Rapport avseende IT-system. December 2004
Innehåll Inledning...1 Risker i IT-system med påverkan på ekonomisystem...2 Granskningsansats...3 Omfattning...3 Utfört arbete...4 Raindance - rutiner...4 Prima - rutiner...5 Palett - rutiner...6 Iakttagelser...7 Informationssäkerhet i applikationerna...7 Överföringar av finansiell information...9 Utveckling och underhåll av systemen...9 Förhållande med utomstående IT-leverantör...10 Slutsats...12 Generella slutsatser...12 Sammanfattning av rekommendationer...12
Inledning Enligt den revisionsplan som antagits för 2004 års redovisningsrevision ska Deloitte utföra en särskild granskning av redovisningen av IT-miljön inom Region Skåne. Granskningen har utförts enligt planen och redovisas i denna rapport. Deloitte Region Skåne 1
Risker i IT-system med påverkan på ekonomisystem Informationssystemen utgör en väsentlig del av det interna kontrollsystemet i Region Skåne. Väsentliga IT-system för redovisningsrevisionen är självklart ekonomisystemen Raindance, Crom och Xor, men även andra system som levererar indata till ekonomisystemen exempelvis personalsystemen Prima och Palett samt PASiS och fakturahanteringssystemet E-bill. Risker med IT är bland annat att systemen släpper in obehöriga, att data inte är helt korrekt, att systemen upphör att fungera eller att den fysiska säkerheten är för dålig. I den generella IT-miljön utförs en väsentlig del av de ramverkskontroller som görs inom ramen för det interna kontrollsystemet. Exempel på detta är hur behörigheter vid inloggning mm tilldelas olika användare. IT-verksamheten är ett komplext och omfattande område och i de flesta revisioner granskas denna genom så kallad rotationsplan där olika delsystem testas olika år. På så vis erhålls inte fullständig täckning det första året. När rotationsmodellen används är det dock viktigt att prioritera eventuella kända problemområden så att dessa inte får vänta. Deloitte Region Skåne 2
Granskningsansats För att känna trygghet i den finansiella informationen finns det således skäl att på hög nivå bilda sig en uppfattning om kvaliteten och säkerheten i Region Skånes IT-verksamhet. Vi kommer därför inom ramen för redovisningsrevisionen att inrikta granskningen av IT mot ekonomisystemen genom följande aktiviteter: Uppdaterad intervju med centralt placerad personal för att få en övergripande bild över funktion och eventuella förändringar i systemen. Dialog om IT-system och rutiner på samtliga enheter i samband med redovisningsgranskningen Genomgång av granskningar som gjorts tidigare år för bedömning av eventuella IT-problem Utvärdering av ekonomi- och personalsystemen av Deloitte s specialistavdelningen för IT-granskning (ERS). Omfattning Utvalda system för utvärdering är regionens huvudsakliga ekonomisystem Raindance samt de personalrelaterade systemen Prima och Palett. Dessa system har valts då de anses vara de mest kritiska systemen ur ett finansiellt revisionsperspektiv. Deloitte Region Skåne 3
Utfört arbete Raindance - rutiner Under hösten 2004 har Deloitte vid besök hos regionstyrelsen genomfört en kartläggning av hur ekonomisystemet Raindance fungerar och hanteras administrativt. Kartläggningen har genomförts främst genom intervjuer med personer inom regionstyrelsen som administrerar, underhåller och övervakar transaktionerna inom Raindance. Följande områden har innefattats av granskningen: IT-drift - generella driftrutiner, överföring och övervakning av information från försystem in i Raindance etc. Informationssäkerhet - tilldelning av behörigheter, administration av åtkomst, generell säkerhet i applikationen etc. Implementation och underhåll av applikationen Raindance - systemutvecklingspolicy, testmiljöer etc. Katastrofplanering - alternativa lösningar för att återskapa datadriften i händelse av katastrof, strömförsörjning, backuper etc. Utomstående konsulter överenskommen servicenivå, kommunikation med WM-data, koordinering etc. Vi har för ovanstående områden granskat i syfte att säkerställa följande: Att endast behöriga och godkända användare kan utföra transaktioner och överföringar mellan Raindance och dess försystem. Att logiska säkerhetssystem är implementerade för att begränsa åtkomst till program, data och annan information samt att administreringen av behörigheter sker på ett tillfredsställande och kontrollerat sätt. Att förändringar till Raindance applikationen implementeras på lämpligt sätt och att de fungerar i linje med ledningens intentioner. Att kritiska affärsprocesser och informations resurser kan återskapas i rätt tid i händelse av en katastrof. Att regionstyrelsen övervakar att överenskomna service nivåer med utomstående leverantör säkerställs och möter förväntningarna. Deloitte Region Skåne 4
Prima - rutiner Under hösten 2004 har Deloitte vid besök hos koncernadministrationen på regionkontoret i Lund genomfört en kartläggning av hur personalsystemen Prima och Palett fungerar och hanteras administrativt. Kartläggningen har genomförts främst genom intervjuer med personer inom koncernadministrationen som administrerar, underhåller och övervakar transaktionerna inom Prima. För att erhålla en fullständig bild av systemens handhavande har även intervjuer gjorts med driftsansvarig personal i form av den utomstående konsulten TietoEnator. Vidare har fokuserade resurser lagts på att grundligt granska säkerhetsadministrationen i Prima, som sker genom applikationen Easy. Följande områden har innefattats av granskningen: IT-drift - generella driftrutiner, överföring och övervakning av transaktioner i Prima etc. Informationssäkerhet - tilldelning av behörigheter, administration av åtkomst, generell säkerhet i applikationen etc. Implementation och underhåll av applikationen Prima - systemutvecklingspolicy, testmiljöer, uppdatering av beräkningsparametrar etc. Katastrofplanering - alternativa lösningar för att återskapa datadriften i händelse av katastrof, strömförsörjning, backuper etc. Utomstående konsulter överenskommen servicenivå, kommunikation med TietoEnator, koordinering etc. Vi har för ovanstående områden granskat i syfte att säkerställa följande: Att alla överföringar mellan Prima och ekonomisystemet Raindance övervakas samt att de genomförs på ett tillförlitligt sätt och i rätt tid. Att endast behöriga och godkända användare kan utföra transaktioner och överföringar mellan Prima och Raindance. Att logiska säkerhetssystem är implementerade för att begränsa åtkomst till program, data och annan information samt att administreringen av behörigheter sker på ett tillfredsställande och kontrollerat sätt. Att förändringar till Prima applikationen implementeras på lämpligt sätt och att de fungerar i linje med ledningens intentioner. Att kritiska affärsprocesser och informations resurser kan återskapas i rätt tid i händelse av en katastrof. Att koncernadministrationen övervakar att överenskomna service nivåer med utomstående leverantör säkerställs och möter förväntningarna. Deloitte Region Skåne 5
Palett - rutiner Under hösten 2004 har Deloitte vid besök hos koncernadministrationen på regionkontoret i Lund genomfört en kartläggning av hur personalsystemet Palett fungerar och hanteras administrativt. Kartläggningen har genomförts främst genom intervjuer med personer inom koncernadministrationen som administrerar, underhåller och övervakar transaktionerna inom Palett. Vidare har kortare intervju hållits med CSK IT som handhar driften av applikationen. Följande områden har innefattats av granskningen: IT-drift - generella driftrutiner, överföring och övervakning av transaktioner i Palett etc. Informationssäkerhet - tilldelning av behörigheter, administration av åtkomst, generell säkerhet i applikationen etc. Implementation och underhåll av applikationen Palett - systemutvecklingspolicy, testmiljöer, uppdatering av beräkningsparametrar etc. Vi har för ovanstående områden granskat i syfte att säkerställa följande: Att alla överföringar mellan Palett och ekonomisystemet Raindance övervakas samt att de genomförs på ett tillförlitligt sätt och i rätt tid. Att logiska säkerhetssystem är implementerade för att begränsa åtkomst till program, data och annan information samt att administreringen av behörigheter sker på ett tillfredsställande och kontrollerat sätt. Att förändringar till Palett applikationen implementeras på lämpligt sätt och att de fungerar i linje med ledningens intentioner. Deloitte Region Skåne 6
Iakttagelser Informationssäkerhet i applikationerna Vi har granskat hur tilldelning av behörigheter administreras och vilka krav på informationssäkerhet som ställs på de aktuella systemen. Vi noterat följande i vår granskning. Behörigheter För att få tillgång till de aktuella systemen krävs det separat inloggning på applikationsnivå. Tilldelning av användarnamn och lösenord sker från en centralt ansvarig individ och förefaller fungera tillfredsställande för samtliga system. En formell rutin finns för godkännande av behörig person innan åtkomst till systemen beviljas. För applikationen Prima sköts administrering av behörigheter genom applikationen Easy, som administreras av tre individer från personalsystemgruppen inom koncernadministrationen. Följande behörighetsnivåer finns: ANSVARIG finns inom personalsystemgruppen. Kan ge behörighet till ADMIN/KONTAKT/OPERATÖR. ADMIN finns inom varje förvaltning och har övergripande behörighet till alla enheter inom förvaltningen. ADMIN kan även tilldela behörighet till KONTAKT/OPERATÖR. KONTAKT en eller flera personer inom en enhet som kan ge behörighet till OPERATÖR. OPERATÖR har behörighet att arbeta i PRIMA. Varje användare inom Prima tilldelas en av systemgruppen skapad kategori dvs. roll som ger tillgång till utvalda bilder inom Prima. Behörighet kan ges till att läsa, uppdatera och/eller ta bort information i systemet. Speciell granskning genomfördes för de bilderna med starka rättigheter att ändra löneinformation i Prima (bilder 141 150). Genom att kontrollera de vanligast förekommande kategorierna i Prima kunde vi säkerställa att inga av dessa hade tillgång till bilderna 141 150. Personalsystemgruppen (3 st) är de enda med accessrättigheter till samtliga funktioner i Prima. Dessa tilldelar behörigheter till de lokala systemförvaltarna. Riktad granskning har skett av de användarna med ADMIN behörighet inom de respektive förvaltningarna. En jämförelse mellan informationen i Easy och mot de registrerade administratörerna hos Lars Lindberg genomfördes utan avvikelser. Deloitte Region Skåne 7
För Palett systemet sköts administrering av behörigheter via en central systemförvaltare (Ingela Nilsson) som administrerar behörigheter ut till de lokala systemförvaltarna på respektive förvaltning. För användarna i Palett finns följande två behörighetsnivåer: SCHEMA ANVÄNDARE har behörighet till samtliga operativa funktioner i Palett, dock ej tillgång att administrera användare och lösenord. SCHEMA ANSTÄLLNING LÄS har behörighet till samtliga operativa funktioner i Palett förutom till att lägga till, förändra eller ta bort anställningsinformation inklusive löner och ersättningar. Baserat på den översiktliga genomgång av behörighetsstrukturen i Palett som genomförts bedömer vi att tillfredsställande kontroller finns för tilldelning och administrering av behörigheter i systemet. För att kunna bedöma rimligheten i behörighetsnivåerna krävs en djupare granskning på förvaltningsnivå varför vi i nuläget inte kan bedöma rimligheten av dessa behörighetsnivåer. För att säkerställa att endast godkända användare finns i systemen rekommenderar vi att en rutin för regelbunden uppföljning av användare i systemen. Från centralt håll skickas behörighetslistor ut till respektive förvaltningsansvarig som går igenom behörigheterna och bedömer dem utifrån arbetsuppgifter. Listorna signeras sedan och skickas tillbaka till den centrala funktionen som vidtar lämpliga åtgärder. På detta sätt sker en kontinuerlig kontroll av de behörighetsnivåer, vilket ökar säkerheten i systemet avsevärt. Dessutom upptäcks och undviks redundanta användarkonton, vilket förbättrar prestandan i systemet. Säkerhetsuppsättningar Avseende utformningen av säkerhetsparametrarna i system upptäcktes en del skillnader mellan systemen och även en del brister i utformningen. Genom granskning av Raindance systemet kräver endast 3 tecken långa lösenord och dessutom finns ingen spärr mot maximalt antal felaktiga inloggningar. I Prima systemet är lösenordslängden på en högre säkerhetsnivå, men i detta system sker endast tvingande lösenordsbyten var 6: e månad. I Palettsystemet finns krav på 4 tecken långa lösenord och inga krav på komplexitet. Om lösenord inte ändras regelbundet och/eller är svaga kan de komma till allmän kännedom, vilket kan leda till bristande kontroll över transaktioner som utförs i systemet. Detta kan i sin tur ha en stor effekt på den finansiella information som genereras ur systemen. Vi rekommenderar att säkerhetsparametrarna som noterats ovan åtgärdas så att lösenorden måste ha minst 8 tecken, tvingande byten minst var 90 dag samt högst 3 felaktiga inloggningar innan kontot låses. Alternativt rekommenderar vi att vi en single sign-on lösning där nätverksinloggningen även ger access till underliggande applikationssystem. Deloitte Region Skåne 8
Överföringar av finansiell information Vi har granskat hur överföringen av information sker från de båda personalsystemen Prima och Palett in till det finansiella redovisningssystemet Raindance. Informationsöverföring Den 27: e varje månad körs den slutliga lönekörningen av löneadministratörerna. När den slutliga lönefilen skapats och bankfilen skickats iväg till banken så skapar Prima och Palett automatiskt en bokföringsfil i form av en textfil som placeras på ekonomiavdelningens server. Det är sedan ekonomiavdelningens ansvar att importera den textfil som finns på servern varje månad. Detta genomförs oftast i samband med det ordinarie bokslutsarbetet och är en automatiserad process som dock initieras manuellt av ekonomipersonal. Vidare har vi identifierat manuella avstämningsrutiner på ekonomiavdelningen som säkerställer att information mellan levererande och mottagande system är den samma. Vid vår granskning framkom inget som tyder på att detta förfarande skulle medför några väsentliga risker för felaktigheter i den finansiella informationen. Utveckling och underhåll av systemen Utveckling och förändringar av Raindance, Prima och Palett sker på olika sätt och har granskats i varierande grad beroende på den risk som bedöms föreligga. Systemutveckling Raindance Systemet Raindance ägs och utvecklas av WM-data och används främst av offentliga förvaltning i allmänhet. Systemet är ett standardsystem, men eftersom de allra flesta kunderna är landsting med liknande önskemål och behov så har en användargrupp med representanter från de olika landstingen skapats för att kunna fånga upp krav på ny funktionalitet. Applikationsutvecklingen sköts av WM-data, som även testar och kontrollerar versionerna innan de skickas till kunderna. WM-datas testmetodik tillämpas och dokumentation sker av dem varför vi inte kunnat ta del av någon testdokumentation. Vi uppmärksammade dock att användarföreningen för Raindance i norden inte får tillgång att testa förändringar i ett skede innan versionen släpps till kunderna i den utsträckning som önskas. Vi rekommenderar därför att en rutin införs som syftar till att få tillstånd utökade tester av nya versioner innan de släpps till kunderna. På detta sätt kan onödiga buggar i programmen undvikas innan de lämnar WM-data, vilket följaktligen skulle ge en större säkerhet avseende den finansiella informationen. Vid vår granskning observerade vi att det finns en detaljerad rutin för underhåll av systemet Raindance. I underhållsplan finns klart definierade riktlinjer för hur underhåll av behörigheter, rapporter, journaler, loggar etc. Ansvaret för att detta arbete utförs åligger de lokala systemförvaltarna. Vi observerade emellertid att ingen uppföljning sker av att underhållsplanen följs. Vi rekommenderar således Region Skåne att införa en rutin för uppföljning av underhållsarbetet för att säkerställa att detta verkligen genomförs. I annat fall finns möjligheten att arbetet inte utförs, vilket skulle kunna medföra fara för fullständigheten i den finansiella informationen. Deloitte Region Skåne 9
Systemutveckling Prima Systemutveckling och förändringar till applikationen Prima sköts i samarbete med TietoEnator (systemägare), Malmö Stad samt Region Skåne. Eftersom systemet i grunden är utvecklat av Region Skåne så är finns ett nära samarbete i utvecklingsarbetet med systemet. Månatliga möten hålls med TietoEnator, Malmö Stad samt Region Skåne för att diskutera eventuella förändringsbehov i systemet. Samtliga beslutade ändringar kräver en kravspecifikation som måste godkännas av samtliga parter. I kravspecifikationen beskrivs syfte, funktion, tekniska förändringar, konsekvenser, tidsuppskattning samt testinstruktioner. Baserat på det faktum att kontinuerliga möten äger rum avseende utveckling av Prima samt att förändringarna följer klara rutiner för godkännande, utveckling och testning så bedöms kontrollerna avseende systemutveckling vara tillfredsställande. Systemutveckling Palett Palett är ett standardsystem och ägs av WM-data som även agerar konsult för systemet. Region Skåne är inte med lika aktivt i utvecklings- och förändringsfasen av detta system som för Raindance och Prima. Palett administrerar idag ca 4 500 löner varje månad, vilket gör det till ett relativt stort lönesystem dock inte i paritet med Prima. Uppdateringar av systemet sker efter beslut från koncernadministrationen och färdiga uppdateringsversioner erhålls från WM-data. Den praktiska uppdateringen sker sedan av CSK IT som ansvar för driften av Palett. Några väsentliga riskområden har inte identifierats avseende förändringar inom Palett baserat på att det är en standardprogramvara utan anpassningar. Förhållande med utomstående IT-leverantör Vi har granskat hur samarbetet med de utomstående IT-leverantörerna sker och hur uppföljningen sker av de levererade tjänsterna. Vi gjorde följande observationer under vår granskning. TietoEnator Ett nära samarbete med TietoEnator finns avseende drift och utveckling av systemet Prima. Vi har granskat hur TietoEnator sköter sina förpliktelser gällande Prima genom intervjuer med personal på TietoEnator och med personal från koncernadministrationen. Generellt fann vi att TietoEnator säkerställer att de överenskomna servicenivåerna tillgodoses och möter förväntningarna. Eftersom Prima är ett system som tidigare ägts av Region Skåne ihop med Malmö Stad, så finns stor kompetens om systemet och dess uppbyggnad inom Region Skånes organisation, vilket gör att Region Skåne blir en kompetent och professionell beställare. Att ha kompetens som beställare är ovärderligt vid outsourcing av IT-verksamhet. Vidare granskade vi att kontinuerlig uppföljning sker på det arbete som utförs av TietoEnator. Här återfinns information om transaktionsvolymer fördelade på olika system, antal nedlagda konsult timmar, vilken typ av arbete som utförts etc. Baserat på denna information anser vi att en tillfredsställande nivå av uppföljning sker av leverantörens arbete. Detta underlättar arbetet med att bedöma om de uppsatta förväntningarna och servicenivåerna tillgodoses. Deloitte Region Skåne 10
WM-data Utveckling av ekonomisystemet Raindance sker av WM-data som även är ägare av systemet. Utvecklingen av systemet sker i samråd med en arbetsgrupp bestående av representanter från olika stora offentliga förvaltning och privata bolag som använder Raindance däribland Region Skåne. I nuläget finns ett avtal med WM-data som är reglerat till ca 100 konsulttimmar i månaden. Vid granskning av detta genom intervju med systemförvaltare Ann-Djerf Svensson och IT-tekniker Per Wendt framkom det emellertid vissa brister i uppföljning av dessa timmar. Övervakning att överenskomna servicenivåer tillgodoses är viktigt för en kontinuerlig och effektiv uppföljning av den servicenivå ledningen kräver. Vi rekommenderar Region Skåne att förstärka sina rutiner för uppföljning av det arbete WM-data utför. I annat fall kan inte en bedömning och utvärdering göras mellan de erhållna insatser och de satsade resurserna. Deloitte Region Skåne 11
Slutsats Generella slutsatser De generella datakontrollerna kring ekonomisystemet Raindance samt personalsystemen Prima och Palett granskades under hösten 2004. Vi kan efter denna intern kontrollgranskning dra slutsatsen att revisionen kan förlita sig på de interna kontrollerna i de granskade systemen. Vi har dock identifierat att det förekommer förbättringsmöjligheter inom vissa specifika områdena. Vi har därför föreslagit en del förändringar av rutiner samt systemparametrar för att stärka den interna kontrollen beträffande de granskade systemen. Dessa iakttagelser har redovisats i avsnittet ovan och summeras i avsnittet Sammanfattning av rekommendationer nedan. Generellt kan nämnas att de förbättringsområden som identifierats är områden där förändrade rutiner krävs. Då det kan vara tidskrävande att ändra rutiner föreslår vi att en uppföljning sker av dessa iakttagelser vid nästkommande granskningar av IT-miljön. Vi föreslår även att en noggrannare granskning sker av de säkerhetsrelaterade aspekterna i samtliga IT-system som hanterar finansiella flöden inom Region Skåne. En sådan granskning skulle omfatta mer djuplodande granskning av säkerhetsuppsättningar och systemvärden. Sammanfattningsvis är vår bedömning att den granskade systemmiljöerna stödjer en korrekt hantering av finansiell data och en inneboende säkerhet kan tillämpas i den finansiella revisionen. Sammanfattning av rekommendationer 1. Regelbunden uppföljning av användare i systemen 2. Förändra säkerhetsparametrarna 3. Utökade tester vid versionsbyten av Raindance 4. Förbättra uppföljningen av underhållsarbetet i Raindance 5. Förbättra uppföljningen av WM-data insatser Deloitte Region Skåne 12