekommendation 5. Avsaknad av rutin för återläsningstest. (L) Under granskningen noterades att ingen dokumenterad rutin finns på plats gällande återläsning av data för applikationen Visma Affärslösningar. Avsaknad av formaliserad process för återläsningstester av data ökar risken för att data inte kan återläsas i händelse av en incident. Data som ej kan återläsas kan påverka den operativa verksamheten och information som är kritisk för den finansiella rapporteringen. PwC rekommenderar att Sollentuna kommun upprättar en process för genomförande och dokumentation av återläsning av data för applikationen Visma Affärslösningar. Dokumentationen bör som minimum, men inte begränsat till, omfatta: När test genomfördes, Vad som testats, Resultatet av testet, Vem som genomfört testet. Återläsning av data bör som minimum genomföras en gång per år och dokumentationen bör arkiveras för att skapa spårbarhet samt stärka den interna kontrollen. Kommunens kommentar: Vi kommer se över/implementera lämplig rutin för detta. 12 av 13

13 Observation Risk Rekommendation 6. Avsaknad av larmfunktion för automatiska batchjobb. (L) Under granskningen noterades att ingen automatisk kontroll finns på plats vilken identifierar och larmar när ett batchjobb har fallerat. Vidare noterades att ingen formell process finns på plats gällande uppföljning och åtgärd av fallerade batchjobb. Avsaknad av övervakning och larm funktioner kopplade till batchjobb ökar risken för att kritiska transaktioner inte genomförs fullständigt och riktigt. Kritiska transaktioner som ej genomförts fullständigt och riktigt kan påverka data som är kritiskt för den finansiella rapporteringen. PwC rekommenderar att Sollentuna kommun analyserar och utvärdera möjligheterna till att automatiskt övervaka kritiska batchjobb i applikationen Visma Affärslösningar. Exempelvis kan en riskanalys utgöra grunden för vilka batchjobb som är kritiska i applikationen, baserat på analysen bör övervakning och larmfunktioner upprättas där ansvarig användare noteras vid de tillfällen ett batchjobb inte genomförts fullständigt och riktigt. Vidar rekommenderar vi att Sollentuna kommun upprättar en formaliserad process vilken säkerställer att fallerade batchjobb åtgärdas fullständigt och riktigt. Fallerade batchjobb bör registreras som incidenter och dokumenteras i syfte att säkerställa spårbarhet i genomförda transaktioner samt stärka den interna kontrollen. Kommunens kommentar: Vi kommer se över/implementera lämplig rutin för detta. 13 av 13