Botkyrka Kommun. Revisionsrapport. Generella IT kontroller Aditro och HRM. Detaljerade observationer och rekommendationer.

Botkyrka Kommun Revisionsrapport Generella IT kontroller Aditro och HRM Detaljerade observationer och rekommendationer Oktober 2015 Anders Hägg Fredrik Dreimanis Anna Lång Thomas Bauer

Innehållsförteckning Sammanfattning av granskningen... 3 Bakgrund och omfattning...4 Detaljerade observationer och rekommendationer...6 2 av 21

Sammanfattning av granskningen I samband med revisionsplaneringen för Botkyrka kommun har en risk- och väsentlighetsanalys genomförts där system samt applikationer kopplat till den finansiella rapporteringen bedömts som kritiska. Baserat på detta har en granskning av applikationerna Aditro (ekonomisystem) och HRM(lönesystem) genomförts. Granskningen har genomförts under maj och juni 2015 av Fredrik Dreimanis (PwC), Anna Lång (PwC) och Thomas Bauer (PwC). Granskningen har genomförts i syfte att bedöma förvaltning och intern kontroll för dessa applikationer. Baserat på genomförd granskning bedöms det finnas grundläggande processer och rutiner inom Botkyrka kommun gällande förvaltning av kritiska applikationer. Exempelvis finns det rutiner på plats gällande hantering och uppföljning av behörigheter. I granskningen har dock noterats att flertalet av dessa rutiner är informella och ej dokumenterade. Vidare noterades brister kopplade till styrning av IT där exempelvis riskanalysering inte genomförs samt att arbete med förvaltningsmodellen för IT (PM3) kan förtydligas avseende roller och ansvar. Vår sammanfattande bedömning är att den interna kontrollen inte är helt tillräcklig och att åtgärder behöver vidtas för att korrigera påtalade brister. Inom ett antal områden behöver Kommunstyrelsen förtydliga och förstärka processer samt rutiner. I huvudsak avser detta ökad formalisering och dokumentation inklusive definition av roller och ansvar. Vi rekommenderar att Kommunstyrelsen i första hand bör fokusera på följande områden: Dokumentation av väsentliga processer och rutiner för applikationer, Förtydligande av roller och ansvar kopplat till kritiska applikationer och system, Rutiner och processer för loggning och uppföljning av användare i kritiska system, Definerar rutiner för återläsningstest för kritiska system. För mer information avseende observationer se sektion Detaljerade observationer och rekommendationer. 3 av 21

Bakgrund och omfattning I samband med revisionsplaneringen för Botkyrka kommun har en risk- och väsentlighetsanalys genomförts där system samt applikationer kopplat till den finansiella rapporteringen bedömts som kritiska. Granskningen tar sin utgångspunkt i SKYREVS s utkast till vägledning för redovisningsrevision i kommuner och landsting 1. Baserat på denna analys har applikationerna Aditro (ekonomi system) och HRM (lönesystem) granskats i syfte att bedöma rutiner avseende förvaltning och intern kontroll. Granskningen har baserats på generella IT-kontroller (ITGC) inom domäner som specificeras i nedanstående tabell. Granskningen avser perioden 1 januari till 2 juni 2015 för ITGC domänerna i tabellen nedan och följande applikationer: Aditro (ekonomisystem), HRM (lönesystem). ITGC Domän Kontrollområde IT-styrning/Förvaltning Policy och styrande dokument, Roller och ansvar, Gränssnitt mellan IT och verksamhet, IT organisation och kontroll över IT, Förståelse för applikationerna och IT-miljön. Förändringshantering Rutin och process gällande förändringar till kritiska applikationer, Testning av nya förändringar, Godkännande av förändringar innan produktionssättning. 1 Vägledningen baseras på ISA, International Standards on Auditing och behandlar ett antal förhållanden som kräver särskilda tillämpningsanvisningar. Syftet är att utveckla god revisionssed för redovisningsrevision i kommunal sektor. 4 av 21

ITGC Domän Kontrollområde Åtkomsthantering Process för uppläggning, ändring och borttagning av behörigheter, Periodisk granskning av behörigheter, Hantering av säkerhetsinställningar, Loggning och översyn av loggar, Hantering av priviligierade användare. Datordrift Backup hantering och återläsning, Hantering av batch jobb, Katastrof- och kontinuitetshantering, Hantering av tredjepartsleverantör. Granskningen baseras på intervjuer med nyckelpersoner hos Botkyrka Kommun och granskning av underliggande dokumentation. Följande personer har varit involverade i granskningen: Susanna Brenander (Systemförvaltare,Aditro) Bodil Sundström (Systemförvaltare, Aditro) Karin Wallqvist (Redovisningschef) Camilla Engström (Redovisningsekonom) Sureya Agirman(Service manager) Sophia Tomtlund (IT Team leader) Thor Gilhus (Systemadministratör, HRM) Jonas Litsche (Systemadministratör, HRM) Lena Hadad (HR-chef) Monia Stavrum (Lönechef) Vårt arbete har utförts in enlighet med PwC s revisionsmetodik och under maj och juni månad i Botkyrka kommuns lokaler. 5 av 21

Detaljerade observationer och rekommendationer Observationerna i denna rapport har graderats efter bedömd väsentlighet, graderingen illustreras med hjälp av definitionerna i nedan tabell. Även om graderingen ofrånkomligen är subjektiv och innehåller inslag av bedömningar och ställningstaganden kan definitionerna vara vägledande. Hög (H) Medium (M) Låg (L) Kritisk, omedelbar åtgärd. Visar på en brist med stor påverkan på system, processer och eller intern kontroll att det kan medföra att Botkyrka kommun exponeras för betydande förluster eller väsentliga fel i den finansiella rapporteringen. Otillräcklig, bör diskuteras av ledningen. Visar på en brist, som ensam eller i kombination med andra brister kan påverka funktionaliteten/integriteten i system, processer och kontroller samt den finansiella rapporteringen. Mindre avvikelse. visar en brist som inte har någon väsentlig påverkan på system, processer och kontroller men som indikerar en möjlighet till förbättrad effektivitet och/eller verkningsgrad av processer och kontroller Tabellen nedan visar en sammanfattning av de observationer som identifierats under årets granskning med relaterad riskgradering baserad på dess väsentlighet. 6 av 21

Ref # Område Applikation Observation Risknivå 1. IT-styrning Aditro Avsaknad av riktlinjer gällande förvaltningsmodellen för IT. 2. IT-styrning Aditro Avsaknad av uppdaterade avtal mellan IT och verksamhet. 3. Förändringshantering Aditro Avsaknad av dokumenterade rutiner för uppföljning av implementerade förändringar. Låg Medium Låg 4. Förändringshantering Aditro Avsaknad av rutiner för test av program förändringar. Medium 5. Åtkomst till program och data Aditro Avsaknad rutiner och processer loggning och uppföljning. Hög 6. Åtkomst till program och data Aditro Brister i rutinerna för upplägg av nya användare. Låg 7. Åtkomst till program och data Aditro Avsaknad av komplexa lösenord och periodisk genomgång av lösenordskonfigurering. Medium 8. Datordrift Aditro Avsaknad av rutin för återläsningstest. Medium 9. IT-styrning HRM Avsaknad av riktlinjer gällande förvaltningsmodellen för IT. Låg 10. IT-styrning HRM Avsaknad av kontinuerlig uppföljning med leverantör. Medium 7 av 21

Ref # Område Applikation Observation Risknivå 11. Åtkomst till program och data HRM Brister i rutinerna för upplägg av nya användare. Låg 12. Åtkomst till program och data HRM Avsaknad av rutin för periodisk granskning av användare. Medium 13. Datordrift HRM Avsaknad av rutin för återläsningstest. Medium För mer information och detaljer gällande respektive observation se nedan tabell. 8 av 21

1. Avsaknad av riktlinjer gällande förvaltningsmodellen för IT (L) (Aditro) Under granskningen noterades att riktlinjer och instruktioner gällande förvaltningsmodellen PM3 inte har kommunicerats eller definierats. Vilket medfört att förvaltningen av applikationen Aditro inte genomförs fullständigt i enlighet med gällande förvaltningsmodell. Avsaknad av tydliga riktlinjer i arbetet med PM3 medför att de faktiska fördelarna med styrmodellen ej utnyttjas. Vidare försvårar detta roller och ansvar kopplat till applikationer och system. Vi rekommenderar Botkyrka kommun att tydligt kommunicera riktlinjer och instruktioner gällande införandet av PM3 modellen i syfte att öka förståelsen samt effekten av införandet av förvaltningsmodellen. Kommunens kommentarer: Pm3 är ett arbete som vi just påbörjat och därmed ej följt d.v.s. vi uppfyller inte denna standard. 9 av 21

2. Avsaknad av uppdaterade avtal mellan IT och verksamhet. (M) (Aditro) Det noterades att det avtal (Service Level Agreement) som finns mellan IT och verksamheten inte är uppdaterade enligt dagen organisation. Befintliga avtal har en kravställning som inte är i enlighet med kraven som idag finns inom organisationen. Avsaknad av uppdatear avtal mellan IT och verksamheten ökar risken för ett IT-stödjer verksamhetens krav. Avsaknad av effektivt IT-stöd kan påverka transaktioner som är kritiska för den finansiella rapporteringen. Vidare försvårar detta kommunikationen mellan IT och verksamheten samt prioriteringar och styrning av IT-stöd. Vi rekommenderar att avtalen mellan verksamheten och IT uppdateras i syfte att skapa en transparant förvaltning som möter verksamhetens krav. Vidare bör gränssnittet mellan IT och verksamheten tydliggöras i syfte att öka kunskapen om tjänster hos IT och förståelsen för var verksamheten önskar. Exempelvis bör det vara en funktion som förstår kommunens verksamhet och har mandat att samordna och koordinera projekt. Kommunens kommentarer: Det sker nu en genomgång av serveravtal mellan IT-enheten och redovisningschefen. Arbete är initierat men ej påbörjat gällande att se över SLA för hela kommunen. 10 av 21

3. Avsaknad av dokumenterade rutiner för uppföljning av implementerade förändringar. (L) (Aditro) Botkyrka kommun saknar en dokumenterad rutin för att godkänna och följa upp förändringsärenden. Dock finns informella rutiner på plats. Exempelvis noterades att en akut förändring har implementerats i produktionsmiljö utan formellt godkännande innan implementation. Samtliga akuta förändringar ska godkännas innan implementation. Det noterades även att ärendet har status pågår vilket indikerar att det finns brister i det arbetssätt som tillämpas då förändringen är implementerad och bör varit uppföljd och stängd vid tidpunkten. Avsaknad av en formaliserad och definierad förändringshanteringsprocess ökar risken för implementering av felaktiga förändringar i produktionsmiljön. Felaktiga förändringar kan påverka transaktioner och data som är kritisk för den finansiella rapporeringen. Vi rekommenderar att Botkyrka kommun dokumenterar rutinen avseende förändringshantering som är idag är informell. Kommunens kommentarer: Förändringar i produktionsmiljö anges som risk. Kommunen undersöker möjlighet att starta upp en testmiljö, se punkt 6. 11 av 21

4. Avsaknad av testmiljö. (M) (Aditro) Under granskningen noterades att ingen separat testmiljö för applikationen Aditro finns, samtliga tester genomförs direkt i produktionsmiljön. Genomförande av tester i produktionsmiljö ökar risken för felaktiga förändringar i produktionsmiljön samt produktionsstörning. Felaktiga förändringar och störningar i produktionsmiljön kan påverka transaktioner och data som är kritiska för den finansiella informationen. Vi rekommenderar att Botkyrka kommun upprättar testmiljöer för applikationen Aditro i syfte att säkerställa att tester kan genomföras utan påverkan i produktionsmiljön. Tester i en testmiljö säkerställer att endast riktiga och godkända förändringar appliceras i produktionsmiljön. Kommunens kommentarer: Ekonomienheten, klf har sedan en tid undersökt möjligheter och alternativ för en testmiljö. Det finns två huvudalternativ för detta. Det första alternativet är att skapa en helt separat testmiljö där även versioner och hotfixar kan testas. Denna lösning är förhållandevis kostsam. Det andra alternativet är att skapa ett parallellt företag i Aditro. Detta alternativ möjliggör tester av interna fördelningar, koddelar mm, men möjliggör ej versionstester eller hotfixar. 12 av 21

5. Avsaknad rutiner och processer loggning och uppföljning. (H) (Aditro) Under granskningen noterades att ingen definition eller rutin gällande loggning av förändringar till känslig data och kritiska transaktioner finns på plats. Loggning är aktiverad i applikationen Aditro men ingen regelbunden uppföljning genomförs. Det noterades även att det finns ett kritiskt konto "Oracle" i databasen där leverantören har höga behörigheter utan begränsningar eller uppföljning av vilka aktiviteter denna användare har utfört. Avsaknad av loggning för kritiska transaktioner och data ökar risken för felaktiga och/eller bedrägliga transaktioner. Felaktiga och/eller bedrägliga förändringar till data och transaktioner kan påverka den operativa verksamheten och finansiell data. Användare med hög behörighet (ex. databasadministratörer, sa ) har möjlighet att passera säkerhetskonfigurationer och genom detta manipulera data och transaktioner utan att identifieras. Manupilering av data och transaktioner kan påverka den finansiella informationen. Botkyrka kommun bör säkerställa att de har full kontroll över sa kontot till data basen för ekonomisystemet samt begränsa åtkomsten till ett fåtal personer inom kommunen. Vidare bör kommunen säkerställa att rutiner implementeras för uppföljning av loggning i syfte att identifiera felaktiga eller bedrägliga transaktioner. Uppföljningen bör genomföras av funktioner utanför IT som exempelvis ekonomi eller liknade. Kommunens kommentarer: Kommunen arbetar med flerhandsprincipen på de transaktioner som kan anses vara kritiska i applikationen, Aditro. Förändringar i inställningar kan spåras genom loggning. Användarkonto Oracle innebär att en extern konsult kan gå in i applikationen när något ska ändras enligt begäran från kommunen. Ändringar som ska/behöver göras i systemet är överenskommet mellan kommunen och Aditro. Information om ändringar och resultat kommuniceras mailledes. Riktlinjer för hur åtkomst till administratörskonto ska hanteras kommer att dokumenteras. Botkyrka kommer i samband med uppgradering av Aditro gå igenom samtliga externa användare och utvärder samt riskbedöma deras åtkomst, baserat på detta begränsa de behörigheter som bedöms ej kritiska. Vidare kommer rutiner dokumenteras för hur externa användare får åtkomst till databasen. 13 av 21

6. Brister i rutinerna för upplägg av nya användare. (L) (Aditro) Under granskningen noterades ett fåtal brister i rutinen för upplägg av nya användare där användare har erhållit åtkomst till applikationen Aditro utan godkännande av behörig beställare eller annan dokumentation Brister i rutiner för upplägg av användare ökar risken felaktig åtkomst. Felaktig åtkomst kan påverka transaktioner och data som är kritisk för den finansiella informationen. Vi rekommenderar kommunen att säkerställa efterlevnad av rutinen för tilldelning av behörigheter där samtliga uppläggningar och förändringar ska vara dokumenterade och godkända. Kommunens kommentarer: Vid några tillfällen, då det varit uppenbart för systemförvaltare att en nyanställd person behövt behörighet för att kunna genomföra nödvändiga arbetsuppgifter har behörighet givits utan underskriven ansökan. Denna brist är vi medvetna om och samtliga nyupplägg ska nu eftergranskas av ytterligare en person på ekonomienheten, klf. 14 av 21

7. Avsaknad av komplexa lösenord och periodisk genomgång av lösenordskonfigurering. (M) (Aditro) Under granskningen noterades att befintliga lösenordsinställningar inte innehåller komplexitetskrav där exempelvis alfanumeriska variabler samt specialtecken är ett krav. Det noterades även att det inte sker en periodisk genomgång av lösenordsinställningar för att verifiera att de åtföljer befintlig lösenordspolicy. Bristfällig eller felaktig lösenordshantering ökar risken för felaktig åtkomst till data. Felaktig åtkomst kan påverka transaktioner och data vilken är kritisk för den operativa verksamheten och finansiell data. Vi rekommenderar kommunen att definiera instruktioner och riktlinjer för lösenordshantering inom kommunen. Definierade instruktioner och riktlinjer bör sedan konfigureras i applikationen Aditro. Vidare bör standardlösenord till kritiska funktioner (som databaser) ersättas med komplexa lösenord vilka endast nyckelpersoner har åtkomst till. Kommunens kommentarer: Kommunen har en ny lösenordspolicy sedan sommaren 2015. Att man inte kan ställa samma krav på lösenord i Aditro som är ett känt problem i nuvarande version. Efter uppgraderingen av Aditro som beräknas till november/december så är inloggningen kopplat till AD/Neptune och då kan lösenord konfigureras. IOF-modulen har redan denna möjlighet och används av kommunen. 15 av 21

8. Avsaknad av rutin för återläsningstest. (M) (Aditro) Under granskningen noterades att ingen rutin för återläsning av data finns på plats. Tredjepartsleverantör hanterar backup och arkivering av data, dock finns det ingen uppföljning att regelbunden återläsning av data genomförs. Avsaknad av formaliserade och dokumenterade återläsningstest ökar risken för att data inte kan återställas i händelse av katastrof. Utan fungerande säkerhetskopior från systemen kan återstartstiden för verksamheten bli orimligt lång vilket kan få konsekvenser för verksamheten. Vi rekommenderar kommunen att säkerställa att data kan återläsas för applikationen Aditro genom att en rutin för regelbundna återläsningstest upprättas. Återläsning av data bör, som minimum, genomföras en gång per år i syfte att säkerställa fullständighet och riktighet i arkiverad data. Dokumentation av hur ett återläsningstest genomförts kan fungera som checklista vid händelse av kritisk återläsning. Kommunens kommentarer: Rutiner kommer definieras för återläsningstest. 16 av 21

9. Avsaknad av riktlinjer gällande förvaltningsmodellen för IT (L) (HRM) Under granskningen noterades att applikationen HRM inte förvaltas enligt PM3 modellen vilken tillämpas inom Botkyrka kommun. Avsaknad av tydliga riktlinjer i arbetet med PM3 medför att de faktiska fördelarna med styrmodellen ej utnyttjas. Vidare försvårar detta roller och ansvar kopplat till applikationer och system. Vi rekommenderar kommunen att se över hur processen för arbetet med den strategiska styrmodellen PM3 har genomförs. Detta för att säkerställa att förvaltningar har de förutsättningar som krävs för att implementera modellen fullt ut. Det bör även finnas ett tydligt ägarskap för att säkerställa att implementering sker enligt plan. Kommunens kommentarer: Pm3 är ett arbete som vi just påbörjat och därmed ej följt d.v.s. vi uppfyller inte denna standard. 17 av 21

10. Avsaknad av kontinuerlig uppföljning med leverantör (M) (HRM) Det noterades under granskningen att Botkyrka kommun inte genomför någon regelbunden uppföljning eller avstämning med leverantören HRM Software AB gällande de avtal som är upprättat. Dock noterades att det årligen genomför ett formellt avtalsmöte för att planera förvaltningen framåt samt att det kontinuerligt kommuniceras mellan projektledare för HRM och förvaltare inom HR Lön från Botkyrka kommun, dock en formaliserat. Utan tillräcklig insyn och kvalitetssäkring av de uppgifter som utförs av HRM Software AB finns en ökad risk att den faktiska säkerhetsnivån inte är anpassad till verksamhetens krav. Vi rekommenderar att kommunen utvärderar om det finns behov av att få en större insyn i HRM Software ABs hantering av applikationen och IT-driften, genom t.ex. utökad rapportering av områden som bedöms kritiska och/eller rapportering mot områden definierade i avtalet. Kommunens kommentarer: Detta kommer att åtgärdas i samband med att en förvaltningsledare tillsätts inom HR Lön. 18 av 21

11. Brister i rutinerna för upplägg av nya användare. (L) (HRM) Under granskningen noterades 2 (av 15) stickprov gällande tilldelning av behörighet till HRM var godkända i efterhand. Dock noterads att dessa behörigheter var riktiga och användare skall ha åtkomst. Brister i rutiner för upplägg av användare ökar risken felaktig åtkomst. Felaktig åtkomst kan påverka transaktioner och data som är kritisk för den finansiella informationen. Vi rekommenderar kommunen att säkerställa efterlevnad av rutinen för tilldelning av behörigheter där samtliga uppläggningar och förändringar ska vara dokumenterade och godkända. Kommunens kommentarer: Vi arbetar kontinuerligt med att förbättra processer och kontroller. 19 av 21

12. Avsaknad av rutin för periodisk granskning av användare. (M) (HRM) Under granskningen noterades att ingen formaliserad kontroll finns på plats gällande periodisk granskning av användare och dess behörighet. Dock finns det ett antal andra typer av kontroller vilka begränsar risken som exempelvis att avdelningschefer i samband med delårsprognoser granskar löner i syfte att identifiera personer vilka inte vara anställda, alternativt har flyttat inom kommunen. Avsaknad av periodisk granskning av behörigheter ökar risken för felaktig åtkomst till applikationer och system. Felaktig åtkomst till applikationer och system ökar risken för felaktig åtkomst till kritisk data vilket kan påverka transaktioner som är viktiga för den finansiella informationen. Vi rekommenderar att kommunen upprättar rutiner och dokumentation som stödjer en periodisk granskning av användare. Syftet med granskningen är att säkerställa att användare med åtkomst till applikationer och system har rätt behörighet i enlighet med sina arbetsuppgifter. Granskningen bör som minimum genomförs en gång per år. Kommunens kommentarer: Vi tolkar denna punkt som att gälla personer med utökade behörigheter och inte personer med grundbehörighet. För utökade behörigheter saknas rutin och dokumentation för periodisk granskning. 20 av 21

13. Avsaknad av rutin för återläsningstest. (M) (HRM) Under granskningen noterades att ingen rutin finns på plats för att säkerställa att återläsningstest genomförs regelbundet för data kopplat till applikationen HRM. Tredjepartsleverantör EVRY tester av säkerhetskopior dock varken formaliserat eller med en regelbundenhet. Avsaknad av formaliserade och dokumenterade återläsningstest ökar risken för att data inte kan återställas i händelse av katastrof. Utan fungerande säkerhetskopior från systemen kan återstartstiden för verksamheten bli orimligt lång vilket kan få konsekvenser för verksamheten. Vi rekommenderar kommunen att säkerställa att regelbundna återläsningstest av kritisk data för applikationen HRM genomförs. Kommunens kommentarer: Backup rutin finns och rutin för återläsningstest kommer att åtgärdas i samband med att en förvaltningsledare tillsätts inom HR Lön. 21 av 21