Uppföljning av rapport Säkerhet och intern kontroll i PA/Lönesystemet samt fördjupade analyser

Relevanta dokument
REVISIONSRAPPORT. Landstinget Halland. Säkerhet och intern kontroll i PA/lönesystemet. Mars Rolf Aronsson Leif Jacobsson Anita Andersson

Vilma Lisboa April 2010

REVISIONSRAPPORT. Löpande granskning av redovisning och administrativa rutiner avseende. Byggnads- samt Miljö- och hälsoskyddsnämnden.

Revisionsrapport. Revisionsrapport rörande löpande granskning av Polisen Granskning av ekonomiadministration slutsatser

Granskning av intern kontroll i lönehanteringen

Landstingsstyrelsens Personalutskott

Audit KPMG AB Antal sidor: 6

Svar på revisionsrapport Landstinget Blekinge granskning av löneprocess

REVISIONSRAPPORT. Löpande granskning av redovisning och administrativa rutiner avseende. Tekniska nämnden. Hylte Kommun.

Uppföljning avseende granskning av attestrutiner

Privata vårdgivare förstudie

REVISIONSRAPPORT. Intern kontroll och säkerhet vid elektronisk handläggning av leverantörsfakturor. Arvika kommun. September 2005.

Uppföljning av granskningsplan 2012 för administrativa processer

Intern kontroll i faktura- och lönehantering

Granskning av behörigheter till journalsystemet

Landstingets ärende- och beslutsprocess - uppföljning

REVISIONSRAPPORT. Översiktlig analys av loggar i ekonomisystemet Devis. Arvika kommun. September Rolf Aronsson

Marks kommun - Granskning av intern kontroll i lönehanteringen

Granskning av landstingets regler och rutiner för attestering av leverantörsfakturor och löner

GOTLANDS KOMMUN. Uppföljning av granskning av lönerutiner i Personalsystemet IFS. Mats Renborn Viveca Karlsson

Revisionsrapport Uppföljning av granskning förtroendevaldas anspråk på förlorad arbetsförtjänst

Rapport Granskning av försörjningsstöd.

Granskning av anställningar och avslut i lönesystemet och tilldelning av behörigheter till dokumentationssystem

Säkerhet och intern kontroll i lönehanteringen

Granskning av utbetalningar

Riktlinjer för ansvar och behörigheter i Personec P

Intern kontroll i faktura- och lönehantering

Landstingsstyrelsens uppsikt över följsamhet till fullmäktiges reglemente för intern kontroll

Granskning av intern kontroll

Policy för intern kontroll

Granskning av intern styrning och kontroll vid Statens servicecenter

Kungälvs kommun. Granskning av intern kontroll inom ekonomiprocesser 2018

Granskning av utbetalningar

Revisionsrapport Granskning av lönerutinerna. Härjedalens Kommun

Revisionsrapport 7 / 2010 Genomförd på uppdrag av revisorerna november Haninge kommun. Granskning av säkerhet i löneutbetalningar

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Revisionsrapport. Kalmar kommun. Förstudie av personalsystemet. Caroline Liljebjörn. 10 oktober 2011

Landstingsstyrelsens uppsikt över följsamhet till fullmäktiges reglemente för intern kontroll

Det föreslagna beslutet medför inga kända ekonomiska konsekvenser för kommunen.

Kontroll av legitimation vid anställning av läkare och sjuksköterskor

Intern kontroll i kommunen och dess företag. Sollefteå kommun

Intern kontroll och riskbedömningar. Strömsunds kommun

Reglemente för internkontroll

Granskning av interna kontrollen

Granskning av landstingets hantering av personuppgifter

Olofströms kommun. Intern kontroll Granskning personalkostnader. Audit KPMG AB 9 mars 2011 Antal sidor: 7

Cura Individutveckling

Kundfordringar en uppföljande granskning

Länsstyrelsen i Kronobergs läns hantering av länsstyrelsernas samordnade löneservice

Region Gävleborg. Revisionsrapport. Dokumentation av redovisningssystemet. Granskning avseende tillämpning av KRL 2:7. Göran Persson Lingman

Logghantering för hälso- och sjukvårdsjournaler

Revisionsrapport Uppföljande granskning av rapporten Attester och utbetalningsrutiner

Elektronisk handel Förstudie: Skanning av leverantörsfakturor

Uppföljande granskning av landstingets leverantörsregister

Ansvarsförbindelse för Stockholms Läns Landstings Elektroniska Katalog (EK)

Granskning av löneprocessen svar på revisionsskrivelse från Huddinge kommuns revisorer

Granskning av intern kontroll avseende betalningsrutiner. Vattenpalatset i Mönsterås AB

Löpande granskning av den interna kontrollen. vid Kostnämnden. Landstinget Västmanland. Revisionsrapport

Erfarenhet och kunskap från avvikelserapporteringen

Kommunal författningssamling för. Östra Göinge kommun

Svar till kommunrevisionen avseende genomförd IT-revision

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Granskning av rutiner för arvoden och ersättningar till förtroendevalda

Revisionsrapport. Löpande granskning av den interna kontrollen. vid Kostnämnden. Landstinget Västmanland. Inger Hansén Viveca Karlsson

I Central förvaltning Administrativ enhet

Riktlinjer för logghantering, kontroll och åtkomst enligt Patientdatalagen (PDL) och SOSFS 2008:14 (Vodok och NPÖ)

Uppföljning av granskning 2014 Intern kontroll. Smedjebackens kommun

Riskanalys och intern kontrollplan för Lönecentrum 2016

Revisionsrapport Översiktlig granskning ledningssystem för systematisk kvalitetsarbete

Revisionsrapport Borgholms kommun Caroline Liljebjörn 1 juni 2016

Riskanalys och internkontrollplan för Lönecentrum

N v. För kdnnedom till: Kommunfullmäktiges presidium, kommundirektören, respektive sektorschef samt ekonomichefen.

Granskning av lönehanteringen

Landstinget i Kalmar Län

Riskanalys och intern kontrollplan för Lönecentrum

SÖDERTÄLJE KOMMUNALA FÖRFATTNINGSSAMLING

Rekommendationer för GDPR ver

Yttrande över revisionsrapport nr 34/2004, God styrelsesed i nämnder och bolag

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Lönehanteringen Ängelholms kommun December 2010 Anna Eriksson, revisionskonsult Karin Andersson, revisionskonsult Kenix Vuong, riskhanteringskonsult

RIKTLINJE FÖR JOURNALSYSTEM LOGGKONTROLLER I PROCAPITA

Revisionsrapport Intern kontroll inom Landstinget Dalarna

Folktandvårdens intäkter -uppföljning

Granskning år 2012 av patientnämnden

Kalmar kommun Uppföljande granskning Granskning av lönehanteringen

KUNGSBACKA KOMMUN Nämnden för Teknik

Region Skåne Granskning av IT-kontroller

Granskning av intern kontroll avseende betalningsrutiner

Informationssäkerhet, Linköpings kommun

Kungsörs kommun. Uppföljning av intern kontroll Revisionsrapport. KPMG AB Antal sidor: 8

Rutiner för manuell schemaläggning

INTERN STYRNING OCH KONTROLL KOMMUNSTYRELSEN LIDKÖPINGS KOMMUN. - Resultat av en webbenkät genomförd på uppdrag av kommunens revisorer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola Sammanfattning

Styrning av behörigheter

Granskning av intern kontroll

Revisionsrapport. Granskning av efterarbetes- och uppföljningsprocessen efter avslutad upphandling inom Båstad Kommun.

Granskning av generella IT-kontroller för PLSsystemet

Landstingets skydd mot oegentligheter

Intern kontroll i faktura- och lönehantering

Löpande granskning av den interna kontrollen i administrativa rutiner

Transkript:

Revisionsrapport* Uppföljning av rapport Säkerhet och intern kontroll i PA/Lönesystemet samt fördjupade analyser Landstinget Halland 2006-12-13 Rolf Aronsson 1

2 Innehållsförteckning 1 Sammanfattning av synpunkter...3 2 Bakgrund, revisionsfråga och genomförande...5 3 Uppföljning och bedömning av nuläget...5 3.1 Samlad analys och bedömning i tidigare rapport...5 4 Fördjupad analys av händelseloggen i Personec P...6 5 Fördjupad analys av kontroller vid bearbetningar i Personec P...8 Samlad analys och bedömning i revisionsrapport Säkerhet och intern kontroll i PA/Lönesystemet, daterad februari 2005...10 Allmänt...10 Kontrollmiljö, kontrollaktiviteter och riskanalys...10 Efterlevnad och intern kontroll...12

3 1 Sammanfattning av synpunkter Inledningsvis kan vi konstatera att det är få åtgärder som har vidtagits med anledning av tidigare rapport Säkerhet och intern kontroll i PA/lönesystemet, daterad februari 2005. Vi är medvetna om att det kan finnas organisatoriska och/eller andra omständigheter till att så få åtgärder har vidtagits, men vi finner det ändå anmärkningsvärt att inte åtgärder har vidtagits och/eller påbörjats bl.a. när det gäller organisationsöversyn, systemdokumentation, arkiv- och dokumenthanteringsplaner och översyn av kontrollsystem m.m. Vår utvidgade granskning visar också på behovet av att åtgärder vidtas. I vår analys händelseloggen som visar på vilka som har lagt in olika lönepåverkande transaktioner - har vi kommit fram till följande synpunkter: Det är ett fåtal som i dag har åtkomst till händelseloggen. Bl a har inte lönekonsulterna åtkomst till loggen, vilket man anser är en brist eftersom man bedömer att åtkomst skulle underlätta deras kontroller och uppföljningar. I den genomgång som enligt beslut i landstingsstyrelsen skall ske av nuvarande kontrollsystem/-miljö så måste händelseloggen ingå i som en del i uppbyggnad av kontrollaktiviteter. Vid analys av händelseloggen har vi konstaterat att loggen för närvarande endast finns tillgänglig för de senaste två åren. Enligt uppgift så har loggen flyttats till annan databas (oklart vilken) i lönesystemet. Loggning av vem som har lagt in olika lönepåverkande transaktioner och uppläggning/ändringar av användare är mycket viktigt för att historiskt kunna göra analyser och uppföljningar. Dessutom är denna typ av loggar enligt vår uppfattning att betrakta som räkenskapsmaterial (enda stället där man i efterhand kan se vem som har registrerat viss löneuppgift) och skall därför sparas i minst 10 år. Dessutom skall loggarna användas som underlag för systematisk uppföljning och intern kontroll av lönehanteringen i kommunen. Att händelseloggen inte har upplevts som väsentlig att spara är ett tydligt exempel på hur viktigt det är att det finns väl genomtänkta arkiv- och dokumenthanteringsplaner och som även omfattar elektroniska register.

4 I vår fördjupade analys av kontroller vid bearbetningar i Personec P har vi gjort ett antal iakttagelser: Nuvarande kontrollstruktur saknar en lättförstålig systematisk uppbyggnad vilket också bekräftas av lönekonsulterna som själva har svårt att få överblick över kontrollerna i systemet. Man har länge varit medveten om att kontrollstrukturen måste ses över samt tydligt dokumenteras. Lönekonsulterna har själva påbörjat ett arbete med att försöka gruppindela kontrollområden (ex vis: anställning, tillägg/avdrag, frånvaro etc.) samt hur olika fält är kontrollerade eller skall kontrolleras. Arbetet med att dokumentera den maskinella kontrollstrukturen måste prioriteras. När det gäller kontroll av Orimlig bruttolön så är denna satt till 150 000 kr, vilket innebär att kontroll av för hög bruttolön egentligen saknas i nuläget. Vi anser att kontrollen måste byggas utifrån uppdelning i olika kategorier av anställningar. Exempelvis kategori 1 = 30 000 kr, kategori 2 = 50 000 kr etc. Förändring av orimlig bruttolön är också något som bör prioriteras. I systemet finns också möjlighet att sätta ett maxbelopp för utbetald nettolön. Denna är idag 40 000 kr enligt uppgift. Denna kontroll görs i samband med att systemet skapar en utbetalningsfil till banken. Belopp som överstiger 40 000 kr registreras i en särskild logg samtidigt som utbetalningsfilen skapas och sänds över till banken. Det är i dag oklart om och i så fall vem som kontrollerar loggen. Enligt vår uppfattning så borde loggen för hög nettolön kontrolleras innan utbetalningen görs. Vi har inte analyserat loggarna eller rutinen närmare, men anser att även denna rutin bör ses över och dokumenteras samt integreras med arbetet att se över kontrollstrukturen. Sammanfattningsvis kan vi konstatera att bristerna i uppbyggnad och dokumentation av kontrollstrukturen kan hänföras till våra generella synpunkter i tidigare rapport där vi framför att ansvar- och arbetsuppgifter bör ses över och tydliggöras och att enhetliga rutinbeskrivningar bör tas fram och dokumenteras. Viktigt är också att genom information och utbildning öka kunskapen om systemet för personal som hanterar lönesystemet på olika nivåer.

5 2 Bakgrund, revisionsfråga och genomförande I rapport Säkerhet och intern kontroll i PA/Lönesystemet framförs synpunkter bl.a. inom följande områden: Brister vad gäller ansvar- och arbetsuppgifter, rutinbeskrivningar, dokumenterad kontrollmiljö etc Behov av systemdokumentation, arkivplaner och dokumenthanteringsplaner. Brister i olika kontrollaktiviteter, behörighetssystemet, loggning mm I vår uppföljning har vi också utgått Landstingsledningens svar på rapporten 2005-05-11. Fördjupade analyser av kontrollmiljö och kontrollaktiviteter 1) Fördjupad analys av händelseloggen i Personec P (tidigare Respons). Händelseloggen visar (beroende på vilka händelser som har aktiverats) vilka som har lagt in olika lönepåverkande transaktioner. Händelseloggen är viktig dels ur synpunkten spårbarhet (betraktas också som räkenskapsmaterial) och dels som stöd i olika kontrollaktiviteter. 2) Fördjupad analys av kontroller vid bearbetningar i Personec P. I bearbetningen finns vissa programmerade kontroller (ex.vis hög bruttolön). Kontrollerna innebär antingen att lönen stoppas eller att markering sker på särskilda kontrollistor vid bearbetningen (s.k. stjärnmarkeringar), vilka måste följas upp bl.a. av lönekonsulterna. 3) Analys genom intervju med bl.a. IT-chefen hur förändring av ITorganisationen påverkar kontrollmiljö och kontrollaktiviteter kring loggning och bearbetningskontroller m.m. 3 Uppföljning och bedömning av nuläget 3.1 Samlad analys och bedömning i tidigare rapport Inledningsvis kan vi konstatera att det är få åtgärder som har vidtagits med anledning av tidigare rapport Säkerhet och intern kontroll i PA/lönesystemet, daterad februari 2005. Landstingstyrelsen har i sammandrag lämnat följande yttrande 2005-05-30 till revisionen: Respons organisation i sin helhet kommer att ses över i syfte att skapa den för systemets ändamål mest effektiva organisationen. Det arbete med att ta fram systemdokumentation som revisorerna efterlyser skall snarast startas med målsättning att slutföras under 2006.

6 Det påbörjade arbetet med att ta fram arkivplaner och dokumenthanteringsplaner för olika typer av löneinformation skall slutföras. Bedömningar av kontrollsystem/skyddsnivå ses över i enlighet med påpekandena i revisionsrapporten. De säkerhetsåtgärder som är möjliga att åtgärda skall åtgärdas omgående. Samverkan skall ske med det arbete som pågår för att förbättra den interna kontrollen. I bilaga 1 finns den samlade analysen och bedömningen som framförts i revisionsrapporten. Vi har genom intervjuer och studier av dokument analyserat vilka åtgärder som hittills har vidtagits: Arbetet med att ta fram arkiv- och dokumenthanteringsplaner pågår enligt uppgift. Säkerhetsnivån i behörighetssystemet är ändrat till Minsta antalet tecken i lösenordet är ändrat från 3 till 6 tecken. Minst 2 numeriska tecken i lösenordet krävs numera. Möjligheten att använda användarnamn som lösenord är numera spärrat. Personnummerkontrollen är numera aktiverad, vilket innebär att man inte registrera uppgifter på eget personnummer. Internkontrollreglemente för landstinget Halland har antagits 2006-10-23. För övrigt har vi inte kunnat återfinna att några åtgärder har vidtagits, vilket bekräftas av våra intervjuer med ledningen och övrig personal inom personal- och lönefunktioner. Sammanvägd bedömning Vi är medvetna om att det kan finnas organisatoriska och/eller andra omständigheter till att så få åtgärder har vidtagits, men vi finner det ändå anmärkningsvärt att inte åtgärder har vidtagits och/eller påbörjats bl.a. när det gäller organisationsöversyn, systemdokumentation, arkiv- och dokumenthanteringsplaner och översyn av kontrollsystem m.m. Vår utvidgade granskning visar också på behovet av att åtgärder vidtas. 4 Fördjupad analys av händelseloggen i Personec P Händelseloggen visar vilka som har lagt in olika lönepåverkande transaktioner. Händelseloggen är viktig dels ur synpunkten och dels som stöd i olika kontrollaktiviteter.

7 Av händelseloggen framgår vilka som har registrerat olika händelser i lönesystemet, d v s vilka tabeller m m som har påverkats. Även icke lönepåverkande händelser registreras exempelvis upplägg av nya användare, tilldelning av nytt lösenord m m. Vi har tagit fram extrakt ur händelseloggen för perioden 2006-10-25 2006-10-31 och med hjälp av registeranalysprogram analyserat loggen ur olika aspekter, exempelvis registreringar sena kvällar och under natten, vilka registreringar som viss användare har gjort m m. Händelseloggen och vår analys har diskuterats med lönechefen och några lönekonsulter. I vår analys har vi kommit fram till följande synpunkter: Det är ett fåtal som i dag har åtkomst till händelseloggen. Bl a har inte lönekonsulterna åtkomst till loggen, vilket man anser är en brist eftersom man bedömer att åtkomst skulle underlätta deras kontroller och uppföljningar. I den genomgång som enligt beslut i landstingsstyrelsen skall ske av nuvarande kontrollsystem/-miljö så måste händelseloggen ingå i som en del i uppbyggnad av kontrollaktiviteter. Vid analys av händelseloggen har vi konstaterat att loggen för närvarande endast finns tillgänglig för de senaste två åren. Enligt uppgift så har loggen flyttats till annan databas (oklart vilken) i lönesystemet. Loggning av vem som har lagt in olika lönepåverkande transaktioner och uppläggning/ändringar av användare är mycket viktigt för att historiskt kunna göra analyser och uppföljningar. Dessutom är denna typ av loggar enligt vår uppfattning att betrakta som räkenskapsmaterial (enda stället där man i efterhand kan se vem som har registrerat viss löneuppgift) och skall därför sparas i minst 10 år. Dessutom skall loggarna användas som underlag för systematisk uppföljning och intern kontroll av lönehanteringen i kommunen. Att händelseloggen inte har upplevts som väsentlig att spara är ett tydligt exempel på hur viktigt det är att det finns väl genomtänkta arkiv- och dokumenthanteringsplaner och som även omfattar elektroniska register.

8 5 Fördjupad analys av kontroller vid bearbetningar i Personec P I bearbetningen finns vissa programmerade kontroller (ex vis hög bruttolön). Kontrollerna innebär antingen att lönen stoppas eller att markering sker på särskilda kontrollistor vid bearbetningen (s.k. stjärnmarkeringar), vilka måste följas upp bl.a. av lönekonsulterna. I vår analys har vi identifierat ett antal tabeller som styr maskinella kontroller och vilka textmarkeringar som kommer fram vid inregistreringar eller bearbetningar av löneuppgifterna. T836 Tolkningstyp av kontroller T808 Regelmallar T819 Ledtexter (textmarkeringar till egna upplagda kontroller) T001 Feltexter (Texter på Personec P:s kontroller) Vi har i intervjuer med några lönekonsulter översiktligt diskuterat och gemensamt analyserat ovanstående tabeller som i huvudsak styr den maskinella kontrollstrukturen. Vi gör ingen närmare beskrivning eftersom kontrollstrukturen är mycket komplex och otydlig samt saknar en lättförstålig systematisk uppbyggnad, vilket också bekräftas av de lönekonsulter vi har haft kontakt med. Detta kommenteras närmare nedan. Manuella bevakningar (enligt särskild lista) görs också av lönekonsulterna varje månad och vissa kontroller görs också årligen. Typen av bevakningar är uppbyggda utifrån samlad erfarenhet. Kommentar I vår översiktliga analys har vi gjort följande iakttagelser: Nuvarande kontrollstruktur saknar en lättförstålig systematisk uppbyggnad vilket också bekräftas av lönekonsulterna som själva har svårt att få överblick över kontrollerna i systemet. Man har länge varit medveten om att kontrollstrukturen måste ses över samt tydligt dokumenteras. Lönekonsulterna har själva påbörjat ett arbete med att försöka gruppindela kontrollområden (ex vis: anställning, tillägg/avdrag, frånvaro etc.) samt hur olika fält är kontrollerade eller skall kontrolleras. Som exempel på kontroller kan noteras:

9 Fält Signal/felmeddelande Fel Varning Anstnr Uppgift måste rapporteras. X Fr.o.m. Datumkontroll X Ovanstående exempel avser endast att illustrera hur man kan dokumentera kontrollstrukturen. Arbetet med att dokumentera den maskinella kontrollstrukturen måste prioriteras. När det gäller kontroll av Orimlig bruttolön så är denna satt till 150 000 kr, vilket innebär att kontroll av för hög bruttolön egentligen saknas i nuläget. Vi anser att kontrollen måste byggas utifrån uppdelning i olika kategorier av anställningar. Exempelvis kategori 1 = 30 000 kr, kategori 2 = 50 000 kr etc. Förändring av orimlig bruttolön är också något som bör prioriteras. I systemet finns också möjlighet att sätta ett maxbelopp för utbetald nettolön. Denna är idag 40 000 kr enligt uppgift. Denna kontroll görs i samband med att systemet skapar en utbetalningsfil till banken. Belopp som överstiger 40 000 kr registreras i en särskild loggfil samtidigt som utbetalningsfilen skapas och sänds över till banken. Det är i dag oklart om och i så fall vem som kontrollerar loggfilen. Enligt vår uppfattning så borde loggfilen för hög nettolön kontrolleras innan utbetalningen görs. Vi har inte analyserat loggfilerna eller rutinen närmare, men anser att även denna rutin bör ses över och dokumenteras samt integreras med arbetet att se över kontrollstrukturen. Sammanfattningsvis kan vi konstatera att bristerna i uppbyggnad och dokumentation av kontrollstrukturen kan hänföras till våra generella synpunkter i tidigare rapport där vi framför att ansvar- och arbetsuppgifter bör ses över och tydliggöras och att enhetliga rutinbeskrivningar bör tas fram och dokumenteras. Viktigt är också att genom information och utbildning öka kunskapen om systemet för personal som hanterar lönesystemet på olika nivåer.

10 Bilaga 1 Samlad analys och bedömning i revisionsrapport Säkerhet och intern kontroll i PA/Lönesystemet, daterad februari 2005. Allmänt I vår granskning har vi inte kunnat finna någon samlad dokumenterad bild över hur ansvaret fördelas i olika processer och flöden vid hantering av löner. Det finns fyra parallella organisationer med arbetsuppgifter och ansvarsområden i lönehanteringen: Personaladministrationen, lönekonsulter, linjeorganisationen och drift och teknik samt systemansvariga. Ansvarsfördelningen inom och mellan organisationerna är inte tydligt dokumenterad, utan har vuxit fram i dialog och överenskommelser. Ansvar- och arbetsuppgifter bör ses över och tydliggöras. Enhetliga rutinbeskrivningar bör tas fram och dokumenteras. Kraven på kontrollmiljö och kontrollaktiviteter bör läggas fast. I genomgång och analyser rekommenderar vi att samverkan görs med projektet kring Ledningssystem för informationssäkerhet som pågår inom landstinget. Det finns idag i projektet exempel på kravnivåer kring systemdokumentation, systemsäkerhet m.m. Hur arkivering av löneunderlag och lönelistor m.m. skall ske är inte dokumenterat för närvarande. All löneinformation ligger kvar i systemet i elektronisk form. Någon plan för arkivering finns således inte. Det finns inga fastställda rutiner för hur arkivering av olika pappersbundna dokument skall ske, vilket med all sannolikhet innebär att detta sker på olika sätt ute i verksamheten. Arbetet med att ta fram systemdokumentation inklusive arkivplaner och dokumenthanterings-planer för olika typer av löneinformation måste enligt vår uppfattning vara ett högt prioriterat område. Kommentar 2006-11-28: Arbetet med att ta fram arkiv- och dokumenthanteringsplaner pågår enligt uppgift. Kontrollmiljö, kontrollaktiviteter och riskanalys I vår granskning har vi noterat följande brister och/eller riskområden:

11 Verksamhetschef, avdelningschef, lönekonsult och personaladministrationen har behörighet att registrera, ändra etc. i tider. Verksamhets- och avdelningschefen endast för den egna verksamheten. Det är således flera personer som är behöriga att ändra och registrera uppgifter fram till sista lönebearbetningen, vilket ökar risken för att tidigare registrering tas bort och ersätts med annan tid. Loggning av inlagd tid görs och bör användas vid kontroller se kommentarer under avsnitt 3.11.3. Utvärderingslistan och lönelistor är också viktiga instrument för kontroller. En annan faktor som ökar risken är att användare kan registrera avvikelser på eget personnummer. Detta förhållande bör omgående ändras genom aktivering av konfiguration av RSP.DP.Konfiguration. Om denna är aktiverad så sker en kontroll att registrering på eget personnummer inte kan ske annat än på t ex namn och adressuppgifter. De anställda skall ges möjlighet att kontrollera att registrerade tider är korrekta via s.k. utvärderingslistor. Denna kontrollmöjlighet är mycket viktig, eftersom det finns ett flertal behöriga användare som kan tillföra respektive ändra uppgifter som påverkar den enskildes lön. Vi har noterat att utvärderingslistorna används på olika sätt ute i verksamheterna. Gemensamma rutiner bör tas fram där utvärderingslistorna får en mer tydlig roll i kontrollmiljön. Enligt vår uppfattning bör utvärderingslistorna signeras/godkännas av den anställde och återlämnas till ansvarig chef. En grundläggande säkerhetsnivå är hur behörighetssystemet i Respons är konfigurerat. Vi har i vår analys noterat ett antal svagheter i nuvarande konfiguration, se punkt 3.11.1 i rapporten. Nuvarande konfiguration av behörighetssystemet måste enligt vår uppfattning ses över för att höja säkerhetsnivån för åtkomst av olika funktioner i Respons. Vi är medvetna om att förändringar i systemet kräver väl genomtänkta åtgärder och tydlig information till användarna för att undvika onödiga störningar i användarnas åtkomst av systemet. Kommentar 2006-28-11: Säkerhetsnivån i behörighetssystemet är ändrat till Minsta antalet tecken i lösenordet är ändrat från 3 till 6 tecken. Minst 2 numeriska tecken i lösenordet krävs numera. Möjligheten att använda användarnamn som lösenord är numera spärrat. Personnummerkontrollen är numera aktiverad, vilket innebär att man inte registrera uppgifter på eget personnummer.

12 Loggning och uppföljning (se punkt 3.11.3 i rapporten) av olika händelser har stor betydelse för kontroll av säkerheten i olika avseende och är dessutom en grundförutsättning för att skapa god intern kontroll genom planenliga uppföljningar och kontroller. Det finns därför anledning att ta fram riktlinjer/föreskrifter för när, hur, var loggning och uppföljning skall ske i Respons. Vad vi kan finna i våra intervjuer så utnyttjas loggarna i olika kontrollaktiviteter i liten utsträckning för närvarande. En viktig aspekt handlar om var i kontrollmiljön som åtkomst till loggar skall finnas, som stöd i de kontrollaktiviteter som görs eller borde finnas i systemet för utbetalning av löner i landstinget. Vid upprättande av kontrollrutiner måste också loggarna och vilka som skall ha åtkomst definieras. Efterlevnad och intern kontroll I rapporten finns flera exempel där vi lyfter fram behovet av bättre dokumentation av regler och rutiner, vilket är förutsättning för strukturerad uppföljning och kontroll. Uppföljning av säkerhet utifrån egna styrdokument och rutiner samt krav i lagstiftningen är en del av den interna kontroll som ligger inom styrelse/nämnders ansvarsområden. Vi har noterat att det pågår diskussion inom landstinget kring framtagande av reglemente och riktlinjer kring intern kontroll. Kommentar 2006-11-28: Internkontrollreglemente för landstinget Halland har antagits av landstingsfullmäktige 2006-11-14.

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss