Sollentuna kommun. Generella IT kontroller Visma Affärslösningar. Detaljerade observationer och rekommendationer. November 2017

Relevanta dokument
Region Gotland. Generella IT kontroller Visma och HR Plus. Detaljerade observationer och rekommendationer. Februari 2017

Tyresö kommun. Generella IT kontroller Economa och Heroma. Detaljerade observationer och rekommendationer. Juni 2017

Revisionsrapport. IT-revision Solna Stad ecompanion

Botkyrka Kommun. Revisionsrapport. Generella IT kontroller Aditro och HRM. Detaljerade observationer och rekommendationer.

Uppföljningsrapport IT-revision 2013

pwc Vø,llentuna kotntntrít Mqi zo77 Visma Control Generella IT kontroller - Fredrik Dreimanis Johan Jelbring Hanna Altsäter

Revisionsrapport Granskning av generella ITkontroller för ett urval av system vid Skatteverket 2018

Uppföljningsrapport IT-generella kontroller 2015

Granskning av generella IT-kontroller för PLSsystemet

Svar på revisionens granskning av generella ITkontroller. ekonomisystemet 15 KS

Granskning av generella IT-kontroller för ett urval system vid Skatteverket

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina

Bolagsspecifika resultat Sektion 3. Page 1

Granskning av generella IT-kontroller för ett urval system vid Skatteverket 2017

Granskning av applikationenn Basware oktober 2012*

Region Skåne Granskning av IT-kontroller

Datum Kommunrevisionen: Granskning av generalla IT-kontroller 2013

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

Stockholms Stadshus AB. Granskning av IT-intern kontroll 11 December 2014

Granskning av IT intern kontroll

Granskning av intern kontroll i kommunens huvudboksprocess

Göteborg Energi AB. Självdeklaration 2012 Verifiering av inköpsprocessen Utförd av Deloitte. 18 december 2012

IT-säkerhet Externt och internt intrångstest

Växjö kommun. Övergripande säkerhetsgranskning. säkerhet avseende externt och internt dataintrång. Informationssäkerhetsspecialister:

Revisionsrapport Granskning av stadens internkontrollplan samt nyckelkontroller inom ekonomiadministration och IT

Landstinget i Värmland Granskning av generella IT-kontroller. Revisionsrapport

Svar till revisorerna angående revisionsrapport, Granskning av ITsäkerhet

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Granskning av intern kontroll i lönehanteringen

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni Erik Norman 1(6)

Revisionsrapport. 1 Inledning. Revision av uppbördsprocessen Moms. Skatteverket Solna. Datum Dnr

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Håbo kommuns förtroendevalda revisorer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Revision av den interna kontrollen kring uppbördssystemet REX

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Stockholms Stadshus AB it-revision november 2016

Gislaveds kommun. Övergripande säkerhetsgranskning. säkerhet angående externt och internt dataintrång. Informationssäkerhetsspecialister:

Västerås stad. Uppföljande granskning av IT-säkerheten inom Sociala nämndernas förvaltning

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Nr Iakttagelse Risk Risknivå Pensionsmyndighetens svar till Riksrevisionen , dnr VER

Revisionsnämnden beslutade den 8 april 2013 att överlämna granskningen av internkontrollplaner till kommunstyrelsen.

Revisionsrapport Rutiner och intern styrning och kontroll 2016

Landskrona stad. Granskning av IT - organisationen och dess leverans modell för IT - service till verksamheten.

Granskning av IT-säkerhet

Generella IT-kontroller uppföljning av granskning genomförd 2012

Nr Iakttagelse Risk Risknivå Försäkringskassans svar till Riksrevisionen dnr

Punkt 15: Riktlinje för internrevision

Granskning av IT-säkerhet

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Finansinspektionens författningssamling

Granskning av räddningstjänstens ITverksamhet

Granskning av säkerheten i mobila enheter. Internrevisionsrapport

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Instruktion för funktionen för regelefterlevnad

Finansinspektionens författningssamling

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

Granskning av intern kontroll

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

Granskning av den interna kontrollen avseende löner

Finansinspektionens författningssamling

IT-verksamheten - en uppföljning av tidigare granskning

Policy och instruktioner för regelefterlevnad

POLICY VID ARBETE MED TREDJE PART POLICY ANTAGEN MARS 2015 REVIDERAD FEBRUARI 2017

Compliance och Internrevision kan lära av varandra. Louise Hedqvist, FCG Desirée Nordqvist, Länsförsäkringar AB

Angered. Självdeklaration 2013 Verifiering av rekryteringsprocessen Utförd av Deloitte. Februari 2014

att fastställa rektors åtgärdsplan med anledning av rapporten.

Östra Göteborg. Självdeklaration 2013 Verifiering av rekryteringsprocessen Utförd av Deloitte. Februari 2014

REVISIONSRAPPORT. Översiktlig analys av loggar i ekonomisystemet Devis. Arvika kommun. September Rolf Aronsson

1 Risk- och sårbarhetsanalys

RUTIN FÖR DRIFTSÄTTNING

Stockholm Stadshus AB

Kundfordringar en uppföljande granskning

Granskning av intern kontroll i löneprocessen

Granskning av IT-säkerhet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Granskning av bokslutsprocessen

Myndigheten för samhällsskydd och beredskaps författningssamling

Cyber security Intrångsgranskning. Danderyds kommun

IT-säkerhet Internt intrångstest

Granskning av IT-säkerhet

Kommentarer till exempel vid tillämpande av ISA 580

IT-säkerhet Externt och internt intrångstest

Styrning av behörigheter

Granskning av intern kontroll i kommunens centrala löneprocess

Granskningsredogörelse Styrning och intern kontroll översiktlig granskning

Uppdateringar kvalitetsmanual

REVISIONSRAPPORT. Löpande granskning av redovisning och administrativa rutiner avseende. Tekniska nämnden. Hylte Kommun.

För båda bolagen avgav A-son revisionsberättelser utan modifiering, upplysning eller anmärkning.

Uppföljande granskning av IT-säkerheten inom Sociala nämndernas förvaltning

Förklarande text till revisionsrapport Sid 1 (5)

Granskning av intern styrning och kontroll vid Statens servicecenter

Övergripande granskning IT-driften

Årsrapport NU-sjukvården Diarienummer REV

Tillsyn enligt personuppgiftslagen (1998:204) Intern åtkomst till personuppgifter hos Migrationsverket

REVISIONSSTRATEGI. För. Region Värmlands revisorer

Granskning av informations- integrationer inom Malmö stad

Övergripande granskning av ITverksamheten

Malmö stad. Granskning av ekonomiskt bistånd. September 2006

Transkript:

Sollentuna kommun Generella IT kontroller Visma Affärslösningar Detaljerade observationer och rekommendationer November 2017 Fredrik Dreimanis Johan Jelbring Jesper Östling

Innehållsförteckning Sammanfattning av granskningen... 3 Bakgrund och omfattning...4 Detaljerade observationer och rekommendationer...6 2 av 13

Sammanfattning av granskningen I samband med revisionsplaneringen för Sollentuna kommun har en risk- och väsentlighetsanalys genomförts där system samt applikationer kopplat till den finansiella rapporteringen bedömts som kritiska. Baserat på detta har en granskning av applikationen Visma Affärslösningar (ekonomisystem) genomförts. Granskningen har genomförts under oktober 2017 av Johan Jelbring (PwC) och Jesper Östling (PwC) under ledning av Fredrik Dreimanis (PwC). Granskningen har genomförts i syfte att bedöma processer, rutiner och den interna kontrollen kopplat till Visma Affärslösningar. Baserat på genomförd granskning bedöms Sollentuna kommun ha grundläggande processer och rutiner på plats gällande förvaltning av Visma Affärslösningar. Exempelvis finns det rutiner på plats för uppdatering av applikationen. I samband med granskningen noterades dock ett antal områden där Sollentuna kommun har möjlighet att förbättra och förstärka den interna kontrollen. I huvudsak berör våra observationer avsaknaden av processer, rutiner och kontroller kopplade till hanteringen användare och behörigheter i Visma Affärslösningar. Baserat på granskningen noterades totalt sex observationer, vi rekommenderar att Sollentuna Kommun i första hand bör fokusera på följande områden: Uppdatering av förvaltningsplan för Visma Affärslösningar, Utvecklare med tillgång till produktionsmiljö, Avsaknad av rutin för periodisk granskning av användare, Avsaknad av formaliserad och dokumenterad rutin för hantering av behörigheter. För mer information avseende observationer se sektion Detaljerade observationer och rekommendationer. Med vänlig hälsning, Fredrik Dreimanis Senior Manager, PwC Johan Jelbring Senior Associate, PwC 3 av 13

Bakgrund och omfattning I samband med revisionsplaneringen för Sollentuna kommun har en risk- och väsentlighetsanalys genomförts där system samt applikationer kopplat till den finansiella rapporteringen bedömts som kritiska. Granskningen tar sin utgångspunkt i SKYREVS s utkast till vägledning för redovisningsrevision i kommuner och landsting 1. Baserat på denna analys har applikationen Visma Affärslösningar (ekonomisystem) granskats i syfte att bedöma rutiner avseende förvaltning och intern kontroll. Granskningen har baserats på generella IT-kontroller (ITGC) inom domäner som specificeras i nedanstående tabell. Granskningen avser perioden 1 januari till 31 oktober 2017 för ITGC domänerna i tabellen nedan: ITGC Domän Kontrollområde IT-styrning/Förvaltning Policy och styrande dokument, Roller och ansvar, Gränssnitt mellan IT och verksamhet, IT organisation och kontroll över IT, Förståelse för applikationerna och IT-miljön. Förändringshantering Rutin och process gällande förändringar till kritiska applikationer, Testning av nya förändringar, Godkännande av förändringar innan produktionssättning. Åtkomsthantering Process för uppläggning, ändring och borttagning av behörigheter, Periodisk granskning av behörigheter, Hantering av säkerhetsinställningar, Loggning och översyn av loggar, Hantering av priviligierade användare. 1 Vägledningen baseras på ISA, International Standards on Auditing och behandlar ett antal förhållanden som kräver särskilda tillämpningsanvisningar. Syftet är att utveckla god revisionssed för redovisningsrevision i kommunal sektor. 4 av 13

ITGC Domän Datordrift Backup hantering och återläsning, Hantering av batch jobb, Katastrof- och kontinuitetshantering, Hantering av tredjepartsleverantör. Kontrollområde Granskningen baseras på intervjuer med nyckelpersoner hos Sollentuna kommun och granskning av underliggande dokumentation. Följande personer har varit involverade i granskningen: Åsa Joffs (Förvaltningsledare), Agneta Sandström (System-/redovisningscontroller, Redovisningsenheten), Mikael Sörlander (Redovisningschef), Jakob Bergman (Förvaltningsledare IT). Vårt arbete har utförts in enlighet med PwC s revisionsmetodik och under oktober månad i Sollentuna kommuns lokaler, Stockholm. 5 av 13

Detaljerade observationer och rekommendationer Observationerna i denna rapport har graderats efter bedömd väsentlighet, graderingen illustreras med hjälp av definitionerna i nedan tabell. Även om graderingen ofrånkomligen är subjektiv och innehåller inslag av bedömningar och ställningstaganden kan definitionerna vara vägledande. Hög (H) Medium (M) Låg (L) Kritisk, omedelbar åtgärd. Visar på en brist med stor påverkan på system, processer och eller intern kontroll att det kan medföra att Sollentuna kommun exponeras för betydande förluster eller väsentliga fel i den finansiella rapporteringen. Otillräcklig, bör diskuteras av ledningen. Visar på en brist, som ensam eller i kombination med andra brister kan påverka funktionaliteten/integriteten i system, processer och kontroller samt den finansiella rapporteringen. Mindre avvikelse. visar en brist som inte har någon väsentlig påverkan på system, processer och kontroller men som indikerar en möjlighet till förbättrad effektivitet och/eller verkningsgrad av processer och kontroller Tabellen nedan visar en sammanfattning av de observationer som identifierats under årets granskning med relaterad riskgradering baserad på dess väsentlighet. 6 av 13

Ref # Område Applikation Observation Risknivå 1. IT-styrning/Förvaltning Visma Affärslösningar 2. Åtkomsthantering Visma Affärslösningar 3. Åtkomsthantering Visma Affärslösningar 4. Åtkomsthantering Visma Affärslösningar 5. Datordrift Visma Affärslösningar 6. Datordrift Visma Affärslösningar Avsaknad av uppdaterad förvaltningsplan. Utvecklare med tillgång till produktionsmiljö. Avsaknad av rutin för periodisk granskning av användare. Avsaknad av granskning av priviligierade användares aktivitet. Avsaknad av rutin för återläsningstest. Avsaknad av larmfunktion för automatiska batchjobb. Låg Hög Medium Medium Låg Låg För mer information och detaljer gällande respektive observation se tabell på nästkommande sida. 7 av 13

Observation Risk Rekommendation 1. Avsaknad av uppdaterade förvaltningsplan. (L) Under granskningen noterades att förvaltningsplan inklusive instruktioner och riktlinjer för applikationen Visma Affärslösningar inte var uppdaterad. Exempelvis saknades uppdaterad dokumentation gällande: Riskanalys, Rutiner gällande behörighetshantering, Beskrivning av backuphantering, Kontinuitet och katastrofhantering. Dock noterades att Sollentuna kommun arbetar med att definiera och implementera en förvaltningsmodell, i samband med detta kommer dokumentation gällandeförvaltningen av applikationen Visma Affärslösningar att uppdateras. Vidare noterades att det finns rutiner och processer för hur förändringar och uppdateringar ska hanteras. Avsaknad av en uppdaterad förvaltningsdokumentation ökar risken för att kritiska applikationer inte hanteras i enlighet med verksamhetens krav. Kritiska applikationer som inte hanteras i enlighet med verksamhetens krav kan påverka kritisk data och tillgänglighet för verksamheten. Kommunens kommentar: Vi håller med PwC rekommendation och kommer fortsätta påbörjat arbete. PwC rekommenderar att Sollentuna kommun fortsätter arbetet med förvaltningsplanen för applikationen Visma Affärslösningar. Förvaltningsplanen bör som minimum, men inte begränsat till, innehålla följande: Riskanalys, Definition av roller och ansvar kopplat till förvaltningen av applikationen, Rutiner för uppdatering och förändring av applikationen, Rutiner för hantering av behörigheter i applikationen, Instruktion och beskrivning av de loggningar som genomförs i applikationen, Beskrivning av backuphantering, Kontinuitet och katastrofhantering. Vidare rekommenderas att en rutin upprättas där förvaltningsplanen revideras årligen inklusive genomgång av riskanalysen. Dokumentationen bör dateras och signeras av ansvarig förvaltningsledare i syfte att skapa spårbarhet i genomförda aktiviteter och stärka den interna kontrollen. 8 av 13

Observation Risk Rekommendation 2. Utvecklare med tillgång till produktionsmiljö. (H) Det noterades under granskningen att utvecklare har direkt tillgång till produktionsmiljön för applikationen Visma Affärslösningar. Utvecklare med åtkomst till produktionsmiljön ökar risken för felaktiga och/eller bedrägliga förändringar till kritiska funktioner. Felaktiga och/eller bedrägliga förändringar till kritiska funktioner kan påverka kritisk data. PwC rekommenderar att Sollentuna kommun undersöker möjligheten att begränsa och/eller ta bort åtkomst för utvecklare till produktionsmiljön. Exempelvis kan tidsbegränsad åtkomst vid kritiska händelser tilldelas utvecklare (dvs. utvecklare får endast åtkomst vid en given tidpunkt kopplat till exempelvis ett utvecklingsärende). Finns inte möjligheten att ta bort utvecklare i produktionsmiljön rekommenderar vi att kompenserande kontroller implementeras för att säkerställa att aktiviteter utförda av utvecklare är fullständiga och riktiga samt inte påverkar kritisk information. Exempelvis kan en riskanalys genomföras av kritisk data i applikationen, loggfunktioner aktiveras för övervakning av data och en rutin implementeras där en användare periodisk granskar dessa loggar. Användare bör inte ha åtkomst till applikationen och/eller högre behörighet i syfte att säkerställa oberoende granskning av förändringar till kritisk data. Kommunens kommentar: Vi har en pågående diskussion med Visma om hanteringen av olika åtkomster för att reducera risken enligt ovan. 9 av 13

Observation Risk Rekommendation 3. Avsaknad av rutin för periodisk granskning av användare. (M) Under granskningen noterades att ingen formaliserad kontroll finns på plats gällande periodisk granskning av användare i applikationen Visma Affärslösningar. Avsaknad av periodisk granskning av behörigheter ökar risken för felaktig åtkomst till kritiska applikationer och system. Felaktig åtkomst till applikationer och system ökar risken för felaktig och/eller bedräglig åtkomst till kritisk data vilket kan påverka den finansiella rapporteringen. PwC rekommenderar att Sollentuna kommun implementerar en rutin där användare i applikationen Visma Affärslösningar granskas regelbundet. Granskningen bör, som minimum, genomföras en gång per år och säkerställa att användare har behörighet till systemet i enlighet med sina arbetsuppgifter. Underlag och dokumentation av granskningen bör arkiveras i syfte att skapa spårbarhet av genomförd kontroll och stärka den interna kontrollen. Kommunens kommentar: Vi kommer se över/implementera rutin för detta. 10 av 13

Observation Risk Rekommendation 4. Avsaknad av granskning av priviligierade användares aktivitet. (M) I samband med granskningen noterades att ingen formell process finns på plats för uppföljning och/eller övervakning av aktivitet som är utförd av användare med priviligierade åtkomst (dvs. hög behörighet) i applikationen Visma Affärslösningar. Dock noterades att loggning är aktiverad i systemet och uppföljning kan genomföras (dvs. spårbarhet i transaktioner finns på plats) vid incidenter, dock sker ingen aktiv uppföljning. Avsaknad av processer och rutiner för uppföljning av priviligierade användares aktivitet ökar risken för felaktig och/eller bedrägliga transaktioner. Felaktiga och/eller bedrägliga transaktioner kan påverka data och funktioner som är kritiska för den finansiella rapporteringen. PwC rekommenderar att Sollentuna kommun implementerar processer och rutiner för uppföljning av priviligierade användares aktivitet i syfte att validera fullständighet och riktighet i transaktioner och förändringar. Exempelvis kan en riskanalys genomföras av kritisk data i applikationen, loggfunktioner aktiveras för övervakning av data och en rutin implementeras där en användare periodisk granskar dessa loggar. Användare bör inte ha åtkomst till applikationen och/eller högre behörighet i syfte att säkerställa oberoende granskning av förändringar till kritisk data. Underlag och dokumentation från genomförd uppföljning eller granskning bör arkiveras i syfte at skapa spårbarhet i genomförd kontroll och stärka den interna kontrollen. Kommunens kommentar: Vi kommer se över/implementera lämplig rutin för detta. 11 av 13

Observation Risk Rekommendation 5. Avsaknad av rutin för återläsningstest. (L) Under granskningen noterades att ingen dokumenterad rutin finns på plats gällande återläsning av data för applikationen Visma Affärslösningar. Avsaknad av formaliserad process för återläsningstester av data ökar risken för att data inte kan återläsas i händelse av en incident. Data som ej kan återläsas kan påverka den operativa verksamheten och information som är kritisk för den finansiella rapporteringen. PwC rekommenderar att Sollentuna kommun upprättar en process för genomförande och dokumentation av återläsning av data för applikationen Visma Affärslösningar. Dokumentationen bör som minimum, men inte begränsat till, omfatta: När test genomfördes, Vad som testats, Resultatet av testet, Vem som genomfört testet. Återläsning av data bör som minimum genomföras en gång per år och dokumentationen bör arkiveras för att skapa spårbarhet samt stärka den interna kontrollen. Kommunens kommentar: Vi kommer se över/implementera lämplig rutin för detta. 12 av 13

Observation Risk Rekommendation 6. Avsaknad av larmfunktion för automatiska batchjobb. (L) Under granskningen noterades att ingen automatisk kontroll finns på plats vilken identifierar och larmar när ett batchjobb har fallerat. Vidare noterades att ingen formell process finns på plats gällande uppföljning och åtgärd av fallerade batchjobb. Avsaknad av övervakning och larm funktioner kopplade till batchjobb ökar risken för att kritiska transaktioner inte genomförs fullständigt och riktigt. Kritiska transaktioner som ej genomförts fullständigt och riktigt kan påverka data som är kritiskt för den finansiella rapporteringen. PwC rekommenderar att Sollentuna kommun analyserar och utvärdera möjligheterna till att automatiskt övervaka kritiska batchjobb i applikationen Visma Affärslösningar. Exempelvis kan en riskanalys utgöra grunden för vilka batchjobb som är kritiska i applikationen, baserat på analysen bör övervakning och larmfunktioner upprättas där ansvarig användare noteras vid de tillfällen ett batchjobb inte genomförts fullständigt och riktigt. Vidar rekommenderar vi att Sollentuna kommun upprättar en formaliserad process vilken säkerställer att fallerade batchjobb åtgärdas fullständigt och riktigt. Fallerade batchjobb bör registreras som incidenter och dokumenteras i syfte att säkerställa spårbarhet i genomförda transaktioner samt stärka den interna kontrollen. Kommunens kommentar: Vi kommer se över/implementera lämplig rutin för detta. 13 av 13

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss