Behörighet i administrativa IT-system

Relevanta dokument
Slutattestinstruktion

Slutattestinstruktion

Ändring i delegationsordning / attestordning

Utfärdad/ändrad Beslut, datum, paragraf Diarienr Gäller fr o m Avd Sida. ATTEST- OCH UTANORDNINGSREGLEMENTE

Reglemente för attest

Reseräkningar för tjänsteresor inkl. Utlägg

Proceedo Manual V1.1 - Granska och attestera fakturor

Intern kontroll i faktura- och lönehantering

ÅRSRAPPORT FRÅN INTERNREVISIONEN VERKSAMHETSÅRET 2004

Riktlinjer för delegering av attesträtt

Intern kontroll i faktura- och lönehantering

Attestordning - föreskrifter om behörighet att förfoga över myndighetens medel

Attestreglemente för Uppsala kommuns nämnder

Intern kontroll i faktura- och lönehantering

FALKENBERGS KOMMUN 3.02 FÖRFATTNINGSSAMLING

Regler för attest i Göteborgs Stad, med utbildningsnämndens kompletterande anvisningar.

= = = = = Attestordning för Göteborgs universitet ====================== = = Beslutsdatum

Riktlinjer för korttjänster vid SLU

Regler för attest i Göteborgs Stad

Granskning av intern kontroll avseende betalningsrutiner

Attestreglemente för Eda kommun

Universitetsdirektörens delegationsordning

ATTESTREGLEMENTE FÖR LANDSKRONA STAD KF

Granskning av intern kontroll avseende betalningsrutiner. Mönsterås Bostäder AB

Tillämpningsanvisningar till reglemente för attestering av ekonomiska transaktioner i Bengtsfors kommunkoncern

GÖTEBORGS UNIVERSITET Kap 2 Delegations - och attestordning Ekonomiavdelningen. 2 Delegations- och attestordning... 2

EXFLOW DYNAMICS NAV ELEKTRONISK FAKTURAHANTERING

Attest och u ta n ord n i n g

Ärendets Första giltig- Diarieplandiarienummer. 1 Det åligger kommunens nämnder att tillse att bestämmelserna i detta reglemente om attest iakttas.

Granskning av intern kontroll avseende betalningsrutiner. Vattenpalatset i Mönsterås AB

Visma Proceedo. Att kontera - Manual. Version 1.4. Version 1.4 /

Attestinstruktion - anvisningar för kontroll, attest och utbetalning av pengar

Kommunal författningssamling för. Östra Göinge kommun

Delegationsordning för avtal, attest-, direktupphandlingsoch utanordningsrätter

Tillämpningsanvisning

Reglemente för attest

Revisionsrapport Uppföljande granskning av rapporten Attester och utbetalningsrutiner

Riktlinjer för attest av ekonomiska transaktioner

Anvisningar för resor, kurser, konferenser och representation samt ersättning för utlägg vid Kommunstyrelseförvaltningen.

Riktlinjen trädde i kraft den 1 januari 1997 enligt beslut i kommunfullmäktige den 19 december 1996, 161.

Lokal rapportering i Primula

Lathund för Attesterare Egenrapportering

Stipendier, resebidrag och attest

ATTESTREGLEMENTE 1(6) STYRDOKUMENT DATUM

Rapport Granskning av försörjningsstöd.

REGEL FÖR CHEFENS ANSVAR OCH BEHÖRIGHET ATT FÖRFOGA ÖVER MYNDIGHETENS MEDEL

Reglemente. Attest och kontroll av ekonomiska transaktioner. Mariestad. Antaget av Kommunfullmäktige Mariestad

Yttrande till kommunrevisionen över granskning av attester för utbetalningar

Attestreglemente. Dokumenttyp: Reglemente Dokumentansvarig: Ekonomifunktionen Beslutad av: Kommunfullmäktige

Granskning av intern kontroll i lönehanteringen

Föreliggande dokument är antaget av kommunfullmäktige/styrelsen , 52. Reglemente för kontroll av ekonomiska transaktioner i Partille kommun

REGLEMENTE FÖR KONTROLL AV VERIFIKATIONER

ATTESTREGLEMENTE FÖR SJÖBO KOMMUN

Katrineholms kommuns författningssamling

Att betalning sker vid rätt tidpunkt. Att transaktionen är rätt konterad

Regler. Fö r ekönömiska transaktiöner. Vision. Program. Policy. Regler. Handlingsplan. Riktlinjer Kommunfullmäktige Kommunstyrelsen Nämnd

Attestrutiner och behörighet att underteckna handlingar

Rutin för loggning av HSL-journaler samt NPÖ

Tillämpningsanvisningar attestreglemente

F22 Attestant INNEHÅLL. Karolinska Institutet

Lathund för anställd att registrera utlägg i KTH-RES

Revisionsrapport. Attestrutiner. Östhammars kommun. Datum: Författare: Jonas Eriksson Carin Norberg

ATTESTORDNING. medarbetarportalen.gu.se/styrdokument. Beslutsdatum Från och med och tillsvidare

Reglemente för kontroll av verifikationer attestreglemente Antaget av kommunfullmäktige , 81

Föreliggande dokument är antaget av kommunfullmäktige Dokumentet är fastställt på nytt av kommunfullmäktige , 63.

TILLÄMPNINGSANVISNINGAR FÖR ATTESTREGLEMENTE FÖR SJÖBO KOMMUN

Intern kontroll avseende fakturahantering

Granskning av landstingets regler och rutiner för attestering av leverantörsfakturor och löner

TILLÄMPNINGSANVISNINGAR TILL REGLEMENTE FÖR KONTROLL AV VERIFIKATIONER

ATTESTREGLEMENTE FÖR SOTENÄS KOMMUN

Kommunal Författningssamling

Granskning av Jönköpings kommuns rutin för skanning av leverantörsfakturor

Attestreglemente Reviderat 2012 KS12.185

GRANSKNING AV INSTITUTIONEN FÖR SVENSKA SPRÅKET

Behörigheter i system

Attestreglemente för Malung-Sälens kommun

Attestreglemente. Förslag till beslut Kommunstyrelsen föreslår kommunfullmäktige besluta. att anta attestreglemente enligt bilaga.

Granskning av manuella utbetalningar svar på revisionsskrivelse

SSC - Lönetjänster 2017

Revisionsrapport. Revisionsrapport rörande löpande granskning av Polisen Granskning av ekonomiadministration slutsatser

Revisionsrapport. Granskning av leverantörsregister. Sollentuna kommun. pwc

Riskanalys och internkontrollplan för Lönecentrum

Landstingets innehav av företagskort (kontokort)

Riskanalys och intern kontrollplan för Lönecentrum

Rektor. Ingrid Petersson Ordförande Inga Astorsdotter Internrevisionschef

Rapport från internrevisionen

Attestreglemente för Borgholms kommun

Visma Proceedo. Att attestera - Manual. Version 1.2 /

Attestreglemente för Härnösands kommun

Dokumentnamn Dokumenttyp Datum Arbetsordning med styrelsens delegationer för Tillväxtverket

Riskanalys och intern kontrollplan för Lönecentrum 2015

RIKTLINJE FÖR JOURNALSYSTEM LOGGKONTROLLER I PROCAPITA

Tillämpningsanvisningar till reglemente för attest och kontroll av ekonomiska transaktioner

Heroma Rese LFV Användarmanual - Chef

ATTESTORDNING. medarbetarportalen.gu.se/styrdokument. Beslutsdatum Från och med och tillsvidare

Kommunal författningssamling. Attestreglemente. Motala kommun

Attestordning för Kommunalförbundet Sörmlands Kollektivtrafikmyndighet

Granskning av Institutionen för historiska studier

Riktlinjer till reglemente för attest av ekonomiska transaktioner

Rutin för loggkontroll av åtkomst till hälso- och sjukvårdsdokumentation

Transkript:

00011 1 Internrevisionen 2007-02-15 Dnr SLU ua 10-345/07 Till Styrelsen Behörighet i administrativa IT-system SAMMANFATTNING Tilldelning av behörigheter till olika administrativa system inom IT-området ska bygga på ett risktänkande. För att säkra god intern styrning och kontroll finns några grundläggande regler som att det aldrig ska vara möjligt att administrera sina egna ärenden, en person ska inte tillåtas att ensam hantera ett helt flöde som t.ex. att både godkänna och attestera samma faktura, inte delegera uppgiften att slutattestera egna utlägg till underställd personal. Vår granskning visar att de två sistnämnda av dessa grundläggande regler inte alltid följs. Avvikelser motiveras med att det handlar om dels förtroende och dels smidiga lösningar. Internrevisionen stödjer visserligen synen på förtroende mellan anställda och strävan efter att hitta smidiga lösningar. Det är alltid en avvägning mellan kostnader för den interna kontrollen och de fördelar i form av minskad risk, ökad effektivitet etc. som den är avsedd att ge. Dock måste behörigheten följa befintligt regelverk och får inte hanteras så att intern styrning och kontroll kan ifrågasättas. De brister internrevisionen uppmärksammat kan leda till ineffektivitet i organisation och förvaltning, att obehöriga personer får tillgång till system och kan förstöra eller förändra information i system, medvetet eller omedvetet, negativa ekonomiska konsekvenser vid otillbörlig åtkomst, att förtroendet för SLU försämras om det blir känt att obehöriga personer får tillgång till system. SLU bör se över och införa rutiner som säkerställer att tilldelning och användning av behörigheter i administrativa IT-system sker på ett säkert sätt. 1. Bakgrund och metod SLU:s styrelse fastställde 2001 strategiska mål, som bl.a. innebär att SLU ska ha en väl fungerande och tydlig organisation som leder till effektiv resursanvändning, samt erbjuda studenter och personal en arbetsmiljö och arbetsförutsättningar som tillhör de mest attraktiva. Postadress Besöksadress Tfn Fax E-post Box 7070 Arrheniusplan 2C 018-67 16 25 018-67 20 00 anna-lena.herfindal@adm.slu.se 750 07 UPPSALA

2 En myndighet ska ha en god intern styrning och kontroll. Med det menas att bedriva en effektiv och ändamålsenlig verksamhet, att gällande regelverk följs samt en tillförlitlig redovisning och rättvisande rapportering av verksamheten. Utgångspunkten i granskningen har varit att identifiera risker inom behörighetsadministrationen som kan påverka uppnåendet av universitetets strategiska mål samt arbetet med att uppnå god intern styrning och kontroll. Universitetets styrelse beslutade i revisionsplanen för 2006 om en granskning av behörigheter i universitetsgemensamma administrativa IT-system som används för redovisning, rapportering och uppföljning av universitetets verksamhet. Det är av stor vikt att såväl det tekniska systemet som de administrativa rutinerna i anslutning till dessa system har en godtagbar säkerhetsnivå. En åtgärd för att tillförsäkra sig om att godkända personer har rätt åtkomst till systemen är införandet av behörigheter på olika nivåer i systemen. Internrevisionen har valt att granska hanteringen av behörigheter i systemen Primula personaladministrativt system), Baltzar leverantörsfakturasystem) och Ladok studiedokumentationssystem). Internrevisionen har valt ut sex institutioner inom tre fakulteter för att få en bild av hur behörigheter tilldelas inom enheter. Intervjuer har gjorts med prefekt, administrativ chef, ekonomiansvarig och intendent. Behörighetsinformation har hämtats från de tekniska systemen. Informationen har stämts av mot inlämnad behörighetsansökan och mot enheternas önskemål om vilken behörighet som personalen ska ha. Systemförvaltarna har intervjuats angående hantering av de högsta behörigheterna i systemen. Kontroll och bedömning har gjorts av den dokumentation som finns samt om nödvändiga säkerhetsåtgärder i systemen har vidtagits. 2. Utvalda administrativa system 2.1 Kortfattad beskrivning av systemen Primula Primula är ett personal- och lönesystem som är utvecklat för universitet. Under 90-talet gick fem olika universitet samman i ett konsortium för att tillsammans driva utvecklingsarbetet kring ett nytt personal- och lönesystem. SLU var ett av dessa universitet, men drog sig senare ur konsortiet. Under hösten 2004 infördes systemet på SLU. Primula har av konsortiet sålts till SYSteam PA AB, som förvaltar och utvecklar systemet. Baltzar Baltzar är ett elektroniskt fakturahanteringssystem som infördes 2002. Samtidigt som systemet infördes skapades nya rutiner för utbetalningar. Rutinerna infördes successivt och samtliga institutioner/enheter var anslutna i början av 2005. Systemet innebär att alla fakturor och utbetalningsunderlag skannas in. Godkännande, attester och arkivering sker sedan elektroniskt.

3 Ladok Ladok 1 är ett nationellt system för dokumentation av studerandes närvaro och resultat i högskoleutbildning. Systemet ägs av högskolorna tillsammans genom ett konsortium. Syftet är att underlätta det dagliga arbetet på institutioner och förvaltning, vid lokal och central planering samt vid uppföljning av studieresultat samt att trygga studentens rättssäkerhet. 2.1 Definition av begrepp Behörighet Rättighet att ha tillträde och/eller att kunna utföra vissa aktiviteter i exempelvis olika delar av ett IT-system. Loggning Med loggning menas en kontinuerligt insamlad och sparad information av de operationer som utförs i ett system. Kryptering Att göra information oläslig för alla som inte ska kunna läsa den. 3. Granskning 3.1 Systemförvaltarnas arbete med behörigheter Systemförvaltarna för alla granskade system har att hantera dels upplägg av behörigheter vid institutionerna och dels på den egna enheten. Primula Två systemadministratörer på Personalavdelningen samt någon/några personer vid det företag som är driftsansvariga för Primula har de högsta behörigheterna i systemet. Att ha högsta behörighet i systemet innebär att tekniska och andra förändringar i systemet kan göras. Beslut om vem/vilka som ska ha tillgång till högsta behörigheten finns inte dokumenterat. De som har högsta behörigheter använder samma s.k. rootlösenord. All användning av lösenordet styrs mot en IP-adress, för att göra det möjligt att spåra från vilken dator förändringarna gjorts. Däremot kan man inte se vem som gjort vad eftersom de har samma lösenord. All aktivitet som leder till förändringar i systemet loggas. Det görs rutinmässiga kontroller av loggarna genom stickprovskontroller av ett slumpmässigt urval varje månad. Dessutom kontrolleras det som hamnar på avstämningslistor p.g.a. att de avvikit från vissa bestämda kriterier. Eftersom personalavdelningen ansvarar för många personalfrågor som bl.a. löneutbetalningar har den ett stort ansvar för säkerhet i systemet. Särskilt riskfyllt är det vid registrering och utbetalning av lön för avdelningens egna anställda. Det finns ingen rutin för att kontrollera riktigheten och godkänna löneutbetalningen för personalavdelningen innan den betalas ut och därmed frångås grundregeln att det ska vara minst två personer inblandade i ett flöde. 1 Hämtat från Ladokkonsortiets hemsida www.ladok.se

4 Baltzar Två systemadministratörer på ekonomiavdelningen, en driftsansvarig på IT-avdelningen samt en konsult har de högsta behörigheterna i systemet. Att ha högsta behörighet i systemet innebär att tekniska och andra förändringar i systemet kan göras som t.ex. avbryta loggningen. Vem/vilka som ska ha tillgång till högsta behörigheten har inte beslutats av någon överordnad chef, utan har följt med arbetsuppgifterna. Alla fyra med högsta behörigheter använder samma s.k. rootlösenord. All användning av lösenordet styrs mot en IP-adress, för att göra det möjligt att spåra från vilken dator förändringarna gjorts. Däremot kan man inte se vem som gjort vad eftersom de har samma lösenord. Systemadministratörerna har bara en roll i systemet och det innebär att de alltid loggar in med sin höga behörighet. Alla förändringar i fakturahanteringen som exempelvis ändrade flöden, makulerade fakturor och ändrade belopp loggas. Det görs en del manuella kontroller av fakturor från vissa leverantörer, utländska valutor, större belopp etc. innan fakturorna går ut för attestering. Dessutom görs en del stickprovskontroller innan betalningsförslaget skickas för betalning. Då kontrolleras vissa konton t.ex. där bilagor skall bifogas som kvitton till Eurocard, representationskonton och om upphandlingsintyg finns mm. Ladok Inga pengar betalas ut via detta system, dock påverkas institutionernas ekonomiska redovisning, via tilldelning av medel. Systemet hanterar främst redovisning av helårsstudenter, helårsprestationer och forskarstuderande. En systemansvarig på studerandeavdelningen och någon/några personer på driftcentralen har de högsta behörigheterna i systemet. Behörigheten gör det möjligt att ta sig in i databasen och göra förändringar. Enligt uppgift från den systemansvarige så gör de på driftcentralen bara ändringar på uppdrag från denne. Inte heller i detta system finns något dokumenterat beslut på vem som ska ha tillgång till högsta behörigheten, utan det har följt med arbetsuppgiften som systemansvarig. Systemet medger inte att en person har flera olika behörigheter, vilket innebär att den systemansvarige använder den högsta behörigheten vid all inloggning. All aktivitet som leder till förändringar i systemet loggas. Intrångsförsök kontrolleras av driftcentralen. Uppföljning och rensning av inaktiva användare görs varje halvår. Rekommendationer IR anser det är viktigt att det går att spåra allt som en systemadministratör med högsta behörighet gör i systemet. Varje person bör få ett eget personligt lösenord som också byts med jämna mellanrum. Lösenordet ska vara styrt mot IP-adress. Det bör finnas rutiner för tilldelning och uppföljning även för systemadministratörsbehörigheter, dvs. de högsta behörigheterna. Användare med högsta behörighet kan ofta göra förändringar eller ta bort loggar. Det bör finnas en rutin för att minimera risken för manipulation från användare med högsta behörighet. Rutinen bör innehålla uppgifter om hur t.ex. en revisor kan se om loggarna är intakt eller om de kan ha varit utsatta för förändring. IR rekommenderar att det tas fram en dokumenterad rutin för det som loggats som talar om vilka signaler som indikerar på avvikelser från det som är godkänt och som ska följas upp. IR rekommenderar att en rutin införs som innebär att någon annan person än den som upprättar underlaget till löneutbetalningen för personalavdelningen godkänner riktigheten i det innan betalning sker.

3.2 Användare med lägre behörighet Primula I systemet Primula finns inbyggt att en person aldrig kan administrera sig själv, vilket är helt i linje med god intern kontroll. Alla behörigheter är knutna till roller. De vanligaste rollerna är ekonomiadministratör, avdelningschef och prefekt. En annan roll är källrapportörer som rapporterar åt annan personal t.ex. anställda inom lokalvården. Prefekten beslutar om roller för sin personal vid enheten, som sedan leder till en viss behörighet. 5 När en person blir anställd vid SLU får denne automatiskt behörighet att kunna se sin egen profil samt att ansöka om ledigheter och rapportera sjukfrånvaro. Den dag en person slutat sin anställning upphör tillträdet till systemet. Så länge man är anställd har man kvar sin behörighet trots att man kan ha varit borta från sin tjänst under en längre tid p.g.a. sjukdom eller tjänstledighet. För att få en utökad behörighet, som att kunna administrera andra personer, kräver personalavdelningen in en skriftlig delegation av överordnad chef. Lösenordet till Primula-klienten är krypterat och byts efter 30-90 dagar. Påloggningen till Primula-webben som har begränsad funktionalitet) sker via MittSLU och där finns inget krav på lösenordsbyte. De flesta användarna loggar på via MittSLU. Baltzar För att kunna se samtliga fakturor vid SLU samt att godkänna fakturor krävs endast att någon i Baltzargruppen eller den som är utsedd till rolladministratör på den egna enheten kontaktas. Det finns inget krav på någon dokumentation för den här lägre typen av behörighet. Det finns inget krav på anställning vid SLU, utan andra orsaker till varför man behöver behörighet godkänns. Då rutiner för rensning av behörigheter saknas finns det stor risk att obehöriga har tillgång till systemet. För att få slutattest- eller konteringsbehörighet krävs en skriftlig delegation från överordnad. Prefekt och biträdande prefekt har genom sitt uppdrag rätt att slutattestera. Prefekten kan delegera den rätten till avdelningschef, projektledare och intendent eller liknande. För varje fakturaflöde lägger ekonomiavdelningen upp ett standardförslag till flöde baserat på godkännande-, konterings- och slutattestbehörighet. Förslaget kan ändras av rolladmininstratör vid institutionen utan beslut av prefekt. Vid tre av de sex besökta institutionerna uppges att de tänker på risker när de arbetar fram rutiner över vilka som ska ha godkännande-, konterings- och slutattestbehörighet i Baltzar. Det förekommer ändå att några personer har flera roller samtidigt, som innebär att de både kan godkänna och slutattestera samma faktura. Här prioriteras smidigheten framför god intern kontroll. Baltzar känner inte av om fakturan avser personligt inköp och som därmed ska attesteras av närmaste chef. Detta ställer krav på konteraren som måste se till att den kommer till rätt person för slutattest. En person som är underordnad ska inte ha rätt att slutattestera sin chefs personliga kostnader. Vid tre av de sex institutionerna finns rutinen att prefektens resor och dylikt alltid ska lämnas till dekan för attest. För de övriga tre institutionerna är det ställföreträdande prefekt som attesterar.

Vid två andra av de sex granskade institutionerna utnyttjas inte fördelarna med ett elektroniskt fakturahanteringssystem fullt ut. De har rutinen att det endast är ekonomiadministratörerna som tar emot alla elektroniska fakturor, även när det är andra vid institutionen som beställt varan eller tjänsten. Administratörerna måste sedan via besök eller e-post få ett godkännande av respektive inköpare. Rutinerna är alltså i princip desamma som innan införandet av Baltzar. Lösenordet i systemet är krypterat och måste bytas var 60:e dag för attestanter och var 250:e dag för icke attestanter. 6 Ladok På institutionsnivå finns två olika typer av behörigheter i Ladok, en skriv- och en läsbehörighet. För att få tillgång till systemet krävs en skriftlig delegation från prefekt eller liknande. Den systemansvarige försöker styra institutionerna till att ha max två till tre användare. Ett stort problem som nu avhjälpts då det tidigare varit många sällananvändare som haft behörighet i systemet. Felregistreringar har gjorts p.g.a. att de som registrerat inte gjort det så ofta och därför inte vetat hur de ska registrera. Det finns en rutin som genomförs varje halvår och som innebär att den systemansvarige skickar ut ett meddelande om att inaktiva användare kommer att rensas bort. På blanketten för ansökan om behörigheter uppmanas institutionen att ta kontakt med den systemansvarige om personen som fått behörighet är borta mer än sex månader. Lösenordet är krypterat och den systemansvarige uppmanar alla med behörigheter att byta lösenord var tredje månad. Byte av lösenord är för närvarande frivilligt. Enligt uppgift kommer obligatoriskt lösenordsbyte att införas i systemet. Rekommendationer IR anser att det inte ska vara så enkelt att få godkännandeattest i Baltzar. IR rekommenderar att endast de som har rätt att beställa varor och tjänster ska få tillgång till systemet. Rätten att beställa bör begränsas till ett fåtal anställda vid institutionen. IR rekommenderar att flödena i Baltzar ses över och att det inte ska vara möjligt att ha olika roller som möjliggör att man både kan godkänna och slutattestera samma faktura. IR anser att för att upprätthålla god intern kontroll så måste ekonomihandbokens regler följas. Ingen anställd får besluta i ett ärende som rör henne/honom själv. Närmast överordnade chef ska fatta sådana beslut, som t ex slutattestera reseräkningar och ersättning för privata utlägg. Rätten att slutattestera kan delegeras, men aldrig så att den som får denna uppgift ska slutattestera utgifter till en överordnad. IR rekommenderar att rutiner bör införas i systemen Baltzar och Primula för återkommande rensning av behörigheter eller ändring av behörighetstyp vid inaktivitet i systemet. IR ser positivt på att krav på lösenordsbyte kommer att införas i Ladok och rekommenderar att kravet även införs i MittSLU. Anna-Lena Herfindal Internrevisor Ulla-Kari Fällman Internrevisionschef

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss