Revisionsrapport Granskning av stadens internkontrollplan samt nyckelkontroller inom ekonomiadministration och IT



Relevanta dokument
Granskning av den interna kontrollen avseende löner

Revisionsrapport. IT-revision Solna Stad ecompanion

Uppföljningsrapport IT-revision 2013

Region Gotland. Generella IT kontroller Visma och HR Plus. Detaljerade observationer och rekommendationer. Februari 2017

Uppföljningsrapport IT-generella kontroller 2015

Granskning av generella IT-kontroller för PLSsystemet

Granskning av applikationenn Basware oktober 2012*

Tyresö kommun. Generella IT kontroller Economa och Heroma. Detaljerade observationer och rekommendationer. Juni 2017

Sollentuna kommun. Generella IT kontroller Visma Affärslösningar. Detaljerade observationer och rekommendationer. November 2017

Granskning av intern kontroll i redovisningsprocessen 2013

Granskning av intern kontroll i lönehanteringen

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina

Granskning av generella IT-kontroller för ett urval system vid Skatteverket

Komrnunstyrelseri Nämnder och styrelser

Revisionsrapport 7 / 2010 Genomförd på uppdrag av revisorerna november Haninge kommun. Granskning av säkerhet i löneutbetalningar

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Granskning av intern styrning och kontroll vid Statens servicecenter

Botkyrka Kommun. Revisionsrapport. Generella IT kontroller Aditro och HRM. Detaljerade observationer och rekommendationer.

Revisionsrapport. Granskning av leverantörsregister. Sollentuna kommun. pwc

Bolagsspecifika resultat Sektion 3. Page 1

IT-säkerhet Externt och internt intrångstest

Granskning av intern kontroll i kommunens huvudboksprocess

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Region Skåne Granskning av IT-kontroller

Revisionsnämnden beslutade den 8 april 2013 att överlämna granskningen av internkontrollplaner till kommunstyrelsen.

Revision av den interna kontrollen kring uppbördssystemet REX

Granskning av intern kontroll i redovisningsrutiner

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

REVISIONSRAPPORT. Löpande granskning av redovisning och administrativa rutiner avseende. Tekniska nämnden. Hylte Kommun.

Miljö- och hälsoskyddsnämndens plan för intern kontroll 2014

Kungälvs kommun. Granskning av intern kontroll inom ekonomiprocesser 2018

Granskning av lönehanteringen

Vår bedömning är att kommunstyrelsen i huvudsak har ändamålsenliga kontroller på plats

REVISIONSRAPPORT. Löpande granskning av redovisning och administrativa rutiner avseende. Byggnads- samt Miljö- och hälsoskyddsnämnden.

Datum Kommunrevisionen: Granskning av generalla IT-kontroller 2013

Landstinget i Värmland Granskning av generella IT-kontroller. Revisionsrapport

Revisionsrapport. 1 Inledning. Revision av uppbördsprocessen Moms. Skatteverket Solna. Datum Dnr

N v. För kdnnedom till: Kommunfullmäktiges presidium, kommundirektören, respektive sektorschef samt ekonomichefen.

Växjö kommun. Övergripande säkerhetsgranskning. säkerhet avseende externt och internt dataintrång. Informationssäkerhetsspecialister:

Uppföljning avseende granskning av attestrutiner

Granskning av bokslutsprocessen

Revisionsrapport. Attestrutiner. Östhammars kommun. Datum: Författare: Jonas Eriksson Carin Norberg

Intern kontroll avseende redovisning och räkenskaper Växjö Kommun. Genomförd på uppdrag av revisorerna

Vilma Lisboa April 2010

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Svar till revisorerna angående revisionsrapport, Granskning av ITsäkerhet

Granskning av intern kontroll i löneprocessen

Granskning av fakturahanteringen. Trelleborgs kommun

Granskning av intern kontroll svar på revisionsskrivelse

Granskning av delårsrapport, redovisning och intern kontroll 2013

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni Erik Norman 1(6)

Generella IT-kontroller uppföljning av granskning genomförd 2012

Göteborg Energi AB. Självdeklaration 2012 Verifiering av inköpsprocessen Utförd av Deloitte. 18 december 2012

December Rapport avseende löpande granskning Uddevalla kommun

PM efter genomförd löpande granskning

Granskning av bokslutsprocessen

Datum Kommunrevisionen: Granskning av internkontroll i redovisningsprocessen 2011

11 Revisionsrapport Granskning av intern kontroll i regionens huvudboksprocess RS150315

Granskning av generella IT-kontroller för ett urval system vid Skatteverket 2017

Revisionsrapport Granskning av generella ITkontroller för ett urval av system vid Skatteverket 2018

Intern kontroll i faktura- och lönehantering

Intern kontroll i faktura- och lönehantering

Anvisning för intern kontroll och styrning

Granskning av miljö- och hälsoskyddsnämndens interna kontroll avseende faktureringsrutiner

Kundfordringar en uppföljande granskning

Revisionsrapport. Granskning av intern kontroll gällande attester för manuella bokföringsordrar, manuella betalningar samt leverantörsfakturor

Uppföljning av tidigare granskningar

Revisionsrapport Övergripande granskning av intern kontroll Tandvårdsnämnden 2015

Nr Iakttagelse Risk Risknivå Försäkringskassans svar till Riksrevisionen dnr

Revisionsrapport Uppföljning av granskning förtroendevaldas anspråk på förlorad arbetsförtjänst

Kommunförbundet Skåne

Intern kontroll inom ekonomiadministrationen

Marks kommun - Granskning av intern kontroll i lönehanteringen

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Revisionsrapport Självdeklaration Intern Kontroll

Intern kontroll och attester

Intern kontroll i faktura- och lönehantering

Nr Iakttagelse Risk Risknivå Pensionsmyndighetens svar till Riksrevisionen , dnr VER

Granskningsredogörelse Styrning och intern kontroll översiktlig granskning

Håbo kommuns förtroendevalda revisorer

Revisionsrapport. Löpande granskning av den interna kontrollen. vid Kostnämnden. Landstinget Västmanland. Inger Hansén Viveca Karlsson

Riktlinje för intern styrning och kontroll avseende Norrköping Rådhus AB:s bolagskoncern

Laholmshem AB & Kommunfastigheter i Laholm AB

Hantering av kontantkassor Kalix kommun

Granskning av leverantörsregister och leverantörsutbetalningar

Attest och u ta n ord n i n g

Cura Individutveckling

Granskning av IT intern kontroll

Angered. Självdeklaration 2013 Verifiering av rekryteringsprocessen Utförd av Deloitte. Februari 2014

Trelleborgs kommun Revisorerna

Granskning av intern kontroll i huvudboksprocessen

Punkt 20: Dnr 0086/16-39 Lägesrapport Er nst & Young AB granskning av intern kontroll 2016

Löpande granskning av den interna kontrollen. vid Kostnämnden. Landstinget Västmanland. Revisionsrapport

Rapport Granskning av försörjningsstöd.

ATTESTREGLEMENTE FÖR SJÖBO KOMMUN

Revisionsrapport 4 / 2008 Genomförd på uppdrag av revisorerna november Lidingö Stad Granskning av Intern kontroll 2008

December Rapport avseende löpande granskning Uddevalla kommun

December 2013 Pernilla Lihnell, certifierad kommunal revisor Åsa Vilsson, revisor. Granskning av internkontrollstrukturen Skara Kommun

Kommunal författningssamling för. Östra Göinge kommun

Uppföljning av intern kontrollplan per den 31 december 2015 för Täby kommun

Transkript:

Revisionsrapport 3/2012 Genomförd på uppdrag av revisorerna Revisionsrapport Granskning av stadens internkontrollplan samt nyckelkontroller inom ekonomiadministration och IT Nicklas Samuelsson Magnus Nilsson Lidingö stad

Innehållsförteckning 1 Sammanfattande bedömning och rekommendationer... 1 2 Inledning... 2 2.1 Bakgrund... 2 2.2 Revisionsfrågor... 2 3 Granskningens inriktning och omfattning... 3 3.1 Processkontroller... 3 3.2 Generella IT-kontroller... 4 4 Detaljerade observationer och rekommendationer avseende processkontroller... 5 4.1 Ej genomförd stickprovskontroll av inlagda attestanter och slutattestanter... 5 4.2 Avsaknad av formell kontrollbeskrivning samt enhetligt kontrollutförande... 5 4.3 Bristfälligt kontrollutförande av utanordningslistor... 6 4.4 Brister i genomförd kontroll för periodisk granskning av användare i ekonomisystemet Agresso... 6 5 Detaljerade observationer och rekommendationer avseende IT-kontroller... 7 5.1 Ej uppdaterade IT-policy dokument... 7 5.2 Avsaknad av formell förändringsrutin... 7 5.3 Avsaknad av definierad process avseende testgodkännanden samt brist i spårbarhet av densamma... 8 5.4 Brister i genomförd kontroll för periodisk granskning av användare i ekonomisystemet Agresso... 8 5.5 Brist i genomgång av systemets säkerhetsparametrar... 9 Lidingö stad

1 Sammanfattande bedömning och rekommendationer Som ett led i granskningen av Lidingö stads räkenskaper har på uppdrag av stadens förtroendevalda revisorer granskat den interna kontrollen inom ekonomiadministrationen. Vår granskning har utgått från den internkontrollplan som staden har upprättat. Internkontrollplanen utgår från de risker som staden under tidigare år har identifierat genom riskanalyser av verksamhetens processer. Vi () har för ett urval väsentliga processer för den finansiella revisionen valt ut ett antal nyckelkontroller ut internkontrollplanen som vi har validerat för att säkerställa att kontrollen är korrekt implementerad och fungerar över tiden. Följande revisionsfrågor har legat till grund för granskningen: Är nyckelkontroller i stadens riskanalys ändamålsenligt utformade och fungerar över tid? Är IT-kontroller avseende ekonomisystemet Agresso ändamålsenligt utformade och fungerar över tid. Efter genomförd granskning är vår bedömning är att den interna kontrollen har en ändamålsenlig struktur och att majoriteten av de kontroller vi testat fungerar löpande över tid. Vi vill även framhålla att det finns en ambition att arbeta aktivt med att förbättra och utveckla den interna kontrollen inom Lidingö stad. Inom vissa områden har vi dock noterat att staden har möjlighet att förbättra eller förstärka den interna kontrollen, främst relaterat till kontrollutförande och hur detta dokumenteras. För detaljerade observationer, risker och rekommendationer, refereras till avsnitt 4 och 5. Lidingö stad 1 av 9

2 Inledning 2.1 Bakgrund Som ett led i granskningen av Lidingö stads räkenskaper har på uppdrag av stadens förtroendevalda revisorer granskat den interna kontrollen inom ekonomiadministrationen. Intern kontroll är en process som utformas för att ge en rimlig försäkran om att stadens mål uppnås inom följande områden: Ändamålsenlig och effektiv verksamhet Tillförlitlig ekonomisk och verksamhetsmässig rapportering Efterlevnad av tillämpliga lagar och förordningar Utgångspunkt i granskningen har varit stadens internkontrollplan. har granskat och bedömt ändamålsenligheten i stadens internkontrollplan samt bedömt om kontrollerna i internkontrollplanen är tillräckliga. Granskning avseende internkontroll för finansiell rapportering har skett utifrån stadens riskanalys för ekonomiadministrationen och arbetet med internkontrollplanen. I granskningen har nyckelkontroller inom redovisningsprocessen identifierats och bedömts. Granskningen har fokuserat på området tillförlitlig ekonomisk rapportering. Granskning och bedömning av den interna kontrollen har utförts för ett urval processer inom ekonomiadministrationen. Vidare har också granskning av ITkontroller avseende ekonomisystemet Agresso utförts. Granskningen av IT-kontroller för Agresso har fokuserat på områden som påverkar den finansiella rapporteringen enligt nedan: IT-styrning Programutveckling och förändring Åtkomstkontroll Datordrift 2.2 Revisionsfrågor Följande revisionsfrågor ska besvaras med anledning av granskningen: Är nyckelkontroller i stadens riskanalys ändamålsenligt utformade och fungerar över tid? Är IT-kontroller avseende ekonomisystemet Agresso ändamålsenligt utformade och fungerar över tid? Lidingö stad 2 av 9

3 Granskningens inriktning och omfattning 3.1 Processkontroller Som ett led i vår granskning av räkenskaper och förvaltning har vi genomfört en granskning av kontroller inom ett urval processer hos Lidingö stad. Uppdraget har genomförts under juni 2012 av representanter från revisionsteamet på. Rapporten är skriven i avvikelseform, vilket innebär att den endast redovisar de områden där vi identifierat förbättringspotential. för åtgärd presenteras för varje observation. Granskningen omfattar totalt 25 utvalda nyckelkontroller för räkenskapsåret 2012. Granskningen har utförts i syfte att bestämma revisionsstrategi, vilket innebär att våra observationer inte kan förväntas inkludera alla möjliga förbättringar i den kontrollen. Vårt arbete har berört de områden av nyckelkontroller som redovisas i tabellen nedan. Granskningen har främst genomförts genom intervjuer med personal från olika avdelningar och enheter hos Lidingö stad samt genomgång av dokumentation. Validering har skett genom stickprovstest av identifierade nyckelkontroller. Extern Fakturering - Avstämning från försystem till huvudbok - Avstämning av fakturerat belopp och inläst belopp - Attestering av kreditnotor Kundreskontra - Avstämning av konton för felaktiga inbetalningar - Avstämning av kundreskontra och huvudbok Kravverksamhet - Genomgång av utestående kundfordringar med avseende på reserveringsbehov Leverantörsfakturering - Leverantörskontroll innan upplägg i leverantörsregister - Kontroll av att slutattestanter, attestanter och beställare lagts in korrekt i ekonomisystemet Agresso - Analytisk kontroll av verksamhetens kostnader - Automatisk kontroll som säkerställer att attestant och slutattestant inte är densamme - Kontroll innan definitivbokföring av manuella fakturor att slutattest och attest skett av behörig person - Kontroll av att transaktioner med stora belopp har korrekt periodisering - Kontroll av daglig utbetalningsfilen innehållande dagens definitvbokförda fakturor - Avstämning mellan leverantörsreskontran och huvudbok Löner - Kontroll av att rätt person har rätt behörighet - Kontroll av att grundlistor är signerade av personalansvarig chef - Kontroll av singallistor - Kontroll av utanordningslistor - Avstämning av lönekörningen och bankfil Övriga utbetalningar - Kontroll av dubbelattestering från förvaltningarna innan utbetalning Lidingö stad 3 av 9

Finansiella anläggningstillgångar (AT) Hand- /Försäljningskassor Behörighetsadministration - Kontroll av innehavet i externa förvaltarens månadsrapport - Inventering av samtliga handkassor - Avstämning av kontantkassor och bokat belopp - Kontroll att konsulter stängs av efter avslutat uppdrag - Kontroll av användare som har eller har haft hög behörighet under kontrollperioden 3.2 Generella IT-kontroller Som ett led i vår granskning av räkenskaper och förvaltning har vi genomfört en granskning av generella IT-kontroller för den verksamhetskritiska applikationen Agresso (ekonomisystemet) som vi bedömt som mest relevant i den finansiella revisionen. Uppdraget har genomförts under juni 2012. Granskningen omfattar ett antal utvalda generella IT-kontroller för räkenskapsåret 2012. Granskningen har utförts i syfte att bestämma revisionsstrategi, vilket innebär att våra observationer inte kan förväntas inkludera alla möjliga förbättringar i den interna kontrollen. Vårt arbete har berört de områden av generella IT-kontroller som redovisas i tabellen nedan. Granskningen har främst genomförts genom intervjuer med Systemansvariga, Systemförvaltare och Databasadministratör hos Lidingö stad. Förutom intervjuer har Vi även utfört begränsade tekniska tester och granskat stödjande dokument och procedurer relevanta inom kontrollramverket för IT. IT-styrning (IS) Programutveckling och förändringar (PU/PF) Åtkomstkontroll (ÅK) Datordrift (DD) - Styrande dokument för IT-verksamheten finns definierade - Systemförändringar till kritiska applikationer initieras genom formell begäran - Systemförändringar till kritiska applikationer godkänns fullständigt och riktigt - Systemförändringar vilka implementeras i produktionsmiljön godkänns fullständigt och riktigt innan driftsättning - Data från äldre systemversioner konverteras fullständigt - Akuta förändringar blir godkända och av systemansvarig (eller för där avsedd representant) - Begränsad åtkomst till produktionsmiljön för utvecklare - Formella rutiner vid upplägg av nya användare eller ändringar i befintliga behörigheter - Periodisk genomgång av användare och deras respektive behörigheter - Säkerhetskonfiguration granskas i perioder för att säkerställa att rådande konfiguration följer policy - Kontroll och övervakning av åtgärder utförda av privilegierade användare - Kontroll att vitala batch jobb genomförs fullständigt och riktigt - Back up rutiner finns på plats vilka säkerställer redundans i data - Åtkomst till serverrum är begränsad Lidingö stad 4 av 9

4 Detaljerade observationer och rekommendationer avseende processkontroller Granskningen har resulterat i ett antal områden där vi anser att Lidingö stad har möjlighet att förbättra eller förstärka den interna kontrollen. Den övergripande bedömningen är att Lidingö stad har en intern kontrollmiljö som är tillfredställande men att det finns utrymme för förbättring av processer och vissa kontroller. 4.1 Ej genomförd stickprovskontroll av inlagda attestanter och slutattestanter I stadens internkontrollplan finns en stickprovskontroll uppsatt som har till mål att säkerställa att attestantnivåer är korrekt uppsatta i ekonomisystemet Agresso. Genom granskning noterades denna årliga stickprovskontroll ej har genomförts under verksamhetsåret 2011 eller under de två första kvartalen för verksamhetsåret 2012. Utan en regelbunden periodisk granskning av aktuella attesteringsnivåer ökar risken för att användare har behörigheter som inte är aktuella för nuvarande arbetsuppgifter, eller att personen slutat vid Lidingö stad men att behörigheter kvarstår. Därmed ökar också risken för otillbörlig åtkomst och användning av applikationen eller systemet. Vi rekommenderar att Lidingö stad utför kontrollen enligt kontrollbeskrivningen (1-2 gr/år) för att säkerställa att attestnivåer ligger korrekt gentemot den anställdas arbetsuppgifter. Vidare rekommenderas att kontrollen dokumenteras efter genomförande för att möjliggöra spårbarhet och bevis på genomförd kontroll. 4.2 Avsaknad av formell kontrollbeskrivning samt enhetligt kontrollutförande Genom intervju med två ekonomichefer har det noterats att den månatliga analytiska kontrollen som utförs avseende enheternas kostnader och intäkter inte genomförs på ett enhetligt sätt utan utförandet är beroende av vilken ekonomichef som genomför kontrollen. Bristande samstämmighet i kontrollutförandet ökar risken för att precisionen i kontrollen minskar och därmed att felaktigheter ej uppmärksammas. Vi rekommenderar at Lidingö stad att skapar en formell kontrollbeskrivning som samtliga ekonomichefer följer och utför på ett enhetligt sätt som en del av månadsbokslutet. Denna kontrollbeskrivning kan exempelvis innehålla vilka Lidingö stad 5 av 9

standardrapporter från Agresso som skall analyseras samt beskriva acceptabla beloppsgränser/procentuella avvikelser som skall kommenteras och dokumenteras. 4.3 Bristfälligt kontrollutförande av utanordningslistor Genom granskning noterades att flertalet enhetschefer ej signerat av utanordningslistorna för sin enhet i den digitala loggen, vilket är en obligatorisk uppgift att utföra i den processbeskrivning som distribuerats av lönechefen. Förmildrande omständighet är att stickprovskontroller redan har påbörjats för att säkerställa att attestering sker av enheternas löneutbetalning. Vidare finns det också automatiska kontroller uppsatta som stoppar eller varnar om ex. lönebelopp har stora fluktuationer i lönebelopp från en period till en annan. Avsaknad av attestering av utanordningslistor ökar risken för felaktiga lönebelopp ej upptäckts. Vi rekommenderar att Lidingö stad fullföljer den implementerade stickprovskontrollen relaterad till attestering av utanordningslistor av resp. enhetschef. Detta för att ytterligare säkerställa att detta moment blir utfört som det är beskrivet i det formaliserade arbetsflödet för lönehantering. 4.4 Brister i genomförd kontroll för periodisk granskning av användare i ekonomisystemet Agresso Genom granskning noterades att kontrollen för periodisk granskning av användarkonton i ekonomisystemet Agresso och dess samstämmighet med personalens arbetsuppgifter ej har utförts under verksamhetsåret 2011 eller för granskningsperioden så långt för verksamhetsåret 2012. Utan en regelbunden granskning av aktuella behörighetsnivåer ökar risken att användare har behörigheter som inte är aktuella för nuvarande arbetsuppgifter, eller att personen slutat vid Lidingö stad men att systembehörigheter kvarstår. Därmed ökar risken för otillbörlig åtkomst och användning av applikationen eller systemet. Vi rekommenderar att Lidingö stad håller den formella kontrollrutinen uppdaterad och att den efterföljs för att regelbundet kunna säkerställa att användare (inkl. användare med höga administrationsbehörigheter) i ekonomisystemet Agresso innehar behörigheter som motsvarar individens arbetsuppgifter samt poängtera vikten av att denna kontroll genomförs för verksamhetsåret 2012. Vidare rekommenderas att kontrollen dokumenteras efter genomförande för att möjliggöra spårbarhet och bevis på genomförd kontroll. Lidingö stad 6 av 9

5 Detaljerade observationer och rekommendationer avseende ITkontroller Granskningen har resulterat i ett antal områden där vi () anser att Lidingö stad har möjlighet att förbättra eller förstärka den interna kontrollen inom IT-miljön. Den övergripande bedömningen är att Lidingö stad har en kontrollmiljö som är tillfredställande men att det finns utrymme för förbättring av processer och vissa kontroller. 5.1 Ej uppdaterade IT-policy dokument Genom granskning noterades att det finns styrande dokument som gäller för hur ITverksamheten ska förhålla sig, se lista nedan. Det noterades att vissa av dessa policydokument inte är fullt uppdaterade. Dokumentnamn Uppdaterat IT-policy för Lidingö stad 2008-11-29 Informationssäkerhetspolicy för Lidingö stad 2011-06-16 Lidingö Stads IT-plattform 2010-06-18 Lidingö Stads modell för förvaltning av IT-system 2008-11-29 Avsaknad av eller icke uppdaterade formella dokument gällande riktlinjer för IT ökar risken för en IT-miljö vilken inte är upprättad i enlighet med verksamhetens krav. Vi rekommenderar att Lidingö stad säkerställer att gällande policy dokument relaterat till IT gås igenom samt vid behov uppdateras för att återspegla verksamhetens krav och behov av IT och slutligen godkänns och dateras. Datering rekommenderas även i fall då inga ändringar gjorts i dokumentet då det indikerar en kvalitetssäkring i sig. 5.2 Avsaknad av formell förändringsrutin Genom granskning noterades att det saknas genomgående formaliserade riktlinjer för hantering av förändringar. Viss typ av dokumentation finns men denna är inte genomgående för alla typer av förändringar och redovisar ex. inte vilka personer som har rätt till att beställa åtgärder till Agressos support avseende akuta förändringar samt hur mindre förändringar hanteras i verksamheten. Genom avsaknad av en formell förändringsrutin för infrastruktur och applikationer ökar risken för felaktiga förändringar i produktionsmiljön som kan påverka hela ITmiljön, information och finansiell rapportering. Lidingö stad 7 av 9

Vi rekommenderar att Lidingö stad utarbetar en mer dokumenterad förändringsrutin. Ändringsrutinen bör som minimum innehålla: Godkännande av förändringen Godkännande av testresultat Godkännande av driftsättning Dokumentationskrav Rutinen bör också hantera alla typer av förändringar dvs. normala och akuta för både mjuk- och hårdvara. 5.3 Avsaknad av definierad process avseende testgodkännanden samt brist i spårbarhet av densamma Genom granskning noterades att det inte finns någon formellt definierad process för hur godkännande av förändringsärenden ska hanteras från verksamheten innan implementering sker. Godkännanden av test finns men det formella godkännandet för att en förändring är klar för implementering sköts informellt via ex. e-mail eller telefon av systemansvarig direkt till berörda representanter för Agresso. Brist på dokumenterade godkännanden av förändringar försvårar kontroll över ändringar och uppföljning om fel inträffar efter produktionssättning. Om produktionssättning utförs utan tillbörliga godkännanden finns en ökad risk att felaktiga förändringar införs i produktionsmiljön avsiktligt eller oavsiktligt. Vi rekommenderar att Lidingö stad förbättrar den formella förändringsrutinen, genom att definiera krav på godkännanderutin för olika typer av förändringar till Agresso. Samtliga godkännanden bör dokumenteras och arkiveras. 5.4 Brister i genomförd kontroll för periodisk granskning av användare i ekonomisystemet Agresso Genom granskning noterades att kontrollen för periodisk granskning av användarkonton i ekonomisystemet Agresso och dess samstämmighet med personalens arbetsuppgifter ej har utförts under verksamhetsåret 2011 eller för granskningsperioden så långt för verksamhetsåret 2012. Utan en regelbunden granskning av aktuella behörighetsnivåer ökar risken att användare har behörigheter som inte är aktuella för nuvarande arbetsuppgifter, eller att personen slutat vid Lidingö Stad men att systembehörigheter kvarstår. Därmed ökar risken för otillbörlig åtkomst och användning av applikationen eller systemet. Lidingö stad 8 av 9

Vi rekommenderar att Lidingö stad håller den formella kontrollrutinen uppdaterad och att den efterföljs för att regelbundet kunna säkerställa att användare (inkl. användare med höga administrationsbehörigheter) i ekonomisystemet Agresso innehar behörigheter som motsvarar individens arbetsuppgifter samt poängtera vikten av att denna kontroll genomförs för verksamhetsåret 2012. Vidare rekommenderas att kontrollen dokumenteras efter genomförande för att möjliggöra spårbarhet och bevis på genomförd kontroll. 5.5 Brist i genomgång av systemets säkerhetsparametrar Genom granskning noterades att periodiska kontroller av säkerhetsparametrar inte utförts. Det är endast systemförvaltare som har tillräcklig behörighet i systemet för att kunna undersöka samt förändra säkerhetsparametrar. Lösenordsinställningar följer stadens generella ramverk vad gäller frekvens av lösenordsbyte och komplexitet. Avsaknad av periodisk genomgång av säkerhetsparametrar ökar risken för att avsiktliga eller oavsiktliga förändringar ej upptäcks vilket kan försämra den allmänna applikationssäkerheten. Vi rekommenderar att Lidingö stad tillsammans med leverantören Agresso upparbetar en gemensam process som innebär en regelbunden årlig genomgång av säkerhetsparametrar i Agresso. Utöver detta, som också noteras i observation 1, skall genomgången följa en ständigt uppdaterad formell säkerhetspolicy som bland annat finns definierad i kommunens dokument Informationssäkerhetspolicy för Lidingö stad. 2012-09-27 Peter Alm Projektledare Anders Haglund Uppdragsledare Lidingö stad 9 av 9

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss