Granskning av applikationenn Basware oktober 2012*

Transkript

1 Granskning av applikationenn Basware oktober 2012*

2 1. Granskningens omfattning PwC har på uppdrag av revisionskontoret (Kjell Johansson) genomfört en granskning av applikationen Basware. Syftet med granskningen är att analysera säkerheten i den tekniska lösningen och i de administrativa rutinerna avseende fakturahantering, från mottagning av fakturor till slutlig betalning. I enlighet med uppdragsbrevet har en översiktlig kartläggning och granskning genomförts av rutinerna/processerna för den dagliga hanteringen gällande faktureringen, inklusive de befintliga regler och beskrivningar som styr dessa rutiner. Detta i syfte att bedöma om grunddata har rätt kvalitet och är skyddad mot manipulation eller mot felaktig användning. Uppdraget har genomförts under juni till augusti 2012 av Fredrik Dreimanis och Nicklas Samuelsson, PwC. Rapporten är skriven i avvikelseform, vilket innebär att den endast redovisar de områden där vi identifierat svagheter och förbättringspotential. Granskningen omfattar ett antal utvalda kriterier vilka definierats i uppdragsbrevet (se appendix A) och har fokuserat på områden angivna i tabellen här bredvid. Granskningen har inriktats på processer som stöds av nedanstående applikation, operativsystem och databas. Granskningenn har genomförts i form av intervjuer med fakturerings- och IT-ansvariga hos Landstinget Dalarna, kombinerat med tekniska tester och granskning av stödjande dokument. Granskad applikation: Applikation Operativsystem Databas Basware Windows 2003 MS SQL Process kontroller - Automatiska (AKA) Process kontroller - Manuella (AKM) Åtkomstkontroll (ÅK) Datordrift (DD) Infrastruktur (IF) - Åtkomsten till kritiska funktioner är begränsad till ett fåtal användare - Endast attesterade fakturor väljs ut för betalning - Begränsad åtkomst att utföra och godkänna betalningar - Bankfilen är skyddad - Arbetsuppgifter är ändamålsenligt segregerade - Uppföljning av förändrade leverantörsuppgifter - Godkännande och kontroll vid upplägg av nya leverantörer - Årlig genomgång av leverantörsuppgifter - Formella rutiner vid upplägg av nya användare eller ändringar i befintliga behörigheter - Periodisk genomgång av användare och deras respektive behörigheter - Säkerhetspolicy och rutiner finns definierade och dokumenterade - Kontroll och övervakning av åtgärder utförda av privilegierade användare - Kontroll att vitala batchjobb genomförs fullständigt och riktigt - Backup-rutiner finns på plats vilka säkerställer redundans i data - Åtkomst till serverrum är begränsad - Direkt åtkomst till databasen är begränsad - Priviligerad åtkomst till kritiska serverar är begränsad 1

3 Innehållsförteckning Innehållsförteckning 1. Granskningens omfattning Sammanfattning Observationer, rekommendationer och bolagets kommentar..4 Rapportstruktur Vi har graderat observationerna i denna rapport efter bedömd väsentlighet. Graderingen illustreras med hjälp av trafiksignaler. Även om graderingen ofrånkomligen har inslag av bedömningar och ställningstaganden kan definitionerna nedan vara vägledande. Rött ljus åsätts en brist med så stor påverkan på system, processer eller intern kontroll att det kan medföra att Landstinget Dalarna exponeras för betydande förluster eller väsentliga fel i den finansiella rapporteringen. Gult ljus åsätts en brist med påverkan på system, processer eller intern kontroll som kan medföra attt Landstinget Dalarna exponeras för förluster eller ett betydande fel i den finansiella rapporteringen. Grönt ljus åsätts mindre brister eller fel där risken för otillbörlig användning och/eller felaktigheter i bokföringen är lägre, men där det ändå bedöms finnas utrymme för förbättringar. Rapporten har upprättats för Landstinget Dalarnas revisionskontor och dess närstående, rapporten och får inte hänvisas till eller distribueras till andra. 2

4 2. Sammanfattning Sammanfattande bedömning avseende kontrollmiljön Granskningen har resulterat i ett antal områden där vi (PwC) anser att Landstinget Dalarna har möjlighet att förbättra eller förstärka den interna kontrollen. Vi har i vår granskning inte upptäckt några direkta felaktigheter på transaktionsnivå men de svagheter och brister vi noterat i den interna kontrollen, medför tillsammans en inte obetydlig risk för att utbetalningar sker av icke godkända transaktioner, men även att Landstinget gör inköp från leverantörer som inte överensstämmer med Landstingets leverantörskrav. Den övergripande bedömningen är att Landstinget Dalarna bör förstärka kontrollerna i hanteringen av leverantörsbetalningar och undersöka möjligheten att tydligare segregera arbetsuppgifter både i processhantering samt hantering av de tekniska miljöerna. Detta i syfte att uppnå god intern kontroll avseende processen för leverantörsfakturahantering. I detta ligger att strama upp kontroller tidigare i flödet och på detta sätt kunna minska på efterkontrollerna i leverantörsreskontraenheten och ändå uppnå en bättre kontrollnivå. För att erhålla en god kontroll överutbetalningarna generellt sett, bedömer vi att Landstingets inköpsrutiner i ett första steg tillämpas mer strikt och i förlängningen eventuellt även stramas upp ytterligare. Sammanfattning av våra observationer Våra observationer från granskningen sammanfattas i intilliggande tabell. Varje observation är graderad efter trafikljusmodellen beskriven tidigare i rapporten. Referensnumret i denna tabell hänvisar till numrering i kapitlet 3 Observationer, rekommendationer och Landstingets kommentarer, där en detaljerad beskrivning återfinns för varje observationenn med relaterad risk och den rekommendation vi bedömer rimlig för att begränsa risken. Ref. Observation 1 Avsaknad av kontroll gällande förändringar till attestregistret. 2 Avsaknad av rutin för borttag av användare i applikationen Basware. 3 Granskning av behörighet till kritiska serverar. 4 Avsaknad av periodisk granskning för användare i applikationen Basware. 5 Avsaknad av periodisk granskning för användare med möjlighet attt ända i användarbehörigheter. 6 Ej ändamålsenliga behörigheter. 7 Ansvarsfördelningsmatris för tilldelning av behörigheter till applikationen Basware finns inte på plats. 8 Avsaknad av kontroll gällande godkännande av nya leverantörer. 9 Avsaknad av kontroll gällande förändringar i känsliga leverantörsdata. 10 Avsaknad av kontroll för nya leverantörer mot Landstingets leverantörskrav. 11 Avsaknad av periodisk granskning gällande leverantörsregistret. 12 Leverantörsreskontra granskar samtliga fakturor. Prioritet 3

5 1. Åtkomstkontroll (ÅK) Avsaknad av kontroll gällande förändringar till attestregistret Genom granskning noterades att det inte finns någon periodisk kontroll som säkerställer att förändringar av attestregistret genomförs fullständigt och riktigt. Idag finns det två personer på systemförvaltningen vilka kan genomföra förändringar i attestregistret, dock är det ingen som validerar att dessa förändringar är fullständiga och riktiga. Avsaknad av kontroll gällande förändringar till attestregistret ökar risken för att felaktiga förändringar genomförs vilka kan påverka kontrollen över utbetalningarna och den finansiella informationen. Rekommendation: PwC rekommenderar att Landstinget Dalarna inför en formell kontroll som säkerställer att förändringar till attestregistret granskas vad avser fullständighet och riktighet. Avstämningen bör genomföras i förhållande till antalet förändringar, exempelvis månadsvis om det är ett högt antal förändringar men som minimum halvårsvis. Avstämningen bör dokumenteras och signeras av utförare samt godkännas av systemägare. Underlag för granskningg av förändringar till attestregistret bör sparas i syfte att skapa spårbarhet i utförd kontroll. 4

6 2. Åtkomstkontroll (ÅK) Avsaknad av rutin för borttag av användare i applikationen Basware Genom intervju noterades att det inte finns någon process för att ta bort användare i applikationen Basware. Systemförvaltaren genomför detta informellt om och när information erhålls, dock finns ingen tydlig rutin för detta och ingen information arkiveras i syfte att skapa spårbarhet. Avsaknad av rutin för borttag av användare ökar risken för ett felaktigt användarregister. Felaktiga användarregister ökar risken för användare med åtkomst till funktion och dataa vilka inte är förenliga med deras arbetsuppgifter. Felaktig åtkomst kan påverka kritisk data. Rekommendation: PwC rekommenderar att Landstinget Dalarna upprättar en dokumenterad process för kontroll över borttag av användare. Borttag av användare bör genomföras som minimumm en gång per år där exempelvis en lista från systemet extraheras och granskas mot underlag från personalavdelningen eller liknande över personer som slutat eller bytt arbetsuppgifter. Processen för borttag av användare kan utvecklas i samråd med HR-avdelningen för att säkerställa tillgången till aktuell anställningsinformation. Underlag från granskningen bör arkiveras i syfte att skapa spårbarhet i utförd kontroll. 5

7 3. Infrastruktur (IF) Granskning av behörighet till kritiska serverar Genom granskning noterades att hanteringen av servrar och databaser utförs av landstingets IT-avdelning. Det innebär att det finns ett antal personer på IT-avdelningen med åtkomst till kritisk data. Det saknas kontroll eller avstämning för att säkerställa fullständighet och riktighet i IT-avdelningens behörigheter, dvs. att åtkomsten är begränsad till de personer inom IT som måste ha viss behörighet för att sköta drift och underhåll. Behörighet till infrastruktur bör vara begränsad till användare i enlighet med deras arbetsuppgifter. Felaktiga behörigheter ökar risken för otillåten åtkomst vilket kan påverka kritisk data. Rekommendation: PwC rekommenderar att en kontroll upprättas där systemansvarig eventuellt med hjälp av systemförvaltare som minimum en gång per år säkerställer att rätt personer har åtkomst till server och databas. Granskningen bör dokumenteras och arkiveras i syfte att skapa spårbarhet för genomförd kontroll. 6

8 4. Åtkomstkontroll (ÅK) Avsaknad av periodisk granskning för användare och attestberättigade i applikationen Basware Genom intervju noterades att periodisk granskning av användare inklusive personer med attesträttigheter i applikationen Basware inte genomförs. Attestfunktionaliteten är grundläggande för god intern kontroll av leverantörsfakturahantering inklusive utbetalningar, varför fullständighet och riktighet i attestbehörigheten bedöms som kritisk. Avsaknad av periodiska genomgångar för behörigheter ökar risken för felaktiga behörigheter i applikationen, vilket i sin tur ökar risken för otillåten åtkomst och därmed kontrollen över kritisk data. Rekommendation: PwC rekommenderar att Landstinget Dalarna, som minimum en gång per år, tar fram information om alla användare i applikationen och granskar dessa med avseende på fullständighet och riktighet. Granskningen bör säkerställa att användare endast har behörighet till funktioner och information i enlighet med deras arbetsuppgifter. I samband med detta säkerställs att attesträttigheterna i applikationen är fullständiga och riktiga. 7

9 5. Åtkomstkontroll (ÅK) Avsaknad av periodisk granskning av användar-id:n med möjlighet att ändra i attestregistret Användar-ID:grundläggande kritisk funktion i applikationen. Genom intervju noterades att ingen periodisk granskning genomförs av med möjlighet att ändra i attestregistret bedöms som hög risk, då de har möjlighet att påverka en dessa användare med möjlighet att ändra i attestregistret. Attestregistret finns på en separat server och är inte tillgängligtt via applikationen Basware, endast två användare ( nilmag och linmar ) på ekonomiavdelningen har åtkomst till att ändra attestregistret. Avsaknad av periodiska genomgångar för behörigheter ökar risken för felaktiga behörigheter till kritiska funktioner. Felaktiga behörigheter ökar risken för otillåten åtkomst vilket kan påverka kritisk data. Rekommendation: PwC rekommenderar att Landstinget Dalarna, som minimum en gång per år, tar fram information om alla användare vilka har möjlighet att ändra i attestregistret och granskar dessa avseende fullständighet och riktighet. Granskningen bör säkerställa att användare endast har behörighet till funktioner och information i enlighet med deras arbetsuppgifter. 8

10 6. Åtkomstkontroll (ÅK) Ej ändamålsenliga behörigheter Genom granskning noterades att användaren Peter Stegmann (stepet) arbetar på reskontra men har behörighet i likhet med systemförvaltningen. Detta medför att användaren har möjlighet att forcera automatiska funktioner och ansvarfördelning i systemet. Vidare noterades att användaren Margareta Olofsson (olomar) har behörighet till modulen MASTER, vilket hon enligt vår information inte ska ha åtkomst till. Felaktiga användare ökar risken för felaktiga eller bedrägliga transaktioner. Felaktiga eller bedräglig a transaktioner kan påverka kritisk data vilken är viktig för Landstingets informationsflöde. Rekommendation: PwC rekommenderar att Landstinget Dalarna granskar dessa behörigheter och analyserar om dessa användare ska ha den här typen av behörighet. I de fall där dessa behörigheter anses otillbörliga bör de tas bort. Dessa och eventuellt andra avvikelser bör upptäckas i de periodiska granskningar vi rekommenderar i punkt 4 och 5. 9

11 7. Åtkomstkontroll (ÅK) Ansvarsfördelningsmatris eller motsvarande stöd saknas för tilldelning av behörigheter till applikationen Basware Genom intervju noterades att det inte finns någon ansvarsfördelningsmatris eller motsvarade dokumentation som visar hur Landstingets åtkomster och behörigheter är uppbyggda, som stöd för administration och kontroll över behörigheter. Detta medför att det är svårt för de som administrerar behörigheter i applikationen Basware att veta om det är rätt chef som godkänt respektive användares behörighetsnivå. Avsaknad av ansvarsmatris och tydliga instruktioner gällande tilldelning av behörigheter ökar risken för felaktiga behörigheter. Felaktiga behörigheter ökar risken för felaktig åtkomst till funktioner och data. Rekommendation: PwC rekommenderar att stödjande dokument upprättas vilken definierar vilka medarbetar som har rätt attt godkänna behörigheter till applikationen Basware. Detta kan med fördel inkluderas i eventuell rutinbeskrivning för behörighetsadministration. 10

12 8. Processkontroller Manuella (AKM) Avsaknad av kontroll gällande godkännande av nya leverantörer Genom granskning noterades att det inte finns en dokumenterad process för att godkänna nya leverantörer. Leverantörsreskontrapersonalen granskar för inkommande fakturor att det finns giltigt F-skattesedel, ingen annan granskningg t.ex. mot externa källor genomförs (exempelvis bolagsverket eller skattemyndigheten). Vidare noterades att ansvarsfördelningen till viss del åsidosätts eftersom kontrollen av leverantörsuppgifter utförs av reskontrapersonal. De personer som utför upplägg har endast som uppgift att säkerställa att leverantörerna blir registrerade i Raindance leverantörsregister. Avsaknad av granskning gällande leverantör ökar risken för att felaktiga eller bedrägliga leverantörer läggs till i leverantörsregistret. Felaktiga eller bedrägliga leverantörer kan påverka fullständighet och riktighet i leverantörsregistret. Ett felaktigt leverantörsregister kan påverka finansiella transa ktioner som exempelvis utbetalningar. Rekommendation: PwC rekommenderar att Landstinget Dalarna implementerar en kontroll där godkännande av nya leverantörer granskas mot externa källor för att säkerställa att nya leverantörer uppfyller Landstingets krav. Vidare bör kontrollen av leverantörsuppgifter i samband med upplägg av leverantörer i leverantörsregistret inte utföras av reskontrapersonal. Detta i syfte att säkerställa en god ansvarsfördelning och riktighet i leverantörsregistret. 11

13 9. Processkontroller Manuella (AKM) Avsaknad av kontroll gällande förändringar till leverantörsdata Genom granskning noterades att det inte finns någon kontroll på plats för att säkerställa fullständighet och riktighet i förändringar till känslig data i leverantörsregistret, exempelvis bankgiro- och bankkontonummer. Avsaknad av kontroll gällande förändringar till leverantörsdata ökar risken för felaktiga eller bedrägliga förändringar. Felaktiga eller bedrägliga förändringar till leverantörsregistret kan påverka hur och till vem utbetalningar sker. Rekommendation: PwC rekommenderar att Landstinget Dalarna implementerar en kontroll vilken säkerställer att förändringar till leverantörsdata granskas i syfte att säkerställa fullständighet och riktighet. Det optimala är om kontrollen kan utformas så att samtliga förändringar måste godkännas i systemet innan de verkställs. Om detta inte är tekniskt möjligt bör granskning som minimum genomföras halvårsvis. Exempelvis kan en lista på förändringar extraheras vilken sedan granskas av en person vilken inte har möjlighet att genomföra förändringar i leverantörsdata. Granskningen bör signeras och dateras samt arkiveras i syfte att skapa spårbarhet i genomförd kontroll. 12

14 10. Processkontroller Manuella (AKM) Avsaknad av kontroll för nya leverantörer mot Landstingets leverantörskrav Vid granskningen noterades att Landstinget i Dalarna har definierade och formella krav på vad en leverantör ska uppfylla för att få leverera till landstinget. Dock finns det ingen kontroll vid registrering och uppläggning av leverantör mot de definierade kraven. Avsaknad av kontroll gällande nya leverantörer ökar risken för leverantörer vilka inte efterlever landstingets regler och krav. Ej godkända leverantörer kan påverka landstingets verksamhet såväl finansiellt som operativt. Rekommendation: PwC rekommenderar att Landstinget Dalarna stramar upp tillämpningen av leverantörskraven i form av nya rutiner/kontrollmoment. Detta bör ske i samband med att inköp godkänns men om detta inte är möjligt i nuläget bör som en första förstärkning av kontrollen en avstämning mot gällande regler och krav genomföras vid upplägg av leverantören. Avstämningen bör dokumenteras och bifogas i dokumentationen för uppläggning av nya leverantörer. 13

15 11. Processkontroller Manuella (AKM) Avsaknad av periodisk granskning gällande leverantörsregistret Genom granskning noterades att ingen dokumenterad genomgång av leverantörsregistret genomförs. Avsaknad av genomgång gällande leverantörsregistret ökar risken för ett felaktigt leverantörsregister. Felaktigt leverantörsregister kan påverka kontrollen över utbetalningarna. Rekommendation: PwC rekommenderar att Landstinget Dalarna implementerar en formell kontroll där leverantörsregistret granskas regelbundet i syfte att säkerställa fullständighet och riktighet i leverantörsregistret. Kontrollenn bör som minimum genomföras halvårsvis, underlag från granskningen bör signeras och arkiveras i syfte att skapa spårbarhet i genomförd kontroll. 14

16 12. Processkontroller Manuella (AKM) Leverantörsreskontra granskar samtliga fakturor Genom granskning noterades att leverantörsreskontra granskar samtliga fakturor inom Landstinget innan dessa skickas till betalning. Genom attt granska alla leverantörsfakturor ökar behandlingstiden per fakturaa vilket kan medföra att processen för leverantörsfakturor inte är optimalt effektiv. Rekommendation: PwC rekommenderar att Landstinget Dalarna genomför en analys av fakturaflödet i syfte att bedöma kvantitet per kostnadsinternvall för fakturor. Baserat på detta bör sedan tröskelvärden upprättas för vilka fakturor som ska granskas. Genom detta har landstinget möjlighet att frigöra resurser och effektivisera hanteringen av leverantörsfakturor. Införandet av förstärkningar av grundläggande kontroller enligt ovan medför dessutom att risken för felaktigheter kommer att begränsas. Exempel på tröskelvärden som kan införas: - Konteringar med hög risk för fel, exempelvis representation - Leverantörer med hög risk för fel, exempelvis leverantörer med flera momssatser - Höga belopp - Avvikande momssats - Kontokombinationer 15