pwc Vø,llentuna kotntntrít Mqi zo77 Visma Control Generella IT kontroller - Fredrik Dreimanis Johan Jelbring Hanna Altsäter

Relevanta dokument
Svar på revisionens granskning av generella ITkontroller. ekonomisystemet 15 KS

Sollentuna kommun. Generella IT kontroller Visma Affärslösningar. Detaljerade observationer och rekommendationer. November 2017

Region Gotland. Generella IT kontroller Visma och HR Plus. Detaljerade observationer och rekommendationer. Februari 2017

Tyresö kommun. Generella IT kontroller Economa och Heroma. Detaljerade observationer och rekommendationer. Juni 2017

Revisionsrapport. IT-revision Solna Stad ecompanion

Botkyrka Kommun. Revisionsrapport. Generella IT kontroller Aditro och HRM. Detaljerade observationer och rekommendationer.

Uppföljningsrapport IT-revision 2013

Revisionsrapport Granskning av generella ITkontroller för ett urval av system vid Skatteverket 2018

Uppföljningsrapport IT-generella kontroller 2015

Region Skåne Granskning av IT-kontroller

Granskning av generella IT-kontroller för PLSsystemet

Granskning av generella IT-kontroller för ett urval system vid Skatteverket

IT-säkerhet Externt och internt intrångstest

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina

Granskning av generella IT-kontroller för ett urval system vid Skatteverket 2017

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni Erik Norman 1(6)

Granskning av intern kontroll i kommunens huvudboksprocess

Granskning av IT intern kontroll

Datum Kommunrevisionen: Granskning av generalla IT-kontroller 2013

Granskning av applikationenn Basware oktober 2012*

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Bolagsspecifika resultat Sektion 3. Page 1

Revisionsrapport Granskning av stadens internkontrollplan samt nyckelkontroller inom ekonomiadministration och IT

Landstinget i Värmland Granskning av generella IT-kontroller. Revisionsrapport

Växjö kommun. Övergripande säkerhetsgranskning. säkerhet avseende externt och internt dataintrång. Informationssäkerhetsspecialister:

Granskning av säkerheten i mobila enheter. Internrevisionsrapport

Stockholms Stadshus AB. Granskning av IT-intern kontroll 11 December 2014

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Granskning av intern kontroll i lönehanteringen

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Revision av den interna kontrollen kring uppbördssystemet REX

Håbo kommuns förtroendevalda revisorer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

REVISIONSRAPPORT. Översiktlig analys av loggar i ekonomisystemet Devis. Arvika kommun. September Rolf Aronsson

IT-säkerhet Externt och internt intrångstest

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

Västerås stad. Uppföljande granskning av IT-säkerheten inom Sociala nämndernas förvaltning

Gislaveds kommun. Övergripande säkerhetsgranskning. säkerhet angående externt och internt dataintrång. Informationssäkerhetsspecialister:

Göteborg Energi AB. Självdeklaration 2012 Verifiering av inköpsprocessen Utförd av Deloitte. 18 december 2012

Granskning av IT-säkerhet

Revisionsrapport Rutiner och intern styrning och kontroll 2016

Svar till revisorerna angående revisionsrapport, Granskning av ITsäkerhet

Granskning av intern kontroll i löneprocessen

Granskning av informations- integrationer inom Malmö stad

Nr Iakttagelse Risk Risknivå Försäkringskassans svar till Riksrevisionen dnr

Rapport avseende IT-system. December 2004

Stockholms Stadshus AB it-revision november 2016

Revisionsrapport. 1 Inledning. Revision av uppbördsprocessen Moms. Skatteverket Solna. Datum Dnr

RUTIN FÖR DRIFTSÄTTNING

Granskning av intern kontroll i kommunens centrala löneprocess

Vår bedömning är att kommunstyrelsen i huvudsak har ändamålsenliga kontroller på plats

Revisionsrapport. Kalmar kommun. Förstudie av personalsystemet. Caroline Liljebjörn. 10 oktober 2011

Granskning av IT-säkerhet

Landskrona stad. Granskning av IT - organisationen och dess leverans modell för IT - service till verksamheten.

Stockholm Stadshus AB

Granskning av IT. Sunne kommun

Övergripande granskning av ITverksamheten

IT-verksamheten - en uppföljning av tidigare granskning

IT-Säkerhetsinstruktion: Förvaltning

Lösenordsregelverk för Karolinska Institutet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

IT-säkerhet Internt intrångstest

Marks kommun - Granskning av intern kontroll i lönehanteringen

Granskning av den interna kontrollen avseende löner

Nr Iakttagelse Risk Risknivå Pensionsmyndighetens svar till Riksrevisionen , dnr VER

Yttrande, revisionsrapport, granskning av internkontrollkundfakturering

Syfte Behörig. in Logga 1(6)

Metodstöd 2

Generella IT-kontroller uppföljning av granskning genomförd 2012

Angered. Självdeklaration 2013 Verifiering av rekryteringsprocessen Utförd av Deloitte. Februari 2014

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Östra Göteborg. Självdeklaration 2013 Verifiering av rekryteringsprocessen Utförd av Deloitte. Februari 2014

Vilma Lisboa April 2010

Punkt 15: Riktlinje för internrevision

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Dnr UFV 2013/1490. Lösenordshantering. Rutiner för informationssäkerhet. Fastställd av Säkerhetchef Reviderad

Finansinspektionens författningssamling

Årsrapport NU-sjukvården Diarienummer REV

SDN Majorna/Linné Rapport granskning av IT-systemet Treserva, modulen för funktionshinder. December 2014

Guide för säker behörighetshantering

Övergripande granskning IT-driften

Sammanträdesdatum Arbetsutskott (1) 28 Dnr KS/2016:389. Slutredovisningen av internkontroll 2017, KSF

VGR-RIKTLINJE FÖR KOMMUNIKATION OCH DRIFT

Active Directory Self-Service Bundle

Jämtlands Gymnasieförbund

RIKTLINJE FÖR JOURNALSYSTEM LOGGKONTROLLER I PROCAPITA

Paraplysystemets säkerhet och ändamålsenlighet

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Helhetsåtagande underhåll och drift

Granskning av bokslutsprocessen

Rapport Informationsklassning och riskanalys Mobila enheter Umeå Fritid

Revisionsnämnden beslutade den 8 april 2013 att överlämna granskningen av internkontrollplaner till kommunstyrelsen.

Riktlinjer för informationssäkerhet

Roller för information behöver också fastställas, använd gärna nedanstående roller som kommer från SKL och deras verktyg

Finansinspektionens författningssamling

Rapport avseende granskning av IT-säkerhet. Östersunds kommun

Granskning av IT-säkerhet

Uppföljning av tidigare granskningar

Transkript:

Vø,llentuna kotntntrít Generella T kontroller - Visma Control D etalj erade observationer o ch rekommendationer Mqi zo77 Fredrik Dreimanis Johan Jelbring Hanna Altsäter 3

pwe nneh ållsf tirte ckni[rg Detatjerade observatione: och irekommendationer 6 2àv72 4

*L Sammanfattning av granskningen samband med revisionsplaneringen för Vallentuna kommun har en risk- och väsentlighetsanaþ genomförts där system samt applikationer koppiat till den finansiella rapporteringen bedömts som kdtiska. Baserat på detta har en granskning av applikationerna Visma Control (ekonomisystem) genomförts. Granskningen har genomförts under mars/april 2ot7 av Johan Jelbring (PwC) och Hanna Altsäter(PwC) under ledning av Fredrik Dreimanis (PwC). Granskningen har genomförts i sy{te att bedöma förvaltning och det interna kontroilsystemet i ekonomissytemet. Baserat på genomförd granskning bedöms det finnas grundläggande processer och rutiner i kommunen gällande förvaltning av ekonomisystemet. Det finns exempelvis inarbetade rutiner för hur systemförändringar ska hanteras, hur hantering avbehörigheter inhusive loggning av känslig data ska ske samt hur drift (backuprutin och automatiska överföringar mellan och i olika lt-system) säkerställs. granskningen har det dock noterats områden där kommun har möjlighet att förbättra och förstärka den interna kontrollen. Noterade observationer berör i huvudsak avsaknaden av rutinbeskrirmingar och dokumentation vilket försvårarar spårbarheten i den interna kontrollen. Baserat på granskningen noterades fem observationer, som vi ser som prioriterade att åtgärda. Dessa är : Avsaknad av uppdaterad förvaltningsplan, Avsaknad av policy gällande lösenordshantering, UtvecHare med tillgång till produltionsmi -ö, Avsaknad av dokumenterad rutin för periodisk granskning av användare, Avsaknad av rutin för återläsningstest. 5 3av12

Bakgrund och omfattning samband med revisio -splaneringen för Vallentuna kommun har en risk- och väsentlighetsanalys genomförts där system samt applikationer kopplat till den finansiella rapporteringen bedömts som kritiska. Gransknin 3en tar sin utgångspunkt i SKYREVS's utkast till vägledning för redovisningsrevision i kommuner och landsting'. Baserat på denrra analys har applikationen Visma Control (ekcnomisystem) granskats i syfte att bedöma rutiner avseende förvaltning och intern kontroll. Granskningen har baserats på genereiia lt-kontroller (TGC) inom domäner scm specificeras i nedanstående tabell. Granskningen avser perioden r januari till 3r mars 2o1Z för TGC don:.änerna i tabellen nedan: TGC Domän T-styrning/Fö rvaltning F öråindringshantering Kontro Pc'icy och stlrande dokument, Roller och ansvar, Gränssnitt mellan T och'rerksamhet, T organisation och kontroll över T, Förståelse för applikationerna och T-miljön. Rutin och process gäilande förändringar till kritiska applikationer, Testning av nya förändringar, Godkännande av förändringar innan produktiorrssättning. redov sningsrevision i kommunal seklor, 4av\2 6

*þ TGC Domän Åtkomsthantering Kontrollområde Process för uppläggning, ändring och borttagning av behörigheter, Periodisk granskning av behörigheter, Hantering av säkerhetsinställningar, Loggning och översyr av loggar, Datordrift Hantering av priviligierade användare. Backup hantering och återläsning, Hantering av automatiska körningar (överföringar meüan och i olika lt-system), Katastrof- och kontinuitetshantering, Hantering av tredjepartsleverantör. Granskningen baseras på intervjuer med nyckelpersoner hos Vallentuna kommun och granskning av underliggande dokumentation. Följande personer har varit involverade i granskningen:. Anette Jonsson (Controller/SystemförvaltareVisma),. Monika Smidestam (T-cheÐ. Vårt arbete har utförts in enlighet med PwC's revisionsmetodik och under mars månad i Vallentuna kommuns lokaler, Stockholm. 7 5av12

*e Pwc D etaf erade ob s erv-ationer o ch reko mmendationer Observationerna i denna rapport har graderats efter bedömd väsentlighet, graderingen illttstreras med hjälp av definitionerna i nedan tabeil. Även om,graderingen ofrånkon:ligen är subjektiv och innehåller inslag av be,lömningar och stäilningstaganden kan definitionerna vara vägjedande. Hoc (H) r.',ccdir:ln (i."i Låg (L) Kritísk, omedelbar åtg tird. Visar på en brist ned stor på'zerkan på system, processer och eller intern kontroll att det kan medföra att Vallentuna kommun exponeras för beçdande förluster eller väsentliga fel i den finansiella rapporteringen. Otílräcklig, bör dískuteras au ledningen. Visar på en brist, som ensam eller i kombination med ancra brister kan påverka funltionaliteten/integriteten i system, processer och kontroller samt de:r finansiella rapporteringen. Mindre at uikelse. visar en brist som inte har någon väsentiig påverkan på s stem, processer och ilontroller men som indikerar en möjlighet tül förbättrad effektivitet och/eller verkningsgrad av processer och kontroller Tabellen nedan visar en sammanfattning av de observationer som identifierats under åretr; granskning med relaterad riskgradering baserad på dess väsent-ighet. 6avtz 8

*} Rel'# Område A r rlikation Ot sen'ati rn Risknivå 1. T-sgnning/Förvaltnin g Visma Avsaknad av uppdaterad förvaltningsplan. Medium 2 Åtkomsthantering Visma UtvecHare med tillgång till produktionsmiljö. Mctliurn.].{tkomsthantering Visma Avsaknad av policy gällande lösenordshantering. Medium 4 Åtkomsthantering Visma Avsaknad av dokumenterad rutin för periodisk granskning av användare. Låg 5 Datordrift Visma Avsaknad av rutin för återläsningstest. Låg För mer information och detaljer gällande respeklive observation se nedan tabell. 9 7àYt2

Obsen ation Risk Rekommendation 1. Avsaknad avuppdaterad färvaltningsplan. { i d l: Under granskningen noterades att ingen dokumenterad fön'altningsplan finns på plats vilken definierar h:r hartering och förvaltning av applikationen Visma Control genomförs. Vidare noterades att rutiner gällande förändrings- och behörighetshantering inte finns dokumenterade eller formaliserade. Avsaknad en uppdaterad fön'altningsdokumentation ökar risken för felaktig hantering av kritiska applikationer. Felaktig hantering av kritiska applikationer kan påverka data som är kritisk för den finansiella rapporteringen. PwC rekommenderar att Vallentuna kommun att upprätta en förvaltningsplan för applikationen \zisma Control. Förvaltningsplanen bör som minimum, men inte begränsat till, innehålla följande: Riskanaþ,. Definitior: av roller och ansvar koppiat till förvaltningen av applikahonen,. Rutiner för uppdatering och förändring av applikationen, ' Rutiner för hantering av behörigheter i applikationen,. nstruktion och beskrirning av de loggningar som genomförs i applikationen, Beskrivning av backuphantering,. Kontinuitet och katastrofhantering. Vidare rekommenderas att en rutin upprättas där förvaltningsplanen revideras årligen inhusive genomgång av riskanaþsen. Dokumentationen bör dateras och signeras av ansvarig förvaltningsledare i syfte att skapa spårbarhet i genomförda aktiviteter och stärka den interna kontrollen. Komrnunens kommentar: Systemförvaltaren upprättar an föwaltningsplan enligt Vallentunas mall i samarbete med T. Arbc:tet kommer att utföras efter PwC rekcmmendationer. Bavre 10

} Observation Risk Rekommendation t Avsaknad av policy gåillande lösenordshantering.,ilr il samband med granskningen noterades att ingen policy eller styrande dokument finns på plats gällande hur lösenord ska vara konfigurerade i kritiska applikationer och näwerk. Vidare noterades att säkerhetskonfigurationen till nätverket idag inte omfattar:. Tvingande komplexa lösenord,. Lösenordslängd, ' Tvingande byten avlösenord. Avsaknad av definition gällande lösenord ökar risken för svaga lösenord vilket kan medföra otillbörlig åtkomst tül kritisk data. Otillbörlig åtkomst till kritisk data kan påverka information som är kritisk för den finansiella rapporteringen. PwC rekommenderar att Vallentuna kommun definierar och dokumenterar en riktlinje för hur lösenord till kritiska applikationer och näwerk ska vara konfigurerade. Exempelvis bör riktlinjen definiera, men inte begränsas till;. Lösenordslängd,. Tvingande by'te,. Komplexitet, ' Låsning av användarkonto. Beslutad konfiguration bör implementeras i kritiska system och nätverk samt granskas, som minimum, årligen. Kornrnunens kornrnentar : Vi delar uppfattning och har redan påbörjat arbetet med att med hjälp av verktyget ARS skapa rekommenderade åtgärder. Just nu ligger testversionen ute för test på några skolor för att sedan kunna utvärderas. Konfigurationen âvser lösenordslängd, tvingande b e och komplexitet ska gäla generellt och för kritiska applikationer. 11 9aYL2

-Þ pwe Observation 3 Utvecklare med tillgång till produktionsmilj ö. i,1ri ) Det noterades under granskningen att utvechare har dir:lt till gång till produktionsmiljön för applikationen Visma Control. Dock noterades att kornpenserade kontroller finns på plats där exempeh'is användare måste kvittera ut behörighet till servermiljön. vidare genornförs loggning och uppföljning av förändringar till kritiska data. Risk UtvecHare med åtkomst till produktionsmiljön ökar risken för felaktiga eller bedrägliga förändringar till kritiska fu nktioner. Felaktiga eller bedrägliga förändringar till kritiska funktioner kar påverka data som är kritisk för den finansiella informationen. Rekommendation PwC rekommenderar att Vallentuna kommun undersöker möjligheten att begränsa och/eller ta bort åtkornst för utvechare till produktionsmiljön. Finns inte möjligheten att ta bort utvechare i produktionsmüjön rekommenderar l'i att kompenserande kontroller implementeras fcir att säkerstäia att aktiviteter utförda av utvechare är fullständiga och riktiga samt inte påverkar kitisk information. Komrnunens kommentar: Utvecklare kommer i framtiden att få tidsbegränsad inloggning. Uppföjning av inloggning på server kommer att ske löpande av Tavdelningen. 10 av 12 12

} Observation 4. Avs aknad av dokumenterad rutin för periodisk gransloring av användare. í",41 Under granskningen noterades att ingen formaliserad kontroli finns på plats gälande periodisk granskning av användare i applikationen Visma Control. Dock noterades det att en periodisk kontroll av användare genomförs en gång per år av systemförvaltaren. Dock är detta ej en formaliserad rutin där underlag arkiveras för spårbarhet. Risk Avsaknad av periodisk granskning av behörigheter ökar risken för felaktig åtkomst till kdtiska applikationer och system. Felaktig åtkomst ti applikationer och system ökar risken för felaltig och/eller bedrägiig åtkomst till kritisk data vilket kan påverka den finansiella rapporteringen. Rekommendation PwC rekommenderar att Vallentuna kommun formaliserar rutiner och dokumentation för periodisk granskning av användare. Granskningen bör dokumenteras av ansvarig manager vilken arkiverar underliggande underlag till granskningen, signerar och daterar i s5,fte att skapa spårbarhet samt stärka den interna kontrollen. Kommunens kommentar: Vi avser att dokumentera den kontroll som redan genomförs. Dokumentationen kommer att ske i vårt verksamhetssystem Stratsys 13 77àv 12

} Observation Risk Rekommendation 5. Avsaknad av rutin für återläsningstest. (L) Under granskningen nrterades att ingen dokumenterad rrrtin finns på plats gällande återläsning av data för applikationen Visma Control. Dock noterades a:t åteiläsning av backuper sker till testmiljön flertalet gånger per år. Avsaknad av tbrmaliserad :rocess för återläsningstester av data ökar risken för att dat r inte kan återläsas i händelse av en incident. Data som ej kan återläsas kan påverka den operativa verksamheten och information som är kdtisk för den finansiella rapporteringen. PwC rekommenderar att Vallentuna kom:nun upprättar dokumentation vid återläsning av data fcir applikationen Visma Control. Dokumentationen bör som minimum, men inte begränsat till, omfatta: När test genomfördes, ' Vadsomtestats, Resultatet avtestet,. Vem som genomfört testet. Återläsning av databör som minimum genomföras en gång per år och dokumentationen bör arkiveras för att skapa spårbarhet samt stärka den interna kontrollen. Komrnunens komrnentar: akttagelserna är riktiga. dag genomför vi återiäsning avbackup minst 4 ggr om året. Återläsnirtgen bör vid aktuelia tillfiillen dokumenteras utifrån PwC:s rekommendationer. 72 av 12 14

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss