Revisionsrapport* Uppföljning av rapport Säkerhet och intern kontroll i PA/Lönesystemet samt fördjupade analyser Landstinget Halland 2006-12-13 Rolf Aronsson 1
2 Innehållsförteckning 1 Sammanfattning av synpunkter...3 2 Bakgrund, revisionsfråga och genomförande...5 3 Uppföljning och bedömning av nuläget...5 3.1 Samlad analys och bedömning i tidigare rapport...5 4 Fördjupad analys av händelseloggen i Personec P...6 5 Fördjupad analys av kontroller vid bearbetningar i Personec P...8 Samlad analys och bedömning i revisionsrapport Säkerhet och intern kontroll i PA/Lönesystemet, daterad februari 2005...10 Allmänt...10 Kontrollmiljö, kontrollaktiviteter och riskanalys...10 Efterlevnad och intern kontroll...12
3 1 Sammanfattning av synpunkter Inledningsvis kan vi konstatera att det är få åtgärder som har vidtagits med anledning av tidigare rapport Säkerhet och intern kontroll i PA/lönesystemet, daterad februari 2005. Vi är medvetna om att det kan finnas organisatoriska och/eller andra omständigheter till att så få åtgärder har vidtagits, men vi finner det ändå anmärkningsvärt att inte åtgärder har vidtagits och/eller påbörjats bl.a. när det gäller organisationsöversyn, systemdokumentation, arkiv- och dokumenthanteringsplaner och översyn av kontrollsystem m.m. Vår utvidgade granskning visar också på behovet av att åtgärder vidtas. I vår analys händelseloggen som visar på vilka som har lagt in olika lönepåverkande transaktioner - har vi kommit fram till följande synpunkter: Det är ett fåtal som i dag har åtkomst till händelseloggen. Bl a har inte lönekonsulterna åtkomst till loggen, vilket man anser är en brist eftersom man bedömer att åtkomst skulle underlätta deras kontroller och uppföljningar. I den genomgång som enligt beslut i landstingsstyrelsen skall ske av nuvarande kontrollsystem/-miljö så måste händelseloggen ingå i som en del i uppbyggnad av kontrollaktiviteter. Vid analys av händelseloggen har vi konstaterat att loggen för närvarande endast finns tillgänglig för de senaste två åren. Enligt uppgift så har loggen flyttats till annan databas (oklart vilken) i lönesystemet. Loggning av vem som har lagt in olika lönepåverkande transaktioner och uppläggning/ändringar av användare är mycket viktigt för att historiskt kunna göra analyser och uppföljningar. Dessutom är denna typ av loggar enligt vår uppfattning att betrakta som räkenskapsmaterial (enda stället där man i efterhand kan se vem som har registrerat viss löneuppgift) och skall därför sparas i minst 10 år. Dessutom skall loggarna användas som underlag för systematisk uppföljning och intern kontroll av lönehanteringen i kommunen. Att händelseloggen inte har upplevts som väsentlig att spara är ett tydligt exempel på hur viktigt det är att det finns väl genomtänkta arkiv- och dokumenthanteringsplaner och som även omfattar elektroniska register.
4 I vår fördjupade analys av kontroller vid bearbetningar i Personec P har vi gjort ett antal iakttagelser: Nuvarande kontrollstruktur saknar en lättförstålig systematisk uppbyggnad vilket också bekräftas av lönekonsulterna som själva har svårt att få överblick över kontrollerna i systemet. Man har länge varit medveten om att kontrollstrukturen måste ses över samt tydligt dokumenteras. Lönekonsulterna har själva påbörjat ett arbete med att försöka gruppindela kontrollområden (ex vis: anställning, tillägg/avdrag, frånvaro etc.) samt hur olika fält är kontrollerade eller skall kontrolleras. Arbetet med att dokumentera den maskinella kontrollstrukturen måste prioriteras. När det gäller kontroll av Orimlig bruttolön så är denna satt till 150 000 kr, vilket innebär att kontroll av för hög bruttolön egentligen saknas i nuläget. Vi anser att kontrollen måste byggas utifrån uppdelning i olika kategorier av anställningar. Exempelvis kategori 1 = 30 000 kr, kategori 2 = 50 000 kr etc. Förändring av orimlig bruttolön är också något som bör prioriteras. I systemet finns också möjlighet att sätta ett maxbelopp för utbetald nettolön. Denna är idag 40 000 kr enligt uppgift. Denna kontroll görs i samband med att systemet skapar en utbetalningsfil till banken. Belopp som överstiger 40 000 kr registreras i en särskild logg samtidigt som utbetalningsfilen skapas och sänds över till banken. Det är i dag oklart om och i så fall vem som kontrollerar loggen. Enligt vår uppfattning så borde loggen för hög nettolön kontrolleras innan utbetalningen görs. Vi har inte analyserat loggarna eller rutinen närmare, men anser att även denna rutin bör ses över och dokumenteras samt integreras med arbetet att se över kontrollstrukturen. Sammanfattningsvis kan vi konstatera att bristerna i uppbyggnad och dokumentation av kontrollstrukturen kan hänföras till våra generella synpunkter i tidigare rapport där vi framför att ansvar- och arbetsuppgifter bör ses över och tydliggöras och att enhetliga rutinbeskrivningar bör tas fram och dokumenteras. Viktigt är också att genom information och utbildning öka kunskapen om systemet för personal som hanterar lönesystemet på olika nivåer.
5 2 Bakgrund, revisionsfråga och genomförande I rapport Säkerhet och intern kontroll i PA/Lönesystemet framförs synpunkter bl.a. inom följande områden: Brister vad gäller ansvar- och arbetsuppgifter, rutinbeskrivningar, dokumenterad kontrollmiljö etc Behov av systemdokumentation, arkivplaner och dokumenthanteringsplaner. Brister i olika kontrollaktiviteter, behörighetssystemet, loggning mm I vår uppföljning har vi också utgått Landstingsledningens svar på rapporten 2005-05-11. Fördjupade analyser av kontrollmiljö och kontrollaktiviteter 1) Fördjupad analys av händelseloggen i Personec P (tidigare Respons). Händelseloggen visar (beroende på vilka händelser som har aktiverats) vilka som har lagt in olika lönepåverkande transaktioner. Händelseloggen är viktig dels ur synpunkten spårbarhet (betraktas också som räkenskapsmaterial) och dels som stöd i olika kontrollaktiviteter. 2) Fördjupad analys av kontroller vid bearbetningar i Personec P. I bearbetningen finns vissa programmerade kontroller (ex.vis hög bruttolön). Kontrollerna innebär antingen att lönen stoppas eller att markering sker på särskilda kontrollistor vid bearbetningen (s.k. stjärnmarkeringar), vilka måste följas upp bl.a. av lönekonsulterna. 3) Analys genom intervju med bl.a. IT-chefen hur förändring av ITorganisationen påverkar kontrollmiljö och kontrollaktiviteter kring loggning och bearbetningskontroller m.m. 3 Uppföljning och bedömning av nuläget 3.1 Samlad analys och bedömning i tidigare rapport Inledningsvis kan vi konstatera att det är få åtgärder som har vidtagits med anledning av tidigare rapport Säkerhet och intern kontroll i PA/lönesystemet, daterad februari 2005. Landstingstyrelsen har i sammandrag lämnat följande yttrande 2005-05-30 till revisionen: Respons organisation i sin helhet kommer att ses över i syfte att skapa den för systemets ändamål mest effektiva organisationen. Det arbete med att ta fram systemdokumentation som revisorerna efterlyser skall snarast startas med målsättning att slutföras under 2006.
6 Det påbörjade arbetet med att ta fram arkivplaner och dokumenthanteringsplaner för olika typer av löneinformation skall slutföras. Bedömningar av kontrollsystem/skyddsnivå ses över i enlighet med påpekandena i revisionsrapporten. De säkerhetsåtgärder som är möjliga att åtgärda skall åtgärdas omgående. Samverkan skall ske med det arbete som pågår för att förbättra den interna kontrollen. I bilaga 1 finns den samlade analysen och bedömningen som framförts i revisionsrapporten. Vi har genom intervjuer och studier av dokument analyserat vilka åtgärder som hittills har vidtagits: Arbetet med att ta fram arkiv- och dokumenthanteringsplaner pågår enligt uppgift. Säkerhetsnivån i behörighetssystemet är ändrat till Minsta antalet tecken i lösenordet är ändrat från 3 till 6 tecken. Minst 2 numeriska tecken i lösenordet krävs numera. Möjligheten att använda användarnamn som lösenord är numera spärrat. Personnummerkontrollen är numera aktiverad, vilket innebär att man inte registrera uppgifter på eget personnummer. Internkontrollreglemente för landstinget Halland har antagits 2006-10-23. För övrigt har vi inte kunnat återfinna att några åtgärder har vidtagits, vilket bekräftas av våra intervjuer med ledningen och övrig personal inom personal- och lönefunktioner. Sammanvägd bedömning Vi är medvetna om att det kan finnas organisatoriska och/eller andra omständigheter till att så få åtgärder har vidtagits, men vi finner det ändå anmärkningsvärt att inte åtgärder har vidtagits och/eller påbörjats bl.a. när det gäller organisationsöversyn, systemdokumentation, arkiv- och dokumenthanteringsplaner och översyn av kontrollsystem m.m. Vår utvidgade granskning visar också på behovet av att åtgärder vidtas. 4 Fördjupad analys av händelseloggen i Personec P Händelseloggen visar vilka som har lagt in olika lönepåverkande transaktioner. Händelseloggen är viktig dels ur synpunkten och dels som stöd i olika kontrollaktiviteter.
7 Av händelseloggen framgår vilka som har registrerat olika händelser i lönesystemet, d v s vilka tabeller m m som har påverkats. Även icke lönepåverkande händelser registreras exempelvis upplägg av nya användare, tilldelning av nytt lösenord m m. Vi har tagit fram extrakt ur händelseloggen för perioden 2006-10-25 2006-10-31 och med hjälp av registeranalysprogram analyserat loggen ur olika aspekter, exempelvis registreringar sena kvällar och under natten, vilka registreringar som viss användare har gjort m m. Händelseloggen och vår analys har diskuterats med lönechefen och några lönekonsulter. I vår analys har vi kommit fram till följande synpunkter: Det är ett fåtal som i dag har åtkomst till händelseloggen. Bl a har inte lönekonsulterna åtkomst till loggen, vilket man anser är en brist eftersom man bedömer att åtkomst skulle underlätta deras kontroller och uppföljningar. I den genomgång som enligt beslut i landstingsstyrelsen skall ske av nuvarande kontrollsystem/-miljö så måste händelseloggen ingå i som en del i uppbyggnad av kontrollaktiviteter. Vid analys av händelseloggen har vi konstaterat att loggen för närvarande endast finns tillgänglig för de senaste två åren. Enligt uppgift så har loggen flyttats till annan databas (oklart vilken) i lönesystemet. Loggning av vem som har lagt in olika lönepåverkande transaktioner och uppläggning/ändringar av användare är mycket viktigt för att historiskt kunna göra analyser och uppföljningar. Dessutom är denna typ av loggar enligt vår uppfattning att betrakta som räkenskapsmaterial (enda stället där man i efterhand kan se vem som har registrerat viss löneuppgift) och skall därför sparas i minst 10 år. Dessutom skall loggarna användas som underlag för systematisk uppföljning och intern kontroll av lönehanteringen i kommunen. Att händelseloggen inte har upplevts som väsentlig att spara är ett tydligt exempel på hur viktigt det är att det finns väl genomtänkta arkiv- och dokumenthanteringsplaner och som även omfattar elektroniska register.
8 5 Fördjupad analys av kontroller vid bearbetningar i Personec P I bearbetningen finns vissa programmerade kontroller (ex vis hög bruttolön). Kontrollerna innebär antingen att lönen stoppas eller att markering sker på särskilda kontrollistor vid bearbetningen (s.k. stjärnmarkeringar), vilka måste följas upp bl.a. av lönekonsulterna. I vår analys har vi identifierat ett antal tabeller som styr maskinella kontroller och vilka textmarkeringar som kommer fram vid inregistreringar eller bearbetningar av löneuppgifterna. T836 Tolkningstyp av kontroller T808 Regelmallar T819 Ledtexter (textmarkeringar till egna upplagda kontroller) T001 Feltexter (Texter på Personec P:s kontroller) Vi har i intervjuer med några lönekonsulter översiktligt diskuterat och gemensamt analyserat ovanstående tabeller som i huvudsak styr den maskinella kontrollstrukturen. Vi gör ingen närmare beskrivning eftersom kontrollstrukturen är mycket komplex och otydlig samt saknar en lättförstålig systematisk uppbyggnad, vilket också bekräftas av de lönekonsulter vi har haft kontakt med. Detta kommenteras närmare nedan. Manuella bevakningar (enligt särskild lista) görs också av lönekonsulterna varje månad och vissa kontroller görs också årligen. Typen av bevakningar är uppbyggda utifrån samlad erfarenhet. Kommentar I vår översiktliga analys har vi gjort följande iakttagelser: Nuvarande kontrollstruktur saknar en lättförstålig systematisk uppbyggnad vilket också bekräftas av lönekonsulterna som själva har svårt att få överblick över kontrollerna i systemet. Man har länge varit medveten om att kontrollstrukturen måste ses över samt tydligt dokumenteras. Lönekonsulterna har själva påbörjat ett arbete med att försöka gruppindela kontrollområden (ex vis: anställning, tillägg/avdrag, frånvaro etc.) samt hur olika fält är kontrollerade eller skall kontrolleras. Som exempel på kontroller kan noteras:
9 Fält Signal/felmeddelande Fel Varning Anstnr Uppgift måste rapporteras. X Fr.o.m. Datumkontroll X Ovanstående exempel avser endast att illustrera hur man kan dokumentera kontrollstrukturen. Arbetet med att dokumentera den maskinella kontrollstrukturen måste prioriteras. När det gäller kontroll av Orimlig bruttolön så är denna satt till 150 000 kr, vilket innebär att kontroll av för hög bruttolön egentligen saknas i nuläget. Vi anser att kontrollen måste byggas utifrån uppdelning i olika kategorier av anställningar. Exempelvis kategori 1 = 30 000 kr, kategori 2 = 50 000 kr etc. Förändring av orimlig bruttolön är också något som bör prioriteras. I systemet finns också möjlighet att sätta ett maxbelopp för utbetald nettolön. Denna är idag 40 000 kr enligt uppgift. Denna kontroll görs i samband med att systemet skapar en utbetalningsfil till banken. Belopp som överstiger 40 000 kr registreras i en särskild loggfil samtidigt som utbetalningsfilen skapas och sänds över till banken. Det är i dag oklart om och i så fall vem som kontrollerar loggfilen. Enligt vår uppfattning så borde loggfilen för hög nettolön kontrolleras innan utbetalningen görs. Vi har inte analyserat loggfilerna eller rutinen närmare, men anser att även denna rutin bör ses över och dokumenteras samt integreras med arbetet att se över kontrollstrukturen. Sammanfattningsvis kan vi konstatera att bristerna i uppbyggnad och dokumentation av kontrollstrukturen kan hänföras till våra generella synpunkter i tidigare rapport där vi framför att ansvar- och arbetsuppgifter bör ses över och tydliggöras och att enhetliga rutinbeskrivningar bör tas fram och dokumenteras. Viktigt är också att genom information och utbildning öka kunskapen om systemet för personal som hanterar lönesystemet på olika nivåer.
10 Bilaga 1 Samlad analys och bedömning i revisionsrapport Säkerhet och intern kontroll i PA/Lönesystemet, daterad februari 2005. Allmänt I vår granskning har vi inte kunnat finna någon samlad dokumenterad bild över hur ansvaret fördelas i olika processer och flöden vid hantering av löner. Det finns fyra parallella organisationer med arbetsuppgifter och ansvarsområden i lönehanteringen: Personaladministrationen, lönekonsulter, linjeorganisationen och drift och teknik samt systemansvariga. Ansvarsfördelningen inom och mellan organisationerna är inte tydligt dokumenterad, utan har vuxit fram i dialog och överenskommelser. Ansvar- och arbetsuppgifter bör ses över och tydliggöras. Enhetliga rutinbeskrivningar bör tas fram och dokumenteras. Kraven på kontrollmiljö och kontrollaktiviteter bör läggas fast. I genomgång och analyser rekommenderar vi att samverkan görs med projektet kring Ledningssystem för informationssäkerhet som pågår inom landstinget. Det finns idag i projektet exempel på kravnivåer kring systemdokumentation, systemsäkerhet m.m. Hur arkivering av löneunderlag och lönelistor m.m. skall ske är inte dokumenterat för närvarande. All löneinformation ligger kvar i systemet i elektronisk form. Någon plan för arkivering finns således inte. Det finns inga fastställda rutiner för hur arkivering av olika pappersbundna dokument skall ske, vilket med all sannolikhet innebär att detta sker på olika sätt ute i verksamheten. Arbetet med att ta fram systemdokumentation inklusive arkivplaner och dokumenthanterings-planer för olika typer av löneinformation måste enligt vår uppfattning vara ett högt prioriterat område. Kommentar 2006-11-28: Arbetet med att ta fram arkiv- och dokumenthanteringsplaner pågår enligt uppgift. Kontrollmiljö, kontrollaktiviteter och riskanalys I vår granskning har vi noterat följande brister och/eller riskområden:
11 Verksamhetschef, avdelningschef, lönekonsult och personaladministrationen har behörighet att registrera, ändra etc. i tider. Verksamhets- och avdelningschefen endast för den egna verksamheten. Det är således flera personer som är behöriga att ändra och registrera uppgifter fram till sista lönebearbetningen, vilket ökar risken för att tidigare registrering tas bort och ersätts med annan tid. Loggning av inlagd tid görs och bör användas vid kontroller se kommentarer under avsnitt 3.11.3. Utvärderingslistan och lönelistor är också viktiga instrument för kontroller. En annan faktor som ökar risken är att användare kan registrera avvikelser på eget personnummer. Detta förhållande bör omgående ändras genom aktivering av konfiguration av RSP.DP.Konfiguration. Om denna är aktiverad så sker en kontroll att registrering på eget personnummer inte kan ske annat än på t ex namn och adressuppgifter. De anställda skall ges möjlighet att kontrollera att registrerade tider är korrekta via s.k. utvärderingslistor. Denna kontrollmöjlighet är mycket viktig, eftersom det finns ett flertal behöriga användare som kan tillföra respektive ändra uppgifter som påverkar den enskildes lön. Vi har noterat att utvärderingslistorna används på olika sätt ute i verksamheterna. Gemensamma rutiner bör tas fram där utvärderingslistorna får en mer tydlig roll i kontrollmiljön. Enligt vår uppfattning bör utvärderingslistorna signeras/godkännas av den anställde och återlämnas till ansvarig chef. En grundläggande säkerhetsnivå är hur behörighetssystemet i Respons är konfigurerat. Vi har i vår analys noterat ett antal svagheter i nuvarande konfiguration, se punkt 3.11.1 i rapporten. Nuvarande konfiguration av behörighetssystemet måste enligt vår uppfattning ses över för att höja säkerhetsnivån för åtkomst av olika funktioner i Respons. Vi är medvetna om att förändringar i systemet kräver väl genomtänkta åtgärder och tydlig information till användarna för att undvika onödiga störningar i användarnas åtkomst av systemet. Kommentar 2006-28-11: Säkerhetsnivån i behörighetssystemet är ändrat till Minsta antalet tecken i lösenordet är ändrat från 3 till 6 tecken. Minst 2 numeriska tecken i lösenordet krävs numera. Möjligheten att använda användarnamn som lösenord är numera spärrat. Personnummerkontrollen är numera aktiverad, vilket innebär att man inte registrera uppgifter på eget personnummer.
12 Loggning och uppföljning (se punkt 3.11.3 i rapporten) av olika händelser har stor betydelse för kontroll av säkerheten i olika avseende och är dessutom en grundförutsättning för att skapa god intern kontroll genom planenliga uppföljningar och kontroller. Det finns därför anledning att ta fram riktlinjer/föreskrifter för när, hur, var loggning och uppföljning skall ske i Respons. Vad vi kan finna i våra intervjuer så utnyttjas loggarna i olika kontrollaktiviteter i liten utsträckning för närvarande. En viktig aspekt handlar om var i kontrollmiljön som åtkomst till loggar skall finnas, som stöd i de kontrollaktiviteter som görs eller borde finnas i systemet för utbetalning av löner i landstinget. Vid upprättande av kontrollrutiner måste också loggarna och vilka som skall ha åtkomst definieras. Efterlevnad och intern kontroll I rapporten finns flera exempel där vi lyfter fram behovet av bättre dokumentation av regler och rutiner, vilket är förutsättning för strukturerad uppföljning och kontroll. Uppföljning av säkerhet utifrån egna styrdokument och rutiner samt krav i lagstiftningen är en del av den interna kontroll som ligger inom styrelse/nämnders ansvarsområden. Vi har noterat att det pågår diskussion inom landstinget kring framtagande av reglemente och riktlinjer kring intern kontroll. Kommentar 2006-11-28: Internkontrollreglemente för landstinget Halland har antagits av landstingsfullmäktige 2006-11-14.