Svar på revisionens granskning av generella ITkontroller. ekonomisystemet 15 KS

Relevanta dokument
pwc Vø,llentuna kotntntrít Mqi zo77 Visma Control Generella IT kontroller - Fredrik Dreimanis Johan Jelbring Hanna Altsäter

Sollentuna kommun. Generella IT kontroller Visma Affärslösningar. Detaljerade observationer och rekommendationer. November 2017

Region Gotland. Generella IT kontroller Visma och HR Plus. Detaljerade observationer och rekommendationer. Februari 2017

Tyresö kommun. Generella IT kontroller Economa och Heroma. Detaljerade observationer och rekommendationer. Juni 2017

Revisionsrapport. IT-revision Solna Stad ecompanion

Botkyrka Kommun. Revisionsrapport. Generella IT kontroller Aditro och HRM. Detaljerade observationer och rekommendationer.

Uppföljningsrapport IT-revision 2013

Kommunstyrelsen

Tid och plats 19:00-21:00 Kulturrummet, kulturhuset. Övrig information. Ordförande. Sekreterare Tfn:

Kommunstyrelsen Svar på revisionens granskning av kommunens krisberedskap (KS )

Återrapport icke verkställda 18 KS

Uppdelning av kultur- och fritidsförvaltningen till två förvaltningar 18 KS

Fördelning av arbetsmiljöuppgifter till nämnderna 19 KS

Kommunstyrelsen Svar på revisionens granskning av exploateringsverksamheten (KS )

Utfall löneöversyn KS

Revisionsrapport Granskning av generella ITkontroller för ett urval av system vid Skatteverket 2018

Kommunstyrelsens arbetsutskott

Information om förordnade områden enligt 3 lagen (1980:578) om ordningsvakter gällande Vallentuna 7 KS

Granskning av generella IT-kontroller för PLSsystemet

Uppföljningsrapport IT-generella kontroller 2015

Kommunstyrelsens arbetsutskott

Vallentuna Förvaltnings AB årsredovisning KS

VALLENTUNA KOMMUN Sammanträdesprotokoll 7 (28)

Uppdelning av kultur- och fritidsförvaltningen till två förvaltningar 13 KS

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina

Skolpeng fr.o.m. 1 januari KS

AB Össebyhus, årsredovisning KS

Servicepolicy Bemötande och tillgänglighet 24 KS

Region Skåne Granskning av IT-kontroller

Fordonspolicy för Vallentuna kommun 21 KS

VALLENTUNA KOMMUN Sammanträdesprotokoll 13 (34)

Fordonspolicy för Vallentuna kommun 24 KS

118 Redovisning av icke verkställda beslut enligt socialtjänstlagen, kvartal (KS )

Digitaliseringsstrategi 11 KS

Resultatöverföring från 2015 års bokslut 16 KS

l'"'"*'iiil I ft{ 5ls till kommunledningskontoret (KS )

Folkhälsopolicy 4 KS

VALLENTUNA KOMMUN Sammanträdesprotokoll 11 (26)

Redovisning av obesvarade motioner KS

IT-säkerhet Externt och internt intrångstest

Äskande för ökad bevakning KS

Kommunstyrelsens arbetsutskott

97 Internkontroll kommunstyrelsen 20L6 (KS )

s18 VALLENTUNA KOMMUN 201s.087) Beslut Reservation Ärendebeskrivning Yrkanden Beslutsgång Ärendets tidigare behandling

Bällstarummet, kommunalhuset, Vallentuna. 55 Årsredovisning för AB Össebyhus 2013 (KS )

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Växjö kommun. Övergripande säkerhetsgranskning. säkerhet avseende externt och internt dataintrång. Informationssäkerhetsspecialister:

SOCIALFÖRVALTNING DNR SN MONIKA FERNLUND SID 1/4 AVDELNINGSCHEF

Utbildnings- och övningsplan för kommunens krishantering 20 KS

Granskning av generella IT-kontroller för ett urval system vid Skatteverket

VALLENTUNA KOMMUN Sammanträdesprotokoll 8 (41)

SOCIALFÖRVALTNING DNR SN VILDANA ZORLAK SID 1/4 AVDELNINGSCHEF

Policy för inköp och upphandling 8 KS

Ansökan om utlandsresa i tjänsten, barn- och ungdomsförvaltningen, Spanien 40 KS

Sammanträdesdatum Arbetsutskott (1) 28 Dnr KS/2016:389. Slutredovisningen av internkontroll 2017, KSF

Svar på motion (V) busstur till Arlanda 15 KS

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Yttrande, revisionsrapport, granskning av internkontrollkundfakturering

Granskning av intern kontroll i kommunens huvudboksprocess

Revisionsrapport Granskning av stadens internkontrollplan samt nyckelkontroller inom ekonomiadministration och IT

Taxor Kvarnbadet från och med KS

Taxor Kvarnbadet från och med KS

Granskning av IT-säkerhet

Granskning av generella IT-kontroller för ett urval system vid Skatteverket 2017

Borttagande av trafiksäkerhetspolicy 8 KS

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Svar på motion (V) solceller på kommunala byggnader 17 KS

l'"""'"î7' VALLENTUNA KOMMUN 5 2OO Ärendebeskrivning Ärendets tidigare behandling Beslutsunderlag Beslut Yrkanden Beslutsgång

Redovisning av obesvarade motioner KS

Icke verkställda beslut enligt SoL kvartal KS

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Kvarnbadet avgifter 14 KS

Svar på motion (S) om kombohus 7 KS

Risk- och konsekvensanalys inför valet KS

Rapport icke verkställda KS

Granskning av IT intern kontroll

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni Erik Norman 1(6)

Halvårsrapport internkontroll SN

Svar på motion (S) modern mötesteknik 8 KS

Borttagande av trafiksäkerhetspolicy för anställda i Vallentuna kommun 12 KS

Revidering av kommunstyrelsens reglemente samt delegationsordning 25 KS

Svar på motion (S) om flaggdagar 9 KS

Svar på motion (S) modern mötesteknik 11 KS

Svar på motion (S) om flaggdagar 14 KS

Riktlinjer för publicering av personuppgifter på webbplatser 16 KS

Bolagsspecifika resultat Sektion 3. Page 1

Kommunens verksamhet i förhållande till Agenda 2030 och hållbarhetsmål 8 KS

Svar på motion (S) om kombohus 12 KS

Ansökan om samverkan inom överförmyndarverksamhet med Sollentuna, Sigtuna och Upplands Väsby KS

1. Uppdrag till socialnämnden 2. Protokollsutdrag, kommunstyrelsen g 34, zor5-o3-oz VALLENTUNA KOMMUN. s 141

Svar på motion (S) om att bygga en inomhushall 5 KS

Svar på motion (SD) om utträde ur Mälardalsrådet 16 KS

Svar på motion (S) sommarskola i entreprenörskap 10 KS

^dl. s20. /on I VALLENTUNA KOMMUN. Svar på motion (V) lokal busslinje "Mjuka linjen" (KS ) Beslut. Ärendebeskrivning.

Program för uppföljning och insyn av verksamhet som utförs av privata utförare 15 KS

Tjänsteskrivelse Avgifter för föreningskopiering

Jaana Tilles (S) deltar ej i beslutet. Ärendet i korthet. denna genomgång föreslås en omorganisation av kommunledningskontoret.

Gislaveds kommun. Övergripande säkerhetsgranskning. säkerhet angående externt och internt dataintrång. Informationssäkerhetsspecialister:

Svar på motion (MP) anläggande av ängsmark 4 KS

Svar på motion (SD) om kameraövervakning 16 KS

Transkript:

Svar på revisionens granskning av generella ITkontroller i ekonomisystemet 15 KS 2017.520 3

VALLENTUNA KOMMUN Sammanträdesprotokoll Kommunstyrelsens arbetsutskott 2018-11-29 211 Svar på revisionens granskning av generella IT-kontroller i ekonomisystemet (KS 2017.520) Beslut Kommunstyrelsens arbetsutskott föreslår att kommunstyrelsen antar föreslaget yttrande. Ärendebeskrivning Revisorerna har granskat generella IT-kontroller i ekonomisystemet. Kommunstyrelsen lämnar härmed sitt svar på revisionsrapporten. Vallentuna kommun fick revisionsrapporten tillhanda 2017-12-08. Revisionsrapporten finns bifogad som bilaga. Yrkanden Ordförande, Parisa Liljestrand (M), yrkar att kommunstyrelsens arbetsutskott arbetsutskottet föreslår att kommunstyrelsen antar föreslaget yttrande. Beslutsgång Ordförande, Parisa Liljestrand (M), ställer proposition på sitt eget yrkande och finner att kommunstyrelsens arbetsutskott beslutar i enlighet därmed. Beslutsunderlag 1. Svar på revisionens granskning av generella IT-kontroller i ekonomisystemet 2. Kommunstyrelsens svar 3. Granskning av generella IT-kontroller i ekonomisystemet Expedieras till Akten, revisorerna Justerandes sign Justerandes sign Utdragsbestyrkande 14

VALLENTUNA KOMMUN TJÄNSTESKRIVELSE KOMMUNLEDNINGSKONTORET 2018-11-09 DNR KS 2017.520 ANETTE JONSSON SID 1/1 CONTROLLER 08-587 850 56 ANETTE.JONSSON@VALLENTUNA.SE KOMMUNSTYRELSEN Tjänsteskrivelse Svar på revisionens granskning av generella IT-kontroller i ekonomisystemet Förslag till beslut Kommunstyrelsen antar föreslaget yttrande. Ärendet i korthet Revisorerna har granskat generella IT-kontroller i ekonomisystemet. Kommunstyrelsen lämnar härmed sitt svar på revisionsrapporten. Vallentuna kommun fick revisionsrapporten tillhanda 2017-12-08. Revisionsrapporten finns bifogad som bilaga. Handlingar Victor Kilén Kommundirektör Annika Hellberg Ekonomichef Ska expedieras till Akten, revisorerna VALLENTUN KOMMUN TUNA TORG 1 186 86 VALLENTUNA TFN 08-587 850 00 FAX 08-587 850 88 KOMMUN@VALLENTUNA.SE WWW.VALLENTUNA.SE 5

SID 1/3 Kommunstyrelsens svar/yttrande om revisionsrapport av generella ITkontroller i ekonomisystemet Nedan redovisas revisionens synpunkter tillsammans med nämndens kommentarer. Därefter följer ett avsnitt om revisionens rekommendationer och nämndens åtgärder. Avslutningsvis presenteras en framåtriktad analys om åtgärdernas effekt. Revisionens synpunkter Avsaknad av uppdaterad förvaltningsplan. Vallentuna kommuns kommentar: Systemförvaltare upprättar en förvaltningsplan enligt Vallentunas mall i samarbete med IT. Arbetet kommer att utföras efter PwC rekommendationer. Avsaknad av policy gällande lösenordshantering. Vallentuna kommuns kommentar: Kommunstyrelsen delar uppfattning och har redan påbörjat arbetet med att med hjälp av ett verktyg skapa rekommenderade åtgärder. Just nu ligger testversionen ute för test på några skolor för att sedan kunna utvärderas. Konfigurationen avser lösenordslängd, tvingande byte och komplexitet ska gälla generellt och för kritiska applikationer. Utvecklare med tillgång till produktionsmiljö. Vallentuna kommuns kommentar: Utvecklare kommer i framtiden att få tidsbegränsad inloggning. Uppföljning av inloggning på server kommer att ske löpande av IT-avdelningen. Avsaknad av dokumenterad rutin för periodisk granskning av användare. Vallentuna kommuns kommentar: Vi avser att dokumentera den kontroll som redan genomförs. Dokumentationen kommer att ske i vårt verksamhetssystem Stratsys. Avsaknad av rutin för återläsningstest. Vallentuna kommuns kommentar: Iakttagelserna är riktiga. Idag genomför vi återläsning av backup minst 4 gånger om året. Återläsningen bör vid aktuella tillfällen dokumenteras utifrån PwC:s rekommendationer. TFN: 6

SID 2/3 Revisionens rekommendationer Avsaknad av uppdaterad förvaltningsplan. Revisionens rekommendation: PwC rekommenderar att kommunstyrelsen upprättar en förvaltningsplan för ekonomisystemet Visma Control. Förvaltningsplanen bör även revideras årligen inklusive genomgång av riskanalysen. Kommunstyrelsens kommentar: Förvaltningsplan har upprättats av systemekonom på ekonomiavdelningen/kommunledningskontoret och revideras årligen. Riskanalys har tagits fram efter standardverktyget KLASSA, vilket SKL har tagit fram. KLASSA/riskanalysen gås igenom årligen av systemekonom på ekonomiavdelningen tillsammans med IT-avdelningen på kommunledningskontoret. Avsaknad av policy gällande lösenordshantering. Revisionens rekommendation: Att kommunstyrelsens definierar och dokumenterar en riktlinje för hur lösenord till kritiska applikationer och nätverk ska vara konfigurerade. Beslutad konfiguration bör implementeras i kritiska system och nätverk samt granskas, som minimum årligen. Kommunstyrelsens kommentar: Kansliet arbetar fram en ny informationssäkerhetspolicy. I policyn kommer gällande lösenordshantering definieras. Policyn beräknas vara klar under hösten. Utvecklare med tillgång till produktionsmiljö. Revisionens rekommendation: Att kommunstyrelsens undersöker möjligheten att begränsa och/eller ta bort åtkomst för utvecklare till produktionsmiljön. Kommunstyrelsens kommentar: Leverantörens personliga användarkonton som används vid åtkomst till produktionsmiljön är som standard inaktiverad och aktiveras av IT-avdelningen efter samråd med systemförvaltare och leverantör vid de tillfällen där arbetet kräver åtkomst. Avsaknad av dokumenterad rutin för periodisk granskning av användare. Revisionens rekommendation: Att kommunstyrelsens formaliserar rutiner och dokumentation för periodisk granskning av användare. Kommunstyrelsens kommentar: Någon dokumentation har ännu ej tagits fram för ekonomisystemet Visma Control. Men ett strukturerat arbete utförs som tidigare, det vill säga en gång per år. Viss löpande borttagande av TFN: 7

SID 3/3 användare sker när kännedom kommer oss tillhanda. Vid uppdatering av förvaltningsplanen kommer ett av målen vara att ta fram rutin gör granskning av användare. Avsaknad av rutin för återläsningstest. Revisionens rekommendation: Att kommunstyrelsens upprättar dokumentation vid återläsning av data för ekonomisystemet Visma Control. Kommunstyrelsens kommentar: Det kommer att dokumenteras i verksamhetssystemet Stratsys tillsammans med kommunens andra återläsningstester. Framåtriktad analys Förvaltningsplanen som har upprättats medför att IT-avdelningen tidigt får vetskap om kommande aktiviteter/projekt under året. Vissa projekt kan påverka ITavdelningen i form av kostnader och personalresurser. Under året har plattformen för kommunens backuper bytts ut. Den nya mjukvaran innebär enklare administration till ett lägre pris, utan att förlora funktion eller säkerhet. Serverparken har utökats för att möjliggöra nödvändig expansion gällande IT system i kommunen. En kommungemensam hantering bör tas fram när någon avslutar sin tjänst i kommunen eller byter befattning inom kommunen. En väg in för administration av konton med mera för nyanställda kan ses över för att utökas med En väg ut. Behovet av att stärka IT-säkerhetskontroller har beaktats vid översyn av kommunens IT organisation. Rollen som IT-säkerhetstekniker kommer att införas. TFN: 8

!.,r t... lfunll u, i -i,.r ci*ii:liì lrl., I'r,l -il- t I VALLENTUNA KOMMUN REVISION EN n, MISSIV 20L7 -L2-07 KOMMUNSTYRELSEN Granskning av generella lt-kontroller i ekonomisystemet PwC har på uppdrag av oss förtroendevalda revisorer genomfört en granskning av generella lt-kontroller i ekonomisystemet. Granskningen har genomförts i syfte att bedöma så väl förvaltning som det interna kontrollsystemet. Baserat på genomförd granskning bedöms det finnas grundläggande processer och rutiner i kommunen gällande förvaltning av ekonomisystemet. Det finns exempelvis inarbetade rutiner för hur systemförändringar ska hanteras, hur hantering avbehörigheter inhusive loggning av känslig data ska ske samt hur drift (backuprutin och automatiska överföringar mellan och i olika IT-system) säkerställs. I granskningen har det dock noterats områden där kommun har möjlighet att förbättra och förstärka den interna kontrollen. Noterade observationer berör i hur,udsak avsaknaden av rutinbeskrirrningar och dokumentation vilket försvårarar spårbarheten i den interna kontrollen. I syfte att förbättra och stärka den interna kontrollen ser vi det som angeläget att kommunstyrelsen uppdaterar nuvarande förvaltningsplan samt tar fram dokumenterade rutiner för: Lösenordshantering. Periodisk granskning av användare.,{terläsningstest. I bifogad revisionsrapport redovisas granskningsresultatet och de iakttagelser som ligger tiil grund för bedömningen. REVISION EN TUNA TORG 1 ' 186 86 VALLENTUNA TFN 08-587 850 00.FAX 08-587 850 88 KOM M UN @VALLE NTUNA. S E WWW.VALLENTU NA. SE t-ffi] TD Vallentuna kommun 9

VALLENTUNA KOMMUN REVISIONEN MISSIV 20L7-12-07 KOMMUNSTYRELSEN Rapporten är teknisk till sin karaktär och kan verka svårläst. Den är dock fullt begriplig för de tjänstemän som ansvarar 1ör systemen. Rapporten har varit föremål för sakgranskning hos berörda tjänstemän. För revisorerna c.fu, Staffan Modig Ordþrande - Granskning generella IT- Distribution av granskningsrapport kontroller i ekonomisystemet fa ^^^-.^^+.,-^1^^^ l\\jrrülruuùly r çrùçir Kommunfu llmäktiges presidium Kommundirektör Cheßekonom IT-chef Revisionens hemsida REVISION EN TUNA TORG 1. 186 86 VALLENTUNA TFN 08-587 850 00 ' FAX 08-587 850 88 KOMMUN@VALLENTU NA.SE WWW.VALLENTUNA. SE lëml E Vallentuna kommun 10

I pwc Vø,llentuna kotntntrít Generella IT kontroller - Visma Control D etalj erade observationer o ch rekommendationer Mqi zo77 Fredrik Dreimanis Johan Jelbring Hanna Altsäter 11

I I I I pwe Inneh ållsf tirte ckni[rg Detatjerade observatione: och irekommendationer 2àv72 6 12

I I I *L pwc Sammanfattning av granskningen I samband med revisionsplaneringen för Vallentuna kommun har en risk- och väsentlighetsanaþ genomförts där system samt applikationer koppiat till den finansiella rapporteringen bedömts som kdtiska. Baserat på detta har en granskning av applikationerna Visma Control (ekonomisystem) genomförts. Granskningen har genomförts under mars/april 2ot7 av Johan Jelbring (PwC) och Hanna Altsäter(PwC) under ledning av Fredrik Dreimanis (PwC). Granskningen har genomförts i sy{te att bedöma förvaltning och det interna kontroilsystemet i ekonomissytemet. Baserat på genomförd granskning bedöms det finnas grundläggande processer och rutiner i kommunen gällande förvaltning av ekonomisystemet. Det finns exempelvis inarbetade rutiner för hur systemförändringar ska hanteras, hur hantering avbehörigheter inhusive loggning av känslig data ska ske samt hur drift (backuprutin och automatiska överföringar mellan och i olika lt-system) säkerställs. I granskningen har det dock noterats områden där kommun har möjlighet att förbättra och förstärka den interna kontrollen. Noterade observationer berör i huvudsak avsaknaden av rutinbeskrirmingar och dokumentation vilket försvårarar spårbarheten i den interna kontrollen. Baserat på granskningen noterades fem observationer, som vi ser som prioriterade att åtgärda. Dessa är : Avsaknad av uppdaterad förvaltningsplan, Avsaknad av policy gällande lösenordshantering, UtvecHare med tillgång till produltionsmi -ö, Avsaknad av dokumenterad rutin för periodisk granskning av användare, Avsaknad av rutin för återläsningstest. 3av12 13

pwc Bakgrund och omfattning I samband med revisio -splaneringen för Vallentuna kommun har en risk- och väsentlighetsanalys genomförts där system samt applikationer kopplat till den finansiella rapporteringen bedömts som kritiska. Gransknin 3en tar sin utgångspunkt i SKYREVS's utkast till vägledning för redovisningsrevision i kommuner och landsting'. Baserat på denrra analys har applikationen Visma Control (ekcnomisystem) granskats i syfte att bedöma rutiner avseende förvaltning och intern kontroll. Granskningen har baserats på genereiia lt-kontroller (ITGC) inom domäner scm specificeras i nedanstående tabell. Granskningen avser perioden r januari till 3r mars 2o1Z för ITGC don:.änerna i tabellen nedan: ITGC Domän Kontro IT-styrning/Fö rvaltning Pc'Iicy och stlrande dokument, F öråindringshantering Roller och ansvar, Gränssnitt mellan IT och'rerksamhet, IT organisation och kontroll över IT, Förståelse för applikationerna och IT-miljön. Rutin och process gäilande förändringar till kritiska applikationer, Testning av nya förändringar, Godkännande av förändringar innan produktiorrssättning. redov sningsrevision i kommunal seklor, 4av\2 14

I *þ pwc ITGC Domän Kontrollområde Åtkomsthantering Process för uppläggning, ändring och borttagning av behörigheter, Datordrift Periodisk granskning av behörigheter, Hantering av säkerhetsinställningar, Loggning och översyr av loggar, Hantering av priviligierade användare. Backup hantering och återläsning, Hantering av automatiska körningar (överföringar meüan och i olika lt-system), Katastrof- och kontinuitetshantering, Hantering av tredjepartsleverantör. Granskningen baseras på intervjuer med nyckelpersoner hos Vallentuna kommun och granskning av underliggande dokumentation. Följande personer har varit involverade i granskningen:. Anette Jonsson (Controller/SystemförvaltareVisma),. Monika Smidestam (IT-cheÐ. Vårt arbete har utförts in enlighet med PwC's revisionsmetodik och under mars månad i Vallentuna kommuns lokaler, Stockholm. 5av12 15

*e Pwc D etaf erade ob s erv-ationer o ch reko mmendationer Observationerna i denna rapport har graderats efter bedömd väsentlighet, graderingen illttstreras med hjälp av definitionerna i nedan tabeil. Även om,graderingen ofrånkon:ligen är subjektiv och innehåller inslag av be,lömningar och stäilningstaganden kan definitionerna vara vägjedande. Hoc (H) Kritísk, omedelbar åtg tird. Visar på en brist ned stor på'zerkan på system, processer och eller intern kontroll att det kan medföra att Vallentuna kommun exponeras för beçdande förluster eller väsentliga fel i den finansiella rapporteringen. r.',ccdir:ln (i."ii OtíIlräcklig, bör dískuteras au ledningen. Visar på en brist, som ensam eller i kombination med ancra brister kan påverka funltionaliteten/integriteten i system, processer och kontroller samt de:r finansiella rapporteringen. Låg (L) Mindre at uikelse. visar en brist som inte har någon väsentiig påverkan på s stem, processer och ilontroller men som indikerar en möjlighet tül förbättrad effektivitet och/eller verkningsgrad av processer och kontroller Tabellen nedan visar en sammanfattning av de observationer som identifierats under åretr; granskning med relaterad riskgradering baserad på dess väsent-ighet. 6avtz 16

*} pwc Rel'# Område A r rlikation Ot sen'ati rn Risknivå 1. IT-sgnning/Förvaltnin g Visma Avsaknad av uppdaterad förvaltningsplan. Medium 2 Åtkomsthantering Visma UtvecHare med tillgång till produktionsmiljö. Mctliurn.].{tkomsthantering Visma Avsaknad av policy gällande lösenordshantering. Medium 4 Åtkomsthantering Visma Avsaknad av dokumenterad rutin för periodisk granskning av användare. Låg 5 Datordrift Visma Avsaknad av rutin för återläsningstest. Låg För mer information och detaljer gällande respeklive observation se nedan tabell. 7àYt2 17

I pwc 1. Avsaknad avuppdaterad Obsen ation Risk Rekommendation färvaltningsplan. { i d l: Under granskningen noterades att ingen dokumenterad fön'altningsplan finns på plats vilken definierar h:r hartering och förvaltning av applikationen Visma Control genomförs. Vidare noterades att rutiner gällande förändrings- och behörighetshantering inte finns dokumenterade eller formaliserade. Avsaknad en uppdaterad fön'altningsdokumentation ökar risken för felaktig hantering av kritiska applikationer. Felaktig hantering av kritiska applikationer kan påverka data som är kritisk för den finansiella rapporteringen. PwC rekommenderar att Vallentuna kommun att upprätta en förvaltningsplan för applikationen \zisma Control. Förvaltningsplanen bör som minimum, men inte begränsat till, innehålla följande: Riskanaþ,. Definitior: av roller och ansvar koppiat till förvaltningen av applikahonen,. Rutiner för uppdatering och förändring av applikationen, ' Rutiner för hantering av behörigheter i applikationen,. Instruktion och beskrirning av de loggningar som genomförs i applikationen, Beskrivning av backuphantering,. Kontinuitet och katastrofhantering. Vidare rekommenderas att en rutin upprättas där förvaltningsplanen revideras årligen inhusive genomgång av riskanaþsen. Dokumentationen bör dateras och signeras av ansvarig förvaltningsledare i syfte att skapa spårbarhet i genomförda aktiviteter och stärka den interna kontrollen. Komrnunens kommentar: Systemförvaltaren upprättar an föwaltningsplan enligt Vallentunas mall i samarbete med IT. Arbc:tet kommer att utföras efter PwC rekcmmendationer. Bavre 18

} pwc Observation Risk Rekommendation t Avsaknad av policy gåillande lösenordshantering.,ilr il I samband med granskningen noterades att ingen policy eller styrande dokument finns på plats gällande hur lösenord ska vara konfigurerade i kritiska applikationer och näwerk. Vidare noterades att säkerhetskonfigurationen till nätverket idag inte omfattar: Tvingande komplexa lösenord,. Lösenordslängd, ' Tvingande byten avlösenord. Avsaknad av definition gällande lösenord ökar risken för svaga lösenord vilket kan medföra otillbörlig åtkomst tül kritisk data. Otillbörlig åtkomst till kritisk data kan påverka information som är kritisk för den finansiella rapporteringen. PwC rekommenderar att Vallentuna kommun definierar och dokumenterar en riktlinje för hur lösenord till kritiska applikationer och näwerk ska vara konfigurerade. Exempelvis bör riktlinjen definiera, men inte begränsas till; Lösenordslängd, Tvingande by'te,. Komplexitet, ' Låsning av användarkonto. Beslutad konfiguration bör implementeras i kritiska system och nätverk samt granskas, som minimum, årligen. Kornrnunens kornrnentar : Vi delar uppfattning och har redan påbörjat arbetet med att med hjälp av verktyget ARS skapa rekommenderade åtgärder. Just nu ligger testversionen ute för test på några skolor för att sedan kunna utvärderas. Konfigurationen âvser lösenordslängd, tvingande b e och komplexitet ska gäila generellt och för kritiska applikationer. 9aYL2 19

-Þ pwe Observation Risk Rekommendation 3 Utvecklare med tillgång till produktionsmilj ö. i,1ri ) Det noterades under granskningen att utvechare har dir:lt till gång till produktionsmiljön för applikationen Visma Control. Dock noterades att kornpenserade kontroller finns på plats där exempeh'is användare måste kvittera ut behörighet till servermiljön. vidare genornförs loggning och uppföljning av förändringar till kritiska data. UtvecHare med åtkomst till produktionsmiljön ökar risken för felaktiga eller bedrägliga förändringar till kritiska fu nktioner. Felaktiga eller bedrägliga förändringar till kritiska funktioner kar påverka data som är kritisk för den finansiella informationen. PwC rekommenderar att Vallentuna kommun undersöker möjligheten att begränsa och/eller ta bort åtkornst för utvechare till produktionsmiljön. Finns inte möjligheten att ta bort utvechare i produktionsmüjön rekommenderar l'i att kompenserande kontroller implementeras fcir att säkerstäiia att aktiviteter utförda av utvechare är fullständiga och riktiga samt inte påverkar kitisk information. Komrnunens kommentar: Utvecklare kommer i framtiden att få tidsbegränsad inloggning. UppföIjning av inloggning på server kommer att ske löpande av ITavdelningen. 10 av 12 20

} pwc Observation Risk Rekommendation 4. Avs aknad av dokumenterad rutin för periodisk gransloring av användare. í"i,41 Under granskningen noterades att ingen formaliserad kontroli finns på plats gäilande periodisk granskning av användare i applikationen Visma Control. Avsaknad av periodisk granskning av behörigheter ökar risken för felaktig åtkomst till kdtiska applikationer och system. Felaktig åtkomst tiii applikationer och system ökar risken för felaltig och/eller bedrägiig åtkomst till kritisk data vilket kan påverka den finansiella rapporteringen. PwC rekommenderar att Vallentuna kommun formaliserar rutiner och dokumentation för periodisk granskning av användare. Granskningen bör dokumenteras av ansvarig manager vilken arkiverar underliggande underlag till granskningen, signerar och daterar i s5,fte att skapa spårbarhet samt stärka den interna kontrollen. Dock noterades det att en periodisk kontroll av användare genomförs en gång per år av systemförvaltaren. Dock är detta ej en formaliserad rutin där underlag arkiveras för spårbarhet. Kommunens kommentar: Vi avser att dokumentera den kontroll som redan genomförs. Dokumentationen kommer att ske i vårt verksamhetssystem Stratsys 77àv 12 21

} pwc Observation Risk Rekommendation 5. Avsaknad av rutin für återläsningstest. (L) Under granskningen nrterades att ingen dokumenterad rrrtin finns på plats gällande återläsning av data för applikationen Visma Control. Dock noterades a:t åteiläsning av backuper sker till testmiljön flertalet gånger per år. Avsaknad av tbrmaliserad :rocess för återläsningstester av data ökar risken för att dat r inte kan återläsas i händelse av en incident. Data som ej kan återläsas kan påverka den operativa verksamheten och information som är kdtisk för den finansiella rapporteringen. PwC rekommenderar att Vallentuna kom:nun upprättar dokumentation vid återläsning av data fcir applikationen Visma Control. Dokumentationen bör som minimum, men inte begränsat till, omfatta: När test genomfördes, ' Vadsomtestats, Resultatet avtestet,. Vem som genomfört testet. Återläsning av databör som minimum genomföras en gång per år och dokumentationen bör arkiveras för att skapa spårbarhet samt stärka den interna kontrollen. Komrnunens komrnentar: Iakttagelserna är riktiga. Idag genomför vi återiäsning avbackup minst 4 ggr om året. Återläsnirtgen bör vid aktuelia tillfiillen dokumenteras utifrån PwC:s rekommendationer. 72 av 12 22

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss