Bolagsspecifika resultat Sektion 3. Page 1

Relevanta dokument
Stockholms Stadshus AB. Granskning av IT-intern kontroll 11 December 2014

Granskning av IT intern kontroll

Stockholms Stadshus AB it-revision november 2016

Revision av årsbokslutet

Sollentuna kommun. Generella IT kontroller Visma Affärslösningar. Detaljerade observationer och rekommendationer. November 2017

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina

Tyresö kommun. Generella IT kontroller Economa och Heroma. Detaljerade observationer och rekommendationer. Juni 2017

Stockholm Stadshus AB

Region Gotland. Generella IT kontroller Visma och HR Plus. Detaljerade observationer och rekommendationer. Februari 2017

Revision av årsbokslutet i Stockholms Stadshus AB Magnus Fagerstedt

Uppföljningsrapport IT-generella kontroller 2015

Uppföljningsrapport IT-revision 2013

Revisionsrapport. IT-revision Solna Stad ecompanion

Granskning av generella IT-kontroller för PLSsystemet

Granskning av generella IT-kontroller för ett urval system vid Skatteverket

Revisionsrapport Granskning av generella ITkontroller för ett urval av system vid Skatteverket 2018

Revision av den interna kontrollen kring uppbördssystemet REX

Granskning av generella IT-kontroller för ett urval system vid Skatteverket 2017

Växjö kommun. Övergripande säkerhetsgranskning. säkerhet avseende externt och internt dataintrång. Informationssäkerhetsspecialister:

Granskning av intern kontroll i kommunens huvudboksprocess

Stockholms Stadshus AB - koncernen

Region Skåne Granskning av IT-kontroller

Nr Iakttagelse Risk Risknivå Försäkringskassans svar till Riksrevisionen dnr

Stockholms Stadshus AB. Rapportering av revision per den 31 cecember 2017 Den 19 mars 2018

Revisionsrapport. 1 Inledning. Revision av uppbördsprocessen Moms. Skatteverket Solna. Datum Dnr

Revisionsrapport Granskning av stadens internkontrollplan samt nyckelkontroller inom ekonomiadministration och IT

Slutrevision Stockholms Stadshus AB (inklusive koncernen) Magnus Fagerstedt Mikael Sjölander

Granskning av intern kontroll i lönehanteringen

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni Erik Norman 1(6)

Stockholms Stadshus AB Årsbokslut 2015

Nr Iakttagelse Risk Risknivå Pensionsmyndighetens svar till Riksrevisionen , dnr VER

Landskrona stad. Granskning av IT - organisationen och dess leverans modell för IT - service till verksamheten.

Datum Kommunrevisionen: Granskning av generalla IT-kontroller 2013

Uppföljning av 2008 års granskning av informationssäkerheten hos Knivsta kommun KS-2011/787

Västerås stad. Uppföljande granskning av IT-säkerheten inom Sociala nämndernas förvaltning

Granskning av IT-säkerhet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Gislaveds kommun. Övergripande säkerhetsgranskning. säkerhet angående externt och internt dataintrång. Informationssäkerhetsspecialister:

Stockholms Stadshus AB - koncernen

Granskning av IT-säkerhet

Årsbokslut 2017 och årsredovisning för koncernen Stockholms Stadshus AB

Granskning av applikationenn Basware oktober 2012*

Granskning av IT-säkerheten inom Lunds kommun

Årsbokslut 2015 och årsredovisning för koncernen Stockholms Stadshus AB

Svar på revisionsrapport Uppföljande granskning av ITsäkerhetsarbetet

Granskning av IT-säkerhet

Revisionsrapport. Kalmar kommun. Förstudie av personalsystemet. Caroline Liljebjörn. 10 oktober 2011

Botkyrka Kommun. Revisionsrapport. Generella IT kontroller Aditro och HRM. Detaljerade observationer och rekommendationer.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Komrnunstyrelseri Nämnder och styrelser

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Granskningsredogörelse Styrning och intern kontroll översiktlig granskning

Årsbokslut 2016 och årsredovisning för koncernen Stockholms Stadshus AB

Förteckning över deltagande bolag och förvaltningar

Bilaga 2 Deltagande förvaltningar, bolag och stiftelser

Översiktlig beskrivning för applikationsägare

Översikt över koncernens utveckling sedan 2004

Årsbokslut 2013 och årsredovisning för koncernen Stockholms Stadshus AB

Elektroniska fakturor vid offentlig upphandling Remiss från Finansdepartementet Remisstid den 5 oktober 2017

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

Paraplysystemets säkerhet och ändamålsenlighet

Granskning av intern kontroll i redovisningsprocessen 2013

Granskning av kommunens IT-säkerhet 2017

Generella IT-kontroller uppföljning av granskning genomförd 2012

Granskning av intern styrning och kontroll vid Statens servicecenter

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Rutin för Användarkonto, Procapita omsorg

Kontroll över IT för efterlevnad och framgång. Johanna Wallmo Peter Tornberg

Intern kontroll och riskbedömningar. Sollefteå kommun

Rapport avseende genomförd internrevision år 2016

Uppföljning av tidigare granskningar

Uppföljande granskning av IT-säkerheten inom Sociala nämndernas förvaltning

IT-verksamheten - en uppföljning av tidigare granskning

Internkontrollplan 2015 för moderbolaget Stockholms Stadshus AB

Marks kommun - Granskning av intern kontroll i lönehanteringen

Protokollsutdrag. 346 Revisionsrapport Uppföljning IT-säkerhet och införande av dataskyddsförordningen - svar Dnr KS/2018:384

Anmälan av rapport om medieexponering för bolagen inom koncernen Stockholms Stadshus AB

Revisionsrapport. Granskning av leverantörsregister. Sollentuna kommun. pwc

Granskning av utbetalningar

Systemförvaltnings Modell Ystads Kommun(v.0.8)

Granskningsredogörelse Strategisk styrning

Styrning av behörigheter

Granskning av intern kontroll i löneprocessen

Uppföljande granskning av inköpsrutin och köptrohet inom kommunen. Mönsterås kommun

Göteborg Energi AB. Självdeklaration 2012 Verifiering av inköpsprocessen Utförd av Deloitte. 18 december 2012

INFORMATIONSSÄKERHETSGRANSKNING AV PARAPLYSYSTEMETS APPLIKATION PARASOL

Informationsmöte Vårdnadshavare, närliggande bostadsrättsföreningar och allmänheten

Rapport avseende IT-system. December 2004

Övergripande granskning av ITverksamheten

Ägarstyrning och ägardialog inom stadshuskoncernen

Revisionsrapport Årsredovisning 2015

Granskning av IT- och informationssäkerhet

Angered. Självdeklaration 2013 Verifiering av rekryteringsprocessen Utförd av Deloitte. Februari 2014

Granskning av säkerheten i mobila enheter. Internrevisionsrapport

Granskning av intern kontroll avseende betalningsrutiner. Mönsterås Bostäder AB

Finansinspektionens författningssamling

Hantering av loggkontroller och intrång i journal- och passagesystem

Transkript:

Bolagsspecifika resultat Page 1

Omfattning av granskning Introduktion EY har under 2015 genomfört en uppföljning av de observationer som noterades i samband med IT-revisionen 2014. De tidigare observationerna har prioriteterats utifrån hur pass kritiska de bedöms vara för respektive bolag. Bolag med tidigare noteringar som inte ansetts vara av kritisk karaktär har inte ingått i uppföljningen 2015. Dotterbolagen är uppdelade och prioriterade i två olika grupper: Bolag med högre priortering Uppföljningen av tidigare noteringar har genomförts genom intervjuer samt granskning av relevant dokumentation hos respektive bolag. Bolag med lägre prioritering (ej granskade 2015) De bolag som är exkluderade från har inte haft några iakttagelser från 2014 års granskning av någon högre dignitet och bedöms inte behöva följas upp inom ramen för 2015 års granskning. Högre prioritering Bolag med lägre prioritering (ej granskade 2015) Stockholms Hamn AB MICASA AB SISAB Stockholms Stadshus AB Stockholm Vatten AB Kulturhuset / Stadsteatern AB St. Eriks Försäkring AB Stockholms Stads Bostads-förmedling AB Stockholm Business Region AB St. Eriks Livförsäkring AB Stockholm Parkering AB AB Stockholms-hem AB Stokab AB Familjebostäder Svenska bostäder Stockholm Globe Arena Fastigheter AB St. Eriks Markutveckling AB Page 2

Översikt bolag inom granskningen Företagsspecifika resultat Bolag Sida Iakttagelser 2013 Stockholm Hamn AB 4 Iakttagelser 2014 Iakttagelser 2015 MICASA AB 5-6 Inga kvarstående noteringar SISAB 7-8 Stockholm Stadshus AB 9 Inga kvarstående noteringar Stockholm Vatten AB 10-11 Kulturhuset / Stadsteatern AB 12 Sthlm Stads Bost-förm.. AB 13 Inga kvarstående noteringar AB Stockholms-hem 14-15 Inga kvarstående noteringar Page 3

Stockholms Hamn AB Stockholms Hamn AB 2014 Iakttagelser Status 2015 Återläsningstester genomförs inte för servrar hos Volvo IT. Underhållssystemet Idus ska uppdateras vilket kommer att innebära att möjligheter för att genomföra återläsningstester förenklas då denna är planerad att användas blanda annat för detta ändamål. Vidare har vi noterat att det centralt tagits fram en rutin tillsammans med Volvo som underlättar beställning och utförande av återläsningstester. Stockholm Hamn AB har tagit fram ett nytt testprotokoll med godkännande för införande i produktionsmiljön. Det är av vikt att den uppdaterade rutinen följs för både större och mindre programförändringar. Stockholms Hamn AB har inte haft några signifikanta programförändringar under året därmed har vi inte kunnat verifiera att de nya rutinerna följs. Två större uppdateringar är planerade av Idus och Port IT och det är då av vikt att de uppdaterade rutinerna följs och förankras i processen för framtida programförändring. Iakttagelse kvarstår. Stockholm Hamn AB har utfört granskningar av aktiva användare i både Agresso och Port IT. Det är av vikt att denna process för periodisk granskning av tilldelade behörigheter formaliseras. Stockholms Hamn AB har implementerat en halvårsvis periodisk kontroll av användare i samtliga system. Systemansvarig får ett mail med godkännda användare i systemet, dessa användare utvärderas och godkänns alternativt termineras. Page 4

MICASA Micasa fastigheter AB 2014 Iakttagelser Status 2015 Återläsningstester genomförs inte för servrar hos Volvo IT. Bristande spårbarhet i de periodiska genomgångarna av tilldelade behörigheter i Fasad. Bristande dokumentation av rutiner för programförändringar. Micasa Fastigheter AB har gått över till stadens nya gemensamma Agresso system från och med 1 oktober. I och med övergången till det gemensamma ekonomisystemet har ansvaret för återläsningstester lyfts upp på den centrala systemförvaltningen inom staden. Micasa fastigheter AB har utfört genomgång av användare i Fasad under året. Genomgången är utförd i enighet med de rutiner som finns formaliserade för behörighetskontrol på Micasa fastigheter AB. Micasa Fastigheter AB har haft utvecklingsstopp i Visma under året och nu gått över till stadens nya gemensamma ekonomisystem. Det har även vart minimal utveckling av Fasad på grund av att det ska bytas ut under Q1 2018. Detta har summerat upp till att inga resurser har lagts på att utveckla nya rutiner för programförändringar till de befintliga systemen. Iakttagelse och rekommendation kvarstår. Page 5

MICASA: Bristande dokumentation av rutiner för programförändringar Micasa fastigheter AB Iakttagelse Iakttagelsen och rekommendationen kvarstår, Micasa Fastigheter AB har haft utvecklingsstopp i Visma under året och nu gått över till stadens nya gemensamma ekonomisystem. Minimal utveckling av Fasad, det ska bytas ut under Q1 2018. Inga resurser har lagts på att utveckla nya rutiner för programförändringar till de befintliga systemen även detta år. Risk Bristande dokumentation av rutiner kan leda till att det inte finns ett gemensamt arbetssätt för exempelvis testförfarande eller produktionssättning och därmed kan viktiga kontroller utebli eller kringgås. Rekommendation Eftersom utvekling av Fasad fortfarande är aktuell bör Micasa fastigheter AB säkerställa en rutin för god internkontroll med god ansvarsfördelning och spårbarhet av kontroller inom processen. Denna rutin bör baseras på Stockholms Stads centrala riktlinjer. Page 6

SISAB SISAB 2014 Iakttagelser Status 2015 SISAB har tagit fram och dokumenterat en ny rutin för förändringshanteringen som bygger på stadens F-guide och som gäller för samtliga programförändringar. Det är av vikt att den uppdaterade rutinen kommuniceras och införs. SISAB har under året implementerat nya rutinerna i systemet för felanmälan av beställning (Feber). Övriga system har inte infört de nya rutinerna och det är av vikt att även de inkluderas. Iakttagelsen kvarstår med modifikation. SISAB har tagit fram en årsplan där de systemansvariga planerar in när de periodiska genomgångarna ska utföras. Dock fanns inga exempel på utförda behörighetsgenomgångar i samband med vår granskning. Det är av vikt att den uppdaterade rutinen kommuniceras och införs. Ansvaret har enligt bolaget legat för högt upp i organisationen vilket lett till att gemongångarna ej har genomförts. Ambitionen från SISAB är fortfarande att delegera ansvaret till systemansvariga under 2016. Iakttagelse och rekommendation kvarstår. Page 7

SISAB: Periodiska genomgångar av tilldelade behörigheter SISAB Iakttagelse Inom SISAB finns en nyligen framtagen instruktion för hur periodiska genomgångar av tilldelade behörigheter ska genomföras och vem som ansvarar för dessa. Någon genomgång har ej utförts under 2015. Risk Avsaknaden av periodisk genomgång av användare ökar risken för att personer som inte längre arbetar kvar eller har fått ändrade arbetsuppgifter har kvar gamla eller felaktiga behörigheter i systemen. Rekommendation SISAB bör förankra den nya rutinen i verksamheten och säkerhetsställa att periodisk genomgång genomförs. Page 8

Stockholms Stadshus AB Stockholm Stadshus AB 2014 Iakttagelser Status 2015 Tieto genomför med jämna mellanrum återläsningstester för Cognos. Dock finns det ej några dokumenterade resultat. Det existerar ett fåtal konton med grupp access i Cognos. Stockholms Stadshus AB har beställt ett återläsningstest av Cognos och dokumenterat resultatet. Stockholm Stadshus AB har mininerat tillgången till de berörda kontona som fortfarande existerar och kartlagt vilka individer som har access. Page 9

Stockholm Vatten AB Stockholm Vatten AB 2014 Iakttagelser Status 2015 Återläsningstester genomförs inte för servrar hos Volvo IT. Stockholm Vatten AB har tagit fram en ny kvartalsvis rutin för att granska de användare som slutat. Rutinen innebär att systemägaren tillika administrativ chef signerar dokumentet och står som yttersta ansvarig. Vi har dock noterat att priviligierade användare samt användare som bytt arbetsuppgifter inte omfattas av denna granskning. Gruppkonton förekommer i Agresso. Vi bedömer att bolaget i samband med serverbyten och uppsättning av testsystem verifierat att processen kring återläsning fungerar för Stockholm Vatten hos Volvo IT. Vi har verifierat att rutinen som har tagits fram täcker avslut av behörighet inom bolaget inkluderat höga behörigheter. Dock täcker rutinen inte eventuella användare som byter arbetsuppgifter inom bolaget och som därmed bör ha en förändrad behörighet. Iakttagelsen kvarstår med modifikation. Inga återgärder har utförts för att minska eller helt ta bort gruppkonton för Agresso supporten. Iakttagelse och rekommendation kvarstår. Page 10

Stockholm Vatten AB Stockholm Vatten AB: Gruppkonton förekommer i Agresso Iakttagelse Utveckling och implementering av programförändringar i produktionsmiljön för Agresso genomförs av leverantören Agresso. När leverantören ska genomföra en produktionssättning skickas en SMS-kod ut för att ge access till stadens Citrix-inloggning. Vid mindre supportärenden används fortfarande gruppkontot. Risk Användning av gruppkonton innebär att spårbarheten minskar då det inte går att följa vem som har varit inne i systemet eller att koppla utförda aktiviteter till individen. Rekommendation Stockholm Vatten AB bör eftersträva att enbart personliga konton används för åtkomst till samtliga applikationer, databaser och servrar. I de undantagsfall detta inte är möjligt bör en rutin tas fram för att monitorera externa användares aktiviteter i systemet. För Agresso bör Stockholm Vatten AB överväga att använda sig av Start Stockholms rutin med SMS för alla ärenden som kräver programförändringar, även mindre ärenden. Page 11

Kulturhuset Stadsteatern AB Kulturhuset Stadsteatern AB 2014 Iakttagelser Status 2015 Kulturhuset Stadsteatern AB har tagit fram en process och checklista för hantering av programförändringar. Det är av vikt att den uppdaterade rutinen kommuniceras och införs. Lösenord för användarkonton i biljettkasse systemet följer inte Stockholms Stads ritlinjer för informations säkerhet. Avsaknad av rutin för periodisk genomgång av användare. Kulturhuset Stadsteatern AB har inkorporerat den nya processen för större programförändringar men bör också inkludera mindre ändringar, så kallade quick fixes. Iakttagelsen kvarstår med modifikation. Kulturhuset Stadsteatern AB har lyft över majoriteten av användarna i biljettkassesystemet till en single sign on lösning. Det finns ett fåtal konton kvar (5 stycken) men dessa konton kommer att byggas bort med hjälp av projektet Klara 2,0. Kulturhuset Stadsteatern AB har tagit fram nya rutiner med ansvarsfördelning för periodisk genomgång av användare för samtliga kritiska system. Det är av vikt att de nya rutinerna kommuniceras och införs. Iakttagelsen kvarstår med modifikation. Page 12

Stockholms Stads Bostadsförmedling AB Stockholms Stads Bostadsförmedling AB 2014 Iakttagelser Status 2015 Stockholm Stads Bostadsförmedling AB har tagit fram en ny rutin där ekonomichefen ansvarar för att utföra och dokumentera den periodiska granskningen av behörighetsnivåer i Raindance. Det är av vikt att den uppdaterade rutinen kommuniceras och införs. Stockholms Stads Bostadsförmedling har tagit fram en ny rutin för hantering av behörigheter i samband med nyanställning och avslut med en detaljerad beskrivning för respektive system. Rutinen infattar dock inte fall där befintlig person byter roll inom företaget. Stockholms Stads Bostadsförmedling har tagit fram en ny rutin för hantering av behörigheter i samband med nyanställning och avslut med en detaljerad beskrivning för respektive system. Stockholm Stads Bostadsförmedling AB har tagit fram en ny rutin där ekonomichefen ansvarar för att utföra och dokumentera den periodiska granskningen av behörighetsnivåer i Raindance. Page 13

Granskningsdetaljer Sektion 4 Page 14

Utvärderingskriterier i detalj Sektion 4 Granskningsdetaljer Följande kontrollmål och områden är fokus i granskningen: Programförändringar: 1: Att programförändringar är godkända för utveckling 2: Att programförändringar är testade 3: Att programförändringar är godkända för införande i produktionsmiljön 4: Att programförändringar övervakas 5: Att det existerar ändamålsenlig ansvarsfördelning inom programförändringsprocessen Åtkomst: 1: Att systemkonfiguration är lämplig 2: Att lösenordsinställningar är lämpliga 3: Att höga behörigheter är begränsat till lämpligt antal användare 4: Att behörigheter till resurser som applikationen använder (databaser, operativsystem) är begränsat till lämpligt antal användare 5: Att behörigheter är godkända vid både: a. Upplägg av nya behörigheter b. Regelbunden granskning av behörigheter 6: Att fysisk säkerhet är begränsat till lämpligt antal individer 7: Att behörighetsprocessen övervakas 8: Att det existerar ändamålsenlig ansvarsfördelning inom behörighetsprocessen Stockholms stads riktlinjer för informationssäkerhet Under vår granskning kommer vi även diskutera roller och ansvar kopplade till kontrollmålen ovan. Vi vill vidare mera allmänt avseende stadens riktlinjer för informationssäkerhet, täcka frågor kopplade till organisation för arbetet med informationssäkerhet, implementering av rutiner, informationsklassning samt riskanalys av de kritiska systemen. Page 15

Omfattade bolag och kontaktpersoner Sektion 4 Appendix Bolag Stockholms Hamn AB MICASA AB SISAB Stockholms Stadshus AB Stockholm Vatten AB Kulturhuset / Stadsteatern AB St. Eriks Försäkring AB Stockholms Stads Bostads-förmedling AB Kontaktperson Mats Kings, IT Kristian Arenander, IT Mee Nilsson, IT Sara Feinberg, Inger Johansson Kjaerboe, IT Lars Storm, IT Åke Wetterblad, IT & Malin Dahlberg, EA Maria Scheele David Mancilla, IT Page 16

Tack! Page 17

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss