Rapport avseende IT-system. December 2004

Relevanta dokument
Region Skåne Granskning av IT-kontroller

Tyresö kommun. Generella IT kontroller Economa och Heroma. Detaljerade observationer och rekommendationer. Juni 2017

Region Gotland. Generella IT kontroller Visma och HR Plus. Detaljerade observationer och rekommendationer. Februari 2017

Granskning av generella IT-kontroller för PLSsystemet

Revisionsrapport. Kalmar kommun. Förstudie av personalsystemet. Caroline Liljebjörn. 10 oktober 2011

Sollentuna kommun. Generella IT kontroller Visma Affärslösningar. Detaljerade observationer och rekommendationer. November 2017

Uppföljningsrapport IT-revision 2013

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina

Revisionsrapport 7 / 2010 Genomförd på uppdrag av revisorerna november Haninge kommun. Granskning av säkerhet i löneutbetalningar

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Botkyrka Kommun. Revisionsrapport. Generella IT kontroller Aditro och HRM. Detaljerade observationer och rekommendationer.

Granskning av intern kontroll i lönehanteringen

Granskning av generella IT-kontroller för ett urval system vid Skatteverket

Revision av den interna kontrollen kring uppbördssystemet REX

Rapport avseende Personalskulder. December 2006

Revisionsrapport. IT-revision Solna Stad ecompanion

Region Skåne. Inköps- och attestrutinen. Insert Picture. November Deloitte All rights reserved.

Lösenordsregelverk för Karolinska Institutet

Revisionsrapport. 1 Inledning. Revision av uppbördsprocessen Moms. Skatteverket Solna. Datum Dnr

Granskning av IT intern kontroll

Rapport avseende Investeringar. December 2004

Bolagsspecifika resultat Sektion 3. Page 1

Vår bedömning är att kommunstyrelsen i huvudsak har ändamålsenliga kontroller på plats

Granskning av intern kontroll i kommunens huvudboksprocess

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni Erik Norman 1(6)

Granskning av anställningar och avslut i lönesystemet och tilldelning av behörigheter till dokumentationssystem

Riktlinjer för ansvar och behörigheter i Personec P

Granskning av löner. Genomförd på uppdrag av revisorerna i Simrishamns kommun Februari Thomas Hallberg Josabeth Alfsdotter

Granskning av intern kontroll i kommunens centrala löneprocess

Uppföljningsrapport IT-generella kontroller 2015

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Granskning av informations- integrationer inom Malmö stad

Syfte Behörig. in Logga 1(6)

Revisionsplan redovisningsrevision 2015

Granskning av utbetalningar

Nr Iakttagelse Risk Risknivå Pensionsmyndighetens svar till Riksrevisionen , dnr VER

Revisionsrapport Granskning av stadens internkontrollplan samt nyckelkontroller inom ekonomiadministration och IT

Generella IT-kontroller uppföljning av granskning genomförd 2012

Växjö kommun. Övergripande säkerhetsgranskning. säkerhet avseende externt och internt dataintrång. Informationssäkerhetsspecialister:

GRANSKNINGSRAPPORT. Uppföljning IT-granskningar. Projektledare: Lotta Onsö. Beslutad av revisorskollegiet Malmö stad Revisionskontoret

December Rapport avseende löpande granskning Uddevalla kommun

Granskning av intern styrning och kontroll vid Statens servicecenter

Komrnunstyrelseri Nämnder och styrelser

Granskning av generella IT-kontroller för ett urval system vid Skatteverket 2017

Övergripande granskning av ITverksamheten

Yttrande till kommunrevisionen över granskning av attester för utbetalningar

REVISIONSRAPPORT. Löpande granskning av redovisning och administrativa rutiner avseende. Tekniska nämnden. Hylte Kommun.

Förstudie: Övergripande granskning av ITdriften

Granskning av lönesystem

Marks kommun - Granskning av intern kontroll i lönehanteringen

Dnr UFV 2013/1490. Lösenordshantering. Rutiner för informationssäkerhet. Fastställd av Säkerhetchef Reviderad

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Riktlinjer för informationssäkerhet

Riktlinjer för IT i Lilla Edets kommun. 2. Syftet med IT i Lilla Edets kommun

Systemförvaltnings Modell Ystads Kommun(v.0.8)

Översyn av IT-verksamheten

REVISIONSRAPPORT. Löpande granskning av redovisning och administrativa rutiner avseende. Byggnads- samt Miljö- och hälsoskyddsnämnden.

Säkerhet och intern kontroll i lönehanteringen

Revisionsrapport Granskning av generella ITkontroller för ett urval av system vid Skatteverket 2018

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Revisionsrapport Borgholms kommun Caroline Liljebjörn 1 juni 2016

BDS-UNDERHÅLLET. Användarens instruktion Kommunerna

Länsstyrelsen i Kronobergs läns hantering av länsstyrelsernas samordnade löneservice

Granskning av intern kontroll i redovisningsprocessen 2013

Informationssäkerhetspolicy

Riktlinjer för IT-säkerhet i Halmstads kommun

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

Hantering och redovisning av folktandvårdens intäkter

Revisionsrapport Rutiner och intern styrning och kontroll inom redovisning 2017

Göteborg Energi AB. Självdeklaration 2012 Verifiering av inköpsprocessen Utförd av Deloitte. 18 december 2012

IT-säkerhet Externt och internt intrångstest

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

IT-SÄKERHETSPOLICY. Stadskontoret. 1 Inledning Definition Omfattning Mål för IT-säkerhetsarbetet... 2

Bilaga 1. Definitioner

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Kravspecifikation. Crowdfunding Halland

LEX INSTRUKTION LEX LDAP

Olofströms kommun. Intern kontroll Granskning personalkostnader. Audit KPMG AB 9 mars 2011 Antal sidor: 7

Granskning av intern kontroll avseende betalningsrutiner. Vattenpalatset i Mönsterås AB

Rapport från uppföljande granskning av av pensioner. December 2006

ATTESTREGLEMENTE FÖR SJÖBO KOMMUN

Nr Iakttagelse Risk Risknivå Försäkringskassans svar till Riksrevisionen dnr

Rutin för Prator IT-stöd för samordnad planering

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Informationssäkerhet i patientjournalen

Rapport avseende Förrådsredovisning. December 2005

Införande av Primula på Malmö högskola

I det här dokumentet beskriver IT-mästarens tjänsten Applikationsdrift, dess ingående komponenter och dess tillägg.

Aktiviteter vid avtalets upphörande

Granskning av utbetalningar

Vilma Lisboa April 2010

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Revisionsrapport Rutiner och intern styrning och kontroll 2016

Inläsning av bokföringsinformation, fakturor från e-handelstjänst till Agresso version 1.0

Landskrona stad. Granskning av IT - organisationen och dess leverans modell för IT - service till verksamheten.

Sammanträdesdatum Arbetsutskott (1) 28 Dnr KS/2016:389. Slutredovisningen av internkontroll 2017, KSF

Guide för säker behörighetshantering

Utomlänsintäkter förstudie

Exempel på verklig kravspecifikation

Transkript:

Rapport avseende IT-system. December 2004

Innehåll Inledning...1 Risker i IT-system med påverkan på ekonomisystem...2 Granskningsansats...3 Omfattning...3 Utfört arbete...4 Raindance - rutiner...4 Prima - rutiner...5 Palett - rutiner...6 Iakttagelser...7 Informationssäkerhet i applikationerna...7 Överföringar av finansiell information...9 Utveckling och underhåll av systemen...9 Förhållande med utomstående IT-leverantör...10 Slutsats...12 Generella slutsatser...12 Sammanfattning av rekommendationer...12

Inledning Enligt den revisionsplan som antagits för 2004 års redovisningsrevision ska Deloitte utföra en särskild granskning av redovisningen av IT-miljön inom Region Skåne. Granskningen har utförts enligt planen och redovisas i denna rapport. Deloitte Region Skåne 1

Risker i IT-system med påverkan på ekonomisystem Informationssystemen utgör en väsentlig del av det interna kontrollsystemet i Region Skåne. Väsentliga IT-system för redovisningsrevisionen är självklart ekonomisystemen Raindance, Crom och Xor, men även andra system som levererar indata till ekonomisystemen exempelvis personalsystemen Prima och Palett samt PASiS och fakturahanteringssystemet E-bill. Risker med IT är bland annat att systemen släpper in obehöriga, att data inte är helt korrekt, att systemen upphör att fungera eller att den fysiska säkerheten är för dålig. I den generella IT-miljön utförs en väsentlig del av de ramverkskontroller som görs inom ramen för det interna kontrollsystemet. Exempel på detta är hur behörigheter vid inloggning mm tilldelas olika användare. IT-verksamheten är ett komplext och omfattande område och i de flesta revisioner granskas denna genom så kallad rotationsplan där olika delsystem testas olika år. På så vis erhålls inte fullständig täckning det första året. När rotationsmodellen används är det dock viktigt att prioritera eventuella kända problemområden så att dessa inte får vänta. Deloitte Region Skåne 2

Granskningsansats För att känna trygghet i den finansiella informationen finns det således skäl att på hög nivå bilda sig en uppfattning om kvaliteten och säkerheten i Region Skånes IT-verksamhet. Vi kommer därför inom ramen för redovisningsrevisionen att inrikta granskningen av IT mot ekonomisystemen genom följande aktiviteter: Uppdaterad intervju med centralt placerad personal för att få en övergripande bild över funktion och eventuella förändringar i systemen. Dialog om IT-system och rutiner på samtliga enheter i samband med redovisningsgranskningen Genomgång av granskningar som gjorts tidigare år för bedömning av eventuella IT-problem Utvärdering av ekonomi- och personalsystemen av Deloitte s specialistavdelningen för IT-granskning (ERS). Omfattning Utvalda system för utvärdering är regionens huvudsakliga ekonomisystem Raindance samt de personalrelaterade systemen Prima och Palett. Dessa system har valts då de anses vara de mest kritiska systemen ur ett finansiellt revisionsperspektiv. Deloitte Region Skåne 3

Utfört arbete Raindance - rutiner Under hösten 2004 har Deloitte vid besök hos regionstyrelsen genomfört en kartläggning av hur ekonomisystemet Raindance fungerar och hanteras administrativt. Kartläggningen har genomförts främst genom intervjuer med personer inom regionstyrelsen som administrerar, underhåller och övervakar transaktionerna inom Raindance. Följande områden har innefattats av granskningen: IT-drift - generella driftrutiner, överföring och övervakning av information från försystem in i Raindance etc. Informationssäkerhet - tilldelning av behörigheter, administration av åtkomst, generell säkerhet i applikationen etc. Implementation och underhåll av applikationen Raindance - systemutvecklingspolicy, testmiljöer etc. Katastrofplanering - alternativa lösningar för att återskapa datadriften i händelse av katastrof, strömförsörjning, backuper etc. Utomstående konsulter överenskommen servicenivå, kommunikation med WM-data, koordinering etc. Vi har för ovanstående områden granskat i syfte att säkerställa följande: Att endast behöriga och godkända användare kan utföra transaktioner och överföringar mellan Raindance och dess försystem. Att logiska säkerhetssystem är implementerade för att begränsa åtkomst till program, data och annan information samt att administreringen av behörigheter sker på ett tillfredsställande och kontrollerat sätt. Att förändringar till Raindance applikationen implementeras på lämpligt sätt och att de fungerar i linje med ledningens intentioner. Att kritiska affärsprocesser och informations resurser kan återskapas i rätt tid i händelse av en katastrof. Att regionstyrelsen övervakar att överenskomna service nivåer med utomstående leverantör säkerställs och möter förväntningarna. Deloitte Region Skåne 4

Prima - rutiner Under hösten 2004 har Deloitte vid besök hos koncernadministrationen på regionkontoret i Lund genomfört en kartläggning av hur personalsystemen Prima och Palett fungerar och hanteras administrativt. Kartläggningen har genomförts främst genom intervjuer med personer inom koncernadministrationen som administrerar, underhåller och övervakar transaktionerna inom Prima. För att erhålla en fullständig bild av systemens handhavande har även intervjuer gjorts med driftsansvarig personal i form av den utomstående konsulten TietoEnator. Vidare har fokuserade resurser lagts på att grundligt granska säkerhetsadministrationen i Prima, som sker genom applikationen Easy. Följande områden har innefattats av granskningen: IT-drift - generella driftrutiner, överföring och övervakning av transaktioner i Prima etc. Informationssäkerhet - tilldelning av behörigheter, administration av åtkomst, generell säkerhet i applikationen etc. Implementation och underhåll av applikationen Prima - systemutvecklingspolicy, testmiljöer, uppdatering av beräkningsparametrar etc. Katastrofplanering - alternativa lösningar för att återskapa datadriften i händelse av katastrof, strömförsörjning, backuper etc. Utomstående konsulter överenskommen servicenivå, kommunikation med TietoEnator, koordinering etc. Vi har för ovanstående områden granskat i syfte att säkerställa följande: Att alla överföringar mellan Prima och ekonomisystemet Raindance övervakas samt att de genomförs på ett tillförlitligt sätt och i rätt tid. Att endast behöriga och godkända användare kan utföra transaktioner och överföringar mellan Prima och Raindance. Att logiska säkerhetssystem är implementerade för att begränsa åtkomst till program, data och annan information samt att administreringen av behörigheter sker på ett tillfredsställande och kontrollerat sätt. Att förändringar till Prima applikationen implementeras på lämpligt sätt och att de fungerar i linje med ledningens intentioner. Att kritiska affärsprocesser och informations resurser kan återskapas i rätt tid i händelse av en katastrof. Att koncernadministrationen övervakar att överenskomna service nivåer med utomstående leverantör säkerställs och möter förväntningarna. Deloitte Region Skåne 5

Palett - rutiner Under hösten 2004 har Deloitte vid besök hos koncernadministrationen på regionkontoret i Lund genomfört en kartläggning av hur personalsystemet Palett fungerar och hanteras administrativt. Kartläggningen har genomförts främst genom intervjuer med personer inom koncernadministrationen som administrerar, underhåller och övervakar transaktionerna inom Palett. Vidare har kortare intervju hållits med CSK IT som handhar driften av applikationen. Följande områden har innefattats av granskningen: IT-drift - generella driftrutiner, överföring och övervakning av transaktioner i Palett etc. Informationssäkerhet - tilldelning av behörigheter, administration av åtkomst, generell säkerhet i applikationen etc. Implementation och underhåll av applikationen Palett - systemutvecklingspolicy, testmiljöer, uppdatering av beräkningsparametrar etc. Vi har för ovanstående områden granskat i syfte att säkerställa följande: Att alla överföringar mellan Palett och ekonomisystemet Raindance övervakas samt att de genomförs på ett tillförlitligt sätt och i rätt tid. Att logiska säkerhetssystem är implementerade för att begränsa åtkomst till program, data och annan information samt att administreringen av behörigheter sker på ett tillfredsställande och kontrollerat sätt. Att förändringar till Palett applikationen implementeras på lämpligt sätt och att de fungerar i linje med ledningens intentioner. Deloitte Region Skåne 6

Iakttagelser Informationssäkerhet i applikationerna Vi har granskat hur tilldelning av behörigheter administreras och vilka krav på informationssäkerhet som ställs på de aktuella systemen. Vi noterat följande i vår granskning. Behörigheter För att få tillgång till de aktuella systemen krävs det separat inloggning på applikationsnivå. Tilldelning av användarnamn och lösenord sker från en centralt ansvarig individ och förefaller fungera tillfredsställande för samtliga system. En formell rutin finns för godkännande av behörig person innan åtkomst till systemen beviljas. För applikationen Prima sköts administrering av behörigheter genom applikationen Easy, som administreras av tre individer från personalsystemgruppen inom koncernadministrationen. Följande behörighetsnivåer finns: ANSVARIG finns inom personalsystemgruppen. Kan ge behörighet till ADMIN/KONTAKT/OPERATÖR. ADMIN finns inom varje förvaltning och har övergripande behörighet till alla enheter inom förvaltningen. ADMIN kan även tilldela behörighet till KONTAKT/OPERATÖR. KONTAKT en eller flera personer inom en enhet som kan ge behörighet till OPERATÖR. OPERATÖR har behörighet att arbeta i PRIMA. Varje användare inom Prima tilldelas en av systemgruppen skapad kategori dvs. roll som ger tillgång till utvalda bilder inom Prima. Behörighet kan ges till att läsa, uppdatera och/eller ta bort information i systemet. Speciell granskning genomfördes för de bilderna med starka rättigheter att ändra löneinformation i Prima (bilder 141 150). Genom att kontrollera de vanligast förekommande kategorierna i Prima kunde vi säkerställa att inga av dessa hade tillgång till bilderna 141 150. Personalsystemgruppen (3 st) är de enda med accessrättigheter till samtliga funktioner i Prima. Dessa tilldelar behörigheter till de lokala systemförvaltarna. Riktad granskning har skett av de användarna med ADMIN behörighet inom de respektive förvaltningarna. En jämförelse mellan informationen i Easy och mot de registrerade administratörerna hos Lars Lindberg genomfördes utan avvikelser. Deloitte Region Skåne 7

För Palett systemet sköts administrering av behörigheter via en central systemförvaltare (Ingela Nilsson) som administrerar behörigheter ut till de lokala systemförvaltarna på respektive förvaltning. För användarna i Palett finns följande två behörighetsnivåer: SCHEMA ANVÄNDARE har behörighet till samtliga operativa funktioner i Palett, dock ej tillgång att administrera användare och lösenord. SCHEMA ANSTÄLLNING LÄS har behörighet till samtliga operativa funktioner i Palett förutom till att lägga till, förändra eller ta bort anställningsinformation inklusive löner och ersättningar. Baserat på den översiktliga genomgång av behörighetsstrukturen i Palett som genomförts bedömer vi att tillfredsställande kontroller finns för tilldelning och administrering av behörigheter i systemet. För att kunna bedöma rimligheten i behörighetsnivåerna krävs en djupare granskning på förvaltningsnivå varför vi i nuläget inte kan bedöma rimligheten av dessa behörighetsnivåer. För att säkerställa att endast godkända användare finns i systemen rekommenderar vi att en rutin för regelbunden uppföljning av användare i systemen. Från centralt håll skickas behörighetslistor ut till respektive förvaltningsansvarig som går igenom behörigheterna och bedömer dem utifrån arbetsuppgifter. Listorna signeras sedan och skickas tillbaka till den centrala funktionen som vidtar lämpliga åtgärder. På detta sätt sker en kontinuerlig kontroll av de behörighetsnivåer, vilket ökar säkerheten i systemet avsevärt. Dessutom upptäcks och undviks redundanta användarkonton, vilket förbättrar prestandan i systemet. Säkerhetsuppsättningar Avseende utformningen av säkerhetsparametrarna i system upptäcktes en del skillnader mellan systemen och även en del brister i utformningen. Genom granskning av Raindance systemet kräver endast 3 tecken långa lösenord och dessutom finns ingen spärr mot maximalt antal felaktiga inloggningar. I Prima systemet är lösenordslängden på en högre säkerhetsnivå, men i detta system sker endast tvingande lösenordsbyten var 6: e månad. I Palettsystemet finns krav på 4 tecken långa lösenord och inga krav på komplexitet. Om lösenord inte ändras regelbundet och/eller är svaga kan de komma till allmän kännedom, vilket kan leda till bristande kontroll över transaktioner som utförs i systemet. Detta kan i sin tur ha en stor effekt på den finansiella information som genereras ur systemen. Vi rekommenderar att säkerhetsparametrarna som noterats ovan åtgärdas så att lösenorden måste ha minst 8 tecken, tvingande byten minst var 90 dag samt högst 3 felaktiga inloggningar innan kontot låses. Alternativt rekommenderar vi att vi en single sign-on lösning där nätverksinloggningen även ger access till underliggande applikationssystem. Deloitte Region Skåne 8

Överföringar av finansiell information Vi har granskat hur överföringen av information sker från de båda personalsystemen Prima och Palett in till det finansiella redovisningssystemet Raindance. Informationsöverföring Den 27: e varje månad körs den slutliga lönekörningen av löneadministratörerna. När den slutliga lönefilen skapats och bankfilen skickats iväg till banken så skapar Prima och Palett automatiskt en bokföringsfil i form av en textfil som placeras på ekonomiavdelningens server. Det är sedan ekonomiavdelningens ansvar att importera den textfil som finns på servern varje månad. Detta genomförs oftast i samband med det ordinarie bokslutsarbetet och är en automatiserad process som dock initieras manuellt av ekonomipersonal. Vidare har vi identifierat manuella avstämningsrutiner på ekonomiavdelningen som säkerställer att information mellan levererande och mottagande system är den samma. Vid vår granskning framkom inget som tyder på att detta förfarande skulle medför några väsentliga risker för felaktigheter i den finansiella informationen. Utveckling och underhåll av systemen Utveckling och förändringar av Raindance, Prima och Palett sker på olika sätt och har granskats i varierande grad beroende på den risk som bedöms föreligga. Systemutveckling Raindance Systemet Raindance ägs och utvecklas av WM-data och används främst av offentliga förvaltning i allmänhet. Systemet är ett standardsystem, men eftersom de allra flesta kunderna är landsting med liknande önskemål och behov så har en användargrupp med representanter från de olika landstingen skapats för att kunna fånga upp krav på ny funktionalitet. Applikationsutvecklingen sköts av WM-data, som även testar och kontrollerar versionerna innan de skickas till kunderna. WM-datas testmetodik tillämpas och dokumentation sker av dem varför vi inte kunnat ta del av någon testdokumentation. Vi uppmärksammade dock att användarföreningen för Raindance i norden inte får tillgång att testa förändringar i ett skede innan versionen släpps till kunderna i den utsträckning som önskas. Vi rekommenderar därför att en rutin införs som syftar till att få tillstånd utökade tester av nya versioner innan de släpps till kunderna. På detta sätt kan onödiga buggar i programmen undvikas innan de lämnar WM-data, vilket följaktligen skulle ge en större säkerhet avseende den finansiella informationen. Vid vår granskning observerade vi att det finns en detaljerad rutin för underhåll av systemet Raindance. I underhållsplan finns klart definierade riktlinjer för hur underhåll av behörigheter, rapporter, journaler, loggar etc. Ansvaret för att detta arbete utförs åligger de lokala systemförvaltarna. Vi observerade emellertid att ingen uppföljning sker av att underhållsplanen följs. Vi rekommenderar således Region Skåne att införa en rutin för uppföljning av underhållsarbetet för att säkerställa att detta verkligen genomförs. I annat fall finns möjligheten att arbetet inte utförs, vilket skulle kunna medföra fara för fullständigheten i den finansiella informationen. Deloitte Region Skåne 9

Systemutveckling Prima Systemutveckling och förändringar till applikationen Prima sköts i samarbete med TietoEnator (systemägare), Malmö Stad samt Region Skåne. Eftersom systemet i grunden är utvecklat av Region Skåne så är finns ett nära samarbete i utvecklingsarbetet med systemet. Månatliga möten hålls med TietoEnator, Malmö Stad samt Region Skåne för att diskutera eventuella förändringsbehov i systemet. Samtliga beslutade ändringar kräver en kravspecifikation som måste godkännas av samtliga parter. I kravspecifikationen beskrivs syfte, funktion, tekniska förändringar, konsekvenser, tidsuppskattning samt testinstruktioner. Baserat på det faktum att kontinuerliga möten äger rum avseende utveckling av Prima samt att förändringarna följer klara rutiner för godkännande, utveckling och testning så bedöms kontrollerna avseende systemutveckling vara tillfredsställande. Systemutveckling Palett Palett är ett standardsystem och ägs av WM-data som även agerar konsult för systemet. Region Skåne är inte med lika aktivt i utvecklings- och förändringsfasen av detta system som för Raindance och Prima. Palett administrerar idag ca 4 500 löner varje månad, vilket gör det till ett relativt stort lönesystem dock inte i paritet med Prima. Uppdateringar av systemet sker efter beslut från koncernadministrationen och färdiga uppdateringsversioner erhålls från WM-data. Den praktiska uppdateringen sker sedan av CSK IT som ansvar för driften av Palett. Några väsentliga riskområden har inte identifierats avseende förändringar inom Palett baserat på att det är en standardprogramvara utan anpassningar. Förhållande med utomstående IT-leverantör Vi har granskat hur samarbetet med de utomstående IT-leverantörerna sker och hur uppföljningen sker av de levererade tjänsterna. Vi gjorde följande observationer under vår granskning. TietoEnator Ett nära samarbete med TietoEnator finns avseende drift och utveckling av systemet Prima. Vi har granskat hur TietoEnator sköter sina förpliktelser gällande Prima genom intervjuer med personal på TietoEnator och med personal från koncernadministrationen. Generellt fann vi att TietoEnator säkerställer att de överenskomna servicenivåerna tillgodoses och möter förväntningarna. Eftersom Prima är ett system som tidigare ägts av Region Skåne ihop med Malmö Stad, så finns stor kompetens om systemet och dess uppbyggnad inom Region Skånes organisation, vilket gör att Region Skåne blir en kompetent och professionell beställare. Att ha kompetens som beställare är ovärderligt vid outsourcing av IT-verksamhet. Vidare granskade vi att kontinuerlig uppföljning sker på det arbete som utförs av TietoEnator. Här återfinns information om transaktionsvolymer fördelade på olika system, antal nedlagda konsult timmar, vilken typ av arbete som utförts etc. Baserat på denna information anser vi att en tillfredsställande nivå av uppföljning sker av leverantörens arbete. Detta underlättar arbetet med att bedöma om de uppsatta förväntningarna och servicenivåerna tillgodoses. Deloitte Region Skåne 10

WM-data Utveckling av ekonomisystemet Raindance sker av WM-data som även är ägare av systemet. Utvecklingen av systemet sker i samråd med en arbetsgrupp bestående av representanter från olika stora offentliga förvaltning och privata bolag som använder Raindance däribland Region Skåne. I nuläget finns ett avtal med WM-data som är reglerat till ca 100 konsulttimmar i månaden. Vid granskning av detta genom intervju med systemförvaltare Ann-Djerf Svensson och IT-tekniker Per Wendt framkom det emellertid vissa brister i uppföljning av dessa timmar. Övervakning att överenskomna servicenivåer tillgodoses är viktigt för en kontinuerlig och effektiv uppföljning av den servicenivå ledningen kräver. Vi rekommenderar Region Skåne att förstärka sina rutiner för uppföljning av det arbete WM-data utför. I annat fall kan inte en bedömning och utvärdering göras mellan de erhållna insatser och de satsade resurserna. Deloitte Region Skåne 11

Slutsats Generella slutsatser De generella datakontrollerna kring ekonomisystemet Raindance samt personalsystemen Prima och Palett granskades under hösten 2004. Vi kan efter denna intern kontrollgranskning dra slutsatsen att revisionen kan förlita sig på de interna kontrollerna i de granskade systemen. Vi har dock identifierat att det förekommer förbättringsmöjligheter inom vissa specifika områdena. Vi har därför föreslagit en del förändringar av rutiner samt systemparametrar för att stärka den interna kontrollen beträffande de granskade systemen. Dessa iakttagelser har redovisats i avsnittet ovan och summeras i avsnittet Sammanfattning av rekommendationer nedan. Generellt kan nämnas att de förbättringsområden som identifierats är områden där förändrade rutiner krävs. Då det kan vara tidskrävande att ändra rutiner föreslår vi att en uppföljning sker av dessa iakttagelser vid nästkommande granskningar av IT-miljön. Vi föreslår även att en noggrannare granskning sker av de säkerhetsrelaterade aspekterna i samtliga IT-system som hanterar finansiella flöden inom Region Skåne. En sådan granskning skulle omfatta mer djuplodande granskning av säkerhetsuppsättningar och systemvärden. Sammanfattningsvis är vår bedömning att den granskade systemmiljöerna stödjer en korrekt hantering av finansiell data och en inneboende säkerhet kan tillämpas i den finansiella revisionen. Sammanfattning av rekommendationer 1. Regelbunden uppföljning av användare i systemen 2. Förändra säkerhetsparametrarna 3. Utökade tester vid versionsbyten av Raindance 4. Förbättra uppföljningen av underhållsarbetet i Raindance 5. Förbättra uppföljningen av WM-data insatser Deloitte Region Skåne 12

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss